WO2019058612A1

WO2019058612A1 - リモートアクセス制御システム

Info

Publication number: WO2019058612A1
Application number: PCT/JP2018/012734
Authority: WO
Inventors: 章晴大矢; 達之松下; 竜朗池田; 方明趙
Original assignee: 株式会社東芝; 東芝デジタルソリューションズ株式会社
Priority date: 2017-09-25
Filing date: 2018-03-28
Publication date: 2019-03-28
Also published as: EP3691201B1; CN111066297B; US20210019431A1; EP3691201A1; EP3691201A4; US11397821B2; CN111066297A; JP6577546B2; JP2019062277A

Abstract

【課題】複数の遠隔地の各接続先に対するリモートアクセス制御システムを提供する。【解決手段】実施形態のリモートアクセス制御システムは、リモートアクセス制御装置と通信中継装置とを含む。リモートアクセス制御装置は、通信中継装置から能動的にリモートアクセス制御装置に接続する所定の接続先情報取得処理を通じて、通信中継装置との間で所定の通信セッションを確立し、セキュア通信接続開始コマンドを通信中継装置に送信する。通信中継装置からのセキュア通信接続要求を受信して第１セキュア通信セッションの確立処理を行い、第１セキュア通信セッションの確立結果に基づいて利用者装置からのセキュア通信接続要求を受信して第２セキュア通信セッションの確立処理を行う。各々個別に確立された各セキュア通信セッション同士の接続は、セッション接続許可情報に基づいて判定され、セキュア通信セッション同士が中継される。

Description

リモートアクセス制御システム

　本発明の実施形態は、利用者装置から遠隔地にある機器へのリモートアクセス技術に関する。

　従来から、リモートで遠隔地にある機器を操作したり、稼働状況を診断、把握したり、機器から稼働履歴などのデータ収集を行ったりすることができる。このような遠隔地にある機器等へのリモートアクセスは、例えば、ＶＰＮ（Virtual Private Network）などのセキュア通信技術が利用されている。

特許第５４９４８１６号公報特許第５１３３９３２号公報

　複数の遠隔地の各接続先に対するセキュア通信を介したリモートアクセスを制御するリモートアクセス制御システムを提供する。

　実施形態のリモートアクセス制御システムは、複数の遠隔地の接続先それぞれに対するセキュア通信を介したリモートアクセスを制御するリモートアクセス制御システムであり、利用者装置と接続されるリモートアクセス制御装置と、前記接続先の遠隔操作対象機器を含むローカルネットワークに属し、前記リモートアクセス制御装置側のネットワークと前記ローカルネットワークとの間のネットワークアドレス変換を行うネットワーク機器配下の通信中継装置と、を含む。前記リモートアクセス制御装置は、前記接続先の前記通信中継装置から能動的に前記リモートアクセス制御装置に接続する所定の接続先情報取得処理を通じて、前記通信中継装置との間で所定の通信セッションを確立する通信セッション維持部と、前記所定の通信セッションが維持されている状態で、セキュア通信接続開始コマンドを前記通信中継装置に送信するコマンド配信部と、前記セキュア通信接続開始コマンドに基づいて前記通信中継装置から送信されるセキュア通信接続要求を受信し、前記通信中継装置と前記リモートアクセス制御装置との間で第１セキュア通信セッションの確立処理を行うとともに、前記第１セキュア通信セッションの確立結果に基づいて前記利用者装置から送信されるセキュア通信接続要求を受信し、前記利用者装置と前記リモートアクセス制御装置との間で第２セキュア通信セッションの確立処理を行うセキュア通信制御部と、前記利用者装置又は前記利用者装置を使用する利用者と前記接続先との間のセッション接続許可情報に基づいて、各々個別に確立された前記第１セキュア通信セッション及び前記第２セキュア通信セッションの接続許可判定を行い、判定結果に基づいて前記第１セキュア通信セッションと前記第２セキュア通信セッションとを接続し、セキュア通信セッションの中継を行うセキュア通信セッション接続部と、を有する。

第１実施形態のリモートアクセス制御システムのネットワーク構成を示す図である。第１実施形態のリモートアクセス制御システムの現地ネットワーク環境及びセキュア通信セッションの接続処理を説明するための図である。第１実施形態のリモートアクセス制御システムのゲートウェイ装置に対する接続情報取得処理を説明するための図である。第１実施形態のリモートアクセス制御システムを構成する各装置の機能ブロック図である。第１実施形態のリモートアクセス制御システムのセキュア通信セッションの確立処理及び中継処理を示すフローチャートである。第１実施形態のリモートアクセス制御システムのセキュア通信セッションの停止処理を示すフローチャートである。第１実施形態のリモートアクセス制御システムを複数のユーザが利用し、各ユーザが複数の遠隔地に対してリモートアクセスする場合のセッション接続許可処理を説明するための図である。第２実施形態のリモートアクセス制御システムのセッション接続許可処理を説明するための図である。第２実施形態のリモートアクセス制御システムを構成する各装置の機能ブロック図である。第２実施形態のリモートアクセス制御システムのセキュア通信セッションの接続処理を説明するための図である。第２実施形態のリモートアクセス制御システムのセキュア通信セッションの確立処理及び中継処理を示すフローチャートである。

　以下、実施形態につき、図面を参照して説明する。

（第１実施形態）
　図１から図６は、第１実施形態のリモートアクセス制御システムを示す図であり、図１は、ネットワーク構成図である。本実施形態のリモートアクセス制御システムは、遠隔地（現地）の遠隔操作対象機器７００に対する通信を中継するゲートウェイ装置（通信中継装置）５００と接続されるリモートアクセス制御装置３００を備える。

　図１に示すように、本実施形態は、異なる複数の各遠隔地に、ゲートウェイ装置５００及び遠隔操作対象機器７００を含むネットワーク機器４００配下の現地ネットワークが構築されており、リモートアクセス制御装置３００は、遠隔地にある複数の各現地ネットワークと接続することができる。利用者は、リモートアクセス制御装置３００を通じて、１つ又は複数の各現地ネットワークと接続し、利用者装置１００から遠隔操作対象機器７００に対する遠隔操作を行う。利用者装置１００は、遠隔操作対象機器７００を遠隔操作するためのコンピュータ装置である。

　遠隔操作対象機器７００は、制御ＰＣ６００によって制御することが可能であり、この場合、利用者装置１００は、制御ＰＣ６００に接続し、制御ＰＣ６００を介して遠隔操作対象機器７００を間接的に遠隔操作することができる。また、遠隔操作対象機器７００は、制御部７０１を備えることができ、制御ＰＣ６００を介さずに制御部７０１を通じて直接遠隔操作対象機器７００を遠隔操作することもできる。

　遠隔操作対象機器７００は、一例として、工場などの監視対象機器や監視対象機器を監視する監視装置である。監視対象機器としては、例えば、プラントの制御装置、所定のシステムの管理サーバなどであり、監視装置としては、監視カメラなどがある。また、他の例としては、住宅の家電製品などのユーザデバイス、冷暖房機器や風呂、照明などの住宅設備機器がある。

　遠隔操作対象機器７００は、利用者装置１００から入力されたリモートコマンドを受信し、リモートコマンドに準じた処理を行う。例えば、遠隔操作対象機器７００の制御部７０１は、リモートコマンドに基づいて、遠隔操作対象機器７００の稼働状況を診断する処理の診断処理を遂行して診断結果を出力したり、稼働履歴などのログ情報を収集して出力したりするなどのメンテナンス処理を実行する。また、遠隔操作対象機器７００が監視カメラである場合、例えば、遠隔操作対象機器７００のカメラ制御部にコマンドを出力し、リモートコマンドに応じた動画・静止画の撮影動作、撮影された画像を出力、パン・チルト機構による撮影方向変更などを行わせることができる。

　図２は、リモートアクセス制御システムの現地ネットワーク環境及びセキュア通信セッションの接続処理を説明するための図である。ネットワーク（ＮＷ）機器４００は、例えば、ルータなどのネットワーク機器であり、ＮＡＴ（Network Address Translation）やＮＡＰＴ(Network Address Port Translation）などのネットワークアドレス変換機能を備えている。ネットワーク機器４００は、ＩＳＰが提供する動的又は静的（固定）グルーバルＩＰアドレスが割り当てられている。

　ゲートウェイ装置５００及び遠隔操作対象機器７００（制御ＰＣ６００を含む）は、現地において、ネットワーク機器４００配下のローカルエリアネットワーク（Local Area Network）で接続されている。ゲートウェイ装置５００は、同一セグメント内の１つ又は複数の遠隔操作対象機器７００と接続され、遠隔操作対象機器７００とリモートアクセス制御装置３００との間に位置するゲートウェイである。

　現地のＬＡＮ環境は、ゲートウェイ装置５００、遠隔操作対象機器７００、及び制御ＰＣ６００に、動的又は静的（固定）プライベートＩＰアドレスが割り当てられている。プライベートＩＰアドレスは、現地のＬＡＮ環境において任意に決定される。ゲートウェイ装置５００は、遠隔操作対象機器７００と無線ＬＡＮ／有線ＬＡＮで接続され、ゲートウェイ装置５００と遠隔操作対象機器７００との間は、ＴＣＰ／ＩＰで接続される。

　ネットワーク機器４００は、グローバルＩＰアドレスとプライベートＩＰアドレスを相互に変換し、配下のＬＡＮ内のゲートウェイ装置５００がＩＰ網を利用してリモートアクセス制御装置３００に接続できるようにする。ＮＡＴでは、１つのグローバルＩＰアドレスをゲートウェイ装置５００に割り当てられた１つのプライベートＩＰアドレスに固定して変換する。一方、ＮＡＰＴでは、ポート番号と組み合わせて、１つのグローバルＩＰアドレスを複数の機器で共用し（ＩＰマスカレード方式）、配下のＬＡＮ内のゲートウェイ装置５００以外の他の装置が、ＩＰ網に同時接続することを許容する。

　そして、リモートアクセス制御装置３００は、ネットワーク機器４００配下のゲートウェイ装置５００との間でセキュア通信接続を行う。しかしながら、ゲートウェイ装置５００は、ネットワーク機器４００配下のプライベートＩＰアドレスが割り当てられたローカル環境である。このため、ゲートウェイ装置５００は、リモートアクセス制御装置３００にとって、不定な（不明な）宛先となる。したがって、リモートアクセス制御装置３００から能動的にゲートウェイ装置５００に接続することができない。

　そこで、本実施形態のリモートアクセス制御システムは、宛先不定なゲートウェイ装置５００の接続先情報を取得する接続先情報取得処理を行ってコネクションを確立し、リモートアクセス制御装置３００との間の通信セッションを予め維持した状態で、セキュア通信接続を行っている。

　図３は、宛先不定のゲートウェイ装置５００の接続情報取得処理を説明するための図である。ゲートウェイ装置５００は、移動体通信網（例えば、Ｗ－ＣＤＭＡなどの３Ｇ回線やＧＳＭの携帯電話網（キャリア網））に接続可能な通信装置を備えることができる。そして、移動体通信網の加入者であることを特定するための固有のＩＤ番号（ＩＭＳＩ(Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｍｏｂｉｌｅ　ＳｕｂｓｃｒｉｂｅｒＩｄｅｎｔｉｔｙ)を記録した記録媒体（ＳＩＭ（Ｓｕｂｓｃｒｉｂｅｒ　Ｉｄｅｎｔｉｔｙ　Ｍｏｄｕｌｅ　Ｃａｒｄ）カード）を備えており、固有のＩＤ番号には電話番号が紐付いている。リモートアクセス制御装置３００は、ゲートウェイ装置５００の電話番号又は／及び固有のＩＤ番号（以下、ＳＩＭ情報という）を宛先とする移動体通信網を介したメッセージ送信を行うことができる。

　移動体通信網では、ＳＭＳ（Ｓｈｏｒｔ　Ｍｅｓｓａｇｅ　Ｓｅｒｖｉｃｅ）を利用することができる。リモートアクセス制御装置３００は、宛先としてゲートウェイ装置５００のＳＩＭ情報を指定し、移動体通信網を介して直接ゲートウェイ装置５００にＳＭＳメッセージを送ることができる。

　ゲートウェイ装置５００は、移動体通信網経由でリモートアクセス制御装置３００からＳＭＳメッセージを受信すると、ゲートウェイ装置５００側から能動的にＩＰ網を介してリモートアクセス制御装置３００への接続処理を行う。

　具体的には、ゲートウェイ装置５００は、ＳＭＳメッセージの受信を契機に、宛先をリモートアクセス制御装置３００のＩＰアドレス、送信元ＩＰアドレスを自身のプライベートＩＰアドレスに設定し、ゲートウェイ装置５００のＳＩＭ情報を含む通信セッション接続要求を生成する。そして、ゲートウェイ装置５００は、通信セッション接続要求をネットワーク機器４００に送り、ネットワーク機器４００は、自身に割り当てられているグローバルＩＰアドレスを用いたＮＡＴやＮＡＰＴによるネットワークアドレス変換処理を行い、通信セッション接続要求をリモートアクセス制御装置３００に送信する。

　リモートアクセス制御装置３００は、受信したセッション接続要求に含まれる送信元ＩＰアドレスやグローバルＩＰアドレスをゲートウェイ装置５００の接続先情報として記憶するとともに、接続先情報を用いてＨＴＴＰやＷｅｂＳｏｃｋｅｔなどの通信方式でゲートウェイ装置５００との間で通信セッションを確立することができる。

　なお、図３に示した接続先情報取得の構成及び処理に限らず、他の公知の手法を用いて、宛先不定のゲートウェイ装置５００の接続先情報を取得することもできる。例えば、ゲートウェイ装置５００が、所定のタイミングや所定の時間間隔で、リモートアクセス制御装置３００に接続し、ゲートウェイ装置５００から接続先情報をリモートアクセス制御装置３００に通知するように構成することができる。

　このように本実施形態では、宛先不定なゲートウェイ装置５００の接続先情報を取得する接続先情報取得処理を事前に行い、宛先が特定されたゲートウェイ装置５００との間でセキュア通信接続を行っている。

　本実施形態のセキュア通信は、一例として、ＶＰＮ（Virtual Private Network）接続がある。ＶＰＮは、インターネットＶＰＮやＩＰ－ＶＰＮがあり、インターネットＶＰＮには、セキュリティプロトコルにＩＰｓｅｃ（IP Security Architecture）を使用したＩＰｓｅｃ－ＶＰＮやセキュリティプロトコルにＳＳＬ（Secure Sockets Layer）を使用したＳＳＬ－ＶＰＮなどがある。また、ＩＰ－ＶＰＮには、通信事業者のプライベートＩＰ網（通信事業者専用の閉域網）内でＭＰＬＳ（Multi Protocol Label Switching）によるＭＰＬＳ－ＶＰＮがある。

　なお、本実施形態では、セキュア通信としてＶＰＮを一例に説明しているが、これに限るものではない。トンネリング、暗号化、公開鍵や秘密鍵を用いた認証など、様々なセキュリティ技術（セキュリティプロトコル）が適用され、セキュアな通信形態であればよい。例えば、ＳＳＬが適用されたＷｅｂｓｏｃｋｅｔ通信などもセキュア通信の一例である。

　リモートアクセス制御装置３００は、ゲートウェイ装置５００との間の通信セッションが確立された後、ＶＰＮ接続開始コマンドをゲートウェイ装置５００に配信する。ＶＰＮ接続開始コマンドを配信するトリガーは、例えば、利用者装置１００から所定の現地に対するリモートアクセス要求を受信したタイミングとすることができる。ゲートウェイ装置５００は、ＶＰＮ接続開始コマンドを受信すると、自身が能動的にリモートアクセス制御装置３００に対してＶＰＮ接続要求を送信し、リモートアクセス制御装置３００との間でＶＰＮ接続Ａを確立する。

　一方、利用者装置１００は、リモートアクセス制御装置３００とゲートウェイ装置５００とのＶＰＮ接続Ａが確立された後、ＶＰＮ接続Ａの確立結果に基づいて、リモートアクセス制御装置３００に対して自身が能動的にＶＰＮ接続要求を送信し、リモートアクセス制御装置３００との間でＶＰＮ接続Ｂを確立する。

　リモートアクセス制御装置３００は、ＶＰＮ接続ＡとＶＰＮ接続Ｂとを個別にそれぞれ確立するとともに、個別に確立されたＶＰＮ接続Ａ，Ｂ間の接続許可判定処理を行う。例えば、図２に示すように、接続先に対する接続元のセッション接続許可情報が予め設定されており、例えば、利用者装置１００のＶＰＮクライアントの公開鍵と、許可される接続先のゲートウェイ装置５００のＶＰＮクライアントの公開鍵とをペアにして、セッション接続許可情報を設定することができる。リモートアクセス制御装置３００は、個別に確立されたＶＰＮ接続Ａ，Ｂがセッション接続許可情報に登録された許可ペアであるかを判別し、許可ペアである場合、ＶＰＮ接続Ａ，Ｂ間のセッションを中継するセキュア通信の通信セッション中継を行う。これにより、利用者装置１００は、リモートアクセス制御装置３００を通じて遠隔操作対象機器７００に対する遠隔操作を行うことができる。

　なお、セッション接続許可情報は、各々個別に確立されるリモートアクセス制御装置３００とゲートウェイ装置５００間のセキュア通信を一意に識別可能な情報と、リモートアクセス制御装置３００と利用者装置１００間のセキュア通信を一意に識別可能な情報と、の組み合わせであればよく、一意に識別可能な情報として、公開鍵以外にも、接続先を特定可能な情報であればよい。例えば、接続先の公開鍵、接続先の公開鍵を検証するための証明書や、自身の秘密鍵、ＩＰアドレスやＭＡＣアドレス、ＵＲＬなどを、一意に識別可能な情報として適用することができる。

　本実施形態のリモートアクセス制御システムは、利用者装置１００から複数の異なる各遠隔地へのリモートアクセスにおいて、利用者が所望する接続先から能動的にセキュア通信接続を確立させ、接続先側において張る必要がないセキュア通信接続が行われないように制御される。このため、複数の各遠隔地それぞれとセキュア通信接続を維持しておく必要がなく、リソース及び通信コストの低減を図ることができる。

　また、ネットワーク機器４００配下のローカルネットワーク内のゲートウェイ装置５００の接続先情報を取得する接続先情報取得処理を行い、事前に所定の通信セッションが確立された状態でセキュア通信を確立する。このため、ローカルネットワーク内のプライベートＩＰアドレスが割り当てられ、ローカルネットワーク外から宛先不定なゲートウェイ装置５００に対してもセキュア通信を確立することができる。

　図４は、リモートアクセス制御システムを構成する各装置の機能ブロック図である。利用者装置１００は、通信装置１１０、制御装置１２０及び記憶装置１３０を備えており、制御装置１２０は、ユーザ要求部１２１、セキュア通信制御部１２２、及び遠隔操作部１２３を備えている。セキュア通信制御部１２２は、利用者側のＶＰＮクライアント（セキュア通信クライアント）である。記憶装置１３０には、セキュア通信接続情報として、接続先（リモートアクセス制御装置３００）の公開鍵、接続先（リモートアクセス制御装置３００）の公開鍵を検証するための証明書や、自身の秘密鍵、リモートアクセス制御装置３００のセキュア通信制御装置３３０の宛先（ＩＰアドレスやＵＲＬ）などが記憶されている。

　遠隔操作部１２３は、例えば、制御ＰＣ６００に対するＲＦＢ（Remote Frame Buffer）プロトコルを利用したＶＮＣ（Virtual Network Computing）クライアント、ＲＤＰ（Remote Desktop Protocol）を利用したリモートデスクトップクライアントであり、所定のリモートコントロール機能を提供する。また、遠隔操作部１２３は、遠隔操作対象機器７００に対するＳＳＨ（Secure Shell）などのリモートコントロール機能を提供することができる。

　リモートアクセス制御装置３００は、リモート管理制御装置３１０、コマンド配信装置３２０、セキュア通信制御装置３３０、及び記憶装置３４０を含んで構成されている。

　リモート管理制御装置３１０は、利用者装置１００に対するインターフェース機能を提供し、ユーザ認証を行うユーザ認証部３１１、利用者が所望する接続先（複数の異なる遠隔地の各ゲートウェイ装置５００）の選択する機能を提供するリモート接続選択部３１２を含む。また、リモート管理制御装置３１０は、接続先の選択（リモート接続要求）に基づいてコマンド配信装置３２０にコマンド配信要求を出力するコマンド配信要求部３１３、コマンド配信装置３２０から出力されるコマンド配信結果を利用者に提供するコマンド配信表示部３１４を含む。

　コマンド配信装置３２０は、通信セッション維持部３２１、コマンド配信制御部３２２、及びコマンド配信結果管理部３２３を含んで構成されている。通信セッション維持部３２１は、選択されたゲートウェイ装置５００（現地）に対する上述の接続先情報取得処理を実行する。図３の例の場合、通信セッション維持部３２１は、ＳＭＳ生成機能、ＳＭＳ送信機能、及びゲートウェイ装置５００から取得した接続先情報に基づく所定の通信セッション確立／維持機能を備えることができる。

　コマンド配信制御部３２２は、通信セッション維持部３２１によってゲートウェイ装置５００との間の所定の通信セッションが維持されている状態で、セキュア通信接続開始コマンドを、ゲートウェイ装置５００に送信する。通信セッション維持部３２１及びコマンド配信制御部３２２は、リモート管理制御装置３１０から受信するコマンド配信要求を契機に、各処理を行うことができる。

　コマンド配信結果管理部３２３は、ゲートウェイ装置５００から受信するセキュア通信の確立結果を、コマンド配信結果として、リモート管理制御装置３１０のコマンド配信表示部３１４に出力する。利用者は、コマンド配信表示部３１４から提供されるコマンド配信結果を通じて、選択した接続先とリモートアクセス制御装置３００とがセキュア通信によって接続された状態であることを知ることができ、これに対して利用者は、利用者装置１００をセキュア通信でリモートアクセス制御装置３００に接続するために、セキュア通信接続要求を、リモートアクセス制御装置３００に送信する。

　セキュア通信制御装置３３０は、セキュア通信制御部３３１と、セキュア通信セッション接続部３３２とを含む。セキュア通信制御部３３１は、ゲートウェイ装置５００のセキュア通信制御部５２２との間でセキュア通信セッションを確立する第１処理と、利用者装置１００のセキュア通信制御部１２２との間のセキュア通信セッションを確立する第２処理と、を行う。第１処理及び第２処理は共に、ゲートウェイ装置５００側及び利用者装置１００側からのセキュア通信接続要求によって実行される受動方式の処理であり、リモートアクセス制御装置３００側から能動的にゲートウェイ装置５００及び利用者装置１００に対してセキュア通信の接続を確立するものではない。

　セキュア通信セッション接続部３３２は、図２に例示したセッション接続許可情報に基づく接続許可判定処理を行い、許可されたセキュア通信セッション間のセッションを中継する。

　記憶装置３４０は、ユーザ情報、リモート管理情報、セキュア通信接続情報、セッション接続許可情報が記憶されている。ユーザ情報は、ユーザＩＤやパスワードなどユーザ認証情報や、ユーザの属性（会社名、部署、アクセス権限など）などを含む。リモート管理情報は、接続先情報取得処理で取得された複数の各接続先の情報（現地ネットワークの各ゲートウェイ装置５００の宛先）や、現地毎の遠隔操作対象機器７００などの設備情報などを含む。また、リモート管理情報は、利用者装置１００又は利用者装置１００を利用するユーザ毎に複数の各接続先に対するコマンド配信許可情報を含む。コマンド配信許可情報は、例えば、図２に示すように、ユーザＩＤに各接続先が紐付いている。

　セキュア通信接続情報は、第１の接続先（利用者装置１００）の公開鍵、第１の接続先（利用者装置１００）の公開鍵を検証するための証明書、第２の接続先（各ゲートウェイ装置５００）の公開鍵、第２の接続先（各ゲートウェイ装置５００）の公開鍵を検証するための証明書、自身の秘密鍵などが記憶されている。セッション接続許可情報は、図２において例示したように、ゲートウェイ装置５００からリモートアクセス制御装置５００に対する第１セキュア通信と、利用者装置１００からリモートアクセス制御装置５００に対する第２セキュア通信と、の間のセッション接続を許可する組み合わせが記憶されている。

　ゲートウェイ装置５００は、通信装置５１０、制御装置５２０及び記憶装置５３０を含む。制御装置５２０は、コマンド制御部５２１、セキュア通信制御部５２２、リモート管理部５２３を備えている。

　コマンド制御部５２１は、リモートアクセス制御装置３００からセキュア通信接続開始コマンドを受信すると、セキュア通信制御部５２２にセキュア通信開始指示を出力する。そして、セキュア通信制御部５２２によるリモートアクセス制御装置３００に対するセキュア通信が確立されると、コマンド制御部５２１は、セキュア通信の確立結果をリモートアクセス制御装置３００（コマンド配信装置３２０）に送信する。

　なお、コマンド制御部５２１は、上述したリモートアクセス制御装置３００の通信セッション維持部３２１に対応する機能を備えることができる。図３の例の場合、ゲートウェイ装置５００の通信装置５１０は、移動体通信網に接続可能であり、ＳＩＭ情報が予め格納されている。そして、コマンド制御部５２１は、ＳＭＳメッセージを受信し、通信セッション接続要求を生成してリモートアクセス制御装置３００に送信する通信セッション維持機能を備えることができる。通信セッション接続要求は、図３の例に示した接続先情報が含まれる。なお、通信セッション維持機能は、コマンド制御部５２１とは個別の処理部を設けて実現することも可能である。

　セキュア通信制御部５２２は、現地側のＶＰＮクライアント（セキュア通信クライアント）であり、セキュア通信接続開始コマンドの受信に伴うコマンド制御部５２１からのセキュア通信開始指示に基づいて、リモートアクセス制御装置３００に対して能動的にセキュア通信セッション確立処理を行う。

　リモート管理部５２３は、無線又は有線のＬＡＮで接続可能な遠隔操作対象機器７００又は制御ＰＣ６００とのコネクションを確立し、利用者装置１００から受信するリモート指示を中継して、遠隔操作対象機器７００や制御ＰＣに出力する。また、遠隔操作対象機器７００や制御ＰＣから出力される各種情報や処理結果などを受信し、セキュア通信制御部５２２を介してリモートアクセス制御装置３００に送信する。

　記憶装置５３０には、セキュア通信接続情報として、接続先（リモートアクセス制御装置３００）の公開鍵、接続先（リモートアクセス制御装置３００）の公開鍵を検証するための証明書や、自身の秘密鍵、リモートアクセス制御装置３００のセキュア通信制御装置３３０の宛先（ＩＰアドレスやＵＲＬ）などが記憶されている。

　図５は、本実施形態のリモートアクセス制御システムのセキュア通信セッションの確立処理及び中継処理を示すフローチャートである。

　利用者は、利用者装置１００からリモートアクセス制御装置３００に接続する。ユーザ要求部１２１は、例えば、ブラウザであり、ユーザ認証部３１１が提供するログイン画面を表示する。利用者は、ログイン画面にユーザＩＤ及びパスワードを入力し、ユーザ要求部１２１は、入力されたユーザＩＤ及びパスワードをユーザ認証部３１１に送信する。ユーザ認証部３１１は、ユーザ情報を参照してユーザ認証を行う（Ｓ１０１，Ｓ３０１）。

　ユーザ認証がＯＫである場合、リモート接続選択部３１２は、接続先（現地やゲートウェイ装置５００）を選択するための所定の画面をユーザ要求部１２１に送信する。利用者は、画面において接続先の名称を直接入力したり、コマンド配信許可情報に基づいて予め生成された接続先リストの中から所望の１つの接続先を選択することができる（Ｓ１０２）。

　なお、上述のように、ユーザがアクセス可能な接続先は、コマンド配信許可情報によって予め決められている。このため、リモート接続選択部３１２は、認証されたユーザのコマンド配信許可情報を参照して、アクセス可能な接続先を対象に、接続先の選択制御を行うこともできる。また、ユーザ毎に、１つの特定の接続先しか接続できないように制御することもでき、この場合、ユーザによる選択操作を省略することもできる。なお、ユーザではなく、利用者装置１００などユーザ端末単位でアクセス可能な接続先を決めておくこともできる。

　さらに、リモート接続選択部３１２は、ユーザ毎に新しい接続先をコマンド配信許可情報及びセッション接続許可情報に登録できるように制御することもできる。例えば、ユーザが接続先を選択するための所定の画面において、新しい接続先を登録／更新してコマンド配信許可情報及びセッション接続許可情報を更新したり、所定の管理者が各ユーザのコマンド配信許可情報及びセッション接続許可情報を登録／更新したりすることができる。また、コマンド配信許可情報に登録された情報（例えば、ユーザＩＤに新たに紐付いた接続先）に基づき、自動でセッション接続許可情報に公開鍵などの接続先のデバイス（通信中継装置）を特定するための情報を登録することができる。

　利用者によって接続先が選択されると、コマンド配信要求部３１３は、選択された接続先に対するコマンド配信要求をコマンド配信装置３２０に出力する（Ｓ３０２）。コマンド配信装置３２０の通信セッション維持部３２１は、接続先として選択されたゲートウェイ装置５００に対して接続先情報取得処理を行い（Ｓ３０３）、ゲートウェイ装置５００との間で所定の通信セッションを確立・維持する（Ｓ５０１）。これにより、ネットワーク機器４００配下の宛先不定なゲートウェイ装置５００の接続先情報を取得することができる。

　ゲートウェイ装置５００との間の所定の通信セッションが確立・維持された後、コマンド配信装置３２０は、取得された接続先情報に基づいてセキュア通信接続開始コマンドをゲートウェイ装置５００に送信する（Ｓ３０４）。ゲートウェイ装置５００は、セキュア通信接続開始コマンドに基づいてセキュア通信開始指示を、セキュア通信制御部（セキュア通信クライアント）５２２に出力する（Ｓ５０２）。セキュア通信制御部５２２は、リモートアクセス制御装置３００に対してセキュア通信接続要求を送信し、リモートアクセス制御装置３００のセキュア通信制御装置３３０との間で、第１セキュア通信セッションの確立処理を行う（Ｓ５０３，Ｓ３０５）。

　ゲートウェイ装置５００は、セキュア通信制御部５２２が第１セキュア通信セッションを確立した後、第１セキュア通信の確立結果を、コマンド配信の仕組みを利用してリモートアクセス制御装置３００に送信する（Ｓ５０４）。コマンド配信装置３２０は、ゲートウェイ装置５００から受信した第１セキュア通信の確立結果をリモート管理制御装置３１０に出力し、コマンド配信表示部３１４を介してユーザ要求部１２１に第１セキュア通信の確立結果を送信し、利用者装置１００に表示させる（Ｓ３０６）。

　利用者は、選択した接続先に対する第１セキュア通信の確立結果を確認する（Ｓ１０３）。その後利用者が、リモートアクセス制御装置３００との間の第２セキュア通信の確立を要求する指示を入力して、セキュア通信制御部１２２に対してセキュア通信接続指示を出力する。なお、利用者による第１セキュア通信の確立結果の確認は、省略することもでき、受信した第１セキュア通信の確立結果に基づいて自動的にセキュア通信制御部１２２に対してセキュア通信接続指示を出力することもできる。利用者装置１００は、リモートアクセス制御装置３００に対してセキュア通信接続要求を送信し、リモートアクセス制御装置３００のセキュア通信制御装置３３０との間で、第２セキュア通信セッションの確立処理を行う（Ｓ１０４，Ｓ３０７）。

　リモートアクセス制御装置３００は、現地との間の第１セキュア通信と、利用者との間の第２セキュア通信と、の両者が確立されると、互いのセキュア通信セッションの接続許可判定処理を行う（Ｓ３０８）。セッション接続許可情報を参照して、判定の結果がＯＫであれば（Ｓ３０９のＹＥＳ）、第１セキュア通信セッションと第２セキュア通信セッションとを接続し（Ｓ３１０）、利用者装置１００から入力されるリモート操作情報をゲートウェイ装置５００に中継する通信セッションの中継処理を行う（Ｓ１０５，Ｓ３１１）。ゲートウェイ装置５００は、セキュア通信を介して受信したリモート操作情報を該当する遠隔操作対象機器７００や制御ＰＣ６００に出力する。このとき、リモート管理部５２３は、例えば、リモート操作情報を遠隔操作対象機器７００に出力するに際して、遠隔対象操作機器７００との間のローカルネットワーク内での接続処理を行い、リモート操作情報を出力するリモート中継処理を行う（Ｓ５０５）。

　図６は、リモートアクセス制御システムのセキュア通信セッションの停止処理を示すフローチャートである。

　利用者は、ユーザ要求部１２１からリモートアクセスを終了する接続先を選択する。ユーザ要求部１２１は、選択された接続先に対するリモートアクセスの終了要求をリモートアクセス制御装置３００に送信する（Ｓ１０６）。コマンド配信要求部３１３は、選択された接続先に対するリモートアクセス終了のコマンド配信要求をコマンド配信装置３２０に出力する（Ｓ３１２）。コマンド配信装置３２０は、セキュア通信接続終了コマンドをゲートウェイ装置５００に送信する（Ｓ３１３）。ゲートウェイ装置５００は、セキュア通信接続終了コマンドに基づいてセキュア通信終了指示を、セキュア通信制御部（セキュア通信クライアント）５２２に出力する（Ｓ５０６）。セキュア通信制御部５２２は、リモートアクセス制御装置３００に対してセキュア通信接続停止要求を送信し、リモートアクセス制御装置３００のセキュア通信制御装置３３０との間で、確立されている第１セキュア通信セッションの停止処理を行う（Ｓ５０７，Ｓ３１４）。

　ゲートウェイ装置５００は、セキュア通信制御部５２２が第１セキュア通信セッションを停止した後、第１セキュア通信の停止結果を、コマンド配信の仕組みを利用してリモートアクセス制御装置３００に送信する（Ｓ５０８）。コマンド配信装置３２０は、ゲートウェイ装置５００から受信した第１セキュア通信の停止結果をリモート管理制御装置３１０に出力し、コマンド配信表示部３１４を介してユーザ要求部１２１に第１セキュア通信の停止結果を送信し、利用者装置１００に表示させる（Ｓ３１５）。

　利用者は、リモートアクセスを終了する接続先に対する第１セキュア通信の停止結果を確認する（Ｓ１０７）。その後利用者が、リモートアクセス制御装置３００との間の第２セキュア通信の停止を要求する指示を入力したり、停止結果に基づいて自動的に、セキュア通信制御部１２２に対してセキュア通信接続終了指示を出力する。利用者装置１００は、リモートアクセス制御装置３００に対してセキュア通信接続終了要求を送信し、リモートアクセス制御装置３００のセキュア通信制御装置３３０との間で、第２セキュア通信セッションの停止処理を行う（Ｓ１０８，Ｓ３１６）。

　このように本実施形態では、リモートアクセス制御装置３００を中心として、セキュア通信の確立及び停止が、セキュア通信クライアントからの能動的な要求に基づいて行われ、リモートアクセス制御装置３００から各セキュア通信クライアントへの能動的な要求に基づくセキュア通信の確立及び停止が行われないようにしている。このため、例えば、リモートアクセス制御装置３００において、セキュア通信クライアントからの能動的な要求以外でセキュア通信セッションを確立しようとした場合や確立された場合に、無効なセキュア通信として検出したり、セッション接続許可情報において許可された組み合わせであっても、第１セキュア通信と第２セキュア通信のセッション同士の接続を禁止したり、リモート操作情報の中継を禁止するなど、利用者装置１００から遠隔地への接続及びリモート操作のセキュリティ性を向上させることができる。

（第２実施形態）
　図７から図１１は、第２実施形態のリモートアクセス制御システムを示す図である。本実施形態は、第１実施形態のリモートアクセス制御システムに対してリアルタイムにアクセストークンを適用し、複数の利用者が遠隔地の現地ネットワークを接続する際のアクセスコントロールを実現したものである。なお、各図において、上記第１実施形態と同様の構成については同符号を付して、適宜説明を省略する。

　図７は、第１実施形態のリモートアクセス制御システムを複数のユーザが利用し、各利用者が複数の遠隔地それぞれに対してリモートアクセスする場合のセッション接続許可処理を説明するための図である。

　上述のように、第１実施形態のリモートアクセス制御システムは、複数の異なる遠隔地の各接続先それぞれに対して利用者装置１００から接続し、リモート操作を許容する。このとき、図７に示すように、例えば、利用者装置１００Ａと利用者装置１００Ｂの両者が、同じ接続先１，２への接続を許可するセッション情報許可情報が設定されていたとする。利用者装置１００Ａは、接続先２を選択すると、リモートアクセス制御装置３００は、接続先２との間のセキュア通信と利用者装置１００Ａとの間のセキュア通信とを維持し、利用者装置１００Ａ－接続先２間のセキュア通信のセッションを中継する。一方、利用者装置１００Ｂが、接続先１を選択すると、リモートアクセス制御装置３００は、接続先１との間のセキュア通信と利用者装置１００Ｂとの間のセキュア通信とを維持し、利用者装置１００Ｂ－接続先１間のセキュア通信のセッションを中継する。

　しかしながら、リモートアクセス制御装置３００は、セッション接続許可情報に基づいて、個別に確立されたセキュア通信セッション同士の中継を許容する。このため、利用者装置１００Ａが接続先１への接続が許可されている場合、他の利用者装置１００Ｂからの要求に基づいてリモートアクセス制御装置３００と接続先１との間のセキュア通信が確立されていると、リモートアクセス制御装置３００は、利用者装置１００Ａと接続先１との間のセキュア通信セッション間の中継を許可することができ、利用者装置１００Ａ，１００Ｂが同時に接続先１に対するリモート操作を行うことができる状況となってしまう。同様に、利用者装置１００Ａ，１００Ｂが同時に接続先２に対するリモート操作可能な状況も生じる。

　さらに、利用者装置１００Ａが接続先２とのセッションを切断する際に、利用者装置１００Ａとリモートアクセス制御装置３００とのセッションに関連する全てのセッションを切断することとなり、セッションを切断する必要のない利用者装置１００Ｂと接続先１とのセッションを切断してしまう。

　このような同時接続は、利用者装置１００Ａが接続先２にアクセスしている最中に、利用者装置１００Ｂの通信が割り込んでしまったり、アドレス衝突が生じてしまったり、接続先１だけではなく接続先２のセッション切断してしまったりする。したがって、複数の利用者が複数の接続先それぞれに対して接続が許可されている場合に、一方の利用者が第１接続先と接続されている最中に、他方の利用者が第１接続先との接続が許容されないように制御する必要がある。

　本実施形態のリモートアクセス制御システムは、２つ以上の利用者装置１００が同時に同じ接続先に接続することを許可しないため、２つ以上の利用者装置１００がリモートアクセス制御装置３００に対してセキュア通信セッションが確立されている場合、各利用者装置１００が選択した接続先は、異なる接続先となる。しかしながら、異なる利用者装置１００から同じ接続先への接続を許容する必要がある場合もある。

　そこで、本実施形態は、各利用者装置１００からのリモートアクセス要求それぞれに対してアクセストークンを発行し、利用者装置１００と接続先とを動的に結び付ける。図８は、本実施形態のリモートアクセス制御システムのアクセストークンを用いたセッション接続許可処理（トークン判定処理）を説明するための図である。

　図８に示すように、利用者装置１００Ａが接続先２にリモートアクセスする場合、リモートアクセス制御装置３００は、利用者装置１００Ａ－接続先２の組み合わせに対してアクセストークンＡ，Ｂを発行し、アクセストークンのＡ，Ｂの組み合わせをセッション接続許可情報として保持する。図８の例では、利用者装置１００ＡにアクセストークンＢが割り当てられ、アクセストークンＡが接続先２に割り当てられる。リモートアクセス制御装置３００は、利用者装置１００Ａが接続先１に対するセッション接続を許可されていても、アクセストークンＢに対応するアクセストークンＡが割り当てられている接続先は、接続先２となるので、接続先１へのセキュア通信セッション接続を許容せず、接続先２へのセキュア通信セッション接続のみを許容し、中継する。

　一方、利用者装置１００Ｂが接続先１にリモートアクセスする場合、リモートアクセス制御装置３００は、利用者装置１００Ｂ－接続先１の組み合わせに対してアクセストークンＣ，Ｄを発行し、アクセストークンのＣ，Ｄの組み合わせをセッション接続許可情報として保持する。図８の例では、利用者装置１００ＢにアクセストークンＤが割り当てられ、アクセストークンＣが接続先１に割り当てられる。リモートアクセス制御装置３００は、利用者装置１００Ｂが接続先２に対するセッション接続を許可されていても、アクセストークンＤに対応するアクセストークンＣが割り当てられている接続先は、接続先１となるので、接続先２へのセキュア通信セッション接続を許容せず、接続先１へのセキュア通信セッション接続のみを許容し、中継する。

　したがって、図８の例において、利用者装置１００Ａ－接続先２の第１セキュア通信セッションと、利用者装置１００Ｂ－接続先１の第２セキュア通信セッションとが、同時に確立されて中継されている場合に、利用者装置１００Ｂが接続先１へのセッション接続が許容されている場合であっても、第１セキュア通信セッションがアクセストークンＡ，Ｂの組み合わせにより接続先２に対して利用者装置１００Ａが動的に結び付いているため、利用者装置１００Ｂは、接続先２へのセッション接続が許可されずに中継されない。利用者装置Ａについても同様に、第２セキュア通信セッションがアクセストークンＣ，Ｄの組み合わせにより接続先１に対して利用者装置１００Ｂが動的に結び付いているため、利用者装置１００Ａは、接続先１へのセッション接続が許可されずに中継されない。

　このように本実施形態は、２つ以上の利用者装置１００が同じ接続先への接続が許容されている場合に、アクセストークンを利用して利用者装置と接続先との１対１の紐付けを動的に行い、一方の利用者装置１００が接続先１にアクセスしている最中に、接続先２にアクセスしている他の利用者装置１００Ｂの通信が接続先１の通信に割り込んでしまったり、アドレス衝突が生じてしまったりすることを防止することができる。

　図９は、本実施形態のリモートアクセス制御システムを構成する各装置の機能ブロック図であり、図４に示した上記第１実施形態に対して、リモート管理制御装置３１０は、アクセストークン発行部３１５をさらに備えている。発行された（登録された）アクセストークンは、セキュア通信制御装置３３０に出力される。セキュア通信制御装置３３０のセキュア通信セッション接続部３３２は、アクセストークンを用いたゲートウェイ装置５００との間の第１セキュア通信セッション確立処理及び利用者装置１００との間の第２セキュア通信セッション確立処理を行うとともに、第１実施形態の接続許可判定処理の代わりに、アクセストークンを用いたトークン判別処理を行って動的に一意のセッション接続管理及び中継を行う。

　図１０は、本実施形態のリモートアクセス制御システムのセキュア通信セッションの接続処理を説明するための図である。図１１は、本実施形態のリモートアクセス制御システムのセキュア通信セッションの確立処理及び中継処理を示すフローチャートである。

　まず、上記第１実施形態の図５の例と同様に、ユーザ認証（Ｓ１０１，Ｓ３０１）、コマンド配信許可情報に基づき選択可能な接続先の選択（Ｓ１０２）、接続先として選択されたゲートウェイ装置５００に対する接続先情報取得処理（Ｓ３０３、Ｓ５０１）を経て、ゲートウェイ装置５００との間で所定の通信セッションを確立・維持される。

　次に、リモート管理制御装置３１０は、選択された接続先と利用者装置１００とに紐付くアクセストークンＡ，Ｂのペアを発行（生成）し、セキュア通信制御装置３３０に出力する（Ｓ３０２１）。セキュア通信制御部３３１は、発行されたアクセストークンＡ，Ｂのペアを、アクセストークンを用いたセッション接続許可情報として登録する（Ｓ３０２２）。

　上述のように、第１本実施形態のコマンド配信許可情報は、利用者装置１００を使用する利用者又は利用者装置１００毎に予め規定された複数の接続先とのコマンド配信許可情報であるが、本実施形態では、図１０に示すように、利用者装置１００を使用する利用者又は利用者装置１００毎に予め規定された複数の接続先に対するアクセストークン発行許可情報としても使用される。そして、本実施形態では、第１実施形態の静的なセッション接続許可情報に基づくセッション接続許可判定処理を行わずに、発行されたアクセストークンを動的なセッション接続許可情報として用い、セッション接続許可判定処理（トークン判定処理）を行い、トークン判定結果に基づいてセキュア通信セッションの中継を動的に許可する。

　したがって、アクセストークン発行部３１５は、アクセストークン発行許可情報としてコマンド配信許可情報を参照し、発行が許可されている接続先と利用者装置を使用する利用者又は利用者装置との組み合わせに対するアクセストークンを生成する。アクセストークン発行部３１５は、アクセストークン発行許可情報に基づく発行可否判定を行い、許可されていない接続先に対してはアクセストークンを発行しない（接続要求を受け付けない）ように制御することができる。

　コマンド配信要求部３１３は、選択された接続先に対するコマンド配信要求と、アクセストークンのペアのうち一方のアクセストークンＡをコマンド配信装置３２０に出力する（Ｓ３０２３）。コマンド配信装置３２０は、取得された接続先情報に基づいて、アクセストークンＡを含むセキュア通信接続開始コマンドをゲートウェイ装置５００に送信する（Ｓ３０４１）。ゲートウェイ装置５００は、セキュア通信接続開始コマンドに基づいてセキュア通信開始指示とアクセストークンＡを、セキュア通信制御部（セキュア通信クライアント）５２２に出力する（Ｓ５０２１）。セキュア通信制御部５２２は、リモートアクセス制御装置３００に対してアクセストークンＡを含むセキュア通信接続要求を送信し、リモートアクセス制御装置３００のセキュア通信制御装置３３０との間で、第１セキュア通信セッションの確立処理を行う（Ｓ５０３１，Ｓ３０５１）。このとき、リモートアクセス制御装置３００では、アクセストークンが含まれていないセキュア通信接続要求に対しては、第１セキュア通信セッションの確立処理を拒否したり、アクセストークンがセキュア通信接続要求に含まれていても、セッション接続許可情報に登録されたゲートウェイ装置５００に対応するアクセストークンでない場合は、第１セキュア通信セッションの確立処理を拒否したりするように制御してもよい。

　ゲートウェイ装置５００は、第１セキュア通信の確立結果をリモートアクセス制御装置３００に送信し（Ｓ５０４）、利用者装置１００に表示させる（Ｓ３０６）。このとき、第１セキュア通信の確立結果の配信に伴い、リモート管理制御装置３１０は、アクセストークンＡのペアであるアクセストークンＢを利用者装置１００に送信する（Ｓ３０６１）。

　利用者は、選択した接続先に対する第１セキュア通信の確立結果を確認し（Ｓ１０３）、利用者による第２セキュア通信の確立要求の指示入力や、利用者の確認及び指示入力に依らずに確立結果の受信をトリガーに自動的に、ユーザ要求部１２１は、セキュア通信制御部１２２に対してアクセストークンＢを含むセキュア通信接続指示を出力する（Ｓ１０３１）。利用者装置１００は、リモートアクセス制御装置３００に対してアクセストークンＢを含むセキュア通信接続要求を送信し、リモートアクセス制御装置３００のセキュア通信制御装置３３０との間で、第２セキュア通信セッションの確立処理を行う（Ｓ１０４１，Ｓ３０７１）。

　リモートアクセス制御装置３００は、現地との間の第１セキュア通信と、利用者との間の第２セキュア通信と、の両者が確立されると、互いのセキュア通信セッションの接続許可判定処理を行う。リモートアクセス制御装置３００は、ステップＳ３０５１における第１セキュア通信セッション確立処理においてゲートウェイ装置５００から受信したアクセストークンと、ステップＳ３０７１における第２セキュア通信セッション確立処理において利用者装置１００からアクセストークンとのペアが、ステップＳ３０２２において登録されたアクセストークンのペアであるか否かを判別する接続許可判定処理を行う（Ｓ３０８１）。

　本実施形態の接続許可判定処理は、上述のように、アクセストークンを用いたセキュア通信セッション間の接続許可判定処理であり、上記第１実施形態の接続許可判定処理とは異なる。すなわち、第１実施形態では、セッション接続許可情報を参照して、利用者装置１００がゲートウェイ装置５００に対するセッション接続が許可されているのかを判別しているが、本実施形態では、セッション接続が許可されているか否かを規定したセッション接続許可情報は、あくまでも動的に発行されたアクセストークンの整合性を判別することで、セキュア通信セッションの接続許可判定処理を行っている。

　このように構成することで、上記第１実施形態のように、静的にセッション接続許可情報を予め用意しておくことなく、発行許可に基づくアクセストークンの整合性で動的に１対１のセッション接続を許容することができる。すなわち、本実施形態では、各ユーザに対して接続先に対するアクセストークンの発行許可を与えるだけで、複数のユーザが同じ接続先に接続しようとしても、接続先に対する一意のセッション接続を動的に管理でき、一方の利用者装置１００が所定の接続先にアクセスしている最中に、他の利用者装置１００の通信が同じ接続先の通信に割り込んでしまったり、アドレス衝突が生じてしまったり、接続先１だけではなく接続先２のセッション切断してしまったりすることを防止することができる。

　判定の結果がＯＫであれば（Ｓ３０９のＹＥＳ）、第１セキュア通信セッションと第２セキュア通信セッションとを接続し（Ｓ３１０）、利用者装置１００から入力されるリモート操作情報をゲートウェイ装置５００に中継する通信セッションの中継処理を行う（Ｓ１０５，Ｓ３１１）。ゲートウェイ装置５００は、遠隔対象操作機器７００との間のローカルネットワーク内での接続処理を行い、リモート操作情報を出力するリモート中継処理を行う（Ｓ５０５）。

　なお、アクセストークンの一例として、アクセストークンのペアについて説明したが、同じアクセストークン、すなわち、１つのアクセストークンを用いて、ゲートウェイ装置５００に送信し、ゲートウェイ装置５００から受信するアクセストークンと、利用者装置１００に送信し、利用者装置１００から受信するアクセストークンとが、一致するか否かを判定して、セッション接続許可処理を行ってもよい。また、アクセストークンは、ワンタイムパスワードのように有効期間を設定し、セキュア通信制御装置３３０に登録されてから有効期間経過後のセキュア通信の接続は、拒否するように制御することもできる。

　また、本実施形態のリモートアクセス制御システムは、宛先不定のゲートウェイ装置５００であるか否かと問わず、複数の利用者が複数の接続先に対してセキュア通信を通じてリモートアクセスする仕組みに適用することができる。第１実施形態の接続先情報取得処理及びその機能を備えていない態様で、リモートアクセス制御システム（リモートアクセス制御装置３００）を構成することができる。

　このように、本実施形態のリモートアクセス制御システムは、上記第１実施形態のセッション接続許可情報によるセッション接続管理及び中継の仕組みに代わり、アクセストークを用いた動的なセッション接続管理及び中継の仕組みを実現することができる。

　以上、実施形態のリモートアクセス制御システムについて説明したが、利用者装置１００は、多機能携帯電話機やＰＤＡ(Personal Digital Assistant)等の移動通信端末装置、パーソナルコンピュータなどの通信機能及び演算機能を備えた情報処理端末装置等が含まれる。また、利用者装置１００は、リモートアクセス制御装置３００及び遠隔操作対象機器７００から出力される情報や画面を表示するためのブラウザ機能を備えることができる。

　また、リモートアクセス制御装置３００は、ハードウェア構成として上述以外にも、装置全体（各部）の制御を司るＣＰＵ、メモリ（主記憶装置）、マウス、キーボード、タッチパネル、スキャナー等の操作入力手段、プリンタ、スピーカなどの出力手段、補助記憶装置（ハードディスク等）等を備えることができる。

　また、本発明の各機能は、プログラムによって実現可能であり、各機能を実現するために予め用意されたコンピュータプログラムが補助記憶装置に格納され、ＣＰＵ等の制御部が補助記憶装置に格納されたプログラムを主記憶装置に読み出し、主記憶装置に読み出された該プログラムを制御部が実行して、リモートアクセス制御装置３００や通信中継装置５００に本発明の各部の機能を動作させることができる。他方、本発明の各機能は、各々個別の制御装置で構成することができ、複数の制御装置を直接に又はネットワークを介して接続してリモートアクセス制御装置３００を構成することもできる。

　また、上記プログラムは、コンピュータ読取可能な記録媒体に記録された状態で、コンピュータに提供することも可能である。コンピュータ読取可能な記録媒体としては、ＣＤ－ＲＯＭ等の光ディスク、ＤＶＤ－ＲＯＭ等の相変化型光ディスク、ＭＯ（Magnet Optical）やＭＤ(Mini Disk)などの光磁気ディスク、フロッピー（登録商標）ディスクやリムーバブルハードディスクなどの磁気ディスク、コンパクトフラッシュ（登録商標）、スマートメディア、SDメモリカード、メモリスティック等のメモリカードが挙げられる。また、本発明の目的のために特別に設計されて構成された集積回路（ICチップ等）等のハードウェア装置も記録媒体として含まれる。

　なお、本発明の実施形態を説明したが、当該実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。この新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

１００　利用者装置
１１０　通信装置
１２０　制御装置
１２１　ユーザ要求部
１２２　セキュア通信制御部
１２３　遠隔操作部
１３０　記憶装置
３００　リモートアクセス制御装置
３１０　リモート管理制御装置
３１１　ユーザ認証部
３１２　リモート接続選択部
３１３　コマンド配信要求部
３１４　コマンド配信表示部
３１５　アクセストークン発行部
３２０　コマンド配信装置
３２１　通信セッション維持部
３２２　コマンド配信制御部
３２３　コマンド配信結果管理部
３３０　セキュア通信制御装置
３３１　セキュア通信制御部
３３２　セキュア通信セッション接続部
３４０　記憶装置
４００　ネットワーク機器
５００　ゲートウェイ装置
５１０　通信装置
５２０　制御装置
５２１　コマンド制御部
５２２　セキュア通信制御部
５２３　リモート管理部
５３０　記憶装置
６００　制御ＰＣ
７００　遠隔操作対象機器
７０１　制御部

Claims

　複数の遠隔地の接続先それぞれに対するセキュア通信を介したリモートアクセスを制御するリモートアクセス制御システムであって、
　利用者装置と接続されるリモートアクセス制御装置と、前記接続先の遠隔操作対象機器を含むローカルネットワークに属し、前記リモートアクセス制御装置側のネットワークと前記ローカルネットワークとの間のネットワークアドレス変換を行うネットワーク機器配下の通信中継装置と、を含み、
　前記リモートアクセス制御装置は、
　前記接続先の前記通信中継装置から能動的に前記リモートアクセス制御装置に接続する所定の接続先情報取得処理を通じて、前記通信中継装置との間で所定の通信セッションを確立する通信セッション維持部と、
　前記所定の通信セッションが維持されている状態で、セキュア通信接続開始コマンドを前記通信中継装置に送信するコマンド配信部と、
　前記セキュア通信接続開始コマンドに基づいて前記通信中継装置から送信されるセキュア通信接続要求を受信し、前記通信中継装置と前記リモートアクセス制御装置との間で第１セキュア通信セッションの確立処理を行うとともに、前記第１セキュア通信セッションの確立結果に基づいて前記利用者装置から送信されるセキュア通信接続要求を受信し、前記利用者装置と前記リモートアクセス制御装置との間で第２セキュア通信セッションの確立処理を行うセキュア通信制御部と、
　前記利用者装置又は前記利用者装置を使用する利用者と前記接続先との間のセッション接続許可情報に基づいて、各々個別に確立された前記第１セキュア通信セッション及び前記第２セキュア通信セッションの接続許可判定を行い、判定結果に基づいて前記第１セキュア通信セッションと前記第２セキュア通信セッションとを接続し、セキュア通信セッションの中継を行うセキュア通信セッション接続部と、
　を有することを特徴とするリモートアクセス制御システム。
　前記通信中継装置は、
　前記セキュア通信接続開始コマンドを受信するコマンド制御部と、
　前記コマンド制御部から出力されるセキュア通信開始指示に基づいて、前記リモートアクセス制御装置に対して前記セキュア通信接続要求を送信し、前記リモートアクセス制御装置との間で前記第１セキュア通信セッションの確立処理を行う通信中継装置側セキュア通信制御部と、を有し、
　前記コマンド制御部は、前記通信中継装置側セキュア通信制御部によって前記第１セキュア通信セッションが確立したことを示す前記確立結果を、前記リモートアクセス制御装置に送信することを特徴とする請求項１に記載のリモートアクセス制御システム。
　前記コマンド配信部は、前記利用者装置から送信される前記接続先に対するリモートアクセス終了要求に基づいて、セキュア通信接続終了コマンドを前記通信中継装置に送信し、
　前記セキュア通信制御部は、前記セキュア通信接続終了コマンドに基づいて前記通信中継装置から送信されるセキュア通信接続停止要求を受信し、前記通信中継装置と前記リモートアクセス制御装置との間で確立されている前記第１セキュア通信セッションの停止処理を行うとともに、前記第１セキュア通信セッションの停止結果に基づいて前記利用者装置から送信されるセキュア通信接続停止要求を受信し、前記利用者装置と前記リモートアクセス制御装置との間で確立されている前記第２セキュア通信セッションの停止処理を行うことを特徴とする請求項１又は２に記載にリモートアクセス制御システム。
　前記セッション接続許可情報は、前記利用者装置を一意に識別するために予め設定された第１固有情報と、複数の前記接続先それぞれの前記各通信中継装置を一意に識別するために予め設定された第２固有情報とを、関連付けた情報であることを特徴とする請求項１から３のいずれか１つに記載のリモートアクセス制御システム。
　前記リモートアクセス制御装置は、前記接続先と前記利用者装置又は前記利用者装置を使用する利用者との組み合わせに対するアクセストークンを動的に生成するアクセストークン発行部をさらに含み、
　動的に生成された前記アクセストークンは、前記セッション接続許可情報として登録され、
　前記コマンド配信部は、前記アクセストークンを含む前記セキュア通信接続開始コマンドを前記通信中継装置に送信するとともに、前記アクセストークンを含む前記第１セキュア通信セッションの確立結果を前記利用者装置に送信し、
　前記セキュア通信制御部は、前記通信中継装置から送信される前記アクセストークンを含む前記セキュア通信接続要求を受信し、前記第１セキュア通信セッションの確立処理を行うとともに、前記利用者装置から送信される前記アクセストークンを含む前記セキュア通信接続要求を受信し、前記第２セキュア通信セッションの確立処理を行い、
　前記セキュア通信セッション接続部は、前記第１セキュア通信セッションの確立処理において前記通信中継装置から受信した前記アクセストークンと、前記第２セキュア通信セッション確立処理において前記利用者装置から受信した前記アクセストークンとが、前記セッション接続許可情報に登録された前記アクセストークンであるか否かを判別するトークン判定処理を行い、前記トークン判定処理の結果に基づいて前記第１セキュア通信セッションと前記第２セキュア通信セッションとを接続し、セキュア通信セッションの中継を行うことを特徴とする請求項１から３のいずれか１つに記載のリモートアクセス制御システム。
　前記コマンド配信部は、前記利用者装置又は前記利用者装置を利用する利用者毎に予め設定された複数の前記接続先に対するコマンド配信許可情報に基づいて、許可された前記通信中継装置に前記セキュア通信接続開始コマンドを送信し、
　前記アクセストークン発行部は、前記コマンド配信許可情報において許可された前記接続先と前記利用者装置又は前記利用者装置を利用する利用者との組み合わせに対するアクセストークンを動的に生成し、生成された前記アクセストークンを前記セッション接続許可情報に登録することを特徴とする請求項５に記載のリモートアクセス制御システム。
　利用者装置と接続されるリモートアクセス制御装置と、遠隔操作対象機器を含むローカルネットワークに属し、前記リモートアクセス制御装置側のネットワークと前記ローカルネットワークとの間のネットワークアドレス変換を行うネットワーク機器配下の通信中継装置と、を含み、前記通信中継装置を通じて複数の遠隔地の接続先それぞれに対するセキュア通信でのリモートアクセスを制御する前記リモートアクセス制御装置によって実行されるプログラムであって、前記リモートアクセス制御装置に、
　前記接続先の前記通信中継装置から能動的に前記リモートアクセス制御装置に接続する所定の接続先情報取得処理を通じて、前記通信中継装置との間で所定の通信セッションを確立する第１機能と、
　前記所定の通信セッションが維持されている状態で、セキュア通信接続開始コマンドを前記通信中継装置に送信する第２機能と、
　前記セキュア通信接続開始コマンドに基づいて前記通信中継装置から送信されるセキュア通信接続要求を受信し、前記通信中継装置と前記リモートアクセス制御装置との間で第１セキュア通信セッションの確立処理を行うとともに、前記第１セキュア通信セッションの確立結果に基づいて前記利用者装置から送信されるセキュア通信接続要求を受信し、前記利用者装置と前記リモートアクセス制御装置との間で第２セキュア通信セッションの確立処理を行う第３機能と、
　前記利用者装置又は前記利用者装置を使用する利用者と前記接続先との間のセッション接続許可情報に基づいて、各々個別に確立された前記第１セキュア通信セッション及び前記第２セキュア通信セッションの接続許可判定を行い、判定結果に基づいて前記第１セキュア通信セッションと前記第２セキュア通信セッションとを接続し、セキュア通信セッションの中継を行う第４機能と、
　を実現させるためのプログラム。