リモートアクセス方法
【課題】 イントラネット内のファイルを当該イントラネットの外部に持ち出すことなく、イントラ内で可能としていた作業の全てを当該イントラネットの外部において、安全に実行すること。
【解決手段】 イントラネット内のファイルを持ち出す代わりに、対象PC類の画面情報をhttpプロトコル、あるいはhttpsプロトコルで操作PC類に送信し、操作PC類からはキーボード情報、ポインティング情報などを対象PC類に送信することにより、対象PC類を操作するようにした。
【解決手段】 イントラネット内のファイルを持ち出す代わりに、対象PC類の画面情報をhttpプロトコル、あるいはhttpsプロトコルで操作PC類に送信し、操作PC類からはキーボード情報、ポインティング情報などを対象PC類に送信することにより、対象PC類を操作するようにした。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、イントラネット内にある対象PC類に対して、インターネットを経由して、同一または別のイントラネット内にある操作PC類から、ルータ、ファイアウォールを通過して接続し、安全に操作するリモートアクセス方法に関する発明である。
【背景技術】
【0002】
ルータ、ファイアウォールを通過して接続するリモートアクセス方法として、従来よりIPsec, SSL-VPNが利用されてきた。IPsecは、イントラネットが仮想的に当該イントラネットの外部に張り出しているように動作し、イントラ内のファイルが当該イントラネットの外部に持ち出されるという情報管理上の問題点があった。SSL-VPNは、ファイルがインターネットに持ち出される危険性は少ないが、Webアプリケーションの利用に限定され、イントラ内の対象PC類で動作するアプリケーションの全部を当該イントラネットの外部から利用できるわけではない点が問題点であった。
【特許文献1】特開2001−273211号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
イントラネット内のファイルを当該イントラネットの外部に持ち出すことなく、イントラ内で可能としていた作業の全てを当該イントラネットの外部において、安全に実行すること。
【課題を解決するための手段】
【0004】
イントラネット内のファイルを持ち出す代わりに、対象PC類の画面情報をhttpまたはhttpsプロトコルで操作PC類に送信し、操作PC類からはキーボード情報、ポインティング情報などを対象PC類に送信することにより、対象PC類を操作するようにした。
【発明の効果】
【0005】
httpプロトコルを利用して送受信を行うため、対象PC類の所属するネットワークと操作PC類が所属するネットワークがWeb閲覧環境にあるだけで、上記の課題が解決できるため、ルーター及びファイアウォールの設定変更なしで、容易に導入可能となる。
【発明を実施するための最良の形態】
【0006】
対象PC類と操作PC類を適切に制御するために、インターネット内に中継管理サーバを配置し、中継管理サーバが対象PC類と操作PC類のそれぞれの情報を翻訳し転送する形態とした。また、操作PC類に接続して使用するUSBキーなどの外部記憶媒体を用いることにより、安全性と利便性を向上させる形態とした。
【実施例1】
【0007】
以下、実施例1を用いて本発明を詳細に説明する。図1は、本発明の実施例1であり、1は対象PC類、2は中継管理サーバ、3はインターネット、4は操作PC類、5は外部記憶媒体、6はルータ、ファイアウォールである。
【0008】
最初に、イントラネット内に設置した対象PC類1とインターネット3内に配置した中継管理サーバ2を接続する。接続に際して、対象PC類1と中継管理サーバ2は、httpプロトコルで通信を行う。イントラネット内に設置した対象PC類1でインターネット3内に配置されたWebサーバの閲覧ができるようにするため、一般的に、ルータ、ファイアウォールのhttpポートのアウトバウンドは開放されている。このため、httpプロトコルを採用することによって、ルータ、ファイアウォール6の通過が可能となるため、Web閲覧環境にある多数の対象PC類1を利用できるようなった。
【0009】
なお、対象PC類1がイントラネット外に設置されている場合も、接続に際して、対象PC類1と中継管理サーバ2は、httpプロトコルで通信を行うことに変わりはない。
【0010】
接続時には、対象PC類1と中継管理サーバ2間には2つ以上のセッションを確保する。実際の接続には1セッションでおこなうことが可能であるが、httpプロトコルはリクエストを出した場合、レスポンスが帰ってこないと次のリクエストが出せない構成となっている。そこで本発明では、レスポンスが帰ってこない場合を想定して、予め2つ以上の複数セッションを確保しておき、対象PC類1と中継管理サーバ2がリクエストとレスポンスを常に送出できる状態にしておく構成としている。すなわち、対象PC類1がリクエストを送出した後に、別に確保したセッションで更にリクエストを送出できる状態にしておくことが特徴である。このようにすれば、対象PC類1にレスポンスが帰ってこない状態でも、別に確保したセッションを利用していつでもリクエストを送出でき、対象PC類1と中継管理サーバ2の間の通信を効率よく行うことができる。
【0011】
次に、イントラネット内に設置した操作PC類4と中継管理サーバ2を接続する。接続に際して、httpプロトコルを使用すること、および、操作PC類4と中継管理サーバ2間に、2つ以上のセッションを確保することにより、対象PC類1の場合と同じように通信を効率よく行うことができる。
【0012】
なお、操作PC類4がイントラネット外に設置されている場合も、接続に際して、操作PC類4と中継管理サーバ2は、上述のように通信を行うことに変わりはない。
【0013】
操作PC類4と中継管理サーバ2を接続するためのソフトウェアは、USBキーなどの外部記憶媒体5に格納してあり、このソフトウェアは、操作PC類4のレジストリ情報を書き換えることなく動作するように設計した。この機能により、個人用にカスタマイズしたPCでなく、他人のPCまたはシンクライアントを操作PC類4として利用出来るようにした。
【0014】
前記ソフトウェアは、必ずしも全てをUSBキーに格納する必要はなく、予め一部のプログラムを操作PC類に格納しても、同様な動作が可能なことは言うまでもない。
【0015】
外部記憶媒体5は固有のIDを発生し、操作PC類4はこのID情報を加工して、中継管理サーバ2が認証するための特別な認証情報を生成し、中継管理サーバ2に送信する構成とした。この送信に際して、利用者はパスワードなどの認証情報を操作PC類4に入力する。この機能により、外部記憶媒体5と利用者が投入する認証情報の双方が存在しないと、中継管理サーバ2に接続できない構成とした。
【0016】
対象PC類1と操作PC類4が同時に中継管理サーバ2に接続した状態において、中継管理サーバ2は、両PC類からの信号を解釈して、それぞれ他方のPC類に指示を出すことによって、操作PC類4が対象PC類1を自由に操作することを可能とした。
【0017】
操作PC類4が対象PC類1を操作する上位のソフトウェアは、本発明の範囲外であるが、Windows(登録商標)リモートデスクトップ、VNC 、Telnet 等、TCPコネクションのアプリケーションが利用可能である。例えば、リモートデスクトップを利用すると、操作PC類4からキー入力情報、マウスのポインティング情報を対象PC類1に送信し、対象PC類1からはデスクトップ(画面)情報を操作PC類4に送信することによって、操作PC類4から対象PC類1を自由に操作することが可能となる。この場合、イントラネット内から外に転送されるのはデスクトップ(画面)であり、対象PC類1のファイルを当該イントラネット外に持ち出さないため、セキュリティが確保できる。
【0018】
上記の対象PC類1、中継管理サーバ2、操作PC類4の間で交換される信号類は暗号化されていることは言うまでもない。
【0019】
また、外部記憶媒体5のメモリ領域の一部に書き換え不可能な部分を設けており、ここにプログラム、設定ファイルを格納しておく構成とした。この構成により、使用者がファイル転送可能とする設定変更などをすることによるセキュリティの低下を防止できるようになり、さらにセキュリティの向上が図れるようになった。
【実施例2】
【0020】
以下、実施例2を用いて本発明を詳細に説明する。図2は、本発明の実施例2であり、11は対象PC類、12は中継管理サーバ、13はインターネット、14は操作PC類、15は外部記憶媒体、16はルータ、ファイアウォールである。
【0021】
最初に、イントラネット内に設置した対象PC類11とインターネット13内に配置した中継管理サーバ12を接続する。接続に際して、対象PC類11と中継管理サーバ12は、httpsプロトコルで通信を行う。イントラネット内に設置した多くの対象PC類11は、インターネット13内に配置されたWebサーバとの間で暗号化通信を行うため、ルータ、ファイアウォールのhttpsポートのアウトバウンドを開放している。このため、httpsプロトコルを採用することによって、ルータ、ファイアウォール16の通過が可能となるため、Webサーバとの間で暗号化通信が可能な環境にある多数の対象PC類11を利用できるようになった。
【0022】
なお、対象PC類11がイントラネット外に設置されている場合も、接続に際して、対象PC類11と中継管理サーバ12は、httpsプロトコルで通信を行うことに変わりはない。
【0023】
接続時には、対象PC類11と中継管理サーバ12間には1つ以上のセッションを確保する。httpsプロトコルを利用した通信では、リクエストを出した後、レスポンスが帰ってこなくても次のリクエストを送出できるため、1つのセッションでも、対象PC類11と中継管理サーバ12の間の通信を効率よく行うことができる。
【0024】
次に、イントラネット内に設置した操作PC類14と中継管理サーバ12を接続する。接続に際して、httpsプロトコルを使用すること、および、操作PC類14と中継管理サーバ12間に、1つ以上のセッションを確保することにより、対象PC類11の場合と同じように通信を効率よく行うことができる。
【0025】
なお、操作PC類14がイントラネット外に設置されている場合も、接続に際して、操作PC類14と中継管理サーバ12は、上述のように通信を行うことに変わりはない。
【産業上の利用可能性】
【0026】
以上のように、本発明のリモートアクセス方法によれば、USBキーなどの外部記憶媒体のみを持ち歩き、出先の他人のPC、シンクライアント等を利用して、出張先や自宅から会社のPCへのフルアクセスが図れ、利便性の向上が期待できる。外部記憶媒体は固有のIDを保有しているため、この外部記憶媒体を使用しない限りアクセスできない。そのため、社内情報の漏洩が防止でき、安全性の向上が期待できる。さらに、既存のファイアウォールの設定変更無しに対象PC類にアクセスでき、早期のサービス開始が期待できるため、業務の迅速な遂行が可能となり、企業活動の生産性向上が図れる。
【図面の簡単な説明】
【0027】
【図1】本発明の実施例1のシステム構成図である。
【図2】本発明の実施例2のシステム構成図である。
【符号の説明】
【0028】
1、11 対象PC類
2、12 中継管理サーバ
3、13 インターネット
4、14 操作PC類
5、15 外部記憶媒体
6、16 ルータ、ファイアウォール
【技術分野】
【0001】
本発明は、イントラネット内にある対象PC類に対して、インターネットを経由して、同一または別のイントラネット内にある操作PC類から、ルータ、ファイアウォールを通過して接続し、安全に操作するリモートアクセス方法に関する発明である。
【背景技術】
【0002】
ルータ、ファイアウォールを通過して接続するリモートアクセス方法として、従来よりIPsec, SSL-VPNが利用されてきた。IPsecは、イントラネットが仮想的に当該イントラネットの外部に張り出しているように動作し、イントラ内のファイルが当該イントラネットの外部に持ち出されるという情報管理上の問題点があった。SSL-VPNは、ファイルがインターネットに持ち出される危険性は少ないが、Webアプリケーションの利用に限定され、イントラ内の対象PC類で動作するアプリケーションの全部を当該イントラネットの外部から利用できるわけではない点が問題点であった。
【特許文献1】特開2001−273211号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
イントラネット内のファイルを当該イントラネットの外部に持ち出すことなく、イントラ内で可能としていた作業の全てを当該イントラネットの外部において、安全に実行すること。
【課題を解決するための手段】
【0004】
イントラネット内のファイルを持ち出す代わりに、対象PC類の画面情報をhttpまたはhttpsプロトコルで操作PC類に送信し、操作PC類からはキーボード情報、ポインティング情報などを対象PC類に送信することにより、対象PC類を操作するようにした。
【発明の効果】
【0005】
httpプロトコルを利用して送受信を行うため、対象PC類の所属するネットワークと操作PC類が所属するネットワークがWeb閲覧環境にあるだけで、上記の課題が解決できるため、ルーター及びファイアウォールの設定変更なしで、容易に導入可能となる。
【発明を実施するための最良の形態】
【0006】
対象PC類と操作PC類を適切に制御するために、インターネット内に中継管理サーバを配置し、中継管理サーバが対象PC類と操作PC類のそれぞれの情報を翻訳し転送する形態とした。また、操作PC類に接続して使用するUSBキーなどの外部記憶媒体を用いることにより、安全性と利便性を向上させる形態とした。
【実施例1】
【0007】
以下、実施例1を用いて本発明を詳細に説明する。図1は、本発明の実施例1であり、1は対象PC類、2は中継管理サーバ、3はインターネット、4は操作PC類、5は外部記憶媒体、6はルータ、ファイアウォールである。
【0008】
最初に、イントラネット内に設置した対象PC類1とインターネット3内に配置した中継管理サーバ2を接続する。接続に際して、対象PC類1と中継管理サーバ2は、httpプロトコルで通信を行う。イントラネット内に設置した対象PC類1でインターネット3内に配置されたWebサーバの閲覧ができるようにするため、一般的に、ルータ、ファイアウォールのhttpポートのアウトバウンドは開放されている。このため、httpプロトコルを採用することによって、ルータ、ファイアウォール6の通過が可能となるため、Web閲覧環境にある多数の対象PC類1を利用できるようなった。
【0009】
なお、対象PC類1がイントラネット外に設置されている場合も、接続に際して、対象PC類1と中継管理サーバ2は、httpプロトコルで通信を行うことに変わりはない。
【0010】
接続時には、対象PC類1と中継管理サーバ2間には2つ以上のセッションを確保する。実際の接続には1セッションでおこなうことが可能であるが、httpプロトコルはリクエストを出した場合、レスポンスが帰ってこないと次のリクエストが出せない構成となっている。そこで本発明では、レスポンスが帰ってこない場合を想定して、予め2つ以上の複数セッションを確保しておき、対象PC類1と中継管理サーバ2がリクエストとレスポンスを常に送出できる状態にしておく構成としている。すなわち、対象PC類1がリクエストを送出した後に、別に確保したセッションで更にリクエストを送出できる状態にしておくことが特徴である。このようにすれば、対象PC類1にレスポンスが帰ってこない状態でも、別に確保したセッションを利用していつでもリクエストを送出でき、対象PC類1と中継管理サーバ2の間の通信を効率よく行うことができる。
【0011】
次に、イントラネット内に設置した操作PC類4と中継管理サーバ2を接続する。接続に際して、httpプロトコルを使用すること、および、操作PC類4と中継管理サーバ2間に、2つ以上のセッションを確保することにより、対象PC類1の場合と同じように通信を効率よく行うことができる。
【0012】
なお、操作PC類4がイントラネット外に設置されている場合も、接続に際して、操作PC類4と中継管理サーバ2は、上述のように通信を行うことに変わりはない。
【0013】
操作PC類4と中継管理サーバ2を接続するためのソフトウェアは、USBキーなどの外部記憶媒体5に格納してあり、このソフトウェアは、操作PC類4のレジストリ情報を書き換えることなく動作するように設計した。この機能により、個人用にカスタマイズしたPCでなく、他人のPCまたはシンクライアントを操作PC類4として利用出来るようにした。
【0014】
前記ソフトウェアは、必ずしも全てをUSBキーに格納する必要はなく、予め一部のプログラムを操作PC類に格納しても、同様な動作が可能なことは言うまでもない。
【0015】
外部記憶媒体5は固有のIDを発生し、操作PC類4はこのID情報を加工して、中継管理サーバ2が認証するための特別な認証情報を生成し、中継管理サーバ2に送信する構成とした。この送信に際して、利用者はパスワードなどの認証情報を操作PC類4に入力する。この機能により、外部記憶媒体5と利用者が投入する認証情報の双方が存在しないと、中継管理サーバ2に接続できない構成とした。
【0016】
対象PC類1と操作PC類4が同時に中継管理サーバ2に接続した状態において、中継管理サーバ2は、両PC類からの信号を解釈して、それぞれ他方のPC類に指示を出すことによって、操作PC類4が対象PC類1を自由に操作することを可能とした。
【0017】
操作PC類4が対象PC類1を操作する上位のソフトウェアは、本発明の範囲外であるが、Windows(登録商標)リモートデスクトップ、VNC 、Telnet 等、TCPコネクションのアプリケーションが利用可能である。例えば、リモートデスクトップを利用すると、操作PC類4からキー入力情報、マウスのポインティング情報を対象PC類1に送信し、対象PC類1からはデスクトップ(画面)情報を操作PC類4に送信することによって、操作PC類4から対象PC類1を自由に操作することが可能となる。この場合、イントラネット内から外に転送されるのはデスクトップ(画面)であり、対象PC類1のファイルを当該イントラネット外に持ち出さないため、セキュリティが確保できる。
【0018】
上記の対象PC類1、中継管理サーバ2、操作PC類4の間で交換される信号類は暗号化されていることは言うまでもない。
【0019】
また、外部記憶媒体5のメモリ領域の一部に書き換え不可能な部分を設けており、ここにプログラム、設定ファイルを格納しておく構成とした。この構成により、使用者がファイル転送可能とする設定変更などをすることによるセキュリティの低下を防止できるようになり、さらにセキュリティの向上が図れるようになった。
【実施例2】
【0020】
以下、実施例2を用いて本発明を詳細に説明する。図2は、本発明の実施例2であり、11は対象PC類、12は中継管理サーバ、13はインターネット、14は操作PC類、15は外部記憶媒体、16はルータ、ファイアウォールである。
【0021】
最初に、イントラネット内に設置した対象PC類11とインターネット13内に配置した中継管理サーバ12を接続する。接続に際して、対象PC類11と中継管理サーバ12は、httpsプロトコルで通信を行う。イントラネット内に設置した多くの対象PC類11は、インターネット13内に配置されたWebサーバとの間で暗号化通信を行うため、ルータ、ファイアウォールのhttpsポートのアウトバウンドを開放している。このため、httpsプロトコルを採用することによって、ルータ、ファイアウォール16の通過が可能となるため、Webサーバとの間で暗号化通信が可能な環境にある多数の対象PC類11を利用できるようになった。
【0022】
なお、対象PC類11がイントラネット外に設置されている場合も、接続に際して、対象PC類11と中継管理サーバ12は、httpsプロトコルで通信を行うことに変わりはない。
【0023】
接続時には、対象PC類11と中継管理サーバ12間には1つ以上のセッションを確保する。httpsプロトコルを利用した通信では、リクエストを出した後、レスポンスが帰ってこなくても次のリクエストを送出できるため、1つのセッションでも、対象PC類11と中継管理サーバ12の間の通信を効率よく行うことができる。
【0024】
次に、イントラネット内に設置した操作PC類14と中継管理サーバ12を接続する。接続に際して、httpsプロトコルを使用すること、および、操作PC類14と中継管理サーバ12間に、1つ以上のセッションを確保することにより、対象PC類11の場合と同じように通信を効率よく行うことができる。
【0025】
なお、操作PC類14がイントラネット外に設置されている場合も、接続に際して、操作PC類14と中継管理サーバ12は、上述のように通信を行うことに変わりはない。
【産業上の利用可能性】
【0026】
以上のように、本発明のリモートアクセス方法によれば、USBキーなどの外部記憶媒体のみを持ち歩き、出先の他人のPC、シンクライアント等を利用して、出張先や自宅から会社のPCへのフルアクセスが図れ、利便性の向上が期待できる。外部記憶媒体は固有のIDを保有しているため、この外部記憶媒体を使用しない限りアクセスできない。そのため、社内情報の漏洩が防止でき、安全性の向上が期待できる。さらに、既存のファイアウォールの設定変更無しに対象PC類にアクセスでき、早期のサービス開始が期待できるため、業務の迅速な遂行が可能となり、企業活動の生産性向上が図れる。
【図面の簡単な説明】
【0027】
【図1】本発明の実施例1のシステム構成図である。
【図2】本発明の実施例2のシステム構成図である。
【符号の説明】
【0028】
1、11 対象PC類
2、12 中継管理サーバ
3、13 インターネット
4、14 操作PC類
5、15 外部記憶媒体
6、16 ルータ、ファイアウォール
【特許請求の範囲】
【請求項1】
インターネットまたはイントラネット内にある複数のパソコン、サーバ等のPC類とインターネット内に設置した中継管理サーバより構成するリモートアクセス方法において、PC類は操作される対象PC類と操作する操作PC類に分類されること、操作PC類用リモートアクセス用ソフトは操作PC類のレジストリ情報を書き換えることなく動作すること、操作PC類用ソフトの少なくとも一部はUSBメモリなどの外部記憶媒体に入っていること、外部記憶媒体は固有のIDを所有し、このID、および手入力するパスワードなどの認証情報の両方を利用して中継管理サーバへのログインを行うことを特徴とするリモートアクセス方法。
【請求項2】
インターネットまたはイントラネット内にある複数のパソコン、サーバ等のPC類とインターネット内に設置した中継管理サーバより構成するリモートアクセス方法において、ルータ、ファイアウォールの通過はhttpプロトコルを利用すること、操作PC類と中継管理サーバ、対象PC類と中継管理サーバ間の接続にはそれぞれ2セッション以上を利用することを特徴とするリモートアクセス方法。
【請求項3】
インターネットまたはイントラネット内にある複数のパソコン、サーバ等のPC類とインターネット内に設置した中継管理サーバより構成するリモートアクセス方法において、ルータ、ファイアウォールの通過はhttpsプロトコルを利用すること、操作PC類と中継管理サーバ、対象PC類と中継管理サーバ間の接続にはそれぞれ1セッション以上を利用することを特徴とするリモートアクセス方法。
【請求項4】
インターネットまたはイントラネット内にある複数のパソコン、サーバ等のPC類とインターネット内に設置した中継管理サーバより構成するリモートアクセス方法において、外部記憶媒体のメモリ領域の一部に書き換え不可能な部分を設け、ここにプログラム、設定ファイルの一部を格納することを特徴とするリモートアクセス方法。
【請求項1】
インターネットまたはイントラネット内にある複数のパソコン、サーバ等のPC類とインターネット内に設置した中継管理サーバより構成するリモートアクセス方法において、PC類は操作される対象PC類と操作する操作PC類に分類されること、操作PC類用リモートアクセス用ソフトは操作PC類のレジストリ情報を書き換えることなく動作すること、操作PC類用ソフトの少なくとも一部はUSBメモリなどの外部記憶媒体に入っていること、外部記憶媒体は固有のIDを所有し、このID、および手入力するパスワードなどの認証情報の両方を利用して中継管理サーバへのログインを行うことを特徴とするリモートアクセス方法。
【請求項2】
インターネットまたはイントラネット内にある複数のパソコン、サーバ等のPC類とインターネット内に設置した中継管理サーバより構成するリモートアクセス方法において、ルータ、ファイアウォールの通過はhttpプロトコルを利用すること、操作PC類と中継管理サーバ、対象PC類と中継管理サーバ間の接続にはそれぞれ2セッション以上を利用することを特徴とするリモートアクセス方法。
【請求項3】
インターネットまたはイントラネット内にある複数のパソコン、サーバ等のPC類とインターネット内に設置した中継管理サーバより構成するリモートアクセス方法において、ルータ、ファイアウォールの通過はhttpsプロトコルを利用すること、操作PC類と中継管理サーバ、対象PC類と中継管理サーバ間の接続にはそれぞれ1セッション以上を利用することを特徴とするリモートアクセス方法。
【請求項4】
インターネットまたはイントラネット内にある複数のパソコン、サーバ等のPC類とインターネット内に設置した中継管理サーバより構成するリモートアクセス方法において、外部記憶媒体のメモリ領域の一部に書き換え不可能な部分を設け、ここにプログラム、設定ファイルの一部を格納することを特徴とするリモートアクセス方法。
【図1】
【図2】
【図2】
【公開番号】特開2007−110590(P2007−110590A)
【公開日】平成19年4月26日(2007.4.26)
【国際特許分類】
【出願番号】特願2005−301384(P2005−301384)
【出願日】平成17年10月17日(2005.10.17)
【出願人】(591074585)エヌ・ティ・ティ アイティ株式会社 (21)
【Fターム(参考)】
【公開日】平成19年4月26日(2007.4.26)
【国際特許分類】
【出願日】平成17年10月17日(2005.10.17)
【出願人】(591074585)エヌ・ティ・ティ アイティ株式会社 (21)
【Fターム(参考)】
[ Back to top ]