情報端末のネットワーク接続監視管理記録サービスシステム
【課題】 情報端末装置100が情報端末管理装置200へネットワーク接続要求を通知する方法を提供する。
【解決手段】 情報端末装置100から情報端末管理装置200までのネットワークの経路情報を取得する方法として、ICMP(Internet Control Message Protocol:RFC792/RFC1812)を利用する。情報端末管理装置200のIPアドレスはグローバルアドレスを使用する。情報端末管理装置200が情報端末装置100からのネットワーク接続要求を認証するには、情報端末装置100から情報端末管理装置200までのネットワークの経路情報を利用する。
【解決手段】 情報端末装置100から情報端末管理装置200までのネットワークの経路情報を取得する方法として、ICMP(Internet Control Message Protocol:RFC792/RFC1812)を利用する。情報端末管理装置200のIPアドレスはグローバルアドレスを使用する。情報端末管理装置200が情報端末装置100からのネットワーク接続要求を認証するには、情報端末装置100から情報端末管理装置200までのネットワークの経路情報を利用する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報端末をネットワークへ接続して使用する場合のネットワーク接続の認証、および、その接続・使用状況を監視するための方法とシステム、それを提供するサービスに関するものである。
【背景技術】
【0002】
従来は、特開2004-246880号公報に記載のように、ネットワークを介して、ネットワークに接続された機器の情報を自動的に収集する情報収集装置を用いて、情報端末のネットワークへの接続を監視していた。
【0003】
また、特開2003-198552号公報に記載のように、ネットワーク接続管理装置が新たなネットワーク装置からのネットワーク接続要求を受け、既にネットワークに接続されている他のネットワーク装置に対して接続要求を送り、ネットワーク装置の表示手段により該接続要求を使用者に通知し、これに対する使用者の確認操作から、新たなネットワーク装置のネットワークへの接続を許可するという方法を用いていた。
【0004】
また、特開2005-051527号公報に記載のように、特定利用者以外の者に対するネットワークの不正利用を防止できるネットワーク接続管理システムとして、情報端末装置固有のMACアドレスを記録したICカードと接続管理装置を用いるという方法があった。
【0005】
【特許文献1】特開2004-246880号公報
【特許文献2】特開2003-198552号公報
【特許文献3】特開2005-051527号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
上記従来技術では、情報端末の管理者が管理する特定の情報端末において、情報端末が様々な場所でネットワークに接続されて使用されることを考慮していないため、ネットワーク接続による情報端末のコンピュータウィルス感染とコンピュータウィルスのネットワークへの侵入。また、情報端末からのネットワークを使用した情報漏洩など、情報端末の管理者は、情報端末のネットワークへの接続に関して、十分な管理をおこなうことができないという問題があった。
【0007】
本発明の目的は、情報端末の利用者が情報端末をネットワークへ接続した際、情報端末と情報端末管理装置との間のネットワーク経路情報をもとに、情報端末の管理者が指定したネットワークの範囲を越えて、情報端末がネットワークへ接続されることを監視・管理・記録することを最も主要とする。
【課題を解決するための手段】
【0008】
上記目的を達成するために、情報端末のネットワーク接続を監視・管理・記録する管理プログラムと、情報端末がネットワークに接続されたことを検知し、接続されたネットワークの情報を管理プログラムへ通知する端末プログラムを提供する。
【0009】
また、管理プログラムは、端末プログラムからの通知をもとに、管理者が指定したネットワークの範囲内に情報端末が接続されたことを判定する機能を有し、端末プログラムは管理プログラムからの指令を受け、ネットワークへの接続を遮断する機能を有する。
【0010】
さらに、上記目的を実現するため、情報端末の管理者が情報端末管理装置を利用できるサービスを提供することを特徴としたものである。
【発明の効果】
【0011】
本発明により、情報端末の管理者は、情報端末の利用状況を監視・管理・記録することができ、また、管理者が承認したネットワークの範囲を越えて情報端末が接続されることを制限することができる。
【0012】
これにより、情報端末の管理者は情報端末がネットワークへ接続したことによるコンピュータウィルスの感染や、情報端末に含まれている機密情報への不正アクセス、また、機密情報の漏洩を防止することができる。
【発明を実施するための最良の形態】
【0013】
以下、本発明を実施するための最良の形態を図面に基づいて詳細に説明する。
【0014】
図1は、本発明における一実施例である情報端末のネットワーク接続監視・管理・記録サービスの構成を示すものである。
【0015】
ここで、図1の100は情報端末装置であり、ネットワーク上の様々な場所から接続されていることを示している。200は情報端末管理装置であり、常時稼動しているものとする。300は2つのネットワークやシステムを相互に接続するためのゲートウェイである。400は電話網の終端であり電話機等を示している。
【0016】
次にX1は情報端末管理装置200のグルーバルIPアドレスであり、Z1、Z2、Z3はインターネットとの接続におけるグルーバルIPアドレスを示している。また、Y1も情報端末管理装置200が属しているシステム上のグルーバルIPアドレスである。
【0017】
ここで、Y1、P1間にあるゲートウェイ300では、Y1、P1という2つのIPアドレスを使用して、2つのシステム、ネットワークを相互に接続しており、2つのネットワーク間でのデータの中継を行っている。以降、ゲートウェイ300では、2つのIPアドレスを使用して、2つのネットワーク間でのデータの中継を行っているものとする。
【0018】
次にP1、P2、P3、P4、P5、Q1、Q2はシステムの基幹LAN上のグルーバルIPアドレスを示している。
【0019】
次にA1、A2、Y2はシステムAにおけるローカルIPアドレス、B1、B2、Y3はシステムBにおけるローカルIPアドレス、C1、C2、Y5はシステムCにおけるローカルIPアドレスを示している。
【0020】
次にD1はシステムの基幹LAN上のグルーバルIPアドレス、E1はISP(Internet Service Provider)などにより、DHCP(Dynamic Host Configuration Protocol)などを利用して自動配布されたローカルIPアドレスを示している。
【0021】
次にY4は電話回線を使用して直接、情報端末装置100をネットワークへ接続させるためのシステムにおけるローカルIPアドレス、F1は該システムを使用して情報端末装置100がネットワークへ接続した際のローカルIPアドレスを示している。ここでは、PPP(Point to Point Protocol)などによるダイヤルアップ接続やシリアル回線接続などを使用した特定の2ノード(エンド・ポイント)が1対1で直接接続されている状態を示している。
【0022】
次に図2は、本発明における一実施例である情報端末装置の概略構成を示している。ここで、図2の100は情報端末装置であり、101は情報端末装置内の通信装置、102は端末プログラムを示している。103は端末機能処理部であり、情報端末管理装置200へ情報端末装置100のネットワーク接続要求を行なう。104は通信制御部であり、通信装置101の制御を行なう。105は通信監視部であり、通信装置101を監視し、情報端末装置100のネットワークへの接続を監視している。
【0023】
次に図3は、本発明における一実施例である情報端末管理装置の概略構成を示している。ここで、図3の200は情報端末管理装置であり、201は情報端末管理装置内の通信装置、202は管理プログラムを示している。203は管理機能処理部であり、情報端末装置100からのネットワーク接続要求に対して、接続の認証を行なう。204は管理情報であり、情報端末装置100が接続可能なネットワークの範囲・条件などを記録している。205は管理記録であり、情報端末装置100からのネットワーク接続要求に関する情報と審査情報を記録する。
【0024】
本実施例では、情報端末装置100の起動と同時に情報端末装置100がネットワークへ接続することを監視するために、情報端末装置100の通信装置101を監視する端末プログラム102の通信監視部105を起動させる。
【0025】
情報端末装置100がネットワークへ接続された際には、端末プログラム102の端末機能処理部103が情報端末装置100のネットワーク情報を取得する。この際、該ネットワーク情報とは、情報端末装置100が接続したネットワークにて、情報端末装置100が使用するアドレスと、情報端末装置100から情報端末管理装置200までのネットワークの経路情報を意味する。
【0026】
情報端末装置100が情報端末管理装置200までのネットワークの経路情報を取得する仕組みとしてICMP(Internet Control Message Protocol:RFC792/RFC1812)を使用する。
【0027】
ICMPを利用してネットワークの経路情報を取得する方法として、ICMPの生存保持回数 (Time to live field)を利用する。この生存保持回数は、ゲートウェイ間のルーティング情報に誤りがあった際に送信データがゲートウェイ間を無限ループすることを防止するための仕組みとして利用されている。
【0028】
この生存保持回数の値は、送信元である情報端末装置にて値が設定される。
【0029】
以降、送信先に向け、送信データを中継しているゲートウェイにて、生存保持回数の値は1づつ減らされていく。送信データを中継しているゲートウェイにて、この生存保持回数の値がゼロになった際には、送信エラーとして、送信元へその旨、通知を返信する。その際、情報としてゲートウェイのIPアドレスも送信元へ通知される。これにより、送信元は、自身が送信したデータがどのゲートウェイまで届けられたかを知ることができる。
【0030】
ここで、ネットワークの経路情報を取得する方法として、送信元は、この生存保持回数を1から順に増量させながら、送信先へデータ送信を行なうことにより、送信元から送信先までの間に位置する中継地点、ゲートウェイのIPアドレスを確認することができる。
【0031】
結果、これを情報端末装置100から情報端末管理装置200までのネットワークの経路情報として利用する。
【0032】
この時、本発明における一実施例である図1において、情報端末装置100の各接続場所から、情報端末管理装置200までのネットワークの経路情報は、次のようになる。
【0033】
情報端末装置100 接続場所(a):A1⇒Y2⇒P2⇒P1⇒Y1⇒X1
情報端末装置100 接続場所(b):B1⇒Y3⇒P3⇒P1⇒Y1⇒X1
情報端末装置100 接続場所(c):C1⇒Y5⇒P5⇒Q2⇒
Z2⇒Z1⇒Q1⇒P1⇒Y1⇒X1
情報端末装置100 接続場所(d):D1⇒Q2⇒Z2⇒Z1⇒Q1⇒P1⇒Y1⇒X1
情報端末装置100 接続場所(e):E1⇒Z3⇒Z1⇒Q1⇒P1⇒Y1⇒X1
情報端末装置100 接続場所(f):F1⇒Y4⇒P4⇒P1⇒Y1⇒X1
また、上記接続場所(a)の場合について、情報端末装置100から情報端末管理装置200までのネットワーク経路の概要とネットワーク経路情報のデータ構造を図4に示す。
【0034】
情報端末装置100 接続場所(a):A1⇒Y2⇒P2 …401
⇒P1⇒Y1⇒X1⇒ …402
次に本実施形態における情報端末装置での処理概要を図5のフローチャートに示す。
【0035】
端末プログラム102の端末機能処理部103が情報端末装置100のネットワーク情報を取得(ステップ501)できた際には、先の情報端末装置100のネットワーク情報と、情報端末装置100の端末プログラム102がユニークに所持している端末プログラム102の識別IDを情報端末管理装置200へネットワーク接続要求として送信する(ステップ502)。
【0036】
端末プログラム102の端末機能処理部103が情報端末装置100のネットワーク情報を取得できなかった際には、端末プログラム102の通信制御部104を通じて、情報端末装置100のネットワーク接続を強制的に切断する(ステップ503)。
【0037】
情報端末管理装置200へネットワーク接続要求を送信した端末プログラム102は、以降、通信制御部104を通じて、情報端末装置100の通信装置101が送信を行なわないよう通信制御を行なう(ステップ504)。
【0038】
情報端末装置100の端末機能処理部103は、情報端末管理装置200からのネットワークの接続許可通知を一定期間待つ(ステップ505)。
【0039】
情報端末装置100の端末機能処理部103は、一定時間の間に情報端末管理装置200からの接続許可通知を受信できない場合、または、接続不可通知を受信した場合、情報端末装置100の通信制御部104を通じて、情報端末装置100のネットワーク接続を強制的に切断する(ステップ503)。
【0040】
情報端末装置100の端末機能処理部103が、一定時間の間に情報端末管理装置200からの接続許可通知を受信した場合、情報端末装置100の通信制御部104を通じて、情報端末装置100の送信処理の通信制御を解除する(ステップ506)。
【0041】
本実施形態における情報端末管理装置での処理概要を図6のフローチャートに示す。
【0042】
情報端末装置100のネットワーク接続を管理する情報端末管理装置200では、管理プログラム202の管理機能処理部203を通じて、情報端末装置100の端末プログラム102からのネットワーク接続要求を常時、待機している(ステップ601)。
【0043】
情報端末管理装置200が、情報端末装置100からのネットワーク接続要求を受けた場合、情報端末装置100からのネットワーク接続要求に含まれている情報と、情報端末管理装置200の管理情報204をもとに、ネットワーク接続要求元である情報端末装置100のネットワーク接続を審査する(ステップ602、603、604)。
【0044】
審査方法は、はじめに情報端末管理装置200の管理機能処理部203にて、情報端末装置100が送信してきたネットワーク接続要求から、端末プログラム102ごとにユニークに割り与えた識別IDを確認する(ステップ602)。次に、管理機能処理部203は、管理情報204を参照し、端末プログラム102の識別IDをもとに、ネットワーク接続要求を送信してきた情報通信装置100が接続できるネットワークの範囲・条件を確認する(ステップ603)。最後に、管理機能処理部203は、情報端末装置100が送信してきたネットワーク接続要求から、ネットワークの経路情報を取得し、先に管理情報204から取得した情報通信装置100が接続できるネットワークの範囲と条件について比較し、審査を行なう(ステップ604)。
【0045】
次に本発明における一実施例である図1において、情報端末管理装置200の管理機能処理部203で行なわれる審査の実施例を示す。
【0046】
また、本実施形態における管理情報204での登録内容について、概要を図7に示す。
【0047】
本実施例では、情報端末装置100がネットワークへ接続される以前に、情報端末装置100の管理者により、情報通信装置100が接続できるネットワークの範囲701と条件702が次のように管理情報204に登録されているものとする。
【0048】
情報通信装置100が接続できるネットワークの条件702。
【0049】
情報端末装置100(ID:α)…2010年度末までの間、平日の8時から22時までの間で
システムAからの接続利用を許可する。 …712
情報端末装置100(ID:β)…2010年度末までの間、終日の8時から22時までの間で
システムB、システムCからの接続利用を許可する。…714
情報端末装置100(ID:γ)…2010年度末までの間、週末の8時から22時までの間で
ダイアルアップ、ISPから接続利用を許可する。 …716
※ISP: Internet Service Provider
情報通信装置100が接続できるネットワークの範囲701。
【0050】
情報端末装置100から情報端末管理装置200までのネットワークの経路情報において
情報端末装置100(ID:α)…Y2またはP2が含まれること。 …711
情報端末装置100(ID:β)…次の条件のうち、どちらかを満たすこと。 …713
・システムBに接続:Y3またはP3が含まれること。
【0051】
・システムCに接続:Y5またはP5が含まれること。
【0052】
情報端末装置100(ID:γ)…次の条件のうち、どちらかを満たすこと。 …715
・ダイアルアップ接続:Y4またはP4が含まれること。
【0053】
・ISP接続:Z3、Z1、Q1が含まれること。
【0054】
情報端末装置100(ID:α)が接続場所(a)に接続されたとする。
【0055】
この時、情報端末管理装置200では、情報端末装置100からのネットワーク接続要求を待機しているものとする(ステップ601)。
【0056】
報端末管理装置200の管理機能処理部203では、情報端末装置100(ID:α)が送信してきたネットワーク接続要求から、情報端末装置100(ID:α)の端末プログラム102の識別IDと、情報端末装置100(ID:α)から情報端末管理装置200までのネットワークの経路情報401、402を確認する(ステップ602)。
【0057】
次に情報端末管理装置200の管理機能処理部203では、管理情報204より、ネットワーク接続要求元の情報端末装置100(ID:α)が接続できるネットワークの範囲711と条件712に関する情報を取得する(ステップ603)。
【0058】
次に、情報端末管理装置200の管理機能処理部203は、ネットワーク接続可能条件712について審査を行い、最後にネットワーク接続可能範囲711について、ネットワーク接続要求元の情報端末装置100(ID:α)が送信してきた情報端末管理装置200と情報端末装置100(ID:α)の間のネットワークの経路情報401、402より、情報端末装置100(ID:α)のネットワークへの接続の可否を審査する(ステップ604)。
【0059】
ネットワーク接続可能範囲711、条件712より、審査要件を満たしている場合には、情報端末装置100(ID:α)のネットワーク接続を認め、情報端末装置100(ID:α)に対して、接続許可通知を送信する(ステップ605)。
【0060】
同様に接続場所(a)に情報端末装置100(ID:β)が接続されたとする。
【0061】
この場合、情報端末装置100(ID:β)が情報端末管理装置200へ送信したネットワーク接続要求のネットワークの経路情報に、情報端末装置100(ID:β)の接続範囲713である中継地点(中継ルータのIPアドレス)が含まれていないため、情報端末管理装置200の管理機能処理部203は、情報端末装置100(ID:β)のネットワーク接続を認めず、情報端末装置100(ID:β)に対して接続不可通知を送信する(ステップ606)。
【0062】
本実施例において、残る接続場所(b)〜(f)においても、上記同様に情報端末装置100の端末プログラム102がユニークに所持している識別IDと情報端末管理装置200の管理情報204に登録されている情報通信装置100が接続できるネットワークの範囲701と条件702をもとに、情報端末装置100からのネットワーク接続要求に対して、認証を行い、情報端末装置100へ接続許可通知の送信(ステップ605)、または、接続不可通知の送信(ステップ606)を行なう。
【0063】
実施例のように情報端末装置100からのネットワーク接続要求に対して、ネットワーク接続の審査を行なった情報端末管理装置200の管理機能処理部203では、次に、審査の結果を審査情報として、管理記録205へ記録する(ステップ607)。
【0064】
審査情報には情報端末管理装置200宛に、ネットワーク接続要求のあった日付、時刻、ネットワーク接続要求に含まれていた全ての情報、審査結果、審査結果を送信した日付、時刻が含まれる。
【0065】
情報端末装置100の管理者は、管理対象となる情報端末装置100がネットワークへ接続可能なネットワークの範囲702と条件701を事前に検討し、情報端末管理装置200の管理情報204へ登録する必要がある。
【0066】
以上、実施例についての説明を終える。
【0067】
次に本システムを提供するサービスについて概要を説明する。
【0068】
情報端末装置100の管理者が情報端末装置100へ端末プログラム102を準備することを前提として、情報端末装置100の管理者へ情報端末管理装置200の機能を常時、提供するサービスを行なう場合、そのサービスを提供する側は、情報端末管理装置200および管理プログラム202を常時(24時間、365日)、準備し、情報端末装置100の管理者へサービスを提供する。
【0069】
情報端末装置100の管理者が前述のサービスを利用する場合は、情報端末装置100の管理者が情報端末装置100へ端末プログラム102を準備し、情報端末装置100ごとに情報端末管理装置の利用料金を支払う。
【0070】
前述のサービスを提供する側では、情報端末装置100の管理者へ、情報端末装置100の審査情報を提供する。
【図面の簡単な説明】
【0071】
【図1】本実施形態における情報端末のネットワーク接続監視管理記録サービスの概略構成図である。
【図2】本実施形態における情報端末のネットワーク接続監視管理記録サービスでの情報端末装置を示す図である。
【図3】本実施形態における情報端末のネットワーク接続監視管理記録サービスでの情報端末管理装置を示す図である。
【図4】本実施形態における情報端末のネットワーク接続監視管理記録サービスでのネットワーク経路情報のデータ構造を示す図である。
【図5】本実施形態における情報端末のネットワーク接続監視管理記録サービスでの情報端末装置における処理概要を示すフローチャートである。
【図6】本実施形態における情報端末のネットワーク接続監視管理記録サービスでの情報端末管理装置における処理概要を示すフローチャートである。
【図7】本実施形態における情報端末のネットワーク接続監視管理記録サービスでの管理情報における登録内容についての概要を示す図である。
【符号の説明】
【0072】
100…情報端末装置、101…通信装置、102…端末プログラム、103…端末機能処理部、104…通信制御部、105…通信監視部、200…情報端末管理装置、201…通信装置、202…情報端末管理装置、203…管理機能処理部、204…管理情報、205…管理記録、300…ゲートウェイ、400…電話機、(a),(b),(c),(d),(e),(f)…情報端末装置 設置場所、(r1),(r2)…ゲートウェイ・設置場所、X1…情報端末管理装置のグローバルアドレス、A1,A2,B1,B2,C1,C2,D1,E1,F1…情報端末装置のアドレス(ローカルIPアドレス)、Y1,Y2,Y3,Y4,Y5…情報端末装置と情報端末管理装置を結ぶネットワーク経路の通過点(サブシステム内のローカルIPアドレス)、P1,P2,P3,P4,P5,Q1,Q2…情報端末装置と情報端末管理装置を結ぶネットワーク経路の通過点(システム内のグローバルIPアドレス)、Z1,Z2,Z3…情報端末装置と情報端末管理装置を結ぶネットワーク経路の通過点(インターネット上のグローバルIPアドレス)。
【技術分野】
【0001】
本発明は、情報端末をネットワークへ接続して使用する場合のネットワーク接続の認証、および、その接続・使用状況を監視するための方法とシステム、それを提供するサービスに関するものである。
【背景技術】
【0002】
従来は、特開2004-246880号公報に記載のように、ネットワークを介して、ネットワークに接続された機器の情報を自動的に収集する情報収集装置を用いて、情報端末のネットワークへの接続を監視していた。
【0003】
また、特開2003-198552号公報に記載のように、ネットワーク接続管理装置が新たなネットワーク装置からのネットワーク接続要求を受け、既にネットワークに接続されている他のネットワーク装置に対して接続要求を送り、ネットワーク装置の表示手段により該接続要求を使用者に通知し、これに対する使用者の確認操作から、新たなネットワーク装置のネットワークへの接続を許可するという方法を用いていた。
【0004】
また、特開2005-051527号公報に記載のように、特定利用者以外の者に対するネットワークの不正利用を防止できるネットワーク接続管理システムとして、情報端末装置固有のMACアドレスを記録したICカードと接続管理装置を用いるという方法があった。
【0005】
【特許文献1】特開2004-246880号公報
【特許文献2】特開2003-198552号公報
【特許文献3】特開2005-051527号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
上記従来技術では、情報端末の管理者が管理する特定の情報端末において、情報端末が様々な場所でネットワークに接続されて使用されることを考慮していないため、ネットワーク接続による情報端末のコンピュータウィルス感染とコンピュータウィルスのネットワークへの侵入。また、情報端末からのネットワークを使用した情報漏洩など、情報端末の管理者は、情報端末のネットワークへの接続に関して、十分な管理をおこなうことができないという問題があった。
【0007】
本発明の目的は、情報端末の利用者が情報端末をネットワークへ接続した際、情報端末と情報端末管理装置との間のネットワーク経路情報をもとに、情報端末の管理者が指定したネットワークの範囲を越えて、情報端末がネットワークへ接続されることを監視・管理・記録することを最も主要とする。
【課題を解決するための手段】
【0008】
上記目的を達成するために、情報端末のネットワーク接続を監視・管理・記録する管理プログラムと、情報端末がネットワークに接続されたことを検知し、接続されたネットワークの情報を管理プログラムへ通知する端末プログラムを提供する。
【0009】
また、管理プログラムは、端末プログラムからの通知をもとに、管理者が指定したネットワークの範囲内に情報端末が接続されたことを判定する機能を有し、端末プログラムは管理プログラムからの指令を受け、ネットワークへの接続を遮断する機能を有する。
【0010】
さらに、上記目的を実現するため、情報端末の管理者が情報端末管理装置を利用できるサービスを提供することを特徴としたものである。
【発明の効果】
【0011】
本発明により、情報端末の管理者は、情報端末の利用状況を監視・管理・記録することができ、また、管理者が承認したネットワークの範囲を越えて情報端末が接続されることを制限することができる。
【0012】
これにより、情報端末の管理者は情報端末がネットワークへ接続したことによるコンピュータウィルスの感染や、情報端末に含まれている機密情報への不正アクセス、また、機密情報の漏洩を防止することができる。
【発明を実施するための最良の形態】
【0013】
以下、本発明を実施するための最良の形態を図面に基づいて詳細に説明する。
【0014】
図1は、本発明における一実施例である情報端末のネットワーク接続監視・管理・記録サービスの構成を示すものである。
【0015】
ここで、図1の100は情報端末装置であり、ネットワーク上の様々な場所から接続されていることを示している。200は情報端末管理装置であり、常時稼動しているものとする。300は2つのネットワークやシステムを相互に接続するためのゲートウェイである。400は電話網の終端であり電話機等を示している。
【0016】
次にX1は情報端末管理装置200のグルーバルIPアドレスであり、Z1、Z2、Z3はインターネットとの接続におけるグルーバルIPアドレスを示している。また、Y1も情報端末管理装置200が属しているシステム上のグルーバルIPアドレスである。
【0017】
ここで、Y1、P1間にあるゲートウェイ300では、Y1、P1という2つのIPアドレスを使用して、2つのシステム、ネットワークを相互に接続しており、2つのネットワーク間でのデータの中継を行っている。以降、ゲートウェイ300では、2つのIPアドレスを使用して、2つのネットワーク間でのデータの中継を行っているものとする。
【0018】
次にP1、P2、P3、P4、P5、Q1、Q2はシステムの基幹LAN上のグルーバルIPアドレスを示している。
【0019】
次にA1、A2、Y2はシステムAにおけるローカルIPアドレス、B1、B2、Y3はシステムBにおけるローカルIPアドレス、C1、C2、Y5はシステムCにおけるローカルIPアドレスを示している。
【0020】
次にD1はシステムの基幹LAN上のグルーバルIPアドレス、E1はISP(Internet Service Provider)などにより、DHCP(Dynamic Host Configuration Protocol)などを利用して自動配布されたローカルIPアドレスを示している。
【0021】
次にY4は電話回線を使用して直接、情報端末装置100をネットワークへ接続させるためのシステムにおけるローカルIPアドレス、F1は該システムを使用して情報端末装置100がネットワークへ接続した際のローカルIPアドレスを示している。ここでは、PPP(Point to Point Protocol)などによるダイヤルアップ接続やシリアル回線接続などを使用した特定の2ノード(エンド・ポイント)が1対1で直接接続されている状態を示している。
【0022】
次に図2は、本発明における一実施例である情報端末装置の概略構成を示している。ここで、図2の100は情報端末装置であり、101は情報端末装置内の通信装置、102は端末プログラムを示している。103は端末機能処理部であり、情報端末管理装置200へ情報端末装置100のネットワーク接続要求を行なう。104は通信制御部であり、通信装置101の制御を行なう。105は通信監視部であり、通信装置101を監視し、情報端末装置100のネットワークへの接続を監視している。
【0023】
次に図3は、本発明における一実施例である情報端末管理装置の概略構成を示している。ここで、図3の200は情報端末管理装置であり、201は情報端末管理装置内の通信装置、202は管理プログラムを示している。203は管理機能処理部であり、情報端末装置100からのネットワーク接続要求に対して、接続の認証を行なう。204は管理情報であり、情報端末装置100が接続可能なネットワークの範囲・条件などを記録している。205は管理記録であり、情報端末装置100からのネットワーク接続要求に関する情報と審査情報を記録する。
【0024】
本実施例では、情報端末装置100の起動と同時に情報端末装置100がネットワークへ接続することを監視するために、情報端末装置100の通信装置101を監視する端末プログラム102の通信監視部105を起動させる。
【0025】
情報端末装置100がネットワークへ接続された際には、端末プログラム102の端末機能処理部103が情報端末装置100のネットワーク情報を取得する。この際、該ネットワーク情報とは、情報端末装置100が接続したネットワークにて、情報端末装置100が使用するアドレスと、情報端末装置100から情報端末管理装置200までのネットワークの経路情報を意味する。
【0026】
情報端末装置100が情報端末管理装置200までのネットワークの経路情報を取得する仕組みとしてICMP(Internet Control Message Protocol:RFC792/RFC1812)を使用する。
【0027】
ICMPを利用してネットワークの経路情報を取得する方法として、ICMPの生存保持回数 (Time to live field)を利用する。この生存保持回数は、ゲートウェイ間のルーティング情報に誤りがあった際に送信データがゲートウェイ間を無限ループすることを防止するための仕組みとして利用されている。
【0028】
この生存保持回数の値は、送信元である情報端末装置にて値が設定される。
【0029】
以降、送信先に向け、送信データを中継しているゲートウェイにて、生存保持回数の値は1づつ減らされていく。送信データを中継しているゲートウェイにて、この生存保持回数の値がゼロになった際には、送信エラーとして、送信元へその旨、通知を返信する。その際、情報としてゲートウェイのIPアドレスも送信元へ通知される。これにより、送信元は、自身が送信したデータがどのゲートウェイまで届けられたかを知ることができる。
【0030】
ここで、ネットワークの経路情報を取得する方法として、送信元は、この生存保持回数を1から順に増量させながら、送信先へデータ送信を行なうことにより、送信元から送信先までの間に位置する中継地点、ゲートウェイのIPアドレスを確認することができる。
【0031】
結果、これを情報端末装置100から情報端末管理装置200までのネットワークの経路情報として利用する。
【0032】
この時、本発明における一実施例である図1において、情報端末装置100の各接続場所から、情報端末管理装置200までのネットワークの経路情報は、次のようになる。
【0033】
情報端末装置100 接続場所(a):A1⇒Y2⇒P2⇒P1⇒Y1⇒X1
情報端末装置100 接続場所(b):B1⇒Y3⇒P3⇒P1⇒Y1⇒X1
情報端末装置100 接続場所(c):C1⇒Y5⇒P5⇒Q2⇒
Z2⇒Z1⇒Q1⇒P1⇒Y1⇒X1
情報端末装置100 接続場所(d):D1⇒Q2⇒Z2⇒Z1⇒Q1⇒P1⇒Y1⇒X1
情報端末装置100 接続場所(e):E1⇒Z3⇒Z1⇒Q1⇒P1⇒Y1⇒X1
情報端末装置100 接続場所(f):F1⇒Y4⇒P4⇒P1⇒Y1⇒X1
また、上記接続場所(a)の場合について、情報端末装置100から情報端末管理装置200までのネットワーク経路の概要とネットワーク経路情報のデータ構造を図4に示す。
【0034】
情報端末装置100 接続場所(a):A1⇒Y2⇒P2 …401
⇒P1⇒Y1⇒X1⇒ …402
次に本実施形態における情報端末装置での処理概要を図5のフローチャートに示す。
【0035】
端末プログラム102の端末機能処理部103が情報端末装置100のネットワーク情報を取得(ステップ501)できた際には、先の情報端末装置100のネットワーク情報と、情報端末装置100の端末プログラム102がユニークに所持している端末プログラム102の識別IDを情報端末管理装置200へネットワーク接続要求として送信する(ステップ502)。
【0036】
端末プログラム102の端末機能処理部103が情報端末装置100のネットワーク情報を取得できなかった際には、端末プログラム102の通信制御部104を通じて、情報端末装置100のネットワーク接続を強制的に切断する(ステップ503)。
【0037】
情報端末管理装置200へネットワーク接続要求を送信した端末プログラム102は、以降、通信制御部104を通じて、情報端末装置100の通信装置101が送信を行なわないよう通信制御を行なう(ステップ504)。
【0038】
情報端末装置100の端末機能処理部103は、情報端末管理装置200からのネットワークの接続許可通知を一定期間待つ(ステップ505)。
【0039】
情報端末装置100の端末機能処理部103は、一定時間の間に情報端末管理装置200からの接続許可通知を受信できない場合、または、接続不可通知を受信した場合、情報端末装置100の通信制御部104を通じて、情報端末装置100のネットワーク接続を強制的に切断する(ステップ503)。
【0040】
情報端末装置100の端末機能処理部103が、一定時間の間に情報端末管理装置200からの接続許可通知を受信した場合、情報端末装置100の通信制御部104を通じて、情報端末装置100の送信処理の通信制御を解除する(ステップ506)。
【0041】
本実施形態における情報端末管理装置での処理概要を図6のフローチャートに示す。
【0042】
情報端末装置100のネットワーク接続を管理する情報端末管理装置200では、管理プログラム202の管理機能処理部203を通じて、情報端末装置100の端末プログラム102からのネットワーク接続要求を常時、待機している(ステップ601)。
【0043】
情報端末管理装置200が、情報端末装置100からのネットワーク接続要求を受けた場合、情報端末装置100からのネットワーク接続要求に含まれている情報と、情報端末管理装置200の管理情報204をもとに、ネットワーク接続要求元である情報端末装置100のネットワーク接続を審査する(ステップ602、603、604)。
【0044】
審査方法は、はじめに情報端末管理装置200の管理機能処理部203にて、情報端末装置100が送信してきたネットワーク接続要求から、端末プログラム102ごとにユニークに割り与えた識別IDを確認する(ステップ602)。次に、管理機能処理部203は、管理情報204を参照し、端末プログラム102の識別IDをもとに、ネットワーク接続要求を送信してきた情報通信装置100が接続できるネットワークの範囲・条件を確認する(ステップ603)。最後に、管理機能処理部203は、情報端末装置100が送信してきたネットワーク接続要求から、ネットワークの経路情報を取得し、先に管理情報204から取得した情報通信装置100が接続できるネットワークの範囲と条件について比較し、審査を行なう(ステップ604)。
【0045】
次に本発明における一実施例である図1において、情報端末管理装置200の管理機能処理部203で行なわれる審査の実施例を示す。
【0046】
また、本実施形態における管理情報204での登録内容について、概要を図7に示す。
【0047】
本実施例では、情報端末装置100がネットワークへ接続される以前に、情報端末装置100の管理者により、情報通信装置100が接続できるネットワークの範囲701と条件702が次のように管理情報204に登録されているものとする。
【0048】
情報通信装置100が接続できるネットワークの条件702。
【0049】
情報端末装置100(ID:α)…2010年度末までの間、平日の8時から22時までの間で
システムAからの接続利用を許可する。 …712
情報端末装置100(ID:β)…2010年度末までの間、終日の8時から22時までの間で
システムB、システムCからの接続利用を許可する。…714
情報端末装置100(ID:γ)…2010年度末までの間、週末の8時から22時までの間で
ダイアルアップ、ISPから接続利用を許可する。 …716
※ISP: Internet Service Provider
情報通信装置100が接続できるネットワークの範囲701。
【0050】
情報端末装置100から情報端末管理装置200までのネットワークの経路情報において
情報端末装置100(ID:α)…Y2またはP2が含まれること。 …711
情報端末装置100(ID:β)…次の条件のうち、どちらかを満たすこと。 …713
・システムBに接続:Y3またはP3が含まれること。
【0051】
・システムCに接続:Y5またはP5が含まれること。
【0052】
情報端末装置100(ID:γ)…次の条件のうち、どちらかを満たすこと。 …715
・ダイアルアップ接続:Y4またはP4が含まれること。
【0053】
・ISP接続:Z3、Z1、Q1が含まれること。
【0054】
情報端末装置100(ID:α)が接続場所(a)に接続されたとする。
【0055】
この時、情報端末管理装置200では、情報端末装置100からのネットワーク接続要求を待機しているものとする(ステップ601)。
【0056】
報端末管理装置200の管理機能処理部203では、情報端末装置100(ID:α)が送信してきたネットワーク接続要求から、情報端末装置100(ID:α)の端末プログラム102の識別IDと、情報端末装置100(ID:α)から情報端末管理装置200までのネットワークの経路情報401、402を確認する(ステップ602)。
【0057】
次に情報端末管理装置200の管理機能処理部203では、管理情報204より、ネットワーク接続要求元の情報端末装置100(ID:α)が接続できるネットワークの範囲711と条件712に関する情報を取得する(ステップ603)。
【0058】
次に、情報端末管理装置200の管理機能処理部203は、ネットワーク接続可能条件712について審査を行い、最後にネットワーク接続可能範囲711について、ネットワーク接続要求元の情報端末装置100(ID:α)が送信してきた情報端末管理装置200と情報端末装置100(ID:α)の間のネットワークの経路情報401、402より、情報端末装置100(ID:α)のネットワークへの接続の可否を審査する(ステップ604)。
【0059】
ネットワーク接続可能範囲711、条件712より、審査要件を満たしている場合には、情報端末装置100(ID:α)のネットワーク接続を認め、情報端末装置100(ID:α)に対して、接続許可通知を送信する(ステップ605)。
【0060】
同様に接続場所(a)に情報端末装置100(ID:β)が接続されたとする。
【0061】
この場合、情報端末装置100(ID:β)が情報端末管理装置200へ送信したネットワーク接続要求のネットワークの経路情報に、情報端末装置100(ID:β)の接続範囲713である中継地点(中継ルータのIPアドレス)が含まれていないため、情報端末管理装置200の管理機能処理部203は、情報端末装置100(ID:β)のネットワーク接続を認めず、情報端末装置100(ID:β)に対して接続不可通知を送信する(ステップ606)。
【0062】
本実施例において、残る接続場所(b)〜(f)においても、上記同様に情報端末装置100の端末プログラム102がユニークに所持している識別IDと情報端末管理装置200の管理情報204に登録されている情報通信装置100が接続できるネットワークの範囲701と条件702をもとに、情報端末装置100からのネットワーク接続要求に対して、認証を行い、情報端末装置100へ接続許可通知の送信(ステップ605)、または、接続不可通知の送信(ステップ606)を行なう。
【0063】
実施例のように情報端末装置100からのネットワーク接続要求に対して、ネットワーク接続の審査を行なった情報端末管理装置200の管理機能処理部203では、次に、審査の結果を審査情報として、管理記録205へ記録する(ステップ607)。
【0064】
審査情報には情報端末管理装置200宛に、ネットワーク接続要求のあった日付、時刻、ネットワーク接続要求に含まれていた全ての情報、審査結果、審査結果を送信した日付、時刻が含まれる。
【0065】
情報端末装置100の管理者は、管理対象となる情報端末装置100がネットワークへ接続可能なネットワークの範囲702と条件701を事前に検討し、情報端末管理装置200の管理情報204へ登録する必要がある。
【0066】
以上、実施例についての説明を終える。
【0067】
次に本システムを提供するサービスについて概要を説明する。
【0068】
情報端末装置100の管理者が情報端末装置100へ端末プログラム102を準備することを前提として、情報端末装置100の管理者へ情報端末管理装置200の機能を常時、提供するサービスを行なう場合、そのサービスを提供する側は、情報端末管理装置200および管理プログラム202を常時(24時間、365日)、準備し、情報端末装置100の管理者へサービスを提供する。
【0069】
情報端末装置100の管理者が前述のサービスを利用する場合は、情報端末装置100の管理者が情報端末装置100へ端末プログラム102を準備し、情報端末装置100ごとに情報端末管理装置の利用料金を支払う。
【0070】
前述のサービスを提供する側では、情報端末装置100の管理者へ、情報端末装置100の審査情報を提供する。
【図面の簡単な説明】
【0071】
【図1】本実施形態における情報端末のネットワーク接続監視管理記録サービスの概略構成図である。
【図2】本実施形態における情報端末のネットワーク接続監視管理記録サービスでの情報端末装置を示す図である。
【図3】本実施形態における情報端末のネットワーク接続監視管理記録サービスでの情報端末管理装置を示す図である。
【図4】本実施形態における情報端末のネットワーク接続監視管理記録サービスでのネットワーク経路情報のデータ構造を示す図である。
【図5】本実施形態における情報端末のネットワーク接続監視管理記録サービスでの情報端末装置における処理概要を示すフローチャートである。
【図6】本実施形態における情報端末のネットワーク接続監視管理記録サービスでの情報端末管理装置における処理概要を示すフローチャートである。
【図7】本実施形態における情報端末のネットワーク接続監視管理記録サービスでの管理情報における登録内容についての概要を示す図である。
【符号の説明】
【0072】
100…情報端末装置、101…通信装置、102…端末プログラム、103…端末機能処理部、104…通信制御部、105…通信監視部、200…情報端末管理装置、201…通信装置、202…情報端末管理装置、203…管理機能処理部、204…管理情報、205…管理記録、300…ゲートウェイ、400…電話機、(a),(b),(c),(d),(e),(f)…情報端末装置 設置場所、(r1),(r2)…ゲートウェイ・設置場所、X1…情報端末管理装置のグローバルアドレス、A1,A2,B1,B2,C1,C2,D1,E1,F1…情報端末装置のアドレス(ローカルIPアドレス)、Y1,Y2,Y3,Y4,Y5…情報端末装置と情報端末管理装置を結ぶネットワーク経路の通過点(サブシステム内のローカルIPアドレス)、P1,P2,P3,P4,P5,Q1,Q2…情報端末装置と情報端末管理装置を結ぶネットワーク経路の通過点(システム内のグローバルIPアドレス)、Z1,Z2,Z3…情報端末装置と情報端末管理装置を結ぶネットワーク経路の通過点(インターネット上のグローバルIPアドレス)。
【特許請求の範囲】
【請求項1】
情報端末装置のネットワーク接続を管理する管理プログラムを備え、情報端末装置から送付されるネットワーク経路情報をもとに、情報端末装置のネットワークへの接続を管理することを特徴とする情報端末管理装置。
【請求項2】
情報端末装置をネットワークに接続した際、情報端末装置から情報端末管理装置までのネットワーク経路情報を取得し、そのネットワーク経路情報を情報端末管理装置へ通知する端末プログラムを備えることを特徴とする情報端末装置。
【請求項3】
情報端末管理装置と情報端末装置によって構成される情報端末装置のネットワーク接続を管理するシステム。
【請求項4】
端末プログラムから送付されるネットワーク経路情報をもとに、情報端末装置が情報端末装置の管理者により指定されたネットワークの範囲・条件にて接続されていることを監視、管理、記録する管理プログラムのシステム。
【請求項5】
情報端末装置がネットワークへ接続された際、端末プログラムより、ネットワーク経路情報を情報端末管理装置へ送付し、情報端末管理装置より、ネットワークへの接続承認があった際に情報端末装置をネットワークへ接続する端末プログラムのシステム。
【請求項6】
情報端末管理装置と情報端末装置によって構成されるシステムにおいて、情報端末装置の管理者が情報端末装置へ端末プログラムを準備することを前提として、情報端末装置の管理者へ管理プログラムの機能を常時提供するサービスシステム。
【請求項1】
情報端末装置のネットワーク接続を管理する管理プログラムを備え、情報端末装置から送付されるネットワーク経路情報をもとに、情報端末装置のネットワークへの接続を管理することを特徴とする情報端末管理装置。
【請求項2】
情報端末装置をネットワークに接続した際、情報端末装置から情報端末管理装置までのネットワーク経路情報を取得し、そのネットワーク経路情報を情報端末管理装置へ通知する端末プログラムを備えることを特徴とする情報端末装置。
【請求項3】
情報端末管理装置と情報端末装置によって構成される情報端末装置のネットワーク接続を管理するシステム。
【請求項4】
端末プログラムから送付されるネットワーク経路情報をもとに、情報端末装置が情報端末装置の管理者により指定されたネットワークの範囲・条件にて接続されていることを監視、管理、記録する管理プログラムのシステム。
【請求項5】
情報端末装置がネットワークへ接続された際、端末プログラムより、ネットワーク経路情報を情報端末管理装置へ送付し、情報端末管理装置より、ネットワークへの接続承認があった際に情報端末装置をネットワークへ接続する端末プログラムのシステム。
【請求項6】
情報端末管理装置と情報端末装置によって構成されるシステムにおいて、情報端末装置の管理者が情報端末装置へ端末プログラムを準備することを前提として、情報端末装置の管理者へ管理プログラムの機能を常時提供するサービスシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2007−36640(P2007−36640A)
【公開日】平成19年2月8日(2007.2.8)
【国際特許分類】
【出願番号】特願2005−216641(P2005−216641)
【出願日】平成17年7月27日(2005.7.27)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成19年2月8日(2007.2.8)
【国際特許分類】
【出願日】平成17年7月27日(2005.7.27)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]