接続制御装置及びプログラム
【課題】接続制御に係る処理の負担を軽減しつつ、条件を満足しない情報処理装置の通信を制御する技術が求められている。
【解決手段】通信先ごとに、当該通信先への接続が許諾されるソフトウエアの版情報に関する条件を関連づけて記憶する。要求元となり得る情報処理装置2が保持するソフトウエアの版が、当該取得した条件を満足するか否かを判断し、判断の結果、要求元のソフトウエアの版が、当該取得した条件を満足する場合に、通信先への接続を許諾する設定とした相互通信許否表を生成する。要求元から通信先への接続要求を受けて、当該相互通信許否表に基づいて、当該要求元から要求された通信先への通信の許否を決定し、通信を許可するとの決定であった場合に、要求元と通信先との通信を仲介する。
【解決手段】通信先ごとに、当該通信先への接続が許諾されるソフトウエアの版情報に関する条件を関連づけて記憶する。要求元となり得る情報処理装置2が保持するソフトウエアの版が、当該取得した条件を満足するか否かを判断し、判断の結果、要求元のソフトウエアの版が、当該取得した条件を満足する場合に、通信先への接続を許諾する設定とした相互通信許否表を生成する。要求元から通信先への接続要求を受けて、当該相互通信許否表に基づいて、当該要求元から要求された通信先への通信の許否を決定し、通信を許可するとの決定であった場合に、要求元と通信先との通信を仲介する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、接続制御装置及びプログラムに関する。
【背景技術】
【0002】
支社ネットワークや本社ネットワークに、クライアント端末やサーバが接続され、支社ネットワーク及び本社ネットワークは、認証サーバの管理ネットワークに接続され、クライアント端末が、本社ネットワークに接続されているサーバからデータを取得する場合には、認証サーバにアクセスし、認証サーバは、クライアント端末のウィルス対策ソフトウェアが基準バージョンでない場合には、クライアント端末のウィルス対策ソフトウェアを基準バージョンに更新した上で、サーバへの接続許可を行なうという技術が特許文献1に開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2006−252471号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
接続制御に係る処理の負担を軽減しつつ、条件を満足しない情報処理装置の通信を制御する技術が求められている。
【課題を解決するための手段】
【0005】
請求項1記載の発明は、接続制御装置であって、通信先ごとに、当該通信先への接続が許諾されるソフトウエアの版情報に関する条件を関連づけて記憶する手段と、要求元となり得る情報処理装置が保持するソフトウエアの版が、当該取得した条件を満足するか否かを判断する判断手段と、前記判断の結果、要求元のソフトウエアの版が、当該取得した条件を満足する場合に、前記通信先への接続を許諾する設定とした相互通信許否表を生成する手段と、要求元から通信先への接続要求を受けて、前記生成された相互通信許否表に基づいて、当該要求元から要求された通信先への通信の許否を決定する手段と、前記決定が通信を許可するとの決定であった場合に、前記要求元と通信先との通信を仲介する手段と、を含むこととしたものである。
【0006】
請求項2記載の発明は、請求項1記載の接続制御装置であって、各通信先が属する通信手段ごとに、接続が許諾されるソフトウエアの版情報に関する前記条件が設定されることとしたものである。
【0007】
請求項3記載の発明は、請求項1記載の接続制御装置であって、各通信先ごとに、接続が許諾されるソフトウエアの版情報に関する前記条件が設定されることとしたものである。
【0008】
請求項4記載の発明は、請求項1から3のいずれか一項に記載の接続制御装置であって、前記決定が通信を許可しないとの決定であった場合に、条件を満足するソフトウエアの版の参照情報を提供する手段と、をさらに含むこととしたものである。
【0009】
請求項5記載の発明はプログラムであって、コンピュータを、通信先ごとに、当該通信先への接続が許諾されるソフトウエアの版情報に関する条件を関連づけて記憶する手段と、要求元となり得る情報処理装置が保持するソフトウエアの版が、当該取得した条件を満足するか否かを判断する判断手段と、前記判断の結果、要求元のソフトウエアの版が、当該取得した条件を満足する場合に、前記通信先への接続を許諾する設定とした相互通信許否表を生成する手段と、要求元から通信先への接続要求を受けて、前記生成された相互通信許否表に基づいて、当該要求元から要求された通信先への通信の許否を決定する手段と、前記決定が通信を許可するとの決定であった場合に、前記要求元と通信先との通信を仲介する手段と、として機能させることとしたものである。
【発明の効果】
【0010】
請求項1、5記載の発明によると、通信の要求元が保持するソフトウエアの版による通信の許否を予め定めて相互通信許否表としておくので、接続制御に係る処理の負担を軽減しつつ、条件を満足しない情報処理装置の通信を制御できる。
【0011】
請求項2記載の発明によると、相互通信許否を通信先のネットワークごとに定めることができる。
【0012】
請求項3記載の発明によると、相互通信許否を個々の通信先ごとに定めることができる。
【0013】
請求項4記載の発明によると、相互通信を許可しないときに、ソフトウエアのダウンロードを勧めることができる。
【図面の簡単な説明】
【0014】
【図1】本発明の実施の形態に係る通信制御装置の構成例を表すブロック図である。
【図2】本発明の実施の形態に係る通信制御装置が保持する版情報データベースの内容例を表す説明図である。
【図3】本発明の実施の形態に係る通信制御装置が保持する認証のための情報例を表す説明図である。
【図4】本発明の実施の形態に係る通信制御装置において設定される相互接続性情報の例を表す説明図である。
【図5】本発明の実施の形態に係る通信制御装置によるアクセス制御テーブルの生成処理例を表すフローチャート図である。
【図6】本発明の実施の形態に係る通信制御装置が生成するアクセス制御テーブルの例を表す説明図である。
【図7】本発明の実施の形態に係る通信制御装置において設定される相互接続性情報の別の例を表す説明図である。
【図8】本発明の実施の形態に係る通信制御装置が生成するアクセス制御テーブルの別の例を表す説明図である。
【図9】本発明の実施の形態に係る通信制御装置が保持するサーバの参照情報の例を表す説明図である。
【図10】本発明の実施の形態に係る通信制御装置が通信の要求側に提示する一覧の例を表す説明図である。
【発明を実施するための形態】
【0015】
本発明の実施の形態に係る通信制御装置1は、図1に例示するように、認証装置10と、通信中継装置20とを含む。ここで通信中継装置20は、ネットワーク等の第1の通信手段を介して、通信の要求元となる情報処理装置2に接続される。さらにこの通信中継装置20は、ネットワーク等の第2の通信手段を介して、通信先となる情報提供装置3に接続されている。なお、以下の説明では、第1の通信手段や第2の通信手段は、いずれも、イーサネット(登録商標)などのネットワークであるものとする。また、これら認証装置10と通信中継装置20とは一体の装置であってもよいが、ここでは機能的に別体の装置である例について示す。
【0016】
本実施の形態の認証装置10は、制御部11と、記憶部12と、インタフェース部13とを含む。また、通信中継装置20は、制御部21と、記憶部22と、インタフェース部23と、通信部24とを含む。ここで認証装置10の制御部11は、CPU(Central Processing Unit)等のプログラム制御デバイスであり、記憶部12に格納されたプログラムに従って動作する。この制御部11は、インタフェース部13を介して通信中継装置20との間で情報を授受する。
【0017】
またこの制御部11は、通信中継装置20から通信の要求元となる情報処理装置2ごとに、情報処理装置2を特定する情報と、当該情報処理装置2にインストールされているソフトウエア(オペレーティング・システムなどの基本プログラムや、情報の通信に用いられるブラウザ等のアプリケーションソフトウエア、ウィルス検知・除去等を行うセキュリティ・ソフトウエアなどの応用プログラムを含む)の版(バージョン)の情報とを含むデバイス情報を受信する。
【0018】
ここでソフトウエアの版の情報は、ソフトウエアを特定する情報と、版を特定する情報とを関連づけた情報であり、またここでデバイス情報には、情報処理装置2にインストールされているすべてのソフトウエアに係る版の情報ではなく、予め定められた一部のソフトウエアに係る版の情報に限られてもよい。
【0019】
制御部11は、受信した情報処理装置2を特定する情報と、インストールされているソフトウエアの版情報とを関連づけて、版情報データベースとして、記憶部12に格納する(図2)。なお、情報処理装置2を特定する情報には、情報処理装置2の種別(パーソナルコンピュータ、プリンタやスキャナなどの機能を複合的に実現する複合機、シン・クライアントなどの別)を表す情報や、通信に用いられるネットワークアドレス(MAC(Media Access Control)アドレスや、IP(Internet Protocol)アドレスなど)等を含む。
【0020】
本実施の形態では、この認証装置10の制御部11は、この版情報データベースを参照して、一対のネットワークアドレス・ペアについて相互の通信の許否を表すアクセス制御テーブル(相互通信許否表)を生成し、通信中継装置20に当該生成したアクセス制御テーブルを送出する。
【0021】
さらに、制御部11は、情報処理装置2の利用者が入力した利用者の識別情報(利用者名など)と、パスワードなどの認証情報とを通信中継装置20を介して受け入れる。そして図3に例示するように、記憶部12に予め保持されている、利用者名などの利用者の識別情報と、利用者ごとに予め定められたパスワードなどの認証情報とを関連づけた認証テーブルを参照し、情報処理装置2の利用者を認証する。そして当該認証の結果を表す情報を通信中継装置20に出力する。この制御部11によるアクセス制御テーブルの生成の動作については、後に詳しく述べる。
【0022】
記憶部12は、メモリデバイスなどであり、制御部11によって実行されるプログラムが保持される。このプログラムは、DVD−ROM(Digital Versatile Disc Read Only Memory)等のコンピュータ可読な記録媒体に格納されて提供され、この記憶部12に複写されたものとしてもよい。また、本実施の形態では、この記憶部12には既に述べたように、図2に例示される版情報データベースや、図3に例示される認証テーブルが保持されている。さらにこの記憶部12は、制御部11のワークメモリとしても動作する。
【0023】
インタフェース部13は、USB(Universal Serial Bus)や、ネットワークなどでよく、制御部11から入力される指示に従い、通信中継装置20との間で情報を送受する。また、このインタフェース部13は、通信中継装置20から受信する情報を制御部11に出力する。
【0024】
通信中継装置20の制御部21は、CPU(Central Processing Unit)等のプログラム制御デバイスであり、記憶部22に格納されたプログラムに従って動作する。この制御部21は、通信の要求元となる情報処理装置2から、当該情報処理装置2を特定する情報と、当該情報処理装置2にインストールされているソフトウエアの版の情報とを受信し、当該情報を認証装置10に送出する。
【0025】
また、この制御部21は、認証装置10からアクセス制御テーブルの情報を受信して記憶部22に格納し、情報処理装置2から情報提供装置3への通信要求を受け入れると、このアクセス制御テーブルを参照し、アクセス制御テーブルによって通信が許諾されている場合に、当該通信要求を、通信先として指定された情報提供装置3に中継し、そして当該通信要求に応答して情報提供装置3から受信される情報を要求元である情報処理装置2へ中継する処理(中継処理)を実行する(フィルタリング処理)。この制御部21のフィルタリング処理の動作例については後に詳しく述べる。
【0026】
記憶部22は、メモリデバイスなどであり、制御部21によって実行されるプログラムが保持される。このプログラムは、DVD−ROM(Digital Versatile Disc Read Only Memory)等のコンピュータ可読な記録媒体に格納されて提供され、この記憶部22に複写されたものとしてもよい。またこの記憶部22は、後に述べるアクセス制御テーブルを保持し、さらに制御部21のワークメモリとしても動作する。
【0027】
インタフェース部23は、USB(Universal Serial Bus)や、ネットワークなどでよく、制御部21から入力される指示に従い、認証装置10との間で情報を送受する。また、このインタフェース部23は、認証装置10から受信する情報を制御部21に出力する。
【0028】
通信部24は、ネットワーク等の通信手段に接続されるインタフェースである。本実施の形態のある例では、この通信部24は、複数のネットワークインタフェースを含む。そしてこの通信部24は各ネットワークインタフェースに接続されるそれぞれのネットワーク(例えばIP(Internet Protocol)アドレスにより区別される複数のネットワークのそれぞれ)を介して、各ネットワークに接続されている情報処理装置2や、情報提供装置3との間で情報を送受する。ここではネットワークは例えば一つのブロードキャストが到達する範囲ごとに、複数に切り分けられているものとする。
【0029】
情報処理装置2は、一般的なコンピュータ(サーバコンピュータ(サーバとしての動作を行うコンピュータ)を含む)、プリンタ・スキャナなどの機能を複合的に実現する複合機など、種々のコンピュータ関連機器であり、通信手段を介して通信中継装置20に接続されている。また、この情報処理装置2は、通信中継装置20に対し、情報提供装置3との通信を要求し、情報提供装置3との間の通信の中継を行わせる。
【0030】
本実施の形態の一例では、この情報処理装置2には、オペレーティングシステムなどの基本ソフトウエアや、ブラウザ、ウィルス対策ソフトウエア、ダウンロードクライアントなど種々の応用プログラムがインストールされ、情報処理装置2は、これらのソフトウエア、プログラムの指示に従って動作する。
【0031】
具体的に情報処理装置2は、通信中継装置20に対して通信手段を介して接続されると、通信中継装置20を介して認証装置10宛に、予め初期に送信するべき情報として定められているデバイス情報を送信する。ここでデバイス情報には、自己(情報処理装置2)を特定する情報と、自己にインストールされている基本ソフトウエア(オペレーティング・システムなど)や、応用プログラム(情報の通信に用いられるブラウザ等のアプリケーションソフトウエア、ウィルス検知・除去等を行うセキュリティ・ソフトウエア)の版(バージョン)の情報とを含む。また既に述べたように、情報処理装置2を特定する情報には、情報処理装置2の種別(パーソナルコンピュータ、プリンタやスキャナなどの機能を複合的に実現する複合機、シン・クライアントなどの別)を表す情報や、通信に用いられるネットワークアドレス(MAC(Media Access Control)アドレスや、IP(Internet Protocol)アドレスなど)等を含んでもよい。これらの情報は予め設定され、情報処理装置2が記憶しているものとする。
【0032】
情報処理装置2は、利用者から入力される利用者名とパスワードなど、認証に係る情報を通信中継装置20に送信し、また、利用者から指示された通信先の情報(通信先のネットワークアドレスやURL(Uniform Resource Locator)等)とともに通信の要求を通信中継装置20に送信するようにしてもよい。そして通信中継装置20が中継する通信先である情報提供装置3から送信される情報、または通信中継装置20からのメッセージの情報を受信し、当該受信した情報を表示する等、予め定めた処理を実行する。
【0033】
情報提供装置3は、例えばウェブサーバやFTP(File Transfer Protocol)サーバなどであり、ネットワーク等の通信手段を介して本実施の形態の通信中継装置20に接続されている。この情報提供装置3は、通信中継装置20を介して情報処理装置2が送信する通信の要求に応答し、当該要求に対する情報として予め定められる情報を送信する。
【0034】
次に本実施の形態の通信制御装置1における認証装置10、及び通信中継装置20の具体的動作例について説明する。ここでは本実施の形態の一例として、通信先の情報提供装置3が含まれるネットワークごとに、当該ネットワーク上の情報提供装置3と通信可能なソフトウエアの版情報を定め、相互接続性情報として認証装置10に設定しておくものとする。具体的に認証装置10の記憶部12に格納される相互接続性情報は、図4に例示するように、ネットワークを特定する情報(例えば当該ネットワークのIP(Internet Protocol)アドレスのうち、ネットワークのアドレスを表す部分(サブネットアドレスを除く部分))を特定する情報(ネットワークがTCP/IP(Transfer Control Protocol/Internet Protocol)ネットワークであれば、そのブロードキャストアドレスでよい)と、当該情報で特定されるネットワークに属する通信先に対して通信をする情報処理装置2の通信許否の条件として、当該情報処理装置2にインストールされているべきソフトウエアを特定する情報とその版情報とを関連づけて記録したものである。
【0035】
図4に示した相互接続性情報の例では、ソフトウエアを特定する情報ごとに、ネットワークを特定する情報と、対応するネットワーク上の情報提供装置3と相互に通信するために必要なソフトウエアの版情報を互いに関連づけたものとしている。もっとも、相互接続性情報の例はこれに限らず、ドメイン名が「xxx.yyy.zzz」であるネットワークにおいて、「基本ソフトウエアがAであればバージョンがVa、基本ソフトウエアがBであればバージョンがVbであり、かつ、応用プログラムXがインストールされ、そのバージョンがVx、かつ、応用プログラムYがインストールされ、そのバージョンがVy以上である」と設定するなどとしてもよい。すなわち本実施の形態では、ソフトウエア(プログラム)を特定する情報とそれに関する版情報の範囲または値とを関連づけた条件要素を単独で、あるいは任意の論理式で組み合わせて版情報に関する条件を設定することとしてもよい。
【0036】
また、図4の例において、ネットワークを特定する情報は、「その他のネットワーク(OTHERWISE)」や、「IPアドレスが192.168以外で開始される」、あるいは「ドメイン名の末尾が.jp以外である」、さらには「IPアドレスの先頭がxxxである」、「ドメイン名の末尾が.comである」のように、複数のネットワークを特定する情報となっていてもよい。
【0037】
またここで、認証装置10の制御部11によるアクセス制御テーブルの生成動作について説明する。制御部11は、アクセス制御テーブルを生成する際には、図5に示すように、版情報データベースにデバイス情報が保持されている情報処理装置2のうちから一つ(未選択のもの)を注目デバイスとして選択する(S1)。また制御部11は、版情報データベースにおいて、注目デバイスに関連づけられたデバイス情報を注目デバイス情報として読み出す(S2)。
【0038】
制御部11は、さらに、相互接続性情報を参照し、ネットワークを特定する情報を順次選択しつつ以下の処理を繰り返す。すなわち選択したネットワークを特定する情報に関連する通信許否の条件と、処理S2で読み出した注目デバイス情報とを比較する(S3)。例えば図4に示した例において、192.168.120.255というブロードキャストアドレスで特定されるネットワーク(192.168.255.255のネットワークに包含される)については、ソフトウエアSW−Pについて版情報が1.5以上であることが条件であり、また、ソフトウエアSW−Qについて、版情報が3.2以上であることが条件となっている。
【0039】
そこで制御部11は、注目デバイス情報において、ソフトウエアSW−Pについて版情報が1.5以上であり、かつ、ソフトウエアSW−Qについて、版情報が3.2以上であるか否かが調べられる。ここで注目デバイス情報において、ソフトウエアSW−Pについて版情報が1.5以上であり、かつ、ソフトウエアSW−Qについて、版情報が3.2以上であれば、注目デバイス情報が通信許否の条件を満足すると判断する。一方、ソフトウエアSW−Pについて版情報が1.5以上でないか、またはソフトウエアSW−Qについて、版情報が3.2以上でない場合、あるいは、ソフトウエアSW−PまたはSW−Qのインストールが為されていないときは、注目デバイス情報が通信許否の条件を満足しないと判断する。
【0040】
制御部11は、注目デバイス情報が通信許否の条件を満足する場合に(条件充足の場合)、選択しているネットワークを特定する情報と、注目デバイスを特定する情報との組について、通信を許可する旨のフラグ情報を関連づける(S4)。そして処理S3からの処理を、選択していないネットワークを特定する情報がなくなるまで繰り返す(S5)。一方、処理S3において、注目デバイス情報が、選択されたネットワークを特定する情報に関連づけられた通信許否の条件を満足しない場合(条件非充足の場合)は、選択しているネットワークを特定する情報と、情報処理装置2を特定する情報との組について、通信を許可しない旨のフラグ情報を関連づけて(S6)、処理S3に移行する。
【0041】
処理S5において、処理の繰り返しが終了すると、制御部11は、版情報データベースに保持されている情報で特定される情報処理装置2のうち、未だ注目デバイスとして選択されていないものがあるか否かを調べ(S7)、選択されていないものがあれば(Yesならば)、処理S1に戻って未選択の情報処理装置2の一つを注目デバイスとして選択する処理から繰り返す。
【0042】
一方、処理S7において未だ注目デバイスとして選択されていないものがない、つまり、すべての情報処理装置2についての処理を終了したと判断した場合(Noの場合)は、この処理を終了する。
【0043】
こうして制御部11は、版情報データベースに設定のある情報処理装置2を特定する情報と、規制情報テーブルに設定のある各ネットワークを特定する情報とに関連して、相互に通信が許可されるか否かを表すアクセス制御テーブル(図6)を生成する。制御部11は、この生成したアクセス制御テーブルを、通信中継装置20に対して送出する。制御部11は、このアクセス制御テーブルの生成と送出を、通信中継装置20からの指示により実行することとしてもよい。一例として、制御部11は、通信中継装置20から、情報処理装置2を特定する情報とデバイス情報とを関連づけた情報を受信したときに、この情報を版情報データベースに格納して、版情報データベースを更新するとともに、アクセス制御テーブルの生成と送出とを行ってもよい。
【0044】
通信中継装置20の制御部21は、アクセス制御テーブルが認証装置10から送出されると、当該アクセス制御テーブルを受信して記憶部22に格納する。ここで既にアクセス制御テーブルが記憶部22に格納されている場合は、当該既に格納されているアクセス制御テーブルに上書きして、新たに受信したアクセス制御テーブルを格納する。
【0045】
制御部21は、通信部24を介して情報処理装置2から情報提供装置3への通信要求を受け入れる。この通信要求には、情報提供装置3のネットワークアドレスなど通信先を特定する情報が含まれる。制御部21は、アクセス制御テーブルに含まれるネットワークを特定する情報のうち、当該通信要求に含まれる通信先を特定する情報(情報提供装置3のネットワークアドレスやドメイン名を含むURL(Uniform Resource Locator)など)に対して最長一致するもの(一致する部分の長さが最長のもの)を見いだす。そして制御部21は、当該見いだしたネットワークを特定する情報に関連づけられている通信の許否を表す情報を取得する。
【0046】
制御部21は、当該取得した通信の許否を表す情報が通信を許可する旨の情報である場合は、情報処理装置2から受け入れた通信要求を、通信部24を介して情報提供装置3へ送出する。また、制御部21は、通信部24を介して情報提供装置3から受信される、応答に係る情報を受け入れ、通信要求元である情報処理装置2に対し、通信部24を介して当該応答に係る情報を送出する。
【0047】
一方制御部21は、上記取得した通信の許否を表す情報が通信を許可しない旨の情報であった場合は、情報処理装置2に対して、予め定めた通信不可を表す情報(以下、通信不可時情報と呼ぶ)を送出する。ここで通信不可時情報は、例えば「通信ができません」のようなメッセージの情報であってもよい。
【0048】
本実施の形態の一例に係る通信制御装置1は、以上の構成を備えてなり、次の例のように動作する。なお、以下の例において、情報処理装置2aには、ソフトウエアSW−Pとして版情報が2.0であるものがインストールされ、SW−Qとして版情報が4.0であるものがインストールされているものとする。また、情報処理装置2bには、ソフトウエアSW−Pとして版情報が1.5であるものがインストールされ、SW−Qとして版情報が4.0であるものがインストールされているものとする。さらに、情報処理装置2cには、ソフトウエアSW−Pとして版情報が1.3であるものがインストールされ、SW−Qとして版情報が3.2であるものがインストールされているものとする。さらに情報処理装置2dには、ソフトウエアSW−Pとして版情報が2.0であるものがインストールされ、SW−Qとして版情報が3.0であるものがインストールされているものとする。また、以下の説明では相互接続性情報として図4に示す情報が設定されているとする。
【0049】
認証装置10は、各情報処理装置2a,2b,2c,2dから通信中継装置20を介して受信されるデバイス情報を受け入れる。そして図4に例示した相互接続性情報を参照しつつアクセス制御テーブル(図6)を生成する。ここでは、情報処理装置2aにインストールされたソフトウエアSW−Pは、192.168.120.255、192.168.150.255、192.168.100.255、255.255.255.255のすべてについて条件を満足しており、SW−Qについても、192.168.255.255(192.168.120.255、192.168.150.255、192.168.100.255を包含する)、255.255.255.255(このアドレスは「その他」に相当する)における条件を満足しているので、192.168.120.255、192.168.150.255、192.168.100.255、255.255.255.255のすべてについて、それらの上にある情報提供装置3と、情報処理装置2aとの相互通信を許可する設定とする(図6)。
【0050】
また、情報処理装置2bにインストールされたソフトウエアSW−Pは、192.168.120.255、192.168.150.255、192.168.100.255については条件を満足するが、255.255.255.255について条件を満足しておらず、また、SW−Qについては、192.168.255.255(192.168.120.255、192.168.150.255、192.168.100.255を包含する)、255.255.255.255についてすべて条件を満足している。そこで、認証装置10は、192.168.120.255、192.168.150.255、192.168.100.255上の情報提供装置3と、情報処理装置2bとの相互通信を許可する設定とする。また、255.255.255.255上の情報提供装置3と情報処理装置2bとの相互通信を許可しない設定とする。
【0051】
さらに情報処理装置2cについては、インストールされたソフトウエアSW−Pの版情報が、192.168.100.255については条件を満足するが、その他のネットワークについては条件を満足せず、また、ソフトウエアSW−Qの版情報においても、192.168.255.255(192.168.120.255、192.168.150.255、192.168.100.255を包含する)については条件を満足するが、255.255.255.255について条件を満足していない。そこで認証装置10は、192.168.100.255のネットワーク上の情報提供装置3と、情報処理装置2cとの相互通信を許可する設定とする。また、その他の情報提供装置3と情報処理装置2cとの相互通信を許可しない設定とする。
【0052】
さらに情報処理装置2dには、ソフトウエアSW−Pとして版情報が2.0であるものがインストールされているので、192.168.120.255、192.168.150.255、192.168.100.255、255.255.255.255のすべてについて条件を満足しているが、SW−Qとして版情報が3.0であるために、192.168.255.255(192.168.120.255、192.168.150.255、192.168.100.255を包含する)、255.255.255.255における条件を満足していない。そこで認証装置10は、情報処理装置2dについては、いずれのネットワーク上の情報提供装置3との通信も許可しない設定とする。
【0053】
そして認証装置10は、このように設定したアクセス制御テーブルを通信中継装置20に送出する。そして通信中継装置20がこのアクセス制御テーブルを記憶して、このアクセス制御テーブルに従って、情報処理装置2と情報提供装置3との通信の許否を決定し、許可すると決定した場合に、相互の通信を仲介する。
【0054】
具体的に、通信中継装置20に図6に例示したアクセス制御テーブルが格納されている場合に、情報処理装置2cから、アドレスが192.168.100.1である情報提供装置3への通信要求を受け入れると、通信中継装置20は、通信要求に含まれる通信先のアドレス192.168.100.1に最長一致するネットワークを、アクセス制御テーブルから検索する。ここでは192.168.100.1に対しては192.168.100.255に最長一致するので、当該検索により見いだしたネットワーク(ブロードキャストアドレスが192.168.100.255であるネットワーク)上の情報提供装置3との相互通信の許否の情報を参照する。
【0055】
図6の例では、情報処理装置2cと、ブロードキャストアドレスが192.168.100.255であるネットワーク上の情報提供装置3との相互通信は許可されているので、通信中継装置20は、情報処理装置2cからの通信要求を、アドレスが192.168.100.1である情報提供装置3へ中継する。そして当該アドレスが192.168.100.1である情報提供装置3からの応答を、情報処理装置2cへ送出する。
【0056】
一方、情報処理装置2cから、アドレスが203.178.83.194であるような情報提供装置3への通信要求を受け入れると、通信中継装置20は、通信要求に含まれる通信先のアドレス203.178.83.194に最長一致するネットワークを、アクセス制御テーブルから検索する。ここでは203.178.83.194に対して最長一致するものがない。このような場合は、通信中継装置20の制御部21が「その他」に相当する(255.255.255.255の)ネットワークに対する相互通信の許否の情報を参照することとすればよい。
【0057】
ここでは「その他」に相当する(255.255.255.255の)ネットワーク上の情報提供装置3と、情報処理装置2cとの間の通信は許可しない設定とされているので、通信中継装置20は、情報処理装置2cに対して通信ができない旨の情報を送出する。そして情報処理装置2cでは、当該情報を利用者に提示する等の処理を行う。
【0058】
[通信先ごとの設定]
ここまでの説明では、相互接続性情報はネットワークごとに、ソフトウエアの版情報に係る条件を定めていたが、本実施の形態はこれだけに限られない。すなわち、相互接続性情報として通信先ごと(例えばアドレスごと)に、当該通信先の情報提供装置3と相互に通信するために必要とされるソフトウエアの版情報の条件を定めてもよい。
【0059】
図7は、その一例を表す説明図である。図7の例では、ソフトウエアSW−Rの版情報について、通信先192.168.100.77は、版情報が5.0以上であることを要求し、通信先192.168.100.88は、版情報が4.2以上であることを要求し…というように定められている。
【0060】
この例では、情報処理装置2の各々について、インストールされているソフトウエアSW−Rの版情報と要求された版情報とを比較して、各通信先に対応する相互通信の許否がアクセス制御テーブルに設定される(図8(a))。また、ネットワークごとの設定と通信先ごとの設定とが相互接続性情報において混在していても構わない。例えば相互接続情報として図4に例示したネットワークごとの設定と、図7に例示した通信先ごとの設定との双方を含む場合、認証装置10が生成するアクセス制御テーブルは、図8(b)に例示するように、各情報処理装置2と各ネットワークを特定する情報とに対応する通信の許否と、各情報処理装置2と各通信先に対応する通信の許否とを含むものとなる。
【0061】
具体的に、通信中継装置20に図8(b)に例示したアクセス制御テーブルが格納されているときに、情報処理装置2cから、アドレスが192.168.100.1である情報提供装置3への通信要求を受け入れると、通信中継装置20は、通信要求に含まれる通信先のアドレス192.168.100.1に最長一致するネットワークを、アクセス制御テーブルから検索する。ここでは192.168.100.1に対しては192.168.100.255に最長一致するので、当該検索により見いだしたネットワーク(ブロードキャストアドレスが192.168.100.255であるネットワーク)上の情報提供装置3との相互通信の許否の情報を参照する。
【0062】
図8(b)の例では、情報処理装置2cと、ブロードキャストアドレスが192.168.100.255であるネットワーク上の情報提供装置3との相互通信は許可されているので、通信中継装置20は、情報処理装置2cからの通信要求を、アドレスが192.168.100.1である情報提供装置3へ中継する。そして当該アドレスが192.168.100.1である情報提供装置3からの応答を、情報処理装置2cへ送出する。
【0063】
さらに情報処理装置2cから、アドレスが192.168.100.77である情報提供装置3への通信要求を受け入れると、通信中継装置20は、通信要求に含まれる通信先のアドレス192.168.100.77に最長一致するネットワークを、アクセス制御テーブルから検索する。ここでは192.168.100.77は、アクセス制御テーブル上の192.168.100.77そのものに最長一致するので、当該検索により見いだした通信先である情報提供装置3との相互通信の許否の情報を参照する。
【0064】
図8(b)の例では、情報処理装置2cと、アドレスが192.168.100.77である情報提供装置3との相互通信は許可されていないので、通信中継装置20は、情報処理装置2cに対して通信ができない旨の情報を送出する。そして情報処理装置2cでは、当該情報を利用者に提示する等の処理を行う。
【0065】
[ダウンロードの案内]
また、ここでは通信が許可されていない情報提供装置3との通信が情報処理装置2から要求された場合に、通信中継装置20が、当該要求元の情報処理装置2に対して、通信ができない旨の情報を送出することとしていたが、本実施の形態は、これに限られない。すなわち、要求した通信が許可されない当該情報処理装置2に対して、当該通信ができない旨の設定の原因となったソフトウエアの新しい版をダウンロードするよう指示してもよい。この場合、通信中継装置20はさらに当該ソフトウエアのダウンロードが可能なサーバのアドレス(参照情報)を案内してもよい。
【0066】
一例として、通信中継装置20はソフトウエアを特定する情報と、当該情報で特定されるソフトウエアの新しい版をダウンロード可能なサーバのアドレスとを関連づけたテーブル(図9)を記憶部22に保持しておく。そして制御部21が、通信の要求を送信した情報処理装置2について、要求された通信先との相互の通信がアクセス制御テーブルにおいて許可されていない場合は、図9に例示したテーブルを参照し、ソフトウエアごとに、その新しい版をダウンロード可能なサーバのアドレスの一覧を、通信ができない旨の情報とともに通信の要求元となった情報処理装置2に対して送信してもよい。情報処理装置2の利用者は、当該サーバのアドレスを参照して、新しい版のソフトウエアをダウンロードする。
【0067】
[理由情報の提示]
さらに本実施の形態において認証装置10の制御部11は、アクセス制御テーブルの作成時に次のような処理を行ってもよい。すなわち、図5に例示した処理の処理S3において、注目デバイス情報が、選択されたネットワークを特定する情報に関連づけられた通信許否の条件を満足しない場合(条件非充足の場合)は、選択しているネットワークを特定する情報と、情報処理装置2を特定する情報との組について、通信を許可しない旨のフラグ情報を関連づける(処理S6)とともに、満足されなかった通信許否の条件に係るソフトウエアを特定する情報と、当該特定されたソフトウエアの、情報処理装置2に処理の時点でインストールされている版の情報とをさらに関連づけてアクセス制御テーブルに含めてもよい。
【0068】
例えば図5の処理S3において、ある情報処理装置2から受信した注目デバイス情報により、当該情報処理装置2にインストールされているソフトウエアSW−Pについて版情報が1.5以上でなく、相互接続性情報に示された、192.168.120.255のネットワーク上の情報提供装置3へのアクセスが許可されていないと判断されるとすると、認証装置10の制御部11は、通信を許可しない旨のフラグ情報に対して、選択しているネットワークを特定する情報と、情報処理装置2を特定する情報との組について、満足されなかった通信許否の条件に係るソフトウエアを特定する情報(ここでは「SW−P」)と、当該特定されたソフトウエアの、情報処理装置2に処理の時点でインストールされている版の情報(ここでは例えば「1.4」)とをさらに関連づけて保持する。
【0069】
なお、あるソフトウエアの版情報により、複数の通信先(ネットワークや通信先そのもの)との相互通信が許可されていない場合、当該相互通信が許可されていない複数の通信先のいずれかを選択して、通信が許可されていない通信先を表す情報の少なくとも一部として選択しているネットワークを特定する情報と、情報処理装置2を特定する情報との組に関連づけてアクセス制御テーブルに含めてもよい。
【0070】
この例では、通信中継装置20の制御部21は、情報処理装置2から通信要求を受け入れ、当該通信要求に係る通信先と、当該要求元である情報処理装置2との間の相互通信の許否を表すフラグ情報を、アクセス制御テーブルから読み出し、当該読み出したフラグ情報により相互通信が許可されていないと判断したときに、当該フラグ情報に関連づけられている、ソフトウエアを特定する情報と、当該特定されたソフトウエアの、情報処理装置2にインストールされている版の情報とを読み出す。
【0071】
そして制御部21は、相互通信が許可されない理由を表す情報として、ソフトウエアを特定する情報と、当該特定されたソフトウエアの、情報処理装置2にインストールされている版の情報とを、通信の要求元となった情報処理装置2に対して送信する。そして情報処理装置2では、当該情報を表示する等の処理を行ってもよい。
【0072】
またこの場合も通信中継装置20は、ソフトウエアを特定する情報と、当該情報で特定されるソフトウエアの新しい版をダウンロード可能なサーバのアドレスとを関連づけたテーブル(図9)を保持しておいてもよい。そして制御部21は、情報処理装置2から通信要求を受け入れ、当該通信要求に係る通信先と、当該要求元である情報処理装置2との間の相互通信の許否を表すフラグ情報を、アクセス制御テーブルから読み出し、当該読み出したフラグ情報により相互通信が許可されていないと判断したときに、当該フラグ情報に関連づけられている、ソフトウエアを特定する情報を読み出す。そして制御部21は、当該読み出した情報で特定されるソフトウエアの新しい版をダウンロード可能なサーバのアドレスを図9に例示したテーブルを参照して取得し、上述の相互通信が許可されない理由を表す情報とともに、当該取得したサーバのアドレスの情報を、通信の要求元となった情報処理装置2に対して送信してもよい。情報処理装置2ではこれらの情報を表示し、情報処理装置2の利用者は、理由の情報を参照し、また当該サーバのアドレスを参照して、新しい版のソフトウエアをダウンロードする。
【0073】
[一覧表示]
さらに、この場合の情報処理装置2は、ソフトウエアの新しい版に係る情報の一覧を通信中継装置20に対して要求してもよい。この要求を受け入れた通信中継装置20は、次のように動作する。
【0074】
すなわち、この要求を受け入れた通信中継装置20は、アクセス制御テーブルから要求元の情報処理装置2を特定する情報に関連づけられたフラグ情報のうち、相互通信を許可しない旨となっているフラグ情報を検索する。そしてかかるフラグ情報を見いだすと、当該フラグ情報に関連づけられている通信先を特定する情報と、ソフトウエアを特定する情報と、当該特定されたソフトウエアの、情報処理装置2にインストールされている版の情報とを読み出して、記憶部22のワークメモリに蓄積して格納する。
【0075】
そして通信中継装置20は、これら読み出して蓄積した情報の一覧を、図10(a)に示すような態様で表示するよう、要求元の情報処理装置2に指示する。
【0076】
また、この例においても、通信中継装置20は、ソフトウエアを特定する情報と、当該情報で特定されるソフトウエアの新しい版をダウンロード可能なサーバのアドレスとを関連づけたテーブル(図9)を保持しておいてもよい。そして通信中継装置20は、アクセス制御テーブルから要求元の情報処理装置2を特定する情報に関連づけられたフラグ情報のうち、相互通信を許可しない旨となっているフラグ情報を検索し、かかるフラグ情報を見いだしたときに、当該フラグ情報に関連づけられている通信先を特定する情報と、ソフトウエアを特定する情報と、当該特定されたソフトウエアの、情報処理装置2にインストールされている版の情報とを読み出すとともに、当該読み出したソフトウエアを特定する情報に関連づけられた、当該ソフトウエアの新しい版をダウンロード可能なサーバのアドレスを図9に例示したテーブルを参照して取得する。
【0077】
そしてこれらの、通信先を特定する情報と、ソフトウエアを特定する情報と、当該特定されたソフトウエアの、情報処理装置2にインストールされている版の情報と、当該ソフトウエアの新しい版をダウンロード可能なサーバのアドレスとを、記憶部22のワークメモリに蓄積して格納する。
【0078】
そして通信中継装置20は、これら読み出して蓄積した情報の一覧を、図10(b)に示すような態様で表示するよう、要求元の情報処理装置2に指示する。この図10(b)の「ダウンロード」ボタンは、対応するソフトウエアの新しい版をダウンロード可能なサーバのアドレスにアクセスするボタンである。本実施の形態の一例では、図9のテーブルにおいて、ソフトウエアの新しい版をダウンロード可能なサーバのアドレスに代えて、ソフトウエアの新しい版をダウンロードする際にアクセスするべきURL(これも参照情報の一例である)などを関連づけておき、この「ダウンロード」ボタンは、当該URLから情報を取得する(ソフトウエアをダウンロードする)指示を行うためのボタンとしてもよい。
【0079】
[ダウンロードの許可]
なお、これらの場合、通信中継装置20は、情報処理装置2による新しい版のソフトウエアのダウンロードを可能とするため、図9に例示したテーブルに含まれる、ソフトウエアの新しい版をダウンロード可能なサーバのアドレスへの通信要求については、アクセス制御テーブルの設定によらずに情報処理装置2からの通信を許可するようにしてもよい。
【0080】
また通信中継装置20は次のようにして、情報処理装置2による新しい版のソフトウエアのダウンロードを可能としてもよい。すなわち、通信中継装置20は、ソフトウエアのダウンロードのために情報処理装置2からアクセスされる可能性のあるサーバのアドレス(図9に例示したテーブルに含まれるアドレス)を、アクセス制御除外アドレスとして認証装置10に対して送出する。そして認証装置10に対し、アクセス制御テーブルの作成時に、当該送出したサーバのアドレスについては、通信を許可する設定とするよう指示しておく。この場合、認証装置10は、アクセス制御テーブルを生成する際に、当該アクセス制御除外アドレスとして送出されたアドレスを通信先とするすべての情報処理装置2との相互通信を「許可」と設定する。
【0081】
さらに、通信中継装置20は、図9に例示したテーブルに含まれる、ソフトウエアの新しい版をダウンロード可能なサーバのアドレスであって、プライベートアドレス(ローカルIPアドレス)で表されるサーバなど、通信中継装置20や、情報処理装置2と同じ組織内のネットワークにあるサーバに対してへの通信要求については、アクセス制御テーブルの設定によらずに情報処理装置2からの通信を許可するようにしてもよい
【0082】
同様に、通信中継装置20は、ソフトウエアのダウンロードのために情報処理装置2からアクセスされる可能性のあるサーバのアドレス(図9に例示したテーブルに含まれるアドレス)であって、プライベートアドレス(ローカルIPアドレス)で表されるサーバなど、通信中継装置20や、情報処理装置2と同じ組織内のネットワークにあるサーバのアドレスを、アクセス制御除外アドレスとして認証装置10に対して送出する。そして認証装置10に対し、アクセス制御テーブルの作成時に、当該送出したサーバのアドレスについては、通信を許可する設定とするよう指示しておくこととしてもよい。この場合、認証装置10は、アクセス制御テーブルを生成する際に、当該アクセス制御除外アドレスとして送出されたアドレスを通信先とするすべての情報処理装置2との相互通信を「許可」と設定することになる。
【0083】
なお、アクセスを許可するサーバを、プライベートアドレス(ローカルIPアドレス)で表されるサーバなど、通信中継装置20や、情報処理装置2と同じ組織内のネットワークにあるサーバに限定する場合、情報処理装置2は、かかるサーバ(以下区別のためダウンロードサーバと呼ぶ)に対して他のネットワーク(組織外にあるネットワーク)上のサーバからソフトウエアをダウンロードして提供するよう要求可能としてもよい。
【0084】
この場合ダウンロードサーバには、他のネットワークにある、要求に係るソフトウエアをダウンロードさせることのできるサーバとの相互通信が可能なように、ソフトウエアがインストールされる等しているものとする。そしてダウンロードサーバは、要求に係るソフトウエアをダウンロードさせることのできるサーバと通信して、当該サーバから要求されたソフトウエアを取得する。そして当該取得したソフトウエアを要求元の情報処理装置2へ提供する。この方法としては、ダウンロードサーバが一旦、要求に係るソフトウエアをダウンロードさせることのできるサーバから要求されたソフトウエアをダウンロードして保持した上で、情報処理装置2から取得させる方法と、このダウンロードサーバが要求に係るソフトウエアをダウンロードさせることのできるサーバに対するプロキシーサーバとして動作し、情報処理装置2に対して、要求に係るソフトウエアのダウンロードを可能としても構わない。
【符号の説明】
【0085】
1 通信制御装置、2 情報処理装置、3 情報提供装置、10 認証装置、11,21 制御部、12,22 記憶部、13,23 インタフェース部、20 通信中継装置、24 通信部。
【技術分野】
【0001】
本発明は、接続制御装置及びプログラムに関する。
【背景技術】
【0002】
支社ネットワークや本社ネットワークに、クライアント端末やサーバが接続され、支社ネットワーク及び本社ネットワークは、認証サーバの管理ネットワークに接続され、クライアント端末が、本社ネットワークに接続されているサーバからデータを取得する場合には、認証サーバにアクセスし、認証サーバは、クライアント端末のウィルス対策ソフトウェアが基準バージョンでない場合には、クライアント端末のウィルス対策ソフトウェアを基準バージョンに更新した上で、サーバへの接続許可を行なうという技術が特許文献1に開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2006−252471号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
接続制御に係る処理の負担を軽減しつつ、条件を満足しない情報処理装置の通信を制御する技術が求められている。
【課題を解決するための手段】
【0005】
請求項1記載の発明は、接続制御装置であって、通信先ごとに、当該通信先への接続が許諾されるソフトウエアの版情報に関する条件を関連づけて記憶する手段と、要求元となり得る情報処理装置が保持するソフトウエアの版が、当該取得した条件を満足するか否かを判断する判断手段と、前記判断の結果、要求元のソフトウエアの版が、当該取得した条件を満足する場合に、前記通信先への接続を許諾する設定とした相互通信許否表を生成する手段と、要求元から通信先への接続要求を受けて、前記生成された相互通信許否表に基づいて、当該要求元から要求された通信先への通信の許否を決定する手段と、前記決定が通信を許可するとの決定であった場合に、前記要求元と通信先との通信を仲介する手段と、を含むこととしたものである。
【0006】
請求項2記載の発明は、請求項1記載の接続制御装置であって、各通信先が属する通信手段ごとに、接続が許諾されるソフトウエアの版情報に関する前記条件が設定されることとしたものである。
【0007】
請求項3記載の発明は、請求項1記載の接続制御装置であって、各通信先ごとに、接続が許諾されるソフトウエアの版情報に関する前記条件が設定されることとしたものである。
【0008】
請求項4記載の発明は、請求項1から3のいずれか一項に記載の接続制御装置であって、前記決定が通信を許可しないとの決定であった場合に、条件を満足するソフトウエアの版の参照情報を提供する手段と、をさらに含むこととしたものである。
【0009】
請求項5記載の発明はプログラムであって、コンピュータを、通信先ごとに、当該通信先への接続が許諾されるソフトウエアの版情報に関する条件を関連づけて記憶する手段と、要求元となり得る情報処理装置が保持するソフトウエアの版が、当該取得した条件を満足するか否かを判断する判断手段と、前記判断の結果、要求元のソフトウエアの版が、当該取得した条件を満足する場合に、前記通信先への接続を許諾する設定とした相互通信許否表を生成する手段と、要求元から通信先への接続要求を受けて、前記生成された相互通信許否表に基づいて、当該要求元から要求された通信先への通信の許否を決定する手段と、前記決定が通信を許可するとの決定であった場合に、前記要求元と通信先との通信を仲介する手段と、として機能させることとしたものである。
【発明の効果】
【0010】
請求項1、5記載の発明によると、通信の要求元が保持するソフトウエアの版による通信の許否を予め定めて相互通信許否表としておくので、接続制御に係る処理の負担を軽減しつつ、条件を満足しない情報処理装置の通信を制御できる。
【0011】
請求項2記載の発明によると、相互通信許否を通信先のネットワークごとに定めることができる。
【0012】
請求項3記載の発明によると、相互通信許否を個々の通信先ごとに定めることができる。
【0013】
請求項4記載の発明によると、相互通信を許可しないときに、ソフトウエアのダウンロードを勧めることができる。
【図面の簡単な説明】
【0014】
【図1】本発明の実施の形態に係る通信制御装置の構成例を表すブロック図である。
【図2】本発明の実施の形態に係る通信制御装置が保持する版情報データベースの内容例を表す説明図である。
【図3】本発明の実施の形態に係る通信制御装置が保持する認証のための情報例を表す説明図である。
【図4】本発明の実施の形態に係る通信制御装置において設定される相互接続性情報の例を表す説明図である。
【図5】本発明の実施の形態に係る通信制御装置によるアクセス制御テーブルの生成処理例を表すフローチャート図である。
【図6】本発明の実施の形態に係る通信制御装置が生成するアクセス制御テーブルの例を表す説明図である。
【図7】本発明の実施の形態に係る通信制御装置において設定される相互接続性情報の別の例を表す説明図である。
【図8】本発明の実施の形態に係る通信制御装置が生成するアクセス制御テーブルの別の例を表す説明図である。
【図9】本発明の実施の形態に係る通信制御装置が保持するサーバの参照情報の例を表す説明図である。
【図10】本発明の実施の形態に係る通信制御装置が通信の要求側に提示する一覧の例を表す説明図である。
【発明を実施するための形態】
【0015】
本発明の実施の形態に係る通信制御装置1は、図1に例示するように、認証装置10と、通信中継装置20とを含む。ここで通信中継装置20は、ネットワーク等の第1の通信手段を介して、通信の要求元となる情報処理装置2に接続される。さらにこの通信中継装置20は、ネットワーク等の第2の通信手段を介して、通信先となる情報提供装置3に接続されている。なお、以下の説明では、第1の通信手段や第2の通信手段は、いずれも、イーサネット(登録商標)などのネットワークであるものとする。また、これら認証装置10と通信中継装置20とは一体の装置であってもよいが、ここでは機能的に別体の装置である例について示す。
【0016】
本実施の形態の認証装置10は、制御部11と、記憶部12と、インタフェース部13とを含む。また、通信中継装置20は、制御部21と、記憶部22と、インタフェース部23と、通信部24とを含む。ここで認証装置10の制御部11は、CPU(Central Processing Unit)等のプログラム制御デバイスであり、記憶部12に格納されたプログラムに従って動作する。この制御部11は、インタフェース部13を介して通信中継装置20との間で情報を授受する。
【0017】
またこの制御部11は、通信中継装置20から通信の要求元となる情報処理装置2ごとに、情報処理装置2を特定する情報と、当該情報処理装置2にインストールされているソフトウエア(オペレーティング・システムなどの基本プログラムや、情報の通信に用いられるブラウザ等のアプリケーションソフトウエア、ウィルス検知・除去等を行うセキュリティ・ソフトウエアなどの応用プログラムを含む)の版(バージョン)の情報とを含むデバイス情報を受信する。
【0018】
ここでソフトウエアの版の情報は、ソフトウエアを特定する情報と、版を特定する情報とを関連づけた情報であり、またここでデバイス情報には、情報処理装置2にインストールされているすべてのソフトウエアに係る版の情報ではなく、予め定められた一部のソフトウエアに係る版の情報に限られてもよい。
【0019】
制御部11は、受信した情報処理装置2を特定する情報と、インストールされているソフトウエアの版情報とを関連づけて、版情報データベースとして、記憶部12に格納する(図2)。なお、情報処理装置2を特定する情報には、情報処理装置2の種別(パーソナルコンピュータ、プリンタやスキャナなどの機能を複合的に実現する複合機、シン・クライアントなどの別)を表す情報や、通信に用いられるネットワークアドレス(MAC(Media Access Control)アドレスや、IP(Internet Protocol)アドレスなど)等を含む。
【0020】
本実施の形態では、この認証装置10の制御部11は、この版情報データベースを参照して、一対のネットワークアドレス・ペアについて相互の通信の許否を表すアクセス制御テーブル(相互通信許否表)を生成し、通信中継装置20に当該生成したアクセス制御テーブルを送出する。
【0021】
さらに、制御部11は、情報処理装置2の利用者が入力した利用者の識別情報(利用者名など)と、パスワードなどの認証情報とを通信中継装置20を介して受け入れる。そして図3に例示するように、記憶部12に予め保持されている、利用者名などの利用者の識別情報と、利用者ごとに予め定められたパスワードなどの認証情報とを関連づけた認証テーブルを参照し、情報処理装置2の利用者を認証する。そして当該認証の結果を表す情報を通信中継装置20に出力する。この制御部11によるアクセス制御テーブルの生成の動作については、後に詳しく述べる。
【0022】
記憶部12は、メモリデバイスなどであり、制御部11によって実行されるプログラムが保持される。このプログラムは、DVD−ROM(Digital Versatile Disc Read Only Memory)等のコンピュータ可読な記録媒体に格納されて提供され、この記憶部12に複写されたものとしてもよい。また、本実施の形態では、この記憶部12には既に述べたように、図2に例示される版情報データベースや、図3に例示される認証テーブルが保持されている。さらにこの記憶部12は、制御部11のワークメモリとしても動作する。
【0023】
インタフェース部13は、USB(Universal Serial Bus)や、ネットワークなどでよく、制御部11から入力される指示に従い、通信中継装置20との間で情報を送受する。また、このインタフェース部13は、通信中継装置20から受信する情報を制御部11に出力する。
【0024】
通信中継装置20の制御部21は、CPU(Central Processing Unit)等のプログラム制御デバイスであり、記憶部22に格納されたプログラムに従って動作する。この制御部21は、通信の要求元となる情報処理装置2から、当該情報処理装置2を特定する情報と、当該情報処理装置2にインストールされているソフトウエアの版の情報とを受信し、当該情報を認証装置10に送出する。
【0025】
また、この制御部21は、認証装置10からアクセス制御テーブルの情報を受信して記憶部22に格納し、情報処理装置2から情報提供装置3への通信要求を受け入れると、このアクセス制御テーブルを参照し、アクセス制御テーブルによって通信が許諾されている場合に、当該通信要求を、通信先として指定された情報提供装置3に中継し、そして当該通信要求に応答して情報提供装置3から受信される情報を要求元である情報処理装置2へ中継する処理(中継処理)を実行する(フィルタリング処理)。この制御部21のフィルタリング処理の動作例については後に詳しく述べる。
【0026】
記憶部22は、メモリデバイスなどであり、制御部21によって実行されるプログラムが保持される。このプログラムは、DVD−ROM(Digital Versatile Disc Read Only Memory)等のコンピュータ可読な記録媒体に格納されて提供され、この記憶部22に複写されたものとしてもよい。またこの記憶部22は、後に述べるアクセス制御テーブルを保持し、さらに制御部21のワークメモリとしても動作する。
【0027】
インタフェース部23は、USB(Universal Serial Bus)や、ネットワークなどでよく、制御部21から入力される指示に従い、認証装置10との間で情報を送受する。また、このインタフェース部23は、認証装置10から受信する情報を制御部21に出力する。
【0028】
通信部24は、ネットワーク等の通信手段に接続されるインタフェースである。本実施の形態のある例では、この通信部24は、複数のネットワークインタフェースを含む。そしてこの通信部24は各ネットワークインタフェースに接続されるそれぞれのネットワーク(例えばIP(Internet Protocol)アドレスにより区別される複数のネットワークのそれぞれ)を介して、各ネットワークに接続されている情報処理装置2や、情報提供装置3との間で情報を送受する。ここではネットワークは例えば一つのブロードキャストが到達する範囲ごとに、複数に切り分けられているものとする。
【0029】
情報処理装置2は、一般的なコンピュータ(サーバコンピュータ(サーバとしての動作を行うコンピュータ)を含む)、プリンタ・スキャナなどの機能を複合的に実現する複合機など、種々のコンピュータ関連機器であり、通信手段を介して通信中継装置20に接続されている。また、この情報処理装置2は、通信中継装置20に対し、情報提供装置3との通信を要求し、情報提供装置3との間の通信の中継を行わせる。
【0030】
本実施の形態の一例では、この情報処理装置2には、オペレーティングシステムなどの基本ソフトウエアや、ブラウザ、ウィルス対策ソフトウエア、ダウンロードクライアントなど種々の応用プログラムがインストールされ、情報処理装置2は、これらのソフトウエア、プログラムの指示に従って動作する。
【0031】
具体的に情報処理装置2は、通信中継装置20に対して通信手段を介して接続されると、通信中継装置20を介して認証装置10宛に、予め初期に送信するべき情報として定められているデバイス情報を送信する。ここでデバイス情報には、自己(情報処理装置2)を特定する情報と、自己にインストールされている基本ソフトウエア(オペレーティング・システムなど)や、応用プログラム(情報の通信に用いられるブラウザ等のアプリケーションソフトウエア、ウィルス検知・除去等を行うセキュリティ・ソフトウエア)の版(バージョン)の情報とを含む。また既に述べたように、情報処理装置2を特定する情報には、情報処理装置2の種別(パーソナルコンピュータ、プリンタやスキャナなどの機能を複合的に実現する複合機、シン・クライアントなどの別)を表す情報や、通信に用いられるネットワークアドレス(MAC(Media Access Control)アドレスや、IP(Internet Protocol)アドレスなど)等を含んでもよい。これらの情報は予め設定され、情報処理装置2が記憶しているものとする。
【0032】
情報処理装置2は、利用者から入力される利用者名とパスワードなど、認証に係る情報を通信中継装置20に送信し、また、利用者から指示された通信先の情報(通信先のネットワークアドレスやURL(Uniform Resource Locator)等)とともに通信の要求を通信中継装置20に送信するようにしてもよい。そして通信中継装置20が中継する通信先である情報提供装置3から送信される情報、または通信中継装置20からのメッセージの情報を受信し、当該受信した情報を表示する等、予め定めた処理を実行する。
【0033】
情報提供装置3は、例えばウェブサーバやFTP(File Transfer Protocol)サーバなどであり、ネットワーク等の通信手段を介して本実施の形態の通信中継装置20に接続されている。この情報提供装置3は、通信中継装置20を介して情報処理装置2が送信する通信の要求に応答し、当該要求に対する情報として予め定められる情報を送信する。
【0034】
次に本実施の形態の通信制御装置1における認証装置10、及び通信中継装置20の具体的動作例について説明する。ここでは本実施の形態の一例として、通信先の情報提供装置3が含まれるネットワークごとに、当該ネットワーク上の情報提供装置3と通信可能なソフトウエアの版情報を定め、相互接続性情報として認証装置10に設定しておくものとする。具体的に認証装置10の記憶部12に格納される相互接続性情報は、図4に例示するように、ネットワークを特定する情報(例えば当該ネットワークのIP(Internet Protocol)アドレスのうち、ネットワークのアドレスを表す部分(サブネットアドレスを除く部分))を特定する情報(ネットワークがTCP/IP(Transfer Control Protocol/Internet Protocol)ネットワークであれば、そのブロードキャストアドレスでよい)と、当該情報で特定されるネットワークに属する通信先に対して通信をする情報処理装置2の通信許否の条件として、当該情報処理装置2にインストールされているべきソフトウエアを特定する情報とその版情報とを関連づけて記録したものである。
【0035】
図4に示した相互接続性情報の例では、ソフトウエアを特定する情報ごとに、ネットワークを特定する情報と、対応するネットワーク上の情報提供装置3と相互に通信するために必要なソフトウエアの版情報を互いに関連づけたものとしている。もっとも、相互接続性情報の例はこれに限らず、ドメイン名が「xxx.yyy.zzz」であるネットワークにおいて、「基本ソフトウエアがAであればバージョンがVa、基本ソフトウエアがBであればバージョンがVbであり、かつ、応用プログラムXがインストールされ、そのバージョンがVx、かつ、応用プログラムYがインストールされ、そのバージョンがVy以上である」と設定するなどとしてもよい。すなわち本実施の形態では、ソフトウエア(プログラム)を特定する情報とそれに関する版情報の範囲または値とを関連づけた条件要素を単独で、あるいは任意の論理式で組み合わせて版情報に関する条件を設定することとしてもよい。
【0036】
また、図4の例において、ネットワークを特定する情報は、「その他のネットワーク(OTHERWISE)」や、「IPアドレスが192.168以外で開始される」、あるいは「ドメイン名の末尾が.jp以外である」、さらには「IPアドレスの先頭がxxxである」、「ドメイン名の末尾が.comである」のように、複数のネットワークを特定する情報となっていてもよい。
【0037】
またここで、認証装置10の制御部11によるアクセス制御テーブルの生成動作について説明する。制御部11は、アクセス制御テーブルを生成する際には、図5に示すように、版情報データベースにデバイス情報が保持されている情報処理装置2のうちから一つ(未選択のもの)を注目デバイスとして選択する(S1)。また制御部11は、版情報データベースにおいて、注目デバイスに関連づけられたデバイス情報を注目デバイス情報として読み出す(S2)。
【0038】
制御部11は、さらに、相互接続性情報を参照し、ネットワークを特定する情報を順次選択しつつ以下の処理を繰り返す。すなわち選択したネットワークを特定する情報に関連する通信許否の条件と、処理S2で読み出した注目デバイス情報とを比較する(S3)。例えば図4に示した例において、192.168.120.255というブロードキャストアドレスで特定されるネットワーク(192.168.255.255のネットワークに包含される)については、ソフトウエアSW−Pについて版情報が1.5以上であることが条件であり、また、ソフトウエアSW−Qについて、版情報が3.2以上であることが条件となっている。
【0039】
そこで制御部11は、注目デバイス情報において、ソフトウエアSW−Pについて版情報が1.5以上であり、かつ、ソフトウエアSW−Qについて、版情報が3.2以上であるか否かが調べられる。ここで注目デバイス情報において、ソフトウエアSW−Pについて版情報が1.5以上であり、かつ、ソフトウエアSW−Qについて、版情報が3.2以上であれば、注目デバイス情報が通信許否の条件を満足すると判断する。一方、ソフトウエアSW−Pについて版情報が1.5以上でないか、またはソフトウエアSW−Qについて、版情報が3.2以上でない場合、あるいは、ソフトウエアSW−PまたはSW−Qのインストールが為されていないときは、注目デバイス情報が通信許否の条件を満足しないと判断する。
【0040】
制御部11は、注目デバイス情報が通信許否の条件を満足する場合に(条件充足の場合)、選択しているネットワークを特定する情報と、注目デバイスを特定する情報との組について、通信を許可する旨のフラグ情報を関連づける(S4)。そして処理S3からの処理を、選択していないネットワークを特定する情報がなくなるまで繰り返す(S5)。一方、処理S3において、注目デバイス情報が、選択されたネットワークを特定する情報に関連づけられた通信許否の条件を満足しない場合(条件非充足の場合)は、選択しているネットワークを特定する情報と、情報処理装置2を特定する情報との組について、通信を許可しない旨のフラグ情報を関連づけて(S6)、処理S3に移行する。
【0041】
処理S5において、処理の繰り返しが終了すると、制御部11は、版情報データベースに保持されている情報で特定される情報処理装置2のうち、未だ注目デバイスとして選択されていないものがあるか否かを調べ(S7)、選択されていないものがあれば(Yesならば)、処理S1に戻って未選択の情報処理装置2の一つを注目デバイスとして選択する処理から繰り返す。
【0042】
一方、処理S7において未だ注目デバイスとして選択されていないものがない、つまり、すべての情報処理装置2についての処理を終了したと判断した場合(Noの場合)は、この処理を終了する。
【0043】
こうして制御部11は、版情報データベースに設定のある情報処理装置2を特定する情報と、規制情報テーブルに設定のある各ネットワークを特定する情報とに関連して、相互に通信が許可されるか否かを表すアクセス制御テーブル(図6)を生成する。制御部11は、この生成したアクセス制御テーブルを、通信中継装置20に対して送出する。制御部11は、このアクセス制御テーブルの生成と送出を、通信中継装置20からの指示により実行することとしてもよい。一例として、制御部11は、通信中継装置20から、情報処理装置2を特定する情報とデバイス情報とを関連づけた情報を受信したときに、この情報を版情報データベースに格納して、版情報データベースを更新するとともに、アクセス制御テーブルの生成と送出とを行ってもよい。
【0044】
通信中継装置20の制御部21は、アクセス制御テーブルが認証装置10から送出されると、当該アクセス制御テーブルを受信して記憶部22に格納する。ここで既にアクセス制御テーブルが記憶部22に格納されている場合は、当該既に格納されているアクセス制御テーブルに上書きして、新たに受信したアクセス制御テーブルを格納する。
【0045】
制御部21は、通信部24を介して情報処理装置2から情報提供装置3への通信要求を受け入れる。この通信要求には、情報提供装置3のネットワークアドレスなど通信先を特定する情報が含まれる。制御部21は、アクセス制御テーブルに含まれるネットワークを特定する情報のうち、当該通信要求に含まれる通信先を特定する情報(情報提供装置3のネットワークアドレスやドメイン名を含むURL(Uniform Resource Locator)など)に対して最長一致するもの(一致する部分の長さが最長のもの)を見いだす。そして制御部21は、当該見いだしたネットワークを特定する情報に関連づけられている通信の許否を表す情報を取得する。
【0046】
制御部21は、当該取得した通信の許否を表す情報が通信を許可する旨の情報である場合は、情報処理装置2から受け入れた通信要求を、通信部24を介して情報提供装置3へ送出する。また、制御部21は、通信部24を介して情報提供装置3から受信される、応答に係る情報を受け入れ、通信要求元である情報処理装置2に対し、通信部24を介して当該応答に係る情報を送出する。
【0047】
一方制御部21は、上記取得した通信の許否を表す情報が通信を許可しない旨の情報であった場合は、情報処理装置2に対して、予め定めた通信不可を表す情報(以下、通信不可時情報と呼ぶ)を送出する。ここで通信不可時情報は、例えば「通信ができません」のようなメッセージの情報であってもよい。
【0048】
本実施の形態の一例に係る通信制御装置1は、以上の構成を備えてなり、次の例のように動作する。なお、以下の例において、情報処理装置2aには、ソフトウエアSW−Pとして版情報が2.0であるものがインストールされ、SW−Qとして版情報が4.0であるものがインストールされているものとする。また、情報処理装置2bには、ソフトウエアSW−Pとして版情報が1.5であるものがインストールされ、SW−Qとして版情報が4.0であるものがインストールされているものとする。さらに、情報処理装置2cには、ソフトウエアSW−Pとして版情報が1.3であるものがインストールされ、SW−Qとして版情報が3.2であるものがインストールされているものとする。さらに情報処理装置2dには、ソフトウエアSW−Pとして版情報が2.0であるものがインストールされ、SW−Qとして版情報が3.0であるものがインストールされているものとする。また、以下の説明では相互接続性情報として図4に示す情報が設定されているとする。
【0049】
認証装置10は、各情報処理装置2a,2b,2c,2dから通信中継装置20を介して受信されるデバイス情報を受け入れる。そして図4に例示した相互接続性情報を参照しつつアクセス制御テーブル(図6)を生成する。ここでは、情報処理装置2aにインストールされたソフトウエアSW−Pは、192.168.120.255、192.168.150.255、192.168.100.255、255.255.255.255のすべてについて条件を満足しており、SW−Qについても、192.168.255.255(192.168.120.255、192.168.150.255、192.168.100.255を包含する)、255.255.255.255(このアドレスは「その他」に相当する)における条件を満足しているので、192.168.120.255、192.168.150.255、192.168.100.255、255.255.255.255のすべてについて、それらの上にある情報提供装置3と、情報処理装置2aとの相互通信を許可する設定とする(図6)。
【0050】
また、情報処理装置2bにインストールされたソフトウエアSW−Pは、192.168.120.255、192.168.150.255、192.168.100.255については条件を満足するが、255.255.255.255について条件を満足しておらず、また、SW−Qについては、192.168.255.255(192.168.120.255、192.168.150.255、192.168.100.255を包含する)、255.255.255.255についてすべて条件を満足している。そこで、認証装置10は、192.168.120.255、192.168.150.255、192.168.100.255上の情報提供装置3と、情報処理装置2bとの相互通信を許可する設定とする。また、255.255.255.255上の情報提供装置3と情報処理装置2bとの相互通信を許可しない設定とする。
【0051】
さらに情報処理装置2cについては、インストールされたソフトウエアSW−Pの版情報が、192.168.100.255については条件を満足するが、その他のネットワークについては条件を満足せず、また、ソフトウエアSW−Qの版情報においても、192.168.255.255(192.168.120.255、192.168.150.255、192.168.100.255を包含する)については条件を満足するが、255.255.255.255について条件を満足していない。そこで認証装置10は、192.168.100.255のネットワーク上の情報提供装置3と、情報処理装置2cとの相互通信を許可する設定とする。また、その他の情報提供装置3と情報処理装置2cとの相互通信を許可しない設定とする。
【0052】
さらに情報処理装置2dには、ソフトウエアSW−Pとして版情報が2.0であるものがインストールされているので、192.168.120.255、192.168.150.255、192.168.100.255、255.255.255.255のすべてについて条件を満足しているが、SW−Qとして版情報が3.0であるために、192.168.255.255(192.168.120.255、192.168.150.255、192.168.100.255を包含する)、255.255.255.255における条件を満足していない。そこで認証装置10は、情報処理装置2dについては、いずれのネットワーク上の情報提供装置3との通信も許可しない設定とする。
【0053】
そして認証装置10は、このように設定したアクセス制御テーブルを通信中継装置20に送出する。そして通信中継装置20がこのアクセス制御テーブルを記憶して、このアクセス制御テーブルに従って、情報処理装置2と情報提供装置3との通信の許否を決定し、許可すると決定した場合に、相互の通信を仲介する。
【0054】
具体的に、通信中継装置20に図6に例示したアクセス制御テーブルが格納されている場合に、情報処理装置2cから、アドレスが192.168.100.1である情報提供装置3への通信要求を受け入れると、通信中継装置20は、通信要求に含まれる通信先のアドレス192.168.100.1に最長一致するネットワークを、アクセス制御テーブルから検索する。ここでは192.168.100.1に対しては192.168.100.255に最長一致するので、当該検索により見いだしたネットワーク(ブロードキャストアドレスが192.168.100.255であるネットワーク)上の情報提供装置3との相互通信の許否の情報を参照する。
【0055】
図6の例では、情報処理装置2cと、ブロードキャストアドレスが192.168.100.255であるネットワーク上の情報提供装置3との相互通信は許可されているので、通信中継装置20は、情報処理装置2cからの通信要求を、アドレスが192.168.100.1である情報提供装置3へ中継する。そして当該アドレスが192.168.100.1である情報提供装置3からの応答を、情報処理装置2cへ送出する。
【0056】
一方、情報処理装置2cから、アドレスが203.178.83.194であるような情報提供装置3への通信要求を受け入れると、通信中継装置20は、通信要求に含まれる通信先のアドレス203.178.83.194に最長一致するネットワークを、アクセス制御テーブルから検索する。ここでは203.178.83.194に対して最長一致するものがない。このような場合は、通信中継装置20の制御部21が「その他」に相当する(255.255.255.255の)ネットワークに対する相互通信の許否の情報を参照することとすればよい。
【0057】
ここでは「その他」に相当する(255.255.255.255の)ネットワーク上の情報提供装置3と、情報処理装置2cとの間の通信は許可しない設定とされているので、通信中継装置20は、情報処理装置2cに対して通信ができない旨の情報を送出する。そして情報処理装置2cでは、当該情報を利用者に提示する等の処理を行う。
【0058】
[通信先ごとの設定]
ここまでの説明では、相互接続性情報はネットワークごとに、ソフトウエアの版情報に係る条件を定めていたが、本実施の形態はこれだけに限られない。すなわち、相互接続性情報として通信先ごと(例えばアドレスごと)に、当該通信先の情報提供装置3と相互に通信するために必要とされるソフトウエアの版情報の条件を定めてもよい。
【0059】
図7は、その一例を表す説明図である。図7の例では、ソフトウエアSW−Rの版情報について、通信先192.168.100.77は、版情報が5.0以上であることを要求し、通信先192.168.100.88は、版情報が4.2以上であることを要求し…というように定められている。
【0060】
この例では、情報処理装置2の各々について、インストールされているソフトウエアSW−Rの版情報と要求された版情報とを比較して、各通信先に対応する相互通信の許否がアクセス制御テーブルに設定される(図8(a))。また、ネットワークごとの設定と通信先ごとの設定とが相互接続性情報において混在していても構わない。例えば相互接続情報として図4に例示したネットワークごとの設定と、図7に例示した通信先ごとの設定との双方を含む場合、認証装置10が生成するアクセス制御テーブルは、図8(b)に例示するように、各情報処理装置2と各ネットワークを特定する情報とに対応する通信の許否と、各情報処理装置2と各通信先に対応する通信の許否とを含むものとなる。
【0061】
具体的に、通信中継装置20に図8(b)に例示したアクセス制御テーブルが格納されているときに、情報処理装置2cから、アドレスが192.168.100.1である情報提供装置3への通信要求を受け入れると、通信中継装置20は、通信要求に含まれる通信先のアドレス192.168.100.1に最長一致するネットワークを、アクセス制御テーブルから検索する。ここでは192.168.100.1に対しては192.168.100.255に最長一致するので、当該検索により見いだしたネットワーク(ブロードキャストアドレスが192.168.100.255であるネットワーク)上の情報提供装置3との相互通信の許否の情報を参照する。
【0062】
図8(b)の例では、情報処理装置2cと、ブロードキャストアドレスが192.168.100.255であるネットワーク上の情報提供装置3との相互通信は許可されているので、通信中継装置20は、情報処理装置2cからの通信要求を、アドレスが192.168.100.1である情報提供装置3へ中継する。そして当該アドレスが192.168.100.1である情報提供装置3からの応答を、情報処理装置2cへ送出する。
【0063】
さらに情報処理装置2cから、アドレスが192.168.100.77である情報提供装置3への通信要求を受け入れると、通信中継装置20は、通信要求に含まれる通信先のアドレス192.168.100.77に最長一致するネットワークを、アクセス制御テーブルから検索する。ここでは192.168.100.77は、アクセス制御テーブル上の192.168.100.77そのものに最長一致するので、当該検索により見いだした通信先である情報提供装置3との相互通信の許否の情報を参照する。
【0064】
図8(b)の例では、情報処理装置2cと、アドレスが192.168.100.77である情報提供装置3との相互通信は許可されていないので、通信中継装置20は、情報処理装置2cに対して通信ができない旨の情報を送出する。そして情報処理装置2cでは、当該情報を利用者に提示する等の処理を行う。
【0065】
[ダウンロードの案内]
また、ここでは通信が許可されていない情報提供装置3との通信が情報処理装置2から要求された場合に、通信中継装置20が、当該要求元の情報処理装置2に対して、通信ができない旨の情報を送出することとしていたが、本実施の形態は、これに限られない。すなわち、要求した通信が許可されない当該情報処理装置2に対して、当該通信ができない旨の設定の原因となったソフトウエアの新しい版をダウンロードするよう指示してもよい。この場合、通信中継装置20はさらに当該ソフトウエアのダウンロードが可能なサーバのアドレス(参照情報)を案内してもよい。
【0066】
一例として、通信中継装置20はソフトウエアを特定する情報と、当該情報で特定されるソフトウエアの新しい版をダウンロード可能なサーバのアドレスとを関連づけたテーブル(図9)を記憶部22に保持しておく。そして制御部21が、通信の要求を送信した情報処理装置2について、要求された通信先との相互の通信がアクセス制御テーブルにおいて許可されていない場合は、図9に例示したテーブルを参照し、ソフトウエアごとに、その新しい版をダウンロード可能なサーバのアドレスの一覧を、通信ができない旨の情報とともに通信の要求元となった情報処理装置2に対して送信してもよい。情報処理装置2の利用者は、当該サーバのアドレスを参照して、新しい版のソフトウエアをダウンロードする。
【0067】
[理由情報の提示]
さらに本実施の形態において認証装置10の制御部11は、アクセス制御テーブルの作成時に次のような処理を行ってもよい。すなわち、図5に例示した処理の処理S3において、注目デバイス情報が、選択されたネットワークを特定する情報に関連づけられた通信許否の条件を満足しない場合(条件非充足の場合)は、選択しているネットワークを特定する情報と、情報処理装置2を特定する情報との組について、通信を許可しない旨のフラグ情報を関連づける(処理S6)とともに、満足されなかった通信許否の条件に係るソフトウエアを特定する情報と、当該特定されたソフトウエアの、情報処理装置2に処理の時点でインストールされている版の情報とをさらに関連づけてアクセス制御テーブルに含めてもよい。
【0068】
例えば図5の処理S3において、ある情報処理装置2から受信した注目デバイス情報により、当該情報処理装置2にインストールされているソフトウエアSW−Pについて版情報が1.5以上でなく、相互接続性情報に示された、192.168.120.255のネットワーク上の情報提供装置3へのアクセスが許可されていないと判断されるとすると、認証装置10の制御部11は、通信を許可しない旨のフラグ情報に対して、選択しているネットワークを特定する情報と、情報処理装置2を特定する情報との組について、満足されなかった通信許否の条件に係るソフトウエアを特定する情報(ここでは「SW−P」)と、当該特定されたソフトウエアの、情報処理装置2に処理の時点でインストールされている版の情報(ここでは例えば「1.4」)とをさらに関連づけて保持する。
【0069】
なお、あるソフトウエアの版情報により、複数の通信先(ネットワークや通信先そのもの)との相互通信が許可されていない場合、当該相互通信が許可されていない複数の通信先のいずれかを選択して、通信が許可されていない通信先を表す情報の少なくとも一部として選択しているネットワークを特定する情報と、情報処理装置2を特定する情報との組に関連づけてアクセス制御テーブルに含めてもよい。
【0070】
この例では、通信中継装置20の制御部21は、情報処理装置2から通信要求を受け入れ、当該通信要求に係る通信先と、当該要求元である情報処理装置2との間の相互通信の許否を表すフラグ情報を、アクセス制御テーブルから読み出し、当該読み出したフラグ情報により相互通信が許可されていないと判断したときに、当該フラグ情報に関連づけられている、ソフトウエアを特定する情報と、当該特定されたソフトウエアの、情報処理装置2にインストールされている版の情報とを読み出す。
【0071】
そして制御部21は、相互通信が許可されない理由を表す情報として、ソフトウエアを特定する情報と、当該特定されたソフトウエアの、情報処理装置2にインストールされている版の情報とを、通信の要求元となった情報処理装置2に対して送信する。そして情報処理装置2では、当該情報を表示する等の処理を行ってもよい。
【0072】
またこの場合も通信中継装置20は、ソフトウエアを特定する情報と、当該情報で特定されるソフトウエアの新しい版をダウンロード可能なサーバのアドレスとを関連づけたテーブル(図9)を保持しておいてもよい。そして制御部21は、情報処理装置2から通信要求を受け入れ、当該通信要求に係る通信先と、当該要求元である情報処理装置2との間の相互通信の許否を表すフラグ情報を、アクセス制御テーブルから読み出し、当該読み出したフラグ情報により相互通信が許可されていないと判断したときに、当該フラグ情報に関連づけられている、ソフトウエアを特定する情報を読み出す。そして制御部21は、当該読み出した情報で特定されるソフトウエアの新しい版をダウンロード可能なサーバのアドレスを図9に例示したテーブルを参照して取得し、上述の相互通信が許可されない理由を表す情報とともに、当該取得したサーバのアドレスの情報を、通信の要求元となった情報処理装置2に対して送信してもよい。情報処理装置2ではこれらの情報を表示し、情報処理装置2の利用者は、理由の情報を参照し、また当該サーバのアドレスを参照して、新しい版のソフトウエアをダウンロードする。
【0073】
[一覧表示]
さらに、この場合の情報処理装置2は、ソフトウエアの新しい版に係る情報の一覧を通信中継装置20に対して要求してもよい。この要求を受け入れた通信中継装置20は、次のように動作する。
【0074】
すなわち、この要求を受け入れた通信中継装置20は、アクセス制御テーブルから要求元の情報処理装置2を特定する情報に関連づけられたフラグ情報のうち、相互通信を許可しない旨となっているフラグ情報を検索する。そしてかかるフラグ情報を見いだすと、当該フラグ情報に関連づけられている通信先を特定する情報と、ソフトウエアを特定する情報と、当該特定されたソフトウエアの、情報処理装置2にインストールされている版の情報とを読み出して、記憶部22のワークメモリに蓄積して格納する。
【0075】
そして通信中継装置20は、これら読み出して蓄積した情報の一覧を、図10(a)に示すような態様で表示するよう、要求元の情報処理装置2に指示する。
【0076】
また、この例においても、通信中継装置20は、ソフトウエアを特定する情報と、当該情報で特定されるソフトウエアの新しい版をダウンロード可能なサーバのアドレスとを関連づけたテーブル(図9)を保持しておいてもよい。そして通信中継装置20は、アクセス制御テーブルから要求元の情報処理装置2を特定する情報に関連づけられたフラグ情報のうち、相互通信を許可しない旨となっているフラグ情報を検索し、かかるフラグ情報を見いだしたときに、当該フラグ情報に関連づけられている通信先を特定する情報と、ソフトウエアを特定する情報と、当該特定されたソフトウエアの、情報処理装置2にインストールされている版の情報とを読み出すとともに、当該読み出したソフトウエアを特定する情報に関連づけられた、当該ソフトウエアの新しい版をダウンロード可能なサーバのアドレスを図9に例示したテーブルを参照して取得する。
【0077】
そしてこれらの、通信先を特定する情報と、ソフトウエアを特定する情報と、当該特定されたソフトウエアの、情報処理装置2にインストールされている版の情報と、当該ソフトウエアの新しい版をダウンロード可能なサーバのアドレスとを、記憶部22のワークメモリに蓄積して格納する。
【0078】
そして通信中継装置20は、これら読み出して蓄積した情報の一覧を、図10(b)に示すような態様で表示するよう、要求元の情報処理装置2に指示する。この図10(b)の「ダウンロード」ボタンは、対応するソフトウエアの新しい版をダウンロード可能なサーバのアドレスにアクセスするボタンである。本実施の形態の一例では、図9のテーブルにおいて、ソフトウエアの新しい版をダウンロード可能なサーバのアドレスに代えて、ソフトウエアの新しい版をダウンロードする際にアクセスするべきURL(これも参照情報の一例である)などを関連づけておき、この「ダウンロード」ボタンは、当該URLから情報を取得する(ソフトウエアをダウンロードする)指示を行うためのボタンとしてもよい。
【0079】
[ダウンロードの許可]
なお、これらの場合、通信中継装置20は、情報処理装置2による新しい版のソフトウエアのダウンロードを可能とするため、図9に例示したテーブルに含まれる、ソフトウエアの新しい版をダウンロード可能なサーバのアドレスへの通信要求については、アクセス制御テーブルの設定によらずに情報処理装置2からの通信を許可するようにしてもよい。
【0080】
また通信中継装置20は次のようにして、情報処理装置2による新しい版のソフトウエアのダウンロードを可能としてもよい。すなわち、通信中継装置20は、ソフトウエアのダウンロードのために情報処理装置2からアクセスされる可能性のあるサーバのアドレス(図9に例示したテーブルに含まれるアドレス)を、アクセス制御除外アドレスとして認証装置10に対して送出する。そして認証装置10に対し、アクセス制御テーブルの作成時に、当該送出したサーバのアドレスについては、通信を許可する設定とするよう指示しておく。この場合、認証装置10は、アクセス制御テーブルを生成する際に、当該アクセス制御除外アドレスとして送出されたアドレスを通信先とするすべての情報処理装置2との相互通信を「許可」と設定する。
【0081】
さらに、通信中継装置20は、図9に例示したテーブルに含まれる、ソフトウエアの新しい版をダウンロード可能なサーバのアドレスであって、プライベートアドレス(ローカルIPアドレス)で表されるサーバなど、通信中継装置20や、情報処理装置2と同じ組織内のネットワークにあるサーバに対してへの通信要求については、アクセス制御テーブルの設定によらずに情報処理装置2からの通信を許可するようにしてもよい
【0082】
同様に、通信中継装置20は、ソフトウエアのダウンロードのために情報処理装置2からアクセスされる可能性のあるサーバのアドレス(図9に例示したテーブルに含まれるアドレス)であって、プライベートアドレス(ローカルIPアドレス)で表されるサーバなど、通信中継装置20や、情報処理装置2と同じ組織内のネットワークにあるサーバのアドレスを、アクセス制御除外アドレスとして認証装置10に対して送出する。そして認証装置10に対し、アクセス制御テーブルの作成時に、当該送出したサーバのアドレスについては、通信を許可する設定とするよう指示しておくこととしてもよい。この場合、認証装置10は、アクセス制御テーブルを生成する際に、当該アクセス制御除外アドレスとして送出されたアドレスを通信先とするすべての情報処理装置2との相互通信を「許可」と設定することになる。
【0083】
なお、アクセスを許可するサーバを、プライベートアドレス(ローカルIPアドレス)で表されるサーバなど、通信中継装置20や、情報処理装置2と同じ組織内のネットワークにあるサーバに限定する場合、情報処理装置2は、かかるサーバ(以下区別のためダウンロードサーバと呼ぶ)に対して他のネットワーク(組織外にあるネットワーク)上のサーバからソフトウエアをダウンロードして提供するよう要求可能としてもよい。
【0084】
この場合ダウンロードサーバには、他のネットワークにある、要求に係るソフトウエアをダウンロードさせることのできるサーバとの相互通信が可能なように、ソフトウエアがインストールされる等しているものとする。そしてダウンロードサーバは、要求に係るソフトウエアをダウンロードさせることのできるサーバと通信して、当該サーバから要求されたソフトウエアを取得する。そして当該取得したソフトウエアを要求元の情報処理装置2へ提供する。この方法としては、ダウンロードサーバが一旦、要求に係るソフトウエアをダウンロードさせることのできるサーバから要求されたソフトウエアをダウンロードして保持した上で、情報処理装置2から取得させる方法と、このダウンロードサーバが要求に係るソフトウエアをダウンロードさせることのできるサーバに対するプロキシーサーバとして動作し、情報処理装置2に対して、要求に係るソフトウエアのダウンロードを可能としても構わない。
【符号の説明】
【0085】
1 通信制御装置、2 情報処理装置、3 情報提供装置、10 認証装置、11,21 制御部、12,22 記憶部、13,23 インタフェース部、20 通信中継装置、24 通信部。
【特許請求の範囲】
【請求項1】
通信先ごとに、当該通信先への接続が許諾されるソフトウエアの版情報に関する条件を関連づけて記憶する手段と、
要求元となり得る情報処理装置が保持するソフトウエアの版が、当該取得した条件を満足するか否かを判断する判断手段と、
前記判断の結果、要求元のソフトウエアの版が、当該取得した条件を満足する場合に、前記通信先への接続を許諾する設定とした相互通信許否表を生成する手段と、
要求元から通信先への接続要求を受けて、前記生成された相互通信許否表に基づいて、当該要求元から要求された通信先への通信の許否を決定する手段と、
前記決定が通信を許可するとの決定であった場合に、前記要求元と通信先との通信を仲介する手段と、
を含む接続制御装置。
【請求項2】
各通信先が属する通信手段ごとに、接続が許諾されるソフトウエアの版情報に関する前記条件が設定されることを特徴とする請求項1記載の接続制御装置。
【請求項3】
各通信先ごとに、接続が許諾されるソフトウエアの版情報に関する前記条件が設定されることを特徴とする請求項1記載の接続制御装置。
【請求項4】
前記決定が通信を許可しないとの決定であった場合に、条件を満足するソフトウエアの版の参照情報を提供する手段と、
をさらに含む請求項1から3のいずれか一項に記載の接続制御装置。
【請求項5】
コンピュータを、
通信先ごとに、当該通信先への接続が許諾されるソフトウエアの版情報に関する条件を関連づけて記憶する手段と、
要求元となり得る情報処理装置が保持するソフトウエアの版が、当該取得した条件を満足するか否かを判断する判断手段と、
前記判断の結果、要求元のソフトウエアの版が、当該取得した条件を満足する場合に、前記通信先への接続を許諾する設定とした相互通信許否表を生成する手段と、
要求元から通信先への接続要求を受けて、前記生成された相互通信許否表に基づいて、当該要求元から要求された通信先への通信の許否を決定する手段と、
前記決定が通信を許可するとの決定であった場合に、前記要求元と通信先との通信を仲介する手段と、
として機能させるプログラム。
【請求項1】
通信先ごとに、当該通信先への接続が許諾されるソフトウエアの版情報に関する条件を関連づけて記憶する手段と、
要求元となり得る情報処理装置が保持するソフトウエアの版が、当該取得した条件を満足するか否かを判断する判断手段と、
前記判断の結果、要求元のソフトウエアの版が、当該取得した条件を満足する場合に、前記通信先への接続を許諾する設定とした相互通信許否表を生成する手段と、
要求元から通信先への接続要求を受けて、前記生成された相互通信許否表に基づいて、当該要求元から要求された通信先への通信の許否を決定する手段と、
前記決定が通信を許可するとの決定であった場合に、前記要求元と通信先との通信を仲介する手段と、
を含む接続制御装置。
【請求項2】
各通信先が属する通信手段ごとに、接続が許諾されるソフトウエアの版情報に関する前記条件が設定されることを特徴とする請求項1記載の接続制御装置。
【請求項3】
各通信先ごとに、接続が許諾されるソフトウエアの版情報に関する前記条件が設定されることを特徴とする請求項1記載の接続制御装置。
【請求項4】
前記決定が通信を許可しないとの決定であった場合に、条件を満足するソフトウエアの版の参照情報を提供する手段と、
をさらに含む請求項1から3のいずれか一項に記載の接続制御装置。
【請求項5】
コンピュータを、
通信先ごとに、当該通信先への接続が許諾されるソフトウエアの版情報に関する条件を関連づけて記憶する手段と、
要求元となり得る情報処理装置が保持するソフトウエアの版が、当該取得した条件を満足するか否かを判断する判断手段と、
前記判断の結果、要求元のソフトウエアの版が、当該取得した条件を満足する場合に、前記通信先への接続を許諾する設定とした相互通信許否表を生成する手段と、
要求元から通信先への接続要求を受けて、前記生成された相互通信許否表に基づいて、当該要求元から要求された通信先への通信の許否を決定する手段と、
前記決定が通信を許可するとの決定であった場合に、前記要求元と通信先との通信を仲介する手段と、
として機能させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2011−39783(P2011−39783A)
【公開日】平成23年2月24日(2011.2.24)
【国際特許分類】
【出願番号】特願2009−186636(P2009−186636)
【出願日】平成21年8月11日(2009.8.11)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成23年2月24日(2011.2.24)
【国際特許分類】
【出願日】平成21年8月11日(2009.8.11)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]