专利名称:信息处理系统的制作方法
技术领域:
本发明涉及信息处理系统的网络连接技术,特别涉及,在瘦客户机型信息处理系统中将本地计算机和远程计算机侧的网络设备相连接的技术。
背景技术:
近年来,所谓的瘦客户机型(thin client type)信息处理系统受到关注。在瘦客户机型信息处理系统中,通过使用身边的远程计算机(remotemachine),对位于自己家中或公司中的本地计算机(local machine)的桌面进行远程操作,可以利用在本地计算机上安装的各种应用程序和数据。在本地计算机中,除了台式PC(Desktop Personal Computer)以外,还使用了不具备本地连接的输入输出装置(键盘、鼠标和显示器)的刀片PC(刀片计算机(blade computer))等(例如,参照特开2003-337672号公报)。
发明内容
在这种瘦客户机型信息处理系统中,在利用与远程计算机侧的网络相连的网络设备(打印机、扫描仪、文件服务器等)时,为了在本地计算机和网络设备间可以进行通信,需要对本地计算机和网络设备间存在的防火墙装置进行设定。例如,在网络设备为打印机,本地计算机使用LPR(Line PrinterDeamon Protocol)向打印机发送打印命令的情况下,为使LPR的数据包从本地计算机到达打印机,需要设定地址和端口。另外,在网络设备是文件服务器,本地计算机使用FTP(File Transfer Protocol)访问文件服务器的情况下,为使FTP的数据包从本地计算机到达打印机,需要设定地址和端口。
这样,目前对于与网络设备的通信中使用的每个协议,必须对存在于本地计算机和网络设备间的防火墙装置进行设定,工作的负担很大。
因此,本发明的目的是,即使不针对和网络设备的通信中使用的每个协议进行防火墙装置的设定,信息处理装置也可以越过防火墙,利用网络设备。
为了解决上述问题,在本发明中,通过VPN(Virtual Private Network)将第1信息处理装置和第2信息处理装置相连,使第2信息处理装置具有VPN网关功能,由此,使第1信息处理装置属于第2信息处理装置侧的网络。
例如,在具有第1信息处理装置和第2信息处理装置的信息处理系统中,所述第1信息处理装置具有与VPN(Virtual Private Network)相连的VPN接口单元,所述第2信息处理装置具有与所述VPN以及不同于所述VPN的网络相连的VPN网关单元,所述VPN网关单元在通过所述VPN或所述网络而接收到的数据包的目的地是分配给规定的网络设备的所述网络的地址时,将该数据包转发至所述VPN,当所述目的地是分配给所述规定网络设备的所述网络的地址以外的地址时,将该数据包转发至所述网络。
在此,所述第2信息处理装置可以是作为所述第1信息处理装置的输入输出装置而工作的操作终端。
另外,所述第2信息处理装置还具有向所述第1信息处理装置发送VPN的连接请求的VPN连接请求发送单元,所述第1信息处理装置还具有从所述第2信息处理装置接收所述VPN的连接请求的VPN连接请求接收单元,并且,所述VPN接口单元在所述VPN连接请求接收单元接收到所述VPN的连接请求时,也可以通过所述VPN与所述VPN网关单元相连。
这样,在第1信息处理装置和第2信息处理装置间存在防火墙装置时,为了可以通过VPN连接第1信息处理装置和第2信息处理装置而仅进行防火墙的设定,第1信息处理装置就可以通过各种协议与属于第2信息处理装置侧的网络的各种网络设备通信。
图1是表示应用了第1实施方式的远程桌面系统(瘦客户机型的信息处理系统)的概略结构的一例的图。
图2是表示本地计算机1的概略结构例的图。
图3是用于说明本地计算机1的动作例的图。
图4是表示本地计算机2的概略结构例的图。
图5是用于说明远程计算机2的动作例的图。
图6是表示应用了第1实施方式的远程桌面系统的概略动作例的图。
图7是用于说明本地计算机1的动作例的图。
图8是用于说明远程计算机2的动作例的图。
图9是表示应用了实施方式2的远程桌面系统的概略动作例的图。
图10是表示应用了实施方式3的虚拟办公室系统的概略结构例的图。
具体实施例方式
(第1实施方式)图1是表示应用了第1实施方式的远程桌面系统(瘦客户机型信息处理系统)的概略结构的一例的图。
如图所示,本实施方式的远程桌面系统具有本地计算机1、远程计算机2、打印机(打印机服务器)、扫描仪(扫描仪服务器)、文件服务器等网络设备6和DHCP(Dynamic Host Configuration Protocol)服务器7。本地计算机1例如与在总公司中构建的LAN(Local Area Network)4A相连。LAN4A通过防火墙装置3A与WAN(Wide Area Network)5相连。另外,远程计算机2、网络设备6以及DHCP服务器7,例如与在分公司中构建的LAN4B相连。LAN4B通过防火墙装置3B与WAN5相连。
本地计算机1向远程计算机2提供终端服务。即,接收并处理从远程计算机2发送来的输入信息(输入装置的操作内容),并且将表示处理结果的图像信息(显示装置的桌面画面)发送至远程计算机2。另外,本地计算机1具有VPN(Virtual Private Network)接口功能,通过VPN和远程计算机2相连。并且,利用远程计算机2的后述VPN网关功能,与远程计算机2侧的网络4B相连。在该本地计算机1中,可以使用台式PC(Personal Computer)以及不具备本地连接的输入输出装置(键盘、鼠标以及显示器)的刀片PC(刀片计算机)等。
图2是表示本地计算机1的概略结构例的图。
如图所示,本地计算机1具有CPU(Central Processing Unit)101、作为CPU101的工作区而工作的RAM(Random Access Memory)102、用于与LAN4A相连的NIC(Network Interface Card)103、HDD(Hard Disk Drive)104、快速ROM(Flash Read Only Memory)105、生成桌面图像信息的视频卡106、对与以上各部101~106相连的总线BUS等内部线路进行中继的网桥107、电源108。
在快速ROM105中存储有BIOS(Basic Input/Output System)1050。CPU101,在接通电源108后,首先访问快速ROM105,执行BIOS1050,由此识别本地计算机1的系统结构。
HDD104中至少存储有OS(Operating System)1041、VPN接口程序1042、远程服务器程序1043、VPN控制程序1044、通信控制程序1045、应用程序控制程序1046、通信日志程序1047、多个应用程序1048、用户数据1049。
OS1041是CPU101用来总体控制本地计算机的各部102~108、执行后述各程序1042~1048的程序。CPU101遵从BIOS1050将OS1041从HDD104载入RAM102并执行。由此,CPU101总体控制本地计算机1的各部102~108。
VPN接口程序1042是用于在与远程计算机2之间构建VPN的程序,例如是使用了IPsec(Security Architecture for the Internet Protocol)的通信程序。CPU101,遵从OS1041,将VPN接口程序1042从HDD104载入RAM102并执行。由此,CPU101通过VPN与远程计算机2相连。
远程服务器程序1043是用于提供终端服务、即可以从远程计算机2对本地计算机1的桌面进行远程操作的程序,例如是AT&T剑桥研究所开发的VNC(Virtual Network Computing)的服务器程序。CPU101遵从OS1041,将远程服务器程序1043从HDD104载入RAM102并执行。由此,CPU101接收并处理从远程计算机2送来的输入信息(键盘和鼠标的操作内容),并且将表示处理结果的图像信息(显示器的桌面画面)发送至远程计算机2。
VPN控制程序1044是用于控制基于VPN接口程序1042的VPN连接的程序。CPU101遵从OS1041,将VPN控制程序1044从HDD104载入RAM102并执行。由此,CPU101根据通过NIC103从远程计算机2接受的VPN连接请求,在规定的条件下使VPN接口程序1042构建与远程计算机2之间的VPN。在此,规定的条件是当前时刻属于规定的时间段,和/或,远程计算机2的网络地址是规定的地址,和/或,远程计算机2的用户是被许可进行VPN通信的用户。
通信控制程序1045是用于对通过VPN收发的通信数据包进行控制的程序,例如是进行数据包过滤(packet filtering)的防火墙程序。CPU101遵从OS1041,将通信控制程序1045从HDD104载入RAM102并执行。由此,CPU101进行过滤,以使通过VPN对使用规定的目的地地址、发送源或通信协议的数据包进行收发。
应用程序控制程序1046是用于控制通过VPN与通信对象进行通信的应用程序1048的程序,例如是对被许可通过VPN进行数据收发的应用程序的启动进行许可的程序。CPU101遵从OS1041,将应用程序控制程序1046从HDD104载入RAM102并执行。由此,CPU101进行控制,以使规定的应用程序1048可以使用VPN。
通信日志程序1047是用于记录利用VPN进行通信的应用程序1048的、与通信对象间的通信履历的程序。CPU101遵从OS1041,将通信日志程序1047从HDD104载入RAM102并执行。由此,CPU101将使用VPN进行通信的应用程序1048的、与通信对象间的通信履历,记录在用户数据1049中。
在应用程序1048中包括通用的Web浏览器、文字处理机、CAD、以及表计算等程序。CPU101遵从OS1041,对通过远程服务器程序1043从远程计算机2接受的指示进行应答,将希望的应用程序1048从HDD104载入RAM102并执行。然后,使视频卡107生成反映其执行结果的桌面画面的图像信息,通过远程服务器程序1043发送至远程计算机2。
用户数据1049是可以在应用程序1048中使用的数据,是用户个人使用的数据(例如,个人作成的文件数据、通信日志程序1047所生成的履历数据等)。
图3是用于说明本地计算机1的动作例的图。
本来,CPU101根据程序执行该流程。但在此为了便于说明,将程序作为执行主体来说明流程。
OS1041,当通过NIC103从远程计算机2接收到终端服务请求时(S101YES),将终端服务请求应答发送至远程计算机2。然后,启动远程服务器程序1043,开始对远程计算机2提供终端服务(S102)。具体而言,当通过NIC103从远程计算机2接收到输入信息时,将该输入信息向在用的规定应用程序1048通知。接收该输入信息,应用程序1048执行对应于表示该输入信息的操作内容(键盘操作和鼠标操作)的处理。然后,在RAM102中,生成表示反映处理结果的桌面画面的图像信息(用于描绘桌面画面的颜色信息、描绘命令信息、位图信息等)。远程服务器程序1043通过NIC103将该图像信息发送至远程计算机2。
接下来,OS1041,当通过NIC103使用终端服务从远程计算机2接收到VPN连接请求时(S103YES),将其向VPN控制程序1044通知。接收该VPN连接请求,VPN控制程序1044判断是否满足规定的条件(S104)。在本实施方式中,以如下条件为规定条件并判断是否满足这些条件通过未图示的内置计时器等取得到的当前时刻属于预定的时间段(例如,平日的上班时间段),以及,VPN连接请求的发送源地址属于规定的网络(例如,规定的分公司中构建的LAN),以及,远程计算机2的用户是被许可进行VPN通信的用户。
在S104中不满足规定的条件的情况下(S104NO),VPN控制程序1044进行规定的错误(error)处理,如通过OS1041和NIC103向VPN连接请求的发送源发送错误消息等(S110)。
另一方面,在S104中满足了规定的条件的情况下(S104YES),VPN控制程序1044,通过OS1041和NIC103向VPN连接请求的发送源发送VPN连接应答。然后,启动VPN接口程序1042,在与作为VPN连接请求源的远程计算机2之间,使VPN接口程序1042确立VPN(S105)。
当与远程计算机2之间确立了VPN时,OS1041利用后述的远程计算机2的网关功能,访问与远程计算机2侧的LAN4B相连的DHCP服务器7,从DHCP服务器7取得网络地址(本地地址)(S106)。由此,本地计算机1可以与连接在LAN4B上的网络设备6进行通信。
此后,OS1041启动通信控制程序1045,开始对通过VPN收发的通信数据包进行数据包过滤(S107)。进行数据包过滤,例如全部拒绝来自网络设备6的访问,许可从本地计算机对网络设备6进行访问。
另外,OS1041启动应用程序控制程序1046,开始应用程序控制服务(S108)。由此进行控制,以便拒绝规定的应用程序1048以外的程序利用VPN(VPN接口程序1042),使规定的应用程序1048可以利用VPN与通信对象进行通信。
另外,OS1041启动通信程序1047。由此,通信日志程序1047,将使用VPN的各个应用程序1048的通信履历记录在用户数据1049中(S109)。
返回图1继续说明。
远程计算机2从本地计算机1接受终端服务。即,将由用户输入的输入信息(输入装置的操作内容)发送至本地计算机1,并且,从该本地计算机1接收图像信息(用于描绘显示装置的桌面画面的颜色信息、描绘命令信息、位图信息等),并在显示装置上显示。另外,远程计算机2具备VPN网关功能,通过VPN与本地计算机1相连。并且,将本地计算机1与远程计算机2侧的网络4B相连。此外,远程计算机2是所谓的无HDD型PC,无法直接(不通过本地计算机1)访问本地连接的外围设备和网络设备。即,远程计算机2,仅可以使用与本地计算机1本地连接或网络连接的设备。这样,降低了由于远程计算机2的失窃等导致信息泄漏的可能性。
图4是表示远程计算机2的概略构成例的图。
如图所示,远程计算机2具有CPU201、作为CPU201的工作区而工作的RAM202、用于与LAN4B相连的NIC203、用于连接键盘和鼠标的I/O连接器204、快速ROM205、用于连接显示器的视频卡206、对连接以上各部201~206的总线BUS等内部线路进行中继的网桥207、电源208。
在快速ROM205中至少存储有BIOS2050、OS2051、VPN网关程序2052、远程客户机程序2053、VPN控制程序2054、以及通信控制程序2055。
CPU201在接通电源208后首先访问快速ROM205、执行BIOS2050,由此识别远程计算机2的系统结构。
OS2051是用于CPU201总体控制远程计算机2的各部202~208、执行后述的各程序2052~2055的程序。CPU201遵从BIOS2050,将OS2051从快速ROM205载入RAM202并执行。由此,CPU201总体控制远程计算机2的各部202~208。此外,在本实施方式的OS2051中,使用内部OS等可以存储在快速ROM205中的较小的OS。
VPN网关程序2052是用于在与本地计算机1之间构建VPN的程序,例如是使用了IPsec或HTTPS的通信程序。CPU101遵从OS1041将VPN网关程序2052从快速ROM205载入RAM202并执行。由此,CPU201在与本地计算机1之间构建VPN,将该VPN和LAN4B相连。
远程客户机程序2053是用于接受终端服务、即用于远程计算机2远程访问本地计算机1的桌面的程序,例如是VNC的客户机(查看器(viewer))程序。CPU201遵从OS2051将远程客户机程序2053从快速ROM205载入RAM202并执行。由此,CPU201将I/O连接器206的输入信息(键盘和鼠标的操作内容)向本地计算机1发送,并且,接收从本地计算机1发送来的图像信息(用于描绘显示器的桌面画面的颜色信息、描绘命令信息、位图信息等),对其进行处理,在与视频卡206相连的显示装置(未图示)上显示。
VPN控制程序2054是用于对基于VPN网关程序2052的VPN连接进行控制的程序。CPU201遵从OS2051将VPN控制程序2054从快速ROM205载入RAM202并执行。由此,CPU201根据经由IO连接器204从输入装置接受的VPN的连接指示,通过NIC203向本地计算机1发送VPN的连接请求。另外,根据经由NIC203从本地计算机接受的VPN的连接应答,在规定条件下,使VPN网关程序2052构建与本地计算机1之间的VPN。在此,规定的条件是指当前时刻属于规定的时间段,和/或,本地计算机1的网络地址是规定的地址,和/或,远程计算机2的用户是被许可进行VPN通信的用户。
通信控制程序2055是用于对通过VPN收发的通信数据包进行控制的程序,例如是进行数据包过滤的防火墙程序。CPU201遵从OS2051将通信控制程序2055从快速ROM205载入RAM202并执行。由此,CPU201进行过滤,以便让使用了规定的目的地地址、发送源或通信协议的数据包可以在VPN和LAN4B之间往来。
图5是用于说明远程计算机2的动作例的图。
本来,CPU201根据程序执行该流程。但在此为了便于说明,以程序为执行主体来说明流程。
首先,OS2051启动远程客户机程序2053。启动后,远程客户机程序2053通过NIC203向本地计算机1发送终端服务请求(S201)。然后,若从本地计算机1接收到终端服务请求应答,则开始利用由本地计算机1提供的终端服务(S202)。具体而言,通过IO连接器204从输入装置接收输入信息时,通过NIC203向本地计算机1发送该输入信息。另外,通过NIC203从本地计算机1接收用于描绘本地计算机1桌面画面的图像信息,对其进行处理,并在与视频卡206相连的显示装置上显示。
接下来,OS2051,当通过IO连接器204从输入装置接受VPN连接指示时(S203YES),使用终端服务,通过NIC203向本地计算机1发送VPN连接请求(S204)。然后,OS2051,当通过NIC203从本地计算机1接收VPN连接应答时(S205YES),将其向VPN控制程序2054通知。接受该VPN连接应答,VPN控制程序2054判断是否满足规定的条件(S206)。在本实施方式中,以如下条件为规定条件并判断是否满足这些条件通过未图示的内置计时器等取得的当前时刻属于预定的时间段(例如,平日的上班时间段),以及,VPN连接应答的发送源地址属于规定的网络(例如,构建在总公司中的LAN),以及,远程计算机2的用户是被许可进行VPN通信的用户。
在S206中不满足规定条件的情况下(S206NO),VPN控制程序2054进行规定的错误处理,如通过OS2051和NIC203,向VPN连接应答的发送源发送错误消息等(S210)。
另一方面,在S206中满足规定条件的情况下(S206YES),VPN控制程序2054启动VPN网关程序2052。启动后,VPN网关程序2052在与作为VPN连接应答源的本地计算机1之间确立VPN(S207)。
另外,VPN网关程序2052,将该确立的VPN和LAN4B相连,开始VPN网关服务(S208)。
具体而言,通过NIC203从LAN4B接收通信数据包,在该通信数据包是发往本远程计算机2的VPN数据包时,取出该VPN数据包中所存储的通信数据包,发送至网络4B。另外,在该通信数据包是VPN数据包以外的、发往本远程计算机2的数据包时,将该通信数据包向OS2051,或通过OS2051向远程客户机程序2053转移。另外,在该通信数据包是发往由DHCP服务器7分配给本地计算机1的数据包时,将该通信数据包存储在VPN数据包中,发送至本地计算机1。由此,本地计算机1可以使用网络设备6。
当在与本地计算机1之间确立VPN时,OS2051启动通信控制程序2055,开始对通过VPN收发的通信数据包进行数据包过滤(S209)。进行数据包过滤,例如全部拒绝从网络设备6对本地计算机1的访问,许可从本地计算机1对网络设备6访问。
图6是表示应用了第1实施方式的远程桌面系统的概略动作例的图。
首先,远程计算机2向本地计算机1发送终端访问请求(S31)。本地计算机1,当从远程计算机2接收到终端访问请求时,返回终端服务应答(S41),开始提供终端服务(S42)。
接着,远程计算机2,当通过输入装置从用户接受VPN的连接指示时(S32),利用终端服务,将其操作内容(VPN连接请求)向本地计算机1发送(S33)。本地计算机1,当从远程计算机2接收VPN连接请求时,通过调查是否满足规定的条件,来判断可否连接(S43)。并且,若可以连接,则返回VPN连接应答(S44),在与远程计算机2之间确立VPN(S45)。
本地计算机1,若在与远程计算机2之间确立了VPN,则利用远程计算机2的VPN网关功能,访问DHCP服务器7,从DHCP服务器7取得在LAN4B中的地址(S46)。另外,开始数据包过滤服务和应用程序控制服务。另一方面,远程计算机2开始数据包过滤服务。
远程计算机2,当通过输入装置从用户接受打印指示时,利用终端服务,将其操作内容(打印指示)向本地计算机1发送(S34)。本地计算机1,当从远程计算机2接收打印指示时,生成打印命令,利用远程计算机2的VPN网关功能,将其发送至打印机6A(S47)。打印机6A,根据经由远程计算机2从本地计算机1接收到的打印命令,打印希望的文件(S51)。
另外,远程计算机2,当通过输入装置从用户接受下载指示时,利用终端服务,将其操作内容(下载指示)向本地计算机1发送(S35)。本地计算机1,当从远程计算机2接收下载指示时,利用远程计算机2的VPN网关功能,访问文件服务器6B,从文件服务器6B下载希望的文件(S48)。
以上,对第1实施方式进行了说明。
在本实施方式中,通过VPN将本地计算机1和远程计算机2相连,使远程计算机2具有VPN网关功能,由此,使本地计算机1属于远程计算机2侧的网络。因此,在本地计算机1和远程计算机2之间存在防火墙装置3A、3B的情况下,为使本地计算机1和远程计算机2可以通过VPN相接而仅对防火墙装置3A、3B进行设定,本地计算机1就可以通过LPR、FTP等各种协议与属于远程计算机2侧的网络4B的打印机、文件服务器等各种网络设备6进行通信。即,不需要针对每个协议,对防火墙装置3A、3B进行设定。
另外,用户可以如同使用与本地计算机1本地连接或网络连接的各种设备那样、在外出目的地中使用连接有远程计算机2的LAN4B上连接的各种网络设备6。
(第2实施方式)在上述的第1实施方式中,以在终端服务中不利用VPN的情况为例进行了说明。在本实施方式中,以在终端服务中利用终端服务的情况为例进行说明。此外,本实施方式的远程桌面系统的概略结构,以及构成远程桌面的各设备的概略结构,和上述的第1实施方式中所示的结构相同。
图7是用于说明本地计算机1的动作例的图。
OS1041,当通过NIC103从远程计算机2接收VPN连接请求时(S121YES),将其向VPN控制程序1044通知。接受该VPN连接请求,VPN控制程序1044,和第1实施方式的情况相同地,判断是否满足规定的条件(S122)。
在S122中不满足规定的条件的情况下(S122NO),VPN控制程序1044进行规定的错误处理,如通过OS1041和NIC103,向VPN连接请求的发送源发送错误消息等(S130)。
另一方面,在S122中满足规定的条件的情况下(S122YES),VPN控制程序1044,通过OS1041和NIC103,向VPN连接请求的发送源发送VPN连接请求应答。然后,启动VPN接口程序1042,在和作为VPN连接请求源的远程计算机2之间,使VPN接口程序1042确立VPN(S123)。
在与远程计算机2之间确立VPN时,OS1041利用远程计算机2的网关功能,访问与远程计算机2侧的LAN4B相连的DHCP服务器7,从DHCP服务器7取得网络地址(本地地址)(S124)。由此,本地计算机1可以和连接在LAN4B上的网络设备6通信。
然后,OS1041启动通信控制程序1045,和第1实施方式的情况相同地,开始对通过VPN收发的通信数据包进行数据包过滤(S125)。另外,OS1041启动应用程序控制程序1046,和第1实施方式的情况相同地,开始应用程序控制服务(S126)。另外,OS1041启动通信日志程序1047,开始记录利用VPN的各个应用程序1048的通信履历(S127)。
然后,OS1041,当通过VPN从远程计算机2接收终端服务请求时(S128YES),通过VPN向远程计算机2发送终端服务请求应答。然后,启动远程服务器程序1043,经由VPN,开始提供对远程计算机2的终端服务(S129)。
图8是用于说明远程计算机2的动作例的图。
首先,OS2051利用终端服务,通过NIC203向本地计算机1发送VPN连接请求(S211)。然后,OS2051,当通过NIC203从本地计算机1接收到VPN连接应答时(S222YES),将其向VPN控制程序2054通知。接受该VPN连接应答,VPN控制程序2054,和上述的第1实施方式相同地,判断是否满足规定的条件(S223)。
在S223中不满足规定的条件的情况下(S223NO),VPN控制程序2054进行规定的错误处理,如通过OS2051和NIC203,向VPN连接应答的发送源发送错误消息等(S229)。
另一方面,在S223中满足规定的条件的情况下(S223YES),VPN控制程序2054启动VPN网关程序2052。VPN网关程序2052,在与作为VPN连接应答源的本地计算机1之间确立VPN(S224)。另外,VPN网关程序2052,将该确立的VPN与LAN4B相连,开始VPN网关服务(S225)。
具体而言,通过NIC203从LAN4B接收通信数据包,在该通信数据包是发往本远程计算机2的VPN数据包的情况下,取出该VPN数据包中存储的通信数据包,确认其发送目的地。若其发送目的地是本远程计算机2的地址,则将该存储的数据包向OS2051,或通过OS2051向远程客户机程序2053转移。另一方面,若其发送目的地不是本远程计算机2的地址,则将其发送至网络4B。另外,在通过NIC203从LAN4B接收到的通信数据包是VPN数据包以外的、发往本远程计算机2的数据包的情况下,将该通信数据包向OS2051,或通过OS2051向远程客户机程序2053转移。另外,当通过NIC203从LAN4B接收到的通信数据包是发往由DHCP服务器7分配给本地计算机1的地址的数据包的情况下,将该通信数据包存储在VPN数据包中,发送至本地计算机1。由此,本地计算机1可以使用网络设备6。
在与本地计算机1之间确立VPN时,OS2051启动通信控制程序2055,和上述的第1实施方式的情况相同地,开始对通过VPN收发的通信数据包进行数据包过滤(S226)。
然后,OS2051启动远程客户机程序2053。远程客户机程序2053,通过VPN向本地计算机1发送终端服务请求(S227)。然后,若通过VPN从本地计算机1接收到终端服务请求应答,则开始利用由本地计算机通过VPN提供的终端服务(S228)。
图9是表示应用了第2实施方式的远程桌面系统的概略动作例的图。
首先,远程计算机2向本地计算机1发送VPN连接请求(S61)。本地计算机1,当从远程计算机2接收VPN连接请求时,通过调查是否满足规定的条件,来判断可否连接(S71)。并且,若可以连接,则返回VPN连接应答(S72),在与远程计算机2之间确立VPN(S73)。
本地计算机1,若在与远程计算机2之间确立了VPN,则利用远程计算机2的VPN网关功能,访问DHCP服务器7,从DHCP服务器7取得在LAN4B中的地址(S74)。另外,开始数据包过滤服务和应用程序控制服务。另一方面,远程计算机2开始数据包过滤服务。
然后,远程计算机2通过VPN向本地计算机1发送终端服务请求(S62)。本地计算机1,当通过VPN从远程计算机2接收到终端服务请求时,返回终端服务应答(S75),开始提供利用了VPN的终端服务(S76)。
远程计算机2,当通过输入装置从用户接受打印指示时,利用VPN上的终端服务,将其操作内容(打印指示)发送至本地计算机1(S63)。本地计算机1,当从远程计算机2接收打印指示时,生成打印命令,利用远程计算机2的VPN网关功能,将其发送至打印机6A(S77)。打印机6A,根据经由远程计算机2从本地计算机1取得的打印命令,打印希望的文件(S81)。
另外,远程计算机2,当通过输入装置从用户接受下载指示时,利用VPN上的终端服务,将其操作内容(下载指示)发送至本地计算机1(S64)。本地计算机1,当从远程计算机2接收下载指示时,利用远程计算机2的VPN网关功能,访问文件服务器6B,从文件服务器6B下载希望的文件(S78)。
以上,对第2实施方式进行了说明。
在本实施方式中,在终端服务中利用了VPN。因此,除了上述的第1实施方式的效果以外,在本地计算机1和远程计算机2之间存在防火墙装置3A、3B的情况下,为使本地计算机1和远程计算机2可以通过VPN相连而仅对防火墙装置3A、3B进行设定,就可以实现本地计算机1和远程计算机2之间的终端服务。
(第3实施方式)对使用了上述的第1和/或第2实施方式的远程桌面系统的虚拟办公室系统进行说明。
图10是表示应用了第3实施方式的虚拟办公室系统的概略结构例的图。
如图所示,本实施方式的虚拟办公室系统具有多台本地计算机1A~1N;多台远程计算机2A~2N;打印机(打印机服务器)、扫描仪(扫描仪服务器)、文件服务器等网络设备6;DHCP服务器7。
本地计算机1A~1N,分别与作为不同的ASP(Application ServiceProvider)的中心1~中心N的LAN4A相连。LAN4B通过防火墙装置3B与WAN5相连。
远程计算机2A~2N,与网络设备6和DHCP服务器7一起,与构建在相同办公室中的LAN4B相连。LAN4B,通过防火墙装置3B与WAN5相连。
本地计算机1A~1N,分别向对应于本地计算机1A~1N的远程计算机2A~2N提供终端服务。即,接收并处理从对应的远程计算机2A~2N发送来的输入信息(输入装置的操作内容),同时将表示处理结果的图像信息(用于描绘显示装置的桌面画面的颜色信息、描绘命令信息、位图信息等)发送至远程计算机2A~2N。另外,本地计算机1A~1N具备VPN接口功能,通过VPN和对应于该本地计算机1A~1N的远程计算机2相连。另一方面,远程计算机2A~2N具备VPN网关功能,将在与对应于该远程计算机2A~2N的本地计算机1A~1N之间所构建的VPN,和LAN4B相连。
由此,本地计算机1A~1N,利用对应于该本地计算机1A~1N的远程计算机2A~2N的VPN网关功能,与办公室的网络4B相连。本地计算机1A~1N,也可以通过对应的远程计算机2A~2N相互连接。本地计算机1A~1N和远程计算机2A~2N,可以使用在上述的第1和/或第2实施方式的远程桌面系统中所使用的本地计算机1和远程计算机2。
以上,对第3实施方式进行了说明。
根据本实施方式,远程计算机2A~2N与相同办公室的LAN4B相连,因此,本地计算机1A~1N可以利用与该LAN4B相连的网络设备6。从而,可以实现将本地计算机1A~1N配置在相同的办公室中,可以使用相同网络设备的环境,即,虚拟办公室环境。
此外,本发明实施方式不限于上述实施方式,在其主旨范围内,可以进行多种变更。
例如,在上述的各实施方式中,以本地计算机1向远程计算机2提供终端服务的远程桌面系统为例进行了说明,但不限于此。也可以通过VPN,将具有VPN接口功能的第1计算机和具有VPN网关功能的第2计算机相连,第1计算机利用第2计算机的VPN网关功能,与第2计算机连接在同一网络中。
另外,在上述的各实施方式中,各程序可以从CD-ROM、DVD-ROM等移动存储介质安装到计算机(本地计算机1、远程计算机2)中。或者,也可以通过数字信号、载波、网络等通信介质,下载到计算机并安装。另外,也可以将上述各实施方式组合起来。
根据本说明书,即使不针对与网络设备的通信中所使用的每个协议进行防火墙装置的设定,信息处理装置也可以越过防火墙、利用网络设备。
权利要求
1.一种信息处理系统,具有第1信息处理装置和第2信息处理装置,其特征在于,所述第1信息处理装置,具有与VPN(Virtual Private Network)相连的VPN接口部,所述第2信息处理装置,具有与所述VPN以及不同于所述VPN的网络相连的VPN网关部,所述VPN网关部,当通过所述VPN或所述网络接收到的数据包的目的地是分配给所述第1信息处理装置的所述网络的地址时,将该数据包转发至所述VPN,当所述目的地是分配给所述第1信息处理装置的所述网络的地址以外的地址时,将该数据包转发至所述网络。
2.根据权利要求1所述的信息处理系统,其特征在于,所述第2信息处理装置,是作为所述第1信息处理装置的输入输出装置而工作的操作终端。
3.根据权利要求1所述的信息处理系统,其特征在于,所述第2信息处理装置还具有向所述第1信息处理装置发送所述VPN的连接请求的VPN连接请求发送部,所述第1信息处理装置还具有从所述第2信息处理装置接收所述VPN的连接请求的VPN连接请求接收部,所述VPN接口部,在所述VPN连接请求接收部接收到所述VPN的连接请求时,通过所述VPN,与所述VPN网关部相连。
4.根据权利要求1所述的信息处理系统,其特征在于,所述VPN接口部,在满足规定条件的情况下,通过所述VPN,与所述VPN网关部相连。
5.根据权利要求4所述的信息处理系统,其特征在于,所述规定条件是与所述VPN网关部的连接时刻属于规定的时间段。
6.根据权利要求4所述的信息处理系统,其特征在于,所述规定条件是所述第2信息处理装置属于规定的网络。
7.根据权利要求4所述的信息处理系统,其特征在于,所述规定条件是所述第2信息处理装置的用户是规定的用户。
8.根据权利要求1所述的信息处理系统,其特征在于,所述第1信息处理装置还具有对所述VPN接口部和所述VPN网关部收发的通信数据包进行控制的通信控制部。
9.根据权利要求1所述的信息处理系统,其特征在于,所述第1信息处理装置还具有对通过所述VPN接口收发通信数据的应用程序进行控制的应用程序控制部。
10.根据权利要求1所述的信息处理系统,其特征在于,所述第1信息处理装置,利用所述VPN接口部,与连接在所述网络上的网络设备进行通信。
11.根据权利要求10所述的信息处理系统,其特征在于,所述网络设备是文件服务器。
12.根据权利要求10所述的信息处理系统,其特征在于,所述网络设备是打印机。
13.根据权利要求10所述的信息处理系统,其特征在于,所述第1信息处理装置还具有记录应用程序和所述网络设备间的通信履历的记录部。
14.一种虚拟办公室系统,其特征在于,具有多个权利要求1至13中任意一项中所记载的信息处理系统,所述各信息处理系统的所述第2信息处理装置,通过本装置的所述VPN网关单元,连接到同一网络。
15.一种信息处理装置,是权利要求1至13中任意一项中所记载的第1信息处理装置。
16.一种信息处理装置,是权利要求1至13中任意一项中所记载的第2信息处理装置。
17.一种通过计算机执行的程序,其特征在于,所述程序,使所述计算机作为与VPN(Virtual Private Network)以及不同于所述VPN的其它网络相连的VPN网关部而工作,所述VPN网关部,在通过所述VPN或所述网络而接收到的数据包的目的地是分配给规定网络设备的所述网络的地址时,将该数据包转发至所述VPN,当所述目的地是分配给所述规定网络设备的所述网络的地址以外的地址时,将该数据包转发至所述网络。
18.一种通过计算机执行的程序,其特征在于,所述程序,使所述计算机作为接收VPN(Virtual Private Network)的连接请求的VPN连接请求接收部、以及与所述VPN相连的VPN接口部而工作,所述VPN接口部,在所述VPN连接请求接收部接收到所述VPN的连接请求时,通过所述VPN,与所述VPN的连接请求源相连。
19.一种通信方法,用于第1信息处理装置与在第2信息处理装置上网络连接的网络设备进行通信,其特征在于,所述第1信息处理装置,通过VPN(Virtual Private Network)与所述第2信息处理装置相连,所述第2信息处理装置,在通过所述VPN或所述网络接收到的数据包的目的地是分配给所述第1信息处理装置的所述网络的地址时,将所述数据包转发至所述VPN,在所述目的地是分配给所述第1信息处理装置的所述网络的地址以外的地址时,将该数据包转发至所述网络。
全文摘要
本发明提供一种信息处理系统。即使不针对和网络设备的通信中所使用的每个协议进行防火墙装置的设定,信息处理装置也可以越过防火墙、使用网络设备。通过VPN连接本地计算机(1)和远程计算机(2),使远程计算机(2)具有VPN网关功能,从而使本地计算机(1)属于远程计算机(2)侧的网络。由此,在本地计算机(1)和远程计算机(2)之间存在防火墙装置(3A、3B)的情况下,为使本地计算机(1)和远程计算机(2)可以通过VPN相连,而仅对防火墙装置(3A、3B)进行设定,本地计算机(1)就可以通过各种协议,和连接在远程计算机(2)侧的LAN(4B)上的各种网络设备(6)进行通信。
文档编号G06F15/177GK101026531SQ20061016877
公开日2007年8月29日 申请日期2006年12月18日 优先权日2006年2月23日
发明者小川佑纪雄, 小桧山智久, 安江利一 申请人:株式会社日立制作所