连接控制系统、管理服务器以及连接支援方法
【技术领域】
[0001]本发明涉及连接控制系统、管理服务器以及连接支援方法,特别涉及控制防火墙的外部的装置与内部的装置之间的通信的连接控制系统、支援防火墙的外部的装置与内部的装置之间的通信的管理服务器、在该管理服务器中执行的连接支援方法。
【背景技术】
[0002]有利用与因特网连接的云服务器提供的服务来控制与局域网连接的多功能一体机(以下称为“MFP”)的情况。例如是使MFP打印在云服务器中存储的数据的情况。但是,MFP与局域网(以下称为“LAN”)连接的情况较多,该LAN经由防火墙连接于因特网。因此,有从云服务器针对MFP的访问被防火墙切断的情况。
[0003]另外,在MFP中未登记的用户不具有使用MFP的权限,所以无法使用MFP。因此,在日本特开平2011-192114号公报中,记载了在用户管理服务器中,管理MFP的使用权限的图像形成系统。但是,存在在用户管理服务器中必须设定所有用户以及群组各自的权限这样的问题。特别是,存在如下问题:在多个MFP各自的管理者不同的情况下,有无法具有共用的用户管理服务器的情况这样的问题。
【发明内容】
[0004]根据本发明的某个方案,提供一种连接控制系统,包括管理服务器和中继装置,所述管理服务器配置于防火墙的外部,支援配置于防火墙的内部的控制对象装置与配置于防火墙的外部的云服务器之间的通信的连接,所述中继装置能够与配置于防火墙的内部的控制对象装置进行通信,管理服务器具备:内部共享设定单元,登记将云服务器以及中继装置与控制对象装置关联起来的关联信息;服务器侧建立单元,根据来自中继装置的请求,建立用于在与中继装置之间进行通信的时常通信会话;以及连接指示单元,响应于接收到确定与中继装置连接的控制对象装置的连接请求,将指示使与通过关联信息来和用连接请求确定的控制对象装置关联起来的云服务器之间的通信中继的连接指示,经由建立的时常通信会话发送到用连接请求确定的中继装置,中继装置具备:第1通信会话建立单元,响应于接收到连接指示,在与用连接指示确定的云服务器之间建立第1通信会话;第2会话建立单元,在与控制对象装置之间建立第2通信会话;以及中继单元,使用第1通信会话和第2通信会话,中继云服务器与控制对象装置之间的通信。
[0005]根据本发明的另一方案,提供一种连接支援方法,是在管理服务器中执行的方法,该管理服务器配置于防火墙的外部,使配置于防火墙的内部的中继装置中继配置于防火墙的内部的控制对象装置与配置于防火墙的外部的云服务器之间的通信,所述方法包括:内部共享设定步骤,登记将云服务器以及中继装置与控制对象装置关联起来的关联信息;月艮务器侧建立步骤,根据来自中继装置的请求,建立用于在与中继装置之间进行通信的时常通信会话;以及连接指示步骤,响应于接收到确定与中继装置连接的控制对象装置的连接请求,将指示使与通过关联信息来和用连接请求确定的控制对象装置关联起来的云服务器之间的通信中继的连接指示,经由建立的时常通信会话,发送到用连接请求确定的中继装置。
【附图说明】
[0006]图1是示出本发明的实施方式的1个中的连接控制系统的整体概要的一个例子的图。
[0007]图2是示出网关装置的硬件结构的概要的一个例子的框图。
[0008]图3是示出MFP的硬件结构的概要的一个例子的框图。
[0009]图4是示出本实施方式中的管理服务器的硬件结构的概要的一个例子的框图。
[0010]图5是示出云连接信息的一个例子的图。
[0011]图6是示出时常连接信息的一个例子的图。
[0012]图7是示出出借用关联信息的一个例子的图。
[0013]图8是示出借入用关联信息的一个例子的图。
[0014]图9是示出云服务器访问防火墙的内部的MFP的情况下的处理的流程的一个例子的图。
[0015]图10是示出防火墙的内部的MFP访问管理服务器的情况下的处理的流程的一个例子的图。
[0016]图11是示出管理服务器具备的CPU的功能的一个例子的框图。
[0017]图12是示出网关装置具备的CPU的功能的一个例子的框图。
[0018]图13是示出云服务器具备的CPU的功能的一个例子的框图。
[0019]图14是示出MFP具备的CPU具有的功能的一个例子的框图。
[0020]图15是示出中继处理的流程的一个例子的流程图。
[0021]图16是示出连接支援处理的流程的一个例子的流程图。
[0022]图17是示出服务提供处理的流程的一个例子的流程图。
[0023]图18是示出出借MFP启动处理的流程的一个例子的流程图。
[0024]图19是示出本社MFP访问处理的流程的一个例子的流程图。
[0025]图20是示出借入MFP访问处理的流程的一个例子的流程图。
【具体实施方式】
[0026]以下,参照附图,说明本发明的实施方式。在以下的说明中,对同一部分件附加了同一符号。它们的名称以及功能也相同。因此,关于它们的详细的说明不重复。
[0027]图1是示出本发明的实施方式的1个中的连接控制系统的整体概要的一个例子的图。参照图1,连接控制系统1包括管理服务器300、作为中继装置发挥功能的网关(G/W)装置200以及作为多功能一体机的MFP (Multi Funct1n Peripheral,多功能外围设备)100、lOOAUOOBo管理服务器300以及网关装置200分别与因特网5连接,可经由因特网5相互进行通信。进而,管理服务器300以及网关装置200能够分别与和因特网5连接的其他计算机进行通信。此处,作为与因特网5连接的其他计算机的一个例子,示出了云服务器400。
[0028]网关装置200还与局域网(LAN) 3连接,对该LAN3,连接了 MFP100、100A、100B。网关装置200能够与和LAN3连接的MFP100、100A、100B进行通信。进而,网关装置200以及MFP 100,100A、100B分别能够与和LAN3连接的其他计算机进行通信。
[0029]网关装置200具有防火墙功能,连接防火墙的内部的LAN3和防火墙的外部的因特网5。网关装置200限制从和因特网5连接的管理服务器300以及云服务器400向和LAN3连接的MFP100、100A、100B的访问。网关装置200具有的防火墙功能没有特别限定,但是根据分组中包含的地址判定通信的许可或者不许可的分组过滤器型的防火墙功能。另外,也可以是在应用层的协议的级别下代替并控制与外部的通信的应用型的防火墙功能。另外,配置网关装置200的位置是防火墙的内部。
[0030]在本实施方式中的连接控制系统1中,示出了由A社管理MFP100、100A、100B以及网关装置200的例子。在该情况下,在MFP100、100A、100B各个中,作为被赋予了针对该装置使用的权限的用户,例如登记了 A社的社员。另外,也可以在MFP100、100A、100B各个中,登记赋予使用它的权限的用户,在MFP100、100A、100B各个中进行认证,也可以对LAN3连接认证服务器,在该认证服务器中登记赋予使用MFP100、100A、100B各个的权限的用户,认证服务器代替MFP100、100A、100B各个而进行认证。
[0031]管理服务器300以及云服务器400是一般的计算机,作为云发挥功能。云是提供预先决定的服务的计算机。云提供的服务是由计算机执行的数据处理即可,不限定,例如,包括管理程序的版本的服务、保存数据的服务(文件服务器)、处理图像数据的图像处理服务、将语言翻译为其他语言的翻译服务。关于图像处理,不限定,例如,既可以是执行针对表示了照片的图像数据进行清晰化、平滑等处理的处理,也可以是对表示了文字的图像数据进行文字认识的处理。管理服务器300或者云服务器400分别为了对预先决定的用户提供服务,执行用户认证。在管理服务器300或者云服务器400中,预先登记了赋予它的使用权限的用户的用户ID以及口令,针对来自外部的计算机的访问,以使用了用户ID以及口令的认证成功为条件,提供服务。另外,用户认证的方法不限于使用了用户ID以及口令的认证,也可以使用其他方法。
[0032]在本实施方式中的信息系统1中,将管理服务器300的云设为由A社管理的云,将云服务器400的云设为由与A社不同的B社管理的云。因此,A社的社员被赋予使用MFP100U00AU00B以及管理服务器300的云的权限,但B社的社员未被赋予使用MFP100、100AU00B以及管理服务器300的云的权限。另一方面,B社的社员被赋予使用云服务器400的云的权限。
[0033]换言之,在管理服务器300中,登记了与在处于A社的管理下的MFP100、100A、100B各个中登记的用户相同的用户的至少一部分。MFP100、100A、100B各个处于A社的管理下,所以A社的社员被登记为用户。另外,在云服务器400中,B社的社员被登记为用户。
[0034]这样,管理服务器300以及云服务器400具有同一功能,但两者的不同点在于,管理服务器300作为A社的云发挥功能,相对于此,云服务器400作为B社的云发挥功能。换言之,A社的社员能够登录到MFP100、100A、100B以及管理服务器300,能够使用它们,但无法登录到云服务器400。另一方面,B社的社员无法登录到MFP100、100A、100B以及管理服务器300,无法使用它们,但能够登录到云服务器400,能够使用它。
[0035]云服务器400的硬件结构与管理服务器300相同,所以此处不重复说明。MFP100、100AU00B的硬件结构以及功能相同,所以此处只要未特别提及,以MFP100为例子进行说明。
[0036]图2是示出网关装置的硬件结构的概要的一个例子的框图。参照图2,本实施方式中的网关装置200包括用于控制网关装置200的整体的CPU (Central Processing Unit,中央处理单元)201、存储用于CPU201执行的程序等的ROM (Read Only Memory,只读存储器)202、被用作CPU201的作业区域的RAM (Random Access Memory,随机存取存储器)203、非易失性地存储数据的闪存存储器204、第1通信部205、第2通信部206以及外部存储装置 209。
[0037]第1通信部205是用于将网关装置200连接到因特网5的通信接口(I/F)。第2通信部206是用于将网关装置200连接到LAN3的通信接口(I/F)。
[0038]闪存存储器204存储CPU201执行的程序、或者为了执行该程序而所需的数据。CPU201将在闪存存储器204中记录的程序载入到RAM203而执行。外部存储装置209在网关装置200上装卸自如,能够安装存储了程序的⑶-R0M209A。CPU201能够经由外部存储装置209访问⑶-R0M209A。CPU201能够将安装在外部存储装置209的⑶-R0M209A中记录的中继程序载入到RAM203而执行。
[0039]另外,作为CPU201执行的程序,说明了在闪存存储器204或者⑶-R0M209A中记录的程序,但也可以是和因特网5连接的其他计算机改写在闪存存储器204中存储的程序而得到的程序、或者、追加写入的新的程序。进而,网关装置200也可以是从和因特网5连接的其他计算机下载的程序。此处所称的程序不仅包括CPU201能够直接执行的程序,而且还包括源程序、被压缩处理的程序、加密的程序等。
[0040]另外,作为存储CPU201执行的程序的介质,不限于⑶-R0M209A,也可以是光盘(M0(Magnetic Optical Disc,磁光盘)/MD (Mini Disc,迷你盘)/DVD (Digital VersatileDisc,数字多功能盘))、IC 卡、光卡、掩膜 ROM、EPROM (Erasable Programmable ROM,可擦除可编程 ROM)、EEPR0M(Electrically EPROM,电 EPROM)等半导体存储器。
[0041]图3是示出MFP的硬件结构的概要的一个例子的框图。参照图3,MFP100包括主电路110、用于读取原稿的原稿读取部130、用于将原稿搬送到原稿读取部130的自动原稿搬送装置120、用于根据原稿读取部130读取原稿而输出的图像数据在纸张等上形成图像的图像形成部140、用于对图像形成部140供给纸张的供纸部150、对形成了图像的纸张进行处理的后处理部155以及作为用户接口的操作面板160。
[0042]后处理部155执行将由图像形成部140形成了图像的1个以上的纸张重排而排纸的分类处理、进行打孔加工的穿孔处理、打入装订针的装订处理。
[0043]主电路110包括CPU111、通信接口(I/F)部112、R0M113、RAM114、作为大容量存储装置的硬盘驱动器(HDD) 115、传真部116以及安装⑶-R0M118的外部存储装置117。CPU111与自动原稿搬送装置120、原稿读取部130、图像形成部140、供纸部150、后处理部155以及操作面板160连接,控制MFP100的整体。
[0044]R0M113存储CPU111执行的程序、或者为了执行该程序而所需的数据。RAM114被用作CPU111执行程序时的作业区域。另外,RAM114临时地存储从原稿读取部130连续地送来的读取数据(图像数据)。
[0045]操作面板160设置于MFP100的上表面,包括显示部161和操作部163。显示部161是液晶显示装置(IXD)、有机ELD (Electro-Luminescence Display,电致发光显示器)等显示装置,显示针对用户的指示菜单、与所取得的图像数据有关的信息等。操作部163具备由多个键构成的硬键部167,受理与键对应的基于用户的操作的各种指示、文字、数字等数据的输入。操作部163还包括在显示部161上设置的触摸面板165。
[0046]通信I/F部112是用于将MFP100连接到LAN3的接口。CPU111经由通信I/F部112,在与和LAN3连接的装置之间进行通信,发送接收数据。进而,通信I/F部112能够经由网关装置200,与和因特网连接的计算机例如云服务器400进行通信。
[0047]传真部116与公共交换电话网(PSTN)连接,向PSTN发送传真数据、或者从PSTN接收传真数据。传真部116将接收的传真数据存储到HDD115、或者输出到图像形成部140。图像形成部140将通过传真部116接收到的传真数据打印到纸张上。另外,传真部116将在HDD115中存储的数据变换为传真数据,发送到与PSTN连接的传真装置。
[0048]外部存储装置117安装CD-ROM (Compact Disk ROM) 118。CPU111能够经由外部存储装置117访问⑶-R0M118。CPU111将在外部存储装置117中安装的⑶-R0M118中记录的程序载入到RAM114而执行。另外,作为存储CPU111执行的程序的介质,不限于⑶-R0M118,也可以是光盘(M0/MD/DVD)、1C卡、光卡、掩膜ROM、EPROM, EEPR0M等半导体存储器。
[0049]另外,CPU111也可以将在HDD115中存储的程序载入到RAM114而执行。在该情况下,也可以是,和LAN3或者因特网5连接的其他计算机改写在MFP100的HDD115中存储的程序、或者、追加写入新的程序。进而,也可以是,MFP100从和LAN3或者因特网5连接的其他计算机下载程序,并将该程序存储到HDD115。此处所称的程序不仅包括CPU111能够直接执行的程序,而且还包括源程序、被压缩处理的程序、加密的程序等。
[0050]图4是示出本实施方式中的管理服务器的硬件结构的概要的一个例子的框图。参照图4,管理服务器300包括用于控制管理服务器300的整体的CPU301、存储用于CPU301执行的程序的R0M302、被用作CPU301的作业区域的RAM303、非易失性地存储数据的HDD304、将CPU301连接到因特网5的通信部305、显示信息的显示部306、受理用户的操作的输入的操作部307以及外部存储装置309。
[0051 ] 外部存储装置309安装⑶-R0M309A。CPU301能够经由外部存储装置309访问⑶-R0M309A。CPU301将在外部存储装置309中安装的⑶-R0M309A中记录的程序载入到RAM303而执行。另外,作为存储CPU301执行的程序的介质,不限于⑶-R0M309,也可以是光盘、1C卡、光卡、掩膜ROM、EPROM, EEPR0M等半导体存储器。
[0052]另外,CPU301执行的程序不限于在CD-R0M309中记录的程序,也可以将在HDD304中存储的程序载入到RAM303而执行。在该情况下,也可以是,和因特网