JP2002244856A - Client-server system for remote operation and method of protecting server in this system - Google Patents
Client-server system for remote operation and method of protecting server in this systemInfo
- Publication number
- JP2002244856A JP2002244856A JP2001036882A JP2001036882A JP2002244856A JP 2002244856 A JP2002244856 A JP 2002244856A JP 2001036882 A JP2001036882 A JP 2001036882A JP 2001036882 A JP2001036882 A JP 2001036882A JP 2002244856 A JP2002244856 A JP 2002244856A
- Authority
- JP
- Japan
- Prior art keywords
- nlo
- identifier
- client
- server
- client device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、必要な時のみネッ
トワーク経由でロードされて動作するプログラムである
NLO(ネットワーク ローダブル オブジェクト)を
用いて作業を行うクライアント装置と、このクライアン
ト装置にNLOを提供し、提供したNLOからの処理要
求に従って所定の処理を行うサーバとから構成されるリ
モートオペレーション用クライアント・サーバシステム
に関し、特に、NLOを提供したサーバを、そのサーバ
が提供したNLO以外のプログラムの処理要求から保護
するためのリモートオペレーション用クライアント・サ
ーバシステムにおけるサーバの保護方法に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention provides a client device which operates using an NLO (network loadable object) which is a program loaded and operated via a network only when necessary, and an NLO for the client device. The present invention relates to a remote operation client / server system including a server that performs a predetermined process in accordance with a processing request from a provided NLO, and in particular, requests a server that has provided an NLO to process a program other than the NLO provided by the server. The present invention relates to a method for protecting a server in a client / server system for remote operation for protecting the server.
【0002】[0002]
【従来の技術】サーバからクライアント装置にロードさ
れクライアント装置で実行されるプログラムであるNL
Oを用いて遠隔操作(リモートオペレーション)を行う
リモートオペレーション用クライアント・サーバシステ
ムが提案されている。2. Description of the Related Art NL which is a program loaded from a server to a client device and executed by the client device
A remote operation client / server system for performing a remote operation (remote operation) using O has been proposed.
【0003】このような、リモートオペレーション用ク
ライアント・サーバシステムでは、クライアント装置は
サーバからNLOをロードし、ロードされたNLOがサ
ーバへ処理要求を行い、この結果サーバはNLOからの
処理要求に従ってサーバにより管理されている機器等を
操作する。In such a client / server system for remote operation, a client device loads an NLO from a server, and the loaded NLO makes a processing request to the server. As a result, the server responds to the processing request from the NLO by the server. Operate managed devices.
【0004】従来のリモートオペレーション用クライア
ント・サーバシステムでは、NLOはクライアント装置
にロードされて実行されるため、ロードされたNLOが
クライアント装置の機密データを盗んだり、改竄した
り、あるいはクライアント装置の動作を停止する等の不
正を行うことができないように、クライアント装置に
は、クライアント装置をNLOから保護するための様々
なセキュリティ機構が設けられている。In the conventional client / server system for remote operation, the NLO is loaded on the client device and executed. Therefore, the loaded NLO steals or falsifies confidential data of the client device, or operates the client device. The client device is provided with various security mechanisms for protecting the client device from NLO so that unauthorized operations such as stopping the client device cannot be performed.
【0005】しかし、従来のリモートオペレーション用
クライアント・サーバシステムでは、NLOからのアク
セスを受けるサーバ側の保護については、一般のサーバ
保護と同様な保護方法しか適用されていなかった。つま
り、サーバ内に予めサーバへの接続を許可するクライア
ント装置を登録しておき、登録されたクライアント装置
からのアクセスのみを許可したり、NLOのロード時に
ユーザにパスワードを要求し、サーバ内のNLOへのア
クセス権限を確認するような保護方法しか用いられてい
なかった。[0005] However, in the conventional client / server system for remote operation, only the same protection method as that of general server protection is applied to the protection of the server that is accessed from the NLO. That is, a client device that is permitted to connect to the server is registered in the server in advance, and only access from the registered client device is permitted, or a password is required from the user when the NLO is loaded. Only protection methods were used to verify access rights to the site.
【0006】このような従来のサーバの保護方法であっ
ても、NLOの処理がサーバ側への処理要求を伴わない
場合は特に問題はなく十分である。しかし、リモートオ
ペレーション用クライアント・サーバシステムのよう
に、サーバがNLOからの要求によって処理を行う場
合、従来のようなサーバの保護方法を用いたのでは、サ
ーバはNLOをロードしていないクライアント装置から
のアクセスを排除することはできても、NLOをロード
したクライアント装置上のNLO以外のプログラムモジ
ュールからの不正なアクセスを防止することができな
い。Even with such a conventional server protection method, when the NLO processing does not involve a processing request to the server side, there is no problem and it is sufficient. However, in the case where the server performs processing in response to a request from the NLO, such as a client / server system for remote operation, using a conventional method of protecting the server, the server receives a request from a client device that has not loaded the NLO. However, it is not possible to prevent unauthorized access from program modules other than the NLO on the client device loaded with the NLO.
【0007】そして、NLO以外のプログラムモジュー
ルからサーバへの不正なアクセスが行われると、本来の
NLOでは許可されていないようなデータの授受がサー
バとクライアント装置との間で行われてしまう。例え
ば、NLOをロードしたクライアント装置からの要求を
サーバが無条件で受け入れるようになっていると、本来
のNLOからは送られてこないはずのデータが送りつけ
られることによってサーバの動作に異常をきたしたり、
NLOをロードしたユーザにはアクセスが許されていな
いサーバ上のデータに不正にアクセスされる可能性があ
る。[0007] When an unauthorized access to the server is made from a program module other than the NLO, data transfer that is not permitted by the original NLO is performed between the server and the client device. For example, if the server unconditionally accepts a request from a client device that has loaded an NLO, the operation of the server may be abnormal because data that should not be sent from the original NLO is sent. Or
There is a possibility that the user who has loaded the NLO may gain unauthorized access to data on a server to which access is not permitted.
【0008】そのため、登録されたクライアント装置か
らのアクセスのみを許可したり、NLOのロード時にユ
ーザにパスワードを要求し、サーバ内のNLOへのアク
セス権限を確認するような従来の方法ではサーバの保護
方法としては不十分である。For this reason, the conventional method of permitting access only from a registered client device, requesting a password from the user when loading the NLO, and confirming the access right to the NLO in the server is used to protect the server. This is not enough.
【0009】[0009]
【発明が解決しようとする課題】上述した従来のリモー
トオペレーション用クライアント・サーバシステムで
は、NLOを提供したサーバは、アクセスしてきたクラ
イアント装置が不正であるかどうかしか確認することが
できないため、NLOを提供したクライアント装置上の
NLO以外のプログラムモジュールからの不正なアクセ
スを排除することができないという問題点があった。In the above-described conventional remote operation client / server system, the server that has provided the NLO can only confirm whether or not the accessing client device is unauthorized. There has been a problem in that unauthorized access from a program module other than the NLO on the provided client device cannot be excluded.
【0010】本発明の目的は、NLOを提供したサーバ
が、NLOを提供した先のクライアント装置上のNLO
以外のプログラムからの処理要求を排除することができ
るリモートオペレーション用クライアント・サーバシス
テムおよびこのシステムにおけるサーバの保護方法を提
供することである。[0010] It is an object of the present invention to provide a method in which a server that has provided an NLO has an NLO on a client device to which the NLO has been provided.
Another object of the present invention is to provide a client / server system for remote operation that can eliminate a processing request from a program other than the above, and a server protection method in this system.
【0011】[0011]
【課題を解決するための手段】上記目的を達成するため
に、本発明のリモートオペレーション用クライアント・
サーバシステムにおけるサーバの保護方法は、必要な時
のみネットワーク経由でロードされて動作するプログラ
ムであるNLOを用いて作業を行うクライアント装置
と、このクライアント装置にNLOを提供し、提供した
NLOからの処理要求に従って所定の処理を行うサーバ
とから構成されるリモートオペレーション用クライアン
ト・サーバシステムにおけるサーバの保護方法であっ
て、前記クライアント装置が、NLOのロードを要求す
るためのNLO要求を前記サーバへ送信するステップ
と、前記サーバが、クライアント装置からのNLO要求
を受信し該クライアント装置にNLOのロードを許可す
る場合、該NLO要求を送信してきたクライアント装置
を特定するためのクライアント識別子を取得し、ロード
を要求されたNLOを、NLOがロードされる毎に異な
るように生成されるデータであるNLO添付データとと
もに前記クライアント装置に送信するステップと、前記
クライアント装置にロードされたNLOが、保持されて
いるクライアント装置のクライアント識別子を取得し、
該クライアント識別子をNLO添付データとともに前記
サーバに提示して前記サーバにNLO識別子発行要求を
送信するステップと、クライアント装置に保持されてい
るNLOからのNLO識別子発行要求を受信した前記サ
ーバが、提示されたクライアント識別子とNLO添付デ
ータが、NLO要求を受信した際に取得したクライアン
ト識別子および提供したNLOに添付したNLO添付デ
ータと合致することを確認した後に、提供したNLO毎
に異なる値であるNLO識別子を発行し、発行した該N
LO識別子を前記NLO識別子発行要求を送信してきた
NLOに送信するステップと、クライアント装置に保持
されているNLOが、NLO識別子を提示して前記サー
バに処理要求を行うステップと、NLOからの処理要求
を受信したサーバが、該処理要求とともに提示されたN
LO識別子が発行したNLO識別子と一致することを確
認した後に要求された処理を実行するステップとを有す
る。In order to achieve the above-mentioned object, a remote operation client according to the present invention is provided.
A method of protecting a server in a server system includes a client device that operates using an NLO that is a program that is loaded and operated via a network only when necessary, an NLO provided to the client device, and processing from the provided NLO. A method of protecting a server in a client / server system for remote operation including a server that performs a predetermined process according to a request, wherein the client device transmits an NLO request for requesting an NLO load to the server. And when the server receives the NLO request from the client device and permits the client device to load the NLO, obtains a client identifier for identifying the client device that transmitted the NLO request, and executes the loading. The requested NLO, Transmitting to the client device together with NLO attached data, which is data generated differently each time the LO is loaded, wherein the NLO loaded in the client device obtains a client identifier of the held client device And
Presenting the client identifier together with the NLO attached data to the server and transmitting an NLO identifier issuance request to the server; and the server receiving the NLO identifier issuance request from the NLO held in the client device is presented. After confirming that the client identifier and the NLO attached data match the client identifier obtained when the NLO request is received and the NLO attached data attached to the provided NLO, the NLO identifier which is a different value for each provided NLO And the issued N
Transmitting the LO identifier to the NLO that has transmitted the NLO identifier issuance request, the NLO held in the client device presenting the NLO identifier to make a processing request to the server, and a processing request from the NLO. Is received by the server that has received the processing request.
Executing the requested processing after confirming that the LO identifier matches the issued NLO identifier.
【0012】本発明によれば、NLOをクライアント装
置に提供したサーバは、クライアント装置からの処理要
求を受信した場合、NLO識別子の有無を確認すること
によりその処理要求が、提供したNLOからのものなの
かNLO以外のプログラムモジュールからのものなのか
を判定することができ、NLOを提供した先のクライア
ント装置上のNLO以外のプログラムからの処理要求を
排除することができる。According to the present invention, when a server that has provided an NLO to a client device receives a processing request from the client device, the server checks the presence or absence of the NLO identifier to determine whether the processing request is from the provided NLO. It is possible to determine whether the request is from a program module other than the NLO, and it is possible to eliminate a processing request from a program other than the NLO on the client device to which the NLO is provided.
【0013】[0013]
【発明の実施の形態】次に、本発明の実施の形態につい
て図面を参照して詳細に説明する。Next, embodiments of the present invention will be described in detail with reference to the drawings.
【0014】図1は本発明の一実施形態のリモートオペ
レーション用クライアント・サーバシステムの構成を示
すブロック図である。FIG. 1 is a block diagram showing a configuration of a client / server system for remote operation according to an embodiment of the present invention.
【0015】本実施形態のリモートオペレーション用ク
ライアント・サーバシステムは、サーバ1と、クライア
ント装置2とから構成されている。The remote operation client / server system according to the present embodiment comprises a server 1 and a client device 2.
【0016】サーバ1は、クライアント装置2に保持さ
れているNLOから要求された処理を行うNLO要求処
理部3と、NLO5を格納しているNLO格納部4と、
クライアント識別子およびNLO識別子の保持および管
理を行う識別子管理部6とから構成されている。クライ
アント装置2は、クライアント装置を特定するためのク
ライアント識別子を保持しているクライアント識別子保
持部7と、サーバ1からロードしたNLOを実行するN
LO実行部8とから構成されている。The server 1 includes an NLO request processing unit 3 for performing a process requested by the NLO held in the client device 2, an NLO storage unit 4 for storing an NLO 5,
And an identifier management unit 6 for holding and managing the client identifier and the NLO identifier. The client device 2 includes a client identifier holding unit 7 that holds a client identifier for specifying the client device, and an N that executes the NLO loaded from the server 1.
And an LO execution unit 8.
【0017】図2はサーバ1の識別子管理部6に保持さ
れている識別子管理テーブルの構成を示す図である。こ
の識別子管理テーブルは、クライアント装置を特定する
ためのクライアント識別子を格納するフィールドと、N
LOをクライアント装置2に送信する際にNLOに添付
するNLO添付データを格納するフィールドと、クライ
アント装置2に保持されたNLOからの処理要求を許可
する許可証となるNLO識別子を格納するフィールドと
から構成されている。FIG. 2 is a diagram showing the configuration of the identifier management table held in the identifier management unit 6 of the server 1. The identifier management table includes a field for storing a client identifier for identifying a client device,
From the field for storing the NLO attached data attached to the NLO when transmitting the LO to the client device 2 and the field for storing the NLO identifier serving as a permit for permitting a processing request from the NLO held in the client device 2 It is configured.
【0018】次に、本実施形態のリモートオペレーショ
ン用クライアント・サーバシステムの動作について図3
を参照して詳細に説明する。図3は、クライアント装置
2がサーバ1にNLOロード要求を出してから、クライ
アント装置2に保持されているNLOがサーバ1への処
理要求を行うまでの手順を示すフローチャートである。Next, the operation of the client / server system for remote operation of the present embodiment will be described with reference to FIG.
This will be described in detail with reference to FIG. FIG. 3 is a flowchart showing a procedure from when the client device 2 issues an NLO load request to the server 1 to when the NLO held in the client device 2 issues a processing request to the server 1.
【0019】(1)先ず、クライアント装置2がサーバ
1にユーザ名とパスワードを提示してNLOのロード要
求を行う。(1) First, the client device 2 presents a user name and a password to the server 1 and issues an NLO load request.
【0020】(2)サーバ1は、クライアント装置2か
らのNLO要求を許可するかどうかを判定する。この判
定はユーザ名とパスワードの確認によって行う。(2) The server 1 determines whether to permit an NLO request from the client device 2. This determination is made by confirming the user name and password.
【0021】(3)サーバ1は、クライアント装置2か
らのNLO要求を許可する場合、識別子管理部6の識別
子管理テーブルに新しい欄を追加し、許可したクライア
ント装置2のクライアント識別子を取得し、取得したク
ライアント識別子を識別子管理テーブルの追加した欄に
書き込む。(3) When permitting the NLO request from the client device 2, the server 1 adds a new column to the identifier management table of the identifier management unit 6, acquires the client identifier of the permitted client device 2, and acquires the client identifier. The written client identifier is written in the added column of the identifier management table.
【0022】クライアント識別子とは、クライアント装
置を特定するための番号であり、例えばクライアント装
置2のIP(Internet Protocol)アドレスを使用する
ことができる。IPアドレスは、はNLOのロードに使
用されるアプリケーション層のプロトコルよりも下位の
プロトコルのパケット(IPパケット)に含まれるIP
アドレスをサーバ側のプログラムが読み取ることによっ
て取得することができます。あるいは、さらに下位のイ
ーサネット(登録商標)(Ethernet(登録商
標))のMAC(Media Access Control)アドレスをク
ライアント識別子として使用することもできる。また、
NLOのロードプロトコルより下位のプロトコルが何で
あれ、通信を行うためには何らかのクライアント装置2
固有の情報を持たせる必要があるため、その情報をクラ
イアント識別子として使用することができる。The client identifier is a number for specifying the client device, and for example, the IP (Internet Protocol) address of the client device 2 can be used. The IP address is an IP address included in a packet (IP packet) of a protocol lower than the application layer protocol used for loading the NLO.
The address can be obtained by reading it from a server-side program. Alternatively, a MAC (Media Access Control) address of a lower-order Ethernet (registered trademark) (Ethernet (registered trademark)) can be used as a client identifier. Also,
Regardless of what protocol is lower than the NLO load protocol, some client device 2 is required to communicate.
Since it is necessary to have unique information, the information can be used as a client identifier.
【0023】(4)次に、サーバ1は、NLO添付デー
タを生成し、(2)で新規作成した欄に登録した後、N
LO添付データをNLOに添付してクライアント装置2
に送信する。(4) Next, the server 1 generates NLO attached data and registers it in the column newly created in (2).
Client device 2 attaching LO attached data to NLO
Send to
【0024】ここで作成されるNLO添付データとは、
NLOがロードされる毎に異なるように生成されるデー
タであり、NLOがロードされる毎に動的に生成される
ものである。そして、NLO添付データは、各ロードに
ついて一意性のあるものであれば、そのデータ形式は問
はない。The NLO attached data created here is:
The data is generated differently each time the NLO is loaded, and is dynamically generated each time the NLO is loaded. The data format of the NLO attached data is not limited as long as it is unique for each load.
【0025】例えば、NLOのプログラムコードとNL
Oの送信時刻のデータを組合せたものをNLO添付デー
タとして使用することができる。この場合には、NLO
のプログラムコードとNLOの送信時刻のデータを組合
せたデータを、例えば、MIME(Multipurpose Inter
net Mail Extensions)の符号化方式であるBase6
4で符号化して、NLOとともにクライアント装置2に
送信する。For example, NLO program code and NL
A combination of the data of the transmission time of O can be used as the NLO attached data. In this case, the NLO
For example, MIME (Multipurpose Intermediate Intermediate System)
Base6, which is an encoding method of net Mail Extensions
4 and transmitted to the client device 2 together with the NLO.
【0026】(5)クライアント装置2のNLO実行部
8にロードされたNLOは、NLOの初期化処理時に、
保持されているクライアント装置2のクライアント識別
子と自身に添付されたNLO添付データを読み込んで保
持する。(5) The NLO loaded into the NLO execution unit 8 of the client device 2 is
It reads and holds the held client identifier of the client device 2 and the NLO attached data attached to itself.
【0027】(6)そして、クライアント装置1に保持
されているNLOは、(5)において保持したクライア
ント識別子およびNLO添付データをサーバ1に送信
し、NLO識別子の発行を要求する。(6) Then, the NLO held in the client device 1 transmits the client identifier and the NLO attached data held in (5) to the server 1, and requests the NLO identifier to be issued.
【0028】(7)サーバ1は、クライアント装置2側
から送信されてきたクライアント識別子と、NOL添付
データを識別子管理テーブルに記載された情報と照合
し、提示されたクライアント識別子とNLO添付データ
が、NLO要求を受信した際に取得したクライアント識
別子および提供したNLOに添付したNLO添付データ
と合致すると、NLO識別子を生成して、識別子管理テ
ーブルの対応する欄に書き込んだ後、生成したNLO識
別子をクライアント装置2側に送信する。NLO識別子
としては、提供したNLO毎に異なる値であればどのよ
うな値を用いても良く、例えば、クライアント識別子と
NLO添付データからランダムに生成した数値を用いる
ことができる。(7) The server 1 checks the client identifier transmitted from the client device 2 and the NOL attached data with the information described in the identifier management table, and the presented client identifier and the NLO attached data are compared with each other. When the client identifier obtained when the NLO request is received matches the NLO attached data attached to the provided NLO, an NLO identifier is generated, written in a corresponding column of the identifier management table, and the generated NLO identifier is written to the client. It is transmitted to the device 2 side. As the NLO identifier, any value may be used as long as it is different for each provided NLO. For example, a numerical value randomly generated from a client identifier and NLO attached data can be used.
【0029】(8)そして、サーバ1からのNLO識別
子を受信したクライアント装置1内のNLOは、受信し
たNLO識別子を保持する。(8) The NLO in the client device 1 that has received the NLO identifier from the server 1 holds the received NLO identifier.
【0030】(9)NLOは、サーバ1に対して処理要
求を行う際に、(8)において保持したNLO識別子を
送信する。(9) When making a processing request to the server 1, the NLO transmits the NLO identifier held in (8).
【0031】(10)サーバ1は、クライアント装置2
内のNLOからの処理要求を受けると、クライアント装
置2側から提示されたNLO識別子が、識別子管理テー
ブルの対応するクライアント装置の欄上にあることを確
認してから処理を実行する。(10) The server 1 is a client device 2
When the processing request is received from the NLO in the above, the processing is executed after confirming that the NLO identifier presented from the client device 2 is on the column of the corresponding client device in the identifier management table.
【0032】上記のような処理を行うことにより、本実
施形態のリモートオペレーション用クライアント・サー
バシステムによれば、NLO5を提供したサーバ1は、
クライアント装置2からの処理要求を受信した場合、N
LO識別子の有無を確認することによりその処理要求が
提供したNLOからのものなのかNLO以外のプログラ
ムモジュールからのものなのかを判定することができ、
NLOを提供した先のクライアント装置2上のNLO以
外のプログラムからの処理要求を排除することができ
る。By performing the processing described above, according to the remote operation client / server system of the present embodiment, the server 1 that has provided the NLO 5
When a processing request from the client device 2 is received, N
By confirming the presence or absence of the LO identifier, it is possible to determine whether the processing request is from the provided NLO or a program module other than the NLO,
Processing requests from programs other than the NLO on the client device 2 to which the NLO has been provided can be eliminated.
【0033】また、本実施形態では、NLOをサーバ1
からクライアント装置2にロードする際にそのNLOと
ともにクライアント装置2に送信するNLO添付データ
は誰でも内容を見ることができるデータ形式で送信され
ていた。しかし、悪意のある第三者がこのNLO添付デ
ータを盗用し、クライアント識別子とともにNLO識別
子を要求してきた場合、サーバ1は、そのNLO識別子
要求が提供したNLOからの正当なNLO識別子要求な
のかどうかを判定することができない。そのため、悪意
のある第三者にNLO識別子を発行してしまうという弊
害が発生する可能性がある。In this embodiment, the NLO is connected to the server 1
The NLO-attached data transmitted to the client device 2 together with the NLO when the data is loaded into the client device 2 is transmitted in a data format in which anyone can view the contents. However, if a malicious third party plagiarizes the NLO attached data and requests the NLO identifier together with the client identifier, the server 1 determines whether the NLO identifier request is a valid NLO identifier request from the provided NLO. Cannot be determined. Therefore, there is a possibility that an adverse effect of issuing an NLO identifier to a malicious third party may occur.
【0034】このような弊害を防止するため、例えば、
初めにNLO添付データを暗号化してNLOとともにク
ライアント装置2に送信し、NLOがクライアント装置
2側で起動されるとNLOの内部ルーチンによって、暗
号化された添付データを復号してサーバ1に送り返すよ
うにしてもよい。このようにすることにより、NLOの
内部ルーチンが解読されない限り、サーバ1側は、NL
O識別子を要求してきたのがサーバ1が提供したNLO
自身であることが確認できることになる。そして、この
NLOの認証が行われた印として、データ長の小さいN
LO識別子を用いれば、処理要求毎にデータ長の長いN
LO添付データを送り返さずに処理を進めることができ
るようになる。To prevent such adverse effects, for example,
First, the NLO attached data is encrypted and transmitted to the client device 2 together with the NLO. When the NLO is started on the client device 2 side, the encrypted attached data is decrypted and sent back to the server 1 by an internal routine of the NLO. It may be. By doing so, as long as the internal routine of the NLO is not decrypted, the server 1
The request for the O identifier is the NLO provided by server 1.
You can confirm that you are yourself. Then, as a sign of the NLO authentication, N
If the LO identifier is used, a long data length N
Processing can be performed without sending back LO attached data.
【0035】[0035]
【発明の効果】以上説明したように、本発明によれば、
NLOを提供したサーバは、NLOを提供した先のクラ
イアント装置上のNLO以外のプログラムからの処理要
求を排除することができるという効果を得ることができ
る。As described above, according to the present invention,
The server that has provided the NLO can obtain an effect that a processing request from a program other than the NLO on the client device to which the NLO has been provided can be excluded.
【図1】本発明の一実施形態のリモートオペレーション
用クライアント・サーバシステムの構成を示すブロック
図である。FIG. 1 is a block diagram showing a configuration of a client / server system for remote operation according to an embodiment of the present invention.
【図2】図1中の識別子管理部6に記憶される識別子管
理テーブルの構成を示すブロック図である。FIG. 2 is a block diagram showing a configuration of an identifier management table stored in an identifier management unit 6 in FIG.
【図3】図1のリモートオペレーション用クライアント
・サーバシステムの動作を示すフローチャートである。FIG. 3 is a flowchart showing the operation of the remote operation client / server system of FIG. 1;
1 サーバ 2 クライアント装置 3 NLO要求処理部 4 NLO格納部 5 NLO 6 識別子管理部 7 クライアント識別子保持部 8 NLO実行部 Reference Signs List 1 server 2 client device 3 NLO request processing unit 4 NLO storage unit 5 NLO 6 identifier management unit 7 client identifier holding unit 8 NLO execution unit
Claims (8)
されて動作するプログラムであるNLOを用いて作業を
行うクライアント装置と、このクライアント装置にNL
Oを提供し、提供したNLOからの処理要求に従って所
定の処理を行うサーバとから構成されるリモートオペレ
ーション用クライアント・サーバシステムであって、 クライアント装置からのNLO要求を受信し該クライア
ント装置にNLOのロードを許可する場合、該NLO要
求を送信してきたクライアント装置を特定するためのク
ライアント識別子を取得し、ロードを要求されたNLO
を、NLOがロードされる毎に異なるように生成される
データであるNLO添付データとともに前記クライアン
ト装置に送信し、クライアント装置にロードされたNL
Oからのクライアント識別子と、NLO添付データを提
示したNLO識別子の発行要求を受信すると、提示され
たクライアント識別子とNLO添付データが、NLO要
求を受信した際に取得したクライアント識別子および提
供したNLOに添付したNLO添付データと合致するこ
とを確認した後に、提供したNLO毎に異なる値である
NLO識別子を発行し、発行した該NLO識別子を前記
NLO識別子発行要求を送信してきたクライアント装置
に送信し、NLOからの処理要求を受信すると、該処理
要求とともに提示されたNLO識別子が発行したNLO
識別子と一致することを確認した後に要求された処理を
実行するサーバと、 NLOのロードを要求するためのNLO要求を前記サー
バへ送信し、前記サーバからロードしたNLOが、クラ
イアント識別子を取得し、該クライアント識別子をNL
O添付データとともに前記サーバに提示して前記サーバ
にNLO識別子発行要求を送信し、保持しているNLO
を用いて作業を行う場合、保持している前記NLOが、
NLO識別子を提示して前記サーバに処理要求を行うク
ライアント装置と、 から構成されているリモートオペレーション用クライア
ント・サーバシステム。1. A client device that operates using an NLO, which is a program that is loaded and operated via a network only when necessary, and an NL that is connected to the client device.
A client server system for remote operation, comprising: a server that provides an O.O. and performs predetermined processing in accordance with the processing request from the provided NLO. When permitting the load, the client identifier for identifying the client device that has transmitted the NLO request is acquired, and the NLO requested to be loaded is acquired.
Is transmitted to the client device together with the NLO attached data which is data generated differently each time the NLO is loaded, and the NL loaded in the client device is transmitted.
When a request for issuing the client identifier and the NLO identifier presenting the NLO attached data from O is received, the presented client identifier and the NLO attached data are attached to the client identifier acquired when the NLO request was received and the provided NLO. After confirming that the received NLO data matches the NLO attached data, the NLO identifier that is different for each provided NLO is issued, and the issued NLO identifier is transmitted to the client device that transmitted the NLO identifier issuance request. Receiving the processing request from the NLO, the NLO identifier presented with the processing request
A server that executes the requested processing after confirming that it matches the identifier, sends an NLO request for requesting an NLO load to the server, and the NLO loaded from the server obtains a client identifier, The client identifier is NL
The NLO sends the NLO identifier issuance request to the server together with the NLO identifier,
When the work is performed by using the NLO,
A client device for presenting an NLO identifier and making a processing request to the server; and a client / server system for remote operation.
号化して前記クライアント装置に送信し、 前記クライアント装置にロードされたNLOは、暗号化
されたNLO添付データを復号して、クライアント識別
子とともに前記サーバへNLO識別子要求を送信する請
求項1記載のリモートオペレーション用クライアント・
サーバシステム。2. The server encrypts the NLO attached data and transmits the encrypted NLO attached data to the client device. The NLO loaded on the client device decrypts the encrypted NLO attached data and sends the encrypted NLO attached data together with a client identifier to the server. The client for remote operation according to claim 1, wherein the client sends an NLO identifier request to the client.
Server system.
である請求項1または2載のリモートオペレーション用
クライアント・サーバシステム。3. The client / server system for remote operation according to claim 1, wherein said client identifier is an IP address.
されて動作するプログラムであるNLOを用いて作業を
行うクライアント装置にNLOを提供し、提供したNL
Oからの処理要求に従って所定の処理を行うサーバであ
って、 クライアント装置からのNLO要求を受信し該クライア
ント装置にNLOのロードを許可する場合、該NLO要
求を送信してきたクライアント装置を特定するためのク
ライアント識別子を取得し、ロードを要求されたNLO
を、NLOがロードされる毎に異なるように生成される
データであるNLO添付データとともに前記クライアン
ト装置に送信し、クライアント装置にロードされたNL
Oからのクライアント識別子と、NLO添付データを提
示したNLO識別子の発行要求を受信すると、提示され
たクライアント識別子とNLO添付データが、NLO要
求を受信した際に取得したクライアント識別子および提
供したNLOに添付したNLO添付データと合致するこ
とを確認した後に、提供したNLO毎に異なる値である
NLO識別子を発行し、発行した該NLO識別子を前記
NLO識別子発行要求を送信してきたクライアント装置
に送信し、NLOからの処理要求を受信すると、該処理
要求とともに提示されたNLO識別子が発行したNLO
識別子と一致することを確認した後に要求された処理を
実行するサーバ。4. An NLO is provided to a client device that operates using an NLO which is a program loaded and operated via a network only when necessary, and the provided NL is provided.
A server that performs a predetermined process according to a process request from the client device and receives the NLO request from the client device and permits the client device to load the NLO; Of the NLO requested to be loaded
Is transmitted to the client device together with the NLO attached data which is data generated differently each time the NLO is loaded, and the NL loaded in the client device is transmitted.
When a request for issuing the client identifier and the NLO attached data presenting the NLO attached data from O is received, the presented client identifier and the NLO attached data are attached to the client identifier obtained when the NLO request was received and the provided NLO. After confirming that the received NLO data matches the NLO attached data, an NLO identifier that is a different value for each provided NLO is issued, and the issued NLO identifier is transmitted to the client device that transmitted the NLO identifier issuance request. Receiving the processing request from the NLO, the NLO issued by the NLO identifier presented with the processing request
A server that performs the requested processing after confirming that it matches the identifier.
である請求項4記載のサーバ。5. The server according to claim 4, wherein said client identifier is an IP address.
されて動作するプログラムであるNLOを用いて作業を
行うクライアント装置と、このクライアント装置にNL
Oを提供し、提供したNLOからの処理要求に従って所
定の処理を行うサーバとから構成されるリモートオペレ
ーション用クライアント・サーバシステムにおけるサー
バの保護方法であって、 前記クライアント装置が、NLOのロードを要求するた
めのNLO要求を前記サーバへ送信するステップと、 前記サーバが、クライアント装置からのNLO要求を受
信し該クライアント装置にNLOのロードを許可する場
合、該NLO要求を送信してきたクライアント装置を特
定するためのクライアント識別子を取得し、ロードを要
求されたNLOを、NLOがロードされる毎に異なるよ
うに生成されるデータであるNLO添付データとともに
前記クライアント装置に送信するステップと、 前記クライアント装置にロードされたNLOが、保持さ
れているクライアント装置のクライアント識別子を取得
し、該クライアント識別子をNLO添付データとともに
前記サーバに提示して前記サーバにNLO識別子発行要
求を送信するステップと、 クライアント装置に保持されているNLOからのNLO
識別子発行要求を受信した前記サーバが、提示されたク
ライアント識別子とNLO添付データが、NLO要求を
受信した際に取得したクライアント識別子および提供し
たNLOに添付したNLO添付データと合致することを
確認した後に、提供したNLO毎に異なる値であるNL
O識別子を発行し、発行した該NLO識別子を前記NL
O識別子発行要求を送信してきたNLOに送信するステ
ップと、 クライアント装置に保持されているNLOが、NLO識
別子を提示して前記サーバに処理要求を行うステップ
と、 NLOからの処理要求を受信したサーバが、該処理要求
とともに提示されたNLO識別子が発行したNLO識別
子と一致することを確認した後に要求された処理を実行
するステップとを有する、リモートオペレーション用ク
ライアント・サーバシステムにおけるサーバの保護方
法。6. A client device that performs work using an NLO, which is a program loaded and operated via a network only when necessary, and an NL for the client device.
A server protection method in a client / server system for remote operation, comprising: a server for providing a predetermined processing according to a processing request from the provided NLO; Transmitting an NLO request to the server to perform the NLO request, and when the server receives the NLO request from the client device and permits the client device to load the NLO, the client device that has transmitted the NLO request is specified. Acquiring a client identifier for performing the load and transmitting the NLO requested to be loaded to the client device together with NLO attached data which is data generated differently each time the NLO is loaded; The loaded NLO is retained Gets the client identifier of the client device are, and sending the NLO identifier issuance request in the server the client identifier presented to the server along with the NLO attachments, NLO from NLO held in the client device
After the server that has received the identifier issuing request confirms that the presented client identifier and the NLO attached data match the client identifier obtained when the NLO request was received and the NLO attached data attached to the provided NLO, , NL which is a different value for each provided NLO
O, and issues the issued NLO identifier to the NL.
Transmitting an O identifier issuance request to the NLO that has transmitted the request; an NLO held in the client device presenting the NLO identifier to make a processing request to the server; and a server receiving the processing request from the NLO. Executing the requested processing after confirming that the NLO identifier presented together with the processing request matches the issued NLO identifier, in the remote operation client-server system.
号化して前記クライアント装置に送信し、 前記クライアント装置にロードされたNLOは、暗号化
されたNLO添付データを復号して、クライアント識別
子とともに前記サーバへNLO識別子要求を送信する請
求項6記載のリモートオペレーション用クライアント・
サーバシステムにおけるサーバの保護方法。7. The server encrypts the NLO attached data and transmits the encrypted NLO attached data to the client device. The NLO loaded on the client device decrypts the encrypted NLO attached data and sends the encrypted NLO attached data together with a client identifier to the server. 7. The remote operation client according to claim 6, wherein the client sends an NLO identifier request to the client.
A server protection method in a server system.
である請求項6または7記載のリモートオペレーション
用クライアント・サーバシステムにおけるサーバの保護
方法。8. The server protection method in a remote operation client / server system according to claim 6, wherein the client identifier is an IP address.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001036882A JP2002244856A (en) | 2001-02-14 | 2001-02-14 | Client-server system for remote operation and method of protecting server in this system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001036882A JP2002244856A (en) | 2001-02-14 | 2001-02-14 | Client-server system for remote operation and method of protecting server in this system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002244856A true JP2002244856A (en) | 2002-08-30 |
Family
ID=18900092
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001036882A Pending JP2002244856A (en) | 2001-02-14 | 2001-02-14 | Client-server system for remote operation and method of protecting server in this system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002244856A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7447752B2 (en) | 2002-12-25 | 2008-11-04 | Fujitsu Limited | Identification information creating method, information processing apparatus, computer program product, recording device monitoring method, terminal apparatus management method, and communication network system |
-
2001
- 2001-02-14 JP JP2001036882A patent/JP2002244856A/en active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7447752B2 (en) | 2002-12-25 | 2008-11-04 | Fujitsu Limited | Identification information creating method, information processing apparatus, computer program product, recording device monitoring method, terminal apparatus management method, and communication network system |
| US7933979B2 (en) | 2002-12-25 | 2011-04-26 | Fujitsu Limited | Identification information creating method, information processing apparatus, computer program product, recording device monitoring method, terminal apparatus management method, and communication network system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1645971B1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| KR100621420B1 (en) | Network connection system | |
| US8613102B2 (en) | Method and system for providing document retention using cryptography | |
| US6807577B1 (en) | System and method for network log-on by associating legacy profiles with user certificates | |
| EP2115654B1 (en) | Simplified management of authentication credentials for unattended applications | |
| KR101720160B1 (en) | Authenticated database connectivity for unattended applications | |
| US20070271618A1 (en) | Securing access to a service data object | |
| US9553858B2 (en) | Hardware-based credential distribution | |
| US20030200202A1 (en) | Content management system and methodology employing non-transferable access tokens to control data access | |
| US20030070069A1 (en) | Authentication module for an enterprise access management system | |
| JP2003228519A (en) | Method and architecture for providing pervasive security for digital asset | |
| JP2010283607A (en) | Network management method, network management program, network system, and relay equipment | |
| JP4107669B2 (en) | Apparatus and method for program-to-program authentication using dynamically generated public / private key pairs | |
| JP4607602B2 (en) | How to provide access | |
| US7013388B2 (en) | Vault controller context manager and methods of operation for securely maintaining state information between successive browser connections in an electronic business system | |
| JPH05333775A (en) | User authentication system | |
| US20040064703A1 (en) | Access control technique using cryptographic technology | |
| US20230262045A1 (en) | Secure management of a robotic process automation environment | |
| JP2001202332A (en) | Authentication program managing system | |
| JPH0779243A (en) | Network connection device and network connection method | |
| JP2001282667A (en) | Authentication server-client system | |
| JP2002244856A (en) | Client-server system for remote operation and method of protecting server in this system | |
| CN117319096B (en) | Access right management method, access right management device, and readable storage medium | |
| KR20150074128A (en) | Method for downloading at least one software component onto a computing device, and associated computer program product, computing device and computer system | |
| JP7361384B2 (en) | Electronic application assistance method, electronic application assistance system, electronic application assistance system program and its recording medium |