CN105593866B - 终端认证和登记系统、终端认证和登记方法以及存储介质 - Google Patents
终端认证和登记系统、终端认证和登记方法以及存储介质 Download PDFInfo
- Publication number
- CN105593866B CN105593866B CN201480054490.1A CN201480054490A CN105593866B CN 105593866 B CN105593866 B CN 105593866B CN 201480054490 A CN201480054490 A CN 201480054490A CN 105593866 B CN105593866 B CN 105593866B
- Authority
- CN
- China
- Prior art keywords
- terminal
- user
- unit
- purpose computer
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明执行远程桌面系统中的用户和终端的认证和登记。远程PC的用户认证单元(22)确定是否允许用户登录至PC(2)中。终端(1)的终端信息发送单元(12)读取终端信息,并将终端信息发送给远程PC(2)。连接许可确定单元(25)通过参照白名单来确定是否允许终端与PC(2)之间的远程桌面(RD)连接。当不允许RD连接时,请求信息生成单元(27)生成请求信息,该请求信息用于请求登记用户信息、终端信息和计算机信息的组合。请求信息发送单元(28)将授权的信息发送给终端登记设备(3)。登记单元(32)确定是否登记该组合。
Description
技术领域
本发明涉及对执行远程桌面连接的终端进行认证和登记(以下,也称为“认证和登记”)的终端认证和登记系统、终端认证和登记方法以及存储介质。
背景技术
伴随着平板电脑、智能手机等智能设备的普及,存在针对允许用户将他们自己的移动终端连接至公司通信网络来使用自有装置(BYOD)进行工作的日益增长的需要。与此同时,为了将BYOD引入公司,公司需要管理通过个人智能设备向公司系统的连接。使用远程桌面技术(或精简客户端(thin-client)技术),用户可以从终端与PC(个人计算机,以下称为“PC”)连接以进行他/她的工作。由于远程桌面技术允许用户不在他/她的终端保存任何工作应用程序或文件而进行他/她的工作,该技术与BYOD匹配良好。
PTL 1公开了一种精简客户端系统,其无需修改认证软件,而可以在精简客户端终端以及多个虚拟PC通过使用认证装置执行认证。
PTL 2涉及一种由主机装置使用以认证终端装置的技术,并公开了一种同时认证用户和终端装置以同时执行用户认证和终端装置认证的装置。
引文列表
专利文献
PTL 1 日本未审专利申请公开No._2011-198193
PTL 2 日本未审专利申请公开No.1999(H11)-195005
发明内容
技术问题
在远程桌面技术中,在建立从终端到PC的连接时,针对执行连接的终端的用户而不是针对该终端来执行认证。然而,为了将BYOD引入公司,从安全角度考虑,公司有必要管理执行这种连接的终端。为了管理执行这种连接的终端,需要结合远程桌面技术来使用与远程桌面技术不同的网络认证技术。然而,这会存在增加的系统复杂度、成本和用户使用难度的问题。
PTL 1和PTL 2的技术,是针对认证尝试与主机计算机建立连接的特定终端,并且不用于认证并登记新的未知终端。
本发明主要目的在于:在远程桌面系统中认证并登记用户和终端,而不增大系统的复杂度、成本和用户使用难度中的任意一个。
问题的解决方案
根据本发明第一方面的终端认证和登记系统,其特征在于所述系统包括:
目的计算机,能够认证用户终端的远程桌面连接;以及
终端登记装置,被配置为登记所述终端与所述目的计算机之间的远程桌面连接;
所述目的计算机包括:
用户信息获取单元,用于获取识别所述用户的用户信息;
用户认证单元,用于参照指示允许登录所述目的计算机的用户的认证信息,确定是否允许所述用户信息指示的用户登录所述目的计算机;
终端信息获取单元,用于从所述终端获取识别所述终端的终端信息;
第一白名单存储单元,用于存储白名单,在所述白名单中登记允许远程桌面连接的所述用户、所述终端以及所述目的计算机的组合的名单;
连接许可确定单元,用于在所述用户认证单元确定允许所述终端信息所指示的用户登录至所述目的计算机时,参照所述白名单,确定是否允许由所述用户信息指示的用户在由所述终端信息指示的所述终端与所述目的计算机之间的远程桌面连接;
请求信息生成单元,用于在所述连接许可确定单元确定不允许所述远程桌面连接时,基于所述用户信息、所述终端信息以及识别所述目的计算机的计算机信息,生成请求信息,所述请求信息用于请求将所述用户、所述终端及所述目的计算机的组合登记到白名单中;以及
请求信息发送单元,用于将所述请求信息生成单元所生成的所述请求信息发送给所述终端登记装置;
所述终端登记装置包括:
第二白名单存储单元,用于存储所述白名单;
条件信息存储单元,用于存储条件信息,所述条件信息指示用于确定是否向所述白名单登记所述用户、所述终端及所述目的计算机的组合的条件;
请求信息接收单元,用于从所述目的计算机接收所述请求信息;
登记单元,用于参照所述条件信息,基于所述请求信息接收单元接收到的所述请求信息,确定是否将所述用户、所述终端与所述目的计算机的组合登记到所述白名单中,并且在确定登记所述组合时,通过将所述用户、所述终端和所述目的计算机的组合登记到所述白名单中来更新所述白名单;以及
许可信息发送单元,用于在所述登记单元确定为登记所述组合时,将更新后的白名单发送给所述目的计算机;以及用于在所述登记单元确定不登记所述组合时,将指示不允许所述登记的错误信息发送给所述目的计算机,
所述目的计算机还包括:
许可信息接收单元,用于从所述终端登记装置接收所述错误信息和更新后的白名单,并在所述第一白名单存储单元中存储更新后的白名单;以及
错误信息输出单元,用于输出所述许可信息接收单元接收到的所述错误信息。
根据本发明第二方面的一种在终端认证和登记系统中执行的终端认证和登记方法,所述终端认证和登记系统包括能够认证用户终端的远程桌面连接的目的计算机,以及被配置为登记所述终端与所述目的计算机之间的远程桌面连接的终端登记装置。
所述方法包括由所述目的计算机执行的以下步骤:
用户信息获取步骤,用于获取识别所述用户的用户信息;
用户认证步骤,用于参照指示允许登录所述目的计算机的用户的认证信息,确定是否允许所述用户信息指示的用户登录所述目的计算机;
终端信息获取步骤,用于从所述终端获取识别所述终端的终端信息;
连接许可确定步骤,用于在所述用户认证步骤中确定允许所述终端信息所指示的用户登录所述目的计算机时,参照所述白名单,确定是否允许由所述用户信息指示的用户在由所述终端信息指示的所述终端与所述目的计算机之间的远程桌面连接,在所述白名单中登记有所述用户、所述终端以及所述目的计算机的组合的名单,所述组合中允许远程桌面连接;
请求信息生成步骤,用于在所述连接许可确定步骤中确定不允许所述远程桌面连接时,基于所述用户信息、所述终端信息以及识别所述目的计算机的计算机信息,生成请求信息,所述请求信息用于请求将所述用户、所述终端及所述目的计算机的组合登记到白名单中;以及
请求信息发送步骤,用于将所述请求信息生成步骤中所生成的所述请求信息发送给所述终端登记装置。
该方法还包括由终端登记装置执行的以下步骤:
请求信息接收步骤,用于从所述目的计算机接收所述请求信息;
登记步骤,用于基于所述请求信息接收步骤中接收到的所述请求信息,参照指示确定是否向所述白名单登记所述用户、所述终端及所述目的计算机的组合的条件的条件信息,确定是否将所述用户、所述终端和所述目的计算机的组合登记到所述白名单中,并且在确定登记所述组合时,通过将所述用户、所述终端和所述目的计算机的组合登记到所述白名单中来更新所述白名单;以及
许可信息发送步骤,用于在所述登记步骤中确定为登记所述组合时,将更新后的白名单发送给所述目的计算机;以及当确定不登记所述组合时,将指示不允许所述登记的错误信息发送给所述目的计算机。
该方法还包括由目的计算机执行的以下步骤:
许可信息接收步骤,用于从所述终端登记装置接收所述错误信息和所述更新后的白名单,并存储更新后的白名单;以及
错误信息输出步骤,用于输出在所述许可信息接收步骤中接收到的所述错误信息。
根据本发明第三方面的一种记录有程序的计算机可读存储介质,其特征在于所述计算机程序使所述计算机充当:
用户信息获取单元,用于获取识别用户的用户信息;
用户认证单元,用于参照指示允许登录目的计算机的用户的认证信息,确定是否允许所述用户信息指示的用户登录所述目的计算机;
终端信息获取单元,用于从所述用户的终端获取识别所述终端的终端信息;
白名单存储单元,用于存储白名单,在所述白名单中登记有所述用户、所述终端以及所述目的计算机的组合的名单,所述组合中允许远程桌面连接;
连接许可确定单元,用于在所述用户认证单元确定允许所述终端信息所指示的用户登录至所述目的计算机时,参照所述白名单,确定是否允许由所述用户信息指示的用户在由所述终端信息指示的所述终端与所述目的计算机之间的远程桌面连接;
请求信息生成单元,用于在所述连接许可确定单元确定不允许所述远程桌面连接时,基于所述用户信息、所述终端信息以及识别不允许所述远程桌面连接的所述目的计算机的计算机信息,生成请求信息,所述请求信息用于请求将所述用户、所述终端及所述目的计算机的组合登记到白名单中;
条件信息存储单元,用于存储条件信息,所述条件信息指示用于确定是否将所述用户、所述终端及所述目的计算机的组合登记至白名单的条件;
登记单元,用于参照所述条件信息,基于所述请求信息,确定是否将所述用户、所述终端与所述目的计算机的组合登记到所述白名单中,并且在确定登记所述组合时,通过将所述用户、所述终端和所述目的计算机的组合登记到所述白名单中来更新所述白名单;
错误信息生成单元,用于在所述登记单元确定不登记所述组合时,发送指示不允许所述登记的错误信息;以及
错误信息输出单元,用于输出所述错误信息。
根据本发明第四方面所述的一种终端认证装置,包括:
用户认证单元,用于获取识别用户的用户信息,并参照指示允许登录至所述自身装置的用户的认证信息,确定是否允许所述用户信息指示的用户登录至所述自身装置;
终端信息获取单元,用于从执行与所述自身装置的远程桌面连接的终端,获取识别所述终端的所述终端的信息;
第一存储单元,用于存储白名单,在所述白名单中登记所述用户、所述终端和目的计算机的组合的名单,所述组合中允许远程桌面连接,所述终端执行与所述目的计算机的远程桌面连接;
连接许可确定单元,用于在所述用户认证单元确定允许所述用户信息所指示的用户登录目的计算机时,参照所述白名单,确定是否允许由所述用户信息所示的用户在所述终端信息指示的所述终端与所述自身装置之间的远程桌面连接;以及
请求信息生成单元,用于在所述连接许可确定单元确定不允许所述远程桌面连接时,基于所述用户信息、所述终端信息和识别所述自身装置的计算机信息来生成请求信息,所述请求信息用于请求将所述用户、所述终端以及所述自身装置的组合登记到所述白名单中;并将生成的请求信息发送给终端登记装置,所述终端登记装置被配置为登记所述终端与所述自身装置之间的远程桌面连接。
根据本发明第五方面所述的一种由信息处理装置执行的终端认证方法,包括:
获取识别用户的用户信息,并基于指示允许登录至自身装置的用户的认证信息,执行用于确定是否允许所述用户信息识别的用户登录至所述自身装置的用户认证;
从执行与所述自身装置的远程桌面连接的终端获取识别所述终端的终端信息;
当在所述用户认证中确定允许所述用户信息指示的用户登录自身装置时,参照所述白名单,确定是否允许由所述用户信息所指示的用户在所述终端信息指示的所述终端与所述自身装置之间的远程桌面连接,所述白名单与所述用户、所述终端和目的计算机的组合的名单相对应,所述终端与所述目的计算机执行远程桌面连接,所述组合中允许远程桌面连接;
当在所述确定中确定不允许所述远程桌面连接时,基于所述用户信息、所述终端信息和识别所述自身装置的计算机信息来生成请求信息,所述请求信息用于请求将所述用户、所述终端以及所述自身装置的组合登记到所述白名单中;以及
将生成的请求信息发送给终端登记装置,所述终端登记装置被配置为登记所述终端与所述自身装置之间的远程桌面连接。
根据本发明第六方面所述的一种记录由计算机程序的计算机可读存储介质。计算机程序使计算机充当终端认证装置以执行:
用户认证过程,用于获取识别用户的用户信息,并基于指示允许登录至自身装置的用户的认证信息,确定是否允许所述用户信息识别的用户登录至所述自身装置;
终端信息获取过程,用于从执行与所述自身装置的远程桌面连接的终端获取识别所述终端的终端信息;
连接许可确定过程,用于在所述用户认证过程中确定允许所述用户信息指示的用户登录自身装置时,参照所述白名单,确定是否允许由所述用户信息指示的用户在所述终端信息指示的所述终端与所述自身装置之间的远程桌面连接,所述白名单与所述用户、所述终端和目的计算机的组合的名单相对应,所述终端与所述目的计算机执行远程桌面连接,所述组合中允许远程桌面连接;以及
请求信息生成过程,用于在所述连接许可确定过程中确定不允许所述远程桌面连接时,基于所述用户信息、所述终端信息和识别所述自身装置的计算机信息来生成请求信息,所述请求信息用于请求将所述用户、所述终端以及所述自身装置的组合登记到所述白名单中;以及将生成的请求信息发送给终端登记装置,所述终端登记装置被配置为登记所述终端与所述自身装置之间的远程桌面连接。
发明的有益效果
根据本公开,可以在远程桌面系统中认证并登记用户和终端,而不增加的系统复杂度、成本和用户使用难度中的任意一个。
附图说明
图1是根据本发明的第一示例实施例的终端认证和登记系统的配置的示例的示意图。
图2是根据第一示例实施例的白名单的结构示例的示意图。
图3是根据第一示例实施例的认证请求过程的操作示例的流程图。
图4是根据第一示例实施例的登记过程的操作示例的流程图。
图5是根据本发明的第二示例实施例的终端认证装置的配置的示例的示意图。
图6是根据本发明的每个示例实施例的终端登记装置和目的计算机的硬件配置的示例框图。
具体实施方式
接下来,参照附图详细描述本发明的示例实施例。以下的示例实施例中所描述的配置仅是示例,并且本发明的技术范围并不限于该配置。
<第一示例实施例>
以下,参照附图详细描述本发明的第一示例实施例。贯穿附图,相同或相应的部分由相同参考符号表示。
图1示出根据本发明的第一示例实施例的终端认证和登记系统的配置示例的示意图。终端认证和登记系统100包括用户终端1、远程PC2和终端登记装置3。终端1是用户使用其建立与目的计算机的远程桌面连接(以下,称为“RD连接”)的终端。远程PC 2经由通信网络(以下,简称为“网络”)与终端登记装置3彼此连接。终端1的目的计算机是远程PC 2。
远程PC 2包括输入单元21、用户认证单元22、存储单元23、终端信息接收单元24、连接许可确定单元25、RD连接单元26、请求信息生成单元27、请求信息发送单元28和许可信息接收单元29。
当用户替代于远程桌面连接而经由PC 2的控制终端直接操作远程PC 2时,用户将识别用户的用户信息输入到输入单元21,并登录远程PC 2。
在接收用户信息的输入时,远程PC 2的输入单元21向用户认证单元22发送用户信息。存储单元23存储认证信息,该认证信息指示允许登录远程PC 2的用户。认证信息可以是可识别允许登录远程PC 2的用户的信息。
在接收用户信息时,用户认证单元22参照存储单元23中存储的认证信息,确定(决定)是否允许用户信息指示的用户登录。在允许用户登录时,用户认证单元22将用户信息发送给连接许可确定单元25。
终端1包括输入单元11、终端信息发送单元12、存储单元13、RD连接单元14和显示单元15。
为了建立终端1与远程PC 2之间的远程PC连接,用户做出向输入单元11的用于发送识别终端1的终端信息的操作的输入。发送识别终端1的终端信息的操作的示例是开启终端1的远程桌面功能。
在接收到发送终端信息的操作时,终端1的输入单元11将发送终端信息的指令发送给终端信息发送单元12。
在接收到发送终端信息的指令时,终端信息发送单元12就从存储单元13调用终端信息,并将该终端信息发送给远程PC 2。
终端信息至少包括识别终端1的终端识别信息,并还包括(例如)指示终端1的类型的终端类型信息,指示终端1中安装的软件的类型或版本的软件信息等。
在从终端1接收终端信息时,远程PC 2的终端信息接收单元24将该终端信息发送给连接许可确定单元25。存储单元23存储白名单,该白名单与存储允许RD连接的用户、终端和目的计算机的组合的列表相对应。换言之,在白名单中,分别与允许RD连接的用户、终端和目的计算机相关联的组合被登记为名单。存储形成白名单的数据的形式不限于名单结构,并且在每种情况下可以使用任意合适的格式。
在从用户认证单元22接收用户信息并且从终端信息接收单元24接收终端信息时,连接许可确定单元25就参照存储单元23中存储的白名单确定是否允许用户终端1与远程PC2的RD连接。
当用户经由终端1与远程PC 2之间的RD连接操作远程PC 2时,终端1的输入单元11接收用户信息的输入,并且终端信息发送单元12将用户信息发送给远程PC 2。远程PC 2的连接许可确定单元25从终端1接收用户信息,并将用户信息发送给用户认证单元22,并接收用户登录许可确定的结果。
在白名单中登记有用户、终端1和远程PC 2的组合时,连接许可确定单元25确定允许用户终端1与远程PC 2的RD连接,并将与终端1的RD连接的许可密钥发送给RD连接单元26。
在接收终端1的RD连接的许可密钥时,RD连接单元26建立与终端1的RD连接单元14的RD连接。
在白名单中未登记用户、终端1和远程PC 2的组合时,连接许可确定单元25确定针对用户、终端1和远程PC 2的组合不允许RD连接,并将用户信息和终端信息发送给请求信息生成单元27。存储单元23存储识别远程PC 2的计算机信息。
请求信息生成单元27基于从连接许可确定单元25接收到的用户信息和终端信息以及在存储单元23存储的计算机信息,生成请求信息,该请求信息用于请求将用户、终端1及远程PC 2的组合登记到白名单中。请求信息生成单元27将生成的请求信息发送给请求信息发送单元28。用户可以经由输入单元21指示请求信息生成单元27生成请求信息。
在接收到请求信息时,请求信息发送单元28将请求信息发送给终端登记装置3。
终端登记装置3包括请求信息接收单元31、登记单元32、存储单元33和许可信息发送单元34。
在从远程PC 2接收请求信息时,请求信息接收单元31就将该请求信息发送给登记单元32。存储单元33存储白名单和条件信息,该存储条件信息指示:用于决定(确定)是否向白名单登记(是否允许登记)用户、终端1和目的计算机的组合的条件。
条件信息可以是例如指示对于单人用户可以登记的终端1最大数量n的信息或指示安装的安全软件的类型或版本的信息。备选地,条件信息也可以是当安装文件共享软件这种风险高的软件时,设定为不准许登记的信息。条件信息可以是指定允许登记的终端类型的信息。条件信息可以是指示以下内容的信息:基于登记的信息具有错误的确定而不允许登记。条件信息也可以是除以上示例以外的信息。
在接收请求信息时,登记单元32参照存储单元33存储的条件信息,确定是否将该组合登记在白名单中。当登记单元32接收来自系统管理员的输入时,系统管理员可以阅览请求信息,并输入是否允许在白名单中登记。
当确定允许在白名单中登记时,登记单元32将请求信息所指示的用户、终端1和远程PC 2的组合,登记到存储单元33存储的白名单中。登记单元32将更新的白名单发送给许可信息发送单元34。在传输中,登记单元32考虑到处理速度和负载的减轻,可以发送白名单之间的差异数据。
当确定不允许向白名单登记时,登记单元32生成指示不允许登记的错误信息,并将该生成的错误信息发送给许可信息发送单元34。
许可信息发送单元34将从登记单元32接收到的白名单(差异数据)和错误数据发送给远程PC 2。
在从终端登记装置3接收白名单(差异数据)时,远程PC 2的许可信息接收单元29基于接收到的白名单,更新存储单元23存储的白名单。相反,当从终端登记装置3接收错误信息时,许可信息接收单元29错误信息发送给终端1。
终端1的显示单元15显示接收到的错误信息,并向用户通知不允许终端1的登记。错误信息的输出模式,不限于屏幕显示,并且可以是声音输出或在存储单元13中登记为日志信息。备选地,可以在远程PC 2中包括被配置为显示错误信息的显示单元,如图1中以虚线指示的显示单元15a那样。
白名单还可以在终端登记装置3或远程PC 2之一中存储。在只有终端登记装置3存储白名单的情况下,假设PC 2通过访问终端登记装置3来虚拟地存储白名单,并参照该白名单。在只有远程PC 2存储白名单的情况下,终端登记装置3通过访问远程PC 2来虚拟地存储白名单,并参照该白名单。在后一情况下,禁止由远程PC 2更新白名单,而仅终端登记装置3能够编辑白名单。
远程PC 2的连接许可确定单元25可以确定,针对不允许登录远程PC 2的用户,不允许用户、终端1和远程PC 2的组合的RD连接,并将不允许登录远程PC 2的用户的用户信息和终端信息发送给请求信息生成单元27。在这种情况下,请求信息生成单元27,基于从连接可确定单元25接收到的用户信息和终端信息以及存储单元23中存储的计算机信息,生成删除请求信息;该删除请求信息被用于请求将无法登录的用户、终端1和远程PC 2的组合从白名单中删除。请求信息发送单元28将删除请求信息发送给终端登记装置3。
终端登记装置3的请求信息接收单元31从远程PC 2接收删除请求信息。登记单元32,将删除请求信息所指示的用户、终端1和远程PC 2的组合,从白名单删除。许可信息发送单元34,将更新的白名单(差异数据)发送给远程PC 2。
图1示出了具有单个远程PC 2和单个终端1的具体示例。然而,还适用于具有多个远程PC 2和多个终端1的情况。
图2是根据第一示例实施例的白名单结构的示例示意图。
白名单包括:
识别用户的“用户信息”和识别终端1的“终端识别信息”;
识别与终端1执行RD连接的连接目的的计算机的“目的计算机名”;
指示终端1与连接目的远程PC 2的RD连接的连接许可或切断的“许可标志”;
指示终端1的类型的“终端类型”以及指示终端1的RD连接的许可密钥的“RD许可密钥”。
“用户信息”是例如用户ID(身份)。“终端识别信息”例如为终端唯一识别号码。“目的计算机名”例如为远程PC 2的名称。“终端类型”例如为控制杆、iOS(注册商标)或安卓(注册商标)等。例如,如果“终端类型”为控制杆,则“许可标志”也可以持续地指示连接许可。
当确定允许在白名单中登记该组合时,终端登记装置3的登记单元32,基于包括在请求信息中的用户信息、终端信息和计算机信息,作出向输入白名单的每个输入。在该操作中,当向该白名单添加组合时,登记单元32重新指派“RD许可密钥”。当用终端1替换已经在白名单中登记的不同的终端1时,不需要对相应“RD许可密钥”做改变。
图2中的示例中,白名单由“用户信息”、“终端信息”、“目的计算机名”、“许可标志”、“终端类型”和“RD许可密钥”组成。然而,白名单中也可以不包括“许可标志”、“终端类型”和“RD许可密钥”。当白名单中不包括“RD许可密钥”时,连接许可确定单元25将指示允许终端1与RD连接的信息发送给RD连接单元26,并且RD连接单元26执行RD连接。
图3是示出根据第一示例实施例的认证请求过程的操作的示例流程图。当用户访问远程PC 2时,则开始图3的流程图的认证请求过程。
在未从终端1接收到终端信息时(步骤S11中的否),远程PC 2的终端信息接收单元24重复步骤S11而等待直至终端信息的接收。在从终端1接收到终端信息时(步骤S11中的是),终端信息接收单元24将终端信息发送给连接许可确定单元25。连接许可确定单元25在接收用户信息和终端信息时,通过参考存储单元23中存储的白名单,来确定是否允许终端信息所指示的终端1与由用户信息所指示的远程电脑2之间的RD连接(步骤S12)。当允许RD连接时(步骤S12中的是),连接许可确定单元25,将用于与终端1的RD连接的许可密钥发送给RD连接单元26。
在接收到终端1的RD连接的许可密钥时,RD连接单元26执行与终端1的RD连接单元14的RD连接(步骤S 13),并将过程移至步骤S20。
当不允许RD连接时(步骤S12中的否),连接许可确定单元25,将用户信息和终端信息发送给请求信息生成单元27。
请求信息生成单元27,基于从连接许可确定单元25接收到的用户信息和终端信息以及存储单元23中存储的计算机信息,生成请求将终端1登记至白名单中的请求信息(步骤S14)。请求信息生成单元27,将生成的请求信息发送给请求信息发送单元28。
在接收到请求信息时,请求信息发送单元28就将该请求信息发送给终端登记装置3(步骤S15)。
当从终端登记装置3接收到白名单(差异数据)时(步骤S16中的是),许可信息接收单元29基于接收到的白名单,更新存储单元23存储的白名单(步骤S17)。
当未从终端登记装置3接收到白名单(差异数据)(步骤S16中的否)但是然后从终端登记装置3接收错误信息时(步骤S18),许可信息接收单元29将错误信息发送给终端1(步骤S19)。终端1的显示单元15显示接收到的错误信息。
当远程PC 2未关闭且用户未登出时(步骤S20中的否),终端信息接收单元24从步骤S11继续过程。然后,重复上述各步骤S11~步骤S20。当远程PC 2电源关闭而取消连接时(步骤S20中的是),远程PC 2的各组成部分结束该过程。
图4是根据第一示例实施例登记过程的操作的示例流程图。在终端登记装置3启动时,开始图4的流程图中的登记过程。
当未从远程PC 2接收请求信息时(步骤S21中的否),终端登记装置3的请求信息接收单元31等待直至接收到请求信息,同时重复步骤S21。当从终端1接收到请求信息时(步骤S21中的是),请求信息接收单元31将请求信息发送给登记单元32。
在接收到请求信息时,登记单元32参照存储单元33存储的条件信息,确定是否将由请求信息指示的用户、终端1和远程PC 2的组合登记在白名单中(步骤S22)。
当确定不在白名单中登记时(步骤S22中的否),登记单元32生成指示不允许登记的错误信息,并将生成的错误信息发送给许可信息发送单元34。许可信息发送单元34将错误信息发送给远程PC 2(步骤S23)。
当确定在白名单中登记时(步骤S22中的是),登记单元32通过将由请求信息指示的用户、终端1和远程PC 2的组合登记到白名单中,以更新白名单(步骤S24)。登记单元32也可以将更新的白名单发送给许可信息发送单元34。许可信息发送单元34,将更新的白名单发送给远程PC 2(步骤S25)。
当终端登记装置3未关闭时(步骤S26中的否),过程返回步骤S21,并重复步骤S21~步骤S26。当终端登记装置3关闭时(步骤S26中的是),结束该过程。
上述实施例中的终端认证登记系统100能够执行远程桌面系统中的用户和终端的认证和登记,不会提高系统的复杂度、成本和用户的使用难度。
上述第一示例实施例中,通过连接终端1与远程PC 2来发送终端信息。然而,终端认证和登记系统100并不限于此,并且可以是通过使用终端1的邮件功能,而将终端信息发送给特定邮件地址的配置。在这种情况下,远程PC 2接收该邮件并获取终端信息。这样,在允许在公司系统中使用终端1之前,不需要执行未知终端1的与公司系统的连接,因而提高了安全性。
<第二示例实施例>
以下参照图5,对根据本发明的第二示例实施例的终端认证装置500进行说明。
根据该示例实施例的终端认证装置500包括:用户认证单元501、终端信息获取单元502、第一存储单元503、连接许可确定单元504和请求信息生成单元505。根据该示例实施例的终端认证装置500的这些组成部分可以经由任意的通信线路等彼此可通信地连接。以下给出对这些组成部分的说明。
用户认证单元501获取识别用户的用户信息,并基于指示允许登录终端认证装置500的用户的认证信息,确定是否允许该用户信息识别的用户登录终端认证装置500。例如,用户认证单元501可以与该第一实施例中的用户认证单元22类似。
终端信息获取单元502从执行向终端认证装置的远程桌面连接的(任意)终端获取识别该终端的终端信息。例如,终端信息获取单元502可以与上述第一实施例中的终端信息接收单元24类似。
第一存储单元503存储白名单,该白名单是存储有远程桌面连接获得许可的该用户、该终端和该终端进行远程桌面连接的目的计算机的组合的名单。该终端进行远程桌面连接的目的计算机可以是终端认证装置500。第一存储单元503可以存储该认证信息。第一存储单元503,例如,可以与上述第一示例实施例中的存储单元23相似。
在用户认证单元501确定允许由用户信息所指示的用户登录时,连接许可确定单元504参照该白名单。连接许可确定单元504基于该参照的白名单中的信息,确定是否允许该终端信息所示的该终端与终端认证装置500之间的由该用户信息所示的用户进行远程桌面连接。例如,连接许可确定单元504也可以与上述第一示例实施例中的连接许可确定单元25相似。
在连接许可确定单元504确定不允许远程桌面连接时,请求信息生成单元505执行以下过程。具体地,请求信息生成单元505基于用户信息、终端信息和识别终端认证装置500的计算机信息,生成请求信息;该请求信息被用于请求将用户、终端和装置自身的组合登记至白名单。请求信息生成单元505将生成的请求信息发送给对终端与终端认证装置500之间的远程桌面连接进行登记的终端登记装置。请求信息生成单元505可以充当请求信息生成单元27和请求信息发送单元28。
具有上述配置的该示例实施例中的终端认证装置500执行远程桌面系统中的用户和终端的认证和登记,不会提高系统的复杂度、成本和用户的使用难度。
这是因为,当终端在目的计算机进行远程桌面连接时,可以通过生成请求该终端建立远程桌面连接的许可的许可请求,并将其发送给终端登记装置,进行新终端的认证和登记。
<硬件和软件(计算机程序)配置>
图6是示出可以实现根据本发明的各示例实施例的终端登记装置和目的计算机的硬件配置的示例的框图。如图6所示,可以实现远程PC 2、终端登记装置3和终端认证装置500的硬件包括:控制单元61、主存储单元62、外部存储单元63、操作单元64、显示单元65、输入输出单元66和发送和接收单元67。主存储单元62、外部存储单元63、操作单元64、显示单元65、输入输出单元66和发送和接收单元67经由内部总线60与控制单元61通信连接。
控制单元61由中央处理单元(CPU)等构成,并根据在外部存储单元63中存储的控制程序69,执行远程PC 2的用户认证单元22、连接许可确定单元25、RD连接单元26、请求信息生成单元27和许可信息接收单元29以及终端登记装置3的登记单元32中的各种过程。
控制单元61由中央处理单元(CPU)等构成,并且还可以根据外部存储单元63中所存储的控制程序69,执行终端认证装置500的用户认证单元501、连接许可确定单元504和请求信息生成单元505的过程。
主存储单元62由随机存取存储器等构成,并被用作控制单元61的工作区域。将外部存储单元63中存储的控制程序69加载到住存储单元62中。
外部存储单元63由例如闪存、硬盘、数字多功能光盘-随机存取存储器(DVD-RAM)或可再写入数字多功能光盘(DVD-RW)等非易失性存储器构成。外部存储单元63预先存储使控制单元61执行远程PC2、终端登记装置3或终端认证装置500的处理的程序。外部存储单元63根据控制单元61的指示,将程序存储的数据提供给控制单元61,并存储由控制单元61提供的数据。远程PC 2的存储单元23、终端认证装置500的第一存储单元503和终端登记装置3的存储单元33是通过使用外部存储单元63配置的。
操作单元64是由键盘和例如鼠标等指向装置等,以及将键盘和指向设备等与内部总线64连接的接口装置构成。当用户直接向远程PC 2或终端登记装置3输入信息时,经由操作单元64将输入信息提供给控制单元61。操作单元64充当远程PC 2的输入单元21。
显示单元65是由CRT(阴极射线管)或LCD(液晶指示器)等构成的。当用户直接将信息输入远程PC 2或终端登记装置3时,显示单元65显示操作屏幕。当远程PC 2包括显示单元时,显示单元65充当显示单元65。
输入输出单元66由串行接口或并行接口构成。当远程PC 2或终端登记装置3与不同装置附接时,输入输出单元66与不同装置连接。
发送和接收单元67由与网络连接的网络终端装置或无线通信装置以及与这些装置连接的串行接口或局域网(LAN)接口等构成。发送和接收单元67充当远程PC 2的终端信息接收单元24、请求信息发送单元28以及许可信息接收单元29,或终端登记装置3的请求信息接收单元31和许可信息发送单元34。发送和接收单元67可以充当终端认证装置500的终端信息获取单元502和请求信息生成单元505。
图1所示的远程PC 2的输入单元21、用户认证单元22、存储单元23、终端信息接收单元24、连接许可确定单元25、RD连接单元26、请求信息生成单元27、请求信息发送单元28与许可信息接收单元29,或终端登记装置3的请求信息接收单元31、登记单元32、存储单元33和许可信息发送单元34中的每个过程,是通过控制程序69将控制单元61、主存储单元62、外部存储单元63、操作单元64、显示单元65、输入输出单元66和发送和接收单元67等作为资源使用而执行的。
图5所示的终端认证装置500中的用户认证单元501、终端信息获取单元502、请求信息生成单元505和连接许可确定单元504的每个过程,是通过控制程序69将控制单元61、主存储单元62、外部存储单元63、操作单元64、显示单元65、输入输出单元66和发送和接收单元67等作为资源使用而执行的。
此外,作为示例提供上述硬件配置或流程图,可以对硬件和流程图做出改变和修改。
由执行控制过程的控制单元61、主存储单元62、外部存储单元63和内部总线60等构成的中心部分,可以不限于任意专用系统,并且可以通过使用通用计算机系统实现。例如,还可以通过分发其中存储用来执行上述操作的计算机程序的计算机可读存储介质(例如软盘、CD-ROM或DVD-ROM等),并通过将计算机程序安装在计算机中,来配置执行该处理的终端认证和登记系统。备选地,还可以通用计算机系统下载在通信网络(例如互联网)上的服务器装置的存储装置中存储的计算机程序,来配置终端认证和登记系统。
当通过在操作系统(OS)和应用程序之间共享功能或通过在OS和应用程序之间协作来实现终端认证和登记系统的功能时,仅由应用程序实现的部分可以被存储在记录介质(存储介质)或存储装置中。
备选地,也可以使计算机程序叠加在载波上,并经由通信网络分发。例如,通过向通信网络上的简报板系统(BBS)公布计算机程序,可以经由通信网络分发该计算机程序。可以通过运行计算机程序并在OS的控制下以与其他应用程序类似的方式来执行上述过程。
在上文中参照示例性实施例描述了本申请的发明。然而,本申请的发明不限于示例性实施例。可以由本领域技术人员在本发明的配置或详细内容上做出的各种修改,以在本申请的范围内。
本申请要求2013年10月3日提交的日本专利申请No.2013-208410的权益,其全部公开通过引用并入本文。
[工业实用性]
本发明适用于提供远程桌面连接的系统。
[参考符号列表]
1 终端
2 远程PC
3 终端登记装置
11 输入单元
12 终端信息发送单元
13 存储单元
14 RD连接单元
15 显示单元
21 输入单元
22 用户认证单元
23 存储单元
24 终端信息接收单元
25 连接许可确定单元
26 RD连接单元
27 请求信息生成单元
28 请求信息发送单元
29 许可信息接收单元
31 请求信息接收单元
32 登记单元
33 存储单元
34 许可信息发送单元
60 内部总线
61 控制单元
62 主存储单元
63 外部存储单元
64 操作单元
65 显示单元
66 输入输出单元
67 发送接收单元
69 控制程序
100 终端认证和登记系统
500 终端认证装置
501 用户认证单元
502 终端信息获取单元
503 第一存储单元
504 连接许可确定单元
505 请求信息生成单元
Claims (12)
1.一种终端认证和登记系统,包括:
目的计算机,能够认证用户的终端所进行的远程桌面连接;以及
终端登记装置,被配置为登记所述终端与所述目的计算机之间的远程桌面连接;
所述目的计算机包括:
用户信息获取单元,被配置为获取识别所述用户的用户信息;
用户认证单元,被配置为参照对允许登录所述目的计算机的用户加以指示的认证信息,确定是否允许所述用户信息指示的用户登录所述目的计算机;
终端信息获取单元,被配置为从所述终端获取识别所述终端的终端信息;
第一白名单存储单元,被配置为存储第一白名单,在所述第一白名单中登记有允许远程桌面连接的所述用户、所述终端以及所述目的计算机的组合;
连接许可确定单元,被配置为在所述用户认证单元确定允许所述用户信息所指示的用户登录所述目的计算机时,参照所述第一白名单,确定是否允许由所述用户信息指示的用户在由所述终端信息指示的所述终端与所述目的计算机之间的远程桌面连接;
请求信息生成单元,被配置为在所述连接许可确定单元确定不允许所述远程桌面连接时,基于所述用户信息、所述终端信息以及识别所述目的计算机的计算机信息,生成请求信息,所述请求信息用于请求将所述用户、所述终端及所述目的计算机的组合登记到所述第一白名单中;以及
请求信息发送单元,被配置为将所述请求信息生成单元所生成的所述请求信息发送给所述终端登记装置;
所述终端登记装置包括:
第二白名单存储单元,用于存储第二白名单;
条件信息存储单元,用于存储条件信息,所述条件信息指示用于确定是否将所述用户、所述终端以及所述目的计算机的组合登记到所述第二白名单的条件;
请求信息接收单元,被配置为从所述目的计算机接收所述请求信息;
登记单元,被配置为参照所述条件信息,基于所述请求信息接收单元接收到的所述请求信息,确定是否将所述用户、所述终端与所述目的计算机的组合登记到所述第二白名单中,并且在确定登记所述组合时,通过将所述用户、所述终端和所述目的计算机的组合登记到所述第二白名单中来更新所述第二白名单;以及
许可信息发送单元,被配置为在所述登记单元确定登记所述组合时,将更新后的第二白名单发送给所述目的计算机;以及用于在所述登记单元确定不登记所述组合时,将指示不允许所述登记的错误信息发送给所述目的计算机,
所述目的计算机还包括:
许可信息接收单元,被配置为从所述终端登记装置接收所述错误信息和所述更新后的第二白名单,并在所述第一白名单存储单元中存储所述更新后的第二白名单;以及
错误信息输出单元,被配置为输出所述许可信息接收单元接收到的所述错误信息。
2.根据权利要求1所述的终端认证和登记系统,其中所述终端信息获取单元接收从所述终端向特定邮件地址发送的终端信息。
3.一种在终端认证和登记系统中执行的终端认证和登记方法,所述终端认证和登记系统包括能够对用户的终端所进行的远程桌面连接予以认证的目的计算机,以及被配置为登记所述终端与所述目的计算机之间的远程桌面连接的终端登记装置,
所述方法包括由所述目的计算机执行的以下步骤:
用户信息获取步骤,用于获取识别所述用户的用户信息;
用户认证步骤,用于参照对允许登录所述目的计算机的用户加以指示的认证信息,确定是否允许所述用户信息指示的用户登录所述目的计算机;
终端信息获取步骤,用于从所述终端获取识别所述终端的终端信息;
连接许可确定步骤,用于在所述用户认证步骤中确定允许所述终端信息所指示的用户登录所述目的计算机时,参照第一白名单,确定是否允许由所述用户信息指示的用户在由所述终端信息指示的所述终端与所述目的计算机之间的远程桌面连接,在所述第一白名单中登记有所述用户、所述终端以及所述目的计算机的组合的名单,所述组合中允许远程桌面连接;
请求信息生成步骤,用于在所述连接许可确定步骤中确定不允许所述远程桌面连接时,基于所述用户信息、所述终端信息以及识别所述目的计算机的计算机信息,生成请求信息,所述请求信息用于请求将所述用户、所述终端及所述目的计算机的组合登记到所述第一白名单中;以及
请求信息发送步骤,用于将所述请求信息生成步骤中所生成的所述请求信息发送给所述终端登记装置;
所述方法包括由所述终端登记装置执行的以下步骤:
请求信息接收步骤,用于从所述目的计算机接收所述请求信息;
登记步骤,用于基于所述请求信息接收步骤中接收到的所述请求信息,参照对用于确定是否向第二白名单登记所述用户、所述终端及所述目的计算机的组合的条件加以指示的条件信息,确定是否将所述用户、所述终端和所述目的计算机的组合登记到所述第二白名单中,并且在确定登记所述组合时,通过将所述用户、所述终端和所述目的计算机的组合登记到所述第二白名单来更新所述第二白名单;以及
许可信息发送步骤,用于在所述登记步骤中确定登记所述组合时,将更新后的第二白名单发送给所述目的计算机;以及当确定不登记所述组合时,将指示不允许所述登记的错误信息发送给所述目的计算机,以及
所述方法还包括由所述目的计算机执行的以下步骤:
许可信息接收步骤,用于从所述终端登记装置接收所述错误信息和所述更新后的第二白名单,并存储所述更新后的第二白名单;以及
错误信息输出步骤,用于输出在所述许可信息接收步骤中接收到的所述错误信息。
4.根据权利要求3所述的终端认证和登记方法,其中在所述终端信息获取步骤中接收从所述终端向特定邮件地址发送的终端信息。
5.一种记录有程序的计算机可读存储介质,所述程序使计算机充当:
用户信息获取单元,被配置为获取识别用户的用户信息;
用户认证单元,被配置为参照对允许登录目的计算机的用户加以指示的认证信息,确定是否允许所述用户信息指示的用户登录所述目的计算机;
终端信息获取单元,被配置为从所述用户的终端获取识别所述终端的终端信息;
白名单存储单元,被配置为存储第一白名单,在所述第一白名单中登记有所述用户、所述终端以及所述目的计算机的组合的名单,所述组合中允许远程桌面连接;
连接许可确定单元,被配置为在所述用户认证单元确定允许所述用户信息所指示的用户登录所述目的计算机时,参照所述第一白名单,确定是否允许由所述用户信息指示的用户在由所述终端信息指示的所述终端与所述目的计算机之间的远程桌面连接;
请求信息生成单元,被配置为在所述连接许可确定单元确定不允许所述远程桌面连接时,基于所述用户信息、所述终端信息以及识别不允许所述远程桌面连接的所述目的计算机的计算机信息,生成请求信息,所述请求信息用于请求将所述用户、所述终端及所述目的计算机的组合登记到所述第一白名单中;
条件信息存储单元,用于存储条件信息,所述条件信息指示用于确定是否将所述用户、所述终端及所述目的计算机的组合登记到所述第一白名单的条件;
登记单元,被配置为参照所述条件信息,基于所述请求信息,确定是否将所述用户、所述终端与所述目的计算机的组合登记到第二白名单中,并且在确定登记所述组合时,通过将所述用户、所述终端和所述目的计算机的组合登记到所述第二白名单中来更新所述第二白名单;
错误信息生成单元,被配置为在所述登记单元确定不登记所述组合时,生成指示不允许所述登记的错误信息;以及
错误信息输出单元,被配置为输出所述错误信息。
6.一种终端认证装置,包括:
用户认证单元,被配置为获取识别用户的用户信息,并参照对允许登录至自身装置的用户加以指示的认证信息,确定是否允许所述用户信息指示的用户登录所述自身装置;
终端信息获取单元,被配置为从执行与所述自身装置的远程桌面连接的终端,获取识别所述终端的终端信息;
第一存储单元,被配置为存储白名单,在所述白名单中登记所述用户、所述终端以及所述终端与之执行远程桌面连接的目的计算机的组合的名单,所述组合中允许远程桌面连接;
连接许可确定单元,被配置为在所述用户认证单元确定允许所述用户信息所指示的用户登录所述目的计算机时,参照所述白名单,确定是否允许由所述用户信息所指示的用户在所述终端信息指示的所述终端与所述自身装置之间的远程桌面连接;以及
请求信息生成单元,被配置为在所述连接许可确定单元确定不允许所述远程桌面连接时,基于所述用户信息、所述终端信息和识别所述自身装置的计算机信息来生成请求信息,所述请求信息用于请求将所述用户、所述终端以及所述自身装置的组合登记到所述白名单中;并将生成的请求信息发送给终端登记装置,所述终端登记装置被配置为登记所述终端与所述自身装置之间的远程桌面连接。
7.根据权利要求6所述的终端认证装置,还包括:
许可信息接收单元,被配置为从所述终端登记装置接收:
指示不允许登记所述终端与所述自身装置之间的所述远程桌面连接的错误信息,或
在允许登记所述终端与所述自身装置之间的所述远程桌面连接时,所述用户、所述终端以及所述终端与之执行远程桌面连接的所述目的计算机的组合的名单,对于该组合允许远程桌面连接,所述许可信息接收单元在接收到所述名单时将所述名单存储到所述第一存储单元中;以及
错误信息输出单元,被配置为输出所述许可信息接收单元接收到的所述错误信息。
8.根据权利要求7所述的终端认证装置,其中,当所述终端登记装置存储所述白名单时,所述许可信息接收单元从所述终端登记装置接收当允许登记所述终端和所述自身装置之间的远程桌面连接时在所述终端登记装置中更新的白名单的差异,并将所述差异存储到第一存储单元中。
9.一种终端登记装置,对用户的终端与目的计算机之间的远程桌面连接进行登记,所述目的计算机是根据权利要求6所述的终端认证装置,所述终端登记装置包括:
第二存储单元,被配置为存储白名单,所述白名单是所述用户、所述终端和所述目的计算机的组合的名单,所述组合中允许所述远程桌面连接;
条件信息存储单元,被配置为存储条件信息,所述条件信息指示用于确定是否将所述用户、所述终端和所述目的计算机的组合登记到所述白名单的条件;
请求信息接收单元,被配置为从所述目的计算机接收请求信息,所述请求信息用于请求将所述用户、所述终端和所述目的计算机的组合登记到所述白名单中;
登记单元,被配置为参照所述条件信息,基于所述请求信息接收单元所接收的所述请求信息,确定是否将所述用户、所述终端和所述目的计算机的组合登记至所述白名单中;并且在确定登记所述组合时,通过将所述用户、所述终端和所述目的计算机的组合登记至白名单中来更新所述白名单;以及
许可信息发送单元,被配置为在所述登记单元确定登记所述组合时,将更新的白名单发送给所述目的计算机;以及在所述登记单元确定为不登记所述组合时,将指示不允许所述登记的错误信息发送给所述目的计算机。
10.根据权利要求9所述的终端登记装置,其中,
所述许可信息发送单元在所述登记单元确定将所述用户、所述终端和所述目的计算机的组合登记到所述白名单时,将所述登记单元所进行的更新之前的所述白名单与所述登记之后的所述白名单之间差异发送给所述目的计算机。
11.一种由信息处理装置执行的终端认证方法,包括:
获取识别用户的用户信息,并基于对允许登录至自身装置的用户加以指示的认证信息,执行用于确定是否允许所述用户信息识别的用户登录至所述自身装置的用户认证;
从执行与所述自身装置的远程桌面连接的终端获取识别所述终端的终端信息;
当在所述用户认证中确定允许所述用户信息指示的用户登录自身装置时,参照白名单,确定是否允许由所述用户信息所指示的用户在所述终端信息指示的所述终端与所述自身装置之间的远程桌面连接,所述白名单与所述用户、所述终端以及所述终端与之执行远程桌面连接的目的计算机的组合的名单相对应,所述组合中允许远程桌面连接;
当在所述确定中确定不允许所述远程桌面连接时,基于所述用户信息、所述终端信息和识别所述自身装置的计算机信息来生成请求信息,所述请求信息用于请求将所述用户、所述终端以及所述自身装置的组合登记到所述白名单中;以及
将生成的请求信息发送给终端登记装置,所述终端登记装置被配置为登记所述终端与所述自身装置之间的远程桌面连接。
12.一种记录有计算机程序的非瞬时性计算机可读存储介质,所述计算机程序使计算机充当终端认证装置以执行:
用户认证过程,用于获取识别用户的用户信息,并基于对允许登录至自身装置的用户加以指示的认证信息,确定是否允许所述用户信息识别的用户登录至所述自身装置;
终端信息获取过程,用于从执行与所述自身装置的远程桌面连接的终端,获取识别所述终端的终端信息;
连接许可确定过程,用于在所述用户认证过程中确定允许所述用户信息指示的用户登录所述自身装置时,参照白名单,确定是否允许由所述用户信息指示的用户在所述终端信息指示的所述终端与所述自身装置之间的远程桌面连接,所述白名单与所述用户、所述终端以及所述终端与之执行远程桌面连接的目的计算机的组合的名单相对应,所述组合中允许远程桌面连接;以及
请求信息生成过程,用于在所述连接许可确定过程中确定不允许所述远程桌面连接时,基于所述用户信息、所述终端信息和识别所述自身装置的计算机信息来生成请求信息,所述请求信息用于请求将所述用户、所述终端以及所述自身装置的组合登记到所述白名单中;以及将生成的请求信息发送给终端登记装置,所述终端登记装置被配置为登记所述终端与所述自身装置之间的远程桌面连接。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013208410 | 2013-10-03 | ||
| JP2013-208410 | 2013-10-03 | ||
| PCT/JP2014/004273 WO2015049825A1 (ja) | 2013-10-03 | 2014-08-21 | 端末認証登録システム、端末認証登録方法および記憶媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105593866A CN105593866A (zh) | 2016-05-18 |
| CN105593866B true CN105593866B (zh) | 2018-11-23 |
Family
ID=52778432
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480054490.1A Active CN105593866B (zh) | 2013-10-03 | 2014-08-21 | 终端认证和登记系统、终端认证和登记方法以及存储介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20160241535A1 (zh) |
| JP (1) | JP6018316B2 (zh) |
| CN (1) | CN105593866B (zh) |
| TW (1) | TWI575398B (zh) |
| WO (1) | WO2015049825A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6558279B2 (ja) | 2016-03-08 | 2019-08-14 | 富士通株式会社 | 情報処理システム、情報処理装置、情報処理方法、情報処理プログラム |
| JP6915881B2 (ja) * | 2018-10-01 | 2021-08-04 | Necプラットフォームズ株式会社 | 情報処理装置、情報処理方法およびプログラム |
| JP7239974B2 (ja) * | 2018-12-27 | 2023-03-15 | ベーステクノロジー株式会社 | 端末認証管理システムおよびその方法、およびそのプログラム |
| WO2020213044A1 (ja) * | 2019-04-15 | 2020-10-22 | 三菱電機株式会社 | 操作管理システムおよびプログラマブル表示器 |
| CN112398789A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 远程登录的控制方法及装置、系统、存储介质、电子装置 |
| CN112398787B (zh) * | 2019-08-15 | 2022-09-30 | 奇安信安全技术(珠海)有限公司 | 邮箱登录验证的方法、装置、计算机设备及存储介质 |
| CN111131150A (zh) * | 2019-11-14 | 2020-05-08 | 珠海许继芝电网自动化有限公司 | 基于泛在电力物联网的终端自注册方法和装置 |
| CN111107545B (zh) * | 2019-12-25 | 2022-11-15 | 博泰车联网科技(上海)股份有限公司 | 一种基于nfc的账号同步方法、介质及终端 |
| CN111131287B (zh) * | 2019-12-30 | 2022-06-17 | 深圳市创维软件有限公司 | 开启设备远程服务的方法、服务器及存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006018347A (ja) * | 2004-06-30 | 2006-01-19 | Hitachi Ltd | 負荷分散型リモートデスクトップ環境構築システム |
| US20090150399A1 (en) * | 2007-12-06 | 2009-06-11 | Patel Paritosh D | Method of Improving Remote Desktop Performance |
| JP2009277024A (ja) * | 2008-05-15 | 2009-11-26 | Hitachi Ltd | 接続制御方法、通信システムおよび端末 |
| TW201117590A (en) * | 2009-11-10 | 2011-05-16 | Aten Int Co Ltd | Method and system of desktop broadcasting |
| JP2011227810A (ja) * | 2010-04-22 | 2011-11-10 | Nomura Research Institute Ltd | リモートデスクトップシステムおよび携帯通信端末 |
| JP5682932B2 (ja) * | 2012-02-29 | 2015-03-11 | 日本電信電話株式会社 | 制御サーバ、制御方法及び制御プログラム |
-
2014
- 2014-08-21 WO PCT/JP2014/004273 patent/WO2015049825A1/ja active Application Filing
- 2014-08-21 CN CN201480054490.1A patent/CN105593866B/zh active Active
- 2014-08-21 US US15/026,807 patent/US20160241535A1/en not_active Abandoned
- 2014-08-21 JP JP2015540367A patent/JP6018316B2/ja active Active
- 2014-09-30 TW TW103133975A patent/TWI575398B/zh active
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2015049825A1 (ja) | 2017-03-09 |
| US20160241535A1 (en) | 2016-08-18 |
| CN105593866A (zh) | 2016-05-18 |
| WO2015049825A1 (ja) | 2015-04-09 |
| TWI575398B (zh) | 2017-03-21 |
| TW201516729A (zh) | 2015-05-01 |
| JP6018316B2 (ja) | 2016-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105593866B (zh) | 终端认证和登记系统、终端认证和登记方法以及存储介质 | |
| US11461498B2 (en) | Systems and methods for secured, managed, multi-party interchanges with a software application operating on a client device | |
| JP6840295B1 (ja) | グループベース通信システムにおけるグループベースオブジェクトに選択的に許可を付与する方法、装置、及びコンピュータプログラム製品 | |
| US11921839B2 (en) | Multiple device credential sharing | |
| US8353002B2 (en) | Chaining information card selectors | |
| US11470092B2 (en) | Expendable network access | |
| US9906492B2 (en) | Gateway device, and service providing system | |
| US9059982B2 (en) | Authentication federation system and ID provider device | |
| CN101960464B (zh) | 信息处理装置 | |
| US9069947B2 (en) | Privileged account manager, access management | |
| CN105324750B (zh) | 开发环境系统、开发环境装置以及开发环境提供方法 | |
| CN103780396B (zh) | 令牌获取方法及装置 | |
| US10616003B2 (en) | Methods and systems for service interworking between servers using different user identification systems | |
| KR20230035260A (ko) | 보안 발견 프레임워크를 통한 임시 클라우드 제공자 크리덴셜들 | |
| US10116449B2 (en) | Generation device, terminal device, generation method, non-transitory computer readable storage medium, and authentication processing system | |
| WO2019199465A1 (en) | TRUSTED PLATFORM MODULE-BASED PREPAID ACCESS TOKEN FOR COMMERCIAL IoT ONLINE SERVICES | |
| JP5409435B2 (ja) | アクセス制御連携システム及びアクセス制御連携方法 | |
| CN113765655A (zh) | 访问控制方法、装置、设备及存储介质 | |
| CN113761552A (zh) | 一种访问控制方法、装置、系统、服务器和存储介质 | |
| KR20200021349A (ko) | 블록체인 기반의 사용자 만족도 평가 시스템 및 방법 | |
| US20160248773A1 (en) | Authorizations For Computing Devices To Access A Protected Resource | |
| US11206699B2 (en) | Registering network devices using known host devices | |
| JP5636394B2 (ja) | 情報処理装置、情報処理方法、およびプログラム | |
| CN113489695A (zh) | 私有云组网方法、装置、系统、计算机设备及存储介质 | |
| EP3834110B1 (en) | Global sign-out on shared devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |