JP2008040590A - コンピュータシステムおよびコンピュータへのアクセス制御方法 - Google Patents

コンピュータシステムおよびコンピュータへのアクセス制御方法 Download PDF

Info

Publication number
JP2008040590A
JP2008040590A JP2006210833A JP2006210833A JP2008040590A JP 2008040590 A JP2008040590 A JP 2008040590A JP 2006210833 A JP2006210833 A JP 2006210833A JP 2006210833 A JP2006210833 A JP 2006210833A JP 2008040590 A JP2008040590 A JP 2008040590A
Authority
JP
Japan
Prior art keywords
authentication information
user
client terminal
access
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006210833A
Other languages
English (en)
Inventor
Kimitoku Sugauchi
公徳 菅内
Toi Miyawaki
当為 宮脇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2006210833A priority Critical patent/JP2008040590A/ja
Priority to US11/830,918 priority patent/US20080077975A1/en
Publication of JP2008040590A publication Critical patent/JP2008040590A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】
ブレードPCへのアクセスが競合した場合、安全性を犠牲にせずに正規のユーザの使用を確保する。
【解決手段】
ブレードPCの利用に競合があった場合、所定数の追加の認証情報を入力させることにより、正規のユーザを判別する。追加の認証情報により正規のユーザが判別できた場合のみ、正規のユーザに利用を継続させる。また、利用を継続させるとともに、次回の利用要求時には、正規にユーザが判別可能であった分の追加の認証情報を要求する。
【選択図】 図1

Description

本発明は、リモートディスクトップ等、ネットワークを介してリモートのコンピュータにアクセスするコンピュータシステムの管理に関する技術である。
個々のユーザが利用しているパーソナルコンピュータ(PC)のハードディスクに記憶しているデータやアプリケーションをブレード化してサーバ側に集約してユーザに割り当てる技術がある(例えば、非特許文献1参照。)。
非特許文献1に記載の技術を用いたシステムをブレードPCシステムと呼ぶ。ブレードPCシステムでは、ブレード化されたPC(以後、ブレードPCと呼ぶ。)にアクセスしてきたユーザが正規のユーザであるかを判別する必要がある。
判別方法には、例えば、ログオン時に認証情報を要求するものがある。しかし、認証情報による確認だけでは認証情報が漏れてしまった場合、簡単にアクセスされてしまい、不正なユーザにブレードPCを使用されてしまう。
これを防ぐために、認証情報の要求に加え、アクセスがあるたびに予め登録されている正規のユーザに通常のアクセスルートとは異なるルートでアクセスがあったことを通知し、正規のユーザからのアクセスであるか否かをダブルチェックする技術がある(例えば、特許文献1参照。)。
日経コミュニケーション2005年2月1日号,72頁〜73頁 特開2002−9197号公報
ブレードPCシステムでは、ユーザは主たる業務をサーバ上のブレードPCに配置するため、ユーザは頻繁にそのブレードPCにアクセスしなければならない。特に出張等で移動しながらブレードPCにアクセスする場合には、ブレードPCの起動や終了、アクセスの中断や再開などの処理を頻繁に行うことがある。このため、アクセス時に認証情報による認証処理に加え、ユーザにアクセスの確認をする方法は、正規のユーザにとっては煩雑である。
また、ユーザは、ネットワークを介してどこからでもアクセスするため、携帯電話など常に確認が取れる手段が存在している場合には問題ないが、予め登録可能な固定の確認手段を持っていないユーザは、この技術は用いることはできない。さらに、例えば携帯電話を忘れるなど折り返しの確認を受信する装置もしくはアプリケーションを保持していないときには、正規のユーザであってもブレードPCを使用できないことになる。また、正規のユーザを詐称するユーザ(詐称ユーザ)が何度もアクセスしてきた場合、正規のユーザは逐一その詐称ユーザからのアクセスを拒否しなければならない。これを回避するにはアクセスの一時停止か認証情報の変更を行うことが考えられる。しかし、アクセスを一時停止してしまうとユーザ業務ができなくなるし、認証情報がクレジットカードのように変更に時間がかかる場合は早急の対応ができず、いずれも現実的ではない。
一般に、ブレードPCシステムでは、ブレードPCが使用されている時、同じブレードPCに更なるアクセスがあった場合、すなわち、同一ブレードPCへのアクセスが競合した場合、先に使用している者が優先されて、後からアクセスしたもののアクセスが拒絶される構成と、逆に後からアクセスしたものが優先され、先に使用しているものが突然使用できなくなる構成とがある。
前者の場合、詐称ユーザが先にブレードPCを使用している場合、後からアクセスした正規のユーザは使用できないことになり、後者の場合、正規のユーザが使用中に詐称ユーザがアクセスしてくると、正規のユーザの接続が断たれてしまうことになる。いずれの構成であっても、不都合がある。
認証情報だけによる確認では、認証情報が漏れた場合、現状のブレードPCシステムでは、上述のように詐称ユーザにブレードPCを使用されてしまい、不正なユーザにブレードPCにアクセスされるだけでなく、ブレードPCを占有されてしまうことになる。すなわち、ブレードPCにアクセスが競合した場合、必ずしも正規のユーザの使用を確保できていない。
本発明は、上記事情に鑑みてなされたもので、ブレードPCへのアクセスが競合した場合、安全性を犠牲にせずに正規のユーザの使用を確保可能な技術を提供することを目的とする。
上記課題を解決するために、本発明では、ブレードPCへのユーザのアクセスを管理する管理システムにおいて、ブレードPCの利用に競合があった場合、所定数の追加の認証情報により正規のユーザを判別して、正規のユーザにブレードリソースを利用させる。また、一旦競合が発生すると、その後は、正規のユーザを判別可能であった追加の認証情報をアクセス時に要求する。
具体的には、複数のコンピュータを備えるブレードサーバと、クライアント端末と、前記クライアント端末から前記ブレードサーバへのアクセスを管理するブレードサーバ管理装置とを備えるブレードシステムであって、前記ブレードサーバ管理装置は、ユーザ毎に認証情報と1以上の追加の認証情報とを保持する認証情報保持手段と、前記認証情報保持手段に保持されている認証情報に合致する認証情報を、前記ブレードサーバを利用する利用要求とともに前記クライアント端末を介して送信してきた場合、当該利用要求を受け付けるアクセス制御手段と、前記アクセス制御手段で前記利用要求を受け付けた際、当該利用要求により接続を要求するブレードサーバが同じ認証情報により既に利用されている競合状態であるか否かを判断する利用状況判断手段と、競合状態であると判断した場合、前記追加の認証情報の送信を要求し、要求した追加の認証情報により判別した正規のユーザの接続を許可し、他のユーザの接続を遮断する起動制御手段と、を備え、前記起動制御手段は、1のユーザから送信された追加の認証情報のみが前記認証情報保持手段に保持されている追加の認証情報に合致した場合、当該合致した追加の認証情報を送信してきたユーザを正規のユーザと判別することを特徴とするブレードシステムを提供する。
本発明によれば、ブレードPCへのアクセスが競合した場合、安全性を犠牲にせずに正規のユーザの使用が確保できる。
<<第一の実施形態>>
以下、本発明の実施形態について図面を用いて説明する。まず、本発明の第一の実施形態を図1から図7を用いて説明する。
図1は、本実施形態のブレードPCをリモートから利用するブレードPCシステムのシステム構成図である。本システムは、ユーザが利用するPCに相当する構成を備えるブレードPC20と、ユーザがブレードPC20を利用するためのインタフェースとなるクライアント端末30と、システム全体を管理するシステム管理装置10とを備える。システム管理装置10と、ブレードPC20とは、管理用通信網1により接続される。また、クライアント端末30は、管理用通信網1にネットワーク2とスイッチL3SW60とを介して接続される。また、クライアント端末30は、ネットワーク2とネットワークスイッチ(LS2W)50とを介してブレードPC20に接続可能な構成となっている。
なお、ブレードPC20の数は、本システムを利用するユーザの数である場合を例にあげ、以下、本実施形態を説明するが、ブレードPC20の数はこれに限られない。
ブレードPC20は、通常のPCと同等の構成を備え、中央処理装置(CPU)23と、CPU23が処理を実行する際必要なデータやプログラムを一時的に保持するワークメモリ22と、そのブレードPCに割り当てられているユーザのデータやアプリケーションを保持するディスク装置25と、システム管理装置10と通信を行うインタフェースである第一の通信制御装置21と、クライアント端末30と通信を行うインタフェースである第二の通信制御装置26と、プログラムを格納するプログラムメモリ24とを備える。プログラムメモリには、ユーザのアクセス状況を監視する監視プログラム241が格納される。なお、上記第一の通信制御装置21と第二の通信制御装置26とは、1つの通信制御装置として構成してもよい。また、ディスク装置25は、別装置として存在するストレージ装置上に配置してもよい。
クライアント端末30は、ブレードPC20との通信およびネットワーク2を介してのシステム管理装置10との通信を行う際のインタフェースである通信制御装置31と、プログラムを格納するプログラムメモリ32と、中央処理装置(CPU)34と、プログラムメモリ32に格納されたプログラムをCPU34が実行する際のワークエリアであるワークメモリ33と、ブレードPC20から受信した画面情報を表示する出力装置であるディスプレイ35と、データ入力のためのインタフェースとなる入力装置であるキーボード36およびマウス37と、出力装置および入力装置を制御するための入出力制御装置38と、を備える。
クライアント端末30上のプログラムメモリ32には、システム管理装置10と情報を交換する機能を実現するコンソールプログラム39とブレードPC20との通信インタフェースを実現する画面制御プログラム40とが格納される。
システム管理装置10は、中央処理装置(CPU)14と、管理通信網1を介してユーザが利用しているクライアント端末30、ブレードPC20およびL2SW50と通信するための通信制御装置11と、CPU14がプログラムを実行する際の演算領域および結果の格納領域として機能するワークメモリ15と、ユーザ情報やブレードPC20の構成情報を格納するデータベース13と、管理に関するプログラムを格納するプログラムメモリ12と、ブレードPC20の利用状況などの管理情報を表示する出力装置であるディスプレイ16、割込み処理に関連する様々な情報を入力するための入力装置であるキーボード17およびマウス18、入力装置および出力装置を制御するための入出力制御装置19と、を備える。
プログラムメモリ12には、管理用のプログラムが格納される。管理用のプログラムには、クライアントPCに接続ざれているL2SW50を制御するスイッチ制御プログラム121、利用者を同定するために必要とする情報をデータベースに登録する個人同定情報登録プログラム122、ユーザに対してブレードPC20の利用を制御するアクセス制御プログラム123、およびユーザアクセス監視プログラム124がある。
ユーザアクセス監視プログラム124は、CPU14がワークメモリ15にロードして実行することにより、ユーザアクセス監視機能を実現する。ユーザアクセス監視機能は、ブレードPC20上の監視プログラム24との通信を行い、ブレードPC20上でのファイルアクセスやアプリケーションの起動などを把握し、外部からブレードPC20へのアクセスを監視する。またネットワーク装置(例えばL2SW50)との通信により、そのネットワーク装置を介してネットワークに流れるデータを監視する。
スイッチ制御プログラム121は、CPU14が同様に実行することにより、スイッチ制御機能を実現する。スイッチ制御機能は、L2SW50を制御することにより、クライアント端末30からブレードPC20へのアクセスを制御する。
個人同定情報登録プログラム122は、CPU14が同様に実行することにより、個人同定情報登録機能を実現する。個人同定情報登録機能は、ユーザから受け付けた認証情報を後述するユーザ認証情報テーブルに登録する。
アクセス制御プログラム123は、CPU14が同様に実行することにより、アクセス制御機能を実現する。アクセス制御機能は、クライアント端末30を介しての、ユーザからのブレードPC20へのアクセスを制御する。
なお、本実施形態では、管理用のプログラム(121〜124)を一つの装置に搭載しているが、それぞれのプログラムを個別の管理装置に搭載し、ネットワークを介して各プログラム間でのデータ交換を行う構成であってもよい。
次に、データベース13内に格納される情報について説明する。データベース13内に格納される情報には、本実施形態のブレードPCシステムを利用するユーザの情報を格納するユーザ情報テーブル210と、ブレードPC20に関する情報を格納するブレードPC管理テーブル220と、ユーザの認証情報を保持するユーザ認証情報テーブル300とがある。
図2(a)は、ユーザ情報テーブルの一例を示す図である。本図に示すように、本実施形態のユーザ情報テーブル210には、ユーザID211に対応づけて、ユーザ名212と、状態213と、接続PCU214と、接続端末215と、フラッグ216とが登録される。
ユーザID211は、ユーザを一意に指定するための番号であり、認証時に用いる認証情報の一部となるデータである。ユーザ名212は、ユーザID211で特定されるユーザの氏名である。
状態213は、ユーザID211で特定されるユーザがブレードPC20を利用しているか否かを示す情報であり、「使用中」、「中断中」、「未使用」のいずれかが格納される。「使用中」の場合は、当該ユーザに割り当てられたブレードPC20が起動し、当該ユーザがクライアント端末30を介してアクセスしている状態を示し、「中断中」は、当該ユーザに割り当てられたブレードPCは起動しているが、ブレードPC20とクライアント端末30との間はコネクションを持っていない状態を示し、「未使用」は、当該ユーザはユーザブレードPC20を利用していない、すなわち、当該ユーザに割り当てられたブレードPC20は停止中である状態を示す。
接続PCU214は、ユーザID211で特定されるユーザに割り当てられたブレードPC20の装置IDを示す。この値は、後述するブレードPCテーブル220の装置IDの値を参照している。
接続端末215は、ユーザが利用しているクライント端末30を特定する識別子である。
フラッグ216は、ユーザID211で特定されるユーザに割り当てた認証情報について競合した利用状態、すなわち、同じユーザID211を用いて複数のユーザがブレードPC20へのアクセスを要求する状態、が発生したか否かを記録する。競合した利用状態が発生していない場合、フラッグ216には値0が記録される。また、競合した利用状態が発生した場合は、後述する追加情報の使用数が記録される。さらに、競合が発生し、いずれのユーザが正規のユーザであるか判別不可能である場合、−1が記録される。
なお、本実施形態では、ブレードPC20毎に用いる認証情報は異なるものとする。すなわち、1のユーザに複数のブレードPC20が割り当てられる場合、そのユーザは、それぞれ異なる認証情報を用いて各ブレードPC20にアクセスする。例えば、図2(a)のユーザ情報テーブル210のレコード217とレコード218との情報はユーザ名212が同じ「EE FF」のユーザが、2つのユーザID211「10112」とユーザID211「11113」とを有することを示す。ユーザ名212が「EE FF」のユーザは、それぞれのユーザID211を用いて、2つのブレードPC20を利用することができる。
図2(b)は、本実施形態のブレードPC管理テーブル220の一例を示す図である。本図に示すようにブレードPC管理テーブル220には、装置ID221に対応づけて、配置場所222と、MAC(Media Access Control)223と、接続SW224と、ポート225と、利用状態226とが登録される。
装置ID221は、各PCブレード20を一意に識別するものである。配置場所222は、PCブレード20が配備されている位置を同定する情報である。例えば、ブレードPCシステムでは、どのシャーシのどのスロットのブレードであるかを示す情報が格納される。MACアドレス223は、ユーザが利用しているクライアント端末30と通信するブレードPC20の第二の通信制御装置26を一意に指定するものである。接続SW224は、ブレードPC20の第二の通信制御装置26に直接接続されたネットワーク装置を示す情報であり、ポート225はその接続しているポートの識別子を示す情報である。利用状態226は、ブレードPC20の最新の利用状態を示す情報であり、「割当済」、「未割当」のいずれかが登録される。装置ID211で特定されるブレードPC20が任意のユーザに割り当てられている場合、「割当済」が登録され、装置ID221で特定されるブレードPC20にいずれのユーザも割り当てられていない場合「未割当」が登録される。
図3は、ユーザ認証情報テーブル300の一例を示す図である。本図に示すように、本実施形態のユーザ認証情報テーブル300には、ユーザID301に対応づけて、ユーザ名302と、パスワード303と、問合せワード(1)304と、問合せワード(2)305とが登録される。
ユーザID301とユーザ名302とは、ユーザを一意に指定するものであり、ユーザ情報テーブル210の同名の項目で使用されているものと同じである。すなわち、ユーザ情報テーブル210に登録されているユーザの場合、ユーザ情報テーブル210のユーザID211とユーザ名212との組と同じIDと名前がそれぞれユーザID301とユーザ名302とに登録される。
パスワード303は、予めユーザが登録した認証情報である。ユーザID301とパスワード303との組が合致した場合、認証成功と判断される。
問合せワード(1)304、問合せワード(2)305は、それぞれ、予めユーザが登録する追加の認証情報である。通常、PCブレード20を使用する時は、ユーザID301とパスワード303とによりユーザの正当性を認証する。別な方法として、パスワードの代わりに第三者が発行する証明書の情報をユーザから通知してもらうことで、正当性を認証してもよい。これらの情報が漏洩し、詐称ユーザと正規のユーザとが競合した場合、第二、第三の認証情報として、問合せワード(1)304、問合せワード(2)305とが用いられる。パスワード304と、問合せワード(1)304および問合せワード(2)305とは、ユーザが個人同定情報登録プログラム122を用いて登録する。ただし、運用管理者が設定するよう構成してもよい。
なお、本ユーザ認証情報テーブル300には、図示しないが、各問合せワードには、それぞれインデックスとして1から始まる連番が付与されている。インデックスは、後述するように、1のユーザに対し複数の問合せワードが登録されているとき、いずれの問合せワードを利用するか特定するためのものである。また、問合せワードの数は、本実施形態では2である場合を例に説明するが、これに限られない。
次に、追加の認証情報の入力をユーザに促すために、システム管理装置10がクライアント端末30に送信する画面データによりクライント端末30の出力装置35に表示される追加認証情報入力画面600の画面例について説明する。本画面は、クライアント端末30のコンソール機能によって表示される。表示に必要な情報については、システム管理装置10上のアクセス制御機能から適宜クライアント端末30に通知される。
図4は、本実施形態の追加情報入力画面600の一例を説明するための図である。本図に示すように、追加情報入力画面600は、メッセージを表示するメッセージ表示欄604と、入力を要求する追加の認証情報のインデックスを表示させるインデックス表示欄605と、追加の認証情報の入力を受け付ける認証情報入力欄601と、認証情報入力欄601に入力された追加の認証情報の確定とシステム管理装置10への送信の意思とを受け付ける送信ボタン602と、入力終了の意思を受け付ける終了ボタン603とを備える。
メッセージ表示欄604には、予め登録されているメッセージの中から追加情報入力画面600を送信する状況に応じたメッセージが表示される。本実施形態では、追加の認証情報の入力を促す場面として、ユーザから利用要求を受け付け、ユーザを認証する際に、利用要求を送信してきたユーザのユーザID211に対応づけて登録されているフラッグ216が1以上であり、今までに競合が発生した記録がある場合と、ユーザの認証を終え、当該ユーザに割り当てられているブレードPC20を起動させる際、競合が発生している場合とがある。
前者の場合には、認証情報が不正に利用された記録があることを通知するとともに追加の認証情報の入力を促すメッセージを表示させる要求をコンソール機能に通知し、クライント端末30上に表示させる。一方後者の場合は、現在競合が発生していることを通知するとともに追加の認証情報の入力を促すメッセージを表示させる要求をコンソール機能に通知し、クライアント端末30上に表示させる。
次に、上記各機能により実現される処理について説明する。
まず、アクセス制御機能が実現するアクセス制御処理を説明する。アクセス制御機能は、ユーザが利用要求を送信してきたとき、ユーザの正当性を判別し、正当と判断された場合のみアクセスを許可する。図5は、アクセス制御機能によるアクセス制御処理の処理フローである。
アクセス制御機能は、起動後、通信タイムアウト時間などのアクセス制御プログラム123を動作させるために必要な情報(動作情報)を収集する(ステップ401)。そして、動作情報を収集し終えるとユーザからの要求待ち状態となる(ステップ402)。
アクセス制御機能は、所定時間毎に、ユーザからの利用要求および認証情報の受信の有無を確認する(ステップ403)。受信していない場合、要求待ち状態となる(ステップ402)。
一方、ユーザからの利用要求と認証情報とを受け付けると、受け付けた認証情報が正しい認証情報であるか否かを判別する(ステップ404)。ここでは、アクセス制御機能は、受け取った認証情報に含まれるユーザIDとパスワードとの組が、ユーザ認証情報テーブル300のユーザID301と問合せパスワード303とに格納されている組と合致するか否かを判別し、合致した場合、正しい認証情報と判断し、合致しない場合不正な認証情報と判断する。
認証情報が不正と判断した場合、アクセス制御機能は、ユーザに対してブレードPC20にアクセスできないことを通知する(ステップ405)。
認証情報が正しいと判断した場合、アクセス制御機能は、当該認証情報に関し、過去に競合状態が発生したか否かを判別する(ステップ406)。ここでは、アクセス制御機能は、ユーザ情報テーブル210を参照し、認証情報に含まれるユーザIDに合致するユーザID211のフラグ216の値を確認する。
確認の結果、フラグ216の値が0であれば、アクセス制御機能は、ユーザからの利用要求を受付け、起動制御処理を行い(ステップ410)、起動制御処理後、ユーザからの利用要求待ち状態に戻る(ステップ402)。起動制御処理の詳細については後述する。
フラグ216の値が1以上である場合(ステップ413)、アクセス制御機能は、追加の認証を利用要求送信元のユーザに要求する(ステップ414)。このとき、アクセス制御機能は、上述の追加情報入力画面600を表示させる要求をクライアント端末30のコンソール機能に送信してユーザに入力を促す。なお、フラグ216の値が1以上の場合は、上述のように、過去に競合が発生し、ユーザが追加の認証情報を用いてブレードPC20にアクセスしたことがあるということである。
そして、ユーザから送信されたユーザIDと問合せワードとを受け付け、受け付けたユーザIDと問合せワードとの組が、ユーザID301と問合せワード(1)304との組に合致するか否かを判別し、合致した場合、認証成功と判断する(ステップ415)。
また、ステップ413においてフラグ216の値が2である場合は、ステップ414、415の処理と同様の処理をフラグ216の値の回数繰り返す。ただし、ステップ415において、ユーザから送信されるユーザIDと問合せワードとの組を、ユーザID301と問合せワード(2)305との組と対比して合致の有無を判別し、合致した場合、認証成功と判断する。
本実施形態では、問合せワードの登録数が2であるため、上記のようにステップ414、415の処理は、2回まで繰り返す。しかし、一般には、フラグ216に格納されている値の数だけ繰り返す。この場合、例えば、カウンタnを導入し、ステップ413において、カウンタnを1に初期化し、カウンタnに合致するインデックスを有する問合せワードによりステップ414、415を行い、認証が成功した場合、カウンタを1増加させ、カウンタnがフラグ216に格納されている数を超えるまで、ステップ414、415の処理を繰り返すよう構成すればよい。
ステップ415で認証が成功した場合、アクセス制御機能は、ユーザからの利用要求を受け付け、起動制御処理を行い(ステップ410)、その後、ユーザからの利用要求待ち状態に戻る(ステップ402)。
一方、ステップ415で認証が成功しなかった場合、アクセス制御機能は、アクセス不可であることを通知し(ステップ405)、その後、ユーザからの利用要求待ち状態に戻る(ステップ402)。
また、ステップ413においてフラグ216の値が−1以下である場合は、アクセス制御機能はアクセス不可であることを通知し(ステップ405)、その後ユーザからの利用要求待ち状態に戻る(ステップ402)。
なお、アクセス制御機能がユーザから利用要求を受けた場合のアクセス制御処理を説明したが、ユーザから停止要求や中断要求を受け付けた場合も同様にユーザ情報テーブル210を参照してそれぞれの要求元のユーザの認証を行い、認証が成功したユーザからの要求に応じた処理を行うよう構成することができる。
次に、ステップ410の起動制御処理について説明する。図6は、本実施形態の起動制御処理の処理フローである。
アクセス制御機能は、利用要求を送信してきたユーザの利用状況を把握するために、ユーザ情報テーブル210のユーザID211に対応づけて登録されている状態213の内容を判別する(ステップ501、502)。
状態213が「利用中」以外の場合、すなわち、「未利用」または「中断中」の場合、当該ユーザID211で特定されるユーザは、現在ブレードPC20を利用していないと判断し、受け取った利用要求は通常の利用要求として利用要求処理を行う(ステップ503)。
ここで、利用要求処理として、アクセス制御機能が行う処理は以下のとおりである。送信されたユーザIDに予め対応付けられているブレードPC20を割り当て、割り当てたブレードPC20を起動させる。そして、ブレードPC管理テーブル220の、起動させたブレードPC20の装置ID221に対応づけて登録される利用状態226を「割当済」とする。ユーザ情報テーブル210の利用要求送信元ユーザのユーザID211に対応づけて登録されるユーザの状態213を「接続中」とし、接続PCU214に割り当てたブレードPC20の識別子である装置ID221を,接続端末215に要求送信元のユーザが利用しているクライアント端末30の識別子を登録する。
以上の利用要求処理を終えると、アクセス制御機能は、利用可能になったことを示す情報を利用要求送信元のユーザが利用しているクライアント端末30に通知し(ステップ512)、処理を終了する。
一方、ステップ502において、状態213が「利用中」の場合は、利用要求を送信してきたユーザが使用している認証情報と同じ認証情報を用いて既にブレードPC20を割り当てられ、使用しているユーザがいることを意味する。すなわち、当該認証情報について、競合が発生していることを意味する。従って、アクセス制御機能は、競合が発生しているブレードPC20の情報を収集する(ステップ504)。ここでは、先にその認証情報を用いてブレードPCシステムを利用しているユーザに割り当てられているブレードPC20(対象ブレードPC20)を特定するため、ユーザ情報テーブル210のユーザID211に対応づけて登録されている接続PCU214を取得する。また、競合するユーザが利用しているクライアント端末30を特定するために、接続端末216も取得する。さらに、ブレードPC管理テーブル220の、取得した接続PCU214が装置ID221として登録されているデータの接続SW224とポート225とを取得する。
アクセス制御機能は、対象ブレードPC20に接続するスイッチSW224のポート225を閉塞する(ステップ505)。ここでは、取得した接続SW224に取得したポート225を介して送受信されるパケットを破棄する指示を出すようスイッチ制御プログラム121をCPU14が実行することにより実現するスイッチ制御機能を制御する。
そして、アクセス制御機能は、競合する両ユーザが利用しているクライアント端末30それぞれに追加の認証情報の入力要請を通知する(ステップ506)。本通知は、上記の追加認証情報入力画面600を表示させる要求をクライアント端末30のコンソール機能に送信することにより行う。
アクセス制御機能は、ユーザ認証情報テーブル300を参照して、競合する複数のクライアント端末30からそれぞれ受け取った追加の認証情報を照合する(ステップ507)。ここでは、問合せワード(1)304として登録されている認証情報が、追加の認証情報として送信された情報と合致するか否かを判別する。
なお、本実施形態では、追加の認証情報をいくつ用いたかをカウントするカウンタmを導入し、ステップ506の処理に先立ち、カウンタmに初期値1を代入する。アクセス制御機能は、ユーザ認証情報テーブル300においてカウンタmに対応するインデックスを有する追加の認証情報を用いて、以下の照合を行う。
ステップ507において、送信されてきた認証情報の中で、問合せワード(1)304に合致しないものがある場合であって、現在使用中のユーザが送信してきた追加の認証情報が登録されている問合せワード(1)304と合致した場合(ステップ508)、すなわち、使用中のユーザが正規のユーザと判別された場合、ステップ505で行ったスイッチL2SW50のアクセス制御を解除する(ステップ510)。ここでは、アクセス制御機能は、スイッチ制御機能に、L2SW50に設定したフィルタリング条件を解除させる。
その後、アクセス制御機能は、セキュリティ監視レベルを強化する(ステップ511)。ここでは、ユーザアクセス監視機能に、そのブレードPC20に対するファイルアクセスのログを取る、ブレードPC20と外部装置とのデータの送受信を監視するなどの処理を行わせる。
なお、本実施形態ではブレードPC20へのアクセスの監視を強化しているが、スイッチアクセス制御機能に、該当ブレードPC20以外のサーバへのアクセスを制限させる、ブレードPC20上でのファイルアクセスの権限を限定させる、などアクセス可能範囲を限定してもよい。また、この時のカウンタmの値を、ユーザ情報テーブル210のフラッグ216に記録する。そして、アクセス制御機能は、使用中のユーザが利用しているクライアント端末30には継続利用が可能であることを意味する情報を、利用要求送信元のクライアント端末30には、利用不可であることを意味する情報を通知し(ステップ512)、処理を終了する。
ステップ508において、現在使用中のユーザが送信してきた追加の認証情報が問合せワード(1)304と合致しない場合であって、新たに利用要求を送信してきたユーザが送信してきた追加の認証情報が登録されている問合せワード(1)304と合致した場合(ステップ509)、すなわち、利用要求を新たに送信してきたユーザが正規のユーザと判別された場合、アクセス制御機能は、スイッチ制御機能に、利用要求を送信してきたクライアント端末30からのアクセスのみ受け付けるようL2SW50の制御を変更させる(ステップ513)。さらに、ユーザ管理テーブル210の接続端末215に登録されているクライアント端末30の識別子を、利用要求送信元のユーザが利用しているクライアント端末30の識別子に置き換える。そして、ステップ511へ進む。
ステップ511において、上述同様、セキュリティレベルを強化する処理を行い、ユーザ情報テーブル210のフラッグ216にこの時のカウンタmの値を記録した後、アクセス制御機能は、利用要求送信元のクライアント端末30には継続利用が可能であることを意味する情報を、使用中のユーザが利用しているクライアント端末30には、利用不可であることを意味する情報を通知し(ステップ512)、処理を終了する。
ステップ509において、新たに利用要求を送信してきたユーザが送信していた追加の認証情報が合致しない場合は、予め定めた回数、認証情報の入力を促し、照合を繰り返す(ステップ514)。
予め定めた回数繰り返したにも係わらず、合致することがない場合は、アクセス制御機能は、いずれのユーザからのアクセスも受け付けないよう制御する(ステップ515)。ここでは、該当するブレードPC20へのアクセスに関する要求を棄却するようユーザ情報テーブル210のフラッグ216に−1を代入する。そして、利用要求送信元のクライアント端末30および使用中のユーザが利用しているクライアント端末30の両者に利用不可であることを意味する情報を通知し(ステップ512)、処理を終了する。
ステップ507において、現在使用中のユーザが送信してきた追加の認証情報と新たに利用要求を送信してきたユーザが送信してきた追加の認証情報とが共に登録されている問合せワード(2)304と合致する場合、アクセス制御機能は、他の追加認証情報が存在しないかを判別する(ステップ516)。例えば、本実施形態では、ユーザ認証情報テーブル300に追加の認証情報を2つ用意している。このため、さらに1回、同様の追加認証情報の入力を受け付け、ユーザを認証することが可能である。ここでは、カウンタmとユーザ認証情報テーブル300の認証情報のインデックスの最大値Nとを比較し、カウンタmがインデックスの最大値Nより小さい値であれば、追加の認証情報が存在すると判断する。そして、カウンタnを1インクリメントし、ステップ506へ戻る。
一方、ステップ516において、追加の認証情報が存在しないと判別した場合、すなわち、カウンタmがインデックスの最大値N以上となった場合、ユーザへのアクセスを停止する(ステップ517)。ここでは、該当するブレードPC20へのアクセスに関する要求を棄却するようユーザ情報テーブル210のフラッグ216に−1を代入する。そして、利用要求送信元のクライアント端末30および使用中のユーザが利用しているクライアント端末30の両者に利用不可であることを意味する情報を通知し(ステップ512)、処理を終了する。
以上、本実施形態のブレードPCシステムにおける、競合時の処理について説明した。上述のように、本実施形態によれば、認証情報が漏れる等により、同一の認証情報を用いてブレードPC20の利用が競合した場合、正規のユーザと認められるユーザのみ利用を継続することができる。
ただし、アクセス制御機能は、競合が発生した場合、正規のユーザに利用を継続させるが、パスワード等、既存の認証情報を変更するよう促す。アクセス制御機能の認証情報変更の要求に応じて、個人同定情報登録機能が、ユーザからの認証情報、問合せワードなどの追加の認証情報といった認証に必要な新たな情報を受け付けユーザ認証情報テーブル300に登録した場合、アクセス制御機能は、ユーザ情報テーブル210のフラッグ216を0とする。これにより、正規のユーザは、新たな認証情報を用い、この認証情報のみでブレードPC20にアクセスすることが可能となる。
従って、本実施形態によれば、競合状態が発生した場合、セキュリティを強化し、その後の利用要求時には、正規のユーザが判別可能なだけの認証情報の入力を要求するため、安全性も保たれる。
上記第一の実施形態では、ユーザID毎に1のブレードPC20が割り当てられている場合を例に挙げて説明したが、本発明を適用する実施形態はこれに限られない。アクセス毎に、空いているブレードPC20を割り当てるよう構成してもよい。システム内にストレージ装置を備え、そこに、各ユーザの環境を実現するデータを保存し、ブレードPC20が割り当てられる毎にそこからデータを読み出し、割り当てられたブレードPC20上でユーザのPC環境を実現する場合にも同様に適用される。
<<第二の実施形態>>
次に本発明の第二の実施形態を説明する。競合が発生した場合、正規のユーザのみが使用を継続可能となるよう制御される点は第一の実施形態と同様である。本実施形態では、競合発生後、正規のユーザが利用できる時間が限定されるものである。以下、本実施形態について、第一の実施形態と異なる構成のみを説明する。
図7は、本実施形態のブレードPCシステムのシステム構成図である。本実施形態のシステム構成は、基本的に第一の実施形態と同様である。ただし、アクセス制御プログラム123−2により実現される機能が、第一の実施形態の同名のプログラムにより実現される機能と多少異なる。また、本実施形態のシステム管理装置10は、さらに制限時間監視プログラム801を備える。
また、本実施形態のユーザ情報テーブル210−2は、第一の実施形態のユーザ情報テーブル210に登録される項目に加え、さらに、フラッグ時間902を備える。本実施形態のユーザ情報テーブル210−2の一例を図8に示す。フラッグ時間902としてフラッグ216に0以外の値が格納された時刻が登録される。これは、ブレードPC20への競合が発生したことをシステム管理装置10が認識した時刻である。
本実施形態のアクセス制御プログラム123−2は、ワークメモリ15にロードされ、CPU14により実現されることにより、アクセス制御機能を実現する。その詳細は、後述する。
本実施形態の制限時間監視プログラム801は、ワークメモリ15にロードされ、CPU14により実行されることにより制限時間監視機能を実現する。制限時間監視機能は、競合状態が発生してからの時間を監視し、予め定めた制限時間を超えているか否かを判別する。
本実施形態のアクセス制御機能が実現するアクセス制御処理の処理フローを図9に示す。
本実施形態のアクセス制御処理の処理フローは、基本的に第一の実施形態と同様である。本図において、第一の実施形態と同様の処理は、同じステップ番号を付す。ただし、ステップ401で収集する情報に、第一の実施形態で収集する情報に加え、利用制限時間Tがある。利用制限時間Tは、競合が発生したことをシステム管理措装置10が認識した時刻から、正規のユーザに利用を許可する時間であり、予め管理者等により設定される。本実施形態では、安全な運用を確保するため、正規のユーザは利用制限時間T内に認証情報を更新することを義務付けられる。
また、本実施形態では、ステップ413において、本実施形態のアクセス制御機能は、フラッグ216の値が1以上であると判別した場合、利用要求を受け付けた時刻とフラッグ時間902として登録されている時刻との差分T1を計算し、計算した差分T1が上記利用制限時間T以下であるか判別する(ステップ1001)。利用制限時間T以下であれば、追加の認証を行う。一方、差分T1が制限時間Tを超えている場合、アクセス制御機能は、アクセス不可であることを利用要求元のクライアント端末30に通知する。ここでは、アクセス不可であることと同時に、認証情報を変更することを促すメッセージをクライアント端末30に送信する。クライアント端末30のディスプレイ35に表示される画面例を図10に示す。
本画面例は、メッセージ表示欄1101と、終了の意思を受け付ける終了ボタン1102とを備える。ユーザから終了ボタン1102の押下を受け付けると、アクセス制御機能は、表示を終了させる。本シーケンスでは、パスワード変更は利用要求とは別なタイミングで変更させているが、このタイミングで個人道程情報登録機能にパスワード変更を促すようにする形態でもよい。
次に、本実施形態の制限時間監視機能による制限時間監視処理について説明する。図11は、本実施形態の制限時間監視処理の処理フローである。なお、本実施形態の制限時間監視処理は、ブレードPCシステムの起動時に開始するよう構成してもよいし、少なくとも一人以上のユーザのユーザ情報テーブル210のフラッグ216の値が0でなくなった時に開始するよう構成してもよい。
制限時間監視機能は、起動すると初期設定を行う(ステップ1201)。ここでは、制限時間監視機能は、利用制限時間Tと制限通知時間T2とを取得する。制限通知時間T2は、利用制限時間T内の時間であって、競合が発生して安全が必ずしも確保されていない状態であり、認証情報を変更することが望ましい状態であることを正規のユーザに通知する時間である。利用制限時間T以内の時間であってもよいし、利用制限時間Tに達するまでの時間の割合、例えば、利用制限時刻を24時間とし、12時間後に通知したいときには、制限通知時刻を50%といった値としてもよい。
制限時間監視機能は、所定時間毎にユーザの状態を確認する。ここでは、時間の経過を計測し、予め定めた時間が経過したことを検出すると(ステップ1202)、ユーザ情報テーブル210−2のフラッグ216の値が0でないユーザが存在するか否かを判別する(ステップ1203)。
存在する場合、制限時間監視機能は、状態213に格納されている情報を判別する(ステップ1204)。「未使用」以外、すなわち、「使用中」または「中断中」である場合、現在時刻とフラッグ時間902との差分T3を計算し、得られた差分T3と上記利用制限時間Tと制限通知時間T2との関係を判別する(ステップ1205)。
ステップ1205での判別の結果、現在時刻とフラッグ時間912との差分T3が制限通知時刻T3以上で利用制限時刻T以内であれば、制限時間監視機能は、正規のユーザに対しアクセスができなくなることを通知する(ステップ1206)。ここでは、正規のユーザが使用しているクライアント端末30に向けて、予め定めたメッセージをイベント通知として送信する。
イベント通知を受け取ったクライアント端末30の表示装置35に表示される画面1300の一例を図12に示す。本図に示すように、画面1300は、表示されるメッセージを表示するメッセージ表示欄1301と、フラッグ時間912から利用制限時間T後の日時を利用制限日時として表示する利用制限日時表示欄1302と、本画面の表示を終了させる意思を受け付ける「終了」ボタン1303とを備える。
一方ステップ1205において、現在時刻とフラッグ時間912との差分T3が利用制限時間Tを超えている場合(ステップ1207)、制限時間監視機能は、いずれのユーザからのアクセスも受け付けないよう制御する(ステップ1208)。本処理は、第一の実施形態においてアクセス制御プログラムがユーザからのアクセスを停止させる処理と同様である。そして、ユーザ情報テーブル210のフラッグ216に−1を代入する。その後、正規のユーザが利用しているクライアント端末30にアクセスを停止したことを意味する情報をイベント通知として通知し(ステップ1209)、ステップ1202に戻る。
なお、ステップ1203でフラッグ216の値が0以上のものがない場合、状態213に「未使用」が格納されている場合もステップ1202に戻る。
以上により、本実施形態では、たとえ正規のユーザであっても競合が発生したような、必ずしも安全性が確保されていない状態では一定時間以上使用をできないよう制限する。すなわち、本実施形態によれば、第一の実施形態で得られる効果に加え、ユーザが不安定な状態のまま使い続けることを防止することができる。
<<第三の実施形態>>
次に、本発明の第三の実施形態を説明する。本実施形態では、正規のユーザのみブレードPC20にアクセス可能とする排他制御を、スイッチであるL2SWを用いずに行う。本実施形態は基本的に第一および第二の実施形態と同様であるため、以下においては、異なる構成のみ説明する。ここでは、第二の実施形態を例に取り、異なる構成を説明する。
図13は、本実施形態のブレードPCシステムのシステム構成図である。本実施形態のシステム管理装置10は、スイッチ制御プログラムの代わりにブレードアクセス制御プログラム1401を備える。また、本実施形態のブレードPC20は、アクセスプログラム1402をさらに備える。
ブレードアクセス制御プログラム1401は、CPU14により実行され、ブレードアクセス制御機能を実現する。ブレードアクセス制御機能は、クライアント端末30からブレードPC20へのアクセスを制御する。
アクセスプログラム1402は、CPU23により実行され、アクセス機能を実現する。アクセス機能は、ブレードPC20上の第一の通信制御装置21、第二の通信制御装置26を介して送受信される入出力コマンドおよび入出力データをフィルタリンクするための設定を行う。通常は、ブレードPC20には、アクセス機能により、一般的なセキュリティレベルを保持したフィルタリング設定がされているものとする。例えば、入力のTCPパケットでポート80番に対してのパケットを受け付けないといったものである。
本実施形態において、利用要求等の要求を受け付けた時の動作は、基本的に第二の実施形態と同じである。但し、第二の実施形態では、利用要求を受け付けた時に利用要求元のユーザに割り当てられているブレードPC20が既に利用中である場合、システム管理装置10上のスイッチ制御プログラム121がスイッチL2SW50の対象ブレードPC20の接続ポートを閉塞する(ステップ505)。しかし、本実施形態では、同様の状態で利用要求を受け付けた場合、ブレードアクセス制御機能が利用中のブレードPC20のアクセス機能に対して閉塞要求を行う。
ブレードPC20上のアクセス機能は、システム管理装置10のブレードアクセス制御機能から閉塞の指示を受け取ると、クライアント端末30が利用しているポート番号からのデータの入出力をフィルタリングする、または、システム管理装置10を除いた全ての端末等からのアクセスを遮断するよう制御する。
その後は、第一、第二の実施形態同様、競合したユーザの中から正規のユーザを特定する処理を行う。
また、第一および第二の実施形態では、使用中のユーザ側が正規のユーザであることが特定された場合、スイッチ制御機能がL2SW50に設定したアクセス制御を解除する。しかし、本実施形態では、ブレードアクセス制御機能が該当するブレードPC20上のアクセス機能に対して、接続許可可能なクライアント端末30のIPアドレスを通知する。使用中のユーザ側が正規のユーザである場合は、当該ユーザが利用していたクライアント端末30のIPアドレスが通知される。
通知を受けたブレードPC20上のアクセス機能は、ユーザのクライアント端末30の画面制御機能が使用するポートに指定されたIPアドレスからのパケットのみを受信可能なように設定する。なお、このとき、システム管理装置10からのパケットは受け取るよう設定してもよい。
一方、新規に利用要求を送信したユーザが正規のユーザと特定された場合、第二の実施形態では、スイッチ制御機能にL2SW50の制御を変更させている。しかし、本実施形態では、ブレードアクセス制御機能が当該ブレードPC20上のアクセス機能に対して接続を許可するクライアント端末30、すなわち、この場合は、正規のユーザと特定された利用要求を新たに送信してきたユーザが利用しているクライアント端末30のIPアドレスを通知する。通知を受けたアクセス機能は、クライアント端末30の画面制御機能が使用するポートを、通知を受けたIPアドレスからのパケットのみ受信可能なように設定する。このとき、システム管理装置10からのパケットは受信可能なように設定してもよい。
以上のように、本実施形態では、ブレードPC20に接続するL2SWがアクセス制御機能を有していなくても、ブレードPC20上で受信するパケットのフィルタリングを行うことができる。本実施形態では、ブレードPC20のこの機能を利用して排他制御を実現し、競合が発生した場合、正規のユーザのみ使用可能なように制御を行うことができる。
<<第四の実施形態>>
次に、本発明の第四の実施形態を説明する。本実施形態では、ブレードPC20上でアクセス制御を行う。各ブレードPC20が、自身に割り当てられたユーザIDのみを認識している。
図14は、本実施形態のブレードPCシステムのシステム構成図である。本図に示すように本実施形態のブレードPCシステムは、ブレードPC20と、クライアント端末30と、両者が接続するネットワーク2とを備える。第一から第三の実施形態と異なり、システム管理装置10を有しない。
クライアント端末30の構成は、第一から第三の実施形態と同様であるため、ここでは、説明しない。
本実施形態のブレードPC20の構成は、基本的に第一から第三の実施形態と同様である。しかし、本実施形態は、システム管理装置10を有しないシステム構成であるため、システム管理装置10と通信を行うための第一の通信制御装置21は有しない。また、プログラムメモリ24内には、ユーザ監視プログラム1502と、ブレード制御プログラム1501とが格納される。
また、ディスク装置25には、ユーザ認証情報テーブル300が格納される。さらに、ユーザ情報テーブル210に代えて、ユーザIDに対応づけてクライアント端末30の識別子と、ログオン時刻と、ログオフ時刻とを記録するユーザ情報一時記録テーブルを保持する。なお、本実施形態では、ブレードPC20は既に立ち上がっているものとし、ユーザからは、クライアント端末30を介してログオン要求が送信されるものとする。
ユーザ監視プログラム1502は、ワークメモリ22にロードされ、CPU23が実行することにより、ユーザ監視機能を実現する。ユーザ監視機能は、ユーザのログオン、ログオフ、中断、強制切断などを検出し、ユーザの状態を監視する。ユーザがログオンしたことを検出すると、ログオンしたユーザのIDに対応付けて、当該ユーザが利用しているクライアント端末30を特定する識別子(接続端末215)とともにログオン時刻をユーザ情報一時記録テーブルに記録する。また、ログオフ、中断、強制切断等を検出した場合は、さらにログオフ等の時刻も対応付けて記録する。なお、ログオフを検出した際、ユーザIDに対応づけて登録されているデータを消去するよう構成してもよい。
ブレード制御プログラム1501は、CPU23が実行することにより、ブレード制御機能を実現する。ブレード制御機能は、基本的に第三の実施形態のシステム管理装置10上のアクセス制御機能とブレードPC20上のアクセス機能とを合わせた機能と同様の機能を実現する。すなわち、クライアント端末30からのアクセスを制御する。競合が発生した場合、追加の認証情報の入力を要請し、正規のユーザを判別し、正規のユーザが使用を継続できるよう制御する。また、その後入力すべき認証情報の数を決定する。なお、ブレード制御機能は、競合の発生の有無は、ユーザ情報一時記録テーブルの記録内容で判別する。すなわち、既にログオン時刻が記録され、ログオフ時刻が記録されていない場合、競合が発生したものと判別する。
以上説明したように、本実施形態によれば、システム管理装置10が存在しなくとも、競合が発生した場合、正規のユーザが使用を継続できるよう制御することができ、また、他の実施形態同様、安全性も維持できる。
<<第五の実施形態>>
本発明の第五の実施形態を説明する。本実施形態のブレードPCシステムは、基本的に第四の実施形態のブレードPCシステムと同様の構成を有する。本実施形態では、一般のPCが備えるログオン機能はそのままで、本発明の制御、すなわち、競合が発生した場合、正規のユーザが継続使用でき、セキュリティを強化する制御を行う。
クライアント端末30は、第一から第四の実施形態と同様の構成を有する。ブレードPC20は、第四の実施形態と同様の構成を有する。すなわち、本実施形態のブレードPC20のディスク装置25には、第四の実施形態と同様に、ユーザ認証情報テーブル300が格納される。
ただし、本実施形態のブレードPC20のプログラムメモリ24内には、ログオン監視プログラム1602と、ログオン制御プログラム1601とが格納される。
なお、ブレードPC20は、通常のPCと同様に認証情報としてユーザIDとパスワードとによりログオンできるものとし、ログオン直後に任意の処理を実現できるものとする。
ログオン監視プログラム1602は、CPU23がワークメモリ22にロードして実行することにより、ログオン監視機能を実現する。ログオン監視機能は、ユーザのログオン状態を監視する。なお、ユーザからのログオン要求を受け付けると、第四の実施形態と同様にユーザIDに対応づけてクライアント端末30の識別子とログオン時刻、ログオフ時刻とを、ユーザ情報一時記録テーブルとして記録する。ログオン監視機能の処理の詳細は後述する。
ログオン制御プログラム1601は、CPU23がワークメモリ22にロードして実行することにより、ログオン制御機能を実現する。ログオン制御機能は、ユーザのログオン時の処理を行う。ログオン制御プログラムは、クライアント端末30を介してユーザからログオン要求を受け付けた場合、起動する。処理の詳細は後述する。
次に、ログオン監視機能が実現するログオン監視処理について説明する。図16は、本実施形態のログオン監視処理の処理フローである。
ログオン監視機能は、待機状態でクライアント端末30からログオン要求を受け付けると(ステップ1701)、ログオン情報内に含まれるユーザIDを含む認証情報を抽出する。認証情報の正当性を第一から第三の実施形態と同様の手順で判断後、正当と確認された場合、ログオン要求を送信してきたユーザIDによる使用状況を確認する(ステップ1702)。ここでは、抽出したユーザIDと同一のユーザIDが、ユーザ情報一時記録テーブルにログオン状態として記録されているか否かを判別する。
ログイン状態で記録されていない場合、すなわち、記録がない場合、または、ログオフ時刻も記録されている場合、受け取ったユーザIDとログイン時刻とをユーザ情報一時記録テーブルに記録する(ステップ1703)。
一方、ステップ1702においてログオン状態として記録されていると判別された場合、ログオン監視機能は、競合が発生したものと判断し、ログオン中であるとユーザ情報一時記録テーブルに登録されているユーザを強制的に切断(強制切断)する(ステップ1705)。このとき、強制切断した時刻をユーザ情報一時記録テーブルに追記する。
その後、第三の実施形態と同様に、ログオン中のユーザが使用しているクライアント端末30からのアクセスをフィルタリングし、第一から第三の実施形態と同様に、競合したユーザの中から正規のユーザを特定する処理を行う。そして、正規のユーザが特定された場合、特定されたユーザのクライアント端末30画面制御機能が使用するポートに指定されたIPアドレスからのパケットのみを受信可能なように設定する(ステップ1706)。
その後、第一から第三の実施形態同様、セキュリティレベルの強化を行う(ステップ1707)。そして、待機状態に戻る。
次に、上記ステップ1707において、セキュリティレベルが強化された場合、すなわち、通常のユーザIDおよびパスワードに加え、所定数の問合せワードの入力が要求される場合の、本実施形態のログオン制御機能が実現するログオン制御処理について説明する。図17は、本実施形態のログオン制御処理の処理フローである。
通常のログオンのための認証処理を行った後、ログオン制御機能は、追加の認証情報の入力を受け付けるためのダイアログボックスを表示させる画面データを認証情報送信元のクライアント端末30に送信することにより、追加の認証情報を要求する(ステップ1801)。画面データは、例えば、第一の実施形態で説明した追加情報入力画面600であってもよい。
規定回数内で正しい追加の認証情報が得られ、認証が成功した場合(ステップ1802)、ログオン制御機能は、同じユーザIDのユーザが既にユーザ情報一時記録テーブルに登録されているか否かを判断する(ステップ1803)。既に登録されている場合は、競合が再度発生したことになるため、安全性が確保できないと判断し、既に接続しているクライアント端末30も含め、全てのセッションをログオフさせ(ステップ1804)、以後、ログオン制御機能がいずれのユーザからのアクセスに対しても許可を出さないようアクセス制御を変更し、処理を終了する。
一方、ステップ1803において、競合が発生していない場合は、ログオン制御機能は、通常どおりログオンし(ステップ1806)、処理を終了する。
また、ステップ1802において、規定回数内で認証が成功しなかった場合は、ログオン制御機能は、ログオン要求元のユーザが使用しているクライアント端末30のIPアドレスに関連するネットワークセグメントからのアクセスを禁止するようアクセス制御を変更し(ステップ1805)、処理を終了する。
以上説明したように、本実施形態によれば、既存のコンピュータのログオン処理を変更することなくプログラムを追加するだけで競合時のアクセス制御を行うことができる。
第一の実施形態のシステム構成図である。 第一の実施形態のユーザ情報およびブレードPCの情報が格納されるテーブルの一例を示す図である。 第一の実施形態のユーザ認証情報テーブルの一例を示す図である。 第一の実施形態の追加情報入力画面の一例を示す図である。 第一の実施形態のアクセス制御処理の処理フローである。 第一の実施形態の起動制御処理の処理フローである。 第二の実施形態のシステム構成図である。 第二の実施形態のユーザ情報テーブルの一例を示す図である。 第二の実施形態のアクセス制御処理の処理フローである。 第二の実施形態の認証情報変更を促す画面の一例である。 第二の実施形態の制限時間監視処理の処理フローである。 第二の実施形態の認証情報変更を促す画面の一例である。 第三の実施形態のシステム構成図である。 第四の実施形態のシステム構成図である。 第五の実施形態のシステム構成図である。 第五の実施形態のログオン監視処理の処理フローである。 第五の実施形態のログオン制御処理の処理フローである。
符号の説明
1:管理用通信網、2:ネットワーク、10:システム管理装置、11:通信制御装置、12:プログラムメモリ、121:スイッチ制御プログラム、122:個人同定情報登録プログラム、123:アクセス制御プログラム、124:ユーザアクセス監視プログラム、13:管理情報データベース、14:中央処理装置、15:ワークメモリ、16:ディスプレイ、17:キーボード、18:マウス、19:入出力装置、20:ブレードPC、21:第一の通信制御装置、22:ワークメモリ、23:CPU、24:プログラムメモリ、241:監視プログラム、25:ディスク装置、26:第二の通信制御装置、30:クライアント端末、31:通信制御装置、32:プログラムメモリ、33:ワークメモリ、34:CPU、35:ディスプレイ、36:キーボード、37:マウス、38:入出力装置、39:コンソールプログラム、40:画面制御プログラム、50:ネットワーク装置、60:ネットワーク装置

Claims (11)

  1. 複数のコンピュータを備えるサーバと、クライアント端末と、前記クライアント端末から前記サーバへのアクセスを管理するサーバ管理装置とを備えるコンピュータシステムであって、
    前記サーバ管理装置は、
    ユーザ毎に認証情報と1以上の追加の認証情報とを保持する認証情報保持手段と、
    前記認証情報保持手段に保持されている認証情報に合致する認証情報を、前記サーバを利用する利用要求とともに前記クライアント端末を介して送信してきた場合、当該利用要求を受け付けるアクセス制御手段と、
    前記アクセス制御手段で前記利用要求を受け付けた際、当該利用要求により接続を要求するサーバが同じ認証情報により既に利用されている競合状態であるか否かを判断する利用状況判断手段と、
    競合状態であると判断した場合、前記追加の認証情報の送信を要求し、要求した追加の認証情報により判別した正規のユーザの接続を許可し、他のユーザの接続を遮断する起動制御手段と、を備え、
    前記起動制御手段は、
    1のユーザから送信された追加の認証情報のみが前記認証情報保持手段に保持されている追加の認証情報に合致した場合、当該合致した追加の認証情報を送信してきたユーザを正規のユーザと判別すること
    を特徴とするコンピュータシステム。
  2. 請求項1記載のコンピュータシステムであって、
    前記起動制御手段は、複数のユーザから送信された追加の認証情報が前記認証情報保持手段に保持されている前記追加の認証情報に合致した場合であって、前記認証情報保持手段に未使用の追加の認証情報がある場合、当該合致した追加の認証情報を送信した複数のユーザに異なる追加の認証情報の送信を要求し、正規のユーザを判別すること
    を特徴とするコンピュータシステム。
  3. 請求項2記載のコンピュータシステムであって、
    前記起動制御手段は、競合状態であると判断された認証情報に対応づけて正規のユーザが判別できるまでに要求した追加の認証情報の数を前記認証情報保持手段に記録し、
    前記アクセス制御手段は、前記起動制御手段が記録した追加の認証情報の数が1以上の場合、前記認証情報に加え、前記要求した追加の認証情報の数の認証情報を前記クライアント端末に要求し、全てが合致した場合、要求を受け付けること
    を特徴とするコンピュータシステム。
  4. 請求項3記載のコンピュータシステムであって、
    前記アクセス制御手段は、前記起動制御手段が記録した要求した追加の認証情報の数が1以上である場合、前記クライアント端末に認証情報の変更を要求し、要求に応じて新たな認証情報および追加の認証情報が登録された場合、前記起動制御手段が記録した要求した認証情報の数を0とすること
    を特徴とするコンピュータシステム。
  5. 請求項1から4のいずれか1項記載のコンピュータシステムであって、
    前記起動制御手段は、正規のユーザが判別できなかった場合、判別できなかったことを示す情報を前記認証情報に対応づけて前記認証情報保持手段に保持し、
    前記アクセス制御手段は、ユーザが前記認証情報保持手段に保持されている認証情報に合致する認証情報を送信してきた場合であっても、当該認証情報に対応づけて前記判別できなかったことを示す情報が保持されている場合、ユーザからの利用要求を受け付けないこと
    を特徴とするコンピュータシステム。
  6. 請求項1から5のいずれか1項記載のコンピュータシステムであって、
    前記起動制御手段は、競合状態であると判断した場合、競合状態が発生した認証情報に対応づけて利用制限時間を前記認証情報保持手段に記録し、
    前記アクセス制御手段は、前記認証情報保持手段に保持されている認証情報に合致する認証情報が前記利用要求とともに送信された場合であっても、送信された時刻が当該認証情報に対応付けて記録されている利用制限時間を超えている場合は、前記利用要求を受け付けないこと
    を特徴とするコンピュータシステム。
  7. 請求項1から6いずれか1項記載のコンピュータシステムであって、
    前記クライアント端末と前記サーバとの間に設けられるスイッチと、
    前記スイッチを制御するスイッチ制御手段と、をさらに備え、
    前記スイッチ制御手段は、
    前記起動制御手段が競合状態であると判断した場合、既に接続しているクライアント端末からのアクセスを停止させ、正規のユーザと判断されたユーザが使用しているクライアント端末からのアクセスを許可するよう前記スイッチを制御すること
    を特徴とするコンピュータシステム。
  8. 請求項1から6いずれか1項記載のコンピュータシステムであって、
    前記クライアント端末から前記サーバへのアクセスを制御するサーバアクセス制御手段をさらに備え、
    前記サーバアクセス制御手段は、
    前記起動制御手段が競合状態であると判断した場合、既に接続しているクライアント端末からのアクセスを停止させ、正規のユーザと判断されたユーザが使用しているクライアント端末からのアクセスを許可すること
    を特徴とするコンピュータシステム。
  9. 複数のコンピュータを備えるサーバと、クライアント端末と、を備えるコンピュータシステムであって、
    前記サーバは、
    ユーザ毎に認証情報と1以上の追加の認証情報とを保持する認証情報保持手段と、
    前記認証情報保持手段に保持されている認証情報に合致する認証情報を利用要求とともに前記クライアント端末を介して送信してきた場合、当該利用要求を受け付ける要求受付手段と、
    前記要求受付手段で前記利用要求を受け付けた際、同じ認証情報により既に利用されている競合状態であるか否かを判断する利用状況判断手段と、
    競合状態であると判断した場合、前記追加の認証情報の送信を要求し、要求した追加の認証情報により判別した正規のユーザの接続を許可し、他のユーザの接続を遮断する起動制御手段と、を備え、
    前記起動制御手段は、
    1のユーザから送信された追加の認証情報のみが前記認証情報保持手段に保持されている追加の認証情報に合致した場合、当該合致した追加の認証情報を送信してきたユーザを正規のユーザと判別すること
    を特徴とするコンピュータシステム。
  10. 複数のコンピュータを備えるサーバと、クライアント端末と、を備えるコンピュータシステムにおける前記クライアント端末から前記サーバへのアクセスを制御するアクセス制御方法であって、
    予め登録されている認証情報に合致する認証情報を、前記サーバを利用する利用要求とともに前記クライアント端末を介して送信してきた場合、当該利用要求を受け付ける要求受付ステップと、
    前記利用要求を受け付けた際、当該利用要求により接続を要求するサーバが同じ認証情報により既に利用されている競合状態であるか否かを判断する利用状況判断ステップと、
    競合状態であると判断した場合、予め登録されている追加の認証情報の送信を要求し、要求した追加の認証情報により判別した正規のユーザの接続を許可し、他のユーザの接続を遮断する起動制御ステップと、を備え、
    前記起動制御ステップでは、
    1のユーザから送信された追加の認証情報のみが予め登録されている追加の認証情報に合致した場合、当該合致した追加の認証情報を送信してきたユーザを正規のユーザと判別すること
    を特徴とするアクセス制御方法。
  11. コンピュータを、
    予め登録されている認証情報に合致する認証情報を、前記サーバを利用する利用要求とともに前記クライアント端末を介して送信してきた場合、当該利用要求を受け付けるアクセス制御手段と、
    前記アクセス制御手段で前記利用要求を受け付けた際、当該利用要求により接続を要求するサーバが同じ認証情報により既に利用されている競合状態であるか否かを判断する利用状況判断手段と、
    競合状態であると判断した場合、予め登録されている追加の認証情報の送信を要求し、1のユーザから送信された追加の認証情報のみが前記追加の認証情報に合致した場合、当該合致した追加の認証情報を送信してきたユーザを正規のユーザと判別し、当該正規のユーザの接続を許可し、他のユーザの接続を遮断する起動制御手段と、して機能させ、
    複数のコンピュータを備えるサーバと、クライアント端末とを備えるコンピュータシステムにおいて、前記クライアント端末から前記サーバへのアクセスを管理するプログラム。
JP2006210833A 2006-08-02 2006-08-02 コンピュータシステムおよびコンピュータへのアクセス制御方法 Withdrawn JP2008040590A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006210833A JP2008040590A (ja) 2006-08-02 2006-08-02 コンピュータシステムおよびコンピュータへのアクセス制御方法
US11/830,918 US20080077975A1 (en) 2006-08-02 2007-07-31 Computer system and method of controlling access to computer

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006210833A JP2008040590A (ja) 2006-08-02 2006-08-02 コンピュータシステムおよびコンピュータへのアクセス制御方法

Publications (1)

Publication Number Publication Date
JP2008040590A true JP2008040590A (ja) 2008-02-21

Family

ID=39175551

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006210833A Withdrawn JP2008040590A (ja) 2006-08-02 2006-08-02 コンピュータシステムおよびコンピュータへのアクセス制御方法

Country Status (2)

Country Link
US (1) US20080077975A1 (ja)
JP (1) JP2008040590A (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5998849B2 (ja) * 2012-01-18 2016-09-28 株式会社リコー 電子機器、情報処理システム、情報管理装置、情報処理方法、及び情報処理プログラム
WO2014057646A1 (ja) * 2012-10-11 2014-04-17 セイコーエプソン株式会社 制御システム、及び、情報処理装置
US10205760B2 (en) * 2014-05-05 2019-02-12 Citrix Systems, Inc. Task coordination in distributed systems

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE502005002248D1 (de) * 2005-10-20 2008-01-24 Ubs Ag Vorrichtungen und Verfahren zum Durchführen von kryptographischen Operationen in einem Server-Client-Rechnernetzwerksystem
JP4663497B2 (ja) * 2005-12-01 2011-04-06 株式会社日立製作所 情報処理システムおよび情報処理装置の割当管理方法
US20070219792A1 (en) * 2006-03-20 2007-09-20 Nu Echo Inc. Method and system for user authentication based on speech recognition and knowledge questions

Also Published As

Publication number Publication date
US20080077975A1 (en) 2008-03-27

Similar Documents

Publication Publication Date Title
US7607140B2 (en) Device management system
CN104025108B (zh) 客户端设备的策略执行
US9553858B2 (en) Hardware-based credential distribution
JP2008004072A (ja) デバイス管理システム
JP2007058502A (ja) 端末管理システム
JP2005234729A (ja) 不正アクセス防御システム及びその方法
KR20150026587A (ko) 신규 기기로부터의 로그인 알림 기능 제공 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
JP4720959B2 (ja) デバイス管理システム
JP2008040590A (ja) コンピュータシステムおよびコンピュータへのアクセス制御方法
JP2008004110A (ja) デバイス管理システム
JP2011221846A (ja) アクセス監視装置及びアクセス監視方法並びにそのプログラム
JP3707381B2 (ja) ログイン制御方法およびログイン制御システムならびにログイン制御プログラムを記録した情報記録媒体
KR101473719B1 (ko) 지능형 로그인 인증 시스템 및 그 방법
US9124581B2 (en) Industrial automation system and method for safeguarding the system
JP2002342284A (ja) セキュリティー保護装置及び方法
JP5733387B2 (ja) 管理装置、管理プログラムおよび管理方法
JP6922194B2 (ja) 接続判定プログラム、装置、及び方法
JP2005085154A (ja) ネットワークシステムおよび端末装置
JP2005182291A (ja) 管理サーバ装置、アクセス管理方法及びプログラム
JP2006209322A (ja) アクセス制御方式および方法、サーバ装置、端末装置ならびにプログラム
KR101500687B1 (ko) 휴대용 보안 기록 매체의 사내망 접속 기록을 삭제하는 사내망 보안 접속 서비스 제공 방법 및 시스템
CN117155642A (zh) 一种基板管理控制器登录方法、装置、设备及介质
JP2006252016A (ja) ユーザ認証システム、ユーザ認証サーバ、およびユーザ認証プログラム
JP2006331128A (ja) 認証サーバ、認証方法、及び認証プログラム
JP2017010494A (ja) Webサーバとして機能する工業用機器

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090529

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20110119