JP2009258813A - Communication control method and thin client system - Google Patents

Communication control method and thin client system Download PDF

Info

Publication number
JP2009258813A
JP2009258813A JP2008104230A JP2008104230A JP2009258813A JP 2009258813 A JP2009258813 A JP 2009258813A JP 2008104230 A JP2008104230 A JP 2008104230A JP 2008104230 A JP2008104230 A JP 2008104230A JP 2009258813 A JP2009258813 A JP 2009258813A
Authority
JP
Japan
Prior art keywords
network
management server
information processing
user authentication
processing apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008104230A
Other languages
Japanese (ja)
Inventor
Eiji Koga
英治 古賀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2008104230A priority Critical patent/JP2009258813A/en
Publication of JP2009258813A publication Critical patent/JP2009258813A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a communication control method for inhibiting the connection of a remote machine which has been lost or stolen to a local machine and to provide a thin client system for executing the same. <P>SOLUTION: The thin client system is provided with a portable terminal 11 which can be connected through a network to a management server 5. for the portable terminal, the management server 5 is provided with: a storage part for storing information necessary for user authentication and information showing the address of an information processor and the assignment state of an information processor in association with one another; and a control means having a means for receiving the assignment inhibition request of the address of the information processor from the portable terminal through the network and a means for changing the assignment state of the address of the information processor associated with the information necessary for user authentication included in the assignment inhibition request of the address of the received information processor to assignment inhibition by referring to the storage part, and for notifying the portable terminal of the result through the network. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、シンクライアント端末とこのシンクライアント端末の接続先装置を有するシンクライアントシステムにおいて、紛失または盗難にあったシンクライアント端末からの接続先装置への接続を禁止する技術に関する。   The present invention relates to a technology for prohibiting a connection from a lost or stolen thin client terminal to a connection destination device in a thin client system having a thin client terminal and a connection destination device of the thin client terminal.

近年、企業では、情報漏洩防止の観点からシンクライアントシステムの導入が進んでいる。シンクライアントシステムでは、手元にあるシンクライアント端末(以下、リモートマシンと称する)を用いて社内オフィスや社内サーバルーム等に設置されたブレードPC(Personal Computer)(以下、ローカルマシンと称する)を社内外から遠隔操作することにより、ローカルマシンに搭載されている各種アプリケーションプログラムおよびデータを利用できる(例えば、特許文献1参照)。リモートマシンには、HDD(Hard Disk Drive)レスのPCを用いることにより、リモートマシンの紛失または盗難による情報漏洩の可能性を低減させている。一方、ローカルマシンには、集積度を高めたブレードタイプのPCやソフトウェアにて擬似的にPC環境を提供するサーバコンピュータ等が用いられる。   In recent years, companies are introducing thin client systems from the viewpoint of preventing information leakage. In the thin client system, a blade PC (Personal Computer) (hereinafter referred to as a local machine) installed in an in-house office or in-house server room or the like using a thin client terminal (hereinafter referred to as a remote machine) at hand is used inside and outside the company. By remotely operating the computer, various application programs and data installed in the local machine can be used (for example, see Patent Document 1). By using a HDD (Hard Disk Drive) -less PC as the remote machine, the possibility of information leakage due to loss or theft of the remote machine is reduced. On the other hand, for the local machine, a blade-type PC having a higher degree of integration, a server computer that provides a simulated PC environment with software, or the like is used.

上記シンクライアントシステムにおいて、社外では、リモートマシンはインターネット網を介してローカルマシンに接続されるため、インターネット網上で安全なデータ通信を行うためのVPN(Virtual Private Network)技術やVPN上での公開鍵暗号方式等の暗号技術が利用される。また、上記特許文献1に記載のシンクライアントシステムでは、個人を特定する情報等が記憶されたKey Mobile等の認証デバイスとローカルマシンを各ユーザに割当てて、複数のユーザでリモートマシンを共用する。これにより、各ユーザは、出張先や顧客先等に出向く際、認証デバイスのみ持ち歩くことで、出張先等にてその認証デバイスと出張先等に設置されたリモートマシンを用いて各ユーザに割当てられたローカルマシンにアクセスできるため、セキュリティの強化を図ることができる。しかし、利用者は、通常、リモートマシンと認証デバイスを鞄等の同一携行具に入れて持ち歩くことが多い。このため、この鞄を外出先に置き忘れて紛失または盗難にあう場合がある。この場合、紛失または盗難にあったリモートマシン等が、シンクライアントシステムの知識を有し、さらにパスワードを知っている者等の手に渡ると、この者が正規ユーザになりすましてリモートマシンからローカルマシンに接続することにより情報が漏洩してしまう可能性がある。したがって、リモートマシンが紛失または盗難にあった場合の対策が望まれる。   In the above thin client system, since a remote machine is connected to a local machine via the Internet network outside the company, VPN (Virtual Private Network) technology for performing secure data communication on the Internet network or disclosure on the VPN Cryptographic techniques such as key cryptography are used. Further, in the thin client system described in Patent Document 1, an authentication device such as Key Mobile in which information for identifying an individual is stored and a local machine are assigned to each user, and a plurality of users share a remote machine. As a result, each user is assigned to each user using a remote machine installed at the business trip destination or the like by carrying only the authentication device when traveling to a business trip destination or customer destination. Because it can access the local machine, security can be enhanced. However, a user usually carries a remote machine and an authentication device in the same carrying device such as a bag. For this reason, this bag may be left on the go and lost or stolen. In this case, if a remote machine that has been lost or stolen has knowledge of the thin client system and is in the hands of a person who knows the password, this person pretends to be a legitimate user from the remote machine to the local machine. Information may be leaked by connecting to. Therefore, a countermeasure when the remote machine is lost or stolen is desired.

リモートマシンが紛失または盗難にあった場合に、リモートマシンで扱われる情報の漏洩を防止する技術については、例えば、特許文献2に記載の技術が知られている。この特許文献2には、管理サーバが携帯端末機からの携帯端末機特定情報を元にリモートマシンの接続先装置となるホストPCを特定し、その特定したホストPCのアドレス情報を携帯端末機を介してリモートマシンに送信し、リモートマシンはこのアドレス情報を元に上記特定したホストPCに接続できることが記載している。   For example, a technique described in Patent Document 2 is known as a technique for preventing leakage of information handled by a remote machine when the remote machine is lost or stolen. In this patent document 2, a management server specifies a host PC that is a connection destination device of a remote machine based on mobile terminal specifying information from a mobile terminal, and the address information of the specified host PC is stored in the mobile terminal. It is described that the remote machine can connect to the specified host PC based on this address information.

特許第04001297号公報Japanese Patent No. 04001297 特開2007−243344号公報JP 2007-243344 A

しかしながら、上記特許文献2に記載の技術では、リモートマシンからホストPCに接続するために携帯端末機が必要となり、システム構成が複雑となる。   However, in the technique described in Patent Document 2, a mobile terminal is required to connect to a host PC from a remote machine, and the system configuration is complicated.

本発明の目的は、通常時は、携帯端末を用いずともリモートマシンからローカルマシンに接続でき、リモートマシンが紛失または盗難にあった場合にのみ、携帯端末を用いてその紛失または盗難にあったリモートマシンからのローカルマシンへの接続を禁止することができる通信制御方法およびこれを実施するシンクライアントシステムを提供することにある。   The object of the present invention is that a remote machine can be connected to a local machine without using a mobile terminal, and is lost or stolen using the mobile terminal only when the remote machine is lost or stolen. To provide a communication control method capable of prohibiting connection from a remote machine to a local machine, and a thin client system for implementing the communication control method.

ネットワークに介して互いに接続可能な複数の情報処理装置、前記情報処理装置を管理する管理サーバ、および複数のシンクライアント端末から構成されるシンクライアントシステムにおいて、更に前記ネットワークを介して前記管理サーバに接続可能な携帯端末を更に有することを特徴とする。   A thin client system comprising a plurality of information processing devices that can be connected to each other via a network, a management server that manages the information processing devices, and a plurality of thin client terminals, and further connected to the management server via the network It further has a possible portable terminal.

前記シンクライアントシステムにおいて、前記携帯端末は、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信する手段、前記管理サーバからユーザ認証結果を前記ネットワークを介して受信する手段、該ユーザ認証結果を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信する手段、および前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信する手段を有する制御を有する
ことを特徴とする。 In the thin client system, the portable terminal is
Means for transmitting a connection request together with information necessary for user authentication to the management server via the network, means for receiving a user authentication result from the management server via the network, and after receiving the user authentication result, the information Means for transmitting a processing device address assignment prohibition request to the management server via the network, and means for receiving a response to the information processing device address assignment prohibition request from the management server via the network. It is characterized by having control.

また、この携帯端末に対して前記管理サーバは、
前記ユーザ認証に必要な情報と前記情報処理装置のアドレスと前記情報処理装置の割当状態を示す情報とを対応付けて記憶する記憶部と、
前記携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信する手段、該受信したユーザ認証に必要な情報と前記記憶部に記憶されている前記ユーザ認証に必要な情報とに基づいてユーザ認証を行う手段、該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知する手段、前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信する手段、および前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する手段を有する制御部と、を有する
ことを特徴とする。 In addition, the management server for this mobile terminal
A storage unit that stores information necessary for the user authentication, an address of the information processing apparatus, and information indicating an allocation state of the information processing apparatus in association with each other;
Based on means for receiving information necessary for the user authentication from the portable terminal via the network, information necessary for the received user authentication and information necessary for the user authentication stored in the storage unit A means for performing user authentication, a means for notifying the mobile terminal of the authentication result when the user authentication is established as a result of the user authentication, and a request for prohibiting assignment of an address of the information processing apparatus from the mobile terminal. Means for receiving via the network, and allocation of information processing apparatus address associated with information required for user authentication included in the received address allocation prohibition request of the information processing apparatus with reference to the storage unit A control unit having means for changing the status to prohibit allocation and notifying the mobile terminal to that effect via the network. And features.

また、前記シンクライアントシステムにおいて、前記携帯端末は、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信する手段、前記管理サーバからユーザ認証結果を前記ネットワークを介して受信する手段、該ユーザ認証結果を受信後に、前記情報処理装置の電源切断要求を前記ネットワークを介して前記管理サーバに送信する手段、前記管理サーバから前記情報処理装置の電源切断要求に対する応答を前記ネットワークを介して受信する手段、該応答を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信する手段、および前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信する手段を有する制御部を有することを特徴とする。 In the thin client system, the portable terminal is
Means for transmitting a connection request together with information necessary for user authentication to the management server via the network, means for receiving a user authentication result from the management server via the network, and after receiving the user authentication result, the information Means for transmitting a power-off request for the processing device to the management server via the network, means for receiving a response to the power-off request for the information processing device from the management server via the network, and after receiving the response, Means for transmitting an address assignment prohibition request for the information processing apparatus to the management server via the network, and means for receiving a response to the address assignment prohibition request for the information processing apparatus from the management server via the network It has the control part which has.

また、この携帯端末に対して前記管理サーバは、
前記ユーザ認証に必要な情報と前記情報処理装置のアドレスと前記情報処理装置の割当状態を示す情報とを対応付けて記憶する記憶部と、
携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信する手段、該受信したユーザ認証に必要な情報と前記記憶部に記憶されている前記ユーザ認証に必要な情報とに基づいてユーザ認証を行う手段、該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知する手段、前記携帯端末から前記情報処理装置の電源切断要求を前記ネットワークを介して受信する手段、該情報処理装置に電源切断要求を前記ネットワークを介して送信する手段、該情報処理装置の電源が切断されたことを検知すると、前記携帯端末に情報処理装置の電源が切断された旨を前記ネットワークを介して送信する手段、前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信する手段、および前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する手段を有する制御部と、を有することを特徴とする。 In addition, the management server for this mobile terminal
A storage unit that stores information necessary for the user authentication, an address of the information processing apparatus, and information indicating an allocation state of the information processing apparatus in association with each other;
A means for receiving information necessary for user authentication from a portable terminal via the network, a user based on the received information necessary for user authentication and information necessary for the user authentication stored in the storage unit A means for performing authentication, a means for notifying the mobile terminal of the authentication result via the network when the user authentication is established as a result of the user authentication, a request for powering off the information processing apparatus from the mobile terminal to the network Means for receiving via the network, means for transmitting a power-off request to the information processing device via the network, and detecting that the information processing device is turned off, the information processing device is turned off by the portable terminal. Means for transmitting the information to the information processing apparatus via the network, and a request for prohibiting assignment of the address of the information processing apparatus from the portable terminal. Means for receiving via the network, and the address allocation state of the information processing apparatus associated with the information required for the user authentication included in the received address allocation prohibition request of the information processing apparatus with reference to the storage unit And a control unit having means for notifying the mobile terminal via the network that the allocation is prohibited.

前記情報処理装置は、
前記管理サーバから前記電源切断要求を前記ネットワークを介して受信する手段、および前記電源切断要求を受けて当該情報処理装置の電源を切断する手段を有する制御部を有することを特徴とする。 The information processing apparatus includes:
It has a control part which has a means to receive the power-off request from the management server via the network, and a means to turn off the power of the information processor in response to the power-off request.

本発明によれば、通常時は、携帯端末を用いずともリモートマシンからローカルマシンに接続でき、リモートマシンが紛失または盗難にあった場合にのみ、携帯端末を用いてその紛失または盗難にあったリモートマシンからのローカルマシンへの接続を禁止することができる通信制御方法およびこれを実施するシンクライアントシステムを提供することができる。これにより、セキュリティを更に強化することができる。   According to the present invention, normally, a remote machine can be connected to a local machine without using a portable terminal, and the lost or stolen terminal is used only when the remote machine is lost or stolen. It is possible to provide a communication control method capable of prohibiting connection from a remote machine to a local machine, and a thin client system for implementing the communication control method. Thereby, security can be further strengthened.

(実施例1)
以下、本発明の第一実施形態について、図面を参照して詳細に説明する。 (Example 1)
Hereinafter, a first embodiment of the present invention will be described in detail with reference to the drawings.

図1は、本発明の第一実施形態が適用されたシンクライアントシステムの全体構成を示す図である。   FIG. 1 is a diagram showing an overall configuration of a thin client system to which the first embodiment of the present invention is applied.

本実施形態のシンクライアントシステムは、複数の認証デバイス1およびリモートマシン(情報処理装置)2と、VPNサーバ4と、管理サーバ5と、複数のローカルマシン(シンクライアント端末)6と、ファイヤーウォール9と、携帯端末11と、を有する。   The thin client system of this embodiment includes a plurality of authentication devices 1 and remote machines (information processing apparatuses) 2, a VPN server 4, a management server 5, a plurality of local machines (thin client terminals) 6, and a firewall 9. And a mobile terminal 11.

認証デバイス1は、リモートマシン2に脱着可能である。リモートマシン2は、ホテル、駅等に構築されたLAN(Local Area Network)3に接続されている。VPNサーバ4は、会社等に構築されたLAN7に接続されている。管理サーバ5、複数のローカルマシン6は、会社等に構築されたLAN8に接続されている。また、LAN7とLAN8との間にはファイヤーウォールが存在する。このファイヤーウォールにより、VPNサーバ4、管理サーバ5およびローカルマシン6を有する内部システムと外部との通信が制御され、内部システムの安全を維持できる。認証デバイス1およびリモートマシン2を有する外部システムと、VPNサーバ4、管理サーバ5、複数のローカルマシン6およびファイヤーウォール9を有する内部システムと、はWAN(Wide Area Network)10を介して相互に接続可能に構成されている。また、携帯端末11は、携帯端末会社12、WAN10を介して内部システムに接続可能に構成されている。   The authentication device 1 can be attached to and detached from the remote machine 2. The remote machine 2 is connected to a LAN (Local Area Network) 3 constructed in a hotel, a station or the like. The VPN server 4 is connected to a LAN 7 constructed in a company or the like. The management server 5 and the plurality of local machines 6 are connected to a LAN 8 constructed in a company or the like. Further, a firewall exists between the LAN 7 and the LAN 8. By this firewall, communication between the internal system having the VPN server 4, the management server 5, and the local machine 6 and the outside can be controlled, and the safety of the internal system can be maintained. The external system having the authentication device 1 and the remote machine 2 and the internal system having the VPN server 4, the management server 5, the plurality of local machines 6 and the firewall 9 are connected to each other via a WAN (Wide Area Network) 10. It is configured to be possible. Further, the mobile terminal 11 is configured to be connectable to an internal system via the mobile terminal company 12 and the WAN 10.

図2は、認証デバイス1の構成を示す図である。認証デバイス1は、ICチップ111と、リモートマシン2に接続するためのUSBアダプタ112と、を有する。ICチップ111には、プロセッサ113と、認証プログラム114と、PIN(Personal Identification Number)コード(暗証番号またはパスワード)115と、ユーザID116と、接続情報117と、認証情報118と、が記憶されている。認証プログラム114は、リモートマシン2に入力されたPINコードをローカルマシン2から受け取り、この受け取ったPINコードとICチップ111に記憶されているPINコード115とを照合して認証デバイス1所有者(ユーザ)の認証等を行うためのプログラムである。ユーザID116は、リモートマシン2が管理サーバ5に対しローカルマシン6のアドレス割当要求を行う際に必要な情報である。接続情報117は、リモートマシン2がVPNサーバ4に接続するために必要な、VPNサーバ4のIPアドレスや、リモートマシン2が管理サーバ5に接続するために必要なIPアドレス等の情報である。認証情報118は、VPN暗号化通信時のPKI(Public Key Infrastructure)認証に必要な電子証明書等の情報である。なお、認証デバイス1に、フラッシュメモリを外付けできるように構成し、ICチップ111内の一部のデータをこのフラッシュメモリに記憶するようにしてもよい。   FIG. 2 is a diagram illustrating the configuration of the authentication device 1. The authentication device 1 includes an IC chip 111 and a USB adapter 112 for connecting to the remote machine 2. The IC chip 111 stores a processor 113, an authentication program 114, a PIN (Personal Identification Number) code (password or password) 115, a user ID 116, connection information 117, and authentication information 118. . The authentication program 114 receives the PIN code input to the remote machine 2 from the local machine 2 and collates the received PIN code with the PIN code 115 stored in the IC chip 111 so that the owner of the authentication device 1 (user ) Authentication program. The user ID 116 is information necessary when the remote machine 2 makes an address allocation request for the local machine 6 to the management server 5. The connection information 117 is information such as the IP address of the VPN server 4 necessary for the remote machine 2 to connect to the VPN server 4 and the IP address necessary for the remote machine 2 to connect to the management server 5. The authentication information 118 is information such as an electronic certificate necessary for PKI (Public Key Infrastructure) authentication at the time of VPN encrypted communication. The authentication device 1 may be configured so that a flash memory can be externally attached, and a part of the data in the IC chip 111 may be stored in the flash memory.

図3は、リモートマシン2の構成を示す図である。リモートマシン2は、CPU(Central Processing Unit)201と、CPU201のワークエリアとして機能するRAM(Random Access Memory)202と、LAN3に接続するためのNIC(Network Interface Card)3と、フラッシュROM(Read Only Memory)204と、ビデオカード205と、キーボードおよびマウスを接続するためのI/Oコネクタ206と、認証デバイス1を接続するためのUSBポート207、これらの各部201〜207を接続するBUS、を中継するブリッジ208と、電源209と、を有する。   FIG. 3 is a diagram illustrating a configuration of the remote machine 2. The remote machine 2 includes a CPU (Central Processing Unit) 201, a RAM (Random Access Memory) 202 functioning as a work area for the CPU 201, a NIC (Network Interface Card) 3 for connecting to the LAN 3, and a flash ROM (Read Only). Memory) 204, video card 205, I / O connector 206 for connecting the keyboard and mouse, USB port 207 for connecting the authentication device 1, and BUS connecting these units 201-207. And a power source 209.

フラッシュROM204には、BIOS(Basic Input/Output System)210が記憶されている。CPU201は、電源209の投入後、まずフラッシュROM204にアクセスしてBIOS210を実行することにより、リモートマシン2のシステム構成を認識する。   The flash ROM 204 stores a BIOS (Basic Input / Output System) 210. After the power supply 209 is turned on, the CPU 201 first accesses the flash ROM 204 and executes the BIOS 210 to recognize the system configuration of the remote machine 2.

またフラッシュROM204には、OS(Operating System)211と、VPNクライアントプログラム212と、認証プログラム213と、管理サーバ接続プログラム214と、リモートコントロールプログラム215と、が少なくとも記憶されている。   The flash ROM 204 stores at least an OS (Operating System) 211, a VPN client program 212, an authentication program 213, a management server connection program 214, and a remote control program 215.

OS211は、CPU201がリモートマシン2の各部202〜209を統括的に制御して、VPNクライアントプログラム212、認証プログラム213、管理サーバ接続プログラム214およびリモートコントロールプログラム215を実行するためのプログラムである。CPU201は、BIOS210に従い、フラッシュROM204からOS211をRAM202にロードして実行する。これにより、CPU201は、リモートマシン2の各部202〜209を統括的に制御する。   The OS 211 is a program for the CPU 201 to control the respective units 202 to 209 of the remote machine 2 to execute the VPN client program 212, the authentication program 213, the management server connection program 214, and the remote control program 215. The CPU 201 loads the OS 211 from the flash ROM 204 to the RAM 202 and executes it in accordance with the BIOS 210. Thereby, the CPU 201 comprehensively controls each unit 202 to 209 of the remote machine 2.

VPNクライアントプログラム212は、リモートマシン2がVPNサーバ4とVPN暗号化通信を行うためのプログラムである。   The VPN client program 212 is a program for the remote machine 2 to perform VPN encrypted communication with the VPN server 4.

認証プログラム213は、PKI認証を行うプログラムである。   The authentication program 213 is a program that performs PKI authentication.

管理サーバ接続プログラム214は、管理サーバ5に接続するためのプログラムである。   The management server connection program 214 is a program for connecting to the management server 5.

リモートコントロールプログラム215は、ローカルマシン6に接続して、ローカルマシン1と通信を行うためのプログラムである。リモートコントロールプログラム215は、ローカルマシン1に接続した後、ローカルマシン1にキーボード・マウス等の入力情報を送信し、またローカルマシン1から入力情報の処理結果を示す映像情報(ディスプレイのデスクトップ画面)を受信してディスプレイに表示させる。   The remote control program 215 is a program for connecting to the local machine 6 and communicating with the local machine 1. After connecting to the local machine 1, the remote control program 215 transmits input information such as a keyboard and a mouse to the local machine 1, and also displays video information (display desktop screen) indicating the processing result of the input information from the local machine 1. Receive and display on the display.

図4は、VPNサーバ4の構成を示す図である。VPNサーバ4は、CPU401と、CPU401のワークエリアとして機能するRAM402と、LAN7に接続するためのNIC403と、HDD404と、ビデオカード405と、フラッシュROM406と、キーボードおよびマウスを接続するためのI/Oコネクタ407と、これらの各部401〜407を接続するBUS、を中継するブリッジ408と、電源409と、を有する。   FIG. 4 is a diagram showing the configuration of the VPN server 4. The VPN server 4 includes a CPU 401, a RAM 402 functioning as a work area for the CPU 401, a NIC 403 for connecting to the LAN 7, an HDD 404, a video card 405, a flash ROM 406, an I / O for connecting a keyboard and a mouse. A bridge 408 that relays the connector 407 and the BUS that connects these units 401 to 407 and a power source 409 are provided.

フラッシュROM406には、BIOS414が記憶されている。CPU401は、電源409の投入後、まずフラッシュROM406にアクセスしてBIOS414を実行することにより、VPNサーバ4のシステム構成を認識する。   The flash ROM 406 stores a BIOS 414. After the power supply 409 is turned on, the CPU 401 first accesses the flash ROM 406 and executes the BIOS 414 to recognize the system configuration of the VPN server 4.

HDD404には、OS410と、認証プログラム411と、VPNマネージャプログラム412と、PKI認証時に使用される電子証明書等の認証情報413と、が少なくとも記憶されている。   The HDD 404 stores at least an OS 410, an authentication program 411, a VPN manager program 412, and authentication information 413 such as an electronic certificate used at the time of PKI authentication.

OS410は、CPU401がVPNサーバ4の各部402〜409を統括的に制御して、認証プログラム411、VPNマネージャプログラム412を実行するためのプログラムである。CPU401は、BIOS414に従い、HDD404からOS410をRAM402にロードして実行する。これにより、CPU401は、VPNサーバ4の各部402〜409を統括的に制御する。   The OS 410 is a program for the CPU 401 to control the respective units 402 to 409 of the VPN server 4 to execute the authentication program 411 and the VPN manager program 412. The CPU 401 loads the OS 410 from the HDD 404 to the RAM 402 and executes it in accordance with the BIOS 414. Thereby, the CPU 401 comprehensively controls each unit 402 to 409 of the VPN server 4.

認証プログラム411は、リモートマシン2または携帯端末11からVPN接続要求を受けた時に、モートマシン2または携帯端末11から送信された認証情報とHDD404に記憶されている認証情報413とを用いてPKI認証を行うためのプログラムである。   When receiving a VPN connection request from the remote machine 2 or the portable terminal 11, the authentication program 411 uses the authentication information transmitted from the mote machine 2 or the portable terminal 11 and the authentication information 413 stored in the HDD 404 to perform PKI authentication. It is a program to do.

VPNマネージャプログラム412は、認証プログラム411によるPKI認証(認証成立)後に、リモートマシン2または携帯端末11とVPN暗号化通信を行うためのプログラムである。   The VPN manager program 412 is a program for performing VPN encrypted communication with the remote machine 2 or the portable terminal 11 after PKI authentication (authentication is established) by the authentication program 411.

図5は、管理サーバ5の構成を示す図である。管理サーバ5は、CPU501と、CPU501のワークエリアとして機能するRAM502と、LAN8と接続するためのNIC503と、HDD504と、ビデオカード505と、フラッシュROM506と、キーボードおよびマウスを接続するためのI/Oコネクタ507と、これらの各部501〜507を接続するBUS、を中継するブリッジ508と、電源509と、を有する。   FIG. 5 is a diagram illustrating the configuration of the management server 5. The management server 5 includes a CPU 501, a RAM 502 that functions as a work area for the CPU 501, a NIC 503 for connecting to the LAN 8, an HDD 504, a video card 505, a flash ROM 506, and an I / O for connecting a keyboard and mouse. It has a bridge 508 that relays the connector 507 and the BUS that connects these units 501 to 507, and a power source 509.

フラッシュROM506には、BIOS514が記憶されている。CPU501は、電源509の投入後、まずフラッシュROM506にアクセスしてBIOS514を実行することにより、管理サーバ5のシステム構成を認識する。   The flash ROM 506 stores a BIOS 514. After the power source 509 is turned on, the CPU 501 first accesses the flash ROM 506 and executes the BIOS 514 to recognize the system configuration of the management server 5.

HDD504には、OS510と、ローカルマシン割当および電源制御プログラム511と、携帯端末用遠隔操作プログラム512と、ユーザ関連情報テーブル513と、が少なくとも記憶されている。   The HDD 504 stores at least an OS 510, a local machine allocation and power control program 511, a mobile terminal remote operation program 512, and a user related information table 513.

OS510は、CPU501が管理サーバ5の各部502〜509を統括的に制御して、ローカルマシン割当および電源制御プログラム511、携帯端末用遠隔操作プログラム512を実行するためのプログラムである。CPU501は、BIOS514に従い、HDD504からOS510をRAM502にロードして実行する。これにより、CPU501は、管理サーバ5の各部502〜509を統括的に制御する。   The OS 510 is a program for the CPU 501 to control the respective units 502 to 509 of the management server 5 and execute the local machine allocation and power control program 511 and the portable terminal remote operation program 512. In accordance with the BIOS 514, the CPU 501 loads the OS 510 from the HDD 504 to the RAM 502 and executes it. Thereby, the CPU 501 comprehensively controls each unit 502 to 509 of the management server 5.

ローカルマシン割当および電源制御プログラム511は、ユーザへのローカルマシン6の割当および当該ローカルマシン6の電源起動の制御を行うためのプログラムである。ローカルマシン割当および電源制御プログラム511は、リモートマシン2からユーザIDとともにローカルマシン6のアドレス割当要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDの有無を判定する。判定の結果、ユーザIDが有った場合(認証成功)、ローカルマシン割当および電源制御プログラム511は、ユーザ関連情報テーブル513から当該ユーザIDと対応付いたローカルマシン6のIPアドレスを読み出し、この宛先情報を示すIPアドレスを元に電源起動要求をこのローカルマシン6にネットワーク10を介して送信する制御を行う。そして、ローカルマシン割当および電源制御プログラム511は、当該ローカルマシン6の起動を監視し、当該ローカルマシン6の起動を検知すると、当該ローカルマシン6のIPアドレスを上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する制御を行う。また、上記判定の結果、ユーザIDが無かった場合(認証失敗)、ローカルマシン割当および電源制御プログラム511は、認証に失敗した旨を上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する制御を行う。   The local machine assignment and power supply control program 511 is a program for controlling the assignment of the local machine 6 to the user and the power activation of the local machine 6. When the local machine allocation and power supply control program 511 receives the address allocation request of the local machine 6 together with the user ID from the remote machine 2 via the network 10, the local machine allocation and power control program 511 refers to the user related information table 513 to determine the presence or absence of the user ID. . As a result of the determination, if there is a user ID (authentication success), the local machine allocation and power control program 511 reads the IP address of the local machine 6 associated with the user ID from the user related information table 513, and this destination Based on the IP address indicating the information, control for transmitting a power-on request to the local machine 6 via the network 10 is performed. Then, the local machine allocation and power supply control program 511 monitors the activation of the local machine 6 and, when detecting the activation of the local machine 6, transfers the IP address of the local machine 6 to the remote machine 2 that is the address allocation request source. Control to notify via the network 10 is performed. If there is no user ID (authentication failure) as a result of the determination, the local machine allocation and power supply control program 511 notifies the remote machine 2 that has made the authentication failure to the remote machine 2 that is the address allocation request source via the network 10. Control.

携帯端末用遠隔操作プログラム512は、紛失等したリモートマシン2からローカルマシン6に接続出来ないように制御するためのプログラムである。携帯端末用遠隔操作プログラム512は、携帯端末11からユーザIDとともに接続要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDの有無を判定する。判定の結果、ユーザIDが有った場合(認証成功)、認証に成功した旨をネットワーク10を介して上記接続要求元の携帯端末11に通知する制御を行う。携帯端末用遠隔操作プログラム512は、認証成功の通知後に、当該携帯端末11からアドレス割当禁止要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDに対応付いたローカルマシン6のIPアドレスのステータスを割当禁止状態に変更し、その処理結果をネットワーク10を介して上記要求元の携帯端末11に送信する制御を行う。   The portable terminal remote operation program 512 is a program for controlling the lost remote machine 2 so that it cannot be connected to the local machine 6. When the mobile terminal remote operation program 512 receives a connection request together with the user ID from the mobile terminal 11 via the network 10, the mobile terminal remote operation program 512 refers to the user related information table 513 to determine the presence or absence of the user ID. As a result of the determination, if there is a user ID (authentication success), control is performed to notify the connection request source mobile terminal 11 via the network 10 that the authentication has been successful. When the mobile terminal remote operation program 512 receives an address assignment prohibition request from the mobile terminal 11 via the network 10 after notification of successful authentication, the remote control program 512 for the mobile terminal refers to the user related information table 513 and corresponds to the local user ID. The status of the IP address of the machine 6 is changed to the assignment prohibition state, and the processing result is transmitted to the requesting mobile terminal 11 via the network 10.

ユーザ関連情報テーブル513には、図6に示すように、ユーザID520と、ユーザに割当てるローカルマシン6のIPアドレス521と、当該IPアドレスの割当状態(ステータス)522と、を示す情報がそれぞれ対応付けされて記憶されている。   In the user related information table 513, as shown in FIG. 6, information indicating the user ID 520, the IP address 521 of the local machine 6 assigned to the user, and the assignment status (status) 522 of the IP address are associated with each other. Has been remembered.

図7は、ローカルマシン6の構成を示す図である。ローカルマシン6は、CPU601と、CPU601のワークエリアとして機能するRAM602と、LAN8に接続するためのNIC603と、HDD604と、デスクトップの映像情報を生成するビデオカード605と、フラッシュROM606と、キーボードおよびマウスを接続するためのI/Oコネクタ607と、これらの各部601〜607を接続するBUS、を中継するブリッジ608と、電源609と、を有する。   FIG. 7 is a diagram showing the configuration of the local machine 6. The local machine 6 includes a CPU 601, a RAM 602 that functions as a work area for the CPU 601, a NIC 603 for connecting to the LAN 8, an HDD 604, a video card 605 that generates desktop video information, a flash ROM 606, a keyboard and a mouse. It has a bridge 608 that relays the I / O connector 607 for connection, BUS that connects these units 601 to 607, and a power source 609.

フラッシュROM606には、BIOS613が記憶されている。CPU601は、電源609の投入後、まずフラッシュROM606にアクセスしてBIOS613を実行することにより、ローカルマシン6のシステム構成を認識する。   The flash ROM 606 stores a BIOS 613. After the power source 609 is turned on, the CPU 601 first accesses the flash ROM 606 and executes the BIOS 613 to recognize the system configuration of the local machine 6.

HDD604には、OS610と、リモートコントロールエージェントプログラム611と、複数のアプリケーションプログラム612と、が少なくとも記憶されている。OS610は、CPU601がローカルマシン6の各部602〜609を統括的に制御して、リモートコントロールエージェントプログラム611およびアプリケーションプログラム612を実行するためのプログラムである。   The HDD 604 stores at least an OS 610, a remote control agent program 611, and a plurality of application programs 612. The OS 610 is a program for the CPU 601 to execute the remote control agent program 611 and the application program 612 by comprehensively controlling the units 602 to 609 of the local machine 6.

CPU601は、BIOS613に従い、HDD604からOS610をRAM602にロードして実行する。これにより、CPU601は、ローカルマシン6の各部602〜609を統括的に制御する。   In accordance with the BIOS 613, the CPU 601 loads the OS 610 from the HDD 604 to the RAM 602 and executes it. As a result, the CPU 601 comprehensively controls the units 602 to 609 of the local machine 6.

リモートコントロールエージェントプログラム611は、ローカルマシン6をリモートマシン2から遠隔操作可能とするためのプログラムである。CPU601は、OS610に従い、HDD604からリモートコントロールエージェントプログラム611をRAM602にロードして実行する。これにより、CPU601は、リモートマシン2から送られてきた入力情報を受信して処理すると共に、処理結果をネットワーク10を介してリモートマシン2に送信する制御を行う。   The remote control agent program 611 is a program for enabling the local machine 6 to be remotely operated from the remote machine 2. The CPU 601 loads the remote control agent program 611 from the HDD 604 to the RAM 602 and executes it in accordance with the OS 610. As a result, the CPU 601 receives and processes the input information sent from the remote machine 2 and controls to transmit the processing result to the remote machine 2 via the network 10.

アプリケーションプログラム612には、汎用のWebブラウザ、ワープロ、表計算等のプログラムがある。CPU601は、OS610に従い、リモートマシン2からネットワーク10を介してアプリケーション起動要求を受信すると、HDD604から要求のあったアプリケーションプログラム612をRAM602にロードして実行し、その実行結果をネットワーク10を介してリモートマシン2に送信する制御を行う。   The application program 612 includes programs such as general-purpose web browsers, word processors, and spreadsheets. When the CPU 601 receives an application activation request from the remote machine 2 via the network 10 according to the OS 610, the CPU 601 loads the requested application program 612 from the HDD 604 to the RAM 602 and executes it, and remotely executes the execution result via the network 10. Control to transmit to the machine 2 is performed.

図8は、携帯端末11の構成を示す図である。携帯端末11は、CPU1101と、音声部1102と、受発信部1103と、メモリカードインターフェイス1104と、フラッシュROM1105と、表示部1106と、キーパッド1107と、電源1108と、を有する。   FIG. 8 is a diagram illustrating a configuration of the mobile terminal 11. The portable terminal 11 includes a CPU 1101, a voice unit 1102, a transmission / reception unit 1103, a memory card interface 1104, a flash ROM 1105, a display unit 1106, a keypad 1107, and a power source 1108.

フラッシュROM1105には、BIOS1110が記憶されている。CPU1101は、電源1108の投入後、まずフラッシュROM1105にアクセスしてBIOS110を実行することにより、携帯端末11のシステム構成を認識する。   The flash ROM 1105 stores a BIOS 1110. After the power supply 1108 is turned on, the CPU 1101 first accesses the flash ROM 1105 and executes the BIOS 110 to recognize the system configuration of the mobile terminal 11.

またフラッシュROM1105には、OS1111と、認証プログラム1112と、VPNクライアントプログラム1113と、リモート接続プログラム1114と、管理サーバ遠隔操作プログラム1115と、認証情報1116と、接続情報1117と、ユーザID118と、が少なくとも記憶されている。   The flash ROM 1105 includes at least an OS 1111, an authentication program 1112, a VPN client program 1113, a remote connection program 1114, a management server remote operation program 1115, authentication information 1116, connection information 1117, and a user ID 118. It is remembered.

OS1111は、CPU1101が携帯端末11の各部1102〜1108を統括的に制御して、認証プログラム1112、VPNクライアントプログラム1113、リモート接続プログラム1114および管理サーバ遠隔操作プログラム1115を実行するためのプログラムである。   The OS 1111 is a program for the CPU 1101 to control the units 1102 to 1108 of the portable terminal 11 to execute the authentication program 1112, the VPN client program 1113, the remote connection program 1114, and the management server remote operation program 1115.

認証プログラム1112は、携帯端末11が有する認証情報1116と、VPNサーバ4からの認証情報413とを用いてPKI認証を行うためのプログラムである。   The authentication program 1112 is a program for performing PKI authentication using authentication information 1116 of the mobile terminal 11 and authentication information 413 from the VPN server 4.

VPNクライアントプログラム1113は、VPNサーバ4とVPN暗号化通信を行うためのプログラムである。   The VPN client program 1113 is a program for performing VPN encrypted communication with the VPN server 4.

リモート接続プログラム1114は、VPNサーバ4および管理サーバ2に接続するためのプログラムである。リモート接続プログラム1114が起動されると、VPNサーバ4および管理サーバ2に接続するために必要な情報の入力を行うための接続情報設定画面が表示部1106に表示される。   The remote connection program 1114 is a program for connecting to the VPN server 4 and the management server 2. When the remote connection program 1114 is started, a connection information setting screen for inputting information necessary for connecting to the VPN server 4 and the management server 2 is displayed on the display unit 1106.

図9は、接続情報設定画面の例を示す図である。この接続情報設定画面は、接続情報の設定フィールド1120と、VPNサーバ4および管理サーバ5への接続の開始を指示するための接続開始指示フィールド1121と、で構成される。接続情報の設定フィールド1120は、さらにVPNサーバ4のIPアドレスの設定フィールド1122と、管理サーバ5のIPアドレスおよび管理サーバ5へのアクセス時に必要なユーザIDの設定フィールド1123と、で構成される。入力されたVPNサーバ4のIPアドレスおよび管理サーバ5のIPアドレスと、ユーザIDは、フラッシュROM1105に記憶される(接続情報1117、ユーザID1118)。ユーザにより接続開始を指示する操作が行われると、リモート接続プログラム1114は、認証情報1116、接続情報1117、ユーザID1118を元にVPNサーバ4および管理サーバ5に順次接続する制御を行う。   FIG. 9 is a diagram illustrating an example of a connection information setting screen. This connection information setting screen includes a connection information setting field 1120 and a connection start instruction field 1121 for instructing start of connection to the VPN server 4 and the management server 5. The connection information setting field 1120 further includes an IP address setting field 1122 of the VPN server 4, and an IP address of the management server 5 and a user ID setting field 1123 required when accessing the management server 5. The input IP address of the VPN server 4 and the IP address of the management server 5 and the user ID are stored in the flash ROM 1105 (connection information 1117, user ID 1118). When an operation for instructing the start of connection is performed by the user, the remote connection program 1114 performs control to sequentially connect to the VPN server 4 and the management server 5 based on the authentication information 1116, connection information 1117, and user ID 1118.

管理サーバ遠隔操作プログラム1115は、リモート接続プログラム1114の実行後に実行され、管理サーバ5に対してローカルマシン6のアドレス割当禁止要求の送信を制御するためのプログラムである。管理サーバ遠隔操作プログラム1115が起動されると、ローカルマシン6のアドレス割当禁止を指示するための管理サーバ遠隔操作画面が表示部1106に表示される。   The management server remote operation program 1115 is executed after the remote connection program 1114 is executed, and is a program for controlling transmission of an address assignment prohibition request of the local machine 6 to the management server 5. When the management server remote operation program 1115 is activated, a management server remote operation screen for instructing prohibition of address assignment of the local machine 6 is displayed on the display unit 1106.

図10は、管理サーバ遠隔操作画面の例を示す図である。管理サーバ遠隔操作画面は、ローカルマシン6のアドレス割当禁止を指示するための割当禁止指示フィールド1131と、管理サーバ2からのローカルマシン6のアドレス割当禁止要求に対する応答を表示するフィールド1132と、この画面の操作を終了させるための終了指示フィールド1133と、で構成される。ユーザによりローカルマシン6のアドレス割当禁止を指示する操作が行われると、管理サーバ遠隔操作プログラム115は、ローカルマシン6のアドレス割当禁止要求を管理サーバ5にネットワーク10を介して送信する制御を行う。   FIG. 10 is a diagram illustrating an example of the management server remote operation screen. The management server remote operation screen includes an assignment prohibition instruction field 1131 for instructing prohibition of address assignment of the local machine 6, a field 1132 for displaying a response to the address assignment prohibition request of the local machine 6 from the management server 2, and this screen And an end instruction field 1133 for ending the operation. When an operation for instructing the address allocation prohibition of the local machine 6 is performed by the user, the management server remote operation program 115 performs a control to transmit an address allocation prohibition request of the local machine 6 to the management server 5 via the network 10.

図11は、本実施形態のシンクライアントシステムにおいて、認証デバイス1およびリモートマシン2を用いて、ローカルマシン6に接続する処理手順を示す図である。なお、この処理は、本来、CPUがプログラムに従って実行する。しかし、ここでは、説明を簡単にするために、単にCPUを実行主体として説明する。   FIG. 11 is a diagram showing a processing procedure for connecting to the local machine 6 using the authentication device 1 and the remote machine 2 in the thin client system of this embodiment. This process is originally executed by the CPU according to the program. However, here, in order to simplify the description, the CPU is simply described as the execution subject.

ます認証デバイス1をリモートマシン2に接続すると、リモートマシン2のCPU201は、ビデオカード205に接続されたディスプレイにPINコードの入力フォームを表示させる。そして、CPU201は、ユーザにより入力されたPINコードを受付け、これを認証デバイス1に送信して、ユーザ認証を依頼する(ステップS101、ステップ102)。   When the authentication device 1 is connected to the remote machine 2, the CPU 201 of the remote machine 2 displays a PIN code input form on the display connected to the video card 205. The CPU 201 receives the PIN code input by the user, transmits it to the authentication device 1, and requests user authentication (step S101, step 102).

認証デバイス1のプロセッサ113は、リモートマシン2から受信したPINコードと、ICチップ111に記憶されているPINコード115とを用いて、ユーザ認証を行う(ステップ103)。そして、ユーザ認証が成功すると、プロセッサ113は、ICチップ111に記憶されているユーザID116、VPNサーバ4および管理サーバ5に接続するためのIPアドレス等の接続情報117、PKI認証に必要な電子証明書等の認証情報118をリモートマシン2に送信する(ステップ104)。   The processor 113 of the authentication device 1 performs user authentication using the PIN code received from the remote machine 2 and the PIN code 115 stored in the IC chip 111 (step 103). If the user authentication is successful, the processor 113 stores the user ID 116 stored in the IC chip 111, connection information 117 such as an IP address for connecting to the VPN server 4 and the management server 5, and an electronic certificate necessary for PKI authentication. Authentication information 118 such as a certificate is transmitted to the remote machine 2 (step 104).

この後、認証デバイス1から受信したVPNサーバ4に接続するための接続情報117、認証情報1119を元に、リモートマシン2とVPNサーバ4との間でPKI認証が行われ、VPNが確立する(ステップ105)。   Thereafter, PKI authentication is performed between the remote machine 2 and the VPN server 4 based on the connection information 117 and the authentication information 1119 for connecting to the VPN server 4 received from the authentication device 1, and the VPN is established ( Step 105).

次にリモートマシン2のCPU201は、ユーザID116とともにローカルマシン6のアドレス割当要求をネットワーク10を介して管理サーバ5に送信する(ステップ106)。   Next, the CPU 201 of the remote machine 2 transmits an address assignment request for the local machine 6 together with the user ID 116 to the management server 5 via the network 10 (step 106).

管理サーバ5のCPU501は、ユーザIDとともにローカルマシン6のアドレス割当要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDの有無を判定する。判定の結果、当該ユーザIDが有った場合(認証成功、ステップ107)、CPU501は、ユーザ関連情報テーブル513から当該ユーザIDと対応付いたローカルマシン6のIPアドレスを読み出し、このIPアドレスを元に電源起動要求をローカルマシン6にネットワーク10を介して送信する(ステップ108)。そして、CPU501は、当該ローカルマシン6の起動を監視し、当該ローカルマシン6が起動されたことを検知すると(ステップ109)、当該ローカルマシン6のIPアドレスを上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する(ステップ110)。なお、上記判定の結果、ユーザIDが無かった場合(認証失敗)、CPU501は、認証に失敗した旨を上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する。   When the CPU 501 of the management server 5 receives the address assignment request of the local machine 6 together with the user ID via the network 10, the CPU 501 determines whether or not the user ID exists with reference to the user related information table 513. As a result of the determination, if the user ID is present (authentication success, step 107), the CPU 501 reads the IP address of the local machine 6 associated with the user ID from the user related information table 513, and based on this IP address. A power activation request is transmitted to the local machine 6 via the network 10 (step 108). Then, the CPU 501 monitors the activation of the local machine 6 and when detecting that the local machine 6 has been activated (step 109), the CPU 501 assigns the IP address of the local machine 6 to the remote machine 2 that is the address allocation request source. Notification is made via the network 10 (step 110). As a result of the determination, if there is no user ID (authentication failure), the CPU 501 notifies the address allocation request source remote machine 2 via the network 10 that the authentication has failed.

リモートマシン2のCPU201は、管理サーバ5からのIPアドレスを認証デバイス1に送信する(ステップ111)。   The CPU 201 of the remote machine 2 transmits the IP address from the management server 5 to the authentication device 1 (step 111).

認証デバイス1のプロセッサ113は、リモートマシン2から受け取ったIPアドレスをICチップ111内に登録する。   The processor 113 of the authentication device 1 registers the IP address received from the remote machine 2 in the IC chip 111.

この後、リモートマシン2とローカルマシン6との間に通信路が確立し(ステップ113)、ローカルマシン2のCPU201はキーボードおよびマウスの入力情報をネットワーク10を介してローカルマシン6に送信し、ローカルマシン6のCPU601は、入力情報の処理結果を示す映像情報をローカルマシン2にネットワーク10を介して送信する(ステップ114、ステップ115、ステップ116)。   Thereafter, a communication path is established between the remote machine 2 and the local machine 6 (step 113), and the CPU 201 of the local machine 2 transmits keyboard and mouse input information to the local machine 6 via the network 10, and the local machine 2 The CPU 601 of the machine 6 transmits video information indicating the processing result of the input information to the local machine 2 via the network 10 (Step 114, Step 115, Step 116).

なお、ステップ103において、PINコードを用いてユーザ認証を行っているが、ユーザ認証に必要な情報であれば良く、例えば、ユーザIDおよびPINコードを用いてユーザ認証を行うようにしても良い。同様に、ステップ107において、ユーザIDを用いてユーザ認証を行っているが、ユーザ認証に必要な情報であれば良く、例えば、PINコード、あるいはユーザIDおよびPINコードを用いてユーザ認証を行うようにしても良い。   In step 103, the user authentication is performed using the PIN code. However, any information necessary for the user authentication may be used. For example, the user authentication may be performed using the user ID and the PIN code. Similarly, in step 107, user authentication is performed using the user ID, but any information necessary for user authentication may be used. For example, the user authentication is performed using the PIN code or the user ID and the PIN code. Anyway.

図12は、本実施形態のシンクライアントシステムにおいて、携帯端末11を用いて、ローカルマシン6に接続する処理手順を示す図である。なお、この処理は、本来、CPUがプログラムに従って実行する。しかし、ここでは、説明を簡単にするために、単にCPUを実行主体として説明する。   FIG. 12 is a diagram showing a processing procedure for connecting to the local machine 6 using the mobile terminal 11 in the thin client system of this embodiment. This process is originally executed by the CPU according to the program. However, here, in order to simplify the description, the CPU is simply described as the execution subject.

VPNサーバ4のIPアドレス、管理サーバ5のIPアドレスおよび管理サーバ5用の認証情報であるユーザIDが入力(図9)されると(ステップ201)、携帯端末11のCPU1101は、この入力情報をフラッシュROM1105に格納する(接続情報1117、ユーザID1118)。この後、PKI認証に必要な電子証明書等の認証情報1116、VPNサーバ4のIPアドレス等の接続情報1117を元に、携帯端末11とVPNサーバ4との間でPKI認証が行われ、VPNが確立する(ステップ202)。   When the IP address of the VPN server 4, the IP address of the management server 5, and the user ID that is the authentication information for the management server 5 are input (FIG. 9) (step 201), the CPU 1101 of the mobile terminal 11 stores the input information. Stored in the flash ROM 1105 (connection information 1117, user ID 1118). Thereafter, PKI authentication is performed between the mobile terminal 11 and the VPN server 4 based on authentication information 1116 such as an electronic certificate necessary for PKI authentication and connection information 1117 such as an IP address of the VPN server 4, and VPN Is established (step 202).

次に、携帯端末11のCPU1101は、ユーザIDとともに管理サーバ5に接続要求をネットワーク10を介して送信する(ステップ203)。   Next, the CPU 1101 of the portable terminal 11 transmits a connection request together with the user ID to the management server 5 via the network 10 (step 203).

管理サーバ5のCPU501は、ユーザIDとともに接続要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDの有無を判定する。判定の結果、当該ユーザIDが有った場合(認証成功)(ステップ204)、CPU501は、その認証結果をネットワーク10を介して携帯端末11に通知する(ステップ205)。   When the CPU 501 of the management server 5 receives the connection request together with the user ID via the network 10, the CPU 501 determines whether or not the user ID exists with reference to the user related information table 513. As a result of the determination, if the user ID exists (authentication success) (step 204), the CPU 501 notifies the authentication result to the mobile terminal 11 via the network 10 (step 205).

携帯端末11のCPU1101は、認証結果をネットワーク10を介して受信すると、図10に示す管理サーバ遠隔操作画面を表示部1106に表示させる。受信した認証結果は、処理結果表示フィールド1132に表示される。次に、ユーザによりローカルマシン6のアドレス割当禁止が指示されると、CPU1101は、ローカルマシン6のアドレス割当禁止要求信号を受け取り(ステップ206)、これをユーザIDとともにネットワーク10を介して管理サーバ5に送信する(ステップ207)。   When the CPU 1101 of the portable terminal 11 receives the authentication result via the network 10, it displays the management server remote operation screen shown in FIG. 10 on the display unit 1106. The received authentication result is displayed in the processing result display field 1132. Next, when an instruction to prohibit the address assignment of the local machine 6 is given by the user, the CPU 1101 receives an address assignment prohibition request signal for the local machine 6 (step 206), and sends it to the management server 5 via the network 10 together with the user ID. (Step 207).

管理サーバ5のCPU501は、携帯端末11からユーザIDとともにローカルマシン6のアドレス割当禁止要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザID520(図6)に対応付いたローカルマシン6のIPアドレス(521)のステータス(522)を割当禁止状態に変更し(ステップ208)、その処理結果をネットワーク10を介して上記要求元の携帯端末11に通知する(ステップ209)。   When the CPU 501 of the management server 5 receives the address assignment prohibition request of the local machine 6 together with the user ID from the mobile terminal 11 via the network 10, the CPU 501 refers to the user related information table 513 and corresponds to the user ID 520 (FIG. 6). The status (522) of the IP address (521) of the local machine 6 is changed to the allocation prohibited state (step 208), and the processing result is notified to the requesting mobile terminal 11 via the network 10 (step 209). .

携帯端末11のCPU1101は、受信情報を管理サーバ遠隔操作画面の処理結果表示フィールド1132に表示させる。   The CPU 1101 of the portable terminal 11 displays the received information in the processing result display field 1132 of the management server remote operation screen.

以上の動作により、ユーザ関連情報テーブル513の当該ユーザIDに対応付いたローカルマシン6のIPアドレスのステータスが割当禁止状態になっているので、このリモートマシン2からローカルマシン6への接続を禁止できる。よって、セキュリティを更に強化することができる。   With the above operation, since the status of the IP address of the local machine 6 associated with the user ID in the user related information table 513 is in the allocation prohibited state, the connection from the remote machine 2 to the local machine 6 can be prohibited. . Therefore, security can be further strengthened.

なお、ステップ204において、ユーザIDを用いてユーザ認証を行っているが、ユーザ認証に必要な情報であれば良く、例えば、PINコード、あるいはユーザIDおよびPINコードを用いてユーザ認証を行うようにしても良い。   In step 204, the user authentication is performed using the user ID. However, any information necessary for the user authentication may be used. For example, the user authentication is performed using the PIN code or the user ID and the PIN code. May be.

図13は、管理サーバ5における処理を示すフローチャートである。なお、この処理は、本来、CPU501がプログラムに従って実行する。しかし、ここでは、説明を簡単にするために、単にCPUを実行主体として説明する。   FIG. 13 is a flowchart showing processing in the management server 5. This process is originally executed by the CPU 501 in accordance with a program. However, here, in order to simplify the description, the CPU is simply described as the execution subject.

CPU501は、要求信号を受信すると(ステップ301)、この受信した要求信号が、携帯端末11からの接続要求かリモートマシン2からのローカルマシン6のアドレス割当要求かを判定する(ステップ302)。判定の結果、携帯端末11からの接続要求の場合、CPU501は、ユーザ関連情報テーブル513を参照して接続要求に含まれるユーザIDの有無を判定する(ステップ303)。判定の結果、当該ユーザIDが有った場合、CPU501は、その認証結果(認証成功)をネットワーク10を介して携帯端末11に通知する(ステップ304)。   When receiving the request signal (step 301), the CPU 501 determines whether the received request signal is a connection request from the portable terminal 11 or an address allocation request for the local machine 6 from the remote machine 2 (step 302). As a result of the determination, in the case of a connection request from the portable terminal 11, the CPU 501 refers to the user related information table 513 to determine whether there is a user ID included in the connection request (step 303). As a result of the determination, if the user ID is present, the CPU 501 notifies the portable terminal 11 of the authentication result (authentication success) via the network 10 (step 304).

次に、CPU501は、携帯端末11からユーザIDとともにローカルマシン6のアドレス割当禁止要求をネットワーク10を介して受信すると(ステップ305)、ユーザ関連情報テーブル513を参照して当該ユーザID520(図6)に対応付いたローカルマシン6のIPアドレス(521)のステータス(522)を割当禁止状態に変更し(ステップ306)、その処理結果をネットワーク10を介して携帯端末11に通知する(ステップ307)。   Next, when the CPU 501 receives the address assignment prohibition request for the local machine 6 together with the user ID from the portable terminal 11 via the network 10 (step 305), the user ID 520 (FIG. 6) is referred to the user related information table 513. The status (522) of the IP address (521) of the local machine 6 associated with is changed to the assignment prohibited state (step 306), and the processing result is notified to the portable terminal 11 via the network 10 (step 307).

また、ステップ303での判定の結果、当該ユーザIDが無かった場合、CPU501は、その認証結果(認証失敗)をネットワーク10を介して携帯端末11に通知する(ステップ308)。   If there is no user ID as a result of the determination in step 303, the CPU 501 notifies the authentication result (authentication failure) to the mobile terminal 11 via the network 10 (step 308).

また、ステップ302における判定の結果、リモートマシン2からのローカルマシン6のアドレス割当要求の場合、CPU501は、ユーザ関連情報テーブル513を参照してこのアドレス割当要求に含まれるユーザIDの有無を判定する(ステップ309)。判定の結果、当該ユーザIDが有った場合、CPU501は、ユーザ関連情報テーブル513から当該ユーザIDと対応付いたローカルマシン6のIPアドレスを読み出し、このIPアドレスを元に電源起動要求をこのローカルマシン6にネットワーク10を介して送信する(ステップ310)。そして、CPU501は、当該ローカルマシン6の起動を監視し、当該ローカルマシン6が起動されたことを検知すると(ステップ311)、当該ローカルマシン6のIPアドレスを上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する(ステップ312)。   If the result of determination in step 302 is an address allocation request for the local machine 6 from the remote machine 2, the CPU 501 refers to the user related information table 513 to determine whether there is a user ID included in this address allocation request. (Step 309). As a result of the determination, if the user ID is present, the CPU 501 reads the IP address of the local machine 6 associated with the user ID from the user related information table 513, and issues a power activation request based on the IP address. The data is transmitted to the machine 6 via the network 10 (step 310). Then, the CPU 501 monitors the activation of the local machine 6 and when detecting that the local machine 6 has been activated (step 311), the CPU 501 assigns the IP address of the local machine 6 to the remote machine 2 that is the address allocation request source. Notification is made via the network 10 (step 312).

また、ステップ309における判定の結果、ユーザIDが無かった場合(認証失敗)、CPU501は、認証に失敗した旨を上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する(ステップ313)。   If the result of determination in step 309 is that there is no user ID (authentication failure), the CPU 501 notifies the remote machine 2 of the address assignment request source via the network 10 that authentication has failed (step 313). .

以上、説明したように、ユーザ関連情報テーブル513の当該ユーザIDに対応付いたローカルマシン6のIPアドレスのステータスが割当禁止状態になっているので、このリモートマシン2からローカルマシン6への接続を禁止できる。よって、セキュリティを更に強化することができる。
(実施例2)
上記第一実施形態では、図11において、認証デバイス1をリモートマシン2に接続する度に、必ずリモートマシン2から管理サーバ5に対してローカルマシン6のアドレス割当要求をネットワーク10を介して行う場合を例にとり説明した。しかし、図11において、一旦ローカルマシン6のIPアドレスが認証デバイス1に登録されれば、この認証デバイス1をリモートマシン2に接続した際、リモートマシン2の接続先となるローカルマシン6が電源起動状態になっていれば、リモートマシン2が認証デバイス1に登録されているIPアドレスを元に、管理サーバ5を介さずにローカルマシン6に接続できる場合が想定される。第二実施形態では、この場合について、図15、図16を参照し説明する。 As described above, since the status of the IP address of the local machine 6 associated with the user ID in the user related information table 513 is in the allocation prohibited state, the connection from the remote machine 2 to the local machine 6 is established. Can be prohibited. Therefore, security can be further strengthened.
(Example 2)
In the first embodiment, in FIG. 11, every time the authentication device 1 is connected to the remote machine 2, the remote machine 2 always makes an address allocation request for the local machine 6 to the management server 5 via the network 10. Was described as an example. However, in FIG. 11, once the IP address of the local machine 6 is registered in the authentication device 1, when the authentication device 1 is connected to the remote machine 2, the local machine 6 to which the remote machine 2 is connected is powered on. If it is in the state, it is assumed that the remote machine 2 can connect to the local machine 6 without going through the management server 5 based on the IP address registered in the authentication device 1. In the second embodiment, this case will be described with reference to FIGS. 15 and 16.

図15は、第二実施形態の管理サーバ遠隔操作画面の例を示す図である。管理サーバ遠隔操作画面は、図10に示すローカルマシン6のアドレス割当禁止を指示するための割当禁止指示フィールド1131と、管理サーバ2からローカルマシン6のアドレス割当禁止要求に対する応答を表示するフィールド1132と、画面の操作を終了させるための終了指示フィールド1133に加え、ローカルマシン6の電源切断(OFF)を指示するための電源切断指示フィールド1134を有する。   FIG. 15 is a diagram illustrating an example of a management server remote operation screen according to the second embodiment. The management server remote operation screen includes an assignment prohibition instruction field 1131 for instructing prohibition of address assignment of the local machine 6 shown in FIG. 10, and a field 1132 for displaying a response to the address assignment prohibition request of the local machine 6 from the management server 2. In addition to the end instruction field 1133 for ending the operation of the screen, a power-off instruction field 1134 for instructing the power-off (OFF) of the local machine 6 is provided.

図16は、第二実施形態のシンクライアントシステムにおいて、携帯端末11を用いて、ローカルマシン6に接続する処理手順を示す図である。なお、この処理は、本来、CPUがプログラムに従って実行する。しかし、ここでは、説明を簡単にするために、単にCPUを実行主体として説明する。また、第一実施形態と同じ処理部分については第一実施形態と同一の符号を付してある。   FIG. 16 is a diagram illustrating a processing procedure for connecting to the local machine 6 using the mobile terminal 11 in the thin client system of the second embodiment. This process is originally executed by the CPU according to the program. However, here, in order to simplify the description, the CPU is simply described as the execution subject. The same processing parts as those in the first embodiment are denoted by the same reference numerals as those in the first embodiment.

VPNサーバ4のIPアドレス、管理サーバ5のIPアドレスおよび管理サーバ5用認証情報であるユーザIDが入力(図9)されると(ステップ201、携帯端末11のCPU1101は、この入力情報をフラッシュROM1105に格納する(接続情報1117、ユーザID1118)。この後、PKI認証に必要な電子証明書等の認証情報1116、VPNサーバ4のIPアドレス等の接続情報1117を元に、携帯端末11とVPNサーバ4との間でPKI認証が行われ、VPNが確立する(ステップ202)。   When the IP address of the VPN server 4, the IP address of the management server 5, and the user ID that is the authentication information for the management server 5 are input (step 201, the CPU 1101 of the portable terminal 11 stores the input information in the flash ROM 1105. (Connection information 1117, user ID 1118) Thereafter, based on the authentication information 1116 such as an electronic certificate necessary for PKI authentication and the connection information 1117 such as the IP address of the VPN server 4, the portable terminal 11 and the VPN server 4, PKI authentication is performed and VPN is established (step 202).

次に、携帯端末11のCPU1101は、ユーザIDとともに管理サーバ5に接続要求をネットワーク10を介して送信する(ステップ203)。   Next, the CPU 1101 of the portable terminal 11 transmits a connection request together with the user ID to the management server 5 via the network 10 (step 203).

管理サーバ5のCPU501は、ユーザIDとともに接続要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDの有無を判定する。判定の結果、当該ユーザIDが有った場合(認証成功)ステップ204)、CPU501は、その認証結果をネットワーク10を介して携帯端末11に通知する(ステップ205)。   When the CPU 501 of the management server 5 receives the connection request together with the user ID via the network 10, the CPU 501 determines whether or not the user ID exists with reference to the user related information table 513. As a result of the determination, if the user ID is present (authentication success) (step 204), the CPU 501 notifies the authentication result to the portable terminal 11 via the network 10 (step 205).

携帯端末11のCPU1101は、認証結果をネットワーク10を介して受信すると、図10に示す管理サーバ遠隔操作画面を表示部1106に表示させる。受信した認証結果は、処理結果表示フィールド1132に表示される。次に、ユーザによりローカルマシン6の電源切断が指示されると、CPU1101は、ローカルマシン6の電源切断要求を受け取り(ステップ401)、これをユーザIDとともにネットワーク10を介して管理サーバ5に送信する(ステップ402)。   When the CPU 1101 of the portable terminal 11 receives the authentication result via the network 10, it displays the management server remote operation screen shown in FIG. 10 on the display unit 1106. The received authentication result is displayed in the processing result display field 1132. Next, when the user instructs to power off the local machine 6, the CPU 1101 receives a power off request for the local machine 6 (step 401), and transmits this request to the management server 5 via the network 10 together with the user ID. (Step 402).

管理サーバ5のCPU501は、ユーザ関連情報関連テーブル513を参照して当該ユーザID(図6−520)に対応付いたローカルマシン6のIPアドレス(521)を読み出し、このIPアドレスを元にローカルマシン6に電源切断要求をネットワーク10を介して送信する(ステップ403)。CPU501は、ローカルマシン6の電源切断を監視し、ローカルマシン6の電源が切断されたことを検知すると(ステップ404)、その結果を携帯端末11にネットワーク10を介して通知する(ステップ405)。   The CPU 501 of the management server 5 reads the IP address (521) of the local machine 6 associated with the user ID (FIG. 6-520) with reference to the user related information relation table 513, and based on this IP address, the local machine 6 sends a power-off request via the network 10 (step 403). The CPU 501 monitors the power-off of the local machine 6 and, when detecting that the power of the local machine 6 is cut off (step 404), notifies the portable terminal 11 of the result via the network 10 (step 405).

携帯端末11のCPU1101は、受信情報を管理サーバ遠隔操作画面の処理結果表示フィールド1132に表示させる。   The CPU 1101 of the portable terminal 11 displays the received information in the processing result display field 1132 of the management server remote operation screen.

次に、ユーザによりローカルマシン6のアドレス割当禁止が指示(1131)されると、CPU1101は、ローカルマシン6のアドレス割当禁止要求信号を受け取り(ステップ206)、これをユーザIDとともにネットワーク10を介して管理サーバ5に送信する(ステップ207)。   Next, when the user is instructed to prohibit address allocation of the local machine 6 (1131), the CPU 1101 receives an address allocation prohibition request signal of the local machine 6 (step 206), and sends it through the network 10 together with the user ID. It transmits to the management server 5 (step 207).

管理サーバ5のCPU501は、携帯端末11からユーザIDとともにローカルマシン6のアドレス割当禁止要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザID520(図6)に対応付いたローカルマシン6のIPアドレス(521)のステータス(522)を割当禁止状態に変更し(ステップ208)、その処理結果をネットワーク10を介して上記要求元の携帯端末11に通知する(ステップ209)。   When the CPU 501 of the management server 5 receives the address assignment prohibition request of the local machine 6 together with the user ID from the mobile terminal 11 via the network 10, the CPU 501 refers to the user related information table 513 and corresponds to the user ID 520 (FIG. 6). The status (522) of the IP address (521) of the local machine 6 is changed to the allocation prohibited state (step 208), and the processing result is notified to the requesting mobile terminal 11 via the network 10 (step 209). .

携帯端末11のCPU1101は、受信した処理結果を管理サーバ遠隔操作画面の処理結果表示フィールド1132に表示させる。   The CPU 1101 of the portable terminal 11 displays the received processing result in the processing result display field 1132 of the management server remote operation screen.

以上の動作により、携帯端末11から管理サーバ5にローカルマシン6の電源切断要求を送信して当該ローカルマシン6の電源を切断するとともに、電源切断後に、携帯端末11から管理サーバ5に当該ローカルマシン6のアドレス割当禁止要求を送信して当該ローカルマシン6のアドレス割当を禁止状態に制御できるので、紛失または盗難にあったモートマシン2からローカルマシン6への接続を禁止できる。よって、セキュリティを更に強化することができる。   With the above operation, the portable terminal 11 transmits a power-off request for the local machine 6 to the management server 5 to cut off the power of the local machine 6, and after the power is turned off, the portable machine 11 sends the local machine 6 to the management server 5. Since the address assignment prohibition request 6 is transmitted and the address assignment of the local machine 6 can be controlled to be prohibited, the connection from the lost or stolen mote machine 2 to the local machine 6 can be prohibited. Therefore, security can be further strengthened.

本発明の第一実施形態が適用されたシンクライアントシステムの全体構成を示す図である。1 is a diagram illustrating an overall configuration of a thin client system to which a first embodiment of the present invention is applied. 認証デバイス1の構成を示す図である。2 is a diagram illustrating a configuration of an authentication device 1. FIG. リモートマシン2の構成を示す図である。2 is a diagram illustrating a configuration of a remote machine 2. FIG. VPNサーバ4の構成を示す図である。2 is a diagram showing a configuration of a VPN server 4. FIG. 管理サーバ5の構成を示す図である。2 is a diagram illustrating a configuration of a management server 5. FIG. ユーザ関連情報テーブル513の構成を示す図である。It is a figure which shows the structure of the user related information table 513. FIG. ローカルマシン6の構成を示す図である。2 is a diagram showing a configuration of a local machine 6. FIG. 携帯端末11の構成を示す図である。2 is a diagram illustrating a configuration of a mobile terminal 11. FIG. 接続情報設定画面の例を示す図である。It is a figure which shows the example of a connection information setting screen. 管理サーバ遠隔操作画面の例を示す図である。It is a figure which shows the example of a management server remote operation screen. 第一実施形態のシンクライアントシステムにおいて、認証デバイス1およびリモートマシン2を用いて、ローカルマシン6に接続する処理手順を示す図である。It is a figure which shows the process sequence which connects to the local machine 6 using the authentication device 1 and the remote machine 2 in the thin client system of 1st embodiment. 第一実施形態のシンクライアントシステムにおいて、携帯端末11を用いて、ローカルマシン6に接続する処理手順を示す図である。In the thin client system of 1st embodiment, it is a figure which shows the process sequence connected to the local machine 6 using the portable terminal 11. FIG. 管理サーバ5における処理を示すフローチャートである。5 is a flowchart showing processing in the management server 5. 同じく、管理サーバ5における処理を示すフローチャートである。Similarly, it is a flowchart showing processing in the management server 5. 第二実施形態の管理サーバ遠隔操作画面の例を示す図である。It is a figure which shows the example of the management server remote operation screen of 2nd embodiment. 第二実施形態のシンクライアントシステムにおいて、携帯端末11を用いて、ローカルマシン6に接続する処理手順を示す図である。It is a figure which shows the process sequence which connects to the local machine 6 using the portable terminal 11 in the thin client system of 2nd embodiment.

符号の説明Explanation of symbols

1・・・認証デバイス、2・・・リモートマシン、3・・・LAN、4・・・VPNサーバ、5・・・管理サーバ、6・・・ローカルマシン、7・・・LAN。8・・・LAN、9・・・ファイヤーウォール、10・・・WAN、11・・・携帯端末、12・・・携帯端末会社。 DESCRIPTION OF SYMBOLS 1 ... Authentication device, 2 ... Remote machine, 3 ... LAN, 4 ... VPN server, 5 ... Management server, 6 ... Local machine, 7 ... LAN. 8 ... LAN, 9 ... firewall, 10 ... WAN, 11 ... mobile terminal, 12 ... mobile terminal company.

Claims (4)

ネットワークに介して互いに接続可能な複数の情報処理装置、前記情報処理装置を管理する管理サーバ、および複数のシンクライアント端末を有するシンクライアントシステムにおける通信制御方法であって、
前記ネットワークを介して前記管理サーバに接続可能な携帯端末が、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信し、
前記管理サーバからユーザ認証結果を前記ネットワークを介して受信し、
該ユーザ認証結果を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信し、
前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信し、
前記管理サーバが、
前記携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信し、
該受信したユーザ認証に必要な情報と当該管理サーバの記憶部に記憶されているユーザ認証に必要な情報とに基づいてユーザ認証を行い、
該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知し、
前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信し、
前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する
ことを特徴とする通信制御方法。 A communication control method in a thin client system having a plurality of information processing devices that can be connected to each other via a network, a management server that manages the information processing devices, and a plurality of thin client terminals,
A mobile terminal that can be connected to the management server via the network,
A connection request is sent to the management server together with information necessary for user authentication via the network,
Receiving a user authentication result from the management server via the network;
After receiving the user authentication result, send an address assignment prohibition request of the information processing apparatus to the management server via the network,
Receiving a response to the information processing apparatus address assignment prohibition request from the management server via the network;
The management server is
Receiving information necessary for the user authentication from the mobile terminal via the network;
Perform user authentication based on the received information necessary for user authentication and information necessary for user authentication stored in the storage unit of the management server,
As a result of the user authentication, when the user authentication is established, the authentication result is notified to the portable terminal via the network,
Receiving an address prohibition request for the information processing apparatus from the mobile terminal via the network;
Change the address assignment state of the information processing apparatus associated with the information necessary for the user authentication included in the received address assignment prohibition request of the information processing apparatus with reference to the storage unit to the assignment prohibition, and to that effect To the portable terminal via the network. ネットワークに介して互いに接続可能な複数の情報処理装置、前記情報処理装置を管理する管理サーバ、および複数のシンクライアント端末を有するシンクライアントシステムにおける通信制御方法であって、
前記ネットワークを介して前記管理サーバに接続可能な携帯端末が、
前記ネットワークを介して前記管理サーバに接続可能な携帯端末が、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信し、
前記管理サーバからユーザ認証結果を前記ネットワークを介して受信し、
該ユーザ認証結果を受信後に、前記情報処理装置の電源切断要求を前記ネットワークを介して前記管理サーバに送信し、
前記管理サーバから前記情報処理装置の電源切断要求に対する応答を前記ネットワークを介して受信し、
該応答を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信し、
前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信し、
前記管理サーバが、
前記携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信し、
該受信したユーザ認証に必要な情報と当該管理サーバの記憶部に記憶されている前記ユーザ認証に必要な情報とに基づいてユーザ認証を行い、
該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知し、
前記携帯端末から前記情報処理装置の電源切断要求を前記ネットワークを介して受信し、
該情報処理装置に電源切断要求を前記ネットワークを介して送信し、
該情報処理装置の電源が切断されたことを検知すると、前記携帯端末に情報処理装置の電源が切断された旨を前記ネットワークを介して送信し、
前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信し、
前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知し、
前記情報処理装置は、
前記管理サーバから前記電源切断要求を前記ネットワークを介して受信し、
前記電源切断要求を受けて当該情報処理装置の電源を切断する
ことを特徴とする通信制御方法。 A communication control method in a thin client system having a plurality of information processing devices that can be connected to each other via a network, a management server that manages the information processing devices, and a plurality of thin client terminals,
A mobile terminal that can be connected to the management server via the network,
A mobile terminal that can be connected to the management server via the network,
A connection request is sent to the management server together with information necessary for user authentication via the network,
Receiving a user authentication result from the management server via the network;
After receiving the user authentication result, a request to turn off the information processing apparatus is transmitted to the management server via the network.
Receiving a response to the information processing apparatus power-off request from the management server via the network;
After receiving the response, send an address allocation prohibition request of the information processing apparatus to the management server via the network,
Receiving a response to the information processing apparatus address assignment prohibition request from the management server via the network;
The management server is
Receiving information necessary for the user authentication from the mobile terminal via the network;
Perform user authentication based on the information necessary for the received user authentication and the information necessary for the user authentication stored in the storage unit of the management server,
As a result of the user authentication, when the user authentication is established, the authentication result is notified to the portable terminal via the network,
Receiving a power-off request of the information processing apparatus from the mobile terminal via the network;
Sending a power-off request to the information processing apparatus via the network;
Upon detecting that the information processing apparatus is powered off, the mobile terminal transmits information that the information processing apparatus is powered off via the network,
Receiving an address prohibition request for the information processing apparatus from the mobile terminal via the network;
Change the address assignment state of the information processing apparatus associated with the information necessary for the user authentication included in the received address assignment prohibition request of the information processing apparatus with reference to the storage unit to the assignment prohibition, and to that effect To the mobile terminal via the network,
The information processing apparatus includes:
Receiving the power-off request from the management server via the network;
A communication control method, wherein the information processing apparatus is turned off in response to the power-off request. ネットワークに介して互いに接続可能な複数の情報処理装置、前記情報処理装置を管理する管理サーバ、および複数のシンクライアント端末を有するシンクライアントシステムであって、
前記ネットワークを介して前記管理サーバに接続可能な携帯端末を更に有し、
前記携帯端末は、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信する手段、前記管理サーバからユーザ認証結果を前記ネットワークを介して受信する手段、該ユーザ認証結果を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信する手段、および前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信する手段を有する制御部を有し、
前記管理サーバは、
前記ユーザ認証に必要な情報と前記情報処理装置のアドレスと前記情報処理装置の割当状態を示す情報とを対応付けて記憶する記憶部と、
携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信する手段、該受信したユーザ認証に必要な情報と前記記憶部に記憶されている前記ユーザ認証に必要な情報とに基づいてユーザ認証を行う手段、該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知する手段、前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信する手段、および前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する手段を有する制御部と、を有する
ことを特徴とするシンクライアントシステム。 A thin client system having a plurality of information processing devices that can be connected to each other via a network, a management server that manages the information processing devices, and a plurality of thin client terminals,
A portable terminal that can be connected to the management server via the network;
The portable terminal is
Means for transmitting a connection request together with information necessary for user authentication to the management server via the network, means for receiving a user authentication result from the management server via the network, and after receiving the user authentication result, the information Means for transmitting a processing device address assignment prohibition request to the management server via the network, and means for receiving a response to the information processing device address assignment prohibition request from the management server via the network. Having a control unit,
The management server
A storage unit that stores information necessary for the user authentication, an address of the information processing apparatus, and information indicating an allocation state of the information processing apparatus in association with each other;
A means for receiving information necessary for user authentication from a portable terminal via the network, a user based on the received information necessary for user authentication and information necessary for the user authentication stored in the storage unit A means for performing authentication, a means for notifying the mobile terminal of the authentication result when the user authentication is established as a result of the user authentication, a request for prohibiting assignment of an address of the information processing apparatus from the mobile terminal, Means for receiving via a network, and an address assignment state of the information processing device associated with the information required for the user authentication included in the address assignment prohibition request of the information processing device received with reference to the storage unit And a control unit having means for notifying the mobile terminal via the network to that effect. A featured thin client system. ネットワークに介して互いに接続可能な複数の情報処理装置、前記情報処理装置を管理する管理サーバ、および複数のシンクライアント端末を有するシンクライアントシステムであって、
前記ネットワークを介して前記管理サーバに接続可能な携帯端末を更に有し、
前記携帯端末は、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信する手段、前記管理サーバからユーザ認証結果を前記ネットワークを介して受信する手段、該ユーザ認証結果を受信後に、前記情報処理装置の電源切断要求を前記ネットワークを介して前記管理サーバに送信する手段、前記管理サーバから前記情報処理装置の電源切断要求に対する応答を前記ネットワークを介して受信する手段、該応答を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信する手段、および前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信する手段を有する制御部を有し、
前記管理サーバは、
前記ユーザ認証に必要な情報と前記情報処理装置のアドレスと前記情報処理装置の割当状態を示す情報とを対応付けて記憶する記憶部と、
前記携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信する手段、該受信したユーザ認証に必要な情報と前記記憶部に記憶されている前記ユーザ認証に必要な情報とに基づいてユーザ認証を行う手段、該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知する手段、前記携帯端末から前記情報処理装置の電源切断要求を前記ネットワークを介して受信する手段、該情報処理装置に電源切断要求を前記ネットワークを介して送信する手段、該情報処理装置の電源が切断されたことを検知すると、前記携帯端末に情報処理装置の電源が切断された旨を前記ネットワークを介して送信する手段、前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信する手段、および前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する手段を有する制御部と、を有し、
前記情報処理装置は、
前記管理サーバから前記電源切断要求を前記ネットワークを介して受信する手段、および前記電源切断要求を受けて当該情報処理装置の電源を切断する手段を有する制御部を有する
ことを特徴とするシンクライアントシステム。 A thin client system having a plurality of information processing devices that can be connected to each other via a network, a management server that manages the information processing devices, and a plurality of thin client terminals,
A portable terminal that can be connected to the management server via the network;
The portable terminal is
Means for transmitting a connection request together with information necessary for user authentication to the management server via the network, means for receiving a user authentication result from the management server via the network, and after receiving the user authentication result, the information Means for transmitting a power-off request for the processing device to the management server via the network, means for receiving a response to the power-off request for the information processing device from the management server via the network, and after receiving the response, Means for transmitting an address assignment prohibition request for the information processing apparatus to the management server via the network, and means for receiving a response to the address assignment prohibition request for the information processing apparatus from the management server via the network A control unit having
The management server
A storage unit that stores information necessary for the user authentication, an address of the information processing apparatus, and information indicating an allocation state of the information processing apparatus in association with each other;
Based on means for receiving information necessary for the user authentication from the portable terminal via the network, information necessary for the received user authentication and information necessary for the user authentication stored in the storage unit Means for performing user authentication, means for notifying the mobile terminal of the authentication result when the user authentication is established as a result of the user authentication, and sending a power-off request of the information processing apparatus from the mobile terminal to the network Means for receiving via the network, means for transmitting a power-off request to the information processing device via the network, and detecting that the power source of the information processing device has been cut off, Means for transmitting a disconnection notice via the network, and sending an address assignment prohibition request for the information processing device from the portable terminal to the network. Means for receiving via a work, and address assignment state of information processing apparatus associated with information required for user authentication included in said received address assignment prohibition request of information processing apparatus with reference to said storage unit And a control unit having means for notifying the mobile terminal via the network to that effect,
The information processing apparatus includes:
A thin client system comprising: a control unit having means for receiving the power-off request from the management server via the network; and means for cutting off the power of the information processing apparatus in response to the power-off request .
JP2008104230A 2008-04-14 2008-04-14 Communication control method and thin client system Pending JP2009258813A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008104230A JP2009258813A (en) 2008-04-14 2008-04-14 Communication control method and thin client system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008104230A JP2009258813A (en) 2008-04-14 2008-04-14 Communication control method and thin client system

Publications (1)

Publication Number Publication Date
JP2009258813A true JP2009258813A (en) 2009-11-05

Family

ID=41386177

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008104230A Pending JP2009258813A (en) 2008-04-14 2008-04-14 Communication control method and thin client system

Country Status (1)

Country Link
JP (1) JP2009258813A (en)

Similar Documents

Publication Publication Date Title
US8141135B2 (en) Information processing system, terminal, information processing apparatus, and management server
JP4397883B2 (en) Information processing system, management server, and terminal
JP3992721B2 (en) Information processing apparatus and process control method
US20080022099A1 (en) Information transfer
US20160366130A1 (en) Apparatus and method for providing security service based on virtualization
JP2010062738A (en) Program, method and device for setting network
JP2009253811A (en) Terminal device, network connection method, and program
US9460317B2 (en) Data processor and storage medium
CN116011590A (en) Federal learning method, device and system
JP2003337736A (en) Computer, hard disk device, disk device sharing system constructed of a plurality of computers and shared hard disk device, and sharing method for disk device used in the system
JP2008171076A (en) Job execution device and its control method
CN104834874A (en) Establishing physical locality between secure execution environments
CN111158857A (en) Data encryption method, device, equipment and storage medium
US10447818B2 (en) Methods, remote access systems, client computing devices, and server devices for use in remote access systems
JP2007158793A (en) Remote access system, remote access method, connection management server, program and recording medium
JP2009277024A (en) Connection control method, communication system and terminal
CN103593619A (en) Method and system applied to data protection
US20150304237A1 (en) Methods and systems for managing access to a location indicated by a link in a remote access system
JP2009258813A (en) Communication control method and thin client system
CN102822840A (en) Usage management system and usage management method
JP6571624B2 (en) Device management system, management target device, device management server, control method, and control program
JP5081790B2 (en) Line performance data collection system, line performance data collection method, thin client terminal, and program
JP4906767B2 (en) Print management system, print management method, terminal, server, print compatible server
JP4663688B2 (en) Terminal
KR101591053B1 (en) Remote control method and system using push service