JP2010086177A - アクセス制御システム及び方法 - Google Patents

アクセス制御システム及び方法 Download PDF

Info

Publication number
JP2010086177A
JP2010086177A JP2008252863A JP2008252863A JP2010086177A JP 2010086177 A JP2010086177 A JP 2010086177A JP 2008252863 A JP2008252863 A JP 2008252863A JP 2008252863 A JP2008252863 A JP 2008252863A JP 2010086177 A JP2010086177 A JP 2010086177A
Authority
JP
Japan
Prior art keywords
computer
thin client
access
usb memory
mac address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008252863A
Other languages
English (en)
Inventor
Hitomi Nagami
瞳 永見
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2008252863A priority Critical patent/JP2010086177A/ja
Publication of JP2010086177A publication Critical patent/JP2010086177A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】シンクライアントとして利用されるコンピュータ側の情報に基づいて、セキュリティ管理されたネットワークへのアクセスを制御できるシステムを提供する。
【解決手段】LAN5へのアクセスが許可されているコンピュータ3のMACアドレスが記述されたMACアドレスリスト25とシンクライアント用OS23をUSBメモリ2に記憶しておき、USBメモリ2が接続されることで、シンクライアント用OS23が起動し、シンクライアントとして機能するコンピュータ3は、USBメモリ2に記憶されたMACアドレスリスト25を参照し、該コンピュータ3のMACアドレスに基づいてLAN5へのアクセスを制御する。
【選択図】図2

Description

本発明は、シンクライアントシステムにおいて、セキュリティ管理されたネットワークへのシンクライアントのアクセスを制御するための技術に関する。
ネットワーク技術の発展に伴い、企業などにおいては、企業情報の流出や盗難などを防ぐために、クライアントに最小限の機能を持たせ、セキュリティ管理されたネットワークに設置されたサーバ側に、情報資源(アプリケーションやデータファイル)を集中させるシンクライアント(Thin Client)システムが普及しつつある。
既存のコンピュータをシンクライアントとして利用するとき、Windows(登録商標)に代表される汎用的なオペレーティングシステム(OS: Operating system)ではなく、シンクライアントシステム専用のOS(以下、「シンクライアント用OS」と記す。)をコンピュータで起動させる。
既存のコンピュータに予めシンクライアントOSをインストールさせておくこともできるが、シンクライアントOSは最小限の機能(例えば、ブラウザ機能とネットワーク通信機能)しか持たないため、シンクライアントOSのサイズも小さく、USBメモリなどのトークンにシンクライアントOSを格納し、該トークンに格納されたシンクライアントOSを既存のコンピュータで起動させることが考えられている。
USBメモリなどのトークンにシンクライアントOSを格納することで、企業に設置されている既存のコンピュータのみならず、従業員の自宅に設置されたコンピュータや、持出可能なノート型コンピュータをシンクライアントとして利用することができる。
セキュリティ管理されたネットワーク外から該ネットワークへアクセスするとき、シンクライアントとして利用しているユーザを認証するのが一般的である。
シンクライアントとして利用するコンピュータを操作するユーザを認証する手法は様々で、例えば、認証サーバにユーザIDとパスワードを記憶させ、シンクライアントとして利用するコンピュータからセキュリティ管理されたネットワークへのアクセスがあったとき、該ネットワークに設置された認証サーバがユーザIDとパスワードを認証する一般的な手法を用いることもできるし、また、特許文献1などで開示されているような指紋認証付きのUSBメモリにシンクライアントOSを格納し、該USBメモリをユーザが利用するときに、該USBメモリ側でユーザの指紋を認証するようにすることもできる。
また、ユーザ認証のみならず、コンピュータウィルスの脅威に対するセキュリティ強度を高めるために、特許文献2では、シンクライアントOSに加え、シンクライアントがアクセス可能なアクセス先(例えば、URL)のリストをUSBメモリのようなトークンに記憶させ、該リストに記述されたアクセス先以外へのアクセスをシンクライアント側で禁止する発明も開示されている。
特表2008−536205号公報 特開2008−165541号公報
しかしながら、上述した従来技術では、シンクライアントを操作するユーザや、シンクライアントのアクセス先を限定することができるが、セキュリティ管理されたネットワークへアクセスできるコンピュータを限定することはできない問題がある。
例えば、従業員の自宅のコンピュータをシンクライアントとして利用するとき、ファイル共有ソフトのインストールなどを禁止しておけば、シンクライアントとして利用するコンピュータの環境に制限を設けることができるかも知れないが、インターネットカフェのような不特定多数の人が利用するコンピュータなどにおいては、シンクライアントとして利用するコンピュータの環境に制限を設けることは困難である。
そこで、本発明は、シンクライアントシステムにおいて、シンクライアントとして利用されるコンピュータ側の情報に基づいて、セキュリティ管理されたネットワークへのアクセスを制御できるシステム及び方法を提供することを目的とする。
上述した課題を解決する第1の発明は、シンクライントとして利用されるコンピュータのアクセス先を制御するアクセス制御システムであって、セキュリティ管理されたネットワークへのアクセスが許可されているコンピュータの識別情報のリストとシンクライアント用オペレーティングシステムをハードウェアトークンに記憶しておき、前記ハードウェアトークンが接続され前記シンクライアント用オペレーティングシステムが起動することで、シンクライアントとして機能するコンピュータが、前記ハードウェアトークンに記憶された前記リストを参照し、該コンピュータの識別情報に基づいて前記ネットワークへのアクセスを制御することを特徴とするアクセス制御システムである。
更に、第2の発明は、シンクライントのアクセス先を管理するアクセス制御方法であって、セキュリティ管理されたネットワークへのアクセスが許可されているコンピュータの識別情報のリストとシンクライアント用オペレーティングシステムをハードウェアトークンに記憶しておき、前記ハードウェアトークンがコンピュータに接続され、前記シンクライアント用オペレーティングシステムが該コンピュータ上で起動するステップa、該コンピュータが、前記ハードウェアトークンに記憶された前記リストを参照し、該コンピュータの識別情報に基づいて前記ネットワークへのアクセスを制御するステップbが実行されることを特徴とするアクセス制御方法である。
上述した本発明によれば、セキュリティ管理されたネットワークへのアクセスが許可されているコンピュータの識別情報のリストをハードウェアトークンに記憶し、該リストに識別情報が含まれてないコンピュータから該ネットワークへのアクセスを禁止するようにすれば、セキュリティ管理されたネットワークへアクセスできるコンピュータを限定することができる。
ここから、本発明の好適な実施形態について、図を参照しながら詳細に説明する。図1は、本実施形態のアクセス制御システム1を説明する図である。
図1で図示したアクセス制御システム1は、本発明に係わるハードウェアトークンとして機能するUSBメモリ2(USB Memory)と、ユーザやネットワークカフェなどに設置され、インターネット6に接続されているコンピュータ3と、DMZ4(DMZ: DeMilitarized Zone)内に設置されるファイヤーオール機器40及びVPN機器41(VPN: Virtual Private Network)と、LAN5(LAN: Local Area Network)内に設置されるRADIUSサーバ51(Radius: Remote Authentication Dial In User Service)と、LAN5内に設置されたルータ50(Router)と、ルータ50に接続されたアプリケーションサーバ52(Applicaiton Server)とから構成されている。
図2は、図1で図示したアクセス制御システム1を構成するUSBメモリ2を説明する図である。本発明に係わるハードウェアトークンとして機能するUSBメモリ2には、コンピュータ3とUSB接続するためのUSBコネクタを有し、USB通信を実現するUSBインターフェース回路20と、USBメモリ2がコンピュータ3に接続されたとき、USBメモリ2を外部記憶デバイスとして振る舞うように制御するコントローラ21と、データやコンピュータプログラムが記憶されるフラッシュメモリ22を備えている。
USBメモリ2のフラッシュメモリ22には、USBメモリ2が接続されたコンピュータ3を動作させるコンピュータプログラムとして、USBメモリ2が接続されたコンピュータ3のRAMに展開されるシンクライアント用オペレーティングシステム(OS: Operating System)23が記憶されている。
更に、USBメモリ2に記憶されたシンクライアント用OS23には、USBメモリ2が接続されたコンピュータ3の固有情報(ここでは、MACアドレス)を利用して、該コンピュータ3のアクセスを制御するアクセス制御モジュール24が含まれ、アクセス制御モジュール24が利用するデータとして、USBメモリ2のフラッシュメモリ22には、LAN5内のリソース(ここでは、アプリケーションサーバ52)へのアクセスが許可されているコンピュータ3のMACアドレスが記述されたMACアドレスリスト25が記憶されている。
ここから、図2を用いて説明したUSBメモリ2を利用して、USBメモリ2が接続されることでシンクライアントとして機能するコンピュータ3のアクセスを制御する内容について詳細に説明する。
図3は、コンピュータ3のLAN5へのアクセスを制御する手順を示したフロー図である。USBメモリ2がコンピュータ3に接続されると、例えば、特許文献3で開示されている発明などが用いられて、USBメモリ2に記憶されたシンクライアント用OS23がコンピュータ3上で起動する(図3のS1)。
特許第3766429号公報
シンクライアント用OS23がコンピュータ3で起動すると、シンクライアント用OS23のアクセス管理モジュール24が起動し(図3のS2)、アクセス管理モジュール24は起動すると、コンピュータ3のMACアドレスを取得する(図3のS3)。
アクセス管理モジュール24はコンピュータ3のMACアドレスを取得すると、USBメモリ2のフラッシュメモリ22に記憶されたMACアドレスリスト25を参照し、コンピュータ3のアクセス制御を開始し(図3のS4)、図3で図示した手順は終了する。
具体的には、アクセス制御モジュール24は、コンピュータ3のMACアドレスがUSBメモリ2のMACアドレスリスト25に含まれているときのみ、コンピュータ3がLAN5内のリソース(ここでは、アプリケーションサーバ52)へアクセスする動作を許可し、コンピュータ3のMACアドレスがUSBメモリ2のMACアドレスリスト25に含まれていなければ、コンピュータ3をシャットダウンさせるなどして、コンピュータ3がLAN5内のリソース(ここでは、アプリケーションサーバ52)へアクセスする動作を禁止する。
このように、本発明によれば、LAN5内のリソース(ここでは、アプリケーションサーバ52)へのアクセスを許可するコンピュータ3のMACアドレスをUSBメモリ2のMACアドレスリスト25に記述しておけば、MACアドレスリスト25にMACアドレスが記述されていないコンピュータ3からLAN5内のリソースへのアクセスを禁止することができるようになる。
例えば、図1で図示したシンクライアントシステム1において、自宅に設置されたコンピュータ3のMACアドレスが「01-02-03-04-05-06」で、ノート型のコンピュータ3のMACアドレスが「11-12-13-14-15-16」で、ネットカフェに設置されたコンピュータ3のMACアドレスが「21-22-23-24-25-26」であり、USBメモリ2に記憶されたMACアドレスリスト25に「01-02-03-04-05-06」及び「11-12-13-14-15-16」が含まれている場合、ネットカフェのコンピュータ3のMACアドレスはMACアドレスリスト25に含まれていないため、ネットカフェのコンピュータからLAN5内のリソースへのアクセスは許可されない(図1の(ウ))。
また、自宅及びノート型のコンピュータ3のMACアドレスはMACアドレスリスト25に含まれているため、これらのコンピュータ3からLAN5内へのアクセスは許可され、コンピュータ3からRADIUSサーバ51に対しリモート認証を要求し、リモート認証に成功すると、VPN機器40などを利用して、コンピュータ3とLAN5間でVPNが構築され、コンピュータ3はLAN5内のリソースへアクセスできるようになる(図1の(ア)及び(イ))。
本実施形態のアクセス制御システムを説明する図。 ハードウェアトークンとして機能するUSBメモリを説明する図。 コンピュータのLANへのアクセスを管理する手順を示したフロー図。
符号の説明
1 アクセス管理システム
2 USBメモリ
22 フラッシュメモリ
23 シンクライアント用OS
24 アクセス制御モジュール
25 MACアドレスリスト
3 コンピュータ
5 LAN
52 アプリケーションサーバ

Claims (2)

  1. シンクライントとして利用されるコンピュータのアクセス先を制御するアクセス制御システムであって、セキュリティ管理されたネットワークへのアクセスが許可されているコンピュータの識別情報のリストとシンクライアント用オペレーティングシステムをハードウェアトークンに記憶しておき、前記ハードウェアトークンが接続され前記シンクライアント用オペレーティングシステムが起動することで、シンクライアントとして機能するコンピュータが、前記ハードウェアトークンに記憶された前記リストを参照し、該コンピュータの識別情報に基づいて前記ネットワークへのアクセスを制御することを特徴とするアクセス制御システム。
  2. シンクライントのアクセス先を管理するアクセス制御方法であって、セキュリティ管理されたネットワークへのアクセスが許可されているコンピュータの識別情報のリストとシンクライアント用オペレーティングシステムをハードウェアトークンに記憶しておき、前記ハードウェアトークンがコンピュータに接続され、前記シンクライアント用オペレーティングシステムが該コンピュータ上で起動するステップa、該コンピュータが、前記ハードウェアトークンに記憶された前記リストを参照し、該コンピュータの識別情報に基づいて前記ネットワークへのアクセスを制御するステップbが実行されることを特徴とするアクセス制御方法。
JP2008252863A 2008-09-30 2008-09-30 アクセス制御システム及び方法 Pending JP2010086177A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008252863A JP2010086177A (ja) 2008-09-30 2008-09-30 アクセス制御システム及び方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008252863A JP2010086177A (ja) 2008-09-30 2008-09-30 アクセス制御システム及び方法

Publications (1)

Publication Number Publication Date
JP2010086177A true JP2010086177A (ja) 2010-04-15

Family

ID=42250095

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008252863A Pending JP2010086177A (ja) 2008-09-30 2008-09-30 アクセス制御システム及び方法

Country Status (1)

Country Link
JP (1) JP2010086177A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013015888A (ja) * 2011-06-30 2013-01-24 Toshiba Corp 情報処理装置、情報処理方法およびプログラム
JP2013117824A (ja) * 2011-12-02 2013-06-13 Oyo Denshi:Kk 認証情報処理システム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1115926A (ja) * 1997-06-23 1999-01-22 Daiichi Kosho:Kk Icカードの情報表示器
JP2000250860A (ja) * 1999-03-03 2000-09-14 Oki Electric Ind Co Ltd 端末装置のアクセス制限システム
JP2005235056A (ja) * 2004-02-23 2005-09-02 Dainippon Printing Co Ltd コンピュータシステムおよびそのアクセス権設定方法
JP3766429B2 (ja) * 2005-08-04 2006-04-12 株式会社サスライト 着脱式デバイス
WO2007108084A1 (ja) * 2006-03-20 2007-09-27 Fujitsu Limited クライアントシステム、携帯機器、拡張装置、および、プログラム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1115926A (ja) * 1997-06-23 1999-01-22 Daiichi Kosho:Kk Icカードの情報表示器
JP2000250860A (ja) * 1999-03-03 2000-09-14 Oki Electric Ind Co Ltd 端末装置のアクセス制限システム
JP2005235056A (ja) * 2004-02-23 2005-09-02 Dainippon Printing Co Ltd コンピュータシステムおよびそのアクセス権設定方法
JP3766429B2 (ja) * 2005-08-04 2006-04-12 株式会社サスライト 着脱式デバイス
WO2007108084A1 (ja) * 2006-03-20 2007-09-27 Fujitsu Limited クライアントシステム、携帯機器、拡張装置、および、プログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013015888A (ja) * 2011-06-30 2013-01-24 Toshiba Corp 情報処理装置、情報処理方法およびプログラム
JP2013117824A (ja) * 2011-12-02 2013-06-13 Oyo Denshi:Kk 認証情報処理システム

Similar Documents

Publication Publication Date Title
KR101076911B1 (ko) 애플리케이션에 보안을 제공하기 위한 시스템 및 방법
WO2018077169A1 (zh) 镜像仓库授权、访问、管理方法、服务器和客户端
ES2733433T3 (es) Protección del uso de datos en dispositivos informáticos
US8407773B1 (en) Data and application access combined with communication services
EP3111615B1 (en) Systems and methods for providing secure access to local network devices
US8407768B1 (en) Data and application access combined with communication services
US8516607B2 (en) Facilitating data access control in peer-to-peer overlay networks
US7640574B1 (en) Method and system for resource based authentication
JP6875482B2 (ja) レガシー統合のためのコンピュータ読み取り可能な記憶媒体ならびにそれを使用するための方法およびシステム
US20210168611A1 (en) Method for securely sharing a url
US20170041504A1 (en) Service providing system, information processing apparatus, program, and method for generating service usage information
RU2628483C2 (ru) Способ и устройство для управления доступом
US20090144530A1 (en) Operating environment configuration system and method
JP4575696B2 (ja) ネットワークゾーン
US9973507B2 (en) Captive portal having dynamic context-based whitelisting
US9794261B2 (en) Method and apparatus for controlling access to a server
JP6185934B2 (ja) サーバー・アプリケーションと多数の認証プロバイダーとの統合
JP2010086177A (ja) アクセス制御システム及び方法
US9143510B2 (en) Secure identification of intranet network
US10791095B2 (en) Secure authentication and data transfer for cloud systems
JP2008234410A (ja) リモートアクセスシステム、情報処理装置、リモートアクセスプログラム、及びリモートアクセス方法
Kondor OPC and DCOM: 5 things you need to know
EP3190762B1 (en) Dynamic instruction processing method, dynamic instruction processing apparatus, and terminal
KR101500664B1 (ko) 휴대용 보안 기록 매체를 이용한 사내망 보안 접속 서비스 제공 방법 및 시스템

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110819

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130122

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20130521