JP2013131207A - Thin client system - Google Patents

Thin client system Download PDF

Info

Publication number
JP2013131207A
JP2013131207A JP2012208438A JP2012208438A JP2013131207A JP 2013131207 A JP2013131207 A JP 2013131207A JP 2012208438 A JP2012208438 A JP 2012208438A JP 2012208438 A JP2012208438 A JP 2012208438A JP 2013131207 A JP2013131207 A JP 2013131207A
Authority
JP
Japan
Prior art keywords
terminal
thin client
virtual server
session management
client system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012208438A
Other languages
Japanese (ja)
Other versions
JP2013131207A5 (en
Inventor
Masahiro Yano
正博 矢野
Mitsuhiro Kaneko
光裕 金子
Yuichiro Nakata
裕一朗 中田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
OYO DENSHI KK
Oyo Denshi KK
Original Assignee
OYO DENSHI KK
Oyo Denshi KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by OYO DENSHI KK, Oyo Denshi KK filed Critical OYO DENSHI KK
Priority to JP2012208438A priority Critical patent/JP2013131207A/en
Publication of JP2013131207A publication Critical patent/JP2013131207A/en
Publication of JP2013131207A5 publication Critical patent/JP2013131207A5/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a thin client system which reduces development labor and costs, and has high security.SOLUTION: In a thin client system 10, terminals 12 connect to an application server 20 via a virtual server unit 30. The thin client system 10 comprises a session management device 24 having the virtual server unit 30. The virtual server unit 30 comprises a plurality of virtual servers 32 in which a thin client OS runs. The session management device 24 comprises: an allocation management unit 34 for managing allocation of the respective virtual servers 32 to the terminals 12 by a round-robin system; a database 38 for storing first authentication information which enables the terminals 12 to connect to the virtual servers 32 and encrypted individual connection data which enables the terminals 12 to connect to the application server 20; and a control unit 26 for determining propriety of connection to the virtual servers 32 and connection to the application server 20.

Description

本発明は、端末が、仮想サーバ部を介してアプリケーションサーバに接続するシンクライアントシステムに関する。   The present invention relates to a thin client system in which a terminal connects to an application server via a virtual server unit.

近年、ワークスタイルの変化に伴い、社外において社内と同様の仕事環境を実現するためにシンクライアントが利用されてきている。また、社内情報の漏洩等を防ぐためにも、利用者を特定する認証キーを用いたシンクライアントが利用されている(特許文献1、2)。   In recent years, with changes in work styles, thin clients have been used outside the company to realize a work environment similar to that in the company. In order to prevent leakage of in-house information and the like, a thin client using an authentication key for identifying a user is used (Patent Documents 1 and 2).

サーバベース方式のシンクライアントでは、シンクライアントである端末による遠隔操作により、アプリケーションの実行等の処理がサーバにおいて行われ、サーバによる処理結果が、端末に表示される。   In a server-based thin client, processing such as execution of an application is performed on a server by remote operation from a terminal that is a thin client, and a processing result by the server is displayed on the terminal.

特開2010−92240号公報JP 2010-92240 A 特開2010−211406号公報JP 2010-211406 A

しかしながら、サーバベース方式のシンクライアントでは、端末が備えるOS毎にサーバに接続するためのアプリケーションを開発し、又は、OSを改造することが必要となり、開発のための労力、コストがかかるという問題があった。   However, in the server-based thin client, it is necessary to develop an application for connecting to the server for each OS provided in the terminal, or to modify the OS, which requires a labor and cost for development. there were.

本発明は、上記の課題を考慮してなされたものであって、開発労力、コストを軽減し、かつ、セキュリティが高いシンクライアントシステムを提供することを目的とする。   The present invention has been made in consideration of the above-described problems, and an object of the present invention is to provide a thin client system that reduces development effort and cost and has high security.

本発明に係るシンクライアントシステムは、端末が、仮想サーバ部を介してアプリケーションサーバに接続するシンクライアントシステムであって、前記仮想サーバ部を有するセッション管理装置を備え、前記仮想サーバ部は、シンクライアントOSが起動する複数の仮想サーバを有し、前記セッション管理装置は、前記端末に対する前記各仮想サーバの割当をラウンドロビン方式で管理する割当管理部と、前記端末が前記仮想サーバへ接続するための第1認証情報と、前記アプリケーションサーバへ接続するための暗号化された個別接続データとが記憶されるデータベースと、前記データベースに記憶される前記第1認証情報に基づいて前記端末の前記仮想サーバへの接続の可否を判断し、前記データベースに記憶される前記個別接続データに基づいて前記端末の前記アプリケーションサーバへの接続の可否を判断する制御部と、を備え、前記制御部は、前記端末から第2認証情報を取得し、前記データベースに記憶されている前記第1認証情報と照合し、一致した場合に前記端末の前記仮想サーバへの接続を許可し、前記制御部が、前記端末から前記個別接続データを復号するための復号パスワードを取得し、前記データベースに記憶されている前記個別接続データが前記復号パスワードによって復号できた場合に、前記端末による前記アプリケーションサーバの遠隔操作が可能となることを特徴とする。   A thin client system according to the present invention is a thin client system in which a terminal connects to an application server via a virtual server unit, and includes a session management device having the virtual server unit, and the virtual server unit includes a thin client An OS has a plurality of virtual servers, and the session management device has an allocation management unit that manages the allocation of each virtual server to the terminal in a round-robin manner, and for the terminal to connect to the virtual server A database storing first authentication information and encrypted individual connection data for connection to the application server, and the virtual server of the terminal based on the first authentication information stored in the database Whether the individual connection data is stored in the database. A control unit that determines whether or not the terminal can be connected to the application server based on the first authentication information. The control unit acquires second authentication information from the terminal and stores the first authentication information stored in the database. The authentication information is collated, and if it matches, the terminal is allowed to connect to the virtual server, and the control unit obtains a decryption password for decrypting the individual connection data from the terminal and stores it in the database When the individual connection data is decrypted by the decryption password, the application server can be remotely operated by the terminal.

前記シンクライアントシステムにおいて、前記セッション管理装置は、前記端末によって前記個別接続データが読み出された場合にフラグを立て、前記端末の前記仮想サーバへの接続中は他の端末からの前記個別接続データの読み出しを禁止することを特徴とする。   In the thin client system, the session management device sets a flag when the individual connection data is read by the terminal, and the individual connection data from another terminal while the terminal is connected to the virtual server. Is prohibited from being read.

前記シンクライアントシステムにおいて、前記端末が、ルーティング機能を有するスマートフォンである場合に、前記端末は、コントローラによって実行され、前記セッション管理装置からの命令を受け付けるアプリケーションが格納されるメモリを有し、前記コントローラは、前記アプリケーションを実行して、前記セッション管理装置から前記端末の加入者を特定する認証情報である端末認証キーの取得命令を受け付け、前記端末認証キーを前記セッション管理装置に対して送信し、前記セッション管理装置が取得することを特徴とする。   In the thin client system, when the terminal is a smartphone having a routing function, the terminal includes a memory that stores an application that is executed by a controller and receives an instruction from the session management device. Executes the application, receives a terminal authentication key acquisition command, which is authentication information for identifying the subscriber of the terminal, from the session management device, and transmits the terminal authentication key to the session management device, Acquired by the session management device.

本発明のシンクライアントシステムによれば、シンクライアントの機能を仮想サーバで実現することにより、開発労力、コストを軽減し、かつ、セキュリティが高いシンクライアントシステムを提供することができる。また、端末の仮想サーバへの割当をラウンドロビン方式で行うことにより、効率的に仮想サーバの運用を図ることができる。さらに、端末の仮想サーバへの接続をデータベースに記憶されている認証情報に基づいて照合するとともに、データベースに記憶されている個別接続データが復号パスワードによって復号できた場合に、端末によるアプリケーションサーバの遠隔操作を可能とすることにより、シンクライアントシステムのセキュリティを高くすることができる。   According to the thin client system of the present invention, it is possible to provide a thin client system with high security by reducing the development labor and cost by realizing the function of the thin client with a virtual server. Also, by assigning terminals to virtual servers in a round robin manner, virtual servers can be operated efficiently. Furthermore, the connection of the terminal to the virtual server is verified based on the authentication information stored in the database, and when the individual connection data stored in the database can be decrypted by the decryption password, By enabling the operation, the security of the thin client system can be increased.

また、セッション管理装置は、端末によって個別接続データが読み出された場合にフラグを立て、端末の仮想サーバへの接続中は個別接続データの読み出しを禁止する。これにより、認証情報の不正取得者のなりすましアクセスを防止することができる。   The session management device sets a flag when the individual connection data is read by the terminal, and prohibits reading of the individual connection data while the terminal is connected to the virtual server. As a result, it is possible to prevent spoofing access by an unauthorized acquirer of authentication information.

さらに、端末が、ルーティング機能を有するスマートフォンである場合に、端末は、コントローラによって実行され、セッション管理装置からの命令を受け付けるアプリケーションが格納されるメモリを有し、コントローラは、アプリケーションを実行して、セッション管理装置から端末の加入者を特定する認証情報である端末認証キーの取得命令を受け付け、端末認証キーをセッション管理装置に対して送信し、セッション管理装置が取得する。これにより、セッション管理装置との通信においてATコマンドを用いることができない端末の端末認証キーを用いて、仮想サーバ部への接続を可能とし、アプリケーションサーバの遠隔操作を可能とすることができる。   Furthermore, when the terminal is a smartphone having a routing function, the terminal has a memory that stores an application that is executed by the controller and receives a command from the session management device, and the controller executes the application, A terminal authentication key acquisition command, which is authentication information for specifying a terminal subscriber, is received from the session management apparatus, and the terminal authentication key is transmitted to the session management apparatus, which is acquired by the session management apparatus. Thereby, it is possible to connect to the virtual server unit using the terminal authentication key of the terminal that cannot use the AT command in communication with the session management apparatus, and to remotely control the application server.

本発明の実施形態に係るシンクライアントシステムの説明図である。It is explanatory drawing of the thin client system which concerns on embodiment of this invention. 割当管理テーブルの説明図である。It is explanatory drawing of an allocation management table. 図3A、図3Bは、使用者情報テーブルの説明図である。3A and 3B are explanatory diagrams of the user information table. 本発明の実施形態に係るシンクライアントシステムの処理手順の説明図である。It is explanatory drawing of the process sequence of the thin client system which concerns on embodiment of this invention. スマートフォンである端末についての説明図である。It is explanatory drawing about the terminal which is a smart phone. 端末がスマートフォンである場合の処理手順の説明図である。It is explanatory drawing of the process sequence in case a terminal is a smart phone.

以下、本発明の実施形態について図面を参照して説明する。図1は、本発明の実施形態に係るシンクライアントシステム10の説明図であり、図2は、割当管理テーブル36の説明図であり、図3A、図3Bは、使用者情報テーブル40の説明図であり、図4は、本発明の実施形態に係るシンクライアントシステム10の処理手順の説明図である。   Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is an explanatory diagram of a thin client system 10 according to an embodiment of the present invention, FIG. 2 is an explanatory diagram of an allocation management table 36, and FIGS. 3A and 3B are explanatory diagrams of a user information table 40. FIG. 4 is an explanatory diagram of a processing procedure of the thin client system 10 according to the embodiment of the present invention.

<シンクライアントシステム10の構成の説明>
シンクライアントシステム10は、端末12a〜12eと、公衆回線14と、VPN(Virtual Private Network)16と、ファイアウォール18と、アプリケーションサーバ20と、セッション管理装置24とを備える。 <Description of Configuration of Thin Client System 10>
The thin client system 10 includes terminals 12a to 12e, a public line 14, a VPN (Virtual Private Network) 16, a firewall 18, an application server 20, and a session management device 24.

端末12a〜12e(適宜総称して「端末12」という)は、通信機能を有する端末であり、また、端末12eは、汎用OSを搭載したルーティング機能を備えるスマートフォンである。公衆回線14は、インターネット等で構成される公衆回線である。ファイアウォール18は、アプリケーションサーバ20に対する不正アクセスを防ぐファイアウォールである。アプリケーションサーバ20は、アプリケーションの実行、ファイルの入出力、データ保存等の処理を行うサーバである。アプリケーションサーバ20は、公衆回線14との間にファイアウォール18が設けられ、DMZ(demilitarized zone)22に設置されている。   The terminals 12a to 12e (referred to collectively as “terminal 12” as appropriate) are terminals having a communication function, and the terminal 12e is a smartphone having a routing function equipped with a general-purpose OS. The public line 14 is a public line constituted by the Internet or the like. The firewall 18 is a firewall that prevents unauthorized access to the application server 20. The application server 20 is a server that performs processing such as application execution, file input / output, and data storage. The application server 20 is provided with a firewall 18 between the public line 14 and installed in a DMZ (demilitarized zone) 22.

セッション管理装置24は、制御部26と、通信部28と、仮想サーバ部30と、割当管理部34と、データベース38とを備える。アプリケーションサーバ20と通信部28とは、ファイアウォール18を介してVPN(Virtual Private Network)16で接続されている。   The session management device 24 includes a control unit 26, a communication unit 28, a virtual server unit 30, an allocation management unit 34, and a database 38. The application server 20 and the communication unit 28 are connected by a VPN (Virtual Private Network) 16 via a firewall 18.

制御部26は、セッション管理装置24の全体の制御を行う制御部である。通信部28は、端末12との通信処理、アプリケーションサーバ20との通信処理を行う。   The control unit 26 is a control unit that performs overall control of the session management device 24. The communication unit 28 performs communication processing with the terminal 12 and communication processing with the application server 20.

仮想サーバ部30は、シンクライアントOSが起動する仮想サーバ32a〜32cから構成される。仮想サーバ32a〜32cは、各々、IPアドレスを備えるとともに、アプリケーションサーバ20に対して単独で接続することができる。また、端末12に対する割り当ての優先順位の高い順に、仮想サーバ32a>仮想サーバ32b>仮想サーバ32cとされている。   The virtual server unit 30 includes virtual servers 32a to 32c that are activated by the thin client OS. Each of the virtual servers 32a to 32c has an IP address and can be connected to the application server 20 alone. Further, in order from the highest priority of assignment to the terminal 12, virtual server 32a> virtual server 32b> virtual server 32c.

割当管理部34は、割当管理テーブル36を備え、割当管理テーブル36に基づいて、端末12の仮想サーバ部30への接続管理を行う。割当管理テーブル36には、仮想サーバ名と仮想サーバの割当状態が記憶される。割当管理部34は、仮想サーバ部30への接続をラウンドロビン方式で許可する。   The allocation management unit 34 includes an allocation management table 36 and manages connection of the terminal 12 to the virtual server unit 30 based on the allocation management table 36. The allocation management table 36 stores virtual server names and virtual server allocation states. The allocation management unit 34 permits connection to the virtual server unit 30 in a round robin manner.

データベース38は、端末12の仮想サーバ部30への接続の可否、アプリケーションサーバ20への接続の可否等に関する情報が記憶される使用者情報テーブル40を備えるデータベースである。具体的には、使用者情報テーブル40には、仮想サーバ部30へ接続するための認証情報(第1認証情報)である使用者ID及び使用者パスワードと、アプリケーションサーバ20へ接続するための接続パスワード等の暗号化された個別接続データと、個別接続データの暗号を復号するための復号パスワードと、個別接続データへの読出状態とが記憶される。図3A、図3Bに示されるように、例えば、端末12aに対しては、使用者ID、使用者パスワード、個別接続データ、復号パスワードとして、この順番にIa、Pa、Sa、Daが使用者情報テーブル40に記憶されている。端末12b〜12dについても同様に使用者ID等が使用者情報テーブル40に記憶されている。なお、端末12eについては、後述するように使用者パスワードが設定されない場合と、使用者IDと同一の使用者パスワードが設定される場合とがある。   The database 38 is a database including a user information table 40 in which information regarding whether or not the terminal 12 can be connected to the virtual server unit 30 and whether or not the terminal 12 can be connected to the application server 20 is stored. Specifically, the user information table 40 includes a user ID and a user password, which are authentication information (first authentication information) for connecting to the virtual server unit 30, and a connection for connecting to the application server 20. An encrypted individual connection data such as a password, a decryption password for decrypting the encryption of the individual connection data, and a read state to the individual connection data are stored. As shown in FIGS. 3A and 3B, for example, for the terminal 12a, Ia, Pa, Sa, Da are used as user information in this order as a user ID, user password, individual connection data, and decryption password. It is stored in the table 40. Similarly, user IDs and the like are stored in the user information table 40 for the terminals 12b to 12d. In addition, about the terminal 12e, there are a case where a user password is not set as described later, and a case where the same user password as the user ID is set.

<シンクライアントシステム10の動作の説明>
次に、シンクライアントシステム10の動作について、図4を用いて説明する。図4は、本発明の実施形態に係るシンクライアントシステム10の処理手順の説明図である。なお、以下、端末12aがアプリケーションサーバ20に接続する場合について、説明する。端末12b〜12dについても同様な処理手順でアプリケーションサーバ20へ接続することができる。 <Description of Operation of Thin Client System 10>
Next, the operation of the thin client system 10 will be described with reference to FIG. FIG. 4 is an explanatory diagram of a processing procedure of the thin client system 10 according to the embodiment of the present invention. Hereinafter, a case where the terminal 12a connects to the application server 20 will be described. The terminals 12b to 12d can be connected to the application server 20 in the same processing procedure.

使用者は、端末12aによって公衆回線14を介してセッション管理装置24に接続する(ステップS1)。セッション管理装置24の制御部26は、通信部28より公衆回線14を介して、端末12aに対して仮想サーバ部30への接続のための認証情報(第2認証情報)として、使用者ID及び使用者パスワードの入力を求める旨を送信する。端末12aには、表示画面に前記入力を求める旨が表示される。端末12aの使用者は、使用者ID及び使用者パスワードを入力し、入力された使用者ID及び使用者パスワードがセッション管理装置24へ送信される。制御部26は、認証情報として、使用者ID及び使用者パスワードを取得する(ステップS2)。   The user connects to the session management device 24 via the public line 14 by the terminal 12a (step S1). The control unit 26 of the session management device 24 uses the user ID and the authentication information (second authentication information) for connecting the terminal 12a to the virtual server unit 30 via the public line 14 from the communication unit 28. Send a request to enter the user password. The terminal 12a displays that the input is requested on the display screen. The user of the terminal 12 a inputs the user ID and user password, and the input user ID and user password are transmitted to the session management device 24. The control unit 26 acquires a user ID and a user password as authentication information (step S2).

割当管理部34は、割当管理テーブル36に基づいて、仮想サーバ部30の割当状況を確認し、端末12aに対して仮想サーバ32a〜32cを割り当てる(ステップS3)。仮想サーバ32a〜32cの割り当ては、ラウンドロビン方式により行われる。すなわち、割当管理部34は、仮想サーバ32a〜32cの割当状況を確認した後に、割り当てられていない仮想サーバを、割り当ての優先順位に従って接続要求順に端末12aに対して割り当てる。端末12aが、仮想サーバ32aに対して割り当てられ、割当管理テーブル36では仮想サーバ32aに割当済みと記憶される(図2)。   The allocation management unit 34 confirms the allocation status of the virtual server unit 30 based on the allocation management table 36, and allocates the virtual servers 32a to 32c to the terminal 12a (step S3). The virtual servers 32a to 32c are assigned by a round robin method. That is, after confirming the allocation status of the virtual servers 32a to 32c, the allocation management unit 34 allocates virtual servers that are not allocated to the terminals 12a in the order of connection requests according to the priority of allocation. The terminal 12a is assigned to the virtual server 32a, and is stored in the assignment management table 36 as assigned to the virtual server 32a (FIG. 2).

なお、仮想サーバ部30は3台の仮想サーバしか備えていない。例えば、端末12a〜12cが仮想サーバ部30に接続している場合には、4番目の接続要求となる端末12dは仮想サーバ部30に接続することができない。かかる場合には、仮想サーバ部30のいずれかの端末の接続が終了した後に、端末12dは、終了した仮想サーバに接続することができる。   The virtual server unit 30 includes only three virtual servers. For example, when the terminals 12 a to 12 c are connected to the virtual server unit 30, the terminal 12 d that is the fourth connection request cannot be connected to the virtual server unit 30. In such a case, after the connection of any terminal of the virtual server unit 30 is completed, the terminal 12d can connect to the terminated virtual server.

制御部26は、端末12aから送信されてきた使用者ID及び使用者パスワードと、データベース38の使用者情報テーブル40に記憶されている端末12aの使用者ID及び使用者パスワードとを照合する(ステップS4)。端末12aから送信されてきた使用者ID及び使用者パスワードが各々Ia、Paであるならば、制御部26は照合が一致したと判断し(ステップS4 YES)、端末12aの個別接続データ(Sa)が読み出され、データベース38では使用者情報テーブル40に個別接続データが読み出されたとしてフラグが立てられる(図3B)。図3Bでは、フラグとして「読出済」として表記されている。なお、使用者ID及び使用者パスワードが一致しなかった場合には、再度の使用者ID及び使用者パスワードの入力が求められる(ステップS4 NO)。   The control unit 26 collates the user ID and user password transmitted from the terminal 12a with the user ID and user password of the terminal 12a stored in the user information table 40 of the database 38 (step S40). S4). If the user ID and the user password transmitted from the terminal 12a are Ia and Pa, respectively, the control unit 26 determines that the collation matches (step S4 YES), and the individual connection data (Sa) of the terminal 12a. In the database 38, the user information table 40 is flagged as the individual connection data has been read (FIG. 3B). In FIG. 3B, the flag is written as “read”. If the user ID and the user password do not match, it is requested to input the user ID and the user password again (NO in step S4).

また、制御部26は、個別接続データが読み出された場合にフラグを立てることにより、端末12aが仮想サーバ32aへの接続中における、他者の同一の個別接続データの読み出しを禁止する。この処理により、なりすましアクセスを防ぐことができる。すなわち、端末12aの正規の使用者以外の不正取得者が、端末12aの使用者ID及び使用者パスワードを不正に取得したとする。この不正取得者が、端末12aの使用者ID及び使用者パスワードを入力して接続することにより、ステップS1〜S3までの処理手順を進めることができる。しかしながら、不正取得者がステップS1〜S3までの処理手順を進めていても、端末12aの正規の使用者によって、個別接続データの読み出しについて既にフラグが立てられているので、制御部26は、不正取得者による個別接続データSaの読み出しを禁止する。これらの処理により、不正取得者によるなりすましアクセスが防がれる。   Further, the control unit 26 sets a flag when the individual connection data is read out, thereby prohibiting the reading of the same individual connection data by another person while the terminal 12a is connected to the virtual server 32a. This process can prevent spoofing access. That is, it is assumed that an unauthorized acquirer other than a regular user of the terminal 12a has illegally acquired the user ID and user password of the terminal 12a. When the unauthorized acquirer inputs and connects the user ID and user password of the terminal 12a, the processing procedure from step S1 to S3 can be advanced. However, even if the unauthorized acquirer has advanced the processing procedure from step S1 to S3, the legitimate user of the terminal 12a has already set a flag for reading the individual connection data. Reading of the individual connection data Sa by the acquirer is prohibited. These processes prevent spoofing access by an unauthorized acquirer.

制御部26は、個別接続データが暗号化されているために、端末12aに対して、個別接続データを復号化するための復号パスワードの入力を求める旨を送信する。端末12aには、表示画面に前記入力を求める旨が表示される。端末12aの使用者は、復号パスワードを入力し、セッション管理装置24へ送信する。制御部26は、端末12aから送信されてきた復号パスワードと、データベース38の使用者情報テーブル40に記憶されている端末12aの復号パスワードとを照合する(ステップS5)。   Since the individual connection data is encrypted, the control unit 26 transmits to the terminal 12a a request for input of a decryption password for decrypting the individual connection data. The terminal 12a displays that the input is requested on the display screen. The user of the terminal 12 a inputs the decryption password and transmits it to the session management device 24. The control unit 26 collates the decryption password transmitted from the terminal 12a with the decryption password of the terminal 12a stored in the user information table 40 of the database 38 (step S5).

端末12aから送信されてきた復号パスワードがDaであるならば、制御部26は照合が一致したと判断し(ステップS5 YES)、個別接続データが復号化され、仮想サーバ32aを介して、アプリケーションサーバ20の使用が許可される。アプリケーションサーバ20の使用許可により、端末12aはアプリケーションサーバ20の遠隔操作が可能となる(ステップS6)。なお、復号パスワードが一致しなかった場合には、再度の復号パスワードの入力が求められる(ステップS5 NO)。   If the decryption password transmitted from the terminal 12a is Da, the control unit 26 determines that the verification is matched (YES in step S5), the individual connection data is decrypted, and the application server passes through the virtual server 32a. 20 uses are allowed. By permission to use the application server 20, the terminal 12a can remotely operate the application server 20 (step S6). If the decryption passwords do not match, it is requested to input the decryption password again (NO in step S5).

また、端末12aが仮想サーバ部30への接続を止めた場合に、仮想サーバ32aの割当が解除され、個別接続データの読み出しを示すフラグは、読み出し前の状態に戻される。   Further, when the terminal 12a stops the connection to the virtual server unit 30, the allocation of the virtual server 32a is canceled, and the flag indicating reading of the individual connection data is returned to the state before reading.

次に、端末12eがアプリケーションサーバ20に接続する場合について、説明する。端末として、スマートフォンを用いた場合には、外部装置から携帯端末に記憶されている認証キーを取得することができない。スマートフォンでは、シンクライアントのような外部装置からATコマンドを用いた制御をすることができないためである。   Next, a case where the terminal 12e connects to the application server 20 will be described. When a smartphone is used as the terminal, the authentication key stored in the portable terminal cannot be acquired from the external device. This is because a smartphone cannot perform control using an AT command from an external device such as a thin client.

図5は、スマートフォンである端末12eについての説明図であり、図6は、端末がスマートフォンである場合の処理手順の説明図である。   FIG. 5 is an explanatory diagram of the terminal 12e that is a smartphone, and FIG. 6 is an explanatory diagram of a processing procedure when the terminal is a smartphone.

端末12eは、コントローラ42と、USIM(Universal Subscriber Identity Module)44と、メモリ48とを備える。   The terminal 12 e includes a controller 42, a USIM (Universal Subscriber Identity Module) 44, and a memory 48.

コントローラ42は、端末12eの全体の制御を行う制御部である。USIM44は、電話番号等の端末12eの加入者を特定するユニークな加入者情報である端末認証キー46が記憶されたメモリモジュールである。メモリ48には、コントローラ42において実行され、セッション管理装置24からの命令をスマートフォンで受け付けるアプリケーション50が格納されている。アプリケーション50は、例えば、java言語で記述されたjavaアプリケーションである。   The controller 42 is a control unit that performs overall control of the terminal 12e. The USIM 44 is a memory module in which a terminal authentication key 46, which is unique subscriber information for identifying a subscriber of the terminal 12e such as a telephone number, is stored. The memory 48 stores an application 50 that is executed by the controller 42 and that receives commands from the session management device 24 with a smartphone. The application 50 is, for example, a java application written in the java language.

まず、端末12eにおいて、メモリ48内のアプリケーション50がコントローラ44によって実行される(ステップS11)。アプリケーション50が実行されることにより、セッション管理装置24からの命令を端末12eで受け付けることが可能となり、また、デーモンの起動が許可される状態が形成される。   First, in the terminal 12e, the application 50 in the memory 48 is executed by the controller 44 (step S11). By executing the application 50, a command from the session management device 24 can be received by the terminal 12e, and a state in which activation of the daemon is permitted is formed.

使用者は、端末12eによって公衆回線14を介してセッション管理装置24に接続する(ステップS12)。   The user connects to the session management device 24 via the public line 14 by the terminal 12e (step S12).

制御部26は、端末12eに対して、端末12eの端末認証キー46を要求する旨の命令を送信する。端末12eでは、アプリケーション50が実行されているために、コントローラ42は、制御部26からの命令を受け付けることができる。コントローラ42は、前記命令を受け付けて、端末認証キー46を取得するためのデーモンを起動する。コントローラ42は、起動したデーモンを実行して、USIM44から端末認証キー46を取得し、セッション管理装置24に送信する。制御部26は、端末認証キー46を受信し、取得が完了する(ステップS13)。   The control unit 26 transmits an instruction requesting the terminal authentication key 46 of the terminal 12e to the terminal 12e. In the terminal 12e, since the application 50 is executed, the controller 42 can accept a command from the control unit 26. The controller 42 receives the command and starts a daemon for acquiring the terminal authentication key 46. The controller 42 executes the started daemon, acquires the terminal authentication key 46 from the USIM 44, and transmits it to the session management device 24. The control unit 26 receives the terminal authentication key 46, and the acquisition is completed (step S13).

この先は、ステップS14は、基本的に上述したステップS3と同様であり、以下、ステップS15はステップS4、ステップS16はステップS5、ステップS17はステップS6と同様の処理がされる。   Step S14 is basically the same as step S3 described above. Step S15 is the same as step S4, step S16 is the same as step S5, and step S17 is the same as step S6.

但し、ステップS15においては、ステップS4と一部処理手順が異なる。端末12eの端末認証キー46は、使用者情報テーブル40において、使用者IDとして扱われる。ここで、端末認証キー46はユニークであるので、使用者情報テーブル40には、端末12eの使用者パスワードは設定されていない。従って、ステップS4において、使用者情報テーブル40に記憶されている使用者IDと端末認証キー46とが一致すれば、認証情報が一致したとして処理される。   However, in step S15, a part of processing procedure is different from step S4. The terminal authentication key 46 of the terminal 12e is treated as a user ID in the user information table 40. Here, since the terminal authentication key 46 is unique, the user password of the terminal 12e is not set in the user information table 40. Therefore, in step S4, if the user ID stored in the user information table 40 matches the terminal authentication key 46, the authentication information matches.

なお、端末12がスマートフォンの場合には、端末認証キー46はユニークであるので、使用者情報テーブル40において使用者IDと使用者パスワードとが同一に設定される場合がある。かかる場合には、端末認証キー46が使用者ID及び使用者パスワードとして、取り扱われ、照合処理がされる。   When the terminal 12 is a smartphone, the terminal authentication key 46 is unique, and therefore the user ID and the user password may be set to be the same in the user information table 40. In such a case, the terminal authentication key 46 is handled as a user ID and a user password, and collation processing is performed.

以上説明したように、シンクライアントシステム10は、端末12が、仮想サーバ部30を介してアプリケーションサーバ20に接続するシンクライアントシステムであって、前記仮想サーバ部30を有するセッション管理装置24を備え、前記仮想サーバ部30は、シンクライアントOSが起動する複数の仮想サーバ32を有する。前記セッション管理装置24は、前記端末12に対する前記各仮想サーバ32の割当をラウンドロビン方式で管理する割当管理部34と、前記端末12が前記仮想サーバ32へ接続するための認証情報と、前記アプリケーションサーバ20への接続するための暗号化された個別接続データと、を有するデータベース38と、前記データベース38に記憶される前記認証情報に基づいて前記端末12の前記仮想サーバ32への接続の可否を判断し、前記データベース38に記憶される前記個別接続データに基づいて前記端末12の前記アプリケーションサーバ20への接続の可否を判断する制御部26と、を備える。前記制御部26は、前記端末12から認証情報を取得し、前記データベース38に記憶されている前記認証情報と照合し、一致した場合に前記端末12の前記仮想サーバ32への接続を許可し、前記制御部26が、前記端末12から前記個別接続データを復号するための復号パスワードを取得し、前記データベース38に記憶されている前記個別接続データが前記復号パスワードによって復号できた場合に、前記端末12による前記アプリケーションサーバ20の遠隔操作が可能となる。   As described above, the thin client system 10 is a thin client system in which the terminal 12 is connected to the application server 20 via the virtual server unit 30, and includes the session management device 24 having the virtual server unit 30. The virtual server unit 30 includes a plurality of virtual servers 32 on which a thin client OS is activated. The session management device 24 includes an assignment management unit 34 that manages the assignment of each virtual server 32 to the terminal 12 in a round robin manner, authentication information for the terminal 12 to connect to the virtual server 32, and the application A database 38 having encrypted individual connection data for connection to the server 20, and whether or not the terminal 12 can be connected to the virtual server 32 based on the authentication information stored in the database 38. And a control unit 26 that determines and determines whether or not the terminal 12 can be connected to the application server 20 based on the individual connection data stored in the database 38. The control unit 26 obtains authentication information from the terminal 12, collates it with the authentication information stored in the database 38, and if it matches, permits the connection of the terminal 12 to the virtual server 32, When the control unit 26 obtains a decryption password for decrypting the individual connection data from the terminal 12, and the individual connection data stored in the database 38 can be decrypted by the decryption password, the terminal 12 enables remote control of the application server 20.

シンクライアントシステム10によれば、シンクライアントの機能を仮想サーバ32a〜32cで実現することにより、開発労力、コストを軽減し、かつ、セキュリティが高いシンクライアントシステムを提供することができる。また、端末12の仮想サーバ32a〜32cへの割当をラウンドロビン方式で行うことにより、効率的に仮想サーバ32a〜32cの運用を図ることができる。さらに、端末12の仮想サーバ32a〜32cへの接続をデータベース38に記憶されている認証情報に基づいて照合するとともに、データベース38に記憶されている個別接続データが復号パスワードによって復号できた場合に、端末12によるアプリケーションサーバ20の遠隔操作を可能とすることにより、シンクライアントシステムのセキュリティを高くすることができる。   According to the thin client system 10, by realizing the thin client function with the virtual servers 32a to 32c, it is possible to provide a thin client system with reduced development effort and cost and high security. Further, by assigning the terminal 12 to the virtual servers 32a to 32c by the round robin method, the virtual servers 32a to 32c can be efficiently operated. Furthermore, when the connection of the terminal 12 to the virtual servers 32a to 32c is verified based on the authentication information stored in the database 38, and the individual connection data stored in the database 38 can be decrypted by the decryption password, By enabling remote control of the application server 20 by the terminal 12, the security of the thin client system can be increased.

また、仮想サーバ部30は、端末12とアプリケーションサーバ20とを中継する中継サーバとしての役割を備える。さらに、仮想サーバ32a〜32cは、各々、シンクライアントOSが起動する仮想サーバであって、シンクライアントとして機能するので、端末12というクラインアントの機能を代理する代理クライアントとしての役割も備える。   The virtual server unit 30 also has a role as a relay server that relays between the terminal 12 and the application server 20. Furthermore, each of the virtual servers 32a to 32c is a virtual server that is started by the thin client OS and functions as a thin client.

また、セッション管理装置24は、端末12によって個別接続データが読み出された場合にフラグを立て、端末12の仮想サーバ32への接続中は個別接続データの読み出しを禁止する。これにより、認証情報の不正取得者のなりすましアクセスを防止することができる。   The session management device 24 sets a flag when the individual connection data is read by the terminal 12 and prohibits reading of the individual connection data while the terminal 12 is connected to the virtual server 32. As a result, it is possible to prevent spoofing access by an unauthorized acquirer of authentication information.

さらに、端末12が、ルーティング機能を有するスマートフォンである場合に、端末12は、コントローラ42によって実行され、セッション管理装置24からの命令を受け付けるアプリケーション50が格納されるメモリ48を有し、コントローラ42は、アプリケーション50を実行して、セッション管理装置24から端末12の加入者を特定する認証情報である端末認証キー46の取得命令を受け付け、端末認証キー46をセッション管理装置24に対して送信し、セッション管理装置24が取得する。これにより、セッション管理装置24との通信においてATコマンドを用いることができない端末12eの端末認証キー46を用いて、仮想サーバ部30への接続を可能とし、アプリケーションサーバ20の遠隔操作を可能とすることができる。   Further, when the terminal 12 is a smartphone having a routing function, the terminal 12 includes a memory 48 that stores an application 50 that is executed by the controller 42 and receives commands from the session management device 24. , Executing the application 50, receiving from the session management device 24 an instruction to acquire the terminal authentication key 46, which is authentication information for identifying the subscriber of the terminal 12, and transmitting the terminal authentication key 46 to the session management device 24. Acquired by the session management device 24. Thereby, it is possible to connect to the virtual server unit 30 using the terminal authentication key 46 of the terminal 12e that cannot use the AT command in communication with the session management device 24, and to remotely control the application server 20. be able to.

なお、本発明は、上述の実施形態に限らず、本発明の要旨を逸脱することなく、種々の構成を採り得ることはもちろんである。   It should be noted that the present invention is not limited to the above-described embodiment, and various configurations can be adopted without departing from the gist of the present invention.

例えば、シンクライアントシステム10では、端末12は端末12a〜12eで5台、仮想サーバ部30は仮想サーバ32a〜32cで3台としているが、端末12の台数が仮想サーバ32の台数以上であれば、これに限定されるものではない。   For example, in the thin client system 10, the terminal 12 has five terminals 12 a to 12 e and the virtual server unit 30 has three virtual servers 32 a to 32 c, but if the number of terminals 12 is equal to or greater than the number of virtual servers 32. However, the present invention is not limited to this.

10…シンクライアントシステム
12a〜12e…端末
14…公衆回線
16…VPN
18…ファイアウォール
20…アプリケーションサーバ
22…DMZ
24…セッション管理装置
26…制御部
28…通信部
30…仮想サーバ部
32a〜32c…仮想サーバ
34…割当管理部
36…割当管理テーブル
38…データベース
40…使用者情報テーブル
42…コントローラ
44…USIM
46…端末認証キー
48…メモリ
50…アプリケーション 10 ... Thin client systems 12a to 12e ... Terminal 14 ... Public line 16 ... VPN
18 ... Firewall 20 ... Application server 22 ... DMZ
24 ... Session management device 26 ... Control unit 28 ... Communication unit 30 ... Virtual server units 32a to 32c ... Virtual server 34 ... Assignment management unit 36 ... Assignment management table 38 ... Database 40 ... User information table 42 ... Controller 44 ... USIM
46 ... Terminal authentication key 48 ... Memory 50 ... Application

Claims (3)

端末が、仮想サーバ部を介してアプリケーションサーバに接続するシンクライアントシステムであって、
前記仮想サーバ部を有するセッション管理装置を備え、
前記仮想サーバ部は、シンクライアントOSが起動する複数の仮想サーバを有し、
前記セッション管理装置は、
前記端末に対する前記各仮想サーバの割当をラウンドロビン方式で管理する割当管理部と、
前記端末が前記仮想サーバへ接続するための第1認証情報と、前記アプリケーションサーバへ接続するための暗号化された個別接続データとが記憶されるデータベースと、
前記データベースに記憶される前記第1認証情報に基づいて前記端末の前記仮想サーバへの接続の可否を判断し、前記データベースに記憶される前記個別接続データに基づいて前記端末の前記アプリケーションサーバへの接続の可否を判断する制御部と、
を備え、
前記制御部は、前記端末から第2認証情報を取得し、前記データベースに記憶されている前記第1認証情報と照合し、一致した場合に前記端末の前記仮想サーバへの接続を許可し、
前記制御部が、前記端末から前記個別接続データを復号するための復号パスワードを取得し、前記データベースに記憶されている前記個別接続データが前記復号パスワードによって復号できた場合に、前記端末による前記アプリケーションサーバの遠隔操作が可能となることを特徴とするシンクライアントシステム。 A thin client system in which a terminal connects to an application server via a virtual server unit,
A session management device having the virtual server unit;
The virtual server unit includes a plurality of virtual servers that are started by a thin client OS,
The session management device includes:
An allocation management unit that manages allocation of each virtual server to the terminal in a round-robin manner;
A database storing first authentication information for the terminal to connect to the virtual server and encrypted individual connection data for connecting to the application server;
Based on the first authentication information stored in the database, it is determined whether or not the terminal can be connected to the virtual server, and based on the individual connection data stored in the database, the terminal is connected to the application server. A control unit for determining whether or not connection is possible;
With
The control unit obtains second authentication information from the terminal, collates with the first authentication information stored in the database, and permits a connection of the terminal to the virtual server when they match.
When the control unit obtains a decryption password for decrypting the individual connection data from the terminal, and the individual connection data stored in the database can be decrypted by the decryption password, the application by the terminal A thin client system that enables remote operation of a server. 請求項1記載のシンクライアントシステムにおいて、
前記セッション管理装置は、前記端末によって前記個別接続データが読み出された場合にフラグを立て、前記端末の前記仮想サーバへの接続中は他の端末からの前記個別接続データの読み出しを禁止することを特徴とするシンクライアントシステム。 The thin client system according to claim 1,
The session management device sets a flag when the individual connection data is read by the terminal, and prohibits reading of the individual connection data from other terminals while the terminal is connected to the virtual server. Thin client system characterized by 請求項1又は2記載のシンクライアントシステムにおいて、
前記端末が、ルーティング機能を有するスマートフォンである場合に、
前記端末は、コントローラによって実行され、前記セッション管理装置からの命令を受け付けるアプリケーションが格納されるメモリを有し、
前記コントローラは、前記アプリケーションを実行して、前記セッション管理装置から前記端末の加入者を特定する認証情報である端末認証キーの取得命令を受け付け、前記端末認証キーを前記セッション管理装置に対して送信し、前記セッション管理装置が取得することを特徴とするシンクライアントシステム。 The thin client system according to claim 1 or 2,
When the terminal is a smartphone having a routing function,
The terminal includes a memory in which an application that is executed by a controller and receives an instruction from the session management device is stored;
The controller executes the application, receives a terminal authentication key acquisition command, which is authentication information for identifying a subscriber of the terminal, from the session management apparatus, and transmits the terminal authentication key to the session management apparatus And the session management device obtains the thin client system.
JP2012208438A 2012-09-21 2012-09-21 Thin client system Pending JP2013131207A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012208438A JP2013131207A (en) 2012-09-21 2012-09-21 Thin client system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012208438A JP2013131207A (en) 2012-09-21 2012-09-21 Thin client system

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2011278562A Division JP5102898B1 (en) 2011-12-20 2011-12-20 Thin client system

Publications (2)

Publication Number Publication Date
JP2013131207A true JP2013131207A (en) 2013-07-04
JP2013131207A5 JP2013131207A5 (en) 2015-02-05

Family

ID=48908661

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012208438A Pending JP2013131207A (en) 2012-09-21 2012-09-21 Thin client system

Country Status (1)

Country Link
JP (1) JP2013131207A (en)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003323402A (en) * 2002-05-01 2003-11-14 Ntt Docomo Inc Thin client system, and thin client terminal, thin client terminal control method and control program therefor
JP2004171063A (en) * 2002-11-15 2004-06-17 Ntt Docomo Inc Thin client system and thin client system control method
JP2007199804A (en) * 2006-01-24 2007-08-09 Hitachi Ltd Database management method, database management program, database management device, and database management system
JP2008140306A (en) * 2006-12-05 2008-06-19 Nec Corp Connection management method and connection management server in thin client
JP2009277089A (en) * 2008-05-15 2009-11-26 Hitachi Ltd Application distribution control system, application distribution control method, information processor, and client terminal
JP2009301556A (en) * 2009-07-16 2009-12-24 Nec Corp Thin-client system, session management method, and program
WO2010087501A1 (en) * 2009-01-28 2010-08-05 日本電気株式会社 Thin client-server system, thin client terminal, data management method, and computer readable recording medium
JP2010193268A (en) * 2009-02-19 2010-09-02 Nec Corp Network security system and method for isolating remote machine
JP2011233146A (en) * 2010-04-26 2011-11-17 Vmware Inc Cloud platform architecture

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003323402A (en) * 2002-05-01 2003-11-14 Ntt Docomo Inc Thin client system, and thin client terminal, thin client terminal control method and control program therefor
JP2004171063A (en) * 2002-11-15 2004-06-17 Ntt Docomo Inc Thin client system and thin client system control method
JP2007199804A (en) * 2006-01-24 2007-08-09 Hitachi Ltd Database management method, database management program, database management device, and database management system
JP2008140306A (en) * 2006-12-05 2008-06-19 Nec Corp Connection management method and connection management server in thin client
US20080263217A1 (en) * 2006-12-05 2008-10-23 Nec Corporation Connection control in thin client system
JP2009277089A (en) * 2008-05-15 2009-11-26 Hitachi Ltd Application distribution control system, application distribution control method, information processor, and client terminal
WO2010087501A1 (en) * 2009-01-28 2010-08-05 日本電気株式会社 Thin client-server system, thin client terminal, data management method, and computer readable recording medium
JP2010193268A (en) * 2009-02-19 2010-09-02 Nec Corp Network security system and method for isolating remote machine
JP2009301556A (en) * 2009-07-16 2009-12-24 Nec Corp Thin-client system, session management method, and program
JP2011233146A (en) * 2010-04-26 2011-11-17 Vmware Inc Cloud platform architecture

Similar Documents

Publication Publication Date Title
KR102242218B1 (en) User authentication method and apparatus, and wearable device registration method and apparatus
EP3075096B1 (en) Method and system for encrypted communications
US9398050B2 (en) Dynamically configured connection to a trust broker
CN102457507B (en) Cloud computing resources secure sharing method, Apparatus and system
US20140007215A1 (en) Mobile applications platform
JP2017534220A (en) Establishing communication between mobile terminals
US11489831B2 (en) Communication system and computer readable storage medium
US20140223518A1 (en) Authentication and authorization method and system
EP3862899A1 (en) Information communication apparatus, authentication program for information communication apparatus, and authentication method
CN110069909B (en) Method and device for login of third-party system without secret
US11962428B2 (en) Meeting room reservation system and related techniques
CN113341798A (en) Method, system, device, equipment and storage medium for remotely accessing application
US20160191482A1 (en) System and method for providing authenticated communications from a remote device to a local device
JP5102898B1 (en) Thin client system
JP7157549B2 (en) Mobile-based facility service system and method of operation
KR101619928B1 (en) Remote control system of mobile
JP5850324B2 (en) Thin client system
JP5678150B2 (en) User terminal, key management system, and program
CN113065120B (en) Interface calling authentication method and device, electronic equipment and readable storage medium
JP2013131207A (en) Thin client system
WO2019208465A1 (en) Key information generation system and key information generation method
JP5357927B2 (en) COMMUNICATION DEVICE, DATA ACCESS METHOD, AND DATA ACCESS PROGRAM
JP2013161259A (en) Thin client system
JP6813030B2 (en) Communications system
CN112367347B (en) Encryption equipment access method, device and computer readable storage medium

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141215

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160126

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20160427