JP2016212650A - Method for controlling startup in thin client system - Google Patents
Method for controlling startup in thin client system Download PDFInfo
- Publication number
- JP2016212650A JP2016212650A JP2015096153A JP2015096153A JP2016212650A JP 2016212650 A JP2016212650 A JP 2016212650A JP 2015096153 A JP2015096153 A JP 2015096153A JP 2015096153 A JP2015096153 A JP 2015096153A JP 2016212650 A JP2016212650 A JP 2016212650A
- Authority
- JP
- Japan
- Prior art keywords
- client
- authentication
- activation
- resource
- management device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明は、いわゆるシンクライアントシステムの接続、起動を制御するための技術に関する。その中でも特に、認証カード等の通常の認証方法が利用しない場合における他認証方法を利用した起動制御技術に関する。 The present invention relates to a technique for controlling connection and activation of a so-called thin client system. In particular, the present invention relates to an activation control technique using another authentication method when a normal authentication method such as an authentication card is not used.
現在、セキュリティ確保等を目的に、企業などではシンクライアントシステムの導入がされている。シンクライアントシステムは、認証カードのようなデバイスを利用して認証を行い、認証された場合、該当する資源(サーバ)での処理を実行することが可能になる。このようなシンクライアントシステムでは、サーバ上に存在する資源が利用可能なため、そこへのアクセスが許可さえされれば、不正利用が可能になる(通常PC等では、物理的にPCを確保していれば不正利用はできない)。このため、不正利用を防止するための技術として、特許文献1が提案されている。 Currently, for the purpose of ensuring security and the like, companies have introduced a thin client system. The thin client system performs authentication using a device such as an authentication card. When authenticated, the thin client system can execute processing in the corresponding resource (server). In such a thin client system, since resources existing on the server can be used, unauthorized access is possible as long as access to the server is permitted (normally a PC or the like physically secures a PC). If it is, unauthorized use is not possible.) For this reason, Patent Document 1 has been proposed as a technique for preventing unauthorized use.
特許文献1では、シンクライアントのアクセス先
のサーバのアドレス情報をユーザの生体情報で暗号化して保持することとした。そして、この認証デバイスにシンクライアントのユーザの生体情報が入力されたとき、この生体情報を用いてアドレス情報を復号化し、シンクライアントへ出力することが記載されている。
In Patent Document 1, the address information of the server that is the access destination of the thin client is encrypted with the biometric information of the user and held. In addition, it is described that when biometric information of a thin client user is input to the authentication device, address information is decrypted using the biometric information and output to the thin client.
シンクライアントシステムで通常の認証に問題があった場合、例えば、ID、PWが漏えいしたり、認証カードを利用した認証を前提にした場合、それを盗難されたり、紛失した場合、利用者がシンクライアントシステムを利用できないとの課題が生じる。 If there is a problem with normal authentication in the thin client system, for example, if ID or PW is leaked or authentication using an authentication card is assumed, or if it is stolen or lost, the There arises a problem that the client system cannot be used.
上記課題を解決するために、本発明では、シンクライアントシステムにおいて、通常の認証とは別の方法での認証により起動を可能するものである。
例えば、通常の認証方法である認証カードで認証の上、生体情報を登録しておき、次回の起動の際には、当該生体情報を用いた認証により起動の可否を判断する。
In order to solve the above-described problems, in the present invention, the thin client system can be activated by authentication using a method different from normal authentication.
For example, biometric information is registered after authenticating with an authentication card which is a normal authentication method, and at the next activation, whether or not activation is possible is determined by authentication using the biometric information.
さらに、本発明には、以下の態様も含まれる。生体認証で認証された起動要求の際、当該資源が起動済の場合、起動済の資源を停止ないし起動済のクライアントとの接続を停止し、新たに生体認証を行っているクライアントでの起動要求を受け入れる。また、生体情報が登録された場合、認証デバイス等の認証での起動要求を拒否する構成にしてもよい。 Furthermore, the following aspects are also included in the present invention. If the resource is already activated at the time of activation request authenticated by biometric authentication, the activated resource is stopped or the connection with the activated client is stopped, and the activation request at the newly performing biometric authentication client Accept. In addition, when biometric information is registered, the activation request for authentication of the authentication device or the like may be rejected.
以上、本発明によれば、通常の認証に問題が生じても安全性を確保した上で、起動を可能にするシンクライアントシステムを提供できる。 As described above, according to the present invention, it is possible to provide a thin client system that can be activated while ensuring safety even if a problem occurs in normal authentication.
以下、本発明の一実施形態を、図面を用いて説明する。まず、図3が本実施形態におけるクライアント11、管理装置41、処理サーバ51の構成を示すブロック図であり、クライアント11、処理サーバ51でいわゆるシンクライアントシステムが構成される。 Hereinafter, an embodiment of the present invention will be described with reference to the drawings. First, FIG. 3 is a block diagram showing the configuration of the client 11, the management apparatus 41, and the processing server 51 in the present embodiment. The client 11 and the processing server 51 constitute a so-called thin client system.
クライアント11には、認証カード61および、指デバイス21がUSBを介して接続される。また、クライアント11は、プロファイル管理テーブル31にて指プロファイルデータを管理する。
The authentication card 61 and the
クライアント11、管理装置41、処理サーバ51はネットワークを介して接続されており、互いに情報のやり取りを可能としている。 The client 11, the management device 41, and the processing server 51 are connected via a network and can exchange information with each other.
管理装置41は、起動管理テーブル42にて、個人を識別するLDAP ID毎に指プロファイルデータが登録済か否かと、SPC41が起動中か否かを管理する。 In the activation management table 42, the management device 41 manages whether finger profile data has been registered for each LDAP ID for identifying an individual and whether the SPC 41 is being activated.
また、処理サーバ51は、資源52にて、LDAP ID毎に資源(HDD内の実体データ)を保持する。 Further, the processing server 51 holds a resource (substance data in the HDD) for each LDAP ID in the resource 52.
次に、図1のフローチャートを用いて、上記システムの指プロファイルデータの登録時の処理を説明する。 Next, the processing at the time of registering the finger profile data of the system will be described using the flowchart of FIG.
まず、クライアント11へキーモバイル(認証カード)61および、指デバイス21を接続しておく。クライアント11は、初期状態であるS101において、指登録要求を利用者から受け付ける。
First, the key mobile (authentication card) 61 and the
次に、キーモバイル(認証カード)61は、S102において、S101での要求に従って自信が保持しているプロファイル情報を読み込み、指デバイス21に送信する。このプロファイル情報には、利用者を識別する利用者ID(LDAP ID)、クライアント11のIPアドレス、クライアント11の接続方法を示す有線/無線、VPNが含まれる。なお、ここでは、図4に示した指データ(暗号化)は含まれていない。
Next, in step S <b> 102, the key mobile (authentication card) 61 reads profile information held by the user in accordance with the request in step S <b> 101 and transmits the profile information to the
次に、指デバイス21は、S103において指プロファイル登録者の指データを読み取る。そして、S104において、S102で受信したプロファイルデータとS103で取得した指データからなる指プロファイルデータをクライアント11へ送信する。
Next, the
クライアント11は、S105において、S104で受信した指プロファイルデータのうち、指データについて、暗号化を行う。そして、S106において、指プロファイル情報と、S105で暗号化した指プロファイルデータを指プロファイル管理テーブル31へ登録する。この内容を図4に示す。 In S105, the client 11 encrypts the finger data among the finger profile data received in S104. In S106, the finger profile information and the finger profile data encrypted in S105 are registered in the finger profile management table 31. This content is shown in FIG.
次に、クライアント11は、S107において、指プロファイル情報が登録されたことを、管理装置41へ通知する。 Next, in step S107, the client 11 notifies the management apparatus 41 that the finger profile information has been registered.
管理装置41は、S108において、指プロファイル登録者の利用者 IDおよび、指登録済情報を情報起動管理テーブル42へ登録する。ここで、起動管理テーブル42では、指データが登録されているので、「○」が記載され、当該シンクライアント11による処理サーバでの処理が開始されていないので、起動中は×が登録される。 In S108, the management device 41 registers the user ID of the finger profile registrant and the finger registered information in the information activation management table 42. Here, since the finger data is registered in the activation management table 42, “◯” is described, and the processing in the processing server by the thin client 11 is not started, and therefore x is registered during activation. .
次に、図2のフローチャートを用いて、上記システムの指データを利用した認証での起動時の処理を説明する。 Next, the process at the time of starting by the authentication using the finger data of the system will be described using the flowchart of FIG.
まず、クライアント11は、S201において起動後(利用者による電源ボタンの押下)に指デバイス21での認証を促す画面を表示する。
First, the client 11 displays a screen for prompting authentication with the
指デバイス21は、S202においてクライアント11の利用者の指データの読み取りを行い、S203においてその読み取った指データをクライアント11へ送信する。
The
クライアント11は、S204においてS203で送信された指データを受信し、S205においてプロファイル管理テーブル31内のLDAP IDおよび、指データを基に照合・認証を行う。照合・認証が成功した場合はS207へ進み、失敗した場合はS206においてエラーの画面を表示して処理を完了する。ここで、照合・認証は、以下のとおり実行される。まず、利用者から入力されたLDAP IDと、プロファイル管理テーブルに格納されたLDAPを比較し、また、S204で受信した指データと、プロファイル管理テーブル31に格納された指データを復号したものを比較し、それぞれが一致した場合、認証OKと判断される。 The client 11 receives the finger data transmitted in S203 in S204, and performs verification / authentication based on the LDAP ID and the finger data in the profile management table 31 in S205. If the verification / authentication is successful, the process proceeds to S207. If the verification / authentication is unsuccessful, an error screen is displayed in S206 to complete the process. Here, the collation / authentication is executed as follows. First, the LDAP ID input from the user is compared with the LDAP stored in the profile management table, and the finger data received in S204 is compared with the decrypted finger data stored in the profile management table 31. If they match, it is determined that the authentication is OK.
クライアント11は、S207においてプロファイル管理テーブル31からS205で照合・認証したプロファイルデータを読み込み、S208においてプロファイルに従って自資源の起動要求を処理サーバ51へ送信する。処理サーバ51はS208を受けて、S209において起動待ちとなる。また、クライアント11はS210において管理装置41へプロファイルの通知を行う。 The client 11 reads the profile data verified and authenticated in S205 from the profile management table 31 in S207, and transmits a request for starting its own resource to the processing server 51 according to the profile in S208. The processing server 51 receives S208 and waits for activation in S209. Further, the client 11 notifies the management apparatus 41 of the profile in S210.
管理装置41は、S211においてS210のプロファイルを含む通知を受信する。ここで管理装置41はS212において、同じプロファイルで起動中か否かを起動管理テーブル42からLDAP IDをキーに検索する。起動済であれば、S213において起動済クライアントの切断処理を行い、S214へ進む。起動済でなければ、S214へ進む。ここで、S213において、起動管理テーブル42の起動中?を起動していないことを示す「×」に書き換える。 The management device 41 receives a notification including the profile of S210 in S211. Here, in S212, the management apparatus 41 searches the activation management table 42 using the LDAP ID as a key to determine whether or not the same profile is being activated. If it has been activated, the activated client is disconnected in S213, and the process proceeds to S214. If not activated, the process proceeds to S214. Here, in S213, is the activation management table 42 being activated? Is rewritten with “×” to indicate that it is not running.
ここで起動中であるということは、第3者が認証カード61を用いて不正に利用している可能性が高く、切断処理によりこの利用を防止することが可能になる。 The fact that it is being activated here is highly likely that a third party is illegally using the authentication card 61, and this use can be prevented by the disconnection process.
なお、ここで、起動管理テーブル42の起動中?は、以下のとおり実行してもよい。S210の通知以外に、周期的に各資源の起動状況を確認し、その内容を記載する構成にしてもよい。 管理装置41は、S214において、処理サーバ51へ起動許可を送信する。また、S216において、起動管理テーブル42へ「起動中」の登録を行う。 Here, is the activation management table 42 being activated? May be performed as follows. In addition to the notification in S210, the configuration may be such that the activation status of each resource is periodically checked and the contents are described. The management device 41 transmits activation permission to the processing server 51 in S214. In S216, “starting” is registered in the start management table 42.
さらに、起動許可の送信の他、起動中であったことをクライアント11などに送信してもよい。この場合、システムの管理者(の端末)に通知してもよいし、他、認証カード61による以降の起動要求を拒否してもよい。この場合、管理装置に「ブラックリスト」を記録し、該当の認証カード61からの要求を拒否=接続否する。 なお、図2のフローチャートで示す指プロファイル情報が登録された場合、以降の認証要求においては、指を利用した認証での起動要求のみを受け入れてもよい。このために、起動管理テーブル42に、認証デバイス61での起動要求を受け入れるかを示す情報を記録する構成を採用する。この場合、S108でこの情報も併せて登録する。
また、本実施形態では、指を用いた認証を例に説明したが、指紋、光彩等の他の生体情報を利用してもよいし、通常はID、PWで認証し、指の代わりにカードのようなデバイスを利用した認証を行ってもよい。
Furthermore, in addition to transmission of activation permission, information indicating that activation was in progress may be transmitted to the client 11 or the like. In this case, the administrator (terminal) of the system may be notified, or a subsequent activation request by the authentication card 61 may be rejected. In this case, a “black list” is recorded in the management apparatus, and the request from the corresponding authentication card 61 is rejected = connection is rejected. When the finger profile information shown in the flowchart of FIG. 2 is registered, in the subsequent authentication request, only an activation request for authentication using a finger may be accepted. For this purpose, a configuration is adopted in which information indicating whether or not to accept the activation request in the authentication device 61 is recorded in the activation management table 42. In this case, this information is also registered in S108.
In this embodiment, authentication using a finger has been described as an example. However, other biological information such as fingerprint and glow may be used, and authentication is normally performed using ID and PW, and a card is used instead of a finger. Authentication using a device such as
11、12…クライアント
21…指デバイス
31…プロファイル管理テーブル
41…管理装置
51…処理サーバ
61…認証カード
DESCRIPTION OF
Claims (3)
前記管理装置は、前記クライアントに接続された認証カードを利用した認証結果に従って予め定められた前記処理サーバ中の資源の利用可否を判断し、
前記処理サーバは、前記利用可否が利用可の場合、前記クライアントからの処理要求に対応する処理を実行する起動制御方法であって、
前記管理装置は、前記クライアントから生体情報を含む起動要求を受信した場合、当該管理装置が生体情報を格納している場合、受信した生体情報と格納されている生体情報を比較して認証し、当該認証の結果が肯定的な場合、前記処理サーバに該当する資源の利用を許可する情報を送信し、
前記処理サーバでは、前記資源の利用を、前記クライアントに対して開始することを特徴とするシンクライアントシステムにおける起動制御方法。 In a startup control method in a thin client system comprising a client, a processing server that executes processing in accordance with the instruction of the client, and a management device that manages these,
The management device determines whether or not to use resources in the processing server determined in advance according to an authentication result using an authentication card connected to the client,
The processing server is an activation control method for executing processing corresponding to a processing request from the client when the availability is available,
When the management device receives an activation request including biometric information from the client and the management device stores biometric information, the management device authenticates by comparing the received biometric information with the stored biometric information, If the result of the authentication is affirmative, send information permitting use of the resource corresponding to the processing server,
An activation control method in a thin client system, wherein the processing server starts using the resource to the client.
前記管理装置は、
前記資源の起動状況を記憶しておき、
前記クライアントから生体情報を含む起動要求を受信した場合、前記起動状況を確認し、当該確認の結果、起動中の場合、当該起動中の資源の停止もしくは当該起動中の資源と接続されているクライアントとの接続の切断のいずれかを実行し、
前記処理サーバでは、前記資源の利用を、前記クライアントに対して開始することを特徴とするシンクライアントシステムにおける起動制御方法。 The activation control method in the thin client system according to claim 1,
The management device
Remember the activation status of the resource,
When an activation request including biometric information is received from the client, the activation status is confirmed, and as a result of the confirmation, if activated, the activated resource is stopped or the client connected to the activated resource Perform one of the disconnects with
An activation control method in a thin client system, wherein the processing server starts using the resource to the client.
前記管理装置は、前記認証カードでの認証による起動要求を受信した場合、前記生体情報が格納されているか判断し、格納されていない場合、起動を許可することを特徴する前記資源の利用を、前記クライアントに対して開始することを特徴とするシンクライアントシステムにおける起動制御方法。 In the starting control method in the client system according to claim 1,
When the management device receives an activation request by authentication with the authentication card, the management device determines whether the biometric information is stored, and if not, permits the activation, using the resource, An activation control method in a thin client system, which starts with respect to the client.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015096153A JP2016212650A (en) | 2015-05-11 | 2015-05-11 | Method for controlling startup in thin client system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015096153A JP2016212650A (en) | 2015-05-11 | 2015-05-11 | Method for controlling startup in thin client system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016212650A true JP2016212650A (en) | 2016-12-15 |
Family
ID=57552201
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015096153A Pending JP2016212650A (en) | 2015-05-11 | 2015-05-11 | Method for controlling startup in thin client system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2016212650A (en) |
-
2015
- 2015-05-11 JP JP2015096153A patent/JP2016212650A/en active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102307665B1 (en) | identity authentication | |
| US10666642B2 (en) | System and method for service assisted mobile pairing of password-less computer login | |
| US10205711B2 (en) | Multi-user strong authentication token | |
| JP6586446B2 (en) | Method for confirming identification information of user of communication terminal and related system | |
| CN107483419B (en) | Method, device and system for authenticating access terminal by server, server and computer readable storage medium | |
| KR101451359B1 (en) | User account recovery | |
| WO2015101310A1 (en) | Service processing method, device and system | |
| TWI632798B (en) | Server, mobile terminal, and network real-name authentication system and method | |
| US9954853B2 (en) | Network security | |
| US20150328119A1 (en) | Method of treating hair | |
| JP2012191270A (en) | Authentication system, terminal apparatus, authentication server and program | |
| JP6479723B2 (en) | Secret key management system and secret key management method | |
| CN105577619B (en) | Client login method, client and system | |
| JP2015194879A (en) | Authentication system, method, and provision device | |
| KR20220167366A (en) | Cross authentication method and system between online service server and client | |
| EP2436164A1 (en) | Method and equipment for establishing secure connection on communication network | |
| KR101467746B1 (en) | User authentication system and method using smart media | |
| EP2985712B1 (en) | Application encryption processing method, apparatus, and terminal | |
| JP7079528B2 (en) | Service provision system and service provision method | |
| WO2013118302A1 (en) | Authentication management system, authentication management method, and authentication management program | |
| JP6325654B2 (en) | Network service providing apparatus, network service providing method, and program | |
| KR102053993B1 (en) | Method for Authenticating by using Certificate | |
| JP5665592B2 (en) | Server apparatus, computer system, and login method thereof | |
| KR20110128371A (en) | Mobile authentication system and central control system, and the method of operating them for mobile clients | |
| KR20180034199A (en) | Unified login method and system based on single sign on service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20170111 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20170113 |