JP4581850B2 - 計算機の認証方法 - Google Patents
計算機の認証方法 Download PDFInfo
- Publication number
- JP4581850B2 JP4581850B2 JP2005160869A JP2005160869A JP4581850B2 JP 4581850 B2 JP4581850 B2 JP 4581850B2 JP 2005160869 A JP2005160869 A JP 2005160869A JP 2005160869 A JP2005160869 A JP 2005160869A JP 4581850 B2 JP4581850 B2 JP 4581850B2
- Authority
- JP
- Japan
- Prior art keywords
- computer
- information
- authentication information
- user
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、モバイル端末から、ネットワークと業務用クライアント端末を介して、業務サーバに接続し、リモートでの業務遂行を支援するためのシステムおよび方法に関する。
近年企業活動の中で使用される端末でモバイル端末の占める割合は年々増加しており、無線LAN(Local Area Network)や携帯電話などを利用したネットワークアクセスが増加している。これらのネットワークは、有線LANと比較して障害物などによる瞬断が発生しやすい。特に移動中の車内などにおいては顕著である。
従来より、複数のコンピュータ間で通信を行うシステムは多く、通信障害を検知した場合の処理も多種多様であるが、一定間隔で幾度か通信リトライを行い、通信リトライも失敗すると、プログラムを終了するのが一般的なエラー処理の方法である。
また、複数のコンピュータをネットワークで接続し、一方のコンピュータからネットワークを経由して他方のコンピュータを操作するリモート操作システムが、一般に広く知られている。操作端末側で入力されたキーボード・マウスイベントは、ネットワークを経由して被操作端末側に送信され、被操作端末側で実際に実行される。多くのアプリケーションでは、ディスプレイ上に実行結果が表示されるが、このディスプレイ上の画面情報を被操作端末から操作端末側に送信し、操作端末側のディスプレイ上に表示することにより、実行結果を操作端末側で確認することができる。例えば特開2002−91914号公報。
無線LANや携帯電話経由などの通信の瞬断が発生しやすい環境にあっても、有線LANで接続している環境により近い作業継続性を提供することを本発明の課題とする。
通信の瞬断が発生した場合において、プログラムを終了させることなく、自動的に再接続を行う。接続を受け付ける側では、新規セッションを生成するが、既存のセッションと接続要求元が同じであると判定した場合に、既存のセッションから通信切断前の状態を引き継ぎ、自動的に認証やログイン処理を実行する。
遠隔地や移動中であっても、自席で作業するのと同一の作業をモバイル端末から実行することが可能であり、無線LANや携帯電話経由などの通信の瞬断が発生しやすい環境にあっても、有線LANで接続している環境により近い作業継続性を提供することが可能となる。また、通信の中断による利用者の手戻りがなくなり作業効率が向上する。
以下、本発明を実施するための最良の形態を図面に基づいて詳細に説明する。
図1は、本発明における一実施事例であるリモート業務支援システムの外観を示す図である。モバイル端末101は、無線LANカードあるいは携帯通信カード102などを接続して、通信回線103を介してクライアント端末104と通信を行う。クライアント端末104はネットワーク105を介して業務サーバ106と接続されている。
実施例では、通信回線103は無線、ネットワーク105は有線であることを想定しているが、実際のシステムにおいてはこの限りではない。
モバイル端末101のディスプレイには、クライアント端末104のディスプレイに表示される画面と同一画面の情報を表示し、キーボード・マウス入力を、モバイル端末101からクライアント端末104に送信し、クライアント端末104に対する入力として実行する。クライアント端末104は、モバイル端末101からのキーボード・マウス入力により、メールサーバ、Webサーバ、DBサーバあるいは各種の業務アプリケーションサーバ106に接続し、業務サーバ106から受け取った情報を含む画面情報をモバイル端末101へ送信し、モバイル端末101で画面情報を基にクライアント端末の画面を表示する。上記の構成により、モバイル端末101からクライアント端末104で行う業務を代行するように構成することができる。
上記の構成においては、クライアント端末104のディスプレイ、キーボード、マウスはモバイル端末101で代行可能なため、クライアント端末104側にはディスプレイ、キーボード、マウスがないブレードマシンのような計算機を用いる場合はセキュリティを向上させることができる。
また、モバイル端末101には、業務アプリケーションや業務データなどを格納するハードディスク装置は必要ないため、紛失や盗難にあった場合でも、データの流出がなく、セキュリティの高いシステムを構築することが可能である。
さらには、モバイル端末101に対して、認証データ(ユーザID、パスワードあるいは証書データなど)を格納した外部装置(可搬メモリなど)を接続するように構成することも可能である。この場合、外部接続装置を接続することによりどのモバイル端末101からでも、外部装置をクライアント端末104へ接続して業務を遂行することが可能である。
図2は、リモート業務支援システムのおおまかなプログラム構成を示した図である。
モバイル端末101は、操作制御プログラム201が搭載されており、キーボードやマウス入力を制御してクライアント端末104へ送信し、画面情報を受信してディスプレイ上に表示する。
クライアント端末104には、被操作制御プログラム202と業務アプリケーションクライアント203が搭載されている。被操作制御プログラム202は、操作制御プログラム201から、キーボードやマウス入力を受取って実行し、画面情報をモバイル端末101へ送信する。業務アプリケーションクライアント203は、クライアント端末104上で実行されるアプリケーションであり、業務サーバ106に搭載されている業務アプリケーションサーバ204に接続して業務を実行するためのソフトウェアである。
図3は、本実施例のモバイル端末とクライアント端末のモジュール構成と、モバイル端末からキーボード・マウス入力を受け付けてクライアント端末のディスプレイに表示されるまでの制御の流れを示す図である。
モバイル端末101の操作制御プログラム201が起動されると、通信制御部201Aからクライアント端末104の通信制御部202Aへ接続要求を行う(301)。応答を受けて(302)、通信制御部201Aは、マシン認証データを生成し、認証情報格納部201Cへ格納する(303)とともに、通信制御部201Aからクライアント端末104の通信制御部202Aへ送信する(301)。クライアント端末104の通信制御部202Aは、許可マシン情報格納部からマシン情報を読み出し(304)、接続要求を行ったモバイル端末101が許可されているマシンであるか否かを判定する。許可されたマシンである場合に、セッション情報格納部202Dへマシン認証データを保存し(305)、応答を返す(302)。次にキーボードから入力されるユーザIDとパスワードあるいは、認証データを格納した外部装置の接続を受けて(306)、通信制御部201Aは、ユーザIDとパスワードあるいは証書データを認証情報格納部201Cへ格納する(303)とともに、ユーザ認証データを生成し、通信制御部201Aからクライアント端末104の通信制御部202Aへ送信する(301)。クライアント端末104の通信制御部202Aは、許可ユーザ情報格納部からユーザ情報を読み出し(304)、接続要求を行ったモバイル端末101の利用者が許可されているユーザであるか否かを判定する。許可されたユーザである場合に、セッション情報格納部202Dへユーザ認証データを保存し、(305)画面情報をモバイル端末101に送信する。この処理については、図4で説明する。
モバイル端末101のキーボード101Bから入力される情報は、キーボードフック制御部201Cで捕捉し、301の経路で基本制御部201Bから通信制御部201Aを経由してクライアント端末103に送信する。同様に、マウス101Cから入力される情報は、マウスフック制御部201Eで捕捉し、302の経路で基本制御部201Bから通信制御部201Aを経由してクライアント端末104に送信する。
クライアント端末104では、308の経路で通信制御部202Aを介して基本制御部202Bで受信した制御情報をキーボード・マウスイベントとしてオペレーティングシステムに通知することで、最終的にアプリケーション203に入力される。アプリケーション203は、キーボード・マウスイベントを受け付けて、オペレーティングシステムに描画命令を出し(309)、オペレーティングシステムがディスプレイ(104A)上に画面を表示する(310)。
このとき、表示された画面がログイン画面である場合は、308の経路で通信制御部202Aを介して基本制御部202Bで受信した制御情報をログイン抽出処理部202B−2で捕捉し(311)、自動ログイン情報格納部202Eへ保存する(312)。
図4は、本実施例のモバイル端末とクライアント端末のモジュール構成と、クライアント端末のディスプレイに表示された画面情報をモバイル端末のディスプレイ上に表示されるまでの制御の流れを示す図である。
クライアント端末104のディスプレイ104A上に表示される情報は、ディスプレイフック制御部202Fで捕捉し、402の経路で基本制御部202Bから通信制御部202Aを経由してモバイル端末101に送信する。
このとき、表示された画面がログイン画面である場合は、ログイン処理部202B−1が、自動ログイン情報格納部202Eからログイン情報を読み出し(403)、キーボード・マウスイベントとしてオペレーティングシステムに通知し(404)、アプリケーション203に入力される(405)。アプリケーション203は、キーボード・マウスイベントを受け付けて、オペレーティングシステムにログイン処理後の画面を表示するための描画命令を出し(406)、オペレーティングシステムがディスプレイ(104A)上に画面を表示し(401)、表示された情報を、ディスプレイフック制御部202Fで捕捉し、402の経路で基本制御部202Bから通信制御部202Aを経由してモバイル端末101に送信する。
モバイル端末101では、407の経路で通信制御部201Aを介して基本制御部201Bで受信した制御情報を表示制御部201Eを介して描画イベントとしてオペレーティングシステムに通知することで、最終的にディスプレイ101A上に表示される。
図5は、モバイル端末で生成し、クライアント端末へ接続開始時に送信するマシン認証データを示す図である。マシン認証データは、プロセスID501、IPアドレス502、接続日時503、コンピュータ名504、ログオンユーザ名505、乱数506から構成される。乱数506は時刻情報をもとにして乱数発生器によりランダムに生成される数値である。この乱数を付加することにより、IPアドレスやコンピュータ名ログオンユーザ名が全く一致するモバイル端末が複数存在し、それらのモバイル端末が同時に接続を開始しても、区別することができるようになる。
マシン認証データ、ユーザ認証データは接続開始時にモバイル端末の認証情報格納部201Cに保存され、接続が途切れたときに再接続を行う処理の中で使用される。また、クライアント端末でもモバイル端末から受信したマシン認証データ、ユーザ認証データをセッション情報格納部に保存し、接続が途切れたときにモバイル端末から再接続要求があった場合に再接続処理の中で使用する。
図6は、モバイル端末で生成し、クライアント端末へ接続開始時に送信するユーザ認証データを示す図である。ユーザ認証データは、ユーザIDとパスワードによる認証の場合は、最初の接続時にユーザIDとパスワードを入力する画面を表示し、操作者が入力したデータから生成する。この時、ユーザ認証データは、ユーザID601とパスワード602で構成される。これらの情報は、操作制御プログラムの終了までメモリ内に保持し、被操作端末へのユーザ認証要求時にスクランブル後に暗号化した状態で送信する。このため、ユーザ認証データは接続毎に異なるデータとなり、成りすましを防止する。電子証書認証の場合は、認証デバイスなどから証書データを読み込み、署名する。この時、ユーザ認証データは、証書データ605と署名606で構成される。この場合、署名606により、ユーザ認証データは接続毎に異なるデータとなり、成りすましを防止する。
また、図5のマシン認証データと図6のユーザ認証データの組合せで認証を行うことにより、通信瞬断による再接続時に、それ以前に接続していたモバイル端末とユーザからの再接続要求であることを識別できる。
図7は、クライアント端末104の許可マシン許可ユーザ情報格納部202Cに格納されている許可マシン管理テーブルと許可ユーザ管理テーブルを示す図である。許可マシン管理テーブルは、IPアドレス701から構成されている。クライアント端末側では、予めリモート操作を許可するマシンを定義しておくことができ、予めリモート操作を許可されたマシン情報が、許可マシン管理テーブルで管理される。本実施例ではIPアドレスとしているが、コンピュータ名やマシンを一意に識別可能なIDなどをキーとすることもできる。またこれらの識別情報の組合せとすることも可能である。
許可ユーザ管理テーブルは、ユーザID702とパスワード703から構成され、それぞれ登録内容は、スクランブル後暗号化された状態で管理されている。クライアント端末側では、予めリモート操作を許可するユーザを定義しておくことができ、予めリモート操作を許可されたユーザ情報が、許可ユーザ管理テーブルで管理される。本実施例ではユーザIDとパスワードの組合せとしているが、証書などの認証データとすることもできる。
モバイル端末からの認証時は、送信されたマシン認証データが許可マシン管理テーブルに登録されているマシン情報と一致し、送信されたユーザ認証データ許可ユーザ管理テーブルに登録されているユーザ情報と一致する場合にのみリモート操作が実行可能となる。
許可マシン管理テーブルに登録されているマシン情報が1件もない場合は、すべてのマシンからの接続が許可される。同様に、許可ユーザ管理テーブルに登録されているユーザ情報が1件もない場合は、すべてのユーザからの接続が許可される。
図8は、クライアント端末側で管理されるセッション管理テーブルを示す図である。セッション管理テーブルは、セッション生成時にセッション毎に作成され、プロセスID801、IPアドレス802、接続日時803、コンピュータ名804、ログオンユーザ名805、乱数806、ユーザID807、パスワード808、自動ログイン情報テーブルポインタ809から構成される。
本実施例では、セッションが維持されている期間に限り、自動ログインを有効とするためセッション管理テーブルで自動ログイン情報テーブルポインタを管理するようにしているが、自動ログイン情報テーブルポインタをセッション管理テーブルに持たないようにし、セッションが破棄された後の再接続時も自動ログインを有効とするように設計することもできる。
図9は、クライアント端末側で管理される自動ログインウィンドウのサーチキーワード登録テーブルと、自動ログイン情報テーブルを示す図である。自動ログインウィンドウのサーチキーワード登録テーブルには、ログインウィンドウを判別するためのキーワードを登録する。アクティブウィンドウのタイトルの一部が、上記サーチキーワードと一致する場合に、そのアクティブウィンドウは、ログイン情報を入力するためのウィンドウ、あるいはユーザを認証するためのウィンドウであると判定し、自動ログイン情報テーブルに登録済みのウィンドウタイトルと一致すれば、登録済みの入力データをキーボードイベントあるいはマウスイベントとしてオペレーティングシステムに対して入力する。自動ログイン情報テーブルに未登録のウィンドウタイトルであった場合は、ウィンドウタイトルを登録し、そのウィンドウに対するモバイル端末側から送信されるキーボードやマウスイベントを保存する。
自動ログインデータテーブルは、ウィンドウタイトル901、参照カウンタ902、入力データへのポインタ903、入力データから構成される。入力データは、キーボード・マウス種別、入力データ、データポインタから構成される。本実施例ではウィンドウタイトルをアプリケーションを識別する情報として用いた例を示しているが、アプリケーションファイル名称やログインする業務サーバ名称を用いても良い。
実施例では、「Groupmax ログイン」画面に対しては、キーボードイベント904Aである「ABCDEF[Tab]98765[Enter]」904Bが入力されていて、この段階では、2回自動ログイン処理が行われたことがわかる。「Asset Information Manager Login」画面に対しては、キーボードイベント905Aである「ABCDEF」905B、マウスイベント905Dである、「(x,y)座標の左クリック」905E、キーボードイベント905Gである、「98765」905H、マウスイベント905Jである、「(x,y)座標の左クリック」905Kが入力されていて、この段階では、1回自動ログイン処理が行われたことがわかる。
クライアント端末で表示されるアクティブウィンドウの監視、ログイン画面に入力されるキーボード・マウスイベントの補足、および自動ログイン処理の流れについては、後述の図12で説明する。
図10−1から図10−3を用いて、モバイル端末の操作制御プログラムとクライアント端末の被操作制御プログラム間で実行する処理および通信の流れについて説明する。
操作制御プログラムから被操作制御プログラムに対して接続要求を行う(1001)。接続要求を受け付けた被操作制御プログラムは、セッションを生成(1002)し、操作制御プログラムに対して応答を返し(1004)、ディスプレイ上に黒画面を表示する(1003)。黒画面は、クライアント端末側に表示した内容を第三者に見られることによる情報漏洩を防ぐ目的で自動的に切り替え表示するものである。これにより、クライアント端末の画面情報は、モバイル端末のディスプレイにのみ表示される。
操作制御プログラムは、マシン認証データを生成し(1005)、生成したデータをモバイル端末内に保存し(1006)、暗号化し(1007)た後、被操作制御プログラムに送信する(1008)。被操作制御プログラムは、マシン認証データを復号し(1009)、許可マシンであるかどうか検証し(1010)、許可マシンであれば、マシン認証データをセッション管理テーブルに保存し(1011)、応答を返す(1012)。
次に、操作制御プログラムは、証書データがある場合は、証書データから、ない場合はユーザIDとパスワードの入力画面を表示して、入力された情報を受け付けて(1013)、受け付けたユーザ情報をモバイル端末内に保存し(1014)、ユーザ認証データを生成し(1015)、スクランブル後に暗号化し(1016)た後、被操作制御プログラムに送信する(1017)。被操作制御プログラムは、ユーザ認証データを復号し(1018)、許可ユーザであるかどうか検証し(1019)、許可ユーザであれば、ユーザ認証データをセッション管理テーブルに保存し(1020)、全画面の描画データを取得し(1021)、全画面の描画データを送信する(1022)。操作制御プログラムは、全画面の描画データをディスプレイ上に表示し(1023)、描画完了通知を送信する(1024)。
また、操作制御プログラムは、キーボード・マウスイベントを捕捉し(1025)、暗号化し(1026)た後、被操作制御プログラムに対して、操作制御情報を送信する(1027)。被操作制御プログラムは、受信した操作制御情報を複合化し(1028)、操作を実行する(1029)。実際には、キーボードイベント、マウスイベントとしてオペレーティングシステムにイベントを発行することで画面が表示される(1030)。被操作制御プログラムは、変更部分の描画データを取得し(1031)、変更部分の描画データを送信する(1032)。操作制御プログラムは、受信した変更部分の描画データをディスプレイ上に表示し(1033)、描画完了通知を送信する。以下、キーボード・マウスイベントの捕捉以降の処理は必要に応じて繰り返される。
ここから、通信障害が発生した場合の再接続処理について説明する。
操作制御プログラムでは、通信障害を検知し(1034)、再接続処理を開始し(1035)、接続要求を送信する(1036)。再接続処理では、一定時間経過後あるいは回線状態が良好となったことを調査するなどして通信を再開するタイミングを決定し、被操作制御プログラムに対し、接続要求するようにしてもよい。被操作制御プログラムでは、セッションを生成し(1037)、操作制御プログラムに応答を返し(1039)、ディスプレイに黒画面を表示する(1038)。操作制御プログラムは、保存しておいたマシン認証データを認証情報格納部202Cから読み出し(1040)、暗号化し(1041)た後、マシン認証データを送信する(1042)。被操作制御プログラムは、マシン認証データを複合化し(1043)、セッション情報格納部202Dに格納してあったマシン認証データを用いて受け取ったマシン認証データを検証する(1044)。このとき、同じマシン認証データを持つセッションが存在するため、既存のセッションの情報を新しいセッションに引き継ぎ(1045)、既存のセッションを破棄し(1046)、応答を返す(1047)。
続けて、操作制御プログラムは、保存しておいたユーザ認証データを認証情報格納部202Cから読み出し(1048)、スクランブルと暗号化し(1049)た後、ユーザ認証データを送信する(1050)。このとき、操作者は証書データの有無に関わらず、認証のための入力を行わなくても良い。被操作制御プログラムは、ユーザ認証データを複合化し(1051)、セッション情報格納部202Dのセッション管理テーブルに保存されているユーザ情報と一致するか検証する(1052)。このとき、ログイン画面が表示されていると判定した場合は、自動ログイン処理を行う(1053)。その後、全画面の描画データを取得し(1054)、全画面の描画データを送信する(1055)。操作制御プログラムは、受信した全画面の描画データをディスプレイ上に表示し(1056)、描画完了通知を送信する(1057)。被操作制御プログラムは、変更部分の描画データを取得し(1058)、変更部分の描画データを送信する(1059)。操作制御プログラムは、受信した変更部分の描画データをディスプレイ上に表示し(1060)、描画完了通知を送信する(1061)。
以降、変更画面が表示されれば、変更部分の画面情報を、キーボード・マウスイベントが捕捉されれば、操作制御情報を送受信する。また、ログイン画面が表示された場合は、自動ログイン処理を実行する。
これらの処理は、操作制御プログラムからの終了処理開始(1062)によって、終了処理に移行する。操作制御プログラムから被操作制御プログラムに対して接続終了通知を送信する(1063)。被操作制御プログラムは、接続終了通知を受取ると、応答を返し(1068)、終了処理を行う。ディスプレイを黒画面からロック画面に切り替え(1064)、自動ログイン情報をクリアし(1065)、セッション管理テーブルを削除して(1066)、セッションを破棄する(1067)。操作制御プログラムは、被操作制御プログラムからの応答を受け、保存していたマシン認証データとユーザ認証データをクリアし(1069)プログラムを終了する(1070)。
以上が、モバイル端末とクライアント端末間の送受信処理を含めたおおまかな流れである。
図11−1から図11−4は、クライアント端末の被操作制御プログラムの通信制御部で実行する処理の流れを示すフローチャートである。
通信制御部は、開始されると、操作端末からの要求待ちで待機する(1101)。
操作端末からの要求を受け付けて(1102)処理を開始する。要求が接続要求である場合(1103−YES)、セッションを生成(1104)し、ロック画面抑止フラグをOFFにし(1105)、黒画面を表示し(1106)、応答を送信し(1107)、待機状態に戻る。要求が終了要求である場合(1108−YES)、応答を送信し(1109)、ロック画面抑止フラグをOFFにし(1110)、後述するセッション破棄処理を行い(1111)、待機状態に戻る。
要求が操作制御情報である場合(1112−YES)、操作データを復号し(1113)、操作イベントを実行(実際には、キーボードイベント、マウスイベントとしてオペレーティングシステムにイベントを発行する)し(1114)、待機状態に戻る。要求が描画完了である場合(1115−YES)、描画データがあれば(1116−YES)、変更部分の描画データを取得し(1117)、変更部分の描画データを加工(一般的に、描画データはデータ量が大きくなるためデータ転送量を削減するため)し(1118)、変更部分の描画データを送信し(1119)、待機状態に戻る。要求がマシン認証の場合(1121−YES)、マシン認証データを復号化し(1123)、既存セッションがなく(1124−NO)、既存セッションがあってもマシン認証データが一致しなければ(1125−NO)、図7の許可マシン管理テーブルを参照し、許可マシンに登録済みのマシンか否かを判定し(1126)、許可マシンでなければ(1126−NO)、マシン認証エラーを送信し(1128)、待機状態に戻る。許可マシンであれば(1126−YES)、マシン認証データをセッション管理テーブルに保存し(1127)、待機状態に戻る。マシン認証データが既存セッションのマシン情報と一致した場合(1125−YES)、既存セッションの保持データを新規セッションの管理テーブルに保存し(1129)、ロック画面抑止フラグをONにし(1130)、既存セッションを破棄セッションに指定して(1131)、セッション破棄処理を実行し(1132)、待機状態に戻る。
本実施例では、複数の操作端末からの操作を同時に実行するため、複数のセッションを保持するように設計としているが、リモート操作に排他をかけるため、同時に複数のセッションを保持しないように設計することも可能である。その場合は、セッション保持データが一致しない場合(1125−NO)においては、既存セッションを破棄する。
ロック画面とは、ユーザID・パスワード入力画面である。リモート操作の終了時は、ユーザID・パスワードを知らない第三者がクライアント端末を操作できないようにロック画面を表示する。セッション管理テーブルの保持データと操作端末から送られるマシン認証データとユーザ認証データの双方が一致する場合は、それまでに接続していた操作端末からの要求であるため、ロック画面は表示しない。
要求がユーザ認証でない場合(1133−NO)は、これまでの処理もあわせて、期待する要求内容ではないため、要求内容エラーを送信し(1134)、待機状態に戻る。
要求がユーザ認証の場合(1133−YES)は、ユーザ認証データを復号化し(1135)、ロック画面抑止フラグがONであれば(1136−YES)、ユーザ認証データが、既存セッションからセッション管理テーブルに引き継いでいるユーザ情報と一致するか判定し(1137)、一致しない場合(1137−NO)は、ユーザ認証エラーを送信し(1142)、待機状態に戻る。一致する場合(1137−YES)と、ロック画面抑止フラグがONでなく(1136−NO)、ユーザ認証データのユーザ情報が図7の許可ユーザ管理テーブルを参照し、許可ユーザとして登録されている場合(1138−YES)は、全画面の描画データを取得し(1139)、全画面の描画データを加工(一般的に、描画データはデータ量が大きくなるためデータ転送量を削減するため)し(1140)、全画面の描画データを送信し(1141)、待機状態に戻る。ユーザ認証データのユーザ情報が、許可ユーザでない(1138−NO)の場合は、ユーザ認証エラーを送信(1142)し、待機状態に戻る。
次に、セッション破棄処理について説明する。ロック画面抑止フラグがONでなければ(1143−NO)、黒画面を解除し(1144)、ロック画面を表示し(1145)、自動ログイン情報をNULLクリアして消去する。ロック画面抑止フラグがONの場合(1143−YES)は、上記のステップを行わない。セッション管理テーブルなどの保持データをNULLクリアして消去し(1147)、セッションを削除し(1148)、セッションの破棄処理を終了してコール元に戻る。
本実施例では、自動ログイン情報は、瞬断時の再接続の場合を除き、セキュリティの観点からリモート接続の終了時に削除するように設計しているが、リモート操作の利便性の観点から常に保持するように設計することもできる。
図12は、クライアント端末の被操作制御プログラムの基本制御部で実行する処理の流れを示すフローチャートである。
基本制御部は、開始されると、イベントの受信待ちで待機する(1201)。
ディスプレイドライバフック制御部からの描画イベントと操作端末プログラムから通信制御部を介して受取るキーボードイベント、マウスイベントを受信して(1202)、処理を開始する。受信イベントがウィンドウ描画である場合(1203−YES)、キーボード・マウスイベントの監視フラグがONであれば(1204−YES)、キーボード・マウスイベントの監視フラグをOFFにする(1205)。続いて、ウィンドウタイトルを取得し(1206)、図9の自動ログインのサーチキーワード登録テーブルを参照し、ウィンドウタイトルが自動ログインのサーチキーワードを含む場合(1207−YES)、図9の自動ログインデータテーブルを参照し、一致するウィンドウタイトルが登録されていなければ(1208−NO)、ウィンドウタイトルを自動ログイン情報テーブルに登録し(1209)、キーボード・マウスイベント監視フラグをONにし(1210)、待機状態に戻る。図9の自動ログイン情報テーブルを参照し、一致するウィンドウタイトルが登録されていれば(1208−YES)、登録されている自動ログインの参照カウンタを参照し、参照カウンタが10であれば(1211−NO)、参照カウンタを初期値0に戻し(1212)、自動ログインの入力データを削除し(1213)、キーボード・マウスイベント監視フラグをONにし(1214)、待機状態に戻る。参照カウンタが10未満であれば(1211−YES)、参照カウンタをカウントアップ(+1)し(1215)、自動ログイン入力データを読み出し、キーボードイベント、マウスイベントとしてオペレーティングシステムにイベントを発行し(1216)、待機状態に戻る。
本実施例では、自動ログインデータの参照カウンタを設け、10回参照すると、自動ログイン入力データを削除するように設計している。これは、ある程度の頻度でユーザを認証するという目的と、仮に誤ってログイン情報を入力してしまった場合でも、同じ自動ログイン処理を10回繰り返すと、初期状態に戻し、正しいログイン情報を入力することができるようにするという2つの目的を持つ。参照カウンタの上限値については、任意の数値を設定することも可能である。
さらに、前回の接続時刻、切断時刻を記憶し、記憶している時刻からの経過時間が一定時間内であれば自動ログインを行うこともセキュリティを向上させるのに有効である。
図13は、キャッシュした自動ログインデータを保存するかどうか確認するためのダイヤログの一例である。本実施例では、同じウィンドウタイトルを持つログイン画面が表示されたときに、管理している入力データを自動入力することにより、利用者によるログインのための操作を省略することが可能となり、効率よく業務を行うことができるが、自動ログインデータを登録するか否かを利用者に確認する場合には、このようなダイヤログを表示してもよい。
101:モバイル端末
101A,105A:ディスプレイ
101B:キーボード
101C:マウス
102:無線LANカードあるいは携帯通信カードなど
103,105:通信回線あるいはネットワーク
104:クライアント端末
106:業務サーバ
201:操作制御プログラム
201A,202A:通信制御部
201B,202B:基本制御部
201C:認証情報格納部
201D:キーボードフック制御部
201E:マウスフック制御部
202:被操作制御プログラム
202B−1:ログイン処理部
202B−2:ログイン抽出処理部
202C:許可マシン許可ユーザ情報格納部
202D:セッション情報格納部
202E:自動ログイン情報格納部
202F:ディスプレイドライバフック制御部
203:業務アプリケーションクライアント
204:業務アプリケーションサーバ
101A,105A:ディスプレイ
101B:キーボード
101C:マウス
102:無線LANカードあるいは携帯通信カードなど
103,105:通信回線あるいはネットワーク
104:クライアント端末
106:業務サーバ
201:操作制御プログラム
201A,202A:通信制御部
201B,202B:基本制御部
201C:認証情報格納部
201D:キーボードフック制御部
201E:マウスフック制御部
202:被操作制御プログラム
202B−1:ログイン処理部
202B−2:ログイン抽出処理部
202C:許可マシン許可ユーザ情報格納部
202D:セッション情報格納部
202E:自動ログイン情報格納部
202F:ディスプレイドライバフック制御部
203:業務アプリケーションクライアント
204:業務アプリケーションサーバ
Claims (1)
- 無線通信を含むネットワークを介した記憶装置とを備えた第一の計算機と記憶装置と第二の計算機とを備えた認証システムにおける認証方法であって、
第一の計算機は、
第二の計算機に接続要求を送信した後、前記第一の計算機に関連する情報に前記第一の計算機で作成した乱数を付加した第一の認証情報を生成し、
第一の計算機は、ユーザから受け付けた前記第一の計算機を使用している前記ユーザ情報を含む第二の認証情報とを第二の計算機へ生成して送付し、
第二の計算機は、
前記接続要求の受領に応じて第一の計算機との通信を行うためのセッションを生成するとともに第一のセッション管理テーブルを生成し、
前記第一の認証情報に含まれる前記第一の計算機に関連する情報と前記第二の認証情報に含まれる前記ユーザ情報を前記第二の計算機に記憶している前記第一の計算機に関連する情報と前記記憶装置に記憶した前記ユーザ情報とを比較し、
前記第二の認証情報に含まれる前記ユーザ情報と前記第二の計算機に記憶されている前記ユーザ情報が一致したときに、前記乱数を付加した第一の認証情報と前記第二の認証情報とを第二の計算機の記憶装置に記憶するとともに前記乱数を第一のセッション管理テーブルに記憶し、
前記第一の計算機は、
前記通信障害を検出すると、セッションを再接続するために、再接続要求を第二の計算機に送り、
第二の計算機は、
再接続要求の受領に応じて、別のセッションを新たに生成するとともに第二のセッション管理テーブルを生成し、
前記第一の計算機は、
第二の計算機により認証された第一の計算機とのセッションを再接続するために、前記乱数を付加した第一の認証情報と前記第二の認証情報を前記第二の計算機へ送付し、
前記第二の計算機は、
受け取った前記乱数を付加した第一の認証情報および第二の認証情報と第二の計算機の記憶装置が前記第一のセッション管理テーブルに記憶する前記乱数を付加した第一の認証情報および第二の認証情報とをそれぞれ比較し、
一致した場合、前記第一のセッション管理テーブルに記憶された前記第一の認証情報と前記第二の認証情報とを第二のセッション管理テーブルに複写することにより、同じ乱数を用いて通信障害前後を引き継ぐことを特徴とする計算機の認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005160869A JP4581850B2 (ja) | 2005-06-01 | 2005-06-01 | 計算機の認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005160869A JP4581850B2 (ja) | 2005-06-01 | 2005-06-01 | 計算機の認証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006338227A JP2006338227A (ja) | 2006-12-14 |
| JP4581850B2 true JP4581850B2 (ja) | 2010-11-17 |
Family
ID=37558745
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005160869A Expired - Fee Related JP4581850B2 (ja) | 2005-06-01 | 2005-06-01 | 計算機の認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4581850B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7226013B2 (ja) * | 2019-03-27 | 2023-02-21 | ブラザー工業株式会社 | サーバ及びサーバのためのコンピュータプログラム |
| WO2022009337A1 (ja) * | 2020-07-08 | 2022-01-13 | 株式会社知財管理 | 情報管理システム、並びに、それに用いられる情報端末、情報管理プログラム、及び、情報管理方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004355562A (ja) * | 2003-05-30 | 2004-12-16 | Kddi Corp | 機器認証システム |
| JP2005100344A (ja) * | 2003-08-18 | 2005-04-14 | Ricoh Co Ltd | 情報処理装置、セッションの復旧方法、セッション復旧プログラム及び記録媒体 |
-
2005
- 2005-06-01 JP JP2005160869A patent/JP4581850B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004355562A (ja) * | 2003-05-30 | 2004-12-16 | Kddi Corp | 機器認証システム |
| JP2005100344A (ja) * | 2003-08-18 | 2005-04-14 | Ricoh Co Ltd | 情報処理装置、セッションの復旧方法、セッション復旧プログラム及び記録媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006338227A (ja) | 2006-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8938784B2 (en) | Authorization of server operations | |
| US8019996B2 (en) | Method for encrypted communication with a computer system and system therefor | |
| US7904952B2 (en) | System and method for access control | |
| US20100197293A1 (en) | Remote computer access authentication using a mobile device | |
| US20070266234A1 (en) | Information processing system | |
| US20050144441A1 (en) | Presence validation to assist in protecting against Denial of Service (DOS) attacks | |
| US9998288B2 (en) | Management of secret data items used for server authentication | |
| JP2007264835A (ja) | 認証方法およびシステム | |
| WO2023029138A1 (zh) | 登录方法、电子设备及计算机可读存储介质 | |
| CN112987942B (zh) | 键盘输入信息的方法、装置、系统、电子设备和存储介质 | |
| US20100011207A1 (en) | Service Oriented Architecture Device | |
| JP2009277024A (ja) | 接続制御方法、通信システムおよび端末 | |
| JP4581850B2 (ja) | 計算機の認証方法 | |
| CN112187726A (zh) | 数据传输方法、装置、存储介质及终端 | |
| US9143510B2 (en) | Secure identification of intranet network | |
| CN115943623A (zh) | 用于管理基于电话号码的用户账户的技术 | |
| JP4172548B2 (ja) | パスワード通知方法及びシステム | |
| JP2006526228A (ja) | ネットワーク装置内のローカルコミュニティ表示の管理用のセキュアな分散システム | |
| JP2003085142A (ja) | モバイルコンピューティングシステム及びモバイル端末 | |
| JP2005092723A (ja) | 端末装置、端末装置を目的装置に接続させるための接続装置 | |
| JP4717356B2 (ja) | 情報処理デバイス及びそれを用いた情報処理方法並びに情報処理プログラム | |
| CN116962998A (zh) | 一种验证信息发送方法、电子设备及介质 | |
| CN113157323A (zh) | 一种控制方法、装置及电子设备 | |
| CN112398789A (zh) | 远程登录的控制方法及装置、系统、存储介质、电子装置 | |
| JP2001282643A (ja) | リモートアクセスシステムにおけるアクセスチェックシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070315 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091217 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100105 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100302 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100803 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100816 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130910 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |