JP4628038B2 - リモートアクセス制御システムおよびリモートアクセス制御方法 - Google Patents

リモートアクセス制御システムおよびリモートアクセス制御方法 Download PDF

Info

Publication number
JP4628038B2
JP4628038B2 JP2004235380A JP2004235380A JP4628038B2 JP 4628038 B2 JP4628038 B2 JP 4628038B2 JP 2004235380 A JP2004235380 A JP 2004235380A JP 2004235380 A JP2004235380 A JP 2004235380A JP 4628038 B2 JP4628038 B2 JP 4628038B2
Authority
JP
Japan
Prior art keywords
remote access
information
server
log
trail
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004235380A
Other languages
English (en)
Other versions
JP2006053780A (ja
Inventor
仁勝 大野
伸治 佐野
澄人 遠藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2004235380A priority Critical patent/JP4628038B2/ja
Publication of JP2006053780A publication Critical patent/JP2006053780A/ja
Application granted granted Critical
Publication of JP4628038B2 publication Critical patent/JP4628038B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、リモートアクセスクライアントからリモートアクセスサーバにアクセスし、リモートアクセスサーバに接続されている運用対象機器を操作可能なシステム及び方法に関する。
遠隔地から操作対象サーバ機器を操作する技術として、シリアル接続の場合(例えば、特許文献1参照)やGUI(graphical user interface)を使用するKVM(keyboard video mouse)接続の場合(例えば、特許文献2参照)が知られている。
特開平10−283316号公報 特表2002−525750号公報
しかし、これらの技術では、データセンタ等、多数の操作端末や多数の対象サーバ機器を必要とする環境ではリモートアクセスサーバ単位の煩雑な利用者登録運用を行う必要があり、利用者の抹消漏れ等に起因する不正操作を防止できない。また、不正に操作された際、その不正利用者を追跡し、特定することができない。
本発明の第1の特徴は、通信回線を通じて行われるリモートアクセスクライアントからリモートアクセスサーバへのリモートアクセスを制御するシステムであって、(1)正規利用者か否かの利用者認証を行う利用者認証手段、(2)利用者認証手段から利用者認証結果を受け取り、アクセスログとして記録するアクセスログ記録手段、(3)利用者認証手段によって正規利用者として認証されたリモートアクセスクライアントからのリモートアクセスを受け付けるリモートアクセスサーバ、(4)リモートアクセスクライアントからリモートアクセスサーバへ送られたキーシーケンス情報またはマウス操作情報を記録する監査ログ記録手段を備えることにある。
本発明の第2の特徴は、第1の特徴に記載のリモートアクセスサーバが、キーイベント情報が入力されキーシーケンス情報を出力し、マウスイベント情報が入力されマウス操作情報を出力し、ビデオ情報が入力され画面遷移情報を出力する証跡取り出し手段、時刻情報を出力する時刻情報出力手段、キーシーケンス情報とマウス情報と画面遷移情報と時刻情報が入力され、これら情報に基づいて監査ログ情報を出力する証跡加工手段、を備えることにある。
本発明の第1の特徴によれば、利用者認証手段によって利用者のアカウントの一元管理が可能となる。このため、不正利用防止のために各リモートアクセスサーバに正規利用者のIDやパスワードを登録する必要がなくなり、アカウント管理の労力が軽減できる。
また、本発明の第1の特徴によれば、万一不正操作が発覚した場合には、記録されているアクセスログおよび監査ログを解析することによって、不正操作者・利用者を追跡・特定することができる。
さらに、本発明の第2の特徴によれば、監査ログ解析時に時刻情報と画面遷移情報を参照することによって、より迅速かつ的確に不正操作者・利用者を追跡・特定することができる。
以下に図面に基づいて、本発明を実施するための最良の形態を説明する。なお、以下の説明は、単なる例示に過ぎず、本発明の技術的範囲は以下の説明に限定されるものではない。
多数の操作端末や多数の対象サーバ機器を必要とする環境において、認証サーバと監査証跡サーバを配備することで、認証を受けた利用者だけに操作端末からのリモートアクセスサーバのエミュレーション操作を許可するとともに、監査証跡サーバで操作対象サーバに対する操作ログを収集して各認証ユーザの操作状況を再現可能とする。
図1にMSP(Management Services Provider)リモートアクセス基盤の概念図の一例を示す。図1に示すように、リモートアクセスクライアントとして使用する社内PC10a〜10cが、社内LAN12に接続されている。また、リモートアクセスクライアントとして使用するモバイルPC14a〜14cはFW(Fire Wall)によってVPN(Virtual Private Network)化されたインターネット16を経由して、社内LAN12にアクセスすることができる。
社内LAN12は、FW21を経由して、リモートアクセスサーバ27a〜27cにアクセスすることができる。リモートアクセスLAN29には、リモートアクセスサーバ27の他に認証サーバ23、証跡サーバ25が接続されている。リモートアクセスサーバ経由で行った操作(キー入力、画像出力、データ出力)は、監査証跡ログとして証跡サーバ25に自動的に収集、蓄積される。
リモートアクセスサーバ27aは、顧客システム30にアクセスすることができる。顧客システム30は、例えばローカルコンソール31、運用対象ネット機器33、運用対象サーバ35a、35b〜35n(nは任意の自然数)、ルータ37、顧客側本番ネットワーク39によって構成されている。リモートアクセスサーバ27aと運用対象ネット機器33はシリアル接続され、リモートアクセスサーバ27aと運用対象サーバ35a〜35nはKVM接続されている。運用対象ネット機器33、運用対象サーバ35a〜35nはルータ37を経て、ネットワーク39へ接続されている。運用対象サーバ35としては、例えばIA(Intel Architecture)サーバを使用する。
リモートアクセスサーバ27bは、顧客システム40にアクセスすることができる。顧客システム40は、運用対象ネット機器43、運用対象サーバ45a、45b〜45m(mは任意の自然数)、ルータ47、顧客側本番ネットワーク49によって構成されている。リモートアクセスサーバ27bと運用対象ネット機器43、運用対象サーバ45a〜45mはシリアル接続されている。運用対象ネット機器43、運用対象サーバ45a〜45mはルータ47を経て、ネットワーク49へ接続されている。運用対象サーバ45としては、例えばUNIX(登録商標)サーバを使用する。
リモートアクセスサーバ27cは、顧客システム50にアクセスすることができる。顧客システム50は、運用対象サーバ53a、53b〜53k(kは任意の自然数)、ルータ57、顧客側本番ネットワーク59によって構成されている。リモートアクセスサーバ27cと運用対象ネット機器53a〜53kはシリアル接続されている。運用対象ネット機器53a〜53kはルータ57を経て、ネットワーク59へ接続されている。
リモートアクセスクライアント10a〜10c、14a〜14cから、運用対象ネット機器33や運用対象サーバ35a〜35n、45a〜45m、53a〜53kを操作することができる。
<機能ブロック図>
図2に本発明の実施例における機能ブロック図を示す。図2に示すように、リモートアクセスクライアント10は、クライアントプログラム11、キーボード17、マウス18及びモニタ19を備える。認証サーバ23は、ユーザ認証機構231と、ログ取得機構232と、ユーザ情報DB24とを備える。証跡サーバ25は、ログ記録機構251と、アクセスログDB252と、監査ログDB253とを備える。リモートアクセスサーバ27a,bは操作機構271a,bとログ取得機構272a,bをそれぞれ有する。
認証サーバ23と、証跡サーバ25と、リモートアクセスサーバ27は、ネットワーク29へアクセス可能である。また、リモートアクセスクライアント10と、認証サーバ23と、証跡サーバ25と、リモートアクセスサーバ27は、ネットワーク12へアクセス可能である。リモートアクセスサーバ27aは、運用対象サーバ35a〜cとKVM接続され、リモートアクセスサーバ27bは、運用対象サーバ45a〜cとシリアル接続されている。
ユーザ認証機構231は、リモートアクセスクライアント10からIDとパスワードを受け取り、受け取ったIDとパスワードが、ユーザ情報DB24に予め対応付けて記憶されているIDとパスワードと一致すれば、リモートアクセスクライアント10からのアクセスを正規なアクセスとして認証する。
より具体的には、ユーザ認証機構231は、(1)リモートアクセスクライアント10から、クライアント10を操作しているユーザのユーザID、パスワードや、クライアント10に割り当てられているIPアドレス等とアクセス先情報を受け取り、(2―1)後述するリモートクライアントDB、ユーザアカウントDB、アクセス権限DB、リモートサーバDBをチェックし、(2−2)正当なアクセス権を持つユーザからのアクセスであると判断したならば、(2−3)セッションID、セッションキーを生成しセッション情報として記録するとともに、(2−4)リモートアクセスクライアント10に渡す。(3)リモートアクセスクライアント10は、認証サーバ23から得たセッションIDをリモートアクセスサーバ27へ伝え、リモート操作セッションの開始を要求する。(4)セッション開始要求を受け取ったリモートアクセスサーバ27は、セッションIDに基づきクライアント10のセッション情報を認証サーバ23へ問い合わせ、セッションキー情報を取得する。(5)クライアント10とリモートアクセスサーバ27は、セッションキー情報を使用して暗号化されたセキュアなリモート操作セッションを開始する。
<全体的な処理の流れ>
図3は、実施例における全体的な処理の流れを示すフローチャートである。図3に示すように、リモートアクセスクライアント10のクライアントプログラム11からユーザ認証の操作を行う(ステップS31)。
ステップS31の際の認証ログは、認証サーバ23のログ取得機構232から証跡サーバ25のログ記録機構251に伝えられてアクセスログとしてアクセスログDB252に記録される(ステップS32)。
クライアントプログラム11は、ユーザ認証が完了した後、リモートアクセスサーバ27の操作機構271と連携して動作し、運用対象サーバ35又は45のローカル端末のエミュレーションを行う(ステップS33)。
運用対象サーバ35又は45に対するキーボード17によるキーボード操作、マウス18によるマウス操作、モニタ19に対するモニタ表示は、リモートアクセスサーバ27のログ取得機構272から証跡サーバ25のログ記録機構251に伝えられて監査ログとして監査ログDB253に記録される(ステップS34)。
<リモートアクセスクライアント>
図4は、リモートアクセスクライアントの構成を示すブロック図である。図4に示すように、リモートアクセスクライアント10は、クライアントプログラム11とオペレーティングシステム(OS)101から構成される。OS101は、ネットワークインターフェースを含む。また、OS101は、キーボード17からキーボード入力を、マウス18からマウス入力を受け取り、モニタ19へビデオ出力を出力する。
なお、マウス18はポインティングデバイスの一例に過ぎない。マウスの代わりに、トラックボール、タッチパッド、ポインティングスティックなどを使用することもできる。また、モニタ19とは、例えば液晶ディスプレイ、CRTディスプレイなどである。
キーボード入力及びマウス入力は、OS101に入力され、キーイベント情報及びマウスイベント情報としてクライアントプログラム11に伝えられる。そして、ユーザ認証のための認証情報としてOS101を経て認証サーバ23へ送られるか、または運用対象サーバに対する操作情報としてOS101を経てリモートアクセスサーバ27へ送られる。
認証サーバ23は、アクセスログ情報を証跡サーバ25へ送る。リモートアクセスサーバ27は監査ログ情報を証跡サーバ25へ送る。
OS101から認証サーバ23へ送られる「認証情報」とは、ユーザID、パスワード、ネットワークインターフェースに設定されたIPアドレス等、利用者の属性を現す情報であり、
認証サーバ23からOS101へ送られる「認証情報」とは、リモートアクセスサーバと操作情報をやり取りする際に用いるセッション情報(セッションID、セッションキー)等である。
「アクセスログ情報」とはユーザ認証の証跡となる利用者の属性とリモートアクセスしたセッションの接続先および時刻情報を含む情報であり、例えばアクセス開始時刻、ログインが認証された又は拒否されたという結果、ユーザID、アクセスしているクライアントPCのIPアドレス、アクセスされているリモートアクセスサーバのIPアドレス、アクセスされている運用対象サーバが接続されているリモートアクセスサーバのポート番号、アクセス終了時刻などを含む。
OS101からリモートアクセスサーバ27へ送られる「操作情報」とは、セッション成立後に、利用者が行うキーボード17から入力されたキーイベント情報やマウス18の操作によって発生するマウスイベント情報をリモートアクセスサーバへ伝えるデジタルデータである。
リモートアクセスサーバ27からOS101へ送られる「操作情報」とはリモートアクセスサーバに接続された運用対象サーバが出力するビデオ信号をクライアントプログラム11へ伝えるデジタルデータである。
「監査ログ情報」とは上記の「操作情報」を時刻情報とあわせた形で監査証跡として蓄積利用可能な形に変換したものであり、例えばキーボード17上のどのキーが押されたかという情報とそれらが押された時刻、マウス18のどのボタンが押されたかという情報とそれらが押された時刻、モニタ19に出力された動画または静止画に対応するMPEGファイルまたはJPEGファイルとそれらが出力された時刻などを含む。
<アクセスログと監査ログ>
<リモートアクセスサーバへのログイン操作>
図5に、モニタ画面とアクセスログと監査ログの一例を示す。図5に示すように、リモートアクセスクライアント10からユーザ認証を試みると、ユーザID欄及びパスワード欄を有するログイン画面500を描画するための描画情報が、認証サーバ23からOS101を経て、ビデオ出力としてモニタ19へ出力され、ログイン画面500がモニタ19の表示画面に表示される。
例えば、ユーザID及びパスワードが入力され、ログインボタンがクリックされると、図5のアクセスログ内容511に示すように、2004年5月1日の20時34分にログインが認証され、ログインが認証されたユーザのIDはa9472であり、ログインに使用されたクライアントPCのIPアドレスは192.176.144.31であり、ログインの対象となっているリモートアクセスサーバのIPアドレスは192.176.106.10であり、ログインの対象となっている運用対象サーバが接続されているリモートアクセスサーバのポート番号は2であるという内容のアクセスログがアクセスログDB252に記憶される。
<運用対象サーバへのログイン操作>
また、認証後モニタに表示された運用対象サーバ35のシミュレーション画面510においてWindows(登録商標)のログインウインドウにユーザID及びパスワードが入力され、ログインボタン503上でマウス18がクリックされると、ユーザID欄501に入力された文字列及びパスワード欄502に入力された文字列がキーイベント情報として、またマウスがクリックされたという情報とそのときのX座標値及びY座標値がマウスイベント情報としてクライアントプログラム11へ送られる。
さらに、図5の監査ログ内容521に示すように、2004年5月1日の20時34分16秒にキーボード17のCtrlキー、Altキー、”D”キーが押され、次いで”a”, ”d”, ”m”, ”i”, ”n”, ”i”, ”s”, ”t”, ”r”, ”a”, ”t”, ”o”, ”r”の各キーが押されかつCRキーが押され、さらに”p”, ”a”, ”s”, ”s”, ”w”, ”o”, ”r”, ”d”の各キーが押されかつCRキーが押されたという内容の監査ログが監査ログDB253に記憶される。
図5は、ユーザが1名の例である。ユーザが複数の場合は、各監査ログがどのセッションに関するキーシーケンス情報、マウス操作情報、画面遷移情報かがわかるようにする必要がある。例えば、時刻情報やキー情報と共にセッション毎に一意になるセッション識別子を追加し、”Time: xxxxxxxx Session: xxxxxxxx Key: xxxxxx”のように監査ログに記録する方法や、時刻情報にセッションが一意に特定できるユーザID,リモートアクセスサーバのIPアドレス、運用対象サーバの接続ポート番号の組を追加して記録する等の方法がある。
<認証サーバモジュール>
図6は、認証サーバの構成を示すブロック図である。図6に示すように、認証サーバ23は、ネットワークインターフェース233とユーザ認証機構231とリモートクライアントDB241とユーザアカウントDB242とアクセス権限DB243とリモートサーバDB244とを備える。
リモートクライアントDB241とユーザアカウントDB242とアクセス権限DB243とリモートサーバDB244は、図2に示したユーザ情報DB24に対応する。つまり、ユーザ情報DB24は、リモートクライアントDB241とユーザアカウントDB242とアクセス権限DB243とリモートサーバDB244から構成されている。
リモートクライアントDB241は、リモートクライアントとして登録されているPCのIPアドレス等を記憶している。
ユーザアカウントDB242は、各ユーザのIDとパスワードを記憶している。
アクセス権限DB243は、各ユーザのIDとそのIDに対応するアクセスリスト(そのユーザがアクセス権限を有するリモートアクセスサーバのIPアドレスやデバイスID等の一覧表)を記憶している。
リモートサーバDB244は、リモートアクセスサーバのIPアドレスと、各リモートアクセスサーバの各ポートに接続されている運用対象サーバなどのデバイスのIDを記憶している。
リモートアクセスクライアント10からネットワークインターフェース233へ送られる情報は、認証情報(ユーザID、パスワード、リモートアクセスクライアント10のIPアドレスなど)および接続先リモートアクセスサーバの識別情報(リモートアクセスサーバ27のIPアドレス、運用対象サーバのデバイスIDなど)である。
ネットワークインターフェース233からリモートアクセスクライアント10へ送られる情報は、接続情報(認証の可否、セッションID、セッションキー情報など)である。
ネットワークインターフェース233からユーザ認証機構231へ送られる情報は、認証情報と接続先リモートアクセスサーバの識別情報である。
ユーザ認証機構231からネットワークインターフェース233へ送られる情報は、接続情報である。
ネットワークインターフェース233からリモートアクセスサーバ27へ送られる情報は、接続先リモートアクセスサーバの識別情報である。
リモートアクセスサーバ27からネットワークインターフェース233へ送られる情報は、接続情報である。
ネットワークインターフェース233から証跡サーバ25へアクセスログ情報が送られ、リモートアクセスサーバ27から証跡サーバ25へ監査ログ情報が送られる。
<リモートアクセスサーバ>
図7は、リモートアクセスサーバの構成を示すブロック図である。図7に示すように、リモートアクセスサーバ27は、ネットワークインターフェース273と、アナログ・デジタル変換部274と、証跡取り出し部275と、ログ出力(証跡加工)部276と、時刻モジュール277とを備える。
前記の如く、リモートアクセスクライアント10とネットワークインターフェース273とは操作情報を送受信する。
アナログ・デジタル変換部274は、ネットワークインターフェース273から操作情報を受け取り、操作情報中のキーイベント情報およびマウスイベント情報をデジタル信号からアナログ信号へ変換して、キーボード入力およびマウス入力としてKVMタイプの運用対象サーバ35へ送る。また、アナログ・デジタル変換部274は、運用対象サーバ35からビデオ出力を受け取り、デジタル信号からアナログ信号へ変換してビデオ情報とする。また、アナログ・デジタル変換部274は、シリアルタイプの運用対象サーバ45との間でシリアル入出力を送受信する。アナログ・デジタル変換部274から運用対象サーバ45へ送られるシリアル入出力の内容は、RS232Cの規格による文字列データであり、運用対象サーバ45からアナログ・デジタル変換部274へ送られるシリアル入出力の内容もRS232Cの規格による文字列データである。さらに、アナログ・デジタル変換部274は、キーイベント情報、マウスイベント情報およびビデオ情報を証跡取り出し部275へ出力する。
証跡取り出し部275は、キーシーケンス情報、マウス操作情報および画面遷移情報をログ出力(証跡加工)部276へ出力する。
「キーイベント情報」は、キーコードという個々のキーをあらわすコードと押す/離すの情報であり、「キーシーケンス情報」は、連続して押されたキー文字列を表す情報である。
「マウスイベント情報」は、マウスのX軸、Y軸、ホイールの移動量と、マウスのボタンの押す/離すの情報であり、「マウス操作情報」は、一定時間のマウスイベント情報をまとめた情報である。例えば、「L-B:Press」はマウスの左(Left)ボタンが押されたことを示す「マウスイベント情報」である。
「ビデオ情報」は、いわゆるアナログビデオ信号であり、「画面遷移情報」は、アナログビデオ信号をデジタルデータにキャプチャした、動画もしくは静止画の情報である。
ログ出力(証跡加工)部276は、時刻モジュール277から現在時刻を示す時刻情報を受け取る。そして、ログ出力(証跡加工)部276は、キーシーケンス情報に時刻情報を付加して、マウス操作情報に時刻情報を付加して、または画面遷移情報として受け取った画面ファイルのファイル名に時刻情報を付加して、監査ログ情報としてネットワークインターフェース273へ出力する。また、ログ出力(証跡加工)部276は、画面遷移情報として受け取った画像ファイルをネットワークインターフェース273へ出力する。
そして、ネットワークインターフェース273は、監査ログ情報および画像ファイルを証跡サーバ25へ送る。
アナログ・デジタル変換部274は、図2の操作機構271に相当する。証跡取り出し部275,ログ出力(証跡加工)部276,時刻モジュール277は、図2のログ取得機構272に相当する。
<証跡サーバモジュール>
図8は、証跡サーバの構成を示すブロック図である。図8に示すように、証跡サーバ25は、ネットワークインターフェース258と、ログ記録機構251と、アクセスログDB252と、監査ログDB253と、ファイル転送部255と、静止画ファイルDB256と、動画ファイルDB257とを備える。
ネットワークインターフェース258は、リモートアクセスサーバ27から監査ログ情報と画像ファイルを受け取り、認証サーバ23からアクセスログ情報を受け取り、ログ記録機構251へ監査ログ情報とアクセスログ情報を送り、ファイル転送部255へ画像ファイルを送る。
ログ記録機構251は、アクセスログ情報をアクセスログDB252へ記録し、監査ログ情報を監査ログDB253へ記録する。
ファイル転送部255は、静止画ファイルを静止画ファイルDB256へ転送し、動画ファイルを動画ファイルDB257へ転送する。
<変形例>
図9は、本発明の変形例における機能ブロック図である。図9に示すように、リモートアクセスクライアント10は、クライアントプログラム11、キーボード17、マウス18およびモニタ19を備える。認証サーバ23は、ユーザ認証機構231と、ログ取得機構234と、ユーザ情報DB24とを備える。証跡サーバ25は、ログ記録機構251と、アクセスログDB252と、監査ログDB253とを備える。リモートアクセスサーバ27a,bは操作機構271a,bを有する。かかる変形例は、リモートアクセスクライアント10が直接リモートアクセスサーバ27a,bと通信を行わないという点で実施例と異なる。
変形例における全体的な処理の流れは図3に示したものと同様である。つまり、リモートアクセスクライアント10のクライアントプログラム11からユーザ認証の操作を行う(ステップS31)。
ステップS31の際の認証ログは、認証サーバ23のログ取得機構234から証跡サーバ25のログ記録機構251に伝えられてアクセスログとしてアクセスログDB252に記録される(ステップS32)。
クライアントプログラム11は、ユーザ認証が完了した後、リモートアクセスサーバ27の操作機構271と連携して動作し、運用対象サーバ35又は45のローカル端末のエミュレーションを行う(ステップS33)。図9に示すように、変形例では運用対象サーバ35等への操作指示は認証サーバ23を経由して行われる。
運用対象サーバ35又は45に対するキーボード17によるキーボード操作、マウス18によるマウス操作、モニタ19に対するモニタ表示は、ログ取得機構272により監査ログとして監査ログDB253に記録される(ステップS34)。
なお、図1の例では、リモートアクセスサーバ27aが1筐体でこれに対して複数の運用対象サーバ35a,35b・・・35nが接続されている。リモートアクセスサーバ27b,27cについても同様である。しかし、リモートアクセスサーバの実装形態はこれに限定されない。例えば、小型化されたリモートアクセスサーバを運用対象サーバあたり1台使用する(リモートアクセスサーバ1台に対して運用対象サーバ1台)としても良い。また、リモートアクセスサーバ機能を備えるリモートアクセスサーバカードを運用対象サーバ内に組み込むとしても良い。
MSP(Management Services Provider)リモートアクセス基盤の概念図の一例である。 本発明の実施例における機能ブロック図である。 本発明の実施例における全体的な処理の流れを示すフローチャートである。 本発明の実施例におけるリモートアクセスクライアントの構成を示すブロック図である。 本発明の実施例におけるモニタ画面とアクセスログと監査ログの一例を示す。 本発明の実施例における認証サーバの構成を示すブロック図である。 本発明の実施例におけるリモートアクセスサーバの構成を示すブロック図である。 本発明の実施例における証跡サーバの構成を示すブロック図である。 本発明の変形例における機能ブロック図である。
符号の説明
10、14…リモートアクセスクライアント、 12…LAN、
16…インターネット、 21…ファイヤーウォール、
23…認証サーバ(利用者認証手段)、 25…証跡サーバ、
27…リモートアクセスサーバ、 31…ローカルコンソール、
33、43…運用対象ネット機器、 35、45、53…運用対象サーバ、
37、47、57…ルータ、 252…アクセスログDB(アクセスログ記録手段)、
253…監査ログDB(監査ログ記録手段)

Claims (2)

  1. リモートアクセスクライアントから操作対象サーバへのリモートアクセスを制御するリモートアクセス制御システムであって、
    正規利用者か否かの利用者認証を行う利用者認証手段、
    前記利用者認証手段から利用者認証結果を受け取り、アクセスログとして記録するアクセスログ記録手段、
    前記利用者認証手段によって正規利用者として認証されたリモートアクセスクライアントからのリモートアクセスを受け付けるリモートアクセスサーバ、
    前記リモートアクセスクライアントと前記操作対象サーバとの間で、前記リモートアクセスサーバを経由して送受信される操作情報に基づいた監査ログ情報を記録する監査ログ記録手段、を備え、
    前記リモートアクセスサーバは、
    前記リモートアクセスクライアントから前記操作対象サーバへ送信される操作情報が入力された場合、キーシーケンス情報またはマウス操作情報を取り出すとともに、前記操作対象サーバから前記リモートアクセスクライアントへ送信される操作情報が入力された場合、アナログビデオ信号をデジタルデータにキャプチャした動画もしくは静止画である画面遷移情報を取り出す証跡取り出し手段、
    時刻情報を取得する時刻情報取得手段、
    前記証跡取り出し手段がキーシーケンス情報またはマウス操作情報を取り出した場合、当該キーシーケンス情報またはマウス操作情報に前記時刻情報取得手段が取得した時刻情報を付加した監査ログ情報を前記監査ログ記憶手段に出力するとともに、前記証跡取り出し手段が画面遷移情報を取り出した場合、当該画面遷移情報前記時刻情報取得手段が取得した時刻情報を付加した監査ログ情報前記監査ログ記憶手段に出力する証跡加工手段、を備えること
    を特徴とするリモートアクセス制御システム。
  2. リモートアクセスクライアントから操作対象サーバへのリモートアクセスを制御するリモートアクセス制御方法であって、
    利用者認証手段が、正規利用者か否かの利用者認証を行うステップ、
    アクセスログ記録手段が、前記利用者認証手段から利用者認証結果を受け取り、アクセスログとして記録するステップ、
    リモートアクセスサーバが、前記利用者認証手段によって正規利用者として認証されたリモートアクセスクライアントからのリモートアクセスを受け付けるステップ、
    監査ログ記録手段が、前記リモートアクセスクライアントと前記操作対象サーバとの間で、前記リモートアクセスサーバを経由して送受信される操作情報に基づいた監査ログ情報を記録するステップ、を含み、
    前記リモートアクセスサーバは、前記リモートアクセスを受け付けるステップにおいて、
    前記リモートアクセスクライアントから前記操作対象サーバへ送信される操作情報が入力された場合、キーシーケンス情報またはマウス操作情報を取り出すとともに、前記操作対象サーバから前記リモートアクセスクライアントへ送信される操作情報が入力された場合、アナログビデオ信号をデジタルデータにキャプチャした動画もしくは静止画である画面遷移情報を取り出す証跡取り出しステップ、
    時刻情報を取得する時刻情報取得ステップ、
    前記証跡取り出しステップでキーシーケンス情報またはマウス操作情報を取り出した場合、当該キーシーケンス情報またはマウス操作情報に前記時刻情報取得ステップで取得した時刻情報を付加した監査ログ情報を出力するとともに、前記証跡取り出しステップで画面遷移情報を取り出した場合、当該画面遷移情報前記時刻情報取得ステップで取得した時刻情報を付加した監査ログ情報出力する証跡加工ステップ、を含むこと
    を特徴とするリモートアクセス制御方法。
JP2004235380A 2004-08-12 2004-08-12 リモートアクセス制御システムおよびリモートアクセス制御方法 Expired - Fee Related JP4628038B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004235380A JP4628038B2 (ja) 2004-08-12 2004-08-12 リモートアクセス制御システムおよびリモートアクセス制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004235380A JP4628038B2 (ja) 2004-08-12 2004-08-12 リモートアクセス制御システムおよびリモートアクセス制御方法

Publications (2)

Publication Number Publication Date
JP2006053780A JP2006053780A (ja) 2006-02-23
JP4628038B2 true JP4628038B2 (ja) 2011-02-09

Family

ID=36031219

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004235380A Expired - Fee Related JP4628038B2 (ja) 2004-08-12 2004-08-12 リモートアクセス制御システムおよびリモートアクセス制御方法

Country Status (1)

Country Link
JP (1) JP4628038B2 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008097187A (ja) * 2006-10-10 2008-04-24 Toshiba Corp リモートアクセスシステムおよび保守用端末および医用機器
JP3987101B1 (ja) * 2007-01-25 2007-10-03 Sky株式会社 クライアント端末監視システム
JP4130841B1 (ja) * 2007-02-06 2008-08-06 Sky株式会社 ネットワーク管理システムとそのためのプログラム
JP4675921B2 (ja) * 2007-03-20 2011-04-27 株式会社エヌ・ティ・ティ・データ 情報処理システム及びコンピュータプログラム
JP5179792B2 (ja) * 2007-07-13 2013-04-10 株式会社日立システムズ 操作検知システム
EP3719688B1 (en) * 2017-12-01 2023-02-08 Nec Corporation Operation authentication relay device, method, and program
JP7192947B2 (ja) * 2017-12-01 2022-12-20 日本電気株式会社 操作認証中継装置、方法、プログラム
CN112115460A (zh) * 2020-09-27 2020-12-22 西安万像电子科技有限公司 图像管理系统的管理方法及管理装置、授权管理系统
CN114531295A (zh) * 2022-03-01 2022-05-24 中国光大银行股份有限公司 一种用户行为审计系统、方法、设备及存储介质

Also Published As

Publication number Publication date
JP2006053780A (ja) 2006-02-23

Similar Documents

Publication Publication Date Title
JP4709966B2 (ja) リモートコントロールシステム及びリモートコントロール装置
EP3691217B1 (en) Web traffic logging system and method for detecting web hacking in real time
US7496959B2 (en) Remote collection of computer forensic evidence
CN105933415A (zh) 一种基于vnc代理的云计算环境中虚拟机在线录屏方法与系统
JP4649253B2 (ja) ログ取得プログラムおよび方法
JP4628038B2 (ja) リモートアクセス制御システムおよびリモートアクセス制御方法
US20150326692A1 (en) Terminal device, information processing system, information processing method, and program
JP6961555B2 (ja) 入退室管理システム
JP2007310512A (ja) 通信システム、サービス提供サーバおよびユーザ認証サーバ
US20180007026A1 (en) Network monitoring method and device
WO2022227311A1 (zh) 对终端进行远程控制的接入处理方法、设备和存储介质
US7822857B2 (en) Methods and systems for sharing remote access
CN104717127B (zh) 基于图像识别实现联系人触发的方法、终端及系统
KR102118380B1 (ko) 사용자별 서버 작업 통제 기능을 탑재한 접근통제 시스템
US20170155643A1 (en) System, device and method for monitoring network
US11853102B2 (en) Remote control system, remote control method, and non-transitory information recording medium
JP2012064007A (ja) 情報処理装置、通信中継方法およびプログラム
CN114079569A (zh) 一种开放授权方法及装置、设备、存储介质
KR102351795B1 (ko) 클라우드 환경에서 네트워크 장비들을 원격으로 관리하는 방법 및 이를 이용한 클라우드 터미널 컨트롤 서버
JPH1173391A (ja) データ通信システムおよび方法
JP2017102758A (ja) 認証装置、認証方法及びプログラム
US11652814B2 (en) Password protection in a computing environment
Turnbull et al. Wi-Fi network signals as a source of digital evidence: Wireless network forensics
JP6055546B2 (ja) 認証装置、認証方法、およびプログラム
CN107066874B (zh) 容器系统间交互验证信息的方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070314

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100427

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100628

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100817

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101014

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101102

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101109

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131119

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees