JP5236352B2 - アプリケーション配信制御システム、アプリケーション配信制御方法、情報処理装置、およびクライアント端末 - Google Patents

アプリケーション配信制御システム、アプリケーション配信制御方法、情報処理装置、およびクライアント端末 Download PDF

Info

Publication number
JP5236352B2
JP5236352B2 JP2008128738A JP2008128738A JP5236352B2 JP 5236352 B2 JP5236352 B2 JP 5236352B2 JP 2008128738 A JP2008128738 A JP 2008128738A JP 2008128738 A JP2008128738 A JP 2008128738A JP 5236352 B2 JP5236352 B2 JP 5236352B2
Authority
JP
Japan
Prior art keywords
application
data
client terminal
information processing
distribution server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008128738A
Other languages
English (en)
Other versions
JP2009277089A (ja
Inventor
和志 仲川
崇利 加藤
弘実 礒川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2008128738A priority Critical patent/JP5236352B2/ja
Priority to US12/396,157 priority patent/US8606935B2/en
Publication of JP2009277089A publication Critical patent/JP2009277089A/ja
Application granted granted Critical
Publication of JP5236352B2 publication Critical patent/JP5236352B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/142Managing session states for stateless protocols; Signalling session states; State transitions; Keeping-state mechanisms

Description

本発明は、アプリケーション配信制御システム、アプリケーション配信制御方法、情報処理装置、およびクライアント端末に関するものであり、具体的には、サーバベースコンピューティングの画面転送方式によるネットワーク負荷の低減やサーバへの負荷集中の回避を図り、ユーザの作業効率向上等を可能とする技術に関する。
企業情報システムにおけるCRM(Customer Relationship Management)やコラボレーションツール、ERP(Enterprise Resource Planning)パッケージ等のソフトウェアは、ますます重要性を増しており、多くの企業で取り入れられている。このようなソフトウェアは、従来自社でかかえるIT部門によってハードからアプリケーションまですべてを揃えて運用されていることが多い。そのため、ソフトウェアの導入に際しては、仕様検討から購入や構築、運用など多くの時間と投資を要していた。
一方で近年、SaaS(Software as a Service)およびASP(Application Service Provider)と呼ばれる形態でのソフトウェアサービス提供が普及しつつある。SaaSおよびASPを利用した場合、外部ベンダーの提供するソフトウェアの機能をネットワーク経由で利用し、自社の情報システム機能の一部をアウトソースする。SaaSおよびASPの利用によって企業は、必要なときに必要なソフトウェアサービスを迅速に利用可能となり、初期投資コストおよび運用コストを低く抑えることが可能となる。また、資産としてサーバやソフトウェアを保有する必要がないといったメリットもある。
また一方で、企業の一般業務でのPC利用が拡大するとともに、PCの高性能化が進んでいる。高性能化に伴い企業の従業員に貸し与えるPCの買い替え頻度がますます多くなり、多くの投資を必要としている。また、従業員数の増大にともなって、個々のPCのOS(Operating System)や業務アプリケーションのバージョンアップ、バグフィックス、ウィルス対策、バックアップなどを統一的に管理することは極めて困難なものになっている。
この管理コストを低減するための一手法として、サーバベースコンピューティング方式(あるいはクライアントサーバ方式)と呼ばれるシステム運用の方式が取られている。これは、主なプログラムやデータをサーバ側に蓄積し、例えば、ThinClient(シンクライアント)のようなクライアント側に蓄積するデータを低減させたものである(例えば特許文献1)。サーバベースコンピューティング方式では、演算処理やデータの蓄積は主にサーバ側で行われるため、シンクライアントのようなクライアント側にて個々にOSや業務に利用するアプリケーションのバージョンアップやバグフィックス、ウィルス対策やウィルス駆除などを行う必要性や頻度が減少し、全体の管理コストを低減できる。またハードウェアの置き換えはサーバ側のみを適宜行えばよく、コスト低減を図ることができる。
特開2004−094411号公報
上述したサーバベースコンピューティング方式では、サーバにデータや処理能力の主体を置き、クライアントが前記サーバをネットワーク経由でリモートコントロールする。こうしたサーバベースコンピューティング方式のうち、特に画面転送方式と呼ばれる実現形態では、クライアントからはマウスやキーボード等のユーザ入力情報をサーバへ送信し、一方のサーバはデータ処理結果の画面情報を送り返すことになる。
一般的に、GUI(Graphical User Interface)を持つOS(Operating System)では、サーバがクライアントへ送り返す画面情報量が多く、そのために帯域の狭いネットワークの場合にはユーザレスポンスが悪化してユーザビリティを落とすことになりがちである。また、処理能力をサーバに依存するため、サーバに負荷が集中してしまい、レスポンスが悪化するという課題もある。
また、インターネット上にあるSaaSおよびASP(他社提供のもの)を利用する場合、提供されるユーザ認証機能はブラックボックス化された独自のシステムによるため、必ずしも自社のセキュリティポリシーを満たすことができないという課題がある。
そこで本発明は上記課題を鑑みてなされたものであり、サーバベースコンピューティングの画面転送方式によるネットワーク負荷の低減やサーバへの負荷集中の回避を図り、ユーザの作業効率向上等を可能とする技術の提供を主たる目的とする。
上記課題を解決する本発明のアプリケーション配信制御システムは、クライアント端末と、前記クライアント端末とシンクライアントシステムを構成する情報処理装置と、他装置にネットワーク経由でアプリケーションの機能を提供するアプリケーション配信サーバとを含むシステムであって、前記情報処理装置は、当該情報処理装置から前記アプリケーション配信サーバのアプリケーションを利用する時の、当該情報処理装置における前記アプリケーションの利用状態を示すデータである利用状態データを収集しメモリに格納するデータ収集手段と、前記利用状態データをメモリより読み出し、ネットワークを介してクライアント端末に移動させるデータ移動手段とを備えるものであり、前記クライアント端末は、前記情報処理装置より前記利用状態データを受け取って、当該クライアント端末における前記アプリケーションの利用状態を前記利用状態データにより設定するデータ設定手段と、前記アプリケーション配信サーバに対して前記アプリケーションの利用要求をネットワークを介して送信する要求送信手段とを備えるものであり、前記アプリケーション配信サーバは、前記クライアント端末から前記アプリケーションの利用要求をネットワークを介して受信し、前記クライアント端末にネットワーク経由で前記アプリケーションの機能を提供するサービス提供手段を備えるものであり、前記情報処理装置のデータ収集手段は、当該情報処理装置から前記アプリケーション配信サーバのアプリケーションを利用する時の、セキュリティポリシーのデータを当該情報処理装置の記憶装置より読み出してメモリに格納するものであり、前記情報処理装置のデータ移動手段は、前記セキュリティポリシーデータをメモリより読み出し、ネットワークを介してクライアント端末に移動させるものであり、前記クライアント端末のデータ設定手段は、前記情報処理装置より前記セキュリティポリシーデータを受け取って記憶装置に格納するものであり、前記クライアント端末の要求送信手段は、前記記憶装置よりセキュリティポリシーデータを読み出して、前記アプリケーション配信サーバが前記セキュリティポリシーデータに規定されているか判定し、前記セキュリティポリシーデータに規定されたアプリケーション配信サーバに対して前記アプリケーションの利用要求をネットワークを介して送信するものであることを特徴とする。
前記アプリケーション配信制御システムにおいて、前記情報処理装置のデータ収集手段は、当該情報処理装置から前記アプリケーション配信サーバのアプリケーションを利用する時に用いるブラウザの、ウィンドウサイズ、cookie、プロキシサーバアドレス、タブ状態、ブックマーク、URL履歴、キャッシュデータの少なくともいずれかを前記利用状態データとして当該情報処理装置の記憶装置より収集するものであり、前記クライアント端末のデータ設定手段は、前記情報処理装置より前記利用状態データを受け取り、当該クライアント端末における前記アプリケーションの利用状態の設定として、当該クライアント端末が備えるブラウザに対し前記利用状態データにより、ウィンドウサイズ、cookie、プロキシサーバアドレス、タブ状態、ブックマーク、URL履歴、キャッシュデータの少なくともいずれかを設定するものである、としてもよい。
また、前記アプリケーション配信制御システムにおいて、前記情報処理装置のデータ収集手段は、当該情報処理装置から前記アプリケーション配信サーバのアプリケーションを利用する時に用いる認証情報を、当該情報処理装置の記憶装置より読み出してメモリに格納するものであり、前記情報処理装置のデータ移動手段は、前記認証情報をメモリより読み出し、ネットワークを介してクライアント端末に移動させるものであり、前記クライアント端末の要求送信手段は、前記情報処理装置より前記認証情報を受信して、この認証情報を含む認証要求を前記アプリケーション配信サーバに対して送信し、この認証要求に応じてアプリケーション配信サーバから認証結果を受信し、前記認証結果が認証成功を示すものであれば前記アプリケーションの利用要求の送信を行うものであり、前記アプリケーション配信サーバのサービス提供手段は、前記クライアント端末から認証要求を受信し、この認証要求が含む認証情報と記憶装置中の認証用データとを照合して認証処理を実行して認証結果を生成し、この認証結果を前記クライアント端末に送信するものである、としてもよい。
前記セキュリティポリシー(security policy)は、例えば、ある組織での情報セキュリティに関する基本方針を規定したものであり、セキュリティ対策基準や個別具体的な実施手順などを含む。規定の例としては、どの情報を誰(或いはどのコンピュータ)が読み取れるようにするか、どの操作を誰(あるいはどのコンピュータ)に対して許可するか、どのデータを暗号化するかなど、情報の目的外利用や外部からの侵入、機密漏洩などを防止する規定が想定できる。
また、前記アプリケーション配信制御システムにおいて、前記セキュリティポリシーデータが、前記情報処理装置の記憶装置に対するクライアント端末からの利用可否の情報を含み、前記クライアント端末の要求送信手段は、前記記憶装置よりセキュリティポリシーデータを読み出して、このセキュリティポリシーデータにおいて前記情報処理装置の記憶装置が利用可能と規定されているか判定し、前記情報処理装置の記憶装置が利用可能である場合に、前記情報処理装置に対して前記記憶装置の利用要求を送信し、前記アプリケーション配信サーバに対して前記アプリケーションの利用に伴う保存用データの取得要求を送信し、前記アプリケーション配信サーバから取得した保存用データの前記記憶装置への格納を前記情報処理装置に指示するものであり、前記情報処理装置は、前記クライアント端末から前記記憶装置の利用要求を受信して、前記記憶装置について前記クライアント端末の利用許可の設定を実行し、前記クライアント端末から前記保存用データの格納指示を受信して、前記記憶装置において前記保存用データを格納する、マウント手段を備え、前記アプリケーション配信サーバのサービス提供手段は、前記クライアント端末から前記保存用データの取得要求を受信して、該当保存用データを記憶装置より読み出し、この保存用データを、前記クライアント端末にネットワーク経由で送信するものである、としてもよい。
なお、前記情報処理装置のマウント手段が行う、前記記憶装置について前記クライアント端末の利用許可の設定は、いわゆる「マウント」の処理を指すものである。この「マウント」は、ストレージなどをコンピュータに認識させ、コンピュータから操作可能にする処理のことである。
また、前記アプリケーション配信制御システムにおいて、前記情報処理装置または前記クライアント端末から前記アプリケーション配信サーバへのアクセスを中継するプロキシサーバが備わり、当該プロキシサーバが、前記情報処理装置または前記クライアント端末から前記アプリケーション配信サーバにアクセスする際に必要な認証手順、および前記情報処理装置または前記クライアント端末と前記アプリケーション配信サーバとの間のセッション維持を代行するものであるとしてもよい。
なお、前記プロキシサーバは、企業などの内部ネットワークとインターネットとの境にあって、直接インターネットに接続できない内部ネットワークのコンピュータに代わって、「代理」としてインターネットとの接続を行なうサーバ装置である。プロキシサーバは、ネットワークに出入りするアクセスを一元管理し、内部から特定の種類の接続のみを許可したり、外部からの不正なアクセスを遮断するために用いられる。
また、本発明のアプリケーション配信制御方法は、クライアント端末と、前記クライアント端末とシンクライアントシステムを構成する情報処理装置と、他装置にネットワーク経由でアプリケーションの機能を提供するアプリケーション配信サーバとが実行する方法であって、前記情報処理装置が、当該情報処理装置から前記アプリケーション配信サーバのアプリケーションを利用する時の、当該情報処理装置における前記アプリケーションの利用状態を示すデータである利用状態データを収集しメモリに格納する処理と、前記利用状態データをメモリより読み出し、ネットワークを介してクライアント端末に移動させる処理とを実行し、前記クライアント端末が、前記情報処理装置より前記利用状態データを受け取って、当該クライアント端末における前記アプリケーションの利用状態を前記利用状態データにより設定する処理と、 前記アプリケーション配信サーバに対して前記アプリケーションの利用要求をネットワークを介して送信する処理とを実行し、前記アプリケーション配信サーバが、前記クライアント端末から前記アプリケーションの利用要求をネットワークを介して受信し、前記クライアント端末にネットワーク経由で前記アプリケーションの機能を提供する処理とを実行し、前記情報処理装置は、当該情報処理装置から前記アプリケーション配信サーバのアプリケーションを利用する時の、セキュリティポリシーのデータを当該情報処理装置の記憶装置より読み出してメモリに格納する処理と、前記セキュリティポリシーデータをメモリより読み出し、ネットワークを介してクライアント端末に移動させる処理とを実行し、前記クライアント端末は、前記情報処理装置より前記セキュリティポリシーデータを受け取って記憶装置に格納する処理と、前記記憶装置よりセキュリティポリシーデータを読み出して、前記アプリケーション配信サーバが前記セキュリティポリシーデータに規定されているか判定し、前記セキュリティポリシーデータに規定されたアプリケーション配信サーバに対して前記アプリケーションの利用要求をネットワークを介して送信する処理とを実行することを特徴とする。
また、本発明の情報処理装置は、クライアント端末とシンクライアントシステムを構成する情報処理装置であって、他装置にネットワーク経由でアプリケーションの機能を提供するアプリケーション配信サーバにてアプリケーションを利用する時の、当該情報処理装置における前記アプリケーションの利用状態を示すデータである利用状態データを収集しメモリに格納するデータ収集手段と、前記利用状態データをメモリより読み出し、ネットワークを介してクライアント端末に移動させるデータ移動手段とを備え、前記情報処理装置のデータ収集手段は、当該情報処理装置から前記アプリケーション配信サーバのアプリケーションを利用する時の、セキュリティポリシーのデータを当該情報処理装置の記憶装置より読み出してメモリに格納するものであり、前記情報処理装置のデータ移動手段は、前記セキュリティポリシーデータをメモリより読み出し、ネットワークを介してクライアント端末に移動させるものであることを特徴とする。
また、本発明のクライアント端末は、情報処理装置とシンクライアントシステムを構成するクライアント端末であって、他装置にネットワーク経由でアプリケーションの機能を提供するアプリケーション配信サーバにてアプリケーションを利用する時の、前記情報処理装置における前記アプリケーションの利用状態を示すデータである利用状態データを、前記情報処理装置より取得して、当該クライアント端末における前記アプリケーションの利用状態を前記利用状態データにより設定するデータ設定手段と、前記アプリケーション配信サーバに対して前記アプリケーションの利用要求をネットワークを介して送信する要求送信手段と、前記アプリケーション配信サーバから、ネットワーク経由で前記アプリケーションを利用するサービス利用手段とを備え、前記情報処理装置は、当該情報処理装置から前記アプリケーション配信サーバのアプリケーションを利用する時の、セキュリティポリシーのデータを当該情報処理装置の記憶装置より読み出してメモリに格納するものであり、前記クライアント端末のデータ設定手段は、前記情報処理装置より前記セキュリティポリシーデータを受け取って記憶装置に格納するものであり、前記クライアント端末の要求送信手段は、前記記憶装置よりセキュリティポリシーデータを読み出して、前記アプリケーション配信サーバが前記セキュリティポリシーデータに規定されているか判定し、前記セキュリティポリシーデータに規定されたアプリケーション配信サーバに対して前記アプリケーションの利用要求をネットワークを介して送信するものであることを特徴とする。
その他、本願が開示する課題、及びその解決方法は、発明の実施の形態の欄、及び図面により明らかにされる。
本発明によれば、サーバベースコンピューティングの画面転送方式によるネットワーク負荷の低減やサーバへの負荷集中の回避を図り、ユーザの作業効率向上等が可能となる。
−−−システム構成−−−
以下に本発明の実施形態について図面を用いて詳細に説明する。図1は、本実施形態のアプリケーション配信制御システム10のネットワーク構成図である。図1に示すアプリケーション配信制御システム10は、ネットワークを介して互いに接続された、情報処理装置たるクライアントブレード100、前記クライアントブレード100をリモートコントロールするクライアント端末200、前記クライアントブレード100やクライアント端末200に対しネットワーク経由でアプリケーションを利用させるアプリケーション配信サーバ300を有するシステムである。
なお、クライアントブレード100は、クライアント端末200との間にVPN(Virtual Private Network)を構築し、このVPNを介して、クライアント端末200から送られてきた入力情報(入力装置の操作内容)を受信し処理すると共に、処理結果を示す映像情報(ディスプレイ装置のデスクトップ画面)をクライアント端末200に送信することとなる。クライアントブレード100は、通常は入出力装置をローカル接続しないで使用するサーバ装置である。
また、前記ネットワークとしては、例えばインターネット、LAN(LocalAreaNetwork)、電話回線などの外部ネットワーク140と、社内ネットワーク145とを想定している。前記外部ネットワーク140は、クライアント端末200やゲートウェイサーバ400、アプリケーション配信サーバ300を相互に接続し、データのやり取りを中継する外部ネットワーク140ものである。一方、前記社内ネットワーク145は、ゲートウェイサーバ400によって前記外部ネットワーク140から区切られた企業内のネットワークであり、クライアントブレード100、ゲートウェイサーバ400、プロキシサーバ410、認証サーバ420などが接続されている。
また、前記プロキシサーバ410は、クライアントブレード100からアプリケーション配信サーバ300への接続を中継するサーバであり、また、前記ゲートウェイサーバ400は、社内ネットワーク145と外部ネットワーク140との境界にあり、ファイアーウォールの機能を果たすサーバである。更に、前記認証サーバ420は、ユーザの認証情報を一元管理するサーバであり、各サービスに対するユーザID情報とパスワード等の認証情報のリストを不揮発性の記憶装置中に保持している。この認証サーバ420は、ユーザの認証情報リストを要求してきたアプリケーションに対し、必要な認証用情報(ユーザIDおよびユーザパスワード)を要求して、ユーザが他のユーザの認証情報リストを参照できないように制御できる。
次に、本実施形態におけるアプリケーション配信制御システム10を構成する各装置について各々説明する。図2は本実施形態の情報処理装置たるクライアントブレード100の構成例を示す図である。前記クライアントブレード100は、クライアント端末200からのリモートアクセスを受け付けてシンクライアントシステムを構成する情報処理装置たるサーバ装置である。また、本発明を実現する機能を備えるべくHDD(ハードディスクドライブ)101やCF(Compact Flash)などに格納されたプログラム102をRAM103に読み出し、演算装置たるCPU104により実行する。
また、前記クライアントブレード100は、コンピュータ装置が一般に備えている各種キーボードやボタン類などの入力インターフェイス105、必要であればディスプレイなどの出力インターフェイス106、ならびに、アプリケーション配信サーバ300やクライアント端末200などとの間のデータ授受を担う通信インターフェイス107などを有している。
こうしたクライアントブレード100が、例えばプログラム102に基づき構成・保持する機能部につき説明を行う。前記クライアントブレード100は、当該クライアントブレード100から前記アプリケーション配信サーバ300のアプリケーションを利用する時の、当該クライアントブレード100における前記アプリケーションの利用状態のデータを収集しRAM103に格納するデータ収集手段110を備える。
なお、前記データ収集手段110は、当該クライアントブレード100から前記アプリケーション配信サーバ300のアプリケーションを利用する時に用いるブラウザ112の、ウィンドウサイズ、cookie、プロキシサーバアドレス、タブ状態、ブックマーク、URL履歴、キャッシュデータの少なくともいずれかを利用状態データとして当該クライアントブレード100の記憶装置101より収集するとしてもよい。また、前記データ収集手段110は、当該クライアントブレード100から前記アプリケーション配信サーバ300のアプリケーションを利用する時に用いる認証情報を、当該クライアントブレード100の記憶装置101より読み出してRAM103に格納するとしてもよい。また、前記データ収集手段110は、当該クライアントブレード100から前記アプリケーション配信サーバ300のアプリケーションを利用する時の、セキュリティポリシーのデータを当該クライアントブレード100の記憶装置101より読み出してRAM103に格納するとしてもよい。
また、前記クライアントブレード100は、前記利用状態データをRAM103より読み出し、外部ネットワーク140を介してクライアント端末200に移動させるデータ移動手段111を備える。なお、前記データ移動手段111は、前記認証情報をRAM103より読み出し、外部ネットワーク140を介してクライアント端末200に移動させるとしてもよい。また、前記データ移動手段111は、前記セキュリティポリシーデータをRAM103より読み出し、外部ネットワーク140を介してクライアント端末200に移動させるとしてもよい。
また、前記クライアントブレード100は、前記クライアント端末200から前記記憶装置101の利用要求を受信して、前記記憶装置101について前記クライアント端末200の利用許可の設定を実行し、前記クライアント端末200から前記保存用データの格納指示を受信して、前記記憶装置101において前記保存用データを格納する、マウント手段113を備える。なお、前記マウント手段113が行う、前記記憶装置101について前記クライアント端末200の利用許可の設定は、いわゆる「マウント」の処理を指すものである。この「マウント」は、ストレージなどをコンピュータに認識させ、コンピュータから操作可能にする処理のことである。
なお、前記ブラウザ112はアプリケーション配信サーバ300に接続してアプリケーション配信を受けるためのアプリケーションプログラムであり、RAM103に読み込まれてCPU104で実行されるものである。「ブラウザ」は、一般的にはwebページを閲覧するためのアプリケーションであり、HTML(HyperText Markup Language)と呼ばれる構造化文書や画像ファイルなどをサーバからダウンロードして、レイアウトを解析して表示するアプリケーションである。また、本実施形態における前記ブラウザ112は、外部ネットワーク140を介してアプリケーション配信サーバ300とやり取りを行い、クライアントブレード100にサービスを提供するアプリケーション全般を指し、例えばブラウザ112の一種としてRIA(Rich Internet Application)等も含まれる。前記RIAとは、従来のブラウザによるHTML表示に比較して、AjaxやFlash(登録商標)等の技術を使い、操作性や表現力を強化したインターネットアプリケーションである。RIAでは、アニメーション等を使ったユーザフレンドリーなコンテンツ表示が可能であり、また画面遷移が発生しないことや、ドラッグ&ドロップなどの直感的な操作が可能であるように操作性に優れていることが一般的な特徴である。
また、クライアントブレード100は、前記HDD101において、リモートサーバプログラム170、暗号化通信プログラム171、OS(Operating System)136を記憶している。前記OS136は、CPU104がクライアントブレード100の各部101〜130を統括的に制御して、前記手段110〜113等の各機能部を実現する各プログラムを実行するためのプログラムである。CPU104は、HDD101からOS136をRAM103にロードして実行する。
また、リモートサーバプログラム170は、クライアントブレード100のデスクトップをクライアント端末200から遠隔操作を可能とするためのプログラムであり、例えばAT&Tケンブリッジ研究所で開発されたVNC(Virtual Network Computing)のサーバプログラムである。CPU104は、OS136に従い、HDD101からリモートサーバプログラム170をRAM103にロードして実行する。これにより、CPU104は、VPN等の外部ネットワーク140を介してクライアント端末200から送られてきた入力情報(キーボードおよびマウスの操作内容)を受信し処理すると共に、処理結果を示す映像情報(ディスプレイのデスクトップ画面)を、VPN等の外部ネットワーク140を介してクライアント端末200に送信する。
また、前記暗号化通信プログラム171は、クライアント端末200との間にVPN等の外部ネットワーク140を構築するための通信プログラムであり、例えばIPsec(Security Architecture for the Internet Protocol)を用いた通信プログラムである。CPU104は、OS136に従い、HDD101から暗号化通信プログラム171をRAM103にロードして実行する。これにより、CPU104は、通信インターフェイス107を介してクライアント端末200から受付けたリモートコントロールのための接続確立要求等に従い、クライアント端末200との間にVPN等のセキュアな外部ネットワーク140を構築し、このVPN等を介してクライアント端末200とリモートコントロール用通信を行なう。
次に、前記クライアント端末200について説明する。図3は本実施形態のクライアント端末200の構成例を示す図である。一方、前記クライアント端末200は、適宜な管理サーバにより割り当てされたクライアントブレード100に対して外部ネットワーク140を介してアクセスしリモートコントロールする装置であって、前記クライアントブレード100と共にシンクライアントシステムを構成する。また、前記クライアント端末200は、本発明を実現する機能を備えるべくTPM201などに格納されたプログラム202をRAM203に読み出し、演算装置たるCPU204により実行する。
また、前記クライアント端末200は、コンピュータ装置が一般に備えている各種キーボードやボタン類などの入力インターフェイス205、ディスプレイなどの出力インターフェイス206、ならびに、クライアントブレード100やアプリケーション配信サーバ300などとの間のデータ授受を担う通信インターフェイス207などを有している。
こうしたクライアント端末200は、いわゆるHDDレスタイプのPCであり、プリンタ、外付けドライブ、外付けメモリ等をローカル接続およびネットワーク接続できないように構成されている。つまり、クライアント端末200は、クライアントブレード100にローカル接続あるいはネットワーク接続されているプリンタ、外付けドライブ、外付けメモリ等のみを使用できるように構成されている。このようにすることで、クライアント端末200の盗難等による情報漏えいの可能性を低減している。
続いて、前記クライアント端末200が、例えばプログラム202に基づき前記TPM201にて構成・保持する機能部につき説明を行う。 前記クライアント端末200は、前記クライアントブレード100より前記利用状態データを受け取って、当該クライアント端末200における前記アプリケーションの利用状態を前記利用状態データにより設定するデータ設定手段210を備える。
なお、前記データ設定手段210は、前記クライアントブレード100より前記利用状態データを受け取り、当該クライアント端末200における前記アプリケーションの利用状態の設定として、当該クライアント端末200が備えるブラウザ212に対し前記利用状態データにより、ウィンドウサイズ、cookie、プロキシサーバアドレス、タブ状態、ブックマーク、URL履歴、キャッシュデータの少なくともいずれかを設定するとしてもよい。
また、前記データ設定手段210は、前記クライアントブレード100より前記セキュリティポリシーデータを受け取って記憶装置(例えば、RAM203)に格納するとしてもよい。
また、前記クライアント端末200は、前記アプリケーション配信サーバ300に対して前記アプリケーションの利用要求を外部ネットワーク140を介して送信する要求送信手段211を備える。なお、前記要求送信手段211は、前記クライアントブレード100より前記認証情報を受信して、この認証情報を含む認証要求を前記アプリケーション配信サーバ300に対して送信し、この認証要求に応じてアプリケーション配信サーバ300から認証結果を受信し、前記認証結果が認証成功を示すものであれば前記アプリケーションの利用要求の送信を行うとしてもよい。
また、前記要求送信手段211は、前記記憶装置よりセキュリティポリシーデータを読み出して、前記アプリケーション配信サーバ300が前記セキュリティポリシーデータに規定されているか判定し、前記セキュリティポリシーデータに規定されたアプリケーション配信サーバ300に対して前記アプリケーションの利用要求を外部ネットワーク140を介して送信するとしてもよい。
また、前記セキュリティポリシーデータが、前記クライアントブレード100の記憶装置101(例:クライアント端末200からネットワーク経由で利用可能なネットワークストレージを想定)に対するクライアント端末200からの利用可否の情報を含むとしてもい。この場合、前記要求送信手段211は、前記記憶装置101よりセキュリティポリシーデータを読み出して、このセキュリティポリシーデータにおいて前記クライアントブレード100の記憶装置101が利用可能と規定されているか判定し、前記クライアントブレード100の記憶装置101が利用可能である場合に、前記クライアントブレード100に対して前記記憶装置101の利用要求を送信し、前記アプリケーション配信サーバ300に対して前記アプリケーションの利用に伴う保存用データの取得要求を送信し、前記アプリケーション配信サーバ300から取得した保存用データの前記記憶装置101への格納を前記クライアントブレード100に指示するとしてもよい。
なお、前記ブラウザ212はアプリケーション配信サーバ300に接続してアプリケーション配信を受けるアプリケーションプログラムであり、RAM203に読み込まれてCPU204で実行される(その他の説明はブラウザ112と同様)。
なお、本実施形態において前記クライアント端末200は、前記手段210〜212(を実現するプログラム)、リモートクライアントプログラム270、暗号化通信プログラム271らを、TPM(Trusted Platform Module)201と呼ばれるチップ内に収めていることを想定できる(勿論、クライアント端末200がHDDレスタイプではなく、従来のHDDを備えるコンピュータであれば、前記手段210〜212、リモートクライアントプログラム270、暗号化通信プログラム271らはHDDに格納されてよい)。
このTPM201は、スマートカード(IC カード)に搭載されるセキュリティチップに似た機能を持っており、非対称鍵による演算機能、またこれら鍵を安全に保管するための耐タンパー性を有するハードウェアチップである。このTPM201の機能としては、例えば、RSA(Rivest-Shamir-Adleman Scheme)秘密鍵の生成・保管、RSA秘密鍵による演算(署名、暗号化、復号)、SHA−1(Secure Hash Algorithm 1)のハッシュ演算、プラットフォーム状態情報(ソフトウェアの計測値)の保持(PCR)、 鍵、証明書、クレデンシャルの信頼チェーンの保持、高品質な乱数生成、不揮発性メモリ、その他Opt-in やI/O等があげられる。
前記TPM は、暗号鍵(非対称鍵)の生成・保管・演算機能の他、プラットフォーム状態情報(ソフトウェアの計測値)をTPM201 内のレジスタPCR(Platform Configuration Registers)に安全に保管し、通知する機能を有している。TPM201の最新仕様では、さらにローカリティやデリゲーション(権限委譲)等の機能が追加されている。なお、TPM201は、物理的にプラットフォームのパーツ(マザーボードなど)に取り付けることとなっている。
また、本実施形態において前記クライアント端末200は、リモートクライアントプログラム270と、暗号化通信プログラム271とを前記TPM201にて備えている。前記リモートクライアントプログラム270は、クライアント端末200が遠隔からクライアントブレード100のデスクトップにアクセスするためのプログラムであり、例えばVNCのクライアント(ビューワ)プログラムである。CPU204は、OS236に従い、TPM201からリモートクライアントプログラム270をRAM203にロードして実行する。これにより、CPU204は、I/Oコネクタの入力情報(キーボードおよびマウスの操作内容)を、例えばVPNなどの外部ネットワーク140を介してクライアントブレード100に送信すると共に、VPN等の外部ネットワーク140を介して当該クライアントブレード100から送られてきた映像情報(ディスプレイのデスクトップ画面)をビデオカードに接続されたディスプレイなどの入出力インターフェイス205等に出力する。
また、前記暗号化通信プログラム271は、リモートクライアントプログラム270より通知されたアドレスを持つクライアントブレード100との間に、VPNなどのセキュアな通信ネットワークを構築するための通信プログラムである。例えば、IPsecを用いた通信プログラムを想定できる。CPU204は、OS236に従い、TPM201から暗号化通信プログラム271をRAM203にロードして実行する。これにより、CPU204は、通信インターフェイス207を介して自クライアント端末200に割当てされたクライアントブレード100へ通信開始要求を送信して、当該クライアントブレード100との間にVPN等のネットワークを構築し、このVPN等を介して当該クライアントブレード100とリモートコントロール用通信をする。
次に、アプリケーション配信サーバ300について説明する。図4は、本実施形態のアプリケーション配信サーバの構成例を示す図である。このアプリケーション配信サーバ300は、他装置たる前記クライアントブレード100やクライアント端末200に対し、ネットワーク経由でアプリケーションを利用させるサーバ装置である。具体的な例としては、例えば、ASP(Application Service Provider)用或いはSaaS(software as a service)用のサーバを想定できる。従って、前記アプリケーション配信サーバ300は、ASP或いはSaaS用のサーバとして必要な機能を実現するサービスプログラム309をHDD等の不揮発性の記憶装置301に備えているものとする。また更に、このアプリケーション配信サーバ300は、記憶装置301において認証プログラム310も備えている。この認証プログラム310は、接続してきたクライアント(クライアントブレード100またはクライアント端末200)に対してユーザ認証を実行するプログラムである。
なお、図1ではクライアント端末200とアプリケーション配信サーバ300は、外部ネットワーク140に接続された構成をとっているが、社内ネットワーク145に接続された構成であってもよい。
前記アプリケーション配信サーバ300は、本発明を実現する機能を備えるべくHDD(ハードディスクドライブ)301などに格納されたプログラム302をRAM303に読み出し、演算装置たるCPU304により実行する。
また、前記アプリケーション配信サーバ300は、コンピュータ装置が一般に備えている各種キーボードやボタン類などの入力インターフェイス305やディスプレイなどの出力インターフェイス306を必要に応じて備えることができ、また、クライアントブレード100やクライアント端末200などとの間のデータ授受を担う通信インターフェイス307などを有している。
こうしたアプリケーション配信サーバ300が、例えばプログラム302に基づき構成・保持する機能部につき説明を行う。前記アプリケーション配信サーバ300は、前記クライアント端末200から前記アプリケーションの利用要求を外部ネットワーク140を介して受信し、前記クライアント端末200にネットワーク経由で前記アプリケーションを利用させるサービス提供手段311を備える。なお、前記サービス提供手段311は、前記クライアント端末200から認証要求を受信し、この認証要求が含む認証情報と記憶装置301中の認証用データとを照合して認証処理を実行して認証結果を生成し、この認証結果を前記クライアント端末200に送信するとしてもよい。
また、前記サービス提供手段311は、前記クライアント端末200から前記保存用データの取得要求を受信して、該当保存用データを記憶装置301より読み出し、この保存用データを、前記クライアント端末200に外部ネットワーク140経由で送信するとしてもよい。
なお、これまで示したアプリケーション配信制御システム10を構成する、クライアントブレード100、クライアント端末200、アプリケーション配信サーバ300らにおける各手段110〜113、210〜212、310等は、ハードウェアとして実現してもよいし、メモリやHDD(Hard Disk Drive)などの適宜な記憶装置に格納したプログラムとして実現するとしてもよい。この場合、前記各装置のCPUがプログラム実行に合わせて記憶装置より該当プログラムを各メモリに読み出して、これを実行することとなる。
また、前記ネットワーク140、145に関しては、インターネット、LANの他、ATM回線や専用回線、WAN(Wide Area Network)、電灯線ネットワーク、無線ネットワーク、公衆回線網、携帯電話網など様々なネットワークを採用することも出来る。また、VPN(Virtual Private Network)など仮想専用ネットワーク技術を用いれば、インターネットを採用した際にセキュリティ性を高めた通信が確立され好適である。
−−−データ構造例−−−
次に、本実施形態におけるアプリケーション配信制御システム10を構成する各装置らが利用する各種データ類の構造について説明する。図5は本実施形態における、(a)利用状態データ125、(b)セキュリティポリシーデータ126、(c)認証情報127、の各データ構造例を示す図である。
前記利用状態データ125は、クライアントブレード100から前記アプリケーション配信サーバ300のアプリケーションを利用する時の、前記クライアントブレード100における前記アプリケーションの利用状態のデータである。本実施形態における例では、前記アプリケーションを利用するために用いるブラウザ112の状態についてのデータを、この利用状態データとしている。データ構造の例としては、例えば、ブラウザ112のウィンドウサイズ41(ブラウザ112の現在のウィンドウサイズ)、Cookie情報42、プロキシサーバアドレス43、タブ状態情報44(ブラウザ112における複数ページを開いた状態を保持するタブの状態情報であり、タブ番号とURLの情報からなる)、ブックマーク45(WebサイトのURL情報)、URL履歴46(ユーザが過去にブラウザで閲覧したWebサイトのURL情報)、キャッシュデータ47(ユーザが過去にブラウザで閲覧したWebサイトのコンテンツ)といった項目のデータセットを想定できる。
なお、前記Cookie情報42は、一般的にWebサーバ(アプリケーション配信サーバ300)とブラウザとの間でセッション維持に使われる情報である。Cookie情報は、最初にブラウザからWebサーバにアクセスした際にWebサーバからブラウザに送信される。次回、ブラウザからWebサーバにアクセスする際に、ブラウザからWebサーバへ前記Cookie情報を送信することで、次回以降のセッションの維持が実現される。本実施形態における前記Cookie情報42には、揮発性のメモリ(RAM等)上に一時的に保持される一時Cookieと、HDD等の不揮発性の記憶装置(HDD等)に保存される永続的Cookieの2種類を含むものとする。また、前記Cookie情報42は、ブラウザに保持されている全ての、または一部のCookie情報を想定して良く、例えば、引き継ぎ処理(クライアントブレード100を介したアプリケーション利用から、アプリケーション配信サーバ300とクライアント端末200の直接接続へと移行する処理)を開始する段階にアクセスしていたアプリケーション配信サーバ300に関するCookie情報についてのみ取得しておくとしてもよい。
また、前記プロキシサーバアドレス43は、ブラウザのプロキシサーバを指定する情報である。社内ネットワーク145に接続されているクライアントブレード100からアプリケーション配信サーバ300へのアクセスは、一般的にはプロキシサーバ410を経由して行われる。一方で、クライアント端末200からアプリケーション配信サーバ300へのアクセスは、同様にプロキシサーバ410を経由してもよいし、プロキシサーバ410を経由しないで直接アクセスしてもよい。直接アクセスする場合には、前記プロキシサーバアドレス43は、利用しない。
また、クライアントブレード100からクライアント端末200へ送信されるブラウザの状態情報(利用状態データ)は、前記項目のすべてか、あるいは、一部からなり、前記状態情報のクライアント端末200への送信後は、送信元のクライアントブレード100が該当状態情報を記憶装置101より削除してもよい。同様にクライアント端末200からクライアントブレード100へ送信されるブラウザの状態情報は、前記項目のすべてか、あるいは、一部からなり、前記状態情報のクライアントブレード100への送信後は、送信元のクライアント端末200が記憶していた該当状態情報を削除してもよい。
また、前記利用状態データたるブラウザの状態情報の収集方法は、ブラウザの設定ファイル(ブラウザの搭載された装置の記憶装置内に格納)から収集したり、OSから収集するなどが想定できる。なお、クライアントブレード100側のブラウザ112とクライアント端末200側のブラウザ212の種類が異なっていたり、バージョンが異なる場合は、クライアントブレード100ないしクライアント端末200が記憶装置に備える所定のアプリケーションにより、両者のブラウザの状態情報を互いに変換(勿論、変換用に必要となるブラウザ種やバージョンの間でのデータ対応表や変換式などを前記クライアントブレード100やクライアント端末200が自身の記憶装置に備える)することで対応したり、あるいは、一部データ項目の引き継ぎ処理ができない旨のメッセージデータを出力インターフェイスに表示してユーザに通知するとしてもよい。
次に、前記セキュリティポリシーデータ126は、クライアントブレード100からクライアント端末200へ配信されるセキュリティポリシーのデータである。セキュリティポリシーデータは、前記クライアントブレード100に保存されるか、あるいは、認証サーバ420に保存されていてもよい。こうしたセキュリティポリシーデータ126は、例えば、アクセス許可/禁止サーバリスト51、データ保存可否52、外部記憶デバイス利用可否53、禁止ブラウザリスト54、ウィルス対策ソフト適合可否55、ブラウザの背景色変更可否56の各項目のデータから構成されている。
前記アクセス許可/禁止サーバリスト51は、クライアント端末200からのアクセスを許可あるいは禁止するアプリケーション配信サーバ300のアドレス情報である。クライアント端末200は、前記アクセス許可/禁止サーバリスト51を参照し、例えばクライアント端末200からの禁止サーバへのアクセスをブロックしたり、許可サーバへのアクセスを通したりする。
また、前記データ保存可否52は、アプリケーション配信サーバ300からダウンロードしたデータをクライアント端末200やクライアントブレード100に保存可能かを決定するものである。また、前記外部記憶デバイス利用可否53は、クライアント端末200に接続したUSBメモリ等の外部記憶デバイスにデータを書き出すことができるかを決定するデータである。また、前記禁止ブラウザリスト54は、クライアント端末200で起動を禁止するブラウザのリストである。また、前記ウィルス対策ソフト適合可否55は、クライアント端末200にウィルス対策ソフトがインストールされているかどうか、ウィルスパターンファイルが最新か、などをチェックし、適合しない場合は、ブラウザの状態引き継ぎを行わないなどの制御を行うかどうかを決めるデータである。また、前記ブラウザの背景色変更可否56は、認められたアプリケーション配信サーバ300以外にクライアント端末200がアクセスした場合に、ブラウザ212の背景色を変更して、ユーザに警告を表示するか否かを決定するデータである。例えば、許可されないアプリケーション配信サーバ300にクライアント端末200がアクセスした場合は、クライアント端末200はこのポリシーに則してブラウザ212において「赤」を背景色としたり、あるいは、許可されるアプリケーション配信サーバ300にクライアント端末200がアクセスした場合には、ブラウザ212において「青」を背景色に変更する。これにより、前記クライアント端末200のユーザは、意図せずに許可されないアプリケーション配信サーバ300にアクセスしたことを視覚的に判別可能となり、フィッシング等の不正を防止することが可能となる。
また、前記認証情報127は、認証サーバ420の記憶装置で管理する認証情報である。この認証情報127は、ユーザID61をキーとして、利用可能サービス62、認証情報63といったデータを対応付けたレコードの集合体である。前記ユーザID61は、クライアント端末200のユーザごとにユニークにつけられた識別情報である。また、利用可能サービス62は、ユーザID61ごとに登録されており、当該ユーザが利用を許可されたサービス(例:利用可能なアプリケーションなど)である。各々の利用可能サービス62には、認証情報63が対応付けて登録されている。認証情報63は、当該サービスに対するユーザIDとパスワード、電子証明書、生体認証情報等である。前記生体認証情報は、当該ユーザの指紋認証情報、静脈認証情報、虹彩認証情報等である。例えば前記認証サーバ420は、クライアント端末200に設置された図示していない生体認証装置から取得された生体認証情報と、認証サーバ420に登録されている当該ユーザの生体認証情報とを照合して、認証可否の結果を返す。
また、前記認証サーバ420は、前記認証情報63をスクリプトあるいは実行プログラムの形態で生成させてもよい。前記認証情報63を含んだスクリプトあるいは実行プログラムは、クライアント端末200あるいはクライアントブレード100において実行されて、アプリケーション配信サーバ300に対する認証を実行する。スクリプトあるいは実行プログラムを生成させて認証を実行することにより、クライアントブレード100が直接認証情報を扱う必要がなくなる。また、本実施形態では、認証サーバ420において認証情報63を管理する構成をとっているが、認証情報63はクライアントブレード100で管理されていてもよい。
−−−処理フロー例1−−−
以下、本実施形態におけるアプリケーション配信制御方法の実際手順について、図に基づき説明する。なお、以下で説明するアプリケーション配信制御方法に対応する各種動作は、前記アプリケーション配信制御システム10を構成する、情報処理装置たるクライアントブレード100、クライアント端末200、およびアプリケーション配信サーバ300のそれぞれRAM等に読み出して実行するプログラムによって実現される。そして、このプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。
図6は本実施形態におけるアプリケーション配信制御方法の処理フロー例1を示す図である。なお、図示していないが、本処理フローの前段階において、クライアント端末200は、リモートクライアントプログラム270を起動して、クライアントブレード100のリモートサーバプログラム170と連携し、クライアントブレード100を遠隔操作しているものとする。また、ゲートウェイサーバ400とクライアント端末200との間で暗号化通信を確立しておいてもよいし、あるいは、クライアントブレード100とクライアント端末200との間で暗号化通信を確立しておいてもよい。
また、クライアント端末200の起動後に前記各手段210〜212は必要に応じて起動されている。同様にクライアントブレード100においても、前記各手段110〜113は、クライアントブレード100の起動後に必要に応じて起動されている。例えば、前記クライアントブレード100の前記手段(のいずれか)とクライアント端末200の手段(のいずれか)とは、クライアント端末200によるクライアントブレード100の遠隔操作が開始されたかどうかを常時監視し、遠隔操作が開始されたことを契機として前記クライアントブレード100およびクライアント端末200の手段同士の通信を開始するとしてもよい。この通信には、遠隔操作のための通信チャネルを利用してもよいし、新たに手段同士で通信チャネルを作成してもよい。新たに通信チャネルを作成する場合、手段同士は通信の開始時に共通鍵による認証、PKI認証、ユーザの手入力によるパスワード認証等を行い、相互に正しい手段(アプリケーション)であることを認証してから通信を開始する。
図6のフロー例1では、クライアント端末200によるクライアントブレード100の遠隔操作中に、クライアント端末200がアプリケーション配信サーバ300から直接のアプリケーション提供を受けるべく実行する切り替え処理について説明する。まず、ユーザがクライアント端末200の入力インターフェイス205を介して、クライアントブレード100のブラウザ112の利用開始を指示する。この指示をクライアントブレード100が受け付けて前記ブラウザ112は起動する(s100、s101)。
また前記クライアント端末200が、入力インターフェイス205を介してユーザのサービス利用要求(アプリケーション配信サーバ300が提供するアプリケーション機能の利用要求)を受け付けて、これをブラウザ112へ指示する(s102)。ここで、クライアントブレード100は、前記ブラウザ112を監視しておいて、仮に前記ブラウザ112がサービスX(アプリケーションXの提供)に対する認証情報を要求していた場合、該当する認証情報127を記憶装置101より読み出してブラウザ112へ送信する(s103)。前記認証情報127は、事前にクライアントブレード100によって認証サーバ420から取得されてもよいし、事前に前記ユーザに入力インターフェイス105にて入力させておいてクライアントブレード100が記憶装置101に保持していてもよい。
続いて、前記ブラウザ112は、前記認証情報127をアプリケーション配信サーバ300へ送信する(s104)。アプリケーション配信サーバ300は、この認証情報127に基づいてユーザ認証を行う(s105)。このユーザ認証は、認証プログラム310によって、前記認証情報127と、あらかじめアプリケーション配信サーバ300に登録されたユーザIDとユーザIDに関連付けられたユーザパスワードとについて照合をとることで実施したり、PKI認証等で実施する。
次に、前記アプリケーション配信サーバ300は、前記ユーザ認証の認証結果を前記クライアントブレード100のブラウザ112へ送信する(s106)。この認証結果に問題なければ、つまり前記ユーザの確からしさが認証されれば、前記ブラウザ112は、サービス利用要求をアプリケーション配信サーバ300へ送信する(s107)。アプリケーション配信サーバ300のサービス提供手段311は、前記サービスXに対応するアプリケーションXの提供をクライアントブレード100に対して実行する(s108)。
その後、クライアント端末200は入力インターフェイス205において、クライアントブレード100のブラウザ212の利用開始指示の入力をユーザから受け付けて、この指示をクライアントブレード100に送信する(s109)。前記ブラウザ212の利用開始指示は、クライアントブレード100上でブラウザ112を介して利用している前記サービスX(アプリケーションX)を、クライアント端末200上のブラウザ212を介して利用するように切り替える処理の開始を指示するものである。この切り替え処理の開始指示は、前述のようにユーザが直接指示してもよいし、クライアントブレード100が指示してもよい。クライアントブレード100による前記切り替え開始指示は、例えばクライアント端末200とクライアントブレード100との間のネットワーク遅延をクライアントブレード100の所定アプリケーションが検出し、前記ネットワーク遅延がある一定値(記憶装置101に格納)以上になった場合に実行する。或いは、クライアントブレード100の所定アプリケーションが、前記ブラウザ112上での描画負荷(例えば、CPU104の負荷やRAM103の占有率など)が所定値(記憶装置101に格納)より重い動画再生処理を検出した場合などに行うとできる。
なお、前記切り替え開始指示が、ユーザによる手動で指示される状況も想定できる。図9は手動操作により前記切り替え処理を開始する場合の、クライアント端末200での画面例を示す図である。この図において、クライアント端末画面31には、ブラウザ画面の一部32、ブラウザ画面33、遠隔操作アプリ画面34が含まれている。
前記クライアント端末画面31はクライアント端末200のディスプレイ装置で表示されている画面であり、遠隔操作アプリ画面34は遠隔操作アプリ(例:アプリケーション配信サーバ300からクライアントブレード100に配信されたアプリケーション)の画面(例:アプリケーションが配信されたクライアントブレード100のデスクトップ画面)であり、ブラウザ画面33はブラウザ112の画面(アプリケーション配信サーバ300から配信されているアプリケーションを利用中の画面)である。
また、前記ブラウザ画面の一部32は、ブラウザ画面33のうち、遠隔操作アプリ画面34からはみ出して見えなくなった部分である。なお、前記クライアント端末画面31の内には、前記遠隔操作アプリ画面34が表示されている。また、遠隔操作アプリ画面34の内には、ブラウザ画面33が表示されている。
前記ユーザがクライアントブレード100上で動作するブラウザ112の状態をクライアント端末200のブラウザ212に引き継ぐ、つまり前記切り替え開始指示を手動で行う場合、前記遠隔操作アプリ画面34内のブラウザ画面33をマウス等を利用してドラッグ&ドロップ操作を行うことにより、遠隔操作アプリ画面34の外に出すようにする。この時、クライアントブレード100は、前記ブラウザ画面の一部32の面積を算定し、前記ブラウザ画面の一部32の面積が前記ブラウザ画面33の面積の一定割合値(記憶装置101に格納)以上に到達するか監視する。前記面積の算定は、例えば、ブラウザのウィンドウサイズの履歴データを記憶装置101に格納しておき、所定時間中に前記ウィンドウサイズが小さくなった場合に、そのサイズの変化分を前記ブラウザ画面の一部32の面積として算定すればよい。具体的には、ブラウザ画面33の面積x2×y2、遠隔操作アプリ画面34の面積x1×y1、遠隔操作アプリ画面34内におけるブラウザ画面33の座標位置(x3、y3)とした場合、ブラウザ画面の一部32の面積は、図9の例から明らかなように(x2−(x1−x3))×y2となる。この面積が例えば、ブラウザ画面全体の面積の30%を上回った場合に、切り替え開始指示の契機とする。
前記ブラウザ画面の一部32の面積がブラウザ画面33の面積の一定割合値以上に到達した場合に、クライアントブレード100は前記切り替え開始指示を行う。
続いて、前記ステップs109以後の説明に戻る。前記クライアントブレード100のデータ収集手段110は、当該クライアントブレード100から前記アプリケーション配信サーバ300のアプリケーション(例えば、アプリケーションXとする)を利用する時の、当該クライアントブレード100における前記ブラウザ112の利用状態のデータ(例:ウィンドウサイズ、cookie、プロキシサーバアドレス、タブ状態、ブックマーク、URL履歴、キャッシュデータの少なくともいずれか)を収集しRAM103に格納する(s110)。また、前記データ収集手段110は、前記利用状態データの他に、当該クライアントブレード100から前記アプリケーション配信サーバ300の前記アプリケーションXを利用する時に用いる認証情報127を、前記認証サーバ420ないし当該クライアントブレード100の記憶装置101より読み出してRAM103に格納する。また、前記データ収集手段110は、当該クライアントブレード100から前記アプリケーション配信サーバ300の前記アプリケーションXを利用する時の、セキュリティポリシーデータ126を当該クライアントブレード100の記憶装置101より読み出してRAM103に格納する。
また、前記クライアントブレード100のデータ移動手段111は、前記利用状態データ125、前記セキュリティポリシーデータ126、前記認証情報127、をRAM103より読み出し、ブラウザ212の利用開始指示とともに外部ネットワーク140を介してクライアント端末200に送信する(s111)。
一方、前記クライアント端末200のデータ設定手段210(ないしは要求送信手段211)は、前記セキュリティポリシーデータ126により、クライアント端末200のポリシーチェックを行う(s112)。仮に、前記セキュリティポリシーデータ126においてクライアントブレード100へのデータ保存が許可されているならば、前記データ設定手段210(ないしは要求送信手段211)は、ストレージマウント要求をクライアントブレード100のマウント手段113に送信する(s113)。
他方、前記クライアントブレード100のマウント手段113は、前記クライアント端末200から前記記憶装置101の利用要求たるストーレジマウント要求を受信して、前記記憶装置101について前記クライアント端末200の利用許可の設定を実行する(s114)。また、クライアントブレード100のマウント手段113は、マウント許可応答を前記データ設定手段210(ないしは要求送信手段211)へ送信する(s115)。ストレージマウントとは、クライアント端末200からクライアントブレード100の記憶装置101等のストレージにデータ保存可能にする処理である。
続いて、前記クライアント端末200のデータ設定手段210は、前記クライアントブレード100より前記利用状態データ125、前記セキュリティポリシーデータ126、認証情報127を受け取り、当該クライアント端末200におけるブラウザ212の利用状態を前記利用状態データ125により設定する(s116)。また、前記データ設定手段210は、前記セキュリティポリシーデータを記憶装置(例えば、RAM203)に格納する。
また、前記要求送信手段211(ないしは前記ブラウザ212)は、前記クライアントブレード100より受信した前記認証情報127を含む認証要求を前記アプリケーション配信サーバ300に対して送信する(s117)。他方、前記アプリケーション配信サーバ300のサービス提供手段311は、前記認証要求を受信し、この認証要求が含む認証情報と記憶装置301中の認証用データとを照合して認証処理を実行して認証結果を生成し、この認証結果を前記クライアント端末200に送信する(s118)。
前記クライアント端末200の要求送信手段211は、前記アプリケーション配信サーバ300からの認証結果を受信し、前記認証結果が認証成功を示すものであれば前記サービスXの利用要求の送信をアプリケーション配信サーバ300に行う(s119)。なお、前記要求送信手段211は、前記記憶装置よりセキュリティポリシーデータ126を読み出して、前記アプリケーション配信サーバ300(のURL等)が前記セキュリティポリシーデータに規定されているか判定し、前記セキュリティポリシーデータ126に規定されたアプリケーション配信サーバ300に対して前記アプリケーションXの利用要求を送信するとしてもよい。
一方、前記アプリケーション配信サーバ300のサービス提供手段311は、前記クライアント端末200から前記サービスXの利用要求を外部ネットワーク140を介して受信し、前記クライアント端末200にネットワーク経由で前記サービスXに対応したアプリケーションXを利用させる(s120)。
また、前記クライアント端末200の要求送信手段211は、前記アプリケーション配信サーバ300に対して前記サービスXの利用に伴う保存用データの取得要求を送信する(s121)。他方、前記アプリケーション配信サーバ300のサービス提供手段311は、前記クライアント端末200から前記保存用データの取得要求を受信して、該当保存用データを記憶装置301より読み出し、この保存用データを、前記クライアント端末200に外部ネットワーク140経由で送信する(s122)。
前記クライアント端末200の要求送信手段211は、前記アプリケーション配信サーバ300から保存用データを取得し、前記保存用データの前記クライアントブレード100の前記記憶装置101への格納指示をする(s123)。
他方、前記クライアントブレード100のマウント手段113は、前記クライアント端末200から前記保存用データの格納指示を受信して、前記記憶装置101において前記保存用データを格納する(s124)。なお、このステップs124の処理の後、クライアント端末200の要求送信手段211は、前記保存用データが当該クライアント端末200の記憶装置に残されているか確認し、該当データを残さないよう削除するとしてもよい。
サービスXの提供を受けたクライアント端末200であるが、端末シャットダウン指示を入力インターフェイス205で受けたならば、あるいは、シャットダウン開始を検知したならば(s125)、ブラウザ状態の引き継ぎ処理要否の確認画面(記憶装置101に画面データ格納)を出力インターフェイス205に表示する(s126)。ここで引き継ぎ処理を行うことをユーザが選択した場合には、クライアント端末200は前記選択の事象を入力インターフェイス205で受け付けて、前記サービスXの利用中であったブラウザ212からブラウザの状態情報(利用状態データ)を収集する(s127)。この利用状態データの収集は、前記クライアントブレード100におけるデータ収集手段110と同様の機能を備えたプログラム(クライアント端末200が備える)が実行する。
次に、前記クライアント端末200は、前記ブラウザ状態情報をクライアントブレード100に送信する(s128)。一方、クライアントブレード100は、これに応じて受信応答を前記クライアント端末200へ送信する(s129)。他方、クライアント端末200は端末シャットダウンを行う(s130)。次に、クライアントブレード100は、前記ブラウザ状態情報をブラウザ112へ送信し、前記ブラウザ状態情報の適用処理を行う(s131)。前記ステップs130の実行時に前記ブラウザ112が起動していない場合には、クライアントブレード100は前記ブラウザ状態情報を記憶装置101に格納しておき、次回のブラウザ112の起動タイミングを検知して、前記ブラウザ状態情報の適用を行ってもよい。
上述したように、ブラウザの状態情報等をクライアントブレード100側からクライアント端末200側へ引き継いでサービス提供することにより、クライアント端末20とクライアントブレード100との間のネットワーク負荷やクライアントブレード100側の処理負荷を低減することが可能となり、ユーザの作業効率が向上する。また、ユーザが利用するブラウザの実行場所がクライアントブレード側かクライアント端末側かによらずに、データはクライアントブレード側に保存可能になることによって、クライアント端末200からのデータ漏洩や紛失等を防ぐ効果がある。
また、クライアント端末200からクライアントブレード100を遠隔操作している状態で、アプリケーション配信サーバ300を利用していることを前提としていたが、例えば、画面描画処理の重いアプリケーション配信サーバ300のリストをあらかじめクライアントブレード100ないしクライアント端末200が保持している場合、そのようなアプリケーション配信サーバ300についての利用要求があった場合に(切り替え処理をせず)最初からクライアント端末200からアプリケーション配信サーバ300への直接接続を行うとしてもよい。この場合においても前述したようなブラウザの状態情報の引き継ぎ処理を行うことで、シームレスにクライアント端末200からアプリケーション配信サーバ300への接続を行うことが可能となる。
−−−処理フロー例2−−−
次に、前記プロキシサーバ410に認証機能を追加し、サービスに対する認証をプロキシサーバ410で代行する場合の手順について説明する。この場合、前記クライアントブレード100または前記クライアント端末200から前記アプリケーション配信サーバ300へのアクセスを中継する前記プロキシサーバ410が、前記クライアントブレード100または前記クライアント端末200から前記アプリケーション配信サーバ300にアクセスする際に必要な認証手順、および前記クライアントブレード100または前記クライアント端末200と前記アプリケーション配信サーバ300との間のセッション維持を代行することとなる。
図7は本実施形態におけるアプリケーション配信制御方法の処理フロー例2を示す図である。ここでクライアント端末200は、入力インターフェイス105を介してユーザからのサービス利用要求を受け付けて、これを受けたクライアントブレード100が前記ブラウザ112へ送信する(s200)。一方、前記ブラウザ112は、前記サービス利用要求を前記プロキシサーバ410へ送信する(s201)。
続いて、前記サービス利用要求を受けた前記プロキシサーバ410は、このサービス利用要求をアプリケーション配信サーバ300へ送信する(s202)。前記アプリケーション配信サーバ300の認証プログラムは、前記サービス利用要求の受信に応じて、ユーザ認証要求を前記プキシサーバ410における認証情報の取得処理は、例えば、当該プロキシサーバ410へ送信する(s203)。
他方、前記プロキシサーバ410は前記ユーザ認証要求を受信し、該当ユーザについての認証情報の取得処理を行う(s204)。このプロシサーバ410が前記サービス利用要求に含まれるユーザIDをキーにした認証情報要求を前記認証サーバ420に行って取得したり、或いは前記ステップs204前にプロキシサーバ410の入力インターフェイスを介してユーザからの入力を求めて取得するとしてもよい。
次に、前記プロキシサーバ410は、前記ユーザの認証情報をアプリケーション配信サーバ300へ送信する(s205)。これを受信したアプリケーション配信サーバ300の認証プログラム310は、ユーザ認証処理を行い(s206)、この認証処理結果に問題なければサービス提供手段311が前記プロキシサーバ410を介してクライアントブレード100にサービス提供を実行する(s207)。
その後、前記サービス提供のための前記プロキシサーバ410とアプリケーション配信サーバ300とのセッションが維持された状態で、前記サービス利用要求をクライアント端末200が入力インターフェイス205で受け付けて、ブラウザ212に送信する(s220)。この場合、前記ブラウザ212は、前記サービス利用要求(ユーザID含む)を前記プロキシサーバ410へ送信する(s221)。そして、前記プロキシサーバ410は、前記ブラウザ212からのサービス利用要求を受信し、前記アプリケーション配信サーバ300へ送信することとなる(s222)。アプリケーション配信サーバ300のサービス提供手段311は、既に前記プロキシサーバ410による代行認証処理を経た前記ユーザのクライアント端末200に対し、前記プロキシサーバ410を介してサービス提供を実行する(s223)。
上記のように、認証機能を追加したプロキシサーバ410を利用する場合、前記プロキシサーバ410は、ブラウザ212およびブラウザ112からのサービス利用要求を受けとり、アプリケーション配信サーバ300に対して認証を代行して実行する。プロキシサーバ410は、アプリケーション配信サーバ300に対してのセッションの維持のためにCookie情報等を記憶装置に保持している。なお、前記プロキシサーバ410の機能は、クライアントブレード100に搭載されていてもよい。
−−−他のシステム構成例−−−
次に、上記実施例の他に想定されるシステム構成について想定する。図8は、他の実施形態におけるアプリケーション配信制御システムのネットワーク構成図である。この図に示すように、この構成例においては、前記社内ネットワーク145に、仮想ハブサーバ430およびストレージ440が接続され、更に、アプリケーション配信サーバ300が仮想LANプログラム312を備えるものとなっている。前記仮想LANプログラム312は、仮想ハブサーバ430と連携して仮想的なLANを構築するプログラムである(既存の仮想LAN用のソフトウェアを採用すればよい)。
この構成におけるゲートウェイサーバ400は、外部ネットワーク140と社内ネットワーク145との中間地帯としてDMZ(DeMilitarized Zone)を形成する。前記DMZには、プロキシサーバ410および仮想ハブサーバ430が配置され、社外からの特定のポートだけは通すようになっており、HTTP、SSLプロトコルなどで通信可能である。
また、前記アプリケーション配信サーバ300および認証サーバ420およびストレージ440は、前記仮想ハブサーバ430に接続して仮想的なLANを形成する。前記アプリケーション配信サーバ300と仮想ハブサーバ430との間は、SSLプロトコルにより接続され、ゲートウェイサーバ400の設定を大きく変更することなく利用可能である。
これによりアプリケーション配信サーバ300の認証プログラム310は、前記認証サーバ420およびストレージ440と連携して、ユーザ認証を認証サーバ420に代行させたり、データ保存をストレージ440に行うことが可能となる。よって、データや認証情報といった重要な情報を社外のアプリケーション配信サーバ300に保存するのではなく、社内のサーバに格納しておくことが可能となる。
なお、前記仮想ハブサーバ430は、図8ではDMZに配置する構成としたがアプリケーション配信サーバ300や認証サーバ420から通信可能であれば外部ネットワーク140上に配置されていてもよい。
以上、本実施形態によれば、サーバベースコンピューティングの画面転送方式によるネットワーク負荷の低減やサーバへの負荷集中の回避を図り、ユーザの作業効率向上等が可能となる。また、SaaSおよびASPサーバのユーザ認証を自社のユーザ認証機構と容易に連携できることとなる。
以上、本発明の実施の形態について、その実施の形態に基づき具体的に説明したが、これに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
本実施形態のアプリケーション配信制御システムのネットワーク構成図である。 本実施形態のクライアントブレードの構成例を示す図である。 本実施形態のクライアント端末の構成例を示す図である。 本実施形態のアプリケーション配信サーバの構成例を示す図である。 本実施形態における、(a)利用状態データ、(b)セキュリティポリシーデータ、(c)認証情報、の各データ構造例を示す図である。 本実施形態におけるアプリケーション配信制御方法の処理フロー例1を示す図である。 本実施形態におけるアプリケーション配信制御方法の処理フロー例2を示す図である。 他の実施形態におけるアプリケーション配信制御システムのネットワーク構成図である。 本実施形態における画面例を示す図である。
符号の説明
10 アプリケーション配信制御システム
50 管理サーバ
100 情報処理装置(シンクライアントサーバ)
101、301 HDD(Hard Disk Drive)
102、202、302 プログラム
103、203、303 RAM(Random Access Memory)
104、204、304 CPU(Central Processing Unit)
105、205、305 入力インターフェイス
106、206、306 出力インターフェイス
107、207、307 通信インターフェイス
110 データ収集手段
111 データ移動手段
112 ブラウザ
113 マウント手段
136、236、336 OS
125 利用状態データ
126 セキュリティポリシーデータ
127 認証情報
140 外部ネットワーク
145 社内ネットワーク
170 リモートサーバプログラム
171、271 暗号化通信プログラム
200 クライアント端末
201 TPM(Trusted Platform Module)
210 データ設定手段
211 要求送信手段
212 ブラウザ
270 リモートクライアントプログラム
300 アプリケーション配信サーバ
310 認証プログラム
311 サービス提供手段
400 ゲートウェイサーバ
410 プロキシサーバ
420 認証サーバ

Claims (8)

  1. クライアント端末と、前記クライアント端末とシンクライアントシステムを構成する情報処理装置と、他装置にネットワーク経由でアプリケーションの機能を提供するアプリケーション配信サーバとを含むシステムであって、
    前記情報処理装置は、
    当該情報処理装置から前記アプリケーション配信サーバのアプリケーションを利用する時の、当該情報処理装置における前記アプリケーションの利用状態を示すデータである利用状態データを収集しメモリに格納するデータ収集手段と、
    前記利用状態データをメモリより読み出し、ネットワークを介してクライアント端末に移動させるデータ移動手段とを備えるものであり、
    前記クライアント端末は、
    前記情報処理装置より前記利用状態データを受け取って、当該クライアント端末における前記アプリケーションの利用状態を前記利用状態データにより設定するデータ設定手段と、
    前記アプリケーション配信サーバに対して前記アプリケーションの利用要求をネットワークを介して送信する要求送信手段とを備えるものであり、
    前記アプリケーション配信サーバは、
    前記クライアント端末から前記アプリケーションの利用要求をネットワークを介して受信し、前記クライアント端末にネットワーク経由で前記アプリケーションの機能を提供するサービス提供手段を備えるものであり、
    前記情報処理装置のデータ収集手段は、当該情報処理装置から前記アプリケーション配信サーバのアプリケーションを利用する時の、セキュリティポリシーのデータを当該情報処理装置の記憶装置より読み出してメモリに格納するものであり、
    前記情報処理装置のデータ移動手段は、前記セキュリティポリシーデータをメモリより読み出し、ネットワークを介してクライアント端末に移動させるものであり、
    前記クライアント端末のデータ設定手段は、前記情報処理装置より前記セキュリティポリシーデータを受け取って記憶装置に格納するものであり、
    前記クライアント端末の要求送信手段は、前記記憶装置よりセキュリティポリシーデータを読み出して、前記アプリケーション配信サーバが前記セキュリティポリシーデータに規定されているか判定し、前記セキュリティポリシーデータに規定されたアプリケーション配信サーバに対して前記アプリケーションの利用要求をネットワークを介して送信するものである、
    ことを特徴とするアプリケーション配信制御システム。
  2. 前記情報処理装置のデータ収集手段は、当該情報処理装置から前記アプリケーション配信サーバのアプリケーションを利用する時に用いるブラウザの、ウィンドウサイズ、cookie、プロキシサーバアドレス、タブ状態、ブックマーク、URL履歴、キャッシュデータの少なくともいずれかを前記利用状態データとして当該情報処理装置の記憶装置より収集するものであり、
    前記クライアント端末のデータ設定手段は、前記情報処理装置より前記利用状態データを受け取り、当該クライアント端末における前記アプリケーションの利用状態の設定として、当該クライアント端末が備えるブラウザに対し前記利用状態データにより、ウィンドウサイズ、cookie、プロキシサーバアドレス、タブ状態、ブックマーク、URL履歴、キャッシュデータの少なくともいずれかを設定するものである、
    ことを特徴とする請求項1に記載のアプリケーション配信制御システム。
  3. 前記情報処理装置のデータ収集手段は、当該情報処理装置から前記アプリケーション配信サーバのアプリケーションを利用する時に用いる認証情報を、当該情報処理装置の記憶装置より読み出してメモリに格納するものであり、
    前記情報処理装置のデータ移動手段は、前記認証情報をメモリより読み出し、ネットワークを介してクライアント端末に移動させるものであり、
    前記クライアント端末の要求送信手段は、前記情報処理装置より前記認証情報を受信して、この認証情報を含む認証要求を前記アプリケーション配信サーバに対して送信し、この認証要求に応じてアプリケーション配信サーバから認証結果を受信し、前記認証結果が認証成功を示すものであれば前記アプリケーションの利用要求の送信を行うものであり、
    前記アプリケーション配信サーバのサービス提供手段は、前記クライアント端末から認証要求を受信し、この認証要求が含む認証情報と記憶装置中の認証用データとを照合して認証処理を実行して認証結果を生成し、この認証結果を前記クライアント端末に送信するものである、
    ことを特徴とする請求項1または2に記載のアプリケーション配信制御システム。
  4. 前記セキュリティポリシーデータが、前記情報処理装置の記憶装置に対するクライアント端末からの利用可否の情報を含み、
    前記クライアント端末の要求送信手段は、前記記憶装置よりセキュリティポリシーデータを読み出して、このセキュリティポリシーデータにおいて前記情報処理装置の記憶装置が利用可能と規定されているか判定し、前記情報処理装置の記憶装置が利用可能である場合に、前記情報処理装置に対して前記記憶装置の利用要求を送信し、前記アプリケーション配信サーバに対して前記アプリケーションの利用に伴う保存用データの取得要求を送信し、前記アプリケーション配信サーバから取得した保存用データの前記記憶装置への格納を前記情報処理装置に指示するものであり、
    前記情報処理装置は、前記クライアント端末から前記記憶装置の利用要求を受信して、前記記憶装置について前記クライアント端末の利用許可の設定を実行し、前記クライアント端末から前記保存用データの格納指示を受信して、前記記憶装置において前記保存用データを格納する、マウント手段を備え、
    前記アプリケーション配信サーバのサービス提供手段は、前記クライアント端末から前記保存用データの取得要求を受信して、該当保存用データを記憶装置より読み出し、この保存用データを、前記クライアント端末にネットワーク経由で送信するものである、
    ことを特徴とする請求項1に記載のアプリケーション配信制御システム。
  5. 前記アプリケーション配信制御システムにおいて、前記情報処理装置または前記クライアント端末から前記アプリケーション配信サーバへのアクセスを中継するプロキシサーバが備わり、当該プロキシサーバが、前記情報処理装置または前記クライアント端末から前記アプリケーション配信サーバにアクセスする際に必要な認証手順、および前記情報処理装置または前記クライアント端末と前記アプリケーション配信サーバとの間のセッション維持を代行するものであることを特徴とする請求項1〜4のいずれかに記載のアプリケーション配信制御システム。
  6. クライアント端末と、前記クライアント端末とシンクライアントシステムを構成する情報処理装置と、他装置にネットワーク経由でアプリケーションの機能を提供するアプリケーション配信サーバとが実行する方法であって、
    前記情報処理装置が、
    当該情報処理装置から前記アプリケーション配信サーバのアプリケーションを利用する時の、当該情報処理装置における前記アプリケーションの利用状態を示すデータである利用状態データを収集しメモリに格納する処理と、
    前記利用状態データをメモリより読み出し、ネットワークを介してクライアント端末に移動させる処理とを実行し、
    前記クライアント端末が、
    前記情報処理装置より前記利用状態データを受け取って、当該クライアント端末における前記アプリケーションの利用状態を前記利用状態データにより設定する処理と、 前記アプリケーション配信サーバに対して前記アプリケーションの利用要求をネットワークを介して送信する処理とを実行し、
    前記アプリケーション配信サーバが、
    前記クライアント端末から前記アプリケーションの利用要求をネットワークを介して受信し、前記クライアント端末にネットワーク経由で前記アプリケーションの機能を提供する処理とを実行し、
    前記情報処理装置は、
    当該情報処理装置から前記アプリケーション配信サーバのアプリケーションを利用する時の、セキュリティポリシーのデータを当該情報処理装置の記憶装置より読み出してメモリに格納する処理と、
    前記セキュリティポリシーデータをメモリより読み出し、ネットワークを介してクライアント端末に移動させる処理とを実行し、
    前記クライアント端末は、
    前記情報処理装置より前記セキュリティポリシーデータを受け取って記憶装置に格納する処理と、
    前記記憶装置よりセキュリティポリシーデータを読み出して、前記アプリケーション配信サーバが前記セキュリティポリシーデータに規定されているか判定し、前記セキュリティポリシーデータに規定されたアプリケーション配信サーバに対して前記アプリケーションの利用要求をネットワークを介して送信する処理とを実行する、
    ことを特徴とするアプリケーション配信制御方法。
  7. クライアント端末とシンクライアントシステムを構成する情報処理装置であって、
    他装置にネットワーク経由でアプリケーションの機能を提供するアプリケーション配信サーバにてアプリケーションを利用する時の、当該情報処理装置における前記アプリケーションの利用状態を示すデータである利用状態データを収集しメモリに格納するデータ収集手段と、
    前記利用状態データをメモリより読み出し、ネットワークを介してクライアント端末に移動させるデータ移動手段と、
    備え、
    前記情報処理装置のデータ収集手段は、当該情報処理装置から前記アプリケーション配信サーバのアプリケーションを利用する時の、セキュリティポリシーのデータを当該情報処理装置の記憶装置より読み出してメモリに格納するものであり、
    前記情報処理装置のデータ移動手段は、前記セキュリティポリシーデータをメモリより読み出し、ネットワークを介してクライアント端末に移動させるものである、
    ことを特徴とする情報処理装置。
  8. 情報処理装置とシンクライアントシステムを構成するクライアント端末であって、
    他装置にネットワーク経由でアプリケーションの機能を提供するアプリケーション配信サーバにてアプリケーションを利用する時の、前記情報処理装置における前記アプリケーションの利用状態を示すデータである利用状態データを、前記情報処理装置より取得して、当該クライアント端末における前記アプリケーションの利用状態を前記利用状態データにより設定するデータ設定手段と、
    前記アプリケーション配信サーバに対して前記アプリケーションの利用要求をネットワークを介して送信する要求送信手段と、
    前記アプリケーション配信サーバから、ネットワーク経由で前記アプリケーションを利用するサービス利用手段と、
    を備え、
    前記情報処理装置は、当該情報処理装置から前記アプリケーション配信サーバのアプリケーションを利用する時の、セキュリティポリシーのデータを当該情報処理装置の記憶装置より読み出してメモリに格納するものであり、
    前記クライアント端末のデータ設定手段は、前記情報処理装置より前記セキュリティポリシーデータを受け取って記憶装置に格納するものであり、
    前記クライアント端末の要求送信手段は、前記記憶装置よりセキュリティポリシーデータを読み出して、前記アプリケーション配信サーバが前記セキュリティポリシーデータに規定されているか判定し、前記セキュリティポリシーデータに規定されたアプリケーション配信サーバに対して前記アプリケーションの利用要求をネットワークを介して送信するものである、
    ことを特徴とするクライアント端末。
JP2008128738A 2008-05-15 2008-05-15 アプリケーション配信制御システム、アプリケーション配信制御方法、情報処理装置、およびクライアント端末 Expired - Fee Related JP5236352B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2008128738A JP5236352B2 (ja) 2008-05-15 2008-05-15 アプリケーション配信制御システム、アプリケーション配信制御方法、情報処理装置、およびクライアント端末
US12/396,157 US8606935B2 (en) 2008-05-15 2009-03-02 Application distribution control system, application distribution control method, information processing apparatus, and client terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008128738A JP5236352B2 (ja) 2008-05-15 2008-05-15 アプリケーション配信制御システム、アプリケーション配信制御方法、情報処理装置、およびクライアント端末

Publications (2)

Publication Number Publication Date
JP2009277089A JP2009277089A (ja) 2009-11-26
JP5236352B2 true JP5236352B2 (ja) 2013-07-17

Family

ID=41317217

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008128738A Expired - Fee Related JP5236352B2 (ja) 2008-05-15 2008-05-15 アプリケーション配信制御システム、アプリケーション配信制御方法、情報処理装置、およびクライアント端末

Country Status (2)

Country Link
US (1) US8606935B2 (ja)
JP (1) JP5236352B2 (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5560756B2 (ja) * 2010-02-12 2014-07-30 株式会社リコー 画像形成装置、機器管理システム、機器管理方法、プログラムおよび記録媒体
JP2011171983A (ja) * 2010-02-18 2011-09-01 Sony Corp 情報処理装置、情報処理方法およびコンピュータ読み取り可能な記録媒体
JP5609309B2 (ja) * 2010-06-24 2014-10-22 富士通株式会社 データ提供方法、データ提供装置、データ提供プログラムおよびデータ提供システム
US20120036188A1 (en) * 2010-08-06 2012-02-09 Nokia Corporation Method and Apparatus for Aggregating Document Information
JP5736971B2 (ja) 2011-05-30 2015-06-17 富士通株式会社 通信制御方法および管理装置
US8663018B2 (en) 2011-06-29 2014-03-04 Amazon Technologies, Inc. Data locker synchronization
US9864632B2 (en) 2011-08-17 2018-01-09 Open Invention Network, Llc System and method for transfer of an application state between devices
EP2746937A4 (en) 2011-08-19 2015-05-06 Synclogue Inc METHOD AND PROGRAM FOR APPLICATION SYNCHRONIZATION
JP5680508B2 (ja) * 2011-09-02 2015-03-04 日本電信電話株式会社 ネットワークシステム、プロキシサーバ及び代理方法
US11132672B2 (en) * 2011-11-29 2021-09-28 Cardlogix Layered security for age verification and transaction authorization
US9117062B1 (en) * 2011-12-06 2015-08-25 Amazon Technologies, Inc. Stateless and secure authentication
JP2013200798A (ja) * 2012-03-26 2013-10-03 Fujitsu Ltd 生体認証システム、生体認証方法、生体認証プログラム
WO2013168221A1 (ja) 2012-05-08 2013-11-14 株式会社Synclogue 同期プログラム、同期サーバ、及び同期方法
FR2992083B1 (fr) * 2012-06-19 2014-07-04 Alstom Transport Sa Calculateur, ensemble de communication comportant un tel calculateur, systeme de gestion ferroviaire comportant un tel ensemble, et procede de fiabilisation de donnees dans un calculateur
JP2013131207A (ja) * 2012-09-21 2013-07-04 Oyo Denshi:Kk シンクライアントシステム
JP5865234B2 (ja) * 2012-11-12 2016-02-17 日本電信電話株式会社 ネットワーク利用履歴取得装置及び方法及びプログラム
KR20150020398A (ko) * 2013-08-13 2015-02-26 삼성전자주식회사 애플리케이션을 통합 검색할 수 있는 전자 장치 및 방법
JP5786913B2 (ja) * 2013-09-20 2015-09-30 コニカミノルタ株式会社 情報通信システム、中間サーバおよびプログラム
US9367562B2 (en) 2013-12-05 2016-06-14 Google Inc. Distributing data on distributed storage systems
US9954827B2 (en) * 2014-11-03 2018-04-24 Mobileframe, Llc Invisible two-factor authentication
US10956563B2 (en) 2017-11-22 2021-03-23 Aqua Security Software, Ltd. System for securing software containers with embedded agent
US10997283B2 (en) * 2018-01-08 2021-05-04 Aqua Security Software, Ltd. System for securing software containers with encryption and embedded agent
CN109819008A (zh) * 2018-10-16 2019-05-28 深圳市超盟金服技术信息服务有限公司 一种服务器数据迁移的方法、具有数据迁移功能的服务器及系统
US11640475B1 (en) * 2019-11-26 2023-05-02 Gobeep, Inc. Systems and processes for providing secure client controlled and managed exchange of data between parties

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6711620B1 (en) * 1999-04-14 2004-03-23 Matsushita Electric Industrial Co. Event control device and digital broadcasting system
JP4391766B2 (ja) * 2002-05-31 2009-12-24 株式会社エヌ・ティ・ティ・ドコモ マルチプラットフォームアプリケーションのためのブラウザセッションモビリティシステム
JP2004094411A (ja) 2002-08-29 2004-03-25 Fuwan Fuwangu Guwan 広域ネットワーク内の透過的な作業環境を有するシン−クライアントのローミングシステムおよび方法
TWI335541B (en) * 2004-02-18 2011-01-01 Ibm Grid computing system, management server, processing server, control method, control program and recording medium
US20050256923A1 (en) * 2004-05-14 2005-11-17 Citrix Systems, Inc. Methods and apparatus for displaying application output on devices having constrained system resources
WO2007074119A1 (fr) * 2005-12-29 2007-07-05 Gemplus Systeme et procede pour le deploiement d'applications web personnalisees
US20090063690A1 (en) * 2007-09-05 2009-03-05 Motorola, Inc. Continuing an application session using a different device from one that originally initiated the application session while preserving session while preserving session state and data
US10007767B1 (en) * 2007-12-21 2018-06-26 EMC IP Holding Company LLC System and method for securing tenant data on a local appliance prior to delivery to a SaaS data center hosted application service
US8560593B2 (en) * 2008-03-27 2013-10-15 Dell Software Inc. System for provisioning, allocating, and managing virtual and physical desktop computers in a network computing environment

Also Published As

Publication number Publication date
US20090287831A1 (en) 2009-11-19
JP2009277089A (ja) 2009-11-26
US8606935B2 (en) 2013-12-10

Similar Documents

Publication Publication Date Title
JP5236352B2 (ja) アプリケーション配信制御システム、アプリケーション配信制御方法、情報処理装置、およびクライアント端末
JP6397956B2 (ja) モバイルデバイス管理機能の提供
JP6056384B2 (ja) システム及びサービス提供装置
US9191394B2 (en) Protecting user credentials from a computing device
US8918865B2 (en) System and method for protecting data accessed through a network connection
US9769158B2 (en) Guided enrollment and login for token users
US8548916B2 (en) Managing passwords used when detecting information on configuration items disposed on a network
US8627409B2 (en) Framework for automated dissemination of security metadata for distributed trust establishment
JP5296726B2 (ja) Webコンテンツ提供システム、Webサーバ、コンテンツ提供方法、及びこれらのプログラム
WO2007102457A1 (ja) 機器監視装置
JP2007140956A (ja) 情報処理システム、管理サーバ、端末、情報処理装置
EP2622534B1 (en) Trustworthy device claims as a service
JP2008502251A (ja) プロセスを使用するキーストアを有するコンピュータ装置及びコンピュータ装置を動作させる方法
US10447818B2 (en) Methods, remote access systems, client computing devices, and server devices for use in remote access systems
US20060122936A1 (en) System and method for secure publication of online content
JP5707760B2 (ja) 情報処理システム、情報処理装置、情報処理方法、情報処理プログラム、及びそのプログラムを記録した記録媒体
US20150304237A1 (en) Methods and systems for managing access to a location indicated by a link in a remote access system
JP6237868B2 (ja) クラウドサービス提供システム及びクラウドサービス提供方法
JP5290863B2 (ja) ターミナルサーバ、シンクライアントシステム、及びコンピュータ資源割り当て方法
JP2008176506A (ja) 情報処理装置、情報処理方法、および管理サーバ
JP4906767B2 (ja) 印刷管理システム、印刷管理方法、端末、サーバ、プリント対応サーバ
JP5602124B2 (ja) スマートフォンを利用したネットワークシステム
JP4729098B2 (ja) コンテンツ更新システム、コンテンツ更新方法、更新サーバ及びコンテンツ更新プログラム
KR100818923B1 (ko) 클라이언트의 신뢰성 검증 장치 및 방법
JP2012137871A (ja) 情報処理装置、情報処理方法、情報処理システム、コンピュータプログラム、記録媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100903

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121127

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130319

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130327

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160405

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees