JP5560011B2 - Remote access control method and remote access control system - Google Patents
Remote access control method and remote access control system Download PDFInfo
- Publication number
- JP5560011B2 JP5560011B2 JP2009219733A JP2009219733A JP5560011B2 JP 5560011 B2 JP5560011 B2 JP 5560011B2 JP 2009219733 A JP2009219733 A JP 2009219733A JP 2009219733 A JP2009219733 A JP 2009219733A JP 5560011 B2 JP5560011 B2 JP 5560011B2
- Authority
- JP
- Japan
- Prior art keywords
- remote access
- client terminal
- access control
- terminal
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 58
- 238000012790 confirmation Methods 0.000 claims description 24
- 230000006870 function Effects 0.000 claims description 22
- 230000004913 activation Effects 0.000 claims description 14
- 230000004044 response Effects 0.000 claims description 5
- 230000008569 process Effects 0.000 description 30
- 238000013500 data storage Methods 0.000 description 24
- 238000007726 management method Methods 0.000 description 16
- 238000009434 installation Methods 0.000 description 13
- 238000001994 activation Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 11
- 230000000694 effects Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 208000015181 infectious disease Diseases 0.000 description 2
- 238000011900 installation process Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 206010022000 influenza Diseases 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Description
本発明は、オフィス外に設置された不特定のクライアント端末を用いて、オフィス内に設置された特定のクライアント端末にアクセスするために用いるリモートアクセス制御方法及びリモートアクセス制御システムに関する。 The present invention relates to a remote access control method and a remote access control system used to access a specific client terminal installed in an office using an unspecified client terminal installed outside the office.
日常的な企業活動において、オフィス内に設置されたPC(Personal Computer )端末等のクライアント端末が各ユーザに割り当てられており、このようなPC端末を利用して業務を行なうことが多い。 In daily corporate activities, client terminals such as PC (Personal Computer) terminals installed in offices are assigned to each user, and business is often performed using such PC terminals.
更に、企業のオフィスの外においても活動を行なう場合には、PC端末を携帯することもある。また、必要な情報を記録した記録媒体を持ちだし、他のクライアント端末を用いて情報処理を行なう場合もある。しかしながら、PC端末や記録媒体をオフィス外に持ち出す場合には、情報漏洩などのセキュリティの確保に注意する必要がある。 Furthermore, when an activity is performed outside a company office, a PC terminal may be carried. In some cases, a recording medium in which necessary information is recorded is taken out and information processing is performed using another client terminal. However, when taking a PC terminal or a recording medium out of the office, it is necessary to pay attention to ensuring security such as information leakage.
そこで、PC端末を紛失しても情報の漏洩を防ぐことができる技術として、クライアント端末に必要最低限の構成のみを備えるシンクライアントシステムが注目されている。例えば、シンクライアントシステムでは、クライアント端末として記憶装置を備えないディスクレスPCが利用される。そして、ユーザが操作するクライアント端末を用いて、会社等で管理されているサーバ装置上のデスクトップを遠隔操作し、サーバ装置に搭載されている各種アプリケーションプログラムやデータを利用する。 Therefore, as a technique that can prevent information leakage even if the PC terminal is lost, a thin client system that has only a minimum necessary configuration in the client terminal has attracted attention. For example, in a thin client system, a diskless PC without a storage device is used as a client terminal. And using the client terminal which a user operates, the desktop on the server apparatus managed by the company etc. is operated remotely, and the various application programs and data mounted in the server apparatus are utilized.
このため、クライアント装置には、クライアント装置とサーバ装置を接続する通信プログラム、クライアント装置をサーバ装置の入出力装置として機能させるリモートデスクトッププログラム、及びこれらのプログラムを動作させるオペレーションシステムプログラムが搭載されている必要がある。 For this reason, the client device is equipped with a communication program for connecting the client device and the server device, a remote desktop program for causing the client device to function as an input / output device for the server device, and an operation system program for operating these programs. There is a need.
そこで、イントラネット内のファイルを外部に持ち出すことなく、イントラ内で可能な作業をイントラネットの外部において実行するためのリモートアクセス方法に関する技術が検討されている(例えば、特許文献1を参照。)。この文献に記載された技術においては、インターネットまたはイントラネット内にある複数のパソコン、サーバ等のPC類とインターネット内に設置した中継管理サーバより構成する。操作PC類用ソフトの少なくとも一部はUSBメモリなどの外部記憶媒体に入れておき、外部記憶媒体は固有のIDを所有し、このID、および手入力するパスワードなどの認証情報の両方を利用して中継管理サーバへのログインを行なう。 Therefore, a technique relating to a remote access method for executing work that can be performed within the intranet outside the intranet without taking out the files within the intranet has been studied (for example, see Patent Document 1). The technique described in this document is configured by a plurality of PCs such as personal computers and servers in the Internet or an intranet, and a relay management server installed in the Internet. At least a part of the operation PC software is stored in an external storage medium such as a USB memory. The external storage medium has a unique ID and uses both this ID and authentication information such as a manually entered password. To log in to the relay management server.
また、クライアント端末からネットワークを介して接続されるサーバに記憶されるデータにアクセスするリモートアクセスシステムを提供する技術も検討されている(例えば、特許文献2を参照。)。この文献に記載された技術においては、OSプログラムとアプリケーションプログラムとを記憶する記憶装置を有するデバイス、クライアント端末、サーバを用いる。クライアント端末は、デバイスからOSプログラム及びアプリケーションプログラムを読み出して、クライアント端末が備えるメモリにOSプログラム及びアプリケーションプログラムを記憶させる。メモリに記憶されるOSプログラムによってOSを起動し、メモリに記憶されるアプリケーションプログラムを実行してファイルを生成する。そして、生成されたファイルをサーバに送信し、サーバが備える記憶装置にファイルを記憶させる。 A technique for providing a remote access system for accessing data stored in a server connected via a network from a client terminal has also been studied (see, for example, Patent Document 2). In the technique described in this document, a device, a client terminal, and a server having a storage device that stores an OS program and an application program are used. The client terminal reads the OS program and the application program from the device, and stores the OS program and the application program in a memory provided in the client terminal. The OS is started by the OS program stored in the memory, and the application program stored in the memory is executed to generate a file. Then, the generated file is transmitted to the server, and the file is stored in a storage device included in the server.
ところで、例えば、インフルエンザの感染者が発生した場合等のように、諸般の事情により、突発的に出勤ができない状況が生じることがある。このような場合、感染者のみならず、感染のおそれがある同じオフィスの健常者も、感染の拡大を防止するために出勤を控え、自宅待機とすることがある。また、感染者が身体的には回復した場合にも、感染を抑制するために一定期間、オフィスへの出勤を控えることもある。 By the way, for example, when an influenza infected person occurs, there may be a situation where sudden work cannot be performed due to various circumstances. In such a case, not only an infected person but also a healthy person in the same office who may be infected may refrain from attending work and stay at home in order to prevent the spread of infection. In addition, even if an infected person recovers physically, he / she may refrain from going to the office for a certain period of time to control the infection.
このような場合において、企業業務の継続性を確保することが大切である。特に、今日では、従業員の自宅などにおいても、個人のPC端末が設置され、通信環境が整っていることが多く、このような環境を利用することができる可能性がある。 In such cases, it is important to ensure the continuity of business operations. In particular, today, personal PC terminals are often installed in employees' homes and the like, and a communication environment is often prepared, and there is a possibility that such an environment can be used.
しかしながら、このようなPC端末を利用する場合においても、オフィスに設置されたPC端末へのリモートアクセスのためには、アクセス環境を整える必要がある。また、個人のPC端末を利用する場合には、特にセキュリティ確保を考慮する必要がある。 However, even when such a PC terminal is used, it is necessary to prepare an access environment for remote access to the PC terminal installed in the office. Further, when using a personal PC terminal, it is particularly necessary to consider security.
更に、突発的な状況に対する対応においては、自宅待機のユーザを予め特定することは困難である。また、すべてのユーザについて、予めリモートアクセスの環境を整えておくことも可能であるが、この場合には経済的な負担が大きい。 Furthermore, it is difficult to specify a user who is waiting at home in advance in response to an unexpected situation. It is also possible to prepare a remote access environment for all users in advance, but in this case, the economic burden is large.
本発明は、上記問題点を解決するためになされたものであり、オフィス外に設置された不特定のクライアント端末を用いて、オフィス内に設置された特定のクライアント端末にアクセスするためのリモートアクセス制御方法及びリモートアクセス制御システムを提供することにある。 The present invention has been made to solve the above-mentioned problems, and uses a non-specific client terminal installed outside the office to access a specific client terminal installed in the office. A control method and a remote access control system are provided.
上記問題点を解決するために、請求項1に記載の発明は、オフィス外に設置された第1クライアント端末と、前記第1クライアント端末にネットワークを介して接続され、オフィス内に設置された第2クライアント端末と、本人認証情報を保持し、前記第1クライアント端末に装着されるリモートアクセス制御デバイスとを用いて、リモートアクセスを制御する方法であって、前記第1のクライアント端末に装着された前記リモートアクセス制御デバイスが、ユーザ確認情報を取得し、本人認証情報と前記ユーザ確認情報とを照合することにより本人認証を行なう段階と、本人を認証することができた場合には、前記第2クライアント端末に対してスクリーンセーバ起動時間を短縮化する指示を行なうととともに、前記第1クライアント端末の機能を制限するシンクライアント化段階と、前記第1クライアント端末を、ネットワークを介して前記第2クライアント端末に接続させる段階と、スクリーンセーバ起動時間を短くした前記第2クライアント端末は、シンクライアント化した前記第1クライアント端末からの接続に応じて、リモートアクセスを許容する段階とを実行することを要旨とする。 In order to solve the above problems, the invention described in claim 1 is a first client terminal installed outside the office, and a first client terminal installed in the office connected to the first client terminal via a network. A method of controlling remote access using a two-client terminal and a remote access control device that holds personal authentication information and is attached to the first client terminal, and is attached to the first client terminal The remote access control device obtains user confirmation information, authenticates the user authentication information against the user confirmation information, and authenticates the user. Instructing the client terminal to shorten the screen saver activation time, and the first client terminal Wherein the thin client step of limiting the function, the first client terminal, the step of connecting to the second client terminal via a network, the second client terminal short for screen saver activation time, which was thin client The gist is to execute a step of permitting remote access in response to a connection from the first client terminal.
請求項2に記載の発明は、請求項1に記載のリモートアクセス制御方法において、前記リモートアクセス制御デバイスは、電子証明書を保持しており、前記電子証明書を用いて、前記第1クライアント端末を、前記第2クライアント端末に接続させることを要旨とする。 According to a second aspect of the present invention, in the remote access control method according to the first aspect, the remote access control device holds an electronic certificate, and the first client terminal uses the electronic certificate. Is connected to the second client terminal.
請求項3に記載の発明は、請求項1又は2に記載のリモートアクセス制御方法において、前記リモートアクセス制御デバイスは、本人認証情報として生体情報を保持するととも
に、ユーザ確認情報を読み取る生体情報読取手段を備え、前記生体情報読取手段において読み取った生体情報をユーザ確認情報として用いて本人認証を行なうことを要旨とする。
According to a third aspect of the present invention, in the remote access control method according to the first or second aspect, the remote access control device holds biometric information as personal authentication information and reads biometric information reading means for reading user confirmation information And performing personal authentication using the biometric information read by the biometric information reading means as user confirmation information.
請求項4に記載の発明は、請求項1〜3のいずれか一つに記載のリモートアクセス制御方法において、前記リモートアクセス制御デバイスは、予め設定されたパスワードを保持しており、前記第1クライアント端末において入力されたパスワードを取得し、前記パスワードを用いて本人認証を行なうことを要旨とする。 According to a fourth aspect of the present invention, in the remote access control method according to any one of the first to third aspects, the remote access control device holds a preset password, and the first client The gist is to obtain a password input at the terminal and to perform identity authentication using the password.
請求項5に記載の発明は、請求項4に記載のリモートアクセス制御方法において、前記リモートアクセス制御デバイスは、パスワードを用いて本人認証を行なった場合には、生体情報を用いて本人認証を行なった場合よりもリモートアクセス時に利用できる機能の制限を強化することを要旨とする。 According to a fifth aspect of the present invention, in the remote access control method according to the fourth aspect, when the remote access control device performs personal authentication using a password, it performs personal authentication using biometric information. The gist is to strengthen the restrictions on the functions that can be used during remote access, rather than the case where
請求項6に記載の発明は、請求項1〜5のいずれか一つに記載のリモートアクセス制御方法において、前記リモートアクセス制御デバイスは、前記第1クライアント端末のセキュリティ状況を取得し、前記セキュリティ状況が利用条件を満足するかどうかを判定し、前記利用条件を満足する場合に本人認証を行なうことを要旨とする。 According to a sixth aspect of the present invention, in the remote access control method according to any one of the first to fifth aspects, the remote access control device acquires a security status of the first client terminal, and the security status. The gist is to determine whether or not the user satisfies the use condition, and to authenticate the person when the use condition is satisfied.
請求項7に記載の発明は、オフィス外に設置された第1クライアント端末と、前記第1クライアント端末にネットワークを介して接続され、オフィス内に設置された第2クライアント端末と、本人認証情報を保持し、前記第1クライアント端末に装着されるリモートアクセス制御デバイスとを用いて、リモートアクセスを制御するシステムであって、前記第1のクライアント端末に装着された前記リモートアクセス制御デバイスが、ユーザ確認情報を取得し、本人認証情報と前記ユーザ確認情報とを照合することにより本人認証を行なう手段と、本人を認証することができた場合には、前記第2クライアント端末に対してスクリーンセーバ起動時間を短縮化する指示を行なうととともに、前記第1クライアント端末の機能を制限するシンクライアント化手段とを備え、前記第1クライアント端末が、ネットワークを介して前記第2クライアント端末に接続する手段を備え、スクリーンセーバ起動時間を短くした前記第2クライアント端末は、シンクライアント化した前記第1クライアント端末からの接続に応じて、リモートアクセスを許容する手段を備えたことを要旨とする。 According to a seventh aspect of the present invention, there is provided a first client terminal installed outside the office, a second client terminal connected to the first client terminal via a network and installed in the office, and personal authentication information. And a remote access control device mounted on the first client terminal, wherein the remote access control device mounted on the first client terminal is user-confirmed. Information is acquired, and means for authenticating the user by comparing the user authentication information with the user confirmation information; and if the user can be authenticated, a screen saver activation time is set for the second client terminal. with the an instruction to shorten, Shinkura to limit the functions of the first client terminal A Ant means, the first client terminal includes a means for connecting to said second client terminal via a network, the second client terminal short for screen saver activation time, thin client and said first The gist of the invention is that it has means for allowing remote access in response to a connection from a client terminal.
(作用)
請求項1又は7に記載の発明によれば、第1のクライアント端末に装着されたリモートアクセス制御デバイスが、ユーザ確認情報を取得し、本人認証情報とユーザ確認情報とを照合することにより本人認証を行なう。本人を認証することができた場合には、第1クライアント端末の機能を制限する。そして、第1クライアント端末を、ネットワークを介して第2クライアント端末に接続させる。第2クライアント端末は、第1クライアント端末からの接続に応じて、リモートアクセスを許容する。これにより、第1クライアント端末を「シンクライアント化」することで、第1クライアント端末の盗難等によって、業務に係わる情報が漏洩するリスクを排除できる。更に、第2クライアント端末をリモートコントロールにて操作することで、オフィス内と同様の業務が可能になる。そして、USBキー装置や外部記憶等のリモートアクセス制御デバイスを使用することにより、第1クライアント端末において接続専用環境を構築、業務利便性の向上を実現することができる。この結果、オフィス外で業務を有効かつ効率的に行なうことができる。
(Function)
According to the first or seventh aspect of the invention, the remote access control device attached to the first client terminal acquires the user confirmation information and compares the personal authentication information with the user confirmation information to authenticate the user. To do. If the user can be authenticated, the function of the first client terminal is restricted. Then, the first client terminal is connected to the second client terminal via the network. The second client terminal allows remote access according to the connection from the first client terminal. Thereby, by making the first client terminal “thin client”, it is possible to eliminate the risk of leakage of information relating to business due to theft of the first client terminal or the like. Further, by operating the second client terminal by remote control, the same work as in the office becomes possible. Then, by using a remote access control device such as a USB key device or an external storage, it is possible to construct a connection-only environment in the first client terminal and improve business convenience. As a result, work can be performed effectively and efficiently outside the office.
請求項2に記載の発明によれば、リモートアクセス制御デバイスは、電子証明書を保持しており、電子証明書を用いて、第1クライアント端末を、第2クライアント端末に接続させる。これにより、接続認証の強化を図ることができる。 According to the second aspect of the invention, the remote access control device holds the electronic certificate, and uses the electronic certificate to connect the first client terminal to the second client terminal. Thereby, connection authentication can be strengthened.
請求項3に記載の発明によれば、リモートアクセス制御デバイスは、本人認証情報として生体情報を保持するとともに、ユーザ確認情報を読み取る生体情報読取手段を備える。そして、生体情報読取手段において読み取った生体情報をユーザ確認情報として用いて本
人認証を行なう。これにより、生体情報を用いて、的確な本人認証を行なうことができる。
According to the third aspect of the present invention, the remote access control device includes biometric information reading means for holding biometric information as personal authentication information and reading user confirmation information. Then, the biometric information read by the biometric information reading means is used as user confirmation information to perform personal authentication. Thereby, accurate personal authentication can be performed using biometric information.
請求項4に記載の発明によれば、リモートアクセス制御デバイスは、予め設定されたパスワードを保持している。そして、第1クライアント端末において入力されたパスワードを取得し、パスワードを用いて本人認証を行なう。これにより、生体情報が登録されていない場合や、生体情報を読み取ることができない場合においても、リモートアクセスを実現することができる。 According to the fourth aspect of the present invention, the remote access control device holds a preset password. And the password input in the 1st client terminal is acquired, and personal authentication is performed using a password. Accordingly, remote access can be realized even when biometric information is not registered or biometric information cannot be read.
請求項5に記載の発明によれば、リモートアクセス制御デバイスは、パスワードを用いて本人認証を行なった場合には、生体情報を用いて本人認証を行なった場合よりもリモートアクセス時に利用できる機能の制限を強化する。これにより、本人認証の状況に応じて、セキュリティを確保することができる。 According to the fifth aspect of the present invention, the remote access control device has a function that can be used in remote access when performing personal authentication using a password than when performing personal authentication using biometric information. Increase restrictions. Thereby, security can be ensured according to the situation of personal authentication.
請求項6に記載の発明によれば、リモートアクセス制御デバイスは、第1クライアント端末のセキュリティ状況を取得し、セキュリティ状況が利用条件を満足するかどうかを判定する。そして、利用条件を満足する場合に本人認証を行なう。これにより、第1クライアント端末の環境を確認してリモートアクセスを実現することができる。 According to the sixth aspect of the present invention, the remote access control device acquires the security status of the first client terminal and determines whether or not the security status satisfies the use condition. Then, when the usage conditions are satisfied, personal authentication is performed. Thereby, it is possible to realize remote access by confirming the environment of the first client terminal.
本発明によれば、自宅などに設置された不特定のクライアント端末を用いて、オフィスなどに設置された特定のクライアント端末にアクセスするためのリモートアクセス制御方法及びリモートアクセス制御システムを提供することができる。 According to the present invention, it is possible to provide a remote access control method and a remote access control system for accessing a specific client terminal installed in an office or the like using an unspecified client terminal installed in a home or the like. it can.
以下、本発明を具体化した実施形態を図1〜図3に従って説明する。本実施形態では、企業の従業員であるユーザが、自宅などに設置されたクライアント端末を用いて、企業のオフィスなどに設置されたクライアント端末に接続する場合に用いるリモートアクセス制御方法及びリモートアクセス制御システムとして説明する。ここで、図1に示すように、各ユーザの自宅Hに設置された自宅PC端末10(第1クライアント端末)を用いて、オフィスF内に設置されたオフィスPC端末30(第2クライアント端末)にリモートアクセスする場合を想定する。ここでは、自宅PC端末10が、インターネット(ネットワーク)を介してデータセンタCに接続されている。
DESCRIPTION OF EMBODIMENTS Hereinafter, embodiments embodying the present invention will be described with reference to FIGS. In this embodiment, a remote access control method and a remote access control used when a user who is an employee of a company uses a client terminal installed at home or the like to connect to a client terminal installed at a company office or the like. As a system. Here, as shown in FIG. 1, an office PC terminal 30 (second client terminal) installed in the office F using a home PC terminal 10 (first client terminal) installed in each user's home H. Assume that remote access is performed. Here, the
データセンタCには、ルータ40,暗号化装置41,サーバ群42が設けられている。これらは、オフィスPC端末30を用いて業務を遂行するために準備された既存設備である。本実施形態においては、このような既存設備を利用して、自宅PC端末10を、ルータ40,暗号化装置41を介して、オフィスPC端末30に接続させる。
In the data center C, a
ルータ40は、インターネットを介してアクセス要求を取得した場合、このアクセス要求を暗号化装置41に転送する処理を実行する。
暗号化装置41は、自宅PC端末10との通信のためにVPN(Virtual Private Network )を実現する処理を実行する。本実施形態では、公知のSSL(Secure Sockets Layer)によるVPNを実現する。この場合、各リモートアクセス制御デバイス20に格納された電子証明書により、リモートアクセス制御デバイス20の真正性を確認する。
When the
The
この暗号化装置41は、セキュリティが確保されたローカルエリアネットワーク(LAN)に接続され、このLANを介してサーバ群42やオフィスFのオフィスPC端末30に接続される。
The
自宅PC端末10をオフィスPC端末30に接続させる場合、リモートアクセス制御デバイス20を用いる。
リモートアクセス制御デバイス20は、PC端末において、セキュリティを確保した状態でのリモートアクセスを実現する処理を実行する。本実施形態では、リモートアクセス制御デバイス20としてUniversal Serial Bus(USB)を用いてデータの読み書きを行なう補助記憶装置(USBキー装置)を用いる。このリモートアクセス制御デバイス20は、図2に示すように、コネクタ部21、データ記憶部22、指紋センサ23等を備えている。このコネクタ部21には、環境チェック手段212、インストール手段213、本人認証手段214、シンクライアント制御手段215が接続される。
When connecting the
The remote
指紋センサ23は、生体情報読取手段として機能し、ユーザの本人認証を行なうために生体情報(ここでは、指紋情報)を読み取る処理を実行する。
このデータ記憶部22には、セキュリティを確保したリモートアクセスを実現するための各種データが格納されている。具体的には、データ記憶部22には、VPN処理プログラム、リモート制御プログラム、本人認証情報、電子証明書、接続先情報、失敗許容回数、利用許容範囲テーブルに関するデータが格納されている。
The fingerprint sensor 23 functions as a biometric information reading unit, and executes a process of reading biometric information (here, fingerprint information) in order to authenticate the user.
The
VPN処理プログラムはVPNを構築するためのプログラムであり、リモート制御プログラムはリモートアクセスを実現するためのプログラムである。
本人認証情報は、ユーザを認証するための本人認証情報である。本実施形態では、本人認証情報として、リモートアクセスが許可されたユーザ自身の生体情報やパスワードが格納されている。
The VPN processing program is a program for building a VPN, and the remote control program is a program for realizing remote access.
The personal authentication information is personal authentication information for authenticating the user. In this embodiment, biometric information and a password of a user who is permitted remote access are stored as personal authentication information.
電子証明書は、VPNにおいて暗号化を行なうためのデータである。
接続先情報は、このリモートアクセス制御デバイス20が装着された自宅PC端末10を接続させるオフィスPC端末30の所在を特定するための情報(アドレス)である。
The electronic certificate is data for performing encryption in the VPN.
The connection destination information is information (address) for specifying the location of the
失敗許容回数は、本人認証の失敗が許容される回数である。
利用許容範囲テーブルは、セキュリティポリシに従って、リモートアクセス時に利用を許容するアプリケーションやイベント処理を特定するための識別子データが記録される。
The allowable number of failures is the number of times that authentication failure is permitted.
In the use allowable range table, identifier data for specifying applications and event processing that are allowed to be used during remote access is recorded in accordance with the security policy.
コネクタ部21は、PC端末に装着させるためのインターフェイス(ここではUSBコネクタ)により構成される。
環境チェック手段212は、リモートアクセス制御デバイス20が装着されたPC端末の利用環境の状態を確認する処理を実行する。そして、このPC端末が、リモートアクセスを行なうための機能やセキュリティを確保するための機能を備えているかどうかを判定する。PC端末が必要な機能を備えていないと判定した場合、環境チェック手段212は、PC端末の状態に応じた措置を行なう。
The
The
インストール手段213は、装着先のPC端末に対して、VPNを実現するために必要なプログラムや、リモートアクセスに必要なプログラムをインストールする処理を実行す
る。本実施形態においては、環境チェック手段212が、自宅PC端末10において不足している機能を検知した場合、インストール手段213が、データ記憶部22に格納されたVPN処理プログラムや、リモート制御プログラムを自宅PC端末10に提供する。
The
本人認証手段214は、リモートアクセスを行なうユーザを認証する処理を実行する。この本人認証手段214は、指紋センサ23から、ユーザの生体情報(ここでは指紋情報)を取得する。また、本人認証手段214は、自宅PC端末10の入力部を介して入力されたパスワードを取得する。そして、本人認証手段214は、データ記憶部22から本人認証情報を抽出し、ユーザが入力した本人確認情報(指紋情報又はパスワード)と比較する。
更に、本人認証手段214は、本人認証の失敗回数をカウントして仮記憶する。そして、本人認証を完了した場合には、仮記憶した失敗回数をリセットする。
The personal authentication means 214 executes processing for authenticating a user who performs remote access. This personal authentication means 214 acquires the user's biometric information (here, fingerprint information) from the fingerprint sensor 23. Also, the personal authentication means 214 acquires a password input via the input unit of the
Further, the personal authentication means 214 counts and temporarily stores the number of times of personal authentication failure. Then, when the personal authentication is completed, the temporarily stored number of failures is reset.
シンクライアント制御手段215は、装着先のPC端末のアプリケーションやイベント処理を制限する処理を実行する。本実施形態では、シンクライアント制御手段215は、装着先のPC端末において発生した操作要求を監視する。そして、この操作要求の対象が利用許容範囲テーブルに登録されている場合には、アプリケーションやイベント処理の実行を許可する。一方、操作要求の対象が利用許容範囲テーブルに登録されていない場合には、アプリケーションの実行やイベント処理を拒否する。これにより、装着先のPC端末におけるデータのダウンロードや、他の記憶媒体へのデータの書き出し、画面イメージのハードコピーの記憶(プリントスクリーン機能)等についてのイベント処理を制限することができる。
The thin client control means 215 executes processing for restricting application and event processing of the PC terminal at the mounting destination. In the present embodiment, the thin
自宅PC端末10,オフィスPC端末30は、ユーザが用いるコンピュータ端末である。自宅PC端末10,オフィスPC端末30は、ネットワークを介してデータを送信する機能や、受信したデータを表示する機能等を有する。このため、この自宅PC端末10,オフィスPC端末30は、CPU、RAM、ROM等からなる制御部(11,31)、キーボード、マウス等の入力部、ディスプレイ等の出力部、通信部(12,32)等を備えている。
自宅PC端末10の制御部11は、制御手段(CPU、RAM、ROM等)を備え、後述する処理(リモートアクセス制御デバイスの各機能の起動段階、VPN接続段階、リモートアクセス制御段階等の各処理等)を行なう。そのためのリモートアクセス制御プログラムを実行することにより、制御部11は、図2に示すように、ブート手段110、リモートコントロールマネージャ111、VPN処理手段112として機能する。
The
ブート手段110は、リモートアクセス制御デバイス20の各種手段を起動させる処理を実行する。このブート手段110は、自宅PC端末10のUSBポートにリモートアクセス制御デバイス20が装着されたことを検知すると、リモートアクセス制御デバイス20に電力を供給する。このブート手段110は、自宅PC端末10に記憶されているOSや、RAMに実装されるBIOSの機能などで実現される。
The
リモートコントロールマネージャ111は、インターネット、ルータ40、暗号化装置41を介してオフィスPC端末30に対してリモートアクセス処理を実行する。具体的には、リモートコントロールの対象となるオフィスPC端末30(エージェント)の画面イメージを取得し、自宅PC端末10の出力部に表示する。更に、自宅PC端末10において入力された操作イベントをオフィスPC端末30に送信して操作処理を実行する。
The remote control manager 111 executes remote access processing for the
VPN処理手段112は、オフィスPC端末30との通信のためにVPNを構築する処理を実行する。この場合、リモートアクセス制御デバイス20に格納された電子証明書を
用いた暗号化技術を用いる。このVPN処理手段112は、通信部12を介して、データセンタCに対して、VPNを利用した通信を開始させるためのVPN接続リクエストを送信する。そして、データセンタCからVPNを利用した通信が許可された応答データを受信すると、VPNを利用した通信が可能となる。
The VPN processing means 112 executes a process for constructing a VPN for communication with the
オフィスPC端末30は、通信部32や制御部31を備えている。この制御部31は、リモートコントロールエージェント312を備えている。
リモートコントロールエージェント312は、インターネット、ルータ40、暗号化装置41を介して自宅PC端末10からのリモートアクセスを受け付ける処理を実行する。このリモートコントロールエージェント312は、コントローラである自宅PC端末10にオフィスPC端末30自身の画面イメージを提供し、自宅PC端末10から指示された操作を画面上で実行する。
The
The
次に、本実施形態におけるリモートアクセス制御について、図3に従って説明する。
本実施形態においては、自宅において作業を行なう可能性があるユーザに対して、リモートアクセス制御デバイス20を予め提供しておく。このリモートアクセス制御デバイス20には、このユーザの生体情報やパスワードをデータ記憶部22に記憶させておく。更に、このデータ記憶部22には、このユーザがオフィスFにおいて用いているオフィスPC端末30のアドレスを記憶させておく。
Next, remote access control in this embodiment will be described with reference to FIG.
In the present embodiment, the remote
そして、このユーザがリモートアクセスを行なう場合には、オフィスFに連絡して、オフィスPC端末30を起動してもらう。更に、自宅に設置された自宅PC端末10を起動し、USBポートにリモートアクセス制御デバイス20を装着する。この場合、リモートアクセス制御デバイスには、コネクタ部21を介して電力が供給される。
When this user performs remote access, the user contacts the office F and activates the
そして、リモートアクセス制御デバイス20は、環境チェック処理を実行する(ステップS1−1)。具体的には、リモートアクセス制御デバイス20のコネクタ部21がPC端末に装着された場合、自宅PC端末10の制御部11において、リモートアクセス制御デバイス20の環境チェック手段212が起動される。そして環境チェック手段212は、自宅PC端末10に格納されたプログラムについてインストールプログラム一覧を取得する。
Then, the remote
次に、環境チェック手段212は、自宅PC端末10にVPN処理プログラムが格納されているかどうかについての判定処理を実行する(ステップS1−2)。具体的には、環境チェック手段212は、自宅PC端末10から取得したインストールプログラム一覧においてVPN処理プログラムを検索する。
Next, the
自宅PC端末10においてVPN処理プログラムを検知することができない場合(ステップS1−2において「NO」の場合)、リモートアクセス制御デバイス20は、VPN処理プログラムのインストール処理を実行する(ステップS1−3)。具体的には、環境チェック手段212は、リモートアクセス制御デバイス20のインストール手段213の起動、VPN処理プログラムのインストールを指示する。この場合、自宅PC端末10の制御部11において、リモートアクセス制御デバイス20のインストール手段213が起動される。そして、インストール手段213は、データ記憶部22に記録されたVPN処理プログラムを、装着先の自宅PC端末10にインストールする。
When the
次に、環境チェック手段212は、自宅PC端末10にリモート制御プログラムが格納されているかどうかについての判定処理を実行する(ステップS1−4)。具体的には、環境チェック手段212は、自宅PC端末10から取得したインストールプログラム一覧においてリモート制御プログラムを検索する。
Next, the
自宅PC端末10においてリモート制御プログラムを検知することができない場合(ステップS1−4において「NO」の場合)、リモートアクセス制御デバイス20は、リモート制御プログラムのインストール処理を実行する(ステップS1−5)。具体的には、環境チェック手段212は、リモートアクセス制御デバイス20のインストール手段213の起動や、リモート制御プログラムのインストールを指示する。この場合、自宅PC端末10の制御部11において起動されたインストール手段213が、データ記憶部22に記録されたリモート制御プログラムを、装着先の自宅PC端末10にインストールする。
When the
次に、本人認証のためのユーザ確認情報を取得するための処理を実行する。本実施形態においては、パスワードによる認証又は指紋による認証のいずれかを選択することができる。具体的には、自宅PC端末10の制御部11において、リモートアクセス制御デバイス20の本人認証手段214が起動される。そして、本人認証手段214は、自宅PC端末10のディスプレイに、認証画面を出力する。この認証画面には、パスワード入力欄が設けられている。そして、認証画面には、「リモートアクセス制御デバイスの指紋センサにおける指紋の読み取り」又は「パスワード入力欄へのパスワードの入力」のいずれかの操作を指示するメッセージか表示される。
Next, processing for acquiring user confirmation information for personal authentication is executed. In the present embodiment, either password authentication or fingerprint authentication can be selected. Specifically, the personal authentication means 214 of the remote
ここで、自宅PC端末10の入力部によりパスワード入力欄へのパスワード入力(ユーザ確認情報)を検知した場合には、本人認証手段214は、パスワード認証処理を実行する(ステップS1−6)。具体的には、本人認証手段214は、データ記憶部22に格納されたパスワードを抽出し、パスワード入力欄に入力されたパスワードと比較する。
Here, when the password input (user confirmation information) in the password input field is detected by the input unit of the
一方、リモートアクセス制御デバイス20の指紋センサ23において指紋情報(ユーザ確認情報)を取得した場合には、本人認証手段214は、指紋認証処理を実行する(ステップS1−7)。具体的には、本人認証手段214は、データ記憶部22に格納された指紋情報を抽出し、指紋センサ23から取得した指紋情報と比較する。
On the other hand, when fingerprint information (user confirmation information) is acquired by the fingerprint sensor 23 of the remote
次に、本人認証手段214は、取得したユーザ確認情報と、データ記憶部22に記録された本人認証情報とが一致するかどうかについての判定処理を実行する(ステップS1−8)。 Next, the personal authentication unit 214 executes a determination process as to whether or not the acquired user confirmation information matches the personal authentication information recorded in the data storage unit 22 (step S1-8).
ユーザ確認情報と本人認証情報とが一致せず、本人であることを判定できなかった場合(ステップS1−8において「NO」の場合)、本人認証手段214は、失敗回数の加算処理を実行する(ステップS1−9)。具体的には、本人認証手段214は、本人認証の失敗回数に「1」を加算する。 If the user confirmation information does not match the user authentication information and it cannot be determined that the user is the user (in the case of “NO” in step S1-8), the user authentication unit 214 executes the process of adding the number of failures. (Step S1-9). Specifically, the personal authentication unit 214 adds “1” to the number of failed personal authentications.
そして、リモートアクセス制御デバイス20は、失敗回数が設定回数を超えたかどうかについての判定処理を実行する(ステップS1−10)。具体的には、本人認証手段214は、データ記憶部22に記録された設定回数と、仮記憶した失敗回数とを比較する。
Then, the remote
失敗回数が設定回数を超えた場合(ステップS1−10において「YES」の場合)、リモートアクセス制御デバイス20は、ロック処理を実行する(ステップS1−11)。具体的には、本人認証手段214は、「本人を認証することができない」というメッセージを、自宅PC端末10のディスプレイに出力する。そして、本人認証手段214は、リモートアクセス制御デバイス20の機能を停止させる。
When the number of failures exceeds the set number (in the case of “YES” in step S1-10), the remote
一方、失敗回数が設定回数を超えていない場合(ステップS1−10において「NO」の場合)、本人認証手段214は、認証処理(ステップS1−6,7)からやり直す。
また、ユーザ確認情報と本人認証情報とが一致することにより本人であると判定された
場合(ステップS1−8において「YES」の場合)、リモートアクセス制御デバイス20は、シンクライアント化処理を実行する(ステップS1−12)。具体的には、本人認証手段214は、リモートアクセス制御デバイス20のシンクライアント制御手段215の起動を指示する。この場合、自宅PC端末10の制御部11において、リモートアクセス制御デバイス20のシンクライアント制御手段215が起動される。そして、シンクライアント制御手段215は、自宅PC端末10におけるセキュリティカーネルにより、仮想デスクトップ環境を構築する。
On the other hand, if the number of failures does not exceed the set number of times (in the case of “NO” in step S1-10), the personal authentication means 214 starts over from the authentication processing (steps S1-6, 7).
Further, when it is determined that the user confirmation information and the personal authentication information match each other (if “YES” in step S1-8), the remote
次に、リモートアクセス制御デバイス20は、リモートマネジャ起動処理を実行する(ステップS1−13)。具体的には、シンクライアント制御手段215は、自宅PC端末10の制御部11においてリモートコントロールマネージャ111を起動する。このリモートコントロールマネージャ111を用いることにより、オフィスPC端末30のリモートコントロールエージェント312と通信を行なう。この場合、自宅PC端末10の制御部11は、VPN処理プログラムを実行して、VPN処理手段112を起動する。この場合、VPN処理手段112は、リモートアクセス制御デバイス20のデータ記憶部22に格納された電子証明書を用いることにより、暗号化装置41との間でVPNを構築する。
Next, the remote
次に、自宅PC端末10の制御部11は、操作処理を実行する(ステップS1−14)。具体的には、自宅PC端末10のリモートコントロールマネージャ111は、オフィスPC端末30のリモートコントロールエージェント312からオフィスPC端末30の画面イメージを取得する。そして、リモートコントロールマネージャ111は、自宅PC端末10における操作内容を、データセンタCを介してオフィスPC端末30に送信する。オフィスPC端末30のリモートコントロールエージェント312は、操作内容に応じた処理を実行することにより、リモートアクセスを実現する。この場合、自宅PC端末10を用いることにより、オフィスPC端末30を介して、サーバ群42へのアクセスも可能である。このような操作処理において、シンクライアント制御手段215は、自宅PC端末10に入力された操作要求を監視し、利用許容範囲テーブルに登録されているアプリケーションの実行のみを許可する。
Next, the
以上、本実施形態によれば、以下に示す効果を得ることができる。
(1)上記実施形態では、オフィス外のPC端末を利用して、オフィス内のPC端末を操作する必要が生じたユーザは、リモートアクセス制御デバイス20を利用する。このリモートアクセス制御デバイス20は、データの読み書きを行なう補助記憶装置(USBキー装置)により構成されるため、簡易にリモートアクセスを行なうことができる。
As described above, according to the present embodiment, the following effects can be obtained.
(1) In the above embodiment, a user who needs to operate a PC terminal in the office using a PC terminal outside the office uses the remote
(2)上記実施形態では、リモートアクセス制御デバイス20のデータ記憶部22には、本人認証情報に関するデータが格納されている。そして、本人認証手段214は、この本人認証情報を用いてリモートアクセスを行なうユーザを認証する処理を実行する。これにより、成りすましによる不正アクセスを抑制することができる。
(2) In the above embodiment, the
(3)上記実施形態では、自宅PC端末10の制御部11は、VPN処理プログラムを実行して、VPN処理手段112を起動する。この場合、VPN処理手段112は、リモートアクセス制御デバイス20のデータ記憶部22に格納された電子証明書を用いることにより、暗号化装置41との間でVPNを構築する。これにより、リモートアクセス制御デバイス20に格納された電子証明書を用いて、セキュリティが強化された環境を実現し、この環境下でリモートアクセスを行なうことができる。
(3) In the above embodiment, the
(4)上記実施形態では、シンクライアント制御手段215は、装着先のPC端末のアプリケーションを制限する処理を実行する。これにより、一時的に使用するPC端末において、通常使用しているPC端末からのデータのダウンロードや、他の記憶媒体へのデー
タの書き出し、画面イメージのハードコピーの記憶等の操作を制限することができる。従って、オフィス外のPC端末が盗難等の被害を受けた場合においても、オフィス内で用いるデータへの不正アクセス、データのコピーや改竄等のリスクを低減することができる。
(4) In the above-described embodiment, the thin
(5)上記実施形態では、リモートアクセス制御デバイス20の環境チェック手段は、環境チェック処理を実行する(ステップS1−1)。そして、自宅PC端末10において必要なプログラムを検知することができない場合(ステップS1−2,S1−4において「NO」の場合)、リモートアクセス制御デバイス20は、各種プログラムのインストール処理を実行する(ステップS1−3,S1−5)。これにより、利用が想定されていなかったPC端末を用いなければならない状況においても、接続認証が強化されたVPN環境下でリモートアクセスを実現することができる。そして、居所に限定されず、接続専用環境の構築、ユーザの利便性の向上を実現しながら、業務を遂行することができる。
(5) In the above embodiment, the environment check unit of the remote
なお、上記実施形態は、以下の態様に変更してもよい。
・ 上記実施形態では、リモートアクセス制御デバイス20としてUSBキー装置を用いたが、これに限定されるものではない。光ディスク等の情報記録媒体を用いることも可能である。
In addition, you may change the said embodiment into the following aspects.
In the above embodiment, the USB key device is used as the remote
・ 上記実施形態では、第1クライアント端末として自宅に設置されたPC端末、第2クライアント端末としてオフィスに設置されたPC端末の利用を想定したが、これらに限定されるものではない。 In the above embodiment, it is assumed that the PC terminal installed at home as the first client terminal and the PC terminal installed in the office as the second client terminal are used, but the present invention is not limited to these.
・ 上記実施形態では、データセンタCを介して、自宅PC端末10をオフィスPC端末30に接続したが、ネットワーク構成はこれに限定されるものではない。例えば、ネットワークを介して、自宅PC端末10を、オフィスPC端末30に直接的に接続させるようにしてもよい。この場合には、VPN処理手段をオフィスPC端末30内に設けておく。
In the above embodiment, the
・ 上記実施形態では、本人認証手段214は、本人認証のためのユーザ確認情報を取得する。ここで、自宅PC端末10の入力部によりパスワード入力欄へのパスワード入力(ユーザ確認情報)を検知した場合には、本人認証手段214は、パスワード認証処理を実行する(ステップS1−6)。一方、リモートアクセス制御デバイス20の指紋センサ23から指紋情報(ユーザ確認情報)を取得した場合には、本人認証手段214は、指紋認証処理を実行する(ステップS1−7)。ここで、データ記憶部22に記憶された本人認証情報に基づいて、認証方法を制限するようにしてもよい。具体的には、図4に示すように、本人認証処理を行なう場合、本人認証手段214は、リモートアクセス制御デバイス20に指紋情報が登録されているかどうかについての判定処理を実行する(ステップS2−1)。そして、データ記憶部22に指紋情報が登録されておらず、パスワードのみが記録されている場合(ステップS2−1において「NO」の場合)には、パスワード認証処理を実行する(ステップS1−6)。一方、指紋情報が登録されている場合(ステップS2−1において「YES」の場合)、本人認証手段214は、指紋認証処理を実行する(ステップS1−7)。これにより、指紋情報が登録されている場合には、生体認証のみを許容することにより、漏洩したパスワードによる成りすましを抑制することができる。
In the above embodiment, the personal authentication unit 214 acquires user confirmation information for personal authentication. Here, when the password input (user confirmation information) in the password input field is detected by the input unit of the
・ 上記実施形態では、ユーザ確認情報と本人認証情報とが一致することにより本人であると判定された場合(ステップS1−8において「YES」の場合)、リモートアクセス制御デバイス20は、シンクライアント化処理を実行する(ステップS1−12)。これに加えて、オフィスPC端末30におけるスクリーンセーバ起動時間の短縮化処理を実行するようにしてもよい。具体的には、図5に示すように、シンクライアント制御手段215は、オフィスPC端末30に対してスクリーンセーバ起動時間を短縮化する指示を送
信する(ステップS3−1)。この場合、オフィスPC端末30のリモートコントロールエージェント312は、オフィスPC端末30において設定されているスクリーンセーバ起動時間を短くする。これにより、オフィス外に設置された自宅PC端末10において画面を閲覧する場合にも、盗み見等を抑制することができる。
In the above-described embodiment, when it is determined that the user confirmation information and the personal authentication information match each other (if “YES” in step S1-8), the remote
・ 上記実施形態では、ユーザ確認情報と本人認証情報とが一致することにより本人であると判定された場合(ステップS1−8において「YES」の場合)、リモートアクセス制御デバイス20は、シンクライアント化処理を実行する(ステップS1−12)。ここで、本人の認証方法により、セキュリティを強化するようにしてもよい。具体的には、図6に示すように、シンクライアント制御手段215は、認証方法に応じて、アクセス制限の強化処理を実行する(ステップS4−1)。この場合、利用許容範囲テーブルには、認証方法に対応させて、リモートアクセス時に利用を許容するアプリケーションの種類やイベント処理を登録しておく。すなわち、パスワード認証の場合には、パスワードが漏洩する場合もあるため、利用可能なアプリケーションの種類やイベント処理を制限する。一方、生体情報を用いての認証の場合には、高いセキュリティを期待できるため、パスワード認証の場合よりも利用可能なアプリケーションの種類やイベント処理の範囲を広くしておく。これにより、セキュリティを考慮しながら、ユーザの利便性を図ることができる。
In the above-described embodiment, when it is determined that the user confirmation information and the personal authentication information match each other (if “YES” in step S1-8), the remote
また、本人認証の失敗回数に応じて、リモートアクセス時に利用を許容するアプリケーションの種類やイベント処理の範囲を変更するようにしてもよい。具体的には、利用許容範囲テーブルには、失敗回数に対応させて、利用を許容するアプリケーションの種類やイベント処理を登録しておく。この場合、失敗回数が多い場合に、利用可能なアプリケーションやイベント処理を制限しておく。これにより、認証状況に応じて操作要求の許容範囲を制限することができる。 Further, depending on the number of failed personal authentications, the type of application permitted for use during remote access and the range of event processing may be changed. Specifically, in the usage allowable range table, the types of applications and event processing that are allowed to be used are registered in correspondence with the number of failures. In this case, when the number of failures is large, available applications and event processing are limited. Thereby, the allowable range of the operation request can be limited according to the authentication status.
・ 上記実施形態では、自宅において作業を行なう可能性があるユーザに対して、リモートアクセス制御デバイス20を予め提供しておく。これに代えて、ユーザが自宅において作業を行なう必要が生じた場合に、このユーザに対してリモートアクセス制御デバイス20を提供するようにしてもよい。この場合には、ユーザ毎に、予め生体情報やパスワード、オフィスPC端末30のアドレスをユーザ管理データベースに登録しておく。そして、ユーザが特定された段階で、リモートアクセス制御デバイス20のデータ記憶部22に、ユーザ管理データベースに登録されたユーザの生体情報やパスワード、このユーザのオフィスPC端末30のアドレスを記録する。そして、このリモートアクセス制御デバイス20をユーザの居所に届ける。これにより、少ないリモートアクセス制御デバイスを共用しながら、リモートアクセス環境を実現することができる。
In the above embodiment, the remote
・ 上記実施形態では、自宅において作業を行なう可能性があるユーザに対して、生体情報やオフィスPC端末30のアドレスを記録したリモートアクセス制御デバイス20を予め提供しておく。これに代えて、事後的に生体情報をリモートアクセス制御デバイス20に登録できるようにしてもよい。この場合には、リモートアクセス制御デバイス20には、リモートアクセスに必要な各種情報を取得する処理を実行する本人認証情報登録手段を格納しておく。更に、インターネットを介してアクセス可能な指紋管理サーバを設けておく。この指紋管理サーバには、各ユーザのユーザ識別子に関連付けて、生体情報(ここでは、指紋情報)や、このユーザのオフィスPC端末のアドレスが登録されている。
In the above-described embodiment, the remote
また、リモートアクセス制御デバイス20のデータ記憶部22には、この指紋管理サーバのアドレスを記憶させておく。そして、図7に示すリモートアクセス事前処理を実行する。
The address of the fingerprint management server is stored in the
まず、リモートアクセスを行なう場合には、自宅PC端末10にリモートアクセス制御
デバイス20を装着する。この場合、リモートアクセス制御デバイス20が装着された自宅PC端末10は、パスワード認証処理を実行する(ステップS5−1)。具体的には、リモートアクセス制御デバイス20のコネクタ部21がPC端末に装着された場合、自宅PC端末10の制御部11において、リモートアクセス制御デバイス20の本人認証情報登録手段が起動される。この本人認証情報登録手段は、自宅PC端末10のディスプレイに、ユーザ識別子、パスワード入力欄が設けられているログイン画面を出力する。ユーザは、このログイン画面に、自分のユーザ識別子及び予め設定されたパスワードを入力する。
First, when performing remote access, the remote
パスワードが入力された場合、本人認証情報登録手段は、データ記憶部22に記録されているパスワードと比較する。ここで、パスワードが一致していない場合には、リモートアクセス制御デバイス20の利用を拒否する。
When the password is input, the personal authentication information registration unit compares the password with the password recorded in the
一方、パスワードが一致している場合には、本人認証情報登録手段は、生体情報の取得処理を実行する(ステップS5−2)。具体的には、本人認証情報登録手段は、自宅PC端末10のディスプレイに、指紋の読み取りを指示するメッセージを出力する。そして、本人認証情報登録手段は、リモートアクセス制御デバイス20の指紋センサ23から指紋情報を取得する。
On the other hand, if the passwords match, the personal authentication information registration means executes a biometric information acquisition process (step S5-2). Specifically, the personal authentication information registration unit outputs a message instructing reading of the fingerprint on the display of the
次に、本人認証情報登録手段は、指紋管理サーバへのアクセス処理を実行する(ステップS5−3)。具体的には、本人認証情報登録手段は、データ記憶部22に記録されたアドレスを用いて、指紋管理サーバにアクセスする。そして、本人認証情報登録手段は、ログイン画面において入力されたユーザ識別子、指紋センサ23において読み取った指紋情報を送信する。
Next, the personal authentication information registration unit executes an access process to the fingerprint management server (step S5-3). Specifically, the personal authentication information registration unit accesses the fingerprint management server using the address recorded in the
次に、指紋管理サーバは、指紋照合処理を実行する(ステップS5−4)。具体的には、指紋管理サーバは、自宅PC端末10から取得したユーザ識別子及び指紋情報を用いて、登録されている指紋情報と照合する。
Next, the fingerprint management server executes fingerprint collation processing (step S5-4). Specifically, the fingerprint management server uses the user identifier and fingerprint information acquired from the
次に、指紋管理サーバは、指紋情報が一致するかどうかについての判定処理を実行する(ステップS5−5)。自宅PC端末10から取得した指紋情報と、登録されている指紋情報とが一致した場合(ステップS5−5において「YES」の場合)には、指紋管理サーバは、指紋登録処理を実行する(ステップS5−6)。具体的には、指紋管理サーバは、自宅PC端末10に対して、指紋登録指示を送信する。この指紋登録指示を受信した本人認証情報登録手段は、指紋センサ23において読み取った指紋情報をリモートアクセス制御デバイス20のデータ記憶部22に記録する。
Next, the fingerprint management server executes a determination process as to whether or not the fingerprint information matches (step S5-5). If the fingerprint information acquired from the
一方、自宅PC端末10から取得した指紋情報と、登録されている指紋情報とが一致しない場合(ステップS5−5において「NO」の場合)には、指紋管理サーバは、利用拒否処理を実行する(ステップS5−7)。具体的には、指紋管理サーバは、自宅PC端末10に対して、利用拒否通知を送信する。この場合、本人認証情報登録手段は、リモートアクセス制御デバイス20の利用処理を終了する。
On the other hand, when the fingerprint information acquired from the
これにより、リモートアクセス制御デバイス20に生体情報を事後的に登録することができる。従って、リモートアクセス制御デバイス20に予め指紋情報が登録されていない場合にも、事後的に登録した指紋情報を用いて効率的にリモートアクセスを行なうことができる。
Thereby, biometric information can be registered in the remote
・ 上記実施形態では、リモートアクセス制御デバイス20に格納された生体情報やパスワードのいずれかを用いて認証する。これに加えて、リモートアクセス制御デバイス2
0に、ワンタイムパスワードを用いてユーザを認証する処理を実行する本人認証手段214を起動するための認証プログラムを格納しておくことも可能である。この場合、リモートアクセス制御デバイス20には、各デバイスを識別するための識別コードを格納しておく。また、オフィスの管理者のPC端末には、チャレンジコードと識別コードとを所定のロジックに導入することにより、ワンタイムパスワードを生成するワンタイムパスワードプログラムを格納しておく。
In the above embodiment, authentication is performed using either biometric information or a password stored in the remote
It is also possible to store an authentication program for starting the personal authentication means 214 for executing processing for authenticating a user using a one-time password. In this case, the remote
そして、自宅PC端末10の利用希望者は、オフィスの管理者に、リモートアクセス制御デバイス20に格納された識別コードを連絡する。この場合、管理者はワンタイムパスワードプログラムに、利用希望者のリモートアクセス制御デバイス20に格納された識別コードと、任意のチャレンジコードを入力して、ワンタイムパスワードを取得する。そして、管理者は、このワンタイムパスワード及びチャレンジコードを利用希望者に教える。
Then, the user who wants to use the
リモートアクセス制御デバイス20が自宅PC端末10に装着された場合、認証プログラムが起動される。この場合、本人認証手段214は、ワンタイムパスワード及びチャレンジコードの入力欄を設けた認証画面を自宅PC端末10の出力部に表示する。この認証画面にワンタイムパスワード及びチャレンジコードが入力された場合、本人認証手段214は、リモートアクセス制御デバイス20に格納された識別コードと入力されたチャレンジコードを所定のロジックに導入して、ワンタイムパスワードを生成する。そして、本人認証手段214は、このワンタイムパスワードと、認証画面に入力されたワンタイムパスワードとを比較し、一致する場合にはリモートアクセスを許可する。これにより、パスワードを忘れ、更に生体認証ができない状況においても、安全にリモートアクセスを行なうことができる。
When the remote
10…自宅PC端末、30…オフィスPC端末、11,31…制御部、12,32…通信部、110…ブート手段、111…リモートコントロールマネージャ、112…VPN処理手段、312…リモートコントロールエージェント、20…リモートアクセス制御デバイス、21…コネクタ部、22…データ記憶部、23…指紋センサ、212…環境チェック手段、213…インストール手段、214…本人認証手段、215…シンクライアント制御手段、C…データセンタ、40…ルータ、41…暗号化装置、42…サーバ群
DESCRIPTION OF
Claims (7)
前記第1クライアント端末にネットワークを介して接続され、オフィス内に設置された第2クライアント端末と、
本人認証情報を保持し、前記第1クライアント端末に装着されるリモートアクセス制御デバイスとを用いて、リモートアクセスを制御する方法であって、
前記第1のクライアント端末に装着された前記リモートアクセス制御デバイスが、ユーザ確認情報を取得し、本人認証情報と前記ユーザ確認情報とを照合することにより本人認証を行なう段階と、
本人を認証することができた場合には、前記第2クライアント端末に対してスクリーンセーバ起動時間を短縮化する指示を行なうととともに、前記第1クライアント端末の機能を制限するシンクライアント化段階と、
前記第1クライアント端末を、ネットワークを介して前記第2クライアント端末に接続させる段階と、
スクリーンセーバ起動時間を短くした前記第2クライアント端末は、シンクライアント化した前記第1クライアント端末からの接続に応じて、リモートアクセスを許容する段階と
を実行することを特徴とするリモートアクセス制御方法。 A first client terminal installed outside the office;
A second client terminal connected to the first client terminal via a network and installed in an office;
A method of controlling remote access using a remote access control device that holds personal authentication information and is attached to the first client terminal,
The remote access control device mounted on the first client terminal obtains user confirmation information, and authenticates the user by comparing the user authentication information with the user authentication information;
If the user can be authenticated, an instruction to shorten the screen saver activation time is given to the second client terminal, and a thin client stage for limiting the function of the first client terminal;
Connecting the first client terminal to the second client terminal via a network;
The second client terminal having a shortened screen saver activation time executes a step of allowing remote access in accordance with a connection from the first client terminal made into a thin client .
前記電子証明書を用いて、前記第1クライアント端末を、前記第2クライアント端末に接続させることを特徴とする請求項1に記載のリモートアクセス制御方法。 The remote access control device holds an electronic certificate;
The remote access control method according to claim 1, wherein the first client terminal is connected to the second client terminal using the electronic certificate.
前記生体情報読取手段において読み取った生体情報をユーザ確認情報として用いて本人認証を行なうことを特徴とする請求項1又は2に記載のリモートアクセス制御方法。 The remote access control device includes biometric information reading means for holding biometric information as personal authentication information and reading user confirmation information,
The remote access control method according to claim 1 or 2, wherein the personal authentication is performed using the biometric information read by the biometric information reading unit as user confirmation information.
前記第1クライアント端末において入力されたパスワードを取得し、前記パスワードを用いて本人認証を行なうことを特徴とする請求項1〜3のいずれか一つに記載のリモートアクセス制御方法。 The remote access control device holds a preset password,
The remote access control method according to any one of claims 1 to 3, wherein a password input in the first client terminal is acquired, and personal authentication is performed using the password.
前記セキュリティ状況が利用条件を満足するかどうかを判定し、
前記利用条件を満足する場合に本人認証を行なうことを特徴とする請求項1〜5のいずれか一つに記載のリモートアクセス制御方法。 The remote access control device acquires a security status of the first client terminal;
Determining whether the security status satisfies the use conditions;
6. The remote access control method according to claim 1, wherein personal authentication is performed when the use condition is satisfied.
前記第1クライアント端末にネットワークを介して接続され、オフィス内に設置された第2クライアント端末と、
本人認証情報を保持し、前記第1クライアント端末に装着されるリモートアクセス制御
デバイスとを用いて、リモートアクセスを制御するシステムであって、
前記第1のクライアント端末に装着された前記リモートアクセス制御デバイスが、ユーザ確認情報を取得し、本人認証情報と前記ユーザ確認情報とを照合することにより本人認証を行なう手段と、
本人を認証することができた場合には、前記第2クライアント端末に対してスクリーンセーバ起動時間を短縮化する指示を行なうととともに、前記第1クライアント端末の機能を制限するシンクライアント化手段とを備え、
前記第1クライアント端末が、ネットワークを介して前記第2クライアント端末に接続する手段を備え、
スクリーンセーバ起動時間を短くした前記第2クライアント端末は、シンクライアント化した前記第1クライアント端末からの接続に応じて、リモートアクセスを許容する手段を備えたことを特徴とするリモートアクセス制御システム。 A first client terminal installed outside the office;
A second client terminal connected to the first client terminal via a network and installed in an office;
A system for holding remote authentication information and controlling remote access using a remote access control device attached to the first client terminal,
The remote access control device attached to the first client terminal obtains user confirmation information, and performs user authentication by comparing the user authentication information with the user authentication information;
When the user can be authenticated, the second client terminal is instructed to shorten the screen saver activation time, and a thin client means for limiting the function of the first client terminal is provided. ,
The first client terminal comprises means for connecting to the second client terminal via a network;
2. The remote access control system according to claim 1, wherein the second client terminal whose screen saver activation time is shortened includes means for allowing remote access in response to a connection from the first client terminal converted into a thin client .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009219733A JP5560011B2 (en) | 2009-09-24 | 2009-09-24 | Remote access control method and remote access control system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009219733A JP5560011B2 (en) | 2009-09-24 | 2009-09-24 | Remote access control method and remote access control system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011070325A JP2011070325A (en) | 2011-04-07 |
| JP5560011B2 true JP5560011B2 (en) | 2014-07-23 |
Family
ID=44015571
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009219733A Expired - Fee Related JP5560011B2 (en) | 2009-09-24 | 2009-09-24 | Remote access control method and remote access control system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5560011B2 (en) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106487511B (en) * | 2015-08-27 | 2020-02-04 | 阿里巴巴集团控股有限公司 | Identity authentication method and device |
| JP6987571B2 (en) | 2017-08-25 | 2022-01-05 | 東芝テック株式会社 | Control device |
| JP7225355B2 (en) * | 2017-08-25 | 2023-02-20 | 東芝テック株式会社 | Control device |
| JP6962612B1 (en) * | 2020-06-11 | 2021-11-05 | Necプラットフォームズ株式会社 | Management server, management system, management method and management program |
| KR102503142B1 (en) * | 2020-12-10 | 2023-02-23 | (주)닥터소프트 | Method for controlling remote access for remote work and watermark display and server operating the same |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001312477A (en) * | 2000-04-28 | 2001-11-09 | Nippon Yunishisu Kk | System, device, and method for authentication |
| JP4894254B2 (en) * | 2005-07-14 | 2012-03-14 | ソニー株式会社 | Authentication system, authentication device, authentication method, and authentication program |
| JP4709966B2 (en) * | 2006-06-28 | 2011-06-29 | サイレックス・テクノロジー株式会社 | Remote control system and remote control device |
| JP4966753B2 (en) * | 2007-06-08 | 2012-07-04 | 株式会社日立製作所 | Information processing system and information processing method |
| JP4916020B2 (en) * | 2007-07-25 | 2012-04-11 | 株式会社日立情報制御ソリューションズ | Remote access system, auxiliary storage device used therefor, and remote access method |
| JP4993122B2 (en) * | 2008-01-23 | 2012-08-08 | 大日本印刷株式会社 | Platform integrity verification system and method |
-
2009
- 2009-09-24 JP JP2009219733A patent/JP5560011B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011070325A (en) | 2011-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7797750B2 (en) | Data security system | |
| RU2506632C2 (en) | Information processing device, driving method therefor and computer-readable data medium | |
| US8756667B2 (en) | Management of hardware passwords | |
| US20070130473A1 (en) | System and method for access control | |
| US20040230836A1 (en) | Hardware implementation of process-based security protocol | |
| US8683569B1 (en) | Application access control system | |
| US20040193925A1 (en) | Portable password manager | |
| CN103425924A (en) | Information processing apparatus, control method thereof, program, and image processing apparatus | |
| US20140101426A1 (en) | Portable, secure enterprise platforms | |
| US8479011B2 (en) | Method and apparatus for using cryptographic mechanisms to provide access to a portable device using integrated authentication using another portable device | |
| US7895645B2 (en) | Multiple user credentials | |
| JP2005242745A (en) | Harware token, authentication method using same, computer apparatus, and program | |
| TW200949603A (en) | System and method for providing a system management command | |
| JP6376154B2 (en) | Image processing system, information processing apparatus, image processing apparatus, and program | |
| JP2020053091A (en) | Individual number management device, individual number management method, and individual number management program | |
| JP5560011B2 (en) | Remote access control method and remote access control system | |
| JP2017033339A (en) | Service provision system, information processing device, program and service use information creation method | |
| US20140173714A1 (en) | Information processing apparatus, and lock execution method | |
| JP2012058832A (en) | Setting method of storage device and network connection | |
| US20080229396A1 (en) | Issuing a command and multiple user credentials to a remote system | |
| EP1542135B1 (en) | A method which is able to centralize the administration of the user registered information across networks | |
| JP2012118833A (en) | Access control method | |
| JP2022544840A (en) | Data storage device to which variable computer file system is applied | |
| JP3966233B2 (en) | Terminal usage authentication system | |
| JP6351061B2 (en) | Management system, management method, program, and user terminal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120827 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130828 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130903 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131101 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131126 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140127 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140513 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140609 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5560011 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |