JP5614178B2 - リモートアクセスシステムおよびリモートアクセス方法 - Google Patents

リモートアクセスシステムおよびリモートアクセス方法 Download PDF

Info

Publication number
JP5614178B2
JP5614178B2 JP2010193529A JP2010193529A JP5614178B2 JP 5614178 B2 JP5614178 B2 JP 5614178B2 JP 2010193529 A JP2010193529 A JP 2010193529A JP 2010193529 A JP2010193529 A JP 2010193529A JP 5614178 B2 JP5614178 B2 JP 5614178B2
Authority
JP
Japan
Prior art keywords
temporary
authentication
password
client
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010193529A
Other languages
English (en)
Other versions
JP2012053527A (ja
Inventor
兼太 後藤
兼太 後藤
暁子 中崎
暁子 中崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2010193529A priority Critical patent/JP5614178B2/ja
Publication of JP2012053527A publication Critical patent/JP2012053527A/ja
Application granted granted Critical
Publication of JP5614178B2 publication Critical patent/JP5614178B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明はリモートアクセスシステム、サーバコンピュータ、リモートアクセス方法およびプログラムに関し、特にサーバ管理などのような特権ユーザによる操作を行う際にその操作を行ったユーザを特定するリモートアクセスシステム等に関する。
企業、学校、公的機関などの組織で、コンピュータネットワークは既に当たり前のように使用されている。これらの組織に属するメンバの中で、ネットワークの中で重要な役割を担うサーバコンピュータの管理を担当するメンバも当然いる。以後、そのようなユーザをサーバ管理者という。
サーバコンピュータ自体が空調や出入室管理などが整備されたサーバルームに設置されているため、サーバ管理者が直接そのサーバコンピュータを操作できない場合も多い。その場合、サーバ管理者は他のコンピュータからネットワークを介してサーバコンピュータにログインして、その管理に係る操作を行うことになる。
そのために利用可能な接続方法として、TCP/IP(Transmission Control Protocol / Internet Protocol)における標準プロトコルの一つであるテルネット(telnet)や、ウィンドウズ(登録商標)の標準機能の一つであるリモートデスクトップなどがある。
また、これに関連する技術文献として、次の各々がある。特許文献1には、ログオン情報を認証サーバに問い合わせることによって、各ユーザごとのセキュリティポリシーに基づいてサーバにアクセスできるという技術が記載されている。特許文献2には、作業端末からサーバコンピュータにアクセスする際に各ユーザごとのアクセス権に基づいてアクセスを許可できるという技術が記載されている。
特許文献3には、外部装置に秘匿されたユーザ情報に基づいて各ユーザごとの課金処理が行えるという課金処理装置などが記載されている。特許文献4には、第1のサーバがテンポラリIDを発行し、データ中継装置がそのテンポラリIDとサーバID情報を含む識別情報を記憶することによって、複数のテンポラリIDを利用しなくてもよいという認証方法などが記載されている。
特許文献5には、リモートアクセス要求を行ったユーザの送信した認証情報が正当なユーザのオリジナルユーザ情報に基づくものか否かを判断して、特定のアプリケーションの利用を一時的に許可するという技術が記載されている。特許文献6には、主サーバの操作ログとプロキシサーバの接続ログとを比較して不正な操作を検出するという技術が記載されている。
特開2004−032525号公報 特開2005−293132号公報 特開2005−309897号公報 特開2006−011989号公報 特開2009−157781号公報 特開2010−123014号公報
サーバ管理者がサーバコンピュータの管理に係る操作を行う場合には、当然ながらその権限を持ったユーザIDを利用する必要がある。このユーザIDは、たとえば「root」や「administrator」などのような個々のユーザを特定する内容を含まない共通の特権IDである場合もあれば、個々のユーザに対応するユーザ名を含む通常のユーザIDにサーバ管理者としての権限が与えられている場合もある。
しかしながら、サーバ管理者としての権限を持つ共有IDに個々のユーザを特定する内容が含まれていないと、たとえば悪意を持った者に共有IDとこれに対応するパスワードを盗まれて、サーバコンピュータに対して不正な操作をされた場合には、誰がその不正な操作を行ったのか、またどの時点からその不正な操作が行われたのかなどを特定することが困難である。
特に、監査対応の要件においては、統合的に管理されたログなどから、サーバコンピュータなどに対して誰が何をしたかを明確に把握して管理することが求められているが、共有IDを使われた場合には、誰が何をしたか明確に管理することは困難である。
この問題を解決するために、ユーザにはログイン情報として個人を特定できる一意な個人IDを割り振り、ユーザには個人IDを利用させることを可能とするという統合ID管理の利用も考えられている。
この統合ID管理では、ユーザがサーバコンピュータの管理に係る操作を行う場合、そのユーザに共通の特権IDを利用させるのではなく、特権IDの利用を申請したユーザごとに特権IDを一時的に発行し、これを利用させる。このようにすれば、ログには操作の実施者としてその(特権IDとしての)一時IDが記録されるため、どのユーザが実施した操作であるか特定することが可能となり、一定のセキュリティ強度を確保することはできる。
しかしながら、このような統合ID管理を既に多数のサーバコンピュータを運用している環境へ適用するには、大幅なシステム構成の変更を伴うこととなるので、時間と費用の両面でコストがかかることになる。また、部門単位で独自に設置されたサーバなどは、統合ID管理システムに組み込まれていない場合も多いので、本質的な解決とはならない。
さらに、統合ID管理自体の問題として、特権IDを利用する必要のある際に各ユーザがそのIDの利用を申請してユーザごとの特権IDを一時的に発行するという手順は、一時IDが発行されて実際に利用できるまでに人間の手による処理を必要とし、そのための時間および手間を必要とするので運用性は低い。また、この一時IDとは別個に「root」や「administrator」などのような特権IDが共有IDとして設定されていることも多く、このような特権IDが利用されると、前述したような共有IDのセキュリティ上の問題がやはり発生することとなる。
また、リモートデスクトップやテルネットなどによるリモート操作自体を遮断することで、セキュリティ強度を確保するという手法も一応はある。しかしながらこの手法も、前述のようなサーバ管理者が直接そのサーバコンピュータを操作できない場合には利用できないので、上述の問題に対する本質的な解決とはならない。
前述の特許文献1〜6には、この問題を解決しうる技術は記載されていない。特許文献4には、テンポラリID(一時ID)を発行するということは記載されているが、これはこのテンポラリIDを利用したユーザの個人情報を特定する技術ではないし、これに残る特許文献1〜3および5〜6に記載の技術を組み合わせてもテンポラリIDを利用したユーザの個人情報を特定するものとはならない。
本発明の目的は、サーバコンピュータの管理に係る操作を行うユーザに対して、当該ユーザが誰であるかを特定可能な一時IDをすぐに発行でき、これによってサーバコンピュータに対するセキュリティを確保することを可能とするリモートアクセスシステム、サーバコンピュータ、リモートアクセス方法およびプログラムを提供することにある。
上記目的を達成するため、本発明に係るリモートアクセスシステムは、クライアントコンピュータとサーバコンピュータとがネットワークを介して相互に接続され、クライアントコンピュータを操作するユーザのサーバコンピュータへのログインを認証するリモートアクセスシステムであって、クライアントコンピュータが、端末ログインIDを予め記憶する端末ログインID記憶部を有すると共に、サーバコンピュータを遠隔操作するクライアントモジュールと、ユーザの認証DB用IDおよびこれに対応するパスワードの入力を受け付けてこれらを端末ログインIDと共にサーバコンピュータに送信してサーバコンピュータからこれらによる認証結果を受信する認証モジュールと、クライアントモジュールの動作状態を監視するクライアント端末管理モジュールとを実行するクライアント側主演算制御手段を備え、サーバコンピュータが、テンポラリIDデータおよび認証データを予め記憶している記憶手段と、クライアントコンピュータから受信したユーザの認証DB用IDおよびパスワードからユーザの認証を行うと共に認証されたユーザに対してテンポラリIDを発行するID判別モジュールを実行するサーバ側主演算制御手段とを備え、サーバ側主演算制御手段が、クライアントコンピュータからユーザの認証DB用IDおよびパスワードを受信する送受信部と、クライアントコンピュータから受信した認証DB用IDおよびパスワードを認証データと照合してユーザの認証を行う認証部と、ユーザの認証が成功した場合に、クライアントコンピュータから受信した認証DB用IDおよび端末ログインIDを含むテンポラリIDを生成すると同時にこれに対応するテンポラリパスワードを生成するテンポラリID生成部と、生成されたテンポラリIDおよびテンポラリパスワードをテンポラリIDデータに保存するテンポラリID発行部とを備え、送受信部がテンポラリIDおよびテンポラリパスワードをクライアントコンピュータに返信することを特徴とする。
上記目的を達成するため、本発明に係るリモートアクセス方法は、端末ログインIDを端末ログインID記憶部に予め記憶しているクライアントコンピュータと、テンポラリIDデータおよび認証データを予め記憶しているサーバコンピュータとがネットワークを介して相互に接続され、クライアントコンピュータを操作するユーザのサーバコンピュータへのログインを認証するリモートアクセスシステムにあって、ユーザの認証DB用IDおよびこれに対応するパスワードの入力をクライアントコンピュータの認証モジュールが受け付け、入力された認証DB用IDおよびパスワードを端末ログインIDと共にクライアントコンピュータの認証モジュールがサーバコンピュータに送信し、クライアントコンピュータからユーザの認証DB用IDおよびパスワードをサーバコンピュータのID判別モジュールが受信し、受信した認証DB用IDおよびパスワードをサーバコンピュータのID判別モジュールが認証データと照合してユーザを認証し、ユーザの認証が成功した場合に、クライアントコンピュータから受信した認証DB用IDおよび端末ログインIDからサーバコンピュータのID判別モジュールが当該認証DB用IDおよび当該端末ログインIDを含むテンポラリIDを生成すると共に同時にこれに対応するテンポラリパスワードを生成し、生成されたテンポラリIDおよびテンポラリパスワードをサーバコンピュータのID判別モジュールがテンポラリIDデータに保存し、テンポラリIDおよびテンポラリパスワードをサーバコンピュータのID判別モジュールがクライアントコンピュータに返信し、テンポラリIDおよびテンポラリパスワードの入力をクライアントコンピュータの認証モジュールが受け付け、入力されたテンポラリIDおよびテンポラリパスワードをクライアントコンピュータの認証モジュールがサーバコンピュータに送信し、クライアントコンピュータからテンポラリIDおよびテンポラリパスワードをサーバコンピュータのID判別モジュールが受信し、受信したテンポラリIDおよびテンポラリパスワードをサーバコンピュータのID判別モジュールがテンポラリIDデータと照合してユーザを認証することを特徴とする。
本発明は、上述したように認証DB用IDおよび端末ログインIDからテンポラリIDを生成するように構成したので、このテンポラリIDでログインしたユーザの操作についてログに残すことが容易にできる。これによって、サーバコンピュータの管理に係る操作を行うユーザに対して、当該ユーザが誰であるかを特定可能な一時IDをすぐに発行でき、これによってサーバコンピュータに対するセキュリティを確保することが可能となるリモートアクセスシステム、サーバコンピュータ、リモートアクセス方法およびプログラムを提供することができる。
本発明の第1の実施形態に係るリモートアクセスシステムの構成を示す説明図である。 図1に示した認証モジュールおよびクライアント端末管理モジュールのソフトウェアとしてのより詳しい構成を示す説明図である。 図1に示したID判別モジュール、テンポラリID認証部、テンポラリIDデータおよび認証データのソフトウェアとしてのより詳しい構成を示す説明図である。 図1に示したテンポラリIDデータおよび認証データのデータ内容の一例を示す説明図である。 図1に示したクライアントコンピュータをユーザが操作してクライアントモジュールを起動する際の処理を示すフローチャートである。 図5のステップS202として示した、ユーザが認証DB用IDでログインする際の処理を示すフローチャートである。 図6の続きである。 図6のステップS302でクライアントコンピュータの入出力手段を介して表示される認証DB用ID/パスワード入力画面の表示例を示す説明図である。 図6のステップS307でテンポラリID生成部が生成するテンポラリIDの構成を示す説明図である。 図5のステップS203として示した、クライアントモジュールが自動起動されてからリモートデスクトップを利用開始するまでの処理について示すフローチャートである。 図9のステップS401でクライアントモジュールが表示するテンポラリID/パスワード入力画面の表示例を示す説明図である。 図11までで説明したリモートアクセスシステムでのログインの流れについて説明する説明図である。 本発明の第2の実施形態に係るリモートアクセスシステムの構成を示す説明図である。 図13に示した認証モジュールのソフトウェアとしてのより詳しい構成を示す説明図である。 図5のステップS202として示した、第2の実施形態の場合でユーザが認証DB用IDでログインする際の処理を示すフローチャートである。 図5のステップS203として示した、第2の実施形態の場合でクライアントモジュールが自動起動されてからリモートデスクトップを利用開始するまでの処理について示すフローチャートである。 図16のステップS702〜703でクライアントモジュールが表示するID/パスワード入力画面の表示例を示す説明図である。
(第1の実施形態)
以下、本発明の第1の実施形態の構成について添付図1〜3に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係るリモートアクセスシステム1は、クライアントコンピュータ10とサーバコンピュータ20とがネットワーク30を介して相互に接続され、クライアントコンピュータを操作するユーザのサーバコンピュータへのログインを認証するリモートアクセスシステムである。
クライアントコンピュータ10は、端末ログインIDを予め記憶する端末ログインID記憶部141を有すると共に、サーバコンピュータ20を遠隔操作するクライアントモジュール130と、ユーザの認証DB用IDおよびこれに対応するパスワードの入力を受け付けてこれらを端末ログインIDと共にサーバコンピュータ20に送信してサーバコンピュータ20からこれらによる認証結果を受信する認証モジュール110と、クライアントモジュールの動作状態を監視するクライアント端末管理モジュールとを実行するクライアント側主演算制御手段11を備える。
サーバコンピュータ20は、テンポラリIDデータ221および認証データ222を予め記憶している記憶手段22と、クライアントコンピュータから受信したユーザの認証DB用IDおよびパスワードからユーザの認証を行うと共に認証されたユーザに対してテンポラリIDを発行するID判別モジュール210を実行するサーバ側主演算制御手段21とを備える。
そして、サーバ側主演算制御手段21が、クライアントコンピュータからユーザの認証DB用IDおよびパスワードを受信する送受信部211と、クライアントコンピュータから受信した認証DB用IDおよびパスワードを認証データと照合してユーザの認証を行う認証部212と、ユーザの認証が成功した場合に、クライアントコンピュータから受信した認証DB用IDおよび端末ログインIDからテンポラリIDを生成すると同時にこれに対応するテンポラリパスワードを生成するテンポラリID生成部213と、生成されたテンポラリIDおよびテンポラリパスワードをテンポラリIDデータに保存するテンポラリID発行部215とを備え、送受信部211がテンポラリIDおよびテンポラリパスワードをクライアントコンピュータに返信する。
さらに、サーバ側主演算制御手段21は、生成されたテンポラリIDがテンポラリIDデータ内に既に存在していればテンポラリIDに関連づけられてテンポラリIDデータに記憶されているパスワードを取得してテンポラリパスワードとするテンポラリIDデータ操作部214を備える。
一方、クライアント側主演算制御手段11が、テンポラリIDおよびテンポラリパスワードの入力を受け付けてこれらをサーバコンピュータに送信してサーバコンピュータからこれらによる認証結果を受信する認証情報入力部115を備え、サーバコンピュータ20が、クライアントコンピュータから受信したテンポラリIDおよびテンポラリパスワードをテンポラリIDデータと照合してユーザの認証を行うテンポラリID認証部220を備える。
そして、クライアント側主演算制御手段11は、クライアントモジュール130が認証モジュール以外を介して起動された場合に、このクライアントモジュールを強制終了させるクライアントモジュール操作手順122を備える。
以上の構成を備えることにより、本実施形態のリモートアクセスシステム1は、サーバコンピュータの管理に係る操作を行うユーザに対して、当該ユーザが誰であるかを特定可能な一時IDをすぐに発行することが可能となる。
以下、これをより詳細に説明する。
図1は、本発明の第1の実施形態に係るリモートアクセスシステム1の構成を示す説明図である。リモートアクセスシステム1は、クライアントコンピュータ10とサーバコンピュータ20とがネットワーク30を介して相互に接続されて構成される。ユーザは、クライアントコンピュータ10を操作して、サーバコンピュータ20にログインしてこれを利用することができる。
クライアントコンピュータ10は、一般的なコンピュータ装置であり、コンピュータプログラムを実行する主体となる主演算制御手段(CPU: Central Processing Unit)11と、データを記憶する記憶手段12と、ネットワーク30を介して他のコンピュータとのデータ通信を行う通信手段13と、ユーザからの操作を受け付けてその結果をユーザに提示する入出力手段14とを備える。
クライアントコンピュータ10の主演算制御手段11上では、認証モジュール110、クライアント端末管理モジュール120、およびクライアントモジュール130が、その各々の内容をコンピュータプログラムとして実行されるように構成されている。クライアントモジュール130は、サーバコンピュータ20を遠隔操作してその機能を利用するためにクライアントコンピュータ10側で動作するソフトウェアである。
認証モジュール110は、ユーザの認証DB用IDおよびこれに対応するパスワード(詳細は後述)の入力を受け付けてサーバコンピュータ20に送信することによってユーザの認証を行う。クライアント端末管理モジュール120は、クライアントモジュール130の動作状態を監視する。これらのより詳しい構成と機能については後述する。
また、主演算制御手段11には、後述の端末ログインID記憶部141を記憶領域とする記憶手段12が併設されている。
サーバコンピュータ20もまた、一般的なコンピュータ装置であり、コンピュータプログラムを実行する主体となる主演算制御手段(CPU)21と、データを記憶する記憶手段22と、ネットワーク30を介して他のコンピュータとのデータ通信を行う通信手段23とを備える。
サーバコンピュータ20の主演算制御手段21上では、ID判別モジュール210およびテンポラリID認証部220が、その各々の内容をコンピュータプログラムとして実行されるように構成されている。パスワードID判別モジュール210は、クライアントコンピュータ10から受信した認証DB用IDおよびパスワードからユーザの認証を行い、認証されたユーザに対してテンポラリIDを発行する。
テンポラリID認証部220は、発行されたテンポラリIDとこれに対応するパスワード(以後テンポラリパスワードという)からユーザを認証し、認証されたユーザにクライアントモジュール130の利用を許可する。
また、主演算制御手段21には、テンポラリIDデータ221および認証データ222を記憶領域とする記憶手段22が併設されている。
図2は、図1に示した認証モジュール110およびクライアント端末管理モジュール120のソフトウェアとしてのより詳しい構成を示す説明図である。また図3は、図1に示したID判別モジュール210、テンポラリID認証部220、テンポラリIDデータ221および認証データ222のソフトウェアとしてのより詳しい構成を示す説明図である。
図2に示す認証モジュール110は、主演算制御手段11上で、送受信部111、画面表示部112、認証結果判断部113、認証情報取得部114、および認証情報入力部115として機能する。クライアント端末管理モジュール120は、やはり主演算制御手段11上で、クライアントモジュール監視部121、クライアントモジュール操作手順122、および端末情報取得部123として機能する。
送受信部111は、通信手段13を制御して他のコンピュータ装置とのデータ通信を行う。画面表示部112は、入出力手段14に処理結果を画面表示する。認証結果判断部113は、サーバコンピュータ20から返信された認証結果が成功であるか失敗であるかを判断する。認証情報取得部114は、画面表示部112が表示した入力画面にユーザが入力した認証DB用IDおよびこれに対応するパスワードを取得する。そして認証情報入力部115は、ユーザが入力したテンポラリIDおよび対応するテンポラリパスワード(詳細は後述)をサーバコンピュータ20に送信する。
クライアントモジュール監視部121は、クライアントモジュール130の動作を監視し、クライアントモジュール130がクライアントモジュール操作手順122から起動されたか否かを判断する。クライアントモジュール操作手順122は、クライアントモジュール130がクライアントモジュール操作手順122以外から起動された場合には、このクライアントモジュール130を強制終了する。端末情報取得部123は、端末ログインID(詳細は後述)を端末ログインID記憶部141から取得する。
図3に示すID判別モジュール210は、主演算制御手段21上で、送受信部211、認証部212、テンポラリID生成部213、テンポラリIDデータ操作部214、およびテンポラリID発行部215として機能する。
送受信部211は、通信手段23を制御して他のコンピュータ装置とのデータ通信を行う。認証部212は、クライアントコンピュータ10から受信した認証DB用IDおよびパスワードを認証データ222と照合してユーザ認証を行う。テンポラリID生成部213は、クライアントコンピュータ10から受信した認証DB用IDおよび端末ログインIDからテンポラリIDを生成する。
テンポラリIDデータ操作部214は、テンポラリID生成部213が生成したテンポラリIDが、テンポラリIDデータ221内に存在するか否かを確認し、存在していればこれに対応するパスワードをテンポラリIDデータ221から取得する。テンポラリID発行部215は、テンポラリID生成部213が生成したテンポラリIDがテンポラリIDデータ221内に存在しない場合に、これに対応するパスワードを生成して、これらテンポラリIDとパスワードとをテンポラリIDデータ221に新規データとして保存する。
図4は、図1に示したテンポラリIDデータ221および認証データ222のデータ内容の一例を示す説明図である。テンポラリIDデータ221には、テンポラリID221aと、これに対応するテンポラリパスワード221bが格納されている。これらの各データの詳細については後述する。認証データ222には、認証DB用ID222aと、これに対応するパスワード222bが格納されている。認証DB用ID222aおよびパスワード222bは、クライアントコンピュータ10からクライアントモジュール130を起動して通常の(特権IDを必要としない)動作を行おうとするユーザが入力するIDおよびパスワードである。
図5は、図1に示したクライアントコンピュータ10をユーザが操作してクライアントモジュール130を起動する際の処理を示すフローチャートである。ここで、クライアントコンピュータ10およびサーバコンピュータ20のOSはマイクロソフト株式会社のウィンドウズ(登録商標)であり、クライアントモジュール130はウィンドウズに標準機能として搭載されているリモートデスクトップである。
ユーザがクライアントコンピュータ10を起動し、まず端末ログインIDで、ネットワークを介さずにクライアントコンピュータ10にログインする(ステップS201)。端末ログインID151dは、クライアントコンピュータ10を起動する際にこのクライアントコンピュータ10に対してログインするためのIDである。端末ログインIDは、この端末ログインIDに対応するパスワードと共に端末ログインID記憶部141に記憶されている。本実施形態に係る動作では、端末ログインIDに対応するパスワードは、このステップS201以外の工程では特に使用されない。
続いてユーザは、クライアントモジュール130を起動して、ユーザを特定できる認証DB用IDでリモートアクセスシステム1に対してログインする(ステップS202)。ログインが完了し、クライアントモジュール130が動作を開始すると、クライアント端末管理モジュール120も同時に起動し、クライアントモジュール監視部121がクライアントモジュール130の監視を開始する(ステップS203)。
クライアントモジュール監視部121は、ユーザがクライアント端末からログオフしてクライアントモジュール130を終了するまで、継続的にクライアントモジュール130の監視を行う。クライアントモジュール監視部121は、クライアントモジュール130(リモートデスクトップ)が起動したことを検知すると、クライアントモジュール操作手順122からの起動であるか否かを判断する(ステップS204)。
クライアントモジュール130が、ユーザ操作などクライアントモジュール操作手順122以外で起動された場合には、クライアントモジュール操作手順122は、クライアントモジュール130を強制的に終了する(ステップS205)。特に「root」や「administrator」などのような共通の特権IDを利用してクライアントモジュール130が起動された場合に、これを強制的に終了することができるので、これらの特権IDによるリモートアクセスの利用をこれによって防止している。
図6〜7(紙面の都合で2枚に分ける)は、図5のステップS202として示した、ユーザが認証DB用IDでログインする際の処理を示すフローチャートである。図5と同じく、クライアントコンピュータ10およびサーバコンピュータ20のOSはウィンドウズであり、クライアントモジュール130はウィンドウズが標準機能として搭載しているリモートデスクトップである。
図5のステップS202でユーザがログインする際に、認証モジュール110が起動される(ステップS301)。認証モジュール110の画面表示部112は、認証DB用ID/パスワード入力画面151を表示し、ユーザからによる認証DB用ID/パスワードの入力を待機する(ステップS302)。
図8は、図6のステップS302でクライアントコンピュータ10の入出力手段14を介して表示される認証DB用ID/パスワード入力画面151の表示例を示す説明図である。ユーザは、この画面を介して認証DB用ID151aと、これに対応するパスワード151bを入力してOKボタン151cを押し、入力を完了する。
図6に戻って、認証モジュール110の認証情報取得部114は、認証DB用ID/パスワード入力画面151を介してユーザが入力した認証DB用ID151aおよびパスワード151bを取得し、クライアント端末管理モジュール120の端末情報取得部123が、前述した図5のステップS201でユーザが入力した端末ログインID151dを端末ログインID記憶部141から取得する(ステップS303)。
認証モジュール110の送受信部111は、認証DB用ID151a、パスワード151b、および端末ログインID151dを認証情報として、サーバコンピュータ20のID判別モジュール210に送信する(ステップS304)。サーバコンピュータ20のID判別モジュール210では、送受信部211がこの認証情報を受信する(ステップS305)。
ID判別モジュール210の認証部212は、受信した認証DB用ID151aとパスワード151bを認証データ222に記憶されている認証DB用ID222aおよびパスワード222bと照合してユーザ認証を行う(ステップS306)。このユーザ認証が成功した場合、ID判別モジュール210のテンポラリID生成部213は、送受信部211が取得した認証DB用ID151aおよび端末ログインID151dを元にしてテンポラリIDを生成する(ステップS307)。失敗した場合はそのままステップS311に進む。
図9は、図6のステップS307でテンポラリID生成部213が生成するテンポラリID251の構成を示す説明図である。図9に示した例では、認証DB用ID151aと端末ログインID151dとを「.」で結んで、「(認証DB用ID151a).(端末ログインID151d)」という形式とした文字列をテンポラリID251としている。テンポラリIDの形式はこの例に限らず、テンポラリIDを確認しただけで容易にユーザを特定できるような形式であれば何でもよい。
図6に戻って、ステップS307でテンポラリID生成部213が生成したテンポラリID251について、ID判別モジュール210のテンポラリIDデータ操作部214は、テンポラリIDデータ221内にステップS307で生成されたテンポラリID251が存在するか否かを確認する(ステップS308)。
テンポラリIDが存在していた場合(ステップS308:YES)、ID判別モジュール210のテンポラリIDデータ操作部214は、テンポラリID251(221a)に関連づけられて記憶されているテンポラリパスワード221bを取得する(ステップS309)。テンポラリIDが存在しなかった場合(ステップS308:NO)、テンポラリID発行部215がランダムな文字列を生成してこれをテンポラリパスワードとして発行し、テンポラリIDデータ221にテンポラリID221aとテンポラリパスワード221bとして追加する(ステップS310)。
そしてID判別モジュール210の送受信部211は、ステップS306における認証結果を認証モジュール110に送信する(ステップS311)。送受信部211が送信する認証結果は、認証に成功した場合には認証成功を示すメッセージコード、テンポラリIDとこれに対応するテンポラリパスワードである。認証に失敗した場合は認証失敗を示すメッセージコードのみである。
クライアントコンピュータ10では、認証モジュール110の送受信部111が、生成ID判別モジュール210の送受信部211から送信された認証結果を受信する(ステップS312)。そして認証結果判断部113が、受信した認証結果から認証の成功/失敗のどちらであるかの判断を行う(ステップS313)。
認証に失敗した場合(ステップS313:NO)、認証モジュール110の画面表示部112は、認証に失敗した旨を表示し認証モジュールを終了する(ステップS314)。認証に成功した場合(ステップS313:YES)、認証モジュール110の画面表示部112が受信したテンポラリIDおよびテンポラリパスワードを表示すると共に、クライアント端末管理モジュール120のクライアントモジュール操作手順122が、クライアントモジュール130(リモートデスクトップ)を起動する(ステップS315)。
以上の手順で、サーバコンピュータ20からテンポラリIDを取得してリモートデスクトップを起動するまでの処理は終了する。
図10は、図5のステップS203として示した、クライアントモジュール130が自動起動されてからリモートデスクトップを利用開始するまでの処理について示すフローチャートである。図4および図6と同じく、クライアントコンピュータ10およびサーバコンピュータ20のOSはウィンドウズであり、クライアントモジュール130はウィンドウズが標準機能として搭載しているリモートデスクトップである。
クライアント端末管理モジュール120がクライアントモジュール130を起動すると、クライアントモジュール130(リモートデスクトップ)はID/パスワード入力画面を表示し、テンポラリID/テンポラリパスワードの入力を待機する(ステップS401)。図11は、図9のステップS401でクライアントモジュール130が表示するテンポラリID/パスワード入力画面161の表示例を示す説明図である。ユーザは、この画面を介してテンポラリID251(221a)と、これに対応するテンポラリパスワード221bを入力してOKボタン261aを押し、入力を完了する。
認証モジュール110の認証情報入力部115は、図11に示したテンポラリID/パスワード入力画面161でユーザから入力されたテンポラリID251(221a)とテンポラリパスワード221bとをテンポラリID認証部220に送信する(ステップS402)。
テンポラリID認証部220は、テンポラリID251(221a)とテンポラリパスワード221bをテンポラリIDデータ221と照合してユーザ認証を行い、その結果をクライアントモジュール130に返信するので、クライアントモジュール130はその認証結果について判断する。(ステップS403)。
認証が成功していれば、その旨を表示してクライアントモジュール130(リモートデスクトップ)はテンポラリIDによるリモート操作を開始する(ステップS404)。認証が失敗した場合には、クライアントモジュール130(リモートデスクトップ)はその時点で終了する。
図12は、図11までで説明したリモートアクセスシステム1でのログインの流れについて説明する説明図である。起動された認証モジュール110は(図6・ステップS301)、入出力手段14上に図8に示した認証DB用ID/パスワード入力画面151を表示して、ユーザから認証DB用ID151aおよびパスワード151bの入力を受け付ける(図6・ステップS302)。認証モジュール110は、入力された認証DB用ID151aおよびパスワード151bを、端末ログインID151dと共にサーバコンピュータ20のID判別モジュール210に送信する(図6・ステップS303〜304)。
ID判別モジュール210では、受信した認証DB用ID151aとパスワード151bを認証データ222と照合してユーザ認証を行い(図6・ステップS305〜306)、そして認証DB用ID151aおよび端末ログインID151dとからテンポラリIDとこれに対応するテンポラリパスワードを生成して発行し、テンポラリIDデータ221に保存する(図6〜7・ステップS307〜310)。そして認証結果と、認証に成功した場合はテンポラリIDおよびテンポラリパスワードを認証モジュール110に返信する(図7・ステップS311)。
認証に成功した場合、認証モジュール110がテンポラリIDおよびテンポラリパスワードを表示すると共に、クライアント端末管理モジュール120のクライアントモジュール操作手順122が、クライアントモジュール130を起動する(図7・ステップS315)。そして入出力手段14上に図11に示したテンポラリID/パスワード入力画面161を表示して、テンポラリIDおよびテンポラリパスワードの入力を受け付ける(図10・ステップS401)。
ここで入力されたテンポラリIDおよびテンポラリパスワードを、認証モジュール110がサーバコンピュータ20のテンポラリID認証部220に送信する(図10・ステップS402)。テンポラリID認証部220は、テンポラリIDおよびテンポラリパスワードをテンポラリIDデータ221と照合してユーザ認証を行い、それが成功していればクライアントモジュール130はリモート操作画面171を表示してリモート操作を開始する(図10・ステップS403〜404)。
(第1の実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。本実施形態に係るリモートアクセス方法は、端末ログインIDを端末ログインID記憶部に予め記憶しているクライアントコンピュータ10と、テンポラリIDデータおよび認証データを予め記憶しているサーバコンピュータ20とがネットワークを介して相互に接続され、クライアントコンピュータを操作するユーザのサーバコンピュータへのログインを認証するリモートアクセスシステム1にあって、ユーザの認証DB用IDおよびこれに対応するパスワードの入力をクライアントコンピュータの認証モジュールが受け付け(図6・ステップS301〜302)、入力された認証DB用IDおよびパスワードを端末ログインIDと共にクライアントコンピュータの認証モジュールがサーバコンピュータに送信し(図6・ステップS303〜304)、クライアントコンピュータからユーザの認証DB用IDおよびパスワードをサーバコンピュータのID判別モジュールが受信し(図6・ステップS305)、受信した認証DB用IDおよびパスワードをサーバコンピュータのID判別モジュールが認証データと照合してユーザを認証し(図6・ステップS306)、ユーザの認証が成功した場合に、クライアントコンピュータから受信した認証DB用IDおよび端末ログインIDからサーバコンピュータのID判別モジュールがテンポラリIDを生成すると共に同時にこれに対応するテンポラリパスワードを生成し(図6〜7・ステップS307〜310)、生成されたテンポラリIDおよびテンポラリパスワードをサーバコンピュータのID判別モジュールがテンポラリIDデータに保存し、テンポラリIDおよびテンポラリパスワードをサーバコンピュータのID判別モジュールがクライアントコンピュータに返信する(図7・ステップS311)。
そしてテンポラリIDおよびテンポラリパスワードの入力をクライアントコンピュータの認証モジュールが受け付け(図10・ステップS401)、入力されたテンポラリIDおよびテンポラリパスワードをクライアントコンピュータの認証モジュールがサーバコンピュータに送信し(図10・ステップS402)、クライアントコンピュータからテンポラリIDおよびテンポラリパスワードをサーバコンピュータのID判別モジュールが受信し、受信したテンポラリIDおよびテンポラリパスワードをサーバコンピュータのID判別モジュールがテンポラリIDデータと照合してユーザを認証する(図10・ステップS403〜404)。
ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行するコンピュータであるクライアントコンピュータ10およびサーバコンピュータ20に実行させるようにしてもよい。
この動作により、本実施形態は以下のような効果を奏する。
本実施形態によれば、ユーザが共有IDを使って特権ユーザとしての操作を行おうとしても、自動的にユーザを特定できるテンポラリIDを作成し、強制的にそのテンポラリIDでログインさせる。従って、全てのユーザに対して、行った操作についてログを記録してその内容を特定することが可能となる。
また、ユーザがその特権IDであるテンポラリIDを使用する際、承認依頼・承認・アクセス許可などをその都度申請する必要は無い。これは、ユーザが特権IDを必要とする時点でテンポラリID発行の手続きを行うことができ、かつその手続きはユーザがクライアントモジュールを起動した時点で人手を必要とせず自動的に行えるからである。
さらに、同じユーザが2回目以降にテンポラリIDを使用する際には、1回目と同一のテンポラリIDおよびテンポラリパスワードを使用するので、ユーザは新たなIDとパスワードを記憶する必要はない。これらのテンポラリIDおよびテンポラリパスワードはこのユーザが1回これらを使用してログインすれば無効になるので、セキュリティ上の問題は特にない。
(第2の実施形態)
本発明の第2の実施形態は、第1の実施形態の構成に加えて、クライアントコンピュータ510が、サーバコンピュータ20から受信したテンポラリIDおよびテンポラリパスワードを記憶する記憶手段12を備え、クライアントコンピュータ510の認証情報入力部615が、記憶手段に記憶されたテンポラリIDおよびテンポラリパスワードをサーバコンピュータ20に送信する機能を備える構成とした。
この構成によっても、第1の実施形態と同一の効果を得ることができることに加えて、さらにユーザがテンポラリIDおよびテンポラリパスワードを記憶する必要がなくなるので、セキュリティを保ちつつ利便性を向上することが可能となる。
以下、これをより詳細に説明する。
図13は、本発明の第2の実施形態に係るリモートアクセスシステム501の構成を示す説明図である。リモートアクセスシステム501は、クライアントコンピュータ510とサーバコンピュータ20とがネットワーク30を介して相互に接続されて構成される。サーバコンピュータ20およびネットワーク30は、前述した第1の実施形態と同一である。
クライアントコンピュータ510は、第1の実施形態のクライアントコンピュータ10に加えて、認証モジュール110が認証モジュール610に変更されている。そして記憶手段12では、端末ログインID記憶部141に加えて、テンポラリID記憶部642が記憶領域として予め確保されている。
図14は、図13に示した認証モジュール610のソフトウェアとしてのより詳しい構成を示す説明図である。認証モジュール610は、第1の実施形態の認証モジュール110と比べて、認証情報入力部115が認証情報入力部615に変更されている。
認証情報入力部615は、認証が成功した時にサーバコンピュータ20から受信したテンポラリIDおよびテンポラリパスワードをテンポラリID記憶部642に記憶し、そしてリモートデスクトップを起動する際にこのテンポラリIDおよびテンポラリパスワードをサーバコンピュータ20に送信する。この動作以外は、クライアントコンピュータ510は第1の実施形態のクライアントコンピュータ10と同一である。
クライアントコンピュータ510をユーザが操作してサーバコンピュータ20にログインする際の処理は、図5に示した第1の実施形態の場合の処理と同一である。図15は、図5のステップS202として示した、第2の実施形態の場合でユーザが認証DB用IDでログインする際の処理を示すフローチャートである。このフローチャートの動作は、第1の実施形態の図6〜7で説明した動作と大部分は同一である。図6に示したステップS307までの動作は全て第1の実施形態の図6の動作と同一であるので、この部分の記載は省略している。
図6〜7で説明した動作との相違点は、ステップS313の判断がYESだった場合、その直後に認証情報入力部615がサーバコンピュータ20から受信したテンポラリIDおよびテンポラリパスワードをテンポラリID記憶部642に記憶する動作が追加されている点のみである(ステップS701)。この動作以外は、全て第1の実施形態で説明した動作と同一である。
図16は、図5のステップS203として示した、第2の実施形態の場合でクライアントモジュール130が自動起動されてからリモートデスクトップを利用開始するまでの処理について示すフローチャートである。このフローチャートの動作は、大部分は第1の実施形態の図10で説明した動作と同一である。
図10の動作との相違点は、図10のステップS401〜402の動作が、認証情報入力部615がテンポラリID記憶部642に記憶したテンポラリIDおよびテンポラリパスワードを取得して(ステップS702)、生成ID判別モジュール210のテンポラリID認証部220に送信する動作に変更されている点のみである(ステップS703)。この動作以外は、全て第1の実施形態で説明した動作と同一である。
図17は、図16のステップS702〜703でクライアントモジュール130が表示するID/パスワード入力画面661の表示例を示す説明図である。ID/パスワード入力画面661は、図11で示したテンポラリID/パスワード入力画面161と同一であるが、ステップS702でテンポラリID記憶部642から取得されたテンポラリIDおよびテンポラリパスワードが最初から入力された状態となっている点が相違点である。OKボタン661aを押せば、ステップS403以降の動作に進む。
この動作により、ユーザはテンポラリIDおよびテンポラリパスワードを記憶する必要がなく、自らが通常のログインで使用する端末ログインID、認証DB用IDおよびこれらに対応するパスワードを入力するだけでよい。テンポラリIDおよびテンポラリパスワードは、ユーザが1回これらを使用してログインすれば無効になるので、クライアントコンピュータ10内に記憶するようにしても、特にセキュリティ上の問題はない。即ち、セキュリティを保ちつつ、ユーザにとってはより利便性を向上することができる。
(実施形態の拡張)
以上で説明した第1および第2の実施形態は、その趣旨を改変しない範囲で様々な拡張が考えられる。たとえば、ネットワークを介したリモートアクセスではなく、サーバコンピュータをユーザが直接操作する際に、本実施形態による方法でログインしてもよい。
これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。
上述した各々の実施形態について、その新規な技術内容の要点をまとめると、以下のようになる。なお、上記実施形態の一部または全部は、新規な技術として以下のようにまとめられるが、本発明は必ずしもこれに限定されるものではない。
(付記1) クライアントコンピュータとサーバコンピュータとがネットワークを介して相互に接続され、前記クライアントコンピュータを操作するユーザの前記サーバコンピュータへのログインを認証するリモートアクセスシステムであって、
前記クライアントコンピュータが、
端末ログインIDを予め記憶する端末ログインID記憶部を有すると共に、
前記サーバコンピュータを遠隔操作するクライアントモジュールと、ユーザの認証DB用IDおよびこれに対応するパスワードの入力を受け付けてこれらを前記端末ログインIDと共に前記サーバコンピュータに送信して前記サーバコンピュータからこれらによる認証結果を受信する認証モジュールと、前記クライアントモジュールの動作状態を監視するクライアント端末管理モジュールとを実行するクライアント側主演算制御手段を備え、
前記サーバコンピュータが、
テンポラリIDデータおよび認証データを予め記憶している記憶手段と、前記クライアントコンピュータから受信したユーザの認証DB用IDおよびパスワードからユーザの認証を行うと共に認証されたユーザに対してテンポラリIDを発行するID判別モジュールを実行するサーバ側主演算制御手段とを備え、
前記サーバ側主演算制御手段が、
前記クライアントコンピュータからユーザの認証DB用IDおよびパスワードを受信する送受信部と、
前記クライアントコンピュータから受信した前記認証DB用IDおよび前記パスワードを前記認証データと照合して前記ユーザの認証を行う認証部と、
前記ユーザの認証が成功した場合に、前記クライアントコンピュータから受信した前記認証DB用IDおよび前記端末ログインIDからテンポラリIDを生成すると同時にこれに対応するテンポラリパスワードを生成するテンポラリID生成部と、
生成されたテンポラリIDおよびテンポラリパスワードを前記テンポラリIDデータに保存するテンポラリID発行部とを備え、
前記送受信部が前記テンポラリIDおよび前記テンポラリパスワードを前記クライアントコンピュータに返信することを特徴とするリモートアクセスシステム。
(付記2) 前記サーバ側主演算制御手段が、生成されたテンポラリIDが前記テンポラリIDデータ内に既に存在していれば前記テンポラリIDに関連づけられて前記テンポラリIDデータに記憶されているパスワードを取得して前記テンポラリパスワードとするテンポラリIDデータ操作部を備えることを特徴とする、付記1に記載のリモートアクセスシステム。
(付記3) 前記クライアント側主演算制御手段が、前記テンポラリIDおよび前記テンポラリパスワードの入力を受け付けてこれらを前記サーバコンピュータに送信して前記サーバコンピュータからこれらによる認証結果を受信する認証情報入力部を備え、
前記サーバ側主演算制御手段が、前記クライアントコンピュータから受信した前記テンポラリIDおよび前記テンポラリパスワードを前記テンポラリIDデータと照合して前記ユーザの認証を行うテンポラリID認証部を備えることを特徴とする、付記1に記載のリモートアクセスシステム。
(付記4) 前記クライアント側主演算制御手段が、前記クライアントモジュールが前記認証モジュール以外を介して起動された場合に、このクライアントモジュールを強制終了させるクライアントモジュール操作手順を備えることを特徴とする、付記1に記載のリモートアクセスシステム。
(付記5) 前記クライアントコンピュータが、前記サーバコンピュータから受信した前記テンポラリIDおよび前記テンポラリパスワードを記憶する記憶手段を備え、
前記クライアントコンピュータの認証情報入力部が、前記記憶手段に記憶された前記テンポラリIDおよび前記テンポラリパスワードを前記サーバコンピュータに送信する機能を備えることを特徴とする、付記3に記載のリモートアクセスシステム。
(付記6) クライアントコンピュータとネットワークを介して相互に接続され、前記クライアントコンピュータを操作するユーザのログインを認証するサーバコンピュータであって、
テンポラリIDデータおよび認証データを予め記憶している記憶手段と、
前記クライアントコンピュータから受信したユーザの認証DB用IDおよびパスワードからユーザの認証を行うと共に認証されたユーザに対してテンポラリIDを発行するID判別モジュールを実行する主演算制御手段とを備え、
前記主演算制御手段が、
前記クライアントコンピュータからユーザの認証DB用IDおよびパスワードを受信する送受信部と、
前記クライアントコンピュータから受信した前記認証DB用IDおよび前記パスワードを前記認証データと照合して前記ユーザの認証を行う認証部と、
前記ユーザの認証が成功した場合に、前記クライアントコンピュータから受信した前記認証DB用IDおよびこの認証DB用IDと同時に前記クライアントコンピュータから受信した端末ログインIDからテンポラリIDを生成すると同時にこれに対応するテンポラリパスワードを生成するテンポラリID生成部と、
生成されたテンポラリIDおよびテンポラリパスワードを前記テンポラリIDデータに保存するテンポラリID発行部と備え、
前記送受信部が前記テンポラリIDおよび前記テンポラリパスワードを前記クライアントコンピュータに返信することを特徴とするサーバコンピュータ。
(付記7) 端末ログインIDを端末ログインID記憶部に予め記憶しているクライアントコンピュータと、テンポラリIDデータおよび認証データを予め記憶しているサーバコンピュータとがネットワークを介して相互に接続され、前記クライアントコンピュータを操作するユーザの前記サーバコンピュータへのログインを認証するリモートアクセスシステムにあって、
ユーザの認証DB用IDおよびこれに対応するパスワードの入力を前記クライアントコンピュータの認証モジュールが受け付け、
入力された認証DB用IDおよびパスワードを前記端末ログインIDと共に前記クライアントコンピュータの認証モジュールが前記サーバコンピュータに送信し、
前記クライアントコンピュータからユーザの認証DB用IDおよびパスワードを前記サーバコンピュータのID判別モジュールが受信し、
受信した前記認証DB用IDおよび前記パスワードを前記サーバコンピュータのID判別モジュールが前記認証データと照合して前記ユーザを認証し、
前記ユーザの認証が成功した場合に、前記クライアントコンピュータから受信した前記認証DB用IDおよび前記端末ログインIDから前記サーバコンピュータのID判別モジュールがテンポラリIDを生成すると共に同時にこれに対応するテンポラリパスワードを生成し、
生成されたテンポラリIDおよびテンポラリパスワードを前記サーバコンピュータのID判別モジュールが前記テンポラリIDデータに保存し、
前記テンポラリIDおよび前記テンポラリパスワードを前記サーバコンピュータのID判別モジュールが前記クライアントコンピュータに返信することを特徴とするリモートアクセス方法。
(付記8) 前記テンポラリIDおよび前記テンポラリパスワードの入力を前記クライアントコンピュータの認証モジュールが受け付け、
入力された前記テンポラリIDおよび前記テンポラリパスワードを前記クライアントコンピュータの認証モジュールが前記サーバコンピュータに送信し、
前記クライアントコンピュータから前記テンポラリIDおよび前記テンポラリパスワードを前記サーバコンピュータのID判別モジュールが受信し、
受信した前記テンポラリIDおよび前記テンポラリパスワードを前記サーバコンピュータのID判別モジュールが前記テンポラリIDデータと照合して前記ユーザを認証することを特徴とする、付記7に記載のリモートアクセス方法。
(付記9) 端末ログインIDを端末ログインID記憶部に予め記憶しているクライアントコンピュータと、テンポラリIDデータおよび認証データを予め記憶しているサーバコンピュータとがネットワークを介して相互に接続され、前記クライアントコンピュータを操作するユーザの前記サーバコンピュータへのログインを認証するリモートアクセスシステムにあって、
前記サーバコンピュータに、
前記クライアントコンピュータからユーザの認証DB用IDおよびパスワードを受信する手順、
受信した前記認証DB用IDおよび前記パスワードを前記認証データと照合して前記ユーザを認証する手順、
前記ユーザの認証が成功した場合に、前記クライアントコンピュータから受信した前記認証DB用IDおよび前記端末ログインIDからテンポラリIDを生成すると共に同時にこれに対応するテンポラリパスワードを生成する手順、
生成されたテンポラリIDおよびテンポラリパスワードを前記テンポラリIDデータに保存する手順、
および前記テンポラリIDおよび前記テンポラリパスワードを前記クライアントコンピュータに返信する手順を実行させることを特徴とするリモートアクセスプログラム。
クライアントコンピュータからネットワークを介してサーバコンピュータにログインして遠隔操作する用途全般に適用できる。特に、サーバコンピュータの管理に係る操作を行う場合に有用である。
1 リモートアクセスシステム
10 クライアントコンピュータ
11、21 主演算制御手段
12、22 記憶手段
13、23 通信手段
14 入出力手段
20 サーバコンピュータ
30 ネットワーク
110 認証モジュール
111 送受信部
112 画面表示部
113 認証結果判断部
114 認証情報取得部
115 認証情報入力部
120 クライアント端末管理モジュール
121 クライアントモジュール監視部
122 クライアントモジュール操作手順
123 端末情報取得部
130 クライアントモジュール
141 端末ログインID記憶部
151 認証DB用ID/パスワード入力画面
161 テンポラリID/パスワード入力画面
171 リモート操作画面
210 ID判別モジュール
211 送受信部
212 認証部
213 テンポラリID生成部
214 テンポラリIDデータ操作部
215 テンポラリID発行部
220 テンポラリID認証部
221 テンポラリIDデータ
222 認証データ

Claims (6)

  1. クライアントコンピュータとサーバコンピュータとがネットワークを介して相互に接続され、前記クライアントコンピュータを操作するユーザの前記サーバコンピュータへのログインを認証するリモートアクセスシステムであって、
    前記クライアントコンピュータが、
    端末ログインIDを予め記憶する端末ログインID記憶部を有すると共に、
    前記サーバコンピュータを遠隔操作するクライアントモジュールと、ユーザの認証DB用IDおよびこれに対応するパスワードの入力を受け付けてこれらを前記端末ログインIDと共に前記サーバコンピュータに送信して前記サーバコンピュータからこれらによる認証結果を受信する認証モジュールと、前記クライアントモジュールの動作状態を監視するクライアント端末管理モジュールとを実行するクライアント側主演算制御手段を備え、
    前記サーバコンピュータが、
    テンポラリIDデータおよび認証データを予め記憶している記憶手段と、前記クライアントコンピュータから受信したユーザの認証DB用IDおよびパスワードからユーザの認証を行うと共に認証されたユーザに対してテンポラリIDを発行するID判別モジュールを実行するサーバ側主演算制御手段とを備え、
    前記サーバ側主演算制御手段が、
    前記クライアントコンピュータからユーザの認証DB用IDおよびパスワードを受信する送受信部と、
    前記クライアントコンピュータから受信した前記認証DB用IDおよび前記パスワードを前記認証データと照合して前記ユーザの認証を行う認証部と、
    前記ユーザの認証が成功した場合に、前記クライアントコンピュータから受信した前記認証DB用IDおよび前記端末ログインIDを含むテンポラリIDを生成すると同時にこれに対応するテンポラリパスワードを生成するテンポラリID生成部と、
    生成されたテンポラリIDおよびテンポラリパスワードを前記テンポラリIDデータに保存するテンポラリID発行部とを備え、
    前記送受信部が前記テンポラリIDおよび前記テンポラリパスワードを前記クライアントコンピュータに返信することを特徴とするリモートアクセスシステム。
  2. 前記サーバ側主演算制御手段が、生成されたテンポラリIDが前記テンポラリIDデータ内に既に存在していれば前記テンポラリIDに関連づけられて前記テンポラリIDデータに記憶されているパスワードを取得して前記テンポラリパスワードとするテンポラリIDデータ操作部を備えることを特徴とする、請求項1に記載のリモートアクセスシステム。
  3. 前記クライアント側主演算制御手段が、前記テンポラリIDおよび前記テンポラリパスワードの入力を受け付けてこれらを前記サーバコンピュータに送信して前記サーバコンピュータからこれらによる認証結果を受信する認証情報入力部を備え、
    前記サーバ側主演算制御手段が、前記クライアントコンピュータから受信した前記テンポラリIDおよび前記テンポラリパスワードを前記テンポラリIDデータと照合して前記ユーザの認証を行うテンポラリID認証部を備えることを特徴とする、請求項1に記載のリモートアクセスシステム。
  4. 前記クライアント側主演算制御手段が、前記クライアントモジュールが前記認証モジュール以外を介して起動された場合に、このクライアントモジュールを強制終了させるクライアントモジュール操作を備えることを特徴とする、請求項1に記載のリモートアクセスシステム。
  5. 前記クライアントコンピュータが、前記サーバコンピュータから受信した前記テンポラリIDおよび前記テンポラリパスワードを記憶する記憶手段を備え、
    前記クライアントコンピュータの認証情報入力部が、前記記憶手段に記憶された前記テンポラリIDおよび前記テンポラリパスワードを前記サーバコンピュータに送信する機能を備えることを特徴とする、請求項3に記載のリモートアクセスシステム。
  6. 端末ログインIDを端末ログインID記憶部に予め記憶しているクライアントコンピュータと、テンポラリIDデータおよび認証データを予め記憶しているサーバコンピュータとがネットワークを介して相互に接続され、前記クライアントコンピュータを操作するユーザの前記サーバコンピュータへのログインを認証するリモートアクセスシステムにあって、
    ユーザの認証DB用IDおよびこれに対応するパスワードの入力を前記クライアントコンピュータの認証モジュールが受け付け、
    入力された認証DB用IDおよびパスワードを前記端末ログインIDと共に前記クライアントコンピュータの認証モジュールが前記サーバコンピュータに送信し、
    前記クライアントコンピュータからユーザの認証DB用IDおよびパスワードを前記サーバコンピュータのID判別モジュールが受信し、
    受信した前記認証DB用IDおよび前記パスワードを前記サーバコンピュータのID判別モジュールが前記認証データと照合して前記ユーザを認証し、
    前記ユーザの認証が成功した場合に、前記クライアントコンピュータから受信した前記認証DB用IDおよび前記端末ログインIDから前記サーバコンピュータのID判別モジュールが当該認証DB用IDおよび当該端末ログインIDを含むテンポラリIDを生成すると共に同時にこれに対応するテンポラリパスワードを生成し、
    生成されたテンポラリIDおよびテンポラリパスワードを前記サーバコンピュータのID判別モジュールが前記テンポラリIDデータに保存し、
    前記テンポラリIDおよび前記テンポラリパスワードを前記サーバコンピュータのID判別モジュールが前記クライアントコンピュータに返信し、
    前記テンポラリIDおよび前記テンポラリパスワードの入力を前記クライアントコンピュータの認証モジュールが受け付け、
    入力された前記テンポラリIDおよび前記テンポラリパスワードを前記クライアントコンピュータの認証モジュールが前記サーバコンピュータに送信し、
    前記クライアントコンピュータから前記テンポラリIDおよび前記テンポラリパスワードを前記サーバコンピュータのID判別モジュールが受信し、
    受信した前記テンポラリIDおよび前記テンポラリパスワードを前記サーバコンピュータのID判別モジュールが前記テンポラリIDデータと照合して前記ユーザを認証することを特徴とするリモートアクセス方法。
JP2010193529A 2010-08-31 2010-08-31 リモートアクセスシステムおよびリモートアクセス方法 Expired - Fee Related JP5614178B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010193529A JP5614178B2 (ja) 2010-08-31 2010-08-31 リモートアクセスシステムおよびリモートアクセス方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010193529A JP5614178B2 (ja) 2010-08-31 2010-08-31 リモートアクセスシステムおよびリモートアクセス方法

Publications (2)

Publication Number Publication Date
JP2012053527A JP2012053527A (ja) 2012-03-15
JP5614178B2 true JP5614178B2 (ja) 2014-10-29

Family

ID=45906806

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010193529A Expired - Fee Related JP5614178B2 (ja) 2010-08-31 2010-08-31 リモートアクセスシステムおよびリモートアクセス方法

Country Status (1)

Country Link
JP (1) JP5614178B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6053133B2 (ja) * 2012-12-10 2016-12-27 株式会社日立システムズ 特権ユーザid貸し出しシステム、特権ユーザidの貸し出し方法、およびプログラム
JP6801275B2 (ja) * 2016-07-11 2020-12-16 富士ゼロックス株式会社 情報処理システム及びプログラム
JP7215861B2 (ja) * 2018-09-26 2023-01-31 Nttテクノクロス株式会社 アカウント管理システム、アカウント管理装置、アカウント管理方法及びプログラム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001051948A (ja) * 1999-08-16 2001-02-23 Matsushita Electric Ind Co Ltd アクセス制御装置及びアクセス制御システム
JP2005165976A (ja) * 2003-12-05 2005-06-23 Toshiba Solutions Corp サービス提供システム、方法、プログラム及び商品販売システム
JP2005190286A (ja) * 2003-12-26 2005-07-14 Canon Sales Co Inc 認証サーバ、情報サーバ、クライアント、認証方法、認証システム、プログラム、記録媒体
JP4492318B2 (ja) * 2004-11-30 2010-06-30 日本電気株式会社 ワンタイムid認証システム、認証サーバ、変換サーバ、ワンタイムid認証方法及びプログラム
JP2009043158A (ja) * 2007-08-10 2009-02-26 Casio Comput Co Ltd クライアント装置、認証代行装置、サービス提供システムおよびプログラム
JP5254755B2 (ja) * 2008-11-18 2013-08-07 株式会社日立ソリューションズ 特権id管理システム
US20110307939A1 (en) * 2009-02-09 2011-12-15 Aya Okashita Account issuance system, account server, service server, and account issuance method

Also Published As

Publication number Publication date
JP2012053527A (ja) 2012-03-15

Similar Documents

Publication Publication Date Title
US10187211B2 (en) Verification of password using a keyboard with a secure password entry mode
KR101726348B1 (ko) 로그인 인증 방법 및 시스템
JP4413774B2 (ja) 電子メールアドレスとハードウェア情報とを利用したユーザ認証方法及びシステム
WO2012046303A1 (ja) オフライン二要素ユーザ認証システム、その方法、およびそのプログラム
CA2689847A1 (en) Network transaction verification and authentication
US7581111B2 (en) System, method and apparatus for transparently granting access to a selected device using an automatically generated credential
CN113742676B (zh) 一种登录管理方法、装置、服务器、系统及存储介质
WO2006072994A1 (ja) ネットワークカメラへのログイン認証システム
JP2011238036A (ja) 認証システム、シングルサインオンシステム、サーバ装置およびプログラム
JP7422241B2 (ja) パスワード回復方法、システム、クラウドサーバー及び電子デバイス
JP5614178B2 (ja) リモートアクセスシステムおよびリモートアクセス方法
JP5204457B2 (ja) 情報処理システム、情報処理装置、認証サーバ、情報処理方法、及びプログラム
KR102465744B1 (ko) 로그인 세션 전달을 이용한 기기인증 방법
JP4882463B2 (ja) ユーザ認証システムおよび方法
JP6723804B2 (ja) システム、中継クライアント、制御方法、及びプログラム
JP2007249344A (ja) ユーザ認証システムおよび方法
CN113196263B (zh) 用户认证系统、用户认证服务器及用户认证方法
JP5193010B2 (ja) 申告データ作成システム、申告データ作成方法、コンピュータ装置、接続管理サーバ、およびデータベースサーバ
CN112583816A (zh) 登录验证方法、装置、电子设备和存储介质
JP3563012B2 (ja) ユーザ認証システムおよびユーザ認証方法
JP2008059468A (ja) 印刷装置、認証方法、およびプリンタドライバ
JP5212721B2 (ja) リモートアクセス管理システム及び方法
WO2017134922A1 (ja) サービス提供システム、認証装置、及びプログラム
JP2005092723A (ja) 端末装置、端末装置を目的装置に接続させるための接続装置
JP2004310327A (ja) ユーザ認証装置、端末装置及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130711

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140319

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140408

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140523

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140812

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140825

R150 Certificate of patent or registration of utility model

Ref document number: 5614178

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees