JP6201633B2 - 情報処理装置、情報処理システム - Google Patents
情報処理装置、情報処理システム Download PDFInfo
- Publication number
- JP6201633B2 JP6201633B2 JP2013222763A JP2013222763A JP6201633B2 JP 6201633 B2 JP6201633 B2 JP 6201633B2 JP 2013222763 A JP2013222763 A JP 2013222763A JP 2013222763 A JP2013222763 A JP 2013222763A JP 6201633 B2 JP6201633 B2 JP 6201633B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- information
- virtual desktop
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、仮想環境で複数の認証を一括して行う機能を提供する情報処理装置、情報処理システムに関する。
図1に、デスクトップ仮想化ソリューションが導入されるとともにシングルサインオンシステムとして機能する情報処理システムを例示する。図1の情報処理システムでは、仮想デスクトップ3の割当を行う仮想デスクトップコントローラー1と、仮想デスクトップ3を動作させる仮想デスクトップサーバー2と、仮想デスクトップ3を使用するクライアント4と、シングルサインオンシステムの認証機能を担当する認証サーバー5とが、物理ネットワーク6を介して接続されている。さらに、図1の情報処理システムでは、仮想デスクトップ3が仮想デスクトップサーバー2により実行されている。さらに、仮想デスクトップ3は、仮想デスクトップサーバー2が実行する仮想ネットワーク7を介して、物理ネットワーク6に接続されている。仮想デスクトップ3とクライアント4は仮想チャネル9を介して接続されており、双方には仮想チャネル9を使用するためのシンクライアントプログラム31、41がインストールされている。
ここで、デスクトップ仮想化とは、例えば、物理的な端末であるクライアント4において、クライアント4以外の他のコンピュータである仮想デスクトップサーバー2で実行される情報処理によって、OS(オペレーティングシステム)の環境が画面で提供されることをいう。図1では、仮想デスクトップ3が、デスクトップ仮想化によって提供されるOSの環境の例である。クライアント4の表示装置には、仮想デスクトップ3を利用するための画面が表示される。ユーザーは、仮想デスクトップ3から提供される画面を操作することで、仮想デスクトップサーバー2で実行される仮想デスクトップ3での処理、サービスを利用できる。
また、シングルサインオンとは、例えば、クライアント4が1回の認証を受けることによって複数のリソース、複数のコンピュータ等への認証を受けることができる処理をいう。また、シングルサインオンのサービスを提供するシステムをシングルサインオンシステムという。
デスクトップ仮想化に対応したシングルサインオンシステムの課題として、認証デバイス45を使用する認証の実現がある。認証デバイス45は、例えば、静脈認証において静脈を読み取る装置等である。クライアント4に仮想化されたOSのサービスを提供する仮想デスクトップ3は仮想デスクトップサーバー2側に存在するため、ユーザーが手元の物理的な端末であるクライアント4に認証デバイス45を物理的に接続したとしても、通常では、仮想デスクトップ3は認証デバイス45を認識することはできない。
なお、USB接続等の物理インターフェースをエミュレートすることで、仮想デスクトップ3が物理的な端末であるクライアント4に接続されるUSBデバイスを認識するような仮想化デスクトップを含むシステムも提案されている。このシステムは、例えば、仮想デスクトップ3側とクライアント4側との両方にシンクライアントプログラム31、41を用意する。そして、このシステムは、クライアント4側のデバイスドライバー44でUSBインターフェースを操作し、その結果を仮想デスクトップ3側に返す仕組みを有する。このようにして、仮想デスクトップ3からクライアント4の認証デバイス45をあたかも直接利用しているように見せる技術が提案されている。このシステムの場合には、仮想デスクトップ3のシンクライアントプログラム31と、クライアント4のシンクライアン
トプログラム41との間で、仮想チャネル9と呼ばれる特別の通信手段が形成される。そして、仮想デスクトップ3において、シングルサインオンを実行するSSO(Single Sign On)実行部34は、仮想チャネル9を介してクライアント4の認証デバイスからの認証情報を取得し、認証サーバー5との間で、クライアント4のシングルサインオンを実行する。
トプログラム41との間で、仮想チャネル9と呼ばれる特別の通信手段が形成される。そして、仮想デスクトップ3において、シングルサインオンを実行するSSO(Single Sign On)実行部34は、仮想チャネル9を介してクライアント4の認証デバイスからの認証情報を取得し、認証サーバー5との間で、クライアント4のシングルサインオンを実行する。
しかしながら、従来の技術による情報処理システムは、シングルサインオンのような複数の認証の実行時に、クライアント4側で認証デバイス45を操作し、その結果を仮想デスクトップ3側に返す仕組みをとる。このため、従来の技術は、クライアント4側と仮想デスクトップ3側のそれぞれにシンクライアントプログラム31、41を用意し、クライアント4と仮想デスクトップ3との間で、仮想チャネル9のような特別な接続手段を設けることが前提となっている。したがって、仮想環境の提供を受けるクライアント4のような利用者装置と、仮想デスクトップ3のような仮想環境を提供する装置との間で特別な接続手段が存在しない場合、あるいは、接続手段が変更された場合に問題が生じる。そこで、開示の技術は、利用者装置と仮想環境を提供する装置との間で特別な接続手段が存在しない場合、あるいは、接続手段が変更された場合でも変更の影響を受けずに、仮想デスクトップ3のような仮想的にOSの環境を提供するサービスを介して、利用者装置に接続された認証入力装置からの入力に基づき、複数の認証を実施し、認証によるサービスを提供することが可能な技術を提供することにある。
開示の実施形態は、1つの側面では、情報処理装置によって例示される。本情報処理装置は、管理装置から管理者識別情報とともに引き渡された情報を基に秘密鍵を生成する鍵生成部と、利用者装置に仮想環境サービスを提供する提供装置からの管理者識別情報による認証要求に対する認証が成功したときに提供装置に秘密鍵を引き渡す鍵配布部と、提供装置へ接続するための認証情報を求める利用者装置からの要求に応じて第1の利用者認証を実施し、第1の利用者認証が成功した利用者装置に認証情報を提供する利用者認証部と、第1の利用者認証が成功した利用者情報と認証成功時刻を保存する保存部と、を備える。そして、利用者認証部は、提供装置から利用者装置に提供された仮想環境サービスを介して第2の利用者認証要求を受けたときに、仮想環境サービスを介して引き渡される秘密鍵を基に、仮想環境サービスが正当であることを確認するとともに、仮想環境サービスを介して引き渡される利用者情報を基に、保存された第1の利用者認証での認証成功時刻からの経過時間が所定の範囲内である場合に、第2の利用者認証要求に対して認証情報を提供する。
開示の技術によれば、仮想環境を提供するサーバーとの間で特殊な接続手段が存在しない場合、あるいは、接続手段が変更された場合でも変更の影響を受けずに、仮想デスクトップのような仮想的にOSの環境を提供するサービスを介して、認証入力装置からの入力に基づき、複数の認証を実施し、認証によるサービスを提供することができる。
以下、図面を参照して、一実施形態に係る情報処理システムについて説明する。以下の実施形態の構成は例示であり、本情報処理システムは実施形態の構成には限定されない。本情報処理システムは、管理端末、クライアント、認証サーバー、仮想デスクトップサーバーで実行される仮想デスクトップ等を含む。
本情報システムでは、管理端末より生成されたシードを元に、認証サーバーが秘密鍵を生成し、生成した秘密鍵を仮想デスクトップにコピーしておく。そして、仮想デスクトップが認証サーバーにアクセスするときには、認証サーバーは仮想デスクトップに秘密鍵を要求する。仮想デスクトップが秘密鍵を用いて認証サーバーに認証されることによって、管理端末と認証サーバーとの間の信頼関係が仮想デスクトップにまで拡張されることになる。
一方、クライアントは、仮想デスクトップを起動するときに、クライアントに設けられた認証デバイスを用いて、自身のユーザーIDで認証サーバーから認証を受けるとともに、認証サーバーからユーザーIDに対する仮想デスクトップの認証情報を取得する。この認証サーバーへの認証がシングルサインオンの起点のデバイス認証となる。クライアントは、取得した仮想デスクトップへの認証情報を用いて、ユーザーに代わって、いわば、仮想デスクトップの代行認証を実行する。そして、認証サーバーは、認証したユーザーID及び認証時刻を保存する。クライアントは、ユーザーIDと認証サーバーから受け取った認証情報によって仮想デスクトップにログオンし、仮想デスクトップを起動する。
そして、仮想デスクトップ起動後のクライアントからシングルサインオンシステムとして次の認証要求を受けたときに、認証サーバーは起点のデバイス認証時のユーザーID及び認証時刻を確認する。そして、例えば、認証サーバーは起点のデバイス認証時の時刻からの経過時間が所定の範囲内のものか否かを判定する。本情報処理システムは、起点のデバイス認証時の時刻からの経過時間が所定の範囲の場合に限り、シングルサインオンの起点のデバイス認証を有効なものと取り扱う。その結果、シングルサインオンの起点のデバイス認証の効果が所定の範囲の経過時間まで継続される。したがって、本情報処理システムは、仮想チャネルを使わずにシングルサインオンの起点のデバイス認証を等価的に実現することが可能となる。
以下、図2から図8を参照して、実施例に係る情報処理システムを説明する。
<システム構成>
図2は、本情報処理システムの構成図の一例である。本情報処理システムは、サーバーとクライアントを含むサーバークライアントシステムと呼ぶこともできる。本情報処理シ
ステムは、仮想デスクトップ3の割当を行う仮想デスクトップコントローラー1と、仮想デスクトップ3を動作させる仮想デスクトップサーバー2と、仮想デスクトップ3を使用するクライアント4と、シングルサインオンシステムの認証機能を担当する認証サーバー5と、システムを統括するために管理者が使用する管理端末8とを含む。ここで、仮想デスクトップ3を動作させる仮想デスクトップサーバー2は、提供装置の一例であり、仮想デスクトップ3は、仮想環境サービスの一例である。また、クライアント4は、利用者装置の一例である。さらに、認証サーバー5は、情報処理装置の一例である。さらにまた、管理端末8は、管理装置の一例である。
<システム構成>
図2は、本情報処理システムの構成図の一例である。本情報処理システムは、サーバーとクライアントを含むサーバークライアントシステムと呼ぶこともできる。本情報処理シ
ステムは、仮想デスクトップ3の割当を行う仮想デスクトップコントローラー1と、仮想デスクトップ3を動作させる仮想デスクトップサーバー2と、仮想デスクトップ3を使用するクライアント4と、シングルサインオンシステムの認証機能を担当する認証サーバー5と、システムを統括するために管理者が使用する管理端末8とを含む。ここで、仮想デスクトップ3を動作させる仮想デスクトップサーバー2は、提供装置の一例であり、仮想デスクトップ3は、仮想環境サービスの一例である。また、クライアント4は、利用者装置の一例である。さらに、認証サーバー5は、情報処理装置の一例である。さらにまた、管理端末8は、管理装置の一例である。
本情報処理システムは、各構成要素が物理ネットワーク6を介して接続されている。さらに、仮想デスクトップ3が仮想デスクトップサーバー2により実行されている。また、仮想デスクトップ3は、仮想デスクトップサーバー2が提供する仮想ネットワーク7を介して、物理ネットワーク6に接続されている。ここで、仮想ネットワーク7は、例えば、仮想デスクトップサーバー2が実行するハイパーバイザー等が提供する物理ネットワーク6への仮想的な接続インターフェースである。以下、図3を参照して、図2に例示した情報処理システムの具体的構成例を説明する。
仮想デスクトップコントローラー1は、仮想デスクトップ3をクライアント4に割り当てるサーバーである。クライアント4に対して仮想デスクトップ3を割り当てるために、仮想デスクトップコントローラー1のIPアドレスは固定である。仮想デスクトップコントローラー1は、固定のIPアドレスを介してクライアント4からのアクセスを受けるためのサービスを起動している。
仮想デスクトップサーバー2は、仮想デスクトップ3と仮想ネットワーク7とを提供するサーバーである。仮想デスクトップサーバー2は、例えば、仮想的なハードディスクの上にOSをインストールし、そのOSが動作するためのハードウェアリソースをエミュレートする。仮想的なハードディスク等のハードウェアの提供、あるいはハードウェアリソースのエミュレートは、例えば、物理的なハードディスクに接続されたサーバー等のコンピュータ上で、ハイパーバイザー等の仮想化ソフトウェアを実行することで提供できる。OSは、ハイパーバイザー上で動作し、ハイパーバイザーを通じて、ハードディスク等のハードウェアにアクセスするようにすればよい。仮想デスクトップサーバー2は、複数の仮想デスクトップ3と複数の仮想ネットワーク7を動作させることが可能である。なお、上記コンピュータは、例えば、物理的構成としてのCPU(Central Processing Unit)
、主記憶装置、ハードディスク等の外部記憶装置、通信インターフェース等を有する。
、主記憶装置、ハードディスク等の外部記憶装置、通信インターフェース等を有する。
仮想デスクトップ3は、仮想デスクトップサーバー2で管理されるOSイメージである。OSイメージとは、OSを含み、仮想デスクトップサーバー2にインストールされたOSの環境で実行される一群のプログラムをいう。また、複数の仮想デスクトップ3は、異なる種類のOSを含む複数の仮想デスクトップ3であってもよい。ただし、複数の仮想デスクトップ3は、単一の種類のOSを含み、ハイパーバイザー上で実行される複数のプロセスとしての仮想デスクトップ3であってもよい。複数の仮想ネットワーク7は、異なるプロトコルによる複数種類のネットワークでもよいし、同一プロトコルによる複数のネットワークでもよい。
仮想デスクトップ3は、仮想デスクトップコントローラー1によって、クライアント4に対して割り当てられる。仮想デスクトップコントローラー1は、仮想デスクトップ3がどのクライアント4に割り当てられるか、どのユーザーに割り当てられるかなどを決定する。
仮想デスクトップ3は、仮想デスクトップコントローラー1によって、クライアント4に対して割り当てられる。仮想デスクトップコントローラー1は、仮想デスクトップ3がどのクライアント4に割り当てられるか、どのユーザーに割り当てられるかなどを決定する。
仮想デスクトップ3及びクライアント4は、仮想デスクトップ3の割当には関与しない。そのため、仮想デスクトップ3とクライアント4は、お互いのIPアドレスを知らない
状況でも、仮想デスクトップコントローラー1による割当にしたがって、通信を開始することができる。すなわち、仮想デスクトップ3は、仮想デスクトップコントローラー1による割当にしたがい、仮想チャネル9を使用しクライアント4と接続される。仮想デスクトップ3は、仮想チャネル9を使用してクライアント4に接続するためのシンクライアントプログラム31、認証サーバー5に接続するための認証制御部32Ex、認証方法や認証場所を設定する認証設定部33、SSOを実行するためのSSO実行部34、および認証サーバー5へのアクセス権の正当性を示す秘密鍵を管理する秘密鍵管理部35を有する。仮想デスクトップ3の各処理部は、シングルサインオンシステムの構成要素として動作する。
状況でも、仮想デスクトップコントローラー1による割当にしたがって、通信を開始することができる。すなわち、仮想デスクトップ3は、仮想デスクトップコントローラー1による割当にしたがい、仮想チャネル9を使用しクライアント4と接続される。仮想デスクトップ3は、仮想チャネル9を使用してクライアント4に接続するためのシンクライアントプログラム31、認証サーバー5に接続するための認証制御部32Ex、認証方法や認証場所を設定する認証設定部33、SSOを実行するためのSSO実行部34、および認証サーバー5へのアクセス権の正当性を示す秘密鍵を管理する秘密鍵管理部35を有する。仮想デスクトップ3の各処理部は、シングルサインオンシステムの構成要素として動作する。
クライアント4は、ユーザーが使用する情報処理端末として例示できる。クライアント4には、仮想チャネル9を使用して仮想デスクトップ3と接続するためのシンクライアントプログラム41、シングルサインオンシステムのためのユーザー認証を制御する認証制御部42Ex、クライアントでのSSOを実行するSSO実行部43、および認証デバイス45を操作するためのデバイスドライバー44がインストールされている。
なお、クライアント4は、例えば、CPU、主記憶装置、ハードディスク等の外部記憶装置、通信インターフェース等を有する。そして、CPUは、主記憶装置に実行可能に展開されたプログラムにより、認証制御部42Ex、SSO実行部43等の処理を実行する。ただし、認証制御部42Ex、SSO実行部43等の処理が専用のハードウェア回路で実行されてもよい。また、ユーザーが認証のための入力を行う認証デバイス45がクライアント4に接続される。認証デバイス45は、認証入力装置の一例である。
認証サーバー5は、シングルサインオンシステムの一部であり、認証情報を一括管理する。認証サーバー5は、要求元からの認証要求により認証を行い、認証が成功した場合、要求された情報を認証要求元に返す働きをする。認証サーバー5は、認証要求の送受信と認証そのものを行う認証制御部51Ex、シングルサインオンを行うときに使用するアプリケーションへの認証情報を管理するアプリ認証情報管理部52、および管理端末8から与えられたシードから秘密鍵を生成し、管理する秘密鍵管理部53を有する。認証サーバー5は、秘密鍵の生成に不可逆アルゴリズムを用いることで、鍵が漏洩するリスクに備える。認証制御部51Exは、認証時に秘密鍵の入力を要求することで、管理端末8との間に得られた信頼の関係を、秘密鍵を保持する装置にまで拡張する。
なお、認証サーバー5は、例えば、CPU、主記憶装置、ハードディスク等の外部記憶装置、通信インターフェース等を有する。そして、CPUは、主記憶装置に実行可能に展開されたプログラムにより、認証制御部51Ex、アプリ認証情報管理部52、秘密鍵管理部53等の処理を実行する。ただし、認証制御部51Ex、アプリ認証情報管理部52、秘密鍵管理部53等の処理が専用のハードウェア回路で実行されてもよい。
物理ネットワーク6は、有線・無線を問わず、実在するネットワークである。一方、仮想ネットワーク7は、仮想デスクトップサーバー2上のハイパーバイザー等によって作られる。仮想ネットワーク7は、ハイパーバイザー等によりネットワークとしての動作をエミュレートされ、仮想デスクトップ3に提供される。
管理端末8は、本情報処理システムの管理者が業務に使用する専用の端末である。管理端末8は、管理者用アカウントや管理者専用の部屋で区画して管理される。すなわち、管理端末8には、一般の端末とは異なる操作条件が付与されている。管理端末8は、認証サーバー5をネットワークに登録する認証サーバー管理部81を有する。なお、管理端末8は、例えば、CPU、主記憶装置、ハードディスク等の外部記憶装置、通信インターフェース等を有する。そして、CPUは、主記憶装置に実行可能に展開されたプログラムによ
り、認証サーバー管理部81等の処理を実行する。ただし、認証サーバー管理部81等の処理が専用のハードウェア回路で実行されてもよい。
り、認証サーバー管理部81等の処理を実行する。ただし、認証サーバー管理部81等の処理が専用のハードウェア回路で実行されてもよい。
仮想チャネル9は、仮想デスクトップ3とクライアント4との間に形成された仮想的な通信路である。上述のように、仮想チャネル9形成のため、仮想デスクトップ3にシンクライアントプログラム31がインストールされ、クライアント4にシンクライアントプログラム41がインストールされる。シンクライアントプログラム31、41間の通信により、仮想デスクトップ3とクライアント4との間に仮想チャネル9が形成される。
<システムの動作>
図4から図8を参照して、本情報処理システムによって提供されるシングルサインオンシステムの動作を説明する。以下、説明は2つのプロセスに分けて行う。第1のプロセスは、システムの管理者が、物理ネットワーク6に認証サーバー5を導入し、仮想デスクトップ3にシングルサインオンに必要な設定を行う導入時のプロセスである。また、第2のプロセスは、クライアント4が仮想デスクトップ3に接続し、シングルサインオンを利用し、認証デバイス45による認証を行う運用時のプロセスである。まず、導入時のプロセスについて説明する。
<システムの動作>
図4から図8を参照して、本情報処理システムによって提供されるシングルサインオンシステムの動作を説明する。以下、説明は2つのプロセスに分けて行う。第1のプロセスは、システムの管理者が、物理ネットワーク6に認証サーバー5を導入し、仮想デスクトップ3にシングルサインオンに必要な設定を行う導入時のプロセスである。また、第2のプロセスは、クライアント4が仮想デスクトップ3に接続し、シングルサインオンを利用し、認証デバイス45による認証を行う運用時のプロセスである。まず、導入時のプロセスについて説明する。
図4は認証サーバー5が物理ネットワーク6に接続される際の動作を表すフローチャートの一例である。前提作業として、管理者は認証サーバー5を物理ネットワーク6に接続するために、管理端末8と認証サーバー5を物理ネットワーク6に接続する。以下、管理者の設定作業にしたがって実行される情報処理システムの処理を説明する。
まず、管理者は管理端末8の認証サーバー管理部81を起動する。認証サーバー管理部81は、認証サーバー5に管理者として接続するための管理者IDとパスワードを取得するため、管理者に管理用IDとパスワードの入力を要求する(ステップS101)。上記要求にしたがって、管理者は認証サーバー管理部81に管理用IDとパスワードを入力する(ステップS102)。
管理用IDおよびパスワードの組み合わせが正しいものと確認されると、認証サーバー管理部81は、認証サーバー5を探索するメッセージを物理ネットワーク6に対してブロードキャストで送信する(ステップS103)。そして、認証サーバー管理部81は、ブロードキャストの応答をあらかじめ決められた時間の間待ち受ける(ステップS104)。
一方、認証サーバー5は、物理ネットワーク6経由で認証サーバー5を探索するメッセージを受信した場合、受信したメッセージが管理端末8からのものであるかを確認する。受信したメッセージが管理端末8からのものであるとは、例えば、認証サーバー5との接続開始を要求するための非公開の専用メッセージが予め定められており、認証サーバー5は前述した形式のメッセージを受信した場合、メッセージの発信先を管理端末8と識別することをいう。受信したメッセージが管理端末8からのものでない場合、認証サーバー5は管理者端末8に提供するサービスがない。このため、認証サーバー5はメッセージに対する応答をせずに次のメッセージを待つ(ステップS105でNO)。一方、管理端末8からのメッセージであることが確認された場合(ステップS105でYES)、認証サーバー5はブロードキャストの送信元に対し、自身が存在することを応答する(ステップS106)。
すると、ブロードキャストの応答がない場合(ステップS107でNO)、認証サーバー管理部81は、それ以降の処理を行わない。一方、認証サーバー管理部81がブロードキャストの応答を受け取ることができた場合(ステップS107でYES)、認証サーバー5との管理者権限でのセッションを確立する。すなわち、認証サーバー管理部81は、
ステップS102で管理者から入力された管理者IDとパスワードを認証サーバー5に送信し、認証を依頼する(ステップS108)。
ステップS102で管理者から入力された管理者IDとパスワードを認証サーバー5に送信し、認証を依頼する(ステップS108)。
認証サーバー5は、管理端末8からの認証要求を受け取った場合、管理用IDとパスワードを照合する(ステップS109)。そして、認証サーバー5は、認証結果を管理端末8に返す(ステップS110)。
管理端末8の認証サーバー管理部81は、認証に失敗した場合はその後の処理を続行することができない。そのため、認証サーバー管理部81は、一旦処理を終了する(ステップS111でNO)。その後の処理としては、管理端末8、例えば、管理者に再度管理用IDとパスワードの入力を求めるようにすればよい。
一方、認証に成功した場合(ステップS111でYES)、認証サーバー管理部81は、認証サーバー5に対して管理端末8が未登録状態であるか確認するメッセージを送信する(ステップS112)。ここで、登録とは、管理端末8が認証サーバー5において接続済みとして登録され、かつ、管理端末8において、認証サーバー5を管理対象のサーバーとして登録することをいう。
認証サーバー5は、現在の接続状態を応答する(ステップS113)。認証サーバー管理部81は、受信した応答結果により管理端末8が接続済みであるか否かを判定する(S114)。管理端末8が接続済みである場合、認証サーバー管理部81は処理を終了し、管理者からの次の命令を待つ。一方、認証サーバー5において、管理端末8が未接続状態である場合、認証サーバー管理部81は秘密鍵のシードを認証サーバー5に送信する(ステップS115)。秘密鍵のシードは、管理者識別情報とともに引き渡された情報の一例である。
すると、認証サーバー5は、受信したシードを秘密鍵管理部53に送り、シードから秘密鍵を生成する(ステップS116)。そして、秘密鍵管理部53は生成した秘密鍵を認証サーバー5内に保存し、登録成功の旨を管理端末8に返す(ステップS117)。認証サーバー5の秘密鍵管理部53は、鍵生成部の一例として、S116の処理を実行する。
認証サーバー管理部81は、登録に成功した認証サーバー5を管理対象のサーバーとして登録する(ステップS118)。また、認証サーバー管理部81は、登録した認証サーバー5との管理者権限セッションを終了する(ステップS119)。認証サーバー5も同様に管理端末8との管理者権限セッションを終了する(ステップS120)。
次に、管理者が仮想デスクトップ3のマスタを作成する際に、秘密鍵を関連付ける方法について説明する。クライアント4に仮想デスクトップ3が割り当てられるとき、仮想デスクトップサーバー2は、マスタとなる仮想デスクトップ3を複製して、ハイパーバイザー上で実行し、クライアント4に割り当てる。そこで、管理者が仮想デスクトップサーバー2に作成する仮想デスクトップ3の初期設定がなされた状態をマスタと呼ぶ。図5は、秘密鍵関連づけ処理のフローチャートの一例である。
まず、管理者は仮想デスクトップ3にシングルサインオンシステムのクライアントソフトウェア(シンクライアントプログラム31、認証制御部32Ex、認証設定部33、SSO実行部34、秘密鍵管理部35)をインストールする。つまり、管理者は、仮想デスクトップサーバー2上で仮想的に実行されるOSである仮想デスクトップ3上で上記プログラムを稼働できるように設定する。そして、管理者は、仮想デスクトップ3上で、認証設定部33を起動し、認証を得るためのアクセス先である認証先を認証サーバー5に設定する。
この設定により、認証設定部33は、認証サーバー5のIPアドレスと、認証サーバー5で認証を受けるための管理用IDおよびパスワードの組とを管理者から取得する(ステップS201)。そして、認証設定部33は、入力されたIPアドレスによるアクセス先に認証サーバー5が存在すると判断し、管理用IDとパスワードを送り、自身の登録要求を行う(ステップS202)。
すると、認証サーバー5は、登録要求を受け付ける(ステップS203)。そして、認証サーバー5は、管理用IDとパスワードにより認証を行う(ステップS204)。認証サーバー5は、認証結果を判定する(ステップS205)。つまり、認証が成功であり、正当な管理者であると判断できる場合、仮想デスクトップ3の登録を行う。正当な管理者であると判断できない場合、認証サーバー5は、登録を許可できない旨を仮想デスクトップ3に返信する。
より具体的には、認証が失敗である場合、認証サーバー5は、登録要求元に対して、認証失敗であると返答する(ステップS206)。一方、認証が成功である場合、認証サーバー5の認証制御部51Exは、秘密鍵管理部53より秘密鍵を取得し、登録要求元に秘密鍵と登録成功である旨を伝達する(ステップS207)。認証サーバー5の認証制御部51Exは、鍵配布部の一例として、S117の処理を実行する。仮想デスクトップ3は、登録成功の場合、秘密鍵管理部35にて秘密鍵を保存する(ステップS208)。
次に、運用プロセスにおける動作について説明する。まず、ユーザーが仮想デスクトップ3に接続するまでの動作を説明する。図6は、ユーザーの操作にしたがってクライアント4が認証サーバー5から仮想デスクトップ3の認証情報を得る処理のフローチャートの一例である。
まず、クライアント4は、仮想デスクトップ3を利用するために、仮想デスクトップコントローラー1に接続する(ステップS301)。クライアント4が仮想デスクトップコントローラー1に接続すると、仮想デスクトップコントローラー1は、認証情報を取得するための認証画面をクライアント4の表示装置に表示する。すると、クライアント4のSSO実行部43は、表示装置に表示された認証画面を検出する(ステップS302)。
SSO実行部43は認証画面を検出すると、認証を行うために認証制御部42Exに処理を委譲する。認証制御部42Exは、仮想デスクトップコントローラー1による認証画面に代えて、シングルサインオンシステムの認証画面を表示装置表示し、ユーザーの入力を受け取る(ステップS303)。例えば、認証制御部42Exは、図3の認証デバイス45からユーザーの入力、あるいは、生体認証情報等を受け取る。そして、認証制御部42Exは、ユーザーの入力を認証情報に変換する(ステップS304)。そして、認証制御部42Exは、ステップS304の変換で生成したユーザーの認証情報を、認証のために認証サーバー5に送る(ステップS305)。
認証サーバー5は、受信した認証情報により認証を行う(ステップS306)。ステップS306で行われる認証が第1の利用者認証の一例である。そして、認証サーバー5は、認証結果を判定する(ステップS307)。認証が失敗の場合、認証サーバー5は、その旨をクライアント4に返す。認証失敗の返答を受信したクライアント4は、認証失敗をユーザーに通知し、ユーザーに新しい入力を要求するステップに進む(S308)。
一方、認証サーバー5での認証が成功した場合、認証サーバー5は、認証されたユーザーと認証成功の時間を記録する(ステップS309)。ステップS309で記録されるユーザーと認証成功の時間とが、それぞれ、利用者情報と認証成功時刻の一例である。そし
て、認証サーバー5は、仮想デスクトップコントローラー1へのログオンのための認証情報をクライアント4に返す(ステップS310)。
て、認証サーバー5は、仮想デスクトップコントローラー1へのログオンのための認証情報をクライアント4に返す(ステップS310)。
すると、クライアント4の認証制御部42Exは仮想デスクトップコントローラー1へのログオンのための認証情報を、認証結果と共にSSO実行部43に引き渡す。SSO実行部43は、仮想デスクトップコントローラー1へのログオンのための認証情報を用いて、仮想デスクトップコントローラー1に認証を要求する(ステップS311)。以上のように、ユーザーが仮想デスクトップコントローラー1の認証画面に認証情報を入力してログオンする代わりに、SSO実行部43が認証画面に認証情報を入力してログオンすることを仮想デスクトップコントローラー1への認証を代行するという。
ステップS311の認証が成功した場合、仮想デスクトップコントローラー1は利用可能状態にある仮想デスクトップ3をクライアント4に割り当てる。その結果、クライアント4の表示装置には仮想デスクトップ3が表示している内容、つまり、仮想デスクトップ3上のプログラムからの出力内容が表示されるようになる。以降では、仮想デスクトップ3が起動されてから、ユーザーがシングルサインオンシステムにより、アプリケーションにログオンするまでの動作を、図7を用いて説明する。
仮想デスクトップ3がクライアント4に割り当てられ、起動された場合、仮想デスクトップ3にインストールされているSSO実行部34が起動される(ステップS401)。SSO実行部34は、SSOに必要なアプリへの認証情報(IDとパスワードの組など)を認証サーバー5から取得するために、認証制御部32Exに対して、ログオン中のユーザーに関するアプリケーション認証情報を取得するように依頼する(ステップS402)。ステップS402で取得を依頼されるアプリケーション認証情報は、ユーザーが利用な複数のアプリケーションにそれぞれ対応する複数のものでもよい。ステップS402でのアプリケーション認証情報を取得するようにとの依頼が第2の利用者認証要求に一例である。
すると、認証制御部32Exは、ログオン中のユーザーIDをOSから取得する(ステップS403)。さらに、認証制御部32Exは、秘密鍵を秘密鍵管理部35から取得する(ステップS404)。そして、認証制御部32Exは、認証サーバー5に対してユーザーIDと秘密鍵を送信し、アプリ認証情報の読み出しを要求する(ステップS405)。
認証サーバー5の認証制御部51Exは、要求を受け取ると、要求元がシステム管理者によって導入された正当な仮想OSであるか確認する。すなわち、認証制御部51Exは、受信した秘密鍵と秘密鍵管理部53に保存している秘密鍵が一致するかを確認する。すなわち、認証制御部51Exは、2つの秘密鍵を比較する(ステップS406)。
認証制御部51Exは、秘密鍵の一致または不一致を判定する(ステップS407)。秘密鍵が一致しなかった場合、認証制御部51Exは、認証失敗として返信する(ステップS408)。秘密鍵が一致した場合、認証制御部51Exは、受信したユーザーIDの認証履歴を参照し、前回の仮想デスクトップへのログオン認証成功時間が閾値以内であるか確認する(ステップS409)。前回の仮想デスクトップへのログオン認証成功時間が閾値以内であることが、第1の利用者認証での認証成功時刻からの経過時間が所定の範囲内である場合の一例である。
最終認証時間が閾値外である場合(ステップS410でNO)、認証制御部51Exは、仮想デスクトップ3には認証失敗として返信する。一方、最終認証時間が閾値内である場合(ステップS410でYES)、認証制御部51Exは、仮想デスクトップ3には要
求元が正当な場合の処理を実行する。すなわち、認証制御部51Exは、要求元が正当であると判断した場合、アプリ認証情報管理部52からアプリ認証情報を読み出し、仮想デスクトップ3に返信する(ステップS411)。ステップS411で返信されるアプリ認証情報が、第2の利用者認証要求に対して提供される認証情報の一例である。
求元が正当な場合の処理を実行する。すなわち、認証制御部51Exは、要求元が正当であると判断した場合、アプリ認証情報管理部52からアプリ認証情報を読み出し、仮想デスクトップ3に返信する(ステップS411)。ステップS411で返信されるアプリ認証情報が、第2の利用者認証要求に対して提供される認証情報の一例である。
仮想デスクトップ3の認証制御部32Exは、認証サーバーからの返信をSSO実行部33に転送する。なお、返信にアプリ認証情報が含まれる場合には、認証制御部32Exは、アプリ認証情報を併せてSSO実行部33に転送する(ステップS412)。
以上のステップにより、仮想デスクトップ3のSSO実行部33は、SSOに必要なアプリ認証情報を得る。アプリ対象の検知や代行入力は従来のSSOと同じであるため、本文中では言及しない。
次に、仮想デスクトップを使用中にデバイス認証が要求された場合の動作を説明する。図8は、仮想デスクトップ使用中にデバイス認証を行うときのシーケンス図である。一旦シングルサインオンがなされた場合でも、例えば、保護対象のアプリケーションの実行要求がなされたとき、仮想デスクトップ3あるいは仮想デスクトップ3で実行されるアプリケーションは、再度のデバイス認証を要求してもよい。本情報処理システムにおいて、デバイス認証が再度要求されると、図8のシーケンスにしたがって、デバイス認証が実行される。
通常状態では、クライアント4の認証制御部42は、仮想デスクトップサーバー2への認証が完了した場合、認証サーバー5に対して同期の認証要求確認を行う。同期の認証要求確認とは、認証要求確認先から認証要求を受けるまで待ち状態となる処理をいう。本実施例の認証要求確認では、タイムアウト時間が十分に長く設定されている。したがって、クライアント4の認証制御部42は、同期の認証要求確認後、認証サーバー5からの確認要求待ちとなり、同期の認証要求確認は、認証サーバー5で認証待ち受けセッションとしての役割を果たす(ステップS501)。この場合、同期の認証要求確認を受けた認証サーバー5は、認証要求が発生するまで、クライアント4とのセッションを保留する。
所定のアプリケーションの起動、所定のリソースへのアクセス等によって、仮想デスクトップ3でデバイス認証の要求が発生した場合、認証制御部32は認証サーバー5に対してデバイス認証の要求を行う。要求を受けた認証サーバー5は、ステップS501で返信を保留していたクライアント4とのセッションに対し、「認証要求:有」と返信する(ステップS502)。
認証サーバー5から認証要求を受けたクライアント4の認証制御部42は、認証要求待ちの状態を脱する。そして、認証制御部42は、デバイスドライバー43を介して認証デバイス44を操作し、ユーザーからの入力を取得する。その後ユーザーの入力を認証情報に変換し、認証情報を認証サーバー5に送信する(ステップS503)。一旦認証を完了した認証制御部42は、次の認証要求を検知するために、さらに、同期の認証要求確認を行う(ステップS504)。したがって、クライアント4の認証制御部42は、再度認証要求待ちとなる。
認証サーバー5は受信した認証情報により認証を行う。認証に成功した場合、認証成功通知とともにステップS502にて要求されていたサインオンのための情報を仮想デスクトップ3の認証制御部32に応答する。認証失敗の場合、認証失敗通知を認証制御部32に返す(ステップS505)。
認証サーバー5は、一定時間毎に認証要求確認セッションを確認し、長期間使用してい
ないセッションに対して「認証要求:無」と返信する。「認証要求:無」を受け取ったクライアント4の認証制御部42は、デバイス認証を行わずに通信セッションを終了する(ステップS506)。S506の処理によって、認証要求確認が不要となっているセッションがクリアされ、不要セッションを消去できることになる。
ないセッションに対して「認証要求:無」と返信する。「認証要求:無」を受け取ったクライアント4の認証制御部42は、デバイス認証を行わずに通信セッションを終了する(ステップS506)。S506の処理によって、認証要求確認が不要となっているセッションがクリアされ、不要セッションを消去できることになる。
ただし、仮想デスクトップ3によるシングルサインオンが継続し、認証要求確認が継続している場合、認証制御部42は、通信セッション終了後、次の認証要求を検知するために、即時新しい認証要求確認を行う(ステップS507)。したがって、S507の処理によって、S506で解放されたセッションで認証確認要求待ちのクライアント4は、再度認証確認要求待ちとなる。
<作用および効果>
本情報処理システムでは、クライアント4が仮想デスクトップ3へのログオン時に、クライアント4に接続された認証デバイス45からの入力を基に、認証サーバー5から認証情報を取得して、代行認証を実行する。また、認証サーバー5は、クライアント4に代行認証のための認証情報を引き渡したとき、クライアント4のユーザーIDと、代行認証の成功時刻を記録する。そして、認証サーバー5は、シングルサインオンによって、次回以降の認証を要求される場合に、シングルサインオンを求めるユーザーIDについて代行認証のための認証情報を引き渡した時刻を取得する。そして、シングルサインオンを求めるユーザーIDについて代行認証のための認証情報を引き渡した時刻からの経過時間が所定の範囲内である場合に、シングルサインオンを継続して認める。したがって、認証サーバー5は、仮想デスクトップ3に対して、上記所定の範囲の経過時間に限定して、代行認証のための認証情報を引き渡したときの認証結果をシングルサインオンに継続して流用する。したがって、上記所定の範囲の経過時間が長期間とならない範囲で、シングルサインオンを継続して認めることができる。
<作用および効果>
本情報処理システムでは、クライアント4が仮想デスクトップ3へのログオン時に、クライアント4に接続された認証デバイス45からの入力を基に、認証サーバー5から認証情報を取得して、代行認証を実行する。また、認証サーバー5は、クライアント4に代行認証のための認証情報を引き渡したとき、クライアント4のユーザーIDと、代行認証の成功時刻を記録する。そして、認証サーバー5は、シングルサインオンによって、次回以降の認証を要求される場合に、シングルサインオンを求めるユーザーIDについて代行認証のための認証情報を引き渡した時刻を取得する。そして、シングルサインオンを求めるユーザーIDについて代行認証のための認証情報を引き渡した時刻からの経過時間が所定の範囲内である場合に、シングルサインオンを継続して認める。したがって、認証サーバー5は、仮想デスクトップ3に対して、上記所定の範囲の経過時間に限定して、代行認証のための認証情報を引き渡したときの認証結果をシングルサインオンに継続して流用する。したがって、上記所定の範囲の経過時間が長期間とならない範囲で、シングルサインオンを継続して認めることができる。
また、上記代行認証のための認証情報の引き渡しを受けるため、クライアント4は、クライアント4に接続された認証デバイス45から入力された情報により認証サーバー5の認証を受けることで、代行認証に使用する認証情報を認証サーバー5から取得する。これらの処理によって、仮想デスクトップ3は、仮想チャネル9等の特殊な経路を用いずに、上記所定の範囲の経過時間に限定して、等価的に認証デバイス45からの入力に基づく認証結果を利用して、シングルサインオンを実現できる。
また、上記クライアント4による代行認証時に、仮想デスクトップ3は、事前に管理端末8の処理によって配布されている秘密鍵を用いて認証を受ける。この秘密鍵を用いて認証により、仮想デスクトップ3と認証サーバー5との間で信頼情報を確認できる。
また、本情報処理システムでは、上記クライアント4による代行認証がなされた場合、クライアント4の認証制御部42は、認証サーバー5に対して、同期の認証要求確認を行う。このため、通常状態では、クライアント4の認証制御部42は、認証サーバー5からの確認要求待ちとなっている。そして、例えば、仮想デスクトップ3において、認証デバイス45等によるデバイス認証の要求が発生した場合に、認証サーバー5は、クライアント4の認証制御部42に認証要求を送付することできる。その結果、認証サーバー5は、再度デバイス認証を実行でき、仮想デスクトップ3は、シングルサインオンでの信頼性をさらに高めることができる。
さらにまた、認証サーバー5は、上記同期の認証要求確認による認証サーバー5からの確認要求待ちとなっているクライアント5とのセッションのうち、所定時間以上経過した長期待ち受けセッションについて、「認証要求:無」と返信する。この「認証要求:無」の返信によって、確認要求待ちとなっているクライアント5とのセッションのうち不要な通信セッションを終了できる。
以上のように、本情報処理システムは、仮想チャネルの存在を前提とすることなく、仮想チャネルが変更された場合にも実施可能な、デバイス認証を採用したシングルサインオンシステムによるサービスを提供することができる。
<情報処理装置等について>
上記実施例で説明した仮想デスクトップコントローラー1、 仮想デスクトップサーバ
ー2、クライアント4は、認証サーバー5、管理端末8は、例えば、通常の情報処理装置である。図9に、情報処理装置10のハードウェア構成を例示する。情報処理装置10は、Central Processing Unit(CPU)11、主記憶装置12、インターフェース18を
通じて接続される外部機器を有し、プログラムにより情報処理を実行する。外部機器としては、外部記憶装置13および通信インターフェース14を例示できる。CPU11は、主記憶装置12に実行可能に展開されたコンピュータプログラムを実行し、情報処理装置10の機能を提供する。主記憶装置12は、CPU11が実行するコンピュータプログラム、CPU11が処理するデータ等を記憶する。主記憶装置12は、Dynamic Random Access Memory(DRAM)、Static Random Access Memory(SRAM)、Read Only Memory(ROM)等である。さらに、外部記憶装置13は、例えば、主記憶装置12を補助す
る記憶領域として使用され、CPU11が実行するコンピュータプログラム、CPU11が処理するデータ等を記憶する。外部記憶装置13は、ハードディスクドライブ、Solid State Disk(SSD)等である。
<情報処理装置等について>
上記実施例で説明した仮想デスクトップコントローラー1、 仮想デスクトップサーバ
ー2、クライアント4は、認証サーバー5、管理端末8は、例えば、通常の情報処理装置である。図9に、情報処理装置10のハードウェア構成を例示する。情報処理装置10は、Central Processing Unit(CPU)11、主記憶装置12、インターフェース18を
通じて接続される外部機器を有し、プログラムにより情報処理を実行する。外部機器としては、外部記憶装置13および通信インターフェース14を例示できる。CPU11は、主記憶装置12に実行可能に展開されたコンピュータプログラムを実行し、情報処理装置10の機能を提供する。主記憶装置12は、CPU11が実行するコンピュータプログラム、CPU11が処理するデータ等を記憶する。主記憶装置12は、Dynamic Random Access Memory(DRAM)、Static Random Access Memory(SRAM)、Read Only Memory(ROM)等である。さらに、外部記憶装置13は、例えば、主記憶装置12を補助す
る記憶領域として使用され、CPU11が実行するコンピュータプログラム、CPU11が処理するデータ等を記憶する。外部記憶装置13は、ハードディスクドライブ、Solid State Disk(SSD)等である。
また、情報処理装置10は、入力装置15、表示装置16等によるユーザインターフェースを有するようにしてもよい。入力装置15は、例えば、キーボード、ポインティングデバイス等である。また、表示装置16は、例えば、液晶ディスプレイ、エレクトロルミネッセンスパネル等である。さらに、情報処理装置10は、着脱可能記憶媒体駆動装置17を設けてもよい。着脱可能記憶媒体は、例えば、ブルーレイディスク、Digital Versatile Disk(DVD)、Compact Disc(CD)、フラッシュメモリカード等である。なお、図9の例では、単一のインターフェース18が例示されているが、インターフェース18として複数種類のものが複数設けられてもよい。
<コンピュータが読み取り可能な記録媒体>
コンピュータその他の機械、装置(以下、コンピュータ等)に上記いずれかの機能を実現させるプログラムをコンピュータ等が読み取り可能な記録媒体に記録することができる。そして、コンピュータ等に、この記録媒体のプログラムを読み込ませて実行させることにより、その機能を提供させることができる。
<コンピュータが読み取り可能な記録媒体>
コンピュータその他の機械、装置(以下、コンピュータ等)に上記いずれかの機能を実現させるプログラムをコンピュータ等が読み取り可能な記録媒体に記録することができる。そして、コンピュータ等に、この記録媒体のプログラムを読み込ませて実行させることにより、その機能を提供させることができる。
ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。このような記録媒体のうちコンピュータ等から取り外し可能なものとしては、例えばフレキシブルディスク、光磁気ディスク、CD−ROM、CD−R/W、DVD、ブルーレイディスク、DAT、8mmテープ、フラッシュメモリなどのメモリカード等がある。また、コンピュータ等に固定された記録媒体としてハードディスクやROM(リードオンリーメモリ)等がある。
1 仮想デスクトップコントローラー
2 仮想デスクトップサーバー
3 仮想デスクトップ
4 クライアント
5 認証サーバー
6 物理ネットワーク
7 仮想ネットワーク
8 管理端末
9 仮想チャネル
10 情報処理装置
2 仮想デスクトップサーバー
3 仮想デスクトップ
4 クライアント
5 認証サーバー
6 物理ネットワーク
7 仮想ネットワーク
8 管理端末
9 仮想チャネル
10 情報処理装置
Claims (5)
- 管理装置から管理者識別情報とともに引き渡された情報を基に秘密鍵を生成する鍵生成部と、
利用者装置に仮想環境サービスを提供する提供装置からの前記管理者識別情報による認証要求に対する認証が成功したときに前記提供装置に前記秘密鍵を引き渡す鍵配布部と、
前記提供装置へ接続するための認証情報を求める利用者装置からの要求に応じて第1の利用者認証を実施し、前記第1の利用者認証が成功した利用者装置に認証情報を提供する利用者認証部と、
前記第1の利用者認証が成功した利用者情報と認証成功時刻を保存する保存部と、を備え、
前記利用者認証部は、前記提供装置から利用者装置に提供された仮想環境サービスを介して第2の利用者認証要求を受けたときに、前記仮想環境サービスを介して引き渡される前記秘密鍵を基に、前記仮想環境サービスが正当であることを確認するとともに、前記仮想環境サービスを介して引き渡される利用者情報を基に、前記保存された第1の利用者認証での認証成功時刻からの経過時間が所定の範囲内である場合に、前記第2の利用者認証要求に対して認証情報を提供する情報処理装置。 - 利用者装置と、前記利用者装置に仮想環境サービスを提供する提供装置と、認証処理を実行する情報処理装置とを備える情報処理システムであって、
前記情報処理装置は、
管理装置から管理者識別情報とともに引き渡された情報を基に秘密鍵を生成する鍵生成部と、
前記利用者装置に仮想環境サービスを提供する提供装置からの前記管理者識別情報による認証要求に対する認証が成功したときに前記提供装置に前記秘密鍵を引き渡す鍵配布部と、
前記提供装置へ接続するための認証情報を求める利用者装置からの要求に応じて第1の利用者認証を実施し、前記第1の利用者認証が成功した利用者装置に認証情報を提供する利用者認証部と、
前記第1の利用者認証が成功した利用者情報と認証成功時刻を保存する保存部と、を備え、
前記利用者認証部は、前記提供装置から利用者装置に提供された仮想環境サービスを介して第2の利用者認証要求を受けたときに、前記仮想環境サービスを介して引き渡される前記秘密鍵を基に、前記仮想環境サービスが正当であることを確認するとともに、前記仮想環境サービスを介して引き渡される利用者情報を基に、前記保存された第1の利用者認証での認証成功時刻からの経過時間が所定の範囲内である場合に、前記第2の利用者認証要求に対して認証情報を提供する情報処理システム。 - 前記利用者装置は、第1の利用者認証の要求時に、前記利用者装置に接続された認証入力装置からの入力を基に生成された利用者認証情報を前記情報処理装置に提供し、
前記利用者認証部は、前記生成された利用者認証情報を基に前記第1の利用者認証を実施する請求項2に記載の情報処理システム。 - 前記利用者装置は、前記第1の利用者認証によって提供された認証情報によって前記提供装置から前記仮想環境サービスの提供が受けられたときに、応答が得られるまで処理を停止する同期の認証要求確認を前記情報処理装置に送信する請求項2または3に記載の情報処理システム。
- 前記情報処理装置は、前記利用者装置から前記同期の認証要求確認を受けた後、前記利用者装置に所定時間以上確認要求を応答していない場合に、前記同期の認証要求確認に対して応答しないことを通知することで前記同期の認証要求確認による同期関係を解放する請求項4に記載の情報処理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013222763A JP6201633B2 (ja) | 2013-10-25 | 2013-10-25 | 情報処理装置、情報処理システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013222763A JP6201633B2 (ja) | 2013-10-25 | 2013-10-25 | 情報処理装置、情報処理システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015084190A JP2015084190A (ja) | 2015-04-30 |
| JP6201633B2 true JP6201633B2 (ja) | 2017-09-27 |
Family
ID=53047755
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013222763A Active JP6201633B2 (ja) | 2013-10-25 | 2013-10-25 | 情報処理装置、情報処理システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6201633B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111600928B (zh) * | 2020-04-07 | 2022-11-22 | 深圳震有科技股份有限公司 | 一种模拟服务控制方法、智能终端及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010092371A (ja) * | 2008-10-09 | 2010-04-22 | Nec Corp | 利用権管理システム、利用者端末、利用権管理装置、サービス提供装置、利用権管理方法およびプログラム |
-
2013
- 2013-10-25 JP JP2013222763A patent/JP6201633B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015084190A (ja) | 2015-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3445015B1 (en) | Methods and devices for accessing protected applications | |
| EP3692459B1 (en) | System integrity using attestation for virtual trusted platform module | |
| US10567360B2 (en) | SSH key validation in a hyper-converged computing environment | |
| EP2919435B1 (en) | Communication terminal and secure log-in method and program | |
| US9130927B2 (en) | Single certificate service system and operational method thereof | |
| TWI526931B (zh) | 用於虛擬機器之繼承產品啟動 | |
| JP6280641B2 (ja) | アカウントログイン方法、デバイス及びシステム | |
| US9948616B2 (en) | Apparatus and method for providing security service based on virtualization | |
| US20070130481A1 (en) | Power control method and system | |
| EP4172818B1 (en) | Shared resource identification | |
| CN111669351B (zh) | 鉴权方法、业务服务器、客户端及计算机可读存储介质 | |
| WO2020220694A1 (zh) | 路由器、网络连接方法及移动终端 | |
| JP2014093772A (ja) | Ipアドレスを割り当て、取得するための方法および装置 | |
| JP6201633B2 (ja) | 情報処理装置、情報処理システム | |
| CN109583182B (zh) | 启动远程桌面的方法、装置、电子设备及计算机存储介质 | |
| CN111158857A (zh) | 数据加密方法、装置、设备及存储介质 | |
| US20230063417A1 (en) | System and method for forwarding authentication requests to a nearby authenticator | |
| US11606357B2 (en) | Pervasive resource identification | |
| CN109739615B (zh) | 一种虚拟硬盘的映射方法、设备和云计算平台 | |
| CN115941217A (zh) | 用于安全通信的方法和其相关产品 | |
| CN108171062B (zh) | 一种针对设备的定位方法、装置及存储介质 | |
| US20170048326A1 (en) | Systems and methods for maintaining ownership of and avoiding orphaning of communication sessions | |
| CN111954315B (zh) | 一种无线连接方法、设备、介质及装置 | |
| JP7458348B2 (ja) | 通信システム、アクセスポイント装置、通信方法及びプログラム | |
| JP2013021423A (ja) | Vpn接続システム及びその接続方法、そのプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160705 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170414 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170516 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170718 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170801 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170814 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6201633 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |