JPWO2015049825A1 - 端末認証登録システム、端末認証登録方法およびプログラム - Google Patents

端末認証登録システム、端末認証登録方法およびプログラム Download PDF

Info

Publication number
JPWO2015049825A1
JPWO2015049825A1 JP2015540367A JP2015540367A JPWO2015049825A1 JP WO2015049825 A1 JPWO2015049825 A1 JP WO2015049825A1 JP 2015540367 A JP2015540367 A JP 2015540367A JP 2015540367 A JP2015540367 A JP 2015540367A JP WO2015049825 A1 JPWO2015049825 A1 JP WO2015049825A1
Authority
JP
Japan
Prior art keywords
terminal
information
user
connection
white list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015540367A
Other languages
English (en)
Other versions
JP6018316B2 (ja
Inventor
康樹 門松
康樹 門松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Solution Innovators Ltd
Original Assignee
NEC Solution Innovators Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Solution Innovators Ltd filed Critical NEC Solution Innovators Ltd
Application granted granted Critical
Publication of JP6018316B2 publication Critical patent/JP6018316B2/ja
Publication of JPWO2015049825A1 publication Critical patent/JPWO2015049825A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

システムの複雑性や、コスト、ユーザにとっての利用難易度を上げることなく、リモートデスクトップシステムにおけるユーザおよび端末の認証登録を行う。リモートPC2のユーザ認証部22は、入力部21に入力されたユーザ情報に基づいてログインを許可するか否かを判定する。端末1の端末情報送信部12は、入力部11に入力された操作に従って記憶部13から端末情報を呼び出し、リモートPC2に送信する。端末情報受信部24が端末情報を受信すると、接続可否判定部25は、ホワイトリストを参照し、RD接続を許可するか否かを判定する。許可しない場合、申請情報生成部27は、ユーザ情報と端末情報とコンピュータ情報とに基づいて、申請情報を生成し、申請情報送信部28が端末登録装置3に送信する。申請情報受信部31が申請情報を受信すると、登録部32は、条件情報を参照し、登録を許可する場合、ホワイトリストに登録する。

Description

本発明は、リモートデスクトップ接続をする端末を認証及び登録(以下、「認証登録」と称する場合がある)する端末認証登録システム、端末認証登録方法および記憶媒体に関する。
タブレットやスマートフォンなどのスマートデバイスの普及に伴い、ユーザが個人所有する携帯端末を企業の社内通信ネットワークに接続して業務に用いるBYOD(Bring Your Own Device)のニーズが高まっている。一方、企業がBYODを取り入れていくには、個人所有のスマートデバイスからの企業システムへの接続を管理する必要がある。リモートデスクトップ技術(またはシンクライアント技術)を適用すると、端末からPC(Personal Computer、以下「PC」と称する)に接続して業務を行うことができる。リモートデスクトップ技術は、端末に業務アプリケーションやファイルを格納せずに業務できるので、BYODとの親和性が高い。
特許文献1には、認証ソフトウェアを改造することなく、シンクライアント端末および複数の仮想PCにおいて認証デバイスを利用して認証を行うシンクライアントシステムが開示されている。
特許文献2には、ホスト装置による端末装置の認証技術に関し、ユーザ認証と端末装置の認証とを同時に実現する、ユーザ及び端末装置に対する同時認証装置が開示されている。
特開2002−259001号公報 特開2008−166927号公報
リモートデスクトップ技術は、端末からPCに接続する際に、接続するユーザを認証するが、接続する端末は認証しない。しかしながら、企業がBYODを取り入れていくためには、セキュリティの問題上、接続する端末を管理する必要がある。どのような端末から接続しているかを管理するには、リモートデスクトップ技術とは別のネットワーク認証技術を組み合わせる必要がある。これにより、システムの複雑性や、コスト、ユーザにとっての利用難易度などが増大するという問題点がある。
特許文献1および特許文献2の技術は、ホストコンピュータに接続する特定の端末に対して認証を行う技術であって、未知の端末を新たに認証して登録する技術ではない。
本発明は、システムの複雑性や、コスト、ユーザにとっての利用難易度を上げることなく、リモートデスクトップシステムにおけるユーザおよび端末の認証登録を行えるようにすることを主たる目的とする。
本発明の第1の観点に係る端末認証登録システムは、ユーザの端末のリモートデスクトップ接続を認証可能な接続先コンピュータと、上記端末と上記接続先コンピュータとのリモートデスクトップ接続を登録する端末登録装置とを含む端末認証登録システムであって、上記接続先コンピュータは、上記ユーザを識別するユーザ情報を取得するユーザ情報取得手段と、上記接続先コンピュータへのログインを許可するユーザを示す認証情報を参照し、上記ユーザ情報が示すユーザのログインを許可するか否かを判定するユーザ認証手段と、上記端末を識別する端末情報を、上記端末から取得する端末情報取得手段と、リモートデスクトップ接続が許可された上記ユーザと上記端末と上記接続先コンピュータとの組み合わせのリストが登録されたホワイトリストを記憶する第1ホワイトリスト記憶手段と、上記ユーザ認証手段が、上記ユーザ情報が示すユーザのログインを許可すると判定した場合に、上記ホワイトリストを参照し、上記端末情報が示す上記端末と上記接続先コンピュータとの上記ユーザ情報が示すユーザによるリモートデスクトップ接続を許可するか否かを判定する接続可否判定手段と、上記接続可否判定手段がリモートデスクトップ接続を許可しないと判定した場合、上記ユーザ情報と上記端末情報と上記接続先コンピュータを識別するコンピュータ情報とに基づいて、上記ユーザと上記端末と上記接続先コンピュータとの組み合わせを上記ホワイトリストに対して登録する申請に利用する申請情報を生成する申請情報生成手段と、上記申請情報生成手段が生成した上記申請情報を上記端末登録装置に送信する申請情報送信手段と、を備え、上記端末登録装置は、上記ホワイトリストを記憶する第2ホワイトリスト記憶手段と、上記ホワイトリストへの上記ユーザと上記端末と上記接続先コンピュータとの組み合わせの登録の可否を判定する条件を示す条件情報を記憶する条件情報記憶手段と、上記接続先コンピュータから上記申請情報を受信する申請情報受信手段と、上記条件情報を参照し、上記申請情報受信手段が受信した上記申請情報に基づいて、上記ユーザと上記端末と上記接続先コンピュータとの組み合わせを、上記ホワイトリストに登録するか否かを判定し、登録すると判定した場合、上記ホワイトリストに上記ユーザと上記端末と上記接続先コンピュータとの組み合わせを登録することにより、上記ホワイトリストを更新する登録手段と、上記登録手段が、登録すると判定した場合、上記更新された上記ホワイトリストを上記接続先コンピュータに送信し、登録しないと判定した場合、登録が許可されなかったことを示すエラー情報を上記接続先コンピュータに送信する可否情報送信手段と、を備え、上記接続先コンピュータは、上記端末登録装置から上記エラー情報および上記更新された上記ホワイトリストを受信し、上記更新された上記ホワイトリストを上記第1ホワイトリスト記憶手段に記憶する可否情報受信手段と、上記可否情報受信手段が受信した上記エラー情報を出力するエラー情報出力手段と、を備えることを特徴とする。
本発明の第2の観点に係る端末認証登録方法は、ユーザの端末のリモートデスクトップ接続を認証可能な接続先コンピュータと、上記端末と上記接続先コンピュータとのリモートデスクトップ接続を登録する端末登録装置とを含む端末認証登録システムにおいて実行される端末認証登録方法であって、上記接続先コンピュータが、上記ユーザを識別するユーザ情報を取得するユーザ情報取得ステップと、上記接続先コンピュータへのログインを許可するユーザを示す認証情報を参照し、上記ユーザ情報が示すユーザのログインを許可するか否かを判定するユーザ認証ステップと、上記端末を識別する端末情報を上記端末から取得する端末情報取得ステップと、上記ユーザ認証ステップで、上記ユーザ情報が示すユーザのログインを許可すると判定した場合に、リモートデスクトップ接続が許可された上記ユーザと上記端末と上記接続先コンピュータとの組み合わせのリストが登録されたホワイトリストを参照し、上記端末情報が示す上記端末と上記接続先コンピュータとの上記ユーザ情報が示すユーザによるリモートデスクトップ接続を許可するか否かを判定する接続可否判定ステップと、上記接続可否判定ステップでリモートデスクトップ接続を許可しないと判定した場合、上記ユーザ情報と上記端末情報と上記接続先コンピュータを識別するコンピュータ情報とに基づいて、上記ユーザと上記端末と上記接続先コンピュータとの組み合わせを上記ホワイトリストに対して登録する申請に利用する申請情報を生成する申請情報生成ステップと、上記申請情報生成ステップで生成した上記申請情報を上記端末登録装置に送信する申請情報送信ステップと、を実行し、上記端末登録装置が、上記接続先コンピュータから上記申請情報を受信する申請情報受信ステップと、上記ホワイトリストへの上記ユーザと上記端末と上記接続先コンピュータとの組み合わせの登録の可否を判定する条件を示す条件情報を参照し、上記申請情報受信ステップで受信した上記申請情報に基づいて、上記ユーザと上記端末と上記接続先コンピュータとの組み合わせを、上記ホワイトリストに登録するか否かを判定し、登録すると判定した場合、上記ホワイトリストに上記ユーザと上記端末と上記接続先コンピュータとの組み合わせを登録することにより、上記ホワイトリストを更新する登録ステップと、上記登録ステップで、登録すると判定した場合、上記更新された上記ホワイトリストを上記接続先コンピュータに送信し、登録しないと判定した場合、登録が許可されなかったことを示すエラー情報を上記接続先コンピュータに送信する可否情報送信ステップと、を実行し、上記接続先コンピュータが、上記端末登録装置から上記エラー情報および上記更新された上記ホワイトリストを受信し、上記更新された上記ホワイトリストを記憶する可否情報受信ステップと、上記可否情報受信ステップで受信した上記エラー情報を出力するエラー情報出力ステップと、を実行することを特徴とする。
本発明の第3の観点に係る記憶媒体は、コンピュータを、ユーザを識別するユーザ情報を取得するユーザ情報取得手段、ログインを許可するユーザを示す認証情報を参照し、上記ユーザ情報が示すユーザのログインを許可するか否かを判定するユーザ認証手段、上記ユーザの端末から上記端末を識別する端末情報を取得する端末情報取得手段、リモートデスクトップ接続が許可された上記ユーザと上記端末と上記端末の接続先コンピュータとの組み合わせのリストであるホワイトリストを記憶するホワイトリスト記憶手段、上記ユーザ認証手段が、上記ユーザ情報が示すユーザのログインを許可すると判定した場合に、上記ホワイトリストを参照し、上記端末情報が示す上記端末と上記端末の接続先コンピュータとの上記ユーザ情報が示すユーザによるリモートデスクトップ接続を許可するか否かを判定する接続可否判定手段、上記接続可否判定手段がリモートデスクトップ接続を許可しないと判定した場合、上記ユーザ情報と上記端末情報とリモートデスクトップ接続を許可しなかった上記接続先コンピュータを識別するコンピュータ情報とに基づいて、上記ユーザと上記端末と上記接続先コンピュータとの組み合わせを上記ホワイトリストに対して登録する申請に利用する申請情報を生成する申請情報生成手段、上記ホワイトリストへの上記ユーザと上記端末と上記接続先コンピュータとの組み合わせの登録の可否を判定する条件を示す条件情報を記憶する条件情報記憶手段、上記条件情報を参照し、上記申請情報に基づいて、上記ユーザと上記端末と上記接続先コンピュータとの組み合わせを上記ホワイトリストに登録するか否かを判定し、登録すると判定した場合、上記ホワイトリストに上記ユーザと上記端末と上記接続先コンピュータとの組み合わせを登録し、上記ホワイトリストを更新する登録手段、上記登録手段が、登録しないと判定した場合、登録が許可されなかったことを示すエラー情報を生成するエラー情報生成手段、上記エラー情報を出力するエラー情報出力手段、として機能させることを特徴とするプログラムを記録したコンピュータ読み取り可能な記憶媒体であることを特徴とする。
本発明の第4の観点に係る端末認証装置は、 ユーザを識別可能なユーザ情報を取得し、自装置へのログインを許可するユーザを表す認証情報に基づいて、上記ユーザ情報により識別されるユーザのログインを許可するか否かを判定するユーザ認証手段と、自装置に対してリモートデスクトップ接続を実行する端末から、当該端末を識別可能な端末情報を取得する端末情報取得手段と、リモートデスクトップ接続が許可された、上記ユーザと上記端末と上記端末がリモートデスクトップ接続する接続先コンピュータとの組み合わせのリストであるホワイトリストを記憶する第1の記憶手段と、上記ユーザ認証手段が、上記ユーザ情報が示すユーザのログインを許可すると判定した場合に、上記ホワイトリストを参照し、上記端末情報が示す上記端末と自装置との間の、上記ユーザ情報が示すユーザによるリモートデスクトップ接続を許可するか否かを判定する接続可否判定手段と、上記接続可否判定手段がリモートデスクトップ接続を許可しないと判定した場合、上記ユーザ情報と上記端末情報と自装置を識別可能なコンピュータ情報とに基づいて、上記ユーザと上記端末と自装置との組み合わせを上記ホワイトリストに対して登録する申請に利用する申請情報を生成し、当該生成した上記申請情報を、上記端末と自装置とのリモートデスクトップ接続の登録を行う端末登録装置に送信する申請情報生成手段と、を備える。
本発明の第5の観点に係る端末認証方法は、情報処理装置が、ユーザを識別可能なユーザ情報を取得し、自装置へのログインを許可するユーザを表す認証情報に基づいて、上記ユーザ情報により識別されるユーザのログインを許可するか否かを判定するユーザ認証を実行し、自装置に対してリモートデスクトップ接続を実行する端末から、当該端末を識別可能な端末情報を取得し、上記ユーザ認証において、上記ユーザ情報が示すユーザのログインを許可すると判定した場合に、リモートデスクトップ接続が許可された上記ユーザと上記端末と上記端末がリモートデスクトップ接続する接続先コンピュータとの組み合わせのリストであるホワイトリストを参照し、上記端末情報が示す上記端末と自装置との間の、上記ユーザ情報が示すユーザによるリモートデスクトップ接続を許可するか否かを判定し、上記判定において、リモートデスクトップ接続を許可しないと判定した場合、上記ユーザ情報と上記端末情報と自装置を識別可能なコンピュータ情報とに基づいて、上記ユーザと上記端末と自装置との組み合わせをホワイトリストに対して登録する申請に利用する申請情報を生成し、当該生成した上記申請情報を、上記端末と自装置とのリモートデスクトップ接続の登録を行う端末登録装置に送信する。
本発明の第6の観点に係る記憶媒体は、端末認証装置として機能するコンピュータに、ユーザを識別可能なユーザ情報を取得し、自装置へのログインを許可するユーザを表す認証情報に基づいて、上記ユーザ情報により識別されるユーザのログインを許可するか否かを判定するユーザ認証処理と、自装置に対してリモートデスクトップ接続を実行する端末から、当該端末を識別可能な端末情報を取得する端末情報取得処理と、上記ユーザ認証処理において、上記ユーザ情報が示すユーザのログインを許可すると判定した場合に、リモートデスクトップ接続が許可された上記ユーザと上記端末と上記端末がリモートデスクトップ接続する接続先コンピュータとの組み合わせのリストであるホワイトリストを参照し、上記端末情報が示す上記端末と自装置との間の、上記ユーザ情報が示すユーザによるリモートデスクトップ接続を許可するか否かを判定する接続可否判定処理と、上記接続可否判定処理において、リモートデスクトップ接続を許可しないと判定した場合、上記ユーザ情報と上記端末情報と自装置を識別可能なコンピュータ情報とに基づいて、上記ユーザと上記端末と自装置との組み合わせをホワイトリストに対して登録する申請に利用する申請情報を生成し、当該生成した上記申請情報を、上記端末と自装置とのリモートデスクトップ接続の登録を行う端末登録装置に送信する申請情報生成処理と、を実行させる、コンピュータ・プログラムを記録したコンピュータ読み取り可能な記憶媒体である。
本発明によれば、システムの複雑性や、コスト、ユーザにとっての利用難易度を上げることなく、リモートデスクトップシステムにおけるユーザおよび端末の認証登録を行える。
本発明の第1の実施の形態に係る端末認証登録システムの構成例を示す図である。 第1の実施の形態に係るホワイトリストの構成の一例を示す図である。 第1の実施の形態に係る認証申請処理の動作の一例を示すフローチャートである。 第1の実施の形態に係る登録処理の動作の一例を示すフローチャートである。 本発明の第2の実施形態に係る端末認証装置の構成を例を示す図である。 本発明の各実施形態に係る端末登録装置および接続先コンピュータのハードウェア構成の一例を示すブロック図である。
次に、本発明を実施する形態について図面を参照して詳細に説明する。以下の実施の形態に記載されている構成は単なる例示であり、本願発明の技術範囲はそれらには限定されない。
<第1の実施形態>
以下、本発明を実施する第1の実施形態について図面を参照して詳細に説明する。なお図中、同一または相当部分には同じ符号を付す。
図1は、本発明の第1の実施の形態に係る端末認証登録システムの構成例を示す図である。端末認証登録システム100は、ユーザの端末1とリモートPC2と端末登録装置3とから構成される。端末1は、ユーザが接続先コンピュータとリモートデスクトップ接続(以下、「RD(Remote Desktop)接続」という)させる端末である。リモートPC2と端末登録装置3とは通信ネットワーク(以下、単に「ネットワーク」と称する)で接続される。端末1の接続先コンピュータは、リモートPC2である。
リモートPC2は、入力部21、ユーザ認証部22、記憶部23、端末情報受信部24、接続可否判定部25、RD接続部26、申請情報生成部27、申請情報送信部28および可否情報受信部29を備える。
リモートデスクトップ接続でなくPCのコンソールから直接操作する場合、ユーザは、入力部21にユーザを識別するユーザ情報を入力し、リモートPC2にログインする。
リモートPC2の入力部21は、ユーザ情報の入力を受け付け、ユーザ認証部22に送る。記憶部23は、リモートPC2へのログインを許可するユーザを示す認証情報を記憶する。係る認証情報は、リモートPC2に対するログインを許可するユーザを識別可能な情報であってもよい。
ユーザ認証部22は、ユーザ情報を受け取ると、記憶部23が記憶する認証情報を参照して、ユーザ情報が示すユーザのログインを許可するか否かを判定(決定)する。ユーザ認証部22は、ユーザのログインを許可すると、ユーザ情報を接続可否判定部25に送る。
端末1は、入力部11と端末情報送信部12と記憶部13とRD接続部14と表示部15とを備える。
ユーザは、端末1とリモートPC2とをリモートデスクトップ接続させるために、入力部11に端末1を識別する端末情報を送信する操作を入力する。端末1を識別する端末情報を送信する操作とは、例えば、端末1が備えるリモートデスクトップ機能を起動する操作である。
端末1の入力部11は、端末情報を送信する操作を受け付けると、端末情報送信部12に、端末情報を送信する指示を送る。
端末情報送信部12は、端末情報を送信する指示を受け付けると、記憶部13から端末情報を呼び出し、リモートPC2に送信する。
端末情報は、少なくとも端末1を識別する端末識別情報を含み、端末1の種別を示す端末種別情報や、端末1にインストールされているソフトウェアの種類やバージョンを表すソフトウェア情報などを含む。
リモートPC2の端末情報受信部24は、端末1から端末情報を受信すると、接続可否判定部25に当該端末情報を送る。記憶部23は、RD接続が許可されたユーザと端末と接続先コンピュータとの組み合わせを格納したリストであるホワイトリストを記憶する。即ち、ホワイトリストは、RD接続が許可されたユーザと、端末と、接続先コンピュータとが関連付された組み合わせが、リストとして登録されている。なお、係るホワイトリストを実現するデータの保存形式はリスト構造に限定されず、適切な保存形式を適宜採用してよい。
接続可否判定部25は、ユーザ認証部22からユーザ情報を受け取り、端末情報受信部24から端末情報を受け取ると、記憶部23が記憶するホワイトリストを参照し、ユーザの端末1とリモートPC2とのRD接続を許可するか否かを判定する。
なお、ユーザが端末1からリモートPC2にRD接続してリモートPC2を操作する場合には、端末1の入力部11は、ユーザ情報の入力を受け付け、端末情報送信部12は、ユーザ情報をリモートPC2に送信する。リモートPC2の接続可否判定部25は、端末1からユーザ情報を受け取り、ユーザ認証部22にユーザ情報を送って、ユーザログインの可否判定結果を受け取る。
ホワイトリストにユーザと端末1とリモートPC2との組み合わせが登録されていた場合、接続可否判定部25は、ユーザの端末1とリモートPC2とのRD接続を許可すると判定し、端末1のRD接続のライセンスキーをRD接続部26に送る。
RD接続部26は、端末1のRD接続のライセンスキーを受け取ると、端末1のRD接続部14とのRD接続を実行する。
ホワイトリストにユーザと端末1とリモートPC2との組み合わせが登録されていなかった場合、接続可否判定部25は、ユーザと端末1とリモートPC2の組み合わせはRD接続を許可しないと判定し、申請情報生成部27にユーザ情報および端末情報を送る。記憶部23は、リモートPC2を識別するコンピュータ情報を記憶する。
申請情報生成部27は、接続可否判定部25から受け取ったユーザ情報および端末情報と、記憶部23が記憶するコンピュータ情報とに基づいて、ユーザと端末1とリモートPC2との組み合わせを、ホワイトリストに対して登録する申請に利用する申請情報を生成する。申請情報生成部27は、生成した申請情報を申請情報送信部28に送る。また、申請情報の生成は、ユーザが入力部21を介して申請情報生成部27に指示してもよい。
申請情報送信部28は、申請情報を受け取ると、端末登録装置3に送信する。
端末登録装置3は、申請情報受信部31と、登録部32と、記憶部33と、可否情報送信部34とを備える。
申請情報受信部31は、リモートPC2から申請情報を受信すると、登録部32に送る。記憶部33は、ホワイトリストと、そのホワイトリストに対してユーザと端末1と接続先コンピュータとの組み合わせを登録するか否か(登録可否)を決定(判定)する条件を示す条件情報と、を記憶する。
条件情報は、例えば、1人のユーザに対してn台までの端末1を登録可能とする情報や、インストールされているセキュリティソフトの種類やバージョンを指定する情報であってもよい。また、条件情報は、ファイル共有ソフトのようなリスクの高いソフトウェアが入っている場合は登録不可とする情報であってもよい。また、条件情報は、登録を許可する端末種別を指定する情報であってもよい。また、条件情報は、すでに登録済みのユーザと端末1とリモートPC2の組み合わせで申請情報を受信した場合、登録済みの情報に誤りがあると判断して登録不可とする情報であってもよい。なお、条件情報は、上記例示した以外の情報であってもよい。
登録部32は、申請情報を受け取ると、記憶部33が記憶する条件情報を参照し、ホワイトリストに登録するか否かを判定する。なお、登録部32はシステム管理者の入力を受け付け、システム管理者が申請情報を閲覧し、ホワイトリストへの登録の可否を入力してもよい。
ホワイトリストに登録すると決定した場合、登録部32は、申請情報が示すユーザと端末1とリモートPC2との組み合わせを、記憶部33が記憶するホワイトリストに登録する。また、登録部32は、更新したホワイトリストを可否情報送信部34に送る。このとき、登録部32は、処理速度や負荷を軽減するため、ホワイトリストの差分データを送ってもよい。
ホワイトリストに登録しないと決定した場合、登録部32は、登録不可であることを示すエラー情報を生成し、当該生成したエラー情報を可否情報送信部34に送る。
可否情報送信部34は、登録部32から受け取ったホワイトリスト(差分データ)およびエラー情報をリモートPC2に送信する。
リモートPC2の可否情報受信部29は、端末登録装置3からホワイトリスト(差分データ)を受信すると、これに基づき、記憶部23が記憶するホワイトリストを更新する。一方、端末登録装置3からエラー情報を受け取ると、可否情報受信部29は、エラー情報を端末1に送信する。
端末1の表示部15は、受信したエラー情報を表示し、端末1を登録不可であることをユーザに報知する。エラー情報の出力は、画面表示に限らず、音声出力でもよいし、記憶部13にログ情報として記録してもよい。また、エラー情報を表示する表示部は、図1に破線にて示す表示部15aのように、リモートPC2が備えてもよい。
なお、ホワイトリストは、端末登録装置3またはリモートPC2のどちらかが記憶する構成にしてもよい。端末登録装置3のみがホワイトリストを記憶する場合、リモートPC2は、端末登録装置3にアクセスしてホワイトリストを参照することで、仮想的にホワイトリストを記憶しているものとする。リモートPC2のみがホワイトリストを記憶する場合、端末登録装置3がリモートPC2にアクセスしてホワイトリストを参照することで、仮想的にホワイトリストを記憶しているものとする。また、後者の場合、リモートPC2によるホワイトリストの更新を禁止し、端末登録装置3のみがホワイトリストを編集可能とする。
また、リモートPC2の接続可否判定部25は、ログイン不可のユーザについて、当該ユーザと端末1とリモートPC2の組み合わせはRD接続を許可しないと判定し、申請情報生成部27にログイン不可のユーザのユーザ情報および端末情報を送ってもよい。この場合、申請情報生成部27は、接続可否判定部25から受け取ったユーザ情報および端末情報と、記憶部23が記憶するコンピュータ情報とに基づいて、ログイン不可のユーザと端末1とリモートPC2との組み合わせをホワイトリストから削除する申請に利用する削除申請情報を生成する。申請情報送信部28は、削除申請情報を端末登録装置3に送信する。
端末登録装置3における申請情報受信部31は、リモートPC2から削除申請情報を受信する。登録部32は、削除申請情報が示すユーザと端末1とリモートPC2との組み合わせをホワイトリストから削除する。可否情報送信部34は、更新したホワイトリスト(差分データ)をリモートPC2に送信する。
図1に示す具体例においては、リモートPC2および端末1がそれぞれが1台の場合が記載されているが、リモートPC2および端末1は複数台であってもよい。
図2は、第1の実施の形態に係るホワイトリストの構成の一例を示す図である。ホワイトリストは、ユーザを識別する「ユーザ情報」と、端末1を識別する「端末識別情報」と、端末1とRD接続する接続先のコンピュータを識別する「接続先コンピュータ名」と、端末1と接続先のリモートPC2とのRD接続の接続許可と遮断を示す「許可フラグ」と、端末1の種別を示す「端末種別」と、端末1のRD接続のライセンスキーを示す「RDライセンスキー」とで構成される。
「ユーザ情報」は例えば、ユーザID(Identifier)である。「端末識別情報」は例えば、端末個体識別番号である。「接続先コンピュータ名」は、例えば、リモートPC2の名称である。「端末種別」は、例えば、コンソール、iOS(登録商標)、Android(登録商標)などである。例えば、「端末種別」がコンソールであれば、常に「許可フラグ」が接続許可であってもよい。
端末登録装置3の登録部32は、ホワイトリストに登録すると決定した場合、申請情報に含まれるユーザ情報と、端末情報と、コンピュータ情報とに基づいて、ホワイトリストの各項目を入力する。このとき、登録部32は、ホワイトリストに追加する場合には、「RDライセンスキー」を新たに付与する。ホワイトリストにすでに登録されていた他の端末1と入れ替える場合には、「RDライセンスキー」は変更しなくてもよい。
図2の例においては、ホワイトリストは、「ユーザ情報」、「端末識別情報」、「接続先コンピュータ名」、「許可フラグ」、「端末種別」および「RDライセンスキー」で構成されているが、「許可フラグ」、「端末種別」、「RDライセンスキー」は、ホワイトリストに含まれなくてもよい。「RDライセンスキー」がホワイトリストに含まれない場合、接続可否判定部25は、端末1のRD接続を許可する情報をRD接続部26に送り、RD接続部26は、RD接続を実行する。
図3は、第1の実施の形態に係る認証申請処理の動作の一例を示すフローチャートである。図3のフローチャートの認証申請処理は、リモートPC2にユーザが接続すると開始する。
リモートPC2の端末情報受信部24は、端末1から端末情報を受信しない場合(ステップS11;NO)、ステップS11を繰り返して端末情報の受信を待機する。端末1から端末情報を受信した場合(ステップS11;YES)、端末情報受信部24は、端末情報を接続可否判定部25に送る。
接続可否判定部25は、ユーザ情報および端末情報を受け取ると、記憶部23が記憶するホワイトリストを参照することにより、端末情報が示す端末1とリモートPC2との、ユーザ情報が示すユーザによるRD接続を許可するか否かを判定する(ステップS12)。RD接続を許可する場合(ステップS12;YES)、接続可否判定部25は、端末1のRD接続のライセンスキーをRD接続部26に送る。
RD接続部26は、端末1のRD接続のライセンスキーを受け取ると、端末1のRD接続部14とのRD接続を実行し(ステップS13)、処理はステップS20に移行する。
RD接続を許可しない場合(ステップS12;NO)、接続可否判定部25は、申請情報生成部27にユーザ情報および端末情報を送る。
申請情報生成部27は、接続可否判定部25から受け取ったユーザ情報および端末情報と、記憶部23が記憶するコンピュータ情報とに基づいて、端末1のホワイトリストへの登録を申請する申請情報を生成する(ステップS14)。申請情報生成部27は、生成した申請情報を申請情報送信部28に送る。
申請情報送信部28は、申請情報を受け取ると、端末登録装置3に送信する(ステップS15)。
端末登録装置3からホワイトリスト(差分データ)を受信した場合(ステップS16;YES)、可否情報受信部29は、これに基づき、記憶部23が記憶するホワイトリストを更新する(ステップS17)。
端末登録装置3からホワイトリスト(差分データ)を受信しない場合(ステップS16;NO)、可否情報受信部29は、端末登録装置3からエラー情報を受け取ると(ステップS18)、端末1にエラー情報を送信する(ステップS19)。端末1の表示部15は、受信したエラー情報を表示する。
リモートPC2が電源OFFになっておらず、ユーザがログアウトしていない場合(ステップS20;NO)、端末情報受信部24がステップS11から処理を続行する。そして、上記説明した各ステップS11〜ステップS20が、繰り返し実行される。リモートPC2が電源OFFになって接続を終了した場合(ステップS20;YES)、リモートPC2の各構成要素は、処理を終了する。
図4は、第1の実施の形態に係る登録処理の動作の一例を示すフローチャートである。図4のフローチャートの登録処理は、端末登録装置3が起動すると開始する。
端末登録装置3の申請情報受信部31は、リモートPC2から申請情報を受信しない場合(ステップS21;NO)、ステップS21を繰り返して申請情報の受信を待機する。端末1から申請情報を受信した場合(ステップS21;YES)、申請情報受信部31は、申請情報を登録部32に送る。
登録部32は、申請情報を受け取ると、記憶部33が記憶する条件情報を参照し、申請情報が示すユーザと端末1とリモートPC2との組み合わせをホワイトリストに登録するか否かを判定する(ステップS22)。
ホワイトリストに登録しないと決定した場合(ステップS22;NO)、登録部32は、登録不可であることを示すエラー情報を生成し、当該生成したエラー情報を、可否情報送信部34に送る。可否情報送信部34は、リモートPC2にエラー情報を送信する(ステップS23)。
ホワイトリストに登録すると決定した場合(ステップS22;YES)、登録部32は、申請情報が示すユーザと端末1とリモートPC2との組み合わせをホワイトリストに登録することにより、ホワイトリストを更新する(ステップS24)。また、登録部32は、更新したホワイトリストを可否情報送信部34に送る。可否情報送信部34は、更新したホワイトリストをリモートPC2に送信する(ステップS25)。
端末登録装置3が電源OFFになっていない場合(ステップS26;NO)、ステップS21に戻り、ステップS21〜ステップS26を繰り返す。端末登録装置3が電源OFFになった場合(ステップS26;YES)、処理を終了する。
上記の実施形態における端末認証登録システム100は、システムの複雑性や、コスト、ユーザにとっての利用難易度を上げることなく、リモートデスクトップシステムにおけるユーザおよび端末の認証登録を実行可能である。
上記の第1の実施の形態においては、端末1とリモートPC2とを接続して端末情報を送信するが、端末認証登録システム100は、これに限らず、端末1のメール機能を使用して、所定のメールアドレスに端末情報を送信する構成を採用してもよい。この場合、リモートPC2は、このメールを受信して端末情報を取得する。これにより、未知の端末1を社内システムで使用する許可を出す前に、社内システムに接続する必要がなくなるので、安全性が向上する。
<第2の実施形態>
以下、本発明の第2の実施形態に係る端末認証装置500ついて、図5を参照して説明する。
本実施形態に係る端末認証装置500は、ユーザ認証部501と、端末情報取得部502と、第1の記憶部503と、接続可否判定部504と、申請情報生成部505とを有する。なお、本実施形態に係る端末認証装置500を構成するこれらの構成要素の間は任意の通信回線等により、通信可能に接続されていてもよい。以下、これらの構成要素について説明する。
ユーザ認証部501は、ユーザを識別可能なユーザ情報を取得し、端末認証装置500へのログインを許可するユーザを表す認証情報に基づいて、上記ユーザ情報により識別されるユーザのログインを許可するか否かを決定する。係るユーザ認証部501は、例えば、上記第1の実施形態におけるユーザ認証部22と同様としてもよい。
端末情報取得部502は、端末認証装置500に対してリモートデスクトップ接続を実行する(任意の)端末から、当該端末を識別可能な端末情報を取得する。係る端末情報取得部502は、例えば、上記第1の実施形態のおける、端末情報受信部24と同様としてもよい。
第1の記憶部503は、リモートデスクトップ接続が許可された、上記ユーザと上記端末と上記端末がリモートデスクトップ接続する接続先コンピュータとの組み合わせを格納したリストであるホワイトリストを記憶する。上記端末がリモートデスクトップ接続する接続先コンピュータは、端末認証装置500であってもよい。第1の記憶部503は、上記認証情報を記憶してもよい。係る第1の記憶部503は、例えば、上記第1の実施形態における記憶部23と同様としてもよい。
接続可否判定部504は、上記ユーザ認証部501が、上記ユーザ情報が示すユーザのログインを許可すると判定した場合に、上記ホワイトリストを参照する。接続可否判定部504は、上記参照したホワイトリストの内容に基づいて、上記端末情報が示す上記端末と端末認証装置500との間の、上記ユーザ情報が示すユーザによるリモートデスクトップ接続を許可するか否かを判定する。係る接続可否判定部504は、例えば、上記第1の実施形態における接続可否判定部25と同様としてもよい。
申請情報生成部505は、接続可否判定部504がリモートデスクトップ接続を許可しないと判定した場合、以下の処理を実行する。即ち、申請情報生成部505は、上記ユーザ情報と上記端末情報と端末認証装置500を識別可能なコンピュータ情報とに基づいて、上記ユーザと上記端末と自装置との組み合わせをホワイトリストに対して登録する申請に利用する申請情報を生成する。申請情報生成部505は、当該生成した上記申請情報を、上記端末と端末認証装置500とのリモートデスクトップ接続の登録を行う端末登録装置に送信する。係る申請情報生成部505は、例えば、上記第1の実施形態における申請情報生成部27、及び、申請情報送信部28として機能してもよい。
上記のように構成された本実施形態における端末認証装置500は、システムの複雑性や、コスト、ユーザにとっての利用難易度を上げることなく、リモートデスクトップシステムにおけるユーザおよび端末の認証登録を行える。
なぜならば、ある端末が接続先コンピュータにリモートデスクトップ接続した際に、当該端末のリモートデスクトップ接続の許可を求める許可申請が生成され、端末登録装置に送信されることにより、新たな端末の認証登録が可能だからである。
<ハードウェア及びソフトウェア(コンピュータ・プログラム)の構成>
図6は、本発明の各実施形態に係る端末登録装置および接続先コンピュータを実現可能なハードウェア構成の一例を示すブロック図である。リモートPC2、端末登録装置3、及び、端末認証装置500を実現可能なハードウェアは、図6に示すように、制御部61、主記憶部62、外部記憶部63、操作部64、表示部65、入出力部66および送受信部67を備える。主記憶部62、外部記憶部63、操作部64、表示部65、入出力部66および送受信部67はいずれも内部バス60を介して制御部61に通信可能に接続されている。
制御部61は、CPU(Central Processing Unit)等から構成され、外部記憶部63に記憶されている制御プログラム69に従って、リモートPC2のユーザ認証部22、接続可否判定部25、RD接続部26、申請情報生成部27および可否情報受信部29と、端末登録装置3の登録部32と、における各処理を実行する。
また、制御部61は、CPU(Central Processing Unit)等から構成され、外部記憶部63に記憶されている制御プログラム69に従って、端末認証装置500のユーザ認証部501、接続可否判定部504、および、申請情報生成部505における各処理を実行してもよい。
主記憶部62はRAM(Random−Access Memory)等から構成され、外部記憶部63に記憶されている制御プログラム69をロードし、制御部61の作業領域として用いられる。
外部記憶部63は、フラッシュメモリ、ハードディスク、DVD−RAM(Digital Versatile Disc Random−Access Memory)、DVD−RW(Digital Versatile Disc ReWritable)等の不揮発性メモリから構成される。外部記憶部63は、リモートPC2、端末登録装置3、または、端末認証装置500の処理を制御部61に行わせるためのプログラムをあらかじめ記憶する。外部記憶部63は、また、制御部61の指示に従って、このプログラムが記憶するデータを制御部61に供給し、制御部61から供給されたデータを記憶する。リモートPC2の記憶部23、端末認証装置500の第1の記憶部503、および、端末登録装置3の記憶部33は、外部記憶部63により構成される。
操作部64はキーボードおよびマウスなどのポインティングデバイス等と、キーボードおよびポインティングデバイス等を内部バス60に接続するインタフェース装置から構成される。ユーザがリモートPC2または端末登録装置3に直接情報を入力する場合は、操作部64を介して、入力された情報が制御部61に供給される。操作部64は、リモートPC2の入力部21として機能する。
表示部65は、CRT(Cathode Ray Tube)またはLCD(Liquid Crystal Display)などから構成され、ユーザがリモートPC2または端末登録装置3に直接情報を入力する場合は、操作画面を表示する。表示部65は、リモートPC2が表示部を備える構成においては、その表示部として機能する。
入出力部66は、シリアルインタフェースまたはパラレルインタフェースから構成されている。入出力部66は、リモートPC2または端末登録装置3に他の装置が附属する場合は、係る他の装置と接続される。
送受信部67は、ネットワークに接続する網終端装置または無線通信装置、およびそれらと接続するシリアルインタフェースまたはLAN(Local Area Network)インタフェースなどから構成されている。送受信部67は、リモートPC2の端末情報受信部24、申請情報送信部28および可否情報受信部29、端末登録装置3の申請情報受信部31および可否情報送信部34として機能する。また、送受信部67は、端末認証装置500における端末情報取得部502、及び、申請情報生成部505として機能してもよい。
図1に示すリモートPC2の入力部21、ユーザ認証部22、記憶部23、端末情報受信部24、接続可否判定部25、RD接続部26、申請情報生成部27、申請情報送信部28および可否情報受信部29、端末登録装置3の申請情報受信部31、登録部32、記憶部33および可否情報送信部34における各処理は、制御プログラム69が、制御部61、主記憶部62、外部記憶部63、操作部64、表示部65、入出力部66および送受信部67などを資源として用いて処理することによって実行される。
また、図5に例示する端末認証装置500における、ユーザ認証部501、端末情報取得部502、申請情報生成部505、接続可否判定部504の各処理は、制御プログラム69が、制御部61、主記憶部62、外部記憶部63、操作部64、表示部65、入出力部66および送受信部67などを資源として用いて処理することによって実行される。
その他、上記のハードウェア構成やフローチャートは一例であり、任意に変更および修正が可能である。
制御部61、主記憶部62、外部記憶部63、内部バス60などから構成される制御処理を行う中心となる部分は、専用のシステムによらず、通常のコンピュータシステムを用いて実現可能である。例えば、上記の動作を実行するためのコンピュータプログラムを、コンピュータが読み取り可能な記録媒体(フレキシブルディスク、CD−ROM、DVD−ROM等)に格納して配布し、該コンピュータプログラムをコンピュータにインストールすることにより、上記の処理を実行する端末認証登録システムを構成してもよい。また、インターネット等の通信ネットワーク上のサーバ装置が有する記憶装置に該コンピュータプログラムを格納しておき、通常のコンピュータシステムが該コンピュータプログラムをダウンロード等することにより、端末認証登録システムを構成してもよい。
また、端末認証登録システムの機能を、OS(Operating System)とアプリケーションプログラムの分担、またはOSとアプリケーションプログラムとの協働により実現する場合などには、アプリケーションプログラム部分のみを記録媒体(記憶媒体)や記憶装置に格納してもよい。
また、搬送波にコンピュータプログラムを重畳し、通信ネットワークを介して配信することも可能である。例えば、通信ネットワーク上の掲示板(BBS:Bulletin Board System)に上記コンピュータプログラムを掲示し、ネットワークを介して上記コンピュータプログラムを配信してもよい。そして、このコンピュータプログラムを起動し、OSの制御下で、他のアプリケーションプログラムと同様に実行することにより、上記の処理を実行できるように構成してもよい。
以上、上記各実施形態を参照して本願発明を説明したが、本願発明は上記各実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
なお、この出願は、2013年10月3日に出願された日本出願特願2013−208410を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明は、リモートデスクトップ接続を提供するシステムに適用可能である。
1 端末
2 リモートPC
3 端末登録装置
11 入力部
12 端末情報送信部
13 記憶部
14 RD接続部
15 表示部
21 入力部
22 ユーザ認証部
23 記憶部
24 端末情報受信部
25 接続可否判定部
26 RD接続部
27 申請情報生成部
28 申請情報送信部
29 可否情報受信部
31 申請情報受信部
32 登録部
33 記憶部
34 可否情報送信部
60 内部バス
61 制御部
62 主記憶部
63 外部記憶部
64 操作部
65 表示部
66 入出力部
67 送受信部
69 制御プログラム
100 端末認証登録システム
500 端末認証装置
501 ユーザ認証部
502 端末情報取得部
503 第1の記憶部
504 接続可否判定部
505 申請情報生成部
本発明は、リモートデスクトップ接続をする端末を認証及び登録(以下、「認証登録」と称する場合がある)する端末認証登録システム、端末認証登録方法およびプログラムに関する。
特許文献1:特開2011−198193号公報
特許文献2:特開平11−195005号公報
本発明の第3の観点に係るプログラムは、コンピュータを、ユーザを識別するユーザ情報を取得するユーザ情報取得手段、ログインを許可するユーザを示す認証情報を参照し、上記ユーザ情報が示すユーザのログインを許可するか否かを判定するユーザ認証手段、上記ユーザの端末から上記端末を識別する端末情報を取得する端末情報取得手段、リモートデスクトップ接続が許可された上記ユーザと上記端末と上記端末の接続先コンピュータとの組み合わせのリストであるホワイトリストを記憶するホワイトリスト記憶手段、上記ユーザ認証手段が、上記ユーザ情報が示すユーザのログインを許可すると判定した場合に、上記ホワイトリストを参照し、上記端末情報が示す上記端末と上記端末の接続先コンピュータとの上記ユーザ情報が示すユーザによるリモートデスクトップ接続を許可するか否かを判定する接続可否判定手段、上記接続可否判定手段がリモートデスクトップ接続を許可しないと判定した場合、上記ユーザ情報と上記端末情報とリモートデスクトップ接続を許可しなかった上記接続先コンピュータを識別するコンピュータ情報とに基づいて、上記ユーザと上記端末と上記接続先コンピュータとの組み合わせを上記ホワイトリストに対して登録する申請に利用する申請情報を生成する申請情報生成手段、上記ホワイトリストへの上記ユーザと上記端末と上記接続先コンピュータとの組み合わせの登録の可否を判定する条件を示す条件情報を記憶する条件情報記憶手段、上記条件情報を参照し、上記申請情報に基づいて、上記ユーザと上記端末と上記接続先コンピュータとの組み合わせを上記ホワイトリストに登録するか否かを判定し、登録すると判定した場合、上記ホワイトリストに上記ユーザと上記端末と上記接続先コンピュータとの組み合わせを登録し、上記ホワイトリストを更新する登録手段、上記登録手段が、登録しないと判定した場合、登録が許可されなかったことを示すエラー情報を生成するエラー情報生成手段、上記エラー情報を出力するエラー情報出力手段、として機能させることを特徴とする。
本発明の第6の観点に係るプログラムは、端末認証装置として機能するコンピュータに、ユーザを識別可能なユーザ情報を取得し、自装置へのログインを許可するユーザを表す認証情報に基づいて、上記ユーザ情報により識別されるユーザのログインを許可するか否かを判定するユーザ認証処理と、自装置に対してリモートデスクトップ接続を実行する端末から、当該端末を識別可能な端末情報を取得する端末情報取得処理と、上記ユーザ認証処理において、上記ユーザ情報が示すユーザのログインを許可すると判定した場合に、リモートデスクトップ接続が許可された上記ユーザと上記端末と上記端末がリモートデスクトップ接続する接続先コンピュータとの組み合わせのリストであるホワイトリストを参照し、上記端末情報が示す上記端末と自装置との間の、上記ユーザ情報が示すユーザによるリモートデスクトップ接続を許可するか否かを判定する接続可否判定処理と、上記接続可否判定処理において、リモートデスクトップ接続を許可しないと判定した場合、上記ユーザ情報と上記端末情報と自装置を識別可能なコンピュータ情報とに基づいて、上記ユーザと上記端末と自装置との組み合わせをホワイトリストに対して登録する申請に利用する申請情報を生成し、当該生成した上記申請情報を、上記端末と自装置とのリモートデスクトップ接続の登録を行う端末登録装置に送信する申請情報生成処理と、を実行させる。

Claims (12)

  1. ユーザの端末のリモートデスクトップ接続を認証可能な接続先コンピュータと、前記端末と前記接続先コンピュータとのリモートデスクトップ接続を登録する端末登録装置とを含む端末認証登録システムであって、
    前記接続先コンピュータは、
    前記ユーザを識別するユーザ情報を取得するユーザ情報取得手段と、
    前記接続先コンピュータへのログインを許可するユーザを示す認証情報を参照し、前記ユーザ情報が示すユーザのログインを許可するか否かを判定するユーザ認証手段と、
    前記端末を識別する端末情報を、前記端末から取得する端末情報取得手段と、
    リモートデスクトップ接続が許可された前記ユーザと前記端末と前記接続先コンピュータとの組み合わせのリストが登録されたホワイトリストを記憶する第1ホワイトリスト記憶手段と、
    前記ユーザ認証手段が、前記ユーザ情報が示すユーザのログインを許可すると判定した場合に、前記ホワイトリストを参照し、前記端末情報が示す前記端末と前記接続先コンピュータとの前記ユーザ情報が示すユーザによるリモートデスクトップ接続を許可するか否かを判定する接続可否判定手段と、
    前記接続可否判定手段がリモートデスクトップ接続を許可しないと判定した場合、前記ユーザ情報と前記端末情報と前記接続先コンピュータを識別するコンピュータ情報とに基づいて、前記ユーザと前記端末と前記接続先コンピュータとの組み合わせを前記ホワイトリストに対して登録する申請に利用する申請情報を生成する申請情報生成手段と、
    前記申請情報生成手段が生成した前記申請情報を前記端末登録装置に送信する申請情報送信手段と、
    を備え、
    前記端末登録装置は、
    前記ホワイトリストを記憶する第2ホワイトリスト記憶手段と、
    前記ホワイトリストへの前記ユーザと前記端末と前記接続先コンピュータとの組み合わせの登録の可否を判定する条件を示す条件情報を記憶する条件情報記憶手段と、
    前記接続先コンピュータから前記申請情報を受信する申請情報受信手段と、
    前記条件情報を参照し、前記申請情報受信手段が受信した前記申請情報に基づいて、前記ユーザと前記端末と前記接続先コンピュータとの組み合わせを、前記ホワイトリストに登録するか否かを判定し、登録すると判定した場合、前記ホワイトリストに前記ユーザと前記端末と前記接続先コンピュータとの組み合わせを登録することにより、前記ホワイトリストを更新する登録手段と、
    前記登録手段が、登録すると判定した場合、前記更新された前記ホワイトリストを前記接続先コンピュータに送信し、登録しないと判定した場合、登録が許可されなかったことを示すエラー情報を前記接続先コンピュータに送信する可否情報送信手段と、
    を備え、
    前記接続先コンピュータは、
    前記端末登録装置から前記エラー情報および前記更新された前記ホワイトリストを受信し、前記更新された前記ホワイトリストを前記第1ホワイトリスト記憶手段に記憶する可否情報受信手段と、
    前記可否情報受信手段が受信した前記エラー情報を出力するエラー情報出力手段と、
    を備えることを特徴とする端末認証登録システム。
  2. 前記端末情報取得手段は、前記端末から所定のメールアドレスに送信された前記端末情報を受信することを特徴とする請求項1に記載の端末認証登録システム。
  3. ユーザの端末のリモートデスクトップ接続を認証可能な接続先コンピュータと、前記端末と前記接続先コンピュータとのリモートデスクトップ接続を登録する端末登録装置とを含む端末認証登録システムにおいて実行される端末認証登録方法であって、
    前記接続先コンピュータが、
    前記ユーザを識別するユーザ情報を取得するユーザ情報取得ステップと、
    前記接続先コンピュータへのログインを許可するユーザを示す認証情報を参照し、前記ユーザ情報が示すユーザのログインを許可するか否かを判定するユーザ認証ステップと、
    前記端末を識別する端末情報を前記端末から取得する端末情報取得ステップと、
    前記ユーザ認証ステップで、前記ユーザ情報が示すユーザのログインを許可すると判定した場合に、リモートデスクトップ接続が許可された前記ユーザと前記端末と前記接続先コンピュータとの組み合わせのリストが登録されたホワイトリストを参照し、前記端末情報が示す前記端末と前記接続先コンピュータとの前記ユーザ情報が示すユーザによるリモートデスクトップ接続を許可するか否かを判定する接続可否判定ステップと、
    前記接続可否判定ステップでリモートデスクトップ接続を許可しないと判定した場合、前記ユーザ情報と前記端末情報と前記接続先コンピュータを識別するコンピュータ情報とに基づいて、前記ユーザと前記端末と前記接続先コンピュータとの組み合わせを前記ホワイトリストに対して登録する申請に利用する申請情報を生成する申請情報生成ステップと、
    前記申請情報生成ステップで生成した前記申請情報を前記端末登録装置に送信する申請情報送信ステップと、を実行し、
    前記端末登録装置が、
    前記接続先コンピュータから前記申請情報を受信する申請情報受信ステップと、
    前記ホワイトリストへの前記ユーザと前記端末と前記接続先コンピュータとの組み合わせの登録の可否を判定する条件を示す条件情報を参照し、前記申請情報受信ステップで受信した前記申請情報に基づいて、前記ユーザと前記端末と前記接続先コンピュータとの組み合わせを、前記ホワイトリストに登録するか否かを判定し、登録すると判定した場合、前記ホワイトリストに前記ユーザと前記端末と前記接続先コンピュータとの組み合わせを登録することにより、前記ホワイトリストを更新する登録ステップと、
    前記登録ステップで、登録すると判定した場合、前記更新された前記ホワイトリストを前記接続先コンピュータに送信し、登録しないと判定した場合、登録が許可されなかったことを示すエラー情報を前記接続先コンピュータに送信する可否情報送信ステップと、を実行し、
    前記接続先コンピュータが、
    前記端末登録装置から前記エラー情報および前記更新された前記ホワイトリストを受信し、前記更新された前記ホワイトリストを記憶する可否情報受信ステップと、
    前記可否情報受信ステップで受信した前記エラー情報を出力するエラー情報出力ステップと、
    を実行することを特徴とする、端末認証登録方法。
  4. 上記端末情報取得ステップにおいては、上記端末から所定のメールアドレスに送信された上記端末情報を受信することを特徴とする請求項3に記載の端末認証登録方法。
  5. コンピュータを
    ユーザを識別するユーザ情報を取得するユーザ情報取得手段、
    ログインを許可するユーザを示す認証情報を参照し、前記ユーザ情報が示すユーザのログインを許可するか否かを判定するユーザ認証手段、
    前記ユーザの端末から前記端末を識別する端末情報を取得する端末情報取得手段、
    リモートデスクトップ接続が許可された前記ユーザと前記端末と前記端末の接続先コンピュータとの組み合わせのリストであるホワイトリストを記憶するホワイトリスト記憶手段、
    前記ユーザ認証手段が、前記ユーザ情報が示すユーザのログインを許可すると判定した場合に、前記ホワイトリストを参照し、前記端末情報が示す前記端末と前記端末の接続先コンピュータとの前記ユーザ情報が示すユーザによるリモートデスクトップ接続を許可するか否かを判定する接続可否判定手段、
    前記接続可否判定手段がリモートデスクトップ接続を許可しないと判定した場合、前記ユーザ情報と前記端末情報とリモートデスクトップ接続を許可しなかった前記接続先コンピュータを識別するコンピュータ情報とに基づいて、前記ユーザと前記端末と前記接続先コンピュータとの組み合わせを前記ホワイトリストに対して登録する申請に利用する申請情報を生成する申請情報生成手段、
    前記ホワイトリストへの前記ユーザと前記端末と前記接続先コンピュータとの組み合わせの登録の可否を判定する条件を示す条件情報を記憶する条件情報記憶手段、
    前記条件情報を参照し、前記申請情報に基づいて、前記ユーザと前記端末と前記接続先コンピュータとの組み合わせを前記ホワイトリストに登録するか否かを判定し、登録すると判定した場合、前記ホワイトリストに前記ユーザと前記端末と前記接続先コンピュータとの組み合わせを登録し、前記ホワイトリストを更新する登録手段、
    前記登録手段が、登録しないと判定した場合、登録が許可されなかったことを示すエラー情報を生成するエラー情報生成手段、
    前記エラー情報を出力するエラー情報出力手段、
    として機能させることを特徴とするプログラムを記録したコンピュータ読み取り可能な記憶媒体。
  6. ユーザを識別可能なユーザ情報を取得し、自装置へのログインを許可するユーザを表す認証情報に基づいて、前記ユーザ情報により識別されるユーザのログインを許可するか否かを判定するユーザ認証手段と、
    自装置に対してリモートデスクトップ接続を実行する端末から、当該端末を識別可能な端末情報を取得する端末情報取得手段と、
    リモートデスクトップ接続が許可された、前記ユーザと前記端末と前記端末がリモートデスクトップ接続する接続先コンピュータとの組み合わせのリストであるホワイトリストを記憶する第1の記憶手段と、
    前記ユーザ認証手段が、前記ユーザ情報が示すユーザのログインを許可すると判定した場合に、前記ホワイトリストを参照し、前記端末情報が示す前記端末と自装置との間の、前記ユーザ情報が示すユーザによるリモートデスクトップ接続を許可するか否かを判定する接続可否判定手段と、
    前記接続可否判定手段がリモートデスクトップ接続を許可しないと判定した場合、前記ユーザ情報と前記端末情報と自装置を識別可能なコンピュータ情報とに基づいて、前記ユーザと前記端末と自装置との組み合わせを前記ホワイトリストに対して登録する申請に利用する申請情報を生成し、当該生成した前記申請情報を、前記端末と自装置とのリモートデスクトップ接続の登録を行う端末登録装置に送信する申請情報生成手段と、
    を備える、端末認証装置。
  7. 前記端末登録装置から、前記端末と自装置とのリモートデスクトップ接続の登録が許可されなかったことを表すエラー情報、及び、前記端末と自装置とのリモートデスクトップ接続の登録が許可された場合の、リモートデスクトップ接続が許可された前記ユーザと前記端末と前記端末がリモートデスクトップ接続する接続先コンピュータとの組み合わせのリスト、を受信可能であり、当該リストを受信した場合には、当該リストを前記第1の記憶手段に記憶する可否情報受信手段と、
    前記可否情報受信手段が受信した前記エラー情報を出力するエラー情報出力手段と、
    を更に備える、請求項6に記載の端末認証装置。
  8. 前記端末登録装置が前記ホワイトリストを記憶する場合において、
    前記可否情報受信手段は、前記端末と自装置とのリモートデスクトップ接続の登録が許可された場合に前記端末登録装置において更新された前記ホワイトリストの差分を前記端末登録装置から受信し、当該差分を前記第1の記憶手段に記憶する、
    請求項7に記載の端末認証装置。
  9. ユーザの端末と請求項6または請求項7のいずれかに記載した端末認証装置である接続先コンピュータとの間のリモートデスクトップ接続を登録する端末登録装置であって、
    リモートデスクトップ接続が許可された前記ユーザと前記端末と前記接続先コンピュータとの組み合わせのリストであるホワイトリストを記憶する第2の記憶手段と、
    前記ユーザと前記端末と前記接続先コンピュータとの組み合わせを、前記ホワイトリストに対して登録するか否かを判定する条件を示す条件情報を記憶する条件情報記憶手段と、
    前記接続先コンピュータから、前記ユーザと前記端末と前記接続先コンピュータとの組み合わせを前記ホワイトリストに対して登録する申請に利用する申請情報を受信する申請情報受信手段と、
    前記条件情報を参照し、前記申請情報受信手段が受信した前記申請情報に基づいて、前記ユーザと前記端末と前記接続先コンピュータとの組み合わせを、前記ホワイトリストに登録するか否かを判定し、登録すると判定した場合、前記ホワイトリストに前記ユーザと前記端末と前記接続先コンピュータとの組み合わせを登録し、前記ホワイトリストを更新する登録手段と、
    前記登録手段が、登録すると判定した場合、前記更新された前記ホワイトリストを前記接続先コンピュータに送信し、登録しないと判定した場合、登録が許可されなかったことを示すエラー情報を前記接続先コンピュータに送信する可否情報送信手段と、
    を備える、端末登録装置。
  10. 前記可否情報送信手段は、前記登録手段が、前記ユーザと前記端末と前記接続先コンピュータとの組み合わせを前記ホワイトリストに登録すると判定した場合、前記登録手段による更新前後の前記ホワイトリストの差分を、前記接続先コンピュータに送信する、
    請求項9に記載の端末登録装置。
  11. 情報処理装置が、
    ユーザを識別可能なユーザ情報を取得し、自装置へのログインを許可するユーザを表す認証情報に基づいて、前記ユーザ情報により識別されるユーザのログインを許可するか否かを判定するユーザ認証を実行し、
    自装置に対してリモートデスクトップ接続を実行する端末から、当該端末を識別可能な端末情報を取得し、
    前記ユーザ認証において、前記ユーザ情報が示すユーザのログインを許可すると判定した場合に、リモートデスクトップ接続が許可された前記ユーザと前記端末と前記端末がリモートデスクトップ接続する接続先コンピュータとの組み合わせのリストであるホワイトリストを参照し、前記端末情報が示す前記端末と自装置との間の、前記ユーザ情報が示すユーザによるリモートデスクトップ接続を許可するか否かを判定し、
    前記判定において、リモートデスクトップ接続を許可しないと判定した場合、前記ユーザ情報と前記端末情報と自装置を識別可能なコンピュータ情報とに基づいて、前記ユーザと前記端末と自装置との組み合わせをホワイトリストに対して登録する申請に利用する申請情報を生成し、当該生成した前記申請情報を、前記端末と自装置とのリモートデスクトップ接続の登録を行う端末登録装置に送信する、
    端末認証方法。
  12. 端末認証装置として機能するコンピュータに、
    ユーザを識別可能なユーザ情報を取得し、自装置へのログインを許可するユーザを表す認証情報に基づいて、前記ユーザ情報により識別されるユーザのログインを許可するか否かを判定するユーザ認証処理と、
    自装置に対してリモートデスクトップ接続を実行する端末から、当該端末を識別可能な端末情報を取得する端末情報取得処理と、
    前記ユーザ認証処理において、前記ユーザ情報が示すユーザのログインを許可すると判定した場合に、リモートデスクトップ接続が許可された前記ユーザと前記端末と前記端末がリモートデスクトップ接続する接続先コンピュータとの組み合わせのリストであるホワイトリストを参照し、前記端末情報が示す前記端末と自装置との間の、前記ユーザ情報が示すユーザによるリモートデスクトップ接続を許可するか否かを判定する接続可否判定処理と、
    前記接続可否判定処理において、リモートデスクトップ接続を許可しないと判定した場合、前記ユーザ情報と前記端末情報と自装置を識別可能なコンピュータ情報とに基づいて、前記ユーザと前記端末と自装置との組み合わせをホワイトリストに対して登録する申請に利用する申請情報を生成し、当該生成した前記申請情報を、前記端末と自装置とのリモートデスクトップ接続の登録を行う端末登録装置に送信する申請情報生成処理と、
    を実行させる、コンピュータ・プログラムを記録したコンピュータ読み取り可能な記憶媒体。
JP2015540367A 2013-10-03 2014-08-21 端末認証登録システム、端末認証登録方法およびプログラム Active JP6018316B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2013208410 2013-10-03
JP2013208410 2013-10-03
PCT/JP2014/004273 WO2015049825A1 (ja) 2013-10-03 2014-08-21 端末認証登録システム、端末認証登録方法および記憶媒体

Publications (2)

Publication Number Publication Date
JP6018316B2 JP6018316B2 (ja) 2016-11-02
JPWO2015049825A1 true JPWO2015049825A1 (ja) 2017-03-09

Family

ID=52778432

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015540367A Active JP6018316B2 (ja) 2013-10-03 2014-08-21 端末認証登録システム、端末認証登録方法およびプログラム

Country Status (5)

Country Link
US (1) US20160241535A1 (ja)
JP (1) JP6018316B2 (ja)
CN (1) CN105593866B (ja)
TW (1) TWI575398B (ja)
WO (1) WO2015049825A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020107078A (ja) * 2018-12-27 2020-07-09 ベーステクノロジー株式会社 端末認証管理システムおよびその方法、およびそのプログラム

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6558279B2 (ja) 2016-03-08 2019-08-14 富士通株式会社 情報処理システム、情報処理装置、情報処理方法、情報処理プログラム
JP6915881B2 (ja) * 2018-10-01 2021-08-04 Necプラットフォームズ株式会社 情報処理装置、情報処理方法およびプログラム
CN113678072B (zh) * 2019-04-15 2022-09-23 三菱电机株式会社 操作管理系统及可编程显示器
CN112398789A (zh) * 2019-08-15 2021-02-23 奇安信安全技术(珠海)有限公司 远程登录的控制方法及装置、系统、存储介质、电子装置
CN112398787B (zh) * 2019-08-15 2022-09-30 奇安信安全技术(珠海)有限公司 邮箱登录验证的方法、装置、计算机设备及存储介质
CN111131150A (zh) * 2019-11-14 2020-05-08 珠海许继芝电网自动化有限公司 基于泛在电力物联网的终端自注册方法和装置
CN111107545B (zh) * 2019-12-25 2022-11-15 博泰车联网科技(上海)股份有限公司 一种基于nfc的账号同步方法、介质及终端
CN111131287B (zh) * 2019-12-30 2022-06-17 深圳市创维软件有限公司 开启设备远程服务的方法、服务器及存储介质
CN118153010A (zh) * 2022-12-05 2024-06-07 顺丰科技有限公司 系统操作许可方法、装置、终端设备及存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006018347A (ja) * 2004-06-30 2006-01-19 Hitachi Ltd 負荷分散型リモートデスクトップ環境構築システム
US20090150399A1 (en) * 2007-12-06 2009-06-11 Patel Paritosh D Method of Improving Remote Desktop Performance
JP2009277024A (ja) * 2008-05-15 2009-11-26 Hitachi Ltd 接続制御方法、通信システムおよび端末
TW201117590A (en) * 2009-11-10 2011-05-16 Aten Int Co Ltd Method and system of desktop broadcasting
JP2011227810A (ja) * 2010-04-22 2011-11-10 Nomura Research Institute Ltd リモートデスクトップシステムおよび携帯通信端末
JP5682932B2 (ja) * 2012-02-29 2015-03-11 日本電信電話株式会社 制御サーバ、制御方法及び制御プログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020107078A (ja) * 2018-12-27 2020-07-09 ベーステクノロジー株式会社 端末認証管理システムおよびその方法、およびそのプログラム

Also Published As

Publication number Publication date
CN105593866B (zh) 2018-11-23
TW201516729A (zh) 2015-05-01
WO2015049825A1 (ja) 2015-04-09
TWI575398B (zh) 2017-03-21
JP6018316B2 (ja) 2016-11-02
CN105593866A (zh) 2016-05-18
US20160241535A1 (en) 2016-08-18

Similar Documents

Publication Publication Date Title
JP6018316B2 (ja) 端末認証登録システム、端末認証登録方法およびプログラム
US11381610B2 (en) Systems and methods for establishing a channel between multiple devices
US10205760B2 (en) Task coordination in distributed systems
US11272030B2 (en) Dynamic runtime interface for device management
US11757937B2 (en) Enabling webapp security through containerization
US20160350148A1 (en) Thin client system, server device, policy management device, control method, and non-transitory computer readable recording medium
US10223321B2 (en) Combining redirected USB interfaces into a single composite device
US20220116392A1 (en) Method and system for contextual access control
US11323528B2 (en) Systems and methods for push notification service for SAAS applications
US10114779B2 (en) Isolating a redirected USB device to a set of applications
US11544415B2 (en) Context-aware obfuscation and unobfuscation of sensitive content
US20210182440A1 (en) System for preventing access to sensitive information and related techniques
US20170353449A1 (en) Information processing apparatus and device coordination authentication method
US11048527B2 (en) Accessing conflicting frameworks and classes
US20230061527A1 (en) Launcher application with connectivity detection for shared mobile devices
US20150304237A1 (en) Methods and systems for managing access to a location indicated by a link in a remote access system
US11630682B2 (en) Remoting user credential information to a remote browser
JP2016018218A (ja) 連携するクラウドサービスの権限と添付可否確認
JP2023051245A (ja) 電子情報管理システム
WO2015029176A1 (ja) 情報処理端末システム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160906

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160929

R150 Certificate of patent or registration of utility model

Ref document number: 6018316

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150