TW201516729A - 終端驗證登記系統、終端驗證登記方法及記錄媒體 - Google Patents
終端驗證登記系統、終端驗證登記方法及記錄媒體 Download PDFInfo
- Publication number
- TW201516729A TW201516729A TW103133975A TW103133975A TW201516729A TW 201516729 A TW201516729 A TW 201516729A TW 103133975 A TW103133975 A TW 103133975A TW 103133975 A TW103133975 A TW 103133975A TW 201516729 A TW201516729 A TW 201516729A
- Authority
- TW
- Taiwan
- Prior art keywords
- terminal
- information
- user
- connection
- registration
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本發明之終端驗證登記方法,可以不增加系統的複雜性、成本、及對於用戶而言之利用難易度,而進行遠端桌面系統中的用戶及終端之驗證登記。遠端電腦2的用戶驗證部22,基於輸入到輸入部21的用戶資訊,判定是否允許登入。終端1的終端資訊傳送部12,依照輸入到輸入部11的操作,從儲存部13呼叫出終端資訊,並傳送到遠端電腦2。一旦終端資訊接收部24接收到終端資訊,連線可否判定部25便參照白名單,並判定是否允許RD(Remote Desktop,遠端桌面)連線。不允許的情況,申請資訊產生部27,基於用戶資訊、終端資訊及電腦資訊,產生申請資訊,並由申請資訊傳送部28傳送到終端登記裝置3。一旦申請資訊接收部31接收到申請資訊,登記部32便參照條件資訊,在允許登記的情況,登記到白名單。
Description
本發明係關於,將進行遠端桌面連線的終端加以驗證及登記(以下,有時稱為「驗證登記」)之終端驗證登記系統、終端驗證登記方法及記錄媒體。
伴隨著平板電腦、智慧型手機等智慧型裝置之普及,用戶將個人所有的行動電話終端連線至企業的公司內部通信網路,而用於業務之BYOD(Bring Your Own Device,自攜設備)的需求升高。另一方面,企業逐漸採用BYOD,有必要管理從個人所有的智慧型裝置向企業系統之連線。若適用遠端桌面技術(或是精簡客戶端(thin client)技術),便可從終端向PC(Personal Computer,個人電腦,以下稱為「PC」)連線而進行業務。由於遠端桌面技術可以不在終端儲存業務應用程式或檔案而進行業務,故與BYOD的相容性很高。
專利文獻1中揭露一種精簡客戶端系統,該系統無需改造驗證軟體,而可以在精簡客戶端終端及複數之假想PC,利用驗證裝置而進行驗證。
專利文獻2中揭露一種同時驗證裝置,該裝置係關於藉由主機裝置之終端裝置的驗證技術,對於用戶及終端裝置,實現同時於用戶驗證及終端裝置之驗證。 【先前技術文獻】 【專利文獻】
【專利文獻1】日本特開2002-259001號公報 【專利文獻2】日本特開2008-166927號公報
【發明所欲解決之問題】
遠端桌面技術在從終端連接PC時,雖然驗證連線之用戶,但不驗證連線之終端。然而,由於企業逐漸採用BYOD,在安全的考量上,有必要管理連線之終端。在管理「由哪個終端連線」上,遠端桌面技術需要組合其他網路驗證技術。藉此,會有增大系統的複雜性、成本、及對於用戶而言之利用難易度等之問題點。
專利文獻1及專利文獻2的技術,係對於連接主機電腦之特定的終端進行驗證的技術,而非將未知的終端重新驗證而登記之技術。
本發明主要的目的在於,能不增加系統的複雜性、成本、及對於用戶而言之利用難易度,而進行遠端桌面系統中的用戶及終端之驗證登記。 【解決問題之技術手段】
依本發明之第1觀點的終端驗證登記系統,包含: 連線目的地電腦,可驗證用戶終端的遠端桌面連線;及 終端登記裝置,登記該終端與該連線目的地電腦之遠端桌面連線; 該連線目的地電腦,包含: 用戶資訊取得裝置,取得識別該用戶之用戶資訊; 用戶驗證裝置,參照顯示「允許對於該連線目的地電腦登入的用戶」之驗證資訊,而判定是否允許「該用戶資訊顯示的用戶之登入」; 終端資訊取得裝置,從該終端取得「識別該終端之終端資訊」; 第1白名單儲存裝置,用以儲存白名單,該白名單登記有「遠端桌面連線獲得許可之該用戶、該終端及該連線目的地電腦的組合」之名單; 連線可否判定裝置,在該用戶驗證裝置,判定允許「該用戶資訊顯示之用戶的登入」時,參照該白名單,判定是否允許遠端桌面連線,該遠端桌面連線係藉由「『該終端資訊所示之該終端與該連線目的地電腦之該用戶資訊』所示之用戶」來進行; 申請資訊產生裝置,在該連線可否判定裝置判定「不允許遠端桌面連線」時,基於該用戶資訊、該終端資訊、及識別該連線目的地電腦之電腦資訊,產生申請資訊,該申請資訊係利用於對於該白名單登記「該用戶、該終端及該連線目的地電腦的組合」之申請;及 申請資訊傳送裝置,將該申請資訊產生裝置產生之該申請資訊,傳送到該終端登記裝置; 該終端登記裝置,包含: 第2白名單儲存裝置,儲存該白名單; 條件資訊儲存裝置,用以儲存條件資訊,該條件資訊顯示「判定可否『向該白名單登記該用戶、該終端及該連線目的地電腦的組合』之條件」; 申請資訊接收裝置,從該連線目的地電腦接收該申請資訊; 登記裝置,參照該條件資訊,基於該申請資訊接收裝置接收到之該申請資訊,判定「該用戶、該終端與該連線目的地電腦之組合」是否登記於該白名單,在判定為登記時,藉由將「該用戶、該終端及該連線目的地電腦的組合」登記於該白名單,以更新該白名單;及 可否資訊傳送裝置,在該登記裝置判定為登記時,將該更新之該白名單傳送到該連線目的地電腦;在判定為不登記時,將表示「未允許登記」之錯誤資訊傳送到該連線目的地電腦; 該連線目的地電腦,更包含: 可否資訊接收裝置,從該終端登記裝置接收該錯誤資訊、及該更新之該白名單,並將該更新之該白名單儲存到該第1白名單儲存裝置;及 錯誤資訊輸出裝置,輸出「該可否資訊接收裝置接收之該錯誤資訊」。
依本發明之第2觀點的終端驗證登記方法,於終端驗證登記系統執行以下步驟: 該終端驗證登記系統,包含: 連線目的地電腦,可驗證用戶終端的遠端桌面連線; 終端登記裝置,登記該終端與該連線目的地電腦之遠端桌面連線; 該連線目的地電腦,執行以下步驟: 用戶資訊取得步驟,取得識別該用戶之用戶資訊; 用戶驗證步驟,參照顯示「允許對於該連線目的地電腦登入的用戶」之驗證資訊,而判定是否允許「該用戶資訊顯示的用戶之登入」; 終端資訊取得步驟,從該終端取得「識別該終端之終端資訊」; 連線可否判定步驟,在該用戶驗證步驟,判定為「允許該用戶資訊所示之用戶的登入」時,參照登記有「允許遠端桌面連線之該用戶、該終端、及該連線目的地電腦之組合的名單」之白名單,判定是否允許遠端桌面連線,該遠端桌面連線係由「『該終端資訊所示之該終端與該連線目的地電腦之該用戶資訊』所示之用戶」來進行; 申請資訊產生步驟,在該連線可否判定步驟判定「不允許遠端桌面連線」時,基於該用戶資訊、該終端資訊、及識別該連線目的地電腦之電腦資訊,產生申請資訊,該申請資訊係利用於對於該白名單登記「該用戶、該終端及該連線目的地電腦之組合」的申請;及 申請資訊傳送步驟,將該申請資訊產生步驟產生之該申請資訊,傳送到該終端登記裝置; 該終端登記裝置,執行以下步驟: 申請資訊接收步驟,從該連線目的地電腦接收該申請資訊; 登記步驟,參照顯示「判定可否向該白名單登記『該用戶、該終端、及該連線目的地電腦之組合』的條件」之條件資訊,並基於該申請資訊接收步驟接收之該申請資訊,判定「該用戶、該終端、及該連線目的地電腦之組合」是否登記於該白名單,在判定為登記之場合,藉由將「該用戶、該終端、及該連線目的地電腦之組合」登記於該白名單,以更新該白名單;及 可否資訊傳送步驟,在該登記步驟判定為登記時,將該更新之該白名單傳送到該連線目的地電腦;在判定為不登記時,將表示「不允許登記」之錯誤資訊傳送到該連線目的地電腦; 該連線目的地電腦,進而執行以下步驟: 可否資訊接收步驟,從該終端登記裝置接收該錯誤資訊及該更新之該白名單,並儲存該更新之該白名單;及 錯誤資訊輸出步驟,輸出在該可否資訊接收步驟接收之該錯誤資訊。
依本發明之第3觀點的電腦可讀取之記錄媒體,記錄有使電腦作為以下裝置發揮功能之程式: 用戶資訊取得裝置,取得「識別用戶之用戶資訊」; 用戶驗證裝置,參照「顯示允許登入之用戶的驗證資訊」,判定「是否允許該用戶資訊顯示之用戶的登入」; 終端資訊取得裝置,從該用戶終端取得「識別該終端之終端資訊」; 白名單儲存裝置,儲存白名單,該白名單係「遠端桌面連線獲得許可之該用戶、該終端、及該終端之連線目的地電腦的組合」之名單; 連線可否判定裝置,在該用戶驗證裝置判定「允許該用戶資訊所示之用戶的登入」時,參照該白名單,並判定是否許可遠端桌面連線,該遠端桌面連線係由「該終端資訊所示之該終端與該終端之連線目的地電腦之該用戶資訊」所示的用戶來進行; 申請資訊產生裝置,在該連線可否判定裝置判定「不允許遠端桌面連線」時,基於該用戶資訊、該終端資訊、及識別「不允許遠端桌面連線之該連線目的地電腦」之電腦資訊,產生申請資訊,該申請資訊係利用於申請「對於該白名單登記該用戶、該終端、及該連線目的地電腦之組合」; 條件資訊儲存裝置,用以儲存條件資訊,該條件資訊顯示「判定可否『向該白名單登記該用戶、該終端及該連線目的地電腦的組合』之條件」; 登記裝置,參照該條件資訊,基於該申請資訊,判定是否將「該用戶、該終端、及該連線目的地電腦之組合」登記於該白名單,在判定為登記時,將「該用戶、該終端、及該連線目的地電腦之組合」登記於該白名單,並更新該白名單; 錯誤資訊產生裝置,在該登記裝置判定為不登記時,產生顯示「不允許登記」之錯誤資訊;及 錯誤資訊輸出裝置,輸出該錯誤資訊。
依本發明之第4觀點的終端驗證裝置,包含: 用戶驗證裝置,取得可識別用戶之用戶資訊,並基於表示「允許對本身裝置登入的用戶」之驗證資訊,判定是否允許「該用戶資訊所識別之用戶的登入」; 終端資訊取得裝置,從對於本身裝置執行遠端桌面連線之終端,取得可識別該終端之終端資訊; 第1儲存裝置,儲存白名單,該白名單係「遠端桌面連線獲得許可之該用戶、該終端、及該終端進行遠端桌面連線之連線目的地電腦的組合」之名單; 連線可否判定裝置,該用戶驗證裝置,在判定「允許該用戶資訊所示之用戶登入」時,參照該白名單,判定是否允許:「該終端資訊所示的該終端與本身裝置之間的該用戶資訊」所示之用戶進行之遠端桌面連線;及 申請資訊產生裝置,在該連線可否判定裝置判定「不允許遠端桌面連線」時,基於該用戶資訊、該終端資訊、及可識別本身裝置之電腦資訊,產生申請資訊,該申請資訊係利用於申請「對於該白名單登記該用戶、該終端、及本身裝置之組合」;並將該產生之該申請資訊,傳送至進行該終端與本身裝置之遠端桌面連線的登記之終端登記裝置。
依本發明之第5觀點的終端驗證方法,由資訊處理裝置,執行以下步驟: 執行用戶驗證,取得可識別用戶之用戶資訊,並基於表示「允許對本身裝置登入的用戶」之驗證資訊,判定是否允許「該用戶資訊所識別之用戶的登入」; 從對於本身裝置執行遠端桌面連線的終端,取得可識別該終端之終端資訊; 在該用戶驗證,判定為「允許該用戶資訊所示的用戶登入」時,參照白名單,該白名單係「獲得遠端桌面連線許可的該用戶、該終端、及該終端進行遠端桌面連線之連線目的地電腦的組合」之名單,而判定是否允許:「該終端資訊所示之該終端與本身裝置之間的該用戶資訊」所示的用戶進行之遠端桌面連線;及 該判定中,在判定為「不允許遠端桌面連線」時,基於該用戶資訊、該終端資訊、及可識別本身裝置之電腦資訊,產生申請資訊,該申請資訊,係利用於申請「對於白名單登記該用戶、該終端、及本身裝置之組合」;並將該產生之該申請資訊,傳送至「進行該終端與本身裝置之遠端桌面連線登記之終端登記裝置」。
依本發明之第6觀點之電腦可讀取之記錄媒體,記錄有在作為終端驗證裝置發揮功能的電腦執行以下處理之電腦程式, 用戶驗證處理,取得可識別用戶之用戶資訊,並基於表示「允許對本身裝置登入的用戶」之驗證資訊,判定是否允許「該用戶資訊所識別之用戶的登入」; 終端資訊取得處理,從對於本身裝置執行遠端桌面連線之終端,取得可識別該終端之終端資訊; 連線可否判定處理,於該用戶驗證處理中,判定為「允許該用戶資訊所示之用戶登入」時,參照白名單,該白名單係「遠端桌面連線獲得許可之該用戶、該終端、及由該終端進行遠端桌面連線之連線目的地電腦之組合」的名單,而判定是否允許在「該終端資訊所示之該終端與本身裝置之間的該用戶資訊」所示的用戶進行之遠端桌面連線;及 申請資訊產生處理,於該連線可否判定處理中,判定為「不允許遠端桌面連線」的情況,基於該用戶資訊、該終端資訊、及可識別本身裝置之電腦資訊,產生申請資訊,該申請資訊係利用於申請「對於白名單登記該用戶、該終端、及本身裝置之組合」;並將該產生之該申請資訊,傳送到「進行該終端與本身裝置之遠端桌面連線登記的終端登記裝置」。 【發明的效果】
依本發明,可以不提高系統的複雜性、成本、及對於用戶而言之利用難易度,而進行遠端桌面系統中的用戶及終端之驗證登記。
接著,就本發明之實施態樣參照圖面詳細說明。以下之實施態樣所記載的構成僅為例示,本發明之技術範圍並不限定於此。
<第1實施態樣> 以下,就實施本發明之第1實施態樣參照圖面詳細說明。又,圖中,相同或是相當的部分,係附加相同的符號。
圖1表示依本發明之第1實施態樣之終端驗證登記系統的構成例之圖式。終端驗證登記系統100,係由用戶終端1、遠端電腦2、及終端登記裝置3構成。終端1,係使用戶與連線目的地電腦進行遠端桌面連線(以下,稱為「RD(Remote Desktop,遠端桌面)連線」)之終端。遠端電腦2與終端登記裝置3係以通信網路(以下,簡稱「網路」)連線。終端1之連線目的地電腦,為遠端電腦2。
遠端電腦2,具備:輸入部21、用戶驗證部22、儲存部23、終端資訊接收部24、連線可否判定部25、RD連線部26、申請資訊產生部27、申請資訊傳送部28及可否資訊接收部29。
從非遠端桌面連線之PC的控制台直接操作的情況,用戶,將識別用戶之用戶資訊輸入到輸入部21,並登入遠端電腦2。
遠端電腦2的輸入部21,受理用戶資訊的輸入,並送到用戶驗證部22。儲存部23儲存驗證資訊,該驗證資訊顯示允許登入遠端電腦2的用戶。關連之驗證資訊,亦可為可識別允許登入遠端電腦2之用戶的資訊。
用戶驗證部22若接收用戶資訊,即參照儲存部23所儲存之驗證資訊,判定(決定)是否允許用戶資訊所示的用戶登入。用戶驗證部22,若允許用戶登入,即將用戶資訊送到連線可否判定部25。
終端1具備:輸入部11、終端資訊傳送部12、儲存部13、RD連線部14、及顯示部15。
用戶為使終端1與遠端電腦2進行遠端桌面連線,將傳送識別終端1之終端資訊的操作,輸入到輸入部11。所謂傳送識別終端1之終端資訊的操作,例如,為起動終端1具備之遠端桌面功能的操作。
終端1的輸入部11一旦受理傳送終端資訊之操作,即將傳送終端資訊指示送到終端資訊傳送部12。
終端資訊傳送部12一旦受理傳送終端資訊之指示,便從儲存部13呼叫出終端資訊,並傳送到遠端電腦2。
終端資訊,至少包含識別終端1之終端識別資訊,並包含顯示終端1之種類的終端種類資訊、表示安裝於終端1的軟體之種類或版本的軟體資訊等。
遠端電腦2之終端資訊接收部24一旦從終端1接收終端資訊,即將該終端資訊送到連線可否判定部25。儲存部23儲存白名單,該白名單係儲存有獲得RD連線許可的用戶、終端、及連線目的地電腦的組合之名單。即,白名單係將,獲得RD連線許可的用戶、終端、及連線目的地電腦附加關連之組合,作為名單登記。又,相關之實現白名單的資料之保存形式,並不限於名單構造,亦可適宜採用適當保存形式。
連線可否判定部25一旦從用戶驗證部22接收用戶資訊,並從終端資訊接收部24接收終端資訊,即參照儲存部23所儲存之白名單,判定是否允許用戶終端1與遠端電腦2之RD連線。
又,當用戶從終端1對於遠端電腦2進行RD連線,而操作遠端電腦2時,終端1的輸入部11受理用戶資訊的輸入,而終端資訊傳送部12將用戶資訊傳送到遠端電腦2。遠端電腦2之連線可否判定部25,從終端1接收用戶資訊,並將用戶資訊送到用戶驗證部22,而接收用戶登入之可否判定結果。
在白名單中登記有用戶、終端1、及遠端電腦2之組合時,連線可否判定部25判定允許用戶終端1與遠端電腦2之RD連線,並將終端1之RD連線的授權金鑰送到RD連線部26。
RD連線部26,若接收終端1之RD連線的授權金鑰,即執行與終端1之RD連線部14的RD連線。
在白名單中未登記用戶、終端1、及遠端電腦2之組合時,連線可否判定部25判定用戶、終端1、及遠端電腦2之組合不允許RD連線,並將用戶資訊及終端資訊送到申請資訊產生部27。儲存部23儲存識別遠端電腦2之電腦資訊。
申請資訊產生部27,基於從連線可否判定部25接收到的用戶資訊及終端資訊、及儲存部23儲存之電腦資訊,產生申請資訊;該申請資訊係利用於申請對於白名單登記用戶、終端1、及遠端電腦2之組合。申請資訊產生部27,將產生之申請資訊送到申請資訊傳送部28。又,申請資訊的產生,亦可由用戶經由輸入部21而於申請資訊產生部27指示。
申請資訊傳送部28一旦接收申請資訊,即將其傳送到終端登記裝置3。
終端登記裝置3,亦可具備申請資訊接收部31、登記部32、儲存部33、及可否資訊傳送部34。
申請資訊接收部31一旦從遠端電腦2接收申請資訊,即送到登記部32。儲存部33儲存條件資訊,該儲存條件資訊顯示:決定(判定)是否登記(登記可否)白名單、及對於此白名單之用戶、終端1、及連線目的地電腦之組合的條件。
條件資訊,例如,亦可為可對於1人之用戶登記到n台的終端1的資訊、或是指定安裝之安全軟體的種類或版本的資訊。又,條件資訊亦可為,當加入檔案共有軟體這種風險高的軟體時,設定為「無法登記」的資訊。又,條件資訊,亦可為指定允許登記的終端種類的資訊。又,條件資訊在以已登記的用戶、終端1、遠端電腦2之組合來接收申請資訊時,亦可為以下資訊:判斷為已登記的資訊有誤而設定為無法登記之資訊。又,條件資訊,亦可為上述例示以外的資訊。
登記部32一旦接收申請資訊,即參照儲存部33儲存之條件資訊,而判定是否登記於白名單。又,登記部32亦可受理系統管理者的輸入,由系統管理者閲覽申請資訊,並輸入可否登記於白名單。
決定登記於白名單時,登記部32,將申請資訊所示之用戶、終端1、及遠端電腦2之組合,登記於儲存部33儲存之白名單。又,登記部32,將更新之白名單送到可否資訊傳送部34。此時,由於登記部32減輕處理速度及負荷,亦可送出白名單之差分資料。
當決定不登記於白名單時,登記部32產生顯示不可登記之錯誤資訊,並將該產生之錯誤資訊送到可否資訊傳送部34。
可否資訊傳送部34,將從登記部32接收之白名單(差分資料)及錯誤資訊,傳送到遠端電腦2。
遠端電腦2之可否資訊接收部29一旦從終端登記裝置3接收白名單(差分資料),即基於這些資料,更新儲存部23儲存之白名單。另一方面,若從終端登記裝置3接收錯誤資訊,可否資訊接收部29,即將錯誤資訊傳送到終端1。
終端1之顯示部15,顯示接收之錯誤資訊,並向用戶通報無法登記終端1。錯誤資訊之輸出,不限於畫面顯示,亦可為聲音輸出,亦可於儲存部13記錄為log(日誌)資訊。又,顯示錯誤資訊的顯示部,如同圖1中以虛線表示之顯示部15a般,亦可具備遠端電腦2。
又,白名單亦可為由終端登記裝置3或是遠端電腦2之任一者儲存之構成。在只有終端登記裝置3儲存白名單的情況,遠端電腦2,藉由在終端登記裝置3存取而參照白名單,假想為儲存有白名單。在只有遠端電腦2儲存白名單的情況,終端登記裝置3藉由在遠端電腦2存取而參照白名單,假想為儲存有白名單。又,後者的情況,禁止由遠端電腦2更新白名單,而只能由終端登記裝置3編輯白名單。
又,遠端電腦2的連線可否判定部25,亦可就無法登入之用戶,判定為不允許該用戶、終端1、及遠端電腦2的組合之RD連線,而將無法登入的用戶之用戶資訊及終端資訊,送到申請資訊產生部27。此時,申請資訊產生部27,基於從連線可否判定部25接收到的用戶資訊及終端資訊、及儲存部23儲存的電腦資訊,產生刪除申請資訊;該刪除申請資訊,係利用於申請:將無法登入的用戶、終端1、及遠端電腦2之組合,從白名單刪除。申請資訊傳送部28,將刪除申請資訊傳送到終端登記裝置3。
終端登記裝置3中的申請資訊接收部31,從遠端電腦2接收刪除申請資訊。登記部32,將刪除申請資訊所示之用戶、終端1、及遠端電腦2之組合,從白名單刪除。可否資訊傳送部34,將更新之白名單(差分資料),傳送到遠端電腦2。
圖1所示之具體例中,雖然係記載遠端電腦2及終端1分別為1台之情形,但遠端電腦2及終端1亦可為複數台。
圖2表示依第1實施態樣之白名單之構成的一例之圖式。白名單係由以下各部份構成:識別用戶之「用戶資訊」、識別終端1之「終端識別資訊」、識別與終端1進行RD連線之連線目的地的電腦之「連線目的地電腦名」、顯示終端1與連線目的地之遠端電腦2的RD連線之連線許可與遮斷之「許可旗標」、顯示終端1的種類之「終端種類」、及顯示終端1之RD連線的授權金鑰之「RD授權金鑰」。
「用戶資訊」例如為用戶ID(Identifier,身份)。「終端識別資訊」例如為終端個體識別號碼。「連線目的地電腦名」例如為遠端電腦2之名稱。「終端種類」例如為控制台、iOS(蘋果作業系統)(登記商標)、Android(安卓作業系統)(登記商標)等。例如,若「終端種類」為控制台,則「許可旗標」亦可總是允許連線。
終端登記裝置3的登記部32,當決定登記於白名單時,基於包含於申請資訊之用戶資訊、終端資訊、及電腦資訊,輸入白名單的各項目。此時,當登記部32追加白名單時,重新賦予「RD授權金鑰」。在白名單與已登記之其他終端1交替的情況,「RD授權金鑰」亦可不作變更。
圖2之例子中,雖然白名單係以「用戶資訊」、「終端識別資訊」、「連線目的地電腦名」、「許可旗標」、「終端種類」及「RD授權金鑰」構成,然而,「許可旗標」、「終端種類」及「RD授權金鑰」,亦可不包含於白名單中。「RD授權金鑰」未包含於白名單時,連線可否判定部25,將允許終端1之RD連線的資訊送到RD連線部26,RD連線部26執行RD連線。
圖3表示依第1實施態樣之驗證申請處理之動作的一例之流程圖。一旦用戶連線遠端電腦2,便開始圖3之流程圖的驗證申請處理。
遠端電腦2之終端資訊接收部24,在未從終端1接收到終端資訊的情況(步驟S11:否),重覆步驟S11而等待終端資訊之接收。在從終端1接收到終端資訊的情況(步驟S11:是),終端資訊接收部24,將終端資訊送到連線可否判定部25。
連線可否判定部25一旦接收用戶資訊及終端資訊,便藉由參照儲存部23儲存之白名單,判定是否允許終端資訊所示之終端1與遠端電腦2之,由用戶資訊所示的用戶進行RD連線(步驟S12)。當允許RD連線時(步驟S12:是),連線可否判定部25,將終端1之RD連線的授權金鑰送到RD連線部26。
RD連線部26一旦接收終端1之RD連線的授權金鑰,即執行與終端1之RD連線部14之RD連線(步驟S13),並將處理移至步驟S20進行。
當不允許RD連線時(步驟S12:否),連線可否判定部25,將用戶資訊及終端資訊送到申請資訊產生部27。
申請資訊產生部27,基於從連線可否判定部25接收到的用戶資訊及終端資訊、及儲存部23儲存之電腦資訊,產生申請向終端1的白名單登記之申請資訊(步驟S14)。申請資訊產生部27,將產生之申請資訊,送到申請資訊傳送部28。
申請資訊傳送部28一旦接收申請資訊,即將其傳送到終端登記裝置3 (步驟S15)。
當從終端登記裝置3接收到白名單(差分資料)時(步驟S16:是),可否資訊接收部29基於這些資料,更新儲存部23儲存之白名單(步驟S17)。
當未從終端登記裝置3接收到白名單(差分資料)時(步驟S16:否),可否資訊接收部29一旦從終端登記裝置3接收錯誤資訊(步驟S18),即將錯誤資訊傳送到終端1(步驟S19)。終端1之顯示部15,顯示接收之錯誤資訊。
當遠端電腦2電源未關閉、用戶未登出時(步驟S20:否),終端資訊接收部24從步驟S11續行處理。又,重覆執行上述說明過之各步驟S11~步驟S20。當遠端電腦2電源關閉而結束連線時(步驟S20:是),遠端電腦2之各構成要素,結束處理。
圖4表示依第1實施態樣之登記處理之動作的一例之流程圖。一旦終端登記裝置3起動,便開始圖4之流程圖登記處理。
當終端登記裝置3之申請資訊接收部31,未從遠端電腦2接收申請資訊時(步驟S21:否),重覆步驟S21而等待申請資訊的接收。當從終端1接收到申請資訊時(步驟S21:是),申請資訊接收部31,將申請資訊送到登記部32。
登記部32一旦接收申請資訊,即參照儲存部33儲存之條件資訊,並判定申請資訊所示之用戶、終端1、及遠端電腦2之組合,是否登記於白名單(步驟S22)。
當決定未登記於白名單時(步驟S22:否),登記部32產生顯示「無法登記」之錯誤資訊,並將該產生之錯誤資訊,送到可否資訊傳送部34。可否資訊傳送部34,將錯誤資訊傳送到遠端電腦2(步驟S23)。
當決定登記於白名單時(步驟S22:是),登記部32,藉由將申請資訊所示之用戶、終端1、及遠端電腦2之組合登記於白名單,以更新白名單(步驟S24)。又,登記部32,將更新之白名單送到可否資訊傳送部34。可否資訊傳送部34,將更新之白名單傳送到遠端電腦2(步驟S25)。
終端登記裝置3未關閉電源時(步驟S26:否),回到步驟S21,並重覆步驟S21~步驟S26。終端登記裝置3關閉電源時(步驟S26:是),結束處理。
上述實施態樣中的終端驗證登記系統100,可以不提高系統的複雜性、成本、及對於用戶而言之利用難易度,而執行遠端桌面系統中的用戶及終端之驗證登記。
上述第1實施態樣中,雖然連線終端1與遠端電腦2而傳送終端資訊,但是終端驗證登記系統100並不限於此,亦可採用使用終端1之郵件機能,而將終端資訊傳送到既定的郵件地址之構成。此時,遠端電腦2,接收此郵件而取得終端資訊。藉此,由於在於公司內部系統使用未知的終端1的許可出來前,無需連線公司內部系統,故安全性更為提高。
<第2實施態樣> 以下,就關於本發明之第2實施態樣的終端驗證裝置500,參照圖5加以說明。
依本實施態樣之終端驗證裝置500,具有:用戶驗證部501、終端資訊取得部502、第1儲存部503、連線可否判定部504、及申請資訊產生部505。又,構成依本實施態樣之終端驗證裝置500之這些構成要素之間,亦可藉由任意之通信回路等,而可通信地連線。以下,就這些構成要素加以說明。
用戶驗證部501取得可識別用戶之用戶資訊,並基於表示允許向終端驗證裝置500登入的用戶之驗證資訊,決定是否允許該用戶資訊所識別之用戶登入。相關之用戶驗證部501,例如,亦可與該第1實施態樣中的用戶驗證部22相同。
終端資訊取得部502,從對終端驗證裝置500執行遠端桌面連線之(任意的)終端,取得可識別該終端之終端資訊。相關之終端資訊取得部502,例如,亦可與上述第1實施態樣中之終端資訊接收部24相同。
第1儲存部503儲存白名單,該白名單係儲存有遠端桌面連線獲得許可之該用戶、該終端、及該終端進行遠端桌面連線之連線目的地電腦的組合之名單。該終端進行遠端桌面連線之連線目的地電腦,亦可為終端驗證裝置500。第1儲存部503,亦可儲存該驗證資訊。相關之第1儲存部503,例如,亦可與上述第1實施態樣中的儲存部23相同。
連線可否判定部504,在該用戶驗證部501判定「允許該用戶資訊所示之用戶登入」時,參照該白名單。連線可否判定部504,基於該參照之白名單的內容,判定是否允許該終端資訊所示之該終端與終端驗證裝置500之間的由該用戶資訊所示之用戶進行之遠端桌面連線。關連之連線可否判定部504,例如,亦可與上述第1實施態樣中的連線可否判定部25相同。
申請資訊產生部505,在連線可否判定部504判定「不允許遠端桌面連線」時,執行以下的處理。即,申請資訊產生部505,基於該用戶資訊、該終端資訊、及可識別終端驗證裝置500的電腦資訊,產生申請資訊;該申請資訊係利用於申請「對於白名單登記該用戶、該終端、及本身裝置之組合」。申請資訊產生部505將該產生之該申請資訊,傳送到進行該終端與終端驗證裝置500之遠端桌面連線的登記之終端登記裝置。關連之申請資訊產生部505,例如,亦可作為上述第1實施態樣中的申請資訊產生部27及申請資訊傳送部28發揮功能。
如上述般構成之本實施態樣中的終端驗證裝置500,可以不提高系統的複雜性、成本、及對於用戶而言之利用難易度,而進行遠端桌面系統中的用戶及終端之驗證登記。
其理由在於,當某個終端在連線目的地電腦進行遠端桌面連線時,藉由產生要求該終端之遠端桌面連線的許可之許可申請,並將其傳送到終端登記裝置,可以重新進行終端之驗證登記之故。
<硬體及軟體(電腦程式)的構成> 圖6為顯示可實現依本發明之各實施態樣之終端登記裝置及連線目的地電腦之硬體構成的一例之方塊圖。可實現遠端電腦2、終端登記裝置3、及終端驗證裝置500之硬體,係如圖6所示般,具備控制部61、主儲存部62、外部儲存部63、操作部64、顯示部65、輸入輸出部66及發送接收部67。主儲存部62、外部儲存部63、操作部64、顯示部65、輸入輸出部66及發送接收部67,任一者均經由內部匯流排60而可通信地連線控制部61。
控制部61係由CPU(Central Processing Unit)等構成,並依照儲存於外部儲存部63之控制程式69,執行遠端電腦2之用戶驗證部22、連線可否判定部25、RD連線部26、申請資訊產生部27及可否資訊接收部29、及終端登記裝置3的登記部32,中的各種處理。
又,控制部61係由CPU(Central Processing Unit,中央處理單元)等構成,且亦可依照儲存於外部儲存部63之控制程式69,執行終端驗證裝置500之用戶驗證部501、連線可否判定部504、及申請資訊產生部505中的各種處理。
主儲存部62係由RAM(Random-Access Memory,隨機存取記憶體)等構成,載入儲存於外部儲存部63之控制程式69,並作為控制部61之作業區域來使用。
外部儲存部63係由快閃記憶體(Flash Memory)、硬碟(Hard Disk)、DVD-RAM(Digital Versatile Disc Random-Access Memory,DVD直接存取記憶體標準)、DVD-RW(Digital Versatile Disc ReWritable,可再寫入DVD)等非揮發性記憶體構成。外部儲存部63,預先儲存遠端電腦2、終端登記裝置3、或是使終端驗證裝置500的處理於控制部61進行用之程式。又,外部儲存部63依照控制部61的指示,將此程式儲存的資料供給到控制部61,並將從控制部61供給的資料儲存。遠端電腦2的儲存部23、終端驗證裝置500的第1儲存部503、及終端登記裝置3的儲存部33,係藉由外部儲存部63構成。
操作部64係由鍵盤及滑鼠等指向裝置等、及將鍵盤及指向裝置等連線內部匯流排60之介面裝置構成。當用戶直接將資訊輸入遠端電腦2或是終端登記裝置3時,經由操作部64,供給輸入之資訊到控制部61。操作部64,作為遠端電腦2的輸入部21發揮功能。
顯示部65係由CRT(Cathode Ray Tube,陰極射線管)或是LCD(Liquid Crystal Display,液晶顯示)等構成,當用戶直接將資訊輸入遠端電腦2或是終端登記裝置3時,顯示操作畫面。顯示部65,在遠端電腦2具備顯示部的構成中,作為此顯示部發揮功能。
輸入輸出部66,由串列介面或是平行介面構成。輸入輸出部66,當在遠端電腦2或是終端登記裝置3有其他裝置附屬時,係與關連之其他裝置連線。
發送接收部67,係由連線網路之網終端裝置或是無線通信裝置、及與它們連線之串列介面或是LAN(Local Area Network,區域網路)介面等構成。發送接收部67係作為以下各部發揮功能:遠端電腦2的終端資訊接收部24、申請資訊傳送部28與可否資訊接收部29、及終端登記裝置3的申請資訊接收部31及可否資訊傳送部34。又,發送接收部67亦可作為以下各部發揮功能:終端驗證裝置500中的終端資訊取得部502、及申請資訊產生部505。
圖1所示之遠端電腦2的輸入部21、用戶驗證部22、儲存部23、終端資訊接收部24、連線可否判定部25、RD連線部26、申請資訊產生部27、申請資訊傳送部28與可否資訊接收部29、終端登記裝置3的申請資訊接收部31、登記部32、儲存部33及可否資訊傳送部34中的各種處理,係藉由控制程式69將控制部61、主儲存部62、外部儲存部63、操作部64、顯示部65、輸入輸出部66及發送接收部67等作為資源使用而處理,以執行。
又,圖5所例示之終端驗證裝置500中的用戶驗證部501、終端資訊取得部502、申請資訊產生部505、連線可否判定部504之各種處理,係藉由控制程式69將控制部61、主儲存部62、外部儲存部63、操作部64、顯示部65、輸入輸出部66及發送接收部67等作為資源使用而處理,來執行。
此外,上述硬體構成或流程圖僅為一例,可以任意地變更及修正。
成為進行控制處理的中心之部分,可不藉由專用的系統,而使用一般的電腦系統而實現;該控制處理係由控制部61、主儲存部62、外部儲存部63、及內部匯流排60等構成。例如,亦可將用以執行上述動作的電腦程式,儲存於電腦可讀取之記憶媒體(軟碟(flexible disk)、CD-ROM、DVD-ROM等)而發佈,並藉由將該電腦程式安裝於電腦,以構成執行該處理之終端驗證登記系統。又,亦可事先將該電腦程式儲存在網際網路等通信網路上之伺服器裝置所具有的儲存裝置,並藉由一般的電腦系統將該電腦程式下載等,以構成終端驗證登記系統。
又,在將終端驗證登記系統的功能,藉由OS(Operating System,作業系統)與應用程式的分擔,或是OS與應用程式之協同運作,而加以實現的情況等,亦可只將應用程式的部分儲存於記憶媒體(記錄媒體)或儲存裝置。
又,亦可使電腦程式重疊於載波,並經由通信網路遞送。例如,亦可在通信網路上的佈告欄(BBS:Bulletin Board System,電子佈告欄)公佈該電腦程式,並經由網路遞送該電腦程式。又,亦可構成為:藉由將此電腦程式起動,並在OS的控制下與其他應用程式同樣地執行,可以執行該處理。
以上,參照該各實施態樣說明本發明,但本發明並非限定於該各實施態樣者。在本發明之構成或詳細內容上,均可在本發明的範圍內,進行所屬技術領域中具通常知識者能理解之各種變更。
又,本申請案,係以2013年10月3日於日本提出申請之日本特願2013-208410為基礎主張優先權,故其揭示均涉及於此。 【產業利用性】
本發明可適用於提供遠端桌面連線之系統。
1‧‧‧終端
2‧‧‧遠端電腦
3‧‧‧終端登記裝置
11‧‧‧輸入部
12‧‧‧終端資訊傳送部
13‧‧‧儲存部
14‧‧‧RD連線部
15‧‧‧顯示部
21‧‧‧輸入部
22‧‧‧用戶驗證部
23‧‧‧儲存部
24‧‧‧終端資訊接收部
25‧‧‧連線可否判定部
26‧‧‧RD連線部
27‧‧‧申請資訊產生部
28‧‧‧申請資訊傳送部
29‧‧‧可否資訊接收部
31‧‧‧申請資訊接收部
32‧‧‧登記部
33‧‧‧儲存部
34‧‧‧可否資訊傳送部
60‧‧‧內部匯流排
61‧‧‧控制部
62‧‧‧主儲存部
63‧‧‧外部儲存部
64‧‧‧操作部
65‧‧‧顯示部
66‧‧‧輸入輸出部
67‧‧‧發送接收部
69‧‧‧控制程式
100‧‧‧終端驗證登記系統
500‧‧‧終端驗證裝置
501‧‧‧用戶驗證部
502‧‧‧終端資訊取得部
503‧‧‧第1儲存部
504‧‧‧連線可否判定部
505‧‧‧申請資訊產生部
S11~S26‧‧‧步驟
2‧‧‧遠端電腦
3‧‧‧終端登記裝置
11‧‧‧輸入部
12‧‧‧終端資訊傳送部
13‧‧‧儲存部
14‧‧‧RD連線部
15‧‧‧顯示部
21‧‧‧輸入部
22‧‧‧用戶驗證部
23‧‧‧儲存部
24‧‧‧終端資訊接收部
25‧‧‧連線可否判定部
26‧‧‧RD連線部
27‧‧‧申請資訊產生部
28‧‧‧申請資訊傳送部
29‧‧‧可否資訊接收部
31‧‧‧申請資訊接收部
32‧‧‧登記部
33‧‧‧儲存部
34‧‧‧可否資訊傳送部
60‧‧‧內部匯流排
61‧‧‧控制部
62‧‧‧主儲存部
63‧‧‧外部儲存部
64‧‧‧操作部
65‧‧‧顯示部
66‧‧‧輸入輸出部
67‧‧‧發送接收部
69‧‧‧控制程式
100‧‧‧終端驗證登記系統
500‧‧‧終端驗證裝置
501‧‧‧用戶驗證部
502‧‧‧終端資訊取得部
503‧‧‧第1儲存部
504‧‧‧連線可否判定部
505‧‧‧申請資訊產生部
S11~S26‧‧‧步驟
【圖1】表示依本發明之第1實施態樣之終端驗證登記系統的構成例之圖式。 【圖2】表示依第1實施態樣之白名單之構成的一例之圖式。 【圖3】表示依第1實施態樣之驗證申請處理之動作的一例之流程圖。 【圖4】表示依第1實施態樣之登記處理之動作的一例之流程圖。 【圖5】表示依本發明之第2實施態樣之終端驗證裝置的構成之例子的圖式。 【圖6】表示依本發明之各實施態樣之終端登記裝置及連線目的地電腦的硬體構成之一例之方塊圖。
1‧‧‧終端
2‧‧‧遠端電腦
3‧‧‧終端登記裝置
11‧‧‧輸入部
12‧‧‧終端資訊傳送部
13‧‧‧儲存部
14‧‧‧RD連線部
15‧‧‧顯示部
15a‧‧‧顯示部
21‧‧‧輸入部
22‧‧‧用戶驗證部
23‧‧‧儲存部
24‧‧‧終端資訊接收部
25‧‧‧連線可否判定部
26‧‧‧RD(Remote Desktop,遠端桌面)連線部
27‧‧‧申請資訊產生部
28‧‧‧申請資訊傳送部
29‧‧‧可否資訊接收部
31‧‧‧申請資訊接收部
32‧‧‧登記部
33‧‧‧儲存部
34‧‧‧可否資訊傳送部
100‧‧‧終端驗證登記系統
Claims (12)
- 一種終端驗證登記系統,包含: 連線目的地電腦,可驗證用戶終端的遠端桌面連線;及 終端登記裝置,登記該終端與該連線目的地電腦之遠端桌面連線; 該連線目的地電腦,包含: 用戶資訊取得裝置,取得識別該用戶之用戶資訊; 用戶驗證裝置,參照顯示「允許對於該連線目的地電腦登入的用戶」之驗證資訊,而判定是否允許「該用戶資訊顯示的用戶之登入」; 終端資訊取得裝置,從該終端取得「識別該終端之終端資訊」; 第1白名單儲存裝置,用以儲存白名單,該白名單登記有「遠端桌面連線獲得許可之該用戶、該終端及該連線目的地電腦的組合」之名單; 連線可否判定裝置,在該用戶驗證裝置,判定允許「該用戶資訊顯示之用戶的登入」時,參照該白名單,判定是否允許「『該終端資訊所示之該終端與該連線目的地電腦之該用戶資訊』所示之用戶」所進行的遠端桌面連線; 申請資訊產生裝置,在該連線可否判定裝置判定「不允許遠端桌面連線」時,基於該用戶資訊、該終端資訊、及識別該連線目的地電腦之電腦資訊,產生申請資訊,該申請資訊係利用於對於該白名單登記「該用戶、該終端及該連線目的地電腦的組合」之申請;及 申請資訊傳送裝置,將該申請資訊產生裝置產生之該申請資訊,傳送到該終端登記裝置; 該終端登記裝置,包含: 第2白名單儲存裝置,儲存該白名單; 條件資訊儲存裝置,用以儲存:顯示「判定可否『向該白名單登記該用戶、該終端及該連線目的地電腦的組合』之條件」的條件資訊; 申請資訊接收裝置,從該連線目的地電腦接收該申請資訊; 登記裝置,參照該條件資訊,基於該申請資訊接收裝置接收到之該申請資訊,判定「該用戶、該終端與該連線目的地電腦之組合」是否登記於該白名單,在判定為登記時,藉由將「該用戶、該終端及該連線目的地電腦的組合」登記於該白名單,以更新該白名單;及 可否資訊傳送裝置,在該登記裝置判定為登記時,將該更新之該白名單傳送到該連線目的地電腦;在判定為不登記時,將表示「未允許登記」之錯誤資訊傳送到該連線目的地電腦; 該連線目的地電腦,更包含: 可否資訊接收裝置,從該終端登記裝置接收該錯誤資訊、及該更新之該白名單,並將該更新之該白名單儲存到該第1白名單儲存裝置;及 錯誤資訊輸出裝置,輸出「該可否資訊接收裝置接收之該錯誤資訊」。
- 如申請專利範圍第1項記載之終端驗證登記系統,其中, 該終端資訊取得裝置,接收從該終端傳送到既定的郵件地址之該終端資訊。
- 一種終端驗證登記方法,於終端驗證登記系統中執行以下步驟: 該終端驗證登記系統,包含: 連線目的地電腦,可驗證用戶終端的遠端桌面連線;及 終端登記裝置,登記該終端與該連線目的地電腦之遠端桌面連線; 該連線目的地電腦,執行以下步驟: 用戶資訊取得步驟,取得識別該用戶之用戶資訊; 用戶驗證步驟,參照顯示「允許對於該連線目的地電腦登入的用戶」之驗證資訊,而判定是否允許「該用戶資訊顯示的用戶之登入」; 終端資訊取得步驟,從該終端取得「識別該終端之終端資訊」; 連線可否判定步驟,在該用戶驗證步驟,判定為「允許該用戶資訊所示之用戶的登入」時,參照登記有「允許遠端桌面連線之該用戶、該終端、及該連線目的地電腦之組合的名單」之白名單,判定是否允許遠端桌面連線,該遠端桌面連線係由「『該終端資訊所示之該終端與該連線目的地電腦之該用戶資訊』所示之用戶」來進行; 申請資訊產生步驟,在該連線可否判定步驟判定「不允許遠端桌面連線」時,基於該用戶資訊、該終端資訊、及識別該連線目的地電腦之電腦資訊,產生申請資訊,該申請資訊係利用於對於該白名單登記「該用戶、該終端及該連線目的地電腦之組合」的申請;及 申請資訊傳送步驟,將該申請資訊產生步驟產生之該申請資訊,傳送到該終端登記裝置; 該終端登記裝置,執行以下步驟: 申請資訊接收步驟,從該連線目的地電腦接收該申請資訊; 登記步驟,參照顯示「判定可否向該白名單登記『該用戶、該終端、及該連線目的地電腦之組合』的條件」之條件資訊,並基於該申請資訊接收步驟接收之該申請資訊,判定「該用戶、該終端、及該連線目的地電腦之組合」是否登記於該白名單,在判定為登記之場合,藉由將「該用戶、該終端、及該連線目的地電腦之組合」登記於該白名單,以更新該白名單;及 可否資訊傳送步驟,在該登記步驟判定為登記時,將該更新之該白名單傳送到該連線目的地電腦;在判定為不登記時,將表示「不允許登記」之錯誤資訊傳送到該連線目的地電腦; 該連線目的地電腦,進而執行以下步驟: 可否資訊接收步驟,從該終端登記裝置接收該錯誤資訊及該更新之該白名單,並儲存該更新之該白名單;及 錯誤資訊輸出步驟,輸出在該可否資訊接收步驟接收之該錯誤資訊。
- 如申請專利範圍第3項記載之終端驗證登記方法,其中, 於該終端資訊取得步驟中,接收從該終端傳送到既定的郵件地址之該終端資訊。
- 一種電腦可讀取之記錄媒體,記錄有使電腦作為以下裝置發揮功能之程式: 用戶資訊取得裝置,取得「識別用戶之用戶資訊」; 用戶驗證裝置,參照「顯示允許登入之用戶的驗證資訊」,判定「是否允許該用戶資訊顯示之用戶的登入」; 終端資訊取得裝置,從該用戶終端取得「識別該終端之終端資訊」; 白名單儲存裝置,儲存白名單,該白名單係「許可遠端桌面連線之該用戶、該終端、及該終端之連線目的地電腦的組合」之名單; 連線可否判定裝置,在該用戶驗證裝置判定「允許該用戶資訊所示之用戶的登入」時,參照該白名單,並判定是否許可遠端桌面連線,該遠端桌面連線係由「該終端資訊所示之該終端與該終端之連線目的地電腦之該用戶資訊」所示的用戶來進行; 申請資訊產生裝置,在該連線可否判定裝置判定「不允許遠端桌面連線」時,基於該用戶資訊、該終端資訊、及識別「不允許遠端桌面連線之該連線目的地電腦」之電腦資訊,產生申請資訊,該申請資訊係利用於申請「對於該白名單登記該用戶、該終端、及該連線目的地電腦之組合」; 條件資訊儲存裝置,用以儲存條件資訊,該條件資訊顯示「判定可否『向該白名單登記該用戶、該終端及該連線目的地電腦的組合』之條件」; 登記裝置,參照該條件資訊,基於該申請資訊,判定是否將「該用戶、該終端、及該連線目的地電腦之組合」登記於該白名單,在判定為登記時,將「該用戶、該終端、及該連線目的地電腦之組合」登記於該白名單,並更新該白名單; 錯誤資訊產生裝置,在該登記裝置判定為不登記時,產生顯示「不允許登記」之錯誤資訊;及 錯誤資訊輸出裝置,輸出該錯誤資訊。
- 一種終端驗證裝置,包含: 用戶驗證裝置,取得可識別用戶之用戶資訊,並基於表示「允許對本身裝置登入的用戶」之驗證資訊,判定是否允許「該用戶資訊所識別之用戶的登入」; 終端資訊取得裝置,從對於本身裝置執行遠端桌面連線之終端,取得可識別該終端之終端資訊; 第1儲存裝置,儲存白名單,該白名單係「遠端桌面連線獲得許可之該用戶、該終端、及該終端進行遠端桌面連線之連線目的地電腦的組合」之名單; 連線可否判定裝置,該用戶驗證裝置,在判定「允許該用戶資訊所示之用戶登入」時,參照該白名單,判定是否允許:「該終端資訊所示的該終端與本身裝置之間的該用戶資訊」所示之用戶進行之遠端桌面連線;及 申請資訊產生裝置,在該連線可否判定裝置判定「不允許遠端桌面連線」時,基於該用戶資訊、該終端資訊、及可識別本身裝置之電腦資訊,產生申請資訊,該申請資訊係利用於申請「對於該白名單登記該用戶、該終端、及本身裝置之組合」;並將該產生之該申請資訊,傳送至進行該終端與本身裝置之遠端桌面連線的登記之終端登記裝置。
- 如申請專利範圍第6項記載之終端驗證裝置,更包含: 可否資訊接收裝置,其可從該終端登記裝置,接收表示「不允許該終端與本身裝置之遠端桌面連線的登記」之錯誤資訊,及,可接收「允許該終端與本身裝置之遠端桌面連線的登記」時,「遠端桌面連線獲得許可之該用戶、該終端、及該終端進行遠端桌面連線之連線目的地電腦的組合」之名單;並於接收到該名單時,將該名單儲存到該第1儲存裝置;及 錯誤資訊輸出裝置,輸出「該可否資訊接收裝置接收之該錯誤資訊」。
- 如申請專利範圍第7項記載之終端驗證裝置,其中, 在該終端登記裝置儲存有該白名單的情況, 該可否資訊接收裝置,從該終端登記裝置接收:允許「該終端及本身裝置之遠端桌面連線的登記」時,在該終端登記裝置中更新之該白名單的差分,並將該差分儲存到該第1儲存裝置。
- 一種終端登記裝置,將「用戶終端」與「申請專利範圍第6或7項記載之終端驗證裝置亦即連線目的地電腦」之間的遠端桌面連線進行登記; 該終端登記裝置,具有: 第2儲存裝置,儲存白名單,該白名單係「遠端桌面連線獲得許可之該用戶、該終端、及該連線目的地電腦之組合」的名單; 條件資訊儲存裝置,儲存條件資訊,該條件資訊顯示:判定是否對於該白名單登記「該用戶、該終端、及該連線目的地電腦之組合」的條件; 申請資訊接收裝置,從該連線目的地電腦接收申請資訊,該申請資訊,係利用於申請「對於該白名單登記該用戶、該終端、及該連線目的地電腦之組合」; 登記裝置,參照該條件資訊,基於該申請資訊接收裝置所接收之該申請資訊,判定「該用戶、該終端、及該連線目的地電腦之組合」是否登記於該白名單;在判定為登記時,於該白名單登記「該用戶、該終端、及該連線目的地電腦之組合」,並更新該白名單;及 可否資訊傳送裝置,在該登記裝置,判定為登記時,將該更新之該白名單傳送到該連線目的地電腦;在判定為不登記時,將顯示「不允許登記」之錯誤資訊傳送到該連線目的地電腦。
- 如申請專利範圍第9項記載之終端登記裝置,其中, 該可否資訊傳送裝置,在該登記裝置判定登記「該用戶、該終端、及該連線目的地電腦之組合」到該白名單時,將該登記裝置所進行之更新前後的該白名單之差分,傳送到該連線目的地電腦。
- 一種終端驗證方法,由資訊處理裝置進行以下步驟: 執行用戶驗證,取得可識別用戶之用戶資訊,並基於表示「允許對本身裝置登入的用戶」之驗證資訊,判定是否允許「該用戶資訊所識別之用戶的登入」; 從對於本身裝置執行遠端桌面連線的終端,取得可識別該終端之終端資訊; 在該用戶驗證,判定為「允許該用戶資訊所示的用戶登入」時,參照白名單,該白名單係「獲得遠端桌面連線許可的該用戶、該終端、及該終端進行遠端桌面連線之連線目的地電腦的組合」之名單,而判定是否允許:「該終端資訊所示之該終端與本身裝置之間的該用戶資訊」所示的用戶進行之遠端桌面連線;及 該判定中,在判定為「不允許遠端桌面連線」時,基於該用戶資訊、該終端資訊、及可識別本身裝置之電腦資訊,產生申請資訊,該申請資訊,係利用於申請「對於白名單登記該用戶、該終端、及本身裝置之組合」;並將該產生之該申請資訊,傳送至「進行該終端與本身裝置之遠端桌面連線登記之終端登記裝置」。
- 一種電腦可讀取之記錄媒體,記錄有在作為終端驗證裝置發揮功能的電腦執行以下處理之電腦程式: 用戶驗證處理,取得可識別用戶之用戶資訊,並基於表示「允許對本身裝置登入的用戶」之驗證資訊,判定是否允許「該用戶資訊所識別之用戶的登入」; 終端資訊取得處理,從對於本身裝置執行遠端桌面連線之終端,取得可識別該終端之終端資訊; 連線可否判定處理,於該用戶驗證處理中,判定為「允許該用戶資訊所示之用戶登入」時,參照白名單,該白名單係「遠端桌面連線獲得許可之該用戶、該終端、及由該終端進行遠端桌面連線之連線目的地電腦之組合」的名單,而判定是否允許在「該終端資訊所示之該終端與本身裝置之間的該用戶資訊」所示的用戶進行之遠端桌面連線;及 申請資訊產生處理,於該連線可否判定處理中,判定為「不允許遠端桌面連線」的情況,基於該用戶資訊、該終端資訊、及可識別本身裝置之電腦資訊,產生申請資訊,該申請資訊係利用於申請「對於白名單登記該用戶、該終端、及本身裝置之組合」;並將該產生之該申請資訊,傳送至「進行該終端與本身裝置之遠端桌面連線登記的終端登記裝置」。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013208410 | 2013-10-03 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201516729A true TW201516729A (zh) | 2015-05-01 |
| TWI575398B TWI575398B (zh) | 2017-03-21 |
Family
ID=52778432
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW103133975A TWI575398B (zh) | 2013-10-03 | 2014-09-30 | A terminal verification registration system, a terminal verification registration method, and a recording medium |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20160241535A1 (zh) |
| JP (1) | JP6018316B2 (zh) |
| CN (1) | CN105593866B (zh) |
| TW (1) | TWI575398B (zh) |
| WO (1) | WO2015049825A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6558279B2 (ja) | 2016-03-08 | 2019-08-14 | 富士通株式会社 | 情報処理システム、情報処理装置、情報処理方法、情報処理プログラム |
| JP6915881B2 (ja) * | 2018-10-01 | 2021-08-04 | Necプラットフォームズ株式会社 | 情報処理装置、情報処理方法およびプログラム |
| JP7239974B2 (ja) * | 2018-12-27 | 2023-03-15 | ベーステクノロジー株式会社 | 端末認証管理システムおよびその方法、およびそのプログラム |
| CN113678072B (zh) * | 2019-04-15 | 2022-09-23 | 三菱电机株式会社 | 操作管理系统及可编程显示器 |
| CN112398789A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 远程登录的控制方法及装置、系统、存储介质、电子装置 |
| CN112398787B (zh) * | 2019-08-15 | 2022-09-30 | 奇安信安全技术(珠海)有限公司 | 邮箱登录验证的方法、装置、计算机设备及存储介质 |
| CN111131150A (zh) * | 2019-11-14 | 2020-05-08 | 珠海许继芝电网自动化有限公司 | 基于泛在电力物联网的终端自注册方法和装置 |
| CN111107545B (zh) * | 2019-12-25 | 2022-11-15 | 博泰车联网科技(上海)股份有限公司 | 一种基于nfc的账号同步方法、介质及终端 |
| CN111131287B (zh) * | 2019-12-30 | 2022-06-17 | 深圳市创维软件有限公司 | 开启设备远程服务的方法、服务器及存储介质 |
| CN118153010A (zh) * | 2022-12-05 | 2024-06-07 | 顺丰科技有限公司 | 系统操作许可方法、装置、终端设备及存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006018347A (ja) * | 2004-06-30 | 2006-01-19 | Hitachi Ltd | 負荷分散型リモートデスクトップ環境構築システム |
| US20090150399A1 (en) * | 2007-12-06 | 2009-06-11 | Patel Paritosh D | Method of Improving Remote Desktop Performance |
| JP2009277024A (ja) * | 2008-05-15 | 2009-11-26 | Hitachi Ltd | 接続制御方法、通信システムおよび端末 |
| TW201117590A (en) * | 2009-11-10 | 2011-05-16 | Aten Int Co Ltd | Method and system of desktop broadcasting |
| JP2011227810A (ja) * | 2010-04-22 | 2011-11-10 | Nomura Research Institute Ltd | リモートデスクトップシステムおよび携帯通信端末 |
| JP5682932B2 (ja) * | 2012-02-29 | 2015-03-11 | 日本電信電話株式会社 | 制御サーバ、制御方法及び制御プログラム |
-
2014
- 2014-08-21 WO PCT/JP2014/004273 patent/WO2015049825A1/ja active Application Filing
- 2014-08-21 CN CN201480054490.1A patent/CN105593866B/zh active Active
- 2014-08-21 US US15/026,807 patent/US20160241535A1/en not_active Abandoned
- 2014-08-21 JP JP2015540367A patent/JP6018316B2/ja active Active
- 2014-09-30 TW TW103133975A patent/TWI575398B/zh active
Also Published As
| Publication number | Publication date |
|---|---|
| CN105593866B (zh) | 2018-11-23 |
| JPWO2015049825A1 (ja) | 2017-03-09 |
| WO2015049825A1 (ja) | 2015-04-09 |
| TWI575398B (zh) | 2017-03-21 |
| JP6018316B2 (ja) | 2016-11-02 |
| CN105593866A (zh) | 2016-05-18 |
| US20160241535A1 (en) | 2016-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI575398B (zh) | A terminal verification registration system, a terminal verification registration method, and a recording medium | |
| US9860234B2 (en) | Bundled authorization requests | |
| US10084823B2 (en) | Configurable adaptive access manager callouts | |
| CN108293045B (zh) | 本地和远程系统之间的单点登录身份管理 | |
| US10121018B2 (en) | Secure data synchronization | |
| JP5429912B2 (ja) | 認証システム、認証サーバ、サービス提供サーバ、認証方法、及びプログラム | |
| US8924723B2 (en) | Managing security for computer services | |
| JP6009083B2 (ja) | 企業情報管理方針に従ったキー及びデータ交換を伴うセキュアアプリエコシステムを提供する方法、非一過性コンピュータ可読媒体、及びモバイルコンピューティングデバイス | |
| US20170041504A1 (en) | Service providing system, information processing apparatus, program, and method for generating service usage information | |
| CN116018580B (zh) | 用于跨云壳层的实例持久化数据的技术 | |
| US20220271946A1 (en) | Over-the-Air CBRS Certificate Installation | |
| US9565174B2 (en) | Information processing server system, control method, and program |