アクセス制御システム及びアクセス制御方法
【課題】仮想デスクトップから業務アプリケーションを利用する際、仮想デスクトップに対するアクセス元端末情報に応じたアクセス制御を可能とすること。
【解決手段】ゲートウェイと、該端末が該ゲートウェイを介して通信するVDを提供する提供部と、該VDがアクセスするアプリケーションが動作するサーバと通信する中継装置と、該端末に関する端末情報を該中継装置に送る管理部とを有し、管理部は、端末情報と、ユーザ情報と、VD識別情報とを組として記憶する記憶部を有し、端末情報とユーザ情報とをゲートウェイから受けて記憶部に記憶させ、ユーザ情報とVD識別情報とを提供部から受けて記憶部に記憶させ、VD識別情報を中継装置から受けると、該VD識別情報をキーに記憶部から端末情報を検索して中継装置に送り、中継装置はVDから受けたメッセージをサーバに転送するか否かを端末情報から判断する。
【解決手段】ゲートウェイと、該端末が該ゲートウェイを介して通信するVDを提供する提供部と、該VDがアクセスするアプリケーションが動作するサーバと通信する中継装置と、該端末に関する端末情報を該中継装置に送る管理部とを有し、管理部は、端末情報と、ユーザ情報と、VD識別情報とを組として記憶する記憶部を有し、端末情報とユーザ情報とをゲートウェイから受けて記憶部に記憶させ、ユーザ情報とVD識別情報とを提供部から受けて記憶部に記憶させ、VD識別情報を中継装置から受けると、該VD識別情報をキーに記憶部から端末情報を検索して中継装置に送り、中継装置はVDから受けたメッセージをサーバに転送するか否かを端末情報から判断する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、仮想デスクトップ環境を提供する技術に関する。
【背景技術】
【0002】
企業の従業員は、事務所、出張先、自宅など様々な場所で作業をすることが多い。このような場合、各地に個別に従業員のデスクトップ環境を用意することは、企業・従業員にとって大きな手間である。また、従業員の移動によりデスクトップが変わることで作業の継続性が途切れることが問題となる。このような問題を解決するサービスとして、近年、DaaS(Desktop as a Service)と呼ばれるサービスが脚光を浴びている。
【0003】
DaaSは、ユーザのデスクトップ環境をセンタに構築して、センタからネットワーク経由でユーザ端末上にデスクトップ画面を提供するサービスである。図1に、DaaSの概念図を示す。DaaSサービスの提供者は、DaaSサービスプロバイダ(以下、単にプロバイダと言う。)であり、DaaSサービスの利用者は、例えば、企業及び企業内の従業員である。図2に、DaaSサービスを提供するシステムの概要構成を示す。
【0004】
プロバイダは、自身のセンタ(以下、DaaSセンタと言う。)内に仮想デスクトップ環境(以下、VD:Virtual Desktopと言う。)及びサービス利用企業毎に論理的に分離したネットワーク環境(以下、DaaSセンタ内企業NW)を用意する。VDの実体は、Windows(登録商標)などのOS(Operating System)と、当該OSを配備する仮想マシン(以下、VM:Virtual Machineと言う。)であり、ユーザからVDの利用要求を受けた際に、物理サーバ(以下、VD実現サーバ)上に起動される。
【0005】
プロバイダと契約した企業の従業員(以下、ユーザと言う。)は、以下のようにしてDaaSサービスを利用する。
(1)手許端末から、DaaSセンタ内企業NWに接続する。ユーザは、DaaSセンタ入口のVPN GW(Virtual Private Network GateWay)に対して接続要求を行い、認証後に端末−VPN GW間でVPNトンネルを構築して、所属企業のDaaSセンタ内企業NWにログインする。以降、DaaSセンタ内企業NWへのアクセスは、このVPNトンネル経由で行われる。
(2)DaaS利用のための認証画面を提供するサーバ(以下、VDポータルと言う。)にアクセスする。そして、VDポータルはユーザの認証を行い、その後、当該ユーザ用のVD(VM及びOS)を起動し、そのVDのIPアドレスをユーザ端末に通知する。
(3)ユーザ端末は、通知されたIPアドレスのVDにRDP(Remote Desktop Protocol)で接続する。RDPは、手許端末におけるキーボード、マウスなどの操作情報をVDに通知すると共に、VD上の画面を手許端末に提供することが可能なプロトコルである。
(4)上記(1)乃至(3)の手順でユーザ端末がVDに接続すると、以降、ユーザは、物理的には社内外の様々な端末で作業しているにも関わらず、同じデスクトップ環境を使っての作業が可能となる。その際、各VDはDaaSセンタ内企業NW上に接続されているため、VDにアクセスしたユーザは、VD上のクライアントアプリケーションを利用することができ、社外NWを経由せずに社内の業務アプリケーション(以下、単に業務アプリと言う。)を利用することができる。
【0006】
企業は、VDから業務アプリへのアクセスをシステムとして可能とする一方で、機密情報の漏洩防止の観点から、VDへのアクセス元とアクセス先の業務アプリに応じてアクセス可否の制御(以下、アクセス制御と言う。)をできるようにしたい。例えば、経理アプリケーションなど機密性の高いアプリケーションについては、社内PCからのアクセスは許容するが社外端末からのアクセスは禁止するなどのアクセス制御が求められる。なお、ここで言うアクセス元とは、VDにアクセスしている端末の場所、種別、端末を利用中のユーザのことである。
【0007】
しかし、VD上のWebからアクセス要求を受けた各企業の業務アプリには、アクセス元がVDであるかの如く見えてしまい、VDへのアクセス元がどこであるのかは不明となる。従って、プロバイダ側で、アクセス元及び宛先URL(アクセス先の業務アプリ)に応じたアクセス制御ができることが望ましい。
【0008】
ここで、VPN GWにおいてアクセス制御を行う従来技術について説明する。VPN GWは、端末からVPN接続要求を受ける際に、アクセス元情報を把握することができる。そのため、端末がVDを経由せずに業務アプリにアクセスする場合、VPN GWがアクセス元及びURLに応じたアクセス制御を行うことは可能である。しかし、DaaSサービス利用時にVPN GW上を通過する情報は、端末−VD間のRDPメッセージである。そして、RDPは暗号化されているため、図3で示すように、VPN GWはメッセージを取得することが可能であっても、宛先URLを読み取ることができず、宛先業務アプリ毎のアクセス制御はできない。
【0009】
さらに、VD−業務アプリ間の中継装置(以下、中継装置と言う。)においてアクセス制御を行う従来技術の他形態について説明する。DaaSサービス利用時に中継装置上を通過する情報は、VDから業務アプリ宛のメッセージであり、宛先URLからアクセス先の業務アプリを読み取ることは可能である。しかし、図3で示すように、メッセージの送信元はVDのIPアドレスやPortであるため、中継装置はメッセージに基づいてVDへのアクセス元を知ることはできず、アクセス元に応じたアクセス制御を行うことはできない。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2009−259046号公報
【発明の概要】
【発明が解決しようとする課題】
【0011】
上記のように、従来、VDから業務アプリへアクセスする際、VDへのアクセス元情報及び宛先業務アプリに応じたアクセス制御ができないという問題点があった。
【0012】
そこで、本発明では、仮想デスクトップから業務アプリケーションを利用する際、仮想デスクトップに対するアクセス元端末情報に応じたアクセス制御を可能とするアクセス制御システム及びアクセス制御方法を提供することを目的とする。
【課題を解決するための手段】
【0013】
はじめに、上記課題の発生要因を説明する。第1にVD上のOSはデスクトップ向けの既存OSであり、業務アプリに対して物理的な端末の如く振る舞うことから、VD発メッセージの送信元アドレスはVDとなってしまう。第2に、そのためVD−業務アプリ間の中継装置には、アクセス元端末が分からない。
【0014】
次に、上記課題の解決に向けた着眼点を説明する。VPN GWは、「ユーザID、アクセス元端末情報」の対応情報を管理しているため、中継装置は、VD発メッセージからユーザID(以下、uIDと言う。)が分かれば、当該uIDをキーとしてVPN GWの情報を参照することで、宛先URLだけでなくアクセス元も知ることができる。
【0015】
一方、サービスの特性上、VDは1ユーザに占有されるため、VDのIPアドレスはユーザごとに一意である。すなわち、通常、プロキシサーバなどの踏み台となるサーバは複数ユーザから共用されるため、サーバのIPアドレスは複数ユーザで共用されるが、VDはDaaS固有の特徴により、1ユーザに占有される。従って、中継装置は、各VDのIPアドレスとuIDの関係が分かれば、アクセス元を判別することができる。
【0016】
また、DaaSの動作メカニズム上、VDポータルは、VDのIPアドレスを端末に通知するため、「uID、VDのIPアドレス」の対応情報を管理している。
【0017】
従って、VPN GW及びVDポータルが管理する情報に基づき、VDのIPアドレスとアクセス元情報との紐付けが可能となり、中継装置はVD発メッセージの送信元IP(以下、SrcIPと言う。)からアクセス元情報を識別することができる。
【発明の効果】
【0018】
開示の技術によれば、仮想デスクトップから業務アプリケーションを利用する際、仮想デスクトップに対するアクセス元端末情報に応じたアクセス制御を可能とすることができる。
【図面の簡単な説明】
【0019】
【図1】DaaSサービスの概念図である。
【図2】従来のDaaSサービスのシステム構成図である。
【図3】従来技術の問題点を指摘する図である。
【図4】本実施の形態に係る仮想デスクトップ環境提供システムの動作原理図である。
【図5】第1の実施形態における仮想デスクトップ環境提供システムの構成を示す図である。
【図6】第1の実施形態における仮想デスクトップ環境提供システムの動作シーケンス図である。
【図7】第1の実施形態におけるVPN GWの動作フローチャートである。
【図8】第1の実施形態におけるユーザ情報管理サーバの動作フローチャートである。
【図9】第1の実施形態におけるVDポータルの動作フローチャートである。
【図10】第1の実施形態における中継装置の動作フローチャートである。
【図11】第1の実施形態におけるVD発業務アプリケーション宛メッセージの一例を示す図である。
【図12】第1の実施形態における認証データベースの一例を示す図である。
【図13】第1の実施形態におけるユーザ−トンネル対応テーブルの一例を示す図である。
【図14】第1の実施形態におけるアクセス元情報管理テーブルの一例を示す図である。
【図15】第1の実施形態におけるMsgフック条テーブルの一例を示す図である。
【図16】第1の実施形態におけるコネクションテーブルの一例を示す図である。
【図17】第1の実施形態における認可ポリシテーブルの一例を示す図である。
【図18】第1の実施形態におけるVD発判断条件テーブルの一例を示す図である。
【図19】第1の実施形態におけるuID−VD_IP対応テーブルの一例を示す図である。
【図20】第1の実施形態における仮想デスクトップ環境提供システムの変形例を示す図である。
【図21】第1の実施形態における仮想デスクトップ環境提供システムの第2の変形例を示す図である。
【図22】第2の実施形態における仮想デスクトップ環境提供システムの構成を示す図である。
【図23】第2の実施形態における仮想デスクトップ環境提供システムの動作シーケンス図である。
【発明を実施するための形態】
【0020】
図面を参照しながら、本発明を実施するための最良の形態について説明する。
(本実施の形態に係る仮想デスクトップ環境提供システムの動作原理)
図4を用いて、本実施の形態に係る仮想デスクトップ環境提供システム100の動作原理について説明する。
【0021】
VPN GW120は、NWユーザ認証部140、VPN終端部150、ユーザ情報通知部130を有する。NWユーザ認証部140は、端末110からのVPN接続要求の受信時に、uID及びパスワードでユーザを認証する。VPN終端部150は、認証がOKであった場合に、端末110との間でVPNを構築又は終端する。ユーザ情報通知部130は、認証DBを参照して当該ユーザが所属する企業用のDaaSセンタ内企業NWのNW識別子(以下、テナント識別子と言う。)を特定する。その後、認証対象ユーザのuID及びアクセス元端末に関する情報を、前記テナント識別子とセットで、後述のユーザ情報管理サーバ350に通知する。
【0022】
VDポータル170は、VDユーザ認証部180、VD起動制御部190を有する。VDユーザ認証部180は、端末110からのVD利用要求の受信時に、uID及びパスワードでユーザを認証し、認証がOKの場合、端末110に対する応答としてVDのIP情報を含める。VD起動制御部190は、VDユーザ認証がOKの場合、認証DB390を参照して当該uID用のVMのインスタンスID(以下、VM_IDと言う。)を特定する。その後、当該VM_IDで識別されるVM部250及びVM部250上のOS部230に対応するVD215の起動を、後述のVD実現サーバ200に対して指示する。
【0023】
更に、起動済VD215からのIP情報および前記VM_IDの受信時に、認証DBを参照してVM_IDに対応するuIDを特定し、受信したVDのIP情報とuIDとをセットにして、uID−VD_IP対応テーブルへのキャッシュ及びユーザ情報管理サーバ350への通知を行う。然る後に、ユーザ認証に対し、VD215のIP情報を通知する。
【0024】
一方、VD起動制御部190は、コネクションブローカ160から特定IPのVD215の起動停止要求を受けた場合、前記キャッシュからIPに対応するuIDを取得し、さらに認証DB390を参照して当該uID用のVM_IDを特定する。その後、当該VM_IDで識別されるVM部250の停止を、後述のVD実現サーバ200に対して指示する。更に、当該uIDに関するVD215のIP情報の解放を、ユーザ情報管理サーバ350に要求する。
【0025】
VD実現サーバ200は、物理サーバ部260、VM制御部210、VD215、IP通知Agent部240を有する。物理サーバ部260は、仮想マシンが動作する物理サーバである。VM制御部210は、物理サーバ部260上のVMの起動及び停止を制御する。VD215は、VM部250、OS部230及びブラウザなどのクライアントアプリケーション部220を含む仮想デスクトップ(Virtual Desktop)である。IP通知Agent部240は、自VD215のIPアドレスを、自身のVM_IDとペアでVDポータル170に通知する。
【0026】
なお、本実施の形態において、VDポータル170及びVD実現サーバ200を含む部分は提供部の一例である。
【0027】
コネクションブローカ160は、端末−VD間のコネクションを監視する既存装置及び手段である。コネクションブローカ160は、VDポータル発メッセージの中身を参照して、端末−VD間で生成されるRDPコネクションの宛先IP情報を取得した後にそのコネクションを監視する。そして、コネクションブローカ160は、一定時間流量が無ければコネクション切断と認識し、前記宛先IPで識別されるVD215の停止を、VDポータル170に対して要求する。
【0028】
ユーザ情報管理サーバ350は、アクセス元情報管理部370を有する。アクセス元情報管理部370は、VPN GW120及びVDポータル170からの通知に基づき、アクセス元情報管理テーブル360に、VD215を利用するユーザに関するuID、アクセス元端末情報、テナント識別子、及び当該ユーザが使用中のVD215のIP情報の記録及び記録の削除を行う。
【0029】
なお、本実施の形態において、ユーザ情報管理サーバ350は、管理部の一例である。
【0030】
中継装置270は、VD発判断部290、IP−アクセス元情報変換部280、URL抽出部300、認可判定部320を有する。VD発判断部290は、受信メッセージのテナント識別子および送信元IPにより、受信メッセージが、VD215から送信されたメッセージであるか否かを判断する。IP−アクセス元情報変換部280は、VD215から送信されたメッセージである場合に、ユーザ情報管理サーバ350に問い合わせ、テナント識別子および送信元IPに対応するアクセス元情報を取得する。URL抽出部300は、メッセージ中の宛先URLを抽出する。認可判定部320は、アクセス元情報、宛先URLなどを使ってメッセージの転送可否を判断する。
【0031】
以下では、仮想デスクトップ環境提供システム100における処理の流れを説明する。VD215の利用を望むユーザは、まず手元の端末110から、VPN GW120にVPN接続要求を行う。VPN GW120は、NWユーザ認証部140による認証結果がOKであれば、ユーザ情報通知部130を使ってユーザ情報管理サーバ350へのアクセス元情報の通知を行う。ユーザ情報管理サーバ350は、通知されたuID、アクセス元端末情報、テナント識別子を、アクセス元情報管理テーブル360に記録する。VPN GW120は、上記の後に端末110に認証完了の応答を返し、端末はVPN GW120のVPN終端部150との間にトンネルを構築し、当該トンネルを使ってメッセージの送受信を行う。
【0032】
その後、上記端末110からVD利用要求を受けたVDポータル170は、VDユーザ認証部180による認証結果がOKであれば、VD起動制御部190を使って当該ユーザ用のVD215を起動する。起動したVD215上のOSに組み込まれたIP通知Agent部240は、当該VDのIP情報とVM_IDのペアをVDポータル170に通知する。VDポータル170のVD起動制御部190は、通知されたVM_IDをuIDに変換した後、通知されたIP情報及びuIDのペアを、ユーザ情報管理サーバ350に対して通知する。ユーザ情報管理サーバ350は、アクセス元情報管理テーブル360中の通知されたuIDに関するエントリに、通知されたIP情報を記録する。
【0033】
VDポータル170のVDユーザ認証部180が、端末110にVD215のIP情報を通知し、端末110が通知されたIP情報のVD215への接続を完了した後、VD215上のクライアントアプリケーションが社内宛メッセージを送信する。その後、VD215と業務アプリ340の間に位置する中継装置270は、VD発判断部290で受信メッセージがVD発と判断し、IP−アクセス元情報変換部280を使ってアクセス元情報を取得する。そして、認可判定部320が、URL抽出部300で抽出した宛先URL情報及び前記アクセス元情報を使って認可判定を行うことで、アクセス元情報及び宛先業務アプリケーションに応じたアクセス制御が可能となる。
【0034】
なお、上記説明では認可判定を中継装置270で行うこととしたが、認可判定の実現形態は外部サーバで行う形態であっても良い。つまり、認可ポリシ310および認可判定部320を外部サーバ上で保持し、当該外部サーバが認可可否を判断し、中継装置270は判断結果に応じた中継及び廃棄の制御のみを行う形態であっても良い。
【0035】
上記のように、VD215から業務アプリ340への利用要求に際し、VD215にアクセスしている端末110の場所、種別及びユーザに応じたアクセス制御を可能とすることで、機密データの漏洩リスクが軽減される。さらには、仮想デスクトップサービスを使うユーザによる、業務アプリ及び業務データへの不用意なアクセスを防止することができる。
【0036】
(第1の実施形態)
図5乃至図20を用いて、第1の実施形態における仮想デスクトップ環境提供システム100について説明する。はじめに、第1の実施形態で想定するシステム構成、アドレッシング、事前設定について説明する。
【0037】
図5で、システム構成を示す。サーバの内部構成は図4の場合と同様である。図5中のDHCP(Dynamic Host Configuration Protocol)サーバ400は、各VD215が自身のIPアドレスを決める為の既存手段である。認証サーバ380は、認証情報を一括して管理するサーバである。
【0038】
次に、企業A向けのアドレッシングについて説明する。DaaSセンタ内企業NWは「VLAN#A」、VDポータル170のIPアドレスは「vdp−a」(企業Aの社内で使用できるプライベートアドレス)、VD215のIPアドレスは「vd#a1〜an」(企業Aの社内で使用できるプライベートアドレス)とする。そして、ユーザa1向けのアドレッシングは、VD215のIPアドレスが「vd#a1」、VM部250のインスタンスIDが「ID#a1」とする。
【0039】
次に、企業A向けのDaaSセンタ内の事前設定及び環境構築について説明する。図12に、各ユーザの認証情報を設定する認証DBの一例を示す。図15には、コネクションブローカ160の設定を示し、認証応答メッセージを判断するための条件として、Msgフック条件テーブルに、送信元IPアドレスとして「vdp−a」を設定する。DHCPサーバ400の設定については、VLAN#AのVD215に割り当て可能なIPアドレスとして、DHCPサーバ400内に「vd#a1〜an」を設定する。図18で示すように、中継装置270の設定としては、VD発メッセージかその他ノード発メッセージかを判断するための条件として、VD発判断条件テーブルに、VLANとして「#A」を、送信元IPアドレスとして「vd#a1〜an」を設定する。
【0040】
次に、図6を用いて、第1の実施形態における仮想デスクトップ環境提供システム100の処理を説明する。当該説明は、A)ユーザがVD215を起動するまでの流れ、B)ユーザがVD215上でWebを使って業務アプリにアクセスする際の認可判定の流れ、C)ユーザがVD215を終了するまでの流れの3フェーズに分けて行う。なお、図6で示すシーケンス中の主なサーバのフロー詳細は、図7乃至10のフローチャートに示す。
【0041】
A)ユーザがVDを起動し、ユーザ情報管理サーバにアクセス元情報が記録されるまでの流れ
【0042】
1)VPN接続要求について説明する。ユーザは、端末110(ここでは携帯電話)からVPN GW120に対し、VPN接続要求を行う。
【0043】
2)VPN接続応答について説明する。VPN GW120のNWユーザ認証部140は、認証結果を端末に返す。
【0044】
3)VPN構築について説明する。認証OKである場合、端末110はVPN GW120のVPN終端部150との間に、session−IDで識別されるVPNトンネルを構築し、図13で示すユーザ−トンネル対応テーブルにuIDとsession−IDの対応を記録する。以降、VPN GW120は、端末110から上記VPNトンネルをDaaSセンタ内企業NW(VLAN#A)とマッピングする。即ち、上記VPNトンネルからパケットを受信した場合、VLANタグ#Aを付けてDaaSセンタ側に送信する。
【0045】
4)アクセス元情報通知について説明する。VPN GW120は、ユーザ情報通知部130を使い、認証時に得られたアクセス元情報(アクセス元端末情報(回線=携帯、端末種別=i−phone)、アクセス元ユーザ情報(uID=user001))及びDaaSセンタ内企業NWで使うVLANタグ情報をユーザ情報管理サーバ350に通知する。次に、ユーザ情報管理サーバ350は、通知された上記情報を図14で示すアクセス元情報管理テーブル360に記録する。
【0046】
5)VD利用要求について説明する。ユーザは、構築したVPNトンネルを使って、VDポータル画面に対しHTTP(HyperText Transfer Protocol)でアクセスし、vdp−a宛に、VDの利用要求を行う。
【0047】
6)VD起動指示について説明する。VDポータル170のVDユーザ認証部180は、ユーザ認証する時に認証DB390を参照し、認証を行うとともに、当該ユーザ(uID#user001)向けVM部250のインスタンスID#a1を取得する。次に、VDポータル170のVD起動制御部190は、VD実現サーバ200に対し、インスタンスID#a1で識別されるVM部250の起動を指示する。そして、VD実現サーバ200上のVM制御部210は、インスタンスID#a1で識別されるVMイメージをHDDから読み出してVM部250及びVM部250上のOS部230を起動する。
【0048】
7)IPアドレスの取得について説明する。OS部230は、DHCPサーバ400から自身のIPアドレスを取得して、自身のIPアドレスとする。
【0049】
8)自IPアドレスの通知について説明する。上記OS部230上のIP通知Agent部220は、取得したIPアドレスを、VM部250のインスタンスID#a1と共に、VDポータル170に通知する。
【0050】
9)VD_IPの通知について説明する。VDポータル170のVD起動制御部190は、認証DB390を参照し、通知されたインスタンスID#a1に対応するユーザIDとしてuser001を得る。次に、VDポータル170のVD起動制御部190は、後でVD215を停止する時のために、ユーザIDと通知されたVD215のIPアドレスとの対応について、図19で示すuID−VD_IP対応テーブルにキャッシュとして記録する。なお、停止時における上記キャッシュの使い方は、後述の17)、18)で説明する。そして、VDポータル170のVD起動制御部190は、「ユーザID=user001、VD_IP=vd#a1」という情報をユーザ情報管理サーバ350に通知する。さらに、ユーザ情報管理サーバ350のアクセス元情報管理部370は、上記4)でアクセス元情報管理テーブル360に記録したuser001の情報に対し、VD215のIPアドレスをバインドして記録する。
【0051】
10)VPN利用応答について説明する。VDポータル215のVDユーザ認証部180は、端末110に対し、VD_IPとしてvd#a1を通知する。次に、VDポータル170と端末110との間に位置するコネクションブローカ160は、送信元IPアドレスがvdp−aなので、監視対象パケットと認識してパケットをフックし、メッセージの中身を参照する。そして、参照した結果、vd#a1宛にRDPコネクションが開始されることを検知して、図16で示すコネクションテーブルに、監視対象として「送信元IPアドレス=端末IPアドレス、宛先IPアドレス=vd#a1」を登録する。さらに、コネクションブローカ160は、フックしたパケットをそのまま端末110宛に転送する。
【0052】
11)VD接続について説明する。端末110は、通知に従い、vd#a1宛にRDPで接続する。次に、コネクションブローカ160は、vd#a1宛パケットの単位時間あたりの流量をコネクションテーブルに記録し、一定時間流量が無ければ切断と判断する。ここでは、パケットが流れたので接続中と判断し、受信パケットをそのまま転送する。そして、以降VD215は、端末110との間で、キーボード操作や画面情報をRDPでやり取りする。
【0053】
B)ユーザがVD215上でWebを使って業務アプリ340にアクセスする際の認可判定の流れ
【0054】
12)業務アプリ利用要求について説明する。ユーザが、VD215上で社内の業務アプリにアクセスするためにWebを操作し、URLとして「url−A1」を入力した場合を想定する。すると、VD215は、VLANタグ=#A、送信元IP=vd#a1のメッセージを業務アプリ340宛に送信する。図11にメッセージフォーマットを示す。
【0055】
13)IP−アクセス元情報変換について説明する。中継装置270のVD発判断部290は、受信メッセージがVD発か否かについてVD発判断条件テーブル410を参照して判断する。その結果、「VLAN#A、送信元IP=vd#a1〜n」の条件に合致するので、VD発と認識する。次に、中継装置270のIP−アクセス元情報変換部280は、ユーザ情報管理サーバ350に対して「VLANタグ=#A、送信元IPアドレス=vd#a1」の情報を渡し、応答としてアクセス元情報(回線=携帯、端末種別=i−phone、ユーザID=user001)を取得する。次に、中継装置270のURL抽出部300は、受信メッセージのHTTPヘッダ中のGETフィールドから宛先URLを抽出する。そして、中継装置270の認可判定部320は、図17で示す認可ポリシテーブル310を参照し、認可判定を行う。参照キーは、アクセス元情報、受信メッセージ中の宛先URLである。
【0056】
14)業務アプリ利用要求転送について説明する。中継装置270は、認可判定結果に従い、メッセージを中継または廃棄する。認可結果がOKであれば中継し、NGであれば廃棄やNG応答を行う。
【0057】
C)ユーザがVDを終了するまでの流れ
【0058】
15)VD終了要求について説明する。ユーザは、VD215の使用を終了したい場合、VD215上OS部230の操作で停止要求をするか、又はVD215から提供されている画面を閉じることでVD215の停止要求をする。
【0059】
16)VD停止要求について説明する。コネクションブローカ160は、「送信元IPアドレス=端末IPアドレス、宛先IPアドレス=vd#a1」のコネクションの流量が一定時間ゼロであることを検知する。そして、コネクションブローカ160は、このコネクションの切断を検知し、VDポータル170に対し、vd#a1のVD215の停止を要求する。
【0060】
17)VD停止指示について説明する。VDポータル170のVD起動制御部190は、uID−VD_IP対応テーブルを参照して、VD215のIP情報(vd#a1)に対応するuIDを取得する。更に、VDポータル170のVD起動制御部190は認証DB390を参照して、このユーザIDに対応するVM部250のインスタンスID情報(#a1)を取得する。その後、VD起動制御部190はVD実現サーバ200に対し、インスタンスID#a1のVM部250の停止指示を行う。そして、VD実現サーバ200上のVM制御部210は、インスタンスID#a1で識別されるVM部250を停止する。
【0061】
18)VD解放通知について説明する。VDポータル170のVD起動制御部190は、ユーザ情報管理サーバ350に対し、ユーザIDをパラメタとしてVD215の解放を要求する。そして、ユーザ情報管理サーバ350のアクセス元情報管理部370は、uID#aのVD_IP情報(vd#a1)を削除する。
【0062】
19)VPN終了要求について説明する。ユーザは、VPNの使用を終了したい場合、端末110上でVPNの終了要求をする。次に、VPN GW120のVPN終端部150は、要求を受けたsession−IDのVPNトンネルを終了する。更に、VPN終端部150は、session−IDに対応するuID(user001)をユーザ−トンネル対応テーブルから取得する。
【0063】
20)アクセス元情報の削除要求について説明する。VPN GW120のユーザ情報通知部130は、ユーザ情報管理サーバ350に対し「user001」の情報の削除要求をする。すると、ユーザ情報管理サーバ350のアクセス元情報管理部370は、「user001」に関する情報を削除する。
【0064】
以上の動作により、仮想デスクトップにアクセスしている端末の場所や種別に応じたアクセス制御が可能となる。なお、第1の実施形態では、ユーザの手元の端末として携帯電話を想定したが、インターネット上のPC、Smart Phone、拠点内のPCの場合も同様である。
【0065】
また、第1の実施形態では、中継装置270が認可判定を行うケースを示したが、認可判定は外部サーバで行っても良い。たとえば上記13)のURL抽出部300の処理は、次のような構成及び動作であっても良い。構成については、認可判定を行うサーバとして、認可ポリシテーブル310を保持する認可サーバを別途設ける。動作については、中継装置270が、上記認可サーバに対し認可判定依頼メッセージを送信し、その際メッセージには参照キー(アクセス元情報、受信メッセージ中の宛先URL)が指定される。そして、認可サーバは、認可ポリシテーブル310を参照し認可判定を行い、認可サーバは中継装置270に対し、認可判定を応答する。
【0066】
また、第1の実施形態では、認可判定のキーとして使用するアクセス元情報を「回線、端末種別、ユーザID」と想定したが、その他のパラメタを含んでも良い。例えば、端末IPアドレス、アクセス時間などを含んでも良い。また、第1の実施形態では、アクセス元情報管理テーブル360を管理するサーバについて、ユーザ情報管理サーバ350として単独で設けたが、当該テーブルを既存サーバが内包しても良い。例えば、図20で示すように、コネクションブローカ160がアクセス元情報管理テーブル360を内包しても良い。または図21で示すように、中継装置270がアクセス元情報管理テーブル360を内包しても良い。
【0067】
(第2の実施形態)
図22及び図23を用いて、第2の実施形態における仮想デスクトップ環境提供システム100について説明する。ここでは、拠点発のVDアクセスが、VPN GWを経由しない場合について説明する。
【0068】
図22に、第2の実施形態における仮想デスクトップ環境提供システム100のシステム構成を示す。各サーバの内部構成は図4と同様である。なお、図22において、各サーバが保持するテーブル及びDBは第1の実施形態と同じであるため、ここでは略記する。
【0069】
以下、図23で示すシーケンスに沿って、仮想デスクトップ環境提供システム100の処理について説明する。説明は第1の実施形態と同様に3フェーズに分けて行う。なお、シーケンス中の番号は第1の実施形態と対応し、第2の実施形態では、第1の実施形態と動作が全く同じものについては説明を省略する。
【0070】
A)ユーザがVDを起動し、ユーザ情報管理にアクセス元情報が記録されるまでの流れ
【0071】
1)乃至4)については、第2の実施形態では処理を行わない。
【0072】
5)VD利用要求について説明する。ユーザは、キャリアが事前に構築した企業A向けの社内NW経由でVDポータル画面に対しHTTPでアクセスし、vdp−a宛にVD215の利用要求を行う。
【0073】
6)乃至8)については、第1の実施形態と同じであるため説明を省略する。
【0074】
9)VD_IPの通知について説明する。VDポータル170のVD起動制御部190は、認証DB390を参照し、通知されたインスタンスID#a1に対応するユーザIDとしてuser001を取得する。次に、VDポータル170のVD起動制御部190は、後フェーズでVD215を停止する時のために、ユーザIDと通知されたVD215のIPアドレスとの対応について、uID−VD_IP対応テーブルにキャッシュとして記録する。VDポータル170のVD起動制御部190は、「ユーザID=user001、VD_IP=vd#a1、回線=社内の拠点、端末種別=PC」の情報をユーザ情報管理サーバ350に通知する。なお、社内の拠点であることは、送信元端末110のIPアドレスが拠点内の端末に割り振ったIPアドレスであることから判断する。また、第1の実施形態と異なり、VD起動制御部190は端末種別情報も通知する。
【0075】
そして、ユーザ情報管理サーバ350のアクセス元情報管理部370は、「user001」のアクセス元情報がアクセス元情報管理テーブル360に未登録なので、当該ユーザは社内拠点からVDポータル170にアクセスしていると判断し、アクセス元情報管理テーブル360に「アクセス元端末情報(回線=拠点、端末種別=PC)、アクセス元ユーザ情報(ユーザID=user001)、テナント識別子(VLAN#A)」のエントリを新規に登録する。
【0076】
10)乃至17)については、第1の実施形態と同じであるため説明を省略する。
【0077】
18)VD解放通知について説明する。VDポータル170のVD起動制御部190は、ユーザ情報管理サーバ350に対し、ユーザIDをパラメタとしてVD215の解放を要求する。次に、ユーザ情報管理サーバ350のアクセス元情報管理部370は、uID#aのVD_IP情報(vd#a1)を削除する。このとき、アクセス元情報管理テーブル360において、回線=拠点と記録されているので、端末−VD間にVPN GW120は無いと判断し、ユーザID#aの全情報をアクセス元情報管理テーブル360から削除する。
【0078】
19)及び20)については第2の実施形態では処理を行わない。
【0079】
上記のように、第2の実施形態における仮想デスクトップ環境提供システム100は、拠点発のアクセスがVPN GWを介さない場合であっても、仮想デスクトップにアクセスしている端末の場所や種別に応じたアクセス制御を可能とする。
【0080】
以上、本発明の実施の形態について詳述したが、本発明は係る特定の実施の形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲において、種々の変形・変更が可能である。
【符号の説明】
【0081】
100 仮想デスクトップ環境提供システム、110 ユーザ端末、120 VPN GW(Virtual Private Network GateWay)、130 ユーザ情報通知部、140 NWユーザ認証部、150 VPN終端部、160 コネクションブローカ、170 VD(Virtual Desktop)ポータル、180 VDユーザ認証部、190 VD起動制御部、200 VD実現サーバ、210 VM(Virtual Machine)制御部、215 仮想デスクトップ(VD:Virtual Desktop)、220 クライアントアプリケーション部、230 OS部、240 IP通知Agent部、250 VM部、260 物理サーバ部、270 中継装置、280 IP−アクセス元情報変換部、290 VD発判断部、300 URL(Uniform Resource Locator)抽出部、310 認可ポリシテーブル、320 認可判定部、330 廃棄部、340 業務アプリケーション、350 ユーザ情報管理サーバ、360 アクセス元情報管理テーブル、370 アクセス元情報管理部、380 認証サーバ、390 認証データベース、400 DHCP(Dynamic Host Configuration Protocol)サーバ、410 VD発判断条件テーブル
【技術分野】
【0001】
本発明は、仮想デスクトップ環境を提供する技術に関する。
【背景技術】
【0002】
企業の従業員は、事務所、出張先、自宅など様々な場所で作業をすることが多い。このような場合、各地に個別に従業員のデスクトップ環境を用意することは、企業・従業員にとって大きな手間である。また、従業員の移動によりデスクトップが変わることで作業の継続性が途切れることが問題となる。このような問題を解決するサービスとして、近年、DaaS(Desktop as a Service)と呼ばれるサービスが脚光を浴びている。
【0003】
DaaSは、ユーザのデスクトップ環境をセンタに構築して、センタからネットワーク経由でユーザ端末上にデスクトップ画面を提供するサービスである。図1に、DaaSの概念図を示す。DaaSサービスの提供者は、DaaSサービスプロバイダ(以下、単にプロバイダと言う。)であり、DaaSサービスの利用者は、例えば、企業及び企業内の従業員である。図2に、DaaSサービスを提供するシステムの概要構成を示す。
【0004】
プロバイダは、自身のセンタ(以下、DaaSセンタと言う。)内に仮想デスクトップ環境(以下、VD:Virtual Desktopと言う。)及びサービス利用企業毎に論理的に分離したネットワーク環境(以下、DaaSセンタ内企業NW)を用意する。VDの実体は、Windows(登録商標)などのOS(Operating System)と、当該OSを配備する仮想マシン(以下、VM:Virtual Machineと言う。)であり、ユーザからVDの利用要求を受けた際に、物理サーバ(以下、VD実現サーバ)上に起動される。
【0005】
プロバイダと契約した企業の従業員(以下、ユーザと言う。)は、以下のようにしてDaaSサービスを利用する。
(1)手許端末から、DaaSセンタ内企業NWに接続する。ユーザは、DaaSセンタ入口のVPN GW(Virtual Private Network GateWay)に対して接続要求を行い、認証後に端末−VPN GW間でVPNトンネルを構築して、所属企業のDaaSセンタ内企業NWにログインする。以降、DaaSセンタ内企業NWへのアクセスは、このVPNトンネル経由で行われる。
(2)DaaS利用のための認証画面を提供するサーバ(以下、VDポータルと言う。)にアクセスする。そして、VDポータルはユーザの認証を行い、その後、当該ユーザ用のVD(VM及びOS)を起動し、そのVDのIPアドレスをユーザ端末に通知する。
(3)ユーザ端末は、通知されたIPアドレスのVDにRDP(Remote Desktop Protocol)で接続する。RDPは、手許端末におけるキーボード、マウスなどの操作情報をVDに通知すると共に、VD上の画面を手許端末に提供することが可能なプロトコルである。
(4)上記(1)乃至(3)の手順でユーザ端末がVDに接続すると、以降、ユーザは、物理的には社内外の様々な端末で作業しているにも関わらず、同じデスクトップ環境を使っての作業が可能となる。その際、各VDはDaaSセンタ内企業NW上に接続されているため、VDにアクセスしたユーザは、VD上のクライアントアプリケーションを利用することができ、社外NWを経由せずに社内の業務アプリケーション(以下、単に業務アプリと言う。)を利用することができる。
【0006】
企業は、VDから業務アプリへのアクセスをシステムとして可能とする一方で、機密情報の漏洩防止の観点から、VDへのアクセス元とアクセス先の業務アプリに応じてアクセス可否の制御(以下、アクセス制御と言う。)をできるようにしたい。例えば、経理アプリケーションなど機密性の高いアプリケーションについては、社内PCからのアクセスは許容するが社外端末からのアクセスは禁止するなどのアクセス制御が求められる。なお、ここで言うアクセス元とは、VDにアクセスしている端末の場所、種別、端末を利用中のユーザのことである。
【0007】
しかし、VD上のWebからアクセス要求を受けた各企業の業務アプリには、アクセス元がVDであるかの如く見えてしまい、VDへのアクセス元がどこであるのかは不明となる。従って、プロバイダ側で、アクセス元及び宛先URL(アクセス先の業務アプリ)に応じたアクセス制御ができることが望ましい。
【0008】
ここで、VPN GWにおいてアクセス制御を行う従来技術について説明する。VPN GWは、端末からVPN接続要求を受ける際に、アクセス元情報を把握することができる。そのため、端末がVDを経由せずに業務アプリにアクセスする場合、VPN GWがアクセス元及びURLに応じたアクセス制御を行うことは可能である。しかし、DaaSサービス利用時にVPN GW上を通過する情報は、端末−VD間のRDPメッセージである。そして、RDPは暗号化されているため、図3で示すように、VPN GWはメッセージを取得することが可能であっても、宛先URLを読み取ることができず、宛先業務アプリ毎のアクセス制御はできない。
【0009】
さらに、VD−業務アプリ間の中継装置(以下、中継装置と言う。)においてアクセス制御を行う従来技術の他形態について説明する。DaaSサービス利用時に中継装置上を通過する情報は、VDから業務アプリ宛のメッセージであり、宛先URLからアクセス先の業務アプリを読み取ることは可能である。しかし、図3で示すように、メッセージの送信元はVDのIPアドレスやPortであるため、中継装置はメッセージに基づいてVDへのアクセス元を知ることはできず、アクセス元に応じたアクセス制御を行うことはできない。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2009−259046号公報
【発明の概要】
【発明が解決しようとする課題】
【0011】
上記のように、従来、VDから業務アプリへアクセスする際、VDへのアクセス元情報及び宛先業務アプリに応じたアクセス制御ができないという問題点があった。
【0012】
そこで、本発明では、仮想デスクトップから業務アプリケーションを利用する際、仮想デスクトップに対するアクセス元端末情報に応じたアクセス制御を可能とするアクセス制御システム及びアクセス制御方法を提供することを目的とする。
【課題を解決するための手段】
【0013】
はじめに、上記課題の発生要因を説明する。第1にVD上のOSはデスクトップ向けの既存OSであり、業務アプリに対して物理的な端末の如く振る舞うことから、VD発メッセージの送信元アドレスはVDとなってしまう。第2に、そのためVD−業務アプリ間の中継装置には、アクセス元端末が分からない。
【0014】
次に、上記課題の解決に向けた着眼点を説明する。VPN GWは、「ユーザID、アクセス元端末情報」の対応情報を管理しているため、中継装置は、VD発メッセージからユーザID(以下、uIDと言う。)が分かれば、当該uIDをキーとしてVPN GWの情報を参照することで、宛先URLだけでなくアクセス元も知ることができる。
【0015】
一方、サービスの特性上、VDは1ユーザに占有されるため、VDのIPアドレスはユーザごとに一意である。すなわち、通常、プロキシサーバなどの踏み台となるサーバは複数ユーザから共用されるため、サーバのIPアドレスは複数ユーザで共用されるが、VDはDaaS固有の特徴により、1ユーザに占有される。従って、中継装置は、各VDのIPアドレスとuIDの関係が分かれば、アクセス元を判別することができる。
【0016】
また、DaaSの動作メカニズム上、VDポータルは、VDのIPアドレスを端末に通知するため、「uID、VDのIPアドレス」の対応情報を管理している。
【0017】
従って、VPN GW及びVDポータルが管理する情報に基づき、VDのIPアドレスとアクセス元情報との紐付けが可能となり、中継装置はVD発メッセージの送信元IP(以下、SrcIPと言う。)からアクセス元情報を識別することができる。
【発明の効果】
【0018】
開示の技術によれば、仮想デスクトップから業務アプリケーションを利用する際、仮想デスクトップに対するアクセス元端末情報に応じたアクセス制御を可能とすることができる。
【図面の簡単な説明】
【0019】
【図1】DaaSサービスの概念図である。
【図2】従来のDaaSサービスのシステム構成図である。
【図3】従来技術の問題点を指摘する図である。
【図4】本実施の形態に係る仮想デスクトップ環境提供システムの動作原理図である。
【図5】第1の実施形態における仮想デスクトップ環境提供システムの構成を示す図である。
【図6】第1の実施形態における仮想デスクトップ環境提供システムの動作シーケンス図である。
【図7】第1の実施形態におけるVPN GWの動作フローチャートである。
【図8】第1の実施形態におけるユーザ情報管理サーバの動作フローチャートである。
【図9】第1の実施形態におけるVDポータルの動作フローチャートである。
【図10】第1の実施形態における中継装置の動作フローチャートである。
【図11】第1の実施形態におけるVD発業務アプリケーション宛メッセージの一例を示す図である。
【図12】第1の実施形態における認証データベースの一例を示す図である。
【図13】第1の実施形態におけるユーザ−トンネル対応テーブルの一例を示す図である。
【図14】第1の実施形態におけるアクセス元情報管理テーブルの一例を示す図である。
【図15】第1の実施形態におけるMsgフック条テーブルの一例を示す図である。
【図16】第1の実施形態におけるコネクションテーブルの一例を示す図である。
【図17】第1の実施形態における認可ポリシテーブルの一例を示す図である。
【図18】第1の実施形態におけるVD発判断条件テーブルの一例を示す図である。
【図19】第1の実施形態におけるuID−VD_IP対応テーブルの一例を示す図である。
【図20】第1の実施形態における仮想デスクトップ環境提供システムの変形例を示す図である。
【図21】第1の実施形態における仮想デスクトップ環境提供システムの第2の変形例を示す図である。
【図22】第2の実施形態における仮想デスクトップ環境提供システムの構成を示す図である。
【図23】第2の実施形態における仮想デスクトップ環境提供システムの動作シーケンス図である。
【発明を実施するための形態】
【0020】
図面を参照しながら、本発明を実施するための最良の形態について説明する。
(本実施の形態に係る仮想デスクトップ環境提供システムの動作原理)
図4を用いて、本実施の形態に係る仮想デスクトップ環境提供システム100の動作原理について説明する。
【0021】
VPN GW120は、NWユーザ認証部140、VPN終端部150、ユーザ情報通知部130を有する。NWユーザ認証部140は、端末110からのVPN接続要求の受信時に、uID及びパスワードでユーザを認証する。VPN終端部150は、認証がOKであった場合に、端末110との間でVPNを構築又は終端する。ユーザ情報通知部130は、認証DBを参照して当該ユーザが所属する企業用のDaaSセンタ内企業NWのNW識別子(以下、テナント識別子と言う。)を特定する。その後、認証対象ユーザのuID及びアクセス元端末に関する情報を、前記テナント識別子とセットで、後述のユーザ情報管理サーバ350に通知する。
【0022】
VDポータル170は、VDユーザ認証部180、VD起動制御部190を有する。VDユーザ認証部180は、端末110からのVD利用要求の受信時に、uID及びパスワードでユーザを認証し、認証がOKの場合、端末110に対する応答としてVDのIP情報を含める。VD起動制御部190は、VDユーザ認証がOKの場合、認証DB390を参照して当該uID用のVMのインスタンスID(以下、VM_IDと言う。)を特定する。その後、当該VM_IDで識別されるVM部250及びVM部250上のOS部230に対応するVD215の起動を、後述のVD実現サーバ200に対して指示する。
【0023】
更に、起動済VD215からのIP情報および前記VM_IDの受信時に、認証DBを参照してVM_IDに対応するuIDを特定し、受信したVDのIP情報とuIDとをセットにして、uID−VD_IP対応テーブルへのキャッシュ及びユーザ情報管理サーバ350への通知を行う。然る後に、ユーザ認証に対し、VD215のIP情報を通知する。
【0024】
一方、VD起動制御部190は、コネクションブローカ160から特定IPのVD215の起動停止要求を受けた場合、前記キャッシュからIPに対応するuIDを取得し、さらに認証DB390を参照して当該uID用のVM_IDを特定する。その後、当該VM_IDで識別されるVM部250の停止を、後述のVD実現サーバ200に対して指示する。更に、当該uIDに関するVD215のIP情報の解放を、ユーザ情報管理サーバ350に要求する。
【0025】
VD実現サーバ200は、物理サーバ部260、VM制御部210、VD215、IP通知Agent部240を有する。物理サーバ部260は、仮想マシンが動作する物理サーバである。VM制御部210は、物理サーバ部260上のVMの起動及び停止を制御する。VD215は、VM部250、OS部230及びブラウザなどのクライアントアプリケーション部220を含む仮想デスクトップ(Virtual Desktop)である。IP通知Agent部240は、自VD215のIPアドレスを、自身のVM_IDとペアでVDポータル170に通知する。
【0026】
なお、本実施の形態において、VDポータル170及びVD実現サーバ200を含む部分は提供部の一例である。
【0027】
コネクションブローカ160は、端末−VD間のコネクションを監視する既存装置及び手段である。コネクションブローカ160は、VDポータル発メッセージの中身を参照して、端末−VD間で生成されるRDPコネクションの宛先IP情報を取得した後にそのコネクションを監視する。そして、コネクションブローカ160は、一定時間流量が無ければコネクション切断と認識し、前記宛先IPで識別されるVD215の停止を、VDポータル170に対して要求する。
【0028】
ユーザ情報管理サーバ350は、アクセス元情報管理部370を有する。アクセス元情報管理部370は、VPN GW120及びVDポータル170からの通知に基づき、アクセス元情報管理テーブル360に、VD215を利用するユーザに関するuID、アクセス元端末情報、テナント識別子、及び当該ユーザが使用中のVD215のIP情報の記録及び記録の削除を行う。
【0029】
なお、本実施の形態において、ユーザ情報管理サーバ350は、管理部の一例である。
【0030】
中継装置270は、VD発判断部290、IP−アクセス元情報変換部280、URL抽出部300、認可判定部320を有する。VD発判断部290は、受信メッセージのテナント識別子および送信元IPにより、受信メッセージが、VD215から送信されたメッセージであるか否かを判断する。IP−アクセス元情報変換部280は、VD215から送信されたメッセージである場合に、ユーザ情報管理サーバ350に問い合わせ、テナント識別子および送信元IPに対応するアクセス元情報を取得する。URL抽出部300は、メッセージ中の宛先URLを抽出する。認可判定部320は、アクセス元情報、宛先URLなどを使ってメッセージの転送可否を判断する。
【0031】
以下では、仮想デスクトップ環境提供システム100における処理の流れを説明する。VD215の利用を望むユーザは、まず手元の端末110から、VPN GW120にVPN接続要求を行う。VPN GW120は、NWユーザ認証部140による認証結果がOKであれば、ユーザ情報通知部130を使ってユーザ情報管理サーバ350へのアクセス元情報の通知を行う。ユーザ情報管理サーバ350は、通知されたuID、アクセス元端末情報、テナント識別子を、アクセス元情報管理テーブル360に記録する。VPN GW120は、上記の後に端末110に認証完了の応答を返し、端末はVPN GW120のVPN終端部150との間にトンネルを構築し、当該トンネルを使ってメッセージの送受信を行う。
【0032】
その後、上記端末110からVD利用要求を受けたVDポータル170は、VDユーザ認証部180による認証結果がOKであれば、VD起動制御部190を使って当該ユーザ用のVD215を起動する。起動したVD215上のOSに組み込まれたIP通知Agent部240は、当該VDのIP情報とVM_IDのペアをVDポータル170に通知する。VDポータル170のVD起動制御部190は、通知されたVM_IDをuIDに変換した後、通知されたIP情報及びuIDのペアを、ユーザ情報管理サーバ350に対して通知する。ユーザ情報管理サーバ350は、アクセス元情報管理テーブル360中の通知されたuIDに関するエントリに、通知されたIP情報を記録する。
【0033】
VDポータル170のVDユーザ認証部180が、端末110にVD215のIP情報を通知し、端末110が通知されたIP情報のVD215への接続を完了した後、VD215上のクライアントアプリケーションが社内宛メッセージを送信する。その後、VD215と業務アプリ340の間に位置する中継装置270は、VD発判断部290で受信メッセージがVD発と判断し、IP−アクセス元情報変換部280を使ってアクセス元情報を取得する。そして、認可判定部320が、URL抽出部300で抽出した宛先URL情報及び前記アクセス元情報を使って認可判定を行うことで、アクセス元情報及び宛先業務アプリケーションに応じたアクセス制御が可能となる。
【0034】
なお、上記説明では認可判定を中継装置270で行うこととしたが、認可判定の実現形態は外部サーバで行う形態であっても良い。つまり、認可ポリシ310および認可判定部320を外部サーバ上で保持し、当該外部サーバが認可可否を判断し、中継装置270は判断結果に応じた中継及び廃棄の制御のみを行う形態であっても良い。
【0035】
上記のように、VD215から業務アプリ340への利用要求に際し、VD215にアクセスしている端末110の場所、種別及びユーザに応じたアクセス制御を可能とすることで、機密データの漏洩リスクが軽減される。さらには、仮想デスクトップサービスを使うユーザによる、業務アプリ及び業務データへの不用意なアクセスを防止することができる。
【0036】
(第1の実施形態)
図5乃至図20を用いて、第1の実施形態における仮想デスクトップ環境提供システム100について説明する。はじめに、第1の実施形態で想定するシステム構成、アドレッシング、事前設定について説明する。
【0037】
図5で、システム構成を示す。サーバの内部構成は図4の場合と同様である。図5中のDHCP(Dynamic Host Configuration Protocol)サーバ400は、各VD215が自身のIPアドレスを決める為の既存手段である。認証サーバ380は、認証情報を一括して管理するサーバである。
【0038】
次に、企業A向けのアドレッシングについて説明する。DaaSセンタ内企業NWは「VLAN#A」、VDポータル170のIPアドレスは「vdp−a」(企業Aの社内で使用できるプライベートアドレス)、VD215のIPアドレスは「vd#a1〜an」(企業Aの社内で使用できるプライベートアドレス)とする。そして、ユーザa1向けのアドレッシングは、VD215のIPアドレスが「vd#a1」、VM部250のインスタンスIDが「ID#a1」とする。
【0039】
次に、企業A向けのDaaSセンタ内の事前設定及び環境構築について説明する。図12に、各ユーザの認証情報を設定する認証DBの一例を示す。図15には、コネクションブローカ160の設定を示し、認証応答メッセージを判断するための条件として、Msgフック条件テーブルに、送信元IPアドレスとして「vdp−a」を設定する。DHCPサーバ400の設定については、VLAN#AのVD215に割り当て可能なIPアドレスとして、DHCPサーバ400内に「vd#a1〜an」を設定する。図18で示すように、中継装置270の設定としては、VD発メッセージかその他ノード発メッセージかを判断するための条件として、VD発判断条件テーブルに、VLANとして「#A」を、送信元IPアドレスとして「vd#a1〜an」を設定する。
【0040】
次に、図6を用いて、第1の実施形態における仮想デスクトップ環境提供システム100の処理を説明する。当該説明は、A)ユーザがVD215を起動するまでの流れ、B)ユーザがVD215上でWebを使って業務アプリにアクセスする際の認可判定の流れ、C)ユーザがVD215を終了するまでの流れの3フェーズに分けて行う。なお、図6で示すシーケンス中の主なサーバのフロー詳細は、図7乃至10のフローチャートに示す。
【0041】
A)ユーザがVDを起動し、ユーザ情報管理サーバにアクセス元情報が記録されるまでの流れ
【0042】
1)VPN接続要求について説明する。ユーザは、端末110(ここでは携帯電話)からVPN GW120に対し、VPN接続要求を行う。
【0043】
2)VPN接続応答について説明する。VPN GW120のNWユーザ認証部140は、認証結果を端末に返す。
【0044】
3)VPN構築について説明する。認証OKである場合、端末110はVPN GW120のVPN終端部150との間に、session−IDで識別されるVPNトンネルを構築し、図13で示すユーザ−トンネル対応テーブルにuIDとsession−IDの対応を記録する。以降、VPN GW120は、端末110から上記VPNトンネルをDaaSセンタ内企業NW(VLAN#A)とマッピングする。即ち、上記VPNトンネルからパケットを受信した場合、VLANタグ#Aを付けてDaaSセンタ側に送信する。
【0045】
4)アクセス元情報通知について説明する。VPN GW120は、ユーザ情報通知部130を使い、認証時に得られたアクセス元情報(アクセス元端末情報(回線=携帯、端末種別=i−phone)、アクセス元ユーザ情報(uID=user001))及びDaaSセンタ内企業NWで使うVLANタグ情報をユーザ情報管理サーバ350に通知する。次に、ユーザ情報管理サーバ350は、通知された上記情報を図14で示すアクセス元情報管理テーブル360に記録する。
【0046】
5)VD利用要求について説明する。ユーザは、構築したVPNトンネルを使って、VDポータル画面に対しHTTP(HyperText Transfer Protocol)でアクセスし、vdp−a宛に、VDの利用要求を行う。
【0047】
6)VD起動指示について説明する。VDポータル170のVDユーザ認証部180は、ユーザ認証する時に認証DB390を参照し、認証を行うとともに、当該ユーザ(uID#user001)向けVM部250のインスタンスID#a1を取得する。次に、VDポータル170のVD起動制御部190は、VD実現サーバ200に対し、インスタンスID#a1で識別されるVM部250の起動を指示する。そして、VD実現サーバ200上のVM制御部210は、インスタンスID#a1で識別されるVMイメージをHDDから読み出してVM部250及びVM部250上のOS部230を起動する。
【0048】
7)IPアドレスの取得について説明する。OS部230は、DHCPサーバ400から自身のIPアドレスを取得して、自身のIPアドレスとする。
【0049】
8)自IPアドレスの通知について説明する。上記OS部230上のIP通知Agent部220は、取得したIPアドレスを、VM部250のインスタンスID#a1と共に、VDポータル170に通知する。
【0050】
9)VD_IPの通知について説明する。VDポータル170のVD起動制御部190は、認証DB390を参照し、通知されたインスタンスID#a1に対応するユーザIDとしてuser001を得る。次に、VDポータル170のVD起動制御部190は、後でVD215を停止する時のために、ユーザIDと通知されたVD215のIPアドレスとの対応について、図19で示すuID−VD_IP対応テーブルにキャッシュとして記録する。なお、停止時における上記キャッシュの使い方は、後述の17)、18)で説明する。そして、VDポータル170のVD起動制御部190は、「ユーザID=user001、VD_IP=vd#a1」という情報をユーザ情報管理サーバ350に通知する。さらに、ユーザ情報管理サーバ350のアクセス元情報管理部370は、上記4)でアクセス元情報管理テーブル360に記録したuser001の情報に対し、VD215のIPアドレスをバインドして記録する。
【0051】
10)VPN利用応答について説明する。VDポータル215のVDユーザ認証部180は、端末110に対し、VD_IPとしてvd#a1を通知する。次に、VDポータル170と端末110との間に位置するコネクションブローカ160は、送信元IPアドレスがvdp−aなので、監視対象パケットと認識してパケットをフックし、メッセージの中身を参照する。そして、参照した結果、vd#a1宛にRDPコネクションが開始されることを検知して、図16で示すコネクションテーブルに、監視対象として「送信元IPアドレス=端末IPアドレス、宛先IPアドレス=vd#a1」を登録する。さらに、コネクションブローカ160は、フックしたパケットをそのまま端末110宛に転送する。
【0052】
11)VD接続について説明する。端末110は、通知に従い、vd#a1宛にRDPで接続する。次に、コネクションブローカ160は、vd#a1宛パケットの単位時間あたりの流量をコネクションテーブルに記録し、一定時間流量が無ければ切断と判断する。ここでは、パケットが流れたので接続中と判断し、受信パケットをそのまま転送する。そして、以降VD215は、端末110との間で、キーボード操作や画面情報をRDPでやり取りする。
【0053】
B)ユーザがVD215上でWebを使って業務アプリ340にアクセスする際の認可判定の流れ
【0054】
12)業務アプリ利用要求について説明する。ユーザが、VD215上で社内の業務アプリにアクセスするためにWebを操作し、URLとして「url−A1」を入力した場合を想定する。すると、VD215は、VLANタグ=#A、送信元IP=vd#a1のメッセージを業務アプリ340宛に送信する。図11にメッセージフォーマットを示す。
【0055】
13)IP−アクセス元情報変換について説明する。中継装置270のVD発判断部290は、受信メッセージがVD発か否かについてVD発判断条件テーブル410を参照して判断する。その結果、「VLAN#A、送信元IP=vd#a1〜n」の条件に合致するので、VD発と認識する。次に、中継装置270のIP−アクセス元情報変換部280は、ユーザ情報管理サーバ350に対して「VLANタグ=#A、送信元IPアドレス=vd#a1」の情報を渡し、応答としてアクセス元情報(回線=携帯、端末種別=i−phone、ユーザID=user001)を取得する。次に、中継装置270のURL抽出部300は、受信メッセージのHTTPヘッダ中のGETフィールドから宛先URLを抽出する。そして、中継装置270の認可判定部320は、図17で示す認可ポリシテーブル310を参照し、認可判定を行う。参照キーは、アクセス元情報、受信メッセージ中の宛先URLである。
【0056】
14)業務アプリ利用要求転送について説明する。中継装置270は、認可判定結果に従い、メッセージを中継または廃棄する。認可結果がOKであれば中継し、NGであれば廃棄やNG応答を行う。
【0057】
C)ユーザがVDを終了するまでの流れ
【0058】
15)VD終了要求について説明する。ユーザは、VD215の使用を終了したい場合、VD215上OS部230の操作で停止要求をするか、又はVD215から提供されている画面を閉じることでVD215の停止要求をする。
【0059】
16)VD停止要求について説明する。コネクションブローカ160は、「送信元IPアドレス=端末IPアドレス、宛先IPアドレス=vd#a1」のコネクションの流量が一定時間ゼロであることを検知する。そして、コネクションブローカ160は、このコネクションの切断を検知し、VDポータル170に対し、vd#a1のVD215の停止を要求する。
【0060】
17)VD停止指示について説明する。VDポータル170のVD起動制御部190は、uID−VD_IP対応テーブルを参照して、VD215のIP情報(vd#a1)に対応するuIDを取得する。更に、VDポータル170のVD起動制御部190は認証DB390を参照して、このユーザIDに対応するVM部250のインスタンスID情報(#a1)を取得する。その後、VD起動制御部190はVD実現サーバ200に対し、インスタンスID#a1のVM部250の停止指示を行う。そして、VD実現サーバ200上のVM制御部210は、インスタンスID#a1で識別されるVM部250を停止する。
【0061】
18)VD解放通知について説明する。VDポータル170のVD起動制御部190は、ユーザ情報管理サーバ350に対し、ユーザIDをパラメタとしてVD215の解放を要求する。そして、ユーザ情報管理サーバ350のアクセス元情報管理部370は、uID#aのVD_IP情報(vd#a1)を削除する。
【0062】
19)VPN終了要求について説明する。ユーザは、VPNの使用を終了したい場合、端末110上でVPNの終了要求をする。次に、VPN GW120のVPN終端部150は、要求を受けたsession−IDのVPNトンネルを終了する。更に、VPN終端部150は、session−IDに対応するuID(user001)をユーザ−トンネル対応テーブルから取得する。
【0063】
20)アクセス元情報の削除要求について説明する。VPN GW120のユーザ情報通知部130は、ユーザ情報管理サーバ350に対し「user001」の情報の削除要求をする。すると、ユーザ情報管理サーバ350のアクセス元情報管理部370は、「user001」に関する情報を削除する。
【0064】
以上の動作により、仮想デスクトップにアクセスしている端末の場所や種別に応じたアクセス制御が可能となる。なお、第1の実施形態では、ユーザの手元の端末として携帯電話を想定したが、インターネット上のPC、Smart Phone、拠点内のPCの場合も同様である。
【0065】
また、第1の実施形態では、中継装置270が認可判定を行うケースを示したが、認可判定は外部サーバで行っても良い。たとえば上記13)のURL抽出部300の処理は、次のような構成及び動作であっても良い。構成については、認可判定を行うサーバとして、認可ポリシテーブル310を保持する認可サーバを別途設ける。動作については、中継装置270が、上記認可サーバに対し認可判定依頼メッセージを送信し、その際メッセージには参照キー(アクセス元情報、受信メッセージ中の宛先URL)が指定される。そして、認可サーバは、認可ポリシテーブル310を参照し認可判定を行い、認可サーバは中継装置270に対し、認可判定を応答する。
【0066】
また、第1の実施形態では、認可判定のキーとして使用するアクセス元情報を「回線、端末種別、ユーザID」と想定したが、その他のパラメタを含んでも良い。例えば、端末IPアドレス、アクセス時間などを含んでも良い。また、第1の実施形態では、アクセス元情報管理テーブル360を管理するサーバについて、ユーザ情報管理サーバ350として単独で設けたが、当該テーブルを既存サーバが内包しても良い。例えば、図20で示すように、コネクションブローカ160がアクセス元情報管理テーブル360を内包しても良い。または図21で示すように、中継装置270がアクセス元情報管理テーブル360を内包しても良い。
【0067】
(第2の実施形態)
図22及び図23を用いて、第2の実施形態における仮想デスクトップ環境提供システム100について説明する。ここでは、拠点発のVDアクセスが、VPN GWを経由しない場合について説明する。
【0068】
図22に、第2の実施形態における仮想デスクトップ環境提供システム100のシステム構成を示す。各サーバの内部構成は図4と同様である。なお、図22において、各サーバが保持するテーブル及びDBは第1の実施形態と同じであるため、ここでは略記する。
【0069】
以下、図23で示すシーケンスに沿って、仮想デスクトップ環境提供システム100の処理について説明する。説明は第1の実施形態と同様に3フェーズに分けて行う。なお、シーケンス中の番号は第1の実施形態と対応し、第2の実施形態では、第1の実施形態と動作が全く同じものについては説明を省略する。
【0070】
A)ユーザがVDを起動し、ユーザ情報管理にアクセス元情報が記録されるまでの流れ
【0071】
1)乃至4)については、第2の実施形態では処理を行わない。
【0072】
5)VD利用要求について説明する。ユーザは、キャリアが事前に構築した企業A向けの社内NW経由でVDポータル画面に対しHTTPでアクセスし、vdp−a宛にVD215の利用要求を行う。
【0073】
6)乃至8)については、第1の実施形態と同じであるため説明を省略する。
【0074】
9)VD_IPの通知について説明する。VDポータル170のVD起動制御部190は、認証DB390を参照し、通知されたインスタンスID#a1に対応するユーザIDとしてuser001を取得する。次に、VDポータル170のVD起動制御部190は、後フェーズでVD215を停止する時のために、ユーザIDと通知されたVD215のIPアドレスとの対応について、uID−VD_IP対応テーブルにキャッシュとして記録する。VDポータル170のVD起動制御部190は、「ユーザID=user001、VD_IP=vd#a1、回線=社内の拠点、端末種別=PC」の情報をユーザ情報管理サーバ350に通知する。なお、社内の拠点であることは、送信元端末110のIPアドレスが拠点内の端末に割り振ったIPアドレスであることから判断する。また、第1の実施形態と異なり、VD起動制御部190は端末種別情報も通知する。
【0075】
そして、ユーザ情報管理サーバ350のアクセス元情報管理部370は、「user001」のアクセス元情報がアクセス元情報管理テーブル360に未登録なので、当該ユーザは社内拠点からVDポータル170にアクセスしていると判断し、アクセス元情報管理テーブル360に「アクセス元端末情報(回線=拠点、端末種別=PC)、アクセス元ユーザ情報(ユーザID=user001)、テナント識別子(VLAN#A)」のエントリを新規に登録する。
【0076】
10)乃至17)については、第1の実施形態と同じであるため説明を省略する。
【0077】
18)VD解放通知について説明する。VDポータル170のVD起動制御部190は、ユーザ情報管理サーバ350に対し、ユーザIDをパラメタとしてVD215の解放を要求する。次に、ユーザ情報管理サーバ350のアクセス元情報管理部370は、uID#aのVD_IP情報(vd#a1)を削除する。このとき、アクセス元情報管理テーブル360において、回線=拠点と記録されているので、端末−VD間にVPN GW120は無いと判断し、ユーザID#aの全情報をアクセス元情報管理テーブル360から削除する。
【0078】
19)及び20)については第2の実施形態では処理を行わない。
【0079】
上記のように、第2の実施形態における仮想デスクトップ環境提供システム100は、拠点発のアクセスがVPN GWを介さない場合であっても、仮想デスクトップにアクセスしている端末の場所や種別に応じたアクセス制御を可能とする。
【0080】
以上、本発明の実施の形態について詳述したが、本発明は係る特定の実施の形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲において、種々の変形・変更が可能である。
【符号の説明】
【0081】
100 仮想デスクトップ環境提供システム、110 ユーザ端末、120 VPN GW(Virtual Private Network GateWay)、130 ユーザ情報通知部、140 NWユーザ認証部、150 VPN終端部、160 コネクションブローカ、170 VD(Virtual Desktop)ポータル、180 VDユーザ認証部、190 VD起動制御部、200 VD実現サーバ、210 VM(Virtual Machine)制御部、215 仮想デスクトップ(VD:Virtual Desktop)、220 クライアントアプリケーション部、230 OS部、240 IP通知Agent部、250 VM部、260 物理サーバ部、270 中継装置、280 IP−アクセス元情報変換部、290 VD発判断部、300 URL(Uniform Resource Locator)抽出部、310 認可ポリシテーブル、320 認可判定部、330 廃棄部、340 業務アプリケーション、350 ユーザ情報管理サーバ、360 アクセス元情報管理テーブル、370 アクセス元情報管理部、380 認証サーバ、390 認証データベース、400 DHCP(Dynamic Host Configuration Protocol)サーバ、410 VD発判断条件テーブル
【特許請求の範囲】
【請求項1】
端末と通信するゲートウェイと、該端末が該ゲートウェイを介して通信する仮想デスクトップを提供する提供部と、該仮想デスクトップがアクセスするアプリケーションが動作するサーバと通信する中継装置と、該端末に関する端末情報を該中継装置に送る管理部と、を有するアクセス制御システムにおいて、
前記管理部は、
端末に関する端末情報と、該端末から仮想デスクトップを介してアプリケーションを使用するユーザに関するユーザ情報と、該仮想デスクトップを識別する仮想デスクトップ識別情報とを組として記憶する記憶部を有し、
前記端末情報と前記ユーザ情報とを、前記ゲートウェイから受けて前記記憶部に記憶させ、前記ユーザ情報と前記仮想デスクトップ識別情報とを、前記提供部から受けて前記記憶部に記憶させ、前記仮想デスクトップ識別情報を前記中継装置から受けると、該仮想デスクトップ識別情報をキーに前記記憶部から前記端末情報を検索して、検索された前記端末情報を前記中継装置に送り、
前記中継装置は、前記仮想デスクトップから受けたメッセージを前記サーバに転送するか否かを、前記管理部から受けた前記端末情報から判断する、
アクセス制御システム。
【請求項2】
前記中継装置は、
端末から仮想デスクトップを介してアプリケーションを使用するユーザに関するユーザ情報と、端末に関する端末情報と、該仮想デスクトップから受けたメッセージを前記サーバに転送して良いかを規定する可否情報とを組として記憶する第2記憶部を有し、
前記メッセージを前記サーバに転送するか否かを、前記管理部から受けた前記端末情報と、前記第2記憶部から読み出した前記端末情報及び前記可否情報とを比較して判断する、
請求項1記載のアクセス制御システム。
【請求項3】
前記管理部は、前記仮想デスクトップ識別情報を前記中継装置から受けると、該仮想デスクトップ識別情報をキーに前記記憶部から前記端末情報及び前記ユーザ情報を検索して、検索された前記端末情報及び前記ユーザ情報を前記中継装置に送り、
前記中継装置は、記メッセージを前記サーバに転送するか否かを、前記管理部から受けた前記端末情報及び前記ユーザ情報から判断する、
請求項1又は2記載のアクセス制御システム
【請求項4】
前記中継装置は、
前記メッセージに含まれる、前記ユーザに対応するネットワークを識別するテナント識別子と前記仮想デスクトップ識別情報とに基づいて、当該メッセージが前記仮想デスクトップより送信されたメッセージであるか否かを判断し、当該メッセージが前記仮想デスクトップより送信されたメッセージであると判断した場合に、当該メッセージを前記サーバに転送するか否かを判断する、
請求項1乃至3いずれか一項記載のアクセス制御システム。
【請求項5】
前記端末は、前記ゲートウェイを介さずに前記提供部と通信し、
前記管理部は、
前記端末情報と前記ユーザ情報と前記仮想デスクトップ識別情報とを、前記提供部から受けて前記記憶部に記憶させ、前記仮想デスクトップ識別情報を前記中継装置から受けると、該仮想デスクトップ識別情報をキーに前記記憶部から前記端末情報を検索して、検索された前記端末情報を前記中継装置に送る、
請求項1乃至4いずれか一項記載のアクセス制御システム。
【請求項6】
端末と通信するゲートウェイと、該端末が該ゲートウェイを介して通信する仮想デスクトップを提供する提供部と、該仮想デスクトップがアクセスするアプリケーションが動作するサーバと通信する中継装置と、該端末に関する端末情報を該中継装置に送る管理部と、を有するアクセス制御システムにおいて、
前記管理部は、
端末に関する端末情報と、該端末から仮想デスクトップを介してアプリケーションを使用するユーザに関するユーザ情報と、該仮想デスクトップを識別する仮想デスクトップ識別情報とを組として記憶部に記憶させる手順と、
前記端末情報と前記ユーザ情報とを、前記ゲートウェイから受けて前記記憶部に記憶させ、前記ユーザ情報と前記仮想デスクトップ識別情報とを、前記提供部から受けて前記記憶部に記憶させ、前記仮想デスクトップ識別情報を前記中継装置から受けると、該仮想デスクトップ識別情報をキーに前記記憶部から前記端末情報を検索して、検索された前記端末情報を前記中継装置に送る手順とを実行し、
前記中継装置は、前記仮想デスクトップから受けたメッセージを前記サーバに転送するか否かを、前記管理部から受けた前記端末情報から判断する、
アクセス制御方法。
【請求項1】
端末と通信するゲートウェイと、該端末が該ゲートウェイを介して通信する仮想デスクトップを提供する提供部と、該仮想デスクトップがアクセスするアプリケーションが動作するサーバと通信する中継装置と、該端末に関する端末情報を該中継装置に送る管理部と、を有するアクセス制御システムにおいて、
前記管理部は、
端末に関する端末情報と、該端末から仮想デスクトップを介してアプリケーションを使用するユーザに関するユーザ情報と、該仮想デスクトップを識別する仮想デスクトップ識別情報とを組として記憶する記憶部を有し、
前記端末情報と前記ユーザ情報とを、前記ゲートウェイから受けて前記記憶部に記憶させ、前記ユーザ情報と前記仮想デスクトップ識別情報とを、前記提供部から受けて前記記憶部に記憶させ、前記仮想デスクトップ識別情報を前記中継装置から受けると、該仮想デスクトップ識別情報をキーに前記記憶部から前記端末情報を検索して、検索された前記端末情報を前記中継装置に送り、
前記中継装置は、前記仮想デスクトップから受けたメッセージを前記サーバに転送するか否かを、前記管理部から受けた前記端末情報から判断する、
アクセス制御システム。
【請求項2】
前記中継装置は、
端末から仮想デスクトップを介してアプリケーションを使用するユーザに関するユーザ情報と、端末に関する端末情報と、該仮想デスクトップから受けたメッセージを前記サーバに転送して良いかを規定する可否情報とを組として記憶する第2記憶部を有し、
前記メッセージを前記サーバに転送するか否かを、前記管理部から受けた前記端末情報と、前記第2記憶部から読み出した前記端末情報及び前記可否情報とを比較して判断する、
請求項1記載のアクセス制御システム。
【請求項3】
前記管理部は、前記仮想デスクトップ識別情報を前記中継装置から受けると、該仮想デスクトップ識別情報をキーに前記記憶部から前記端末情報及び前記ユーザ情報を検索して、検索された前記端末情報及び前記ユーザ情報を前記中継装置に送り、
前記中継装置は、記メッセージを前記サーバに転送するか否かを、前記管理部から受けた前記端末情報及び前記ユーザ情報から判断する、
請求項1又は2記載のアクセス制御システム
【請求項4】
前記中継装置は、
前記メッセージに含まれる、前記ユーザに対応するネットワークを識別するテナント識別子と前記仮想デスクトップ識別情報とに基づいて、当該メッセージが前記仮想デスクトップより送信されたメッセージであるか否かを判断し、当該メッセージが前記仮想デスクトップより送信されたメッセージであると判断した場合に、当該メッセージを前記サーバに転送するか否かを判断する、
請求項1乃至3いずれか一項記載のアクセス制御システム。
【請求項5】
前記端末は、前記ゲートウェイを介さずに前記提供部と通信し、
前記管理部は、
前記端末情報と前記ユーザ情報と前記仮想デスクトップ識別情報とを、前記提供部から受けて前記記憶部に記憶させ、前記仮想デスクトップ識別情報を前記中継装置から受けると、該仮想デスクトップ識別情報をキーに前記記憶部から前記端末情報を検索して、検索された前記端末情報を前記中継装置に送る、
請求項1乃至4いずれか一項記載のアクセス制御システム。
【請求項6】
端末と通信するゲートウェイと、該端末が該ゲートウェイを介して通信する仮想デスクトップを提供する提供部と、該仮想デスクトップがアクセスするアプリケーションが動作するサーバと通信する中継装置と、該端末に関する端末情報を該中継装置に送る管理部と、を有するアクセス制御システムにおいて、
前記管理部は、
端末に関する端末情報と、該端末から仮想デスクトップを介してアプリケーションを使用するユーザに関するユーザ情報と、該仮想デスクトップを識別する仮想デスクトップ識別情報とを組として記憶部に記憶させる手順と、
前記端末情報と前記ユーザ情報とを、前記ゲートウェイから受けて前記記憶部に記憶させ、前記ユーザ情報と前記仮想デスクトップ識別情報とを、前記提供部から受けて前記記憶部に記憶させ、前記仮想デスクトップ識別情報を前記中継装置から受けると、該仮想デスクトップ識別情報をキーに前記記憶部から前記端末情報を検索して、検索された前記端末情報を前記中継装置に送る手順とを実行し、
前記中継装置は、前記仮想デスクトップから受けたメッセージを前記サーバに転送するか否かを、前記管理部から受けた前記端末情報から判断する、
アクセス制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【公開番号】特開2011−154622(P2011−154622A)
【公開日】平成23年8月11日(2011.8.11)
【国際特許分類】
【出願番号】特願2010−16813(P2010−16813)
【出願日】平成22年1月28日(2010.1.28)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成23年8月11日(2011.8.11)
【国際特許分類】
【出願日】平成22年1月28日(2010.1.28)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]