シンクライアントシステム、可搬型フラッシュメモリ、可搬型フラッシュメモリのデータ保護方法、及びプログラム
【課題】 シンクライアントシステムの安全性を損なうことなく、可搬型フラッシュメモリ内にデータを保存可能とする。
【解決手段】 シンクライアントOSを格納した可搬型フラッシュメモリの不揮発性メモリに保護領域を設ける。可搬型フラッシュメモリのコントローラは、シンクライアントOSがクライアント端末によって正常に起動されているかをチェックし、正常に起動された場合にアクセス権フラグをオンにセットする。クライアント端末から保護領域に対するアクセス要求を受信した場合、コントローラはアクセス権フラグがオンにセットされているか否かを判定し、アクセス権フラグがオフの場合は保護領域へのアクセスを不許可とする。アクセス権フラグがオンの場合は保護領域へのアクセスを許可する。
【解決手段】 シンクライアントOSを格納した可搬型フラッシュメモリの不揮発性メモリに保護領域を設ける。可搬型フラッシュメモリのコントローラは、シンクライアントOSがクライアント端末によって正常に起動されているかをチェックし、正常に起動された場合にアクセス権フラグをオンにセットする。クライアント端末から保護領域に対するアクセス要求を受信した場合、コントローラはアクセス権フラグがオンにセットされているか否かを判定し、アクセス権フラグがオフの場合は保護領域へのアクセスを不許可とする。アクセス権フラグがオンの場合は保護領域へのアクセスを許可する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、可搬型フラッシュメモリを利用したシンクライアントシステムにおけるデータ保護方法等に関する。
【背景技術】
【0002】
近年、企業等においてクライアント端末に必要な機能のみを持たせ、機密情報等の情報資源の管理やアプリケーションの処理等の機能をサーバに集約させたシンクライアントシステム(Thin Client System)が導入されている。シンクライアントシステムを実現するために、シンクライアントシステム専用のコンピュータを導入してもよいが、シンクライアントシステム専用のコンピュータの導入は、コスト、利便性の面から望ましいとはいえない。
【0003】
そこで、特許文献1に記載されているように、USBメモリ、CD−ROM等の携帯可能なデバイスやネットワークストレージにシンクライアントシステム専用のOS(オペレーティングシステム)を格納しておき、汎用のコンピュータからそのシンクライアントOSを読出して起動することにより、汎用のコンピュータをシンクライアント端末化する手法が用いられている。シンクライアントOSを起動した汎用のコンピュータは、コンピュータ内のOSによらず、シンクライアント端末として機能する。また、シンクライアントOSが改竄されてしまうと、機密情報等が漏洩する可能性があるため、外部機器からのUSBメモリ内へのデータの書き込みは一定の制限が設けられることが多い。更に、改竄されたシンクライアントOSの使用を防ぐため、特許文献2のように、USBメモリ等に記憶されたシンクライアントOSの改竄を発見するプラットフォーム完全性検証システムが利用されることもある。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−299136号公報
【特許文献2】特開2009―175923号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、シンクライアント端末化されたコンピュータ(シンクライアント端末)にて作業を行う際、作業効率の向上のため作業データを操作側に一時的に保持したいという要望もある。例えば、CAD図面の作成や画像データ加工等のように大容量かつ繊細な操作が必要なデータを処理する場合は、操作の都度サーバ側へデータを送受信するよりも、操作側に一時的に処理対象となる大容量データをダウンロードする方が作業効率がよい。また、シンクライアントOSのパッチファイルをネットワークストレージからダウンロードして上述のUSBメモリ等の記録媒体内に格納することも想定される。このように、操作側にシンクライアントシステムで扱うデータを保持させ、作業効率を向上したいという要望がある。
【0006】
本発明は、このような課題に鑑みてなされたもので、その目的とするところは、可搬型フラッシュメモリに格納されたシンクライアントOSをクライアント端末が読み出して起動するシンクライアントシステムにおいて、シンクライアントシステムの安全性を損なうことなく、可搬型フラッシュメモリ内にデータを保存することを可能とするシンクライアントシステム、可搬型フラッシュメモリ、可搬型フラッシュメモリのデータ保護方法、及びプログラムを提供することである。
【課題を解決するための手段】
【0007】
前述した課題を解決するため第1の発明は、サーバと通信接続されたクライアント端末と、該クライアント端末をシンクライアント端末化するためのシンクライアントOSが格納された可搬型フラッシュメモリと、を備え、前記クライアント端末が前記可搬型フラッシュメモリに格納されたシンクライアントOSを読み出して起動することにより、当該クライアント端末をシンクライアント端末化するシンクライアントシステムであって、前記可搬型フラッシュメモリは、データの読出し及び書込みが制限される保護領域を有する不揮発性メモリと、前記クライアント端末との間で通信を行うための通信インターフェースと、前記不揮発性メモリへのアクセス及び前記通信を制御するコントローラと、を備え、前記コントローラは、前記シンクライアントOSが前記クライアント端末によって正常に起動されているかをチェックする起動チェック手段と、前記起動チェック手段により、前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断された場合に、アクセス権フラグをオンにセットするアクセス権フラグセット手段と、前記クライアント端末から前記保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定するアクセス権判定手段と、前記アクセス権フラグがオフの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御するアクセス制御手段と、を備えることを特徴とするシンクライアントシステムである。
【0008】
第1の発明のシンクライアントシステムによれば、シンクライアントOSを格納した可搬型フラッシュメモリの不揮発性メモリに保護領域が設けられる。コントローラは、シンクライアントOSがクライアント端末によって正常に起動されているかを起動チェック手段によりチェックし、前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断した場合に、アクセス権フラグセット手段によりアクセス権フラグをオンにセットし、前記クライアント端末から前記保護領域に対するアクセス要求を受信した場合に、アクセス権判定手段により前記アクセス権フラグがオンにセットされているか否かを判定し、アクセス制御手段により前記アクセス権フラグがオフの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御する。
【0009】
これにより、シンクライアントOSが正常に起動されていなければアクセス権フラグがオンにセットされず、可搬型フラッシュメモリの保護領域へアクセスできない。一方で、シンクライアントOSが正常に起動された場合はアクセス権フラグがオンにセットされ、可搬型フラッシュメモリの保護領域へデータを書き込んだり、データを読み出したりできる。そのため、シンクライアントシステムの安全性を損なうことなく、可搬型フラッシュメモリ内にデータを保存することが可能となる。
【0010】
また、前記アクセス権フラグは、前記可搬型フラッシュメモリのコントローラ内の揮発性メモリにセットされることが望ましい。
これにより、可搬型フラッシュメモリがクライアント端末から取り外された場合やクライアント端末の電源がオフされた場合に、可搬型フラッシュメモリへの電源供給が絶たれ、コントローラ内の揮発性メモリ内に格納されたアクセス権フラグはリセット(オフ)されるようになる。そのため、再度シンクライアントOSが正常に起動されるまで可搬型フラッシュメモリの保護領域に格納されたデータへのアクセスができなくなる。また、既にOSの起動されたクライアント端末に当該可搬型フラッシュメモリを装着してもアクセス権フラグはリセットされているため、保護領域にアクセスできない。したがって、可搬型フラッシュメモリの保護領域に保存されたデータを確実に保護できる。
【0011】
また、前記コントローラの起動チェック手段は、前記クライアント端末が前記シンクライアントOSを読み出す順序が連続的であるか否かを判定する第1判定手段と、前記クライアント端末からの前記シンクライアントOSの読出しアドレスがOS終了アドレスに達したか否かを判定する第2判定手段と、を備え、前記アクセス権フラグセット手段は、前記第1及び第2判定手段により、前記クライアント端末から前記シンクライアントOSが連続的にOS終了アドレスまで読み出されたと判定された場合に、前記アクセス権フラグをオンにセットすることが望ましい。
【0012】
ここで、OS終了アドレスとは、可搬型フラッシュメモリ内のシンクライアントOSが格納された領域(OS起動用パーティション)の末尾のアドレスである。
クライアント端末が可搬型フラッシュメモリに格納されたシンクライアントOSを起動する際、まず可搬型フラッシュメモリ内に記憶されているMBR(マスタ・ブート・レコード)を読み込み、次に、OS起動用パーティションの先頭セクタへアクセスし、データを読み込む。その後、OS終了アドレスに達するまで順番に次アドレスへアクセスし、データを読み込む。このような動作が「正常」な起動動作であるとする。
【0013】
これにより、コントローラは、シンクライアントOSの一連の読み込み動作からシンクライアントOSの起動が正常であるか否かを確実にチェックできる。
【0014】
第2の発明は、サーバと通信接続されたクライアント端末をシンクライアント端末化するためのシンクライアントOSが格納された可搬型フラッシュメモリであって、データの読出し及び書込みが制限される保護領域を有する不揮発性メモリと、前記クライアント端末との間で通信を行うための通信インターフェースと、前記不揮発性メモリへのアクセス及び前記通信を制御するコントローラと、を備え、前記コントローラは、前記シンクライアントOSが前記クライアント端末によって正常に起動されているかをチェックする起動チェック手段と、前記起動チェック手段により、前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断された場合に、アクセス権フラグをオンにセットするアクセス権フラグセット手段と、前記クライアント端末から前記保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定するアクセス権判定手段と、前記アクセス権フラグがオフの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御するアクセス制御手段と、を備えることを特徴とする可搬型フラッシュメモリである。
【0015】
第3の発明は、サーバと通信接続されたクライアントをシンクライアント端末化するためのシンクライアントOSが格納され、データの読出し及び書込みが制限される保護領域を有する不揮発性メモリと、前記クライアント端末との間で通信を行うための通信インターフェースと、前記不揮発性メモリへのアクセス及び前記通信を制御するコントローラと、を備えた可搬型フラッシュメモリのデータ保護方法であって、前記コントローラが、前記シンクライアントOSが前記クライアント端末によって正常に起動されているかをチェックするステップと、前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断された場合に、アクセス権フラグをオンにセットするステップと、前記クライアント端末から前記保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定するステップと、前記アクセス権フラグがオフの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御するステップと、を含む可搬型フラッシュメモリのデータ保護方法である。
【0016】
第4の発明は、可搬型フラッシュメモリのコントローラが実行可能な形式で記述されたプログラムであって、前記可搬型フラッシュメモリに格納されているシンクライアントOSがクライアント端末によって正常に起動されているかをチェックするステップと、前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断された場合に、アクセス権フラグをオンにセットするステップと、前記クライアント端末から前記可搬型フラッシュメモリの保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定するステップと、前記アクセス権フラグがオフの場合に、前記クライアント端末から前記保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御するステップと、を含む処理を実行させるためのプログラムである。
【0017】
第2、第3、及び第4の発明によれば、可搬型フラッシュメモリのコントローラは、シンクライアントOSがクライアント端末によって正常に起動されているかをチェックし、前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断した場合にアクセス権フラグをオンにセットし、前記クライアント端末から前記保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定し、前記アクセス権フラグがオフの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御する。
【0018】
これにより、シンクライアントOSが正常に起動されていなければアクセス権フラグがオンにセットされず、可搬型フラッシュメモリの保護領域へアクセスできない。一方で、シンクライアントOSが正常に起動された場合はアクセス権フラグがオンにセットされ、可搬型フラッシュメモリの保護領域へデータを書き込んだり、データを読み出したりできる。そのため、シンクライアントシステムの安全性を損なうことなく、可搬型フラッシュメモリ内にデータを保存することが可能となる。
【発明の効果】
【0019】
本発明によれば、可搬型フラッシュメモリに格納されたシンクライアントOSをクライアント端末が読み出して起動するシンクライアントシステムにおいて、シンクライアントシステムの安全性を損なうことなく、可搬型フラッシュメモリ内にデータを保存することを可能とするシンクライアントシステム、可搬型フラッシュメモリ、可搬型フラッシュメモリのデータ保護方法、及びプログラムを提供できる。
【図面の簡単な説明】
【0020】
【図1】本発明に係るシンクライアントシステム1の全体構成図
【図2】USBメモリ2(可搬型フラッシュメモリ)の内部構成を示すブロック図
【図3】USBメモリ2のコントローラ8の内部構成を示すブロック図
【図4】クライアント端末3の構成を示すブロック図
【図5】USBメモリ2のコントローラ8が実行する起動チェック処理の手順を説明するフローチャート
【発明を実施するための形態】
【0021】
以下、図面に基づいて本発明の好適な実施形態について詳細に説明する。
まず、図1〜図4を参照して本発明の構成について説明する。
【0022】
図1は、本発明に係るセキュリティ管理システム1のシステム構成を示す図である。
図1に示すように、本発明の一実施の形態に係るシンクライアントシステム1は、可搬型フラッシュメモリの一実施の形態であるUSB(Universal Serial Bus)メモリ2と、USBメモリ2が装着されるクライアント端末3と、ネットワーク4を介して接続されるシンクライアントサーバ5と、を備えて構成される。また、これらの構成に加え、シンクライアントシステム1のセキュリティを向上させるため、シンクライアントサーバ5の前段に、VPN(Virtual Private Network)サーバや完全性検証サーバ等を備え、VPN認証処理や当該シンクライアントシステムのプラットフォームの完全性を検証するようにしてもよい。完全性検証サーバについては、公知の特許文献2(特開2009−175923号公報)に記載されており、詳細な説明は省略する。
【0023】
本発明において可搬型フラッシュメモリとは、データの書き換えが可能な不揮発性のメモリと演算機能とを備えた可搬型の半導体メモリであり、例えば、USBメモリ、メモリカード等を含む。以下の実施の形態では、可搬型フラッシュメモリとしてUSBメモリ2を例として説明する。
【0024】
図2は、USBメモリ2の内部構成を示すブロック図、図3はUSBメモリ2のコントローラ8の内部構成を示すブロック図である。
【0025】
図2に示すように、USBメモリ2は、コネクタ7、コントローラ8、及び不揮発性メモリ(フラッシュメモリ)9を備える。
コネクタ7は、USBメモリ2をクライアント端末3に着脱可能に接続するための端子である。
不揮発性メモリ9は、EEPROM(Electronically Erasable and Programmable Read Only Memory)等により構成され、シンクライアントOS25が格納される。シンクライアントOS25は、シンクライアントサーバ5へのリモートアクセスを実現するためのOSである。また、不揮発性メモリ9には、USBメモリ2がクライアント端末3に装着された際に、はじめに読み込まれ、シンクライアントOS25の起動手順を定義したMBR(マスタブートレコード)91が記憶されている。クライアント端末3はMBR91を参照して、起動動作を開始する。
また、不揮発性メモリ9は、最大4つのパーティション93,94,95,96に分割可能なメモリ領域を有する。通常、MBR91と先頭パーティション93との間には、空きセクタ92が設けられている。各パーティションの先頭にブートストラップ(OSを読み込み起動するためのプログラム)が書き込まれる。
【0026】
本発明において、USBメモリ2の不揮発性メモリ9には、所定条件化においてクライアント端末3を含む外部装置からのデータの読出し及び書込み(アクセス)が制限される保護領域94が設けられる。本実施の形態では、2番目のパーティションが保護領域94として設定されるが、他のパーティションとしてもよいし、複数のパーティションが保護領域として設定されていてもよい。保護領域がどのパーティションに設定されるかは、MBR91またはコントローラ8のEEPROM(Electronically Erasable and Programmable Read Only Memory)84に登録され、管理される(図3の保護領域管理データ841)。
【0027】
図3に示すように、USBメモリ2のコントローラ8は、CPU(Central Processing Unit)81と、揮発性のメモリであるRAM(Random Access Memory)82と、BIOS(Basic Input/Output System)が実装されるROM(Read Only Memory)83と、データが記憶され、電気的に書き換え可能な不揮発性メモリであるEEPROM84と、USB機器(クライアント端末3を含む)と通信するためのUSBインターフェース85と、を備える。
【0028】
USBメモリ2のコントローラ8のCPU81は、EEPROM84に格納されるプログラムをRAM82上のワークメモリ領域に呼び出して実行する。CPU81の実行するプログラムには起動チェックプログラム842が含まれる。起動チェックプログラム842については後述する。
【0029】
RAM82は、ロードしたプログラムやデータを一時的に保持するとともに、CPU81が各種処理を行うために使用するワークエリアを備える。例えば、後述する起動チェックプログラム842の実行時には、受信カウンタ821、起動カウンタ822、アクセス権フラグ823等がRAM内に格納される。RAM82の記憶内容は、USBメモリ2がクライアント端末3から取り外されて電源供給が絶たれると消去される。
【0030】
EEPROM84には、保護領域管理データ841が登録される。また、CPU81が実行する起動チェックプログラム842が格納されている。保護領域管理データ841は、USBメモリ2の不揮発性メモリ9における保護領域94を定義するデータであり、例えば、保護領域94として定義されるパーティション番号が登録される。
【0031】
図4(a)は、クライアント端末3の機能ブロック図、図4(b)はクライアント端末3のハードウエアブロック図である。
図4(a)に示すように、クライアント端末3は、クライアント端末3の起動処理を実行する起動部31と、接続されたUSBデバイス(USBメモリ2を含む)とのデータの交信を行うためのUSB通信部32とを備える。
【0032】
図4(b)に示すように、クライアント端末3は、CPU301、RAM302、ROM303、USB機器と通信するためのUSBインターフェース304、ネットワーク通信するためのネットワークインターフェース305、及び補助記憶装置として大容量のデータ記憶装置306を備える。データ記憶装置306には、クライアント端末3のオペレーティングシステム(クライアントOS)307が格納され、本実施の形態のUSBメモリ2が接続されていない場合は、このクライアントOS307が起動されることとなる。本実施の形態のUSBメモリ2が接続された場合は、USBメモリ2内のシンクライアントOS25がRAM302に展開され、起動される。
【0033】
クライアント端末3がUSBメモリ2に格納されたシンクライアントOS25を起動する際、まずクライアント端末3のCPU301はROM303のBIOSに従って、USBメモリ2内に記憶されているMBR(マスタ・ブート・レコード)を読み込み、次に、MBRに定義されているOS起動用パーティションの先頭セクタ(OS開始アドレス)へアクセスし、データを読み込む。その後、OS終了アドレスに達するまで、順番に次アドレスへアクセスし、データを読み込む。
ここで、OS終了アドレスとは、USBメモリ2内のシンクライアントOS25が格納された領域(OS起動用パーティション)の末尾のアドレスである。また、OS開始アドレスとは、USBメモリ2内のシンクライアントOS25が格納された領域(OS起動用パーティション)の先頭のアドレスである。
【0034】
また、クライアント端末3がUSBメモリ2内のデータを読み出したり、書き込んだりする場合は、USBインターフェース304を介して、USBメモリ2へ読出しコマンドまたは書込みコマンドを送信する。USBメモリ2のコントローラ8は受信したコマンドに応じて、指定されたアドレスのデータを読出したり、指定されたアドレスへデータを書き込んだりする。
【0035】
次に、図5を参照して、USBメモリ2を利用したシンクライアントシステム1において、クライアント端末3の電源投入時にUSBメモリ2のコントローラ8が実行する起動チェック処理の動作を説明する。
電源投入時、クライアント端末3にはUSBメモリ2が装着されている。
【0036】
クライアント端末3の電源が投入されると、クライアント端末3へ接続されたUSBメモリ2にも電源が供給される。電源供給が開始されると、USBメモリ2のコントローラ8のCPU81はROM83のBIOSに従ってEEPROM84に格納された起動チェックプログラム842を読み出し、実行を開始する。このとき、コントローラ8のRAM82には受信カウンタ821、起動カウンタ822、アクセス権フラグ823の各格納領域が生成される。各カウンタ821,822及びフラグ823の初期値はそれぞれ「0」である。
【0037】
USBメモリ2のコントローラ8のCPU81は、クライアント端末3から送信されるコマンドの受信を待機する(ステップS1)。コマンドを受信すると(ステップS2)、CPU81は受信カウンタ821に「1」を加算し(ステップS3)、受信カウンタ821の値が予め設定されているチェック上限値より小さいか否かを判定する(ステップS4)。チェック上限値は、シンクライアントOS25の格納領域のアドレス数に1を足した値が設定されている。クライアント端末3によるシンクライアントOS25の読み込みは、USBメモリ2への電源供給開始直後(USBメモリ装着時)から所定コマンド数の範囲内で行われるため、受信カウンタ821の値がチェック上限値より小さい場合は(ステップS4;Yes)、シンクライアントOS25の起動動作中と判断される。受信カウンタ821の値がチェック上限値以上である場合は(ステップS4;No)、シンクライアントOS25の起動が終了しているか、別の動作をしていると判断される。
【0038】
受信カウンタ821の値がチェック上限値より小さい場合(ステップS4;Yes)、次にCPU81は、受信したコマンドがメモリ読出コマンドであるか否かを確認する(ステップS5)。メモリ読出コマンドでない場合は(ステップS5;No)、OS起動動作でないため、受信したコマンドを実行後(ステップS6)、再度コマンドの受信を待機する(ステップS1)。
【0039】
受信したコマンドがメモリ読出コマンドである場合は(ステップS5;Yes)、CPU81は、そのコマンドの読出アドレスが予め定義されているOS開始アドレスに起動カウンタ822の値(初期値「0」)を加算した値と一致するか否かを判定する(ステップS7)。ステップS7の判定は、シンクライアントOS25が定義された手順に従って連続的に読み出されているかを判定するものである。クライアント端末3がシンクライアントOS25を読み込む順序は昇順であることが前提である。
【0040】
ステップS7の判定において、読出アドレスがOS開始アドレスに起動カウンタ822の値を加算した値と一致する場合は(ステップS7;Yes)、シンクライアントOS25が所定の手順に従って連続的に読み出されていると判断できる。この場合は起動カウンタ822の値に「1」を加算する(ステップS8)。ステップS7において、シンクライアントOS25の読出しが連続的でない場合は(ステップS7;No)、OS起動動作中でないと判断されるため、起動カウンタ822の値を「0」に初期化し(ステップS9)、受信したコマンドを実行し(ステップS10)、次のコマンドの受信を待機する(ステップS1へ)。
【0041】
ステップS7の判定において、読出アドレスがOS開始アドレスに起動カウンタ822の値を加算した値と一致し、起動カウンタ822の値に「1」が加算されると(ステップS7;Yes→ステップS8)、更にCPU81はOS開始アドレスに起動カウンタ822の値を加算した値がOS終了アドレスに達したか否かを判定する(ステップS11)。ステップS11の判定は、シンクライアントOS25の読出が終了したか否かを判定するものである。
ステップS11において、読出アドレスがOS終了アドレスに達していない場合は(ステップS11;No)、いまだ起動動作中であると判断される。CPU81はコマンド(指定された読出アドレスの読み出し)を実行し(ステップS12)、次のコマンドの受信を待機する(ステップS1へ)。
【0042】
ステップS1〜ステップS12を繰り返し、ステップS7及びステップS11の判定によって、クライアント端末3からシンクライアントOS25が所定の手順に従って連続的に読み出され、読出アドレスがOS終了アドレスに達したと判定された場合(ステップS7;Yes→ステップS8→ステップS11;Yes)、CPU81はアクセス権フラグ823を「1」(オン)にセットし(ステップS13)、コマンド(OS終了アドレスの読出し)を実行する(ステップS14)。以上のようにして、シンクライアントOS25が正常に起動される。
【0043】
シンクライアントOS25の起動後は、アクセス権フラグ823は「1」(オン)にセットされており、受信カウンタ821はチェック上限値を超えている(ステップS4;No)。
この状態でコマンドを受信すると、コントローラ8のCPU81は受信したコマンドが不揮発性メモリ9の保護領域94へのアクセス要求であるか否かを判定する(ステップS15)。すなわちコマンドにて指定される読出しまたは書込みアドレスが保護領域94内である場合は(ステップS15;Yes)、アクセス権フラグ823が「1」(ON)にセットされているか否かを判定する(ステップS16)、アクセス権フラグ823が「1」(ON)にセットされている場合(ステップS16;Yes)は、コマンド要求元のクライアント端末3がシンクライアントOS25を正常に起動したと判断されるため、保護領域94へのアクセスを許可し、保護領域94内へのデータの読み出しまたは書込みを行う(ステップS6)。
【0044】
一方、保護領域94へのアクセス要求があった場合に(ステップS15;Yes)、アクセス権フラグ823が「0」(オフ)である場合は(ステップS16;No)、コマンド要求元のクライアント端末3はシンクライアントOS25を正常に起動していないと判断されるため、保護領域94へのアクセスが制限され、エラーとなる(ステップS17)。すなわち保護領域94内へのデータの読み出しまたは書込みが不許可とされる。
ステップS15において、コマンドにて指定される読出しまたは書込みアドレが保護領域94内ではない場合(ステップS15;No)は、エラーとなる(ステップS17)。
【0045】
例えば、クライアント端末3がシンクライアントOS25以外のOSで起動されている場合は、USBメモリ2がクライアント端末3に装着されてもシンクライアントOS25は起動されないため、アクセス権フラグ823は「0」であり、保護領域94へのアクセスが不許可とされる。
【0046】
また例えば、クライアント端末3にてシンクライアントOS25が正常に起動され、保護領域94への書込み等が行われたとしても、USBメモリ2がクライアント端末3から取り外された場合は、コントローラ8への電源供給が絶たれ、RAM82(揮発性メモリ)に書き込まれたアクセス権フラグ823がリセット(=「0」)されるため、再度正常にシンクライアントOS25が起動されない限り、USBメモリ2の保護領域94へのアクセスが不許可となる。
【0047】
以上説明したように、本実施の形態のシンクライアントシステム1では、シンクライアントOS25を格納したUSBメモリ2の不揮発性メモリ9に保護領域94を設ける。USBメモリ2のコントローラ8は、シンクライアントOS25がクライアント端末3によって正常に起動されているかをチェックし、シンクライアントOS25がクライアント端末3によって正常に起動された場合に、アクセス権フラグ823をオンにセットする。そして、USBメモリ2のコントローラ8は、クライアント端末3から保護領域94に対するアクセス要求を受信した場合に、アクセス権フラグ823がオンにセットされているか否かを判定し、アクセス権フラグ823がオフの場合に、クライアント端末3から不揮発性メモリ9の保護領域94へのアクセスを不許可とするよう制御する。また、アクセス権フラグ823がオンの場合は、クライアント端末3から不揮発性メモリ9の保護領域94へのアクセスを許可するよう制御する。
【0048】
これにより、シンクライアントOS25が正常に起動されていなければアクセス権フラグ823がオンにセットされず、USBメモリ2の保護領域94に対してデータの書込みも読出しも行えない。一方で、シンクライアントOS25が正常に起動されていればアクセス権フラグ823がオンにセットされるため、シンクライアント端末化されたコンピュータ等からUSBメモリ2の保護領域94にデータを書き込める。したがって、シンクライアントシステム1の安全性を損なうことなく、USBメモリ2内にデータを保存することが可能となる。
【0049】
また、アクセス権フラグ823は、USBメモリ2のコントローラ8内の揮発性メモリ(RAM82)にセットされるため、USBメモリ2がクライアント端末3から取り外された場合やクライアント端末3の電源がオフされた場合はアクセス権フラグ823がリセット(オフ)され、再度シンクライアントOS25が正常に起動されるまでUSBメモリ2の保護領域94へのアクセスができなくなる。また、既にシンクライアントOS25を起動済みのクライアント端末3や別のOSが起動されたクライアント端末3に当該USBメモリ2を装着しても保護領域94にアクセスできない。したがって、USBメモリ2の保護領域94内のデータを保護できる。
【0050】
また、USBメモリ2のコントローラ8のCPU81は、クライアント端末3がシンクライアントOS25を読み出す順序が連続的であるか否かを判定し、またクライアント端末3からのシンクライアントOS25の読出しアドレスがOS終了アドレスに達したか否かを判定し、クライアント端末3からシンクライアントOS25が連続的に読み出され、読出アドレスがOS終了アドレスに達したと判定された場合に、アクセス権フラグ823をオンにセットする。
これにより、シンクライアントOS25がOS終了アドレスまで連続的に読出されている場合にアクセス権フラグ823をオンにセットするので、シンクライアントOS25の起動が正常であるか否かを確実に確認できる。
【0051】
以上、本発明に係るシンクライアントシステムの実施形態について説明したが、当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
【符号の説明】
【0052】
1・・・シンクライアントシステム
2・・・USBメモリ(可搬型フラッシュメモリ)
25・・・シンクライアントOS
3・・・クライアント端末
4・・・ネットワーク
5・・・シンクライアントサーバ
7・・・USBコネクタ
8・・・コントローラ
81・・・CPU
82・・・RAM(揮発性メモリ)
823・・アクセス権フラグ
83・・・ROM
84・・・EEPROM
842・・起動チェックプログラム
85・・・USBインターフェース
9・・・不揮発性メモリ
94・・・保護領域
【技術分野】
【0001】
本発明は、可搬型フラッシュメモリを利用したシンクライアントシステムにおけるデータ保護方法等に関する。
【背景技術】
【0002】
近年、企業等においてクライアント端末に必要な機能のみを持たせ、機密情報等の情報資源の管理やアプリケーションの処理等の機能をサーバに集約させたシンクライアントシステム(Thin Client System)が導入されている。シンクライアントシステムを実現するために、シンクライアントシステム専用のコンピュータを導入してもよいが、シンクライアントシステム専用のコンピュータの導入は、コスト、利便性の面から望ましいとはいえない。
【0003】
そこで、特許文献1に記載されているように、USBメモリ、CD−ROM等の携帯可能なデバイスやネットワークストレージにシンクライアントシステム専用のOS(オペレーティングシステム)を格納しておき、汎用のコンピュータからそのシンクライアントOSを読出して起動することにより、汎用のコンピュータをシンクライアント端末化する手法が用いられている。シンクライアントOSを起動した汎用のコンピュータは、コンピュータ内のOSによらず、シンクライアント端末として機能する。また、シンクライアントOSが改竄されてしまうと、機密情報等が漏洩する可能性があるため、外部機器からのUSBメモリ内へのデータの書き込みは一定の制限が設けられることが多い。更に、改竄されたシンクライアントOSの使用を防ぐため、特許文献2のように、USBメモリ等に記憶されたシンクライアントOSの改竄を発見するプラットフォーム完全性検証システムが利用されることもある。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−299136号公報
【特許文献2】特開2009―175923号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、シンクライアント端末化されたコンピュータ(シンクライアント端末)にて作業を行う際、作業効率の向上のため作業データを操作側に一時的に保持したいという要望もある。例えば、CAD図面の作成や画像データ加工等のように大容量かつ繊細な操作が必要なデータを処理する場合は、操作の都度サーバ側へデータを送受信するよりも、操作側に一時的に処理対象となる大容量データをダウンロードする方が作業効率がよい。また、シンクライアントOSのパッチファイルをネットワークストレージからダウンロードして上述のUSBメモリ等の記録媒体内に格納することも想定される。このように、操作側にシンクライアントシステムで扱うデータを保持させ、作業効率を向上したいという要望がある。
【0006】
本発明は、このような課題に鑑みてなされたもので、その目的とするところは、可搬型フラッシュメモリに格納されたシンクライアントOSをクライアント端末が読み出して起動するシンクライアントシステムにおいて、シンクライアントシステムの安全性を損なうことなく、可搬型フラッシュメモリ内にデータを保存することを可能とするシンクライアントシステム、可搬型フラッシュメモリ、可搬型フラッシュメモリのデータ保護方法、及びプログラムを提供することである。
【課題を解決するための手段】
【0007】
前述した課題を解決するため第1の発明は、サーバと通信接続されたクライアント端末と、該クライアント端末をシンクライアント端末化するためのシンクライアントOSが格納された可搬型フラッシュメモリと、を備え、前記クライアント端末が前記可搬型フラッシュメモリに格納されたシンクライアントOSを読み出して起動することにより、当該クライアント端末をシンクライアント端末化するシンクライアントシステムであって、前記可搬型フラッシュメモリは、データの読出し及び書込みが制限される保護領域を有する不揮発性メモリと、前記クライアント端末との間で通信を行うための通信インターフェースと、前記不揮発性メモリへのアクセス及び前記通信を制御するコントローラと、を備え、前記コントローラは、前記シンクライアントOSが前記クライアント端末によって正常に起動されているかをチェックする起動チェック手段と、前記起動チェック手段により、前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断された場合に、アクセス権フラグをオンにセットするアクセス権フラグセット手段と、前記クライアント端末から前記保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定するアクセス権判定手段と、前記アクセス権フラグがオフの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御するアクセス制御手段と、を備えることを特徴とするシンクライアントシステムである。
【0008】
第1の発明のシンクライアントシステムによれば、シンクライアントOSを格納した可搬型フラッシュメモリの不揮発性メモリに保護領域が設けられる。コントローラは、シンクライアントOSがクライアント端末によって正常に起動されているかを起動チェック手段によりチェックし、前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断した場合に、アクセス権フラグセット手段によりアクセス権フラグをオンにセットし、前記クライアント端末から前記保護領域に対するアクセス要求を受信した場合に、アクセス権判定手段により前記アクセス権フラグがオンにセットされているか否かを判定し、アクセス制御手段により前記アクセス権フラグがオフの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御する。
【0009】
これにより、シンクライアントOSが正常に起動されていなければアクセス権フラグがオンにセットされず、可搬型フラッシュメモリの保護領域へアクセスできない。一方で、シンクライアントOSが正常に起動された場合はアクセス権フラグがオンにセットされ、可搬型フラッシュメモリの保護領域へデータを書き込んだり、データを読み出したりできる。そのため、シンクライアントシステムの安全性を損なうことなく、可搬型フラッシュメモリ内にデータを保存することが可能となる。
【0010】
また、前記アクセス権フラグは、前記可搬型フラッシュメモリのコントローラ内の揮発性メモリにセットされることが望ましい。
これにより、可搬型フラッシュメモリがクライアント端末から取り外された場合やクライアント端末の電源がオフされた場合に、可搬型フラッシュメモリへの電源供給が絶たれ、コントローラ内の揮発性メモリ内に格納されたアクセス権フラグはリセット(オフ)されるようになる。そのため、再度シンクライアントOSが正常に起動されるまで可搬型フラッシュメモリの保護領域に格納されたデータへのアクセスができなくなる。また、既にOSの起動されたクライアント端末に当該可搬型フラッシュメモリを装着してもアクセス権フラグはリセットされているため、保護領域にアクセスできない。したがって、可搬型フラッシュメモリの保護領域に保存されたデータを確実に保護できる。
【0011】
また、前記コントローラの起動チェック手段は、前記クライアント端末が前記シンクライアントOSを読み出す順序が連続的であるか否かを判定する第1判定手段と、前記クライアント端末からの前記シンクライアントOSの読出しアドレスがOS終了アドレスに達したか否かを判定する第2判定手段と、を備え、前記アクセス権フラグセット手段は、前記第1及び第2判定手段により、前記クライアント端末から前記シンクライアントOSが連続的にOS終了アドレスまで読み出されたと判定された場合に、前記アクセス権フラグをオンにセットすることが望ましい。
【0012】
ここで、OS終了アドレスとは、可搬型フラッシュメモリ内のシンクライアントOSが格納された領域(OS起動用パーティション)の末尾のアドレスである。
クライアント端末が可搬型フラッシュメモリに格納されたシンクライアントOSを起動する際、まず可搬型フラッシュメモリ内に記憶されているMBR(マスタ・ブート・レコード)を読み込み、次に、OS起動用パーティションの先頭セクタへアクセスし、データを読み込む。その後、OS終了アドレスに達するまで順番に次アドレスへアクセスし、データを読み込む。このような動作が「正常」な起動動作であるとする。
【0013】
これにより、コントローラは、シンクライアントOSの一連の読み込み動作からシンクライアントOSの起動が正常であるか否かを確実にチェックできる。
【0014】
第2の発明は、サーバと通信接続されたクライアント端末をシンクライアント端末化するためのシンクライアントOSが格納された可搬型フラッシュメモリであって、データの読出し及び書込みが制限される保護領域を有する不揮発性メモリと、前記クライアント端末との間で通信を行うための通信インターフェースと、前記不揮発性メモリへのアクセス及び前記通信を制御するコントローラと、を備え、前記コントローラは、前記シンクライアントOSが前記クライアント端末によって正常に起動されているかをチェックする起動チェック手段と、前記起動チェック手段により、前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断された場合に、アクセス権フラグをオンにセットするアクセス権フラグセット手段と、前記クライアント端末から前記保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定するアクセス権判定手段と、前記アクセス権フラグがオフの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御するアクセス制御手段と、を備えることを特徴とする可搬型フラッシュメモリである。
【0015】
第3の発明は、サーバと通信接続されたクライアントをシンクライアント端末化するためのシンクライアントOSが格納され、データの読出し及び書込みが制限される保護領域を有する不揮発性メモリと、前記クライアント端末との間で通信を行うための通信インターフェースと、前記不揮発性メモリへのアクセス及び前記通信を制御するコントローラと、を備えた可搬型フラッシュメモリのデータ保護方法であって、前記コントローラが、前記シンクライアントOSが前記クライアント端末によって正常に起動されているかをチェックするステップと、前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断された場合に、アクセス権フラグをオンにセットするステップと、前記クライアント端末から前記保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定するステップと、前記アクセス権フラグがオフの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御するステップと、を含む可搬型フラッシュメモリのデータ保護方法である。
【0016】
第4の発明は、可搬型フラッシュメモリのコントローラが実行可能な形式で記述されたプログラムであって、前記可搬型フラッシュメモリに格納されているシンクライアントOSがクライアント端末によって正常に起動されているかをチェックするステップと、前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断された場合に、アクセス権フラグをオンにセットするステップと、前記クライアント端末から前記可搬型フラッシュメモリの保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定するステップと、前記アクセス権フラグがオフの場合に、前記クライアント端末から前記保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御するステップと、を含む処理を実行させるためのプログラムである。
【0017】
第2、第3、及び第4の発明によれば、可搬型フラッシュメモリのコントローラは、シンクライアントOSがクライアント端末によって正常に起動されているかをチェックし、前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断した場合にアクセス権フラグをオンにセットし、前記クライアント端末から前記保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定し、前記アクセス権フラグがオフの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御する。
【0018】
これにより、シンクライアントOSが正常に起動されていなければアクセス権フラグがオンにセットされず、可搬型フラッシュメモリの保護領域へアクセスできない。一方で、シンクライアントOSが正常に起動された場合はアクセス権フラグがオンにセットされ、可搬型フラッシュメモリの保護領域へデータを書き込んだり、データを読み出したりできる。そのため、シンクライアントシステムの安全性を損なうことなく、可搬型フラッシュメモリ内にデータを保存することが可能となる。
【発明の効果】
【0019】
本発明によれば、可搬型フラッシュメモリに格納されたシンクライアントOSをクライアント端末が読み出して起動するシンクライアントシステムにおいて、シンクライアントシステムの安全性を損なうことなく、可搬型フラッシュメモリ内にデータを保存することを可能とするシンクライアントシステム、可搬型フラッシュメモリ、可搬型フラッシュメモリのデータ保護方法、及びプログラムを提供できる。
【図面の簡単な説明】
【0020】
【図1】本発明に係るシンクライアントシステム1の全体構成図
【図2】USBメモリ2(可搬型フラッシュメモリ)の内部構成を示すブロック図
【図3】USBメモリ2のコントローラ8の内部構成を示すブロック図
【図4】クライアント端末3の構成を示すブロック図
【図5】USBメモリ2のコントローラ8が実行する起動チェック処理の手順を説明するフローチャート
【発明を実施するための形態】
【0021】
以下、図面に基づいて本発明の好適な実施形態について詳細に説明する。
まず、図1〜図4を参照して本発明の構成について説明する。
【0022】
図1は、本発明に係るセキュリティ管理システム1のシステム構成を示す図である。
図1に示すように、本発明の一実施の形態に係るシンクライアントシステム1は、可搬型フラッシュメモリの一実施の形態であるUSB(Universal Serial Bus)メモリ2と、USBメモリ2が装着されるクライアント端末3と、ネットワーク4を介して接続されるシンクライアントサーバ5と、を備えて構成される。また、これらの構成に加え、シンクライアントシステム1のセキュリティを向上させるため、シンクライアントサーバ5の前段に、VPN(Virtual Private Network)サーバや完全性検証サーバ等を備え、VPN認証処理や当該シンクライアントシステムのプラットフォームの完全性を検証するようにしてもよい。完全性検証サーバについては、公知の特許文献2(特開2009−175923号公報)に記載されており、詳細な説明は省略する。
【0023】
本発明において可搬型フラッシュメモリとは、データの書き換えが可能な不揮発性のメモリと演算機能とを備えた可搬型の半導体メモリであり、例えば、USBメモリ、メモリカード等を含む。以下の実施の形態では、可搬型フラッシュメモリとしてUSBメモリ2を例として説明する。
【0024】
図2は、USBメモリ2の内部構成を示すブロック図、図3はUSBメモリ2のコントローラ8の内部構成を示すブロック図である。
【0025】
図2に示すように、USBメモリ2は、コネクタ7、コントローラ8、及び不揮発性メモリ(フラッシュメモリ)9を備える。
コネクタ7は、USBメモリ2をクライアント端末3に着脱可能に接続するための端子である。
不揮発性メモリ9は、EEPROM(Electronically Erasable and Programmable Read Only Memory)等により構成され、シンクライアントOS25が格納される。シンクライアントOS25は、シンクライアントサーバ5へのリモートアクセスを実現するためのOSである。また、不揮発性メモリ9には、USBメモリ2がクライアント端末3に装着された際に、はじめに読み込まれ、シンクライアントOS25の起動手順を定義したMBR(マスタブートレコード)91が記憶されている。クライアント端末3はMBR91を参照して、起動動作を開始する。
また、不揮発性メモリ9は、最大4つのパーティション93,94,95,96に分割可能なメモリ領域を有する。通常、MBR91と先頭パーティション93との間には、空きセクタ92が設けられている。各パーティションの先頭にブートストラップ(OSを読み込み起動するためのプログラム)が書き込まれる。
【0026】
本発明において、USBメモリ2の不揮発性メモリ9には、所定条件化においてクライアント端末3を含む外部装置からのデータの読出し及び書込み(アクセス)が制限される保護領域94が設けられる。本実施の形態では、2番目のパーティションが保護領域94として設定されるが、他のパーティションとしてもよいし、複数のパーティションが保護領域として設定されていてもよい。保護領域がどのパーティションに設定されるかは、MBR91またはコントローラ8のEEPROM(Electronically Erasable and Programmable Read Only Memory)84に登録され、管理される(図3の保護領域管理データ841)。
【0027】
図3に示すように、USBメモリ2のコントローラ8は、CPU(Central Processing Unit)81と、揮発性のメモリであるRAM(Random Access Memory)82と、BIOS(Basic Input/Output System)が実装されるROM(Read Only Memory)83と、データが記憶され、電気的に書き換え可能な不揮発性メモリであるEEPROM84と、USB機器(クライアント端末3を含む)と通信するためのUSBインターフェース85と、を備える。
【0028】
USBメモリ2のコントローラ8のCPU81は、EEPROM84に格納されるプログラムをRAM82上のワークメモリ領域に呼び出して実行する。CPU81の実行するプログラムには起動チェックプログラム842が含まれる。起動チェックプログラム842については後述する。
【0029】
RAM82は、ロードしたプログラムやデータを一時的に保持するとともに、CPU81が各種処理を行うために使用するワークエリアを備える。例えば、後述する起動チェックプログラム842の実行時には、受信カウンタ821、起動カウンタ822、アクセス権フラグ823等がRAM内に格納される。RAM82の記憶内容は、USBメモリ2がクライアント端末3から取り外されて電源供給が絶たれると消去される。
【0030】
EEPROM84には、保護領域管理データ841が登録される。また、CPU81が実行する起動チェックプログラム842が格納されている。保護領域管理データ841は、USBメモリ2の不揮発性メモリ9における保護領域94を定義するデータであり、例えば、保護領域94として定義されるパーティション番号が登録される。
【0031】
図4(a)は、クライアント端末3の機能ブロック図、図4(b)はクライアント端末3のハードウエアブロック図である。
図4(a)に示すように、クライアント端末3は、クライアント端末3の起動処理を実行する起動部31と、接続されたUSBデバイス(USBメモリ2を含む)とのデータの交信を行うためのUSB通信部32とを備える。
【0032】
図4(b)に示すように、クライアント端末3は、CPU301、RAM302、ROM303、USB機器と通信するためのUSBインターフェース304、ネットワーク通信するためのネットワークインターフェース305、及び補助記憶装置として大容量のデータ記憶装置306を備える。データ記憶装置306には、クライアント端末3のオペレーティングシステム(クライアントOS)307が格納され、本実施の形態のUSBメモリ2が接続されていない場合は、このクライアントOS307が起動されることとなる。本実施の形態のUSBメモリ2が接続された場合は、USBメモリ2内のシンクライアントOS25がRAM302に展開され、起動される。
【0033】
クライアント端末3がUSBメモリ2に格納されたシンクライアントOS25を起動する際、まずクライアント端末3のCPU301はROM303のBIOSに従って、USBメモリ2内に記憶されているMBR(マスタ・ブート・レコード)を読み込み、次に、MBRに定義されているOS起動用パーティションの先頭セクタ(OS開始アドレス)へアクセスし、データを読み込む。その後、OS終了アドレスに達するまで、順番に次アドレスへアクセスし、データを読み込む。
ここで、OS終了アドレスとは、USBメモリ2内のシンクライアントOS25が格納された領域(OS起動用パーティション)の末尾のアドレスである。また、OS開始アドレスとは、USBメモリ2内のシンクライアントOS25が格納された領域(OS起動用パーティション)の先頭のアドレスである。
【0034】
また、クライアント端末3がUSBメモリ2内のデータを読み出したり、書き込んだりする場合は、USBインターフェース304を介して、USBメモリ2へ読出しコマンドまたは書込みコマンドを送信する。USBメモリ2のコントローラ8は受信したコマンドに応じて、指定されたアドレスのデータを読出したり、指定されたアドレスへデータを書き込んだりする。
【0035】
次に、図5を参照して、USBメモリ2を利用したシンクライアントシステム1において、クライアント端末3の電源投入時にUSBメモリ2のコントローラ8が実行する起動チェック処理の動作を説明する。
電源投入時、クライアント端末3にはUSBメモリ2が装着されている。
【0036】
クライアント端末3の電源が投入されると、クライアント端末3へ接続されたUSBメモリ2にも電源が供給される。電源供給が開始されると、USBメモリ2のコントローラ8のCPU81はROM83のBIOSに従ってEEPROM84に格納された起動チェックプログラム842を読み出し、実行を開始する。このとき、コントローラ8のRAM82には受信カウンタ821、起動カウンタ822、アクセス権フラグ823の各格納領域が生成される。各カウンタ821,822及びフラグ823の初期値はそれぞれ「0」である。
【0037】
USBメモリ2のコントローラ8のCPU81は、クライアント端末3から送信されるコマンドの受信を待機する(ステップS1)。コマンドを受信すると(ステップS2)、CPU81は受信カウンタ821に「1」を加算し(ステップS3)、受信カウンタ821の値が予め設定されているチェック上限値より小さいか否かを判定する(ステップS4)。チェック上限値は、シンクライアントOS25の格納領域のアドレス数に1を足した値が設定されている。クライアント端末3によるシンクライアントOS25の読み込みは、USBメモリ2への電源供給開始直後(USBメモリ装着時)から所定コマンド数の範囲内で行われるため、受信カウンタ821の値がチェック上限値より小さい場合は(ステップS4;Yes)、シンクライアントOS25の起動動作中と判断される。受信カウンタ821の値がチェック上限値以上である場合は(ステップS4;No)、シンクライアントOS25の起動が終了しているか、別の動作をしていると判断される。
【0038】
受信カウンタ821の値がチェック上限値より小さい場合(ステップS4;Yes)、次にCPU81は、受信したコマンドがメモリ読出コマンドであるか否かを確認する(ステップS5)。メモリ読出コマンドでない場合は(ステップS5;No)、OS起動動作でないため、受信したコマンドを実行後(ステップS6)、再度コマンドの受信を待機する(ステップS1)。
【0039】
受信したコマンドがメモリ読出コマンドである場合は(ステップS5;Yes)、CPU81は、そのコマンドの読出アドレスが予め定義されているOS開始アドレスに起動カウンタ822の値(初期値「0」)を加算した値と一致するか否かを判定する(ステップS7)。ステップS7の判定は、シンクライアントOS25が定義された手順に従って連続的に読み出されているかを判定するものである。クライアント端末3がシンクライアントOS25を読み込む順序は昇順であることが前提である。
【0040】
ステップS7の判定において、読出アドレスがOS開始アドレスに起動カウンタ822の値を加算した値と一致する場合は(ステップS7;Yes)、シンクライアントOS25が所定の手順に従って連続的に読み出されていると判断できる。この場合は起動カウンタ822の値に「1」を加算する(ステップS8)。ステップS7において、シンクライアントOS25の読出しが連続的でない場合は(ステップS7;No)、OS起動動作中でないと判断されるため、起動カウンタ822の値を「0」に初期化し(ステップS9)、受信したコマンドを実行し(ステップS10)、次のコマンドの受信を待機する(ステップS1へ)。
【0041】
ステップS7の判定において、読出アドレスがOS開始アドレスに起動カウンタ822の値を加算した値と一致し、起動カウンタ822の値に「1」が加算されると(ステップS7;Yes→ステップS8)、更にCPU81はOS開始アドレスに起動カウンタ822の値を加算した値がOS終了アドレスに達したか否かを判定する(ステップS11)。ステップS11の判定は、シンクライアントOS25の読出が終了したか否かを判定するものである。
ステップS11において、読出アドレスがOS終了アドレスに達していない場合は(ステップS11;No)、いまだ起動動作中であると判断される。CPU81はコマンド(指定された読出アドレスの読み出し)を実行し(ステップS12)、次のコマンドの受信を待機する(ステップS1へ)。
【0042】
ステップS1〜ステップS12を繰り返し、ステップS7及びステップS11の判定によって、クライアント端末3からシンクライアントOS25が所定の手順に従って連続的に読み出され、読出アドレスがOS終了アドレスに達したと判定された場合(ステップS7;Yes→ステップS8→ステップS11;Yes)、CPU81はアクセス権フラグ823を「1」(オン)にセットし(ステップS13)、コマンド(OS終了アドレスの読出し)を実行する(ステップS14)。以上のようにして、シンクライアントOS25が正常に起動される。
【0043】
シンクライアントOS25の起動後は、アクセス権フラグ823は「1」(オン)にセットされており、受信カウンタ821はチェック上限値を超えている(ステップS4;No)。
この状態でコマンドを受信すると、コントローラ8のCPU81は受信したコマンドが不揮発性メモリ9の保護領域94へのアクセス要求であるか否かを判定する(ステップS15)。すなわちコマンドにて指定される読出しまたは書込みアドレスが保護領域94内である場合は(ステップS15;Yes)、アクセス権フラグ823が「1」(ON)にセットされているか否かを判定する(ステップS16)、アクセス権フラグ823が「1」(ON)にセットされている場合(ステップS16;Yes)は、コマンド要求元のクライアント端末3がシンクライアントOS25を正常に起動したと判断されるため、保護領域94へのアクセスを許可し、保護領域94内へのデータの読み出しまたは書込みを行う(ステップS6)。
【0044】
一方、保護領域94へのアクセス要求があった場合に(ステップS15;Yes)、アクセス権フラグ823が「0」(オフ)である場合は(ステップS16;No)、コマンド要求元のクライアント端末3はシンクライアントOS25を正常に起動していないと判断されるため、保護領域94へのアクセスが制限され、エラーとなる(ステップS17)。すなわち保護領域94内へのデータの読み出しまたは書込みが不許可とされる。
ステップS15において、コマンドにて指定される読出しまたは書込みアドレが保護領域94内ではない場合(ステップS15;No)は、エラーとなる(ステップS17)。
【0045】
例えば、クライアント端末3がシンクライアントOS25以外のOSで起動されている場合は、USBメモリ2がクライアント端末3に装着されてもシンクライアントOS25は起動されないため、アクセス権フラグ823は「0」であり、保護領域94へのアクセスが不許可とされる。
【0046】
また例えば、クライアント端末3にてシンクライアントOS25が正常に起動され、保護領域94への書込み等が行われたとしても、USBメモリ2がクライアント端末3から取り外された場合は、コントローラ8への電源供給が絶たれ、RAM82(揮発性メモリ)に書き込まれたアクセス権フラグ823がリセット(=「0」)されるため、再度正常にシンクライアントOS25が起動されない限り、USBメモリ2の保護領域94へのアクセスが不許可となる。
【0047】
以上説明したように、本実施の形態のシンクライアントシステム1では、シンクライアントOS25を格納したUSBメモリ2の不揮発性メモリ9に保護領域94を設ける。USBメモリ2のコントローラ8は、シンクライアントOS25がクライアント端末3によって正常に起動されているかをチェックし、シンクライアントOS25がクライアント端末3によって正常に起動された場合に、アクセス権フラグ823をオンにセットする。そして、USBメモリ2のコントローラ8は、クライアント端末3から保護領域94に対するアクセス要求を受信した場合に、アクセス権フラグ823がオンにセットされているか否かを判定し、アクセス権フラグ823がオフの場合に、クライアント端末3から不揮発性メモリ9の保護領域94へのアクセスを不許可とするよう制御する。また、アクセス権フラグ823がオンの場合は、クライアント端末3から不揮発性メモリ9の保護領域94へのアクセスを許可するよう制御する。
【0048】
これにより、シンクライアントOS25が正常に起動されていなければアクセス権フラグ823がオンにセットされず、USBメモリ2の保護領域94に対してデータの書込みも読出しも行えない。一方で、シンクライアントOS25が正常に起動されていればアクセス権フラグ823がオンにセットされるため、シンクライアント端末化されたコンピュータ等からUSBメモリ2の保護領域94にデータを書き込める。したがって、シンクライアントシステム1の安全性を損なうことなく、USBメモリ2内にデータを保存することが可能となる。
【0049】
また、アクセス権フラグ823は、USBメモリ2のコントローラ8内の揮発性メモリ(RAM82)にセットされるため、USBメモリ2がクライアント端末3から取り外された場合やクライアント端末3の電源がオフされた場合はアクセス権フラグ823がリセット(オフ)され、再度シンクライアントOS25が正常に起動されるまでUSBメモリ2の保護領域94へのアクセスができなくなる。また、既にシンクライアントOS25を起動済みのクライアント端末3や別のOSが起動されたクライアント端末3に当該USBメモリ2を装着しても保護領域94にアクセスできない。したがって、USBメモリ2の保護領域94内のデータを保護できる。
【0050】
また、USBメモリ2のコントローラ8のCPU81は、クライアント端末3がシンクライアントOS25を読み出す順序が連続的であるか否かを判定し、またクライアント端末3からのシンクライアントOS25の読出しアドレスがOS終了アドレスに達したか否かを判定し、クライアント端末3からシンクライアントOS25が連続的に読み出され、読出アドレスがOS終了アドレスに達したと判定された場合に、アクセス権フラグ823をオンにセットする。
これにより、シンクライアントOS25がOS終了アドレスまで連続的に読出されている場合にアクセス権フラグ823をオンにセットするので、シンクライアントOS25の起動が正常であるか否かを確実に確認できる。
【0051】
以上、本発明に係るシンクライアントシステムの実施形態について説明したが、当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
【符号の説明】
【0052】
1・・・シンクライアントシステム
2・・・USBメモリ(可搬型フラッシュメモリ)
25・・・シンクライアントOS
3・・・クライアント端末
4・・・ネットワーク
5・・・シンクライアントサーバ
7・・・USBコネクタ
8・・・コントローラ
81・・・CPU
82・・・RAM(揮発性メモリ)
823・・アクセス権フラグ
83・・・ROM
84・・・EEPROM
842・・起動チェックプログラム
85・・・USBインターフェース
9・・・不揮発性メモリ
94・・・保護領域
【特許請求の範囲】
【請求項1】
サーバと通信接続されたクライアント端末と、該クライアント端末をシンクライアント端末化するためのシンクライアントOSが格納された可搬型フラッシュメモリと、を備え、前記クライアント端末が前記可搬型フラッシュメモリに格納されたシンクライアントOSを読み出して起動することにより、当該クライアント端末をシンクライアント端末化するシンクライアントシステムであって、
前記可搬型フラッシュメモリは、
データの読出し及び書込みが制限される保護領域を有する不揮発性メモリと、
前記クライアント端末との間で通信を行うための通信インターフェースと、
前記不揮発性メモリへのアクセス及び前記通信を制御するコントローラと、を備え、
前記コントローラは、
前記シンクライアントOSが前記クライアント端末によって正常に起動されているかをチェックする起動チェック手段と、
前記起動チェック手段により、前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断された場合に、アクセス権フラグをオンにセットするアクセス権フラグセット手段と、
前記クライアント端末から前記保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定するアクセス権判定手段と、
前記アクセス権フラグがオフの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御するアクセス制御手段と、
を備えることを特徴とするシンクライアントシステム。
【請求項2】
前記アクセス権フラグは、前記可搬型フラッシュメモリのコントローラ内の揮発性メモリにセットされることを特徴とする請求項1に記載のシンクライアントシステム。
【請求項3】
前記コントローラの起動チェック手段は、
前記クライアント端末が前記シンクライアントOSを読み出す順序が連続的であるか否かを判定する第1判定手段と、
前記クライアント端末からの前記シンクライアントOSの読出しアドレスがOS終了アドレスに達したか否かを判定する第2判定手段と、を備え、
前記アクセス権フラグセット手段は、
前記第1及び第2判定手段により、前記クライアント端末から前記シンクライアントOSが連続的にOS終了アドレスまで読み出されたと判定された場合に、前記アクセス権フラグをオンにセットすることを特徴とする請求項1に記載のシンクライアントシステム。
【請求項4】
サーバと通信接続されたクライアント端末をシンクライアント端末化するためのシンクライアントOSが格納された可搬型フラッシュメモリであって、
データの読出し及び書込みが制限される保護領域を有する不揮発性メモリと、
前記クライアント端末との間で通信を行うための通信インターフェースと、
前記不揮発性メモリへのアクセス及び前記通信を制御するコントローラと、を備え、
前記コントローラは、
前記シンクライアントOSが前記クライアント端末によって正常に起動されているかをチェックする起動チェック手段と、
前記起動チェック手段により、前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断された場合に、アクセス権フラグをオンにセットするアクセス権フラグセット手段と、
前記クライアント端末から前記保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定するアクセス権判定手段と、
前記アクセス権フラグがオフの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御するアクセス制御手段と、
を備えることを特徴とする可搬型フラッシュメモリ。
【請求項5】
サーバと通信接続されたクライアントをシンクライアント端末化するためのシンクライアントOSが格納され、データの読出し及び書込みが制限される保護領域を有する不揮発性メモリと、前記クライアント端末との間で通信を行うための通信インターフェースと、前記不揮発性メモリへのアクセス及び前記通信を制御するコントローラと、を備えた可搬型フラッシュメモリのデータ保護方法であって、
前記コントローラが、
前記シンクライアントOSが前記クライアント端末によって正常に起動されているかをチェックするステップと、
前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断された場合に、アクセス権フラグをオンにセットするステップと、
前記クライアント端末から前記保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定するステップと、
前記アクセス権フラグがオフの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御するステップと、
を含む可搬型フラッシュメモリのデータ保護方法。
【請求項6】
可搬型フラッシュメモリのコントローラが実行可能な形式で記述されたプログラムであって、
前記可搬型フラッシュメモリに格納されているシンクライアントOSがクライアント端末によって正常に起動されているかをチェックするステップと、
前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断された場合に、アクセス権フラグをオンにセットするステップと、
前記クライアント端末から前記可搬型フラッシュメモリの保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定するステップと、
前記アクセス権フラグがオフの場合に、前記クライアント端末から前記保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御するステップと、
を含む処理を実行させるためのプログラム。
【請求項1】
サーバと通信接続されたクライアント端末と、該クライアント端末をシンクライアント端末化するためのシンクライアントOSが格納された可搬型フラッシュメモリと、を備え、前記クライアント端末が前記可搬型フラッシュメモリに格納されたシンクライアントOSを読み出して起動することにより、当該クライアント端末をシンクライアント端末化するシンクライアントシステムであって、
前記可搬型フラッシュメモリは、
データの読出し及び書込みが制限される保護領域を有する不揮発性メモリと、
前記クライアント端末との間で通信を行うための通信インターフェースと、
前記不揮発性メモリへのアクセス及び前記通信を制御するコントローラと、を備え、
前記コントローラは、
前記シンクライアントOSが前記クライアント端末によって正常に起動されているかをチェックする起動チェック手段と、
前記起動チェック手段により、前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断された場合に、アクセス権フラグをオンにセットするアクセス権フラグセット手段と、
前記クライアント端末から前記保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定するアクセス権判定手段と、
前記アクセス権フラグがオフの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御するアクセス制御手段と、
を備えることを特徴とするシンクライアントシステム。
【請求項2】
前記アクセス権フラグは、前記可搬型フラッシュメモリのコントローラ内の揮発性メモリにセットされることを特徴とする請求項1に記載のシンクライアントシステム。
【請求項3】
前記コントローラの起動チェック手段は、
前記クライアント端末が前記シンクライアントOSを読み出す順序が連続的であるか否かを判定する第1判定手段と、
前記クライアント端末からの前記シンクライアントOSの読出しアドレスがOS終了アドレスに達したか否かを判定する第2判定手段と、を備え、
前記アクセス権フラグセット手段は、
前記第1及び第2判定手段により、前記クライアント端末から前記シンクライアントOSが連続的にOS終了アドレスまで読み出されたと判定された場合に、前記アクセス権フラグをオンにセットすることを特徴とする請求項1に記載のシンクライアントシステム。
【請求項4】
サーバと通信接続されたクライアント端末をシンクライアント端末化するためのシンクライアントOSが格納された可搬型フラッシュメモリであって、
データの読出し及び書込みが制限される保護領域を有する不揮発性メモリと、
前記クライアント端末との間で通信を行うための通信インターフェースと、
前記不揮発性メモリへのアクセス及び前記通信を制御するコントローラと、を備え、
前記コントローラは、
前記シンクライアントOSが前記クライアント端末によって正常に起動されているかをチェックする起動チェック手段と、
前記起動チェック手段により、前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断された場合に、アクセス権フラグをオンにセットするアクセス権フラグセット手段と、
前記クライアント端末から前記保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定するアクセス権判定手段と、
前記アクセス権フラグがオフの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御するアクセス制御手段と、
を備えることを特徴とする可搬型フラッシュメモリ。
【請求項5】
サーバと通信接続されたクライアントをシンクライアント端末化するためのシンクライアントOSが格納され、データの読出し及び書込みが制限される保護領域を有する不揮発性メモリと、前記クライアント端末との間で通信を行うための通信インターフェースと、前記不揮発性メモリへのアクセス及び前記通信を制御するコントローラと、を備えた可搬型フラッシュメモリのデータ保護方法であって、
前記コントローラが、
前記シンクライアントOSが前記クライアント端末によって正常に起動されているかをチェックするステップと、
前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断された場合に、アクセス権フラグをオンにセットするステップと、
前記クライアント端末から前記保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定するステップと、
前記アクセス権フラグがオフの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御するステップと、
を含む可搬型フラッシュメモリのデータ保護方法。
【請求項6】
可搬型フラッシュメモリのコントローラが実行可能な形式で記述されたプログラムであって、
前記可搬型フラッシュメモリに格納されているシンクライアントOSがクライアント端末によって正常に起動されているかをチェックするステップと、
前記シンクライアントOSが前記クライアント端末によって正常に起動されたと判断された場合に、アクセス権フラグをオンにセットするステップと、
前記クライアント端末から前記可搬型フラッシュメモリの保護領域に対するアクセス要求を受信した場合に、前記アクセス権フラグがオンにセットされているか否かを判定するステップと、
前記アクセス権フラグがオフの場合に、前記クライアント端末から前記保護領域へのアクセスを不許可とし、前記アクセス権フラグがオンの場合に、前記クライアント端末から前記不揮発性メモリの保護領域へのアクセスを許可するよう制御するステップと、
を含む処理を実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2012−58802(P2012−58802A)
【公開日】平成24年3月22日(2012.3.22)
【国際特許分類】
【出願番号】特願2010−198557(P2010−198557)
【出願日】平成22年9月6日(2010.9.6)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
【公開日】平成24年3月22日(2012.3.22)
【国際特許分類】
【出願日】平成22年9月6日(2010.9.6)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
[ Back to top ]