シンクライアントシステム及びシンクライアントシステムにおけるクライアント端末の表示プログラム
【課題】正規ユーザであってもサーバ管理者が定めた利用制限内でしかユーザデータを利用できないため、サーバ管理者がユーザデータの利用範囲を制御することができる。
【解決手段】サーバ300と、ネットワーク400で接続するクライアント端末200と、クライアント端末に接続するセキュリティーカード100と、を含んでなるデータ持ち出しシンクライアントシステムであって、表示アプリ123は、サーバ管理者がユーザデータ313の利用制限を設けた利用制限情報112をサーバから取得し、その中からダウンロードするユーザデータを選択し、当該利用制限情報及び利用管理情報113の初期化をセキュリティーカードに記憶し、選択したユーザデータをサーバからセキュリティーカードにダウンロードすることを特徴とする。
【解決手段】サーバ300と、ネットワーク400で接続するクライアント端末200と、クライアント端末に接続するセキュリティーカード100と、を含んでなるデータ持ち出しシンクライアントシステムであって、表示アプリ123は、サーバ管理者がユーザデータ313の利用制限を設けた利用制限情報112をサーバから取得し、その中からダウンロードするユーザデータを選択し、当該利用制限情報及び利用管理情報113の初期化をセキュリティーカードに記憶し、選択したユーザデータをサーバからセキュリティーカードにダウンロードすることを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、シンクライアントシステム及びシンクライアントシステムにおけるクライアント端末の表示プログラムに関する。
【背景技術】
【0002】
シンクライアントシステムは、端末からサーバに接続して動作するシステムであり、ネットワークが不可欠である。
従って、一般的なシンクライアントシステムでは、サーバと、ネットワークに接続されたクライアント端末と、で構成され、ユーザデータ及びアプリケーションはサーバ上だけに存在し、クライアント端末には最低限の機能を持たせている。すなわち、サーバ上でアプリケーションは実行され、実行された結果を暗号化し、ネットワークを介してクライアント端末とやりとりされ、クライアント端末は、マウス入力、キー入力、画面出力のみを行う。
従って、クライアント端末は、余計な機能を一切持たないため、ユーザデータは、サーバにより制御され、以下のようにしてユーザデータの安全性を確保している。
【0003】
第1に、クライアント端末はサーバに接続するときに認証を行い、正規ユーザ以外はサーバ上のユーザデータにアクセスさせない。
第2に、ユーザデータの出力をサーバに限定し、クライアント端末に接続されているUSBメモリやCD−R等の外部媒体に出力させず、正規ユーザでもクライアント端末以外にユーザデータを持出させない。
【0004】
また、ユーザの利便性を高める為に、OSプログラム、端末制御プログラム及び認証情報を内蔵するセキュリティーカードをユーザに配布し、ユーザがセキュリティーカードを不特定のクライアント端末に接続することで、シンクライアントシステムを提供出来るようにしたシステムが特許文献1に記載されている。
【特許文献1】特開2005−235159号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかし、シンクライアントシステムでは、ユーザデータを外部媒体に記憶してから持ち出して参照しようとした場合、サーバから外部媒体に記憶することとなるが、持ち出したユーザデータはサーバのコントロール外となるため、正規ユーザであれば無制限に利用できてしまうという問題があった。
また、持ち出したユーザデータを別の媒体に記憶しても利用することができるため、情報の漏洩が起こりやすくなる。
さらに、サーバ管理者は、持ち出したユーザデータの利用結果を知る手段がないため、ユーザデータが不正に利用されているか否かを確認することができない。
そこで、本発明は、正規ユーザであってもサーバ管理者が定めた利用制限内でしかユーザデータを利用できないため、サーバ管理者がユーザデータの利用範囲を制御することができる技術の提供をすることを目的とする。
【課題を解決するための手段】
【0006】
前記課題を解決する為、本発明では、サーバと、前記サーバにネットワークで接続されるクライアント端末と、前記クライアント端末に接続されるセキュリティーカードと、を含んでなるシンクライアントシステムであって、前記サーバは、前記クライアント端末でユーザが閲覧可能なユーザデータと、前記ユーザデータのダウンロード制限及びダウンロードしたユーザデータの閲覧制限の管理情報を記憶する閲覧制限リストマスタと、を記憶装置に有し、前記セキュリティーカードは、前記サーバからダウンロードされるユーザデータと、前記サーバからダウンロードされる管理情報と、前記ユーザデータのサーバからのダウンロード、及び閲覧の制御を、前記管理情報に基づいて前記クライアント端末に実行させる表示アプリと、を含んで記憶する記憶領域を有し、前記表示アプリは、前記クライアント端末に読み出され、前記クライアント端末の入力装置を介したユーザの操作により前記ユーザデータのダウンロード要求があると、前記サーバの管理情報に基づいて前記ユーザデータを前記サーバからダウンロードして前記セキュリティーカードに記憶させる手順と、前記クライアント端末が前記ネットワークに接続されていないときに、当該クライアント端末の入力装置を介して前記ユーザデータの閲覧要求があると、前記セキュリティーカードの記憶領域に記憶されている管理情報に基づいて前記記憶領域からユーザデータを読み出し、前記クライアント端末の表示装置に表示させる手順と、を前記クライアント端末に実行させることを特徴とする。
【発明の効果】
【0007】
本発明によれば、正規ユーザであってもサーバ管理者が定めた利用制限内でしかユーザデータを利用できないため、サーバ管理者がユーザデータの利用範囲を制御することができる。
【発明を実施するための最良の形態】
【0008】
以下、本発明の実施形態を図面に従って詳細に説明する。
【0009】
(システム構成1)
図1は、本実施の形態に係るユーザデータをダウンロードするときのシンクライアントシステム1の構成を示すブロック図である。
図1に示すように、本実施の形態のシンクライアントシステム1は、クライアント端末200とサーバ300とがネットワーク400で接続され、サーバ300上のユーザデータ313をクライアント端末200と接続されたセキュリティーカード100にダウンロードする。なお、クライアント端末200とセキュリティーカード100とは、セキュリティーカード100とクライアント端末200とに搭載された接続回路130で接続可能にされている。
【0010】
サーバ300は、記憶装置310を有し、記憶装置310には、ユーザ認証に用いる認証情報311と、クライアント端末200でサーバ300からダウンロード可能なユーザデータ313のダウンロード制限及びダウンロードしたユーザデータ124の閲覧制限の管理情報が記憶された閲覧制限リストマスタ312と、クライアント端末200でユーザが閲覧可能なユーザデータ313と、ユーザデータのダウンロード履歴314と、が記憶される。
認証情報311には、サーバ300と接続することができる、クライアント端末200の端末ID215とセキュリティーカード100のカードID117とユーザのユーザIDとの組合せが記憶されている。
【0011】
クライアント端末200は、CPU211と、揮発性のメモリ212と、キーボード、マウス、タッチパネル等の入力装置213と、CRT(Cathode Ray Tube)、LCD(Liquid Crystal Display)等の表示装置214と、端末を識別するための端末ID215を記憶する記憶装置216と、を有する。
【0012】
セキュリティーカード100は、耐タンパ性を備えたICチップ110と、不揮発性の外部記憶領域120と、を備えている。
ICチップ110は、認証情報111と、ユーザIDごとに閲覧可能なユーザデータ名のユーザデータを閲覧する際の閲覧(表示)制限(端末ID、閲覧回数上限、閲覧期限)の一覧を記憶する閲覧制限リスト112と、当該ユーザデータの閲覧回数等をユーザID、ユーザデータ名及び端末ID215ごとに記憶する閲覧管理情報113と、閲覧したログが記憶される閲覧履歴114と、暗号化されているユーザデータ124を復号化するための復号化キー115と、Viewerアプリローダ116と、セキュリティーカードを識別する為のカードID117と、を記憶している。
耐タンパ性を備えたICチップ110にこれらの情報を記憶することにより、改造や解析等各情報の改ざん及び漏洩から防止することができる。
外部記憶領域120は、OSプログラム121と、サーバ300と通信を行うための端末制御プログラム122と、ユーザデータのダウンロード、閲覧及び閲覧管理を制御するViewerアプリ123と、サーバ300からダウンロードされ暗号化されたユーザデータ124と、を記憶している。なお、Viewerアプリ123は、暗号化されている。Viewerアプリ123及びユーザデータ124を暗号化することにより、データ盗用及び情報漏洩を防止することができる。
【0013】
認証情報111には、クライアント端末200にログインすることができる、複数ユーザの、ユーザIDと、パスワードと、セキュリティーカード100のカードID117と、クライアント端末200の端末ID215と、の組合せが記憶されている。
閲覧管理情報113には、ユーザデータ名と、ユーザIDと、端末IDと、の組合せに対応する閲覧回数が記憶されている。
復号化キー115は、耐タンパ性のあるICチップ110に記憶され、ユーザにも公開しないことで復号化キー115の盗用及び漏洩を防止している。
【0014】
Viewerアプリローダ116は、CPU211に暗号化されたViewerアプリ123を復号化させ、メモリ212にロードさせ、Viewerアプリ123を実行させる。
Viewerアプリ123は、クライアント端末200にログインしたユーザが、クライアント端末200からダウンロード可能なサーバ300に記憶されたユーザデータ名及びその閲覧制限のうち、ユーザが選択したユーザデータ名及びその閲覧制限を閲覧制限リスト112に記憶し、さらに閲覧回数を初期化し閲覧管理情報113に記憶し、ユーザが選択したユーザデータ名のユーザデータをサーバ300からセキュリティーカード100にダウンロードする。ここで、Viewerアプリ123は、これらの動作をCPU211に実行させる。
なお、Viewerアプリ123の詳細な動きは、後記する。
ここで、Viewerアプリ123の復号化キーは、Viewerアプリローダ116に内蔵しても良いし、ICチップ内であればViewerアプリローダ116の外に持っても良い。
【0015】
本実施の形態では、Viewerアプリ123やユーザデータ124は暗号化して外部記憶領域120に記憶しているが、これは、一般的にフラッシュメモリ等の外部記憶領域120に比べ耐タンパ性を有するICチップ110の記憶容量が非常に小さいためである。ICチップ110の記憶容量が十分大きい場合は、Viewerアプリ123やユーザデータ124を暗号化せずにICチップ110に記憶しても良い。
【0016】
(閲覧制限リストマスタ)
図2は、サーバに記憶されている閲覧制限リストマスタの一例を示すテーブル構成図である。閲覧制限リストマスタ312は、ユーザデータのダウンロード制限及び閲覧制限の管理情報を記憶している。
閲覧制限リストマスタ312には、ユーザデータ名31、クライアント端末200のユーザのユーザID32、セキュリティーカード100のカードID33、クライアント端末200の端末ID34、閲覧回数上限35、及び、閲覧期限36が記憶されている。なお、閲覧期限36は、たとえば、年月日時分で記憶される。
【0017】
(システム構成2)
図3は、本実施の形態に係るダウンロードしたユーザデータを閲覧(表示)するときのシンクライアントシステム1の構成を示すブロック図である。
【0018】
図1との差異は、クライアント端末200がネットワーク400に接続されていないことである。すなわち、本構成では、クライアント端末200が、接続しているセキュリティーカード100にダウンロードしたユーザデータ124を表示装置214に閲覧(表示)するときのシステム構成を示している。このため、図1に示したシンクライアントシステム1と同様の構成については同じ符号を付して、その説明を省略する。
【0019】
また、クライアント端末200に読み出されたViewerアプリ123は、閲覧制限リスト112及び閲覧管理情報113から、ユーザデータ124の閲覧回数と閲覧制限データ(閲覧回数上限、閲覧期限)とを取得し、前記閲覧回数と前記閲覧制限データに基づいて、ユーザデータ124が閲覧制限されているか否かを判断し、閲覧制限されていなければ、そのユーザデータ124からユーザが閲覧するために選択したユーザデータ124の閲覧回数に1を加算して閲覧管理情報113を更新し、ユーザデータ124を表示装置214に表示する。ここで、Viewerアプリ123は、これらの動作をCPU211に実行させる。
なお、Viewerアプリ123の詳細な動きは、後記する。
【0020】
(ダウンロード処理)
図4は、本実施の形態におけるサーバ300からユーザデータをICカード100にダウンロードするときの手順を示すシーケンス図である。図1、3を参照しつつ、図4に沿ってサーバ300からユーザデータをセキュリティーカード100にダウンロードするときの手順を説明する。ここで、クライアント端末200において、OSプログラム121が外部記憶領域120からロードされて、さらに、端末制御プログラム122が起動され、図示しないログイン画面が表示される。ユーザがログイン画面からユーザIDとパスワードを入力したとき、端末制御プログラム122は、ユーザ認証を行い、認証に成功した状態にあることを前提とする。このとき、ユーザ認証は、入力したユーザIDと、パスワードと、ICチップに記憶されているカードID117と、クライアント端末200に記憶されている端末ID215と、に基づいて、認証情報111に記憶されているクライアント端末200にログインすることができるユーザIDと、パスワードと、カードIDと、端末IDとを、それぞれの項目がすべて一致しているか否かにより判断される。
【0021】
まず、クライアント端末200では、ユーザの指示により、Viewerアプリローダ116がセキュリティーカード100からメモリ212に読込まれ起動される(ステップS4001)。
【0022】
Viewerアプリローダ116は、暗号化されて外部記憶領域120に記憶されているViewerアプリ123をセキュリティーカード100からメモリ212に読込み、復号化して、復号化したViewerアプリ123をCPU211に実行させる(ステップS4002)。
Viewerアプリ123は実行されるまでは暗号化され、実行するときに復号化されることから、Viewerアプリ123の改ざんを防止することができるという効果がある。
【0023】
以下の処理は、Viewerアプリ123が行う。また、クライアント端末200と、サーバ300との通信は、端末制御プログラム122が行なう。ここで、Viewerアプリ123及び端末制御プログラム122の動作は、CPU211に実行させる。
【0024】
Viewerアプリ123は、クライアント端末200がサーバ300に接続されているか否かをチェックする(ステップS4003)。サーバ300に接続されていない場合は、図5に示すステップS5001に進み、サーバ300に接続されている場合は、以下の処理を行なう。
【0025】
Viewerアプリ123は、サーバ300に対して、ユーザがクライアント端末200にログインした際に取得するユーザIDと、ICチップ110に記憶されているカードID117と、を含む閲覧制限リストの送付依頼通知を送信する(ステップS4004)。
【0026】
サーバ300は、閲覧制限リストマスタ312から、受信した閲覧制限リスト送付依頼通知に含まれたユーザIDと、カードID117とが一致する行にある、閲覧可能なユーザデータ名31と、その閲覧制限である端末ID34と閲覧回数上限35と閲覧期限36とを取得して、閲覧可能な閲覧制限リストを作成し、クライアント端末200に送信する(ステップS4005)。なお、閲覧可能な閲覧制限リストとは、クライアント端末200からユーザが閲覧することができる閲覧制限の一覧を示す。
クライアント端末200のViewerアプリ123は、サーバ300から閲覧制限リストを受信し、表示装置214に受信した閲覧可能な閲覧制限リスト(表示データ)を表示する(ステップS4006)。
【0027】
ユーザが、表示された閲覧可能な閲覧制限リストの中から、入力装置213を介して選択したダウンロードするユーザデータ名31及び閲覧制限を取得する(ステップS4007)。
【0028】
次に、Viewerアプリ123は、ユーザが選択したユーザデータ名31及び閲覧制限(選択結果)を元に、セキュリティーカード100内にあるICチップ110の閲覧制限リスト112及び閲覧管理情報113を更新し(ステップS4008)、選択結果をサーバ300に通知する(ステップS4009)。ここで、更新する閲覧制限リスト112には、選択結果、すなわち、ユーザデータ名、ユーザID、端末ID、閲覧回数上限及び閲覧期限が記憶される。また、更新する閲覧管理情報113は、選択されたユーザデータ名、ユーザID及び端末IDに対応する閲覧回数を0に記憶される。
【0029】
ここで、Viewerアプリ123は、クライアント端末200がサーバ300に接続されている場合に、閲覧制限リスト112を書き換えることができるが、サーバ300に接続されていない場合には、閲覧制限リスト112を書き換えることができない。
これにより、不正な者がユーザデータの閲覧制限の書き換えを悪意に行なうことができず、サーバ管理者が制限した閲覧制限を越えた利用をすることができなくなるため、情報の改ざん及び漏洩を防止することができる。また、耐タンパ性を備えたICチップ110に情報が記憶されているため、同様に記憶されている情報の改ざん及び漏洩を防止することもできる。
【0030】
サーバ300では前記選択結果とダウンロード日時をログとしてサーバ300のダウンロード履歴314に追加する(ステップS4010)。
これにより、ユーザデータをダウンロードしたときにサーバ300にログを残すため、サーバ管理者は、ユーザデータを誰がいつ持ち出したかを確認できるという効果がある。
【0031】
Viewerアプリ123は、前記選択結果に含まれるユーザデータ名のユーザデータをサーバ300からメモリ212にダウンロードする(ステップS4011)。このとき、一度ダウンロードしたユーザデータと同一のユーザデータを異なるユーザがダウンロードする場合には、そのユーザデータをサーバ300からダウンロードさせない。すなわち、Viewerアプリ123は、閲覧制限リスト112及び閲覧管理情報113を更新させる(ステップS4008)が、ダウンロードするユーザデータ名の件数を閲覧管理情報113から検索させ、その件数が2件以上存在する場合には、そのユーザデータ名のユーザデータをサーバ300からダウンロードさせない。
【0032】
Viewerアプリ123は、メモリ212上のダウンロードされたユーザデータを暗号化キーにより暗号化し、ユーザデータ124として外部記憶領域に記憶し、その復号化キー115をICチップに記憶する(ステップS4012)。その後、メモリ212上のユーザデータを消去する。
【0033】
ここで、ユーザデータの暗号化キーは、乱数やカードID117等を暗号化キーに加える等して、セキュリティーカード100固有のものとする。これにより、ユーザデータ124を他のセキュリティーカード100にコピーしたとしても復号化が不可能となる。
なお、たとえば、復号化キー及び暗号化キーを既に開示された共通かぎ方式または公開かぎ方式により利用することもできる。
【0034】
本実施の形態におけるサーバ300上のユーザデータ313をクライアント端末200に接続されたセキュリティーカード100にダウンロードすることにより、ユーザは、ネットワーク400に接続できない環境でもユーザデータ124を表示することができるようになる。また、正規ユーザであっても管理者が定めた制限内でしかユーザデータをダウンロードすることができず、さらに、表示することができないため、ユーザデータの漏洩等の安全性を高めることができる。
【0035】
(表示処理)
図5は、本実施の形態におけるダウンロードしたユーザデータを表示するときの手順を示すシーケンス図である。
図4でViewerアプリ123は、クライアント端末200がサーバ300に接続されているか否かをチェックし(ステップS4003)、サーバ300に接続されていない場合は、図5に示すステップS5001に進む。
【0036】
以下の処理は、Viewerアプリ123で行う。ここで、Viewerアプリ123の動作は、CPU211に実行させる。
【0037】
Viewerアプリ123は、閲覧制限リスト112及び閲覧管理情報113をセキュリティーカード100から取得し、閲覧が許可されているユーザデータ名を表示装置214に表示する(ステップS5001)。
ここで、ユーザデータの閲覧が許可されているか否かについては、以下の手順で確認される。
まず、ユーザID及び端末ID215に基づいて、閲覧管理情報113から、ユーザデータ名及び閲覧回数を取得する。
次に、取得したユーザデータ名とユーザIDと端末ID215とに基づいて、閲覧制限リスト112から、閲覧回数上限と閲覧期限とを取得する。
閲覧管理情報113から取得した閲覧回数と、閲覧制限リスト112から取得した閲覧回数上限と、を比較して、閲覧回数<閲覧回数上限の場合で、且つ、閲覧制限リスト112から取得した閲覧期限が現在又は将来の場合には、取得したユーザデータ名は閲覧が許可されているユーザデータとなる。一方、いずれか1つでも条件を満たさない場合には、閲覧が許可されていないユーザデータとなる。
【0038】
Viewerアプリ123は、ユーザが、表示装置214に表示されたユーザデータ名の一覧中から選択した閲覧するユーザデータ名とその選択した結果を入力装置213を介して取得する(ステップS5002)。
【0039】
Viewerアプリ123は、閲覧管理情報113を更新する(ステップS5003)。すなわち、ユーザが選択したユーザデータ名とユーザIDと端末IDとが一致する閲覧管理情報113の閲覧回数に1を加算して更新する。
また、Viewerアプリ123は、閲覧履歴114にログを追加する(ステップS5004)。ログには、閲覧日時、ユーザデータ名、ユーザID及び端末IDが含まれている。
【0040】
次に、Viewerアプリ123は、ユーザが選択したユーザデータ124とユーザデータ124を復号化するための復号化キー115とをセキュリティーカード100からメモリ212に取得し(ステップS5005)、ユーザデータ124を復号化キー115により復号化し、表示装置214に表示する(ステップS5006)。これにより、セキュリティーカード100に記憶されたユーザデータ124を表示することができる。
【0041】
ここで、仮に、外部記憶領域120のユーザデータ124を別のセキュリティーカード100にコピーした場合、復号化キー115は、ICチップ固有のものであるため、ユーザデータ124が復号化キー115と不一致となり正常に復号化することができず、その結果、ユーザデータ124を正常に表示することができない。
これにより、Viewerアプリ123はユーザデータ124を正常に表示することができず、情報漏洩が起こりにくくなるという効果がある。
【0042】
また、Viewerアプリ123は、ユーザデータ124を表示する以外に、ユーザがユーザデータ124を編集して、外部記憶領域120の同一のユーザデータ124領域に上書きすることができるものとしても良い。このとき、Viewerアプリ123は、閲覧機能以外に編集機能及び保存機能を持ち、保存機能の場合は、編集対象であるユーザデータ124が存在するセキュリティーカード100以外の記憶媒体への保存及びネットワークへのアップロードを不可能とする。
このことにより、情報の漏洩を防止することできるという効果がある。
【0043】
本実施の形態におけるダウンロードしたユーザデータ124の表示手順により、サーバ管理者の管理下で閲覧制限することができ、ユーザデータの不正利用から防止することができる。
【図面の簡単な説明】
【0044】
【図1】本実施の形態に係るユーザデータをダウンロードするときのシンクライアントシステムの構成を示すブロック図である。
【図2】本実施の形態に係るダウンロードしたユーザデータを表示するときのシンクライアントシステムの構成を示すブロック図である。
【図3】サーバに記憶されている閲覧制限リストマスタの一例を示すテーブル構成図である。
【図4】ユーザデータをダウンロードするときの手順を示すシーケンス図である。
【図5】ダウンロードしたユーザデータを表示するときの手順を示すシーケンス図である。
【符号の説明】
【0045】
1 シンクライアントシステム
100 セキュリティーカード
110 ICチップ
112 閲覧制限リスト
113 閲覧管理情報
120 外部記憶領域
123 Viewerアプリ
124 ユーザデータ
200 クライアント端末
400 ネットワーク
300 サーバ
312 閲覧制限リストマスタ
313 ユーザデータ
314 ダウンロード履歴
【技術分野】
【0001】
本発明は、シンクライアントシステム及びシンクライアントシステムにおけるクライアント端末の表示プログラムに関する。
【背景技術】
【0002】
シンクライアントシステムは、端末からサーバに接続して動作するシステムであり、ネットワークが不可欠である。
従って、一般的なシンクライアントシステムでは、サーバと、ネットワークに接続されたクライアント端末と、で構成され、ユーザデータ及びアプリケーションはサーバ上だけに存在し、クライアント端末には最低限の機能を持たせている。すなわち、サーバ上でアプリケーションは実行され、実行された結果を暗号化し、ネットワークを介してクライアント端末とやりとりされ、クライアント端末は、マウス入力、キー入力、画面出力のみを行う。
従って、クライアント端末は、余計な機能を一切持たないため、ユーザデータは、サーバにより制御され、以下のようにしてユーザデータの安全性を確保している。
【0003】
第1に、クライアント端末はサーバに接続するときに認証を行い、正規ユーザ以外はサーバ上のユーザデータにアクセスさせない。
第2に、ユーザデータの出力をサーバに限定し、クライアント端末に接続されているUSBメモリやCD−R等の外部媒体に出力させず、正規ユーザでもクライアント端末以外にユーザデータを持出させない。
【0004】
また、ユーザの利便性を高める為に、OSプログラム、端末制御プログラム及び認証情報を内蔵するセキュリティーカードをユーザに配布し、ユーザがセキュリティーカードを不特定のクライアント端末に接続することで、シンクライアントシステムを提供出来るようにしたシステムが特許文献1に記載されている。
【特許文献1】特開2005−235159号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかし、シンクライアントシステムでは、ユーザデータを外部媒体に記憶してから持ち出して参照しようとした場合、サーバから外部媒体に記憶することとなるが、持ち出したユーザデータはサーバのコントロール外となるため、正規ユーザであれば無制限に利用できてしまうという問題があった。
また、持ち出したユーザデータを別の媒体に記憶しても利用することができるため、情報の漏洩が起こりやすくなる。
さらに、サーバ管理者は、持ち出したユーザデータの利用結果を知る手段がないため、ユーザデータが不正に利用されているか否かを確認することができない。
そこで、本発明は、正規ユーザであってもサーバ管理者が定めた利用制限内でしかユーザデータを利用できないため、サーバ管理者がユーザデータの利用範囲を制御することができる技術の提供をすることを目的とする。
【課題を解決するための手段】
【0006】
前記課題を解決する為、本発明では、サーバと、前記サーバにネットワークで接続されるクライアント端末と、前記クライアント端末に接続されるセキュリティーカードと、を含んでなるシンクライアントシステムであって、前記サーバは、前記クライアント端末でユーザが閲覧可能なユーザデータと、前記ユーザデータのダウンロード制限及びダウンロードしたユーザデータの閲覧制限の管理情報を記憶する閲覧制限リストマスタと、を記憶装置に有し、前記セキュリティーカードは、前記サーバからダウンロードされるユーザデータと、前記サーバからダウンロードされる管理情報と、前記ユーザデータのサーバからのダウンロード、及び閲覧の制御を、前記管理情報に基づいて前記クライアント端末に実行させる表示アプリと、を含んで記憶する記憶領域を有し、前記表示アプリは、前記クライアント端末に読み出され、前記クライアント端末の入力装置を介したユーザの操作により前記ユーザデータのダウンロード要求があると、前記サーバの管理情報に基づいて前記ユーザデータを前記サーバからダウンロードして前記セキュリティーカードに記憶させる手順と、前記クライアント端末が前記ネットワークに接続されていないときに、当該クライアント端末の入力装置を介して前記ユーザデータの閲覧要求があると、前記セキュリティーカードの記憶領域に記憶されている管理情報に基づいて前記記憶領域からユーザデータを読み出し、前記クライアント端末の表示装置に表示させる手順と、を前記クライアント端末に実行させることを特徴とする。
【発明の効果】
【0007】
本発明によれば、正規ユーザであってもサーバ管理者が定めた利用制限内でしかユーザデータを利用できないため、サーバ管理者がユーザデータの利用範囲を制御することができる。
【発明を実施するための最良の形態】
【0008】
以下、本発明の実施形態を図面に従って詳細に説明する。
【0009】
(システム構成1)
図1は、本実施の形態に係るユーザデータをダウンロードするときのシンクライアントシステム1の構成を示すブロック図である。
図1に示すように、本実施の形態のシンクライアントシステム1は、クライアント端末200とサーバ300とがネットワーク400で接続され、サーバ300上のユーザデータ313をクライアント端末200と接続されたセキュリティーカード100にダウンロードする。なお、クライアント端末200とセキュリティーカード100とは、セキュリティーカード100とクライアント端末200とに搭載された接続回路130で接続可能にされている。
【0010】
サーバ300は、記憶装置310を有し、記憶装置310には、ユーザ認証に用いる認証情報311と、クライアント端末200でサーバ300からダウンロード可能なユーザデータ313のダウンロード制限及びダウンロードしたユーザデータ124の閲覧制限の管理情報が記憶された閲覧制限リストマスタ312と、クライアント端末200でユーザが閲覧可能なユーザデータ313と、ユーザデータのダウンロード履歴314と、が記憶される。
認証情報311には、サーバ300と接続することができる、クライアント端末200の端末ID215とセキュリティーカード100のカードID117とユーザのユーザIDとの組合せが記憶されている。
【0011】
クライアント端末200は、CPU211と、揮発性のメモリ212と、キーボード、マウス、タッチパネル等の入力装置213と、CRT(Cathode Ray Tube)、LCD(Liquid Crystal Display)等の表示装置214と、端末を識別するための端末ID215を記憶する記憶装置216と、を有する。
【0012】
セキュリティーカード100は、耐タンパ性を備えたICチップ110と、不揮発性の外部記憶領域120と、を備えている。
ICチップ110は、認証情報111と、ユーザIDごとに閲覧可能なユーザデータ名のユーザデータを閲覧する際の閲覧(表示)制限(端末ID、閲覧回数上限、閲覧期限)の一覧を記憶する閲覧制限リスト112と、当該ユーザデータの閲覧回数等をユーザID、ユーザデータ名及び端末ID215ごとに記憶する閲覧管理情報113と、閲覧したログが記憶される閲覧履歴114と、暗号化されているユーザデータ124を復号化するための復号化キー115と、Viewerアプリローダ116と、セキュリティーカードを識別する為のカードID117と、を記憶している。
耐タンパ性を備えたICチップ110にこれらの情報を記憶することにより、改造や解析等各情報の改ざん及び漏洩から防止することができる。
外部記憶領域120は、OSプログラム121と、サーバ300と通信を行うための端末制御プログラム122と、ユーザデータのダウンロード、閲覧及び閲覧管理を制御するViewerアプリ123と、サーバ300からダウンロードされ暗号化されたユーザデータ124と、を記憶している。なお、Viewerアプリ123は、暗号化されている。Viewerアプリ123及びユーザデータ124を暗号化することにより、データ盗用及び情報漏洩を防止することができる。
【0013】
認証情報111には、クライアント端末200にログインすることができる、複数ユーザの、ユーザIDと、パスワードと、セキュリティーカード100のカードID117と、クライアント端末200の端末ID215と、の組合せが記憶されている。
閲覧管理情報113には、ユーザデータ名と、ユーザIDと、端末IDと、の組合せに対応する閲覧回数が記憶されている。
復号化キー115は、耐タンパ性のあるICチップ110に記憶され、ユーザにも公開しないことで復号化キー115の盗用及び漏洩を防止している。
【0014】
Viewerアプリローダ116は、CPU211に暗号化されたViewerアプリ123を復号化させ、メモリ212にロードさせ、Viewerアプリ123を実行させる。
Viewerアプリ123は、クライアント端末200にログインしたユーザが、クライアント端末200からダウンロード可能なサーバ300に記憶されたユーザデータ名及びその閲覧制限のうち、ユーザが選択したユーザデータ名及びその閲覧制限を閲覧制限リスト112に記憶し、さらに閲覧回数を初期化し閲覧管理情報113に記憶し、ユーザが選択したユーザデータ名のユーザデータをサーバ300からセキュリティーカード100にダウンロードする。ここで、Viewerアプリ123は、これらの動作をCPU211に実行させる。
なお、Viewerアプリ123の詳細な動きは、後記する。
ここで、Viewerアプリ123の復号化キーは、Viewerアプリローダ116に内蔵しても良いし、ICチップ内であればViewerアプリローダ116の外に持っても良い。
【0015】
本実施の形態では、Viewerアプリ123やユーザデータ124は暗号化して外部記憶領域120に記憶しているが、これは、一般的にフラッシュメモリ等の外部記憶領域120に比べ耐タンパ性を有するICチップ110の記憶容量が非常に小さいためである。ICチップ110の記憶容量が十分大きい場合は、Viewerアプリ123やユーザデータ124を暗号化せずにICチップ110に記憶しても良い。
【0016】
(閲覧制限リストマスタ)
図2は、サーバに記憶されている閲覧制限リストマスタの一例を示すテーブル構成図である。閲覧制限リストマスタ312は、ユーザデータのダウンロード制限及び閲覧制限の管理情報を記憶している。
閲覧制限リストマスタ312には、ユーザデータ名31、クライアント端末200のユーザのユーザID32、セキュリティーカード100のカードID33、クライアント端末200の端末ID34、閲覧回数上限35、及び、閲覧期限36が記憶されている。なお、閲覧期限36は、たとえば、年月日時分で記憶される。
【0017】
(システム構成2)
図3は、本実施の形態に係るダウンロードしたユーザデータを閲覧(表示)するときのシンクライアントシステム1の構成を示すブロック図である。
【0018】
図1との差異は、クライアント端末200がネットワーク400に接続されていないことである。すなわち、本構成では、クライアント端末200が、接続しているセキュリティーカード100にダウンロードしたユーザデータ124を表示装置214に閲覧(表示)するときのシステム構成を示している。このため、図1に示したシンクライアントシステム1と同様の構成については同じ符号を付して、その説明を省略する。
【0019】
また、クライアント端末200に読み出されたViewerアプリ123は、閲覧制限リスト112及び閲覧管理情報113から、ユーザデータ124の閲覧回数と閲覧制限データ(閲覧回数上限、閲覧期限)とを取得し、前記閲覧回数と前記閲覧制限データに基づいて、ユーザデータ124が閲覧制限されているか否かを判断し、閲覧制限されていなければ、そのユーザデータ124からユーザが閲覧するために選択したユーザデータ124の閲覧回数に1を加算して閲覧管理情報113を更新し、ユーザデータ124を表示装置214に表示する。ここで、Viewerアプリ123は、これらの動作をCPU211に実行させる。
なお、Viewerアプリ123の詳細な動きは、後記する。
【0020】
(ダウンロード処理)
図4は、本実施の形態におけるサーバ300からユーザデータをICカード100にダウンロードするときの手順を示すシーケンス図である。図1、3を参照しつつ、図4に沿ってサーバ300からユーザデータをセキュリティーカード100にダウンロードするときの手順を説明する。ここで、クライアント端末200において、OSプログラム121が外部記憶領域120からロードされて、さらに、端末制御プログラム122が起動され、図示しないログイン画面が表示される。ユーザがログイン画面からユーザIDとパスワードを入力したとき、端末制御プログラム122は、ユーザ認証を行い、認証に成功した状態にあることを前提とする。このとき、ユーザ認証は、入力したユーザIDと、パスワードと、ICチップに記憶されているカードID117と、クライアント端末200に記憶されている端末ID215と、に基づいて、認証情報111に記憶されているクライアント端末200にログインすることができるユーザIDと、パスワードと、カードIDと、端末IDとを、それぞれの項目がすべて一致しているか否かにより判断される。
【0021】
まず、クライアント端末200では、ユーザの指示により、Viewerアプリローダ116がセキュリティーカード100からメモリ212に読込まれ起動される(ステップS4001)。
【0022】
Viewerアプリローダ116は、暗号化されて外部記憶領域120に記憶されているViewerアプリ123をセキュリティーカード100からメモリ212に読込み、復号化して、復号化したViewerアプリ123をCPU211に実行させる(ステップS4002)。
Viewerアプリ123は実行されるまでは暗号化され、実行するときに復号化されることから、Viewerアプリ123の改ざんを防止することができるという効果がある。
【0023】
以下の処理は、Viewerアプリ123が行う。また、クライアント端末200と、サーバ300との通信は、端末制御プログラム122が行なう。ここで、Viewerアプリ123及び端末制御プログラム122の動作は、CPU211に実行させる。
【0024】
Viewerアプリ123は、クライアント端末200がサーバ300に接続されているか否かをチェックする(ステップS4003)。サーバ300に接続されていない場合は、図5に示すステップS5001に進み、サーバ300に接続されている場合は、以下の処理を行なう。
【0025】
Viewerアプリ123は、サーバ300に対して、ユーザがクライアント端末200にログインした際に取得するユーザIDと、ICチップ110に記憶されているカードID117と、を含む閲覧制限リストの送付依頼通知を送信する(ステップS4004)。
【0026】
サーバ300は、閲覧制限リストマスタ312から、受信した閲覧制限リスト送付依頼通知に含まれたユーザIDと、カードID117とが一致する行にある、閲覧可能なユーザデータ名31と、その閲覧制限である端末ID34と閲覧回数上限35と閲覧期限36とを取得して、閲覧可能な閲覧制限リストを作成し、クライアント端末200に送信する(ステップS4005)。なお、閲覧可能な閲覧制限リストとは、クライアント端末200からユーザが閲覧することができる閲覧制限の一覧を示す。
クライアント端末200のViewerアプリ123は、サーバ300から閲覧制限リストを受信し、表示装置214に受信した閲覧可能な閲覧制限リスト(表示データ)を表示する(ステップS4006)。
【0027】
ユーザが、表示された閲覧可能な閲覧制限リストの中から、入力装置213を介して選択したダウンロードするユーザデータ名31及び閲覧制限を取得する(ステップS4007)。
【0028】
次に、Viewerアプリ123は、ユーザが選択したユーザデータ名31及び閲覧制限(選択結果)を元に、セキュリティーカード100内にあるICチップ110の閲覧制限リスト112及び閲覧管理情報113を更新し(ステップS4008)、選択結果をサーバ300に通知する(ステップS4009)。ここで、更新する閲覧制限リスト112には、選択結果、すなわち、ユーザデータ名、ユーザID、端末ID、閲覧回数上限及び閲覧期限が記憶される。また、更新する閲覧管理情報113は、選択されたユーザデータ名、ユーザID及び端末IDに対応する閲覧回数を0に記憶される。
【0029】
ここで、Viewerアプリ123は、クライアント端末200がサーバ300に接続されている場合に、閲覧制限リスト112を書き換えることができるが、サーバ300に接続されていない場合には、閲覧制限リスト112を書き換えることができない。
これにより、不正な者がユーザデータの閲覧制限の書き換えを悪意に行なうことができず、サーバ管理者が制限した閲覧制限を越えた利用をすることができなくなるため、情報の改ざん及び漏洩を防止することができる。また、耐タンパ性を備えたICチップ110に情報が記憶されているため、同様に記憶されている情報の改ざん及び漏洩を防止することもできる。
【0030】
サーバ300では前記選択結果とダウンロード日時をログとしてサーバ300のダウンロード履歴314に追加する(ステップS4010)。
これにより、ユーザデータをダウンロードしたときにサーバ300にログを残すため、サーバ管理者は、ユーザデータを誰がいつ持ち出したかを確認できるという効果がある。
【0031】
Viewerアプリ123は、前記選択結果に含まれるユーザデータ名のユーザデータをサーバ300からメモリ212にダウンロードする(ステップS4011)。このとき、一度ダウンロードしたユーザデータと同一のユーザデータを異なるユーザがダウンロードする場合には、そのユーザデータをサーバ300からダウンロードさせない。すなわち、Viewerアプリ123は、閲覧制限リスト112及び閲覧管理情報113を更新させる(ステップS4008)が、ダウンロードするユーザデータ名の件数を閲覧管理情報113から検索させ、その件数が2件以上存在する場合には、そのユーザデータ名のユーザデータをサーバ300からダウンロードさせない。
【0032】
Viewerアプリ123は、メモリ212上のダウンロードされたユーザデータを暗号化キーにより暗号化し、ユーザデータ124として外部記憶領域に記憶し、その復号化キー115をICチップに記憶する(ステップS4012)。その後、メモリ212上のユーザデータを消去する。
【0033】
ここで、ユーザデータの暗号化キーは、乱数やカードID117等を暗号化キーに加える等して、セキュリティーカード100固有のものとする。これにより、ユーザデータ124を他のセキュリティーカード100にコピーしたとしても復号化が不可能となる。
なお、たとえば、復号化キー及び暗号化キーを既に開示された共通かぎ方式または公開かぎ方式により利用することもできる。
【0034】
本実施の形態におけるサーバ300上のユーザデータ313をクライアント端末200に接続されたセキュリティーカード100にダウンロードすることにより、ユーザは、ネットワーク400に接続できない環境でもユーザデータ124を表示することができるようになる。また、正規ユーザであっても管理者が定めた制限内でしかユーザデータをダウンロードすることができず、さらに、表示することができないため、ユーザデータの漏洩等の安全性を高めることができる。
【0035】
(表示処理)
図5は、本実施の形態におけるダウンロードしたユーザデータを表示するときの手順を示すシーケンス図である。
図4でViewerアプリ123は、クライアント端末200がサーバ300に接続されているか否かをチェックし(ステップS4003)、サーバ300に接続されていない場合は、図5に示すステップS5001に進む。
【0036】
以下の処理は、Viewerアプリ123で行う。ここで、Viewerアプリ123の動作は、CPU211に実行させる。
【0037】
Viewerアプリ123は、閲覧制限リスト112及び閲覧管理情報113をセキュリティーカード100から取得し、閲覧が許可されているユーザデータ名を表示装置214に表示する(ステップS5001)。
ここで、ユーザデータの閲覧が許可されているか否かについては、以下の手順で確認される。
まず、ユーザID及び端末ID215に基づいて、閲覧管理情報113から、ユーザデータ名及び閲覧回数を取得する。
次に、取得したユーザデータ名とユーザIDと端末ID215とに基づいて、閲覧制限リスト112から、閲覧回数上限と閲覧期限とを取得する。
閲覧管理情報113から取得した閲覧回数と、閲覧制限リスト112から取得した閲覧回数上限と、を比較して、閲覧回数<閲覧回数上限の場合で、且つ、閲覧制限リスト112から取得した閲覧期限が現在又は将来の場合には、取得したユーザデータ名は閲覧が許可されているユーザデータとなる。一方、いずれか1つでも条件を満たさない場合には、閲覧が許可されていないユーザデータとなる。
【0038】
Viewerアプリ123は、ユーザが、表示装置214に表示されたユーザデータ名の一覧中から選択した閲覧するユーザデータ名とその選択した結果を入力装置213を介して取得する(ステップS5002)。
【0039】
Viewerアプリ123は、閲覧管理情報113を更新する(ステップS5003)。すなわち、ユーザが選択したユーザデータ名とユーザIDと端末IDとが一致する閲覧管理情報113の閲覧回数に1を加算して更新する。
また、Viewerアプリ123は、閲覧履歴114にログを追加する(ステップS5004)。ログには、閲覧日時、ユーザデータ名、ユーザID及び端末IDが含まれている。
【0040】
次に、Viewerアプリ123は、ユーザが選択したユーザデータ124とユーザデータ124を復号化するための復号化キー115とをセキュリティーカード100からメモリ212に取得し(ステップS5005)、ユーザデータ124を復号化キー115により復号化し、表示装置214に表示する(ステップS5006)。これにより、セキュリティーカード100に記憶されたユーザデータ124を表示することができる。
【0041】
ここで、仮に、外部記憶領域120のユーザデータ124を別のセキュリティーカード100にコピーした場合、復号化キー115は、ICチップ固有のものであるため、ユーザデータ124が復号化キー115と不一致となり正常に復号化することができず、その結果、ユーザデータ124を正常に表示することができない。
これにより、Viewerアプリ123はユーザデータ124を正常に表示することができず、情報漏洩が起こりにくくなるという効果がある。
【0042】
また、Viewerアプリ123は、ユーザデータ124を表示する以外に、ユーザがユーザデータ124を編集して、外部記憶領域120の同一のユーザデータ124領域に上書きすることができるものとしても良い。このとき、Viewerアプリ123は、閲覧機能以外に編集機能及び保存機能を持ち、保存機能の場合は、編集対象であるユーザデータ124が存在するセキュリティーカード100以外の記憶媒体への保存及びネットワークへのアップロードを不可能とする。
このことにより、情報の漏洩を防止することできるという効果がある。
【0043】
本実施の形態におけるダウンロードしたユーザデータ124の表示手順により、サーバ管理者の管理下で閲覧制限することができ、ユーザデータの不正利用から防止することができる。
【図面の簡単な説明】
【0044】
【図1】本実施の形態に係るユーザデータをダウンロードするときのシンクライアントシステムの構成を示すブロック図である。
【図2】本実施の形態に係るダウンロードしたユーザデータを表示するときのシンクライアントシステムの構成を示すブロック図である。
【図3】サーバに記憶されている閲覧制限リストマスタの一例を示すテーブル構成図である。
【図4】ユーザデータをダウンロードするときの手順を示すシーケンス図である。
【図5】ダウンロードしたユーザデータを表示するときの手順を示すシーケンス図である。
【符号の説明】
【0045】
1 シンクライアントシステム
100 セキュリティーカード
110 ICチップ
112 閲覧制限リスト
113 閲覧管理情報
120 外部記憶領域
123 Viewerアプリ
124 ユーザデータ
200 クライアント端末
400 ネットワーク
300 サーバ
312 閲覧制限リストマスタ
313 ユーザデータ
314 ダウンロード履歴
【特許請求の範囲】
【請求項1】
サーバと、前記サーバにネットワークで接続されるクライアント端末と、前記クライアント端末に接続されるセキュリティーカードと、を含んでなるシンクライアントシステムであって、
前記サーバは、
前記クライアント端末でユーザが閲覧可能なユーザデータと、前記ユーザデータのダウンロード制限及びダウンロードしたユーザデータの閲覧制限の管理情報を記憶する閲覧制限リストマスタと、を記憶装置に有し、
前記セキュリティーカードは、
前記サーバからダウンロードされるユーザデータと、
前記サーバからダウンロードされる管理情報と、
前記ユーザデータのサーバからのダウンロード、及び閲覧の制御を、前記管理情報に基づいて前記クライアント端末に実行させる表示アプリと、
を含んで記憶する記憶領域を有し、
前記表示アプリは、前記クライアント端末に読み出され、
前記クライアント端末の入力装置を介したユーザの操作により前記ユーザデータのダウンロード要求があると、前記サーバの管理情報に基づいて前記ユーザデータを前記サーバからダウンロードして前記セキュリティーカードに記憶させる手順と、
前記クライアント端末が前記ネットワークに接続されていないときに、当該クライアント端末の入力装置を介して前記ユーザデータの閲覧要求があると、前記セキュリティーカードの記憶領域に記憶されている管理情報に基づいて前記記憶領域からユーザデータを読み出し、前記クライアント端末の表示装置に表示させる手順と、を前記クライアント端末に実行させることを特徴とする
シンクライアントシステム。
【請求項2】
請求項1に記載のシンクライアントシステムであって、
前記クライアント端末に接続するセキュリティーカードの記憶領域は、
不揮発性の外部記憶領域と、耐タンパ性を備えたICチップと、を有し、
前記ICチップは、
前記閲覧制限の管理情報と、前記表示アプリは前記閲覧要求があった暗号化されたユーザデータを復号化するための復号化キーと、を有することを特徴とする
シンクライアントシステム。
【請求項3】
請求項1又は請求項2に記載のシンクライアントシステムであって、
前記表示アプリは、
前記クライアント端末に前記ユーザデータのダウンロード要求があると、前記ユーザデータの閲覧制限を前記サーバに通知させ、
前記サーバは、
前記記憶装置に有するダウンロード履歴に、前記通知されたユーザデータの閲覧制限を記憶することを特徴とする
シンクライアントシステム。
【請求項4】
請求項2に記載のシンクライアントシステムであって、
前記外部記憶領域には暗号化された表示アプリが記憶され、
前記ICチップは、
クライアント端末に、さらに、暗号化された表示アプリを復号化させ、実行させるための表示アプリローダを有し、
前記表示アプリは、
前記表示アプリローダにより復号化され実行されることを特徴とする
シンクライアントシステム。
【請求項5】
ユーザが閲覧可能なユーザデータ並びに前記ユーザデータのダウンロード制限及びダウンロードしたユーザデータの閲覧制限の管理情報を記憶する記憶部を有するサーバと、
前記サーバにネットワークで接続されるクライアント端末と、
前記サーバからダウンロードするユーザデータ及び管理情報を記憶する記憶領域を有し、前記クライアント端末に接続されるセキュリティーカードと、
を含んでなるシンクライアントシステムに用いられ、
前記セキュリティーカードから前記クライアント端末に読み出されて機能するシンクライアント端末用のプログラムであって、
前記プログラムは、
前記クライアント端末の入力装置を介したユーザの操作により前記ユーザデータのダウンロード要求があると、前記サーバの管理情報に基づいて前記ユーザデータを前記サーバからダウンロードして前記セキュリティーカードに記憶させる手順と、
前記クライアント端末が前記ネットワークに接続されていないときに、当該クライアント端末の入力装置を介して前記ユーザデータの閲覧要求があると、前記セキュリティーカードの記憶領域に記憶されている前記管理情報に基づいて前記記憶領域からユーザデータを読み出し、前記クライアント端末の表示装置に表示させる手順と、
を前記クライアント端末に実行させることを特徴とする
クライアント端末の表示プログラム。
【請求項6】
請求項5に記載のシンクライアントシステムにおけるクライアント端末の表示プログラムであって、
前記表示アプリは、
前記クライアント端末と前記サーバとが未接続か否かを判定し、未接続の場合は、前記セキュリティーカードに記憶された閲覧制限リストの書き換えを行なわないことを特徴とする
クライアント端末の表示プログラム。
【請求項7】
請求項5に記載のシンクライアントシステムにおけるクライアント端末の表示プログラムであって、
前記表示アプリは、前記ユーザデータをセキュリティーカード以外の記憶媒体やネットワークへの出力を行なわないことを特徴とする
クライアント端末の表示プログラム。
【請求項1】
サーバと、前記サーバにネットワークで接続されるクライアント端末と、前記クライアント端末に接続されるセキュリティーカードと、を含んでなるシンクライアントシステムであって、
前記サーバは、
前記クライアント端末でユーザが閲覧可能なユーザデータと、前記ユーザデータのダウンロード制限及びダウンロードしたユーザデータの閲覧制限の管理情報を記憶する閲覧制限リストマスタと、を記憶装置に有し、
前記セキュリティーカードは、
前記サーバからダウンロードされるユーザデータと、
前記サーバからダウンロードされる管理情報と、
前記ユーザデータのサーバからのダウンロード、及び閲覧の制御を、前記管理情報に基づいて前記クライアント端末に実行させる表示アプリと、
を含んで記憶する記憶領域を有し、
前記表示アプリは、前記クライアント端末に読み出され、
前記クライアント端末の入力装置を介したユーザの操作により前記ユーザデータのダウンロード要求があると、前記サーバの管理情報に基づいて前記ユーザデータを前記サーバからダウンロードして前記セキュリティーカードに記憶させる手順と、
前記クライアント端末が前記ネットワークに接続されていないときに、当該クライアント端末の入力装置を介して前記ユーザデータの閲覧要求があると、前記セキュリティーカードの記憶領域に記憶されている管理情報に基づいて前記記憶領域からユーザデータを読み出し、前記クライアント端末の表示装置に表示させる手順と、を前記クライアント端末に実行させることを特徴とする
シンクライアントシステム。
【請求項2】
請求項1に記載のシンクライアントシステムであって、
前記クライアント端末に接続するセキュリティーカードの記憶領域は、
不揮発性の外部記憶領域と、耐タンパ性を備えたICチップと、を有し、
前記ICチップは、
前記閲覧制限の管理情報と、前記表示アプリは前記閲覧要求があった暗号化されたユーザデータを復号化するための復号化キーと、を有することを特徴とする
シンクライアントシステム。
【請求項3】
請求項1又は請求項2に記載のシンクライアントシステムであって、
前記表示アプリは、
前記クライアント端末に前記ユーザデータのダウンロード要求があると、前記ユーザデータの閲覧制限を前記サーバに通知させ、
前記サーバは、
前記記憶装置に有するダウンロード履歴に、前記通知されたユーザデータの閲覧制限を記憶することを特徴とする
シンクライアントシステム。
【請求項4】
請求項2に記載のシンクライアントシステムであって、
前記外部記憶領域には暗号化された表示アプリが記憶され、
前記ICチップは、
クライアント端末に、さらに、暗号化された表示アプリを復号化させ、実行させるための表示アプリローダを有し、
前記表示アプリは、
前記表示アプリローダにより復号化され実行されることを特徴とする
シンクライアントシステム。
【請求項5】
ユーザが閲覧可能なユーザデータ並びに前記ユーザデータのダウンロード制限及びダウンロードしたユーザデータの閲覧制限の管理情報を記憶する記憶部を有するサーバと、
前記サーバにネットワークで接続されるクライアント端末と、
前記サーバからダウンロードするユーザデータ及び管理情報を記憶する記憶領域を有し、前記クライアント端末に接続されるセキュリティーカードと、
を含んでなるシンクライアントシステムに用いられ、
前記セキュリティーカードから前記クライアント端末に読み出されて機能するシンクライアント端末用のプログラムであって、
前記プログラムは、
前記クライアント端末の入力装置を介したユーザの操作により前記ユーザデータのダウンロード要求があると、前記サーバの管理情報に基づいて前記ユーザデータを前記サーバからダウンロードして前記セキュリティーカードに記憶させる手順と、
前記クライアント端末が前記ネットワークに接続されていないときに、当該クライアント端末の入力装置を介して前記ユーザデータの閲覧要求があると、前記セキュリティーカードの記憶領域に記憶されている前記管理情報に基づいて前記記憶領域からユーザデータを読み出し、前記クライアント端末の表示装置に表示させる手順と、
を前記クライアント端末に実行させることを特徴とする
クライアント端末の表示プログラム。
【請求項6】
請求項5に記載のシンクライアントシステムにおけるクライアント端末の表示プログラムであって、
前記表示アプリは、
前記クライアント端末と前記サーバとが未接続か否かを判定し、未接続の場合は、前記セキュリティーカードに記憶された閲覧制限リストの書き換えを行なわないことを特徴とする
クライアント端末の表示プログラム。
【請求項7】
請求項5に記載のシンクライアントシステムにおけるクライアント端末の表示プログラムであって、
前記表示アプリは、前記ユーザデータをセキュリティーカード以外の記憶媒体やネットワークへの出力を行なわないことを特徴とする
クライアント端末の表示プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2008−123070(P2008−123070A)
【公開日】平成20年5月29日(2008.5.29)
【国際特許分類】
【出願番号】特願2006−303462(P2006−303462)
【出願日】平成18年11月9日(2006.11.9)
【出願人】(000153443)株式会社日立情報制御ソリューションズ (359)
【Fターム(参考)】
【公開日】平成20年5月29日(2008.5.29)
【国際特許分類】
【出願日】平成18年11月9日(2006.11.9)
【出願人】(000153443)株式会社日立情報制御ソリューションズ (359)
【Fターム(参考)】
[ Back to top ]