シンクライアントシステム
【課題】 クライアント端末とポートフォワーディング手段を用いて接続されたサーバとによるセキュリティの高い画像転送方式のシンクライアントシステムを提供する。
【解決手段】 アプリケーションプログラムを実行処理可能なサーバと、ネットワークを介して該サーバにアクセス可能なクライアント端末とを含む画像転送方式のシンクライアントシステムであって、該クライアント端末と該サーバ間にポートフォワーディング手段を配設したゲートウェイを有し、該クライアント端末からの該サーバへの接続開始要求毎に作成された該サーバへの接続ポート情報を含む接続情報に基づき、該クライアント端末からの終了動作があるまでの間のみ、該クライアント端末は上記の接続情報に基づいて該ゲートウェイによるポートフォワーディングにより該サーバと双方向通信をする手段を有することを特徴とする画像転送方式のシンクライアントシステムである。
【解決手段】 アプリケーションプログラムを実行処理可能なサーバと、ネットワークを介して該サーバにアクセス可能なクライアント端末とを含む画像転送方式のシンクライアントシステムであって、該クライアント端末と該サーバ間にポートフォワーディング手段を配設したゲートウェイを有し、該クライアント端末からの該サーバへの接続開始要求毎に作成された該サーバへの接続ポート情報を含む接続情報に基づき、該クライアント端末からの終了動作があるまでの間のみ、該クライアント端末は上記の接続情報に基づいて該ゲートウェイによるポートフォワーディングにより該サーバと双方向通信をする手段を有することを特徴とする画像転送方式のシンクライアントシステムである。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、クライアント端末とサーバとがセキュリティ高くネットワークを介して通信可能な画像転送方式のシンクライアントシステムに関する。
【背景技術】
【0002】
シンクライアントシステムでは、ユーザーが使用するクライアント端末には必要最小限の入出力処理などをさせ、ファイルやデータの保持やアプリケーションプログラムの実行等のほとんどの処理をサーバ側に集中させることが可能となっている。これにより、処理負荷の重いアプリケーションを動作させるのに見合うだけの汎用コンピュータをクライアント端末として選択することは必然的な要請ではなくなり、クライアント端末側の機能を絞った低価格な機種選択の選択や、古い機能のクライアント端末の利用によって端末寿命が事実上延命できることとなった。また、データやファイル、アプリケーションソフト等の資源をサーバ側で一元管理することで、ソフトウェアを配布したりインベントリを管理するための管理・運用コスト(TCO)の削減に資するところにも利点がある。
【0003】
ところで、近年、高機能なノート型モバイルコンピュータの開発と価格低下に伴いその普及が進んでいる。すると、機能を絞ったシンクライアント端末による導入時のコスト的障壁が低くなった。そこで、シンクライアントの利点のうち、サーバ側での一元管理という利便性がセキュリティ上の観点からも着目されるようになってきた。すなわち、ファイルやデータの保持管理、アプリケーションの実行処理をサーバ側が担うので、シンクライアント端末には、大量な情報を保持せずともユーザーの作業を実行処理しうるため、万が一盗難にあっても、情報流出が最低限にとどめられる点がセキュリティ上の要請に適うこととなる。
【0004】
個人情報の管理が重視されつつある状況下で、とりわけ、ノート型モバイルコンピュータが廉価に普及してきた関係で、デスクトップと異なり、持ち運びによる盗難や紛失が発生しやすくなったことから、セキュリティ上の要請が高まっている。
【0005】
そして、シンクライアントシステムにおいては、主たるアプリケーションやファイル及びデータはサーバ側で管理されている。したがって、サーバ側のセキュリティ対策に重点が置かれてきた。そのため、サーバ側については、コンピュータの運用やセキィリティリスクに関してのスキルを持ち合わせたシステム管理者がその管理に従事することが多い。
【0006】
一方で、クライアント端末は端末利用者が管理しているケースも多く、むしろ、セキュリティ対策およびウイルス対策について必ずしも十分なスキルを持ち合わせているとは限らない一般ユーザーの使用が予定されている。そうすると、クライアント端末側については、セキュリティ対策やウイルス対策が十分とはいえないことが予想される。
【0007】
すなわち、ユーザー側のクライアント端末には、OSやメモリが搭載されている関係で、コンピュータウイルス等に感染して、意図されない不正な動作や破壊がなされるなど、正常な動作が損なわれるリスクに曝されている。さらに、サーバに対して不正なアクセスを試みるマルウェア等のソフトにクライアント端末が感染してしまった場合、管理サーバに対して意図しない通信を繰り返し試みたりすれば、それだけでネットワーク通信環境に遅延が生じ、正常動作が損なわれる虞れもある。さらに、クライアント端末が不正アクセスの侵入経路としての踏み台とされ、サーバ内のプログラムやデータ、ファイルなどを壊してしまう虞れもある。とはいえ、サーバ側と同レベルでのセキュリティ対策をユーザー側のクライアント端末にそのまま要求することは現実的手段とはなり得ない問題があった。
【0008】
そこでクライアント端末をネットワークを介してより簡便で安全にサーバと接続されたシンクライアントシステムの提供が望まれている。
【0009】
この点、従来のシンクライアントシステムでは、クライアント端末とサーバは、ネットワークを介して通信する際には、一般的にTCP/IPといった標準的なインターネットプロトコルによって通信しているところ、クライアント端末はサーバのIPアドレスを直接指定して接続している状況である。
【0010】
例えばマイクロソフト社のRDP(リモートデスクトッププロトコル)を用いたWindows(登録商標)のGUI画面を遠隔操作する画面情報転送プロトコルによるシンクライアントシステムでは、図6のようにアプリケーションを動作処理させるサーバとクライアント端末とは、RDP(リモートデスクトッププロトコル:Remote Desktop Protocol)によるデータプロトコルを用いてネットワークを介して通信されている。その際、クライアント端末上のRDPクライアントプログラムとサーバ上のRDPサーバ部とは、直接IPアドレスとTCPポートを指定してネットワークでの通信がやりとりされている。
【0011】
この点、サーバとクライアント端末との間の通信ネットワークの秘匿性を確保するべく、VPN(virtual private network,仮想私設網)を構築、利用する場合もある。しかしながら、VPN回線をネットワーク通信の途中で通路として利用しているだけであるから、RDPクライアントとRDPサーバといった画像情報転送プロトコルによるクライアントとサーバの通信自体は、図6と共通である。すなわち、クライアント端末とサーバのRDPクライアントプログラムからは、RDPサーバ部のIPアドレスとTCPポートが把握できる状態となっている。
【0012】
たとえば、図7に、VPNを利用した従来のシンクライアントシステムの構成図を示す。図6のシステムの構成図とは、VPNのトンネルを付加した点に違いがあるが、いわば専用のVPNトンネルを形成させたことで秘匿されるのは、トンネルを通過中の通信内容にすぎない。
【0013】
図8、図9に図7の構成によるシンクライアントシステムの起動から稼働までのシーケンス図を示す。サーバとクライアント端末間の通信開始時には、まず、クライアント端末内のPPTP(point-to-point tunneling protocol)通信ソフトによってPPTPサーバ部との間でVPN回線を確立する。VPN確立によりクライアント端末からサーバへのTCP/IP通信が可能となるので、次にクライアント端末のRDPクライアントプログラムがサーバのクライアントサーバプログラムへと通信を試みることとなる(シンクライアントシステムの起動動作)。その際、通信内容はVPNトンネル回線を通過して伝わるものの、Thin ClientクライアントのRDPクライアントプログラムが、Thin Clientサーバ内のRDPサーバに接続要求を試みる際には、図10に示すように、予めRDPクライアントプログラム側にRDPサーバのIPアドレスが伝えられており、その所与のRDPサーバのIPアドレスをもって接続開始要求をサーバに発しているのである。
【0014】
そして、次にクライアント端末側からサーバ側への接続要求では、サーバ側のアプリケーションプログラムのログイン動作に従い、認証手続きの画像情報をクライアント端末に転送表示させ、ユーザーの入力したパスワードとIDをクライアント端末のRDPクライアントを通じてサーバ側に送信、サーバ内の認証サーバで照合され、ログインが認証されると、ログイン成功をクライアント端末に伝えることで、クライアント端末−サーバ間のシンクライアントシステムが稼働可能となる(シンクラインアトシステム稼働)。以後は、クライアント端末側からの要求に応じて、サーバ側が一般的なアプリケーションプログラムによる動作処理やファイルの読出し書込みといった動作を順次処理しては、画像情報をクライアント端末側に同回線を使って転送処理することとなる。
【0015】
そこで、セキュリティを強固にするために、クライアント端末側から、サーバ側の内部情報に容易にはアクセスできないように、その具体的な所在を認識させない方法が望まれている。
【0016】
この点、クライアント装置とサーバ装置との間で安全な通信チャンネルを確立する方法として、特許文献1には、公開鍵、秘密鍵を使って、通信内容を秘匿化する方法が開示されている。これは、通信内容の秘匿性を高める手法であるから、IPアドレスの秘匿性とは別な次元である。
【0017】
【特許文献1】特開平11−331147号公報
【発明の開示】
【発明が解決しようとする課題】
【0018】
たしかに、従来のVPNを利用した図7、図8、図9に示す構成のシンクライアントシステムによれば、VPNのトンネルで通信内容を保護することができる。また、特許文献1に示すように、公開鍵や秘密鍵を用いるなどすれば、認証時の通信内容の秘匿性をさらに高めることができる。
【0019】
しかしながら、サーバ側のポートおよびIPアドレスは、基本的には固定開示されているので、RDPサーバに対してアタックなどの接続を試みる行為がなされることが容易に発生しうる。このアドレス情報が流出したからといって、直ちにクラックを試みられたからといって、瞬時に侵入されるほどに脆弱なものではないものの、ブルートフォースなどのアタックが繰り返されればそれだけネットワークに負荷がかかることとなり、システムの稼働にも支障を来す虞れがある。さらに、いくら管理者を置いていても、悪意でサーバ内のデータを読み出そうと試みられたり、侵入や破壊工作を試みられれば、これを長期にわたって完全に排除し続けることは容易ではない。そもそも、クライアント端末のセキュリティはユーザによる管理であれば必ずしも万全に管理されていないのである。したがって、クライアント端末側に侵入されてしまうことを完全に防ぐことは困難であると考えなければならず、そうなるとRDPサーバへの接続情報を第三者に少なからず看取されるリスクがある。この場合、正規のルートかのように成りすまして侵入するケース以外に、サーバへの接続情報をもとに、サーバへ直接に不正侵入やアタックを試みるといったことが考えられ、接続情報の漏洩は、サーバへのアタックの契機として、いらざるリスクを招く問題があった。
【0020】
そこで、本発明が解決しようとする課題は、クライアント端末から、ネットワークを介しての、サーバ内部のデータへの意図しない不正なアクセスを可及的に制限し、サーバ側のIPアドレスやポートをユーザに秘匿した形での、安定で安全なシンクライアントシステムの提供である。すなわち、シンクライアントシステムの稼働中以外には、ユーザーや、クライアント端末側に、画像転送方式のシンクライアントのRDPサーバ部への接続に関するアドレス情報やポート情報を看取できないようにした、秘匿性の高い接続方法および該方法を用いたシンクライアントシステムを提供することを目的とする。
【課題を解決するための手段】
【0021】
上記の課題を解決するための本発明の手段は、請求項1の発明では、アプリケーションプログラムを実行処理可能なサーバと、ネットワークを介して該サーバにアクセス可能なクライアント端末とを含む画像転送方式のシンクライアントシステムであって、該クライアント端末と該サーバ間にポートフォワーディング手段を配設したゲートウェイを有し、該クライアント端末からの該サーバへの接続開始要求毎に作成された該サーバへの接続ポート情報を含む接続情報に基づき、該クライアント端末からの終了動作があるまでの間のみ、該クライアント端末は上記の接続情報に基づいて該ゲートウェイによるポートフォワーディングにより該サーバと双方向通信をする手段を有することを特徴とする画像転送方式のシンクライアントシステムである。
【0022】
本発明にいうクライアント端末とは、ユーザー側が操作する端末であり、キーボード等の入力手段と画像表示出力手段を有する汎用コンピュータや携帯端末のことである。CPUやメモリなどの記憶手段を備え、シンクライアント用の通信プロトコルを処理するためのクライアントプログラムや、ポートフォワード用のクライアントプログラム、システムの制御用ソフトウェア、パスワードなどの接続情報を保持するためのメモリ、HDDやSSD等の記憶手段もしくUSBメモリなどの外部記憶手段を接続可能なデバイスを備えている程度のものであればよく、格段OSなどに制限はない。なお、クライアント端末は、シンクライアントシステムのクライアント端末として、サーバ側に各種アプリケーションの実行処理を任せるという本発明におけるクライアント端末としての使用方法に加えて、クライアント端末内に保持したユーザーデータやアプリケーションを実行させるといった一般的なPCと同様の使用法ができるようなものであってもよい。
【0023】
また、本発明にいうサーバとは、アプリケーションプログラムを全般的に動作処理しうるものであり、データやファイルを読出し書換え可能に保持する手段を備えており、クライアント端末からリモート的に操作可能となっている。
【0024】
ネットワークを介しての通信は、たとえば、TCP/IPといった標準的なインターネットプロトコルによる。もっとも、他のプロトコルを排斥するものではなく、コンピュータ間をネットワークにて通信できるプロトコルであれば、いずれでもよい。
【0025】
ポートフォワーディングとは、ここでは、クライアント端末からゲートウェイに向けて送信されたデータを、ゲートウェイとサーバの間に用意された通信経路を用いて特定ポートに送信するものであり、図5に示すように、クライアント端末上で知りうるIPアドレスは、サーバのIPアドレスとは異なっているので、IPアドレスがクライアント端末上からは秘匿されるようになっている。また、サーバ側からクライアント端末に向けて、逆のルートでのデータ送信が可能であるから、双方向通信しうるようになっている。その際、一般的なSSH(Secure Shell)セキュアシェルを用いて、暗号化と認証によってネットワーク上の通信はすべて暗号化されており、通信内容の秘匿性も確保されている。さらに、SSH上にVPNを構築し、これらを組みあわせることで、RDPクライアントからRDPサーバに対して、VPNトンネルによる仮想私設網を介してより安全に通信することも可能である。
【0026】
本発明におけるシンクライアントシステムでは、クライアント端末がサーバのIPアドレスを直接的に指定して通信するのではなく、ゲートウェイによってポートフォワーディングされることで、サーバに通信が転送される仕組みになっている。まず、クライアント端末はゲートウェイに対して接続開始要求を行い、この接続開始要求時に、毎回サーバに接続するための接続ポートを含む接続情報が作成される。すなわち、接続ポートは、毎回異なるポートが割り当てられるようになっており、クライアント端末とサーバ間の通信の終了動作までの毎回1回限りのポート番号である。接続開始時に作成された接続情報に従って、クライアント端末側から、ゲートウェイに向けて送信がなされると、ゲートウェイはこれをポートフォワーディング手段によってサーバに転送し、サーバは受信したクライアント側の指示に基づき、アプリケーションの動作を実行処理する。そして、サーバでのアプリケーションの実行処理結果は、画像転送情報として、ゲートウェイを介して逆ルートでクライアント端末へと送信される。このようにして、クライアント端末はいわばサーバをリモート操作するようにして、複雑な処理を簡易迅速に実行することができるようになっている。そして、クライアント端末の使用を止めるための終了動作がなされると、このポートフォワーディングによる転送経路は毎回消滅し、ポートが閉じられるようになっている。
【0027】
この終了動作は、クライアント端末側に設けられたシンクライアントシステム用のクライアント側の制御プログラムを通じて指令するようにしてもよく、制御プログラムの利用により、ユーザーは、シンクライアントシステムの利用を終了したいとき、クライアント端末に終了の命令を入力することで、終了動作を任意に開始させることができる。その他にも、制御プログラムやサーバとの通信プロトコルの運用によって、タイムアウト条件を設定することで終了動作を開始させてもよい。たとえば、クライアント端末側の画像信号が所定の時間変化せずに放置された場合にタイムアウト処理として、クライアント端末上の制御プログラムに終了動作を開始させることができる。また、画面の信号の変化のみでは、正常な静止画像表示中に終了動作を開始してしまうおそれがあるので、サーバ側で実行されたアプリケーションを画像転送表示するためのクライアント側ソフトウェアの稼働状況を制御プログラムによって監視し、クライアント端末とサーバの間でのシンクライアントによるリモート操作に関するプログラムが稼働していないと判断される場合にタイムアウト処理をすることで、適切に終了動作をできるようにしてもよい。この終了動作がなされるまでは、サーバとクライアント端末間はポートフォワーディング手段を用いて双方向通信しうる状態であるが、終了動作によって、該通信は終了し、遮断され、ポートは閉じられることとなる。この一連の動作を通じて、クライアント端末は、サーバ側のIPアドレスを知りうる機会がないので、IPアドレスを秘匿した通信が確保されていることとなる。
【発明の効果】
【0028】
本発明の請求項記載のシンクライアントシステムによると、ポートフォワーディングを用いて、クライアント端末にサーバのIPアドレスを秘匿して通信が可能であることから、ウイルス等の不正なソフトウェアによって、クライアント側の内部情報が漏洩、盗取された場合であっても、シンクライアントシステムのサーバ側のIPアドレスが簡易に知られてしまうことを防ぐことができる。
【0029】
また、ウイルス等の不正なソフトウェアが本シンクライアントシステムのネットワークを利用して、サーバに接続しようと試みた場合であっても、通信経路はクライアント端末の利用開始と同時に開かれ、かつ利用開始と同時に、同回線が正規のクライアント端末−サーバの通信に使用されることになるので、その間に第三者が他所から割り込んで成り済ますことは極めて難しい。また、クライアント端末の利用終了と同時にシンクライアントシステムの稼働が終了し、回線や接続ポートが閉じられて消滅するので、クライアント端末−サーバ間の回線未利用時を狙って侵入し利用することも回線が存在しない以上できない。したがって、不正なアタックや侵入の試みから、サーバのデータおよびファイルの安全性が従来よりもさらに高度に保たれることとなる。
【発明を実施するための最良の形態】
【0030】
本発明に係る実施の形態について、図1〜図5を参照しながら、説明する。
【0031】
なお、サーバ側で実行されたアプリケーションを画像転送表示するためのクライアント側ソフトウェアとしては、以下では、クライアント端末におけるマイクロソフト社のRDPクライアントを例に代表的に説明しているが、これに限らず、同機能に相当するものであってもよい。たとえば、他に知られた既存のソフトウェアとしては、シトリックス社のCitrix Presentation Server(旧称:Citrix MetaFrame Presentation Server)におけるPresentation Serverクライアント(旧称:ICAクライアント:Independent Computing Architecture クライアント)、オラクル社のNC(Network Computer)やサン・マイクロシステムズ社のJavaStationにおけるJVM(Java Virtual Machine(Javaは登録商標))、Sun Secure Global Desktop(旧称:Tarantella)におけるAIP(Adaptive Internet Protocol)クラアイント、サン・マイクロシステムズ社のSun RayにおけるSun Ray端末に搭載されたファームウェアなどである。
【0032】
これらのクライアント側ソフトウェアとネットワークを介してサーバが通信することで、ユーザーの要求に応じたアプリケーションプログラムの実行処理をサーバ側で実行し、処理結果の画像情報をクライアント端末側に表示させることとなる。
【0033】
ただし、実施の形態を明確に説明するため、画像転送方式のシンクライアントシステムによるクライアント側とサーバ側それぞれの動作処理プログラムを、各々、RDPクライアント、RDPサーバを代表的に例として示して以下に説明する。
【0034】
まず、本発明におけるシンクライアントシステムは、クライアント端末、ゲートウェイ、サーバがネットワークを介して接続されている。
【0035】
クライアント端末には、図1に示すように、たとえば、サーバ上のアプリケーションの画像転送表示をさせるためのクライアントプログラムとして、RDPクライアントと、ゲートウェイとのセキュリティ通信を行なうためのプログラムとして、SSHクライアントを有している。さらに、シンクライアントシステムをユーザーが簡易的確に実行処理するためのソフトウェアとして、クライアント端末側の制御プログラムとしての制御用ソフトウェアを有していることが望ましく、該制御用ソフトウェアがSSHクライアントへ接続認証を要求してポートフォワーディングを確立するために必要となる暗号化されたSSHクライアントおよびRDPクライアントに関する暗号済みファイルを備えていることが望ましい。
【0036】
ゲートウェイは、ポートフォワーディングのためのSSHサーバプログラムを有していおり、クライアント端末側のSSHクライアントプログラムと暗号化されて通信可能となっている。
【0037】
サーバは、クライアント端末側のRDPクライアントとの通信に用いるためのプログラムとしてRDPサーバを有しており、その他、ユーザーがサーバー上の資源を画像転送表示によってリモート操作できることで様々なプログラムを実行処理しうるように、必要なプログラムが適宜予めインストールされていることが望ましい。また、データやファイルを、ユーザーの要求に応じて、適宜読出し書換え可能な状態で保持されている。
【0038】
なお、図1に示すように、RDPクライアントとRDPサーバ間には、前記のクライアント端末内の制御プログラムによって、接続開始後にその都度VPNトンネルが構築されることが望ましく、これにより、さらに安全な通信環境を構築しうる。
【0039】
クライアント端末内の制御用ソフトは、同クライアント端末内のSSHクライアントを制御して、ゲートウェイ上のSSHサーバと通信を行うと、SSHサーバは、これをRDPサーバへとポートフォワーディングによる転送処理を行なう。これにより、あたかもRDPクライアントからRDPサーバに対して、VPNトンネルを介して安全に通信できるようになっており、ユーザーはクライアント端末から、サーバ上のプログラムを実行処理し、また、データやファイルにアクセスすることができる環境が提供される。
【0040】
この際、RDPクライアントはSSHクライアントが作成したTCPポートに対して通信を行うため、その宛先IPアドレスは図5に示すように、SSHクライアントと同一になる。すなわち、クライアント端末内からは、ポートフォワーディングされたRDPサーバのIPアドレスは把握できないようになっている。
【0041】
万が一、クライアント端末がウイルス等の不正ソフトに感染してしまった場合には、それらの不正ソフトのなかには、クライアント端末の通信の状態を監視して、そこから取得された情報を用いて不正アクセスを試みるものがある。
【0042】
ところが、本発明のシステムではそれらの不正ソフトがクライアント端末から得られる情報は、SSHクライアントのIPアドレスとRDP通信用のTCPポート番号だけである。したがって、仮に不正ソフトが別途独自にサーバに対して通信を試みようとしたとしても、それはサーバに対してのアクセスにはならない。そして、得られた情報に基づくアクセス先は、既にRDPクライアントが先に占有しているため、成りすましによって割り込むことは容易ではない。
【0043】
したがって、不正ソフトにはRDPサーバの情報を得ることはできないこととなる。また、そもそもRDP接続先のホスト名やTCPポート番号などの各種情報はクライアント端末中の記憶装置に暗号化済みファイルとして予め保存されてしており、不正ソフトはその暗号を解読しないかぎり、有用な情報として認識することができず、事実上、その情報に接することができない。
【0044】
他方、不正ソフトはゲートウェイのSSHサーバのIPアドレス情報を得ることはできるが、このSSHサーバへの接続に必要な認証情報(たとえばIDやパスワード等)はクライアント端末中の記憶装置に暗号化済みファイルとして保存されており、その暗号を解読しない限り不正ソフトでは、SSHサーバに対しての通信を確立することができない。
【0045】
次に、図2〜4のシーケンス図を用いながら、これらのクライアント端末とゲートウェイとサーバがシンクライアントシステムとしての協同して、ユーザーからのリモートコントロール環境を安全に実現している本発明のシンクライアントシステムの動作する様子を時系列的に順を追って説明する。
【0046】
まず、クライアント端末上の制御用ソフトウェアに対して、ユーザーが接続開始の要求を指示すると、図2の最下部左端に示すように、ユーザーはサーバ上で使用するOSのログイン認証画面を目にするまでの間、何も複雑な手順に関与する必要はない。本シンクライアントシステム内で、自動的にSSHによるポートフォワーディングとVPN回線が構築され、サーバとクライアント間での通信が実行可能に待機されるのである。
【0047】
具体的には、ユーザーの接続開始要求の指示を受けて、クライアント端末上の制御用ソフトウェアは、SSH接続情報を暗号化済みファイルにアクセス要求して、同ファイル内のSSH通信に関するファイルの暗号を解除し、SSH接続情報として、SSHユーザー名、パスプレーズ、RSA秘密キー、IPアドレス、TCPポートの情報を取得する。
【0048】
次いで、得られた接続情報は、接続開始要求情報として、制御プラグラムからSSHクライアントへと送られ、SSHクライアントはSSHサーバに対して、接続要求をする。ユーザー名が認証されると、RSA秘密キーとパスフレーズを送信し、SSH接続が成功すると、次にSSHクライアント側からポートフォワードするIP情報が示され、SSHサーバにポートフォワードオブジェクトが作成される。この設定に基づきRDPサーバへの通信の転送が実施されることとなり、ポートフォワードが確立される。また、SSHクライアントのlocalhostにもTCPポートが作成される。
【0049】
以上の手順でSSHによるポートフォワードが確立されると、クライアント端末内の制御プログラムにおいて、シンクライアント接続用定義ファイルが作成され、シンクライアントシステムが起動し、RDPクライアントとRDPサーバ間での通信が開始される。
【0050】
まず、SSHクライアントのlocalhostに宛てて接続要求がなされると、パケットが図5に示すように暗号化されるとともにカプセリングされて、SSHクライアントからSSHサーバへと転送される。SSHサーバはパケットの復号とカプセリングを解除後、パケットのヘッダー情報内のIPアドレスとTCPポート番号をRDPサーバ用に書き換えてポートフォワーディングによる転送を実施する。
【0051】
RDPサーバ側で処理された結果をクライアント端末で画像情報として出力しうるように、SSHサーバに送信され、同SSHサーバ上で再びパケットのヘッダが書換えられ、暗号化とカプセリングのうえで、SSHクライアントに向けて転送される。SSHクライアントにおいて、パケットを復号し、カプセリングを解除、これをRDPクライアントへ送信することで、シンクライアントの起動準備が整い、RDPクライアントはユーザーにOSのログイン認証画面を表示するのである。
【0052】
次に図3の手順を説明すると、図2のログイン認証画面をうけてOSへのユーザーのログイン指示がRDPクライアントからポートフォワーディング転送でRDPサーバまで伝えられ、認証サーバの認証によって、OSへのログイン動作が完了する。
【0053】
その後は、ユーザーがクライアント端末−サーバ間の通信を通じて、リモート操作によって種々のアプリケーションを実行処理し、データやファイルを読み出し書換えすることができる。これらのサーバの処理は、ポートフォワーディングの転送処理を踏みながら、RDPクライアントに画像情報として伝えられ、クライアント端末上に表示されることとなる。
【0054】
ユーザーによる操作指示は、RDPクライアントから、確立されたポートフォワーディングによってRDPサーバに伝わり、さらにサーバでのプログラムの動作処理が実行されることとなる。シンクライアントシステム稼働中は双方向にこれらの通信が安定的に繰り返されることとなる。
【0055】
そして、図4に示すとおり、シンクライアントシステムが稼働中は、クライアント端末上の制御用ソフトウェアは、RDPクライアントの動作状態を常時監視している。RDP通信が終了した場合には、ユーザーが制御プログラムを介して終了指示を出すことができる。加えて、制御プログラムが監視しているRDPクライアントの状態により、RDPクライアントが作業終了に伴って稼働していないことを関知した場合には、SSH接続の終了命令を出し、直ちにVPNトンネルを消滅させるようにすることが望ましい。これによって、セキュリティゲートウェイ及びRDPサーバへの通信が確実に停止される。また、稼働状態を監視しているので、単に画像信号の変化によってタイムアウトを設定する運用のようなご判断がなく、より適切なタイムアウトによる終了動作を自動的に実行しうるようになっている。
【図面の簡単な説明】
【0056】
【図1】本発明のシンクライアントシステムのシステム構成図である。
【図2】本発明のシンクライアントシステムの接続開始時のシーケンス図である。
【図3】本発明のシンクライアントシステムの稼働中のシーケンス図である。
【図4】本発明のシンクライアントシステムの終了動作時のシーケンス図である。
【図5】本発明のシンクライアントシステムにおける通信のIPアドレスの説明図である。
【図6】従来のシンクライアントシステムのシステム構成図である。
【図7】従来のVPNを用いたシンクライアントシステムにおけるシステムの構成図である。
【図8】従来のVPNを用いたシンクライアントシステムにおけるシーケンス図である。
【図9】従来のVPNを用いたシンクライアントシステムにおけるシーケンス図である。
【図10】従来のVPNを用いたシンクライアントシステムにおける通信のIPアドレスの説明図である。
【技術分野】
【0001】
本発明は、クライアント端末とサーバとがセキュリティ高くネットワークを介して通信可能な画像転送方式のシンクライアントシステムに関する。
【背景技術】
【0002】
シンクライアントシステムでは、ユーザーが使用するクライアント端末には必要最小限の入出力処理などをさせ、ファイルやデータの保持やアプリケーションプログラムの実行等のほとんどの処理をサーバ側に集中させることが可能となっている。これにより、処理負荷の重いアプリケーションを動作させるのに見合うだけの汎用コンピュータをクライアント端末として選択することは必然的な要請ではなくなり、クライアント端末側の機能を絞った低価格な機種選択の選択や、古い機能のクライアント端末の利用によって端末寿命が事実上延命できることとなった。また、データやファイル、アプリケーションソフト等の資源をサーバ側で一元管理することで、ソフトウェアを配布したりインベントリを管理するための管理・運用コスト(TCO)の削減に資するところにも利点がある。
【0003】
ところで、近年、高機能なノート型モバイルコンピュータの開発と価格低下に伴いその普及が進んでいる。すると、機能を絞ったシンクライアント端末による導入時のコスト的障壁が低くなった。そこで、シンクライアントの利点のうち、サーバ側での一元管理という利便性がセキュリティ上の観点からも着目されるようになってきた。すなわち、ファイルやデータの保持管理、アプリケーションの実行処理をサーバ側が担うので、シンクライアント端末には、大量な情報を保持せずともユーザーの作業を実行処理しうるため、万が一盗難にあっても、情報流出が最低限にとどめられる点がセキュリティ上の要請に適うこととなる。
【0004】
個人情報の管理が重視されつつある状況下で、とりわけ、ノート型モバイルコンピュータが廉価に普及してきた関係で、デスクトップと異なり、持ち運びによる盗難や紛失が発生しやすくなったことから、セキュリティ上の要請が高まっている。
【0005】
そして、シンクライアントシステムにおいては、主たるアプリケーションやファイル及びデータはサーバ側で管理されている。したがって、サーバ側のセキュリティ対策に重点が置かれてきた。そのため、サーバ側については、コンピュータの運用やセキィリティリスクに関してのスキルを持ち合わせたシステム管理者がその管理に従事することが多い。
【0006】
一方で、クライアント端末は端末利用者が管理しているケースも多く、むしろ、セキュリティ対策およびウイルス対策について必ずしも十分なスキルを持ち合わせているとは限らない一般ユーザーの使用が予定されている。そうすると、クライアント端末側については、セキュリティ対策やウイルス対策が十分とはいえないことが予想される。
【0007】
すなわち、ユーザー側のクライアント端末には、OSやメモリが搭載されている関係で、コンピュータウイルス等に感染して、意図されない不正な動作や破壊がなされるなど、正常な動作が損なわれるリスクに曝されている。さらに、サーバに対して不正なアクセスを試みるマルウェア等のソフトにクライアント端末が感染してしまった場合、管理サーバに対して意図しない通信を繰り返し試みたりすれば、それだけでネットワーク通信環境に遅延が生じ、正常動作が損なわれる虞れもある。さらに、クライアント端末が不正アクセスの侵入経路としての踏み台とされ、サーバ内のプログラムやデータ、ファイルなどを壊してしまう虞れもある。とはいえ、サーバ側と同レベルでのセキュリティ対策をユーザー側のクライアント端末にそのまま要求することは現実的手段とはなり得ない問題があった。
【0008】
そこでクライアント端末をネットワークを介してより簡便で安全にサーバと接続されたシンクライアントシステムの提供が望まれている。
【0009】
この点、従来のシンクライアントシステムでは、クライアント端末とサーバは、ネットワークを介して通信する際には、一般的にTCP/IPといった標準的なインターネットプロトコルによって通信しているところ、クライアント端末はサーバのIPアドレスを直接指定して接続している状況である。
【0010】
例えばマイクロソフト社のRDP(リモートデスクトッププロトコル)を用いたWindows(登録商標)のGUI画面を遠隔操作する画面情報転送プロトコルによるシンクライアントシステムでは、図6のようにアプリケーションを動作処理させるサーバとクライアント端末とは、RDP(リモートデスクトッププロトコル:Remote Desktop Protocol)によるデータプロトコルを用いてネットワークを介して通信されている。その際、クライアント端末上のRDPクライアントプログラムとサーバ上のRDPサーバ部とは、直接IPアドレスとTCPポートを指定してネットワークでの通信がやりとりされている。
【0011】
この点、サーバとクライアント端末との間の通信ネットワークの秘匿性を確保するべく、VPN(virtual private network,仮想私設網)を構築、利用する場合もある。しかしながら、VPN回線をネットワーク通信の途中で通路として利用しているだけであるから、RDPクライアントとRDPサーバといった画像情報転送プロトコルによるクライアントとサーバの通信自体は、図6と共通である。すなわち、クライアント端末とサーバのRDPクライアントプログラムからは、RDPサーバ部のIPアドレスとTCPポートが把握できる状態となっている。
【0012】
たとえば、図7に、VPNを利用した従来のシンクライアントシステムの構成図を示す。図6のシステムの構成図とは、VPNのトンネルを付加した点に違いがあるが、いわば専用のVPNトンネルを形成させたことで秘匿されるのは、トンネルを通過中の通信内容にすぎない。
【0013】
図8、図9に図7の構成によるシンクライアントシステムの起動から稼働までのシーケンス図を示す。サーバとクライアント端末間の通信開始時には、まず、クライアント端末内のPPTP(point-to-point tunneling protocol)通信ソフトによってPPTPサーバ部との間でVPN回線を確立する。VPN確立によりクライアント端末からサーバへのTCP/IP通信が可能となるので、次にクライアント端末のRDPクライアントプログラムがサーバのクライアントサーバプログラムへと通信を試みることとなる(シンクライアントシステムの起動動作)。その際、通信内容はVPNトンネル回線を通過して伝わるものの、Thin ClientクライアントのRDPクライアントプログラムが、Thin Clientサーバ内のRDPサーバに接続要求を試みる際には、図10に示すように、予めRDPクライアントプログラム側にRDPサーバのIPアドレスが伝えられており、その所与のRDPサーバのIPアドレスをもって接続開始要求をサーバに発しているのである。
【0014】
そして、次にクライアント端末側からサーバ側への接続要求では、サーバ側のアプリケーションプログラムのログイン動作に従い、認証手続きの画像情報をクライアント端末に転送表示させ、ユーザーの入力したパスワードとIDをクライアント端末のRDPクライアントを通じてサーバ側に送信、サーバ内の認証サーバで照合され、ログインが認証されると、ログイン成功をクライアント端末に伝えることで、クライアント端末−サーバ間のシンクライアントシステムが稼働可能となる(シンクラインアトシステム稼働)。以後は、クライアント端末側からの要求に応じて、サーバ側が一般的なアプリケーションプログラムによる動作処理やファイルの読出し書込みといった動作を順次処理しては、画像情報をクライアント端末側に同回線を使って転送処理することとなる。
【0015】
そこで、セキュリティを強固にするために、クライアント端末側から、サーバ側の内部情報に容易にはアクセスできないように、その具体的な所在を認識させない方法が望まれている。
【0016】
この点、クライアント装置とサーバ装置との間で安全な通信チャンネルを確立する方法として、特許文献1には、公開鍵、秘密鍵を使って、通信内容を秘匿化する方法が開示されている。これは、通信内容の秘匿性を高める手法であるから、IPアドレスの秘匿性とは別な次元である。
【0017】
【特許文献1】特開平11−331147号公報
【発明の開示】
【発明が解決しようとする課題】
【0018】
たしかに、従来のVPNを利用した図7、図8、図9に示す構成のシンクライアントシステムによれば、VPNのトンネルで通信内容を保護することができる。また、特許文献1に示すように、公開鍵や秘密鍵を用いるなどすれば、認証時の通信内容の秘匿性をさらに高めることができる。
【0019】
しかしながら、サーバ側のポートおよびIPアドレスは、基本的には固定開示されているので、RDPサーバに対してアタックなどの接続を試みる行為がなされることが容易に発生しうる。このアドレス情報が流出したからといって、直ちにクラックを試みられたからといって、瞬時に侵入されるほどに脆弱なものではないものの、ブルートフォースなどのアタックが繰り返されればそれだけネットワークに負荷がかかることとなり、システムの稼働にも支障を来す虞れがある。さらに、いくら管理者を置いていても、悪意でサーバ内のデータを読み出そうと試みられたり、侵入や破壊工作を試みられれば、これを長期にわたって完全に排除し続けることは容易ではない。そもそも、クライアント端末のセキュリティはユーザによる管理であれば必ずしも万全に管理されていないのである。したがって、クライアント端末側に侵入されてしまうことを完全に防ぐことは困難であると考えなければならず、そうなるとRDPサーバへの接続情報を第三者に少なからず看取されるリスクがある。この場合、正規のルートかのように成りすまして侵入するケース以外に、サーバへの接続情報をもとに、サーバへ直接に不正侵入やアタックを試みるといったことが考えられ、接続情報の漏洩は、サーバへのアタックの契機として、いらざるリスクを招く問題があった。
【0020】
そこで、本発明が解決しようとする課題は、クライアント端末から、ネットワークを介しての、サーバ内部のデータへの意図しない不正なアクセスを可及的に制限し、サーバ側のIPアドレスやポートをユーザに秘匿した形での、安定で安全なシンクライアントシステムの提供である。すなわち、シンクライアントシステムの稼働中以外には、ユーザーや、クライアント端末側に、画像転送方式のシンクライアントのRDPサーバ部への接続に関するアドレス情報やポート情報を看取できないようにした、秘匿性の高い接続方法および該方法を用いたシンクライアントシステムを提供することを目的とする。
【課題を解決するための手段】
【0021】
上記の課題を解決するための本発明の手段は、請求項1の発明では、アプリケーションプログラムを実行処理可能なサーバと、ネットワークを介して該サーバにアクセス可能なクライアント端末とを含む画像転送方式のシンクライアントシステムであって、該クライアント端末と該サーバ間にポートフォワーディング手段を配設したゲートウェイを有し、該クライアント端末からの該サーバへの接続開始要求毎に作成された該サーバへの接続ポート情報を含む接続情報に基づき、該クライアント端末からの終了動作があるまでの間のみ、該クライアント端末は上記の接続情報に基づいて該ゲートウェイによるポートフォワーディングにより該サーバと双方向通信をする手段を有することを特徴とする画像転送方式のシンクライアントシステムである。
【0022】
本発明にいうクライアント端末とは、ユーザー側が操作する端末であり、キーボード等の入力手段と画像表示出力手段を有する汎用コンピュータや携帯端末のことである。CPUやメモリなどの記憶手段を備え、シンクライアント用の通信プロトコルを処理するためのクライアントプログラムや、ポートフォワード用のクライアントプログラム、システムの制御用ソフトウェア、パスワードなどの接続情報を保持するためのメモリ、HDDやSSD等の記憶手段もしくUSBメモリなどの外部記憶手段を接続可能なデバイスを備えている程度のものであればよく、格段OSなどに制限はない。なお、クライアント端末は、シンクライアントシステムのクライアント端末として、サーバ側に各種アプリケーションの実行処理を任せるという本発明におけるクライアント端末としての使用方法に加えて、クライアント端末内に保持したユーザーデータやアプリケーションを実行させるといった一般的なPCと同様の使用法ができるようなものであってもよい。
【0023】
また、本発明にいうサーバとは、アプリケーションプログラムを全般的に動作処理しうるものであり、データやファイルを読出し書換え可能に保持する手段を備えており、クライアント端末からリモート的に操作可能となっている。
【0024】
ネットワークを介しての通信は、たとえば、TCP/IPといった標準的なインターネットプロトコルによる。もっとも、他のプロトコルを排斥するものではなく、コンピュータ間をネットワークにて通信できるプロトコルであれば、いずれでもよい。
【0025】
ポートフォワーディングとは、ここでは、クライアント端末からゲートウェイに向けて送信されたデータを、ゲートウェイとサーバの間に用意された通信経路を用いて特定ポートに送信するものであり、図5に示すように、クライアント端末上で知りうるIPアドレスは、サーバのIPアドレスとは異なっているので、IPアドレスがクライアント端末上からは秘匿されるようになっている。また、サーバ側からクライアント端末に向けて、逆のルートでのデータ送信が可能であるから、双方向通信しうるようになっている。その際、一般的なSSH(Secure Shell)セキュアシェルを用いて、暗号化と認証によってネットワーク上の通信はすべて暗号化されており、通信内容の秘匿性も確保されている。さらに、SSH上にVPNを構築し、これらを組みあわせることで、RDPクライアントからRDPサーバに対して、VPNトンネルによる仮想私設網を介してより安全に通信することも可能である。
【0026】
本発明におけるシンクライアントシステムでは、クライアント端末がサーバのIPアドレスを直接的に指定して通信するのではなく、ゲートウェイによってポートフォワーディングされることで、サーバに通信が転送される仕組みになっている。まず、クライアント端末はゲートウェイに対して接続開始要求を行い、この接続開始要求時に、毎回サーバに接続するための接続ポートを含む接続情報が作成される。すなわち、接続ポートは、毎回異なるポートが割り当てられるようになっており、クライアント端末とサーバ間の通信の終了動作までの毎回1回限りのポート番号である。接続開始時に作成された接続情報に従って、クライアント端末側から、ゲートウェイに向けて送信がなされると、ゲートウェイはこれをポートフォワーディング手段によってサーバに転送し、サーバは受信したクライアント側の指示に基づき、アプリケーションの動作を実行処理する。そして、サーバでのアプリケーションの実行処理結果は、画像転送情報として、ゲートウェイを介して逆ルートでクライアント端末へと送信される。このようにして、クライアント端末はいわばサーバをリモート操作するようにして、複雑な処理を簡易迅速に実行することができるようになっている。そして、クライアント端末の使用を止めるための終了動作がなされると、このポートフォワーディングによる転送経路は毎回消滅し、ポートが閉じられるようになっている。
【0027】
この終了動作は、クライアント端末側に設けられたシンクライアントシステム用のクライアント側の制御プログラムを通じて指令するようにしてもよく、制御プログラムの利用により、ユーザーは、シンクライアントシステムの利用を終了したいとき、クライアント端末に終了の命令を入力することで、終了動作を任意に開始させることができる。その他にも、制御プログラムやサーバとの通信プロトコルの運用によって、タイムアウト条件を設定することで終了動作を開始させてもよい。たとえば、クライアント端末側の画像信号が所定の時間変化せずに放置された場合にタイムアウト処理として、クライアント端末上の制御プログラムに終了動作を開始させることができる。また、画面の信号の変化のみでは、正常な静止画像表示中に終了動作を開始してしまうおそれがあるので、サーバ側で実行されたアプリケーションを画像転送表示するためのクライアント側ソフトウェアの稼働状況を制御プログラムによって監視し、クライアント端末とサーバの間でのシンクライアントによるリモート操作に関するプログラムが稼働していないと判断される場合にタイムアウト処理をすることで、適切に終了動作をできるようにしてもよい。この終了動作がなされるまでは、サーバとクライアント端末間はポートフォワーディング手段を用いて双方向通信しうる状態であるが、終了動作によって、該通信は終了し、遮断され、ポートは閉じられることとなる。この一連の動作を通じて、クライアント端末は、サーバ側のIPアドレスを知りうる機会がないので、IPアドレスを秘匿した通信が確保されていることとなる。
【発明の効果】
【0028】
本発明の請求項記載のシンクライアントシステムによると、ポートフォワーディングを用いて、クライアント端末にサーバのIPアドレスを秘匿して通信が可能であることから、ウイルス等の不正なソフトウェアによって、クライアント側の内部情報が漏洩、盗取された場合であっても、シンクライアントシステムのサーバ側のIPアドレスが簡易に知られてしまうことを防ぐことができる。
【0029】
また、ウイルス等の不正なソフトウェアが本シンクライアントシステムのネットワークを利用して、サーバに接続しようと試みた場合であっても、通信経路はクライアント端末の利用開始と同時に開かれ、かつ利用開始と同時に、同回線が正規のクライアント端末−サーバの通信に使用されることになるので、その間に第三者が他所から割り込んで成り済ますことは極めて難しい。また、クライアント端末の利用終了と同時にシンクライアントシステムの稼働が終了し、回線や接続ポートが閉じられて消滅するので、クライアント端末−サーバ間の回線未利用時を狙って侵入し利用することも回線が存在しない以上できない。したがって、不正なアタックや侵入の試みから、サーバのデータおよびファイルの安全性が従来よりもさらに高度に保たれることとなる。
【発明を実施するための最良の形態】
【0030】
本発明に係る実施の形態について、図1〜図5を参照しながら、説明する。
【0031】
なお、サーバ側で実行されたアプリケーションを画像転送表示するためのクライアント側ソフトウェアとしては、以下では、クライアント端末におけるマイクロソフト社のRDPクライアントを例に代表的に説明しているが、これに限らず、同機能に相当するものであってもよい。たとえば、他に知られた既存のソフトウェアとしては、シトリックス社のCitrix Presentation Server(旧称:Citrix MetaFrame Presentation Server)におけるPresentation Serverクライアント(旧称:ICAクライアント:Independent Computing Architecture クライアント)、オラクル社のNC(Network Computer)やサン・マイクロシステムズ社のJavaStationにおけるJVM(Java Virtual Machine(Javaは登録商標))、Sun Secure Global Desktop(旧称:Tarantella)におけるAIP(Adaptive Internet Protocol)クラアイント、サン・マイクロシステムズ社のSun RayにおけるSun Ray端末に搭載されたファームウェアなどである。
【0032】
これらのクライアント側ソフトウェアとネットワークを介してサーバが通信することで、ユーザーの要求に応じたアプリケーションプログラムの実行処理をサーバ側で実行し、処理結果の画像情報をクライアント端末側に表示させることとなる。
【0033】
ただし、実施の形態を明確に説明するため、画像転送方式のシンクライアントシステムによるクライアント側とサーバ側それぞれの動作処理プログラムを、各々、RDPクライアント、RDPサーバを代表的に例として示して以下に説明する。
【0034】
まず、本発明におけるシンクライアントシステムは、クライアント端末、ゲートウェイ、サーバがネットワークを介して接続されている。
【0035】
クライアント端末には、図1に示すように、たとえば、サーバ上のアプリケーションの画像転送表示をさせるためのクライアントプログラムとして、RDPクライアントと、ゲートウェイとのセキュリティ通信を行なうためのプログラムとして、SSHクライアントを有している。さらに、シンクライアントシステムをユーザーが簡易的確に実行処理するためのソフトウェアとして、クライアント端末側の制御プログラムとしての制御用ソフトウェアを有していることが望ましく、該制御用ソフトウェアがSSHクライアントへ接続認証を要求してポートフォワーディングを確立するために必要となる暗号化されたSSHクライアントおよびRDPクライアントに関する暗号済みファイルを備えていることが望ましい。
【0036】
ゲートウェイは、ポートフォワーディングのためのSSHサーバプログラムを有していおり、クライアント端末側のSSHクライアントプログラムと暗号化されて通信可能となっている。
【0037】
サーバは、クライアント端末側のRDPクライアントとの通信に用いるためのプログラムとしてRDPサーバを有しており、その他、ユーザーがサーバー上の資源を画像転送表示によってリモート操作できることで様々なプログラムを実行処理しうるように、必要なプログラムが適宜予めインストールされていることが望ましい。また、データやファイルを、ユーザーの要求に応じて、適宜読出し書換え可能な状態で保持されている。
【0038】
なお、図1に示すように、RDPクライアントとRDPサーバ間には、前記のクライアント端末内の制御プログラムによって、接続開始後にその都度VPNトンネルが構築されることが望ましく、これにより、さらに安全な通信環境を構築しうる。
【0039】
クライアント端末内の制御用ソフトは、同クライアント端末内のSSHクライアントを制御して、ゲートウェイ上のSSHサーバと通信を行うと、SSHサーバは、これをRDPサーバへとポートフォワーディングによる転送処理を行なう。これにより、あたかもRDPクライアントからRDPサーバに対して、VPNトンネルを介して安全に通信できるようになっており、ユーザーはクライアント端末から、サーバ上のプログラムを実行処理し、また、データやファイルにアクセスすることができる環境が提供される。
【0040】
この際、RDPクライアントはSSHクライアントが作成したTCPポートに対して通信を行うため、その宛先IPアドレスは図5に示すように、SSHクライアントと同一になる。すなわち、クライアント端末内からは、ポートフォワーディングされたRDPサーバのIPアドレスは把握できないようになっている。
【0041】
万が一、クライアント端末がウイルス等の不正ソフトに感染してしまった場合には、それらの不正ソフトのなかには、クライアント端末の通信の状態を監視して、そこから取得された情報を用いて不正アクセスを試みるものがある。
【0042】
ところが、本発明のシステムではそれらの不正ソフトがクライアント端末から得られる情報は、SSHクライアントのIPアドレスとRDP通信用のTCPポート番号だけである。したがって、仮に不正ソフトが別途独自にサーバに対して通信を試みようとしたとしても、それはサーバに対してのアクセスにはならない。そして、得られた情報に基づくアクセス先は、既にRDPクライアントが先に占有しているため、成りすましによって割り込むことは容易ではない。
【0043】
したがって、不正ソフトにはRDPサーバの情報を得ることはできないこととなる。また、そもそもRDP接続先のホスト名やTCPポート番号などの各種情報はクライアント端末中の記憶装置に暗号化済みファイルとして予め保存されてしており、不正ソフトはその暗号を解読しないかぎり、有用な情報として認識することができず、事実上、その情報に接することができない。
【0044】
他方、不正ソフトはゲートウェイのSSHサーバのIPアドレス情報を得ることはできるが、このSSHサーバへの接続に必要な認証情報(たとえばIDやパスワード等)はクライアント端末中の記憶装置に暗号化済みファイルとして保存されており、その暗号を解読しない限り不正ソフトでは、SSHサーバに対しての通信を確立することができない。
【0045】
次に、図2〜4のシーケンス図を用いながら、これらのクライアント端末とゲートウェイとサーバがシンクライアントシステムとしての協同して、ユーザーからのリモートコントロール環境を安全に実現している本発明のシンクライアントシステムの動作する様子を時系列的に順を追って説明する。
【0046】
まず、クライアント端末上の制御用ソフトウェアに対して、ユーザーが接続開始の要求を指示すると、図2の最下部左端に示すように、ユーザーはサーバ上で使用するOSのログイン認証画面を目にするまでの間、何も複雑な手順に関与する必要はない。本シンクライアントシステム内で、自動的にSSHによるポートフォワーディングとVPN回線が構築され、サーバとクライアント間での通信が実行可能に待機されるのである。
【0047】
具体的には、ユーザーの接続開始要求の指示を受けて、クライアント端末上の制御用ソフトウェアは、SSH接続情報を暗号化済みファイルにアクセス要求して、同ファイル内のSSH通信に関するファイルの暗号を解除し、SSH接続情報として、SSHユーザー名、パスプレーズ、RSA秘密キー、IPアドレス、TCPポートの情報を取得する。
【0048】
次いで、得られた接続情報は、接続開始要求情報として、制御プラグラムからSSHクライアントへと送られ、SSHクライアントはSSHサーバに対して、接続要求をする。ユーザー名が認証されると、RSA秘密キーとパスフレーズを送信し、SSH接続が成功すると、次にSSHクライアント側からポートフォワードするIP情報が示され、SSHサーバにポートフォワードオブジェクトが作成される。この設定に基づきRDPサーバへの通信の転送が実施されることとなり、ポートフォワードが確立される。また、SSHクライアントのlocalhostにもTCPポートが作成される。
【0049】
以上の手順でSSHによるポートフォワードが確立されると、クライアント端末内の制御プログラムにおいて、シンクライアント接続用定義ファイルが作成され、シンクライアントシステムが起動し、RDPクライアントとRDPサーバ間での通信が開始される。
【0050】
まず、SSHクライアントのlocalhostに宛てて接続要求がなされると、パケットが図5に示すように暗号化されるとともにカプセリングされて、SSHクライアントからSSHサーバへと転送される。SSHサーバはパケットの復号とカプセリングを解除後、パケットのヘッダー情報内のIPアドレスとTCPポート番号をRDPサーバ用に書き換えてポートフォワーディングによる転送を実施する。
【0051】
RDPサーバ側で処理された結果をクライアント端末で画像情報として出力しうるように、SSHサーバに送信され、同SSHサーバ上で再びパケットのヘッダが書換えられ、暗号化とカプセリングのうえで、SSHクライアントに向けて転送される。SSHクライアントにおいて、パケットを復号し、カプセリングを解除、これをRDPクライアントへ送信することで、シンクライアントの起動準備が整い、RDPクライアントはユーザーにOSのログイン認証画面を表示するのである。
【0052】
次に図3の手順を説明すると、図2のログイン認証画面をうけてOSへのユーザーのログイン指示がRDPクライアントからポートフォワーディング転送でRDPサーバまで伝えられ、認証サーバの認証によって、OSへのログイン動作が完了する。
【0053】
その後は、ユーザーがクライアント端末−サーバ間の通信を通じて、リモート操作によって種々のアプリケーションを実行処理し、データやファイルを読み出し書換えすることができる。これらのサーバの処理は、ポートフォワーディングの転送処理を踏みながら、RDPクライアントに画像情報として伝えられ、クライアント端末上に表示されることとなる。
【0054】
ユーザーによる操作指示は、RDPクライアントから、確立されたポートフォワーディングによってRDPサーバに伝わり、さらにサーバでのプログラムの動作処理が実行されることとなる。シンクライアントシステム稼働中は双方向にこれらの通信が安定的に繰り返されることとなる。
【0055】
そして、図4に示すとおり、シンクライアントシステムが稼働中は、クライアント端末上の制御用ソフトウェアは、RDPクライアントの動作状態を常時監視している。RDP通信が終了した場合には、ユーザーが制御プログラムを介して終了指示を出すことができる。加えて、制御プログラムが監視しているRDPクライアントの状態により、RDPクライアントが作業終了に伴って稼働していないことを関知した場合には、SSH接続の終了命令を出し、直ちにVPNトンネルを消滅させるようにすることが望ましい。これによって、セキュリティゲートウェイ及びRDPサーバへの通信が確実に停止される。また、稼働状態を監視しているので、単に画像信号の変化によってタイムアウトを設定する運用のようなご判断がなく、より適切なタイムアウトによる終了動作を自動的に実行しうるようになっている。
【図面の簡単な説明】
【0056】
【図1】本発明のシンクライアントシステムのシステム構成図である。
【図2】本発明のシンクライアントシステムの接続開始時のシーケンス図である。
【図3】本発明のシンクライアントシステムの稼働中のシーケンス図である。
【図4】本発明のシンクライアントシステムの終了動作時のシーケンス図である。
【図5】本発明のシンクライアントシステムにおける通信のIPアドレスの説明図である。
【図6】従来のシンクライアントシステムのシステム構成図である。
【図7】従来のVPNを用いたシンクライアントシステムにおけるシステムの構成図である。
【図8】従来のVPNを用いたシンクライアントシステムにおけるシーケンス図である。
【図9】従来のVPNを用いたシンクライアントシステムにおけるシーケンス図である。
【図10】従来のVPNを用いたシンクライアントシステムにおける通信のIPアドレスの説明図である。
【特許請求の範囲】
【請求項1】
アプリケーションプログラムを実行処理可能なサーバと、ネットワークを介して該サーバにアクセス可能なクライアント端末とを含む画像転送方式のシンクライアントシステムであって、
該クライアント端末と該サーバ間にポートフォワーディング手段を配設したゲートウェイを有し、
該クライアント端末からの該サーバへの接続開始要求毎に作成された該サーバへの接続ポート情報を含む接続情報に基づき、該クライアント端末からの終了動作があるまでの間のみ、該クライアント端末は上記の接続情報に基づいて該ゲートウェイによるポートフォワーディングにより該サーバと双方向通信をする手段を有することを特徴とする画像転送方式のシンクライアントシステム。
【請求項1】
アプリケーションプログラムを実行処理可能なサーバと、ネットワークを介して該サーバにアクセス可能なクライアント端末とを含む画像転送方式のシンクライアントシステムであって、
該クライアント端末と該サーバ間にポートフォワーディング手段を配設したゲートウェイを有し、
該クライアント端末からの該サーバへの接続開始要求毎に作成された該サーバへの接続ポート情報を含む接続情報に基づき、該クライアント端末からの終了動作があるまでの間のみ、該クライアント端末は上記の接続情報に基づいて該ゲートウェイによるポートフォワーディングにより該サーバと双方向通信をする手段を有することを特徴とする画像転送方式のシンクライアントシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2010−109955(P2010−109955A)
【公開日】平成22年5月13日(2010.5.13)
【国際特許分類】
【出願番号】特願2008−282627(P2008−282627)
【出願日】平成20年10月31日(2008.10.31)
【出願人】(508327755)株式会社デジポリス (1)
【出願人】(508293070)株式会社ネクスト (1)
【Fターム(参考)】
【公開日】平成22年5月13日(2010.5.13)
【国際特許分類】
【出願日】平成20年10月31日(2008.10.31)
【出願人】(508327755)株式会社デジポリス (1)
【出願人】(508293070)株式会社ネクスト (1)
【Fターム(参考)】
[ Back to top ]