シンクライアント接続装置
【課題】 本発明においては、パソコンの有するキーボードなどの入力装置とスクリーンなどの表示装置を利用して、いずれのパソコンからもネットワークを介してシンクライアントサーバに接続可能となり、シンクライアント端末を構成できるポータブル化されたシンクライアントシステム装置を提供することを課題とする。
【解決手段】 少なくとも入力操作装置およびスクリーンを有する端末装置を利用してシンクライアントサーバとの接続をネットワークにより確立するシンクライアント接続装置において、シンクライアント用仮想アプリケーションと、前記接続装置の利用者を特定する本人認証手段とを含み、前記シンクライアント用仮想アプリケーションは前記端末装置を利用してシンクライアントサーバとの接続を確立し、前記端末装置の入力操作装置とスクリーンを利用して前記シンクライアントサーバと前記端末装置との間で演算、処理または記憶操作指示を行うことを特徴とする装置。
【解決手段】 少なくとも入力操作装置およびスクリーンを有する端末装置を利用してシンクライアントサーバとの接続をネットワークにより確立するシンクライアント接続装置において、シンクライアント用仮想アプリケーションと、前記接続装置の利用者を特定する本人認証手段とを含み、前記シンクライアント用仮想アプリケーションは前記端末装置を利用してシンクライアントサーバとの接続を確立し、前記端末装置の入力操作装置とスクリーンを利用して前記シンクライアントサーバと前記端末装置との間で演算、処理または記憶操作指示を行うことを特徴とする装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、パーソナルコンピュータ(Personal Computer、パソコンまたはPC)などのシンクライアントシステムに関連し、特にシンクライアントコンピュータにおける端末の最小化、小型化とセキュリティ向上およびポータブル化を意図したシンクライアントシステム接続装置およびシンクライアントシステムに関する。
【背景技術】
【0002】
現在通常のパソコン(パーソナルコンピュータまたはPC)は表示モニター、演算CPU(Central Processing Unit)、記憶装置、入力装置などの基本要素をすべて内包し、アプリケーションソフトウェアをそれぞれのパソコンのOS(Operating System)上にインストールして使用する。シンクライアントシステムにおいては従来のパソコンに比してデータを記録するハードディスクを内臓せず、端末自身で演算処理と情報記憶を行わない。これらの演算・記憶処理はLAN(Local Area Network)、WAN(Wide Area Network)などのネットワークで接続されたシンクライアントサーバ側で行われる。
【0003】
シンクライアントシステムにおいては、端末側からの入力操作に応じて操作処理指示がネットワークを介してサーバ側伝えられ、サーバ側で実行・処理される。実行処理状況はネットワークを介して端末装置のスクリーン上に表示される。このため、シンクライアント端末側では基本的にキーボードやマウスなどの入力操作部とスクリーン表示部とにより構成され小型・軽量・安価な端末装置が可能となる特徴を有している。
【0004】
シンクライアントシステムは記憶ハードディスク装置、演算CPU,アプリケーションソフトウェアなどを統合管理環境システムとしてサーバ側において管理しているため、シンクライアントシステムの活用はトータルコスト削減、セキュリティの向上、環境変化に柔軟に対応できる可用性(アジリティ)の向上などがメリットとして謳われている。
【0005】
パソコンから機密情報や個人情報が漏洩する問題が深刻なものとなり、これに対応するのにパソコンのセキュリティ、ウイルス対策が種々講じられているものの根本的な解決になっていない。そこで機密情報を扱う会社、部署、取扱者はシンクライアントシステム導入による情報セキュリティ対策を効果的な手段として検討されてきた。
【0006】
しかしながら、シンクライアントシステムではサーバ側に処理演算が集中するため、シンクライアントサーバ側の負荷、CPU性能などの問題、システム運用上の問題などがあり、またネットワーク回線を利用するため回線の処理スピードの問題やネットワークでのセキュリティ確保の問題などがあった。
【0007】
近年これらのCPUの性能が向上し、ネットワーク回線スピードも大幅に向上し、シンクライアント構築環境が整備されると共に、機密情報や個人情報漏洩に優れたセキュリティを有するシステムが求められるようになり端末装置に記憶装置を持たないシンクライアント端末が普及し始めている。
【0008】
一般的に、これらシンクライアント端末では専用のシンクライアントサーバ側でアプリケーションソフトを具備するように構成できるため、端末側では入力操作部(キーボード)と画面表示部(スクリーン)さえあればシンクライアントサーバ接続に必要な接続アプリ・設定情報とネットワーク環境を利用してシンクライアントシステムが構築可能となる。
【0009】
シンクライアント専用端末を構築し、その専用端末に利用者の認証を求め、その利用者の利用可能なサービスに接続するシンクライアント端末装置や特定のソフトウェア、特定の利用目的に応じたシンクライアント端末は種々提案されている(特開2001−282747など)。
【0010】
しかしながら、シンクライアント専用サーバと接続するためにその端末装置においてはシンクライアント専用端末からアクセスするか、シンクライアント専用のソフトをパソコンにインストールする必要があり、いつでも、どこからでもシンクライアント専用サーバにアクセスすることは困難であった。
【0011】
パソコンが遍く普及した現在、キーボードとスクリーンは従来のパソコンを利用してシンクライアントシステムが構築できればシンクライアント端末をより小型化し、利便性の高いポータブル化されたシンクライアント端末を構築することが可能となる。つまり、シンクライアント接続ソフトウェアのみでシンクライアントサーバとの接続が可能であれば、キーボード・マウスなどの入出力装置とディスプレイなどの表示装置は従来のパソコンを用いてシンクライアントシステムとなる。
【特許文献1】特開2001−282747号公報
【発明の開示】
【発明が解決しようとする課題】
【0012】
本発明においては、パソコンの有するキーボードなどの入力装置とスクリーンなどの表示装置を利用して、いずれのパソコンからもネットワークを介してシンクライアントサーバに接続可能となり、シンクライアント端末を構成できるポータブル化されたシンクライアントシステム装置を提供することを課題とする。
【0013】
また、本発明においては、ポータブル化されたシンクライアント接続ツールを提供しながら生体認証による利用者のアクセス制限、操作・利用後のデータ消去、利用するパソコンへのアクセス制限などセキュリティに配慮したシンクライアントシステム装置を提供することを課題とする。
【課題を解決するための手段】
【0014】
上記目的を達成するため、請求項1に記載の発明は、少なくとも入力操作装置およびスクリーンを有する端末装置を利用してシンクライアントサーバとの接続をネットワークにより確立するシンクライアント接続装置において、シンクライアント用仮想アプリケーションと、前記接続装置の利用者を特定する本人認証手段とを含み、前記シンクライアント用仮想アプリケーションは前記端末装置を利用してシンクライアントサーバとの接続を確立し、前記端末装置の入力操作装置とスクリーンを利用して前記シンクライアントサーバと前記端末装置との間で演算、処理または記憶操作指示を行うことを特徴とする。
【0015】
また、請求項2に記載の発明は、請求項1に記載のシンクライアント接続装置において、前記端末装置は通信手段を含んでおり、前記シンクライアントサーバへの接続には前記端末装置の通信手段が利用されることを特徴とする。
【0016】
請求項1および請求項2に記載の発明によれば、シンクライアント接続装置は、シンクライアントサーバと端末装置とを接続するシンクライアント用仮想アプリケーションが実装されている。そのシンクライアント用仮想アプリケーションを起動することにより、端末装置の通信手段を利用してシンクライアントサーバとの間でネットワーク接続を確立する。端末装置とシンクライアントサーバ間の接続が確立すれば、端末装置のキーボードおよびスクリーンの入力操作、画像出力表示によりシンクライアントシステム環境を構築する。多くのパソコンはスクリーン、キーボード、OSを具備しており、これらのパソコンにこの接続装置を装着することでシンクライアントサーバとの接続が可能となる。
【0017】
請求項3に記載の発明は、請求項1に記載のシンクライアント接続装置において、前記本人認証の登録情報を含むユーザ情報および設定情報が保存されることを特徴とする。
【0018】
また、請求項4に記載の発明は、請求項1に記載のシンクライアント接続装置において、前記端末装置による操作終了と共に操作データおよびログが消去または削除されることを特徴とする。
【0019】
また、請求項5に記載の発明は、請求項1に記載のシンクライアント接続装置において、前記端末装置に前記接続装置を装着することによりユーザ情報を要求し、該ユーザ情報によりユーザが認証されるとシンクライアントサーバの接続が確立されることを特徴とする。
【0020】
請求項3から請求項5に記載の発明によれば、シンクライアント接続装置は、本人認証、パスワードなどのユーザ情報や設定情報が格納されており、本人認証照合やパスワード照合を行いうる構成となっている。また、シンクライアント操作終了により転送された操作データおよびログ情報が消去されるため端末装置側に操作データ、ログが残されることはない。さらに、接続装置を装着した時点で本人認証照合が実行されるとシンクライアントサーバへの接続が確立される構成を構築できる。したがって、本発明のシンクライアント接続装置は予め認証登録を行っている許諾者、登録ユーザのみの利用に制限され、操作終了による操作データおよびログが消去されるため、一切の操作データや記録ログが端末装置および接続装置に残されない構成とすることができる。
【発明の効果】
【0021】
本発明によるシンクライアント接続装置によれば、スクリーンおよびキーボードなどの入力操作装置を有する端末装置とシンクライアントサーバとを接続しシンクライアントシステム環境を構築することが出来る。多くのパソコンはスクリーン、キーボード、通信手段を具備しており、これらのパソコンにこの接続装置を装着すればシンクライアントサーバとの接続が可能となる。したがって、シンクライアント接続装置はスクリーン、キーボードなどを有することなく、小型で、ポータブルなシンクライアント接続ツールを構成することができる効果がある。
【0022】
また、本発明によるシンクライアント接続装置は、上述のとおり本人認証照合やパスワード照合が可能である。また、シンクライアント操作終了時点で転送された操作データおよびログ情報が消去されるため端末装置側で操作データ、ログが残されることはない。したがって、本発明のシンクライアント接続装置の正当に認証されたユーザのみがアクセス可能であり、不正使用や登録者以外の利用は制限される。また、操作終了時点で操作データおよびログが消去されるため、一切の操作データや記録ログが端末装置および接続装置に残されない構成とすることができるため、極めてセキュリティの高いシンクライアント接続装置を提供できる。
【0023】
さらに、シンクライアント接続装置を装着した時点で本人認証照合が実行されるとシンクライアントサーバへの接続が確立される構成を構築できるため、より利便性の高いシンクライアント接続装置となる。
【0024】
以上詳述したように、本発明によるシンクライアント接続装置は小型で、ポータブルなツールを構築でき、多く用いられている普遍的なパソコン端末を利用して汎用性のある、セキュリティに優れたシンクライアント環境を簡便に構築することが可能となるため、従来専用のシンクライアント端末を用いるか、専用のシンクライアントソフトをインストールした端末からしかアクセスできなかったシンクライアント環境を、本発明による接続装置を携帯するだけで、いつでも、どこでもインターネットなどの通信環境を有するパソコンがあればそのパソコン端末装置を経由してシンクライアントシステム環境を簡便に構築することが出来る。
【発明を実施するための最良の形態】
【0025】
以下図面を参照して本発明の実施形態に係るシンクライアント接続装置について説明する。図1はシンクライアントシステムの全体構成を示す説明図である。シンクライアントサーバ装置10とシンクライアント端末装置群20とはネットワーク30により接続され、基本的に演算処理と情報・データ記憶は端末で行わず、シンクライアントサーバ側で処理される。実装方式としては種々提案されているが本発明においては画像転送方式と称される方式を例として説明する。
【0026】
シンクライアントシステムの画像転送方式として広く採用されているサーバベースド・コンピューティング方式(以下SBC方式)ではシンクライアントサーバ101、102の演算処理用CPU、メモリーおよび情報・データ記憶装置用HDDなどが統括管理され資源を共有している。また、各種アプリケーション111、112もサーバ側に備えている。複数のシンクライアント端末120はネットワーク30を経由してシンクライアントサーバ側装置10と接続されている。基本的に、サーバと端末120とは1:nで多数の端末がサーバを共有し、マルチユーザ環境が構成されている。
【0027】
システムの構築によって1つのシンクライアントサーバには複数のアプリケーションソフトを混在させてもよいが、数種類のアプリを同時に起動し、利用することはアプリケーション間のコンフリクトが生じる可能性があり、アプリケーション毎にサーバを別々に用意するほうが好ましい。
【0028】
また、SBCでは複数の端末がCPUやメモリーを共有するため、アクセスが集中したときなどの負荷に耐えられる構成とする必要があり、システムとして負荷分散を行う必要がある。負荷分散サーバ104は各サーバのリソース(ユーザセッション、CPUの利用率、メモリーの使用率など)の使用状況を把握しセッション処理する最適のシンクライアントサーバに割り当てるように構成されている。またネットワーク中には信号を分岐するルータ105が必要に応じて備えられている。
【0029】
シンクライアントシステムのネットワークにおいては操作上画面転送が途切れなくスムースに行われることが要求されるため、利用者の回線利用率を考慮して、画面転送のリアルタイム性確保と転送帯域を確保する必要がある。通信のリアルタイム性を確保する手段として画面転送プロトコル(RDPなど)に特定の帯域を確保し、転送レスポンスを保証する転送帯域制御装置130を必要に応じてネットワーク中に設けてもよい。
【0030】
シンクライアントパソコン端末120はシンクライアントサーバ装置10に接続してシンクライアント環境を構築するためにシンクライアントソフトを実装しており、特定のシンクライアントサーバに接続し特定のアプリソフトを起動し画面転送により端末装置のスクリーン上に表示し、端末装置のキーボードやマウスなどの入力装置により信号入力し端末とシンクライアントサーバとの間で演算、命令処理、記憶の操作指示などを行う。
【0031】
また、端末装置群20にはネットワーク30にルータ105を介して通常のパソコン(シンクライアントソフトがインストールされていない)端末150が接続されている。このシンクライアント非対応のパソコン端末150に本発明によるシンクライアント接続ツール140を装着することによりシンクライアント環境が構築できる。
【0032】
図2はシンクライアントパソコン端末120の機能を説明する説明図である。一般的に、ユーザが利用するシンクライアント端末120は必要最小限の機能として表示部(ディスプレイ、スクリーン)121、入力操作部(キーボードなど)122、およびネットワークとの通信部123を備えているが、それに加えてシンクライアントシステムとして構築するために、シンクライアントサーバに接続し、起動させるためのシンクライアントアプリケーション124が必要となる。このシンクライアントアプリケーションを予め通常のパソコンにインストールしておけばそのパソコンはシンクライアントサーバに接続し、起動させるのでシンクライアント端末装置として稼動する。
【0033】
シンクライアントパソコン端末120では入力操作部(キーボードなど)122により入力された操作入力命令信号が上り信号としてネットワークを介してサーバに指示を与える。サーバ側ではシンクライアント端末の認証を行い、認証が確認されれば、必要なアプリケーションを起動したり、演算・命令処理を実行し、サーバの画面情報を下り信号として端末に送信する。端末の表示部121にはサーバの演算・処理結果がビットマップ情報として転送される。つまり、端末上では入力操作による操作信号をサーバに送られ、サーバから転送された画面情報を表示しているだけで、端末でアプリケーションソフトが稼動して表示されるものでない。
【0034】
シンクライアント専用端末120ではデータ記憶用の記憶装置(HDDなど)を持たないので、これら転送された画面情報が記憶されず、情報データの蓄積・格納はサーバ側の記憶装置で行われる。これによりシンクライアントシステムではファイルがサーバ以外に形成されず、サーバ側ですべてのファイル、演算命令処理、記憶処理が実行される。また、原則的に端末側でこれらファイルのコピー処理が行われることは無いように構成されている。
【0035】
シンクライアントシステムにおけるネットワークはインターネット、社内イントラネット、LAN、WAN、電話回線、有線、ブルートゥース、VPN(Virtual Private Network)などいずれの回線でも可能であるが、常にネットワークを介して操作・指示データをアップロードし、画面情報をリアルタイムにダウンロードする必要がある。
【0036】
シンクライアント専用の端末120の場合、シンクライアントアプリケーション124をインストールしており、常にシンクライアント環境によるパソコン操作が可能であるが、本発明では図1における可搬性シンクライアント接続ツール140によりシンクライアント環境条件を備えていない通常のパソコン(シンクライアント非対応パソコン)150においてもシンクライアント環境を構築できる。
【0037】
本発明によるシンクライアント接続ツール140は利用者を特定するPIN番号やパスワードまたは生体認証手段、およびシンクライアントアプリケーションを内臓し、USB(Universal Serial Bus)、ICカードなどの可搬性メモリーに収められている。
【0038】
インターネットなどのネットワーク回線が利用できる通常のパソコン(シンクライアント非対応)端末150にシンクライアント接続ツール140を装着する。あらかじめ登録してある利用者のパスワードまたは生体認証(例えば指紋認証など)の照合を行い、利用可能者であると確認されれば、接続ツールに内臓されたシンクライアントアプリケーションにより、端末装置のネットワーク接続を働かせ、シンクライアントサーバを起動し、通常のパソコン端末を利用してシンクライアントシステムでの操作を可能とする。
【0039】
シンクライアントシステム環境ではシンクライアントサーバに接続可能なシンクライアント端末は特定されており、予め登録した暗証番号、パスワードまたは機器識別子によりユーザが特定されると共にユーザが利用できる機能やアプリケーションソフトウェアなどが特定または制限できるように設定することができる。従ってシンクライアント接続ツール140に格納する生体認証照合データまたは暗証番号などをシンクライアントサーバのアクセスコードや暗証番号などと共通化してもよい。
【0040】
この際使用するパソコン端末150は、入力操作部(キーボードなど)、表示部(ディスプレイなど)、およびインターネット回線接続のみを利用し、最低限の設定情報をTEMPファイルやキャッシュなどに書き込むが、パソコン内のレジストリ、ハードディスクなどのメモリー類、アプリケーションソフト、ファイル類には一切関与しない。
【0041】
シンクライアントシステムが確立し、操作が可能となれば利用者はその特定利用者に許可されたシンクライアントサーバ上にある特定アプリケーションソフトおよびファイルを操作し、演算、命令処理し、サーバ側にあるHDDなどの記憶装置に処理結果を格納・蓄積することができる。ここで重要な点はパソコン端末に転送される画面はパソコン端末内のOS、レジストリ、ファイルには一切無関係であり、全てサーバ内で処理が行われることである。
【0042】
パソコン端末からの操作が完了するとシンクライアント接続ツールに記録された利用者の本人認証情報は全て削除・消去され接続ツールおよびパソコン端末には一切のデータ・情報が記録されない。また、端末装置上に一時的に書き込まれた設定情報も接続ツールに戻されて端末装置側にはいかなるデータ、ログも残されることはない。
【0043】
図3は本発明のシンクライアント接続ツールの内部構成を示すブロック図である。図3においてはシンクライアント接続に必要なツールがUSB接続可能なシンクライアント接続ツールユニット140内に納められている。ユニット140の接続端子は高速USB端子141でパソコン端末にあるUSB端子に装着し、高速シリアルバス接続可能となっている。この際専用USBドライバーを必要としない汎用USBが望ましい。また接続ユニット140内に必要とされる電源もPC端末よりUSB端子を介して供給される。
【0044】
ユニット140内にはシンクライアント用仮想アプリケーションソフトとしてシンクライアントサーバと接続しサーバを立ち上げるためのシンクライアント実行ソフトEXEファイル、各種設定情報を格納した設定情報格納部がROM143に納められている。さらにユニット140はメモリーとしてのRAM142を有している。さらに設定情報を保存するプロテクトエリア144を有している。このプロテクトエリア144はTEMPファイルなどの格納に利用されるがPC端末側とは隔離されている。また生体認証センサーおよび生体認証処理部145をユニット内に備えている。
【0045】
通常生体認証データおよび関連するユーザ設定情報はこのプロテクトエリア144に格納されている。シンクライアント接続ツールにアクセス可能なユーザによる生体認証照合を実行する時点でRAM142へ移されて生体認証照合に用いられる。このためプロテクトエリア144に格納された生体認証データを含むユーザ設定情報は特定の条件が満たされない限り取り出すことは出来ない。つまりこの接続ツールにおいては通常必要最小限のユーザ設定情報が格納されたROM領域だけが外部からアクセス可能であり、その他のROM領域、RAM領域はパスワードや生体認証照合などによりユーザの照合・特定が完了した時点でのみアクセス可能な構成となっている。
【0046】
シンクライアント接続ツールユニット140をパソコン端末150に装着するとパソコン側から電源が供給されてユニット140が稼動状態となる。パソコンにユニット140を認識させパソコン端末にあるキーボードやマウスの入力部152からユーザの暗証番号またはパスワードなどをユニット140に入力することで生体認証照合を実行できる状態となる。
【0047】
本実施例では暗証番号などと生体認証を組み合わせた本人照合・特定を行っているが、セキュリティのレベルや利用目的に応じて暗証番号だけにしたり、生体認証照合が何らかの不具合により照合できなかった時に暗号方式に切り替えたり、またいずれかの本人照合方式を予め選択可能なように構成することもできる。
【0048】
指紋照合などの生体認証照合が完了し正当に許可されたユーザとして特定されると、ユニット140のROM143内に格納されたシンクライアントサーバ接続起動用アプリケーションにアクセス可能な状態となる。ユーザ照合の完了と同時に、この起動用アプリソフトを自動的に立ち上げパソコン端末150の通信部153よりネットワーク接続を行うように設定してもよい。シンクライアントサーバ接続起動用アプリソフトを用いて端末150のネットワーク通信部153によりネットワーク30を介してシンクライアントサーバ160との間で接続を確立する。
【0049】
端末150とシンクライアントサーバ160とのネットワーク接続はIPアドレスなどにより特定されると共にクライアント(またはユーザ)設定情報により特定のシンクライアントサーバのうちアプリケーションソフトウェア、データサーバなど利用可能なサーバも特定される。
【0050】
接続が確立するとシンクライアントサーバ160からは画面が転送されパソコン端末150のディスプレイ154上に表示される。ユーザはアクセスが許可されたアプリケーションソフトウェアサーバやデータベースサーバへアクセスし、通常のパソコンと同様にキーボードやマウスなどの入力部152の操作によりシンクライアントサーバ160側へ演算、命令処理、記憶などの指示を与えディスプレイ154上に表示させインターラクティブな操作を行うことが出来る。端末ディスプレイ154の画面上には利用可能なアプリケーションソフト、ファイル類などがシンクライアントアプリケーションサーバなどから引き出され表示される。また、処理後のデータやファイル保存にはシンクライアントサーバ160に格納される。
【0051】
パソコン端末150側では基本的にディスプレイ154、入力部152、通信部153を利用するのみでパソコン端末150内のOS、レジストリ、ファイルシステムには一切影響しない。これらの端末150での処理はシンクライアントアプリケーションソフトにより行われる。つまり、ユニット140内のシンクライアント起動ソフトはシンクライアントサーバとの接続立上げを行うことでその後は通常のパソコンと同様に操作可能となり、ユニット140内でのシンクライアントシステム構築による機能は仮想OS上で仮想レジストリ、仮想ファイルが構成されこれらに関連づけられてシンクライアント用仮想アプリケーションソフトが実現されることとなる。
【0052】
シンクライアントパソコンによる操作完了指示をシンクライアントサーバ160側に与えると、必要な演算、処理データ、ファイルはシンクライアントサーバ内のHDDなどのメモリー装置に記憶格納される。さらに、ユニット140内のRAM142領域はリード・ライト化されて、シンクライアントサーバ接続通信用に用いられたユーザ情報などで端末装置のTEMPファイルやキャッシュなどに一旦取り込まれたデータ情報はRAM142領域へ戻され、一切のユーザ情報や設定情報もパソコン端末150に残さないように構成されている。
【0053】
さらにユーザ情報、設定情報がRAM142領域へ戻されるとこの書き込み出来ない状態にプロテクトされ、生体認証前の状態となる。このように操作完了時点でRAM領域はリード・ライト化されるため操作中はリード・ライト化がされておらず、ユニット140が何らかの理由で引き抜かれたとしてもデータ変更や書き込み不能の状態となっている。これら一連の動作は接続ツールユニット140内のシンクライアント用仮想アプリケーションソフトにより実行される。
【0054】
生体認証としては人それぞれが異なる特徴を有する生体の一部を利用するもので、指紋、顔、虹彩、静脈、声紋などを本人照合に利用する方法が提案されている。いずれの方式であっても実現可能であるが、可搬性に優れた小型化が可能な方式として本発明では指紋認証、指静脈認証による利用者の照合を実施例として考慮する。指紋認証においても指紋画像マッチング、指紋横断時の周波数解析法、指紋特徴点を抽出するマニューシャ法などが種々提案されているがいずれの方式であっても本発明の意図する可搬性に優れた小型化できるものであれば良い。
【0055】
図4は本発明によるシンクライアント接続ツールにおけるシンクライアント用アプリケーションソフトのファイル構造を示す説明図である。ここで、シンクライアント用アプリケーションソフトにおける実行ソフト401はOSにインストールして動作するための構成情報を登録することなく単一の実行可能なEXEファイルで展開できるようになっている。従って、シンクライアント接続ツール140をパソコン端末150に装着しても、その接続ツールからシンクライアント実行ソフトを一旦パソコン端末のOS上でインストールする必要もなく、単独でネットワークを介して直接シンクライアントサーバに接続し、起動する。
【0056】
つまり、通常のアプリケーションソフトはウインドウズなどのOS上でレジストリ、ファイルシステムを構成し動作するのに対し、本発明におけるシンクライアント接続ツールでは図4に示すようにシンクライアント実行ソフト401が仮想OS(VOS、Vertual Operating System)402の概念に基づいて、仮想ファイルシステム403、仮想レジストリへ404保存されている構成となっているため、接続ツールを装着するパソコン端末のOS、ファイルシステム、レジストリにはまったく関与せずシンクライアント環境を構築している。
【0057】
図5はシンクライアント接続ツール、パソコン端末およびシンクライアントサーバとの信号処理のやり取りを示す説明図である。シンクライアント接続ツールをパソコン端末に装着する(S601)ことによりツールが稼動状態となる。接続ツールがパソコン端末により認識されると暗証番号の入力を督促する(S602)。ユーザは暗証番号および生体認証入力を行う(S603)。パソコン端末に入力された暗証番号が接続ツールで照合されると(S604)、接続ツールのプロテクト領域に格納されている生体認証データが呼び出され、ユーザの生体認証照合を行う(S605)。
【0058】
生体認証照合が完了しユーザが特定されると、端末側にユーザ設定情報が転送され(S606)、端末内のTEMPファイルなどにユーザ設定情報が書き込まれる(S607)。それと同時にシンクライアント起動ファイルが起動し実行される(S608)。起動ファイル実行によりネットワークを介して端末側からユーザ情報、設定情報がシンクライアントサーバ側に転送され、シンクライアントサーバとの接続要求・指示を行う(S609)。シンクライアントサーバ側では転送されたユーザ情報および設定情報によりそのユーザにアクセス許可されたファイルサーバ、アプリサーバとの接続を確立する(S610)。シンクライアントサーバと端末側との接続が確立されるとサーバ側からファイル画面転送が行われる(S611)。
【0059】
ユーザは接続が確立されると端末のキーボードやマウスなどの入力部より入力操作が行われネットワークを介したシンクライアント環境が構築される。入力操作は端末側により行われ、サーバ側にあるアプリケーションソフトウェアが操作可能となるように端末に画面転送される。演算処理はサーバ側のCPUにより実行され、処理データはサーバ側のHDDなどのメモリーに記憶・格納処理される。このようにシンクライアント環境の構築により通常のパソコンと同様、演算、処理、命令、ファイル操作、ファイル格納処理などが端末側とサーバ側とで実行しうる(S612)。
【0060】
操作終了に伴い終了指示が端末から出されると(S613)、接続ツールから端末側へ書き込まれたユーザ情報および設定情報を接続ツール側へ転送する(S614)。接続ツールのRAM領域はリード・ライト化され書込み可能状態となり、設定上およびユーザ情報はRAM領域に格納される(S615)。RAM領域へのデータ格納が完了するとそのRAM領域はプロテクト化され所定の条件入力が無い限り呼び出されない状態となる(S616)。この状態で接続ツールはパソコン端末から取り外される(S617)。
【0061】
本発明により、シンクライアント接続ツールは必要最小限の機能を可搬性の高いUSBなどの小型メモリー媒体に実装し、遍く普及している通常のパソコン(シンクライアント非対応)に接続するだけで簡便にシンクライアント環境を構築することが可能となる。さらに、本発明のシンクライアント接続ツールによればパソコン操作により処理したデータ情報、ファイル情報、および生体認証情報を含むユーザ情報などは利用したパソコン端末には一切残存せず、極めて情報セキュリティに優れた安全なシンクライアントシステムを構築できる。
【図面の簡単な説明】
【0062】
【図1】シンクライアントシステムの全体構成を示す説明図である。
【図2】シンクライアント端末の機能を説明する説明図である。
【図3】本発明のシンクライアント接続ツールの内部構成を示すブロック図である。
【図4】本発明によるシンクライアント実行ソフトのファイル構造の説明図である。
【図5】接続ツール、端末、サーバ間の信号のやり取りを示す説明図である。
【符号の説明】
【0063】
10 シンクライアントサーバ
20 シンクライアント端末群
30 ネットワーク
101 シンクライアントサーバ
104 負荷分散サーバ
105 ルータ
111 アプリケーションサーバ
120 シンクライアントパソコン端末
121 端末ディスプレイ
122 キーボード入力部
123 通信部
124 シンクライアントアプリケーション
130 帯域制限装置
140 シンクライアント接続ツールまたはユニット
141 USB接続部
142 RAM領域
143 ROM領域
144 プロテクトエリア
145 生体認証センサー・処理部
150 パソコン端末
151 USB接続部
152 キーボード入力部
153 通信部
154 ディスプレイ
160 シンクライアントサーバ
401 仮想OS
402 シンクライアント用仮想アプリケーションソフト
403 仮想ファイル
404 仮想レジストリ
【技術分野】
【0001】
本発明は、パーソナルコンピュータ(Personal Computer、パソコンまたはPC)などのシンクライアントシステムに関連し、特にシンクライアントコンピュータにおける端末の最小化、小型化とセキュリティ向上およびポータブル化を意図したシンクライアントシステム接続装置およびシンクライアントシステムに関する。
【背景技術】
【0002】
現在通常のパソコン(パーソナルコンピュータまたはPC)は表示モニター、演算CPU(Central Processing Unit)、記憶装置、入力装置などの基本要素をすべて内包し、アプリケーションソフトウェアをそれぞれのパソコンのOS(Operating System)上にインストールして使用する。シンクライアントシステムにおいては従来のパソコンに比してデータを記録するハードディスクを内臓せず、端末自身で演算処理と情報記憶を行わない。これらの演算・記憶処理はLAN(Local Area Network)、WAN(Wide Area Network)などのネットワークで接続されたシンクライアントサーバ側で行われる。
【0003】
シンクライアントシステムにおいては、端末側からの入力操作に応じて操作処理指示がネットワークを介してサーバ側伝えられ、サーバ側で実行・処理される。実行処理状況はネットワークを介して端末装置のスクリーン上に表示される。このため、シンクライアント端末側では基本的にキーボードやマウスなどの入力操作部とスクリーン表示部とにより構成され小型・軽量・安価な端末装置が可能となる特徴を有している。
【0004】
シンクライアントシステムは記憶ハードディスク装置、演算CPU,アプリケーションソフトウェアなどを統合管理環境システムとしてサーバ側において管理しているため、シンクライアントシステムの活用はトータルコスト削減、セキュリティの向上、環境変化に柔軟に対応できる可用性(アジリティ)の向上などがメリットとして謳われている。
【0005】
パソコンから機密情報や個人情報が漏洩する問題が深刻なものとなり、これに対応するのにパソコンのセキュリティ、ウイルス対策が種々講じられているものの根本的な解決になっていない。そこで機密情報を扱う会社、部署、取扱者はシンクライアントシステム導入による情報セキュリティ対策を効果的な手段として検討されてきた。
【0006】
しかしながら、シンクライアントシステムではサーバ側に処理演算が集中するため、シンクライアントサーバ側の負荷、CPU性能などの問題、システム運用上の問題などがあり、またネットワーク回線を利用するため回線の処理スピードの問題やネットワークでのセキュリティ確保の問題などがあった。
【0007】
近年これらのCPUの性能が向上し、ネットワーク回線スピードも大幅に向上し、シンクライアント構築環境が整備されると共に、機密情報や個人情報漏洩に優れたセキュリティを有するシステムが求められるようになり端末装置に記憶装置を持たないシンクライアント端末が普及し始めている。
【0008】
一般的に、これらシンクライアント端末では専用のシンクライアントサーバ側でアプリケーションソフトを具備するように構成できるため、端末側では入力操作部(キーボード)と画面表示部(スクリーン)さえあればシンクライアントサーバ接続に必要な接続アプリ・設定情報とネットワーク環境を利用してシンクライアントシステムが構築可能となる。
【0009】
シンクライアント専用端末を構築し、その専用端末に利用者の認証を求め、その利用者の利用可能なサービスに接続するシンクライアント端末装置や特定のソフトウェア、特定の利用目的に応じたシンクライアント端末は種々提案されている(特開2001−282747など)。
【0010】
しかしながら、シンクライアント専用サーバと接続するためにその端末装置においてはシンクライアント専用端末からアクセスするか、シンクライアント専用のソフトをパソコンにインストールする必要があり、いつでも、どこからでもシンクライアント専用サーバにアクセスすることは困難であった。
【0011】
パソコンが遍く普及した現在、キーボードとスクリーンは従来のパソコンを利用してシンクライアントシステムが構築できればシンクライアント端末をより小型化し、利便性の高いポータブル化されたシンクライアント端末を構築することが可能となる。つまり、シンクライアント接続ソフトウェアのみでシンクライアントサーバとの接続が可能であれば、キーボード・マウスなどの入出力装置とディスプレイなどの表示装置は従来のパソコンを用いてシンクライアントシステムとなる。
【特許文献1】特開2001−282747号公報
【発明の開示】
【発明が解決しようとする課題】
【0012】
本発明においては、パソコンの有するキーボードなどの入力装置とスクリーンなどの表示装置を利用して、いずれのパソコンからもネットワークを介してシンクライアントサーバに接続可能となり、シンクライアント端末を構成できるポータブル化されたシンクライアントシステム装置を提供することを課題とする。
【0013】
また、本発明においては、ポータブル化されたシンクライアント接続ツールを提供しながら生体認証による利用者のアクセス制限、操作・利用後のデータ消去、利用するパソコンへのアクセス制限などセキュリティに配慮したシンクライアントシステム装置を提供することを課題とする。
【課題を解決するための手段】
【0014】
上記目的を達成するため、請求項1に記載の発明は、少なくとも入力操作装置およびスクリーンを有する端末装置を利用してシンクライアントサーバとの接続をネットワークにより確立するシンクライアント接続装置において、シンクライアント用仮想アプリケーションと、前記接続装置の利用者を特定する本人認証手段とを含み、前記シンクライアント用仮想アプリケーションは前記端末装置を利用してシンクライアントサーバとの接続を確立し、前記端末装置の入力操作装置とスクリーンを利用して前記シンクライアントサーバと前記端末装置との間で演算、処理または記憶操作指示を行うことを特徴とする。
【0015】
また、請求項2に記載の発明は、請求項1に記載のシンクライアント接続装置において、前記端末装置は通信手段を含んでおり、前記シンクライアントサーバへの接続には前記端末装置の通信手段が利用されることを特徴とする。
【0016】
請求項1および請求項2に記載の発明によれば、シンクライアント接続装置は、シンクライアントサーバと端末装置とを接続するシンクライアント用仮想アプリケーションが実装されている。そのシンクライアント用仮想アプリケーションを起動することにより、端末装置の通信手段を利用してシンクライアントサーバとの間でネットワーク接続を確立する。端末装置とシンクライアントサーバ間の接続が確立すれば、端末装置のキーボードおよびスクリーンの入力操作、画像出力表示によりシンクライアントシステム環境を構築する。多くのパソコンはスクリーン、キーボード、OSを具備しており、これらのパソコンにこの接続装置を装着することでシンクライアントサーバとの接続が可能となる。
【0017】
請求項3に記載の発明は、請求項1に記載のシンクライアント接続装置において、前記本人認証の登録情報を含むユーザ情報および設定情報が保存されることを特徴とする。
【0018】
また、請求項4に記載の発明は、請求項1に記載のシンクライアント接続装置において、前記端末装置による操作終了と共に操作データおよびログが消去または削除されることを特徴とする。
【0019】
また、請求項5に記載の発明は、請求項1に記載のシンクライアント接続装置において、前記端末装置に前記接続装置を装着することによりユーザ情報を要求し、該ユーザ情報によりユーザが認証されるとシンクライアントサーバの接続が確立されることを特徴とする。
【0020】
請求項3から請求項5に記載の発明によれば、シンクライアント接続装置は、本人認証、パスワードなどのユーザ情報や設定情報が格納されており、本人認証照合やパスワード照合を行いうる構成となっている。また、シンクライアント操作終了により転送された操作データおよびログ情報が消去されるため端末装置側に操作データ、ログが残されることはない。さらに、接続装置を装着した時点で本人認証照合が実行されるとシンクライアントサーバへの接続が確立される構成を構築できる。したがって、本発明のシンクライアント接続装置は予め認証登録を行っている許諾者、登録ユーザのみの利用に制限され、操作終了による操作データおよびログが消去されるため、一切の操作データや記録ログが端末装置および接続装置に残されない構成とすることができる。
【発明の効果】
【0021】
本発明によるシンクライアント接続装置によれば、スクリーンおよびキーボードなどの入力操作装置を有する端末装置とシンクライアントサーバとを接続しシンクライアントシステム環境を構築することが出来る。多くのパソコンはスクリーン、キーボード、通信手段を具備しており、これらのパソコンにこの接続装置を装着すればシンクライアントサーバとの接続が可能となる。したがって、シンクライアント接続装置はスクリーン、キーボードなどを有することなく、小型で、ポータブルなシンクライアント接続ツールを構成することができる効果がある。
【0022】
また、本発明によるシンクライアント接続装置は、上述のとおり本人認証照合やパスワード照合が可能である。また、シンクライアント操作終了時点で転送された操作データおよびログ情報が消去されるため端末装置側で操作データ、ログが残されることはない。したがって、本発明のシンクライアント接続装置の正当に認証されたユーザのみがアクセス可能であり、不正使用や登録者以外の利用は制限される。また、操作終了時点で操作データおよびログが消去されるため、一切の操作データや記録ログが端末装置および接続装置に残されない構成とすることができるため、極めてセキュリティの高いシンクライアント接続装置を提供できる。
【0023】
さらに、シンクライアント接続装置を装着した時点で本人認証照合が実行されるとシンクライアントサーバへの接続が確立される構成を構築できるため、より利便性の高いシンクライアント接続装置となる。
【0024】
以上詳述したように、本発明によるシンクライアント接続装置は小型で、ポータブルなツールを構築でき、多く用いられている普遍的なパソコン端末を利用して汎用性のある、セキュリティに優れたシンクライアント環境を簡便に構築することが可能となるため、従来専用のシンクライアント端末を用いるか、専用のシンクライアントソフトをインストールした端末からしかアクセスできなかったシンクライアント環境を、本発明による接続装置を携帯するだけで、いつでも、どこでもインターネットなどの通信環境を有するパソコンがあればそのパソコン端末装置を経由してシンクライアントシステム環境を簡便に構築することが出来る。
【発明を実施するための最良の形態】
【0025】
以下図面を参照して本発明の実施形態に係るシンクライアント接続装置について説明する。図1はシンクライアントシステムの全体構成を示す説明図である。シンクライアントサーバ装置10とシンクライアント端末装置群20とはネットワーク30により接続され、基本的に演算処理と情報・データ記憶は端末で行わず、シンクライアントサーバ側で処理される。実装方式としては種々提案されているが本発明においては画像転送方式と称される方式を例として説明する。
【0026】
シンクライアントシステムの画像転送方式として広く採用されているサーバベースド・コンピューティング方式(以下SBC方式)ではシンクライアントサーバ101、102の演算処理用CPU、メモリーおよび情報・データ記憶装置用HDDなどが統括管理され資源を共有している。また、各種アプリケーション111、112もサーバ側に備えている。複数のシンクライアント端末120はネットワーク30を経由してシンクライアントサーバ側装置10と接続されている。基本的に、サーバと端末120とは1:nで多数の端末がサーバを共有し、マルチユーザ環境が構成されている。
【0027】
システムの構築によって1つのシンクライアントサーバには複数のアプリケーションソフトを混在させてもよいが、数種類のアプリを同時に起動し、利用することはアプリケーション間のコンフリクトが生じる可能性があり、アプリケーション毎にサーバを別々に用意するほうが好ましい。
【0028】
また、SBCでは複数の端末がCPUやメモリーを共有するため、アクセスが集中したときなどの負荷に耐えられる構成とする必要があり、システムとして負荷分散を行う必要がある。負荷分散サーバ104は各サーバのリソース(ユーザセッション、CPUの利用率、メモリーの使用率など)の使用状況を把握しセッション処理する最適のシンクライアントサーバに割り当てるように構成されている。またネットワーク中には信号を分岐するルータ105が必要に応じて備えられている。
【0029】
シンクライアントシステムのネットワークにおいては操作上画面転送が途切れなくスムースに行われることが要求されるため、利用者の回線利用率を考慮して、画面転送のリアルタイム性確保と転送帯域を確保する必要がある。通信のリアルタイム性を確保する手段として画面転送プロトコル(RDPなど)に特定の帯域を確保し、転送レスポンスを保証する転送帯域制御装置130を必要に応じてネットワーク中に設けてもよい。
【0030】
シンクライアントパソコン端末120はシンクライアントサーバ装置10に接続してシンクライアント環境を構築するためにシンクライアントソフトを実装しており、特定のシンクライアントサーバに接続し特定のアプリソフトを起動し画面転送により端末装置のスクリーン上に表示し、端末装置のキーボードやマウスなどの入力装置により信号入力し端末とシンクライアントサーバとの間で演算、命令処理、記憶の操作指示などを行う。
【0031】
また、端末装置群20にはネットワーク30にルータ105を介して通常のパソコン(シンクライアントソフトがインストールされていない)端末150が接続されている。このシンクライアント非対応のパソコン端末150に本発明によるシンクライアント接続ツール140を装着することによりシンクライアント環境が構築できる。
【0032】
図2はシンクライアントパソコン端末120の機能を説明する説明図である。一般的に、ユーザが利用するシンクライアント端末120は必要最小限の機能として表示部(ディスプレイ、スクリーン)121、入力操作部(キーボードなど)122、およびネットワークとの通信部123を備えているが、それに加えてシンクライアントシステムとして構築するために、シンクライアントサーバに接続し、起動させるためのシンクライアントアプリケーション124が必要となる。このシンクライアントアプリケーションを予め通常のパソコンにインストールしておけばそのパソコンはシンクライアントサーバに接続し、起動させるのでシンクライアント端末装置として稼動する。
【0033】
シンクライアントパソコン端末120では入力操作部(キーボードなど)122により入力された操作入力命令信号が上り信号としてネットワークを介してサーバに指示を与える。サーバ側ではシンクライアント端末の認証を行い、認証が確認されれば、必要なアプリケーションを起動したり、演算・命令処理を実行し、サーバの画面情報を下り信号として端末に送信する。端末の表示部121にはサーバの演算・処理結果がビットマップ情報として転送される。つまり、端末上では入力操作による操作信号をサーバに送られ、サーバから転送された画面情報を表示しているだけで、端末でアプリケーションソフトが稼動して表示されるものでない。
【0034】
シンクライアント専用端末120ではデータ記憶用の記憶装置(HDDなど)を持たないので、これら転送された画面情報が記憶されず、情報データの蓄積・格納はサーバ側の記憶装置で行われる。これによりシンクライアントシステムではファイルがサーバ以外に形成されず、サーバ側ですべてのファイル、演算命令処理、記憶処理が実行される。また、原則的に端末側でこれらファイルのコピー処理が行われることは無いように構成されている。
【0035】
シンクライアントシステムにおけるネットワークはインターネット、社内イントラネット、LAN、WAN、電話回線、有線、ブルートゥース、VPN(Virtual Private Network)などいずれの回線でも可能であるが、常にネットワークを介して操作・指示データをアップロードし、画面情報をリアルタイムにダウンロードする必要がある。
【0036】
シンクライアント専用の端末120の場合、シンクライアントアプリケーション124をインストールしており、常にシンクライアント環境によるパソコン操作が可能であるが、本発明では図1における可搬性シンクライアント接続ツール140によりシンクライアント環境条件を備えていない通常のパソコン(シンクライアント非対応パソコン)150においてもシンクライアント環境を構築できる。
【0037】
本発明によるシンクライアント接続ツール140は利用者を特定するPIN番号やパスワードまたは生体認証手段、およびシンクライアントアプリケーションを内臓し、USB(Universal Serial Bus)、ICカードなどの可搬性メモリーに収められている。
【0038】
インターネットなどのネットワーク回線が利用できる通常のパソコン(シンクライアント非対応)端末150にシンクライアント接続ツール140を装着する。あらかじめ登録してある利用者のパスワードまたは生体認証(例えば指紋認証など)の照合を行い、利用可能者であると確認されれば、接続ツールに内臓されたシンクライアントアプリケーションにより、端末装置のネットワーク接続を働かせ、シンクライアントサーバを起動し、通常のパソコン端末を利用してシンクライアントシステムでの操作を可能とする。
【0039】
シンクライアントシステム環境ではシンクライアントサーバに接続可能なシンクライアント端末は特定されており、予め登録した暗証番号、パスワードまたは機器識別子によりユーザが特定されると共にユーザが利用できる機能やアプリケーションソフトウェアなどが特定または制限できるように設定することができる。従ってシンクライアント接続ツール140に格納する生体認証照合データまたは暗証番号などをシンクライアントサーバのアクセスコードや暗証番号などと共通化してもよい。
【0040】
この際使用するパソコン端末150は、入力操作部(キーボードなど)、表示部(ディスプレイなど)、およびインターネット回線接続のみを利用し、最低限の設定情報をTEMPファイルやキャッシュなどに書き込むが、パソコン内のレジストリ、ハードディスクなどのメモリー類、アプリケーションソフト、ファイル類には一切関与しない。
【0041】
シンクライアントシステムが確立し、操作が可能となれば利用者はその特定利用者に許可されたシンクライアントサーバ上にある特定アプリケーションソフトおよびファイルを操作し、演算、命令処理し、サーバ側にあるHDDなどの記憶装置に処理結果を格納・蓄積することができる。ここで重要な点はパソコン端末に転送される画面はパソコン端末内のOS、レジストリ、ファイルには一切無関係であり、全てサーバ内で処理が行われることである。
【0042】
パソコン端末からの操作が完了するとシンクライアント接続ツールに記録された利用者の本人認証情報は全て削除・消去され接続ツールおよびパソコン端末には一切のデータ・情報が記録されない。また、端末装置上に一時的に書き込まれた設定情報も接続ツールに戻されて端末装置側にはいかなるデータ、ログも残されることはない。
【0043】
図3は本発明のシンクライアント接続ツールの内部構成を示すブロック図である。図3においてはシンクライアント接続に必要なツールがUSB接続可能なシンクライアント接続ツールユニット140内に納められている。ユニット140の接続端子は高速USB端子141でパソコン端末にあるUSB端子に装着し、高速シリアルバス接続可能となっている。この際専用USBドライバーを必要としない汎用USBが望ましい。また接続ユニット140内に必要とされる電源もPC端末よりUSB端子を介して供給される。
【0044】
ユニット140内にはシンクライアント用仮想アプリケーションソフトとしてシンクライアントサーバと接続しサーバを立ち上げるためのシンクライアント実行ソフトEXEファイル、各種設定情報を格納した設定情報格納部がROM143に納められている。さらにユニット140はメモリーとしてのRAM142を有している。さらに設定情報を保存するプロテクトエリア144を有している。このプロテクトエリア144はTEMPファイルなどの格納に利用されるがPC端末側とは隔離されている。また生体認証センサーおよび生体認証処理部145をユニット内に備えている。
【0045】
通常生体認証データおよび関連するユーザ設定情報はこのプロテクトエリア144に格納されている。シンクライアント接続ツールにアクセス可能なユーザによる生体認証照合を実行する時点でRAM142へ移されて生体認証照合に用いられる。このためプロテクトエリア144に格納された生体認証データを含むユーザ設定情報は特定の条件が満たされない限り取り出すことは出来ない。つまりこの接続ツールにおいては通常必要最小限のユーザ設定情報が格納されたROM領域だけが外部からアクセス可能であり、その他のROM領域、RAM領域はパスワードや生体認証照合などによりユーザの照合・特定が完了した時点でのみアクセス可能な構成となっている。
【0046】
シンクライアント接続ツールユニット140をパソコン端末150に装着するとパソコン側から電源が供給されてユニット140が稼動状態となる。パソコンにユニット140を認識させパソコン端末にあるキーボードやマウスの入力部152からユーザの暗証番号またはパスワードなどをユニット140に入力することで生体認証照合を実行できる状態となる。
【0047】
本実施例では暗証番号などと生体認証を組み合わせた本人照合・特定を行っているが、セキュリティのレベルや利用目的に応じて暗証番号だけにしたり、生体認証照合が何らかの不具合により照合できなかった時に暗号方式に切り替えたり、またいずれかの本人照合方式を予め選択可能なように構成することもできる。
【0048】
指紋照合などの生体認証照合が完了し正当に許可されたユーザとして特定されると、ユニット140のROM143内に格納されたシンクライアントサーバ接続起動用アプリケーションにアクセス可能な状態となる。ユーザ照合の完了と同時に、この起動用アプリソフトを自動的に立ち上げパソコン端末150の通信部153よりネットワーク接続を行うように設定してもよい。シンクライアントサーバ接続起動用アプリソフトを用いて端末150のネットワーク通信部153によりネットワーク30を介してシンクライアントサーバ160との間で接続を確立する。
【0049】
端末150とシンクライアントサーバ160とのネットワーク接続はIPアドレスなどにより特定されると共にクライアント(またはユーザ)設定情報により特定のシンクライアントサーバのうちアプリケーションソフトウェア、データサーバなど利用可能なサーバも特定される。
【0050】
接続が確立するとシンクライアントサーバ160からは画面が転送されパソコン端末150のディスプレイ154上に表示される。ユーザはアクセスが許可されたアプリケーションソフトウェアサーバやデータベースサーバへアクセスし、通常のパソコンと同様にキーボードやマウスなどの入力部152の操作によりシンクライアントサーバ160側へ演算、命令処理、記憶などの指示を与えディスプレイ154上に表示させインターラクティブな操作を行うことが出来る。端末ディスプレイ154の画面上には利用可能なアプリケーションソフト、ファイル類などがシンクライアントアプリケーションサーバなどから引き出され表示される。また、処理後のデータやファイル保存にはシンクライアントサーバ160に格納される。
【0051】
パソコン端末150側では基本的にディスプレイ154、入力部152、通信部153を利用するのみでパソコン端末150内のOS、レジストリ、ファイルシステムには一切影響しない。これらの端末150での処理はシンクライアントアプリケーションソフトにより行われる。つまり、ユニット140内のシンクライアント起動ソフトはシンクライアントサーバとの接続立上げを行うことでその後は通常のパソコンと同様に操作可能となり、ユニット140内でのシンクライアントシステム構築による機能は仮想OS上で仮想レジストリ、仮想ファイルが構成されこれらに関連づけられてシンクライアント用仮想アプリケーションソフトが実現されることとなる。
【0052】
シンクライアントパソコンによる操作完了指示をシンクライアントサーバ160側に与えると、必要な演算、処理データ、ファイルはシンクライアントサーバ内のHDDなどのメモリー装置に記憶格納される。さらに、ユニット140内のRAM142領域はリード・ライト化されて、シンクライアントサーバ接続通信用に用いられたユーザ情報などで端末装置のTEMPファイルやキャッシュなどに一旦取り込まれたデータ情報はRAM142領域へ戻され、一切のユーザ情報や設定情報もパソコン端末150に残さないように構成されている。
【0053】
さらにユーザ情報、設定情報がRAM142領域へ戻されるとこの書き込み出来ない状態にプロテクトされ、生体認証前の状態となる。このように操作完了時点でRAM領域はリード・ライト化されるため操作中はリード・ライト化がされておらず、ユニット140が何らかの理由で引き抜かれたとしてもデータ変更や書き込み不能の状態となっている。これら一連の動作は接続ツールユニット140内のシンクライアント用仮想アプリケーションソフトにより実行される。
【0054】
生体認証としては人それぞれが異なる特徴を有する生体の一部を利用するもので、指紋、顔、虹彩、静脈、声紋などを本人照合に利用する方法が提案されている。いずれの方式であっても実現可能であるが、可搬性に優れた小型化が可能な方式として本発明では指紋認証、指静脈認証による利用者の照合を実施例として考慮する。指紋認証においても指紋画像マッチング、指紋横断時の周波数解析法、指紋特徴点を抽出するマニューシャ法などが種々提案されているがいずれの方式であっても本発明の意図する可搬性に優れた小型化できるものであれば良い。
【0055】
図4は本発明によるシンクライアント接続ツールにおけるシンクライアント用アプリケーションソフトのファイル構造を示す説明図である。ここで、シンクライアント用アプリケーションソフトにおける実行ソフト401はOSにインストールして動作するための構成情報を登録することなく単一の実行可能なEXEファイルで展開できるようになっている。従って、シンクライアント接続ツール140をパソコン端末150に装着しても、その接続ツールからシンクライアント実行ソフトを一旦パソコン端末のOS上でインストールする必要もなく、単独でネットワークを介して直接シンクライアントサーバに接続し、起動する。
【0056】
つまり、通常のアプリケーションソフトはウインドウズなどのOS上でレジストリ、ファイルシステムを構成し動作するのに対し、本発明におけるシンクライアント接続ツールでは図4に示すようにシンクライアント実行ソフト401が仮想OS(VOS、Vertual Operating System)402の概念に基づいて、仮想ファイルシステム403、仮想レジストリへ404保存されている構成となっているため、接続ツールを装着するパソコン端末のOS、ファイルシステム、レジストリにはまったく関与せずシンクライアント環境を構築している。
【0057】
図5はシンクライアント接続ツール、パソコン端末およびシンクライアントサーバとの信号処理のやり取りを示す説明図である。シンクライアント接続ツールをパソコン端末に装着する(S601)ことによりツールが稼動状態となる。接続ツールがパソコン端末により認識されると暗証番号の入力を督促する(S602)。ユーザは暗証番号および生体認証入力を行う(S603)。パソコン端末に入力された暗証番号が接続ツールで照合されると(S604)、接続ツールのプロテクト領域に格納されている生体認証データが呼び出され、ユーザの生体認証照合を行う(S605)。
【0058】
生体認証照合が完了しユーザが特定されると、端末側にユーザ設定情報が転送され(S606)、端末内のTEMPファイルなどにユーザ設定情報が書き込まれる(S607)。それと同時にシンクライアント起動ファイルが起動し実行される(S608)。起動ファイル実行によりネットワークを介して端末側からユーザ情報、設定情報がシンクライアントサーバ側に転送され、シンクライアントサーバとの接続要求・指示を行う(S609)。シンクライアントサーバ側では転送されたユーザ情報および設定情報によりそのユーザにアクセス許可されたファイルサーバ、アプリサーバとの接続を確立する(S610)。シンクライアントサーバと端末側との接続が確立されるとサーバ側からファイル画面転送が行われる(S611)。
【0059】
ユーザは接続が確立されると端末のキーボードやマウスなどの入力部より入力操作が行われネットワークを介したシンクライアント環境が構築される。入力操作は端末側により行われ、サーバ側にあるアプリケーションソフトウェアが操作可能となるように端末に画面転送される。演算処理はサーバ側のCPUにより実行され、処理データはサーバ側のHDDなどのメモリーに記憶・格納処理される。このようにシンクライアント環境の構築により通常のパソコンと同様、演算、処理、命令、ファイル操作、ファイル格納処理などが端末側とサーバ側とで実行しうる(S612)。
【0060】
操作終了に伴い終了指示が端末から出されると(S613)、接続ツールから端末側へ書き込まれたユーザ情報および設定情報を接続ツール側へ転送する(S614)。接続ツールのRAM領域はリード・ライト化され書込み可能状態となり、設定上およびユーザ情報はRAM領域に格納される(S615)。RAM領域へのデータ格納が完了するとそのRAM領域はプロテクト化され所定の条件入力が無い限り呼び出されない状態となる(S616)。この状態で接続ツールはパソコン端末から取り外される(S617)。
【0061】
本発明により、シンクライアント接続ツールは必要最小限の機能を可搬性の高いUSBなどの小型メモリー媒体に実装し、遍く普及している通常のパソコン(シンクライアント非対応)に接続するだけで簡便にシンクライアント環境を構築することが可能となる。さらに、本発明のシンクライアント接続ツールによればパソコン操作により処理したデータ情報、ファイル情報、および生体認証情報を含むユーザ情報などは利用したパソコン端末には一切残存せず、極めて情報セキュリティに優れた安全なシンクライアントシステムを構築できる。
【図面の簡単な説明】
【0062】
【図1】シンクライアントシステムの全体構成を示す説明図である。
【図2】シンクライアント端末の機能を説明する説明図である。
【図3】本発明のシンクライアント接続ツールの内部構成を示すブロック図である。
【図4】本発明によるシンクライアント実行ソフトのファイル構造の説明図である。
【図5】接続ツール、端末、サーバ間の信号のやり取りを示す説明図である。
【符号の説明】
【0063】
10 シンクライアントサーバ
20 シンクライアント端末群
30 ネットワーク
101 シンクライアントサーバ
104 負荷分散サーバ
105 ルータ
111 アプリケーションサーバ
120 シンクライアントパソコン端末
121 端末ディスプレイ
122 キーボード入力部
123 通信部
124 シンクライアントアプリケーション
130 帯域制限装置
140 シンクライアント接続ツールまたはユニット
141 USB接続部
142 RAM領域
143 ROM領域
144 プロテクトエリア
145 生体認証センサー・処理部
150 パソコン端末
151 USB接続部
152 キーボード入力部
153 通信部
154 ディスプレイ
160 シンクライアントサーバ
401 仮想OS
402 シンクライアント用仮想アプリケーションソフト
403 仮想ファイル
404 仮想レジストリ
【特許請求の範囲】
【請求項1】
少なくとも入力操作装置およびスクリーンを有する端末装置を利用してシンクライアントサーバとの接続をネットワークにより確立するシンクライアント接続装置において、シンクライアント用仮想アプリケーションと、前記接続装置の利用者を特定する本人認証手段とを含み、前記シンクライアント用仮想アプリケーションは前記端末装置を利用してシンクライアントサーバとの接続を確立し、前記端末装置の入力操作装置とスクリーンを利用して前記シンクライアントサーバと前記端末装置との間で演算、処理または記憶操作指示を行うことを特徴とする装置。
【請求項2】
請求項1に記載のシンクライアント接続装置において、前記端末装置は通信手段を含んでおり、前記シンクライアントサーバへの接続には前記端末装置の通信手段が利用されることを特徴とする装置。
【請求項3】
請求項1に記載のシンクライアント接続装置において、前記本人認証の登録情報を含むユーザ情報および設定情報が保存されることを特徴とする装置。
【請求項4】
請求項1に記載のシンクライアント接続装置において、前記端末装置による操作終了と共に操作データおよびログが消去または削除されることを特徴とする装置。
【請求項5】
請求項1に記載のシンクライアント接続装置において、前記端末装置に前記接続装置を装着することによりユーザ情報を要求し、該ユーザ情報によりユーザが認証されるとシンクライアントサーバの接続が確立されることを特徴とする装置。
【請求項6】
少なくとも入力操作装置およびスクリーンを有する端末装置を利用してシンクライアントサーバとの接続をネットワークにより確立するシンクライアントシステムを構築する方法において、該方法は、生体認証手段およびシンクライアント用仮想アプリケーションを含むシンクライアント接続装置を前記端末装置に装着するステップと、前記生体認証手段により利用者を特定するステップと、前記利用者が特定されるとともに前記シンクライアントサーバと端末装置との接続を確立するステップと、前記シンクライアント用仮想アプリケーションにより前記シンクライアントサーバへ接続し、前記入力操作装置により操作し、前記スクリーン上にシンクライアントサーバからの画面出力を表示するステップと、前記仮想アプリケーションによる接続、操作が完了するとともに操作データおよびログを消去するステップと、から成ることを特徴とする方法
【請求項1】
少なくとも入力操作装置およびスクリーンを有する端末装置を利用してシンクライアントサーバとの接続をネットワークにより確立するシンクライアント接続装置において、シンクライアント用仮想アプリケーションと、前記接続装置の利用者を特定する本人認証手段とを含み、前記シンクライアント用仮想アプリケーションは前記端末装置を利用してシンクライアントサーバとの接続を確立し、前記端末装置の入力操作装置とスクリーンを利用して前記シンクライアントサーバと前記端末装置との間で演算、処理または記憶操作指示を行うことを特徴とする装置。
【請求項2】
請求項1に記載のシンクライアント接続装置において、前記端末装置は通信手段を含んでおり、前記シンクライアントサーバへの接続には前記端末装置の通信手段が利用されることを特徴とする装置。
【請求項3】
請求項1に記載のシンクライアント接続装置において、前記本人認証の登録情報を含むユーザ情報および設定情報が保存されることを特徴とする装置。
【請求項4】
請求項1に記載のシンクライアント接続装置において、前記端末装置による操作終了と共に操作データおよびログが消去または削除されることを特徴とする装置。
【請求項5】
請求項1に記載のシンクライアント接続装置において、前記端末装置に前記接続装置を装着することによりユーザ情報を要求し、該ユーザ情報によりユーザが認証されるとシンクライアントサーバの接続が確立されることを特徴とする装置。
【請求項6】
少なくとも入力操作装置およびスクリーンを有する端末装置を利用してシンクライアントサーバとの接続をネットワークにより確立するシンクライアントシステムを構築する方法において、該方法は、生体認証手段およびシンクライアント用仮想アプリケーションを含むシンクライアント接続装置を前記端末装置に装着するステップと、前記生体認証手段により利用者を特定するステップと、前記利用者が特定されるとともに前記シンクライアントサーバと端末装置との接続を確立するステップと、前記シンクライアント用仮想アプリケーションにより前記シンクライアントサーバへ接続し、前記入力操作装置により操作し、前記スクリーン上にシンクライアントサーバからの画面出力を表示するステップと、前記仮想アプリケーションによる接続、操作が完了するとともに操作データおよびログを消去するステップと、から成ることを特徴とする方法
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2009−301515(P2009−301515A)
【公開日】平成21年12月24日(2009.12.24)
【国際特許分類】
【出願番号】特願2008−176301(P2008−176301)
【出願日】平成20年6月10日(2008.6.10)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ウィンドウズ
【出願人】(508202739)株式会社2Xアルファ・ソリューションズ (1)
【Fターム(参考)】
【公開日】平成21年12月24日(2009.12.24)
【国際特許分類】
【出願日】平成20年6月10日(2008.6.10)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ウィンドウズ
【出願人】(508202739)株式会社2Xアルファ・ソリューションズ (1)
【Fターム(参考)】
[ Back to top ]