シンクライアント用オペレーティングシステム、シンクライアント装置、サーバ・シンクライアントシステム、及びシンクライアント用オペレーティングシステムの実行方法
【課題】汎用PCを使用できる、セキュアなシンクライアント用OSを提供する。
【解決手段】制御手段と主記憶手段とネットワーク接続手段とを備えるシンクライアント用OSについて、基本ファイル手段と、シンクライアント用ファイル手段とファイルシステム仮想化手段とを含ませる。さらに、シンクライアント用ファイル手段は、起動制御手段と、全画面タスク切り替え防止手段とを含むことを特徴とする。さらに、ファイルシステム仮想化手段により、シンクライアント用ファイル手段に含まれるファイル群を、基本ファイル手段に含まれるファイル群と実質的に同一のファイル名でアクセスする。
【解決手段】制御手段と主記憶手段とネットワーク接続手段とを備えるシンクライアント用OSについて、基本ファイル手段と、シンクライアント用ファイル手段とファイルシステム仮想化手段とを含ませる。さらに、シンクライアント用ファイル手段は、起動制御手段と、全画面タスク切り替え防止手段とを含むことを特徴とする。さらに、ファイルシステム仮想化手段により、シンクライアント用ファイル手段に含まれるファイル群を、基本ファイル手段に含まれるファイル群と実質的に同一のファイル名でアクセスする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、特にシンクライアント用オペレーティングシステム、シンクライアント装置、サーバ・シンクライアントシステム、及びシンクライアント用オペレーティングシステムの実行方法に関する。
【背景技術】
【0002】
近年、データ通信用のネットワークが飛躍的に進歩している。
例えば、固定回線を使用したネットワークとしては、ADSLや光ファイバー等のいわゆるブロードバンド接続が実現してきている。
このため、サーバ内にアプリケーション・プログラムを実装し、このアプリケーションプログラムを遠隔地にある端末からユーザーが操作するサーバ・クライアント(端末)システムを、以前より快適に実行する環境が整いつつある。
【0003】
上記の端末としては、例えばいわゆるPC/AT(登録商標)互換機やマッキントッシュ(登録商標)のような通常のPC(パーソナルコンピュータ)に、ウィンドウズ(登録商標)XP(マイクロソフト社製)のような通常のパーソナルコンピュータ用の汎用OS(オペレーティングシステム)を搭載し、サーバにアクセスするためのクライアントプログラムをさらにインストールすることで端末として使用していた。
しかし、汎用のOSを搭載した通常のパーソナルコンピュータでは、固定ディスク装置である外部記憶装置の記憶内容をユーザーが変更することが可能である。
よって、電子メールの添付ファイルやユーザーが独自にインストールしたファイル交換ソフト等により、バックドアやトロイの木馬等のいわゆる悪意あるプログラムが、ユーザーが感知しない間に外部記憶装置に仕掛けられることがある。これにより、サーバから端末の外部記憶装置にダウンロードされた機密情報が外部に流出することがあり、社会的な問題となっている。
【0004】
そこで、よりセキュア(悪意ある者からの攻撃に対してセキュリティーが強固であることを言う)な、サーバ・クライアントシステムとして、サーバとアクセスするために専用の端末であるシンクライアント(thin−client)装置を用いるサーバ・シンクライアントシステムが存在する。
このシンクライアント装置としては、通常のPCとは異なる専用設計の装置を用いる。また、この専用設計のシンクライアント装置では通常のPC/AT互換用とは異なる縮小されたOSがフラッシュメモリ等の外部記憶装置に記憶されており、ユーザーが該フラッシュメモリの内容を変えることは難しい。このため、セキュアとなる。
上記の縮小されたOSでは、ネットワーク設定等の操作に高度な知識を必要とする。
このため、例えば下記の特許文献1(以下、従来技術1とする)では、専用のシンクライアント装置において、簡便にネットワーク設定をし、フラッシュメモリに記憶することが可能なシンクライアント装置とネットワーク設定構成方法について述べられている。
【0005】
また、たとえば、下記の特許文献2(以下、従来技術2とする)では、通常のサーバ・クライアントシステムとして、汎用のOSを使用して、全画面表示のウェブブラウザにより、サーバにアクセスできるサーバ・クライアントシステムが考案されている。
【特許文献1】特開2005−216292号公報
【特許文献2】国際公開第2006/041122号パンフレット
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかし、従来技術1のシンクライアント装置は、セキュアでありネットワーク設定の構成は簡便化されているという利点があったものの、そもそもシンクライアント装置は専用設計なので、高価であった。
また、従来技術2のサーバ・クライアントシステムは、通常のPCを使用できるために専用装置より安価であるものの、汎用OSを使用しているため、悪意あるものの攻撃に対して汎用OSのセキュリティー水準と同等になる。
そこで、水平分業モデルにより量産化されているため価格が非常に低い通常のPCや、リサイクルされた旧式のPCを使用でき、専用のシンクライアント装置と同様にセキュアであるシンクライアント専用のOSが必要とされていた。
【0007】
本発明は、このような状況に鑑みてなされたものであり、上述の課題を解消することを課題とする。
【課題を解決するための手段】
【0008】
本発明のシンクライアント用オペレーティングシステムは、制御手段と主記憶手段とネットワーク接続手段とを備えるシンクライアント用のオペレーティングシステムであって、基本ファイル手段と、シンクライアント用ファイル手段とファイルシステム仮想化手段とを含み、前記シンクライアント用ファイル手段は、起動制御手段と、全画面タスク切り替え防止手段とを含むことを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記基本ファイル手段に含まれるファイル群は、汎用オペレーティングシステムに含まれるファイル群から作成することを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記ファイルシステム仮想化手段により、前記シンクライアント用ファイル手段に含まれるファイル群を、前記基本ファイル手段に含まれるファイル群と同一のファイル名でアクセスすることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記シンクライアント用ファイル手段に含まれるファイル群は、サーバのオペレーティングシステムに非依存なファイル群と、サーバのオペレーティングシステムに依存するファイル群とが含まれることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記シンクライアント用ファイル手段に含まれるファイル群は、記憶媒体に記憶されている際には暗号化又は圧縮化されており、シンクライアントの起動時に主記憶手段に読み込む際に復号化することを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記基本ファイル手段及び前記シンクライアント用ファイル手段のファイル群は、追記不可能な記憶媒体に記憶することを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記追記不可能な記憶媒体には、該記憶媒体ごとにさらに識別コードが記憶されていることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記追記不可能な記憶媒体は、光ディスクであることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記起動制御手段により、前記追記不可能な記憶媒体を識別して復号を行うことを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、基本ファイル手段及び/又はシンクライアント用ファイル手段の更新差分ファイル手段を更に含み、前記ファイルシステム仮想化手段により、前記更新差分ファイル手段に含まれるファイル群を、前記基本ファイル手段及び/又はシンクライアント用ファイル手段のファイル群と同一のファイル名でアクセスすることを特徴とする。
本発明シンクライアント用オペレーティングシステムは、前記更新差分ファイル手段のファイル群は、記憶内容変更可能な記憶媒体に記憶されることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記記憶内容変更可能な記憶媒体は、該記憶媒体ごとに識別コードがさらに記憶されていることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記記憶内容変更可能な記憶媒体は、フラッシュ記憶媒体であることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記起動制御手段により、前記記憶内容変更可能な記憶媒体の識別コードを使用して、復号を行うことを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、起動が終了した後は、主記憶手段のみを使用することを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、外部記憶手段をさらに含むシンクライアントの該外部記憶手段に、仮想記憶を作成することを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記記憶内容変更可能な記憶媒体に仮想記憶を作成することを特徴とする。
本発明シンクライアント用オペレーティングシステムは、前記主記憶手段を起動が終了した後には使わず、前記記憶内容変更可能な記憶媒体を一時的な記憶手段とすることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記シンクライアントの主記憶手段の代わりに、前記記憶内容変更可能な記憶媒体内にさらに主記憶手段を備えて使用することを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記起動制御手段は、オペレーティングシステムの起動シークエンスとして文字又はカーソルが画面に表示されることを防ぎ、グラフィック画像を表示する起動制御手段であることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記全画面タスク切り替え防止手段は、シンクライアントと接続された表示手段の全画面にグラフィカル・ユーザー・インターフェースにより表示されたタスクからのみユーザーがシンクライアントを操作可能にすることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記シンクライアントは、パーソナルコンピュータであることを特徴とする。
本発明のシンクライアント装置は、上述のシンクライアント用オペレーティングを実行することを特徴とする。
本発明のシンクライアント装置は、パーソナルコンピュータで前記シンクライアント用オペレーティングシステムを実行することを特徴とする。
本発明のゲートウェイ装置は、サーバ装置と、請求項7又乃至22のいずれか1項に記載のシンクライアント用オペレーティングシステムとの間に接続された、前記追記不可能な記憶媒体の前記識別コード及び/又は前記記憶内容変更可能な記憶媒体の識別コードを秘密鍵として認証することを特徴とする。
本発明のサーバ・シンクライアントシステムは、サーバ用オペレーティングシステムが実行されているサーバ装置と、ネットワーク手段と、シンクライアント装置とを備え、前記シンクライアント装置で、基本ファイル手段と、シンクライアント用ファイル手段とファイルシステム仮想化手段とを含み、前記シンクライアント用ファイル手段は、起動制御手段と、全画面タスク切り替え防止手段とを含むことを特徴とするシンクライアント用オペレーティングシステムを実行することを特徴とする。
本発明のシンクライアント用オペレーティングシステムの実行方法は、起動時に追記不可能な記憶媒体から起動を開始し、内容変更可能な記憶媒体に記憶された追加又は差分のファイルを、ファイルシステム仮想化手段により同一のファイル名でアクセスすることを特徴とする。
本発明のシンクライアント用オペレーティングシステムの実行方法は、追記不可能な記憶媒体に含まれるシンクライアント用ファイル群を、インストーラがシンクライアントの外部記憶手段にインストールし、起動時には前記外部記憶手段にインストールした前記シンクライアント用ファイル群から起動し、起動後には前記外部記憶手段を使用しないことを特徴とする。
本発明のシンクライアント用オペレーティングシステムの実行方法は、追記不可能な記憶媒体に含まれるシンクライアント用ファイル群を、インストーラがシンクライアントの外部記憶手段にインストールし、前記外部記憶手段に、内容変更可能な記憶媒体により追加又は差分のファイルを前記インストーラがさらにインストールし、起動時に追記不可能な記憶媒体から起動し、次に前記外部記憶手段にインストールした前記シンクライアント用ファイル群を起動し、追記不可能な記憶媒体の識別コードを使用してサーバとのユーザー認証をすることを特徴とする。
【発明の効果】
【0009】
本発明によれば、広く市販されている汎用のPCをシンクライアント装置として使用することができる、セキュアなシンクライアント用OSを提供することができる。
【発明を実施するための最良の形態】
【0010】
<第1の実施の形態>
以下、図面を参照して、本発明の第1の実施の形態に係るシンクライアント用OSについて説明する。
図1Aは、本発明の第1の実施の形態に係るシンクライアント用OSを実行するためのシンクライアント・サーバシステムの概念図である。
本発明の第1の実施の形態に係るサーバ・シンクライアントシステムXは、ウィンドウズ(登録商標)・サーバ2003やLinux(登録商標)等のサーバ用OSが稼働しているサーバ10と、本発明の実施の形態に係るシンクライアント用OSが稼働している一般的なPC/AT互換機等のPC等である端末20−1〜20−nとが、インターネット等のネットワーク部5を通して接続されている。
【0011】
図1Bは、本発明の第1の実施の形態に係るこれらの端末の一つで通常のPCである端末Yの構成を示す図である。
端末Yは、例えばPC/AT互換機の機能を備えるPCであるが、PC/AT互換機として最低限必要な機能を汎用品から組み立てた専用設計ではないシンクライアントであってもよい。端末Yは主な構成として、PCの制御部である例えばIntel社製Pentium(登録商標)やAMD社製Athlon(登録商標)等のCPU(中央処理装置)であるCPU21と、DRAM等である主記憶部22と、CPU21と主記憶部22との間でメモリ記憶内容のリード/ライトを行うためのやり取りをするメモリコントローラ(AMD社製の場合、CPUにメモリコントローラを内蔵)やI/Oコントロール等を行う集積回路であるチップセット23と、CD−ROMやDVD−ROM等の光ディスク装置24と、ハードディスクドライブ(HDD)等の固定ディスク装置であるHDD25と、ビデオカード26と、ネットワーク接続部27とを含む。さらに、チップセット23は、ユーザーがPCの操作を行うための入力部であるキーボード40とポインティングデバイス45とに接続されている。
【0012】
ビデオカード26は、拡張基板(カード又はボード)形式で提供され、PCI−ExpressやAGP等のバスインターフェースでチップセット23と接続される、PCの表示用に用いられる部位である。このビデオカード26と同等の機能が、オンボードのビデオチップ又はチップセット23に統合されていることもある。このビデオカード26には、CRTディスプレイや液晶ディスプレイ等である表示部50が接続されている。
ネットワーク接続部27は、LANカード等の有線LANや無線LANのインターフェイスであり、端末Yをインターネット等のネットワークに接続可能である。このネットワーク接続部もチップセット23に統合されていることがある。
【0013】
なお、端末YにはHDD25が内蔵されていてもいなくても良いが、光ディスク装置24からPCの起動が可能であることが要求される。
しかし、光ディスク装置24からPCの起動ができないPCであっても、図示しない起動可能なFDD(フレキシブルディスクドライブ)から起動した上で、光ディスク装置24から本発明の第1の実施の形態に係るシンクライアント用OSを実行することができる。
また、これらの端末にHDD25がある場合、後述するインストールを行うことにより、このHDD25から起動のみを行うことも可能である。さらに、光ディスクの代わりにフラッシュメモリを用いることも可能である。
【0014】
次に、本発明の第1の実施の形態に係るシンクライアント用OSの構成を図面を参照して説明する。
本発明の第1の実施の形態に係るシンクライアント用OSは、PC用のUNIX(登録商標)互換の一般的な汎用OSであるLinux(登録商標)を使用して作成している。具体的には、例えばCD−ROMから起動するLinuxの一種であるKNOPPIXからハードウェアの認識とネットワーク接続等に必要なプログラムやそれに付随したデータ、設定ファイル等を含むファイルを取捨選択し、さらにシンクライアント用OSに必要なプログラムやデータ、設定ファイル等のファイルを別ファイルとして独自に組み込む構成としている。すなわち、汎用OSから必要なファイルのみを取捨選択しているため、セキュリティー・ホール(セキュリティー上の弱点)を少なくすることが可能になる。
【0015】
図2は、例えばCD−ROM、DVD−ROM又はCD−R、DVD−R等の、一度、媒体に物理的・化学的に記憶された後は追記不可能な(以下、「追記不可能」と言う。)光ディスクである記憶メディアCに記憶した、本発明の第1の実施の形態に係るシンクライアント用OSについての構成を示す図である。
この記憶メディアには、基本ファイル部100、シンクライアント用ファイル部200、ファイルシステム仮想化部300、マニュアル部400に主に分けられた状態でファイル群が記憶されている。また、記憶メディアには、識別コード部500が記憶されている。
【0016】
基本ファイル部100は、汎用OSのシンクライアント用に必要なファイル以外の汎用なファイル群について記憶している部位である。
これには、光ディスク装置から起動するための起動ファイルとOSの核(カーネル)プログラムや基本的なファイルシステム用のファイル群の集合である起動ファイル部110と、起動時のオプションメニューを表示するためのプログラムや画像データ等が含まれる起動メニュー部120とが含まれる。
また、仮想記憶についての処理を行う際に必要となるプログラムである、仮想記憶処理部130がさらに含まれている。
【0017】
シンクライアント用ファイル部200は、起動ファイル部110が起動された後にファイルシステム仮想化部300と連動してファイルシステムの制御等を行う起動制御部210と、ウィンドウマネージャ上に全画面ウィンドウを作成してこの全画面ウィンドウ上でサーバをアクセスする単一のアプリケーションを実行する全画面タスク切り替え防止部220と、起動中にグラフィック画像を表示するためのプログラムやデータであるスプラッシュイメージ部230と、サーバのOSに応じた通信・描画機能を実現するサーバOS依存部240とが含まれる。また、起動制御部210と全画面タスク切り替え防止部220は、サーバのOSに依存しないファイル群に置かれている。
【0018】
さらに、ファイルシステム仮想化部300は、ファイルシステム仮想化を実現するためのプログラム群が含まれている。
マニュアル部400は、製品のマニュアル等が、PDF形式や、HTML形式、man(UNIX(登録商標)のマニュアル)形式等で含まれている。
【0019】
識別コード部500は、記憶メディアにおいて通常のファイルシステムの参照方法では参照できない箇所に記憶されている、後述する復号化の際のキーである。さらに、ネットワーク設定等、記憶メディアCごとに特化した情報が書き込まれていてもよい。
【0020】
ここで、図10を参照して、本発明の第1の実施の形態に係るシンクライアント用OSの記憶された記憶メディアCである光ディスクのファイル構成について説明する。
まず、記憶メディアCは、ISO 9660(Romeo extensions)形式等の標準的な形式で作成されている。このため、例えばマイクロソフト社のウィンドウズ(登録商標)XP等の搭載されたPCで、この光ディスクを読み込むと、ファイルを参照することができる。
しかし、上述のシンクライアント用ファイル部200に含まれるファイル群は、起動制御部210を除き、例えばbzip等によりアーカイブ形式で圧縮・暗号化された数個のファイルとしてしか参照できない。
これら数個のファイルは、シンクライアント用ファイル部200を含む「/IZE」ディレクトリに、それぞれ「IZE1」〜「IZE3」のファイルとして存在する。
【0021】
たとえば「IZE1」は、シンクライアント用のスペシャルカーネルや基本的なデーモン等が含まれているアーカイブファイルであり、「IZE2」をサーバのOSに依存しないファイルを含むアーカイブファイルであり、「IZE3」をサーバのOSに依存するファイルを含むアーカイブファイルとする。
「IZE3」については、対応するサーバOSがマイクロソフト社製のウィンドウズ(登録商標)・サーバ2003の場合「Type WT」、Linux(登録商標)である場合、「Type BR」とする。
【0022】
スプラッシュイメージ部230と、全画面タスク切り替え防止部220のファイル群は、機能的な必要性に応じて「IZE2」と「IZE3」に記憶されている。また、サーバOS依存部240のファイル群は、ほぼ「IZE3」に含まれている。
これら「IZE1」〜「IZE3」の巨大ファイルは、後述するようにシンクライアント用OSの起動時でシンクライアントの主記憶部22に読み込まれる際に、識別コード部500を参照して復号・展開する。
なお、「IZE」は、Identified by Zero−based Endorsement (ゼロベースの保証による認識)の略である。
【0023】
次に、本発明の第1の実施の形態に係るシンクライアント用OSが記憶された記憶メディアCをユーザーがPCの光ディスク装置24に挿入し、PCの電源をオンにした際の、起動時の動作について、図を参照して説明する。
【0024】
図3は、このシンクライアント用OSが起動するまでの手順を説明する全体のフローチャートである。以下、このフローチャートを参照して起動までの流れを説明する。
まず、ステップS101において、CPU21が、PCの図示しないマザーボード(主基盤)に標準で搭載されているNOR型フラッシュメモリ等に内蔵されているBIOS(Basic Input Output System)やEFI(Extensible Firmware Interface)等のファームウェアプログラムを実行する。
これにより、CPU21はCPU21のマイクロコード(機械語コード)等を認識して起動の準備を行い、光ディスク装置24からの起動(ブート)を始める。これにより、本発明の第1の実施の形態に係るシンクライアント用OSの起動処理が始まる。
【0025】
ステップS102においては、シンクライアント用OSの起動メニュー部120が、いくつかの起動オプションを画面に表示する。この画面は、図6Aに示すように、例えばLinux標準のブートマネージャであるGRUBを元に作成されているが、syslinuxを用いることが可能である。なお、「TRANSPORTER」は本発明の第1の実施の形態に係るシンクライアント用オペレーティングシステムの商品名である。
【0026】
ここで、ユーザーは、PCのキーボード40の上下又はページアップ/ダウンキーを操作する又はポインティングデバイス45等の入力手段によって、起動オプションをメニュー内の数種の中から選択することができる。
この選択できる起動オプションが画面枠内の「TRANSPORTER(1280×1024)」〜「InternalHDD2」である。選択された起動オプションは当該欄の背景色が変わる等のカーソル表示によりユーザーが確認可能である。
起動オプションのうち、「TRANSPORTER(1280×1024)」〜「TRANSPORTER(800×600)」は、それぞれ起動後の画面の解像度に対応している。これにより、高解像度の画面表示をサポートしていない旧式のPCも使用することが可能である。
また、「TRANSPORTER(substandard)」は、解像度を最初に指定するのではなく、ハードウェア自動認識の成功具合により解像度が変化するモードであり、PCの表示部50がプラグ・アンド・プレイに対応している場合(例として、DVI等のデジタル接続でVESA規格に対応している場合)、最適な解像度を起動時に自動的に選択することが可能となる。たとえば、PCのディスプレイが1280×1024ドット以上の高解像度に対応している場合、これも選択することが可能である。また、この「TRANSPORTER(substandard)」の場合は、起動のモードが異なるためステップS107がスキップされ、スプラッシュは表示されない。さらに、解像度の検出に失敗した場合は、デバイスとして伝統的に標準のグラフィック画面(PC/AT互換機の場合VGA(Video Graphics Array))で起動することが可能である。
なお、起動時の標準では「TRANSPORTER(1024×768)」のオプションが選択されている。
【0027】
さらに、起動メニューが表示されている際に、例えばキーボードの「p」キーを押下することで、起動時のオプションをコマンドラインで指定して入力することが可能である。たとえば、デバッグモードや、特定のデバイスドライバを読み込まないモード、ビデオカード26がLinuxに対応していない際等に、最低限の互換画面環境(VESA SVGA等)で起動するモード、特定の設定ファイルを読み込む/スキップするモード等が選択できる。
【0028】
他の起動オプションである「InternalHDD1」は、PCにHDDが内蔵されている場合のみ、起動メニュー部120が表示する。
「InternalHDD1」は、HDD25にインストールされている、例えばマイクロソフト社ウィンドウズ(登録商標)XP等のOSを起動する、起動オプションである。
ユーザーが「InternalHDD1」を選択すると、本発明の第1の実施の形態に係るシンクライアント用OSは終了し、通常はPCのファームウェアで設定されている最初のHDDの最初のパーティションにインストールされているOSが実行される。
「InternalHDD2」は、例えば米国DELL社等の大手PCメーカー製PCの場合を想定している。すなわち、最初のパーティションにプロダクト・リカバリー用のデータ等が入っている場合、「InternalHDD1」と同じHDDの、2番目のパーティションから起動する。
【0029】
さらに他の起動オプションである「Install TRANSPORTER to hard disk」について説明する。
このオプションを選択すると、まず、シンクライアント用OSの書類のマニュアル等に書かれているパスワードをユーザーがキーボードより入力する必要がある。これにより、誤って内蔵HDD25のOSを上書きするのを防ぐことができる。
さらにユーザーがこのパスワードを正しく入力した場合、後述するステップS104のインストールの過程により、記憶メディアCのファイル群がコピーされるインストールが行われる。
このインストールにより、起動時間を短縮し、特定のPCの環境に合わせた本発明の第1の実施の形態に係るシンクライアント用OSをインストールすることができる。
また、上述したように、このオプションにより起動を行っても、本発明の第1の実施の形態に係るシンクライント用OSでは、通常は起動後はHDD25を停止してまったく書き込みを行わない。
【0030】
ここで、インストールを行う際に、主記憶部22の容量が少ないPCの場合は、HDD25にて仮想記憶を作成して使用することが可能である。この場合でも、インストールされたファイルはまったく変更されないが、起動後にHDDは稼働する。
また、この仮想記憶を読み出されることでデータが流出するのを防ぐため、仮想記憶処理部130は、暗号化zip等のアルゴリズムで圧縮又は暗号化して仮想記憶上に読み書きして使用することが可能である。この暗号化については、シンクライアント用ファイル部200又は識別コード部500に書かれた秘密鍵を使用する。
【0031】
次に、起動メニュー部120は、ユーザーが起動オプションを選択した場合、キーボード40の「p」キーが押下された場合、又は一定時間(例えば5秒)キーボード40からユーザーの入力がなかった場合、次のステップS103に処理を進める。
ステップS103においては、起動メニュー部120は、インストールを行うかどうかの判断を行う。すなわち、起動オプションとしてユーザーが「Install TRANSPORTER to hard disk」を選択した場合、「Yes」として、次のステップS104に処理を進める。それ以外の場合は、ステップS102で選択されていた起動メニューに従って、次のS105以下の処理を進める。
【0032】
ステップS104においては、起動メニュー部120と起動ファイル部110に含まれるインストーラにより、以下のインストールの処理が行われる。
まず、インストーラは、共通ファイル部100からインストール処理を行うための最低限のカーネルやファイルシステム関連ファイルを読み込み、インストールのためのテキスト画面を表示する。
このテキスト画面である図6Bの画面図を参照して説明すると、まず、HDD25のHDDが複数ある場合は、それらのHDDと現在のパーティション構成情報について、起動メニュー部120が表示する。
次に、インストールするHDDを選択するダイアログを起動メニュー部120が表示する。ここで、ユーザーがHDD消去を容認するかを尋ねるダイアログを表示し、ユーザーがそれに対応して「yes」と入力すると、次のダイアログを表示する。
次に、インストーラは、ユーザーにインストール時オプションを設定させる。
このインストール時オプションとしては、(1)HDDを完全に消去(HDDの各セクタに0を書き込む、乱数を書き込む、NSA(米国国家安全保償局)推奨方式の消去等が可能である)するか、(2)現在あるパーティションにインストールするか、(3)現在あるパーティションの一部を区切ってインストールするか、についてダイアログより選択できる。
さらに、(4)仮想記憶ファイルやスワップパーティション等を作成するかどうか、についても、これはHDDに本発明の第1の実施の形態に係るシンクライアント用OSをインストールする/しないに関係なく設定可能である。
【0033】
ユーザーのオプション設定が終わると、インストーラは、HDDを消去する場合は消去し、シンクライアント用OSのインストールに必要な最低限のパーティションをHDDに作成し、記憶メディアCの内容をコピーする。仮想記憶を使用する場合は、このパーティション又はファイルを作成する。この際、起動メニュー部120が画面上にインストールの進行度合いを表示する。図6Bは、このインストール中に表示される画面の一例である。
インストールが終わると、インストーラは処理を終了する。これにより、起動メニュー部120は、処理をステップS105に進める。
なお、通常、インストールしたHDD上のファイルには記憶メディアCの識別コード部はなく、直接起動するような仕組みにもしていないため、起動時には記憶メディアCを光ディスク装置24に装入して読み出される状態にしておく必要がある。しかし、記憶メディアCの識別コード部を直接HDDにインストールし、記憶メディアCを光ディスク装置24に入れずに起動する構成も可能である。
HDDにインストールが行われると、次回起動時には起動メニュー部120は、順次HDD25に搭載されているHDDを検索して、最初のインストールされたファイルを検出した場合、起動メニューを表示せずにこのインストールされたファイルから起動を行う。
【0034】
ステップS105においては、起動ファイル部110と起動制御部210とファイルシステム仮想化部300が、本発明の第1の実施の形態のシンクライアント用OSの特徴であるところの、ファイルシステム(記憶装置に記録されているファイルを管理するための方式)の初期化を行う。この詳細を、図4のフローチャートにて示す。
【0035】
まず、ステップS1051において、起動ファイル部110の起動用のLinuxカーネル(核)が、主記憶部22上にファイルシステムを作成する。このファイルシステム作成には例えばtmpfsというプログラムを使用することができる。
以後、このファイルシステムをルートファイルシステムとする。次にこのルートファイルシステムをマウントする(マウントとは、OSがファイルシステムを認識し、該ファイルシステム中にあるファイルの読み書きができるようにするための操作のことを言う。)。さらに、起動ファイル部110におけるデバイスドライバ(ドライバ、OSからハードウェアを操作するためのプログラム・モジュール)やデーモン(バックグラウンドで実行するサービスプログラム)等の必要なファイルを、このルートファイルシステム上に展開する。この上で、起動制御部210を実行して処理を引き継がせる。
【0036】
次に、ステップS1052において、このルートファイルシステム上に、ステップS102でユーザーが入力した起動オプションを読み込み、必要な設定ファイル等を選択する。
次に、ステップS1053において、起動制御部210は、起動ファイル部110によって指定されたオプションに従って、記憶メディアCからシンクライアント用ファイル部200のための他のファイルである「IZE1」〜「IZE3」を検索してマウントする。また、この「IZE1」〜「IZE3」を展開するために必要なファイルシステム(以後IZE*ファイルシステムとする。)を作成してマウントする。
【0037】
次に、ステップS1054において、起動制御部210は、ステップS1051で作成したルートファイルシステムとIZE*ファイルシステムについて、ファイルシステム仮想化部300を実行する。
ファイルシステム仮想化部300は、例えばunionfs等のようなファイルシステムを仮想化してマウントすることができるプログラム・モジュールである。
このunionfsは、UNIX(登録商標)系のファイルシステムで言うところのファイル・インデックス情報であるi−node等を調整する。これによりファイルシステムを二重化(重ね合わせ)して読み込むことができる。
すなわち、ディレクトリ構成が重なるファイルシステムを主記憶上に新たに作成し、このファイルシステムから、同一名のディレクトリやファイルにアクセスすることができる。
重ね合わせられたファイルシステム間に同一名のディレクトリやファイルがある場合には、階層的に、どれか一つのファイルシステムにあるディレクトリやファイルが優先されてアクセスされる。また、その優先されるファイルシステムになく、もう一方のファイルシステムにだけあるファイルの場合、そのファイルをアクセスすることができる。
【0038】
このファイルシステムの具体的な状態について図11を参照して説明すると、ルートファイルシステム上でカーネルや基本的なファイルシステムがそれぞれあり、「IZE1」〜「IZE3」の展開したファイルについても、ファイルシステムが作成されているのが分かる。
ここで、重ねられたファイルシステムは、ルートファイルシステムの「/」(システムルート)上に、「/UNIONFS」以下のシンボリックリンクとして実現されている。
例えば、このステップ以降に、ユーザーやOS上で実行される各種スクリプト等のプログラムが「/bin」を参照しようとすると、「/UNIONFS/bin」の内容を見ることができる。さらに、この「/UNIONFS/bin」の内容は、「IZE1」〜「IZE3」をIZE*ファイルシステムに展開したファイルのディレクトリの「/bin」を重ねた内容である。
すなわち、ize*ファイルシステム中では、「ize3」−>「ize2」−>「ize1」の順でファイルが優先されてアクセスされる。(階層について削除しました)
このようなファイルシステムの重ね合わせにより、本発明の第1の形態に係るシンクライアントOSは、通常のLinux(登録商標)のファイルシステムと、実質的に同一なファイル名にて必要なファイルにアクセスすることが可能になる。
これにより、製品のバージョンが異なっても同一のファイルにアクセスすることができるため、セキュリティー・ホール等を回避することが可能となる。また、ディレクトリ構造の違いによってファイルのアクセスができなくなることを防ぐことができる。よって、OSの安定性が向上し、よりセキュアになる。
【0039】
次に、ステップS1055において、起動制御部210は、ステップS1051において起動ファイル部110によって指定されたオプションに従って、「IZE1」〜「IZE3」を記憶メディアCから読み込んで、識別コード部500により復号し、二重化した主記憶部22のIZE*ファイルシステム上に展開する。これにより、以後、本発明の第1の実施の形態に係るシンクライアント用OSにおいては、第1にIZE*ファイルシステム上に展開されたファイルからアクセス可能となる。
また、ルートファイルシステム上のカーネル等は、ルートファイルシステム上に置かれたままとなるため、仮に何らかの障害でカーネル関連のファイルが破損しても、ルートファイルシステム上のカーネル関連ファイルにアクセスすることができる。つまり、ファイルが破損して消去された場合でも、「/UNIONFS」下の階層のファイルシステムを参照することで、このファイルをアクセスすることができるため堅牢性が高まる。さらに、ファイルが異常であるとファイルシステム上で判断できる場合、この異常ファイルを消去して同様に下の階層のファイルシステムにアクセスすることが可能である。すなわち、OSの実行時にファイルが壊れることがない。これにより、安定性を担保することができる。
【0040】
次に、ステップS1056において、IZE*ファイルシステムにおいて、ステップS1051で読み込まれた起動オプションに従って、各種設定ファイルの初期化を行う。
これでファイルシステム初期化に係るステップS105は終了する。
【0041】
ファイルシステムの初期化が終わった後、本発明の第1の実施の形態に係るシンクライアントOSは、次のステップS106とステップS107で示されるステップを同時に行うことができる。
ステップS106においては、各種ハードウェア認識と初期化を行う。この間、通常のLinuxでは起動シークエンスが表示されるが、これは一般のユーザーには馴染みがなく、無機的な感じを与えるために製品としての訴求効果が低下する。
そこで、本発明の第1の実施の形態に係るシンクライアント用OSにおいては、ステップS106において、グラフィック画面が表示されるようなモジュールを起動する。次に、ステップS106のハードウェアを認識し初期化する間、ステップS107で画面上に画像を表示する。この画像をスプラッシュとする。
このスプラッシュにより、ユーザーが起動を待つ間の退屈を防止し、見栄えを良くし、製品としての訴求効果を高めることができる。
以下で、この2つのステップについて説明する。
【0042】
まず、S106のハードウェア認識について、図5を参照して説明する。
ステップS1061において、起動制御部210は、前ステップで読み込んだ設定ファイルを元に、各種デバイスドライバを起動ファイル部110も参照しつつ読み込み、デバイスの設定を行ってゆく。この際、まず最初に、ビデオカード26に働きかけ、ステップS102でユーザーが選択した表示上の解像度に変更し、次のステップS107のスプラッシュを起動する準備を行う。ここで、ユーザーの選択した解像度に変更不可能であった場合は、ステップS102の「TRANSPORTER(substandard)」と同様な解像度の自動認識を行うため、ステップS107は実行しない。
このデバイスドライバとしては、汎用OSであるところのLinux用に用意されたデバイスドライバ群が利用できるため、各機種ごとの構成が千差万別であるPC/AT互換機に対応することができる。
また、本発明の第1の実施の形態に係るシンクライアント用OSは、シンクライアント用に特化したOSなので、多数のデバイスについてのデバイスドライバを読み込む必要がない。このデバイスドライバとしては、例えば、チップセット23の各種I/O用ドライバ、HDD25アクセス用のIDEドライバ等、ネットワーク用ドライバ、USB(ユニバーサル・シリアル・バス)用ドライバ、図示しない音声出力部のドライバ等だけが必要である。また、必要に応じて、PCカードドライバ等も読み込むことができる。
【0043】
次に、ステップS1062において、起動制御部210は、ネットワーク設定を行う。このネットワーク設定としては、DHCPによりIPアドレスを設定し、ファイアーウォール(IPフィルタ、ジェイル等)等の設定も行う。
また、識別コード部500にネットワーク設定が記憶されている場合、これに従って、ネットワーク設定を行う。これにより、特定の場所や環境以外でネットワーク以外でネットワークに接続できないため、よりセキュアになる。
【0044】
次に、ステップS1063において、IZE*ファイルシステムのシンクライアント用ファイル部200の中から、壁紙ファイルを検出して読み込む。この壁紙ファイルは、ステップS108から、ステップS109で起動する全画面タスク切り替え防止部220が起動される前まで表示部50に表示されるため、ユーザーへの訴求効果を高めることができる。
これでハードウェア認識に係るステップ106が終了する。
【0045】
ステップS107においては、ステップS106の最初期にVGAドライバが起動された後、まず図7に参照されるようなスプラッシュの画面が表示される。これ以降、通常のLinuxのように起動シークエンスとして文字の羅列が表示されたり、マイクロソフト社のウィンドウズ(登録商標)等に見られるような、時折、表示部50に表示される画面がテキスト表示モードに変更されカーソルが点滅して、途中で起動しないのではないかとユーザーが不安を感じることはない。
図7のスプラッシュの画面においては、起動制御部210が、右下にキャラクターが移動するアニメーション1500を表示する。また、ステップ106の状態を監視して、どの程度デバイスドライバの起動が終わったのかに従って、プログレスバー1510の状態を更新する。この更新に従って、グラフ状のプログレスバーの色が右に向かって延びる。
このプログレスバー1510の状態については、デバイスドライバと機器の平均起動時間について、相当数のデバイスドライバについて計測したデータが起動ファイル部110に内蔵されている。このため、通常のウィンドウズ(登録商標)等の起動時のプログレスバーに比べて、進行度合いの表示が正確である。
【0046】
次に、ステップS108において、GUI(画像処理インターフェイス)の初期化を行う。本発明の第1の実施の形態に係るGUIとしては、UNIX(登録商標)又はこの互換OS用の高解像度のグラフィック環境である、例えばX Window System(登録商標、以下、X−Windowとする)やこれの互換GUI等を使用できる。
このステップS108では具体的には、起動制御部210が、起動ファイル部110にあるX−Windowを起動するための一連のデバイスドライバや設定ファイルの読み込み、X−Windowの起動を行う。
【0047】
このX−Windowの画面解像度に関しては、前のステップS101でユーザーが設定した解像度に従って起動する。X−Windowのウィンドウマネージャとしては、後に全画面表示アプリケーションを1つ起動するだけなので、メモリ使用量が少ないTWM等を使用するのが好適である。
さらに、このステップにおいて、起動制御部210が、ステップS1063において読み込んだ壁紙ファイルを表示する。これにより、スプラッシュからシームレスに壁紙が表示される。
この壁紙ファイルが表示された表示部50の画面の様子を図8Aに示す。GUIが起動しているため、画面中央に矢印(ポインター)が表示されているのが分かる。
【0048】
次に、ステップS109において、全画面タスク切り替え防止部220が、全画面表示アプリケーションを起動する。この全画面表示アプリケーションは、表示部50の全面に表示される「デスクトップ」画面として動作し、ユーザーがこの全画面表示アプリケーション以外の他のタスクに切り替えるのを防止する能力がある。
この上で、全画面タスク切り替え防止部220は、サーバOSに依存するアプリケーションである、サーバOS依存部240の一連のプログラム群を、全画面表示アプリケーション上で起動する。
【0049】
サーバ10のOSがマイクロソフト社製のウィンドウズ(登録商標)・サーバ2003の場合、サーバOS依存部240は、VNC等のプログラムと同様の働きをするプログラムを使用する。この構成を上述のように、「Type WT」と言う。
すなわち、「Type WT」において、サーバOS依存部240のプログラムは、ウィンドウズ(登録商標)・サーバ2003のデスクトップ画面を端末Yの表示部50に表示し、ネットワーク接続部27は、リモートデスクトップ機能に関連するポートから、デスクトップ画面を圧縮したパケットを送受信する。これにより、ユーザーがウィンドウズ(登録商標)のリモートデスクトップ機能を利用して、サーバ10の操作をすることが可能となる。
「Type WT」における、サーバ10へのログイン画面を図9に示す。ユーザーはユーザー名とパスワードを入力してサーバ10に認証されると、サーバ10にインストールされた各種アプリケーションを利用することが可能になる。
この場合、通常のPCと通常の汎用OSを使用してリモートデスクトップ接続するのと違って、端末Yの機能はサーバの画面を表示することに特化しているため、サーバから情報が端末Yに引き出されて盗まれる可能性が極めて低くなる。
【0050】
また、サーバ10のOSがUNIX(登録商標)系のOSの場合、サーバOS依存部240は、Adobe社のFLASHをベースとした遠隔デスクトップ接続のプログラムを実行し、これによりサーバ10と接続することができる。この構成を上述のように「Type BR」と言う。
この「Type BR」の場合、デスクトップの差分部分をXML形式で送信するため、より動作が軽快になり、ユーザーが快適に使用できる。
【0051】
ユーザーがPCを使用する作業を終えた場合、ただ電源を切れば良い。「Type WT」においては、ログオフの操作をした方が良いが、サーバ10は端末Yからアクセスが一定時間ないと自動的にログオフするように設定されているため、直接電源を切っても問題は少ない。電源が切られると、主記憶部22の内容は完全にランダムになるため、これを解析して情報が盗まれることはない。
また、仮想記憶が設定されていた場合は、ユーザーがPCの電源ボタンを押すと、全画面タスク切り替え防止部220が仮想記憶ファイル又はパーティションを消去してからシャットダウンのプロセスを行う。直接、ユーザーが電源コンセント等を抜いた場合は、仮想記憶が消去されないが、これも暗号化を併用していれば問題ない。
【0052】
ユーザーがサーバOS上でログオフ処理を行った場合は、全画面表示アプリケーションが終了し、図8Aに示すような壁紙画面に戻る。
この状態で、ユーザーがポインティングデバイス45を右クリック(通常の仕様の場合)すると、図8Bに示すようなメニューが表示される。ユーザーは、このメニュー内のアイテムを選択して左クリック(通常の仕様の場合)することで、各種の操作を行うことができる。
「ログオン」は、もう一度、規定されたサーバにアクセスすることができるアイテムである。
「ログオン(リダイレクト)」は、クライアントに接続しているデバイス(例えばUSBメモリ又はサウンド)をサーバと接続するための機能である。例えば、端末YにつながっているUSBメモリをサーバでネットワークドライブとして利用したり、サーバで音声ファイル(例えばMP3ファイル)を再生した場合に、端末Yにつながっているスピーカーで音を鳴らすといったことが可能になる。他にも、プリンタ、シリアルポート、クリップボード、プラグアンドプレイデバイスに対応している。なお、構成(顧客の要件)によって、「ログオン(リダイレクト)」は表示しないようにしている。
「再起動」は、PCを再起動するアイテムで、「終了」はシャットダウンのアイテムである。
また、ログオフの処理をしないで、すぐに再度ユーザーがPCを立ち上げた場合、サーバ10は、作業中断時の状態でアクセスできる。
【0053】
以上の構成により、汎用のPCをシンクライアント装置として使用することができる、セキュアなシンクライアント用OSを提供することができる。
これにより、セキュアなサーバ・シンクライアントシステムを使用することで、サーバ内のデータが流出するのを防ぐことが可能となる。
また、本発明の第1の実施の形態に係るシンクライアント用OSは、シンクライアント用OSに必要なファイルが暗号化されていることにより、リバースエンジニアリング等を防止することができ、このシンクラアント用OSのセキュリティーホール等の弱点をついて、サーバのデータが流出するのを防ぐ効果が高い。
【0054】
また、本発明の第1の実施の形態に係るシンクライアント用OSは、シンクライアント用OSに必要なファイルのうち、サーバ用のOSに依存する部分とそれ以外の部分が別のファイルとしてまとめられていることにより、サーバ用OSのバリエーションに対応するファイルを入れ替えるだけで容易に対応できるという効果がある。これにより、サーバ用のOSがアップデートされた際にも、サーバOS依存部240の差分ファイルを差し替えるだけで良い。また、サーバOSに依存しない部分がアップデートされた際に、このファイルをメンテナンスする(例えば、セキュリティーパッチを当てたファイルに入れ替える)のも容易となる。
【0055】
また、本発明の第1の実施の形態に係るシンクライアント用OSは、シンクライアント用に特化したOSなので、多数のデバイスについてのデバイスドライバを読み込む必要がないため、OSの動作を安定させることができ、高い互換性を得ることができる。さらに、余分なデバイスのドライバを読み込まないため、セキュリティーの向上にも効果がある。たとえば、伝統的なシリアルバスのドライバを読み込まないことで、これを介して内部の情報を吸い出すということが不可能になる。
【0056】
また、識別コード部500にネットワーク設定が記憶されている場合、これに従って、ネットワーク設定を行うことにより、特定の場所や環境、同じ機種以外でネットワークに接続できないため、セキュリティーが向上するという効果がある。
さらに、端末Yに特化したネットワークの設定を行った情報を識別コード部500に記憶しておけば、例えば無線LANの設定等をいちいちしなくても、端末Yをネットワークにすぐに接続できるという効果が生じる。これは、従来技術1の技術よりさらにユーザーの手間を省くことが可能になる。
【0057】
また、本発明のシンクライアント用OSは、識別コード部500が存在し、さらにセキュリティー・ホール(セキュリティー上の弱点)になりうる汎用OS上のコードを除いて、シンクライアントに必要なファイルのみを備えるシンクライアント専用のOSである。このため、汎用OSを使用している従来技術2のサーバ・クライアントシステムよりも、(汎用のPCを使用しているにも関わらず)さらにセキュリティーが強固なサーバ・クライアントシステムを構築することができる。
【0058】
なお、本発明の第1の実施の形態に係るシンクライアント用OSの識別コード部500はファイル形式で参照できるように、記憶メディアCに記憶することも可能である。この場合でも、シンクライント用ファイル部200の内容が識別コード部500によってすぐデコードできないように、起動制御部210が独自の解凍アルゴリズムを持ち、プログラムの復号する部位が暗号化されていることが望ましい。
また、識別コード部500は、光ディスクのISOイメージファイルを加工して変更することもできる。この場合、本発明の第1の実施の形態に係るシンクライアント用OSの製造が容易になるという効果が得られる。
【0059】
また、本発明の第1の実施の形態に係るシンクライアント用OSは、起動後、ユーザーの入力時に全画面表示アプリケーションを実行するだけなので、特定のウィンドウマネージャに依存しない。
【0060】
さらに、本発明の第1の実施の形態に係るシンクライアント用OSは、起動中あるいは起動後、全画面表示アプリケーション中に、ユーザーが不正に他のタスクに切り替えた場合、自動的にPCのシャットダウンを行う機能を含むことも可能である。この際、HDD25に仮想記憶を行っている場合、仮想記憶処理部130が、このファイル又はパーティションを消去した上でシャットダウンすることが可能である。これにより、シャットダウン後に別OSにより仮想記憶のファイル又はパーティションの記憶内容を読み込まれてデータが流出するのを防ぐことができる。
さらに加えて、この場合は、OSに何かの問題が生じてタスクが切り替わった際には、再起動してすぐに元の状態でサーバ10にアクセスするように設定してあるので、ユーザーは作業の中断を意識することがなく本発明の第1の実施の形態に掛かるシンクライアント用OSを使用することができる。
【0061】
なお、ステップS107でインストールしたシンクライント用OSを、HDD25から直接起動するように設定することも可能である。すなわち、記憶メディアCを光ディスク装置24に入れなくても起動するように設定することができる。
この際、記憶メディアCの識別コード部500をHDD25にコピーし、さらにHDDを起動可能(アクティブ)に設定する必要がある。また、ケース・イントゥルージョン等をチェックするプログラムをシンクライアント用ファイル部200に追加し、又は鍵付きのPCケースを使用して、HDDの記憶内容を改竄されないようにすることで、よりセキュアにできる。
【0062】
また、本発明の第1の実施の形態に係る端末Yでは、追記不可能な加工をしたフラッシュメモリを記憶メディアCの代わりに用いて、このフラッシュメモリから起動することもできる。該フラッシュメモリは、図示されていない端末YのUSB(ユニバーサル・シリアル・バス)やCF(コンパクト・フラッシュ)カード等のIDE(ハードディスクインターフェース)等のインターフェイスに接続することができる。この場合も、該フラッシュメモリの内容が改竄されないような処理をする必要がある。また、光ディスクではなくフラッシュメモリから起動するためのファイルを起動ファイル部110に含む必要がある。
【0063】
さらに、サーバ10とユーザーの使用する端末Yとの間に、1種以上のゲートウェイ装置が入っていてもよい。このゲートウェイ装置は、ゲートウェイとして VPN(PPTP又はSSL−VPN)を使用して端末Yとセキュアに接続することが可能である。
このゲートウェイ装置はVPNサーバであり、サーバ10へ接続するために VPN認証を必要とする。VPNのアカウント情報(パスワード)はユーザには知らせず、識別コード部500に記憶されているため、起動時に自動的にVPNセッションを作成する。これにより、本発明の実施の形態に係るシンクライアントOSが搭載された端末以外の端末からは接続できない構成が可能となる。
また、このゲートウェイ装置は、サーバ10との認証の前に端末Yから識別コード部500の情報を受信し、端末Yのシンクライアント用OSが改竄されている又は不法な端末である場合は、このアクセスを切断し、サーバ10の管理者に通報することができる。
さらに、この端末のシンクライアント用OSの停止を行わせるコードをネットワークを通じて送信する機能を付加することができ、この停止コードに対応するプログラム・モジュールが残存している改竄された端末Yを、リモート環境からシャットダウン等させることが可能である。これにより、DoS(サービス拒否)攻撃等にも強い耐性を持たせることが可能になる。
【0064】
<第2の実施の形態>
次に、本発明の第2の実施の形態に係るシンクライアント用OSについて、図12を参照して説明する。
本発明の第2の実施の形態に係るシンクライアント用OSは、第1の実施の形態に係るシンクライアント用OSについて、光メディアをユーザーに提供した後にセキュリティーホールの解消や機能追加のための差分ファイルをセキュアに提供することを目的とした実施の形態である。
本発明の第2の実施の形態に係るサーバシンクライアントシステムは、本発明の第1の実施の形態に係るサーバシンクライアントシステムと同様である。すなわち、CPU31はCPU21と、主記憶部32は主記憶部22と、チップセット33はチップセット23と、光ディスク装置34は光ディスク装置24と、HDD35はHDD25と、ビデオカード36はビデオカード26と、ネットワーク接続部37はネットワーク接続部27と同様である。また、キーボード41はキーボード40と、ポインティングデバイス46はポインティングデバイス45と、表示部51は表示部50と同様である。
しかし、図12を参照すると、通常のPCである端末Zにおいて、さらにUSB等の接続端子を持ち、フラッシュ記憶メディアの読み込みと書き込みが可能である。
このフラッシュ記憶メディアの読み込みと書き込みのインターフェースとしては、フラッシュメモリ接続部38を使用する。フラッシュメモリ接続部38は、USBやIDEインターフェース等であり、対応したフラッシュ記憶メディアを、接続することが可能である。例えば、フラッシュメモリ接続部38がUSBならば、USB接続のいわゆる「USBメモリ」であるフラッシュ記憶メディアを接続でき、IDEインターフェースであれば、フラッシュディスクやCFカード等を接続できる。
【0065】
図13Aと図13Bは、本発明の第2の実施の形態に係るシンクライアント用OSの構成を示す図である。
本発明の第2の実施の形態に係るシンクライアント用OSは、記憶メディアDと、記憶メディアEとに分けられて記憶したプログラムやデータ等のファイル群からなる。記憶メディアDは、例えばCD−ROM、DVD−ROM又はCD−R、DVD−R等の、追記不可能な光ディスクである。また、フラッシュ記憶メディアEは、例えばSDメモリカード、USBメモリやCFカード、フラッシュメモリドライブ等であるフラッシュメモリの含まれる記憶メディアである。
【0066】
本発明の第2の実施の形態に係るシンクライアント用OSの記憶メディアDにおいて、基本ファイル部101と本発明の第1の実施の形態に係る基本ファイル部100、シンクライアントファイル部201と本発明の第1の実施の形態に係るシンクライアントファイル部200、ファイルシステム仮想化部301と本発明の第1の実施の形態に係るファイルシステム仮想化部300、マニュアル部401と本発明の第1の実施の形態に係るマニュアル部400、識別コード部501と本発明の第1の実施の形態に係る識別コード部500は、それぞれ対応する部位である。また、同様に基本ファイル部101とシンクライアント用ファイル部200の下にあるファイルも、それぞれ、第1の実施の形態の対応する部位と同様である。
これに加えて、記憶メディアDには、媒体入出力部601が含まれている。媒体入出力部601は、起動時に記憶メディアEの読み書きに関連する動作を行う。
【0067】
本発明の第2の実施の形態に係るシンクライアント用OSのフラッシュ記憶メディアEは、基本ファイル更新部701と、シンクライアント用ファイル更新部801と、更新制御部901と、識別コード部1001とが含まれる。
このうち、基本ファイル更新部701と、シンクライアント用ファイル更新部801とは、それぞれが基本ファイルと、シンクライアント用ファイルの各種更新ファイルの集合体である。この更新ファイルの集合体は、単体のファイルが対応するディレクトリ(例えば、「IZE4/bin」、「IZE4/etc」等)に置かれていても、アーカイブファイル形式になっていても良い。
さらに、更新制御部901は、当該更新ファイルを更新するためのプログラムモジュールである。また、識別コード部1001は、更新ファイルの識別コードとなる。
ここで、更新制御部901を除いては、フラッシュ記憶メディアEのファイル群は圧縮又は/及び暗号化されていても良い。
【0068】
ここで、図15を参照して、記憶メディアDと、更新ファイルのみ存在するフラッシュ記憶メディアEのファイル構成について説明する。
記憶メディアDに関しては、第1の実施の形態に係る記憶メディアC同様のファイル構成となっている。
フラッシュ記憶メディアEは、FAT32形式又はext3形式等で構成可能であり、この図の例では「/IZE」ディレクトリに、圧縮・暗号化されたアーカイブファイルであるIZE4ファイルのみが存在している。識別コード部1001は、フラッシュ記憶メディアEが例えばSDメモリカードである場合、通常のファイルシステムのアクセス方法ではアクセスできないプロテクト領域に存在する。なお、指紋認証デバイスの出力データ又は暗号化されたパーティションを使用して識別コード部1001を構成することも可能である。
【0069】
以下で、図を参照して、本発明の第2の実施の形態に係るシンクライアント用OSの起動時の動作について説明する。
まず、本発明の第2の実施の形態に係るシンクライアント用OSの起動するまでの手順は、全体としては図3で説明する全体のフローチャートと同じである。
しかし、図3の処理S105に当たる、ファイルシステムの初期化に関しては、フラッシュ記憶メディアEのファイルを読み込む為に異なっている。
以下で、図14のフローチャートを参照して、記憶メディアDとフラッシュ記憶メディアEを併用した際のファイルシステム初期化に関して説明する。
【0070】
まず、ステップS2051において、図4のステップS1051と同様にルートファイルシステムを作成する。この際、端末Zの主記憶部32の容量が少なく(例えば64メガバイト未満)、フラッシュ記憶メディアEの容量に十分な余裕があり書き込み可能に設定されている場合、フラッシュ記憶メディアEに仮想記憶ファイルやスワップパーティション等を作成して使用する。また、この仮想記憶ファイルやスワップパーティションは、識別コード部501又は識別コード部1001により暗号化可能である。
また、フラッシュ記憶メディアがセキュリティーに考慮されたフラッシュ記憶メディアである場合、フラッシュメモリ内のシンクライアント用OSによってのみアクセス可能な部位に仮想記憶を作成することも可能である。
【0071】
次に、ステップS2052において、図4のステップS102と同様にユーザーが選択した起動オプションを読み込む。
次に、ステップS2053において、図4のステップS1053と同様に、記憶メディアDから「IZE1」〜「IZE3」を検索してマウントする。また、この「IZE1」〜「IZE3」を展開するために必要なIZE*ファイルシステムを作成してマウントする。
次に、ステップS2054において、図4のステップS1054と同様に、起動制御部211は、ステップS2051で作成したルートファイルシステムとIZE*ファイルシステムについて、ファイルシステム仮想化部301を実行する。
次に、ステップS2054において、図4のステップS1055と同様に、起動制御部211は、「IZE1」〜「IZE3」を記憶メディアDから読み込んで、識別コード部501により復号し、二重化した主記憶部22のIZE*ファイルシステム上に展開する。
【0072】
ここで、ステップS2056において、媒体入力部601は、フラッシュ記憶メディアEのファイルを検索し、「/media」としてマウントする。さらに、マウントされたファイルが正規の差分ファイル群であるかについて検証する。
この検証では、識別コード部501の情報と、フラッシュ記憶メディアEの識別コード部1001の内容のうち、鍵に関する部分がハッシュ関数を使用した際に同一となるか調べる等で検証することができる。すなわち、識別コード部1001には、フラッシュメディアの容量又はチェックサムについて識別コード部501の鍵を使ってハッシュ化したものが入っており、これを媒体入力部601が認識して、識別コード部1001に他に含まれている追加的なキーワード等と合わせて復号化することで、フラッシュ記憶メディアEの内容が改竄等されていないかが検証できる。
【0073】
次に、このフラッシュ記憶メディアEのマウントに成功したかについて、ステップS2057で判定する。ここで「YES」、即ちマウントに成功しフラッシュ記憶メディアEのファイルが正規のものであった場合、起動制御部211は、処理を次のステップ2058に進める。しかし、「NO」、即ちフラッシュ記憶メディアEがなかったか、フラッシュ記憶メディアEのファイルの内容が正規のものでなく改竄等がされたものであった場合、起動制御部211は、処理をステップS2060に進めて、本発明の第1の実施の形態と同じように、光ディスクメディア等である記憶メディアDのファイルのみから起動する。
【0074】
ステップS2058においては、このフラッシュ記憶メディアEのファイルを展開するためのファイルシステム(以下、「mediaファイルシステム」とする。)を作成し、マウントする。このmediaファイルシステムには「ize4」が展開される。さらに、このファイルシステムについて、ファイルシステム仮想化部301を実行する。この後、ファイルシステムは「mediaファイルシステム」−>「IZE*ファイルシステム」という階層順にアクセス可能となる。
次に、ステップS2059においては、更新制御部901が、基本ファイル更新部701と、シンクライアント用ファイル更新部801とを、mediaファイルシステムの、それぞれ対応するディレクトリに展開する。ここで、フラッシュ記憶メディアEのファイルが圧縮又は/及び暗号化されていた場合においては、識別コード部1001の内容又は/及び識別コード部501の内容を使用して復号化することが可能である。
【0075】
この後、ステップS2060において、各種設定ファイルの初期化を行う。この初期化においては、当然、フラッシュ記憶メディアEにある設定ファイルの元ファイルを優先して使用する。
これで本発明の第2の実施の形態に係るシンクライアント用OSのファイルシステム初期化に係るステップは終了する。
【0076】
この後の起動とOSの動作に関しては、本発明の第1の実施の形態に係るシンクライアント用OSの起動と同様である。
【0077】
以上のような構成により、光ディスク等である記憶メディアDを鍵のように使用して、さらに更新プログラムを組み込んだシンクライアント用OSを実現することができる。
すなわち、記憶メディアであるDだけでは、最新のセキュリティパッチ等のセキュリティーホールの解消や、最新のOSの更新に対応したアップデート等の機能追加を行うことができない。しかし、フラッシュ記憶メディアEの差分ファイルを加えることで、これが可能になる。
この差分ファイルについては、OSの販売元がフラッシュ記憶メディアEを直接ユーザーに配ってもよいし、ユーザー認証を行った上で、インターネット上のサーバからダウンロードさせてもよい。
【0078】
また、上述の本発明の第2の実施形態に係るシンクライアント用OSの更新は、記憶メディアDに識別コード部501があり、フラッシュ記憶メディアEに識別コード部1001があることで、よりセキュアに行うことが可能である。
加えて、この識別コード部501と識別コード部1001によって復号されたシンクライアント用OSをサーバに接続した際に、サーバの方でさらに認証をかけることも可能であり、これによりもし改変された差分ファイル群が出回っても、すぐに接続禁止等の処置を取ることが可能になる。
【0079】
また、CD−ROM等の光メディアとフラッシュ記憶メディアを併用することにより、これまではCD−ROMにより配られていた記憶メディアを毎年のようにアップデートする必要がなくなる。特に、本発明においては光メディアは識別コード部を持つカスタムメイドに近い構成を取るため、記憶メディアを製造するコストを低減できる効果が大きい。さらに、無駄なメディアがいらないため、環境保護に資する。
加えて、本発明の第1の実施の形態においては、記憶メディアCをUSBメモリ等のフラッシュ記憶メディアとすることも可能であったが、古いPCの場合、USBメモリからは起動ができないことがある。ここで本発明の第2の実施の形態に係るシンクライアント用OSにおいては、CD−ROM等である記憶メディアDと併用することで、USBブートが不可能なPCからも起動することができ、さらにユーザーの利便性を高めることができる。
【0080】
また、メモリが少ないPCの場合、フラッシュ記憶メディア中に仮想記憶を作成することで、PCの固定ディスク装置内に仮想記憶を作成するより、さらにセキュアにシンクライアント用OSを使用することができる。すなわち、PCの使用後にフラッシュ記憶メディアEを外して安全な場所に置くことで、仮想記憶の内容からデータの流失が起こることも皆無となる。さらに、フラッシュメモリ内のシンクライアント用OSによってのみアクセス可能な部位に仮想記憶を作成した場合にも、仮想記憶の内容からデータの流失を防げる。
【0081】
上述の、仮想記憶をフラッシュ記憶メディア内に作成する応用として、起動した後は、フラッシュメモリ内の仮想記憶のみをユーザーのデータやアプリケーション用のメモリとして使用し端末Zの主記憶部22を使用しない、メモリ・レスのシンクライアント用OSを作成することができる。この場合、フラッシュ記憶メディアは、フラッシュディスクや高速なSDカード等の読み書きが高速な記憶媒体であることが望ましい。また、フラッシュメモリには書き込み回数の制限があるため、該フラッシュ記憶メディアの一部の箇所が破損した場合の管理を行うことが望ましい。
また、フラッシュメモリは書き込みスピードがそれほど速くないため、フラッシュ記憶メディア内に、DRAM等の書き込みが高速なRAMとこのコントロール回路を仮想記憶専用に内蔵することも可能である。この場合、フラッシュ記憶メディアは、PCI−EXPRESSバス等の高速なバスに接続されることが望ましい。
これにより、ユーザーとサーバとのやり取りはすべてセキュアな経路で行うことができるので、汎用のPCを端末に使用したシンクラアント・システムにおいて、情報の流出を極限まで減らすことが可能になる。
【0082】
また、本発明の第2の実施形態に係るシンクライアント用OSにおいては、差分ファイルをフラッシュ記憶メディアでファイルシステム仮想化を使用して読み込ませることで、カーネルや他のモジュール等のバージョン管理が非常に容易に行えるという利点が生じる。これにより、各種ファイルの依存関係をあまり気にせずに、差分ファイルによるアップデートを行うことができる。つまり、例えば、Linux(登録商標)では不得手であった、パッケージの依存関係を壊すことなく、システムファイルを含むファイルの部分的な更新が可能になる。また、例えば、いわゆるディストリビューションに依存したプログラムであったりしても、ファイルツリーを余り意識せずに使用し、更新することができるようになる。
さらに、元となるシンクライアント用OSのファイルは、追記不可能な記憶メディアであるため、HDD等にインストールする通常のOSのように、ユーザーによりアップデートされてファイルの状態が変更されている可能性を考慮する必要がない。このため、アップデートの検証をOSの提供者がしやすく、シンクライアント用OSの安定度をさらに向上させることができる。
また、以上のような仕組みは、例えばアンチウィルスソフトのように、起動可能な光メディア上に識別コードを書き込み、これを鍵として差分ファイルを読み込むプログラムにはすべて応用可能である。
【0083】
なお、起動メニューを表示する際に、CD−ROM等の光メディアではなく、フラッシュ記憶メディアに記憶された起動メニューを表示する構成も可能である。さらに、起動をフラッシュ記憶メディアの方から行うことも可能である。
【0084】
起動をフラッシュ記憶メディアから行う際の、記憶メディアのファイル構成の例を図17に示す。図17を参照すると、「ize4」に加えて、光メディアにあるファイルに加えてフラッシュメモリからの起動に必要なファイルが「/boot」を始めとする部位に記憶されている。この場合でも、光記憶メディアの識別部を鍵として使い、ファイルを展開することができる。
さらに、この場合でも、起動をフラッシュ記憶メディアから行わない場合と同様に、UNIONFS適応後のファイルのアクセスは「mediaファイルシステム」−>「IZE*ファイルシステム」の順に階層的にアクセスできる。
なお、起動を高速化するために、光メディアからは復号化のための鍵のみを読み込み、残りのファイルはすべてフラッシュ記憶メディア内のファイルから展開することも考えられるが、その場合、「IZE*ファイルシステム」は、ほぼ空となる。
【0085】
さらに、単一のフラッシュ記憶メディアだけを使う場合、例えば、パーティションを2つ以上に分けて、基本ファイルを読み込みオンリー属性にして、第1のパーティションに記憶し、差分ファイルの方を書き込み可能とした上で第2のパーティションに記憶するといった構成も可能である。これは、すなわち、これまでは上述の光メディアに記憶されていた内容を第1のパーティションに記憶し、フラッシュ記憶メディアに記憶されていた内容を第2のパーティションに記憶するといった構成である。
【0086】
また、フラッシュ記憶メディアをマウントし更新ファイルの検索・検証をするステップS2056において、フラッシュ記憶メディアEがマウントできない場合や、改竄された更新ファイルである場合、PCの電源をシャットダウンや停止するように設定することも可能である。これにより、フラッシュ記憶メディアEを、例えばUSBドングル(不正コピーを防ぐための物理的な鍵)のように使用することもできる。
【0087】
また、フラッシュメディアEの展開をする際、mediaファイルシステムを使用しないで、直接IZE*ファイルシステム上にファイルを展開することも可能である。この場合は、特にメモリ使用量を減らしたい場合に有効である。
さらに、上述のフラッシュメディアEのマウントに関するバリエーションとして、記憶メディアEの内容をIZE*ファイルシステムに展開する際(ステップS*)に、識別コード部1001の内容を鍵として使用して復号することも可能である。この場合、ステップS2054のIZE*ファイルシステムに「IZE1」〜「IZE3」ファイルを展開するのは、フラッシュ記憶メディアEのマウントの検索とマウント(ステップS2056〜ステップS20*)の後となる。ここで、フラッシュ記憶メディアEのファイルの展開については、「IZE1」〜「IZE3」ファイルを展開した後にすることが望ましい。もっとも、mediaファイルシステムを使用する場合、上述のフローチャートと同様に行うことも可能である。
【0088】
また、本発明の第2の実施の形態においても、図示しないサーバと端末Zとの間に、ゲートウェイ装置を設置することが可能であるが、この場合、ゲートウェイ装置は識別コード部501と識別コード部1001の内容を同時にチェックすることができ、よりセキュアになる。
【0089】
さらに、本発明の第1の実施の形態および第2の実施の形態に係るシンクライアント用OSに関しては、記憶メディアの暗号化には公開鍵暗号を使用しても良いように記載したが、単一のメディアで動作させるケースもある及び実装が単純になるため、共通鍵暗号を使用することも可能である。
【0090】
なお、上記実施の形態の構成及び動作は例であって、本発明の趣旨を逸脱しない範囲で適宜変更して実行することができることは言うまでもない。
【図面の簡単な説明】
【0091】
【図1A】本発明の第1の実施の形態に係る、サーバ・シンクライアントシステムの概念図である。
【図1B】本発明の第1の実施の形態に係る、端末Yの構成図である。
【図2】本発明の第1の実施の形態に係る、シンクライアント用OSの構成図である。
【図3】本発明の第1の実施の形態に係る、シンクライアント用OSの起動手順全体のフローチャートである。
【図4】本発明の第1の実施の形態に係る、ファイルシステム初期化のフローチャートである。
【図5】本発明の第1の実施の形態に係る、ハードウェア認識のフローチャートである。
【図6A】本発明の第1の実施の形態に係る、起動メニュー画面を示す図である。
【図6B】本発明の第1の実施の形態に係る、インストール画面を示す図である。
【図7】本発明の第1の実施の形態に係る、スプラッシュの画面を示す図である。
【図8A】本発明の第1の実施の形態に係る、壁紙ファイルが表示された画面を示す図である。
【図8B】本発明の第1の実施の形態に係る、全画面表示アプリケーション終了後のオプションを示す図である。
【図9】本発明の第1の実施の形態に係る、WT構成において、サーバと接続するログイン画面を示す図でる。
【図10】本発明の第1の実施の形態に係る、光メディアC上のファイル構成を示す図である。
【図11】本発明の第1の実施の形態に係る、ファイルシステム仮想化を行った際のファイル構成を示す図である。
【図12】本発明の第2の実施の形態に係る、端末Zの構成を示す図である。
【図13A】本発明の第2の実施の形態に係る、シンクライアント用OSの記憶メディアDの構成図である。
【図13B】本発明の第2の実施の形態に係る、シンクライアント用OSのフラッシュ記憶メディアEの構成図である。
【図14】本発明の第2の実施の形態に係る、ファイルシステム初期化のフローチャートである。
【図15】本発明の第2の実施の形態に係る、フラッシュ記憶メディア上Eのファイル構成を示す図である。
【図16】本発明の第1の実施の形態に係る、ファイルシステム仮想化を行った際のファイル構成を示す図である。
【図17】本発明の第2の実施の形態に係る、フラッシュ記憶メディアから起動可能な際のファイル構成を示す図である。
【符号の説明】
【0092】
5 ネットワーク部
10 サーバ
20−1〜20−n 端末
21、31 CPU (制御手段)
22、32 主記憶部 (主記憶手段)
23、33 チップセット
24、34 光ディスク装置
25、35 HDD
26、36 ビデオカード
27、37 ネットワーク接続部 (ネットワーク接続手段)
38 フラッシュメモリ接続部
40、41 キーボード
45、46 ポインティングデバイス
50、51 表示部
100、101 基本ファイル部 (基本ファイル手段)
110、111 起動ファイル部
120、121 起動メニュー部
130、131 仮想記憶処理部
200、201 シンクライアント用ファイル部 (シンクライアント用ファイル手段)
210、211 起動制御部 (起動制御手段)
220、221 全画面タスク切り替え防止部
230、231 スプラッシュイメージ部
240、241 サーバOS依存部
300、301 ファイルシステム仮想化部 (ファイルシステム仮想化手段)
400、401 マニュアル部
500、501 識別コード部
601 媒体入力部
701 基本ファイル更新部
801 シンクライアント用ファイル更新部
901 更新制御部
1001 識別コード部
1500 アニメーション
1510 プログレスバー
X サーバ・シンクライアントシステム
Y、Z 端末 (シンクライアント)
C、D 記憶メディア (光ディスク)
E フラッシュ記憶メディア (フラッシュ記憶媒体)
【技術分野】
【0001】
本発明は、特にシンクライアント用オペレーティングシステム、シンクライアント装置、サーバ・シンクライアントシステム、及びシンクライアント用オペレーティングシステムの実行方法に関する。
【背景技術】
【0002】
近年、データ通信用のネットワークが飛躍的に進歩している。
例えば、固定回線を使用したネットワークとしては、ADSLや光ファイバー等のいわゆるブロードバンド接続が実現してきている。
このため、サーバ内にアプリケーション・プログラムを実装し、このアプリケーションプログラムを遠隔地にある端末からユーザーが操作するサーバ・クライアント(端末)システムを、以前より快適に実行する環境が整いつつある。
【0003】
上記の端末としては、例えばいわゆるPC/AT(登録商標)互換機やマッキントッシュ(登録商標)のような通常のPC(パーソナルコンピュータ)に、ウィンドウズ(登録商標)XP(マイクロソフト社製)のような通常のパーソナルコンピュータ用の汎用OS(オペレーティングシステム)を搭載し、サーバにアクセスするためのクライアントプログラムをさらにインストールすることで端末として使用していた。
しかし、汎用のOSを搭載した通常のパーソナルコンピュータでは、固定ディスク装置である外部記憶装置の記憶内容をユーザーが変更することが可能である。
よって、電子メールの添付ファイルやユーザーが独自にインストールしたファイル交換ソフト等により、バックドアやトロイの木馬等のいわゆる悪意あるプログラムが、ユーザーが感知しない間に外部記憶装置に仕掛けられることがある。これにより、サーバから端末の外部記憶装置にダウンロードされた機密情報が外部に流出することがあり、社会的な問題となっている。
【0004】
そこで、よりセキュア(悪意ある者からの攻撃に対してセキュリティーが強固であることを言う)な、サーバ・クライアントシステムとして、サーバとアクセスするために専用の端末であるシンクライアント(thin−client)装置を用いるサーバ・シンクライアントシステムが存在する。
このシンクライアント装置としては、通常のPCとは異なる専用設計の装置を用いる。また、この専用設計のシンクライアント装置では通常のPC/AT互換用とは異なる縮小されたOSがフラッシュメモリ等の外部記憶装置に記憶されており、ユーザーが該フラッシュメモリの内容を変えることは難しい。このため、セキュアとなる。
上記の縮小されたOSでは、ネットワーク設定等の操作に高度な知識を必要とする。
このため、例えば下記の特許文献1(以下、従来技術1とする)では、専用のシンクライアント装置において、簡便にネットワーク設定をし、フラッシュメモリに記憶することが可能なシンクライアント装置とネットワーク設定構成方法について述べられている。
【0005】
また、たとえば、下記の特許文献2(以下、従来技術2とする)では、通常のサーバ・クライアントシステムとして、汎用のOSを使用して、全画面表示のウェブブラウザにより、サーバにアクセスできるサーバ・クライアントシステムが考案されている。
【特許文献1】特開2005−216292号公報
【特許文献2】国際公開第2006/041122号パンフレット
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかし、従来技術1のシンクライアント装置は、セキュアでありネットワーク設定の構成は簡便化されているという利点があったものの、そもそもシンクライアント装置は専用設計なので、高価であった。
また、従来技術2のサーバ・クライアントシステムは、通常のPCを使用できるために専用装置より安価であるものの、汎用OSを使用しているため、悪意あるものの攻撃に対して汎用OSのセキュリティー水準と同等になる。
そこで、水平分業モデルにより量産化されているため価格が非常に低い通常のPCや、リサイクルされた旧式のPCを使用でき、専用のシンクライアント装置と同様にセキュアであるシンクライアント専用のOSが必要とされていた。
【0007】
本発明は、このような状況に鑑みてなされたものであり、上述の課題を解消することを課題とする。
【課題を解決するための手段】
【0008】
本発明のシンクライアント用オペレーティングシステムは、制御手段と主記憶手段とネットワーク接続手段とを備えるシンクライアント用のオペレーティングシステムであって、基本ファイル手段と、シンクライアント用ファイル手段とファイルシステム仮想化手段とを含み、前記シンクライアント用ファイル手段は、起動制御手段と、全画面タスク切り替え防止手段とを含むことを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記基本ファイル手段に含まれるファイル群は、汎用オペレーティングシステムに含まれるファイル群から作成することを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記ファイルシステム仮想化手段により、前記シンクライアント用ファイル手段に含まれるファイル群を、前記基本ファイル手段に含まれるファイル群と同一のファイル名でアクセスすることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記シンクライアント用ファイル手段に含まれるファイル群は、サーバのオペレーティングシステムに非依存なファイル群と、サーバのオペレーティングシステムに依存するファイル群とが含まれることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記シンクライアント用ファイル手段に含まれるファイル群は、記憶媒体に記憶されている際には暗号化又は圧縮化されており、シンクライアントの起動時に主記憶手段に読み込む際に復号化することを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記基本ファイル手段及び前記シンクライアント用ファイル手段のファイル群は、追記不可能な記憶媒体に記憶することを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記追記不可能な記憶媒体には、該記憶媒体ごとにさらに識別コードが記憶されていることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記追記不可能な記憶媒体は、光ディスクであることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記起動制御手段により、前記追記不可能な記憶媒体を識別して復号を行うことを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、基本ファイル手段及び/又はシンクライアント用ファイル手段の更新差分ファイル手段を更に含み、前記ファイルシステム仮想化手段により、前記更新差分ファイル手段に含まれるファイル群を、前記基本ファイル手段及び/又はシンクライアント用ファイル手段のファイル群と同一のファイル名でアクセスすることを特徴とする。
本発明シンクライアント用オペレーティングシステムは、前記更新差分ファイル手段のファイル群は、記憶内容変更可能な記憶媒体に記憶されることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記記憶内容変更可能な記憶媒体は、該記憶媒体ごとに識別コードがさらに記憶されていることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記記憶内容変更可能な記憶媒体は、フラッシュ記憶媒体であることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記起動制御手段により、前記記憶内容変更可能な記憶媒体の識別コードを使用して、復号を行うことを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、起動が終了した後は、主記憶手段のみを使用することを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、外部記憶手段をさらに含むシンクライアントの該外部記憶手段に、仮想記憶を作成することを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記記憶内容変更可能な記憶媒体に仮想記憶を作成することを特徴とする。
本発明シンクライアント用オペレーティングシステムは、前記主記憶手段を起動が終了した後には使わず、前記記憶内容変更可能な記憶媒体を一時的な記憶手段とすることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記シンクライアントの主記憶手段の代わりに、前記記憶内容変更可能な記憶媒体内にさらに主記憶手段を備えて使用することを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記起動制御手段は、オペレーティングシステムの起動シークエンスとして文字又はカーソルが画面に表示されることを防ぎ、グラフィック画像を表示する起動制御手段であることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記全画面タスク切り替え防止手段は、シンクライアントと接続された表示手段の全画面にグラフィカル・ユーザー・インターフェースにより表示されたタスクからのみユーザーがシンクライアントを操作可能にすることを特徴とする。
本発明のシンクライアント用オペレーティングシステムは、前記シンクライアントは、パーソナルコンピュータであることを特徴とする。
本発明のシンクライアント装置は、上述のシンクライアント用オペレーティングを実行することを特徴とする。
本発明のシンクライアント装置は、パーソナルコンピュータで前記シンクライアント用オペレーティングシステムを実行することを特徴とする。
本発明のゲートウェイ装置は、サーバ装置と、請求項7又乃至22のいずれか1項に記載のシンクライアント用オペレーティングシステムとの間に接続された、前記追記不可能な記憶媒体の前記識別コード及び/又は前記記憶内容変更可能な記憶媒体の識別コードを秘密鍵として認証することを特徴とする。
本発明のサーバ・シンクライアントシステムは、サーバ用オペレーティングシステムが実行されているサーバ装置と、ネットワーク手段と、シンクライアント装置とを備え、前記シンクライアント装置で、基本ファイル手段と、シンクライアント用ファイル手段とファイルシステム仮想化手段とを含み、前記シンクライアント用ファイル手段は、起動制御手段と、全画面タスク切り替え防止手段とを含むことを特徴とするシンクライアント用オペレーティングシステムを実行することを特徴とする。
本発明のシンクライアント用オペレーティングシステムの実行方法は、起動時に追記不可能な記憶媒体から起動を開始し、内容変更可能な記憶媒体に記憶された追加又は差分のファイルを、ファイルシステム仮想化手段により同一のファイル名でアクセスすることを特徴とする。
本発明のシンクライアント用オペレーティングシステムの実行方法は、追記不可能な記憶媒体に含まれるシンクライアント用ファイル群を、インストーラがシンクライアントの外部記憶手段にインストールし、起動時には前記外部記憶手段にインストールした前記シンクライアント用ファイル群から起動し、起動後には前記外部記憶手段を使用しないことを特徴とする。
本発明のシンクライアント用オペレーティングシステムの実行方法は、追記不可能な記憶媒体に含まれるシンクライアント用ファイル群を、インストーラがシンクライアントの外部記憶手段にインストールし、前記外部記憶手段に、内容変更可能な記憶媒体により追加又は差分のファイルを前記インストーラがさらにインストールし、起動時に追記不可能な記憶媒体から起動し、次に前記外部記憶手段にインストールした前記シンクライアント用ファイル群を起動し、追記不可能な記憶媒体の識別コードを使用してサーバとのユーザー認証をすることを特徴とする。
【発明の効果】
【0009】
本発明によれば、広く市販されている汎用のPCをシンクライアント装置として使用することができる、セキュアなシンクライアント用OSを提供することができる。
【発明を実施するための最良の形態】
【0010】
<第1の実施の形態>
以下、図面を参照して、本発明の第1の実施の形態に係るシンクライアント用OSについて説明する。
図1Aは、本発明の第1の実施の形態に係るシンクライアント用OSを実行するためのシンクライアント・サーバシステムの概念図である。
本発明の第1の実施の形態に係るサーバ・シンクライアントシステムXは、ウィンドウズ(登録商標)・サーバ2003やLinux(登録商標)等のサーバ用OSが稼働しているサーバ10と、本発明の実施の形態に係るシンクライアント用OSが稼働している一般的なPC/AT互換機等のPC等である端末20−1〜20−nとが、インターネット等のネットワーク部5を通して接続されている。
【0011】
図1Bは、本発明の第1の実施の形態に係るこれらの端末の一つで通常のPCである端末Yの構成を示す図である。
端末Yは、例えばPC/AT互換機の機能を備えるPCであるが、PC/AT互換機として最低限必要な機能を汎用品から組み立てた専用設計ではないシンクライアントであってもよい。端末Yは主な構成として、PCの制御部である例えばIntel社製Pentium(登録商標)やAMD社製Athlon(登録商標)等のCPU(中央処理装置)であるCPU21と、DRAM等である主記憶部22と、CPU21と主記憶部22との間でメモリ記憶内容のリード/ライトを行うためのやり取りをするメモリコントローラ(AMD社製の場合、CPUにメモリコントローラを内蔵)やI/Oコントロール等を行う集積回路であるチップセット23と、CD−ROMやDVD−ROM等の光ディスク装置24と、ハードディスクドライブ(HDD)等の固定ディスク装置であるHDD25と、ビデオカード26と、ネットワーク接続部27とを含む。さらに、チップセット23は、ユーザーがPCの操作を行うための入力部であるキーボード40とポインティングデバイス45とに接続されている。
【0012】
ビデオカード26は、拡張基板(カード又はボード)形式で提供され、PCI−ExpressやAGP等のバスインターフェースでチップセット23と接続される、PCの表示用に用いられる部位である。このビデオカード26と同等の機能が、オンボードのビデオチップ又はチップセット23に統合されていることもある。このビデオカード26には、CRTディスプレイや液晶ディスプレイ等である表示部50が接続されている。
ネットワーク接続部27は、LANカード等の有線LANや無線LANのインターフェイスであり、端末Yをインターネット等のネットワークに接続可能である。このネットワーク接続部もチップセット23に統合されていることがある。
【0013】
なお、端末YにはHDD25が内蔵されていてもいなくても良いが、光ディスク装置24からPCの起動が可能であることが要求される。
しかし、光ディスク装置24からPCの起動ができないPCであっても、図示しない起動可能なFDD(フレキシブルディスクドライブ)から起動した上で、光ディスク装置24から本発明の第1の実施の形態に係るシンクライアント用OSを実行することができる。
また、これらの端末にHDD25がある場合、後述するインストールを行うことにより、このHDD25から起動のみを行うことも可能である。さらに、光ディスクの代わりにフラッシュメモリを用いることも可能である。
【0014】
次に、本発明の第1の実施の形態に係るシンクライアント用OSの構成を図面を参照して説明する。
本発明の第1の実施の形態に係るシンクライアント用OSは、PC用のUNIX(登録商標)互換の一般的な汎用OSであるLinux(登録商標)を使用して作成している。具体的には、例えばCD−ROMから起動するLinuxの一種であるKNOPPIXからハードウェアの認識とネットワーク接続等に必要なプログラムやそれに付随したデータ、設定ファイル等を含むファイルを取捨選択し、さらにシンクライアント用OSに必要なプログラムやデータ、設定ファイル等のファイルを別ファイルとして独自に組み込む構成としている。すなわち、汎用OSから必要なファイルのみを取捨選択しているため、セキュリティー・ホール(セキュリティー上の弱点)を少なくすることが可能になる。
【0015】
図2は、例えばCD−ROM、DVD−ROM又はCD−R、DVD−R等の、一度、媒体に物理的・化学的に記憶された後は追記不可能な(以下、「追記不可能」と言う。)光ディスクである記憶メディアCに記憶した、本発明の第1の実施の形態に係るシンクライアント用OSについての構成を示す図である。
この記憶メディアには、基本ファイル部100、シンクライアント用ファイル部200、ファイルシステム仮想化部300、マニュアル部400に主に分けられた状態でファイル群が記憶されている。また、記憶メディアには、識別コード部500が記憶されている。
【0016】
基本ファイル部100は、汎用OSのシンクライアント用に必要なファイル以外の汎用なファイル群について記憶している部位である。
これには、光ディスク装置から起動するための起動ファイルとOSの核(カーネル)プログラムや基本的なファイルシステム用のファイル群の集合である起動ファイル部110と、起動時のオプションメニューを表示するためのプログラムや画像データ等が含まれる起動メニュー部120とが含まれる。
また、仮想記憶についての処理を行う際に必要となるプログラムである、仮想記憶処理部130がさらに含まれている。
【0017】
シンクライアント用ファイル部200は、起動ファイル部110が起動された後にファイルシステム仮想化部300と連動してファイルシステムの制御等を行う起動制御部210と、ウィンドウマネージャ上に全画面ウィンドウを作成してこの全画面ウィンドウ上でサーバをアクセスする単一のアプリケーションを実行する全画面タスク切り替え防止部220と、起動中にグラフィック画像を表示するためのプログラムやデータであるスプラッシュイメージ部230と、サーバのOSに応じた通信・描画機能を実現するサーバOS依存部240とが含まれる。また、起動制御部210と全画面タスク切り替え防止部220は、サーバのOSに依存しないファイル群に置かれている。
【0018】
さらに、ファイルシステム仮想化部300は、ファイルシステム仮想化を実現するためのプログラム群が含まれている。
マニュアル部400は、製品のマニュアル等が、PDF形式や、HTML形式、man(UNIX(登録商標)のマニュアル)形式等で含まれている。
【0019】
識別コード部500は、記憶メディアにおいて通常のファイルシステムの参照方法では参照できない箇所に記憶されている、後述する復号化の際のキーである。さらに、ネットワーク設定等、記憶メディアCごとに特化した情報が書き込まれていてもよい。
【0020】
ここで、図10を参照して、本発明の第1の実施の形態に係るシンクライアント用OSの記憶された記憶メディアCである光ディスクのファイル構成について説明する。
まず、記憶メディアCは、ISO 9660(Romeo extensions)形式等の標準的な形式で作成されている。このため、例えばマイクロソフト社のウィンドウズ(登録商標)XP等の搭載されたPCで、この光ディスクを読み込むと、ファイルを参照することができる。
しかし、上述のシンクライアント用ファイル部200に含まれるファイル群は、起動制御部210を除き、例えばbzip等によりアーカイブ形式で圧縮・暗号化された数個のファイルとしてしか参照できない。
これら数個のファイルは、シンクライアント用ファイル部200を含む「/IZE」ディレクトリに、それぞれ「IZE1」〜「IZE3」のファイルとして存在する。
【0021】
たとえば「IZE1」は、シンクライアント用のスペシャルカーネルや基本的なデーモン等が含まれているアーカイブファイルであり、「IZE2」をサーバのOSに依存しないファイルを含むアーカイブファイルであり、「IZE3」をサーバのOSに依存するファイルを含むアーカイブファイルとする。
「IZE3」については、対応するサーバOSがマイクロソフト社製のウィンドウズ(登録商標)・サーバ2003の場合「Type WT」、Linux(登録商標)である場合、「Type BR」とする。
【0022】
スプラッシュイメージ部230と、全画面タスク切り替え防止部220のファイル群は、機能的な必要性に応じて「IZE2」と「IZE3」に記憶されている。また、サーバOS依存部240のファイル群は、ほぼ「IZE3」に含まれている。
これら「IZE1」〜「IZE3」の巨大ファイルは、後述するようにシンクライアント用OSの起動時でシンクライアントの主記憶部22に読み込まれる際に、識別コード部500を参照して復号・展開する。
なお、「IZE」は、Identified by Zero−based Endorsement (ゼロベースの保証による認識)の略である。
【0023】
次に、本発明の第1の実施の形態に係るシンクライアント用OSが記憶された記憶メディアCをユーザーがPCの光ディスク装置24に挿入し、PCの電源をオンにした際の、起動時の動作について、図を参照して説明する。
【0024】
図3は、このシンクライアント用OSが起動するまでの手順を説明する全体のフローチャートである。以下、このフローチャートを参照して起動までの流れを説明する。
まず、ステップS101において、CPU21が、PCの図示しないマザーボード(主基盤)に標準で搭載されているNOR型フラッシュメモリ等に内蔵されているBIOS(Basic Input Output System)やEFI(Extensible Firmware Interface)等のファームウェアプログラムを実行する。
これにより、CPU21はCPU21のマイクロコード(機械語コード)等を認識して起動の準備を行い、光ディスク装置24からの起動(ブート)を始める。これにより、本発明の第1の実施の形態に係るシンクライアント用OSの起動処理が始まる。
【0025】
ステップS102においては、シンクライアント用OSの起動メニュー部120が、いくつかの起動オプションを画面に表示する。この画面は、図6Aに示すように、例えばLinux標準のブートマネージャであるGRUBを元に作成されているが、syslinuxを用いることが可能である。なお、「TRANSPORTER」は本発明の第1の実施の形態に係るシンクライアント用オペレーティングシステムの商品名である。
【0026】
ここで、ユーザーは、PCのキーボード40の上下又はページアップ/ダウンキーを操作する又はポインティングデバイス45等の入力手段によって、起動オプションをメニュー内の数種の中から選択することができる。
この選択できる起動オプションが画面枠内の「TRANSPORTER(1280×1024)」〜「InternalHDD2」である。選択された起動オプションは当該欄の背景色が変わる等のカーソル表示によりユーザーが確認可能である。
起動オプションのうち、「TRANSPORTER(1280×1024)」〜「TRANSPORTER(800×600)」は、それぞれ起動後の画面の解像度に対応している。これにより、高解像度の画面表示をサポートしていない旧式のPCも使用することが可能である。
また、「TRANSPORTER(substandard)」は、解像度を最初に指定するのではなく、ハードウェア自動認識の成功具合により解像度が変化するモードであり、PCの表示部50がプラグ・アンド・プレイに対応している場合(例として、DVI等のデジタル接続でVESA規格に対応している場合)、最適な解像度を起動時に自動的に選択することが可能となる。たとえば、PCのディスプレイが1280×1024ドット以上の高解像度に対応している場合、これも選択することが可能である。また、この「TRANSPORTER(substandard)」の場合は、起動のモードが異なるためステップS107がスキップされ、スプラッシュは表示されない。さらに、解像度の検出に失敗した場合は、デバイスとして伝統的に標準のグラフィック画面(PC/AT互換機の場合VGA(Video Graphics Array))で起動することが可能である。
なお、起動時の標準では「TRANSPORTER(1024×768)」のオプションが選択されている。
【0027】
さらに、起動メニューが表示されている際に、例えばキーボードの「p」キーを押下することで、起動時のオプションをコマンドラインで指定して入力することが可能である。たとえば、デバッグモードや、特定のデバイスドライバを読み込まないモード、ビデオカード26がLinuxに対応していない際等に、最低限の互換画面環境(VESA SVGA等)で起動するモード、特定の設定ファイルを読み込む/スキップするモード等が選択できる。
【0028】
他の起動オプションである「InternalHDD1」は、PCにHDDが内蔵されている場合のみ、起動メニュー部120が表示する。
「InternalHDD1」は、HDD25にインストールされている、例えばマイクロソフト社ウィンドウズ(登録商標)XP等のOSを起動する、起動オプションである。
ユーザーが「InternalHDD1」を選択すると、本発明の第1の実施の形態に係るシンクライアント用OSは終了し、通常はPCのファームウェアで設定されている最初のHDDの最初のパーティションにインストールされているOSが実行される。
「InternalHDD2」は、例えば米国DELL社等の大手PCメーカー製PCの場合を想定している。すなわち、最初のパーティションにプロダクト・リカバリー用のデータ等が入っている場合、「InternalHDD1」と同じHDDの、2番目のパーティションから起動する。
【0029】
さらに他の起動オプションである「Install TRANSPORTER to hard disk」について説明する。
このオプションを選択すると、まず、シンクライアント用OSの書類のマニュアル等に書かれているパスワードをユーザーがキーボードより入力する必要がある。これにより、誤って内蔵HDD25のOSを上書きするのを防ぐことができる。
さらにユーザーがこのパスワードを正しく入力した場合、後述するステップS104のインストールの過程により、記憶メディアCのファイル群がコピーされるインストールが行われる。
このインストールにより、起動時間を短縮し、特定のPCの環境に合わせた本発明の第1の実施の形態に係るシンクライアント用OSをインストールすることができる。
また、上述したように、このオプションにより起動を行っても、本発明の第1の実施の形態に係るシンクライント用OSでは、通常は起動後はHDD25を停止してまったく書き込みを行わない。
【0030】
ここで、インストールを行う際に、主記憶部22の容量が少ないPCの場合は、HDD25にて仮想記憶を作成して使用することが可能である。この場合でも、インストールされたファイルはまったく変更されないが、起動後にHDDは稼働する。
また、この仮想記憶を読み出されることでデータが流出するのを防ぐため、仮想記憶処理部130は、暗号化zip等のアルゴリズムで圧縮又は暗号化して仮想記憶上に読み書きして使用することが可能である。この暗号化については、シンクライアント用ファイル部200又は識別コード部500に書かれた秘密鍵を使用する。
【0031】
次に、起動メニュー部120は、ユーザーが起動オプションを選択した場合、キーボード40の「p」キーが押下された場合、又は一定時間(例えば5秒)キーボード40からユーザーの入力がなかった場合、次のステップS103に処理を進める。
ステップS103においては、起動メニュー部120は、インストールを行うかどうかの判断を行う。すなわち、起動オプションとしてユーザーが「Install TRANSPORTER to hard disk」を選択した場合、「Yes」として、次のステップS104に処理を進める。それ以外の場合は、ステップS102で選択されていた起動メニューに従って、次のS105以下の処理を進める。
【0032】
ステップS104においては、起動メニュー部120と起動ファイル部110に含まれるインストーラにより、以下のインストールの処理が行われる。
まず、インストーラは、共通ファイル部100からインストール処理を行うための最低限のカーネルやファイルシステム関連ファイルを読み込み、インストールのためのテキスト画面を表示する。
このテキスト画面である図6Bの画面図を参照して説明すると、まず、HDD25のHDDが複数ある場合は、それらのHDDと現在のパーティション構成情報について、起動メニュー部120が表示する。
次に、インストールするHDDを選択するダイアログを起動メニュー部120が表示する。ここで、ユーザーがHDD消去を容認するかを尋ねるダイアログを表示し、ユーザーがそれに対応して「yes」と入力すると、次のダイアログを表示する。
次に、インストーラは、ユーザーにインストール時オプションを設定させる。
このインストール時オプションとしては、(1)HDDを完全に消去(HDDの各セクタに0を書き込む、乱数を書き込む、NSA(米国国家安全保償局)推奨方式の消去等が可能である)するか、(2)現在あるパーティションにインストールするか、(3)現在あるパーティションの一部を区切ってインストールするか、についてダイアログより選択できる。
さらに、(4)仮想記憶ファイルやスワップパーティション等を作成するかどうか、についても、これはHDDに本発明の第1の実施の形態に係るシンクライアント用OSをインストールする/しないに関係なく設定可能である。
【0033】
ユーザーのオプション設定が終わると、インストーラは、HDDを消去する場合は消去し、シンクライアント用OSのインストールに必要な最低限のパーティションをHDDに作成し、記憶メディアCの内容をコピーする。仮想記憶を使用する場合は、このパーティション又はファイルを作成する。この際、起動メニュー部120が画面上にインストールの進行度合いを表示する。図6Bは、このインストール中に表示される画面の一例である。
インストールが終わると、インストーラは処理を終了する。これにより、起動メニュー部120は、処理をステップS105に進める。
なお、通常、インストールしたHDD上のファイルには記憶メディアCの識別コード部はなく、直接起動するような仕組みにもしていないため、起動時には記憶メディアCを光ディスク装置24に装入して読み出される状態にしておく必要がある。しかし、記憶メディアCの識別コード部を直接HDDにインストールし、記憶メディアCを光ディスク装置24に入れずに起動する構成も可能である。
HDDにインストールが行われると、次回起動時には起動メニュー部120は、順次HDD25に搭載されているHDDを検索して、最初のインストールされたファイルを検出した場合、起動メニューを表示せずにこのインストールされたファイルから起動を行う。
【0034】
ステップS105においては、起動ファイル部110と起動制御部210とファイルシステム仮想化部300が、本発明の第1の実施の形態のシンクライアント用OSの特徴であるところの、ファイルシステム(記憶装置に記録されているファイルを管理するための方式)の初期化を行う。この詳細を、図4のフローチャートにて示す。
【0035】
まず、ステップS1051において、起動ファイル部110の起動用のLinuxカーネル(核)が、主記憶部22上にファイルシステムを作成する。このファイルシステム作成には例えばtmpfsというプログラムを使用することができる。
以後、このファイルシステムをルートファイルシステムとする。次にこのルートファイルシステムをマウントする(マウントとは、OSがファイルシステムを認識し、該ファイルシステム中にあるファイルの読み書きができるようにするための操作のことを言う。)。さらに、起動ファイル部110におけるデバイスドライバ(ドライバ、OSからハードウェアを操作するためのプログラム・モジュール)やデーモン(バックグラウンドで実行するサービスプログラム)等の必要なファイルを、このルートファイルシステム上に展開する。この上で、起動制御部210を実行して処理を引き継がせる。
【0036】
次に、ステップS1052において、このルートファイルシステム上に、ステップS102でユーザーが入力した起動オプションを読み込み、必要な設定ファイル等を選択する。
次に、ステップS1053において、起動制御部210は、起動ファイル部110によって指定されたオプションに従って、記憶メディアCからシンクライアント用ファイル部200のための他のファイルである「IZE1」〜「IZE3」を検索してマウントする。また、この「IZE1」〜「IZE3」を展開するために必要なファイルシステム(以後IZE*ファイルシステムとする。)を作成してマウントする。
【0037】
次に、ステップS1054において、起動制御部210は、ステップS1051で作成したルートファイルシステムとIZE*ファイルシステムについて、ファイルシステム仮想化部300を実行する。
ファイルシステム仮想化部300は、例えばunionfs等のようなファイルシステムを仮想化してマウントすることができるプログラム・モジュールである。
このunionfsは、UNIX(登録商標)系のファイルシステムで言うところのファイル・インデックス情報であるi−node等を調整する。これによりファイルシステムを二重化(重ね合わせ)して読み込むことができる。
すなわち、ディレクトリ構成が重なるファイルシステムを主記憶上に新たに作成し、このファイルシステムから、同一名のディレクトリやファイルにアクセスすることができる。
重ね合わせられたファイルシステム間に同一名のディレクトリやファイルがある場合には、階層的に、どれか一つのファイルシステムにあるディレクトリやファイルが優先されてアクセスされる。また、その優先されるファイルシステムになく、もう一方のファイルシステムにだけあるファイルの場合、そのファイルをアクセスすることができる。
【0038】
このファイルシステムの具体的な状態について図11を参照して説明すると、ルートファイルシステム上でカーネルや基本的なファイルシステムがそれぞれあり、「IZE1」〜「IZE3」の展開したファイルについても、ファイルシステムが作成されているのが分かる。
ここで、重ねられたファイルシステムは、ルートファイルシステムの「/」(システムルート)上に、「/UNIONFS」以下のシンボリックリンクとして実現されている。
例えば、このステップ以降に、ユーザーやOS上で実行される各種スクリプト等のプログラムが「/bin」を参照しようとすると、「/UNIONFS/bin」の内容を見ることができる。さらに、この「/UNIONFS/bin」の内容は、「IZE1」〜「IZE3」をIZE*ファイルシステムに展開したファイルのディレクトリの「/bin」を重ねた内容である。
すなわち、ize*ファイルシステム中では、「ize3」−>「ize2」−>「ize1」の順でファイルが優先されてアクセスされる。(階層について削除しました)
このようなファイルシステムの重ね合わせにより、本発明の第1の形態に係るシンクライアントOSは、通常のLinux(登録商標)のファイルシステムと、実質的に同一なファイル名にて必要なファイルにアクセスすることが可能になる。
これにより、製品のバージョンが異なっても同一のファイルにアクセスすることができるため、セキュリティー・ホール等を回避することが可能となる。また、ディレクトリ構造の違いによってファイルのアクセスができなくなることを防ぐことができる。よって、OSの安定性が向上し、よりセキュアになる。
【0039】
次に、ステップS1055において、起動制御部210は、ステップS1051において起動ファイル部110によって指定されたオプションに従って、「IZE1」〜「IZE3」を記憶メディアCから読み込んで、識別コード部500により復号し、二重化した主記憶部22のIZE*ファイルシステム上に展開する。これにより、以後、本発明の第1の実施の形態に係るシンクライアント用OSにおいては、第1にIZE*ファイルシステム上に展開されたファイルからアクセス可能となる。
また、ルートファイルシステム上のカーネル等は、ルートファイルシステム上に置かれたままとなるため、仮に何らかの障害でカーネル関連のファイルが破損しても、ルートファイルシステム上のカーネル関連ファイルにアクセスすることができる。つまり、ファイルが破損して消去された場合でも、「/UNIONFS」下の階層のファイルシステムを参照することで、このファイルをアクセスすることができるため堅牢性が高まる。さらに、ファイルが異常であるとファイルシステム上で判断できる場合、この異常ファイルを消去して同様に下の階層のファイルシステムにアクセスすることが可能である。すなわち、OSの実行時にファイルが壊れることがない。これにより、安定性を担保することができる。
【0040】
次に、ステップS1056において、IZE*ファイルシステムにおいて、ステップS1051で読み込まれた起動オプションに従って、各種設定ファイルの初期化を行う。
これでファイルシステム初期化に係るステップS105は終了する。
【0041】
ファイルシステムの初期化が終わった後、本発明の第1の実施の形態に係るシンクライアントOSは、次のステップS106とステップS107で示されるステップを同時に行うことができる。
ステップS106においては、各種ハードウェア認識と初期化を行う。この間、通常のLinuxでは起動シークエンスが表示されるが、これは一般のユーザーには馴染みがなく、無機的な感じを与えるために製品としての訴求効果が低下する。
そこで、本発明の第1の実施の形態に係るシンクライアント用OSにおいては、ステップS106において、グラフィック画面が表示されるようなモジュールを起動する。次に、ステップS106のハードウェアを認識し初期化する間、ステップS107で画面上に画像を表示する。この画像をスプラッシュとする。
このスプラッシュにより、ユーザーが起動を待つ間の退屈を防止し、見栄えを良くし、製品としての訴求効果を高めることができる。
以下で、この2つのステップについて説明する。
【0042】
まず、S106のハードウェア認識について、図5を参照して説明する。
ステップS1061において、起動制御部210は、前ステップで読み込んだ設定ファイルを元に、各種デバイスドライバを起動ファイル部110も参照しつつ読み込み、デバイスの設定を行ってゆく。この際、まず最初に、ビデオカード26に働きかけ、ステップS102でユーザーが選択した表示上の解像度に変更し、次のステップS107のスプラッシュを起動する準備を行う。ここで、ユーザーの選択した解像度に変更不可能であった場合は、ステップS102の「TRANSPORTER(substandard)」と同様な解像度の自動認識を行うため、ステップS107は実行しない。
このデバイスドライバとしては、汎用OSであるところのLinux用に用意されたデバイスドライバ群が利用できるため、各機種ごとの構成が千差万別であるPC/AT互換機に対応することができる。
また、本発明の第1の実施の形態に係るシンクライアント用OSは、シンクライアント用に特化したOSなので、多数のデバイスについてのデバイスドライバを読み込む必要がない。このデバイスドライバとしては、例えば、チップセット23の各種I/O用ドライバ、HDD25アクセス用のIDEドライバ等、ネットワーク用ドライバ、USB(ユニバーサル・シリアル・バス)用ドライバ、図示しない音声出力部のドライバ等だけが必要である。また、必要に応じて、PCカードドライバ等も読み込むことができる。
【0043】
次に、ステップS1062において、起動制御部210は、ネットワーク設定を行う。このネットワーク設定としては、DHCPによりIPアドレスを設定し、ファイアーウォール(IPフィルタ、ジェイル等)等の設定も行う。
また、識別コード部500にネットワーク設定が記憶されている場合、これに従って、ネットワーク設定を行う。これにより、特定の場所や環境以外でネットワーク以外でネットワークに接続できないため、よりセキュアになる。
【0044】
次に、ステップS1063において、IZE*ファイルシステムのシンクライアント用ファイル部200の中から、壁紙ファイルを検出して読み込む。この壁紙ファイルは、ステップS108から、ステップS109で起動する全画面タスク切り替え防止部220が起動される前まで表示部50に表示されるため、ユーザーへの訴求効果を高めることができる。
これでハードウェア認識に係るステップ106が終了する。
【0045】
ステップS107においては、ステップS106の最初期にVGAドライバが起動された後、まず図7に参照されるようなスプラッシュの画面が表示される。これ以降、通常のLinuxのように起動シークエンスとして文字の羅列が表示されたり、マイクロソフト社のウィンドウズ(登録商標)等に見られるような、時折、表示部50に表示される画面がテキスト表示モードに変更されカーソルが点滅して、途中で起動しないのではないかとユーザーが不安を感じることはない。
図7のスプラッシュの画面においては、起動制御部210が、右下にキャラクターが移動するアニメーション1500を表示する。また、ステップ106の状態を監視して、どの程度デバイスドライバの起動が終わったのかに従って、プログレスバー1510の状態を更新する。この更新に従って、グラフ状のプログレスバーの色が右に向かって延びる。
このプログレスバー1510の状態については、デバイスドライバと機器の平均起動時間について、相当数のデバイスドライバについて計測したデータが起動ファイル部110に内蔵されている。このため、通常のウィンドウズ(登録商標)等の起動時のプログレスバーに比べて、進行度合いの表示が正確である。
【0046】
次に、ステップS108において、GUI(画像処理インターフェイス)の初期化を行う。本発明の第1の実施の形態に係るGUIとしては、UNIX(登録商標)又はこの互換OS用の高解像度のグラフィック環境である、例えばX Window System(登録商標、以下、X−Windowとする)やこれの互換GUI等を使用できる。
このステップS108では具体的には、起動制御部210が、起動ファイル部110にあるX−Windowを起動するための一連のデバイスドライバや設定ファイルの読み込み、X−Windowの起動を行う。
【0047】
このX−Windowの画面解像度に関しては、前のステップS101でユーザーが設定した解像度に従って起動する。X−Windowのウィンドウマネージャとしては、後に全画面表示アプリケーションを1つ起動するだけなので、メモリ使用量が少ないTWM等を使用するのが好適である。
さらに、このステップにおいて、起動制御部210が、ステップS1063において読み込んだ壁紙ファイルを表示する。これにより、スプラッシュからシームレスに壁紙が表示される。
この壁紙ファイルが表示された表示部50の画面の様子を図8Aに示す。GUIが起動しているため、画面中央に矢印(ポインター)が表示されているのが分かる。
【0048】
次に、ステップS109において、全画面タスク切り替え防止部220が、全画面表示アプリケーションを起動する。この全画面表示アプリケーションは、表示部50の全面に表示される「デスクトップ」画面として動作し、ユーザーがこの全画面表示アプリケーション以外の他のタスクに切り替えるのを防止する能力がある。
この上で、全画面タスク切り替え防止部220は、サーバOSに依存するアプリケーションである、サーバOS依存部240の一連のプログラム群を、全画面表示アプリケーション上で起動する。
【0049】
サーバ10のOSがマイクロソフト社製のウィンドウズ(登録商標)・サーバ2003の場合、サーバOS依存部240は、VNC等のプログラムと同様の働きをするプログラムを使用する。この構成を上述のように、「Type WT」と言う。
すなわち、「Type WT」において、サーバOS依存部240のプログラムは、ウィンドウズ(登録商標)・サーバ2003のデスクトップ画面を端末Yの表示部50に表示し、ネットワーク接続部27は、リモートデスクトップ機能に関連するポートから、デスクトップ画面を圧縮したパケットを送受信する。これにより、ユーザーがウィンドウズ(登録商標)のリモートデスクトップ機能を利用して、サーバ10の操作をすることが可能となる。
「Type WT」における、サーバ10へのログイン画面を図9に示す。ユーザーはユーザー名とパスワードを入力してサーバ10に認証されると、サーバ10にインストールされた各種アプリケーションを利用することが可能になる。
この場合、通常のPCと通常の汎用OSを使用してリモートデスクトップ接続するのと違って、端末Yの機能はサーバの画面を表示することに特化しているため、サーバから情報が端末Yに引き出されて盗まれる可能性が極めて低くなる。
【0050】
また、サーバ10のOSがUNIX(登録商標)系のOSの場合、サーバOS依存部240は、Adobe社のFLASHをベースとした遠隔デスクトップ接続のプログラムを実行し、これによりサーバ10と接続することができる。この構成を上述のように「Type BR」と言う。
この「Type BR」の場合、デスクトップの差分部分をXML形式で送信するため、より動作が軽快になり、ユーザーが快適に使用できる。
【0051】
ユーザーがPCを使用する作業を終えた場合、ただ電源を切れば良い。「Type WT」においては、ログオフの操作をした方が良いが、サーバ10は端末Yからアクセスが一定時間ないと自動的にログオフするように設定されているため、直接電源を切っても問題は少ない。電源が切られると、主記憶部22の内容は完全にランダムになるため、これを解析して情報が盗まれることはない。
また、仮想記憶が設定されていた場合は、ユーザーがPCの電源ボタンを押すと、全画面タスク切り替え防止部220が仮想記憶ファイル又はパーティションを消去してからシャットダウンのプロセスを行う。直接、ユーザーが電源コンセント等を抜いた場合は、仮想記憶が消去されないが、これも暗号化を併用していれば問題ない。
【0052】
ユーザーがサーバOS上でログオフ処理を行った場合は、全画面表示アプリケーションが終了し、図8Aに示すような壁紙画面に戻る。
この状態で、ユーザーがポインティングデバイス45を右クリック(通常の仕様の場合)すると、図8Bに示すようなメニューが表示される。ユーザーは、このメニュー内のアイテムを選択して左クリック(通常の仕様の場合)することで、各種の操作を行うことができる。
「ログオン」は、もう一度、規定されたサーバにアクセスすることができるアイテムである。
「ログオン(リダイレクト)」は、クライアントに接続しているデバイス(例えばUSBメモリ又はサウンド)をサーバと接続するための機能である。例えば、端末YにつながっているUSBメモリをサーバでネットワークドライブとして利用したり、サーバで音声ファイル(例えばMP3ファイル)を再生した場合に、端末Yにつながっているスピーカーで音を鳴らすといったことが可能になる。他にも、プリンタ、シリアルポート、クリップボード、プラグアンドプレイデバイスに対応している。なお、構成(顧客の要件)によって、「ログオン(リダイレクト)」は表示しないようにしている。
「再起動」は、PCを再起動するアイテムで、「終了」はシャットダウンのアイテムである。
また、ログオフの処理をしないで、すぐに再度ユーザーがPCを立ち上げた場合、サーバ10は、作業中断時の状態でアクセスできる。
【0053】
以上の構成により、汎用のPCをシンクライアント装置として使用することができる、セキュアなシンクライアント用OSを提供することができる。
これにより、セキュアなサーバ・シンクライアントシステムを使用することで、サーバ内のデータが流出するのを防ぐことが可能となる。
また、本発明の第1の実施の形態に係るシンクライアント用OSは、シンクライアント用OSに必要なファイルが暗号化されていることにより、リバースエンジニアリング等を防止することができ、このシンクラアント用OSのセキュリティーホール等の弱点をついて、サーバのデータが流出するのを防ぐ効果が高い。
【0054】
また、本発明の第1の実施の形態に係るシンクライアント用OSは、シンクライアント用OSに必要なファイルのうち、サーバ用のOSに依存する部分とそれ以外の部分が別のファイルとしてまとめられていることにより、サーバ用OSのバリエーションに対応するファイルを入れ替えるだけで容易に対応できるという効果がある。これにより、サーバ用のOSがアップデートされた際にも、サーバOS依存部240の差分ファイルを差し替えるだけで良い。また、サーバOSに依存しない部分がアップデートされた際に、このファイルをメンテナンスする(例えば、セキュリティーパッチを当てたファイルに入れ替える)のも容易となる。
【0055】
また、本発明の第1の実施の形態に係るシンクライアント用OSは、シンクライアント用に特化したOSなので、多数のデバイスについてのデバイスドライバを読み込む必要がないため、OSの動作を安定させることができ、高い互換性を得ることができる。さらに、余分なデバイスのドライバを読み込まないため、セキュリティーの向上にも効果がある。たとえば、伝統的なシリアルバスのドライバを読み込まないことで、これを介して内部の情報を吸い出すということが不可能になる。
【0056】
また、識別コード部500にネットワーク設定が記憶されている場合、これに従って、ネットワーク設定を行うことにより、特定の場所や環境、同じ機種以外でネットワークに接続できないため、セキュリティーが向上するという効果がある。
さらに、端末Yに特化したネットワークの設定を行った情報を識別コード部500に記憶しておけば、例えば無線LANの設定等をいちいちしなくても、端末Yをネットワークにすぐに接続できるという効果が生じる。これは、従来技術1の技術よりさらにユーザーの手間を省くことが可能になる。
【0057】
また、本発明のシンクライアント用OSは、識別コード部500が存在し、さらにセキュリティー・ホール(セキュリティー上の弱点)になりうる汎用OS上のコードを除いて、シンクライアントに必要なファイルのみを備えるシンクライアント専用のOSである。このため、汎用OSを使用している従来技術2のサーバ・クライアントシステムよりも、(汎用のPCを使用しているにも関わらず)さらにセキュリティーが強固なサーバ・クライアントシステムを構築することができる。
【0058】
なお、本発明の第1の実施の形態に係るシンクライアント用OSの識別コード部500はファイル形式で参照できるように、記憶メディアCに記憶することも可能である。この場合でも、シンクライント用ファイル部200の内容が識別コード部500によってすぐデコードできないように、起動制御部210が独自の解凍アルゴリズムを持ち、プログラムの復号する部位が暗号化されていることが望ましい。
また、識別コード部500は、光ディスクのISOイメージファイルを加工して変更することもできる。この場合、本発明の第1の実施の形態に係るシンクライアント用OSの製造が容易になるという効果が得られる。
【0059】
また、本発明の第1の実施の形態に係るシンクライアント用OSは、起動後、ユーザーの入力時に全画面表示アプリケーションを実行するだけなので、特定のウィンドウマネージャに依存しない。
【0060】
さらに、本発明の第1の実施の形態に係るシンクライアント用OSは、起動中あるいは起動後、全画面表示アプリケーション中に、ユーザーが不正に他のタスクに切り替えた場合、自動的にPCのシャットダウンを行う機能を含むことも可能である。この際、HDD25に仮想記憶を行っている場合、仮想記憶処理部130が、このファイル又はパーティションを消去した上でシャットダウンすることが可能である。これにより、シャットダウン後に別OSにより仮想記憶のファイル又はパーティションの記憶内容を読み込まれてデータが流出するのを防ぐことができる。
さらに加えて、この場合は、OSに何かの問題が生じてタスクが切り替わった際には、再起動してすぐに元の状態でサーバ10にアクセスするように設定してあるので、ユーザーは作業の中断を意識することがなく本発明の第1の実施の形態に掛かるシンクライアント用OSを使用することができる。
【0061】
なお、ステップS107でインストールしたシンクライント用OSを、HDD25から直接起動するように設定することも可能である。すなわち、記憶メディアCを光ディスク装置24に入れなくても起動するように設定することができる。
この際、記憶メディアCの識別コード部500をHDD25にコピーし、さらにHDDを起動可能(アクティブ)に設定する必要がある。また、ケース・イントゥルージョン等をチェックするプログラムをシンクライアント用ファイル部200に追加し、又は鍵付きのPCケースを使用して、HDDの記憶内容を改竄されないようにすることで、よりセキュアにできる。
【0062】
また、本発明の第1の実施の形態に係る端末Yでは、追記不可能な加工をしたフラッシュメモリを記憶メディアCの代わりに用いて、このフラッシュメモリから起動することもできる。該フラッシュメモリは、図示されていない端末YのUSB(ユニバーサル・シリアル・バス)やCF(コンパクト・フラッシュ)カード等のIDE(ハードディスクインターフェース)等のインターフェイスに接続することができる。この場合も、該フラッシュメモリの内容が改竄されないような処理をする必要がある。また、光ディスクではなくフラッシュメモリから起動するためのファイルを起動ファイル部110に含む必要がある。
【0063】
さらに、サーバ10とユーザーの使用する端末Yとの間に、1種以上のゲートウェイ装置が入っていてもよい。このゲートウェイ装置は、ゲートウェイとして VPN(PPTP又はSSL−VPN)を使用して端末Yとセキュアに接続することが可能である。
このゲートウェイ装置はVPNサーバであり、サーバ10へ接続するために VPN認証を必要とする。VPNのアカウント情報(パスワード)はユーザには知らせず、識別コード部500に記憶されているため、起動時に自動的にVPNセッションを作成する。これにより、本発明の実施の形態に係るシンクライアントOSが搭載された端末以外の端末からは接続できない構成が可能となる。
また、このゲートウェイ装置は、サーバ10との認証の前に端末Yから識別コード部500の情報を受信し、端末Yのシンクライアント用OSが改竄されている又は不法な端末である場合は、このアクセスを切断し、サーバ10の管理者に通報することができる。
さらに、この端末のシンクライアント用OSの停止を行わせるコードをネットワークを通じて送信する機能を付加することができ、この停止コードに対応するプログラム・モジュールが残存している改竄された端末Yを、リモート環境からシャットダウン等させることが可能である。これにより、DoS(サービス拒否)攻撃等にも強い耐性を持たせることが可能になる。
【0064】
<第2の実施の形態>
次に、本発明の第2の実施の形態に係るシンクライアント用OSについて、図12を参照して説明する。
本発明の第2の実施の形態に係るシンクライアント用OSは、第1の実施の形態に係るシンクライアント用OSについて、光メディアをユーザーに提供した後にセキュリティーホールの解消や機能追加のための差分ファイルをセキュアに提供することを目的とした実施の形態である。
本発明の第2の実施の形態に係るサーバシンクライアントシステムは、本発明の第1の実施の形態に係るサーバシンクライアントシステムと同様である。すなわち、CPU31はCPU21と、主記憶部32は主記憶部22と、チップセット33はチップセット23と、光ディスク装置34は光ディスク装置24と、HDD35はHDD25と、ビデオカード36はビデオカード26と、ネットワーク接続部37はネットワーク接続部27と同様である。また、キーボード41はキーボード40と、ポインティングデバイス46はポインティングデバイス45と、表示部51は表示部50と同様である。
しかし、図12を参照すると、通常のPCである端末Zにおいて、さらにUSB等の接続端子を持ち、フラッシュ記憶メディアの読み込みと書き込みが可能である。
このフラッシュ記憶メディアの読み込みと書き込みのインターフェースとしては、フラッシュメモリ接続部38を使用する。フラッシュメモリ接続部38は、USBやIDEインターフェース等であり、対応したフラッシュ記憶メディアを、接続することが可能である。例えば、フラッシュメモリ接続部38がUSBならば、USB接続のいわゆる「USBメモリ」であるフラッシュ記憶メディアを接続でき、IDEインターフェースであれば、フラッシュディスクやCFカード等を接続できる。
【0065】
図13Aと図13Bは、本発明の第2の実施の形態に係るシンクライアント用OSの構成を示す図である。
本発明の第2の実施の形態に係るシンクライアント用OSは、記憶メディアDと、記憶メディアEとに分けられて記憶したプログラムやデータ等のファイル群からなる。記憶メディアDは、例えばCD−ROM、DVD−ROM又はCD−R、DVD−R等の、追記不可能な光ディスクである。また、フラッシュ記憶メディアEは、例えばSDメモリカード、USBメモリやCFカード、フラッシュメモリドライブ等であるフラッシュメモリの含まれる記憶メディアである。
【0066】
本発明の第2の実施の形態に係るシンクライアント用OSの記憶メディアDにおいて、基本ファイル部101と本発明の第1の実施の形態に係る基本ファイル部100、シンクライアントファイル部201と本発明の第1の実施の形態に係るシンクライアントファイル部200、ファイルシステム仮想化部301と本発明の第1の実施の形態に係るファイルシステム仮想化部300、マニュアル部401と本発明の第1の実施の形態に係るマニュアル部400、識別コード部501と本発明の第1の実施の形態に係る識別コード部500は、それぞれ対応する部位である。また、同様に基本ファイル部101とシンクライアント用ファイル部200の下にあるファイルも、それぞれ、第1の実施の形態の対応する部位と同様である。
これに加えて、記憶メディアDには、媒体入出力部601が含まれている。媒体入出力部601は、起動時に記憶メディアEの読み書きに関連する動作を行う。
【0067】
本発明の第2の実施の形態に係るシンクライアント用OSのフラッシュ記憶メディアEは、基本ファイル更新部701と、シンクライアント用ファイル更新部801と、更新制御部901と、識別コード部1001とが含まれる。
このうち、基本ファイル更新部701と、シンクライアント用ファイル更新部801とは、それぞれが基本ファイルと、シンクライアント用ファイルの各種更新ファイルの集合体である。この更新ファイルの集合体は、単体のファイルが対応するディレクトリ(例えば、「IZE4/bin」、「IZE4/etc」等)に置かれていても、アーカイブファイル形式になっていても良い。
さらに、更新制御部901は、当該更新ファイルを更新するためのプログラムモジュールである。また、識別コード部1001は、更新ファイルの識別コードとなる。
ここで、更新制御部901を除いては、フラッシュ記憶メディアEのファイル群は圧縮又は/及び暗号化されていても良い。
【0068】
ここで、図15を参照して、記憶メディアDと、更新ファイルのみ存在するフラッシュ記憶メディアEのファイル構成について説明する。
記憶メディアDに関しては、第1の実施の形態に係る記憶メディアC同様のファイル構成となっている。
フラッシュ記憶メディアEは、FAT32形式又はext3形式等で構成可能であり、この図の例では「/IZE」ディレクトリに、圧縮・暗号化されたアーカイブファイルであるIZE4ファイルのみが存在している。識別コード部1001は、フラッシュ記憶メディアEが例えばSDメモリカードである場合、通常のファイルシステムのアクセス方法ではアクセスできないプロテクト領域に存在する。なお、指紋認証デバイスの出力データ又は暗号化されたパーティションを使用して識別コード部1001を構成することも可能である。
【0069】
以下で、図を参照して、本発明の第2の実施の形態に係るシンクライアント用OSの起動時の動作について説明する。
まず、本発明の第2の実施の形態に係るシンクライアント用OSの起動するまでの手順は、全体としては図3で説明する全体のフローチャートと同じである。
しかし、図3の処理S105に当たる、ファイルシステムの初期化に関しては、フラッシュ記憶メディアEのファイルを読み込む為に異なっている。
以下で、図14のフローチャートを参照して、記憶メディアDとフラッシュ記憶メディアEを併用した際のファイルシステム初期化に関して説明する。
【0070】
まず、ステップS2051において、図4のステップS1051と同様にルートファイルシステムを作成する。この際、端末Zの主記憶部32の容量が少なく(例えば64メガバイト未満)、フラッシュ記憶メディアEの容量に十分な余裕があり書き込み可能に設定されている場合、フラッシュ記憶メディアEに仮想記憶ファイルやスワップパーティション等を作成して使用する。また、この仮想記憶ファイルやスワップパーティションは、識別コード部501又は識別コード部1001により暗号化可能である。
また、フラッシュ記憶メディアがセキュリティーに考慮されたフラッシュ記憶メディアである場合、フラッシュメモリ内のシンクライアント用OSによってのみアクセス可能な部位に仮想記憶を作成することも可能である。
【0071】
次に、ステップS2052において、図4のステップS102と同様にユーザーが選択した起動オプションを読み込む。
次に、ステップS2053において、図4のステップS1053と同様に、記憶メディアDから「IZE1」〜「IZE3」を検索してマウントする。また、この「IZE1」〜「IZE3」を展開するために必要なIZE*ファイルシステムを作成してマウントする。
次に、ステップS2054において、図4のステップS1054と同様に、起動制御部211は、ステップS2051で作成したルートファイルシステムとIZE*ファイルシステムについて、ファイルシステム仮想化部301を実行する。
次に、ステップS2054において、図4のステップS1055と同様に、起動制御部211は、「IZE1」〜「IZE3」を記憶メディアDから読み込んで、識別コード部501により復号し、二重化した主記憶部22のIZE*ファイルシステム上に展開する。
【0072】
ここで、ステップS2056において、媒体入力部601は、フラッシュ記憶メディアEのファイルを検索し、「/media」としてマウントする。さらに、マウントされたファイルが正規の差分ファイル群であるかについて検証する。
この検証では、識別コード部501の情報と、フラッシュ記憶メディアEの識別コード部1001の内容のうち、鍵に関する部分がハッシュ関数を使用した際に同一となるか調べる等で検証することができる。すなわち、識別コード部1001には、フラッシュメディアの容量又はチェックサムについて識別コード部501の鍵を使ってハッシュ化したものが入っており、これを媒体入力部601が認識して、識別コード部1001に他に含まれている追加的なキーワード等と合わせて復号化することで、フラッシュ記憶メディアEの内容が改竄等されていないかが検証できる。
【0073】
次に、このフラッシュ記憶メディアEのマウントに成功したかについて、ステップS2057で判定する。ここで「YES」、即ちマウントに成功しフラッシュ記憶メディアEのファイルが正規のものであった場合、起動制御部211は、処理を次のステップ2058に進める。しかし、「NO」、即ちフラッシュ記憶メディアEがなかったか、フラッシュ記憶メディアEのファイルの内容が正規のものでなく改竄等がされたものであった場合、起動制御部211は、処理をステップS2060に進めて、本発明の第1の実施の形態と同じように、光ディスクメディア等である記憶メディアDのファイルのみから起動する。
【0074】
ステップS2058においては、このフラッシュ記憶メディアEのファイルを展開するためのファイルシステム(以下、「mediaファイルシステム」とする。)を作成し、マウントする。このmediaファイルシステムには「ize4」が展開される。さらに、このファイルシステムについて、ファイルシステム仮想化部301を実行する。この後、ファイルシステムは「mediaファイルシステム」−>「IZE*ファイルシステム」という階層順にアクセス可能となる。
次に、ステップS2059においては、更新制御部901が、基本ファイル更新部701と、シンクライアント用ファイル更新部801とを、mediaファイルシステムの、それぞれ対応するディレクトリに展開する。ここで、フラッシュ記憶メディアEのファイルが圧縮又は/及び暗号化されていた場合においては、識別コード部1001の内容又は/及び識別コード部501の内容を使用して復号化することが可能である。
【0075】
この後、ステップS2060において、各種設定ファイルの初期化を行う。この初期化においては、当然、フラッシュ記憶メディアEにある設定ファイルの元ファイルを優先して使用する。
これで本発明の第2の実施の形態に係るシンクライアント用OSのファイルシステム初期化に係るステップは終了する。
【0076】
この後の起動とOSの動作に関しては、本発明の第1の実施の形態に係るシンクライアント用OSの起動と同様である。
【0077】
以上のような構成により、光ディスク等である記憶メディアDを鍵のように使用して、さらに更新プログラムを組み込んだシンクライアント用OSを実現することができる。
すなわち、記憶メディアであるDだけでは、最新のセキュリティパッチ等のセキュリティーホールの解消や、最新のOSの更新に対応したアップデート等の機能追加を行うことができない。しかし、フラッシュ記憶メディアEの差分ファイルを加えることで、これが可能になる。
この差分ファイルについては、OSの販売元がフラッシュ記憶メディアEを直接ユーザーに配ってもよいし、ユーザー認証を行った上で、インターネット上のサーバからダウンロードさせてもよい。
【0078】
また、上述の本発明の第2の実施形態に係るシンクライアント用OSの更新は、記憶メディアDに識別コード部501があり、フラッシュ記憶メディアEに識別コード部1001があることで、よりセキュアに行うことが可能である。
加えて、この識別コード部501と識別コード部1001によって復号されたシンクライアント用OSをサーバに接続した際に、サーバの方でさらに認証をかけることも可能であり、これによりもし改変された差分ファイル群が出回っても、すぐに接続禁止等の処置を取ることが可能になる。
【0079】
また、CD−ROM等の光メディアとフラッシュ記憶メディアを併用することにより、これまではCD−ROMにより配られていた記憶メディアを毎年のようにアップデートする必要がなくなる。特に、本発明においては光メディアは識別コード部を持つカスタムメイドに近い構成を取るため、記憶メディアを製造するコストを低減できる効果が大きい。さらに、無駄なメディアがいらないため、環境保護に資する。
加えて、本発明の第1の実施の形態においては、記憶メディアCをUSBメモリ等のフラッシュ記憶メディアとすることも可能であったが、古いPCの場合、USBメモリからは起動ができないことがある。ここで本発明の第2の実施の形態に係るシンクライアント用OSにおいては、CD−ROM等である記憶メディアDと併用することで、USBブートが不可能なPCからも起動することができ、さらにユーザーの利便性を高めることができる。
【0080】
また、メモリが少ないPCの場合、フラッシュ記憶メディア中に仮想記憶を作成することで、PCの固定ディスク装置内に仮想記憶を作成するより、さらにセキュアにシンクライアント用OSを使用することができる。すなわち、PCの使用後にフラッシュ記憶メディアEを外して安全な場所に置くことで、仮想記憶の内容からデータの流失が起こることも皆無となる。さらに、フラッシュメモリ内のシンクライアント用OSによってのみアクセス可能な部位に仮想記憶を作成した場合にも、仮想記憶の内容からデータの流失を防げる。
【0081】
上述の、仮想記憶をフラッシュ記憶メディア内に作成する応用として、起動した後は、フラッシュメモリ内の仮想記憶のみをユーザーのデータやアプリケーション用のメモリとして使用し端末Zの主記憶部22を使用しない、メモリ・レスのシンクライアント用OSを作成することができる。この場合、フラッシュ記憶メディアは、フラッシュディスクや高速なSDカード等の読み書きが高速な記憶媒体であることが望ましい。また、フラッシュメモリには書き込み回数の制限があるため、該フラッシュ記憶メディアの一部の箇所が破損した場合の管理を行うことが望ましい。
また、フラッシュメモリは書き込みスピードがそれほど速くないため、フラッシュ記憶メディア内に、DRAM等の書き込みが高速なRAMとこのコントロール回路を仮想記憶専用に内蔵することも可能である。この場合、フラッシュ記憶メディアは、PCI−EXPRESSバス等の高速なバスに接続されることが望ましい。
これにより、ユーザーとサーバとのやり取りはすべてセキュアな経路で行うことができるので、汎用のPCを端末に使用したシンクラアント・システムにおいて、情報の流出を極限まで減らすことが可能になる。
【0082】
また、本発明の第2の実施形態に係るシンクライアント用OSにおいては、差分ファイルをフラッシュ記憶メディアでファイルシステム仮想化を使用して読み込ませることで、カーネルや他のモジュール等のバージョン管理が非常に容易に行えるという利点が生じる。これにより、各種ファイルの依存関係をあまり気にせずに、差分ファイルによるアップデートを行うことができる。つまり、例えば、Linux(登録商標)では不得手であった、パッケージの依存関係を壊すことなく、システムファイルを含むファイルの部分的な更新が可能になる。また、例えば、いわゆるディストリビューションに依存したプログラムであったりしても、ファイルツリーを余り意識せずに使用し、更新することができるようになる。
さらに、元となるシンクライアント用OSのファイルは、追記不可能な記憶メディアであるため、HDD等にインストールする通常のOSのように、ユーザーによりアップデートされてファイルの状態が変更されている可能性を考慮する必要がない。このため、アップデートの検証をOSの提供者がしやすく、シンクライアント用OSの安定度をさらに向上させることができる。
また、以上のような仕組みは、例えばアンチウィルスソフトのように、起動可能な光メディア上に識別コードを書き込み、これを鍵として差分ファイルを読み込むプログラムにはすべて応用可能である。
【0083】
なお、起動メニューを表示する際に、CD−ROM等の光メディアではなく、フラッシュ記憶メディアに記憶された起動メニューを表示する構成も可能である。さらに、起動をフラッシュ記憶メディアの方から行うことも可能である。
【0084】
起動をフラッシュ記憶メディアから行う際の、記憶メディアのファイル構成の例を図17に示す。図17を参照すると、「ize4」に加えて、光メディアにあるファイルに加えてフラッシュメモリからの起動に必要なファイルが「/boot」を始めとする部位に記憶されている。この場合でも、光記憶メディアの識別部を鍵として使い、ファイルを展開することができる。
さらに、この場合でも、起動をフラッシュ記憶メディアから行わない場合と同様に、UNIONFS適応後のファイルのアクセスは「mediaファイルシステム」−>「IZE*ファイルシステム」の順に階層的にアクセスできる。
なお、起動を高速化するために、光メディアからは復号化のための鍵のみを読み込み、残りのファイルはすべてフラッシュ記憶メディア内のファイルから展開することも考えられるが、その場合、「IZE*ファイルシステム」は、ほぼ空となる。
【0085】
さらに、単一のフラッシュ記憶メディアだけを使う場合、例えば、パーティションを2つ以上に分けて、基本ファイルを読み込みオンリー属性にして、第1のパーティションに記憶し、差分ファイルの方を書き込み可能とした上で第2のパーティションに記憶するといった構成も可能である。これは、すなわち、これまでは上述の光メディアに記憶されていた内容を第1のパーティションに記憶し、フラッシュ記憶メディアに記憶されていた内容を第2のパーティションに記憶するといった構成である。
【0086】
また、フラッシュ記憶メディアをマウントし更新ファイルの検索・検証をするステップS2056において、フラッシュ記憶メディアEがマウントできない場合や、改竄された更新ファイルである場合、PCの電源をシャットダウンや停止するように設定することも可能である。これにより、フラッシュ記憶メディアEを、例えばUSBドングル(不正コピーを防ぐための物理的な鍵)のように使用することもできる。
【0087】
また、フラッシュメディアEの展開をする際、mediaファイルシステムを使用しないで、直接IZE*ファイルシステム上にファイルを展開することも可能である。この場合は、特にメモリ使用量を減らしたい場合に有効である。
さらに、上述のフラッシュメディアEのマウントに関するバリエーションとして、記憶メディアEの内容をIZE*ファイルシステムに展開する際(ステップS*)に、識別コード部1001の内容を鍵として使用して復号することも可能である。この場合、ステップS2054のIZE*ファイルシステムに「IZE1」〜「IZE3」ファイルを展開するのは、フラッシュ記憶メディアEのマウントの検索とマウント(ステップS2056〜ステップS20*)の後となる。ここで、フラッシュ記憶メディアEのファイルの展開については、「IZE1」〜「IZE3」ファイルを展開した後にすることが望ましい。もっとも、mediaファイルシステムを使用する場合、上述のフローチャートと同様に行うことも可能である。
【0088】
また、本発明の第2の実施の形態においても、図示しないサーバと端末Zとの間に、ゲートウェイ装置を設置することが可能であるが、この場合、ゲートウェイ装置は識別コード部501と識別コード部1001の内容を同時にチェックすることができ、よりセキュアになる。
【0089】
さらに、本発明の第1の実施の形態および第2の実施の形態に係るシンクライアント用OSに関しては、記憶メディアの暗号化には公開鍵暗号を使用しても良いように記載したが、単一のメディアで動作させるケースもある及び実装が単純になるため、共通鍵暗号を使用することも可能である。
【0090】
なお、上記実施の形態の構成及び動作は例であって、本発明の趣旨を逸脱しない範囲で適宜変更して実行することができることは言うまでもない。
【図面の簡単な説明】
【0091】
【図1A】本発明の第1の実施の形態に係る、サーバ・シンクライアントシステムの概念図である。
【図1B】本発明の第1の実施の形態に係る、端末Yの構成図である。
【図2】本発明の第1の実施の形態に係る、シンクライアント用OSの構成図である。
【図3】本発明の第1の実施の形態に係る、シンクライアント用OSの起動手順全体のフローチャートである。
【図4】本発明の第1の実施の形態に係る、ファイルシステム初期化のフローチャートである。
【図5】本発明の第1の実施の形態に係る、ハードウェア認識のフローチャートである。
【図6A】本発明の第1の実施の形態に係る、起動メニュー画面を示す図である。
【図6B】本発明の第1の実施の形態に係る、インストール画面を示す図である。
【図7】本発明の第1の実施の形態に係る、スプラッシュの画面を示す図である。
【図8A】本発明の第1の実施の形態に係る、壁紙ファイルが表示された画面を示す図である。
【図8B】本発明の第1の実施の形態に係る、全画面表示アプリケーション終了後のオプションを示す図である。
【図9】本発明の第1の実施の形態に係る、WT構成において、サーバと接続するログイン画面を示す図でる。
【図10】本発明の第1の実施の形態に係る、光メディアC上のファイル構成を示す図である。
【図11】本発明の第1の実施の形態に係る、ファイルシステム仮想化を行った際のファイル構成を示す図である。
【図12】本発明の第2の実施の形態に係る、端末Zの構成を示す図である。
【図13A】本発明の第2の実施の形態に係る、シンクライアント用OSの記憶メディアDの構成図である。
【図13B】本発明の第2の実施の形態に係る、シンクライアント用OSのフラッシュ記憶メディアEの構成図である。
【図14】本発明の第2の実施の形態に係る、ファイルシステム初期化のフローチャートである。
【図15】本発明の第2の実施の形態に係る、フラッシュ記憶メディア上Eのファイル構成を示す図である。
【図16】本発明の第1の実施の形態に係る、ファイルシステム仮想化を行った際のファイル構成を示す図である。
【図17】本発明の第2の実施の形態に係る、フラッシュ記憶メディアから起動可能な際のファイル構成を示す図である。
【符号の説明】
【0092】
5 ネットワーク部
10 サーバ
20−1〜20−n 端末
21、31 CPU (制御手段)
22、32 主記憶部 (主記憶手段)
23、33 チップセット
24、34 光ディスク装置
25、35 HDD
26、36 ビデオカード
27、37 ネットワーク接続部 (ネットワーク接続手段)
38 フラッシュメモリ接続部
40、41 キーボード
45、46 ポインティングデバイス
50、51 表示部
100、101 基本ファイル部 (基本ファイル手段)
110、111 起動ファイル部
120、121 起動メニュー部
130、131 仮想記憶処理部
200、201 シンクライアント用ファイル部 (シンクライアント用ファイル手段)
210、211 起動制御部 (起動制御手段)
220、221 全画面タスク切り替え防止部
230、231 スプラッシュイメージ部
240、241 サーバOS依存部
300、301 ファイルシステム仮想化部 (ファイルシステム仮想化手段)
400、401 マニュアル部
500、501 識別コード部
601 媒体入力部
701 基本ファイル更新部
801 シンクライアント用ファイル更新部
901 更新制御部
1001 識別コード部
1500 アニメーション
1510 プログレスバー
X サーバ・シンクライアントシステム
Y、Z 端末 (シンクライアント)
C、D 記憶メディア (光ディスク)
E フラッシュ記憶メディア (フラッシュ記憶媒体)
【特許請求の範囲】
【請求項1】
制御手段と主記憶手段とネットワーク接続手段とを備えるシンクライアント用のオペレーティングシステムであって、
基本ファイル手段と、
シンクライアント用ファイル手段と
ファイルシステム仮想化手段とを含み、
前記シンクライアント用ファイル手段は、
起動制御手段と、
全画面タスク切り替え防止手段とを含むことを特徴とするシンクライアント用オペレーティングシステム。
【請求項2】
前記基本ファイル手段に含まれるファイル群は、
汎用オペレーティングシステムに含まれるファイル群から作成することを特徴とする請求項1に記載のシンクライアント用オペレーティングシステム。
【請求項3】
前記ファイルシステム仮想化手段により、
前記シンクライアント用ファイル手段に含まれるファイル群を、
前記基本ファイル手段に含まれるファイル群と同一のファイル名でアクセスすることを特徴とする請求項1又は2に記載のシンクライアント用オペレーティングシステム。
【請求項4】
前記シンクライアント用ファイル手段に含まれるファイル群は、
サーバのオペレーティングシステムに非依存なファイル群と、
サーバのオペレーティングシステムに依存するファイル群とが含まれることを特徴とする請求項1乃至3のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項5】
前記シンクライアント用ファイル手段に含まれるファイル群は、
記憶媒体に記憶されている際には暗号化又は圧縮化されており、
シンクライアントの起動時に主記憶手段に読み込む際に復号化することを特徴とする請求項1乃至4のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項6】
前記基本ファイル手段及び前記シンクライアント用ファイル手段のファイル群は、追記不可能な記憶媒体に記憶することを特徴とする請求項1乃至5のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項7】
前記追記不可能な記憶媒体には、該記憶媒体ごとにさらに識別コードが記憶されていることを特徴とする請求項6に記載のシンクライアント用オペレーティングシステム。
【請求項8】
前記追記不可能な記憶媒体は、光ディスクであることを特徴とする請求項6又は7に記載のシンクライアント用オペレーティングシステム。
【請求項9】
前記起動制御手段により、前記追記不可能な記憶媒体を識別して復号を行うことを特徴とする請求項6乃至8のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項10】
基本ファイル手段及び/又はシンクライアント用ファイル手段の更新差分ファイル手段を更に含み、
前記ファイルシステム仮想化手段により、
前記更新差分ファイル手段に含まれるファイル群を、前記基本ファイル手段及び/又はシンクライアント用ファイル手段のファイル群と同一のファイル名でアクセスすることを特徴とする請求項1乃至9のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項11】
前記更新差分ファイル手段のファイル群は、記憶内容変更可能な記憶媒体に記憶されることを特徴とする請求項10に記載のシンクライアント用オペレーティングシステム。
【請求項12】
前記記憶内容変更可能な記憶媒体は、該記憶媒体ごとに識別コードがさらに記憶されていることを特徴とする請求項10又は11に記載のシンクライアント用オペレーティングシステム。
【請求項13】
前記記憶内容変更可能な記憶媒体は、フラッシュ記憶媒体であることを特徴とする請求項12に記載のシンクライアント用オペレーティングシステム。
【請求項14】
前記起動制御手段により、前記記憶内容変更可能な記憶媒体の識別コードを使用して、復号を行うことを特徴とする請求項12又は13に記載のシンクライアント用オペレーティングシステム。
【請求項15】
起動が終了した後は、主記憶手段のみを使用することを特徴とする請求項1乃至14のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項16】
外部記憶手段をさらに含むシンクライアントの該外部記憶手段に、仮想記憶を作成することを特徴とする請求項11乃至15のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項17】
前記記憶内容変更可能な記憶媒体に仮想記憶を作成することを特徴とする請求項11乃至15のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項18】
前記主記憶手段を起動が終了した後には使わず、前記記憶内容変更可能な記憶媒体を一時的な記憶手段とすることを特徴とする請求項16又は17に記載のシンクライアント用オペレーティングシステム。
【請求項19】
前記シンクライアントの主記憶手段の代わりに、前記記憶内容変更可能な記憶媒体内にさらに主記憶手段を備えて使用することを特徴とする請求項11乃至18のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項20】
前記起動制御手段は、
オペレーティングシステムの起動シークエンスとして文字又はカーソルが画面に表示されることを防ぎ、グラフィック画像を表示する起動制御手段であることを特徴とする請求項1乃至19のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項21】
前記全画面タスク切り替え防止手段は、シンクライアントと接続された表示手段の全画面にグラフィカル・ユーザー・インターフェースにより表示されたタスクからのみユーザーがシンクライアントを操作可能にすることを特徴とする、請求項1乃至20のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項22】
前記シンクライアントは、パーソナルコンピュータであることを特徴とする、請求項1乃至21のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項23】
請求項1乃至22のいずれか1項に記載のシンクライアント用オペレーティングシステムを実行することを特徴とするシンクライアント装置。
【請求項24】
パーソナルコンピュータで前記シンクライアント用オペレーティングシステムを実行することを特徴とする請求項23に記載のシンクライアント装置。
【請求項25】
サーバ装置と、請求項7又乃至22のいずれか1項に記載のシンクライアント用オペレーティングシステムとの間に接続された、前記追記不可能な記憶媒体の前記識別コード及び/又は前記記憶内容変更可能な記憶媒体の識別コードを秘密鍵として認証することを特徴とするゲートウェイ装置。
【請求項26】
サーバ用オペレーティングシステムが実行されているサーバ装置と、
ネットワーク手段と、
シンクライアント装置とを備え、
前記シンクライアント装置で、
基本ファイル手段と、
シンクライアント用ファイル手段と
ファイルシステム仮想化手段とを含み、
前記シンクライアント用ファイル手段は、
起動制御手段と、
全画面タスク切り替え防止手段とを含むことを特徴とするシンクライアント用オペレーティングシステム
を実行することを特徴とするサーバ・シンクライアントシステム。
【請求項27】
起動時に追記不可能な記憶媒体から起動を開始し、
内容変更可能な記憶媒体に記憶された追加又は差分のファイルを、ファイルシステム仮想化手段により同一のファイル名でアクセスすることを特徴とするシンクライアント用オペレーティングシステムの実行方法。
【請求項28】
追記不可能な記憶媒体に含まれるシンクライアント用ファイル群を、インストーラがシンクライアントの外部記憶手段にインストールし、
起動時には前記外部記憶手段にインストールした前記シンクライアント用ファイル群から起動し、
起動後には前記外部記憶手段を使用しないことを特徴とするシンクライアント用オペレーティングシステムの実行方法。
【請求項29】
追記不可能な記憶媒体に含まれるシンクライアント用ファイル群を、インストーラがシンクライアントの外部記憶手段にインストールし、
前記外部記憶手段に、内容変更可能な記憶媒体により追加又は差分のファイルを前記インストーラがさらにインストールし、
起動時に追記不可能な記憶媒体から起動し、
次に前記外部記憶手段にインストールした前記シンクライアント用ファイル群を起動し、
追記不可能な記憶媒体の識別コードを使用してサーバとのユーザー認証をすることを特徴とするシンクライアント用オペレーティングシステムの実行方法。
【請求項1】
制御手段と主記憶手段とネットワーク接続手段とを備えるシンクライアント用のオペレーティングシステムであって、
基本ファイル手段と、
シンクライアント用ファイル手段と
ファイルシステム仮想化手段とを含み、
前記シンクライアント用ファイル手段は、
起動制御手段と、
全画面タスク切り替え防止手段とを含むことを特徴とするシンクライアント用オペレーティングシステム。
【請求項2】
前記基本ファイル手段に含まれるファイル群は、
汎用オペレーティングシステムに含まれるファイル群から作成することを特徴とする請求項1に記載のシンクライアント用オペレーティングシステム。
【請求項3】
前記ファイルシステム仮想化手段により、
前記シンクライアント用ファイル手段に含まれるファイル群を、
前記基本ファイル手段に含まれるファイル群と同一のファイル名でアクセスすることを特徴とする請求項1又は2に記載のシンクライアント用オペレーティングシステム。
【請求項4】
前記シンクライアント用ファイル手段に含まれるファイル群は、
サーバのオペレーティングシステムに非依存なファイル群と、
サーバのオペレーティングシステムに依存するファイル群とが含まれることを特徴とする請求項1乃至3のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項5】
前記シンクライアント用ファイル手段に含まれるファイル群は、
記憶媒体に記憶されている際には暗号化又は圧縮化されており、
シンクライアントの起動時に主記憶手段に読み込む際に復号化することを特徴とする請求項1乃至4のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項6】
前記基本ファイル手段及び前記シンクライアント用ファイル手段のファイル群は、追記不可能な記憶媒体に記憶することを特徴とする請求項1乃至5のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項7】
前記追記不可能な記憶媒体には、該記憶媒体ごとにさらに識別コードが記憶されていることを特徴とする請求項6に記載のシンクライアント用オペレーティングシステム。
【請求項8】
前記追記不可能な記憶媒体は、光ディスクであることを特徴とする請求項6又は7に記載のシンクライアント用オペレーティングシステム。
【請求項9】
前記起動制御手段により、前記追記不可能な記憶媒体を識別して復号を行うことを特徴とする請求項6乃至8のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項10】
基本ファイル手段及び/又はシンクライアント用ファイル手段の更新差分ファイル手段を更に含み、
前記ファイルシステム仮想化手段により、
前記更新差分ファイル手段に含まれるファイル群を、前記基本ファイル手段及び/又はシンクライアント用ファイル手段のファイル群と同一のファイル名でアクセスすることを特徴とする請求項1乃至9のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項11】
前記更新差分ファイル手段のファイル群は、記憶内容変更可能な記憶媒体に記憶されることを特徴とする請求項10に記載のシンクライアント用オペレーティングシステム。
【請求項12】
前記記憶内容変更可能な記憶媒体は、該記憶媒体ごとに識別コードがさらに記憶されていることを特徴とする請求項10又は11に記載のシンクライアント用オペレーティングシステム。
【請求項13】
前記記憶内容変更可能な記憶媒体は、フラッシュ記憶媒体であることを特徴とする請求項12に記載のシンクライアント用オペレーティングシステム。
【請求項14】
前記起動制御手段により、前記記憶内容変更可能な記憶媒体の識別コードを使用して、復号を行うことを特徴とする請求項12又は13に記載のシンクライアント用オペレーティングシステム。
【請求項15】
起動が終了した後は、主記憶手段のみを使用することを特徴とする請求項1乃至14のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項16】
外部記憶手段をさらに含むシンクライアントの該外部記憶手段に、仮想記憶を作成することを特徴とする請求項11乃至15のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項17】
前記記憶内容変更可能な記憶媒体に仮想記憶を作成することを特徴とする請求項11乃至15のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項18】
前記主記憶手段を起動が終了した後には使わず、前記記憶内容変更可能な記憶媒体を一時的な記憶手段とすることを特徴とする請求項16又は17に記載のシンクライアント用オペレーティングシステム。
【請求項19】
前記シンクライアントの主記憶手段の代わりに、前記記憶内容変更可能な記憶媒体内にさらに主記憶手段を備えて使用することを特徴とする請求項11乃至18のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項20】
前記起動制御手段は、
オペレーティングシステムの起動シークエンスとして文字又はカーソルが画面に表示されることを防ぎ、グラフィック画像を表示する起動制御手段であることを特徴とする請求項1乃至19のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項21】
前記全画面タスク切り替え防止手段は、シンクライアントと接続された表示手段の全画面にグラフィカル・ユーザー・インターフェースにより表示されたタスクからのみユーザーがシンクライアントを操作可能にすることを特徴とする、請求項1乃至20のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項22】
前記シンクライアントは、パーソナルコンピュータであることを特徴とする、請求項1乃至21のいずれか1項に記載のシンクライアント用オペレーティングシステム。
【請求項23】
請求項1乃至22のいずれか1項に記載のシンクライアント用オペレーティングシステムを実行することを特徴とするシンクライアント装置。
【請求項24】
パーソナルコンピュータで前記シンクライアント用オペレーティングシステムを実行することを特徴とする請求項23に記載のシンクライアント装置。
【請求項25】
サーバ装置と、請求項7又乃至22のいずれか1項に記載のシンクライアント用オペレーティングシステムとの間に接続された、前記追記不可能な記憶媒体の前記識別コード及び/又は前記記憶内容変更可能な記憶媒体の識別コードを秘密鍵として認証することを特徴とするゲートウェイ装置。
【請求項26】
サーバ用オペレーティングシステムが実行されているサーバ装置と、
ネットワーク手段と、
シンクライアント装置とを備え、
前記シンクライアント装置で、
基本ファイル手段と、
シンクライアント用ファイル手段と
ファイルシステム仮想化手段とを含み、
前記シンクライアント用ファイル手段は、
起動制御手段と、
全画面タスク切り替え防止手段とを含むことを特徴とするシンクライアント用オペレーティングシステム
を実行することを特徴とするサーバ・シンクライアントシステム。
【請求項27】
起動時に追記不可能な記憶媒体から起動を開始し、
内容変更可能な記憶媒体に記憶された追加又は差分のファイルを、ファイルシステム仮想化手段により同一のファイル名でアクセスすることを特徴とするシンクライアント用オペレーティングシステムの実行方法。
【請求項28】
追記不可能な記憶媒体に含まれるシンクライアント用ファイル群を、インストーラがシンクライアントの外部記憶手段にインストールし、
起動時には前記外部記憶手段にインストールした前記シンクライアント用ファイル群から起動し、
起動後には前記外部記憶手段を使用しないことを特徴とするシンクライアント用オペレーティングシステムの実行方法。
【請求項29】
追記不可能な記憶媒体に含まれるシンクライアント用ファイル群を、インストーラがシンクライアントの外部記憶手段にインストールし、
前記外部記憶手段に、内容変更可能な記憶媒体により追加又は差分のファイルを前記インストーラがさらにインストールし、
起動時に追記不可能な記憶媒体から起動し、
次に前記外部記憶手段にインストールした前記シンクライアント用ファイル群を起動し、
追記不可能な記憶媒体の識別コードを使用してサーバとのユーザー認証をすることを特徴とするシンクライアント用オペレーティングシステムの実行方法。
【図1A】
【図1B】
【図2】
【図3】
【図4】
【図5】
【図6A】
【図6B】
【図7】
【図8A】
【図8B】
【図9】
【図10】
【図11】
【図12】
【図13A】
【図13B】
【図14】
【図15】
【図16】
【図17】
【図1B】
【図2】
【図3】
【図4】
【図5】
【図6A】
【図6B】
【図7】
【図8A】
【図8B】
【図9】
【図10】
【図11】
【図12】
【図13A】
【図13B】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2008−269198(P2008−269198A)
【公開日】平成20年11月6日(2008.11.6)
【国際特許分類】
【出願番号】特願2007−110035(P2007−110035)
【出願日】平成19年4月19日(2007.4.19)
【出願人】(304005277)株式会社アイズ (3)
【Fターム(参考)】
【公開日】平成20年11月6日(2008.11.6)
【国際特許分類】
【出願日】平成19年4月19日(2007.4.19)
【出願人】(304005277)株式会社アイズ (3)
【Fターム(参考)】
[ Back to top ]