リモートアクセス管理システム及び方法
【課題】コンピュータが使用される場所に応じて、ユーザのアクセス権限を設定することのできるリモートアクセス管理システムを提供する。
【解決手段】ユーザ3がドアゲート7を利用して企業の部屋6に入室すると、ユーザ3が所持するICカード8にドアゲート7が保持している所在位置情報が書き込まれる。ユーザ3がコンピュータ1をシンクライアント端末として利用するとき、コンピュータ3は該ICカード3から所在位置情報を読み取り、所在位置情報を含むメッセージを認証サーバ2に送信する。認証サーバ2は、ユーザ3に予め与えられているアクセス権限を参照し、コンピュータ3から受信した所在位置情報に応じてユーザのアクセス権限を設定する。
【解決手段】ユーザ3がドアゲート7を利用して企業の部屋6に入室すると、ユーザ3が所持するICカード8にドアゲート7が保持している所在位置情報が書き込まれる。ユーザ3がコンピュータ1をシンクライアント端末として利用するとき、コンピュータ3は該ICカード3から所在位置情報を読み取り、所在位置情報を含むメッセージを認証サーバ2に送信する。認証サーバ2は、ユーザ3に予め与えられているアクセス権限を参照し、コンピュータ3から受信した所在位置情報に応じてユーザのアクセス権限を設定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティ管理されたネットワークに配置されたサーバへのリモートアクセスを管理するための技術に関する。
【背景技術】
【0002】
ネットワーク技術の発展に伴い、企業などにおいては、企業情報の流出や盗難などを防ぐために、クライアントに最小限の機能を持たせ、セキュリティ管理されたネットワークに設置されたサーバ側に、情報資源(アプリケーションやデータファイル)を集中させるシンクライアント(Thin Client)システムが普及しつつある。
【0003】
シンクライアントシステムを実現するとき、シンクライアント端末として利用するコンピュータのハードディスクや、ユーザが所持する外部記憶デバイス(例えば、USBメモリ)に最小限の機能のみを備えたシンクライアント用オペレーティングシステム(OS: Operating System)を記憶させ、該コンピュータ上でシンクライアント用のOSを起動させる。
【0004】
このように、シンクライアント用OSを起動させれば、汎用のコンピュータをシンクライアント端末として利用できるため、シンクライアント端末として利用できるコンピュータは、企業内に設置されているコンピュータのみならず、持出し可能なノート型のコンピュータをもシンクライアント端末として利用可能になる。
【0005】
しかし、ノート型のコンピュータの場合、ノート型のコンピュータが利用される場所を特定できないため、例えば、ネットカフェや飲食店など企業外でノート型のコンピュータが利用されると、企業とは無関係の第三者に機密情報が漏洩してしまう可能性があるため、シンクライアント端末として機能するコンピュータが使用される場所に応じて、該コンピュータを操作するユーザのアクセス権限を設定することはできない。
【0006】
シンクライアント端末のアクセス先を管理するための発明としては、例えば、特許文献1において、シンクライアント用OSに加え、シンクライアント端末がアクセス可能なアクセス先(例えば、URL)のリストをハードウェアトークン(例えば、USBメモリ)に記憶させ、該リストに記述されたアクセス先以外へのアクセスをシンクライアント端末側で禁止する装置が開示されているが、特許文献1で開示されている内容では、シンクライアント端末として機能するコンピュータが使用される場所に応じて、該コンピュータを操作するユーザのアクセス権限を設定することはできない。
【特許文献1】特開2008−165541号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
そこで、本発明は、シンクライアントシステムに代表されるようなリモートアクセスシステムにおいて、リモートアクセスに利用されるコンピュータが使用される場所に応じて、該コンピュータを操作するユーザのアクセス権限を設定することのできるリモートアクセス管理システム及び方法を提供することを目的とする。
【課題を解決するための手段】
【0008】
上述した課題を解決する第1の発明は、セキュリティ管理されたネットワーク上のリソースへのリモートアクセスを管理するリモートアクセス管理システムであって、前記リモートアクセス管理システムは、前記ネットワーク外に配置され、前記リソースにリモートアクセスするコンピュータと、前記コンピュータのリモートアクセスを管理する認証サーバとから少なくとも構成され、前記コンピュータは、前記コンピュータを操作するユーザの所在位置情報を取得する所在位置情報取得手段と、前記所在位置情報を含む認証要求メッセージを前記認証サーバに送信する認証要求手段を備え、前記認証サーバは、前記所在位置情報に紐付けして前記リソースのアドレスを記憶した所在位置テーブルを参照し、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされている前記リソースへのアクセス権限を前記ユーザに設定するリモートアクセス管理手段を備えていることを特徴とするリモートアクセス管理システムである。
【0009】
上述した第1の発明によれば、前記ユーザの所在位置に応じて前記ユーザのアクセス権限を設定することで、同じ前記ユーザが同じコンピュータを使用する場合であっても、前記ユーザの所在位置に応じて、前記ユーザがアクセスできる前記リソースを限定することができるようになる。
【0010】
更に、第2の発明は、第1の発明に記載のリモートアクセス管理システムであって、前記リモートアクセス管理システムには、企業内の部屋の出入り口に設けられるドアゲートが含まれ、前記ドアゲートは、前記ユーザの入室時にドアの施錠を解錠するとき、前記ドアゲートが設置された前記部屋を示す前記所在位置情報を前記ユーザが所持するICカードに書き込み、前記ユーザの退室時にドアの施錠を解錠するとき、前記所在位置情報を前記ICカードから削除する施錠制御手段を備え、前記コンピュータに備えられた前記所在位置情報取得手段は、前記ユーザが所持する前記ICカードから前記所在位置情報を読み取る手段であることを特徴とするリモートアクセス管理システムである。
【0011】
企業のLAN(Local Area Network)内のリソースへのリモートアクセスを管理するときは、上述した第2の発明のように、前記部屋に設置された前記ドアゲートで前記所在位置情報をICカードに書き込み、前記コンピュータで前記ICカードに記憶された前記所在位置情報を読み取るようにすれば、企業内外も含め、前記ユーザがいる場所を容易に特定でき、前記ユーザがいる場所に応じて、前記ユーザのアクセス権限を設定できるようになる。
【0012】
更に、第3の発明は、第2の発明に記載のリモートアクセス管理システムであって、前記コンピュータは、前記コンピュータを操作するユーザから少なくともユーザIDを取得するユーザ情報取得手段を備え、前記認証要求手段は、前記認証要求メッセージに前記ユーザIDを含ませる手段で、前記認証サーバの前記リモートアクセス管理手段は、前記所在位置テーブルに加え、前記ユーザIDに紐付けして前記リソースのアドレスを記憶したユーザテーブルを参照し、前記認証要求メッセージに含まれる前記ユーザIDにアドレスが紐付けされ、かつ、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされた前記リソースへのアクセス権限を前記ユーザに設定する手段であることを特徴とするリモートアクセス管理システムである。
【0013】
上述した第3の発明のように、前記ユーザに予めアクセス権限が与えられている前記リソースを示す前記ユーザテーブルを前記認証サーバが備えていれば、前記ユーザのアクセス権限の無い前記リソースへのリモートアクセスを防止できる。
【0014】
更に、第4の発明は、第3の発明に記載のリモートアクセス管理システムであって、前記コンピュータの前記ユーザ情報取得手段は、前記ユーザIDに加え、前記ユーザのパスワードを前記ユーザから取得する手段で、前記認証要求手段は、前記認証要求メッセージに前記パスワードを含ませる手段で、前記認証サーバは、前記認証要求メッセージに含まれる前記パスワードを照合する前記ユーザ認証手段を備え、前記ユーザ認証手段が前記パスワードの照合に成功した後に、前記リモートアクセス管理手段が作動することを特徴とするリモートアクセス管理システムである。
【0015】
上述した第4の発明によれば、前記認証サーバが前記ユーザをユーザ認証することで、なりすまし行為による不正なリモートアクセスを防止できる。
【0016】
更に、第5の発明は、セキュリティ管理されたネットワーク内のリソースへのリモートアクセスを管理するリモートアクセス管理方法であって、前記ネットワーク外に配置され、前記サーバにリモートアクセスするコンピュータが、前記コンピュータを操作するユーザの所在位置情報を取得するステップaと、前記コンピュータが、前記コンピュータのリモートアクセスを管理する認証サーバに、前記所在位置情報を含む認証要求メッセージを送信するステップbと、前記認証サーバが、前記所在位置情報に紐付けして前記リソースのアドレスを記憶した所在位置テーブルを参照し、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされた前記リソースへのアクセス権限を前記ユーザに設定するステップcが実行されることを特徴とするリモートアクセス管理方法である。
【0017】
上述した第5の発明によれば、上述した第1の発明と同様の効果を得ることができる。
【発明の効果】
【0018】
このように、上述した本発明によれば、シンクライアントシステムに代表されるようなリモートアクセスシステムにおいて、リモートアクセスに利用されるコンピュータが使用される場所に応じて、ユーザのアクセス権限を設定することのできるリモートアクセス管理システム及び方法を提供できる。
【発明を実施するための最良の形態】
【0019】
ここから、本発明をシンクライアントシステムについて適用した実施形態について、図を参照しながら詳細に説明する。図1は、シンクライアントシステムに適用したときのリモートアクセス管理システムの構成を説明する図である。
【0020】
本実施形態のリモートアクセス管理システム9は、シンクライアント端末として利用され、ICカードリーダ17が接続されたノート型のコンピュータ1と、セキュリティ管理されたLAN5(Loacal Area Network)に接続され、コンピュータ1からLAN5内のリソースへのリモートアクセスを管理する認証サーバ2とから少なくとも構成され、図1では、LAN5内のリソースとして、機密レベルが「0」の情報が記憶されているサーバ50a、機密レベルが「1」の情報が記憶されているサーバであるサーバ50b、機密レベルが「2」の情報が記憶されているサーバ50c、機密レベルが「3」の情報が記憶されているサーバ50dを図示し、更に、LAN5とインターネット4を区分けするファイヤーオール機器51を図示している。
【0021】
また、本実施形態のリモートアクセス管理システム9を利用するユーザ3は、シンクライアント用オペレーティングシステム(OS: Operating System)が記憶されたUSBメモリ18と、企業内の部屋6(例えば、サテライトオフィス)に設置されたドアゲート7の解錠に利用するICカード8を所持している。
【0022】
図1のリモートアクセス管理システム9を構成する認証サーバ2は、RADIUS(Radius: Remote Authentication Dial In User Service)プロトコルに対応したRADIUSサーバなどを利用して実現されるWebサーバで、LAN5外からLAN5内のリソースにアクセスするユーザ3をユーザ認証する機能と、ユーザ3のアクセス権限を設定する機能と、LAN5内のリソースにアクセスしたユーザ3のログを管理する機能などを備える。
【0023】
図1で図示した認証サーバ2は、ユーザ3に予め与えられているアクセス権限を参照し、ユーザ3の所在位置に応じてユーザのアクセス権限を設定する機能を備え、本実施形態において、ユーザ3の所在位置を示す所在位置情報は、ユーザ3がドアゲート7を利用したときにICカード8に書き込まれる。認証サーバ2は、コンピュータ1から送信される所在位置情報に基づき、企業内外も含め、ユーザ3がいる場所を特定し、ユーザ3に予め与えられているアクセス権限を参照し、ユーザ3がいる場所に応じてユーザ3のアクセス権限を設定する。
【0024】
ユーザ3がいる場所に応じてユーザ3のアクセス権限を設定することで、図1で言えば、同じユーザ3であっても、ユーザ3が部屋6でコンピュータ1を利用するときはサーバ50bへのリモートアクセスを許可し、ユーザ3がノート型のコンピュータ1を企業外に持ち出し、企業外でコンピュータ1を利用するときはサーバ50bへのリモートアクセスを禁止することができるようになる。
【0025】
ここから、本発明に係わる方法の説明も兼ねて、図1で図示したリモートアクセス管理システム9で実行される処理について説明する。図2は、リモートアクセス管理システム9で実行される処理の手順を示したフロー図である。
【0026】
ユーザ3は、LAN5外のコンピュータ1を操作してLAN5内のリソースにリモートアクセスするとき、ユーザ3は、コンピュータ1のUSBポートにUSBメモリ18を接続させて(図2のS1)、USBメモリ18に記憶されたシンクライアント用OSを該コンピュータ1上で起動させ(図2のS2)、該コンピュータ1をシンクライアント端末として利用する。
【0027】
シンクライアント用OSが起動すると、コンピュータ1は、認証サーバ2にアクセス要求を行い(図2のS3)、認証サーバ2はコンピュータ1からアクセス要求を受けると、アクセス要求があったコンピュータ1に対して認証要求を行う(図2のS4)。
【0028】
シンクライアント用OSが起動したコンピュータ1は認証サーバ2から認証要求を受けると、認証サーバ2にリモートアクセスする前に、ユーザID及びパスワードを入力する画面をディスプレイに表示させ、キーボードなどを用いてユーザ3にユーザID及びパスワードを入力させ、ユーザ3が入力したユーザID及びパスワードを取得する(図2のS5)。
【0029】
コンピュータ1は、ユーザID及びパスワードを取得すると、LAN5内のリソースへのリモートアクセスにはICカード8が必要であることを示すメッセージをディスプレイに表示させ、ICカードリーダ17がICカード8を検知すると、ICカード8に対して所在位置情報を読み出すコマンドを送信し、ICカード8に対して所在位置情報の送信要求を行う(図2のS6)。
【0030】
所在位置情報を読み出すコマンドをICカード8が受信すると、ICカード8は所在位置情報をICカードリーダ17経由でコンピュータ1に送信し(図2のS7)、コンピュータ1は、ICカード8から所在位置情報を受信すると、ユーザID、パスワード及び所在位置情報を含み、所定の型式に準じた認証要求メッセージを認証サーバ2に送信し、認証サーバ2に認証応答する(図2のS8)。
【0031】
なお、コンピュータ1から認証サーバ2に送信する認証要求メッセージには、パスワードなどの機密情報が含まれるため、SSL(Secure Sockets Layer)などの技術を利用して、コンピュータ1と認証サーバ2巻の通信を暗号化したり、パスワードのHash値を送信するなど、セキュリティ対策を施しておくとよい。
【0032】
認証サーバ2は、コンピュータ1から認証要求メッセージを受信すると、まず、認証要求メッセージに含まれるユーザID及びパスワードを用いて、コンピュータ1を操作するユーザ3をユーザ認証する(図2のS9)。
【0033】
認証サーバ2は、ユーザ3のユーザIDに紐付けしてユーザ3のパスワードが記憶し、認証サーバ2は、認証要求メッセージに含まれるユーザIDに紐付けられているパスワードと認証要求メッセージに含まれるパスワードを照合することで、ユーザ3をユーザ認証する。
【0034】
ユーザ認証を実行すると、認証サーバ2は、ユーザ認証の結果に応じて処理を分岐させ(図2のS10)、ユーザ認証に成功するとLAN5内のリソースへのリモートアクセスを許可する処理を続行し、ユーザ認証に失敗すると、認証サーバ2はLAN5内のリソースへのアクセス拒否を示すメッセージをコンピュータ1に通知し(図2のS14)、この手順を終了する。
【0035】
ユーザ認証に成功すると、認証サーバ2は、ユーザ3のアクセス権限を設定する処理とを実行する(図2のS11)。
【0036】
認証サーバ2は、ユーザ3のアクセス権限を設定する処理を実行するために、ユーザIDに紐付けして、ユーザ3にアクセス権限が与えられているリソースのアドレス(例えば、IPアドレス)を記憶したユーザテーブルと、ドアゲート7が保持している所在位置情報に紐付けして、所在位置情報で特定される場所からリモートアクセスできるリソースのアドレスを記憶した所在位置テーブルを備えている。
【0037】
認証サーバ2は、ユーザ3のアクセス権限を設定する処理を実行するとき、ユーザテーブル及び所在位置テーブルを参照し、認証要求メッセージに含まれるユーザIDにアドレスが紐付けられ、かつ、認証要求メッセージに含まれる所在位置情報にアドレスが紐付けられているリソースを抽出し、抽出したリソースへのアクセス権限をユーザ3に設定する。
【0038】
ユーザ3のアクセス権限を設定すると、認証サーバ2は、認証要求メッセージを送信したコンピュータ1に対して、抽出したリソースのアドレスを含み、LAN5へのアクセス許可を示すメッセージを送信する(図2のS12)。
【0039】
LAN5へのアクセス許可が通知されると、コンピュータ1は、認証サーバ2によってリモートアクセスの許可が示されたいずれかのリソースへのリモートアクセスを開始し(図2のS13)、図2で図示した手順は終了する。
【0040】
図2で図示した手順において、認証サーバ2がユーザ3のアクセス権限の確認に利用する所在位置情報は、部屋6にユーザ3が入室する際に利用するドアゲート7によってICカード8に書き込まれ、ユーザが該部屋6から退室する際に、ドアゲート7によってICカード8から所在位置情報は削除される。
【0041】
図3は、ユーザ3が部屋6に入退室するときに実行される手順を示したフロー図で、図3(a)のフローは、ユーザ3が企業の部屋6に入室するときに実行される手順で、図3(b)のフローは、ユーザ3が企業の部屋6に退室するときに実行される手順である。
【0042】
まず、図3(a)を参照しながら、ユーザ3が企業の部屋6に入室するときに実行される手順について説明する。ユーザ3が企業内の部屋6に入室するとき、該部屋6の入口に設けられたドアゲート7にICカード8を近接させると、ドアゲート7はICカード8を検知する(図3のS20)。
【0043】
ドアゲート7がICカード8を検知すると、ドアゲート7が保持している所在位置情報を書き込むコマンドをICカード8に送信することで、ICカード8に対して所在位置情報の書き込み要求を行う(図3のS21)。
【0044】
ICカード8は、所在位置情報を書き込むコマンドを受信すると、該所在位置情報をメモリに書き込み(図3のS22)、書き込みが終了したことを示すメッセージをドアゲート7に返信し、ドアゲート7は該メッセージをICカード8から受信すると、ドアの施錠を解錠する(図3のS23)。
【0045】
次に、図3(b)を参照しながら、ユーザ3が企業の部屋6に退室するときに実行される手順について説明する。ユーザ3が企業内の部屋6から退室するとき、該部屋6の入口に設けられたドアゲート7にICカード8を近接させると、ドアゲート7はICカード8を検知する(図3のS30)。
【0046】
ドアゲート7がICカード8を検知すると、ICカード8が保持している所在位置情報を削除するコマンドをICカード8に送信することで、ICカード8に対して所在位置情報の削除要求を行う(図3のS31)。
【0047】
ICカード8は、所在位置情報を削除するコマンドを受信すると、ICカード8のメモリから所在位置情報を削除し(図3のS32)、削除が終了したことを示すメッセージをドアゲート7に返信し、ドアゲート7は該メッセージをICカード8から受信すると、ドアの施錠を解錠する(図3のS33)。
【0048】
このように、認証サーバ2が、ユーザ3に予め与えられたアクセス権限を、ユーザ3の所在位置に応じて設定することで、認証サーバ2は、同じユーザ3が同じコンピュータ1を使用したとしても、ユーザ3の所在位置によって、ユーザ3がリモートアクセスできるリソースを変更することができる。
【0049】
例えば、図1において、認証サーバ2が、部屋6(例えば、サテライトオフィス)に設置されたドアゲート7が保持している所在位置情報に紐付けして、サーバ50bとサーバ50aの2つのサーバのアドレスを記憶し、ICカード8に所在位置情報が記憶されていないことを示す情報に紐付けして、サーバ50aのアクセス権限を記憶しておけば、サーバ50bとサーバ50aの両方のアクセス権限が与えられているユーザ3が、部屋6でノート型のコンピュータ1を使用するときは、サーバ50bとサーバ50aへのアクセス権限をユーザ3に設定し、企業外でコンピュータ1を使用するときは、サーバ50aのみへのアクセス権限をユーザ3に設定することができる。
【0050】
ここから、図1で図示したアクセス管理システムを構成するコンピュータ1及び認証サーバ2について、図を参照しながら詳細に説明する。
【0051】
図4は、コンピュータ1のブロック図で、図4(a)はハードウェアブロック図、図4(b)は機能ブロック図である。
【0052】
図4(a)に図示したように、コンピュータ1は汎用的なコンピュータ1で実現され、コンピュータ1はハードウェアとして、CPU10(Central Processing Unit)、RAM11(Random Access Memory)、データ記憶装置であるハードディスク12、ネットワークインタフェース回路13、ディスプレイ14、キーボード15、ポインティングデバイス16(例えば、マウス)及びICカードリーダ17を備えている。
【0053】
更に、図4(b)に図示したように、本実施形態においては、USBメモリ18に記憶されたシンクライアント用OSがコンピュータ1上で起動することで、コンピュータ1には、図4(a)で図示したハードウェアを利用したコンピュータ1プログラムで実現される手段として、図2のS3を実行するときに作動するユーザ情報取得手段100と、図2のS4を実行するときに作動する所在位置情報取得手段101と、図2のS6を実行するときに作動する認証要求手段102と、図2のS11を実行するときに作動するリモートアクセス手段103を備えている。
【0054】
コンピュータ1のユーザ情報取得手段100は、キーボード15やポィンティングデバイス16などを利用してユーザ3がコンピュータ1に入力したユーザID及びパスワードを取得し、ユーザIDとパスワードをRAM11に格納する処理を実行する手段で、所在位置情報取得手段101は、コンピュータ1に接続されたICカードリーダ17を制御し、ICカードリーダ17と電気的に接続しているICカード8に記憶された所在位置情報を読み取り、ICカード8から読み取った所在位置情報をRAM11に格納する処理を実行する手段である。
【0055】
更に、コンピュータ1の認証要求手段102は、コンピュータ1のRAM11に格納されたユーザID、パスワード及び所在位置情報を含み、所定の型式に準じた認証要求メッセージを認証サーバ2に送信して、認証サーバ2に認証要求する処理を実行する手段で、リモートアクセス手段103は、認証サーバ2からアクセス許可を示すメッセージを受信したとき、該メッセージで示されるアドレスで示されるいずれかのリソースにリモートアクセスする処理を実行する手段である。
【0056】
図5は、認証サーバ2のブロック図で、図5(a)はハードウェアブロック図、図5(b)は機能ブロック図である。
【0057】
図5(a)に図示したように、認証サーバ2は汎用的なサーバで実現され、認証サーバ2は、ハードウェアとして、CPU20(Central Processing Unit)、RAM21(Random Access Memory)、データ記憶装置であるハードディスク22、ネットインタフェース回路23、ディスプレイ24、キーボード25及びポインティングデバイス26(例えば、マウス)などを備えている。
【0058】
更に、図5(b)に図示したように、本発明に係わる認証サーバ2として機能するために、認証サーバ2には、図5(a)で図示したハードウェアを利用したコンピュータプログラムで実現される手段として、コンピュータ1から送信された認証要求メッセージに含まれるユーザID及びパスワードを利用してユーザ認証を実行するユーザ認証手段200と、ユーザ3に予め与えられたアクセス権限を参照し、ユーザ3の所在位置に応じて、ユーザ3のアクセス権限を設定するリモートアクセス管理手段201を備えている。
【0059】
更に、認証サーバ2のハードディスク22には、データテーブルとして、ユーザ3のユーザIDに紐付けして、ユーザ3のパスワード及びユーザ3にアクセス権限が与えられているリソースのアドレスを記憶したユーザテーブル202と、ドアゲート7に保持されている所在位置情報に紐付けして、所在位置情報で特定される部屋からリモートアクセスできるリソースを記憶した所在位置テーブル203が設けられる。
【0060】
認証サーバ2に備えられたユーザ認証手段200は、コンピュータ1から認証要求メッセージを受信すると、該認証要求メッセージに含まれるユーザIDに紐付けられたパスワードをユーザテーブル202から取得し、該認証要求メッセージに含まれるパスワードとユーザテーブル202から取得したパスワードを照合することで、ユーザ認証を実行する。
【0061】
更に、認証サーバ2のリモートアクセス管理手段201は、ユーザ認証手段200がユーザ認証に成功すると、ユーザテーブル202及び所在位置テーブル203を参照し、認証要求メッセージに含まれるユーザIDにアドレスが紐付けられ、かつ、認証要求メッセージに含まれる所在位置情報にアドレスが紐付けられているリソースを抽出し、抽出したリソースへのアクセス権限をユーザ3に設定した後、抽出したリソースのアドレスを含み、アクセス許可を示すメッセージを、認証要求メッセージを送信したコンピュータ1に送信する手段である。
【0062】
ここから、本発明の効果について説明する。上述したように、認証サーバ2が、ユーザ3に予め与えられたアクセス権限を参照し、ユーザ3の所在位置に応じてユーザのアクセス権限を決定することで、同じユーザ3が同じコンピュータ1を利用しても、ユーザ3の所在位置に応じて、ユーザ3がリモートアクセスできるLAN5内のリソースを変更することができるようになる。
【0063】
図6は、認証サーバ2のハードディスク22に記憶された所在位置テーブルの一例を示した図である。図6で図示した所在位置テーブルには、所在位置情報1から所在位置情報4の4個の所在位置情報が記憶され、更に、ICカード8に所在位置情報が記憶されていない場合、或いは、ICカードリーダ17が接続されていないコンピュータ1を利用したときなど、所在位置情報を認証サーバ2が受信しなかったときに利用する情報としてfalseが記憶されている。
【0064】
所在位置情報1、所在位置情報2、所在位置情報3及び所在位置情報4を記憶しているドアゲート7が設置されている部屋6はそれぞれ、企業のミィーティングルーム、サテライトオフィス、セキュリティルームA及びセキュリティルームBである。
【0065】
また、図6で図示した所在位置テーブルにはLAN5内のリソースのアドレスとして、所在位置情報1にサーバ50aのアドレスが紐付けられ、所在位置情報2にサーバ50a及びサーバ50bのアドレス、所在位置情報3にサーバ50a、サーバ50b及びサーバ50cのアドレスが紐付けられ、所在位置情報4にサーバ50a、サーバ50b及びサーバ50dのアドレスが紐付けられている。
【0066】
図6で図示した所在位置テーブルに基づけば、企業内のすべてのサーバ50a〜サーバ50dへのアクセス権限が与えられているユーザ3がミィーティングルームに在室しているときはサーバ50aにのみアクセス可能で、該ユーザ3がサテライトオフィスに在室しているときはサーバ50a及びサーバ50bにアクセス可能で、該ユーザ3がセキュリティルームAに在室しているときはサーバ50a、サーバ50b及びサーバ50cにアクセス可能で、該ユーザ3がセキュリティルームBに在室しているときはサーバ50a、サーバ50b及びサーバ50dにアクセス可能にすることができる。
【0067】
また、ユーザ3がコンピュータ1を社外に持ち出して利用するとき、或いは、ネットカフェに設置されているコンピュータのように、ICカードリーダ17が接続されていないコンピュータ1を利用する場合は、コンピュータ1はICカード8から所在位置情報を取得することができないため、ユーザ3はサーバ50aにのみアクセス可能にすることができる。
【図面の簡単な説明】
【0068】
【図1】リモートアクセス管理システムの構成を説明する図。
【図2】リモートアクセス管理システムで実行される処理の手順を示したフロー図。
【図3】ユーザが部屋に入退室するときに実行される手順を示したフロー図。
【図4】コンピュータのブロック図。
【図5】認証サーバのブロック図。
【図6】所在位置テーブルの一例を示した図。
【符号の説明】
【0069】
1 コンピュータ
2 認証サーバ
3 ユーザ
4 インターネット
5 LAN
50a〜50d LAN内に設置されたサーバ
6 企業の部屋
7 ドアゲート
8 ICカード
9 リモートアクセス管理システム
【技術分野】
【0001】
本発明は、セキュリティ管理されたネットワークに配置されたサーバへのリモートアクセスを管理するための技術に関する。
【背景技術】
【0002】
ネットワーク技術の発展に伴い、企業などにおいては、企業情報の流出や盗難などを防ぐために、クライアントに最小限の機能を持たせ、セキュリティ管理されたネットワークに設置されたサーバ側に、情報資源(アプリケーションやデータファイル)を集中させるシンクライアント(Thin Client)システムが普及しつつある。
【0003】
シンクライアントシステムを実現するとき、シンクライアント端末として利用するコンピュータのハードディスクや、ユーザが所持する外部記憶デバイス(例えば、USBメモリ)に最小限の機能のみを備えたシンクライアント用オペレーティングシステム(OS: Operating System)を記憶させ、該コンピュータ上でシンクライアント用のOSを起動させる。
【0004】
このように、シンクライアント用OSを起動させれば、汎用のコンピュータをシンクライアント端末として利用できるため、シンクライアント端末として利用できるコンピュータは、企業内に設置されているコンピュータのみならず、持出し可能なノート型のコンピュータをもシンクライアント端末として利用可能になる。
【0005】
しかし、ノート型のコンピュータの場合、ノート型のコンピュータが利用される場所を特定できないため、例えば、ネットカフェや飲食店など企業外でノート型のコンピュータが利用されると、企業とは無関係の第三者に機密情報が漏洩してしまう可能性があるため、シンクライアント端末として機能するコンピュータが使用される場所に応じて、該コンピュータを操作するユーザのアクセス権限を設定することはできない。
【0006】
シンクライアント端末のアクセス先を管理するための発明としては、例えば、特許文献1において、シンクライアント用OSに加え、シンクライアント端末がアクセス可能なアクセス先(例えば、URL)のリストをハードウェアトークン(例えば、USBメモリ)に記憶させ、該リストに記述されたアクセス先以外へのアクセスをシンクライアント端末側で禁止する装置が開示されているが、特許文献1で開示されている内容では、シンクライアント端末として機能するコンピュータが使用される場所に応じて、該コンピュータを操作するユーザのアクセス権限を設定することはできない。
【特許文献1】特開2008−165541号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
そこで、本発明は、シンクライアントシステムに代表されるようなリモートアクセスシステムにおいて、リモートアクセスに利用されるコンピュータが使用される場所に応じて、該コンピュータを操作するユーザのアクセス権限を設定することのできるリモートアクセス管理システム及び方法を提供することを目的とする。
【課題を解決するための手段】
【0008】
上述した課題を解決する第1の発明は、セキュリティ管理されたネットワーク上のリソースへのリモートアクセスを管理するリモートアクセス管理システムであって、前記リモートアクセス管理システムは、前記ネットワーク外に配置され、前記リソースにリモートアクセスするコンピュータと、前記コンピュータのリモートアクセスを管理する認証サーバとから少なくとも構成され、前記コンピュータは、前記コンピュータを操作するユーザの所在位置情報を取得する所在位置情報取得手段と、前記所在位置情報を含む認証要求メッセージを前記認証サーバに送信する認証要求手段を備え、前記認証サーバは、前記所在位置情報に紐付けして前記リソースのアドレスを記憶した所在位置テーブルを参照し、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされている前記リソースへのアクセス権限を前記ユーザに設定するリモートアクセス管理手段を備えていることを特徴とするリモートアクセス管理システムである。
【0009】
上述した第1の発明によれば、前記ユーザの所在位置に応じて前記ユーザのアクセス権限を設定することで、同じ前記ユーザが同じコンピュータを使用する場合であっても、前記ユーザの所在位置に応じて、前記ユーザがアクセスできる前記リソースを限定することができるようになる。
【0010】
更に、第2の発明は、第1の発明に記載のリモートアクセス管理システムであって、前記リモートアクセス管理システムには、企業内の部屋の出入り口に設けられるドアゲートが含まれ、前記ドアゲートは、前記ユーザの入室時にドアの施錠を解錠するとき、前記ドアゲートが設置された前記部屋を示す前記所在位置情報を前記ユーザが所持するICカードに書き込み、前記ユーザの退室時にドアの施錠を解錠するとき、前記所在位置情報を前記ICカードから削除する施錠制御手段を備え、前記コンピュータに備えられた前記所在位置情報取得手段は、前記ユーザが所持する前記ICカードから前記所在位置情報を読み取る手段であることを特徴とするリモートアクセス管理システムである。
【0011】
企業のLAN(Local Area Network)内のリソースへのリモートアクセスを管理するときは、上述した第2の発明のように、前記部屋に設置された前記ドアゲートで前記所在位置情報をICカードに書き込み、前記コンピュータで前記ICカードに記憶された前記所在位置情報を読み取るようにすれば、企業内外も含め、前記ユーザがいる場所を容易に特定でき、前記ユーザがいる場所に応じて、前記ユーザのアクセス権限を設定できるようになる。
【0012】
更に、第3の発明は、第2の発明に記載のリモートアクセス管理システムであって、前記コンピュータは、前記コンピュータを操作するユーザから少なくともユーザIDを取得するユーザ情報取得手段を備え、前記認証要求手段は、前記認証要求メッセージに前記ユーザIDを含ませる手段で、前記認証サーバの前記リモートアクセス管理手段は、前記所在位置テーブルに加え、前記ユーザIDに紐付けして前記リソースのアドレスを記憶したユーザテーブルを参照し、前記認証要求メッセージに含まれる前記ユーザIDにアドレスが紐付けされ、かつ、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされた前記リソースへのアクセス権限を前記ユーザに設定する手段であることを特徴とするリモートアクセス管理システムである。
【0013】
上述した第3の発明のように、前記ユーザに予めアクセス権限が与えられている前記リソースを示す前記ユーザテーブルを前記認証サーバが備えていれば、前記ユーザのアクセス権限の無い前記リソースへのリモートアクセスを防止できる。
【0014】
更に、第4の発明は、第3の発明に記載のリモートアクセス管理システムであって、前記コンピュータの前記ユーザ情報取得手段は、前記ユーザIDに加え、前記ユーザのパスワードを前記ユーザから取得する手段で、前記認証要求手段は、前記認証要求メッセージに前記パスワードを含ませる手段で、前記認証サーバは、前記認証要求メッセージに含まれる前記パスワードを照合する前記ユーザ認証手段を備え、前記ユーザ認証手段が前記パスワードの照合に成功した後に、前記リモートアクセス管理手段が作動することを特徴とするリモートアクセス管理システムである。
【0015】
上述した第4の発明によれば、前記認証サーバが前記ユーザをユーザ認証することで、なりすまし行為による不正なリモートアクセスを防止できる。
【0016】
更に、第5の発明は、セキュリティ管理されたネットワーク内のリソースへのリモートアクセスを管理するリモートアクセス管理方法であって、前記ネットワーク外に配置され、前記サーバにリモートアクセスするコンピュータが、前記コンピュータを操作するユーザの所在位置情報を取得するステップaと、前記コンピュータが、前記コンピュータのリモートアクセスを管理する認証サーバに、前記所在位置情報を含む認証要求メッセージを送信するステップbと、前記認証サーバが、前記所在位置情報に紐付けして前記リソースのアドレスを記憶した所在位置テーブルを参照し、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされた前記リソースへのアクセス権限を前記ユーザに設定するステップcが実行されることを特徴とするリモートアクセス管理方法である。
【0017】
上述した第5の発明によれば、上述した第1の発明と同様の効果を得ることができる。
【発明の効果】
【0018】
このように、上述した本発明によれば、シンクライアントシステムに代表されるようなリモートアクセスシステムにおいて、リモートアクセスに利用されるコンピュータが使用される場所に応じて、ユーザのアクセス権限を設定することのできるリモートアクセス管理システム及び方法を提供できる。
【発明を実施するための最良の形態】
【0019】
ここから、本発明をシンクライアントシステムについて適用した実施形態について、図を参照しながら詳細に説明する。図1は、シンクライアントシステムに適用したときのリモートアクセス管理システムの構成を説明する図である。
【0020】
本実施形態のリモートアクセス管理システム9は、シンクライアント端末として利用され、ICカードリーダ17が接続されたノート型のコンピュータ1と、セキュリティ管理されたLAN5(Loacal Area Network)に接続され、コンピュータ1からLAN5内のリソースへのリモートアクセスを管理する認証サーバ2とから少なくとも構成され、図1では、LAN5内のリソースとして、機密レベルが「0」の情報が記憶されているサーバ50a、機密レベルが「1」の情報が記憶されているサーバであるサーバ50b、機密レベルが「2」の情報が記憶されているサーバ50c、機密レベルが「3」の情報が記憶されているサーバ50dを図示し、更に、LAN5とインターネット4を区分けするファイヤーオール機器51を図示している。
【0021】
また、本実施形態のリモートアクセス管理システム9を利用するユーザ3は、シンクライアント用オペレーティングシステム(OS: Operating System)が記憶されたUSBメモリ18と、企業内の部屋6(例えば、サテライトオフィス)に設置されたドアゲート7の解錠に利用するICカード8を所持している。
【0022】
図1のリモートアクセス管理システム9を構成する認証サーバ2は、RADIUS(Radius: Remote Authentication Dial In User Service)プロトコルに対応したRADIUSサーバなどを利用して実現されるWebサーバで、LAN5外からLAN5内のリソースにアクセスするユーザ3をユーザ認証する機能と、ユーザ3のアクセス権限を設定する機能と、LAN5内のリソースにアクセスしたユーザ3のログを管理する機能などを備える。
【0023】
図1で図示した認証サーバ2は、ユーザ3に予め与えられているアクセス権限を参照し、ユーザ3の所在位置に応じてユーザのアクセス権限を設定する機能を備え、本実施形態において、ユーザ3の所在位置を示す所在位置情報は、ユーザ3がドアゲート7を利用したときにICカード8に書き込まれる。認証サーバ2は、コンピュータ1から送信される所在位置情報に基づき、企業内外も含め、ユーザ3がいる場所を特定し、ユーザ3に予め与えられているアクセス権限を参照し、ユーザ3がいる場所に応じてユーザ3のアクセス権限を設定する。
【0024】
ユーザ3がいる場所に応じてユーザ3のアクセス権限を設定することで、図1で言えば、同じユーザ3であっても、ユーザ3が部屋6でコンピュータ1を利用するときはサーバ50bへのリモートアクセスを許可し、ユーザ3がノート型のコンピュータ1を企業外に持ち出し、企業外でコンピュータ1を利用するときはサーバ50bへのリモートアクセスを禁止することができるようになる。
【0025】
ここから、本発明に係わる方法の説明も兼ねて、図1で図示したリモートアクセス管理システム9で実行される処理について説明する。図2は、リモートアクセス管理システム9で実行される処理の手順を示したフロー図である。
【0026】
ユーザ3は、LAN5外のコンピュータ1を操作してLAN5内のリソースにリモートアクセスするとき、ユーザ3は、コンピュータ1のUSBポートにUSBメモリ18を接続させて(図2のS1)、USBメモリ18に記憶されたシンクライアント用OSを該コンピュータ1上で起動させ(図2のS2)、該コンピュータ1をシンクライアント端末として利用する。
【0027】
シンクライアント用OSが起動すると、コンピュータ1は、認証サーバ2にアクセス要求を行い(図2のS3)、認証サーバ2はコンピュータ1からアクセス要求を受けると、アクセス要求があったコンピュータ1に対して認証要求を行う(図2のS4)。
【0028】
シンクライアント用OSが起動したコンピュータ1は認証サーバ2から認証要求を受けると、認証サーバ2にリモートアクセスする前に、ユーザID及びパスワードを入力する画面をディスプレイに表示させ、キーボードなどを用いてユーザ3にユーザID及びパスワードを入力させ、ユーザ3が入力したユーザID及びパスワードを取得する(図2のS5)。
【0029】
コンピュータ1は、ユーザID及びパスワードを取得すると、LAN5内のリソースへのリモートアクセスにはICカード8が必要であることを示すメッセージをディスプレイに表示させ、ICカードリーダ17がICカード8を検知すると、ICカード8に対して所在位置情報を読み出すコマンドを送信し、ICカード8に対して所在位置情報の送信要求を行う(図2のS6)。
【0030】
所在位置情報を読み出すコマンドをICカード8が受信すると、ICカード8は所在位置情報をICカードリーダ17経由でコンピュータ1に送信し(図2のS7)、コンピュータ1は、ICカード8から所在位置情報を受信すると、ユーザID、パスワード及び所在位置情報を含み、所定の型式に準じた認証要求メッセージを認証サーバ2に送信し、認証サーバ2に認証応答する(図2のS8)。
【0031】
なお、コンピュータ1から認証サーバ2に送信する認証要求メッセージには、パスワードなどの機密情報が含まれるため、SSL(Secure Sockets Layer)などの技術を利用して、コンピュータ1と認証サーバ2巻の通信を暗号化したり、パスワードのHash値を送信するなど、セキュリティ対策を施しておくとよい。
【0032】
認証サーバ2は、コンピュータ1から認証要求メッセージを受信すると、まず、認証要求メッセージに含まれるユーザID及びパスワードを用いて、コンピュータ1を操作するユーザ3をユーザ認証する(図2のS9)。
【0033】
認証サーバ2は、ユーザ3のユーザIDに紐付けしてユーザ3のパスワードが記憶し、認証サーバ2は、認証要求メッセージに含まれるユーザIDに紐付けられているパスワードと認証要求メッセージに含まれるパスワードを照合することで、ユーザ3をユーザ認証する。
【0034】
ユーザ認証を実行すると、認証サーバ2は、ユーザ認証の結果に応じて処理を分岐させ(図2のS10)、ユーザ認証に成功するとLAN5内のリソースへのリモートアクセスを許可する処理を続行し、ユーザ認証に失敗すると、認証サーバ2はLAN5内のリソースへのアクセス拒否を示すメッセージをコンピュータ1に通知し(図2のS14)、この手順を終了する。
【0035】
ユーザ認証に成功すると、認証サーバ2は、ユーザ3のアクセス権限を設定する処理とを実行する(図2のS11)。
【0036】
認証サーバ2は、ユーザ3のアクセス権限を設定する処理を実行するために、ユーザIDに紐付けして、ユーザ3にアクセス権限が与えられているリソースのアドレス(例えば、IPアドレス)を記憶したユーザテーブルと、ドアゲート7が保持している所在位置情報に紐付けして、所在位置情報で特定される場所からリモートアクセスできるリソースのアドレスを記憶した所在位置テーブルを備えている。
【0037】
認証サーバ2は、ユーザ3のアクセス権限を設定する処理を実行するとき、ユーザテーブル及び所在位置テーブルを参照し、認証要求メッセージに含まれるユーザIDにアドレスが紐付けられ、かつ、認証要求メッセージに含まれる所在位置情報にアドレスが紐付けられているリソースを抽出し、抽出したリソースへのアクセス権限をユーザ3に設定する。
【0038】
ユーザ3のアクセス権限を設定すると、認証サーバ2は、認証要求メッセージを送信したコンピュータ1に対して、抽出したリソースのアドレスを含み、LAN5へのアクセス許可を示すメッセージを送信する(図2のS12)。
【0039】
LAN5へのアクセス許可が通知されると、コンピュータ1は、認証サーバ2によってリモートアクセスの許可が示されたいずれかのリソースへのリモートアクセスを開始し(図2のS13)、図2で図示した手順は終了する。
【0040】
図2で図示した手順において、認証サーバ2がユーザ3のアクセス権限の確認に利用する所在位置情報は、部屋6にユーザ3が入室する際に利用するドアゲート7によってICカード8に書き込まれ、ユーザが該部屋6から退室する際に、ドアゲート7によってICカード8から所在位置情報は削除される。
【0041】
図3は、ユーザ3が部屋6に入退室するときに実行される手順を示したフロー図で、図3(a)のフローは、ユーザ3が企業の部屋6に入室するときに実行される手順で、図3(b)のフローは、ユーザ3が企業の部屋6に退室するときに実行される手順である。
【0042】
まず、図3(a)を参照しながら、ユーザ3が企業の部屋6に入室するときに実行される手順について説明する。ユーザ3が企業内の部屋6に入室するとき、該部屋6の入口に設けられたドアゲート7にICカード8を近接させると、ドアゲート7はICカード8を検知する(図3のS20)。
【0043】
ドアゲート7がICカード8を検知すると、ドアゲート7が保持している所在位置情報を書き込むコマンドをICカード8に送信することで、ICカード8に対して所在位置情報の書き込み要求を行う(図3のS21)。
【0044】
ICカード8は、所在位置情報を書き込むコマンドを受信すると、該所在位置情報をメモリに書き込み(図3のS22)、書き込みが終了したことを示すメッセージをドアゲート7に返信し、ドアゲート7は該メッセージをICカード8から受信すると、ドアの施錠を解錠する(図3のS23)。
【0045】
次に、図3(b)を参照しながら、ユーザ3が企業の部屋6に退室するときに実行される手順について説明する。ユーザ3が企業内の部屋6から退室するとき、該部屋6の入口に設けられたドアゲート7にICカード8を近接させると、ドアゲート7はICカード8を検知する(図3のS30)。
【0046】
ドアゲート7がICカード8を検知すると、ICカード8が保持している所在位置情報を削除するコマンドをICカード8に送信することで、ICカード8に対して所在位置情報の削除要求を行う(図3のS31)。
【0047】
ICカード8は、所在位置情報を削除するコマンドを受信すると、ICカード8のメモリから所在位置情報を削除し(図3のS32)、削除が終了したことを示すメッセージをドアゲート7に返信し、ドアゲート7は該メッセージをICカード8から受信すると、ドアの施錠を解錠する(図3のS33)。
【0048】
このように、認証サーバ2が、ユーザ3に予め与えられたアクセス権限を、ユーザ3の所在位置に応じて設定することで、認証サーバ2は、同じユーザ3が同じコンピュータ1を使用したとしても、ユーザ3の所在位置によって、ユーザ3がリモートアクセスできるリソースを変更することができる。
【0049】
例えば、図1において、認証サーバ2が、部屋6(例えば、サテライトオフィス)に設置されたドアゲート7が保持している所在位置情報に紐付けして、サーバ50bとサーバ50aの2つのサーバのアドレスを記憶し、ICカード8に所在位置情報が記憶されていないことを示す情報に紐付けして、サーバ50aのアクセス権限を記憶しておけば、サーバ50bとサーバ50aの両方のアクセス権限が与えられているユーザ3が、部屋6でノート型のコンピュータ1を使用するときは、サーバ50bとサーバ50aへのアクセス権限をユーザ3に設定し、企業外でコンピュータ1を使用するときは、サーバ50aのみへのアクセス権限をユーザ3に設定することができる。
【0050】
ここから、図1で図示したアクセス管理システムを構成するコンピュータ1及び認証サーバ2について、図を参照しながら詳細に説明する。
【0051】
図4は、コンピュータ1のブロック図で、図4(a)はハードウェアブロック図、図4(b)は機能ブロック図である。
【0052】
図4(a)に図示したように、コンピュータ1は汎用的なコンピュータ1で実現され、コンピュータ1はハードウェアとして、CPU10(Central Processing Unit)、RAM11(Random Access Memory)、データ記憶装置であるハードディスク12、ネットワークインタフェース回路13、ディスプレイ14、キーボード15、ポインティングデバイス16(例えば、マウス)及びICカードリーダ17を備えている。
【0053】
更に、図4(b)に図示したように、本実施形態においては、USBメモリ18に記憶されたシンクライアント用OSがコンピュータ1上で起動することで、コンピュータ1には、図4(a)で図示したハードウェアを利用したコンピュータ1プログラムで実現される手段として、図2のS3を実行するときに作動するユーザ情報取得手段100と、図2のS4を実行するときに作動する所在位置情報取得手段101と、図2のS6を実行するときに作動する認証要求手段102と、図2のS11を実行するときに作動するリモートアクセス手段103を備えている。
【0054】
コンピュータ1のユーザ情報取得手段100は、キーボード15やポィンティングデバイス16などを利用してユーザ3がコンピュータ1に入力したユーザID及びパスワードを取得し、ユーザIDとパスワードをRAM11に格納する処理を実行する手段で、所在位置情報取得手段101は、コンピュータ1に接続されたICカードリーダ17を制御し、ICカードリーダ17と電気的に接続しているICカード8に記憶された所在位置情報を読み取り、ICカード8から読み取った所在位置情報をRAM11に格納する処理を実行する手段である。
【0055】
更に、コンピュータ1の認証要求手段102は、コンピュータ1のRAM11に格納されたユーザID、パスワード及び所在位置情報を含み、所定の型式に準じた認証要求メッセージを認証サーバ2に送信して、認証サーバ2に認証要求する処理を実行する手段で、リモートアクセス手段103は、認証サーバ2からアクセス許可を示すメッセージを受信したとき、該メッセージで示されるアドレスで示されるいずれかのリソースにリモートアクセスする処理を実行する手段である。
【0056】
図5は、認証サーバ2のブロック図で、図5(a)はハードウェアブロック図、図5(b)は機能ブロック図である。
【0057】
図5(a)に図示したように、認証サーバ2は汎用的なサーバで実現され、認証サーバ2は、ハードウェアとして、CPU20(Central Processing Unit)、RAM21(Random Access Memory)、データ記憶装置であるハードディスク22、ネットインタフェース回路23、ディスプレイ24、キーボード25及びポインティングデバイス26(例えば、マウス)などを備えている。
【0058】
更に、図5(b)に図示したように、本発明に係わる認証サーバ2として機能するために、認証サーバ2には、図5(a)で図示したハードウェアを利用したコンピュータプログラムで実現される手段として、コンピュータ1から送信された認証要求メッセージに含まれるユーザID及びパスワードを利用してユーザ認証を実行するユーザ認証手段200と、ユーザ3に予め与えられたアクセス権限を参照し、ユーザ3の所在位置に応じて、ユーザ3のアクセス権限を設定するリモートアクセス管理手段201を備えている。
【0059】
更に、認証サーバ2のハードディスク22には、データテーブルとして、ユーザ3のユーザIDに紐付けして、ユーザ3のパスワード及びユーザ3にアクセス権限が与えられているリソースのアドレスを記憶したユーザテーブル202と、ドアゲート7に保持されている所在位置情報に紐付けして、所在位置情報で特定される部屋からリモートアクセスできるリソースを記憶した所在位置テーブル203が設けられる。
【0060】
認証サーバ2に備えられたユーザ認証手段200は、コンピュータ1から認証要求メッセージを受信すると、該認証要求メッセージに含まれるユーザIDに紐付けられたパスワードをユーザテーブル202から取得し、該認証要求メッセージに含まれるパスワードとユーザテーブル202から取得したパスワードを照合することで、ユーザ認証を実行する。
【0061】
更に、認証サーバ2のリモートアクセス管理手段201は、ユーザ認証手段200がユーザ認証に成功すると、ユーザテーブル202及び所在位置テーブル203を参照し、認証要求メッセージに含まれるユーザIDにアドレスが紐付けられ、かつ、認証要求メッセージに含まれる所在位置情報にアドレスが紐付けられているリソースを抽出し、抽出したリソースへのアクセス権限をユーザ3に設定した後、抽出したリソースのアドレスを含み、アクセス許可を示すメッセージを、認証要求メッセージを送信したコンピュータ1に送信する手段である。
【0062】
ここから、本発明の効果について説明する。上述したように、認証サーバ2が、ユーザ3に予め与えられたアクセス権限を参照し、ユーザ3の所在位置に応じてユーザのアクセス権限を決定することで、同じユーザ3が同じコンピュータ1を利用しても、ユーザ3の所在位置に応じて、ユーザ3がリモートアクセスできるLAN5内のリソースを変更することができるようになる。
【0063】
図6は、認証サーバ2のハードディスク22に記憶された所在位置テーブルの一例を示した図である。図6で図示した所在位置テーブルには、所在位置情報1から所在位置情報4の4個の所在位置情報が記憶され、更に、ICカード8に所在位置情報が記憶されていない場合、或いは、ICカードリーダ17が接続されていないコンピュータ1を利用したときなど、所在位置情報を認証サーバ2が受信しなかったときに利用する情報としてfalseが記憶されている。
【0064】
所在位置情報1、所在位置情報2、所在位置情報3及び所在位置情報4を記憶しているドアゲート7が設置されている部屋6はそれぞれ、企業のミィーティングルーム、サテライトオフィス、セキュリティルームA及びセキュリティルームBである。
【0065】
また、図6で図示した所在位置テーブルにはLAN5内のリソースのアドレスとして、所在位置情報1にサーバ50aのアドレスが紐付けられ、所在位置情報2にサーバ50a及びサーバ50bのアドレス、所在位置情報3にサーバ50a、サーバ50b及びサーバ50cのアドレスが紐付けられ、所在位置情報4にサーバ50a、サーバ50b及びサーバ50dのアドレスが紐付けられている。
【0066】
図6で図示した所在位置テーブルに基づけば、企業内のすべてのサーバ50a〜サーバ50dへのアクセス権限が与えられているユーザ3がミィーティングルームに在室しているときはサーバ50aにのみアクセス可能で、該ユーザ3がサテライトオフィスに在室しているときはサーバ50a及びサーバ50bにアクセス可能で、該ユーザ3がセキュリティルームAに在室しているときはサーバ50a、サーバ50b及びサーバ50cにアクセス可能で、該ユーザ3がセキュリティルームBに在室しているときはサーバ50a、サーバ50b及びサーバ50dにアクセス可能にすることができる。
【0067】
また、ユーザ3がコンピュータ1を社外に持ち出して利用するとき、或いは、ネットカフェに設置されているコンピュータのように、ICカードリーダ17が接続されていないコンピュータ1を利用する場合は、コンピュータ1はICカード8から所在位置情報を取得することができないため、ユーザ3はサーバ50aにのみアクセス可能にすることができる。
【図面の簡単な説明】
【0068】
【図1】リモートアクセス管理システムの構成を説明する図。
【図2】リモートアクセス管理システムで実行される処理の手順を示したフロー図。
【図3】ユーザが部屋に入退室するときに実行される手順を示したフロー図。
【図4】コンピュータのブロック図。
【図5】認証サーバのブロック図。
【図6】所在位置テーブルの一例を示した図。
【符号の説明】
【0069】
1 コンピュータ
2 認証サーバ
3 ユーザ
4 インターネット
5 LAN
50a〜50d LAN内に設置されたサーバ
6 企業の部屋
7 ドアゲート
8 ICカード
9 リモートアクセス管理システム
【特許請求の範囲】
【請求項1】
セキュリティ管理されたネットワーク上のリソースへのリモートアクセスを管理するリモートアクセス管理システムであって、前記リモートアクセス管理システムは、前記ネットワーク外に配置され、前記リソースにリモートアクセスするコンピュータと、前記コンピュータのリモートアクセスを管理する認証サーバとから少なくとも構成され、前記コンピュータは、前記コンピュータを操作するユーザの所在位置情報を取得する所在位置情報取得手段と、前記所在位置情報を含む認証要求メッセージを前記認証サーバに送信する認証要求手段を備え、前記認証サーバは、前記所在位置情報に紐付けして前記リソースのアドレスを記憶した所在位置テーブルを参照し、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされている前記リソースへのアクセス権限を前記ユーザに設定するリモートアクセス管理手段を備えていることを特徴とするリモートアクセス管理システム。
【請求項2】
請求項1に記載のリモートアクセス管理システムであって、前記リモートアクセス管理システムには、企業内の部屋の出入り口に設けられるドアゲートが含まれ、前記ドアゲートは、前記ユーザの入室時にドアの施錠を解錠するとき、前記ドアゲートが設置された前記部屋を示す前記所在位置情報を前記ユーザが所持するICカードに書き込み、前記ユーザの退室時にドアの施錠を解錠するとき、前記所在位置情報を前記ICカードから削除する施錠制御手段を備え、前記コンピュータに備えられた前記所在位置情報取得手段は、前記ユーザが所持する前記ICカードから前記所在位置情報を読み取る手段であることを特徴とするリモートアクセス管理システム。
【請求項3】
請求項2に記載のリモートアクセス管理システムであって、前記コンピュータは、前記コンピュータを操作するユーザから少なくともユーザIDを取得するユーザ情報取得手段を備え、前記認証要求手段は、前記認証要求メッセージに前記ユーザIDを含ませる手段で、前記認証サーバの前記リモートアクセス管理手段は、前記所在位置テーブルに加え、前記ユーザIDに紐付けして前記リソースのアドレスを記憶したユーザテーブルを参照し、前記認証要求メッセージに含まれる前記ユーザIDにアドレスが紐付けされ、かつ、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされた前記リソースへのアクセス権限を前記ユーザに設定する手段であることを特徴とするリモートアクセス管理システム。
【請求項4】
請求項3に記載のリモートアクセス管理システムであって、前記コンピュータの前記ユーザ情報取得手段は、前記ユーザIDに加え、前記ユーザのパスワードを前記ユーザから取得する手段で、前記認証要求手段は、前記認証要求メッセージに前記パスワードを含ませる手段で、前記認証サーバは、前記認証要求メッセージに含まれる前記パスワードを照合する前記ユーザ認証手段を備え、前記ユーザ認証手段が前記パスワードの照合に成功した後に、前記リモートアクセス管理手段が作動することを特徴とするリモートアクセス管理システム。
【請求項5】
セキュリティ管理されたネットワーク内のリソースへのリモートアクセスを管理するリモートアクセス管理方法であって、前記ネットワーク外に配置され、前記サーバにリモートアクセスするコンピュータが、前記コンピュータを操作するユーザの所在位置情報を取得するステップaと、前記コンピュータが、前記コンピュータのリモートアクセスを管理する認証サーバに、前記所在位置情報を含む認証要求メッセージを送信するステップbと、前記認証サーバが、前記所在位置情報に紐付けして前記リソースのアドレスを記憶した所在位置テーブルを参照し、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされた前記リソースへのアクセス権限を前記ユーザに設定するステップcが実行されることを特徴とするリモートアクセス管理方法。
【請求項1】
セキュリティ管理されたネットワーク上のリソースへのリモートアクセスを管理するリモートアクセス管理システムであって、前記リモートアクセス管理システムは、前記ネットワーク外に配置され、前記リソースにリモートアクセスするコンピュータと、前記コンピュータのリモートアクセスを管理する認証サーバとから少なくとも構成され、前記コンピュータは、前記コンピュータを操作するユーザの所在位置情報を取得する所在位置情報取得手段と、前記所在位置情報を含む認証要求メッセージを前記認証サーバに送信する認証要求手段を備え、前記認証サーバは、前記所在位置情報に紐付けして前記リソースのアドレスを記憶した所在位置テーブルを参照し、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされている前記リソースへのアクセス権限を前記ユーザに設定するリモートアクセス管理手段を備えていることを特徴とするリモートアクセス管理システム。
【請求項2】
請求項1に記載のリモートアクセス管理システムであって、前記リモートアクセス管理システムには、企業内の部屋の出入り口に設けられるドアゲートが含まれ、前記ドアゲートは、前記ユーザの入室時にドアの施錠を解錠するとき、前記ドアゲートが設置された前記部屋を示す前記所在位置情報を前記ユーザが所持するICカードに書き込み、前記ユーザの退室時にドアの施錠を解錠するとき、前記所在位置情報を前記ICカードから削除する施錠制御手段を備え、前記コンピュータに備えられた前記所在位置情報取得手段は、前記ユーザが所持する前記ICカードから前記所在位置情報を読み取る手段であることを特徴とするリモートアクセス管理システム。
【請求項3】
請求項2に記載のリモートアクセス管理システムであって、前記コンピュータは、前記コンピュータを操作するユーザから少なくともユーザIDを取得するユーザ情報取得手段を備え、前記認証要求手段は、前記認証要求メッセージに前記ユーザIDを含ませる手段で、前記認証サーバの前記リモートアクセス管理手段は、前記所在位置テーブルに加え、前記ユーザIDに紐付けして前記リソースのアドレスを記憶したユーザテーブルを参照し、前記認証要求メッセージに含まれる前記ユーザIDにアドレスが紐付けされ、かつ、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされた前記リソースへのアクセス権限を前記ユーザに設定する手段であることを特徴とするリモートアクセス管理システム。
【請求項4】
請求項3に記載のリモートアクセス管理システムであって、前記コンピュータの前記ユーザ情報取得手段は、前記ユーザIDに加え、前記ユーザのパスワードを前記ユーザから取得する手段で、前記認証要求手段は、前記認証要求メッセージに前記パスワードを含ませる手段で、前記認証サーバは、前記認証要求メッセージに含まれる前記パスワードを照合する前記ユーザ認証手段を備え、前記ユーザ認証手段が前記パスワードの照合に成功した後に、前記リモートアクセス管理手段が作動することを特徴とするリモートアクセス管理システム。
【請求項5】
セキュリティ管理されたネットワーク内のリソースへのリモートアクセスを管理するリモートアクセス管理方法であって、前記ネットワーク外に配置され、前記サーバにリモートアクセスするコンピュータが、前記コンピュータを操作するユーザの所在位置情報を取得するステップaと、前記コンピュータが、前記コンピュータのリモートアクセスを管理する認証サーバに、前記所在位置情報を含む認証要求メッセージを送信するステップbと、前記認証サーバが、前記所在位置情報に紐付けして前記リソースのアドレスを記憶した所在位置テーブルを参照し、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされた前記リソースへのアクセス権限を前記ユーザに設定するステップcが実行されることを特徴とするリモートアクセス管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2010−97510(P2010−97510A)
【公開日】平成22年4月30日(2010.4.30)
【国際特許分類】
【出願番号】特願2008−269139(P2008−269139)
【出願日】平成20年10月17日(2008.10.17)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
【公開日】平成22年4月30日(2010.4.30)
【国際特許分類】
【出願日】平成20年10月17日(2008.10.17)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
[ Back to top ]