通信制御方法、およびシンクライアントシステム
【課題】リモートマシンが紛失または盗難にあった場合に、その紛失または盗難にあったリモートマシンからのローカルマシンへの接続を禁止することができる通信制御方法およびこれを実施するシンクライアントシステムを提供する。
【解決手段】ネットワークを介して管理サーバに接続可能な携帯端末を有し、この携帯端末に対して前記管理サーバが、ユーザ認証に必要な情報と情報処理装置のアドレスと前記情報処理装置の割当状態を示す情報とを対応付けて記憶する記憶部と、前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信する手段、および前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する手段を有する制御部と、を有する。
【解決手段】ネットワークを介して管理サーバに接続可能な携帯端末を有し、この携帯端末に対して前記管理サーバが、ユーザ認証に必要な情報と情報処理装置のアドレスと前記情報処理装置の割当状態を示す情報とを対応付けて記憶する記憶部と、前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信する手段、および前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する手段を有する制御部と、を有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、シンクライアント端末とこのシンクライアント端末の接続先装置を有するシンクライアントシステムにおいて、紛失または盗難にあったシンクライアント端末からの接続先装置への接続を禁止する技術に関する。
【背景技術】
【0002】
近年、企業では、情報漏洩防止の観点からシンクライアントシステムの導入が進んでいる。シンクライアントシステムでは、手元にあるシンクライアント端末(以下、リモートマシンと称する)を用いて社内オフィスや社内サーバルーム等に設置されたブレードPC(Personal Computer)(以下、ローカルマシンと称する)を社内外から遠隔操作することにより、ローカルマシンに搭載されている各種アプリケーションプログラムおよびデータを利用できる(例えば、特許文献1参照)。リモートマシンには、HDD(Hard Disk Drive)レスのPCを用いることにより、リモートマシンの紛失または盗難による情報漏洩の可能性を低減させている。一方、ローカルマシンには、集積度を高めたブレードタイプのPCやソフトウェアにて擬似的にPC環境を提供するサーバコンピュータ等が用いられる。
【0003】
上記シンクライアントシステムにおいて、社外では、リモートマシンはインターネット網を介してローカルマシンに接続されるため、インターネット網上で安全なデータ通信を行うためのVPN(Virtual Private Network)技術やVPN上での公開鍵暗号方式等の暗号技術が利用される。また、上記特許文献1に記載のシンクライアントシステムでは、個人を特定する情報等が記憶されたKey Mobile等の認証デバイスとローカルマシンを各ユーザに割当てて、複数のユーザでリモートマシンを共用する。これにより、各ユーザは、出張先や顧客先等に出向く際、認証デバイスのみ持ち歩くことで、出張先等にてその認証デバイスと出張先等に設置されたリモートマシンを用いて各ユーザに割当てられたローカルマシンにアクセスできるため、セキュリティの強化を図ることができる。しかし、利用者は、通常、リモートマシンと認証デバイスを鞄等の同一携行具に入れて持ち歩くことが多い。このため、この鞄を外出先に置き忘れて紛失または盗難にあう場合がある。この場合、紛失または盗難にあったリモートマシン等が、シンクライアントシステムの知識を有し、さらにパスワードを知っている者等の手に渡ると、この者が正規ユーザになりすましてリモートマシンからローカルマシンに接続することにより情報が漏洩してしまう可能性がある。したがって、リモートマシンが紛失または盗難にあった場合の対策が望まれる。
【0004】
リモートマシンが紛失または盗難にあった場合に、リモートマシンで扱われる情報の漏洩を防止する技術については、例えば、特許文献2に記載の技術が知られている。この特許文献2には、管理サーバが携帯端末機からの携帯端末機特定情報を元にリモートマシンの接続先装置となるホストPCを特定し、その特定したホストPCのアドレス情報を携帯端末機を介してリモートマシンに送信し、リモートマシンはこのアドレス情報を元に上記特定したホストPCに接続できることが記載している。
【0005】
【特許文献1】特許第04001297号公報
【特許文献2】特開2007−243344号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、上記特許文献2に記載の技術では、リモートマシンからホストPCに接続するために携帯端末機が必要となり、システム構成が複雑となる。
【0007】
本発明の目的は、通常時は、携帯端末を用いずともリモートマシンからローカルマシンに接続でき、リモートマシンが紛失または盗難にあった場合にのみ、携帯端末を用いてその紛失または盗難にあったリモートマシンからのローカルマシンへの接続を禁止することができる通信制御方法およびこれを実施するシンクライアントシステムを提供することにある。
【課題を解決するための手段】
【0008】
ネットワークに介して互いに接続可能な複数の情報処理装置、前記情報処理装置を管理する管理サーバ、および複数のシンクライアント端末から構成されるシンクライアントシステムにおいて、更に前記ネットワークを介して前記管理サーバに接続可能な携帯端末を更に有することを特徴とする。
【0009】
前記シンクライアントシステムにおいて、前記携帯端末は、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信する手段、前記管理サーバからユーザ認証結果を前記ネットワークを介して受信する手段、該ユーザ認証結果を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信する手段、および前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信する手段を有する制御を有する
ことを特徴とする。
【0010】
また、この携帯端末に対して前記管理サーバは、
前記ユーザ認証に必要な情報と前記情報処理装置のアドレスと前記情報処理装置の割当状態を示す情報とを対応付けて記憶する記憶部と、
前記携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信する手段、該受信したユーザ認証に必要な情報と前記記憶部に記憶されている前記ユーザ認証に必要な情報とに基づいてユーザ認証を行う手段、該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知する手段、前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信する手段、および前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する手段を有する制御部と、を有する
ことを特徴とする。
【0011】
また、前記シンクライアントシステムにおいて、前記携帯端末は、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信する手段、前記管理サーバからユーザ認証結果を前記ネットワークを介して受信する手段、該ユーザ認証結果を受信後に、前記情報処理装置の電源切断要求を前記ネットワークを介して前記管理サーバに送信する手段、前記管理サーバから前記情報処理装置の電源切断要求に対する応答を前記ネットワークを介して受信する手段、該応答を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信する手段、および前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信する手段を有する制御部を有することを特徴とする。
【0012】
また、この携帯端末に対して前記管理サーバは、
前記ユーザ認証に必要な情報と前記情報処理装置のアドレスと前記情報処理装置の割当状態を示す情報とを対応付けて記憶する記憶部と、
携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信する手段、該受信したユーザ認証に必要な情報と前記記憶部に記憶されている前記ユーザ認証に必要な情報とに基づいてユーザ認証を行う手段、該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知する手段、前記携帯端末から前記情報処理装置の電源切断要求を前記ネットワークを介して受信する手段、該情報処理装置に電源切断要求を前記ネットワークを介して送信する手段、該情報処理装置の電源が切断されたことを検知すると、前記携帯端末に情報処理装置の電源が切断された旨を前記ネットワークを介して送信する手段、前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信する手段、および前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する手段を有する制御部と、を有することを特徴とする。
【0013】
前記情報処理装置は、
前記管理サーバから前記電源切断要求を前記ネットワークを介して受信する手段、および前記電源切断要求を受けて当該情報処理装置の電源を切断する手段を有する制御部を有することを特徴とする。
【発明の効果】
【0014】
本発明によれば、通常時は、携帯端末を用いずともリモートマシンからローカルマシンに接続でき、リモートマシンが紛失または盗難にあった場合にのみ、携帯端末を用いてその紛失または盗難にあったリモートマシンからのローカルマシンへの接続を禁止することができる通信制御方法およびこれを実施するシンクライアントシステムを提供することができる。これにより、セキュリティを更に強化することができる。
【発明を実施するための最良の形態】
【0015】
(実施例1)
以下、本発明の第一実施形態について、図面を参照して詳細に説明する。
【0016】
図1は、本発明の第一実施形態が適用されたシンクライアントシステムの全体構成を示す図である。
【0017】
本実施形態のシンクライアントシステムは、複数の認証デバイス1およびリモートマシン(情報処理装置)2と、VPNサーバ4と、管理サーバ5と、複数のローカルマシン(シンクライアント端末)6と、ファイヤーウォール9と、携帯端末11と、を有する。
【0018】
認証デバイス1は、リモートマシン2に脱着可能である。リモートマシン2は、ホテル、駅等に構築されたLAN(Local Area Network)3に接続されている。VPNサーバ4は、会社等に構築されたLAN7に接続されている。管理サーバ5、複数のローカルマシン6は、会社等に構築されたLAN8に接続されている。また、LAN7とLAN8との間にはファイヤーウォールが存在する。このファイヤーウォールにより、VPNサーバ4、管理サーバ5およびローカルマシン6を有する内部システムと外部との通信が制御され、内部システムの安全を維持できる。認証デバイス1およびリモートマシン2を有する外部システムと、VPNサーバ4、管理サーバ5、複数のローカルマシン6およびファイヤーウォール9を有する内部システムと、はWAN(Wide Area Network)10を介して相互に接続可能に構成されている。また、携帯端末11は、携帯端末会社12、WAN10を介して内部システムに接続可能に構成されている。
【0019】
図2は、認証デバイス1の構成を示す図である。認証デバイス1は、ICチップ111と、リモートマシン2に接続するためのUSBアダプタ112と、を有する。ICチップ111には、プロセッサ113と、認証プログラム114と、PIN(Personal Identification Number)コード(暗証番号またはパスワード)115と、ユーザID116と、接続情報117と、認証情報118と、が記憶されている。認証プログラム114は、リモートマシン2に入力されたPINコードをローカルマシン2から受け取り、この受け取ったPINコードとICチップ111に記憶されているPINコード115とを照合して認証デバイス1所有者(ユーザ)の認証等を行うためのプログラムである。ユーザID116は、リモートマシン2が管理サーバ5に対しローカルマシン6のアドレス割当要求を行う際に必要な情報である。接続情報117は、リモートマシン2がVPNサーバ4に接続するために必要な、VPNサーバ4のIPアドレスや、リモートマシン2が管理サーバ5に接続するために必要なIPアドレス等の情報である。認証情報118は、VPN暗号化通信時のPKI(Public Key Infrastructure)認証に必要な電子証明書等の情報である。なお、認証デバイス1に、フラッシュメモリを外付けできるように構成し、ICチップ111内の一部のデータをこのフラッシュメモリに記憶するようにしてもよい。
【0020】
図3は、リモートマシン2の構成を示す図である。リモートマシン2は、CPU(Central Processing Unit)201と、CPU201のワークエリアとして機能するRAM(Random Access Memory)202と、LAN3に接続するためのNIC(Network Interface Card)3と、フラッシュROM(Read Only Memory)204と、ビデオカード205と、キーボードおよびマウスを接続するためのI/Oコネクタ206と、認証デバイス1を接続するためのUSBポート207、これらの各部201〜207を接続するBUS、を中継するブリッジ208と、電源209と、を有する。
【0021】
フラッシュROM204には、BIOS(Basic Input/Output System)210が記憶されている。CPU201は、電源209の投入後、まずフラッシュROM204にアクセスしてBIOS210を実行することにより、リモートマシン2のシステム構成を認識する。
【0022】
またフラッシュROM204には、OS(Operating System)211と、VPNクライアントプログラム212と、認証プログラム213と、管理サーバ接続プログラム214と、リモートコントロールプログラム215と、が少なくとも記憶されている。
【0023】
OS211は、CPU201がリモートマシン2の各部202〜209を統括的に制御して、VPNクライアントプログラム212、認証プログラム213、管理サーバ接続プログラム214およびリモートコントロールプログラム215を実行するためのプログラムである。CPU201は、BIOS210に従い、フラッシュROM204からOS211をRAM202にロードして実行する。これにより、CPU201は、リモートマシン2の各部202〜209を統括的に制御する。
【0024】
VPNクライアントプログラム212は、リモートマシン2がVPNサーバ4とVPN暗号化通信を行うためのプログラムである。
【0025】
認証プログラム213は、PKI認証を行うプログラムである。
【0026】
管理サーバ接続プログラム214は、管理サーバ5に接続するためのプログラムである。
【0027】
リモートコントロールプログラム215は、ローカルマシン6に接続して、ローカルマシン1と通信を行うためのプログラムである。リモートコントロールプログラム215は、ローカルマシン1に接続した後、ローカルマシン1にキーボード・マウス等の入力情報を送信し、またローカルマシン1から入力情報の処理結果を示す映像情報(ディスプレイのデスクトップ画面)を受信してディスプレイに表示させる。
【0028】
図4は、VPNサーバ4の構成を示す図である。VPNサーバ4は、CPU401と、CPU401のワークエリアとして機能するRAM402と、LAN7に接続するためのNIC403と、HDD404と、ビデオカード405と、フラッシュROM406と、キーボードおよびマウスを接続するためのI/Oコネクタ407と、これらの各部401〜407を接続するBUS、を中継するブリッジ408と、電源409と、を有する。
【0029】
フラッシュROM406には、BIOS414が記憶されている。CPU401は、電源409の投入後、まずフラッシュROM406にアクセスしてBIOS414を実行することにより、VPNサーバ4のシステム構成を認識する。
【0030】
HDD404には、OS410と、認証プログラム411と、VPNマネージャプログラム412と、PKI認証時に使用される電子証明書等の認証情報413と、が少なくとも記憶されている。
【0031】
OS410は、CPU401がVPNサーバ4の各部402〜409を統括的に制御して、認証プログラム411、VPNマネージャプログラム412を実行するためのプログラムである。CPU401は、BIOS414に従い、HDD404からOS410をRAM402にロードして実行する。これにより、CPU401は、VPNサーバ4の各部402〜409を統括的に制御する。
【0032】
認証プログラム411は、リモートマシン2または携帯端末11からVPN接続要求を受けた時に、モートマシン2または携帯端末11から送信された認証情報とHDD404に記憶されている認証情報413とを用いてPKI認証を行うためのプログラムである。
【0033】
VPNマネージャプログラム412は、認証プログラム411によるPKI認証(認証成立)後に、リモートマシン2または携帯端末11とVPN暗号化通信を行うためのプログラムである。
【0034】
図5は、管理サーバ5の構成を示す図である。管理サーバ5は、CPU501と、CPU501のワークエリアとして機能するRAM502と、LAN8と接続するためのNIC503と、HDD504と、ビデオカード505と、フラッシュROM506と、キーボードおよびマウスを接続するためのI/Oコネクタ507と、これらの各部501〜507を接続するBUS、を中継するブリッジ508と、電源509と、を有する。
【0035】
フラッシュROM506には、BIOS514が記憶されている。CPU501は、電源509の投入後、まずフラッシュROM506にアクセスしてBIOS514を実行することにより、管理サーバ5のシステム構成を認識する。
【0036】
HDD504には、OS510と、ローカルマシン割当および電源制御プログラム511と、携帯端末用遠隔操作プログラム512と、ユーザ関連情報テーブル513と、が少なくとも記憶されている。
【0037】
OS510は、CPU501が管理サーバ5の各部502〜509を統括的に制御して、ローカルマシン割当および電源制御プログラム511、携帯端末用遠隔操作プログラム512を実行するためのプログラムである。CPU501は、BIOS514に従い、HDD504からOS510をRAM502にロードして実行する。これにより、CPU501は、管理サーバ5の各部502〜509を統括的に制御する。
【0038】
ローカルマシン割当および電源制御プログラム511は、ユーザへのローカルマシン6の割当および当該ローカルマシン6の電源起動の制御を行うためのプログラムである。ローカルマシン割当および電源制御プログラム511は、リモートマシン2からユーザIDとともにローカルマシン6のアドレス割当要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDの有無を判定する。判定の結果、ユーザIDが有った場合(認証成功)、ローカルマシン割当および電源制御プログラム511は、ユーザ関連情報テーブル513から当該ユーザIDと対応付いたローカルマシン6のIPアドレスを読み出し、この宛先情報を示すIPアドレスを元に電源起動要求をこのローカルマシン6にネットワーク10を介して送信する制御を行う。そして、ローカルマシン割当および電源制御プログラム511は、当該ローカルマシン6の起動を監視し、当該ローカルマシン6の起動を検知すると、当該ローカルマシン6のIPアドレスを上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する制御を行う。また、上記判定の結果、ユーザIDが無かった場合(認証失敗)、ローカルマシン割当および電源制御プログラム511は、認証に失敗した旨を上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する制御を行う。
【0039】
携帯端末用遠隔操作プログラム512は、紛失等したリモートマシン2からローカルマシン6に接続出来ないように制御するためのプログラムである。携帯端末用遠隔操作プログラム512は、携帯端末11からユーザIDとともに接続要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDの有無を判定する。判定の結果、ユーザIDが有った場合(認証成功)、認証に成功した旨をネットワーク10を介して上記接続要求元の携帯端末11に通知する制御を行う。携帯端末用遠隔操作プログラム512は、認証成功の通知後に、当該携帯端末11からアドレス割当禁止要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDに対応付いたローカルマシン6のIPアドレスのステータスを割当禁止状態に変更し、その処理結果をネットワーク10を介して上記要求元の携帯端末11に送信する制御を行う。
【0040】
ユーザ関連情報テーブル513には、図6に示すように、ユーザID520と、ユーザに割当てるローカルマシン6のIPアドレス521と、当該IPアドレスの割当状態(ステータス)522と、を示す情報がそれぞれ対応付けされて記憶されている。
【0041】
図7は、ローカルマシン6の構成を示す図である。ローカルマシン6は、CPU601と、CPU601のワークエリアとして機能するRAM602と、LAN8に接続するためのNIC603と、HDD604と、デスクトップの映像情報を生成するビデオカード605と、フラッシュROM606と、キーボードおよびマウスを接続するためのI/Oコネクタ607と、これらの各部601〜607を接続するBUS、を中継するブリッジ608と、電源609と、を有する。
【0042】
フラッシュROM606には、BIOS613が記憶されている。CPU601は、電源609の投入後、まずフラッシュROM606にアクセスしてBIOS613を実行することにより、ローカルマシン6のシステム構成を認識する。
【0043】
HDD604には、OS610と、リモートコントロールエージェントプログラム611と、複数のアプリケーションプログラム612と、が少なくとも記憶されている。OS610は、CPU601がローカルマシン6の各部602〜609を統括的に制御して、リモートコントロールエージェントプログラム611およびアプリケーションプログラム612を実行するためのプログラムである。
【0044】
CPU601は、BIOS613に従い、HDD604からOS610をRAM602にロードして実行する。これにより、CPU601は、ローカルマシン6の各部602〜609を統括的に制御する。
【0045】
リモートコントロールエージェントプログラム611は、ローカルマシン6をリモートマシン2から遠隔操作可能とするためのプログラムである。CPU601は、OS610に従い、HDD604からリモートコントロールエージェントプログラム611をRAM602にロードして実行する。これにより、CPU601は、リモートマシン2から送られてきた入力情報を受信して処理すると共に、処理結果をネットワーク10を介してリモートマシン2に送信する制御を行う。
【0046】
アプリケーションプログラム612には、汎用のWebブラウザ、ワープロ、表計算等のプログラムがある。CPU601は、OS610に従い、リモートマシン2からネットワーク10を介してアプリケーション起動要求を受信すると、HDD604から要求のあったアプリケーションプログラム612をRAM602にロードして実行し、その実行結果をネットワーク10を介してリモートマシン2に送信する制御を行う。
【0047】
図8は、携帯端末11の構成を示す図である。携帯端末11は、CPU1101と、音声部1102と、受発信部1103と、メモリカードインターフェイス1104と、フラッシュROM1105と、表示部1106と、キーパッド1107と、電源1108と、を有する。
【0048】
フラッシュROM1105には、BIOS1110が記憶されている。CPU1101は、電源1108の投入後、まずフラッシュROM1105にアクセスしてBIOS110を実行することにより、携帯端末11のシステム構成を認識する。
【0049】
またフラッシュROM1105には、OS1111と、認証プログラム1112と、VPNクライアントプログラム1113と、リモート接続プログラム1114と、管理サーバ遠隔操作プログラム1115と、認証情報1116と、接続情報1117と、ユーザID118と、が少なくとも記憶されている。
【0050】
OS1111は、CPU1101が携帯端末11の各部1102〜1108を統括的に制御して、認証プログラム1112、VPNクライアントプログラム1113、リモート接続プログラム1114および管理サーバ遠隔操作プログラム1115を実行するためのプログラムである。
【0051】
認証プログラム1112は、携帯端末11が有する認証情報1116と、VPNサーバ4からの認証情報413とを用いてPKI認証を行うためのプログラムである。
【0052】
VPNクライアントプログラム1113は、VPNサーバ4とVPN暗号化通信を行うためのプログラムである。
【0053】
リモート接続プログラム1114は、VPNサーバ4および管理サーバ2に接続するためのプログラムである。リモート接続プログラム1114が起動されると、VPNサーバ4および管理サーバ2に接続するために必要な情報の入力を行うための接続情報設定画面が表示部1106に表示される。
【0054】
図9は、接続情報設定画面の例を示す図である。この接続情報設定画面は、接続情報の設定フィールド1120と、VPNサーバ4および管理サーバ5への接続の開始を指示するための接続開始指示フィールド1121と、で構成される。接続情報の設定フィールド1120は、さらにVPNサーバ4のIPアドレスの設定フィールド1122と、管理サーバ5のIPアドレスおよび管理サーバ5へのアクセス時に必要なユーザIDの設定フィールド1123と、で構成される。入力されたVPNサーバ4のIPアドレスおよび管理サーバ5のIPアドレスと、ユーザIDは、フラッシュROM1105に記憶される(接続情報1117、ユーザID1118)。ユーザにより接続開始を指示する操作が行われると、リモート接続プログラム1114は、認証情報1116、接続情報1117、ユーザID1118を元にVPNサーバ4および管理サーバ5に順次接続する制御を行う。
【0055】
管理サーバ遠隔操作プログラム1115は、リモート接続プログラム1114の実行後に実行され、管理サーバ5に対してローカルマシン6のアドレス割当禁止要求の送信を制御するためのプログラムである。管理サーバ遠隔操作プログラム1115が起動されると、ローカルマシン6のアドレス割当禁止を指示するための管理サーバ遠隔操作画面が表示部1106に表示される。
【0056】
図10は、管理サーバ遠隔操作画面の例を示す図である。管理サーバ遠隔操作画面は、ローカルマシン6のアドレス割当禁止を指示するための割当禁止指示フィールド1131と、管理サーバ2からのローカルマシン6のアドレス割当禁止要求に対する応答を表示するフィールド1132と、この画面の操作を終了させるための終了指示フィールド1133と、で構成される。ユーザによりローカルマシン6のアドレス割当禁止を指示する操作が行われると、管理サーバ遠隔操作プログラム115は、ローカルマシン6のアドレス割当禁止要求を管理サーバ5にネットワーク10を介して送信する制御を行う。
【0057】
図11は、本実施形態のシンクライアントシステムにおいて、認証デバイス1およびリモートマシン2を用いて、ローカルマシン6に接続する処理手順を示す図である。なお、この処理は、本来、CPUがプログラムに従って実行する。しかし、ここでは、説明を簡単にするために、単にCPUを実行主体として説明する。
【0058】
ます認証デバイス1をリモートマシン2に接続すると、リモートマシン2のCPU201は、ビデオカード205に接続されたディスプレイにPINコードの入力フォームを表示させる。そして、CPU201は、ユーザにより入力されたPINコードを受付け、これを認証デバイス1に送信して、ユーザ認証を依頼する(ステップS101、ステップ102)。
【0059】
認証デバイス1のプロセッサ113は、リモートマシン2から受信したPINコードと、ICチップ111に記憶されているPINコード115とを用いて、ユーザ認証を行う(ステップ103)。そして、ユーザ認証が成功すると、プロセッサ113は、ICチップ111に記憶されているユーザID116、VPNサーバ4および管理サーバ5に接続するためのIPアドレス等の接続情報117、PKI認証に必要な電子証明書等の認証情報118をリモートマシン2に送信する(ステップ104)。
【0060】
この後、認証デバイス1から受信したVPNサーバ4に接続するための接続情報117、認証情報1119を元に、リモートマシン2とVPNサーバ4との間でPKI認証が行われ、VPNが確立する(ステップ105)。
【0061】
次にリモートマシン2のCPU201は、ユーザID116とともにローカルマシン6のアドレス割当要求をネットワーク10を介して管理サーバ5に送信する(ステップ106)。
【0062】
管理サーバ5のCPU501は、ユーザIDとともにローカルマシン6のアドレス割当要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDの有無を判定する。判定の結果、当該ユーザIDが有った場合(認証成功、ステップ107)、CPU501は、ユーザ関連情報テーブル513から当該ユーザIDと対応付いたローカルマシン6のIPアドレスを読み出し、このIPアドレスを元に電源起動要求をローカルマシン6にネットワーク10を介して送信する(ステップ108)。そして、CPU501は、当該ローカルマシン6の起動を監視し、当該ローカルマシン6が起動されたことを検知すると(ステップ109)、当該ローカルマシン6のIPアドレスを上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する(ステップ110)。なお、上記判定の結果、ユーザIDが無かった場合(認証失敗)、CPU501は、認証に失敗した旨を上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する。
【0063】
リモートマシン2のCPU201は、管理サーバ5からのIPアドレスを認証デバイス1に送信する(ステップ111)。
【0064】
認証デバイス1のプロセッサ113は、リモートマシン2から受け取ったIPアドレスをICチップ111内に登録する。
【0065】
この後、リモートマシン2とローカルマシン6との間に通信路が確立し(ステップ113)、ローカルマシン2のCPU201はキーボードおよびマウスの入力情報をネットワーク10を介してローカルマシン6に送信し、ローカルマシン6のCPU601は、入力情報の処理結果を示す映像情報をローカルマシン2にネットワーク10を介して送信する(ステップ114、ステップ115、ステップ116)。
【0066】
なお、ステップ103において、PINコードを用いてユーザ認証を行っているが、ユーザ認証に必要な情報であれば良く、例えば、ユーザIDおよびPINコードを用いてユーザ認証を行うようにしても良い。同様に、ステップ107において、ユーザIDを用いてユーザ認証を行っているが、ユーザ認証に必要な情報であれば良く、例えば、PINコード、あるいはユーザIDおよびPINコードを用いてユーザ認証を行うようにしても良い。
【0067】
図12は、本実施形態のシンクライアントシステムにおいて、携帯端末11を用いて、ローカルマシン6に接続する処理手順を示す図である。なお、この処理は、本来、CPUがプログラムに従って実行する。しかし、ここでは、説明を簡単にするために、単にCPUを実行主体として説明する。
【0068】
VPNサーバ4のIPアドレス、管理サーバ5のIPアドレスおよび管理サーバ5用の認証情報であるユーザIDが入力(図9)されると(ステップ201)、携帯端末11のCPU1101は、この入力情報をフラッシュROM1105に格納する(接続情報1117、ユーザID1118)。この後、PKI認証に必要な電子証明書等の認証情報1116、VPNサーバ4のIPアドレス等の接続情報1117を元に、携帯端末11とVPNサーバ4との間でPKI認証が行われ、VPNが確立する(ステップ202)。
【0069】
次に、携帯端末11のCPU1101は、ユーザIDとともに管理サーバ5に接続要求をネットワーク10を介して送信する(ステップ203)。
【0070】
管理サーバ5のCPU501は、ユーザIDとともに接続要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDの有無を判定する。判定の結果、当該ユーザIDが有った場合(認証成功)(ステップ204)、CPU501は、その認証結果をネットワーク10を介して携帯端末11に通知する(ステップ205)。
【0071】
携帯端末11のCPU1101は、認証結果をネットワーク10を介して受信すると、図10に示す管理サーバ遠隔操作画面を表示部1106に表示させる。受信した認証結果は、処理結果表示フィールド1132に表示される。次に、ユーザによりローカルマシン6のアドレス割当禁止が指示されると、CPU1101は、ローカルマシン6のアドレス割当禁止要求信号を受け取り(ステップ206)、これをユーザIDとともにネットワーク10を介して管理サーバ5に送信する(ステップ207)。
【0072】
管理サーバ5のCPU501は、携帯端末11からユーザIDとともにローカルマシン6のアドレス割当禁止要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザID520(図6)に対応付いたローカルマシン6のIPアドレス(521)のステータス(522)を割当禁止状態に変更し(ステップ208)、その処理結果をネットワーク10を介して上記要求元の携帯端末11に通知する(ステップ209)。
【0073】
携帯端末11のCPU1101は、受信情報を管理サーバ遠隔操作画面の処理結果表示フィールド1132に表示させる。
【0074】
以上の動作により、ユーザ関連情報テーブル513の当該ユーザIDに対応付いたローカルマシン6のIPアドレスのステータスが割当禁止状態になっているので、このリモートマシン2からローカルマシン6への接続を禁止できる。よって、セキュリティを更に強化することができる。
【0075】
なお、ステップ204において、ユーザIDを用いてユーザ認証を行っているが、ユーザ認証に必要な情報であれば良く、例えば、PINコード、あるいはユーザIDおよびPINコードを用いてユーザ認証を行うようにしても良い。
【0076】
図13は、管理サーバ5における処理を示すフローチャートである。なお、この処理は、本来、CPU501がプログラムに従って実行する。しかし、ここでは、説明を簡単にするために、単にCPUを実行主体として説明する。
【0077】
CPU501は、要求信号を受信すると(ステップ301)、この受信した要求信号が、携帯端末11からの接続要求かリモートマシン2からのローカルマシン6のアドレス割当要求かを判定する(ステップ302)。判定の結果、携帯端末11からの接続要求の場合、CPU501は、ユーザ関連情報テーブル513を参照して接続要求に含まれるユーザIDの有無を判定する(ステップ303)。判定の結果、当該ユーザIDが有った場合、CPU501は、その認証結果(認証成功)をネットワーク10を介して携帯端末11に通知する(ステップ304)。
【0078】
次に、CPU501は、携帯端末11からユーザIDとともにローカルマシン6のアドレス割当禁止要求をネットワーク10を介して受信すると(ステップ305)、ユーザ関連情報テーブル513を参照して当該ユーザID520(図6)に対応付いたローカルマシン6のIPアドレス(521)のステータス(522)を割当禁止状態に変更し(ステップ306)、その処理結果をネットワーク10を介して携帯端末11に通知する(ステップ307)。
【0079】
また、ステップ303での判定の結果、当該ユーザIDが無かった場合、CPU501は、その認証結果(認証失敗)をネットワーク10を介して携帯端末11に通知する(ステップ308)。
【0080】
また、ステップ302における判定の結果、リモートマシン2からのローカルマシン6のアドレス割当要求の場合、CPU501は、ユーザ関連情報テーブル513を参照してこのアドレス割当要求に含まれるユーザIDの有無を判定する(ステップ309)。判定の結果、当該ユーザIDが有った場合、CPU501は、ユーザ関連情報テーブル513から当該ユーザIDと対応付いたローカルマシン6のIPアドレスを読み出し、このIPアドレスを元に電源起動要求をこのローカルマシン6にネットワーク10を介して送信する(ステップ310)。そして、CPU501は、当該ローカルマシン6の起動を監視し、当該ローカルマシン6が起動されたことを検知すると(ステップ311)、当該ローカルマシン6のIPアドレスを上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する(ステップ312)。
【0081】
また、ステップ309における判定の結果、ユーザIDが無かった場合(認証失敗)、CPU501は、認証に失敗した旨を上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する(ステップ313)。
【0082】
以上、説明したように、ユーザ関連情報テーブル513の当該ユーザIDに対応付いたローカルマシン6のIPアドレスのステータスが割当禁止状態になっているので、このリモートマシン2からローカルマシン6への接続を禁止できる。よって、セキュリティを更に強化することができる。
(実施例2)
上記第一実施形態では、図11において、認証デバイス1をリモートマシン2に接続する度に、必ずリモートマシン2から管理サーバ5に対してローカルマシン6のアドレス割当要求をネットワーク10を介して行う場合を例にとり説明した。しかし、図11において、一旦ローカルマシン6のIPアドレスが認証デバイス1に登録されれば、この認証デバイス1をリモートマシン2に接続した際、リモートマシン2の接続先となるローカルマシン6が電源起動状態になっていれば、リモートマシン2が認証デバイス1に登録されているIPアドレスを元に、管理サーバ5を介さずにローカルマシン6に接続できる場合が想定される。第二実施形態では、この場合について、図15、図16を参照し説明する。
【0083】
図15は、第二実施形態の管理サーバ遠隔操作画面の例を示す図である。管理サーバ遠隔操作画面は、図10に示すローカルマシン6のアドレス割当禁止を指示するための割当禁止指示フィールド1131と、管理サーバ2からローカルマシン6のアドレス割当禁止要求に対する応答を表示するフィールド1132と、画面の操作を終了させるための終了指示フィールド1133に加え、ローカルマシン6の電源切断(OFF)を指示するための電源切断指示フィールド1134を有する。
【0084】
図16は、第二実施形態のシンクライアントシステムにおいて、携帯端末11を用いて、ローカルマシン6に接続する処理手順を示す図である。なお、この処理は、本来、CPUがプログラムに従って実行する。しかし、ここでは、説明を簡単にするために、単にCPUを実行主体として説明する。また、第一実施形態と同じ処理部分については第一実施形態と同一の符号を付してある。
【0085】
VPNサーバ4のIPアドレス、管理サーバ5のIPアドレスおよび管理サーバ5用認証情報であるユーザIDが入力(図9)されると(ステップ201、携帯端末11のCPU1101は、この入力情報をフラッシュROM1105に格納する(接続情報1117、ユーザID1118)。この後、PKI認証に必要な電子証明書等の認証情報1116、VPNサーバ4のIPアドレス等の接続情報1117を元に、携帯端末11とVPNサーバ4との間でPKI認証が行われ、VPNが確立する(ステップ202)。
【0086】
次に、携帯端末11のCPU1101は、ユーザIDとともに管理サーバ5に接続要求をネットワーク10を介して送信する(ステップ203)。
【0087】
管理サーバ5のCPU501は、ユーザIDとともに接続要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDの有無を判定する。判定の結果、当該ユーザIDが有った場合(認証成功)ステップ204)、CPU501は、その認証結果をネットワーク10を介して携帯端末11に通知する(ステップ205)。
【0088】
携帯端末11のCPU1101は、認証結果をネットワーク10を介して受信すると、図10に示す管理サーバ遠隔操作画面を表示部1106に表示させる。受信した認証結果は、処理結果表示フィールド1132に表示される。次に、ユーザによりローカルマシン6の電源切断が指示されると、CPU1101は、ローカルマシン6の電源切断要求を受け取り(ステップ401)、これをユーザIDとともにネットワーク10を介して管理サーバ5に送信する(ステップ402)。
【0089】
管理サーバ5のCPU501は、ユーザ関連情報関連テーブル513を参照して当該ユーザID(図6−520)に対応付いたローカルマシン6のIPアドレス(521)を読み出し、このIPアドレスを元にローカルマシン6に電源切断要求をネットワーク10を介して送信する(ステップ403)。CPU501は、ローカルマシン6の電源切断を監視し、ローカルマシン6の電源が切断されたことを検知すると(ステップ404)、その結果を携帯端末11にネットワーク10を介して通知する(ステップ405)。
【0090】
携帯端末11のCPU1101は、受信情報を管理サーバ遠隔操作画面の処理結果表示フィールド1132に表示させる。
【0091】
次に、ユーザによりローカルマシン6のアドレス割当禁止が指示(1131)されると、CPU1101は、ローカルマシン6のアドレス割当禁止要求信号を受け取り(ステップ206)、これをユーザIDとともにネットワーク10を介して管理サーバ5に送信する(ステップ207)。
【0092】
管理サーバ5のCPU501は、携帯端末11からユーザIDとともにローカルマシン6のアドレス割当禁止要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザID520(図6)に対応付いたローカルマシン6のIPアドレス(521)のステータス(522)を割当禁止状態に変更し(ステップ208)、その処理結果をネットワーク10を介して上記要求元の携帯端末11に通知する(ステップ209)。
【0093】
携帯端末11のCPU1101は、受信した処理結果を管理サーバ遠隔操作画面の処理結果表示フィールド1132に表示させる。
【0094】
以上の動作により、携帯端末11から管理サーバ5にローカルマシン6の電源切断要求を送信して当該ローカルマシン6の電源を切断するとともに、電源切断後に、携帯端末11から管理サーバ5に当該ローカルマシン6のアドレス割当禁止要求を送信して当該ローカルマシン6のアドレス割当を禁止状態に制御できるので、紛失または盗難にあったモートマシン2からローカルマシン6への接続を禁止できる。よって、セキュリティを更に強化することができる。
【図面の簡単な説明】
【0095】
【図1】本発明の第一実施形態が適用されたシンクライアントシステムの全体構成を示す図である。
【図2】認証デバイス1の構成を示す図である。
【図3】リモートマシン2の構成を示す図である。
【図4】VPNサーバ4の構成を示す図である。
【図5】管理サーバ5の構成を示す図である。
【図6】ユーザ関連情報テーブル513の構成を示す図である。
【図7】ローカルマシン6の構成を示す図である。
【図8】携帯端末11の構成を示す図である。
【図9】接続情報設定画面の例を示す図である。
【図10】管理サーバ遠隔操作画面の例を示す図である。
【図11】第一実施形態のシンクライアントシステムにおいて、認証デバイス1およびリモートマシン2を用いて、ローカルマシン6に接続する処理手順を示す図である。
【図12】第一実施形態のシンクライアントシステムにおいて、携帯端末11を用いて、ローカルマシン6に接続する処理手順を示す図である。
【図13】管理サーバ5における処理を示すフローチャートである。
【図14】同じく、管理サーバ5における処理を示すフローチャートである。
【図15】第二実施形態の管理サーバ遠隔操作画面の例を示す図である。
【図16】第二実施形態のシンクライアントシステムにおいて、携帯端末11を用いて、ローカルマシン6に接続する処理手順を示す図である。
【符号の説明】
【0096】
1・・・認証デバイス、2・・・リモートマシン、3・・・LAN、4・・・VPNサーバ、5・・・管理サーバ、6・・・ローカルマシン、7・・・LAN。8・・・LAN、9・・・ファイヤーウォール、10・・・WAN、11・・・携帯端末、12・・・携帯端末会社。
【技術分野】
【0001】
本発明は、シンクライアント端末とこのシンクライアント端末の接続先装置を有するシンクライアントシステムにおいて、紛失または盗難にあったシンクライアント端末からの接続先装置への接続を禁止する技術に関する。
【背景技術】
【0002】
近年、企業では、情報漏洩防止の観点からシンクライアントシステムの導入が進んでいる。シンクライアントシステムでは、手元にあるシンクライアント端末(以下、リモートマシンと称する)を用いて社内オフィスや社内サーバルーム等に設置されたブレードPC(Personal Computer)(以下、ローカルマシンと称する)を社内外から遠隔操作することにより、ローカルマシンに搭載されている各種アプリケーションプログラムおよびデータを利用できる(例えば、特許文献1参照)。リモートマシンには、HDD(Hard Disk Drive)レスのPCを用いることにより、リモートマシンの紛失または盗難による情報漏洩の可能性を低減させている。一方、ローカルマシンには、集積度を高めたブレードタイプのPCやソフトウェアにて擬似的にPC環境を提供するサーバコンピュータ等が用いられる。
【0003】
上記シンクライアントシステムにおいて、社外では、リモートマシンはインターネット網を介してローカルマシンに接続されるため、インターネット網上で安全なデータ通信を行うためのVPN(Virtual Private Network)技術やVPN上での公開鍵暗号方式等の暗号技術が利用される。また、上記特許文献1に記載のシンクライアントシステムでは、個人を特定する情報等が記憶されたKey Mobile等の認証デバイスとローカルマシンを各ユーザに割当てて、複数のユーザでリモートマシンを共用する。これにより、各ユーザは、出張先や顧客先等に出向く際、認証デバイスのみ持ち歩くことで、出張先等にてその認証デバイスと出張先等に設置されたリモートマシンを用いて各ユーザに割当てられたローカルマシンにアクセスできるため、セキュリティの強化を図ることができる。しかし、利用者は、通常、リモートマシンと認証デバイスを鞄等の同一携行具に入れて持ち歩くことが多い。このため、この鞄を外出先に置き忘れて紛失または盗難にあう場合がある。この場合、紛失または盗難にあったリモートマシン等が、シンクライアントシステムの知識を有し、さらにパスワードを知っている者等の手に渡ると、この者が正規ユーザになりすましてリモートマシンからローカルマシンに接続することにより情報が漏洩してしまう可能性がある。したがって、リモートマシンが紛失または盗難にあった場合の対策が望まれる。
【0004】
リモートマシンが紛失または盗難にあった場合に、リモートマシンで扱われる情報の漏洩を防止する技術については、例えば、特許文献2に記載の技術が知られている。この特許文献2には、管理サーバが携帯端末機からの携帯端末機特定情報を元にリモートマシンの接続先装置となるホストPCを特定し、その特定したホストPCのアドレス情報を携帯端末機を介してリモートマシンに送信し、リモートマシンはこのアドレス情報を元に上記特定したホストPCに接続できることが記載している。
【0005】
【特許文献1】特許第04001297号公報
【特許文献2】特開2007−243344号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、上記特許文献2に記載の技術では、リモートマシンからホストPCに接続するために携帯端末機が必要となり、システム構成が複雑となる。
【0007】
本発明の目的は、通常時は、携帯端末を用いずともリモートマシンからローカルマシンに接続でき、リモートマシンが紛失または盗難にあった場合にのみ、携帯端末を用いてその紛失または盗難にあったリモートマシンからのローカルマシンへの接続を禁止することができる通信制御方法およびこれを実施するシンクライアントシステムを提供することにある。
【課題を解決するための手段】
【0008】
ネットワークに介して互いに接続可能な複数の情報処理装置、前記情報処理装置を管理する管理サーバ、および複数のシンクライアント端末から構成されるシンクライアントシステムにおいて、更に前記ネットワークを介して前記管理サーバに接続可能な携帯端末を更に有することを特徴とする。
【0009】
前記シンクライアントシステムにおいて、前記携帯端末は、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信する手段、前記管理サーバからユーザ認証結果を前記ネットワークを介して受信する手段、該ユーザ認証結果を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信する手段、および前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信する手段を有する制御を有する
ことを特徴とする。
【0010】
また、この携帯端末に対して前記管理サーバは、
前記ユーザ認証に必要な情報と前記情報処理装置のアドレスと前記情報処理装置の割当状態を示す情報とを対応付けて記憶する記憶部と、
前記携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信する手段、該受信したユーザ認証に必要な情報と前記記憶部に記憶されている前記ユーザ認証に必要な情報とに基づいてユーザ認証を行う手段、該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知する手段、前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信する手段、および前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する手段を有する制御部と、を有する
ことを特徴とする。
【0011】
また、前記シンクライアントシステムにおいて、前記携帯端末は、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信する手段、前記管理サーバからユーザ認証結果を前記ネットワークを介して受信する手段、該ユーザ認証結果を受信後に、前記情報処理装置の電源切断要求を前記ネットワークを介して前記管理サーバに送信する手段、前記管理サーバから前記情報処理装置の電源切断要求に対する応答を前記ネットワークを介して受信する手段、該応答を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信する手段、および前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信する手段を有する制御部を有することを特徴とする。
【0012】
また、この携帯端末に対して前記管理サーバは、
前記ユーザ認証に必要な情報と前記情報処理装置のアドレスと前記情報処理装置の割当状態を示す情報とを対応付けて記憶する記憶部と、
携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信する手段、該受信したユーザ認証に必要な情報と前記記憶部に記憶されている前記ユーザ認証に必要な情報とに基づいてユーザ認証を行う手段、該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知する手段、前記携帯端末から前記情報処理装置の電源切断要求を前記ネットワークを介して受信する手段、該情報処理装置に電源切断要求を前記ネットワークを介して送信する手段、該情報処理装置の電源が切断されたことを検知すると、前記携帯端末に情報処理装置の電源が切断された旨を前記ネットワークを介して送信する手段、前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信する手段、および前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する手段を有する制御部と、を有することを特徴とする。
【0013】
前記情報処理装置は、
前記管理サーバから前記電源切断要求を前記ネットワークを介して受信する手段、および前記電源切断要求を受けて当該情報処理装置の電源を切断する手段を有する制御部を有することを特徴とする。
【発明の効果】
【0014】
本発明によれば、通常時は、携帯端末を用いずともリモートマシンからローカルマシンに接続でき、リモートマシンが紛失または盗難にあった場合にのみ、携帯端末を用いてその紛失または盗難にあったリモートマシンからのローカルマシンへの接続を禁止することができる通信制御方法およびこれを実施するシンクライアントシステムを提供することができる。これにより、セキュリティを更に強化することができる。
【発明を実施するための最良の形態】
【0015】
(実施例1)
以下、本発明の第一実施形態について、図面を参照して詳細に説明する。
【0016】
図1は、本発明の第一実施形態が適用されたシンクライアントシステムの全体構成を示す図である。
【0017】
本実施形態のシンクライアントシステムは、複数の認証デバイス1およびリモートマシン(情報処理装置)2と、VPNサーバ4と、管理サーバ5と、複数のローカルマシン(シンクライアント端末)6と、ファイヤーウォール9と、携帯端末11と、を有する。
【0018】
認証デバイス1は、リモートマシン2に脱着可能である。リモートマシン2は、ホテル、駅等に構築されたLAN(Local Area Network)3に接続されている。VPNサーバ4は、会社等に構築されたLAN7に接続されている。管理サーバ5、複数のローカルマシン6は、会社等に構築されたLAN8に接続されている。また、LAN7とLAN8との間にはファイヤーウォールが存在する。このファイヤーウォールにより、VPNサーバ4、管理サーバ5およびローカルマシン6を有する内部システムと外部との通信が制御され、内部システムの安全を維持できる。認証デバイス1およびリモートマシン2を有する外部システムと、VPNサーバ4、管理サーバ5、複数のローカルマシン6およびファイヤーウォール9を有する内部システムと、はWAN(Wide Area Network)10を介して相互に接続可能に構成されている。また、携帯端末11は、携帯端末会社12、WAN10を介して内部システムに接続可能に構成されている。
【0019】
図2は、認証デバイス1の構成を示す図である。認証デバイス1は、ICチップ111と、リモートマシン2に接続するためのUSBアダプタ112と、を有する。ICチップ111には、プロセッサ113と、認証プログラム114と、PIN(Personal Identification Number)コード(暗証番号またはパスワード)115と、ユーザID116と、接続情報117と、認証情報118と、が記憶されている。認証プログラム114は、リモートマシン2に入力されたPINコードをローカルマシン2から受け取り、この受け取ったPINコードとICチップ111に記憶されているPINコード115とを照合して認証デバイス1所有者(ユーザ)の認証等を行うためのプログラムである。ユーザID116は、リモートマシン2が管理サーバ5に対しローカルマシン6のアドレス割当要求を行う際に必要な情報である。接続情報117は、リモートマシン2がVPNサーバ4に接続するために必要な、VPNサーバ4のIPアドレスや、リモートマシン2が管理サーバ5に接続するために必要なIPアドレス等の情報である。認証情報118は、VPN暗号化通信時のPKI(Public Key Infrastructure)認証に必要な電子証明書等の情報である。なお、認証デバイス1に、フラッシュメモリを外付けできるように構成し、ICチップ111内の一部のデータをこのフラッシュメモリに記憶するようにしてもよい。
【0020】
図3は、リモートマシン2の構成を示す図である。リモートマシン2は、CPU(Central Processing Unit)201と、CPU201のワークエリアとして機能するRAM(Random Access Memory)202と、LAN3に接続するためのNIC(Network Interface Card)3と、フラッシュROM(Read Only Memory)204と、ビデオカード205と、キーボードおよびマウスを接続するためのI/Oコネクタ206と、認証デバイス1を接続するためのUSBポート207、これらの各部201〜207を接続するBUS、を中継するブリッジ208と、電源209と、を有する。
【0021】
フラッシュROM204には、BIOS(Basic Input/Output System)210が記憶されている。CPU201は、電源209の投入後、まずフラッシュROM204にアクセスしてBIOS210を実行することにより、リモートマシン2のシステム構成を認識する。
【0022】
またフラッシュROM204には、OS(Operating System)211と、VPNクライアントプログラム212と、認証プログラム213と、管理サーバ接続プログラム214と、リモートコントロールプログラム215と、が少なくとも記憶されている。
【0023】
OS211は、CPU201がリモートマシン2の各部202〜209を統括的に制御して、VPNクライアントプログラム212、認証プログラム213、管理サーバ接続プログラム214およびリモートコントロールプログラム215を実行するためのプログラムである。CPU201は、BIOS210に従い、フラッシュROM204からOS211をRAM202にロードして実行する。これにより、CPU201は、リモートマシン2の各部202〜209を統括的に制御する。
【0024】
VPNクライアントプログラム212は、リモートマシン2がVPNサーバ4とVPN暗号化通信を行うためのプログラムである。
【0025】
認証プログラム213は、PKI認証を行うプログラムである。
【0026】
管理サーバ接続プログラム214は、管理サーバ5に接続するためのプログラムである。
【0027】
リモートコントロールプログラム215は、ローカルマシン6に接続して、ローカルマシン1と通信を行うためのプログラムである。リモートコントロールプログラム215は、ローカルマシン1に接続した後、ローカルマシン1にキーボード・マウス等の入力情報を送信し、またローカルマシン1から入力情報の処理結果を示す映像情報(ディスプレイのデスクトップ画面)を受信してディスプレイに表示させる。
【0028】
図4は、VPNサーバ4の構成を示す図である。VPNサーバ4は、CPU401と、CPU401のワークエリアとして機能するRAM402と、LAN7に接続するためのNIC403と、HDD404と、ビデオカード405と、フラッシュROM406と、キーボードおよびマウスを接続するためのI/Oコネクタ407と、これらの各部401〜407を接続するBUS、を中継するブリッジ408と、電源409と、を有する。
【0029】
フラッシュROM406には、BIOS414が記憶されている。CPU401は、電源409の投入後、まずフラッシュROM406にアクセスしてBIOS414を実行することにより、VPNサーバ4のシステム構成を認識する。
【0030】
HDD404には、OS410と、認証プログラム411と、VPNマネージャプログラム412と、PKI認証時に使用される電子証明書等の認証情報413と、が少なくとも記憶されている。
【0031】
OS410は、CPU401がVPNサーバ4の各部402〜409を統括的に制御して、認証プログラム411、VPNマネージャプログラム412を実行するためのプログラムである。CPU401は、BIOS414に従い、HDD404からOS410をRAM402にロードして実行する。これにより、CPU401は、VPNサーバ4の各部402〜409を統括的に制御する。
【0032】
認証プログラム411は、リモートマシン2または携帯端末11からVPN接続要求を受けた時に、モートマシン2または携帯端末11から送信された認証情報とHDD404に記憶されている認証情報413とを用いてPKI認証を行うためのプログラムである。
【0033】
VPNマネージャプログラム412は、認証プログラム411によるPKI認証(認証成立)後に、リモートマシン2または携帯端末11とVPN暗号化通信を行うためのプログラムである。
【0034】
図5は、管理サーバ5の構成を示す図である。管理サーバ5は、CPU501と、CPU501のワークエリアとして機能するRAM502と、LAN8と接続するためのNIC503と、HDD504と、ビデオカード505と、フラッシュROM506と、キーボードおよびマウスを接続するためのI/Oコネクタ507と、これらの各部501〜507を接続するBUS、を中継するブリッジ508と、電源509と、を有する。
【0035】
フラッシュROM506には、BIOS514が記憶されている。CPU501は、電源509の投入後、まずフラッシュROM506にアクセスしてBIOS514を実行することにより、管理サーバ5のシステム構成を認識する。
【0036】
HDD504には、OS510と、ローカルマシン割当および電源制御プログラム511と、携帯端末用遠隔操作プログラム512と、ユーザ関連情報テーブル513と、が少なくとも記憶されている。
【0037】
OS510は、CPU501が管理サーバ5の各部502〜509を統括的に制御して、ローカルマシン割当および電源制御プログラム511、携帯端末用遠隔操作プログラム512を実行するためのプログラムである。CPU501は、BIOS514に従い、HDD504からOS510をRAM502にロードして実行する。これにより、CPU501は、管理サーバ5の各部502〜509を統括的に制御する。
【0038】
ローカルマシン割当および電源制御プログラム511は、ユーザへのローカルマシン6の割当および当該ローカルマシン6の電源起動の制御を行うためのプログラムである。ローカルマシン割当および電源制御プログラム511は、リモートマシン2からユーザIDとともにローカルマシン6のアドレス割当要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDの有無を判定する。判定の結果、ユーザIDが有った場合(認証成功)、ローカルマシン割当および電源制御プログラム511は、ユーザ関連情報テーブル513から当該ユーザIDと対応付いたローカルマシン6のIPアドレスを読み出し、この宛先情報を示すIPアドレスを元に電源起動要求をこのローカルマシン6にネットワーク10を介して送信する制御を行う。そして、ローカルマシン割当および電源制御プログラム511は、当該ローカルマシン6の起動を監視し、当該ローカルマシン6の起動を検知すると、当該ローカルマシン6のIPアドレスを上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する制御を行う。また、上記判定の結果、ユーザIDが無かった場合(認証失敗)、ローカルマシン割当および電源制御プログラム511は、認証に失敗した旨を上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する制御を行う。
【0039】
携帯端末用遠隔操作プログラム512は、紛失等したリモートマシン2からローカルマシン6に接続出来ないように制御するためのプログラムである。携帯端末用遠隔操作プログラム512は、携帯端末11からユーザIDとともに接続要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDの有無を判定する。判定の結果、ユーザIDが有った場合(認証成功)、認証に成功した旨をネットワーク10を介して上記接続要求元の携帯端末11に通知する制御を行う。携帯端末用遠隔操作プログラム512は、認証成功の通知後に、当該携帯端末11からアドレス割当禁止要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDに対応付いたローカルマシン6のIPアドレスのステータスを割当禁止状態に変更し、その処理結果をネットワーク10を介して上記要求元の携帯端末11に送信する制御を行う。
【0040】
ユーザ関連情報テーブル513には、図6に示すように、ユーザID520と、ユーザに割当てるローカルマシン6のIPアドレス521と、当該IPアドレスの割当状態(ステータス)522と、を示す情報がそれぞれ対応付けされて記憶されている。
【0041】
図7は、ローカルマシン6の構成を示す図である。ローカルマシン6は、CPU601と、CPU601のワークエリアとして機能するRAM602と、LAN8に接続するためのNIC603と、HDD604と、デスクトップの映像情報を生成するビデオカード605と、フラッシュROM606と、キーボードおよびマウスを接続するためのI/Oコネクタ607と、これらの各部601〜607を接続するBUS、を中継するブリッジ608と、電源609と、を有する。
【0042】
フラッシュROM606には、BIOS613が記憶されている。CPU601は、電源609の投入後、まずフラッシュROM606にアクセスしてBIOS613を実行することにより、ローカルマシン6のシステム構成を認識する。
【0043】
HDD604には、OS610と、リモートコントロールエージェントプログラム611と、複数のアプリケーションプログラム612と、が少なくとも記憶されている。OS610は、CPU601がローカルマシン6の各部602〜609を統括的に制御して、リモートコントロールエージェントプログラム611およびアプリケーションプログラム612を実行するためのプログラムである。
【0044】
CPU601は、BIOS613に従い、HDD604からOS610をRAM602にロードして実行する。これにより、CPU601は、ローカルマシン6の各部602〜609を統括的に制御する。
【0045】
リモートコントロールエージェントプログラム611は、ローカルマシン6をリモートマシン2から遠隔操作可能とするためのプログラムである。CPU601は、OS610に従い、HDD604からリモートコントロールエージェントプログラム611をRAM602にロードして実行する。これにより、CPU601は、リモートマシン2から送られてきた入力情報を受信して処理すると共に、処理結果をネットワーク10を介してリモートマシン2に送信する制御を行う。
【0046】
アプリケーションプログラム612には、汎用のWebブラウザ、ワープロ、表計算等のプログラムがある。CPU601は、OS610に従い、リモートマシン2からネットワーク10を介してアプリケーション起動要求を受信すると、HDD604から要求のあったアプリケーションプログラム612をRAM602にロードして実行し、その実行結果をネットワーク10を介してリモートマシン2に送信する制御を行う。
【0047】
図8は、携帯端末11の構成を示す図である。携帯端末11は、CPU1101と、音声部1102と、受発信部1103と、メモリカードインターフェイス1104と、フラッシュROM1105と、表示部1106と、キーパッド1107と、電源1108と、を有する。
【0048】
フラッシュROM1105には、BIOS1110が記憶されている。CPU1101は、電源1108の投入後、まずフラッシュROM1105にアクセスしてBIOS110を実行することにより、携帯端末11のシステム構成を認識する。
【0049】
またフラッシュROM1105には、OS1111と、認証プログラム1112と、VPNクライアントプログラム1113と、リモート接続プログラム1114と、管理サーバ遠隔操作プログラム1115と、認証情報1116と、接続情報1117と、ユーザID118と、が少なくとも記憶されている。
【0050】
OS1111は、CPU1101が携帯端末11の各部1102〜1108を統括的に制御して、認証プログラム1112、VPNクライアントプログラム1113、リモート接続プログラム1114および管理サーバ遠隔操作プログラム1115を実行するためのプログラムである。
【0051】
認証プログラム1112は、携帯端末11が有する認証情報1116と、VPNサーバ4からの認証情報413とを用いてPKI認証を行うためのプログラムである。
【0052】
VPNクライアントプログラム1113は、VPNサーバ4とVPN暗号化通信を行うためのプログラムである。
【0053】
リモート接続プログラム1114は、VPNサーバ4および管理サーバ2に接続するためのプログラムである。リモート接続プログラム1114が起動されると、VPNサーバ4および管理サーバ2に接続するために必要な情報の入力を行うための接続情報設定画面が表示部1106に表示される。
【0054】
図9は、接続情報設定画面の例を示す図である。この接続情報設定画面は、接続情報の設定フィールド1120と、VPNサーバ4および管理サーバ5への接続の開始を指示するための接続開始指示フィールド1121と、で構成される。接続情報の設定フィールド1120は、さらにVPNサーバ4のIPアドレスの設定フィールド1122と、管理サーバ5のIPアドレスおよび管理サーバ5へのアクセス時に必要なユーザIDの設定フィールド1123と、で構成される。入力されたVPNサーバ4のIPアドレスおよび管理サーバ5のIPアドレスと、ユーザIDは、フラッシュROM1105に記憶される(接続情報1117、ユーザID1118)。ユーザにより接続開始を指示する操作が行われると、リモート接続プログラム1114は、認証情報1116、接続情報1117、ユーザID1118を元にVPNサーバ4および管理サーバ5に順次接続する制御を行う。
【0055】
管理サーバ遠隔操作プログラム1115は、リモート接続プログラム1114の実行後に実行され、管理サーバ5に対してローカルマシン6のアドレス割当禁止要求の送信を制御するためのプログラムである。管理サーバ遠隔操作プログラム1115が起動されると、ローカルマシン6のアドレス割当禁止を指示するための管理サーバ遠隔操作画面が表示部1106に表示される。
【0056】
図10は、管理サーバ遠隔操作画面の例を示す図である。管理サーバ遠隔操作画面は、ローカルマシン6のアドレス割当禁止を指示するための割当禁止指示フィールド1131と、管理サーバ2からのローカルマシン6のアドレス割当禁止要求に対する応答を表示するフィールド1132と、この画面の操作を終了させるための終了指示フィールド1133と、で構成される。ユーザによりローカルマシン6のアドレス割当禁止を指示する操作が行われると、管理サーバ遠隔操作プログラム115は、ローカルマシン6のアドレス割当禁止要求を管理サーバ5にネットワーク10を介して送信する制御を行う。
【0057】
図11は、本実施形態のシンクライアントシステムにおいて、認証デバイス1およびリモートマシン2を用いて、ローカルマシン6に接続する処理手順を示す図である。なお、この処理は、本来、CPUがプログラムに従って実行する。しかし、ここでは、説明を簡単にするために、単にCPUを実行主体として説明する。
【0058】
ます認証デバイス1をリモートマシン2に接続すると、リモートマシン2のCPU201は、ビデオカード205に接続されたディスプレイにPINコードの入力フォームを表示させる。そして、CPU201は、ユーザにより入力されたPINコードを受付け、これを認証デバイス1に送信して、ユーザ認証を依頼する(ステップS101、ステップ102)。
【0059】
認証デバイス1のプロセッサ113は、リモートマシン2から受信したPINコードと、ICチップ111に記憶されているPINコード115とを用いて、ユーザ認証を行う(ステップ103)。そして、ユーザ認証が成功すると、プロセッサ113は、ICチップ111に記憶されているユーザID116、VPNサーバ4および管理サーバ5に接続するためのIPアドレス等の接続情報117、PKI認証に必要な電子証明書等の認証情報118をリモートマシン2に送信する(ステップ104)。
【0060】
この後、認証デバイス1から受信したVPNサーバ4に接続するための接続情報117、認証情報1119を元に、リモートマシン2とVPNサーバ4との間でPKI認証が行われ、VPNが確立する(ステップ105)。
【0061】
次にリモートマシン2のCPU201は、ユーザID116とともにローカルマシン6のアドレス割当要求をネットワーク10を介して管理サーバ5に送信する(ステップ106)。
【0062】
管理サーバ5のCPU501は、ユーザIDとともにローカルマシン6のアドレス割当要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDの有無を判定する。判定の結果、当該ユーザIDが有った場合(認証成功、ステップ107)、CPU501は、ユーザ関連情報テーブル513から当該ユーザIDと対応付いたローカルマシン6のIPアドレスを読み出し、このIPアドレスを元に電源起動要求をローカルマシン6にネットワーク10を介して送信する(ステップ108)。そして、CPU501は、当該ローカルマシン6の起動を監視し、当該ローカルマシン6が起動されたことを検知すると(ステップ109)、当該ローカルマシン6のIPアドレスを上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する(ステップ110)。なお、上記判定の結果、ユーザIDが無かった場合(認証失敗)、CPU501は、認証に失敗した旨を上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する。
【0063】
リモートマシン2のCPU201は、管理サーバ5からのIPアドレスを認証デバイス1に送信する(ステップ111)。
【0064】
認証デバイス1のプロセッサ113は、リモートマシン2から受け取ったIPアドレスをICチップ111内に登録する。
【0065】
この後、リモートマシン2とローカルマシン6との間に通信路が確立し(ステップ113)、ローカルマシン2のCPU201はキーボードおよびマウスの入力情報をネットワーク10を介してローカルマシン6に送信し、ローカルマシン6のCPU601は、入力情報の処理結果を示す映像情報をローカルマシン2にネットワーク10を介して送信する(ステップ114、ステップ115、ステップ116)。
【0066】
なお、ステップ103において、PINコードを用いてユーザ認証を行っているが、ユーザ認証に必要な情報であれば良く、例えば、ユーザIDおよびPINコードを用いてユーザ認証を行うようにしても良い。同様に、ステップ107において、ユーザIDを用いてユーザ認証を行っているが、ユーザ認証に必要な情報であれば良く、例えば、PINコード、あるいはユーザIDおよびPINコードを用いてユーザ認証を行うようにしても良い。
【0067】
図12は、本実施形態のシンクライアントシステムにおいて、携帯端末11を用いて、ローカルマシン6に接続する処理手順を示す図である。なお、この処理は、本来、CPUがプログラムに従って実行する。しかし、ここでは、説明を簡単にするために、単にCPUを実行主体として説明する。
【0068】
VPNサーバ4のIPアドレス、管理サーバ5のIPアドレスおよび管理サーバ5用の認証情報であるユーザIDが入力(図9)されると(ステップ201)、携帯端末11のCPU1101は、この入力情報をフラッシュROM1105に格納する(接続情報1117、ユーザID1118)。この後、PKI認証に必要な電子証明書等の認証情報1116、VPNサーバ4のIPアドレス等の接続情報1117を元に、携帯端末11とVPNサーバ4との間でPKI認証が行われ、VPNが確立する(ステップ202)。
【0069】
次に、携帯端末11のCPU1101は、ユーザIDとともに管理サーバ5に接続要求をネットワーク10を介して送信する(ステップ203)。
【0070】
管理サーバ5のCPU501は、ユーザIDとともに接続要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDの有無を判定する。判定の結果、当該ユーザIDが有った場合(認証成功)(ステップ204)、CPU501は、その認証結果をネットワーク10を介して携帯端末11に通知する(ステップ205)。
【0071】
携帯端末11のCPU1101は、認証結果をネットワーク10を介して受信すると、図10に示す管理サーバ遠隔操作画面を表示部1106に表示させる。受信した認証結果は、処理結果表示フィールド1132に表示される。次に、ユーザによりローカルマシン6のアドレス割当禁止が指示されると、CPU1101は、ローカルマシン6のアドレス割当禁止要求信号を受け取り(ステップ206)、これをユーザIDとともにネットワーク10を介して管理サーバ5に送信する(ステップ207)。
【0072】
管理サーバ5のCPU501は、携帯端末11からユーザIDとともにローカルマシン6のアドレス割当禁止要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザID520(図6)に対応付いたローカルマシン6のIPアドレス(521)のステータス(522)を割当禁止状態に変更し(ステップ208)、その処理結果をネットワーク10を介して上記要求元の携帯端末11に通知する(ステップ209)。
【0073】
携帯端末11のCPU1101は、受信情報を管理サーバ遠隔操作画面の処理結果表示フィールド1132に表示させる。
【0074】
以上の動作により、ユーザ関連情報テーブル513の当該ユーザIDに対応付いたローカルマシン6のIPアドレスのステータスが割当禁止状態になっているので、このリモートマシン2からローカルマシン6への接続を禁止できる。よって、セキュリティを更に強化することができる。
【0075】
なお、ステップ204において、ユーザIDを用いてユーザ認証を行っているが、ユーザ認証に必要な情報であれば良く、例えば、PINコード、あるいはユーザIDおよびPINコードを用いてユーザ認証を行うようにしても良い。
【0076】
図13は、管理サーバ5における処理を示すフローチャートである。なお、この処理は、本来、CPU501がプログラムに従って実行する。しかし、ここでは、説明を簡単にするために、単にCPUを実行主体として説明する。
【0077】
CPU501は、要求信号を受信すると(ステップ301)、この受信した要求信号が、携帯端末11からの接続要求かリモートマシン2からのローカルマシン6のアドレス割当要求かを判定する(ステップ302)。判定の結果、携帯端末11からの接続要求の場合、CPU501は、ユーザ関連情報テーブル513を参照して接続要求に含まれるユーザIDの有無を判定する(ステップ303)。判定の結果、当該ユーザIDが有った場合、CPU501は、その認証結果(認証成功)をネットワーク10を介して携帯端末11に通知する(ステップ304)。
【0078】
次に、CPU501は、携帯端末11からユーザIDとともにローカルマシン6のアドレス割当禁止要求をネットワーク10を介して受信すると(ステップ305)、ユーザ関連情報テーブル513を参照して当該ユーザID520(図6)に対応付いたローカルマシン6のIPアドレス(521)のステータス(522)を割当禁止状態に変更し(ステップ306)、その処理結果をネットワーク10を介して携帯端末11に通知する(ステップ307)。
【0079】
また、ステップ303での判定の結果、当該ユーザIDが無かった場合、CPU501は、その認証結果(認証失敗)をネットワーク10を介して携帯端末11に通知する(ステップ308)。
【0080】
また、ステップ302における判定の結果、リモートマシン2からのローカルマシン6のアドレス割当要求の場合、CPU501は、ユーザ関連情報テーブル513を参照してこのアドレス割当要求に含まれるユーザIDの有無を判定する(ステップ309)。判定の結果、当該ユーザIDが有った場合、CPU501は、ユーザ関連情報テーブル513から当該ユーザIDと対応付いたローカルマシン6のIPアドレスを読み出し、このIPアドレスを元に電源起動要求をこのローカルマシン6にネットワーク10を介して送信する(ステップ310)。そして、CPU501は、当該ローカルマシン6の起動を監視し、当該ローカルマシン6が起動されたことを検知すると(ステップ311)、当該ローカルマシン6のIPアドレスを上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する(ステップ312)。
【0081】
また、ステップ309における判定の結果、ユーザIDが無かった場合(認証失敗)、CPU501は、認証に失敗した旨を上記アドレス割当要求元のリモートマシン2にネットワーク10を介して通知する(ステップ313)。
【0082】
以上、説明したように、ユーザ関連情報テーブル513の当該ユーザIDに対応付いたローカルマシン6のIPアドレスのステータスが割当禁止状態になっているので、このリモートマシン2からローカルマシン6への接続を禁止できる。よって、セキュリティを更に強化することができる。
(実施例2)
上記第一実施形態では、図11において、認証デバイス1をリモートマシン2に接続する度に、必ずリモートマシン2から管理サーバ5に対してローカルマシン6のアドレス割当要求をネットワーク10を介して行う場合を例にとり説明した。しかし、図11において、一旦ローカルマシン6のIPアドレスが認証デバイス1に登録されれば、この認証デバイス1をリモートマシン2に接続した際、リモートマシン2の接続先となるローカルマシン6が電源起動状態になっていれば、リモートマシン2が認証デバイス1に登録されているIPアドレスを元に、管理サーバ5を介さずにローカルマシン6に接続できる場合が想定される。第二実施形態では、この場合について、図15、図16を参照し説明する。
【0083】
図15は、第二実施形態の管理サーバ遠隔操作画面の例を示す図である。管理サーバ遠隔操作画面は、図10に示すローカルマシン6のアドレス割当禁止を指示するための割当禁止指示フィールド1131と、管理サーバ2からローカルマシン6のアドレス割当禁止要求に対する応答を表示するフィールド1132と、画面の操作を終了させるための終了指示フィールド1133に加え、ローカルマシン6の電源切断(OFF)を指示するための電源切断指示フィールド1134を有する。
【0084】
図16は、第二実施形態のシンクライアントシステムにおいて、携帯端末11を用いて、ローカルマシン6に接続する処理手順を示す図である。なお、この処理は、本来、CPUがプログラムに従って実行する。しかし、ここでは、説明を簡単にするために、単にCPUを実行主体として説明する。また、第一実施形態と同じ処理部分については第一実施形態と同一の符号を付してある。
【0085】
VPNサーバ4のIPアドレス、管理サーバ5のIPアドレスおよび管理サーバ5用認証情報であるユーザIDが入力(図9)されると(ステップ201、携帯端末11のCPU1101は、この入力情報をフラッシュROM1105に格納する(接続情報1117、ユーザID1118)。この後、PKI認証に必要な電子証明書等の認証情報1116、VPNサーバ4のIPアドレス等の接続情報1117を元に、携帯端末11とVPNサーバ4との間でPKI認証が行われ、VPNが確立する(ステップ202)。
【0086】
次に、携帯端末11のCPU1101は、ユーザIDとともに管理サーバ5に接続要求をネットワーク10を介して送信する(ステップ203)。
【0087】
管理サーバ5のCPU501は、ユーザIDとともに接続要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザIDの有無を判定する。判定の結果、当該ユーザIDが有った場合(認証成功)ステップ204)、CPU501は、その認証結果をネットワーク10を介して携帯端末11に通知する(ステップ205)。
【0088】
携帯端末11のCPU1101は、認証結果をネットワーク10を介して受信すると、図10に示す管理サーバ遠隔操作画面を表示部1106に表示させる。受信した認証結果は、処理結果表示フィールド1132に表示される。次に、ユーザによりローカルマシン6の電源切断が指示されると、CPU1101は、ローカルマシン6の電源切断要求を受け取り(ステップ401)、これをユーザIDとともにネットワーク10を介して管理サーバ5に送信する(ステップ402)。
【0089】
管理サーバ5のCPU501は、ユーザ関連情報関連テーブル513を参照して当該ユーザID(図6−520)に対応付いたローカルマシン6のIPアドレス(521)を読み出し、このIPアドレスを元にローカルマシン6に電源切断要求をネットワーク10を介して送信する(ステップ403)。CPU501は、ローカルマシン6の電源切断を監視し、ローカルマシン6の電源が切断されたことを検知すると(ステップ404)、その結果を携帯端末11にネットワーク10を介して通知する(ステップ405)。
【0090】
携帯端末11のCPU1101は、受信情報を管理サーバ遠隔操作画面の処理結果表示フィールド1132に表示させる。
【0091】
次に、ユーザによりローカルマシン6のアドレス割当禁止が指示(1131)されると、CPU1101は、ローカルマシン6のアドレス割当禁止要求信号を受け取り(ステップ206)、これをユーザIDとともにネットワーク10を介して管理サーバ5に送信する(ステップ207)。
【0092】
管理サーバ5のCPU501は、携帯端末11からユーザIDとともにローカルマシン6のアドレス割当禁止要求をネットワーク10を介して受信すると、ユーザ関連情報テーブル513を参照して当該ユーザID520(図6)に対応付いたローカルマシン6のIPアドレス(521)のステータス(522)を割当禁止状態に変更し(ステップ208)、その処理結果をネットワーク10を介して上記要求元の携帯端末11に通知する(ステップ209)。
【0093】
携帯端末11のCPU1101は、受信した処理結果を管理サーバ遠隔操作画面の処理結果表示フィールド1132に表示させる。
【0094】
以上の動作により、携帯端末11から管理サーバ5にローカルマシン6の電源切断要求を送信して当該ローカルマシン6の電源を切断するとともに、電源切断後に、携帯端末11から管理サーバ5に当該ローカルマシン6のアドレス割当禁止要求を送信して当該ローカルマシン6のアドレス割当を禁止状態に制御できるので、紛失または盗難にあったモートマシン2からローカルマシン6への接続を禁止できる。よって、セキュリティを更に強化することができる。
【図面の簡単な説明】
【0095】
【図1】本発明の第一実施形態が適用されたシンクライアントシステムの全体構成を示す図である。
【図2】認証デバイス1の構成を示す図である。
【図3】リモートマシン2の構成を示す図である。
【図4】VPNサーバ4の構成を示す図である。
【図5】管理サーバ5の構成を示す図である。
【図6】ユーザ関連情報テーブル513の構成を示す図である。
【図7】ローカルマシン6の構成を示す図である。
【図8】携帯端末11の構成を示す図である。
【図9】接続情報設定画面の例を示す図である。
【図10】管理サーバ遠隔操作画面の例を示す図である。
【図11】第一実施形態のシンクライアントシステムにおいて、認証デバイス1およびリモートマシン2を用いて、ローカルマシン6に接続する処理手順を示す図である。
【図12】第一実施形態のシンクライアントシステムにおいて、携帯端末11を用いて、ローカルマシン6に接続する処理手順を示す図である。
【図13】管理サーバ5における処理を示すフローチャートである。
【図14】同じく、管理サーバ5における処理を示すフローチャートである。
【図15】第二実施形態の管理サーバ遠隔操作画面の例を示す図である。
【図16】第二実施形態のシンクライアントシステムにおいて、携帯端末11を用いて、ローカルマシン6に接続する処理手順を示す図である。
【符号の説明】
【0096】
1・・・認証デバイス、2・・・リモートマシン、3・・・LAN、4・・・VPNサーバ、5・・・管理サーバ、6・・・ローカルマシン、7・・・LAN。8・・・LAN、9・・・ファイヤーウォール、10・・・WAN、11・・・携帯端末、12・・・携帯端末会社。
【特許請求の範囲】
【請求項1】
ネットワークに介して互いに接続可能な複数の情報処理装置、前記情報処理装置を管理する管理サーバ、および複数のシンクライアント端末を有するシンクライアントシステムにおける通信制御方法であって、
前記ネットワークを介して前記管理サーバに接続可能な携帯端末が、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信し、
前記管理サーバからユーザ認証結果を前記ネットワークを介して受信し、
該ユーザ認証結果を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信し、
前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信し、
前記管理サーバが、
前記携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信し、
該受信したユーザ認証に必要な情報と当該管理サーバの記憶部に記憶されているユーザ認証に必要な情報とに基づいてユーザ認証を行い、
該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知し、
前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信し、
前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する
ことを特徴とする通信制御方法。
【請求項2】
ネットワークに介して互いに接続可能な複数の情報処理装置、前記情報処理装置を管理する管理サーバ、および複数のシンクライアント端末を有するシンクライアントシステムにおける通信制御方法であって、
前記ネットワークを介して前記管理サーバに接続可能な携帯端末が、
前記ネットワークを介して前記管理サーバに接続可能な携帯端末が、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信し、
前記管理サーバからユーザ認証結果を前記ネットワークを介して受信し、
該ユーザ認証結果を受信後に、前記情報処理装置の電源切断要求を前記ネットワークを介して前記管理サーバに送信し、
前記管理サーバから前記情報処理装置の電源切断要求に対する応答を前記ネットワークを介して受信し、
該応答を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信し、
前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信し、
前記管理サーバが、
前記携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信し、
該受信したユーザ認証に必要な情報と当該管理サーバの記憶部に記憶されている前記ユーザ認証に必要な情報とに基づいてユーザ認証を行い、
該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知し、
前記携帯端末から前記情報処理装置の電源切断要求を前記ネットワークを介して受信し、
該情報処理装置に電源切断要求を前記ネットワークを介して送信し、
該情報処理装置の電源が切断されたことを検知すると、前記携帯端末に情報処理装置の電源が切断された旨を前記ネットワークを介して送信し、
前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信し、
前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知し、
前記情報処理装置は、
前記管理サーバから前記電源切断要求を前記ネットワークを介して受信し、
前記電源切断要求を受けて当該情報処理装置の電源を切断する
ことを特徴とする通信制御方法。
【請求項3】
ネットワークに介して互いに接続可能な複数の情報処理装置、前記情報処理装置を管理する管理サーバ、および複数のシンクライアント端末を有するシンクライアントシステムであって、
前記ネットワークを介して前記管理サーバに接続可能な携帯端末を更に有し、
前記携帯端末は、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信する手段、前記管理サーバからユーザ認証結果を前記ネットワークを介して受信する手段、該ユーザ認証結果を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信する手段、および前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信する手段を有する制御部を有し、
前記管理サーバは、
前記ユーザ認証に必要な情報と前記情報処理装置のアドレスと前記情報処理装置の割当状態を示す情報とを対応付けて記憶する記憶部と、
携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信する手段、該受信したユーザ認証に必要な情報と前記記憶部に記憶されている前記ユーザ認証に必要な情報とに基づいてユーザ認証を行う手段、該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知する手段、前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信する手段、および前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する手段を有する制御部と、を有する
ことを特徴とするシンクライアントシステム。
【請求項4】
ネットワークに介して互いに接続可能な複数の情報処理装置、前記情報処理装置を管理する管理サーバ、および複数のシンクライアント端末を有するシンクライアントシステムであって、
前記ネットワークを介して前記管理サーバに接続可能な携帯端末を更に有し、
前記携帯端末は、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信する手段、前記管理サーバからユーザ認証結果を前記ネットワークを介して受信する手段、該ユーザ認証結果を受信後に、前記情報処理装置の電源切断要求を前記ネットワークを介して前記管理サーバに送信する手段、前記管理サーバから前記情報処理装置の電源切断要求に対する応答を前記ネットワークを介して受信する手段、該応答を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信する手段、および前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信する手段を有する制御部を有し、
前記管理サーバは、
前記ユーザ認証に必要な情報と前記情報処理装置のアドレスと前記情報処理装置の割当状態を示す情報とを対応付けて記憶する記憶部と、
前記携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信する手段、該受信したユーザ認証に必要な情報と前記記憶部に記憶されている前記ユーザ認証に必要な情報とに基づいてユーザ認証を行う手段、該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知する手段、前記携帯端末から前記情報処理装置の電源切断要求を前記ネットワークを介して受信する手段、該情報処理装置に電源切断要求を前記ネットワークを介して送信する手段、該情報処理装置の電源が切断されたことを検知すると、前記携帯端末に情報処理装置の電源が切断された旨を前記ネットワークを介して送信する手段、前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信する手段、および前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する手段を有する制御部と、を有し、
前記情報処理装置は、
前記管理サーバから前記電源切断要求を前記ネットワークを介して受信する手段、および前記電源切断要求を受けて当該情報処理装置の電源を切断する手段を有する制御部を有する
ことを特徴とするシンクライアントシステム。
【請求項1】
ネットワークに介して互いに接続可能な複数の情報処理装置、前記情報処理装置を管理する管理サーバ、および複数のシンクライアント端末を有するシンクライアントシステムにおける通信制御方法であって、
前記ネットワークを介して前記管理サーバに接続可能な携帯端末が、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信し、
前記管理サーバからユーザ認証結果を前記ネットワークを介して受信し、
該ユーザ認証結果を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信し、
前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信し、
前記管理サーバが、
前記携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信し、
該受信したユーザ認証に必要な情報と当該管理サーバの記憶部に記憶されているユーザ認証に必要な情報とに基づいてユーザ認証を行い、
該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知し、
前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信し、
前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する
ことを特徴とする通信制御方法。
【請求項2】
ネットワークに介して互いに接続可能な複数の情報処理装置、前記情報処理装置を管理する管理サーバ、および複数のシンクライアント端末を有するシンクライアントシステムにおける通信制御方法であって、
前記ネットワークを介して前記管理サーバに接続可能な携帯端末が、
前記ネットワークを介して前記管理サーバに接続可能な携帯端末が、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信し、
前記管理サーバからユーザ認証結果を前記ネットワークを介して受信し、
該ユーザ認証結果を受信後に、前記情報処理装置の電源切断要求を前記ネットワークを介して前記管理サーバに送信し、
前記管理サーバから前記情報処理装置の電源切断要求に対する応答を前記ネットワークを介して受信し、
該応答を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信し、
前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信し、
前記管理サーバが、
前記携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信し、
該受信したユーザ認証に必要な情報と当該管理サーバの記憶部に記憶されている前記ユーザ認証に必要な情報とに基づいてユーザ認証を行い、
該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知し、
前記携帯端末から前記情報処理装置の電源切断要求を前記ネットワークを介して受信し、
該情報処理装置に電源切断要求を前記ネットワークを介して送信し、
該情報処理装置の電源が切断されたことを検知すると、前記携帯端末に情報処理装置の電源が切断された旨を前記ネットワークを介して送信し、
前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信し、
前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知し、
前記情報処理装置は、
前記管理サーバから前記電源切断要求を前記ネットワークを介して受信し、
前記電源切断要求を受けて当該情報処理装置の電源を切断する
ことを特徴とする通信制御方法。
【請求項3】
ネットワークに介して互いに接続可能な複数の情報処理装置、前記情報処理装置を管理する管理サーバ、および複数のシンクライアント端末を有するシンクライアントシステムであって、
前記ネットワークを介して前記管理サーバに接続可能な携帯端末を更に有し、
前記携帯端末は、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信する手段、前記管理サーバからユーザ認証結果を前記ネットワークを介して受信する手段、該ユーザ認証結果を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信する手段、および前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信する手段を有する制御部を有し、
前記管理サーバは、
前記ユーザ認証に必要な情報と前記情報処理装置のアドレスと前記情報処理装置の割当状態を示す情報とを対応付けて記憶する記憶部と、
携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信する手段、該受信したユーザ認証に必要な情報と前記記憶部に記憶されている前記ユーザ認証に必要な情報とに基づいてユーザ認証を行う手段、該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知する手段、前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信する手段、および前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する手段を有する制御部と、を有する
ことを特徴とするシンクライアントシステム。
【請求項4】
ネットワークに介して互いに接続可能な複数の情報処理装置、前記情報処理装置を管理する管理サーバ、および複数のシンクライアント端末を有するシンクライアントシステムであって、
前記ネットワークを介して前記管理サーバに接続可能な携帯端末を更に有し、
前記携帯端末は、
前記管理サーバにユーザ認証に必要な情報とともに接続要求を前記ネットワークを介して送信する手段、前記管理サーバからユーザ認証結果を前記ネットワークを介して受信する手段、該ユーザ認証結果を受信後に、前記情報処理装置の電源切断要求を前記ネットワークを介して前記管理サーバに送信する手段、前記管理サーバから前記情報処理装置の電源切断要求に対する応答を前記ネットワークを介して受信する手段、該応答を受信後に、前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して前記管理サーバに送信する手段、および前記管理サーバから前記情報処理装置のアドレスの割当禁止要求に対する応答を前記ネットワークを介して受信する手段を有する制御部を有し、
前記管理サーバは、
前記ユーザ認証に必要な情報と前記情報処理装置のアドレスと前記情報処理装置の割当状態を示す情報とを対応付けて記憶する記憶部と、
前記携帯端末から前記ユーザ認証に必要な情報を前記ネットワークを介して受信する手段、該受信したユーザ認証に必要な情報と前記記憶部に記憶されている前記ユーザ認証に必要な情報とに基づいてユーザ認証を行う手段、該ユーザ認証の結果、ユーザ認証成立した場合に該認証結果を前記ネットワークを介して前記携帯端末に通知する手段、前記携帯端末から前記情報処理装置の電源切断要求を前記ネットワークを介して受信する手段、該情報処理装置に電源切断要求を前記ネットワークを介して送信する手段、該情報処理装置の電源が切断されたことを検知すると、前記携帯端末に情報処理装置の電源が切断された旨を前記ネットワークを介して送信する手段、前記携帯端末から前記情報処理装置のアドレスの割当禁止要求を前記ネットワークを介して受信する手段、および前記記憶部を参照して前記受信した情報処理装置のアドレスの割当禁止要求に含まれる前記ユーザ認証に必要な情報に対応付いた情報処理装置のアドレスの割当状態を割当禁止に変更し、その旨を前記ネットワークを介して前記携帯端末に通知する手段を有する制御部と、を有し、
前記情報処理装置は、
前記管理サーバから前記電源切断要求を前記ネットワークを介して受信する手段、および前記電源切断要求を受けて当該情報処理装置の電源を切断する手段を有する制御部を有する
ことを特徴とするシンクライアントシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2009−258813(P2009−258813A)
【公開日】平成21年11月5日(2009.11.5)
【国際特許分類】
【出願番号】特願2008−104230(P2008−104230)
【出願日】平成20年4月14日(2008.4.14)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成21年11月5日(2009.11.5)
【国際特許分類】
【出願日】平成20年4月14日(2008.4.14)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]