为提高瘦客户端系统中的安全性,该瘦客户端系统包括:从用户终端10接收用户ID和至少包括当前位置信息的终端信息的通信单元21;抽取策略信息的策略信息抽取单元22,其中策略信息涉及与通信单元21接收的终端信息相关联地存储的安全策略;基于通过客户终端10接收的用户ID分配虚拟机的虚拟机分配单元32,该虚拟机在服务器设备30上虚拟客户终端10的环境;以及基于通过策略信息抽取单元22抽取的策略信息来限制访问虚拟机分配单元32分配的虚拟机的访问控制单元33。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及瘦客户端系统及其访问控制方法和访问控制程序。
技术介绍
近年来,使用瘦客户端系统以减少系统操作和管理开销的商业企业等的数目有所增长。在瘦客户端系统中,安装在客户终端的功能最小化,在服务器端集中管理如应用软件和数据的资源。专利文件I公开了控制虚拟机激活和停止的瘦客户端系统,该虚拟机根据用户当前位置在服务器上虚拟客户终端的环境。专利文件I :专利出版物JP-A-2008-187338。 在这个传统的瘦客户端系统中,只要客户终端和虚拟机能够相互通信,就能够使用服务器上的虚拟机。因此,在能带出公司办公室的膝上PC(个人电脑)例如用作客户终端的情况下,机密信息会在公共场所中(例如,飞机场或火车站)显示在膝上PC的屏幕上。在这种情况下,机密信息可能被例如站在身后的人偷看。结果,该信息可能会泄露。如果膝上PC被偷,机密信息同样有可能泄露
技术实现思路
设计本专利技术来解决以上描述的问题,因此,本专利技术目的是提供能够提高安全性的瘦客户端系统及其访问控制方法和访问控制程序。根据本专利技术的瘦客户端系统包括接收单元,接收用户ID和至少包括来自客户终端的当前位置信息的终端信息;抽取单元,基于终端信息抽取策略信息,该策略信息涉及与通过接收单元接收的终端信息相关联地存储的安全策略;分配单元,基于通过接收单元接收的用户ID分配虚拟化客户终端的环境的资源;以及访问控制单元,基于通过抽取单元抽取的策略信息,限制访问通过分配单元分配的资源。根据本专利技术的瘦客户端系统的访问控制方法包括接收步骤,从客户端接收用户ID和至少包括当前位置信息的终端信息;抽取步骤,基于终端信息抽取策略信息,该策略信息涉及与在接收步骤中接收的终端信息相关联地存储的安全策略;分配步骤,基于在接收步骤中接收的用户ID分配虚拟化客户终端的环境的资源;以及控制步骤,基于在抽取步骤中抽取的策略信息,限制访问在分配步骤中分配的资源。根据本专利技术的访问控制程序使计算机执行包括在上述访问控制方法中的各个步骤。根据本专利技术,能够在瘦客户端系统中提高安全性。附图说明图I是示出根据实施例的瘦客户端系统配置的框图;图2是示出客户终端信息表的数据配置的示意图;图3是示出策略管理表的数据配置的示意图4是示出策略信息表的数据配置的示意图;以及图5是示出当在瘦客户端系统中控制来自客户终端的访问时执行的处理过程的流程图。具体实施例方式参照附图,以下将描述根据本专利技术的瘦客户端系统及其访问控制方法和访问控制程序的优选实施例。首先参照图1,描述根据本实施例的瘦客户端系统的配置。根据本实施例,图I是以图样的形式示出瘦客户端系统配置的示意图。如图I所示,瘦客户端系统I包括客户终端10、策略管理设备20和服务器设备30。根据本实施例,瘦客户端系统I被配置为包括例如将在下面描述的已知瘦客户端系统的功能。服务器设备运行来集中管理客户终端的OS(操作系统)、应用软件、各种数据 及其他。此外,服务器设备运行以形成虚拟机,并响应来自客户终端的操作指令激活虚拟机,该虚拟机为每个客户终端虚拟客户终端的环境。图I中显示的客户终端10包括与另一个设备交换数据的通信单元11和位置信息获取单元12。通信单元11向策略管理设备20发送用户ID和终端信息。用户ID是用来识别操作客户终端10的用户的信息。终端信息是涉及客户终端10的信息,其预先在存储器中注册。终端信息包括,例如IP地址信息、终端分类信息、数据存储许可信息和位置信息。终端分类信息是指定客户终端10的终端分类的信息,并且对应于指示例如台式PC或膝上PC的信息。数据存储许可信息是指示在客户终端10上能否存储数据的信息。位置信息是指示客户终端10的位置的信息。通信单元11从服务器设备30接收虚拟机信息,该信息与分配给客户终端10的虚拟机有关。基于虚拟机信息,通信单元11向服务器设备30发送访问虚拟机的请求。位置信息获取单元12获取在终端信息中包括的位置信息。更具体地,位置信息获取单元12获取对应于客户终端10的当前位置的纬度/经度信息,该信息作为位置信息通过例如GPS (全球定位系统)来确定。根据本实施例的位置信息获取单元12基于作为位置信息获得的纬度/经度信息以及指示办公室中的位置的纬度/经度信息来确定客户终端是在公司办公室内还是在办公室外,,并且设置指示客户终端是处于办公室内还是处于办公室外的信息,作为要发送给策略管理设备20的终端信息的位置信息。策略管理设备20包括与另一个设备交换数据的通信单元21和策略信息抽取单元22。策略管理设备20还包括客户终端信息表25、策略管理表26和策略信息表27。参考图2,将描述客户终端信息表25的数据配置。客户终端信息表25包括每个客户终端10的记录(下文将称为“客户终端信息记录”)。例如,客户终端信息记录包括作为数据项目的终端ID项目、终端名项目、IP地址分类项目、终端分类项目、数据存储可续项目及位置信息项目。终端ID项目中存储了用来唯一指定客户终端10的标识信息。终端名项目中存储了客户终端10的名称。IP地址分类项目中存储了分配给客户终端10的IP地址。可以从IP地址的内容区分私有IP地址和全局IP地址。终端分类项目中存储了指定客户终端10的终端分类的信息。数据存储许可项目中存储了指示在客户终端10上是否能存储数据的信息。位置信息项目中存储了指示客户终端10是否位于公司办公室内部或者外部的信息。分别存储于包括在客户终端信息记录中的IP地址分类项目、终端分类项目、数据存储许可项目和位置信息项目中的信息提前被注册,作为客户终端10的终端信息。参考图3,将描述策略管理表26的数据配置。策略管理表26包含每个客户终端10的记录(以下称为“策略管理记录”)。例如,策略管理记录包括作为数据项目的终端ID项目和策略ID项目。终端ID项目中存储了唯一指定客户终端10的标识信息。策略ID项目中存储了唯一指定涉及应用于虚拟机的安全策略的策略信息的标识信息。参考图4,将描述策略信息表27的数据配置。策略信息表27包括每组策略信息的记录(以下称为“策略信息记录”)。例如,策略信息记录包括作为数据项目的策略ID项目、策略名项目、无法访问站点项目、禁止激活应用项目、无法访问区域项目、允许登录时间项目、允许连续使用时间项目及用户权限项目。 唯一指定策略信息的标识信息的存储于策略ID项目中。策略信息的名称存储于策略名项目中。指定限制访问网站的信息存储于无法访问站点项目中。指定限制激活应用的信息存储于禁止激活应用项目中。指定限制访问的驱动器、文件夹及文件的信息存储于无法访问区域项目中。指定允许登录时间范围的信息存储于允许登录时间项目中。指定允许连续使用时间的信息存储于允许连续使用时间项目中。指定应用于用户的权限的信息(例如,管理员权限或普通用户权限)存储于用户权限项目中。在图I中显示的策略管理设备20的通信单元21接收客户终端10发送的用户ID和终端信息。接着,通信单元21向服务器设备30发送客户终端10的用户ID和策略信息。策略信息抽取单元22基于从客户终端10处接收的终端信息抽取策略信息。这将更详细地描述。首先,策略信息抽取单元22从客户终端信息表25中抽取对应于终端信息的客户终端信息记录。接下来,策略信息抽取单元22从策略管理表26中抽取策略管理记录,该本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:君塚政彦,
申请(专利权)人:日本电气株式会社,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。