終端認證和登記系統、終端認證和登記方法以及存儲介質的制作方法
【技術領域】
[0001 ] 本發明涉及對執行遠程桌面連接的終端進行認證和登記(以下,也稱為“認證和登記”)的終端認證和登記系統、終端認證和登記方法以及存儲介質。
【背景技術】
[0002]伴隨著平板電腦、智能手機等智能設備的普及,存在針對允許用戶將他們自己的移動終端連接至公司通信網絡來使用自有裝置(BYOD)進行工作的日益增長的需要。與此同時,為了將BYOD引入公司,公司需要管理通過個人智能設備向公司系統的連接。使用遠程桌面技術(或精簡客戶端(thin-client)技術),用戶可以從終端與PC(個人計算機,以下稱為“PC”)連接以進行他/她的工作。由于遠程桌面技術允許用戶不在他/她的終端保存任何工作應用程序或文件而進行他/她的工作,該技術與BYOD匹配良好。
[0003]PTL I公開了一種精簡客戶端系統,其無需修改認證軟件,而可以在精簡客戶端終端以及多個虛擬PC通過使用認證裝置執行認證。
[0004]PTL 2涉及一種由主機裝置使用以認證終端裝置的技術,并公開了一種同時認證用戶和終端裝置以同時執行用戶認證和終端裝置認證的裝置。
[0005]引文列表
[0006]專利文獻
[0007]PTL I日本未審專利申請公開N0.2002-259001
[0008]PTL 2日本未審專利申請公開N0.2008-166927
【發明內容】
[0009]技術問題
[0010]在遠程桌面技術中,在建立從終端到PC的連接時,針對執行連接的終端的用戶而不是針對該終端來執行認證。然而,為了將BYOD引入公司,從安全角度考慮,公司有必要管理執行這種連接的終端。為了管理執行這種連接的終端,需要結合遠程桌面技術來使用與遠程桌面技術不同的網絡認證技術。然而,這會存在增加的系統復雜度、成本和用戶使用難度的問題。
[0011]PTL I和PTL 2的技術,是針對認證嘗試與主機計算機建立連接的特定終端,并且不用于認證并登記新的未知終端。
[0012]本發明主要目的在于:在遠程桌面系統中認證并登記用戶和終端,而不增大系統的復雜度、成本和用戶使用難度中的任意一個。
[0013]問題的解決方案
[0014]根據本發明第一方面的終端認證和登記系統,其特征在于所述系統包括:
[0015]目的計算機,能夠認證用戶終端的遠程桌面連接;以及
[0016]終端登記裝置,被配置為登記所述終端與所述目的計算機之間的遠程桌面連接;
[0017]所述目的計算機包括:
[0018]用戶信息獲取部件,用于獲取識別所述用戶的用戶信息;
[0019]用戶認證部件,用于參照指示允許登錄所述目的計算機的用戶的認證信息,確定是否允許所述用戶信息指示的用戶登錄所述目的計算機;
[0020]終端信息獲取部件,用于從所述終端獲取識別所述終端的終端信息;
[0021]第一白名單存儲部件,用于存儲白名單,在所述白名單中登記允許遠程桌面連接的所述用戶、所述終端以及所述目的計算機的組合的名單;
[0022]連接許可確定部件,用于在所述用戶認證部件確定允許所述終端信息所指示的用戶登錄至所述目的計算機時,參照所述白名單,確定是否允許由所述用戶信息指示的用戶在由所述終端信息指示的所述終端與所述目的計算機之間的遠程桌面連接;
[0023]請求信息生成部件,用于在所述連接許可確定部件確定不允許所述遠程桌面連接時,基于所述用戶信息、所述終端信息以及識別所述目的計算機的計算機信息,生成請求信息,所述請求信息用于請求將所述用戶、所述終端及所述目的計算機的組合登記到白名單中;以及
[0024]請求信息發送部件,用于將所述請求信息生成部件所生成的所述請求信息發送給所述終端登記裝置;
[0025]所述終端登記裝置包括:
[0026]第二白名單存儲部件,用于存儲所述白名單;
[0027]條件信息存儲部件,用于存儲條件信息,所述條件信息指示用于確定是否向所述白名單登記所述用戶、所述終端及所述目的計算機的組合的條件;
[0028]請求信息接收部件,用于從所述目的計算機接收所述請求信息;
[0029]登記部件,用于參照所述條件信息,基于所述請求信息接收部件接收到的所述請求信息,確定是否將所述用戶、所述終端與所述目的計算機的組合登記到所述白名單中,并且在確定登記所述組合時,通過將所述用戶、所述終端和所述目的計算機的組合登記到所述白名單中來更新所述白名單;以及
[0030]許可信息發送部件,用于在所述登記部件確定為登記所述組合時,將更新后的白名單發送給所述目的計算機;以及用于在所述登記部件確定不登記所述組合時,將指示不允許所述登記的錯誤信息發送給所述目的計算機,
[0031 ]所述目的計算機還包括:
[0032]許可信息接收部件,用于從所述終端登記裝置接收所述錯誤信息和更新后的白名單,并在所述第一白名單存儲部件中存儲更新后的白名單;以及
[0033]錯誤信息輸出部件,用于輸出所述許可信息接收部件接收到的所述錯誤信息。
[0034]根據本發明第二方面的一種在終端認證和登記系統中執行的終端認證和登記方法,所述終端認證和登記系統包括能夠認證用戶終端的遠程桌面連接的目的計算機,以及被配置為登記所述終端與所述目的計算機之間的遠程桌面連接的終端登記裝置。
[0035]所述方法包括由所述目的計算機執行的以下步驟:
[0036]用戶信息獲取步驟,用于獲取識別所述用戶的用戶信息;
[0037]用戶認證步驟,用于參照指示允許登錄所述目的計算機的用戶的認證信息,確定是否允許所述用戶信息指示的用戶登錄所述目的計算機;
[0038]終端信息獲取步驟,用于從所述終端獲取識別所述終端的終端信息;
[0039]連接許可確定步驟,用于在所述用戶認證步驟中確定允許所述終端信息所指示的用戶登錄所述目的計算機時,參照所述白名單,確定是否允許由所述用戶信息指示的用戶在由所述終端信息指示的所述終端與所述目的計算機之間的遠程桌面連接,在所述白名單中登記有所述用戶、所述終端以及所述目的計算機的組合的名單,所述組合中允許遠程桌面連接;
[0040]請求信息生成步驟,用于在所述連接許可確定步驟中確定不允許所述遠程桌面連接時,基于所述用戶信息、所述終端信息以及識別所述目的計算機的計算機信息,生成請求信息,所述請求信息用于請求將所述用戶、所述終端及所述目的計算機的組合登記到白名單中;以及
[0041]請求信息發送步驟,用于將所述請求信息生成步驟中所生成的所述請求信息發送給所述終端登記裝置。
[0042]該方法還包括由終端登記裝置執行的以下步驟:
[0043]請求信息接收步驟,用于從所述目的計算機接收所述請求信息;
[0044]登記步驟,用于基于所述請求信息接收步驟中接收到的所述請求信息,參照指示確定是否向所述白名單登記所述用戶、所述終端及所述目的計算機的組合的條件的條件信息,確定是否將所述用戶、所述終端和所述目的計算機的組合登記到所述白名單中,并且在確定登記所述組合時,通過將所述用戶、所述終端和所述目的計算機的組合登記到所述白名單中來更新所述白名單;以及
[0045]許可信息發送步驟,用于在所述登記步驟中確定為登記所述組合時,將更新后的白名單發送給所述目的計算機;以及當確定不登記所述組合時,將指示不允許所述登記的錯誤信息發送給所述目的計算機。
[0046]該方法還包括由目的計算機執行的以下步驟:
[0047]許可信息接收步驟,用于從所述終端登記裝置接收所述錯誤信息和所述更新后的白名單,并存儲更新后的白名單;以及
[0048]錯誤信息輸出步驟,用于輸出在所述許可信息接收步驟中接收到的所述錯誤信息。
[0049]根據本發明第三方面的一種記錄有程序的計算機可讀存儲介質,其特征在于所述計算機程序使所述計算機充當:
[0050]用戶信息獲取部件,用于獲取識別用戶的用戶信息;
[0051]用戶認證部件,用于參照指示允許登錄目的計算機的用戶的認證信息,確定是否允許所述用戶信息指示的用戶登錄所述目的計算機;
[0052]終端信息獲取部件,用于從所述用戶的終端獲取識別所述終端的終端信息;
[0053]白名單存儲部件,用于存儲白名單,在所述白名單中登記有所述用戶、所述終端以及所述目的計算機的組合的名單,所述組合中允許遠程桌面連接;
[0054]連接許可確定部件,用于在所述用戶認證部件確定允許所述終端信息所指示的用戶登錄至所述目的計算機時,參照所述白名單,確定是否允許由所述用戶信息指示的用戶在由所述終端信息指示的所述終端與所述目的計算機之間的遠程桌面連接;
[0055]請求信息生成部件,用于在所述連接許可確定部件確定不允許所述遠程桌面連接時,基于所述用戶信息、所述終端信息以及識別不允許所述遠程桌面連接的所述目的計算機的計算機信息,生成請求信息,所述請求信息用于請求將所述用戶、所述終端及所述目的計算機的組合登記到白名單中;
[0056]條件信息存儲部件,用于存儲條件信息,所述條件信息指示用于確定是否將所述用戶、所述終端及所述目的計算機的組合登記至白名單的條件;
[0057]登記部件,用于參照所述條件信息,基于所述請求信息,確定是否將所述用戶、所述終端與所述目的計算機的組合登記到所述白名單中,并且在確定登記所述組合時,通過將所述用戶、所述終端和所述目的計算機的組合登記到所述白名單中來更新所述白名單;
[0058]錯誤信息生成部件,用于在所述登記部件確定不登記所述組合時,發送指示不允許所述登記的錯誤信息;以及
[0059]錯誤信息輸出部件,用于輸出所述錯誤信息。
[0060 ]根據本發明第四方面所述的一種終端認證裝置,包括:
[0061]用戶認證部件,用于獲取識別用戶的用戶信息,并參照指示允許登錄至所述自身裝置的用戶的認證信息,確定是否允許所述用戶信息指示的用戶登錄至所述自身裝置;
[0062]終端信息獲取部件,用于從執行與所述自身裝置的遠程桌面連接的終端,獲取識別所述終端的所述終端的信息;
[0063]第一存儲部件,用于存儲白名單,在所述白名單中登記所述用戶、所述終端和目的計算機的組合的名單,所述組合中允許遠程桌面連接,所述終端執行與所述目的計算機的遠程桌面連接;
[0064]連接許可確定部件,用于在所述用戶認證部件確定允許所述用戶信息所指示的用戶登錄目的計算機時,參照