远程访问系统、网关、客户机、程序和存储媒体的制作方法

专利名称：远程访问系统、网关、客户机、程序和存储媒体的制作方法
技术领域：
本发明涉及一种安全远程访问系统，其可以经由网络安全地远程操作服务器。特别涉及用于将客户机适当地连接到服务器的、防篡改设备、客户机、或者在防篡改设备上记录的程序、以及用于使远程访问系统动作的网络连接技术。
背景技术：
近年来，个人计算机(PC)和网络设备的价格不断变低，对企业员工中的大部分分配了PC等处理任务用的终端、以进行任务的企业占了大多数。随着PC价格变低使用增多，需要企业内部的设备管理者进行维护作业的PC数量也相应增加。所谓的这些维护作业，例如操作系统(OS)任务应用程序的版本升级、修复缺陷、对硬件故障的对应、对病毒的对策、去除病毒等。进行这样的维护作业的管理成本非常大，相关人员也增多，随之各方面也都变大。
作为降低该管理成本的一种方法，采用了被称为服务器客户机方式(server client)的系统运行方式。这是将主要的程序、数据存储在服务器侧，来降低在例如终端(Thin Client)那样的客户机侧存储的数据。
在服务器客户机方式中，由于运算处理、数据的存储主要在服务器侧进行，所以可以降低在各个如终端等的客户机侧进行操作系统和任务用的应用程序版本升级、修复缺陷、对病毒的对策、去除病毒等的必要性和频率，由此可以降低整体的管理成本。
此外近年来，将被称为IC芯片的处理器内置在卡内的IC卡(又称为“智能卡”)作为具有电子认证功能的密钥设备十分引人注目。所谓IC卡主要是指在内部的IC卡模块中内置了中央处理器(CPU)的卡。在IC卡的存储器中使用ROM、EEPROM等。IC卡由于卡本身具有运算功能，所以具有如下功能在有来自主机(host)的读写指示时，可以自己判断是否由正确的用户进行访问(access)。此外，由于CPU自身的伪造比较困难，所以作为防篡改设备的IC卡模块(IC卡芯片)发生信息的改写、非法地访问IC卡模块内部是比较困难的。由此，可以构筑具有较高安全等级的系统。大多数的IC卡可以通过将用户登录的个人身份号码(PIN码)和在卡内部保存的PIN码进行对照等，来进行将IC卡内的信息适当地从读写器或主机输出、或者不输出等控制。IC卡在内部具有EEPROM或RAM等可改写的存储器，可以存储用户或卡发行者的应用程序和信息。IC卡对于从外部输入的信息，通过使用只能在该相应的卡内存储的信息(私钥)进行运算等，向卡外部输出只能由卡所有者知道的信息或只能由卡所有者生成的信息，由此可以认证卡所有者，输出不能否认的信息。
此外，闪速存储器卡(flash memory card)可以用内置了非易失性存储器模块的存储器卡在存储器卡内存储用户的信息。闪速存储器卡大多不具有“针对来自第3者的攻击的硬件抵抗力”(防篡改性)。不具有防篡改性的闪速存储器卡在被盗、丢失时卡被分析，通过解析卡内的存储器或者控制器，有可能向第3者泄漏所保存的信息。
此外，如在特开2001-209773号公报中的记载，公开了具有闪速存储器接口和IC卡功能的闪速存储器。该具有闪速存储器接口和IC卡功能的闪速存储器，根据其存储容量的大小在卡内保存在个人计算机或工作站中构筑的用户保管文档、设定文件等，并可以便携，所以市场反映较好。
在所述服务器客户机方式中，经由网络来进行服务器和客户机之间的认证、数据的存取。由此，在从网络上的一个客户机向服务器进行访问时，在服务器侧必须要进行来访问的客户机是否是正确的客户机、以及使用客户机的使用者是否是正确的使用者等验证作业。此外，在客户机侧不验证所访问的服务器是否是正确的服务器也不能进行自己想要的任务。如果不进行如上述的验证则有可能向第3者泄漏在服务器侧存储的数据、使用者所具有的信息。因此，需要充分地提高在网络上的认证、执行任务中的发送信息等的加密等的安全性。

发明内容
本发明的目的是通过将存储设备作为认证设备的服务器客户机系统来提高用户的便利性，该存储设备是如下的闪速存储器卡可以在安装于IC卡中的如IC芯片的被认证的防篡改设备中存储使用者的认证信息，并且，可以安全地存储大容量的文件，并可以便携。
此外，本发明的目的是还提供可在该服务器客户机系统中使用的认证用存储设备。
根据本说明书的记载以及附图，本发明的上述和其他目的以及其新的特征十分明显。
在本申请中，对公开的发明中的代表性内容的概要进行的说明如下所述。即，为了达成上述目的，本发明的远程访问系统的特征在于，包括存储设备，其安装有防篡改设备和存储装置以及控制器的功能；读写器，其用于连接所述存储设备；客户机，其与所述读写器连接；服务器，其通过网络从所述客户机被远程操作；网关，其用于网络上的加密通信，所述存储装置中，记录有对所述服务器进行远程操作的应用程序，和对所述网络上的通信进行加密的加密应用程序，在所述防篡改设备内保存有用于进行所述网关和所述客户机之间的加密通信的认证信息。
根据本发明，向使用者分配安装有认定了的防篡改设备的存储设备，使用者将存储设备连接到不特定的客户机上，并使用存储设备内的认证信息和应用程序，以提供一种远程操作服务器的服务器客户机系统，由此，可以提高使用者的使用便捷性，结果，可以无缝地利用在办公场所内外的任务执行功能，并且通过降低留在已经操作了的客户机内的机密信息，可以提供一种能够提高用于使用客户机时的安全性和便利性的远程操作系统。


图1是用于说明本发明的第1实施方式的安全远程访问系统的方框结构图。
图2是用于说明本发明的第1实施方式的存储设备的方框结构图。
图3是本发明的第1实施方式的认证信息的拷贝(copy)的结构的示意图。
图4是表示本发明的第1实施方式的客户机的详细情况的方框结构图。
图5是在本发明的第1实施方式的使用者、存储设备、客户机、服务器间进行的通信的详细情况的示意图。
图6是本发明的第1实施方式的管理者进行的存储设备的初始化操作的说明图。
图7是本发明的第2实施方式的远程访问系统的示意图。
图8是在本发明的第2实施方式的使用者、管理者、存储设备、客户机、网关、服务器间进行的通信的详细情况的示意图。
图9是本发明的第2实施方式的远程访问系统的网络结构的示意方框图。
图10是表示本发明的第3实施方式的远程访问系统的示意图。
图11是本发明的第1实施方式的软件结构的示意图。
图12是表示由本发明的第1实施方式的应用程序使用临时存储区域时的处理方法的流程图。
图13是表示进行本发明的第1实施方式的驱动程序中的堵塞控制时的处理方法的流程图。
图14是表示本发明的第1实施方式的驱动程序中的堵塞控制的时序图。
图15是用于说明本发明的第4实施方式的存储设备的方框结构图。
图16是在本发明的第4实施方式的使用者、存储设备、客户机、服务器间进行的通信的详细情况的示意图。
图17A是在本发明的第5实施方式的存储设备、读写器、客户机间进行的处理的示意图。
图17B是在本发明的第5实施方式的存储设备、读写器、客户机间进行的处理的示意图。
图17C是在本发明的第5实施方式的存储设备、读写器、客户机间进行的处理的示意图。
图18是用于说明进行本发明的第5实施方式的OS起动时的动作的流程图。
具体实施例方式
对于本发明的实施方式，参照附图同时在以下进行详细地说明。此外，在附图中赋予了相同的参照序号的部件表示具有相同功能的构成要素，为了方便说明，省略对其的详细说明。
使用图1至图7，对本发明的安全远程访问系统的第1实施方式进行说明。
图1是本发明的第1实施方式的远程访问系统的示意图。
使用者使用的服务器1000和多个客户机(客户机1001和客户机1002)，经由网络组1003、1004和1005与网络1006连接。网络组1003、1004以及1005与网络1006通过图中未示的网络总线、开关进行适当地连接，适当地进行向网络组1003、1004、1005和以及网络1006上连接的设备的分组路由，成为可以正常通信的状态。服务器1000通过图中未示的显示器接口与显示器1007连接。客户机1001和1002也同样经过图中未示的显示器接口分别与显示器1008和1009连接。在客户机1001和1002上分别连接用户接口1010和1011。用户接口1010和1011具有分别向客户机1001和1002发送客户机1001和1002的使用者的输入信息的功能，该输入信息是由键盘、鼠标、跟踪球(track ball)、触摸板、触控板(touch pad)、指纹读取机、生物体信息读取机等构成的信息。
读写器1012和1013分别与客户机1001和1002连接，并具有插入存储设备1014的功能。存储设备1014内的后述的端子2000与读写器1012的图中未示的端子连接，可以进行与客户机1001的通信。存储设备1014被设计成可以由使用者携带进行便携，并可在客户机1001以外的例如客户机1002的设备中可以使用。
存储设备1014在内部安装有控制器1015、防篡改设备1016、存储装置1017。尽管记载了将控制器1015、防篡改设备1016、存储装置1017安装作为分别不同的集成电路，但是也可以将这些功能作为一个集成电路来安装。防篡改设备1016例如可以是具有防篡改性的设备，该防篡改性是指根据IC卡芯片等的、安全评价团体决定的基准来接受认定或具有可接受水准的防篡改性。
在服务器1000内部，安装有CPU1030、存储器(memory)1031、存储装置(storage)1032。在客户机1001上安装有CPU3000、存储器3001、存储装置3002；在客户机1002上安装有CPU1050、存储器1051、存储装置1052。
在CPU1030上执行的结果，通常由显示器1007显示，但是在由客户机1001向服务器1000进行请求服务器客户机型的处理的连接并确立认证、确立客户机1001和服务器1000的远程操作用的加密通信时，将经由客户机1001在服务器1000上执行程序的处理结果显示在显示器1008上。此时，在显示器1008上显示的信息与在显示器1007上显示的信息采用相同的显示方法，用户使用客户机1001和用户接口1010，可以获得与直接操作服务器1000相同的感觉，所以能够提高使用者的可用性(usability)。
图2表示存储设备(storage device)1014的详细情况的方框结构图。存储设备1014安装有端子2000、控制器1015、防篡改设备1016、存储装置1017，分别如图示进行连接。控制器1015在内部具有CPU2001、存储器2002、非易失性存储器2003、接口(I/F)2004、2005、2006。存储装置1017是闪速存储器、硬盘、EEPROM、MRAM、MO、光盘等非易失性存储媒体。在本实施方式中，以存储装置1017是闪速存储器为前提进行说明，但是也可以是其他种类的存储媒体。
控制器1015内的CPU2001执行从非易失性存储器2003向存储器2002装载的应用程序，并经由接口I/F2004～2006进行存储装置1017的文件管理或防篡改设备1016的复位(reset)或控制等管理、防篡改设备1016和端子2000以及存储装置1017之间的通信管理。
非易失性存储器2003包含公钥运算程序2050、共通密钥(共通鍵)运算程序2051和存储装置1017内的文件管理程序2052。此外，非易失性存储器2003还可以具有进行杂乱数据(hash)的运算、数字签名、证书的验证、密钥的生成等的程序。
防篡改设备1016在内部包含有CUP2030、存储器2031以及存储装置2032。协处理器2033是补充CPU2030的运算功能中加密功能等的协处理器，但是在CPU2030的计算速度是高速的情况下，也可以不安装。CPU2030执行从存储装置2030向存储器2031装载的应用程序，具有进行后述的共通密钥的加密解密、非对称密钥的加密解密、存储装置2032内的文件管理、杂乱数据的运算、数字签名。证书的验证、密钥的生成等的功能。防篡改设备1016是具有对电压变动等各种攻击有较强的抵抗力的、具有根据安全评价团体决定的基准来接受认定或能够接受的水准的抵抗力的设备。
存储装置2032是EEPROM、MRAM、闪速存储器等非易失性存储装置。存储装置2032在内部保存私钥2040、PIN信息2041、日志信息2042、证书2043、公钥2044、PIN验证程序2045、密钥证书存储程序2046、公钥运算程序2047、共通密钥运算程序2048、密钥生成程序2049等。被保存的程序可以是一个也可以是多个。存储装置2032内的数据或程序被装载到存储器2031，使CPU2030动作，并经由控制器1015向防篡改设备1016外部发送。
私钥2040是用于对使用者的认证和通信通路进行加密的密钥，可以是一个也可以是多个。私钥2040根据对应的密钥算法的种类不同以不同的格式被记述。与私钥2040内的一个私钥对应的公钥的集合是公钥2044，对应的证书的集合是证书2043。证书2043是与密钥2040对应的公钥2044的证书，是由服务器1000或外部的认证局发行的证书。此外，证书2043包含发行公钥2044证书和除其以外的证书的证明期间的根认证局(ル一ト認証局)或中间认证局的证书等其他认证信息。证书2043的格式是满足例如国际电气通信联合(ITU)规定的X.509的规格的格式。证书2040内存贮的信息，除了公钥和针对公钥的签名之外，还由例如证书的版本序号、证书的序列号、使用者的公钥的信息、发行证书的认证局的信息、证书的有效期、姓名、电子邮件地址等使用者的信息以及被称为扩展区域的项目构成。证书2010从卡内在客户机1001和1002、服务器1000内，用于认证信息的验证、数据、通话(session)密钥等的加密。
PIN信息2041是用于验证使用者的权利的信息，该权利是从防篡改设备1016外部输出防篡改设备1016内部的信息、或进行运算。PIN信息2041可以是个人身份号码(PIN码)，也可以是如被称作的密码短语(passphrase)的位数较长的字符串，还可以是成为基于指纹、虹膜、脸形、声纹、静脉等的生物体认证的根据的生物体认证信息。
日志信息2042是记录防篡改设备1016的使用历史的信息，每当CPU3000或2001或2030动作时被追记，或具有适当的权利的使用者从防篡改设备1016的外部追记或读出。日志信息2042为了防止来自第3者的改写，附加记录了杂乱数据值的签名。
PIN验证程序2045是验证PIN信息2041与从防篡改设备1016外部输入验证用的PIN信息是否一致的程序。验证结果如果正确，防篡改设备1016就成为使用者可以使用内部的信息或运算资源的状态。PIN验证程序2045位于存储装置2032内，按在存储器2031装载的程序或在存储装置2032上保存的信息来确定使用权限，个别地进行认证。例如可以进行如下设定在防篡改设备通电后的使用时，对于由PIN验证程序一旦判断为正确的使用者，在以后的访问中不要求PIN验证，或每当使用时进行PIN验证。
密钥证书存储程序2046具有如下功能将在存储装置2032内保存的私钥2040或公钥2044或证书2043向防篡改设备1016外部输出，或通过从防篡改设备1016外部向内部取入来存储在存储装置2032内。为了使用密钥证书存储程序2046必须结束基于PIN验证程序2045的验证。但是，如果只输出证书2043或公钥2044，也可以不需要基于PIN验证程序2045的验证。密钥证书存储程序2046具有如下功能在向外部输入输出密钥或证书时与外部的CPU3000或2001或2030交换通话密钥，设定安全的加密通路，取入密钥、证书。
公钥运算程序2047和共通密钥运算程序2048分别具有与上述的公钥运算程序2050和共通密钥运算程序2051相同的功能。密钥生成程序2049具有如下功能生成私钥2040和公钥2044中的一个密钥对或对象密钥的私钥(共通密钥)。生成的公钥或共通密钥保存在存储器2032内，或向外部输出。非对称密钥的私钥保存在私钥2040内。
存储装置1017在内部记录用于识别使用者的证书2010、使用者使用存储设备1014进行操作的日志信息2011、设备访问用库2012、设备管理用程序2013、设备驱动程序2014、接口处理程序(interface handler)2015、安装程序2016、远程操作终端用应用程序2017、加密通路构筑用应用程序2018、任务应用程序2019、临时存储区域2020、认证信息的拷贝2021。
证书2010是为了客户机1001、服务器1000进行识别使用者、存储设备1014的运算而被使用的证书。证书2010的格式可以是满足例如ITU规定的X.509规格的格式。在证书2010内例如记录有证书的版本序号、证书的序列号、使用者的公钥信息、发行证书的认证局的信息、证书的有效期、姓名、电子邮件地址、存储设备固有的识别序号等使用者或存储设备的信息、被称为扩展区域的区域。在存储设备1014内或客户机1001、服务器1000内，认证信息的验证或数据或通话密钥等的加密中使用证书2010。
日志信息2011在使用者使用存储设备1014进行操作时，通过CPU2001或CPU2030或客户机1001或服务器1000的指示而被更新。为了使用服务器1000上的应用程序或客户机1001上的应用程序、或确认使用者自己的使用状况，而使用日志信息2011。日志信息2011为了防止来自第3者的改动，附加记录了杂乱数据值的签名。
设备访问用库2012是在客户机1001中动作的多个应用程序对存储装置1017进行访问时被使用的，用于使用文件管理、杂乱数据的运算、数字签名、证书的验证、密钥的生成等功能的函数群。通常，由后述的安装程序2016向客户机1001安装并使用，但是也可以直接从客户机1001上的应用程序使用设备访问用库2012。
设备管理用工具2013是用于管理存储设备1014的工具，例如包含变更使用者认证号码的工具；将闭塞了的存储设备初始化的工具；将存储设备上的应用程序、固件、密钥信息、证书进行改写工具；调试存储设备1014时所必须的调试用监视工具；存储设备的指南或帮助文件；使用如从远程投入服务器电源的局域网唤醒(wake up on LAN)的功能等来从远程将客户机1001或服务器1000进行电源投入或电源切断的电源管理的工具。设备管理用工具2013还可以由后述的安装程序2015向客户机1001安装，也可以由使用者向客户机1001直接装载来使用。
设备驱动程序2014是向操作系统提供存储设备1014动作所需信息或管理动作的程序，由后述的安装程序1015向客户机1001安装。
接口处理程序2015是管理设备驱动程序2014的中间件(middleware)，起到如下作用其使在客户机1001或服务器1000上动作的应用程序与设备驱动程序2014相连接。
安装程序2016是在将存储装置1017上存在的应用程序或信息、驱动程序等向客户机1001或服务器1000安装时使用者使用的程序。在安装结束后从存储装置1017将由安装程序2016安装的应用程序、信息、驱动程序等删除，但是为了在使用者连接其他的设备并使用存储设备1014而预先保存在存储设备1017上。
远程操作终端用应用程序2017是为了从客户机1001远程操作服务器1000而被使用的程序。远程操作终端用应用程序2017也可以是被称为终端服务程序(service)或远程桌面(remote desktop)等的客户机1001或服务器1000的操作系统所具有的标准的服务程序或应用程序。远程操作终端用应用程序2017幽暗装程序2016向客户机1001安装并被使用，或者从存储设备1014直接向客户机1001安装并被使用。
加密通路构筑用应用程序2018是为了使客户机1001和服务器1000之间的通信加密而被使用的程序。加密通路构筑用应用程序2018在客户机1001和服务器1000之间使私钥共有，通过使用该私钥在客户机1001和服务器1000之间建立加密通路。在该私钥的共有中可以使用防篡改设备1016内的私钥等秘密信息，在共有私钥处理(process)内还可以使用认证，该认证使用了防篡改设备1016内的秘密信息的认证。
任务应用程序2019是在使用者使用客户机1001时使用的应用程序。例如，如果是使用服务器上的主页(Web-base)的应用程序，任务应用程序2019则是网络浏览器；如果是数据库，任务应用程序2019则是数据库操作用客户机。可以通过位于防篡改设备1016内的私钥2040中的几个私钥、或者服务器1000或客户机1001上保存的私钥中的几个，将存储装置1017上的所有信息进行加密，也可以用明码文本来记录。如果是前者，则提高向使用者提供的安全性。此外，在控制器1015或防篡改设备1016内使用者认证没有结束时就不能向存储装置1017访问，提高向使用者提供的安全性。
临时存储区域2020是在客户机1001上执行任务应用程序2019等应用程序时，保存作成应用程序的临时文件的区域。任务应用程序2019或服务器1000或客户机1001上的任务执行用应用程序，在临时存储区域2020内作成位图(bit map)的超高速缓冲存储等的临时存储文件。在临时存储区域没有被加密时，当使用者停止使用时，根据控制器1015或客户机1001上的操作系统或者应用程序的指示，删去临时存储文件。由此，使用者作成的临时文件被存储在存储设备上，即使第3者对客户机1001内的信息危险，使用者使用的信息也被安全地保护，含有来自切断电源的客户机1001的使用者机密信息或隐私的信息难以泄漏。
图12是用流程图来表示由在存储装置1017上记录的任务应用程序2019或在客户机1001等上安装的应用程序使用临时存储区域2020时的处理方法。在执行引用程序的CPU1030或者3000中进行图12的流程图所示的方法。例如，远程操作终端用应用程序2017或任务应用程序2019在CPU3000上执行，服务器1000上的应用程序在CPU1030上执行。此时，在起动使用者使用的应用程序(12000)时，临时存储区域2020调查在应用程序中是否定义和是否可以使用(12001)。在处理12001中，未定义或不可使用的情况下进行临时存储区域2020的区域定义和可使用化。其次，进行临时存储区域的容量是否足够使用的检查(12004)。在检测出容量不足等问题时，进行解决容量不足等问题的处理(12005)，如果能够从异常状态恢复(12006)，则继续进行处理，但是在不能恢复时，应用程序异常结束(12007)。接下来，开始应用程序的处理(12003)，进行向临时存储区域2020的输入输出(12008)。如果能继续应用程序的处理，则返回处理12004。在应用程序结束时，进行向临时存储区域2020的输入输出12010。处理12010是删除应用程序使用的信息和对该删除的确认作业。通过处理12010使用者使用的信息可以被确切地保全，多数情况下通过删除，来保护包含使用者具有的隐私的信息或私人信息。如果没有异常，则结束应用程序(12011)。
通过应用程序，存在若干个临时存储区域2020的定义方法。一个方法是在起动应用程序时，应用程序读入在使用者简档(profile)中记载的临时存储区域的设定，由此应用程序确定临时存储区域2020的场所，该使用者简档按使用者设置在客户机1001上。此时，使用者简档是由操作系统或者应用程序定义的使用者设定信息，并记录存储装置3002或者存储装置1017中。另一种方法是在应用程序起动时，操作系统或应用程序对使用者在显示器1008上显示记录等确认手段，由此来催促使用者输入，应用程序确定临时存储区域的设定。该确认手段可以在应用程序最初的起动时进行，但是也可以在每次的起动时进行。通过以上的任意一种方法，应用程序进行与使用者的使用环境对应的临时存储区域的设定。一旦使用者定义了信息的信息，通过在客户机上的存储装置3002或者存储装置1017上记录的信息，在应用程序起动时应用程序可以再次使用。
认证信息的拷贝2021是在防篡改设备1-16内的公钥2044或证书2043或PIN信息2041等的拷贝。
图3表示认证信息的拷贝2021的例子。证书1(5001)～证书N(5003)是证书2043的一部分。中间件的认证信息5004包含服务器1000或者客户机1001的中间件检查认证信息的拷贝是否被改动的杂乱数据值和签名、中间件的版本信息、作成认证信息的拷贝的时刻信息等中间件的认证信息。
一般地，防篡改设备1016、控制器1015之间的通信速度要比存储装置1017、控制器1015之间的通信速度慢。因此，客户机1001上的操作系统或者应用程序将防篡改设备1016内的认证信息向存储装置1017高速存储或者复制，由此在使用者使用存储设备时，可以缩短读出证书2043所需要的时间，可以提高可用性。认证信息的拷贝2021，希望每当使用存储设备1014时被验证，此时，使用认证信息的拷贝2021中的、基于杂乱数据值或防篡改设备1016内的私钥的签名、基于客户机1001上的操作系统或者应用程序的签名。
图4表示客户机1001的详细情况的方框结构图。客户机1001在内部具有CPU300、存储器3001、存储装置3002、接口(I/F)30203021、3022、3023。存储装置3002是闪速存储器、硬盘、EEPROM、MRAM、MO、光盘等非易失性存储器。
CPU3000执行从存储装置3002向存储器3001装载的应用程序，经由I/F30203021、3022、3023分别进行与显示器1008、网络1006、用户接口1010、读写器1012的通信。
在存储装置3002中保存证书3010、日志信息3011、设备访问用库3012、设备管理用工具3013、设备驱动程序3014、接口处理程序(interface handler)3015、远程操作终端用应用程序3016、加密通路构筑用应用程序3017、任务应用程序3018。
证书3010用于进行客户机1001或服务器1000识别使用者或存储设备1014的运算。证书3010的格式可以是满足例如ITU规定的X.509规格的格式。
在证书3010内例如记录有证书的版本序号、证书的序列号、使用者的公钥信息、发行证书的认证局的信息、证书的有效期、姓名、电子邮件地址、存储设备固有的识别序号等使用者或存储设备的信息、被称为扩展区域的区域。证书3010是防篡改设备的证书，在客户机1001、服务器1000内用于认证信息的验证、数据、通话密钥等的加密，所述防篡改设备是证明存储设备1014内的证书2043、存储装置1017内的证书2010的拷贝、使用者独自地登录的使用者、证书的根认证局或中间认证局或存储设备1014等。
日志信息3011在使用者进行客户机1001的操作时，通过CPU3000或或服务器1000的指示而被更新。为了使用服务器1000上的应用程序或客户机1001上的应用程序、或确认使用者自己的使用状况，而使用日志信息3011。日志信息3011为了防止来自第3者的改动，附加记录了杂乱数据值的签名。
图5表示使用者对客户机1001插入存储设备1014，在使用服务器1000时的使用者、存储器设备1014、客户机1001、服务器1000间进行的通信的详细情况的示意图。使用者在开始使用客户机1001之前，将存储设备1014与客户机1001的读写器连接，该存储设备1014保存使用者的认证信息、使客户机1001动作用的应用程序。在使用者没有使用客户机1001时，使用者使用存储设备1014内的安装程序2016，向客户机1001安装设备驱动程序2014、设备管理工具2013、为了操作如远程终端用应用程序2017的服务器1000所必须的信息或者应用程序。此时，不必进行由客户机1001可以从存储设备1014直接执行应用程序的安装。
使用者首先如序列4000所示，向客户机1001进行动作确认请求。在客户机1001向服务器1000进行服务器动作确认(4001)的使用者不能确认服务器1000的动作时，利用在存储设备1014上的或者由安装程序2016在客户机1001上准备的局域网唤醒(wake up on LAN)来进行服务器1000的电源投入，该局域网唤醒例如使用从远程投入电源的局域网(LAN)来进行设备的电源投入。此时，服务器1000的仅针对网络的I/F始终通电，使用ID和密码的设置、网络板(network board)的MAC地址等任意的认证信息，来进行服务器1000的起动(4002、4003)。通过该操作来起动服务器1000(4004)。在服务器起动结束时，使用者向客户机1001输入注册(1ogin)请求(4005)。当在客户机1001内没有安装远程操作应用程序2017和加密通路构筑用应用程序2018时，在该时刻向客户机1001装载(4006)。接下来，从客户机1001向服务器1000进行注册请求(4007)。对来自服务器1000的远程设备的注册进行安全性策略(policy)，但是在注册时，在需要或者可能需要在使用者的认证中使用公钥基础结构(infrastructure)(PKI)的认证时，进行如下请求来自服务器1000的认证信息的请求(4008)、来自客户机1001的证书的请求(4009)、来自存储设备1014的证书的发送(4010)、来自客户机1001的签名的请求(4011)。在存储设备1014中进行签名时，就需要使用者的认证。使用者的认证由个人身份号码、密码、密码短语、一次性密码(one timepassword)、指纹信息等生物体信息等来进行。
在本实施方式中演示了使用个人身份号码的例子。在进行来自存储设备1014的个人身份号码请求(4012)之后，使用显示器1008等进行从客户机1001向使用者请求显示个人身份号码4013。使用者经由用户接口1010和客户机1001向存储设备1014发送个人身份号码时(4014、4015)，对于在存储设备1014内的CPU2001或者CPU2030中从服务器1000、客户机1001发送的信息，作成使用私钥2040中的一个或者多个的电子签名(4016)。向客户机发送作成了的签名(4017)。客户机1001进行签名的发送(4018)，该签名被作成为证书2010、2043等认证信息。其次，服务器1000和客户机1001使用被称为私钥和公钥的互置的密钥信息和证书，进行私钥公钥(秘密共有键)的密钥交换(4019)。通过远程操作终端用应用程序2017或加密通路构筑用应用程序2018来进行该密钥交换4019。使用在序列4019中交换了的私钥公钥，服务器1000和客户机1001构筑加密通路，将在两者之间通信的信息加密。在构筑加密通路的阶段，用户起动在服务器1000或者客户机1001、存储设备1014上保存的应用程序，执行任务(4020)。
在任务执行中，CPU2001或CPU2030或服务器1000或客户机1001在日志信息2011、2042、3011中追记信息，确切地监视使用者地任务执行。所记载的日志信息被实施防止改动的处理，被保存在存储设备1014或客户机1001内，但是在使用者开始使用时或使用结束时等适当的定时向服务器1000发送该日志信息。
进行使用者使用的服务器1000的管理的管理者，监察日志信息2011、2042、301 1的信息和向服务器1000发送的信息，在使用者进行违反管理者作成的策略的使用时，服务器1000或客户机1001进行如停止存储设备1014的使用那样的操作。策略违反例如相当于日志的改动、异常的使用时间、异常的通信量、经由网络1006的异常访问、在客户机1001内存在的异常文件的检测、文件或应用程序升级的缺陷等。所谓服务器1000或客户机1001停止存储设备1014的使用那样的操作，相当于向服务器1000和客户机1001禁止使用者的注册、电源切断、存储设备1014的闭塞等。所谓存储设备1014的闭塞例如是变更PIN验证程序2045使用的信息，使用者不能使用存储设备1014。
使用者的任务等，在结束服务器1000的使用时，使用者对客户机1001进行服务器切断请求(4021)。从客户机1001向服务器1000发送服务器切换请求(4022)。服务器1000和客户机1001进行通话的切断4023。服务器1000在服务器1000上存储使用者的使用信息的日志(4024)，进行服务器1000的服务器电源切断。使用者如果不进行服务器切断请求4021，则不进行服务器电源切断4025。服务器电源切断还以图5所示的序列进行任务执行。
图6是为了使用者使用服务器1000和客户机1001和存储设备1014，管理者进行的存储设备1014的初始化操作的说明图。图5所示的使用者开始使用之前或者使用者终止或丢失卡、丧失使用权限时，进行在图6中所说明的一连串动作。
客户机6000是与客户机1001一样连接了显示器、用户接口、读写器的客户机，用于管理者进行存储设备1014的写入。
首先，管理者通过客户机6000，向服务器1000登陆使用者的姓名、用户号、电子邮件地址、存储设备固有的识别号等，由此服务器1000作成使用者的认证信息。作成使用者的认证信息和证书并进行写入请求(6001)。这里，存储设备1014已经从存储设备供给者写入密钥证书存储程序2046等各种程序。此外，通过用6001发送与存储设备1014、或客户机6000、或管理者中任意一个用其他方法生成的私钥对应的公钥，来得到使用者的公钥证书。作成了的认证信息和公钥证书经由客户机6000向存储设备写入(6002)。接下来，管理者变更用于控制存储设备1014内的认证信息和密钥的使用权的信息(6003、6004)。通过该操作存储设备1014变更签名请求、密钥改写请求、针对密钥输入输出请求的使用权。使用权的变更是针对信息的访问密钥(access key)的变更，个人身份号码的变更。被变更了的访问密钥、个人身份号码，由管理者保管，或存储在其他的防篡改设备中，并向使用者通知。
其次，管理者进行应用程序的写入，客户机6000进行应用程序的写入。这里，所谓的应用程序是设备访问用库2012、设备管理用工具2013、设备驱动程序2014、接口处理程序2015、安装程序2016、远程操作终端用应用程序2017、加密通路构筑用应用程序2018、任务应用程序2019等。
其次，管理者进行服务器连接测试请求(6007)，并进行服务器连接测试请求(6008)。服务器连接测试请求6008是管理者进行图5中所示的使用者进行的向服务器的连接、任务执行的处理，并确认在存储设备1014内记录的信息或应用程序的有效性的请求。存储设备1014将正确地进行连接和任务执行处理的情况向使用者发送。此时，存储设备1014打印使用者的ID、脸部照片、姓名等，或进行附加密封贴(シ一ル針付けする)等。此外，也可以使用与存储设备1014发送针对管理存储设备1014用信息的访问密钥、个人身份号码不同的其他封装文档(封書)等方法向使用者发送。
图11是对在本实施例的客户机1001上动作的中间软件进行说明的图。在客户机1001上动作的远程操作终端用应用程序2017、机密通路构筑用应用程序2018、任务应用程序2019这样的应用程序11000，如图2所示，利用两个路径对读写器1012和存储设备1014进行访问。在想进行卡内的文件或文件管理的情况下，经由文件访问用应用程序API11001、文件访问用驱动程序11002、读写器内的读写器固件11003，调出存储设备1014内的卡操作系统程序和应用程序11004。另外，当向卡内的防篡改设备2032发出命令等想要执行与安全认证有关的命令的情况下，经由接口处理程序3015、设备驱动程序3014、读写器1012内的读写器固件11003，调出存储设备1014内的卡操作系统程序以及应用程序11004。此时，文件访问用驱动程序11002。读写器固件11003、设备驱动程序3014始终监视存储设备1014和读写器1012的访问状态，以使彼此的命令不会同时发生，并通过自身进行命令的存储或拒绝等堵塞控制，以对存储设备1014进行适当的访问。
图13是使用流程图对设备驱动程序3014和文件访问用驱动程序11002所进行的堵塞控制进行说明的图。设备驱动程序3014和11002在操作系统起动时被初始化，并开始处理(13000)。进行是否有向文件访问用驱动程序1002的请求或待机请求(13001)，在有请求的情况下，通过读写器对卡进行文件访问(13002)。接下来，进行是否有向设备驱动程序3014的请求(13003)。在有请求的情况下，通过读写器对CPU2030进行访问(13004)。进行在该时刻是否有向文件访问用驱动程序11002的请求的检查(13005)，在有请求的情况下，对文件访问用起动程序11002进行请求待机处理。该请求待机处理在文件访问用驱动程序11002中进行，在因用于请求待机而作成的存储区域中，存储有应该待机的请求。该存储的请求在接下来执行处理13002时处理。但是，在通过处理13002进行处理之前的存储时间超过预先设定的固定量的情况下，在处理13005内，向应用程序通知超时等异常，并抛弃处理。在进行是否能够识别出向设备驱动程序3014的请求已经结束的检查(13007)、并且处理没有结束的情况下，从处理13004进行再次处理。
此外，检测来自操作系统的结束请求(13008)，在没有请求时，从处理13001再次开始处理。通过基于上述的设备驱动程序3014和文件访问用驱动程序11002的堵塞控制，经过读写器的存储设备1014的访问与一般的存储设备一样被保存。所谓堵塞控制是控制与文件访问相关的命令和对防篡改设备的命令的堵塞，文件访问用驱动程序11002可以是一般的主存储设备驱动程序，也可以由与主存储设备驱动程序连接的上转换驱动程序(upper filterdriver)或下转换驱动程序(lower filter driver)来进行。此外，在读写器固件中设有使命令退避的存储器区域或高速缓冲存储，使命令待机并控制堵塞。
并且，对于堵塞控制进行更详细地说明。所谓堵塞控制表示例如在下述那样的待机处理或者竞争解决处理。这里，控制堵塞是在客户机上的存储器区域中作成后述的被让待机的命令列表、并软件地进行处理，也可以在读写器的固件中软件地解决，还可以在读写器上设置缓冲器来硬件地解决。
图14是表示通过设备驱动程序3014和文件访问用驱动程序11002中的堵塞控制而产生的命令的样子的流程图。例如用于向CPU访问的命令1、命令2由驱动程序按顺序产生那样使从应用程序有指示。如图14的文件访问用命令所示，在存储设备1014中产生命令1，作为其的应答有响应1。接下来，在存储设备1014中产生命令2，作为其的应答有响应2。在该命令的发行、应答之间，产生文件访问用命令3、命令4。此时，文件访问用驱动程序在被让待机的命令列表中存储命令3、命令4。图13中的处理13002中，在判断为没有来自向CPU2030的访问用命令的输入时，产生被让待机的文件访问用命令3，有其的响应3的应答。接下来，产生被让待机的文件访问用命令4，有其的响应4的应答。作为整体，在存储设备1014收发的命令和响应，例如图14中的“所有的命令和响应”所示，按顺序为命令1、响应1、命令2、响应2、命令3、响应3、命令4、响应4。
如上所述，在本实施方式中所示的客户机1001，通过插入搭载了防篡改存储装置功能的存储设备1014远程操作服务器1000，可以构成能够对使用者安全并且使用性良好的任务系统。
此外，使用者即使从客户机1001变更为客户机1002，也能够以与使用客户机1001相同的操作感觉来进行任务执行，所以能够提高使用者的使用性。
另外，在使用者停止使用时，去除使用者所使用的临时存储文件，所以即使第3者相对客户机1001内的信息危险也可以安全地保护使用者的使用信息，很难泄漏包含来自切断了电源的客户机1001的使用者使用的机密信息或隐私的信息，由此可以提高使用者的便利性。
另外，在本实施方式中，记载了将客户机1001和服务器1000作为独立的结构，但是反之也可以将客户机1001和服务器1000的功能兼容，或使用服务器1000取代客户机1001。此外，记载了服务器1000、客户机1001、1002是例如PC、个人数字助理(Personal Digital Assistants(PDA))、工作站，但是同样可以是如下设备高性能复印机、现金自动支付机(ATM)、移动电话、数码照相机、录像机、音乐再生(录音)装置、贩卖点的商品管理系统、街头终端、智能传输系统(Intelligent Transport Systems(ITS))用发送机、售票机、付款终端、检票机、自动售货机、入退室管理装置、游戏机、公共电话、获取预定编写终端、电子钱包、付费播放接收机、医疗卡管理装置等。
(实施方式2)使用图7至图9，对本发明的安全远程访问系统的第2实施方式进行说明。
图7是本发明的第2实施方式的远程访问系统的示意图。
使用者使用的服务器1000和客户机1001、存储设备1014与在第1实施方式中所说明的一样。网关7000是进行客户机1001和服务器1000的通信加密以及使用者、使用设备认证的中继设备。
网关7000一般地被称作防火墙(fire wall)、加密网关、虚拟私人网络(virtual private network(VPN))网关等。在本实施方式中网关7000是作为安装了防火墙和加密通信功能的服务器设备进行说明，但是也可以是例如网络路由器、无线LAN访问点(access point)、网络集线器(network hub)、宽带路由器(broadband router)等。网络7001例如是因特网、地区IP网等公众线路，是比网络1006通信内容的窃听和改动危险性高的网络。客户机1001穿越网络7001对服务器1000远程操作，所以网络7000和客户机1001之间进行加密通信和用于进行加密通信的认证。
网关7000具有CPU7002、存储器7003、存储装置7004，在动作时，由CPU7002向存储器7003装载在存储装置7004内设定的加密通信和认证用应用程序来进行通信控制。网关7000直接与认证用服务器7005连接或者经由网络来连接。认证用服务器7005存储用网络进行加密通信时的认证信息，对网关7000的询问进行应答，或经由连接了的读写器7007进行存储设备1014的初始化、激活化、个人化等。认证用服务器7005也可以具有内部认证局，还可以具有管理外部认证局的证书列表、证书リボケ一ションリ スト并向网关7000通知的功能。
图8表示使用本实施方式的远程访问系统时的存储设备1014的初始化和使用者向客户机1001插入存储设备1014，在使用服务器1000时的管理者、使用者、存储设备1014、客户机1001、网关7000、服务器1000之间进行的通信的详细情况的示意图。
管理者向与认证服务器7005可以通信的读写器7007插入存储设备1014。管理者通过客户机1001向认证服务器7005登录使用者的姓名、用户号、电子邮件地址、存储设备固有的识别号等，由此由认证服务器7005作成使用者的认证信息。进行使用者的认证信息以及证书的作成和读入请求(8001)。这里，存储设备1014已经由存储设备供给者写入密钥证书存储程序2046等各种程序。此外，通过存储设备1014、或者认证服务器7005、或者用8001发送与管理者以其他方法生成的私钥对应的公钥，来获得使用者的公钥证书。向存储设备1014写入作成了的认证信息和公钥证书。接下来，管理者变更存储设备1014内的认证信息和控制密钥使用权用的信息(8003、8004)。通过该操作，存储设备1014变更针对签名请求、密钥改写请求、密钥的输入输出请求的使用权。使用权的变更是针对信息的访问密钥的变更、个人身份号码的变更。变更了的访问密钥、个人身份号码由管理者保管，或者存储在其他防篡改设备中，或者向使用者通知。
其次，管理者进行应用程序的写入请求，认证服务器7005进行应用程序的写入。这里所谓的应用程序是设备访问用库2012、设备管理用工具2013、设备驱动程序2014、接口处理程序2015、安装程序2016、远程操作终端用应用程序2017、加密通路构筑用应用程序2018、任务应用程序2019等。
接下来，管理者进行服务器连接测试请求(8007)，进行服务器连接测试(8008)。服务器连接测试8007确认在存储设备1014内记录的信息、应用程序的有效性。存储设备1014向使用者发送连接和任务执行处理正确地进行这一情况(8009)。此时，使用与存储设备1014也发送针对管理存储设备1014用信息的访问密钥、个人身份号码不同的其他封装文档等的方法来向使用者发送。
其次，使用者在开始使用客户机1001之前向客户机1001的读写器连接存储设备1014，该存储设备1014保存使用者的认证信息或用于使客户机1001动作的应用程序。使用者在不使用客户机1001时，使用者使用存储设备1014内的安装程序2016，向客户机1001安装例如设备驱动程序2014、设备管理工具2013、远程终端用应用程序2017等为了操作服务器1000所必须的信息或者应用程序。此时，不必由客尸机1001进行可以从存储设备1014直接执行的应用程序的安装。
使用者首先如序列8010所示，在客户机1001进行网关连接请求。客户机1001向网关7000进行服务器动作确认(8011)。可以针对来自网关7000的远程设备的注册来设定安全策略，但是在使用者的认证需要使用PKI的认证或者有可能需要时，进行来自网关7000的认证信息的请求(8012)、来自客户机1001的证书的请求(8013)、来自存储设备1014的证书的发送(8014)、来自客户机1001的签名的请求(8015)。在存储设备1014中进行签名时，需要使用者的认证。使用者的认证通过个人身份号码、密码、密码短语、一次性密码、指纹信息等生物体认证信息等来进行。在本实施例中示例了使用个人身份号码。在进行来自存储设备1014的个人身份号码请求(8016)之后，使用显示器1008等从客户机1001向使用者进行个人身份号码请求显示(8017)。在使用者经由用户接口1010和客户机1001向存储设备1014发送个人身份号码时(8018、8019)，在存储设备1014内的CPU2001或CPU2030中，作成对于从服务器1000、客户机1001发送的信息使用私钥2040中的一个或若干个的电子签名(8020)。将作成了的电子签名向客户机发送(8021)。客户机1001发送被做成为证书2010、2043等认证信息的签名(8022)。其次，服务器1000和客户机1001使用被称为私钥或公钥的互置的密钥信息，进行私钥公钥的密钥交换(8023)。该密钥的交换8023由加密通路构筑用应用程序2018来进行。在序列8023中，使用被交换了的私钥公钥，网关7000和客户机1001构筑加密通路，在两者之间将被通信的信息进行加密。
接下来，使用者如序列8030所示在客户机1001进行动作确认请求。在客户机1001向服务器1000进行服务器动作确认(8031)的使用者，不能确认服务器1000的动作时，在存储设备1014上的或者由安装程序2016在客户机1001上准备的局域网唤醒(wake up on LAN)来进行服务器1000的电源投入，该局域网唤醒例如使用从远程投入电源的局域网(LAN)来进行设备的电源投入。此时，服务器1000的仅针对网络的I/F始终通电，使用ID、密码的设置、网络板(network board)的MAC地址等任意的认证信息，来进行服务器1000的起动(8032、8033)。通过该操作来起动服务器1000(8034)。在服务器起动结束时，使用者向客户机1001输入注册(login)请求(8035)。该操作由客户机1001内的远程操作应用程序2017来执行。当没有安装远程操作应用程序2017时，在该时刻向客户机1001装载。针对来自服务器1000的远程设备的注册设定安全策略，但是在注册时，在使用者的认证需要或者有可能需要使用PKI的认证时，进行来自服务器1000的认证信息的请求，对服务器1000作成与8012～8013一样的签名并进行发送。在使用者在网关7000中通过强制的认证所以服务器1000可以信赖来自网关7000的通信时，进行注册请求8035时的服务器1000的认证也可以是ID和密码认证等简便的认证。
在加密通路构筑和服务器1000的注册结束的阶段，用户起动在服务器1000或客户机1001、存储设备1014上保存的应用程序，进行任务执行(8036)。
在任务执行中，CPU2002或CPU2030或服务器1000或客户机1001向之日信息2011、2042、3011追记信息，确切地监视使用者的任务执行。所记载的日志信息被实施了防改动处理，并被保存在存储设备1014、客户机1001内，但是在使用者开始使用时或使用结束时等适当的定时向服务器1000发送。
进行使用者使用的服务器1000的管理的管理者监察日志信息2011、2042、3011的信息和向服务器1000发送的信息，在使用者进行违反管理者所作成的策略的使用时，进行例如停止服务器1000或客户机1001或存储设备1014的使用那样的操作。策略的违反相当于例如日志的改动、异常的使用时间、异常的通信量、经由网络1006的异常访问、在客户机1001内存在的异常文件的检测、文件或应用程序升级的缺陷等。所谓服务器1000或客户机1001停止存储设备1014的使用那样的操作，相当于向服务器1000和客户机1001禁止使用者的注册、电源切断、存储设备1014的闭塞等。所谓存储设备1014的闭塞例如是变更PIN验证程序2045使用的信息，使用者不能使用存储设备1014。使用者的任务等，在结束服务器1000的使用时，使用者对客户机1001进行服务器切断请求(8037)。从客户机1001向服务器1000发送服务器切换请求(8038)。服务器1000和客户机1001进行通话的切断8039。服务器1000在服务器1000上存储使用者的使用信息的日志(8040)，进行服务器1000的服务器电源切断。使用者如果不进行服务器切断请求8037，则不进行服务器电源切断8041。服务器电源切断还以8010以后的序列进行任务执行。
图9表示本实施方式中的远程访问系统的网络结构的方框图。在图中用9000表示的网络和与网络连接的设备的组，是使用者中心地使用网络和设备的组。网络和设备的组9000例如是使用者经常工作的办公室的局域网(LAN)和与LAN相连接的设备。在9000内，用户可以使用的服务器1000、客户机1002、部门服务器9001、PC9002、网关9006、7000、认证服务器7005中心地连接LAN9003。此外，用9010所表示的网络和与网络连接的设备的组，是在使用者出差等时使用的所属外的事业部等的WAN上的网络和设备的组。在9010内，用户可使用的客户机9008、网关9007以网络9005为中心进行连接。此外，在例如网络7001那样公司外的网络上经由路由器9004连接客户机1001。
这里，使用者通过携带存储设备1014移动，使用LAN上的客户机1002、WAN上的客户机9008、经由因特网与LAN9003连接的客户机1001，可以使用使用与LAN9003连接的服务器1000、部门服务器9001、PC9002。此时，在从LAN上的客户机1002、WAN上的客户机9008使用与LAN9003连接的服务器1000、部门服务器9001、PC9002时，在网关9007、9006中，不进行通信加密解密，在使用网关7000时，如果进行通信的加密解密，可以实现使用者的使用过程简略化，并且可以实现通信内容的隐匿。这里，所谓部门服务器9001表示设置在LAN上的网络服务器(web server)、邮件服务器(mailserver)、远程注册并进行运算的终端服务器(terminal server)等。PC9002表示通过使用者所属的部门共有等使用的共有资源管理用PC、出差者借出的PC等。
如上所述，本实施方式中所示的客户机1001，通过插入搭载了防篡改存储功能的存储设备1014，远程操作服务器1000、部门服务器9001、PC9002等，由此可以构成对使用者安全的、便于使用的任务系统。
另外，使用者即使从客户机1001变更成客户机1002、9008，在各种不同他的任务执行场所中，也能够以与使用客户机1001相同的操作感觉来进行任务执行，所以可以提高使用者的使用性。此外，记载了服务器1000、客户机1001、1002是例如PC、个人数字助理(Personal Digital Assistants(PDA))、工作站，但是同样可以是如下设备高性能复印机、现金自动支付机(ATM)、移动电话、数码照相机、录像机、音乐再生(录音)装置、贩卖点的商品管理系统、街头终端、智能传输系统(Intelligent Transport Systems(ITS))用发送机、售票机、付款终端、检票机、自动售货机、入退室管理装置、游戏机、公共电话、获取预定编写终端、电子钱包、付费播放接收机、医疗卡管理装置等。
(实施方式3)使用图10对本发明的安全远程访问系统的第3实施方式进行说明。
图10是本发明第3实施方式的远程访问系统的示意图。
使用者使用的服务器10000是具有与服务器1000同等功能的多个服务器(PC)的集合体。服务器10000通过分别在服务器10032、10042、……10052上的、CPU10030、10040、……10050、存储器10031、10041、……10051来动作。在图10中，使用者使用服务器10032，将在CPU10030上执行的信息输出到显示器1008并执行任务。服务器10000使用切换器10004，选择与服务器10032、10042、……10052连接的用户接口10003和显示器10002。此外，服务器10000连接控制装置10001、控制装置10001与网络1005连接，与服务器10000一样地具有存储设备1014，并可以被合适的使用者使用。这里，在使用者使用服务器10032、10042、……10052中的任意一个时，控制装置10001向客户机通知服务器10032、10042、……10052的电源管理、电源的接通断开、状态。特别地，在从客户机1001向服务器10032、10042、……10052的通信不通时，使用者在控制装置10001中注册，确认服务器10032、10042、……10052的状态，或接通断开电源。在控制装置10001内安装硬盘、闪速存储器等服务器引导用存储装置，使用该存储装置上的数据引导服务器10032～10052。由此，减少使用者的服务器管理的工时。
如上所述，由插入搭载了防篡改存储功能的存储设备1014的客户机1001，来使用本实施方式中所示的服务器10000和控制装置10001，由此，服务器10000，具有在一个筐体内部具有多个类似功能的服务器的特征，因此可以削减管理者的服务器10032、10042、……10052的管理工时。此外，使用者通过使用控制装置10001可以容易地进行服务器的电源管理，所以可以提高使用者的使用便利性。
(实施方式4)使用图1、图15、图16对本发明的安全远程访问系统的第4实施方式进行说明。本实施方式对使用安全远程访问系统的使用者，在经由例如较多的人使用的公众客户机来执行任务时有效。
一般地，在公众的客户机上保存有用于某个人或多数使用者使用的应用程序或个人的设定信息等。在本实施方式中提供一种安全远程访问系统，该系统不将这些应用程序、个人设定信息安装或保存在客户机1001内部的存储装置3002中。并且，提供一种安全远程访问系统，其通过减轻使用者的操作量来提高便利性。
图15是表示本发明第4实施方式中的存储设备1014的详细情况的方框结构图。在本实施例中，向第1实施例中的存储设备1014内部的存储装置1017中新追加引导程序15001和操作系统程序15002。引导程序15001是在起动客户机1001时，由其BIOS(Basic Input/Output System)最初执行的程序，具有起动客户机1001用的操作系统的功能。操作系统程序15002是由所述引导程序15001从存储设备1014向客户机1001内部的存储器3001读入并起动的客户机1001用操作系统的程序。
使用者使用的服务器1000和客户机1001、1002与第1实施例中说明的相同。
图16表示使用者向客户机1001插入如图15所示的存储设备1014，在使用服务器1000时的使用者、存储设备1014、客户机1001、服务器1000间进行的通信的详细情况的示意图。在使用者起动客户机之前，需要将保存了使用者的认证信息、用于起动客户机1001的引导程序、操作系统、应用程序等的存储设备1014，与客户机1001的读写器1012连接。此外，需要重新设定客户机1001的BIOS，以使通过读写器1012检测引导程序优先于通过存储装置3002检测出的。与第1实施例的不同之处在于，在使用者不使用客户机1001时，使用者也不需要向客户机1001的存储装置3002安装例如设备驱动程序2014、设备管理工具2013、远程终端用应用程序2017那样的操作服务器1000所必要的信息或应用程序。
使用者首先如序列16001所示投入客户机1001的电源。由此，客户机1001的BIOS起动(16002)，向存储设备1014请求引导程序15001(16003)。据此存储设备1014来发送引导程序15001(16004)。客户机1001的BIOS执行引导程序15001并开始引导处理(16005)。在引导处理中，由引导程序15001向存储设备1014请求操作系统程序15002(16006)。据此存储设备1014发送操作系统程序15002(16007)。操作系统程序15002在客户机1001内部的存储器3001上读入并起动(16008)。此后，可以在高操作系统中读入在存储设备1014中存储的应用程序、库、驱动程序、管理工具等(2012～2019)，并进行动作。在操作系统程序15002中记述例如操作系统起动后自动地执行特定的应用程序。由此，客户机1001向存储设备1014请求远程操作应用程序2017和加密通路构筑用应用程序2018以及执行这些所必须的库、驱动程序等(16009)。据此存储设备1014发送这些应用程序(16010)。
在这些应用程序中，预先记述了使用者想要连接的服务器的IP地址。客户机1001自动地向这些IP地址的服务器1000进行动作确认(16012)。在客户机1001不能确认服务器1000的动作时，使用例如局域网唤醒那样的功能来进行服务器1000的电源投入。此时，服务器1000的只针对网络的I/F始终通电，使用ID和密码的设置、网络板的MAC地址等任意的认证信息来请求服务器1000的起动(16013)。由此，服务器1000起动(16014)。在服务器起动结束时，从客户机向服务器1001自动地进行注册请求(16015)。针对来自服务器1000的远程设备的注册设定安全策略，但是在注册时，在需要或者可能需要在使用者的认证中使用公钥基础结构(infrastructure)(PKI)的认证时，进行如下动作从服务器1000向客户机1001请求认证信息(16016)、从客户机1001向存储设备1014请求证书(16017)、从存储设备1014向客户机1001发送证书(16018)、从客户机1001向存储设备1014请求签名(16019)。
在存储设备1014中进行签名时，就需要使用者的认证。使用者的认证由个人身份号码、密码、密码短语、一次性密码(one time password)、指纹信息等生物体信息等来进行。
在本实施方式中演示了使用个人身份号码的例子。在进行来自存储设备1014的个人身份号码请求(16020)之后，使用显示器1008等进行从客户机1001向使用者请求显示个人身份号码16021。使用者经由用户接口1010和客户机1001向存储设备1014发送个人身份号码时(16022、16023)，对于在存储设备1014内的CPU2001或者CPU2030中从服务器1000、客户机1001发送的信息，作成使用私钥2040中的一个或者多个的电子签名(16024)。向客户机发送作成了的签名(16025)。客户机1001进行签名的发送(16026)，该签名被作成为证书2010、2043等认证信息。
其次，服务器1000和客户机1001使用被称为私钥和公钥的互置的密钥信息和证书，进行私钥公钥的密钥交换(16027)。通过远程操作终端用应用程序2017或加密通路构筑用应用程序2018来进行该密钥交换16027。使用在序列16027中交换了的私钥公钥，服务器1000和客户机1001构筑加密通路，将在两者之间通信的信息加密。在构筑加密通路的阶段，用户起动在服务器1000、客户机内的存储器3001、或者存储设备1014上保存的应用程序，执行任务(16028)。
任务结束后，客户机1001如图5的序列4021～4025所示切断与服务器1000的通信，使用者切断客户机1001的电源，从读写器1012拔取存储设备1014。由此，存储器3001上的信息易失，所以在客户机1001内部不残留使用者使用了的应用程序、个人信息等一切。由此，在使用了公众客户机的安全远程访问系统中，保护使用者的隐私。
此外，使用者自身在存储设备1014内管理在客户机1001上动作的操作系统程序，所以也可以避免在客户机中安装的操作系统中利用第3者秘密设置的计算机病毒等非法程序来盗听使用者的个人身份号码等危险。由此，在使用公众客户机的安全远程访问系统中，可以保护使用者的安全。
另外，如图16所示，从使用者开始客户机1001的使用到连接任务对象服务器1000为止的过程是由引导程序15001和操作系统程序15002自动地进行，所以使用者地操作只是电源投入16001和个人身份号码发送16022。由此，对于使用者可以提高安全远程访问系统的便利性。
(实施例5)第5实施例在以下情况很有效，即，使用第4实施例中的安全远程访问系统的使用者，通过能够信任安全性的客户机执行任务的情况。
第4实施例中的安全远程访问系统从存储设备1014读出在客户机1001上动作的操作系统。但是，在使用者不使用公众客户机那样的不能保证安全性的客户机，而使用本身具有的PC或租借办公室或出差地所管理的办公室的办公室的PC那样的可以信任其安全性的客户机的情况下，也可以不从存储设备1014读出操作系统，而利用安装在客户机内的操作系统。
因此，本实施例的读写器1012具有选择起动模式的功能。具体地讲，如图17A所示，安装有机械的开关。该开关能够在可以从存储设备1014向客户机1001发送第4实施例中的引导程序15001，或不能发送之间进行切换。若通过该开关选择可以发送引导程序15001，安全远程访问系统如图16(即，如第4实施例)那样进行动作。
另一方面，在选择不能够发送引导程序15001的情况下，不是启动操作系统程序15002，而是起动安装在客户机内的操作系统，因此，安全远程操作系统如图5所示那样(即，如第1实施例所示)动作。图17A是表示该处理的图。使用者通过开关17000选择发送引导程序15001或者不发送引导程序15001。在选择不发送引导程序的情况下，从存储设备1014向客户机发送空数据(dummy data)17001。当空数据17001装载到客户机1001的存储器3001上时，BIOS由于通过存储设备1014起动操作系统失败，因此，代替上述操作系统而起动存储装置内的操作系统。
另外，使用该开关等切换单元也可以选择能否从存储媒体侧(包括读写器1012)发送程序15002。但是，在该情况下，引导程序从存储媒体侧发送到客户机中。在操作该切换单元设定成不发送操作系统程序的情况下，从存储媒体侧向客户机发送空数据。接受了空数据的引导程序，从在引导程序中预先设定的操作系统程序的读入目的地设备，读出操作系统程序。在该情况下，作为操作系统程序的读入目的地设备，可以是客户机1001内的存储装置3002，也可以是网络上的计算机上的存储装置。
另外，在图17A、B中，在拒绝来自存储媒体侧的引导程序的发送的情况下，而且，在装载了客户机侧的引导程序的情况下，与上述内容一样，根据该引导程序的内容，可以从自身设备或者其他设备的存储装置读出操作系统程序。
这种用于选择起动模式的机械开关也可以安装在存储设备1014中。一般地，在PC用的盘设备中，保存引导程序的区域是用最初的逻辑区域(logicalsector)地址表示的区域。通过利用该开关切换是否允许读出该区域的数据，可以控制引导程序15001的发送。结果，可以通过该开关选择起动模式。图17B是表示该处理的图。通过开关17002选择发送引导程序15001或发送空数据17003。当空数据17003装载到客户机1001的存储器3001上时，由于BIOS通过存储设备1014起动操作系统失败，因此，代替上述操作系统程序而起动存储装置3002内的操作系统。
作为选择起动模式的另一个方式，有通过由引导程序15001调查构成客户机1001的各种设备，来判断能够信任其作为安全的终端的方法。图17C是表示该处理的图。如果装载在存储器3001上的引导程序15001判断为不能信任客户机100，则将操作系统程序15002装载到存储器3001上并使其起动。如果判断为可以信任，则起动存储装置3002内的操作系统。另外，在调查客户机1001内的设备时，如果使用存储设备1014内的防篡改设备1016进行设备认证处理，则可以进一步保证可靠性。在该情况下，理想的是将设备认证处理程序、设备认证处理所需要的密钥或证书等预先保存到防篡改设备1016内的存储装置2032内，根据来自引导程序15001的指示，存储设备1014内的CPU2030实施设备认证处理。引导程序15001调查构成客户机1001的各种设备的方法例如是引导程序15001调查或验证分配给处于客户机1001内或与客户机1001连接的CPU、存储器、存储设备、网卡等的制造序号，或者MAC地址那样的序号和部件一一对应的序号或证书。该序号或证书由各CPU、存储器、存储设备、网卡的制造商或者客户机、部件制造商、管理者等进行序号的赋予。
在图17C中，作为选择起动模式的另一个方法，也可以是调查存储装置3002内的操作系统是否加密或是否为设置了密码的状态，然后将操作系统程序15002抓高呢在到存储器3001上并使其起动。在该情况下，上述的设备认证由存储媒体侧的CPU2030进行，存储装置3002内的操作系统是否加密或是否为设置了密码的状态的调查由客户机侧的CPU3000进行。
图18是用于说明使用图17C所说明的第5实施例的操作系统进行起动时时的动作的流程图。
引导程序起动后(18000)，通过上述方法，从存储媒体向客户机1001安装的引导程序15001，收集设备认证所必须的信息并向CPU2030发送，用该CPU2030判定是否成功地进行设备认证(18001)。
在判定结果是认证成功(YES)时，判定存储装置3002是否是由于密码锁定等锁定功能或加密功能而导致在没有密码等信息的输入时就不能读取在内部存储的操作系统等数据(18002)。
接下来，判定能否从存储设备1014取得认证信息(18003)。在18003的判定为失败时(NO)，进行画面显示以催促由使用者解除锁定或加密的信息输入，向CPU3000和存储装置3002发送输入(18004)。在18003的判定是成功(YES)或结束18004的动作时，存储装置3002使用所获取的信息，进行例如密码的比较等，在内部存储的信息是否与获取的信息一致的检查(18005)。如果所接收的信息检查合格(YES)，则使用者被证明具有存储装置3003的正当使用权，因此，可以使用保存在存储装置3002内部的操作系统程序15002或其他的数据。从而，使用存储设备3002进行操作系统的起动(18006)，操作系统的起动结束(18007)。在18002的判定为失败(NO)的情况下，由于没有被锁定或加密，因此使用存储设备3002进行操作系统的起动(18006)，结束操作系统的起动(18007)。在18005的判定为失败(NO)的情况下，或者，在18001的判定为失败(NO)的情况下，将操作系统程序15002装载到存储器3001并进行起动(18008)，操作系统的起动结束(18009)。
另外，在图17C中，根据认证的判断结果进行操作系统的读入目的地的切换的单元，可以是开关那样的机械单元，也可以是控制器与总线组合的软件手段。
如上所述，通过使用在实施例5中所示出的存储设备和读写器以及客户机，来判定客户机是否可以信赖、或者客户机内的操作系统和存储装置能否利用等，从而能够适当地选择使用者应该使用的引导程序或操作系统程序，可以提高使用者使用客户机时的安全性。另外，通过选择应该自动起动的操作系统或输入认证信息，可以提供提高了使用者的便利性的安全远程访问系统。
上述说明对实施例进行了说明，但是本发明并不陷于此，在本发明的精神和附加的权利要求的范围内，本领域的人员可以进行各种变更和修改。
权利要求
1.一种远程访问系统，其特征在于，包括服务器；客户机，其经由在与所述服务器之间构筑的通路，对所述服务器进行远程访问；存储媒体，其具有存储所述通路的构筑和用于进行所述远程访问的认证信息的防篡改存储器区域、存储在起动所述客户机时执行的引导程序的非易失性存储器区域，所述存储媒体具有公共的接口，该接口用于所述客户机访问所述防篡改存储器区域和所述非易失性存储器区域，所述客户机经由所述存储媒体的所述公共的接口，访问所述非易失性存储器区域和所述防篡改存储器区域，通过执行在所述存储媒体中存储的所述引导程序，开始起动处理，在所述客户机的起动后，使用在所述非易失性存储器区域中存储的程序和在所述防篡改存储器区域中存储的所述认证信息，在与所述服务器之间构筑所述通路，经由所述通路，远程访问所述服务器。
2.根据权利要求1所述的远程访问系统，其特征在于，在经由所述存储媒体的所述公共的接口进行向所述非易失性存储器区域的访问和向所述防篡改存储器区域的访问竞争时，所述客户机控制该竞争。
3.根据权利要求2所述的远程访问系统，其特征在于，所述存储媒体存储在所述客户机的起动中使用的操作系统程序，具有开关，其设定是使用所述操作系统程序起动所述客户机、还是不使用所述操作系统程序起动所述客户机。
4.根据权利要求1所述的远程访问系统，其特征在于，所述客户机具有显示单元，在所述起动后，在所述显示单元中显示请求构筑所述通路时所必须的认证信息的输入的画面。
5.根据权利要求3所述的远程访问系统，其特征在于，在将所述开关设定成不使用在所述存储媒体中存储的所述操作系统程序地起动所述客户机时，所述客户机，通过从所述存储媒体获得所述设定，执行在该客户机中预先存储的操作系统程序代替在所述存储媒体中存储的所述操作系统程序，进行所述起动。
6.根据权利要求2所述的远程访问系统，其特征在于，所述存储媒体经由所述存储媒体的读写器连接所述客户机，存储在所述客户机的起动中使用的操作系统程序，所述读写器具有开关，该开关设定是使用所述操作系统程序起动所述客户机、还是不使用所述操作系统程序起动所述客户机。
7.根据权利要求1所述的远程访问系统，其特征在于，所述客户机，将在所述客户机的起动中使用的操作系统程序存储在所述客户机的存储装置中，执行在所述存储媒体中存储的引导程序，判断所述客户机所具有的存储装置是否被设定访问限制，在被设定所述访问限制，使用在所述存储媒体中存储的所述认证信息能够解除所述访问限制时，解除所述访问限制并执行在所述存储装置中存储的操作系统程序，由此来起动。
8.根据权利要求7所述的远程访问系统，其特征在于，所述存储媒体存储在所述客户机的起动中使用的操作系统程序，所述客户机，在不能解除所述访问限制时，执行在所述存储媒体中存储的操作系统程序，由此来起动。
全文摘要
本发明提供一种安全远程访问系统，该系统是在使用者从不特定的客户机对服务器进行加密通信的同时进行访问、并进行任务执行的系统，该系统利用内置了防篡改设备的存储设备作为使用者的认证设备，由此提高使用者的便利性。本发明还提供一种服务器客户机系统，该系统向使用者分配搭载了已认定的防篡改设备的存储设备，使用者将存储设备与不特定的客户机连接，使用存储设备内的认证信息和应用程序来远程操作服务器，由此可以提高使用者的使用便捷性，结果可以在办公场所内外无缝地使用任务执行功能，并且可以减少在所操作的客户机内残留的机密信息，由此提供一种可以提高用户的客户机在使用时的安全性和便利性的远程访问系统。
文档编号G06F9/445GK101018127SQ20061006669
公开日2007年8月15日 申请日期2005年1月20日 优先权日2004年1月21日
发明者加藤崇利, 水岛永雅, 常广隆司, 萱岛信, 仲川和志 申请人:株式会社日立制作所