终端认证和登记系统、终端认证和登记方法以及存储介质的制作方法
【技术领域】
[0001 ] 本发明涉及对执行远程桌面连接的终端进行认证和登记(以下,也称为“认证和登记”)的终端认证和登记系统、终端认证和登记方法以及存储介质。
【背景技术】
[0002]伴随着平板电脑、智能手机等智能设备的普及,存在针对允许用户将他们自己的移动终端连接至公司通信网络来使用自有装置(BYOD)进行工作的日益增长的需要。与此同时,为了将BYOD引入公司,公司需要管理通过个人智能设备向公司系统的连接。使用远程桌面技术(或精简客户端(thin-client)技术),用户可以从终端与PC(个人计算机,以下称为“PC”)连接以进行他/她的工作。由于远程桌面技术允许用户不在他/她的终端保存任何工作应用程序或文件而进行他/她的工作,该技术与BYOD匹配良好。
[0003]PTL I公开了一种精简客户端系统,其无需修改认证软件,而可以在精简客户端终端以及多个虚拟PC通过使用认证装置执行认证。
[0004]PTL 2涉及一种由主机装置使用以认证终端装置的技术,并公开了一种同时认证用户和终端装置以同时执行用户认证和终端装置认证的装置。
[0005]引文列表
[0006]专利文献
[0007]PTL I日本未审专利申请公开N0.2002-259001
[0008]PTL 2日本未审专利申请公开N0.2008-166927
【发明内容】
[0009]技术问题
[0010]在远程桌面技术中,在建立从终端到PC的连接时,针对执行连接的终端的用户而不是针对该终端来执行认证。然而,为了将BYOD引入公司,从安全角度考虑,公司有必要管理执行这种连接的终端。为了管理执行这种连接的终端,需要结合远程桌面技术来使用与远程桌面技术不同的网络认证技术。然而,这会存在增加的系统复杂度、成本和用户使用难度的问题。
[0011]PTL I和PTL 2的技术,是针对认证尝试与主机计算机建立连接的特定终端,并且不用于认证并登记新的未知终端。
[0012]本发明主要目的在于:在远程桌面系统中认证并登记用户和终端,而不增大系统的复杂度、成本和用户使用难度中的任意一个。
[0013]问题的解决方案
[0014]根据本发明第一方面的终端认证和登记系统,其特征在于所述系统包括:
[0015]目的计算机,能够认证用户终端的远程桌面连接;以及
[0016]终端登记装置,被配置为登记所述终端与所述目的计算机之间的远程桌面连接;
[0017]所述目的计算机包括:
[0018]用户信息获取部件,用于获取识别所述用户的用户信息;
[0019]用户认证部件,用于参照指示允许登录所述目的计算机的用户的认证信息,确定是否允许所述用户信息指示的用户登录所述目的计算机;
[0020]终端信息获取部件,用于从所述终端获取识别所述终端的终端信息;
[0021]第一白名单存储部件,用于存储白名单,在所述白名单中登记允许远程桌面连接的所述用户、所述终端以及所述目的计算机的组合的名单;
[0022]连接许可确定部件,用于在所述用户认证部件确定允许所述终端信息所指示的用户登录至所述目的计算机时,参照所述白名单,确定是否允许由所述用户信息指示的用户在由所述终端信息指示的所述终端与所述目的计算机之间的远程桌面连接;
[0023]请求信息生成部件,用于在所述连接许可确定部件确定不允许所述远程桌面连接时,基于所述用户信息、所述终端信息以及识别所述目的计算机的计算机信息,生成请求信息,所述请求信息用于请求将所述用户、所述终端及所述目的计算机的组合登记到白名单中;以及
[0024]请求信息发送部件,用于将所述请求信息生成部件所生成的所述请求信息发送给所述终端登记装置;
[0025]所述终端登记装置包括:
[0026]第二白名单存储部件,用于存储所述白名单;
[0027]条件信息存储部件,用于存储条件信息,所述条件信息指示用于确定是否向所述白名单登记所述用户、所述终端及所述目的计算机的组合的条件;
[0028]请求信息接收部件,用于从所述目的计算机接收所述请求信息;
[0029]登记部件,用于参照所述条件信息,基于所述请求信息接收部件接收到的所述请求信息,确定是否将所述用户、所述终端与所述目的计算机的组合登记到所述白名单中,并且在确定登记所述组合时,通过将所述用户、所述终端和所述目的计算机的组合登记到所述白名单中来更新所述白名单;以及
[0030]许可信息发送部件,用于在所述登记部件确定为登记所述组合时,将更新后的白名单发送给所述目的计算机;以及用于在所述登记部件确定不登记所述组合时,将指示不允许所述登记的错误信息发送给所述目的计算机,
[0031 ]所述目的计算机还包括:
[0032]许可信息接收部件,用于从所述终端登记装置接收所述错误信息和更新后的白名单,并在所述第一白名单存储部件中存储更新后的白名单;以及
[0033]错误信息输出部件,用于输出所述许可信息接收部件接收到的所述错误信息。
[0034]根据本发明第二方面的一种在终端认证和登记系统中执行的终端认证和登记方法,所述终端认证和登记系统包括能够认证用户终端的远程桌面连接的目的计算机,以及被配置为登记所述终端与所述目的计算机之间的远程桌面连接的终端登记装置。
[0035]所述方法包括由所述目的计算机执行的以下步骤:
[0036]用户信息获取步骤,用于获取识别所述用户的用户信息;
[0037]用户认证步骤,用于参照指示允许登录所述目的计算机的用户的认证信息,确定是否允许所述用户信息指示的用户登录所述目的计算机;
[0038]终端信息获取步骤,用于从所述终端获取识别所述终端的终端信息;
[0039]连接许可确定步骤,用于在所述用户认证步骤中确定允许所述终端信息所指示的用户登录所述目的计算机时,参照所述白名单,确定是否允许由所述用户信息指示的用户在由所述终端信息指示的所述终端与所述目的计算机之间的远程桌面连接,在所述白名单中登记有所述用户、所述终端以及所述目的计算机的组合的名单,所述组合中允许远程桌面连接;
[0040]请求信息生成步骤,用于在所述连接许可确定步骤中确定不允许所述远程桌面连接时,基于所述用户信息、所述终端信息以及识别所述目的计算机的计算机信息,生成请求信息,所述请求信息用于请求将所述用户、所述终端及所述目的计算机的组合登记到白名单中;以及
[0041]请求信息发送步骤,用于将所述请求信息生成步骤中所生成的所述请求信息发送给所述终端登记装置。
[0042]该方法还包括由终端登记装置执行的以下步骤:
[0043]请求信息接收步骤,用于从所述目的计算机接收所述请求信息;
[0044]登记步骤,用于基于所述请求信息接收步骤中接收到的所述请求信息,参照指示确定是否向所述白名单登记所述用户、所述终端及所述目的计算机的组合的条件的条件信息,确定是否将所述用户、所述终端和所述目的计算机的组合登记到所述白名单中,并且在确定登记所述组合时,通过将所述用户、所述终端和所述目的计算机的组合登记到所述白名单中来更新所述白名单;以及
[0045]许可信息发送步骤,用于在所述登记步骤中确定为登记所述组合时,将更新后的白名单发送给所述目的计算机;以及当确定不登记所述组合时,将指示不允许所述登记的错误信息发送给所述目的计算机。
[0046]该方法还包括由目的计算机执行的以下步骤:
[0047]许可信息接收步骤,用于从所述终端登记装置接收所述错误信息和所述更新后的白名单,并存储更新后的白名单;以及
[0048]错误信息输出步骤,用于输出在所述许可信息接收步骤中接收到的所述错误信息。
[0049]根据本发明第三方面的一种记录有程序的计算机可读存储介质,其特征在于所述计算机程序使所述计算机充当:
[0050]用户信息获取部件,用于获取识别用户的用户信息;
[0051]用户认证部件,用于参照指示允许登录目的计算机的用户的认证信息,确定是否允许所述用户信息指示的用户登录所述目的计算机;
[0052]终端信息获取部件,用于从所述用户的终端获取识别所述终端的终端信息;
[0053]白名单存储部件,用于存储白名单,在所述白名单中登记有所述用户、所述终端以及所述目的计算机的组合的名单,所述组合中允许远程桌面连接;
[0054]连接许可确定部件,用于在所述用户认证部件确定允许所述终端信息所指示的用户登录至所述目的计算机时,参照所述白名单,确定是否允许由所述用户信息指示的用户在由所述终端信息指示的所述终端与所述目的计算机之间的远程桌面连接;
[0055]请求信息生成部件,用于在所述连接许可确定部件确定不允许所述远程桌面连接时,基于所述用户信息、所述终端信息以及识别不允许所述远程桌面连接的所述目的计算机的计算机信息,生成请求信息,所述请求信息用于请求将所述用户、所述终端及所述目的计算机的组合登记到白名单中;
[0056]条件信息存储部件,用于存储条件信息,所述条件信息指示用于确定是否将所述用户、所述终端及所述目的计算机的组合登记至白名单的条件;
[0057]登记部件,用于参照所述条件信息,基于所述请求信息,确定是否将所述用户、所述终端与所述目的计算机的组合登记到所述白名单中,并且在确定登记所述组合时,通过将所述用户、所述终端和所述目的计算机的组合登记到所述白名单中来更新所述白名单;
[0058]错误信息生成部件,用于在所述登记部件确定不登记所述组合时,发送指示不允许所述登记的错误信息;以及
[0059]错误信息输出部件,用于输出所述错误信息。
[0060 ]根据本发明第四方面所述的一种终端认证装置,包括:
[0061]用户认证部件,用于获取识别用户的用户信息,并参照指示允许登录至所述自身装置的用户的认证信息,确定是否允许所述用户信息指示的用户登录至所述自身装置;
[0062]终端信息获取部件,用于从执行与所述自身装置的远程桌面连接的终端,获取识别所述终端的所述终端的信息;
[0063]第一存储部件,用于存储白名单,在所述白名单中登记所述用户、所述终端和目的计算机的组合的名单,所述组合中允许远程桌面连接,所述终端执行与所述目的计算机的远程桌面连接;
[0064]连接许可确定部件,用于在所述用户认证部件确定允许所述用户信息所指示的用户登录目的计算机时,参照