JP4530027B2 - コンピュータシステム - Google Patents

コンピュータシステム Download PDF

Info

Publication number
JP4530027B2
JP4530027B2 JP2007293832A JP2007293832A JP4530027B2 JP 4530027 B2 JP4530027 B2 JP 4530027B2 JP 2007293832 A JP2007293832 A JP 2007293832A JP 2007293832 A JP2007293832 A JP 2007293832A JP 4530027 B2 JP4530027 B2 JP 4530027B2
Authority
JP
Japan
Prior art keywords
authentication information
computer module
computer
address
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007293832A
Other languages
English (en)
Other versions
JP2009122789A (ja
Inventor
豊 平田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2007293832A priority Critical patent/JP4530027B2/ja
Priority to US12/268,570 priority patent/US8590009B2/en
Publication of JP2009122789A publication Critical patent/JP2009122789A/ja
Application granted granted Critical
Publication of JP4530027B2 publication Critical patent/JP4530027B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、コンピュータシステムにかかり、特に、ネットワークに接続された複数のコンピュータモジュールを備えたコンピュータシステムに関する。
基幹系システムに利用されるコンピュータシステムとして、演算部及び記憶部を備えてコンピュータとして機能する複数のCELLを搭載したサーバシステムが実現されている。なお、CELLは、例えば、パーソナルコンピュータのマザーボードに相当する演算装置を備えたベースボードである。また、CELL上では、当該CELL自身であるハードウェアを直接制御するファームウェア(以下、「BMCFW」と言う)が動作している。そして、上記CELLやBMCFWを管理するために、Webコンソールの利用が行われている。つまり、ユーザや保守員は、自己のコンピュータからネットワークを介して、各CELLにアクセスし、Webコンソール(例えば、操作画面)にて遠隔操作を行う。
ここで、図10を参照して、サーバシステムに対するアクセスの一例を示す。まず、ユーザ端末120は、ユーザが操作するコンピュータ(パーソナルコンピュータ)である。このユーザ端末120は、Webブラウザ121とSSHクライアント122とを備えている。Webブラウザ121は、インターネット上にあるWebサイトを閲覧するためのソフトウェアであり、一般的には、ユーザ端末121に予めインストールされている。また、SSHクライアント122は、リモートホストを遠隔で端末操作するためのソフトウェアであり、従来のTELNETの代替として利用されるものである。なお、このSSHクライアント122は、ユーザ端末120に通常はインストールされていないため、ユーザがSSHクライアント製品を選択して、ユーザ端末120にインストールする必要がある。
また、図10に示すサーバシステム110は、1つのサーバシステムである。そして、サーバシステム110は、CELL00からCELL07までの8つのCELLを搭載している。これらCELL00〜07は、1つ以上を束ねた状態で、OS(オペレーティングシステム)を動作させる。
そして、上記ユーザ端末120が、Webブラウザ121とCELL間のネットワークアクセスをセキュアに行うための一手法として、SSL(Secure Sockets Layer)接続がある。このSSL接続は、HTTPSを使ったWebサーバ認証と通信経路の暗号化を行うためのしくみである。そして、このSSL接続を実現するために、BMCFW内部にSSL証明書と呼ばれるデータが必要である。このため、図10では、例えば、SSL証明書をシステムの運用を開始する前に認証局から購入をし、すべてのCELL00〜07のBMCFWに1つずつSSL証明書をインストールしている。これにより、Webブラウザ121からのSSL接続時にSSL証明書が参照され、サーバシステムの正当性が検証される。なお、CELLに含まれるSSL証明書はすべて別種である。また、ネットワーク109は、CELL間をつなぐLAN(ローカルエリアネットワーク)網であり、当該ネットワーク109を使用し、CELL間での通信が行われる。
また、ユーザ端末120と、CELL00〜07とのセキュアなアクセスを実現する手段として、上記SSL接続の他に、SSH(Secure Shell)ポートフォワーディングを利用したHTTP over SSHと呼ばれるしくみもある。このHTTP over SSHは、SSH通信経路にHTTPプロトコルをのせて運ぶしくみであり、ポート転送やポートフォワーディングと呼ばれる。具体的には、上記SSHを利用した方法は、各CELLのBMCFWへSSHポートフォワーディング接続を行った上で、Webブラウザでローカルポートからの接続を行うことで(HTTP over SSHと呼ぶ)、セキュアにWebコンソールを利用する。なお、特許文献1に、ポートフォワーディングの参考例を示す。
特開2006−287692号公報
しかしながら、上記アクセス方法には、以下のような課題がある。まず、上述した、WebコンソールのSSL接続を行う場合には、サーバシステム提供者側が認証局からSSL証明書を購入する必要があり、当該SSL証明書をCELL単位で必要となる。従って、CELLの個数が多くなるハイエンドサーバにおいては、SSL証明書の導入および維持コストがかかり、また、設定に手間がかかる、という問題がある。
また、上述したSSHポートフォワーディングを利用してWebコンソールアクセスを行う場合には、ユーザのコンピュータにSSHクライアントソフトウェアをインストールする、という手間が生じる。さらに、各CELLが保持するSSHサーバの公開鍵の管理をユーザが行わなければならない、という保守上の手間がかかってしまう。
このため、本発明の目的は、上述した課題である、セキュアに、容易にアクセスが可能な利便性の高いコンピュータシステムを提供すること、にある。
そこで、本発明の一形態であるコンピュータシステムは、
少なくとも演算部及び記憶部を有するコンピュータモジュールを複数備えたコンピュータシステムであって、
少なくとも1つのコンピュータモジュールが、他のコンピュータモジュールと接続するための認証情報を記憶する認証情報記憶手段と、アクセスしてきた情報処理装置を認証して当該認証結果に基づいてアクセスを許容するアクセス認証手段と、アクセスを許容した情報処理装置と他のコンピュータモジュールとを認証情報記憶手段に記憶された認証情報に基づいて中継接続する中継接続手段と、を備えた、
という構成を採っている。
本発明は、以上のように構成されているため、セキュアに、容易にアクセスが可能な利便性の高いコンピュータシステムを提供することができる。
本発明の一形態であるコンピュータシステムは、
少なくとも演算部及び記憶部を有するコンピュータモジュールを複数備えたコンピュータシステムであって、
少なくとも1つのコンピュータモジュールが、他のコンピュータモジュールと接続するための認証情報を記憶する認証情報記憶手段と、アクセスしてきた情報処理装置を認証して当該認証結果に基づいてアクセスを許容するアクセス認証手段と、アクセスを許容した情報処理装置と他のコンピュータモジュールとを認証情報記憶手段に記憶された認証情報に基づいて中継接続する中継接続手段と、を備えた、
という構成を採る。
これにより、まず、特定のコンピュータモジュールは、情報処理装置からのアクセスに応じて認証し、この認証結果に応じてアクセスを許容する。そして、特定のコンピュータモジュールは、認証情報記憶手段に記憶している認証情報を用いて他のコンピュータモジュールに接続する。その後、情報処理装置と他のコンピュータモジュールとの接続を中継する。これにより、情報処理装置は、特定のコンピュータモジュールを介して、セキュアに他のコンピュータモジュールと接続する。従って、各コンピュータモジュールに、事前に認証用のSSL証明書などの認証情報を登録する必要がない。また、情報処理装置にSSHクライアントソフトなどのセキュアな接続を実現する手段を組み込む必要が無く、さらには、情報処理装置にて各コンピュータモジュールにアクセスする公開鍵などの認証情報を管理する必要が無い。従って、セキュアに、容易にアクセスが可能な利便性の高いコンピュータシステムを提供することができる。
また、本発明では、上記コンピュータモジュールが、他のコンピュータモジュールから認証情報を収集して認証情報記憶手段に記憶する認証情報収集手段を備えた、という構成を採る。また、上記認証情報収集手段は、他のコンピュータモジュールの起動を検出したときに当該他のコンピュータモジュールから認証情報を収集する、という構成を採る。これにより、コンピュータモジュールが、接続された他のコンピュータモジュールの認証情報を自動的に収集して記憶する。その結果、コンピュータモジュールに認証情報を格納する処理が容易となり、また、コンピュータモジュールを追加した場合や変更した場合にも対応可能である。
また、本発明では、上記中継接続手段は、アクセスを許容した情報処理装置と他のコンピュータモジュールとを、暗号化された通信経路を用いたポートフォワーディングにて中継接続する、という構成を採る。また、複数のコンピュータモジュール間をローカルネットワークにて接続した、という構成を採る。これにより、情報処理装置とコンピュータモジュールとの接続や、コンピュータモジュール間における認証情報の送信を、よりセキュアに行うことができる。
また、本発明では、上記コンピュータモジュールが、認証情報記憶手段に記憶された情報を他のコンピュータモジュールに配布する認証情報配布手段を備えた、という構成を採る。これにより、認証情報記憶手段に記憶された他のコンピュータモジュールと接続するための認証情報を、別のコンピュータモジュールが取得することができる。すると、別のコンピュータモジュールは、上述同様に、情報処理装置を他のコンピュータモジュールに中継接続することができる。従って、中継接続するコンピュータモジュールの切り替えが容易となる。
また、本発明の他の形態は、
他のコンピュータモジュールに接続された、少なくとも演算部及び記憶部を有するコンピュータモジュールであって、
他のコンピュータモジュールと接続するための認証情報を記憶する認証情報記憶手段と、アクセスしてきた情報処理装置を認証して当該認証結果に基づいてアクセスを許容するアクセス認証手段と、アクセスを許容した情報処理装置と他のコンピュータモジュールとを認証情報記憶手段に記憶された認証情報に基づいて中継接続する中継接続手段と、を備えた、という構成を採る。
そして、上記コンピュータモジュールは、他のコンピュータモジュールから認証情報を収集して認証情報記憶手段に記憶する認証情報収集手段を備えた、という構成を採る。また、認証情報収集手段は、他のコンピュータモジュールの起動を検出したときに当該他のコンピュータモジュールから認証情報を収集する、という構成を採る。また、上記中継接続手段は、アクセスを許容した情報処理装置と他のコンピュータモジュールとを、暗号化された通信経路を用いたポートフォワーディングにて中継接続する、という構成を採る。また、上記コンピュータモジュールは、他のコンピュータモジュールとローカルネットワークで接続されている、という構成を採る。さらに、上記コンピュータモジュールは、認証情報記憶手段に記憶された情報を他のコンピュータモジュールに配布する認証情報配布手段を備えた、という構成を採る。
さらに、本発明の他の形態であるプログラムは、
他のコンピュータモジュールと接続された、少なくとも演算部及び記憶部を有するコンピュータモジュールに、アクセスしてきた情報処理装置を認証して当該認証結果に基づいてアクセスを許容するアクセス認証手段と、アクセスを許容した情報処理装置と他のコンピュータモジュールとを、予め記憶された他のコンピュータモジュールと接続するための認証情報に基づいて中継接続する中継接続手段と、を実現させる、という構成を採る。
また、上記プログラムは、コンピュータモジュールに、他のコンピュータモジュールから認証情報を収集して記憶する認証情報収集手段、をさらに実現させる、という構成を採る。また、上記認証情報収集手段は、他のコンピュータモジュールの起動を検出したときに当該他のコンピュータモジュールから認証情報を収集する、という構成を採る。
また、本発明の他の形態である中継接続方法は、
少なくとも演算部及び記憶部を有するコンピュータモジュールが、アクセスしてきた情報処理装置を他のコンピュータモジュールに中継接続する中継接続方法であって、
アクセスしてきた情報処理装置を認証して当該認証結果に基づいてアクセスを許容するアクセス認証工程と、
アクセスを許容した情報処理装置と他のコンピュータモジュールとを、予め記憶している他のコンピュータモジュールと接続するための認証情報に基づいて中継接続する中継接続工程と、
を有する、という構成を採る。
また、上記中継接続方法は、少なくとも中継接続工程の前に、他のコンピュータモジュールから認証情報を収集して記憶する認証情報収集工程を有する、という構成をとる。また、上記認証情報収集工程は、他のコンピュータモジュールの起動を検出したときに当該他のコンピュータモジュールから認証情報を収集する、という構成を採る。また、中継接続工程は、アクセスを許容した情報処理装置と他のコンピュータモジュールとを、暗号化された通信経路を用いたポートフォワーディングにて中継接続する、という構成を採る。さらに、上記中継接続方法は、記憶された認証情報を他のコンピュータモジュールに配布する認証情報配布工程を備えた、という構成を採る。
上述した構成のコンピュータモジュール、プログラム、中継接続方法の発明であっても、上記コンピュータシステムと同様に作用するため、上述した本発明の目的を達成することができる。
<実施形態1>
本発明の第1の実施形態を、図1乃至図9を参照して説明する。図1は、サーバシステムの全体構成を示すブロック図であり、図2は、CELLの構成を示すブロック図である。図3は、CELLが収集したCELLデータの一例を示す図である。図4乃至図5は、サーバシステムの動作を示す説明図であり、図6乃至図7は、フローチャートである。図8乃至図9は、CELLの構成の変形例を示すブロック図である。
[構成]
図1に示すように、本実施形態におけるサーバシステム10は、CELL(0)からCELL(7)までの8つのCELLを搭載しており、これにより、1つのサーバシステムを構成している。また、各CELL0〜7は、LAN(ローカルエリアネットワーク)などのネットワーク9を介して相互に接続されており、CELL間で通信可能となっている。そして、上記CELL0〜7は、1つ以上を束ねた状態でOS(オペレーティングシステム)を動作させることで、サーバシステム10自体が基幹系システムに利用されるコンピュータシステムとして作動する。なお、サーバシステム10に搭載されるCELLの数は、上述した数に限定されない。
また、上記サーバシステム10の所定のCELLをユーザ(保守員等)が遠隔保守するために、当該ユーザが操作するユーザ端末20が接続されている。このユーザ端末20は、インターネット上にあるWebサイトを閲覧するために必要となるソフトウェアであるWebブラウザ21を備えている。そして、ユーザが特定のCELLを遠隔保守するために、当該Webブラウザ21を使用して、CELLのWebコンソール(例えば、操作画面)を利用することとなる。
続いて、上述したサーバシステム10を構成するCELL0〜7について説明する。CELL0〜7は、演算部及び記憶部を備えたコンピュータとして機能するコンピュータモジュールである。具体的には、パーソナルコンピュータのマザーボードに相当する演算装置を備えたベースボードである。また、CELL上には、当該CELL自身であるハードウェアを直接制御するファームウェア(以下、「BMCFW」と言う)が動作している。
また、本実施形態では、図5に示すように、CELL2がHTTPサーバとして機能しており、遠隔保守対象となっている。また、CELL0が、ユーザ端末20から直接アクセスを受けるCELLである。そして、ユーザ端末20は、CELL0を介してCELL2にアクセスして、当該CELL2のWebコンソールを利用することとなる。このため、CELL0は、ユーザ端末20をセキュアにCELL2に中継接続するために、以下のように構成されている。
CELL0は、図2に示すように、演算部に所定のプログラムが組み込まれることにより実現された、公開鍵収集部11と、SSL接続部12と、SSH接続部13と、を備えている。また、記憶部に、各CELLの公開鍵を含むデータであるCELLデータ14と、SSL接続の認証時に使用するSSL証明書15と、を記憶している。また、CELL0は、図5に示すように、CELL2へのハイパーリンクを示すURL16を有している。さらに、CELL0は、ユーザ端末20のURL16へのアクセスを、CELL2のHTTPサーバ18に転送するローカルポート17を備えている。以下、さらに詳述する。
上記公開鍵収集部11(認証情報収集手段)は、他のCELL1〜7にそれぞれ記憶されており、SSH接続するための認証情報である公開鍵を、各CELL1〜7からそれぞれ収集して、認証情報記憶手段としての記憶部にCELLデータ14として記憶する。この公開鍵収集部11は、具体的には、サーバコンピュータ10内に装着された各CELL1〜7が起動したことを検出して、当該起動時に、各CELL1〜7が有する公開鍵を取得する。なお、取得するデータは、公開鍵だけでなく、各CELL1〜7にそれぞれ割り当てられたIPアドレス、キータイプを表す情報も取得する。こうして収集して記憶したCELLデータ14の一例を図3に示す。この図に示すように、本実施形態では、CELLデータ14として、合計7つのCELL1〜7の「IPアドレス」と「公開鍵」及びその種別を表す文字列である「キータイプ」が記憶される。なお、CELLデータ14は、例えば、テキストファイルとして記憶される。
また、上記SSL接続部12(アクセス認証手段)は、Webブラウザ21にてアクセスしてきたユーザ端末20を、記憶しているSSL証明書15を用いてSSL認証する。そして、認証が成功すると、ユーザ端末20に対するアクセスを許容し、暗号化された通信経路を用いて、当該ユーザ端末20とセキュアなSSL接続を確立する。
また、上記SSH接続部13(中継接続手段)は、SSL接続が確立しているユーザ端末20がWebブラウザ21上で、CELL2へのURL16をクリックするなど選択されたことを検知すると、CELL2へのSSH接続を開始する。すると、SSH接続部13は、まず、ネットワーク9を介してCELL2の公開鍵を受信し、CELLデータ14に既に公開鍵が登録されているかを確認する。そして、登録されている場合に、CELL0とCELL2との間で、暗号化された通信経路を用いたSSHポートフォワーディングを確立する。具体的には、ユーザ端末20のWebブラウザ21からURL16へのアクセスを、ローカルポート17に引き渡す。すると、CELL0とCELL2との間では、SSHポートフォワーディングが確立されているため、ローカルポート17へのアクセスは、CELL2のHTTPサーバ18と通信することになる。その結果、ユーザ端末20のWebブラウザ21上に、CELL2のWebコンソールが表示される。なお、上述したSSH接続部13によるSSHポートフォワーディング(HTTP over SSH)は、CELL2に含まれるBMCFWが保持するSSHクライアントソフトウェアが組み込まれることによって実現される。
[動作]
次に、上記サーバシステム10の動作、特に、CELL0の動作を、図4乃至図5の説明図、及び、図6乃至図7のフローチャートを参照して説明する。はじめに、図4及び図6を参照して、CELL0が他のCELL1〜7から公開鍵を収集するときの動作を説明する。
まず、CELL0は、他のCELL1〜7の装着およびCELL1〜7上のBMCFWの起動を確認すると(図6のステップS1)、当該CELL1〜7の公開鍵を、図4の矢印に示すように、CELL間通信用のネットワーク9を介して受信する(図6のステップS2)。そして、受信した情報を、図3に示すように、CELLデータ14として、CELLの公開鍵とIPアドレス、キータイプを登録する(認証情報収集工程)。なお、CELLのIPアドレスは、公開鍵を受信したときにIPパケットの送信元アドレスを参照することで、取得可能である。また、キータイプは公開鍵の中に含まれている。ここで、上述した公開鍵の取得は、遅くとも後述するポートフォワーディングの前に行われていればよい。
ここで、上述した公開鍵の収集、及び、登録する処理は、まず、収集したデータに含まれるIPアドレスと同一のIPアドレスが、既にCELLデータ14に含まれているかどうかを調べる(図6のステップS3)。そして、同一のIPアドレスがCELLデータ14に含まれていない場合には(図6のステップS3でノー)、CELLデータ14内にCELLの公開鍵、IPアドレスなどの情報を新規登録する(図6のステップS6)。一方、同一のIPアドレスがCELLデータ14に含まれている場合には(図6のステップS3でイエス)、登録済みの公開鍵を更新する必要がある。このため、CELLデータ14内からIPアドレスを検索し(図6のステップS4)、該当するIPアドレスのCELLの公開鍵を更新する(図6のステップS5)。
続いて、ユーザがCELLの管理を行うために、CELL2のWebコンソールを利用するときの動作を、図5及び図7を参照して説明する。まず、ユーザは、Webブラウザ20を使用して、HTTPSサーバ(セキュアなHTTPサーバ)が稼動しているCELL0に、SSL接続を行う。つまり、CELL0は、アクセスしてきたユーザ端末20をSSL認証し、SSL接続する(図7のステップS11、図5の(1)、アクセス認証工程)。
続いて、ユーザがCELL2のWebコンソールを利用する場合、ユーザはCELL2へのアクセスを表すURL16をクリックする。すると、CELL0はCELL2へのSSH接続を開始する(図7のステップS12、図5の(3))。すると、CELL0は、まず、ネットワーク9を介して、CELL2の公開鍵を受信する(図7のステップS13)。そして、SSHポートフォワーディングを確立するために、CELLデータ14内にCELL2の公開鍵情報が登録されているかどうかを確認する(図7のステップS14)。
CELLデータ14内にCELL2の公開鍵情報が登録されている場合には(図7のステップS14でイエス)、CELL0とCELL2の間でSSHポートフォワーディングを確立する(図7のステップS15)。そして、ユーザ端末20のWebブラウザ21からURL16へのアクセスを、ローカルポート17へ引き渡す(図7のステップS16、図5の(2))。すると、CELL0とCELL2との間でSSHポートフォワーディングを確立されているため、ローカルポート17へのアクセスは、CELL2のHTTPサーバ18と通信することとなる(中継接続工程)。つまり、ユーザ端末20のWebブラウザ21上にCELL2のWebコンソールが表示されることになる(図7のステップS17)。
一方、CELLデータ14内にCELL2の公開鍵情報が登録されていない場合には(図7のステップS14でノー)、エラー処理を行う(図7のステップS18)。このエラー処理では、SSHポートフォワーディングの確立ができない旨のメッセージを、ユーザ端末20のWebブラウザ上に表示させる。
以上のように、本実施形態では、まず、ユーザ端末20とCELL0とがSSL接続によりセキュアに接続され、また、ユーザ端末20とCELL2とが、CELL0を介してSSHポートフォワーディングによりセキュアに接続されている。このため、Webサーバが複数稼動するサーバシステムにおいても、中継CELLに1つのSSL証明書を導入することで、すべての他のCELLに対してセキュアなWebアクセスを実現でき、SSL証明書の導入および維持コストを抑えることが可能となる。また、CELL0がSSH接続を行うために、ユーザ端末20にSSHクライアントソフトウェアを使用する必要がなく、また、ユーザがSSHサーバの公開鍵の管理を行う手間を省くことが可能となる。その結果、セキュアに、容易にアクセスが可能な利便性の高いコンピュータシステムを提供することができる。
なお、上記では、サーバシステム10が複数のCELL0〜7を備えて構成されている場合を例示したが、サーバシステム10は、CELLと同様に演算部及び記憶部を有するコンピュータモジュールとしてのサーバコンピュータを複数備えて構成されていてもよい。
[変形例]
ここで、上記CELL0の変形例を、図8乃至図9を参照して説明する。図8に示すCELL0は、上述したCELL0の構成に加え、さらに、所定のプログラムが組み込まれることによって実現されるCELLデータ配布部19を備えている。このCELLデータ配布部19(認証情報配布手段)は、他のCELL1〜7の鍵情報であるCELLデータ14を、当該他のCELL1〜7のうち、上述したCELL0のように中継CELLとなりうるCELLに対して配布する(認証情報配布工程)。すると、これを受け取ったCELLは、上述したSSHポートフォワーディングを実行することができる。つまり、上述したCELL0と同様に、ユーザ端末20と他のCELLとを中継接続することが可能となる。従って、中継CELLの切り替えが容易になると共に、切り替えた後に迅速にセキュアな接続を実行することができる。
なお、CELL0は、各CELLの公開鍵を予めCELLデータ14として記憶していてもよい。かかる場合には、CELL0は、図9に示すように、公開鍵収集部11を備えていなくてもよい。
本発明は、複数のコンピュータモジュールを備えて構成され、保守員などの端末からネットワークを介してアクセスされるコンピュータシステムに適用することができ、産業上の利用可能性を有する。
サーバシステムの全体構成を示すブロック図である。 CELLの構成を示すブロック図である。 CELLが収集したCELLデータの一例を示す図である。 サーバシステムの動作を示す説明図である。 サーバシステムの動作を示す説明図である。 サーバシステムの動作を示すフローチャートである。 サーバシステムの動作を示すフローチャートである。 CELLの構成の変形例を示すブロック図である。 CELLの構成の変形例を示すブロック図である。 サーバシステムの全体構成を示すブロック図である。
符号の説明
0,1,2,3,4,5,6,7 CELL
9 ネットワーク
10 サーバシステム
11 公開鍵収集部
12 SSL接続部
13 SSH接続部
14 CELLデータ
15 SSL証明書
16 URL
17 ローカルポート
18 HTTPサーバ
19 CELLデータ配布部
20 ユーザ端末
21 Webブラウザ

Claims (11)

  1. 少なくとも演算部及び記憶部を有するコンピュータモジュールを複数備えたコンピュータシステムであって、
    少なくとも1つの前記コンピュータモジュールが、他の前記コンピュータモジュールと接続するための認証情報を記憶する認証情報記憶手段と、アクセスしてきた情報処理装置を認証して当該認証結果に基づいてアクセスを許容するアクセス認証手段と、アクセスを許容した前記情報処理装置と前記他のコンピュータモジュールとを前記認証情報記憶手段に記憶された認証情報に基づいて中継接続する中継接続手段と、前記他のコンピュータモジュールから前記認証情報を収集して前記認証情報記憶手段に記憶する認証情報収集手段と、を備え、
    前記認証情報収集手段は、前記他のコンピュータモジュールの起動を検出したときに当該他のコンピュータモジュールから前記認証情報を収集する、
    ことを特徴とするコンピュータシステム。
  2. 前記認証情報収集手段は、前記他のコンピュータモジュールから前記認証情報と共に当該他のコンピュータのIPアドレスを取得して当該IPアドレスと前記認証情報とを収集した前記他のコンピュータモジュールのデータとして前記認証情報記憶手段に記憶し、前記他のコンピュータモジュールから取得した前記IPアドレスと同一のIPアドレスが既に前記認証情報記憶手段に記憶されている場合には、該当する前記IPアドレスと共に前記認証情報記憶手段に記憶されている前記認証情報を前記収集した認証情報に更新する、
    ことを特徴とする請求項1記載のコンピュータシステム。
  3. 前記中継接続手段は、アクセスを許容した前記情報処理装置と前記他のコンピュータモジュールとを、暗号化された通信経路を用いたポートフォワーディングにて中継接続する、
    ことを特徴とする請求項1又は2記載のコンピュータシステム。
  4. 前記複数のコンピュータモジュール間をローカルネットワークにて接続した、
    ことを特徴とする請求項1,2又は3記載のコンピュータシステム。
  5. 前記コンピュータモジュールが、前記認証情報記憶手段に記憶された情報を前記他のコンピュータモジュールに配布する認証情報配布手段を備えた、
    ことを特徴とする請求項1,2,3又は4記載のコンピュータシステム。
  6. 他のコンピュータモジュールに接続された、少なくとも演算部及び記憶部を有するコンピュータモジュールであって、
    前記他のコンピュータモジュールと接続するための認証情報を記憶する認証情報記憶手段と、アクセスしてきた情報処理装置を認証して当該認証結果に基づいてアクセスを許容するアクセス認証手段と、アクセスを許容した前記情報処理装置と前記他のコンピュータモジュールとを前記認証情報記憶手段に記憶された認証情報に基づいて中継接続する中継接続手段と、前記他のコンピュータモジュールから前記認証情報を収集して前記認証情報記憶手段に記憶する認証情報収集手段と、を備え、
    前記認証情報収集手段は、前記他のコンピュータモジュールの起動を検出したときに当該他のコンピュータモジュールから前記認証情報を収集する、
    ことを特徴とするコンピュータモジュール。
  7. 前記認証情報収集手段は、前記他のコンピュータモジュールから前記認証情報と共に当該他のコンピュータのIPアドレスを取得して当該IPアドレスと前記認証情報とを収集した前記他のコンピュータモジュールのデータとして前記認証情報記憶手段に記憶し、前記他のコンピュータモジュールから取得した前記IPアドレスと同一のIPアドレスが既に前記認証情報記憶手段に記憶されている場合には、該当する前記IPアドレスと共に前記認証情報記憶手段に記憶されている前記認証情報を前記収集した認証情報に更新する、
    ことを特徴とする請求項6記載のコンピュータモジュール。
  8. 他のコンピュータモジュールと接続された、少なくとも演算部及び記憶部を有するコンピュータモジュールに、
    アクセスしてきた情報処理装置を認証して当該認証結果に基づいてアクセスを許容するアクセス認証手段と、
    アクセスを許容した前記情報処理装置と前記他のコンピュータモジュールとを、予め記憶された他のコンピュータモジュールと接続するための認証情報に基づいて中継接続する中継接続手段と、
    前記他のコンピュータモジュールから前記認証情報を収集して記憶する認証情報収集手段と、を実現させると共に、
    前記認証情報収集手段は、前記他のコンピュータモジュールの起動を検出したときに当該他のコンピュータモジュールから前記認証情報を収集する、
    プログラム。
  9. 前記認証情報収集手段は、前記他のコンピュータモジュールから前記認証情報と共に当該他のコンピュータのIPアドレスを取得して当該IPアドレスと前記認証情報とを収集した前記他のコンピュータモジュールのデータとして記憶し、前記他のコンピュータモジュールから取得した前記IPアドレスと同一のIPアドレスが既に記憶されている場合には、該当する前記IPアドレスと共に記憶されている前記認証情報を前記収集した認証情報に更新する、
    ことを特徴とする請求項8記載のプログラム。
  10. 少なくとも演算部及び記憶部を有するコンピュータモジュールが、アクセスしてきた情報処理装置を他のコンピュータモジュールに中継接続する中継接続方法であって、
    アクセスしてきた情報処理装置を認証して当該認証結果に基づいてアクセスを許容するアクセス認証工程と、
    アクセスを許容した前記情報処理装置と前記他のコンピュータモジュールとを、予め記憶している他の前記コンピュータモジュールと接続するための認証情報に基づいて中継接続する中継接続工程と、を有すると共に、
    少なくとも前記中継接続工程の前に、前記他のコンピュータモジュールから前記認証情報を収集して記憶する認証情報収集工程を有し、
    前記認証情報収集工程は、前記他のコンピュータモジュールの起動を検出したときに当該他のコンピュータモジュールから前記認証情報を収集する、
    ことを特徴とする中継接続方法。
  11. 前記認証情報収集工程は、前記他のコンピュータモジュールから前記認証情報と共に当該他のコンピュータのIPアドレスを取得して当該IPアドレスと前記認証情報とを収集した前記他のコンピュータモジュールのデータとして記憶し、前記他のコンピュータモジュールから取得した前記IPアドレスと同一のIPアドレスが既に記憶されている場合には、該当する前記IPアドレスと共に記憶されている前記認証情報を前記収集した認証情報に更新する、
    ことを特徴とする請求項10記載の中継接続方法。
JP2007293832A 2007-11-13 2007-11-13 コンピュータシステム Expired - Fee Related JP4530027B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007293832A JP4530027B2 (ja) 2007-11-13 2007-11-13 コンピュータシステム
US12/268,570 US8590009B2 (en) 2007-11-13 2008-11-11 Computer system for port forwarding

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007293832A JP4530027B2 (ja) 2007-11-13 2007-11-13 コンピュータシステム

Publications (2)

Publication Number Publication Date
JP2009122789A JP2009122789A (ja) 2009-06-04
JP4530027B2 true JP4530027B2 (ja) 2010-08-25

Family

ID=40625014

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007293832A Expired - Fee Related JP4530027B2 (ja) 2007-11-13 2007-11-13 コンピュータシステム

Country Status (2)

Country Link
US (1) US8590009B2 (ja)
JP (1) JP4530027B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4736140B2 (ja) 2009-04-03 2011-07-27 日本電気株式会社 認証装置、サーバシステム、認証方法、認証プログラム
WO2013112015A1 (ko) * 2012-01-27 2013-08-01 삼성전자 주식회사 이동 통신 시스템 환경 에서 재난 메시지를 보안상 효율적으로 관리하는 방법 및 장치

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020095586A1 (en) * 2001-01-17 2002-07-18 International Business Machines Corporation Technique for continuous user authentication
JP2004334741A (ja) * 2003-05-12 2004-11-25 Nippon Telegr & Teleph Corp <Ntt> 中継装置およびそのプログラム
US20050028000A1 (en) * 2003-07-28 2005-02-03 Mallik Bulusu Method and apparatus for trusted blade device computing
JP2005321970A (ja) * 2004-05-07 2005-11-17 Hitachi Ltd コンピュータシステム
JP2005332373A (ja) * 2004-04-16 2005-12-02 Utstarcom Inc 疎結合されたスケーラブルの分散型マルチメディア・ストリーミング・システムのための方法および装置
JP2006501581A (ja) * 2002-10-09 2006-01-12 インテル コーポレイション サーバ管理コプロセッササブシステム内部のtcpaによる信頼性の高いプラットフォームモジュール機能のカプセル化
US20070192604A1 (en) * 2006-02-03 2007-08-16 Dell Products L.P. Self-authenticating blade server in a secure environment
US20070204332A1 (en) * 2006-02-24 2007-08-30 Dell Products L.P. Authentication of baseboard management controller users in a blade server system
JP2008517390A (ja) * 2004-10-21 2008-05-22 インターナショナル・ビジネス・マシーンズ・コーポレーション 保護された処理システムへの初期トラステッド・デバイスのバインディングの検証

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7127328B2 (en) * 1994-12-30 2006-10-24 Power Measurement Ltd. System and method for federated security in an energy management system
US6842449B2 (en) * 2002-07-09 2005-01-11 Verisign, Inc. Method and system for registering and automatically retrieving digital-certificates in voice over internet protocol (VOIP) communications
TWI310275B (en) * 2004-10-19 2009-05-21 Nec Corp Virtual private network gateway device and hosting system
US7734051B2 (en) * 2004-11-30 2010-06-08 Novell, Inc. Key distribution
JP2006287692A (ja) 2005-04-01 2006-10-19 Sanyo Electric Co Ltd ルータ装置及びローカルエリアネットワークに接続された機器へのアクセス方法
US8683012B2 (en) * 2007-04-24 2014-03-25 Hewlett-Packard Development Company, L.P. Remote control multiplexing system and method

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020095586A1 (en) * 2001-01-17 2002-07-18 International Business Machines Corporation Technique for continuous user authentication
JP2006501581A (ja) * 2002-10-09 2006-01-12 インテル コーポレイション サーバ管理コプロセッササブシステム内部のtcpaによる信頼性の高いプラットフォームモジュール機能のカプセル化
JP2004334741A (ja) * 2003-05-12 2004-11-25 Nippon Telegr & Teleph Corp <Ntt> 中継装置およびそのプログラム
US20050028000A1 (en) * 2003-07-28 2005-02-03 Mallik Bulusu Method and apparatus for trusted blade device computing
JP2005332373A (ja) * 2004-04-16 2005-12-02 Utstarcom Inc 疎結合されたスケーラブルの分散型マルチメディア・ストリーミング・システムのための方法および装置
JP2005321970A (ja) * 2004-05-07 2005-11-17 Hitachi Ltd コンピュータシステム
JP2008517390A (ja) * 2004-10-21 2008-05-22 インターナショナル・ビジネス・マシーンズ・コーポレーション 保護された処理システムへの初期トラステッド・デバイスのバインディングの検証
US20070192604A1 (en) * 2006-02-03 2007-08-16 Dell Products L.P. Self-authenticating blade server in a secure environment
US20070204332A1 (en) * 2006-02-24 2007-08-30 Dell Products L.P. Authentication of baseboard management controller users in a blade server system

Also Published As

Publication number Publication date
US8590009B2 (en) 2013-11-19
US20090125982A1 (en) 2009-05-14
JP2009122789A (ja) 2009-06-04

Similar Documents

Publication Publication Date Title
US8635320B2 (en) Air conditioning management apparatus and air conditioning management system
CA2999343C (en) Secure enrolment of security device for communication with security server
CN104094554B (zh) 无服务器名称指示(sni)的隐式ssl证书管理
EP2156610B1 (en) Managing network components using usb keys
JP4714111B2 (ja) 管理計算機、計算機システム及びスイッチ
WO2007087109A2 (en) System and method for efficient replication of and access to application specific environments and data
WO2004107193A1 (ja) 機器認証システム
US9577982B2 (en) Method and apparatus for extending remote network visibility of the push functionality
JP4579597B2 (ja) 情報処理装置、情報処理方法およびプログラム
CN101621527B (zh) VPN中基于Portal的安全认证的实现方法、***和设备
JP2011081762A (ja) 機器設定装置及び機器設定装置における機器再設定方法
JP4914479B2 (ja) リモートアクセス装置、リモートアクセスプログラム、リモートアクセス方法及びリモートアクセスシステム
JP6344907B2 (ja) 情報処理装置、システムおよび情報処理装置の制御方法
JP3833652B2 (ja) ネットワークシステム、サーバ装置、および認証方法
JP4530027B2 (ja) コンピュータシステム
JP2008228089A (ja) 通信接続方式の選択装置、方法及びプログラム
JP5556180B2 (ja) 電子証明書を用いた認証に係るネットワークシステム、認証サーバ装置および認証方法
JP2006323596A (ja) ネットワーク家電制御システム
US10693664B2 (en) Systems and methods to build a trusted hypertext transfer protocol secure session on a limited pre-boot basic input/output system environment
JP7107066B2 (ja) 機器管理装置、機器管理プログラム及び機器管理システム
JP4480346B2 (ja) 情報機器用セキュリティ確保方法およびシステム、ならびに情報機器用セキュリティ確保プログラム
US11962465B2 (en) Control system, electronic device, and control method
JP2008226046A (ja) デジタル証明書検索装置、方法及びプログラム
Cisco Graphical User Interface Reference
Cisco Graphical User Interface Reference

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090917

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090929

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091023

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100518

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100531

R150 Certificate of patent or registration of utility model

Ref document number: 4530027

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130618

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees