JP2002132718A - エンタープライズシステムにおける優先Web業務管理方法 - Google Patents
エンタープライズシステムにおける優先Web業務管理方法Info
- Publication number
- JP2002132718A JP2002132718A JP2000320413A JP2000320413A JP2002132718A JP 2002132718 A JP2002132718 A JP 2002132718A JP 2000320413 A JP2000320413 A JP 2000320413A JP 2000320413 A JP2000320413 A JP 2000320413A JP 2002132718 A JP2002132718 A JP 2002132718A
- Authority
- JP
- Japan
- Prior art keywords
- server
- priority
- business
- security
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】 エンタープライズシステムでの優先Web業務
を柔軟に、セキュアに実現することにある。 【解決手段】 Webブラウザ20が予めWWWサーバ4及びセ
キュリティ管理サーバ40(ES40)に対して認証処理を済ま
してから、優先Web業務要求(証明書付き)をWWWサーバ4
介してアプリケーションサーバ42(AS42)に行うと、AS42
はES40にアクセス権限の確認をし、ネットワーク管理サ
ーバ41にインターネット運用状況の確認をした後、優先
Web業務用コネクション確立依頼をES40に対して行い、E
S40は、優先Web業務要求に関連するファイアウォール上
のセキュリティエージェントに優先Web業務要求を送信
し、該要求に対し許容応答を得た場合にAS42に優先Web
業務用コネクションの確立を通知する。また、セキュリ
ティエージェントは優先Web業務要求の許容時から解除
時までの履歴情報を取得し、ES40に送信する。
を柔軟に、セキュアに実現することにある。 【解決手段】 Webブラウザ20が予めWWWサーバ4及びセ
キュリティ管理サーバ40(ES40)に対して認証処理を済ま
してから、優先Web業務要求(証明書付き)をWWWサーバ4
介してアプリケーションサーバ42(AS42)に行うと、AS42
はES40にアクセス権限の確認をし、ネットワーク管理サ
ーバ41にインターネット運用状況の確認をした後、優先
Web業務用コネクション確立依頼をES40に対して行い、E
S40は、優先Web業務要求に関連するファイアウォール上
のセキュリティエージェントに優先Web業務要求を送信
し、該要求に対し許容応答を得た場合にAS42に優先Web
業務用コネクションの確立を通知する。また、セキュリ
ティエージェントは優先Web業務要求の許容時から解除
時までの履歴情報を取得し、ES40に送信する。
Description
【0001】
【発明の属する技術分野】インターネットの普及に伴い
インターネットからの不正侵入を防止するためのファイ
アウォール製品が導入されている。ファイアウォール製
品は、ネットワークレベルでのセキュリティ製品である
が、エンタープライズシステム全体のセキュリティを管
理する役割のセキュリティ管理サーバと連携をして初め
てシームレスな運用が可能となる。業務レベルのセキュ
リティとネットワークレベルのセキュリティを統合させ
る機能をアプリケーションサーバで実現する。また、業
務の実行にリンクさせてセキュリティ運用の変更も要求
されることがある。本発明は、エンタープライズシステ
ムで優先的にWeb業務を実行するために、一時的にファ
イアウォールの運用を変更させるための方法を対象とす
る。
インターネットからの不正侵入を防止するためのファイ
アウォール製品が導入されている。ファイアウォール製
品は、ネットワークレベルでのセキュリティ製品である
が、エンタープライズシステム全体のセキュリティを管
理する役割のセキュリティ管理サーバと連携をして初め
てシームレスな運用が可能となる。業務レベルのセキュ
リティとネットワークレベルのセキュリティを統合させ
る機能をアプリケーションサーバで実現する。また、業
務の実行にリンクさせてセキュリティ運用の変更も要求
されることがある。本発明は、エンタープライズシステ
ムで優先的にWeb業務を実行するために、一時的にファ
イアウォールの運用を変更させるための方法を対象とす
る。
【0002】
【従来の技術】ファイアウォール製品は、イントラネッ
トとインターネットとの間に設置し、インターネット外
部からの不正侵入を防止するための製品である。ファイ
アウォールの機能としては、外部から内部に通過しよう
とするパケットをチェックし、許可されたパケットだけ
を通すパケットフィルタリング機能、全てのパケットを
プロクシサーバ(Proxy Server)を経由させることにより
通信するアプリケーションゲートウェイ機能等に分類さ
れる。ファイアウォールでは、あらかじめ許可された運
用しか許さないわけであるが、エンタープライズシステ
ムには、一時的に優先Web業務用のコネクションを設定
したいというニーズもある。しかし、そのためには、エ
ンタープライズシステム全体のセキュリティ運用と矛盾
しないように、セキュリティ管理サーバとの連携が必要
である。ファイアウォールを動的に制御する先願発明と
しては、移動端末について内部ネットワークとの間の通
信を許可するようなフィルタを設ける方法(特開平10-70
576)がある。また、新サービス提供時にファイアウォー
ル更新させずに対応する先願発明としては、パケットオ
ブジェクトを利用する方法(特開平9-270788)がある。さ
らにアプリケーションゲートウェイのインストール位置
の変更による影響を最小限にするための方法としては、
フィルタリング条件設定ファイルにセキュリティ情報を
付加する方法(特開平9-233113)等がある。しかし、これ
らの方法は、エンタープライズシステムの運用全体を見
渡した方法ではなく、業務レベルのセキュリティを管理
するセキュリティ管理サーバとの連携は対象になってい
なかった。また、ファイアウォールの利用もポート番号
や送信元アドレス単位であり、エンドユーザを認証した
上での利用許可を行っているわけではなかった。
トとインターネットとの間に設置し、インターネット外
部からの不正侵入を防止するための製品である。ファイ
アウォールの機能としては、外部から内部に通過しよう
とするパケットをチェックし、許可されたパケットだけ
を通すパケットフィルタリング機能、全てのパケットを
プロクシサーバ(Proxy Server)を経由させることにより
通信するアプリケーションゲートウェイ機能等に分類さ
れる。ファイアウォールでは、あらかじめ許可された運
用しか許さないわけであるが、エンタープライズシステ
ムには、一時的に優先Web業務用のコネクションを設定
したいというニーズもある。しかし、そのためには、エ
ンタープライズシステム全体のセキュリティ運用と矛盾
しないように、セキュリティ管理サーバとの連携が必要
である。ファイアウォールを動的に制御する先願発明と
しては、移動端末について内部ネットワークとの間の通
信を許可するようなフィルタを設ける方法(特開平10-70
576)がある。また、新サービス提供時にファイアウォー
ル更新させずに対応する先願発明としては、パケットオ
ブジェクトを利用する方法(特開平9-270788)がある。さ
らにアプリケーションゲートウェイのインストール位置
の変更による影響を最小限にするための方法としては、
フィルタリング条件設定ファイルにセキュリティ情報を
付加する方法(特開平9-233113)等がある。しかし、これ
らの方法は、エンタープライズシステムの運用全体を見
渡した方法ではなく、業務レベルのセキュリティを管理
するセキュリティ管理サーバとの連携は対象になってい
なかった。また、ファイアウォールの利用もポート番号
や送信元アドレス単位であり、エンドユーザを認証した
上での利用許可を行っているわけではなかった。
【0003】
【発明が解決しようとする課題】本発明の目的は、エン
タープライズシステム全体のセキュリティ運用を管理す
るセキュリティ管理サーバとファイアウォールを連携さ
せることにより、エンタープライズシステムでの優先We
b業務を柔軟に、セキュアに実現することにある。
タープライズシステム全体のセキュリティ運用を管理す
るセキュリティ管理サーバとファイアウォールを連携さ
せることにより、エンタープライズシステムでの優先We
b業務を柔軟に、セキュアに実現することにある。
【0004】
【課題を解決するための手段】上記目的を達成するた
め、本発明の優先Web業務管理方法は以下のような構成
されている。Webブラウザ、WWWサーバ、オンライン業務
サーバ,DBサーバ、業務レベルのセキュリティを管理す
るセキュリティ管理サーバ、ファイアウォールなどのネ
ットワークレベルのセキュリティを管理するネットワー
ク管理サーバ等が接続された複数のネットワークシステ
ムがファイアウォール等のネットワーク装置を介して広
域ネットワークシステムに接続されている形態のエンタ
ープライズシステムにおいてユーザがWebブラウザから
優先Web業務を行う場合の優先Web業務管理方法であり、
業務レベルのセキュリティとネットワークレベルのセキ
ュリティを統合するアプリケーションサーバを設ける。
アプリケーションサーバは、WebブラウザからWWWサーバ
を介して送信された優先Web業務要求を受信すると、セ
キュリティ管理サーバにアクセス権限の確認依頼を送信
し、前記ネットワーク管理サーバにインターネット運用
状況確認依頼を送信して、両確認依頼に対して許容の応
答を受信した場合にセキュリティ管理サーバに優先Web
業務用コネクション確立依頼を送信する。優先Web業務
用コネクション確立依頼を受信したセキュリティ管理サ
ーバは、この優先Web業務要求に関連する前記ファイア
ウォール上のセキュリティエージェントに優先Web業務
要求を送信する。セキュリティエージェントはこの要求
に対処するための処理をした後、優先Web業務要求に対
して許容の応答を受信した場合に前記アプリケーション
サーバに優先Web業務用コネクションの確立を通知する
ようにしている。また、セキュリティエージェントは、
優先Web業務要求の許容時から解除時までの履歴情報を
取得し、取得した履歴情報を前記セキュリティ管理サー
バに送信するようにしている。
め、本発明の優先Web業務管理方法は以下のような構成
されている。Webブラウザ、WWWサーバ、オンライン業務
サーバ,DBサーバ、業務レベルのセキュリティを管理す
るセキュリティ管理サーバ、ファイアウォールなどのネ
ットワークレベルのセキュリティを管理するネットワー
ク管理サーバ等が接続された複数のネットワークシステ
ムがファイアウォール等のネットワーク装置を介して広
域ネットワークシステムに接続されている形態のエンタ
ープライズシステムにおいてユーザがWebブラウザから
優先Web業務を行う場合の優先Web業務管理方法であり、
業務レベルのセキュリティとネットワークレベルのセキ
ュリティを統合するアプリケーションサーバを設ける。
アプリケーションサーバは、WebブラウザからWWWサーバ
を介して送信された優先Web業務要求を受信すると、セ
キュリティ管理サーバにアクセス権限の確認依頼を送信
し、前記ネットワーク管理サーバにインターネット運用
状況確認依頼を送信して、両確認依頼に対して許容の応
答を受信した場合にセキュリティ管理サーバに優先Web
業務用コネクション確立依頼を送信する。優先Web業務
用コネクション確立依頼を受信したセキュリティ管理サ
ーバは、この優先Web業務要求に関連する前記ファイア
ウォール上のセキュリティエージェントに優先Web業務
要求を送信する。セキュリティエージェントはこの要求
に対処するための処理をした後、優先Web業務要求に対
して許容の応答を受信した場合に前記アプリケーション
サーバに優先Web業務用コネクションの確立を通知する
ようにしている。また、セキュリティエージェントは、
優先Web業務要求の許容時から解除時までの履歴情報を
取得し、取得した履歴情報を前記セキュリティ管理サー
バに送信するようにしている。
【0005】
【発明の実施の形態】以下本発明の一実施形態について
図面を用いて説明する。図1は、本実施形態のネットワ
ークシステムの構成図である。インターネットのような
広域ネットワーク10には、企業ネットワークシステム1
と企業ネットワークシステム9がそれぞれファイアウォ
ール60、61(以降FWと記す)を介して接続される。企業ネ
ットワークシステム1には、Webブラウザの他に、業務
レベルのセキュリティを管理するセキュリティ管理サー
バ40、ネットワークレベルのセキュリティを管理するネ
ットワーク管理サーバ41とデータベース(DB)サーバ5、オ
ンライン業務サーバ6、WWWサーバ4等のサーバが接続さ
れる。DBサーバ5およびオンライン業務サーバ6は、バッ
クエンドシステム(既存システム)に位置付けられ、フロ
ントエンドシステムであるWebブラウザからラッパーサ
ーバ43を介してアクセスされるような業務処理のために
利用されるサーバである。
図面を用いて説明する。図1は、本実施形態のネットワ
ークシステムの構成図である。インターネットのような
広域ネットワーク10には、企業ネットワークシステム1
と企業ネットワークシステム9がそれぞれファイアウォ
ール60、61(以降FWと記す)を介して接続される。企業ネ
ットワークシステム1には、Webブラウザの他に、業務
レベルのセキュリティを管理するセキュリティ管理サー
バ40、ネットワークレベルのセキュリティを管理するネ
ットワーク管理サーバ41とデータベース(DB)サーバ5、オ
ンライン業務サーバ6、WWWサーバ4等のサーバが接続さ
れる。DBサーバ5およびオンライン業務サーバ6は、バッ
クエンドシステム(既存システム)に位置付けられ、フロ
ントエンドシステムであるWebブラウザからラッパーサ
ーバ43を介してアクセスされるような業務処理のために
利用されるサーバである。
【0006】本実施例では、WWWサーバを利用した公開
見積り処理をモデルとして想定しており、WWWサーバ4
は、Webブラウザへ最初の業務メニュー画面を送った
り、Webブラウザの電子メールの送受信管理をしたり、
各ユーザのスケジュールを管理したりする。これは、従
来のグループウェア製品のWeb化機能に相当する。アプ
リケーションサーバ42は、上記バックエンドシステムと
フロントエンドシステムの中間に位置し、Webで基幹業
務を実現するための必須機能を提供する。Webで基幹業
務を実現する上で必要な機能としては、セキュリティの
他にも、ロードバランス(負荷分散)、フォーレトトレ
ラント機能などがある。また、アプリケーションサーバ
42では、Webでの新規業務(ここでは公開見積り処理)
を短期間で開発させるためのアプリケーション開発環境
を提供するが、前記開発環境については本実施例では説
明しない。
見積り処理をモデルとして想定しており、WWWサーバ4
は、Webブラウザへ最初の業務メニュー画面を送った
り、Webブラウザの電子メールの送受信管理をしたり、
各ユーザのスケジュールを管理したりする。これは、従
来のグループウェア製品のWeb化機能に相当する。アプ
リケーションサーバ42は、上記バックエンドシステムと
フロントエンドシステムの中間に位置し、Webで基幹業
務を実現するための必須機能を提供する。Webで基幹業
務を実現する上で必要な機能としては、セキュリティの
他にも、ロードバランス(負荷分散)、フォーレトトレ
ラント機能などがある。また、アプリケーションサーバ
42では、Webでの新規業務(ここでは公開見積り処理)
を短期間で開発させるためのアプリケーション開発環境
を提供するが、前記開発環境については本実施例では説
明しない。
【0007】一方、業務レベルのセキュリティには様々
な機能が必要になる。例えば、ユーザ認証、アクセス制
御、証明書発行、暗号化、鍵管理といった業務やユーザ
管理上で必要なセキュリティ機能が提供されていなけれ
ばならない。図1では、ユーザ認証を行う認証サーバ
2,セキュリティ情報を管理するサーバ3、ユーザのア
クセスを管理するアクセス制御サーバ50、証明書発行サ
ーバ18、鍵管理サーバ17、証明書取り消しリスト管理サ
ーバ54を記述しているが、これらのサーバ機能が1つの
セキュリティ管理サーバ40上で実装されていてもかまわ
ない。以降の本実施例では、これらのサーバ群機能を総
称してセキュリティ管理サーバ40と呼ぶことにする。
な機能が必要になる。例えば、ユーザ認証、アクセス制
御、証明書発行、暗号化、鍵管理といった業務やユーザ
管理上で必要なセキュリティ機能が提供されていなけれ
ばならない。図1では、ユーザ認証を行う認証サーバ
2,セキュリティ情報を管理するサーバ3、ユーザのア
クセスを管理するアクセス制御サーバ50、証明書発行サ
ーバ18、鍵管理サーバ17、証明書取り消しリスト管理サ
ーバ54を記述しているが、これらのサーバ機能が1つの
セキュリティ管理サーバ40上で実装されていてもかまわ
ない。以降の本実施例では、これらのサーバ群機能を総
称してセキュリティ管理サーバ40と呼ぶことにする。
【0008】ネットワーク管理サーバ41は、セキュリテ
ィを管理するサーバ群には含まれず、ネットワークの構
成管理や利用状況の監視やファイアウォール等ネットワ
ーク装置の管理を行う。前記セキュリティ管理サーバ40
やネットワーク管理サーバ41の機能は、企業ネットワー
クシステムがWeb化される以前から提供されているの
で、アプリケーションサーバ42のセキュリティ機能とど
のように連携させるかが、セキュリティに関するアプリ
ケーションインテグレーションの課題であるが、この点
については、別発明として出願している。企業ネットワ
ークシステム9にはWebブラウザ20が接続しており(実際
にはもっと沢山のWebブラウザが接続されている)、企業
ネットワークシステム1と企業ネットワークシステム9の
全体がエンタープライズシステムに相当する。そして、
セキュリティ管理サーバ40は、エンタープライズシステ
ム全体のセキュリティを管理する役割を担っているの
で、例えば、Webブラウザからログインするユーザのユ
ーザ認証、アクセス制御リスト、Webブラウザ8からログ
インしたユーザ11とWebブラウザ20からログインしたユ
ーザ11に許可されている優先Web業務などを業務運用ポ
リシーによって管理している。なお、実際の優先Web業
務は大容量かつ緊急度を要する業務が数千から数万人の
オーダーのユーザから一斉に要求されることを想定して
いる。
ィを管理するサーバ群には含まれず、ネットワークの構
成管理や利用状況の監視やファイアウォール等ネットワ
ーク装置の管理を行う。前記セキュリティ管理サーバ40
やネットワーク管理サーバ41の機能は、企業ネットワー
クシステムがWeb化される以前から提供されているの
で、アプリケーションサーバ42のセキュリティ機能とど
のように連携させるかが、セキュリティに関するアプリ
ケーションインテグレーションの課題であるが、この点
については、別発明として出願している。企業ネットワ
ークシステム9にはWebブラウザ20が接続しており(実際
にはもっと沢山のWebブラウザが接続されている)、企業
ネットワークシステム1と企業ネットワークシステム9の
全体がエンタープライズシステムに相当する。そして、
セキュリティ管理サーバ40は、エンタープライズシステ
ム全体のセキュリティを管理する役割を担っているの
で、例えば、Webブラウザからログインするユーザのユ
ーザ認証、アクセス制御リスト、Webブラウザ8からログ
インしたユーザ11とWebブラウザ20からログインしたユ
ーザ11に許可されている優先Web業務などを業務運用ポ
リシーによって管理している。なお、実際の優先Web業
務は大容量かつ緊急度を要する業務が数千から数万人の
オーダーのユーザから一斉に要求されることを想定して
いる。
【0009】図2には、ユーザ11がWebブラウザ8から優
先Web業務要求をセキュリティ管理サーバ40に送る処理
シーケンスを示す。ユーザ11はWWWサーバ4にログインし
(20001)、WWWサーバ4はユーザID,パスワード入力画面
をユーザ11に送り(20002)、ユーザ11はこの画面により
ユーザID,パスワードを入力し、WWWサーバ4に送り(200
03)、WWWサーバ4は、さらユーザID,パスワードをセキ
ュリティ管理サーバ41に送る。セキュリティ管理サーバ
41は認証処理を行い、その結果をアプリケーションサー
バ42に送る(20004)。アプリケーションサーバ42は、認
証処理結果がOKであるか判定し、NOであれば、認証
処理結果がNOであることをWWWサーバ4に通知し、WWW
サーバ4は、さらに認証処理結果がNOであることをユ
ーザ11に通知する。OKであれば、業務選択画面(公開
見積り処理)をWWWサーバ4に送り(20006)、WWWサーバ4、
さらにこれをユーザ11に送る。ユーザがエンタープライ
ズシステムを利用する場合には、通常、少なくとも1回
はセキュリティ管理サーバ40によりユーザ認証処理を行
う。当ユーザ認証処理はローカルに実装することも可能
だが、実装方法によらず、セキュリティ管理サーバ40は
どのユーザが認証されているか、そのユーザにどのよう
なアクセス権限が許可されているかを管理している必要
がある。
先Web業務要求をセキュリティ管理サーバ40に送る処理
シーケンスを示す。ユーザ11はWWWサーバ4にログインし
(20001)、WWWサーバ4はユーザID,パスワード入力画面
をユーザ11に送り(20002)、ユーザ11はこの画面により
ユーザID,パスワードを入力し、WWWサーバ4に送り(200
03)、WWWサーバ4は、さらユーザID,パスワードをセキ
ュリティ管理サーバ41に送る。セキュリティ管理サーバ
41は認証処理を行い、その結果をアプリケーションサー
バ42に送る(20004)。アプリケーションサーバ42は、認
証処理結果がOKであるか判定し、NOであれば、認証
処理結果がNOであることをWWWサーバ4に通知し、WWW
サーバ4は、さらに認証処理結果がNOであることをユ
ーザ11に通知する。OKであれば、業務選択画面(公開
見積り処理)をWWWサーバ4に送り(20006)、WWWサーバ4、
さらにこれをユーザ11に送る。ユーザがエンタープライ
ズシステムを利用する場合には、通常、少なくとも1回
はセキュリティ管理サーバ40によりユーザ認証処理を行
う。当ユーザ認証処理はローカルに実装することも可能
だが、実装方法によらず、セキュリティ管理サーバ40は
どのユーザが認証されているか、そのユーザにどのよう
なアクセス権限が許可されているかを管理している必要
がある。
【0010】ユーザ11が公開見積り処理選択をし、優先
Web業務要求(証明書30)をWWWサーバ4に送ると(20007)、
WWWサーバ4はこれをアプリケーションサーバ42に送る。
アプリケーションサーバ42は、WWWサーバ4から上記の優
先Web業務要求を受け付けると、セキュリティ管理サー
バ40に前記ユーザ11のアクセス権限についての確認処理
を依頼し(20008)、同時に、ネットワーク管理サーバ41
に現在のネットワーク運用状況の確認を取る(20011)。
セキュリティ管理サーバ40は、確認処理を行い(2000
9)、アプリケーションサーバ42にOK/NGの応答をす
る(20010)。また、ネットワーク管理サーバ41において
も確認処理を行い(20012)、アプリケーションサーバ42
にOK/NGの応答をする(20013)。アプリケーション
サーバ42は、上記の応答を受け、優先Web業務可能か否
かの判定をする(20014)。ユーザのアクセス権限も問題
無く現在のネットワーク状況にも問題がなかった場合に
は、アプリケーションサーバ42は、優先Web業務用コネ
クション確立依頼をする(20016)。ユーザのアクセス権
限に問題ある場合には優先Web業務不可の通知をWWWサー
バ4に対して行い。WWWサーバ4はこれをユーザ11に送る
(20015)。また、ユーザのアクセス権限に問題はないが
ネットワーク状況により優先Web業務を一定期間までに
実行できないと判定した場合には、「優先Web業務を一
定期間に実行できないこと」をWWWサーバ4を介してユー
ザ11に通知する(20015)。例えば、インターネット上の
トラフィック監視によりインターネット内の混雑が予想
される場合には、上記優先Web業務を他の時間帯にする
ように指示することもある。
Web業務要求(証明書30)をWWWサーバ4に送ると(20007)、
WWWサーバ4はこれをアプリケーションサーバ42に送る。
アプリケーションサーバ42は、WWWサーバ4から上記の優
先Web業務要求を受け付けると、セキュリティ管理サー
バ40に前記ユーザ11のアクセス権限についての確認処理
を依頼し(20008)、同時に、ネットワーク管理サーバ41
に現在のネットワーク運用状況の確認を取る(20011)。
セキュリティ管理サーバ40は、確認処理を行い(2000
9)、アプリケーションサーバ42にOK/NGの応答をす
る(20010)。また、ネットワーク管理サーバ41において
も確認処理を行い(20012)、アプリケーションサーバ42
にOK/NGの応答をする(20013)。アプリケーション
サーバ42は、上記の応答を受け、優先Web業務可能か否
かの判定をする(20014)。ユーザのアクセス権限も問題
無く現在のネットワーク状況にも問題がなかった場合に
は、アプリケーションサーバ42は、優先Web業務用コネ
クション確立依頼をする(20016)。ユーザのアクセス権
限に問題ある場合には優先Web業務不可の通知をWWWサー
バ4に対して行い。WWWサーバ4はこれをユーザ11に送る
(20015)。また、ユーザのアクセス権限に問題はないが
ネットワーク状況により優先Web業務を一定期間までに
実行できないと判定した場合には、「優先Web業務を一
定期間に実行できないこと」をWWWサーバ4を介してユー
ザ11に通知する(20015)。例えば、インターネット上の
トラフィック監視によりインターネット内の混雑が予想
される場合には、上記優先Web業務を他の時間帯にする
ように指示することもある。
【0011】セキュリティ管理サーバ40は優先Web業務
用コネクション確立要求を実行する。この実行について
は、図3を用いて後述する。優先Web業務用コネクショ
ン確立要求が実行され、その応答OK*Aがアプリケーシ
ョンサーバ42に通知されると(20017)、アプリケーショ
ンサーバ42は優先Web業務入力処理のための画面の作成
処理を行い、WWWサーバ4を介してユーザ11に画面を送
る。ユーザ11は、受け取った画面を用いてデータを入力
し、入力データはWWWサーバ4を介してアプリケーション
サーバ42に送られる(20018)。アプリケーションサーバ4
2は入力データに対する処理を行い、処理結果データをW
WWサーバ4に送り、WWWサーバ4は処理結果データをWeb画
面に直し、ユーザ11に送る(20019)。ユーザ11は送られ
たWeb画面を表示する。
用コネクション確立要求を実行する。この実行について
は、図3を用いて後述する。優先Web業務用コネクショ
ン確立要求が実行され、その応答OK*Aがアプリケーシ
ョンサーバ42に通知されると(20017)、アプリケーショ
ンサーバ42は優先Web業務入力処理のための画面の作成
処理を行い、WWWサーバ4を介してユーザ11に画面を送
る。ユーザ11は、受け取った画面を用いてデータを入力
し、入力データはWWWサーバ4を介してアプリケーション
サーバ42に送られる(20018)。アプリケーションサーバ4
2は入力データに対する処理を行い、処理結果データをW
WWサーバ4に送り、WWWサーバ4は処理結果データをWeb画
面に直し、ユーザ11に送る(20019)。ユーザ11は送られ
たWeb画面を表示する。
【0012】また、インターネットの企業レベルでの利
用に伴い、今後、プロバイダがより信頼度の高いサービ
スレベルの通信サービスを提供することが想定されるた
め、前記優先Web業務には、より高いサービスレベルの
インターネットを適用することも必要になる。ユーザ11
には、いくつかの優先Web業務の権限が許されていると
しよう。優先Web業務としては、企業ネットワークシス
テム内に閉じたサービスもあるし、FW60、61を超えて広
域ネットワーク10を介した別企業ネットワークシステム
のオンライン業務サーバやDBサーバを利用する電子取引
業務や、本発明で対象としているような形態の業務もあ
る。優先する内容についても、他ユーザからの処理要求
よりも優先させて前記ユーザの処理を実行させる場合
や、ある一定時間の間に前記ユーザの処理を終了させる
場合や、前記ユーザの処理に強度のセキュリティを適用
する場合等が考えられる。本実施例では、わかりやすさ
のために、ユーザ11がFW60、61を超えてWWWサーバ4によ
る公開見積り処理を行なう優先Web業務について、最優
先にかつ、高度なセキュリティを適用して実現する場合
について説明する。前記公開見積り処理とは、WWWサー
バ4に公開された入札条件に基づき、Webブラウザからユ
ーザが条件を入力し、公正な受注処理を実現するシステ
ムである。その他にも、インターネットを利用した電子
投票処理などへの適用が有効と考えられ、実際には、FW
60,61の間のコネクションを利用して数千から数万人の
ユーザが前記優先Web業務を行なうケースを想定してい
る。
用に伴い、今後、プロバイダがより信頼度の高いサービ
スレベルの通信サービスを提供することが想定されるた
め、前記優先Web業務には、より高いサービスレベルの
インターネットを適用することも必要になる。ユーザ11
には、いくつかの優先Web業務の権限が許されていると
しよう。優先Web業務としては、企業ネットワークシス
テム内に閉じたサービスもあるし、FW60、61を超えて広
域ネットワーク10を介した別企業ネットワークシステム
のオンライン業務サーバやDBサーバを利用する電子取引
業務や、本発明で対象としているような形態の業務もあ
る。優先する内容についても、他ユーザからの処理要求
よりも優先させて前記ユーザの処理を実行させる場合
や、ある一定時間の間に前記ユーザの処理を終了させる
場合や、前記ユーザの処理に強度のセキュリティを適用
する場合等が考えられる。本実施例では、わかりやすさ
のために、ユーザ11がFW60、61を超えてWWWサーバ4によ
る公開見積り処理を行なう優先Web業務について、最優
先にかつ、高度なセキュリティを適用して実現する場合
について説明する。前記公開見積り処理とは、WWWサー
バ4に公開された入札条件に基づき、Webブラウザからユ
ーザが条件を入力し、公正な受注処理を実現するシステ
ムである。その他にも、インターネットを利用した電子
投票処理などへの適用が有効と考えられ、実際には、FW
60,61の間のコネクションを利用して数千から数万人の
ユーザが前記優先Web業務を行なうケースを想定してい
る。
【0013】次に、アプリケーションサーバ42が優先We
b業務可能と判断し(20014)、セキュリティ管理サーバ40
に対して優先Web業務用コネクション確立依頼を行った
(20016)場合におけるセキュリティ管理サーバ40が行う
処理について図3を用いて説明する。当実施例では、優
先Web業務がハイトラフィックな公開見積り処理である
ため、FW60とFW61との間の通信の確保が必要になる。セ
キュリティ管理サーバ40は、アプリケーションサーバ42
からの依頼(20016)を受けて、FW60及びFW61上のセキュ
リティエージェント601、611に対して、ユーザ11(実際
には数千から数万人のユーザに対応)が申請する優先We
b業務を許可する旨を通知し、一時的にFW60とFW61の間
に優先Web業務用コネクションを確立している。なお、
セキュリティ管理サーバ40と前記セキュリティエージェ
ントとの間の通信は、VPN(Virtual Private Network)等
の利用により安全に保護されている前提である。FW60、6
1での優先Web業務用コネクションの確立方法としては、
使用中のポート番号のコネクションを当優先Web業務の
ために割り当てる方法、優先Web業務向けのコネクショ
ンのために特定のポート番号を割り当てる方法等があ
る。
b業務可能と判断し(20014)、セキュリティ管理サーバ40
に対して優先Web業務用コネクション確立依頼を行った
(20016)場合におけるセキュリティ管理サーバ40が行う
処理について図3を用いて説明する。当実施例では、優
先Web業務がハイトラフィックな公開見積り処理である
ため、FW60とFW61との間の通信の確保が必要になる。セ
キュリティ管理サーバ40は、アプリケーションサーバ42
からの依頼(20016)を受けて、FW60及びFW61上のセキュ
リティエージェント601、611に対して、ユーザ11(実際
には数千から数万人のユーザに対応)が申請する優先We
b業務を許可する旨を通知し、一時的にFW60とFW61の間
に優先Web業務用コネクションを確立している。なお、
セキュリティ管理サーバ40と前記セキュリティエージェ
ントとの間の通信は、VPN(Virtual Private Network)等
の利用により安全に保護されている前提である。FW60、6
1での優先Web業務用コネクションの確立方法としては、
使用中のポート番号のコネクションを当優先Web業務の
ために割り当てる方法、優先Web業務向けのコネクショ
ンのために特定のポート番号を割り当てる方法等があ
る。
【0014】図3では、ある時間帯(9時から15時まで)
についてポート番号#1050と送信元アドレス192.1.4.1
(アプリケーションサーバアドレス)によってフィルタリ
ングされるコネクションをユーザ11からの優先Web業務
に専用とする。その内容を指示する優先Web業務要求
(具体的にはポート番号とアドレス情報、時間帯等を指
定)がセキュリティ管理サーバ40から各セキュリティエ
ージェントに送られる(30001、30002)。そして、応答
(30003)と応答(30004)に問題がなければ、セキュリティ
管理サーバ40から各セキュリティエージェントに割り当
て対象となるコネクションIDとユーザ認証に使う証明書
30を送信する(30005、30006)。各セキュリティエージェ
ントは、上記のコネクションIDとユーザ認証に使う証明
書30をを受信すると、コネクション優先割り当て処理を
開始する。
についてポート番号#1050と送信元アドレス192.1.4.1
(アプリケーションサーバアドレス)によってフィルタリ
ングされるコネクションをユーザ11からの優先Web業務
に専用とする。その内容を指示する優先Web業務要求
(具体的にはポート番号とアドレス情報、時間帯等を指
定)がセキュリティ管理サーバ40から各セキュリティエ
ージェントに送られる(30001、30002)。そして、応答
(30003)と応答(30004)に問題がなければ、セキュリティ
管理サーバ40から各セキュリティエージェントに割り当
て対象となるコネクションIDとユーザ認証に使う証明書
30を送信する(30005、30006)。各セキュリティエージェ
ントは、上記のコネクションIDとユーザ認証に使う証明
書30をを受信すると、コネクション優先割り当て処理を
開始する。
【0015】コネクションの優先割り当てが開始する
と、セキュリティエージェント601、611では、入ってく
るパケットについてポート番号とアドレス情報に加えて
コネクションIDの内容を確認する(30007、30008)。確認
ができない場合には、アプリケーションサーバ42にNG
を通知する。セキュリティエージェント601、611で確認
ができた場合には、セキュリティエージェント601がO
Kをセキュリティエージェント611に通知し(30009)、セ
キュリティエージェント601からOKをセキュリティ管
理サーバ40に通知する。これにより、FW60とFW61との間
に論理的な優先Web業務用コネクションを確立する。
と、セキュリティエージェント601、611では、入ってく
るパケットについてポート番号とアドレス情報に加えて
コネクションIDの内容を確認する(30007、30008)。確認
ができない場合には、アプリケーションサーバ42にNG
を通知する。セキュリティエージェント601、611で確認
ができた場合には、セキュリティエージェント601がO
Kをセキュリティエージェント611に通知し(30009)、セ
キュリティエージェント601からOKをセキュリティ管
理サーバ40に通知する。これにより、FW60とFW61との間
に論理的な優先Web業務用コネクションを確立する。
【0016】優先Web業務をセキュアに実行するために
は、優先Web業務の実行状態についての履歴情報12をセ
キュリティエージェントで取得する必要がある(30011、3
0012)。当実施例のFW60とFW61間の通信は、VPN(Virtual
Private Network)により暗号化されているため、途中
で盗聴される心配はあまりない。さらに、優先Web業務
用コネクションを利用するユーザについては証明書30を
用いて認証するために、第3者による優先Web業務用コ
ネクションの利用はほとんど不可能である。しかし、業
務監査という観点から、前記履歴情報12とエンドユーザ
側(Webブラウザ20側)で取得した履歴情報16(30010)を
比較することは有効と考える。従って、セキュリティエ
ージェント601,611は、指定された時間帯について、当
コネクションの利用状況の履歴情報12を取得し、セキュ
リティ管理サーバ40からの解除要求(30013、30014)を受
信した後、優先割り当てを解除し、この解除した時点で
前記履歴情報12をセキュリティ管理サーバ40に送るもの
とする(30015、30016)。セキュリティ管理サーバ40は、
解除要求(30013、30014)をセキュリティエージェント60
1、611に送信した後、優先Web業務用コネクション確立
要求が実行されたことを示す応答OK*Aがアプリケーシ
ョンサーバ42に通知される。このOK*Aと図2における
OK*Aは同様のものであり、両者の対応を取るために
「*A」を付けている。なお、優先割り当てを解除する契
機としては、セキュリティ管理サーバ40からの優先割り
当て終了要求時の他に、前記指定された時間帯の終了時
等が考えられる。
は、優先Web業務の実行状態についての履歴情報12をセ
キュリティエージェントで取得する必要がある(30011、3
0012)。当実施例のFW60とFW61間の通信は、VPN(Virtual
Private Network)により暗号化されているため、途中
で盗聴される心配はあまりない。さらに、優先Web業務
用コネクションを利用するユーザについては証明書30を
用いて認証するために、第3者による優先Web業務用コ
ネクションの利用はほとんど不可能である。しかし、業
務監査という観点から、前記履歴情報12とエンドユーザ
側(Webブラウザ20側)で取得した履歴情報16(30010)を
比較することは有効と考える。従って、セキュリティエ
ージェント601,611は、指定された時間帯について、当
コネクションの利用状況の履歴情報12を取得し、セキュ
リティ管理サーバ40からの解除要求(30013、30014)を受
信した後、優先割り当てを解除し、この解除した時点で
前記履歴情報12をセキュリティ管理サーバ40に送るもの
とする(30015、30016)。セキュリティ管理サーバ40は、
解除要求(30013、30014)をセキュリティエージェント60
1、611に送信した後、優先Web業務用コネクション確立
要求が実行されたことを示す応答OK*Aがアプリケーシ
ョンサーバ42に通知される。このOK*Aと図2における
OK*Aは同様のものであり、両者の対応を取るために
「*A」を付けている。なお、優先割り当てを解除する契
機としては、セキュリティ管理サーバ40からの優先割り
当て終了要求時の他に、前記指定された時間帯の終了時
等が考えられる。
【0017】
【発明の効果】本実施例によれば、ファイアウォール
は、エンタープライズシステムの運用全体を見渡したセ
キュリティ管理サーバと連携することにより、ポート番
号や送信元アドレスに加えてユーザの証明書を確認する
ことにより、該当業務の該当ユーザに対して優先Web業
務向けコネクションを利用させることができる。また、
ファイアウォールで取得する履歴情報の確認により、優
先Web業務をセキュアに実現できる。
は、エンタープライズシステムの運用全体を見渡したセ
キュリティ管理サーバと連携することにより、ポート番
号や送信元アドレスに加えてユーザの証明書を確認する
ことにより、該当業務の該当ユーザに対して優先Web業
務向けコネクションを利用させることができる。また、
ファイアウォールで取得する履歴情報の確認により、優
先Web業務をセキュアに実現できる。
【図1】実施形態のネットワークシステムの構成図であ
る。
る。
【図2】ユーザのWebブラウザからの優先Web業務要求に
対する処理の処理手順を示す図である。
対する処理の処理手順を示す図である。
【図3】アプリケーションサーバからの優先Web業務用
コネクション確立依頼を受けて、セキュリティ管理サー
バが優先Web業務用コネクションを確立する処理の処理
手順を示す図である。
コネクション確立依頼を受けて、セキュリティ管理サー
バが優先Web業務用コネクションを確立する処理の処理
手順を示す図である。
1 企業ネットワークシステム 2 認証サーバ 3 セキュリティ情報を管理するサーバ 4 WWWサーバ 5 DBサーバ 6 オンライン業務サーバ 7 外部証明書発行サーバ 8 Webブラウザ 9 企業のネットワークシステム 10 広域ネットワークシステム 17 鍵管理サーバ 18 証明書発行サーバ 20 Webブラウザ 40 セキュリティ管理サーバ 41 ネットワーク管理サーバ 42 アプリケーションサーバ 43 ラッパーサーバ 50 アクセス制御サーバ 54 証明書取り消しリスト管理サーバ 60、61 ファイアウォール(FW)
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B085 AA03 AE00 AE06 5B089 GA11 GA21 HB05 KA17 KB13 KC54 KC58 5K030 GA15 HA06 HC01 LA03 LB19 LE05
Claims (2)
- 【請求項1】 Webブラウザ、WWWサーバ、オンライン業
務サーバ,DBサーバ、業務レベルのセキュリティを管理
するセキュリティ管理サーバ、ファイアウォールなどの
ネットワークレベルのセキュリティを管理するネットワ
ーク管理サーバ等が接続された複数のネットワークシス
テムがファイアウォール等のネットワーク装置を介して
広域ネットワークシステムに接続されている形態のエン
タープライズシステムにおける優先Web業務管理方法で
あって、 業務レベルのセキュリティとネットワークレベルのセキ
ュリティを統合するアプリケーションサーバを設け、 該アプリケーションサーバは、前記Webブラウザから前
記WWWサーバを介して送信された優先Web業務要求を受信
すると、前記セキュリティ管理サーバにアクセス権限の
確認依頼を、前記ネットワーク管理サーバにインターネ
ット運用状況確認依頼を送信し、両確認依頼に対して許
容の応答を受信した場合に前記セキュリティ管理サーバ
に優先Web業務用コネクション確立依頼を送信し、 該優先Web業務用コネクション確立依頼を受信した前記
セキュリティ管理サーバは、前記優先Web業務要求に関
連する前記ファイアウォール上のセキュリティエージェ
ントに優先Web業務要求を送信し、該優先Web業務要求に
対して許容の応答を受信した場合に前記アプリケーショ
ンサーバに優先Web業務用コネクションの確立を通知す
ることを特徴とする優先Web業務管理方法。 - 【請求項2】 請求項1記載の優先Web業務管理方法に
おいて、 セキュリティエージェントは、前記優先Web業務要求の
許容時から優先Web業務の解除時までの履歴情報を取得
し、取得した履歴情報を前記セキュリティ管理サーバに
送信することを特徴とする優先Web業務管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000320413A JP2002132718A (ja) | 2000-10-20 | 2000-10-20 | エンタープライズシステムにおける優先Web業務管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000320413A JP2002132718A (ja) | 2000-10-20 | 2000-10-20 | エンタープライズシステムにおける優先Web業務管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002132718A true JP2002132718A (ja) | 2002-05-10 |
Family
ID=18798700
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000320413A Pending JP2002132718A (ja) | 2000-10-20 | 2000-10-20 | エンタープライズシステムにおける優先Web業務管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002132718A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008040960A (ja) * | 2006-08-09 | 2008-02-21 | Toppan Printing Co Ltd | 個人認証システム及び個人認証方法 |
-
2000
- 2000-10-20 JP JP2000320413A patent/JP2002132718A/ja active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008040960A (ja) * | 2006-08-09 | 2008-02-21 | Toppan Printing Co Ltd | 個人認証システム及び個人認証方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113572738B (zh) | 一种零信任网络架构及构建方法 | |
| Ioannidis et al. | Implementing a distributed firewall | |
| US9258308B1 (en) | Point to multi-point connections | |
| CN105027493B (zh) | 安全移动应用连接总线 | |
| US8006296B2 (en) | Method and system for transmitting information across a firewall | |
| CA2514004C (en) | System and method for controlling network access | |
| US6374298B2 (en) | System for performing remote operation between firewall-equipped networks or devices | |
| JP4630896B2 (ja) | アクセス制御方法、アクセス制御システムおよびパケット通信装置 | |
| US7254833B1 (en) | Electronic security system and scheme for a communications network | |
| US7890759B2 (en) | Connection assistance apparatus and gateway apparatus | |
| EP1942629A1 (en) | Method and system for object-based multi-level security in a service oriented architecture | |
| JP2008015786A (ja) | アクセス制御システム及びアクセス制御サーバ | |
| GB2318031A (en) | Network firewall with proxy | |
| KR101992976B1 (ko) | Ssh 인증키를 보안 관리하는 ssh 프로토콜 기반 서버 원격 접근 시스템 | |
| EP1775903B1 (en) | A dynamic tunnel construction method for secure access to a private LAN and apparatus therefor | |
| KR101219662B1 (ko) | 클라우드 서비스 보안 시스템 및 그 방법 | |
| KR20030056700A (ko) | Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법 | |
| US7694015B2 (en) | Connection control system, connection control equipment and connection management equipment | |
| JP2004220120A (ja) | ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 | |
| US20050204160A1 (en) | Method for establishing directed circuits between parties with limited mutual trust | |
| Yang et al. | Service and network management middleware for cooperative information systems through policies and mobile agents | |
| KR101992985B1 (ko) | 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템 | |
| JP2002132718A (ja) | エンタープライズシステムにおける優先Web業務管理方法 | |
| EP1290852A2 (en) | Distributed firewall system and method | |
| CN111131172B (zh) | 一种内网主动调用服务的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040318 |