JP2007272689A - オンラインストレージ認証システム、オンラインストレージ認証方法、及びオンラインストレージ認証プログラム - Google Patents

オンラインストレージ認証システム、オンラインストレージ認証方法、及びオンラインストレージ認証プログラム Download PDF

Info

Publication number
JP2007272689A
JP2007272689A JP2006099275A JP2006099275A JP2007272689A JP 2007272689 A JP2007272689 A JP 2007272689A JP 2006099275 A JP2006099275 A JP 2006099275A JP 2006099275 A JP2006099275 A JP 2006099275A JP 2007272689 A JP2007272689 A JP 2007272689A
Authority
JP
Japan
Prior art keywords
client
authentication
authentication method
request
online storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006099275A
Other languages
English (en)
Inventor
Hideki Yoshii
英樹 吉井
Takao Okameguri
隆生 岡廻
Eisaku Nishiga
栄作 西賀
Hiroto Okubo
浩人 大久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
SoftBank Telecom Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SoftBank Telecom Corp filed Critical SoftBank Telecom Corp
Priority to JP2006099275A priority Critical patent/JP2007272689A/ja
Publication of JP2007272689A publication Critical patent/JP2007272689A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】オンラインストレージサービスにおいて、アプリケーションサーバ側でクライアントを認証することができるとともに、異なるセキュリティポリシーのクライアントの要求に応じた認証方式を採用することができるようにすることを目的とする。
【解決手段】クライアント端末30AからのリクエストにおけるURLの種類にもとづいて付加されたクライアント認証方式情報にもとづいて、Webアプリケーションサーバ50Aが、クライアントの認証方式を決定し、決定した認証方式に従ってクライアントの認証処理を実行する。
【選択図】図9

Description

本発明は、クライアントによって管理されるクライアント端末からのリクエストにもとづいて前記クライアントの認証処理を行い、該認証処理により認証したことを条件に、通信ネットワークに接続された各種のデータを記憶する記憶装置へのアクセスを許容するオンラインストレージサーバを備えたオンラインストレージ認証システム、オンラインストレージ認証方法、及びオンラインストレージ認証処理を実行させるためのオンラインストレージ認証プログラムに関する。
従来から、通信ネットワークシステムにおいて、本人認証のための様々な認証方式が提案され実施されている。この認証方式としては、ID/パスワード方式が一般的であるが、そのセキュリティの脆弱さが指摘されている。このため、このID/パスワード方式に代わり、電子証明書による認証方式が利用されるようになってきている。
ウェブ(HTTP:Hypertext Transfer Protocol)上での電子証明書を用いた認証方式では、一般に、SSL(Secure Socket Layer)を利用し、そのSSLセッション上で交換されるHTTPフレームのヘッダにクライアント証明書の証明結果やその証明書情報を埋め込み、そのHTTPフレームのヘッダをアプリケーションサーバが利用するようにしている(特許文献1)。
このSSLにおいて、クライアントの電子証明書を要求する場合は、どのクライアント証明書を利用するかという選択画面がブラウザ上に表示される。この電子証明書の格納場所として、ローカルコンピュータ上だけでなく、USBトークンといった外部媒体が利用されている。
また、一般的なWebシステムにおいて、企業毎(以下、「コーポレート毎」と呼ぶ)に契約しサービスを受けることができるASPサービスも存在する。さらに、特許文献1や非特許文献1におけるXdrive(登録商標)システムのようなウェブ技術を用いたオンラインストレージにおいては、ウェブシステムであっても、クライアントアプリケーションとして、Internet Explorerのようなブラウザだけでなく、ブラウザのようなGUIを持たずあたかもローカルディスクであるかのように振舞うアプリケーションを用いるものがある。このブラウザのようなGUIをもたずあたかもローカルディスクであるかのように振舞うアプリケーションをここではDTA(デスクトップアプリケーション)と呼ぶ。ブラウザとは異なり、このDTAはローカルキャッシュにオンラインストレージ上のデータ(ファイル)を持つ。
特表2003−514279 "Xdrive"、[online]、[平成18年3月30日検索]、インターネット<URL:http://www.xdrive.jp/>
あるWebを用いたアプリケーションをASP(アプリケーション・サービス・プロバイダ)が提供している場合において、そのWebアプリケーションを利用したい企業毎にセキュリティポリシーが異なる場合がある。例えば、企業AはID/パスワードのみ、企業Bは電子証明書のみ、企業CはID/パスワードかつ電子証明書による認証を求める場合がある。
電子証明書を用いてクライアント認証を行う場合にはクライアント端末側に電子証明書を選択する画面を出すが、電子証明書を用いたクライアント認証を行わない場合には電子証明書の選択画面を出すべきでない。ところが、電子証明書を用いたクライアント認証を行う場合と行わない場合との区別を行うことができないため、セキュリティポリシーが異なるユーザの要求を同一のアプリケーションサーバで制御することはできない。
本発明は、上述した問題を解消し、オンラインストレージサーバ側でコーポレート毎にクライアント認証方法を決定することを可能とし、その認証方法に応じた認証手段をクライアントアプリケーションに提供することができるとともに、コーポレートのユーザ毎に異なるセキュリティポリシーを持つ場合においても、クライアントの要求に応じた認証方式を採用することができるようにするオンラインストレージシステムを提供することを目的とする。
本発明のオンラインストレージ認証システムは、クライアントによって管理されるクライアント端末からのリクエストにもとづいて前記クライアントの認証処理を行い、該認証処理により認証したことを条件に、通信ネットワークに接続された各種のデータを記憶する記憶装置へのアクセスを許容するオンラインストレージサーバを備えたオンラインストレージ認証システムであって、前記オンラインストレージサーバは、前記クライアント端末からのリクエストが示すアクセス先情報にもとづいて付加されたクライアント認証方式情報にもとづいて、前記クライアントの認証方式を決定する認証方式決定手段と、該認証方式決定手段が決定した認証方式に従ってクライアントの認証処理を実行するクライアント認証処理手段とを有することを特徴とする。
クライアント端末からのリクエストを受け付けて、オンラインストレージサーバに転送するリクエスト転送装置をさらに備え、該リクエスト転送装置は、前記クライアント端末からのリクエストが示すアクセス先情報に応じてクライアント認証方式を特定し、特定したクライアント認証方式を示すクライアント認証方式情報を前記リクエストに付加するクライアント認証方式情報付加手段と、該クライアント認証方式情報付加手段によりクライアント認証方式情報が付加されたリクエストを前記オンラインストレージサーバに転送するリクエスト転送手段とを有する構成とされていてもよい。
クライアント認証方式には、例えば、電子証明書による電子証明書認証方式と、ID/パスワードによるパスワード認証方式とを含む。
クライアント端末には、インターネットエクプローラのようなWebブラウザが搭載されてもよいし、ブラウザのようなGUIを持たずあたかもローカルディスクのようにオンラインストレージを扱うことを可能にするアプリケーション(DTA) が搭載されていてもよい。
リクエスト転送装置は、特定したクライアント認証方式に電子証明書認証方式が含まれていたときは、リクエストに添付されている電子証明書を用いた電子証明書認証処理を行う電子証明書認証処理手段を有し、クライアント認証方式情報付加手段は、前記電子証明書認証処理手段による電子証明書認証処理の処理結果を示す電子証明書認証結果をオンラインストレージサーバでのクライアント認証方式としてクライアント認証方式情報に含める構成とされていてもよい。
認証方式決定手段は、クライアント認証方式情報に電子証明書認証結果が含まれていた場合には、該電子証明書認証結果の確認によりクライアントを認証する認証方式を含むことに決定し、クライアント認証処理手段は、前記認証方式決定手段の決定に従って、前記電子証明書認証結果を確認し、その確認結果にもとづくクライアントの認証処理を実行する構成とされていてもよい。
また、本発明のオンラインストレージ認証方法は、クライアントによって管理されるクライアント端末からのリクエストにもとづいて前記クライアントの認証処理を行い、該認証処理により認証したことを条件に、通信ネットワークに接続された各種のデータを記憶する記憶装置へのアクセスを許容するオンラインストレージ認証方法であって、前記クライアント端末からのリクエストが示すアクセス先情報にもとづいて付加されたクライアント認証方式情報にもとづいて、前記クライアントの認証方式を決定する認証方式決定処理と、該認証方式決定処理にて決定した認証方式に従ってクライアントの認証処理を実行するクライアント認証処理とを含むことを特徴とする。
さらに、本発明のオンラインストレージ認証プログラムは、クライアントによって管理されるクライアント端末からのリクエストにもとづいて前記クライアントの認証処理を実行させ、該認証処理により認証したことを条件に、通信ネットワークに接続された各種のデータを記憶する記憶装置へのアクセスを許容させるオンラインストレージ認証プログラムであって、コンピュータに、前記クライアント端末からのリクエストが示すアクセス先情報にもとづいて付加されたクライアント認証方式情報にもとづいて、前記クライアントの認証方式を決定する認証方式決定処理と、該認証方式決定処理にて決定した認証方式に従ってクライアントの認証処理を実行するクライアント認証処理とを実行させるためのものである。
本発明によれば、オンラインストレージサーバ側でコーポレート毎にクライアント認証方法を決定することを可能とし、その認証方法に応じた認証手段をクライアントアプリケーションに提供することができるとともに、コーポレートのユーザ毎に異なるセキュリティポリシーを持つ場合においても、クライアントの要求に応じた認証方式を採用することができる
以下、本発明の実施の形態について図面を参照して説明する。
図1は、本発明の一実施の形態におけるユーザ認証システム100の構成例を示すブロック図である。
図1に示すように、ユーザ認証システム100は、管理端末10と、CA局(認証局)サーバ20と、コーポレート端末(ユーザ端末)30A〜30Cと、SSLProxy+HTTPロードバランサ40と、アプリケーションサーバ50A〜50Cと、各アプリケーションサーバ50A〜50Cに接続されたDB51とを含む。管理端末10、CA局サーバ20、コーポレート端末30A〜30C、及びSSLProxy+HTTPロードバランサ40は、インターネットや専用回線などの通信ネットワーク60に接続されている。また、アプリケーションサーバ50A〜50Cは、SSLProxy+HTTPロードバランサ40を介して通信ネットワーク60に接続されている。
管理端末10は、パーソナルコンピュータなどの情報処理装置であって、本システム100を管理するシステム管理者に使用される端末装置である。
CA局サーバ20は、例えばWWWサーバやワークステーションサーバなどの情報処理装置によって構成され、認証局によって管理される。CA局サーバ20は、電子証明書の発行や管理などを行う。
コーポレート端末30A〜30Cは、それぞれ、パーソナルコンピュータなどの情報処理装置であって、アプリケーションサーバ50A〜50Cによって提供されるサービスを受けるクライアント端末である。本例では、コーポレート端末30A〜30Cは、企業単位で使用されるユーザ端末を想定している。
SSLProxy+HTTPロードバランサ40は、コーポレート端末30A〜30Cからのアプリケーション利用要求を一元的に管理し、その要求をアプリケーションサーバ50A〜50Cに転送する負荷分散装置である。
アプリケーションサーバ50A〜50Cは、例えばWWWサーバなどの情報処理装置によって構成され、例えばコンテンツの提供などの本人認証を経た上で提供される各種のサービスを実行するための機能を備えている。
アプリケーションサーバ50A〜50Cは、本例では、例えば「Xdrive」などのWeb技術を活用したオンラインストレージサービスを提供するためのWebアプリケーションサーバである。従って、アプリケーションサーバ50A〜50Cは、正規のクライアントからのリクエストに応じて、自己が管理する図示しない記憶装置に各種のデータを保存する機能や、保存している各種のデータを提供する機能などを有する。
図2は、SSLProxy+HTTPロードバランサ40の構成の例を示すブロック図である。図2には、アプリケーションサーバ50A〜50Cなども示されている。図2に示すように、SSLProxy+HTTPロードバランサ40は、SSLポリシー部41と、ロードバランサ部42とを含む。
本例では、URLa「https://secure.xdrive.jp」を指定したアクセスと、URLb「https://xdrive.jp」を指定したアクセスと、URLc「http://xdrive.jp」を指定したアクセスとが受け付けられるものとする。なお、本例では、URLaに対するアクセスは電子証明書による認証を必要とするアクセスであり、URLb及びURLcに対するアクセスは電子証明書による認証を必要としないアクセスであるものとする。
SSLProxy+HTTPロードバランサ40は、コーポレート端末30A〜30Cからのリクエストを受けると、リクエストにおいて指定されているURLの種類を判別し、HTTPヘッダにSSLポリシーを付加する(埋め込む)処理などを行う。
SSLProxy+HTTPロードバランサ40は、コーポレート端末30A〜30Cからのリクエストを受けると、リクエストにおいて指定されているURLの種類を判別し、判別結果に応じて電子証明書の指定・選択画面をコーポレート端末30A〜30Cに提示する。具体的には、電子証明書による認証が必要であるURLaであったときは、電子証明書の指定・選択画面を提示し、コーポレート端末30A〜30Cから電子証明書を取得する。なお、電子証明書による認証が必要でないURLb,URLcであったときは、電子証明書の指定・選択画面は提示しない。また、SSLProxy+HTTPロードバランサ40は、取得した電子証明書による認証処理を実行する。さらに、SSLProxy+HTTPロードバランサ40は、リクエストにおいて指定されているURLの種類の判別結果や、電子証明書の認証結果にもとづき、HTTPヘッダにSSLポリシーを付加する(埋め込む)処理などを行う。
具体的には、SSLProxy+HTTPロードバランサ40は、指定されているURLがURLaであった場合には、SSLProxy部41のSSL情報付加部41aにより、HTTPS(Hypertext Transfer Protocol Security)であることを示すプロトコル情報と、電子証明書による認証結果を示す証明書認証結果情報とを、SSLポリシーとしてリクエストにおけるHTTPヘッダに付加する。そして、SSL情報付加部41aは、HTTPヘッダを含むリクエストをロードバランサ部42のバランサ42aに送信する。すると、バランサ42aは、HTTPヘッダを含むリクエストをアプリケーションサーバ50A〜50Cのいずれかに送信する。
また、SSLProxy+HTTPロードバランサ40は、指定されているURLがURLbであった場合には、SSLProxy部41のSSL情報付加部41bにより、HTTPSであることを示すプロトコル情報を、SSLポリシーとしてリクエストにおけるHTTPヘッダに付加する。そして、SSL情報付加部41bは、HTTPヘッダを含むリクエストをロードバランサ部42のバランサ42bに送信する。すると、バランサ42bは、HTTPヘッダを含むリクエストをアプリケーションサーバ50A〜50Cのいずれかに送信する。
さらに、SSLProxy+HTTPロードバランサ40は、指定されているURLがURLcであった場合には、SSLProxy部41によるHTTPヘッダへの情報の追加を行うことなく、リクエストをロードバランサ部42のバランサ42bに送信する。すると、バランサ42bは、SSLポリシーが付加されていないHTTPヘッダを含むリクエストをアプリケーションサーバ50A〜50Cのいずれかに送信する。
図3(A)は、コーポレート追加オプション管理テーブルを示す説明図である。図3(B)は、ユーザ管理テーブルを示す説明図である。コーポレート追加オプション管理テーブル及びユーザ管理テーブルは、管理端末10によって設定され、DB51に登録される。
コーポレート追加オプション管理テーブルには、図3(A)に示すように、各コーポレートについて、それぞれ、コーポレートIDと、オプション名と、属性(PKIグループ情報)とが対応付けされて設定されている。
本例では、コーポレート端末30Bを管理するコーポレートは、コーポレートIDが「コーポレートB」、オプション名が「PKI」、属性が「P999999999」に設定されている。また、コーポレート端末30Cを管理するコーポレートは、コーポレートIDが「コーポレートC」、オプション名が「PKI+ID/パスワード」、属性が「P123456789」に設定されている。さらに、コーポレート端末30Aを管理するコーポレートは、コーポレートIDが「コーポレートA」、オプション名が「その他オプション」、属性が「Null」に設定されている。
なお、オプション名が「PKI」であるとは、PKI(Public Key Infrastructure)対応のドメイン(secure.xdrive.jp)のみアクセス可能であることを意味する。また、オプション名が「PKI+ID/パスワード」であるとは、PKI対応のドメイン及びID/パスワード対応のドメイン(xdrive.jp)の両方にアクセス可能であることを意味する。さらに、オプション名が「その他オプション」であるとは、PKI対応のドメイン以外のID/パスワード対応のドメイン(xdrive.jp)にアクセス可能性であることを意味する。
ユーザ管理テーブルには、図3(B)に示すように、各ユーザについて、それぞれ、ユーザIDと、コーポレートIDと、クライアント認証有無と、パスワード入力と、パスワード省略有無とが対応付けされて設定されている。
本例では、図3(A)に示したように、コーポレートBは電子証明書が必要で、図3(B)に示したように、コーポレートBのユーザはパスワード必要/不必要を選択することができる。また、図3(A)に示したように、コーポレートCは電子証明書とID/パスワードのいずれかが必要で、図3(B)に示したように、コーポレートCのユーザは電子証明書の利用の有無を選択することができる。なお、図3(B)には示されていないが、コーポレートCのユーザはパスワード必要/不必要を選択することもできる。さらに、図3(A)に示したように、コーポレートAはID/パスワードが必要で、図3(B)に示したように、コーポレートAのユーザは電子証明書の利用を選択することはできない。
例えば、あるユーザXは、ユーザIDが「ユーザ1」、コーポレートIDが「コーポレートB」、クライアント認証有無が「利用する」、パスワード入力が「必要」、パスワード省略有無が「XXXXXXX」に設定されている。従って、ユーザXは、ユーザIDとして「ユーザ1」が付与されており、コーポレートBに所属しており、電子証明書によるクライアント認証が必要であり、ID/パスワードによる認証が必要であり、パスワードの入力操作は不要であることになる。すなわち、コーポレートBのユーザ1は電子証明書を用いて認証し、かつID/パスワードの認証も必要となる。
また、あるユーザYは、ユーザIDが「ユーザ2」、コーポレートIDが「コーポレートB」、クライアント認証有無が「利用する」、パスワード入力が「不要」に設定されている。従って、ユーザYは、ユーザIDとして「ユーザ2」が付与されており、コーポレートBに所属しており、電子証明書によるクライアント認証が必要であり、ID/パスワードによる認証が不要であることになる。すなわち、コーポレートBのユーザ2は、電子証明書の認証のみで、それが成功であればログイン画面に遷移することとなる。
図4は、クライアント認証とパスワード入力、及び利用ドメインの関係を示す説明図である。本例では、クライアント認証の有無、クライアント認証を利用しない場合の使用ドメイン、ID/パスワードによる認証の有無により、図4に示す6つの認証パターンA〜Fがある。
本例では、コーポレートAは、認証パターンCのみを利用可能であり、URLbを用いたドメイン(xdrive.jp)に対するアクセスが可能である。また、コーポレートBは、認証パターンA,Dを利用可能であり、URLaを用いたドメイン(secure.xdrive.jp)に対するアクセスが可能である。さらに、コーポレートCは、認証パターンA,B,C,Dを利用可能であり、URLbを用いたドメイン(xdrive.jp)に対するアクセス及びURLbを用いたドメイン(xdrive.jp)に対するアクセスが可能である。
次に、本例のユーザ認証システム100の動作について説明する。
図5,図6は、本例のユーザ認証システム100におけるアプリケーションサーバ50A〜50Cが実行するログイン処理の例を示すフローチャートである。ここでは、SLLProxy+HTTPロードバランサ40から転送されてきたリクエストを受信したことに応じて、アプリケーションサーバ50Aがログイン処理を実行する場合を例に説明する。
ログイン処理において、アプリケーションサーバ50Aは、先ず、受信したリクエストに含まれているHTTPヘッダに証明書認証結果情報が含まれているか否かを確認することで、アクセス対象のドメインがドメインA「xdrive.jp」であるかドメインB「secure.xdrive.jp」であるか確認する(ステップS101)。
HTTPヘッダに証明書認証結果情報が含まれていなければ、アプリケーションサーバ50Aは、アクセス対象のドメインがドメインAであると判定し、HTTPヘッダのプロトコル情報を確認する(ステップS102)。HTTPヘッダにプロトコル情報が含まれていなければ、アプリケーションサーバ50Aは、認証パターンCの認証処理(ID/パスワードによる認証処理)を行うことに決定する(ステップS103)。一方、HTTPヘッダにSSLポリシーとしてHTTPSであることを示すプロトコル情報が含まれていれば、アプリケーションサーバ50Aは、認証パターンBの認証処理(ID/パスワードとSSL認証(電子証明書による認証を除く)による認証処理)を行うことに決定する(ステップS104)。
HTTPヘッダにSSLポリシーとして証明書認証結果情報が含まれていれば、アプリケーションサーバ50Aは、アクセス対象のドメインがドメインBであると判定し、証明書認証結果情報が示すクライアント証明書の認証結果を確認する(ステップS105)。
認証結果がなければ、アプリケーションサーバ50Aは、認証パターンBの認証処理を行うことに決定する(ステップS106)。認証結果が認証失敗であれば、アプリケーションサーバ50Aは、エラーページを送信する(ステップS107)。
認証結果が認証成功であれば、アプリケーションサーバ50Aは、既登録ユーザに関するユーザ情報を含むクライアント証明書情報(ユーザの属性を示すユーザ属性情報:図3(B)参照)をDB51から取得し(ステップS108)、ユーザの存在確認を行う(ステップS109)。ユーザが存在していないと判定したときは、アプリケーションサーバ50Aは、エラーページを送信する(ステップS107)。
ユーザが存在していると判定したときは、アプリケーションサーバ50Aは、DB51から認証ポリシー(グループセキュリティポリシー:図3(A)参照)を取得し(ステップS110)、取得した認証ポリシーに応じて、認証パターンDの認証処理を行うことに決定(ステップS111)、認証パターンAの認証処理を行うことに決定(ステップS112)、あるいは認証パターンDに加えてバイオメトリクス認証による認証処理を行うことに決定する(ステップS113)。なお、グループセキュリティポリシーにおける属性(図3(A)参照)により、バイオメトリクス認証による認証処理を行うか否かが判定される。
認証パターンA,B,Cのいずれかである場合には、アプリケーションサーバ50Aは、ID/パスワード入力画面を表示するための処理を行う(ステップS114)。そして、入力されたID/パスワードが正規のID/パスワードであると確認すると(ステップS115)、アプリケーションサーバ50Aは、ログイン後画面を表示するための処理を行う(ステップS116)。
認証パターンDである場合には、アプリケーションサーバ50Aは、ログイン後画面を表示するための処理を行う(ステップS116)。
バイオメトリクス認証による認証処理を行う場合には、アプリケーションサーバ50Aは、バイオメトリクス認証画面を表示するための処理を行い(ステップS117)、入力あるいは指定されたバイオメトリクス認証情報が正規の情報であると確認すると(ステップS118)、ログイン後画面を表示するための処理を行う(ステップS116)
なお、上述した実施の形態では、ステップS105にて認証結果がなければ、アプリケーションサーバ50Aが、認証パターンBの認証処理を行うことに決定する(ステップS106)ように構成していたが、図7,図8に示すように、ステップS105にて認証結果がなければ、認証パターンCの認証処理を行うことに決定する(ステップS104)ようにしてもよい。
図9は、本例のユーザ認証システム100における電子証明書認証と認証結果の確認処理の例を示すタイミングチャートである。ここでは、コーポレート端末30Bは、先ず、SSLProxy+HTTPロードバランサ40との間でSSLセッションを構築したあと、HTTPSリクエストをSSLProxy+HTTPロードバランサ40に送付する(ステップS1)。
SSLProxy+HTTPロードバランサ40は、HTTPSリクエストに含まれている電子証明書にもとづく認証結果(クライアント認証結果)と証明書情報とを含む証明書認証結果情報と、プロトコル情報とを、SSLポリシーとしてHTTPリクエストヘッダに追加し(ステップS2)、そのヘッダを含むHTTPリクエストを例えばWebアプリケーションサーバ50Aに送付する(ステップS3)。
HTTPリクエストを受けると、Webアプリケーションサーバ50Aは、DB51にアクセスして、HTTPリクエストヘッダに含まれている証明書情報に応じたユーザ情報を確認し(ステップS4)、DB51からユーザ属性情報(図3(B)参照)を読み出す(ステップS5)。次いで、Webアプリケーションサーバ50Aは、DB51にアクセスして、ユーザ属性情報から対象ユーザが属するコーポレートについてのグループセキュリティポリシー(図3(A)のテーブルに設定されているコーポレートのポリシー)を確認し(ステップS6)、DB51からグループセキュリティポリシーを取得する(ステップS7)。
次に、Webアプリケーションサーバ50Aは、コーポレート及びユーザ認証ポリシーに応じたWebページを作成し(ステップS8)、SSLProxy+HTTPロードバランサ40にHTTPレスポンスを送付する(ステップS9)。
そして、SSLProxy+HTTPロードバランサ40は、コーポレート端末30BにHTTPSレスポンスを送付する(ステップS10)。HTTPSレスポンスを受信すると、コーポレート端末30Bは、自己が備える表示装置に、HTTPSレスポンスに含まれているWebページ(例えば、ログイン後の画面、エラー画面、バイオメトリクス情報入力画面など)を表示する。
以上に説明したように、クライアント端末からのリクエストが示すアクセス先情報(URL)にもとづいて付加されたクライアント認証方式情報(SSLポリシー)により、クライアントの認証方式を決定し、決定した認証方式に従ってクライアントの認証処理を実行する構成としたので、オンラインストレージサーバ側でクライアント毎に認証方法を決定することができ、その認証方法に応じた認証手段(HTTPSレスポンスに含まれているWebページ)をクライアントアプリケーションに提供することができる。また、クライアントのユーザ毎に異なるセキュリティポリシーを持つ場合においても、クライアントの要求に応じた認証方式を採用することができる。
また、上述した実施の形態では、電子証明書による認証が必要であることが特定可能なアクセス先情報(URLa)であったときにのみ、電子証明書の指定・選択画面をクライアント端末に提示する構成としたので、電子証明書による認証が必要でないクライアントに電子証明書の指定・選択画面が提示されてしまうことを防止することができ、セキュリティレベルを向上させることができる。
すなわち、電子証明書を用いたクライアント認証を行う場合と行わない場合との区別をアクセス先情報により行う構成としたので、電子証明書による認証が必要でないクライアントに電子証明書の指定・選択画面が提示されてしまうことを確実に防止することができ、セキュリティポリシーが異なるユーザの要求を同一のアプリケーションサーバで制御することができる。
なお、上述した実施の形態では、SSLProxy+HTTPロードバランサ40を用いる構成としていたが、他の負荷分散装置を用いるようにしてもよい。この場合、例えば図10に示すように、負荷分散装置としてSSLロードバランサ45を用いる構成とし、SSLロードバランサ45に上述したSSLProxy+HTTPロードバランサ40が有する機能を持たせ、SSLProxy41が有する機能をWebアプリケーションサーバ50A〜50Cに持たせるようにすればよい。
この場合の処理フローを図11に示す。図11は、図10に示すユーザ認証システムにおける電子証明書認証と認証結果の確認処理の例を示すタイミングチャートである。ここでは、コーポレート端末30Bは、先ず、SSLロードバランサ45によって決定されたWebアプリケーションサーバ50A〜50Cのいずれかとの間でSSLセッションを構築したあと、HTTPSリクエストをSSLセッションを構築したWebアプリケーションサーバ(ここではWebアプリケーションサーバ50Aとする)に送付する(ステップS1)。
HTTPリクエストを受けると、Webアプリケーションサーバ50Aは、HTTPSリクエストに含まれている電子証明書にもとづく認証結果(クライアント認証結果)と証明書情報とを含む証明書認証結果情報と、プロトコル情報とを、SSLポリシーとしてHTTPリクエストヘッダに追加する(ステップS2)。
次いで、Webアプリケーションサーバ50Aは、DB51にアクセスして、HTTPリクエストヘッダに含まれている証明書情報に応じたユーザ情報を確認し(ステップS4)、DB51からユーザ属性情報(図3(B)参照)を読み出す(ステップS5)。次いで、Webアプリケーションサーバ50Aは、DB51にアクセスして、ユーザ属性情報から対象ユーザが属するコーポレートについてのグループセキュリティポリシー(図3(A)のテーブルに設定されているコーポレートのポリシー)を確認し(ステップS6)、DB51からグループセキュリティポリシーを取得する(ステップS7)。
次に、Webアプリケーションサーバ50Aは、コーポレート及びユーザ認証ポリシーに応じたWebページを作成し(ステップS8)、コーポレート端末30BにHTTPSレスポンスを送付する(ステップS10)。
また、上述した実施の形態では、SSLProxy+HTTPロードバランサ40を用いる構成としていたが、例えば図12に示すように、SSLProxy+HTTPロードバランサ40に代えて、HTTPロードバランサ48と、VPN終端装置46と、VPN認証情報管理サーバ47とを設ける構成としてもよい。なお、図13は、図12の構成とした場合における処理タイミング図である。
図13に示すように、コーポレート端末30Bは、先ず、VPN終端装置46との間でリモートアクセスVPNを構築する(ステップS21)。リモートアクセスVPNが構築されると、VPN終端装置46は、ユーザ名、割り当てたIPアドレス、及び認証方式をVPN認証情報管理サーバ47に登録する(ステップS22)。
次いで、コーポレート端末30Bは、HTTPロードバランサ48によって選択されたWebアプリケーションサーバ50Aに対して、HTTPリクエストを送付する(ステップS1)。
HTTPリクエストを受けると、Webアプリケーションサーバ50Aは、VPN認証情報管理サーバ47にアクセスし、IPアドレスからユーザ名を取得する(ステップS23,S24)。
次いで、Webアプリケーションサーバ50Aは、DB51にアクセスして、HTTPリクエストヘッダに含まれている証明書情報に応じたユーザ情報を確認し(ステップS4)、DB51からユーザ属性情報(図3(B)参照)を読み出す(ステップS5)。次いで、Webアプリケーションサーバ50Aは、DB51にアクセスして、ユーザ属性情報から対象ユーザが属するコーポレートについてのグループセキュリティポリシー(図3(A)のテーブルに設定されているコーポレートのポリシー)を確認し(ステップS6)、DB51からグループセキュリティポリシーを取得する(ステップS7)。
次に、Webアプリケーションサーバ50Aは、グループセキュリティポリシーに応じたWebページを作成し(ステップS25)、コーポレート端末30BにHTTPレスポンスを送付する(ステップS9)。
また、上述した実施の形態においては特に言及していないが、本システム100を構成する各部(例えばアプリケーションサーバ50A〜50C、SSLProxy+HTTPロードバランサ40等)は、本システム100に搭載された制御プログラム(例えばクライアント認証プログラム)によって上述した各種の処理を実行している。
なお、上述した実施の形態では、コーポレート端末30A〜30Cを管理する各コーポレートがクライアントであるものとして説明したが、クライアントの単位はコーポレートでなくてもよい。
本発明によれば、アプリケーションサーバ側でクライアントを認証し、異なるセキュリティポリシーのクライアントの要求に応じた認証方式を採用するのに有用である。
本発明の一実施の形態におけるユーザ認証システムの構成例を示すブロック図である。 SSLProxy+HTTPロードバランサの構成の例等を示すブロック図である。 図3(A)は、コーポレート追加オプション管理テーブルを示す説明図である。図3(B)は、ユーザ管理テーブルを示す説明図である。 クライアント認証とパスワード入力、及び利用ドメインの関係を示す説明図である。 本発明の一実施の形態におけるユーザ認証システムにおけるアプリケーションサーバが実行するログイン処理の例を示すフローチャートである。 本発明の一実施の形態におけるユーザ認証システムにおけるアプリケーションサーバが実行するログイン処理の例を示すフローチャートである。 本発明の一実施の形態におけるユーザ認証システムにおけるアプリケーションサーバが実行するログイン処理の他の例を示すフローチャートである。 本発明の一実施の形態におけるユーザ認証システムにおけるアプリケーションサーバが実行するログイン処理の他の例を示すフローチャートである。 本例のユーザ認証システムにおける電子証明書認証と認証結果の確認処理の例を示すタイミングチャートである。 ユーザ認証システムの他の構成例を示すブロック図である。 他の例のユーザ認証システムにおける電子証明書認証と認証結果の確認処理の例を示すタイミングチャートである。 ユーザ認証システムのさらに他の構成例を示すブロック図である。 さらに他の例のユーザ認証システムにおける電子証明書認証と認証結果の確認処理の例を示すタイミングチャートである。
符号の説明
10 管理端末
20 CA局サーバ
30A〜30C コーポレート端末
40 SLLProxy+HTTPロードバランサ
50A〜50C Webアプリケーションサーバ
51 DB
60 通信ネットワーク

Claims (10)

  1. クライアントによって管理されるクライアント端末からのリクエストにもとづいて前記クライアントの認証処理を行い、該認証処理により認証したことを条件に、通信ネットワークに接続された各種のデータを記憶する記憶装置へのアクセスを許容するオンラインストレージサーバを備えたオンラインストレージ認証システムであって、
    前記オンラインストレージサーバは、
    前記クライアント端末からのリクエストが示すアクセス先情報にもとづいて付加されたクライアント認証方式情報にもとづいて、前記クライアントの認証方式を決定する認証方式決定手段と、
    該認証方式決定手段が決定した認証方式に従ってクライアントの認証処理を実行するクライアント認証処理手段とを有する
    ことを特徴とするオンラインストレージ認証システム。
  2. クライアント端末からのリクエストを受け付けて、オンラインストレージサーバに転送するリクエスト転送装置をさらに備え、
    該リクエスト転送装置は、
    前記クライアント端末からのリクエストが示すアクセス先情報に応じてクライアント認証方式を特定し、特定したクライアント認証方式を示すクライアント認証方式情報を前記リクエストに付加するクライアント認証方式情報付加手段と、
    該クライアント認証方式情報付加手段によりクライアント認証方式情報が付加されたリクエストを前記オンラインストレージサーバに転送するリクエスト転送手段とを有する
    請求項1記載のオンラインストレージ認証システム。
  3. クライアント認証方式には、電子証明書による電子証明書認証方式と、ID/パスワードによるパスワード認証方式とを含む
    請求項2記載のオンラインストレージ認証システム。
  4. リクエスト転送装置は、特定したクライアント認証方式に電子証明書認証方式が含まれていたときは、リクエストに添付されている電子証明書を用いた電子証明書認証処理を行う電子証明書認証処理手段を有し、
    クライアント認証方式情報付加手段は、前記電子証明書認証処理手段による電子証明書認証処理の処理結果を示す電子証明書認証結果をオンラインストレージサーバでのクライアント認証方式としてクライアント認証方式情報に含める
    請求項3記載のオンラインストレージ認証システム。
  5. 認証方式決定手段は、クライアント認証方式情報に電子証明書認証結果が含まれていた場合には、該電子証明書認証結果の確認によりクライアントを認証する認証方式を含むことに決定し、
    クライアント認証処理手段は、前記認証方式決定手段の決定に従って、前記電子証明書認証結果を確認し、その確認結果にもとづくクライアントの認証処理を実行する
    請求項4記載のオンラインストレージ認証システム。
  6. クライアントによって管理されるクライアント端末からのリクエストにもとづいて前記クライアントの認証処理を行い、該認証処理により認証したことを条件に、通信ネットワークに接続された各種のデータを記憶する記憶装置へのアクセスを許容するオンラインストレージ認証方法であって、
    前記クライアント端末からのリクエストが示すアクセス先情報にもとづいて付加されたクライアント認証方式情報にもとづいて、前記クライアントの認証方式を決定する認証方式決定処理と、
    該認証方式決定処理にて決定した認証方式に従ってクライアントの認証処理を実行するクライアント認証処理とを含む
    ことを特徴とするオンラインストレージ認証方法。
  7. クライアント端末からのリクエストが示すアクセス先情報に応じてクライアント認証方式を特定し、特定したクライアント認証方式を示すクライアント認証方式情報を前記リクエストに付加するクライアント認証方式情報付加処理と、
    該クライアント認証方式情報付加処理にてクライアント認証方式情報を付加したリクエストを転送するリクエスト転送処理とを含み、
    認証方式決定処理では、前記リクエスト転送処理にて転送したリクエストを前記クライアント端末からのリクエストとしてクライアントの認証方式を決定する
    請求項6記載のオンラインストレージ認証方法。
  8. クライアント認証方式には、電子証明書による電子証明書認証方式と、ID/パスワードによるパスワード認証方式とを含む
    請求項7記載のオンラインストレージ認証方法。
  9. クライアントによって管理されるクライアント端末からのリクエストにもとづいて前記クライアントの認証処理を実行させ、該認証処理により認証したことを条件に、通信ネットワークに接続された各種のデータを記憶する記憶装置へのアクセスを許容させるオンラインストレージ認証プログラムであって、
    コンピュータに、
    前記クライアント端末からのリクエストが示すアクセス先情報にもとづいて付加されたクライアント認証方式情報にもとづいて、前記クライアントの認証方式を決定する認証方式決定処理と、
    該認証方式決定処理にて決定した認証方式に従ってクライアントの認証処理を実行するクライアント認証処理とを
    実行させるためのオンラインストレージ認証プログラム。
  10. コンピュータに、
    さらに、クライアント端末からのリクエストが示すアクセス先情報に応じてクライアント認証方式を特定し、特定したクライアント認証方式を示すクライアント認証方式情報を前記リクエストに付加するクライアント認証方式情報付加処理と、
    該クライアント認証方式情報付加処理にてクライアント認証方式情報を付加したリクエストを転送するリクエスト転送処理とを実行させ、
    認証方式決定処理では、前記リクエスト転送処理にて転送したリクエストを前記クライアント端末からのリクエストとしてクライアントの認証方式を決定させる
    ための請求項9記載のオンラインストレージ認証プログラム。
JP2006099275A 2006-03-31 2006-03-31 オンラインストレージ認証システム、オンラインストレージ認証方法、及びオンラインストレージ認証プログラム Pending JP2007272689A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006099275A JP2007272689A (ja) 2006-03-31 2006-03-31 オンラインストレージ認証システム、オンラインストレージ認証方法、及びオンラインストレージ認証プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006099275A JP2007272689A (ja) 2006-03-31 2006-03-31 オンラインストレージ認証システム、オンラインストレージ認証方法、及びオンラインストレージ認証プログラム

Publications (1)

Publication Number Publication Date
JP2007272689A true JP2007272689A (ja) 2007-10-18

Family

ID=38675414

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006099275A Pending JP2007272689A (ja) 2006-03-31 2006-03-31 オンラインストレージ認証システム、オンラインストレージ認証方法、及びオンラインストレージ認証プログラム

Country Status (1)

Country Link
JP (1) JP2007272689A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009163546A (ja) * 2008-01-08 2009-07-23 Nec Corp ゲートウェイ、中継方法及びプログラム
JP2010026600A (ja) * 2008-07-15 2010-02-04 Fujitsu Ltd Webアプリケーション検査プログラム、テスト実行装置、およびテスト実行方法
JP2016115369A (ja) * 2016-02-03 2016-06-23 キヤノン株式会社 認証装置、方法、及びプログラム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000201188A (ja) * 1999-01-05 2000-07-18 Sony Corp デ―タ伝送方法
JP2001086156A (ja) * 1999-09-10 2001-03-30 Fujitsu Ltd 拡張pppフレームを用いた通信システム
JP2003337868A (ja) * 2002-05-20 2003-11-28 Sony Corp サービス提供システム
WO2005081471A1 (ja) * 2004-02-25 2005-09-01 Hitachi Communication Technologies, Ltd. 通信端末装置、通信接続装置、ならびに、これらを用いた通信方法
JP2006018399A (ja) * 2004-06-30 2006-01-19 Canon Inc 情報処理装置、情報処理方法およびプログラム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000201188A (ja) * 1999-01-05 2000-07-18 Sony Corp デ―タ伝送方法
JP2001086156A (ja) * 1999-09-10 2001-03-30 Fujitsu Ltd 拡張pppフレームを用いた通信システム
JP2003337868A (ja) * 2002-05-20 2003-11-28 Sony Corp サービス提供システム
WO2005081471A1 (ja) * 2004-02-25 2005-09-01 Hitachi Communication Technologies, Ltd. 通信端末装置、通信接続装置、ならびに、これらを用いた通信方法
JP2006018399A (ja) * 2004-06-30 2006-01-19 Canon Inc 情報処理装置、情報処理方法およびプログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009163546A (ja) * 2008-01-08 2009-07-23 Nec Corp ゲートウェイ、中継方法及びプログラム
JP2010026600A (ja) * 2008-07-15 2010-02-04 Fujitsu Ltd Webアプリケーション検査プログラム、テスト実行装置、およびテスト実行方法
JP2016115369A (ja) * 2016-02-03 2016-06-23 キヤノン株式会社 認証装置、方法、及びプログラム

Similar Documents

Publication Publication Date Title
JP6754809B2 (ja) 共通エンドポイントにアクセスするために異なるディレクトリに記憶される認証情報を使用すること
TWI400922B (zh) 在聯盟中主用者之認證
CN110138718B (zh) 信息处理系统及其控制方法
KR100800339B1 (ko) 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템
JP5614340B2 (ja) システム、認証情報管理方法、およびプログラム
JP4782986B2 (ja) パブリックキー暗号法を用いたインターネット上でのシングルサインオン
TWI467982B (zh) 用於組合存取控制系統和流量管理系統的系統和方法
JP5942503B2 (ja) サービス要求装置、サービス要求方法およびサービス要求プログラム
JP5375976B2 (ja) 認証方法、認証システムおよび認証プログラム
EP2338262B1 (en) Service provider access
WO2018010146A1 (zh) 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器
JP2007310512A (ja) 通信システム、サービス提供サーバおよびユーザ認証サーバ
JP7096736B2 (ja) システム、及びデータ処理方法
JP2007293760A (ja) 個別認証を用いたシングルサインオン連携方法およびシステム
JP4579597B2 (ja) 情報処理装置、情報処理方法およびプログラム
JP2006031064A (ja) セッション管理システム及び管理方法
JP2007272689A (ja) オンラインストレージ認証システム、オンラインストレージ認証方法、及びオンラインストレージ認証プログラム
JP4573559B2 (ja) 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム
JP6710230B2 (ja) 認証システム及び認証方法
JP5806067B2 (ja) サーバ装置及びサーバ装置の制御方法
JP2020053100A (ja) 情報処理システムと、その制御方法とプログラム
TWI666567B (zh) 伺服器及其防火牆規則管理方法
JP4832941B2 (ja) 通信状態保障システム、通信状態保障方法および通信状態保障プログラム
JP5863398B2 (ja) サーバ装置及びサーバ装置の制御方法
WO2013131276A1 (en) Method and apparatus for communicating security information

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20071106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20071107

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090317

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110921

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110927

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111213

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120228