JP2010193192A - アクセス制御装置、アクセス制御方法、アクセス制御プログラムおよびサービス提供システム - Google Patents
アクセス制御装置、アクセス制御方法、アクセス制御プログラムおよびサービス提供システム Download PDFInfo
- Publication number
- JP2010193192A JP2010193192A JP2009035720A JP2009035720A JP2010193192A JP 2010193192 A JP2010193192 A JP 2010193192A JP 2009035720 A JP2009035720 A JP 2009035720A JP 2009035720 A JP2009035720 A JP 2009035720A JP 2010193192 A JP2010193192 A JP 2010193192A
- Authority
- JP
- Japan
- Prior art keywords
- access
- user terminal
- related information
- application server
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】ネットワークを介したデータ送受信に際して、どのようなアプリケーションのデータであっても、アクセスネットワークに応じて制御することと、アクセスネットワークのセキュリティレベルに応じて、アプリケーションの使用を制御することを課題とする。
【解決手段】本願が開示するサービス提供システムのアクセス制御装置は、ユーザ端末との間のアクセスネットワーク確立時の接続情報から、ユーザ端末を識別するユーザ識別情報と、確立されたアクセスネットワークを識別するアクセス関連情報とを取得し、それぞれを対応付けてアクセス関連情報記憶部に格納する。そして、アクセス制御装置は、ユーザ端末からアプリケーションサーバへの接続要求を受信した場合に、ユーザ端末に対応するアクセス関連情報を取得し接続要求とともにアプリケーションサーバに送信する。
【選択図】図2
【解決手段】本願が開示するサービス提供システムのアクセス制御装置は、ユーザ端末との間のアクセスネットワーク確立時の接続情報から、ユーザ端末を識別するユーザ識別情報と、確立されたアクセスネットワークを識別するアクセス関連情報とを取得し、それぞれを対応付けてアクセス関連情報記憶部に格納する。そして、アクセス制御装置は、ユーザ端末からアプリケーションサーバへの接続要求を受信した場合に、ユーザ端末に対応するアクセス関連情報を取得し接続要求とともにアプリケーションサーバに送信する。
【選択図】図2
Description
本発明は、各種サービスをユーザ端末に提供するアプリケーションサーバと前記ユーザ端末とのそれぞれと接続され、前記アプリケーションサーバとユーザ端末との間の通信を中継するアクセス制御装置、アクセス制御方法、アクセス制御プログラムおよびサービス提供システムに関する。
近年、インターネットやVPN(Virtual Private Network)などのネットワーク技術が発展し、さらに、xDSL(x Digital Subscriber Line)や光ファイバーなど高速回線が普及している。
これらネットワーク技術の発展や高速回線の普及に伴って、企業などでは、社員同士のデータ交換、サーバからのデータ読み出し、サーバへのデータ格納など社員のデータ操作を企業内LAN(Local Area Network)内での閉じた領域内に限らず、社外からも許可する取り組みが行われている。
社員のデータ操作を社外からも許可するアクセス制御としては、例えば、複数ある支社とそれぞれ専用線で接続してデータ操作を可能としたり、VPNソフトウエアを用いて限られた資源(データ)のみのアクセスを許可したりするアクセス制御などが利用されている。また、例えば、外部からアクセスに対してユーザ認証(ユーザID、パスワードなど)を行って許可されたユーザに対して、予め設定された操作可能な資源(データ)のみへのアクセスを許可したりするアクセス制御なども利用されている。このように、企業では、不正なアクセスを防止したり、データの漏洩を防止したりするために、セキュリティを高く保つことに留意しつつ、社外からもデータ操作を可能とする様々なアクセス制御を利用している。
しかしながら、上記した従来のアクセス制御では、音声や映像などのストリーミング系サービスでは、利用者端末と接続するアクセスネットワークを考慮してデータ送受信の制御を可能としているが、それ以外のアプリケーションの場合は、アクセスネットワークに応じた制御ができないという課題があった。
また、従来のアクセス制御では、暗号化を行わないなどセキュリティが低く信頼性が低いアクセスネットワークで接続されるユーザ端末に対しても、機密性の高いアプリケーションを提供することができるなど、アクセスネットワークのセキュリティレベルに応じて、アプリケーションの使用を制御することができないという課題があった。
これらの課題について具体的に説明すると、例えば、ストリーミング系サービスでは、アクセスネットワークの帯域を考慮して、ストリーミングデータを利用者端末に送信することができるが、人事システム(人事データ)、出勤管理システム(出勤記録データ)などのアプリケーションの場合は、アクセスネットワークの帯域を考慮して、利用者端末にデータ送信することができない。したがって、狭帯域の回線に膨大なデータを送信することが度々起こったり、広帯域の回線にデータを少量ずつ送信したりするなど、アクセスネットワークやインターネットなどを含むシステムを構築するネットワーク全体の遅延や輻輳を引き起こす原因となっていた。
また、近年、自宅から会社に接続できるなど、ユーザが様々なアクセスネットワーク(回線)から企業網などの閉域網にアクセスすることができる状況になってきたが、ユーザが利用するアクセスネットワークの信頼性は必ずしも高いとは限らない。そのため、セキュリティが低く信頼性が低いアクセスネットワークで接続されるユーザ端末が、機密性の高い情報へアクセスすることができ、情報漏洩に繋がる可能性が高い。これらを防ぐために、様々なアプリケーションを提供するアプリケーションサーバ側でアクセスネットワークごとにアクセス制御(アクセス設定)を行うことも考えられるが、ユーザが利用するアクセスネットワークの種類が膨大であり、ユーザごとにアクセス制御を設定することが複雑で手間がかかるので、現実的でない。
本発明は、上記に鑑みてなされたものであって、ネットワークを介したデータ送受信に際して、どのようなアプリケーションのデータであっても、アクセスネットワークに応じた制御が可能であることと、アクセスネットワークのセキュリティレベルに応じて、アプリケーションの使用を制御することが可能であるアクセス制御装置、アクセス制御方法、アクセス制御プログラムおよびサービス提供システムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、各種サービスをユーザ端末に提供するアプリケーションサーバと前記ユーザ端末とのそれぞれと接続され、前記アプリケーションサーバとユーザ端末との間の通信を中継するアクセス制御装置であって、前記ユーザ端末との間のアクセスネットワーク確立時の接続情報から、当該ユーザ端末を識別するユーザ識別情報と、当該確立されたアクセスネットワークを識別するアクセス関連情報とを取得し、それぞれを対応付けてアクセス関連情報記憶部に格納するアクセス関連情報格納手段と、前記ユーザ端末から前記アプリケーションサーバへの接続要求を受信した場合に、当該ユーザ端末に対応するアクセス関連情報を前記アクセス関連情報記憶部から取得し、取得したアクセス関連情報を前記接続要求とともに、前記アプリケーションサーバに送信するアクセス関連情報送信手段と、を備えたことを特徴とする。
本発明は、ネットワークを介したデータ送受信に際して、どのようなアプリケーションのデータであっても、アクセスネットワークに応じた制御が可能であるという効果を奏する。
以下に、本発明にかかるアクセス制御装置、アクセス制御方法、アクセス制御プログラムおよびサービス提供システムの実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
図1に示すように、本願が開示するサービス提供システムは、サービスを利用するユーザ端末と、サービスを提供するアプリケーションサーバと、アプリケーションサーバとユーザ端末とのそれぞれと接続されて通信を中継するアクセス制御装置とを有して構成される。なお、本願が開示するサービス提供システムは、上記した各装置以外にも、様々なサーバ装置、ネットワーク装置を含んでいてもよい。図1は、実施例1に係るサービス提供システムの全体構成を示した図である。
かかるユーザ端末(特許請求の範囲に記載の「ユーザ端末」)は、Web通信(Webブラウザ)などの機能を有するコンピュータ装置であり、例えば、パーソナルコンピュータ、PDA、携帯電話、Webテレビなどである。
アプリケーションサーバ(特許請求の範囲に記載の「アプリケーションサーバ」)は、アクセス関連情報(例えば、帯域や回線種別など)に応じて、ソフトウエアやサービスをユーザ端末に提供するサーバ装置である。このアプリケーションサーバは、SaaS(Software as a Service)事業者などによって運営され、例えば、企業などと契約して人事システムや予算管理システムなどをアウトソーシングして、インターネット上で専用線やVPNにより社員端末(ユーザ端末)と接続して、サービス提供する形態も実現することができる。なお、本実施例では、社員端末(ユーザ端末)を識別する手法として、ユーザIDやIPアドレスを用いる例について説明するが、これに限定されるものではなく、企業IDなどをさらに用いることで、複数企業のアウトソーシングを行っていても、どの企業の社員かを識別することができる。
アクセス制御装置(特許請求の範囲に記載の「アクセス制御装置」)は、サービスを提供するアプリケーションサーバと、アプリケーションサーバとユーザ端末とのそれぞれと接続され、アドレス変換やデータの載せ換えなどを行うことにより、通信を中継するネットワーク通信機器(例えば、ゲートウェイ)やサーバ装置である。具体的には、アクセス制御装置は、ルータ、プロトコル変換、NAT(Network Address Translation)変換、NAPT(Network Address Port Translation)変換、ファイアウォール機能、ファイアウォールのルール動的変更などの機能を有していてもよい。
このような構成において、本願が開示するサービス提供システムは、ネットワークを介したデータ送受信に際して、どのようなアプリケーションのデータであっても、アクセスネットワークに応じた制御ができ、また、アクセスネットワークのセキュリティレベルに応じて、アプリケーションの使用を制御することができる。
具体的に説明すると、アプリケーションサーバは、「サービス名、データ、アクセス関連情報」として「サービスA、社員情報、帯域B・VPN」、「サービスB、予算管理、帯域B・VPN(IPsec)」、「サービスC、オフィスツール、帯域A・VPN(IPsec)」、「サービスD、バックアップ、帯域A・VPN」などを記憶するサービスDBを有する。ここで記憶される「サービス名」とは、アプリケーションサーバが提供するサービスを一意に識別する識別子であり、「データ」とは、アプリケーションサーバが提供する資源やソフトウエアなどを示す情報であり、「アクセス管理情報」とは、ユーザ端末が利用するアクセスネットワークを示す情報である。なお、アクセスネットワークとは、ユーザ端末が直接接続(アクセス)される網で確立されたネットワークであり、例えば、ユーザ端末から電話局やインターネットサービスプロバイダ(ISP)までの間のネットワーク(WAN:Wide Area Network)のことである。
そして、図1に示すように、アクセス制御装置は、ユーザ端末との間のアクセスネットワーク確立時の接続情報から、当該ユーザ端末を識別する識別情報と、当該確立されたアクセスネットワークを識別するアクセス関連情報とを取得し、それぞれを対応付けてアクセス関連DBに格納する(図1の(1)と(2)参照)。
例えば、アクセス制御装置は、ユーザ端末Aとの間で確立されたVPN通信に含まれる情報から「IPアドレス=x.x.x.x、帯域=帯域A、VPN種別=IPsec」を取得し、これらを対応付けてアクセス関連DBに格納する。同様に、アクセス制御装置は、ユーザ端Bとの間で確立したVPN通信に含まれる情報から「IPアドレス=y.y.y.y、帯域=帯域B、VPN種別=SSL」を取得し、これらを対応付けてアクセス関連DBに格納する。
その後、アクセス制御装置は、ユーザ端末からアプリケーションサーバへの接続要求を受信した場合に、当該ユーザ端末に対応するアクセス関連情報をアクセス関連DBから取得し、取得したアクセス関連情報を接続要求とともに、アプリケーションサーバに送信する(図1の(3)と(4)参照)。
例えば、アクセス制御装置は、ユーザ端末Aからアプリケーションサーバへの接続要求を受信した場合に、当該接続要求から「IPアドレス=x.x.x.x」を取得し、取得した「IPアドレス=x.x.x.x」に対応するアクセス関連情報「IPアドレス=x.x.x.x、帯域=帯域A、VPN種別=IPsec」をアクセス関連DBから取得する。そして、アクセス制御装置は、アクセス関連DBから取得したアクセス関連情報「IPアドレス=x.x.x.x、帯域=帯域A、VPN種別=IPsec」と、ユーザ端末Aから受信した接続要求とをアプリケーションサーバへ送信する。
すると、アプリケーションサーバは、アクセス制御装置から受信したアクセス関連情報に基づいて、ユーザ端末Aにサービスを提供する(図1の(5)参照)。例えば、アプリケーションサーバは、アクセス関連情報「IPアドレス=x.x.x.x、帯域=帯域A、VPN種別=IPsec」をアクセス制御装置から受信した場合、「帯域=帯域A、VPN種別=IPsec」に対応するサービスとして「サービスC、オフィスツール」をサービスDBから特定する。そして、アプリケーションサーバは、アクセス制御装置から受信したアクセス関連情報「IPアドレス=x.x.x.x」に対して、サービスDBから特定した「サービスC、オフィスツール」を提供する。
このように、実施例1に係るサービス提供システムは、ユーザ端末A「IPアドレス=x.x.x.x」がサービスを利用する回線(例えば、帯域、回線種別)に応じたサービスを提供することができる結果、ネットワークを介したデータ送受信に際して、どのようなアプリケーションのデータであっても、アクセスネットワークに応じた制御ができる。この結果、アクセスネットワークやインターネットなどを含むシステムを構築するネットワーク全体の遅延や輻輳を引き起こす原因も解消することができる。また、ユーザごとにアクセス制御内容を設定して制御する必要も無く、アクセスネットワークの種類などに応じてアクセス制御することができる結果、アクセスネットワークのセキュリティレベルに応じて、アプリケーションの使用を制御することが可能である。
[サービス提供システムの構成]
次に、図2を用いて、図1に示したサービス提供システムの構成を説明する。図2は、実施例1に係るサービス提供システムの構成を示すブロック図である。ここでは、サービス提供システムにおけるユーザ端末、アクセス制御装置、アプリケーションサーバの各構成について説明する。
次に、図2を用いて、図1に示したサービス提供システムの構成を説明する。図2は、実施例1に係るサービス提供システムの構成を示すブロック図である。ここでは、サービス提供システムにおけるユーザ端末、アクセス制御装置、アプリケーションサーバの各構成について説明する。
(ユーザ端末の構成)
図2に示すように、ユーザ端末10は、通信制御I/F部11と、記憶部12と、制御部15とがバスによって相互に接続されて構成される。
図2に示すように、ユーザ端末10は、通信制御I/F部11と、記憶部12と、制御部15とがバスによって相互に接続されて構成される。
かかる通信制御I/F部11は、アクセスネットワークを介してアクセス制御装置20との間でやり取りされる通信を制御したり、ネットワークを介してアプリケーションサーバ30から提供されるサービスに関する通信を制御したりする。例えば、通信制御I/F部11は、アクセス制御装置20との間で確立されたWeb通信、VPN通信などを制御したり、サービス提供装置30から提供されるストリーミングなどを制御したりする。
記憶部12は、制御部15による各種処理に必要なデータおよびプログラムを格納したり、ネットワークに接続するために必要なIPアドレスや他の装置と通信するためのルーティング情報などを記憶したりする。
制御部15は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、接続部15aと、VPN接続部15bと、サービス利用部15cとを有し、これらによって種々の処理を実行する。
接続部15aは、ユーザに指定されたプロトコルを用いて、アクセス制御装置20と通信を確立する。例えば、接続部15aは、ユーザによってWebブラウザが起動された場合には、アクセス制御装置20との間でHTTP通信などを確立する。また、例えば、接続部15aは、TENLETやFTPなどのサービスが起動された場合には、当該サービス上で各種コマンドを受け付けて、アクセス制御装置20に各種要求を送信する。
VPN接続部15bは、アクセス制御装置20との間でVPN通信を確立する。具体的には、VPN接続部15bは、アクセス制御装置20にVPN接続要求を送信する。そして、VPN接続部15bは、送信したVPN接続要求が許可された応答をアクセス制御装置20から受信すると、例えば、IPsecやSSLなど予め指定された種別のVPN通信をアクセス制御装置20との間で確立する。
サービス利用部15cは、アプリケーションサーバ30から提供されるサービスを利用する。具体的には、サービス利用部15cは、ユーザの操作によりWebブラウザやサービス専用のソフトウエアなどを起動し、VPN接続部15bにより確立されたVPN通信を用いて、アクセス制御装置20を介した通信でサービス利用要求(サービス接続要求)をアプリケーションサーバ30に送信する。その後、サービス利用部15cは、アクセス制御装置20を介して、アプリケーションサーバ30との間で通信を確立し、確立した通信を用いて提供されるサービスによって得られた情報をディスプレイやモニタなどの表示部などに表示出力する。なお、サービス利用部15cが送信するサービス利用要求には、接続先となるアプリケーションサーバを特定する接続先URLやアプリケーションサーバのIPアドレスなどが含まれる。
(アクセス制御装置の構成)
図2に示すように、アクセス制御装置20は、通信制御I/F部21と、記憶部22と、制御部25とがバスによって相互に接続されて構成される。
図2に示すように、アクセス制御装置20は、通信制御I/F部21と、記憶部22と、制御部25とがバスによって相互に接続されて構成される。
通信制御I/F部21は、アクセスネットワークなどを介して、他の装置との間でやり取りされる通信を制御する。具体的には、通信制御I/F部21は、ユーザ端末10からVPN接続要求やサービス利用要求などを受信したり、アプリケーションサーバ30にサービス利用要求を送信したり、アプリケーションサーバ30からサービスを受信してユーザ端末10に送信したりする。
記憶部22は、制御部25による各種処理に必要なデータおよびプログラムを格納したり、ネットワークに接続するために必要なIPアドレスや他の装置と通信するためのルーティング情報やアクセスネットワークを確立する際のユーザ認証に用いる「アクセスネットワーク確立用のID、パスワード」などを記憶したりし、特に、認証DB22aと、アクセス関連DB22bとを有する。
認証DB22aは、確立されたアクセスネットワークを用いて、アクセスしてきたアプリケーションを使用するユーザ端末を認証するための認証情報を記憶する。具体的には、認証DB22aは、図3に示すように、「ユーザID、パスワード」として「001、aaa」や「002、abc」などを記憶する。
ここで記憶される「ユーザID」とは、ユーザ端末を一意に識別する識別子であり、「パスワード」とは、ユーザにより指定されたユーザを特定するための情報である。なお、ここで記憶される情報は、アクセス制御装置20を提供する企業と、ユーザ端末の利用者であるユーザとの間で、オンラインやオフラインによって予め契約された内容に基づいて登録される情報である。また、図3は、認証DBに記憶される情報の例を示す図である。
アクセス関連DB22bは、ユーザ端末を識別する識別情報と、当該確立されたアクセスネットワークを識別するアクセス関連情報とを対応付けて記憶する。具体的には、アクセス関連DB22bは、図4に示すように、「アクセス回線ID、ユーザ端末IPアドレス、ユーザID、サービス名、回線種別、帯域」として「sec01、x.x.x.x、001、FTP(File Transfer Protocol)/HTTP(HyperText Transfer Protocol)、VPN(IPsec)、384kbps」、「sec02、y.y.y.y、002、TELNET、VPN(SSL)、10Mbps」や「11111、z.z.z.z、003、HTTP、MPLS、1Gbps」などを記憶する。
ここで記憶される「アクセス回線ID」は、ユーザ端末との間でアクセス回線を利用するために、ユーザ端末とアクセス制御装置20との間で共通で所持されるIDであり、例えば、IPsec認証用ID、SSL−VPN認証用ID、MPLSラベルなどである。また、「ユーザ端末IPアドレス」は、ユーザ端末が利用するIPアドレス情報である。また、「ユーザID」は、ユーザに一意に割り当てられた識別子であり、「サービス」は、ユーザ端末が使用するプトロコル(サービス)種別を示す情報である。また、「回線種別」は、ユーザが使用するアクセスネットワーク(回線)の種別を示す情報であり、「帯域」とは、ユーザが使用するアクセスネットワーク(回線)の帯域を示す情報である。なお、「サービス」、「回線種別」、「帯域」は、ユーザ端末との間で確立されたアクセスネットワークなどから取得することができる。また、図4は、アクセス関連DBに記憶される情報の例を示す図である。
制御部25は、OS(Operating System)やNOS(Network Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、認証部25aと、VPN終端機能部25bと、アクセス関連情報収集部25cと、アクセス関連情報変換部25dと、アクセス関連情報送信部25eと、ルーティング・ファイアウォール制御部25fと、ルーティング・ファイアウォール接続部25gとを有し、これらによって種々の処理を実行する。
認証部25aは、アクセスネットワークの確立を要求するユーザ端末が契約済みの正当なユーザ端末であるか否かを認証する。例えば、認証部25aは、ユーザ端末から「アクセスネットワーク確立用のID、パスワード」を入力させる画面を当該ユーザ端末に対して表示する。そして、認証部25aは、ユーザ端末から受け付けた「アクセスネットワーク確立用のID、パスワード」が記憶部22に記憶されている場合に、当該認証を許可してアクセスネットワークを確立し、記憶部22に記憶されていない場合に、当該認証を拒否する。そして、認証部25aは、ユーザ端末が正当なユーザ端末であると認証された結果を後述するVPN終端機能部25bに送信する。
また、認証部25aは、確立されたアクセスネットワークを用いて、アクセスしてきたアプリケーションを使用するユーザ端末を認証する。つまり、認証部25aは、アクセスネットワークが確立されたユーザ端末から送信されたアクセス接続要求(サービス利用要求)をアプリケーションレベルで認証する。
具体的には、認証部25aは、ユーザ端末からアクセス接続要求(サービス利用要求)を受信した場合に、当該要求を送信するアプリケーションから「ユーザID」と「パスワード」とを取得する。そして、認証部25aは、アプリケーションから取得した「ユーザID」と「パスワード」とが対応付けて認証DB22aに記憶されているか否かにより、アプリケーションレベルでのユーザ認証を実行する。
VPN終端機能部25bは、アクセス制御装置20とユーザ端末との間で接続されるVPNを終端する。具体的には、VPN終端機能部25bは、認証部25aによってアクセスネットワークが確立されたユーザ端末からVPN接続要求を受信した場合に、既存のVPN接続手法(鍵交換や暗号化手法など)を用いて、ユーザ端末の間でVPN通信を確立する。そして、VPN終端機能部25bは、ユーザ端末との間にVPN通信を確立したことを後述するアクセス関連情報収集部25cなどに送信する。なお、VPN種別(IPsec、SSL、MPLSなど)ごとにVPN終端機能部を設けるようにしてもよい。
また、VPN終端機能部25bは、アクセス制御装置20とは別の筺体で実現されていてもよい。例えば、A社製造のVPN終端装置、B社製造のVPN終端装置、C社製造のVPN終端装置などのように、アクセス制御装置20とは別の筺体で実現し、これらをアクセス制御装置20とそれぞれ接続することで、上記した処理を実施することもできる。
アクセス関連情報収集部25cは、ユーザ端末との間のアクセスネットワーク確立時の接続情報から、当該ユーザ端末を識別する識別情報と、当該確立されたアクセスネットワークを識別するアクセス関連情報とを取得し、それぞれを対応付けてアクセス関連DB22bに格納する。具体的には、アクセス関連情報収集部25cは、ユーザ端末との間にVPN通信を確立したことをVPN終端機能部25bから受信すると、確立されたVPN通信(または、VPN終端機能部25b)からアクセス関連情報「アクセス回線ID、ユーザ端末IPアドレス、ユーザID、サービス名、回線種別、帯域」(図4参照)を取得して、アクセス関連DB22bに格納する。
例えば、IPアドレス「x.x.x.x」のユーザ端末との間で、VPN(IPsec)が確立された場合、アクセス関連情報収集部25cは、確立されたVPN通信内(または、VPN終端機能部25bが所持する情報内)からアクセス関連情報「アクセス回線ID、ユーザ端末IPアドレス、ユーザID、サービス名、回線種別、帯域」として「sec01、x.x.x.x、001、FTP/HTTP、VPN(IPsec)、384kbps」を取得してアクセス関連DB22bに格納する。
また、例えば、ユーザ端末との間で、A社製造のVPN終端装置によってVPNが確立された場合、アクセス関連情報収集部25cは、A社製造のVPN終端装置からアクセス関連情報「アクセス回線ID、ユーザ端末IPアドレス、ユーザID、サービス名、回線種別、帯域」を取得してアクセス関連DB22bに格納することもできる。
なお、ユーザ端末との間で確立されるVPN種別や、VPN終端装置の製造会社の違い等によって、上記したアクセス関連情報を定義するフォーマットが異なるが、いずれのフォーマットであっても、アクセス関連情報を取得する。
アクセス関連情報変換部25dは、VPN種別ごと等に異なるフォーマットのアクセス関連情報を統一フォーマットに変換し、事前設定された送信先に送信する。具体的には、アクセス関連情報変換部25dは、確立されたアクセスネットワークを介して、アプリケーションサーバ30への接続要求(サービス利用要求)を送信したユーザ端末が正当なユーザ端末であると認証部25aによって認証された後に、アプリケーションサーバ30への接続要求からユーザ端末IPアドレスを取得する。そして、アクセス関連情報変換部25dは、取得した「ユーザ端末IPアドレス」に対応付けられてアクセス関連DB22bに記憶される「アクセス関連情報」を取得して、アプリケーションサーバ30で利用可能な統一フォーマットに変換し、アクセス関連情報送信部25eに送信する。
アクセス関連情報送信部25eは、ユーザ端末からアプリケーションサーバ30への接続要求を受信した場合に、当該ユーザ端末に対応するアクセス関連情報をアプリケーションサーバ30に送信する。具体的には、アクセス関連情報送信部25eは、ユーザ端末からアプリケーションサーバ30への接続要求を受信した場合に、アプリケーションサーバ30で利用可能な統一フォーマットに変換された「アクセス関連情報」をアクセス関連情報変換部25dから受信し、この「アクセス関連情報」とユーザ端末から受信したアプリケーションサーバ30への接続要求(サービス利用要求)とをアプリケーションサーバ30に送信する。
また、アクセス関連情報送信部25eは、ルーティング・ファイアウォール制御部25fやルーティング・ファイアウォール接続部25gなどによって、ポート開放やファイアウォール設定変更などの設定変更処理が実施される場合には、当該設定変更処理の終了後に、統一フォーマットに変換された「アクセス関連情報」とアプリケーションサーバ30への接続要求(サービス利用要求)とをアプリケーションサーバ30に送信する。
ルーティング・ファイアウォール制御部25fは、後述するルーティング・ファイアウォール接続部25gを制御する。具体的には、ルーティング・ファイアウォール制御部25fは、アプリケーションサーバ30への接続要求(サービス利用要求)を送信したユーザ端末が正当なユーザ端末であるとアクセス関連情報送信部25eから受信した場合に、受信した情報に含まれるユーザ端末IPアドレスなどの情報に基づいて、ルーティング情報の書換え、ファイアウォール設定変更内容、開放すべきポート番号などから構成される設定変更内容をどのルーティング・ファイアウォール接続部25gに送信するかを特定する。その後、ルーティング・ファイアウォール制御部25fは、特定されたルーティング・ファイアウォール接続部25gに対して設定変更内容を送信する。
ルーティング・ファイアウォール接続部25gは、ルーティング、フィルタリング、IPアドレス変換などの機能を提供する。具体的には、ルーティング・ファイアウォール接続部25gは、ルーティング・ファイアウォール制御部25fから送信された設定変更内容(ルーティング情報の書換え、ファイアウォール設定変更内容、開放すべきポート番号)に従って各種設定変更を実施し、処理が終了したことをルーティング・ファイアウォール制御部25fに送信する。また、ルーティング・ファイアウォール接続部25gは、アプリケーションサーバ30からユーザ端末にサービスが提供されている間、当該サービスを利用させるための各種制御(ルーティング、フィルタリング、IPアドレス変換、VPN制御など)を実施して、通信の確立および中継を行う。
なお、上記したルーティング・ファイアウォール制御部25fとルーティング・ファイアウォール接続部25gは、アクセス制御装置20が有している必要はなく、ファイアウォールなどのようにアクセス制御装置20とは別の筺体で実現されていてもよい。
(アプリケーションサーバの構成)
図2に示すように、アプリケーションサーバ30は、通信制御I/F部31と、記憶部32と、制御部35とがバスによって相互に接続されて構成される。
図2に示すように、アプリケーションサーバ30は、通信制御I/F部31と、記憶部32と、制御部35とがバスによって相互に接続されて構成される。
通信制御I/F部31は、ネットワークを介して、他の装置との間でやり取りされる通信を制御する。具体的には、通信制御I/F部31は、ユーザ端末から送信されたサービス利用要求をアクセス制御装置20を介して受信したり、アクセス制御装置20を介してユーザ端末にサービスを提供したりする。
記憶部32は、制御部35による各種処理に必要なデータおよびプログラムを格納したり、ネットワークに接続するために必要なIPアドレスや他の装置と通信するためのルーティング情報などを記憶したりし、特に、サービスDB32aを有する。
サービスDB32aは、ユーザ端末に提供するサービスを記憶する。具体的には、サービスDB32aは、図5に示すように、「サービス名、データ、アクセス関連情報(回線種別、帯域)」として「サービスA、社員情報、MPLS、5Mbps以上」、「サービスB、予算管理、VPN(SSL)、10Mbps以上」、「サービスC、バックアップ、VPN、100Kps以上」や「サービスD、オフィスツール、VPN(IPsec)、100Kbps以上」などを記憶する。
ここで記憶される「サービス名」とは、アプリケーションサーバ30が提供するサービスを一意に識別する識別子であり、「データ」とは、アプリケーションサーバ30が提供する資源やソフトウエアなどを示す情報である。また、「アクセス管理情報(回線種別)」とは、ユーザ端末が利用するアクセスネットワークの回線種別(VPNなどの種別)を示す情報であり、「アクセス管理情報(帯域)」とは、ユーザ端末が利用するアクセスネットワークの帯域を示す情報である。なお、図5は、サービスDBに記憶される情報の例を示す図である。
制御部35は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、サービス提供部35aを有し、これらによって種々の処理を実行する。
サービス提供部35aは、アクセス制御装置20から受信したアクセス関連情報に基づいて、ユーザ端末にサービスを提供する。具体的には、サービス提供部35aは、サービスの利用要求および当該サービスの利用を要求するユーザ端末のアクセス関連情報をアクセス制御装置20から受信し、受信したアクセス関連情報に基づいて、提供可能サービスを特定する。
例えば、サービス提供部35aは、ユーザ端末のアクセス関連情報として「ユーザ端末IPアドレス=x.x.x.x、サービス名=FTP、回線種別=VPN(IPsec)、帯域=384kbps」をアクセス制御装置20から受信した場合、この「回線種別=VPN(IPsec)」かつ「帯域=384kbps」に該当するサービスとして、「サービスDのオフィスツール」をサービスDB32b(図5参照)から特定する。そして、サービス提供部35aは、「ユーザ端末IPアドレス=x.x.x.x」に対して、FTPを用いて、「オフィスツール」を提供(ダウンロードなど)する。
また、例えば、サービス提供部35aは、受信したアクセス関連情報に該当するサービスが複数存在する場合、特定した複数のサービスの一覧をユーザ端末10に表示出力するようにしてもよい。
[サービス提供システムによる処理]
続いて、図6〜図9を用いて、実施例1に係るサービス提供システムにおける処理の流れを説明する。ここでは、まず、図6を用いて、実施例1に係るサービス提供システムにおける全体的な処理の流れを説明し、その後、図7を用いてアクセス関連情報の取得処理、図8を用いてサービス提供処理、図9を用いてアクセスネットワーク確立後のユーザ認証処理の流れを説明する。
続いて、図6〜図9を用いて、実施例1に係るサービス提供システムにおける処理の流れを説明する。ここでは、まず、図6を用いて、実施例1に係るサービス提供システムにおける全体的な処理の流れを説明し、その後、図7を用いてアクセス関連情報の取得処理、図8を用いてサービス提供処理、図9を用いてアクセスネットワーク確立後のユーザ認証処理の流れを説明する。
(全体的な処理の流れ)
まず、図6を用いて、実施例1に係るサービス提供システムにおける全体的な処理の流れを説明する。図6は、実施例1に係るサービス提供システムにおける全体的な処理の流れを示すフローチャートである。
まず、図6を用いて、実施例1に係るサービス提供システムにおける全体的な処理の流れを説明する。図6は、実施例1に係るサービス提供システムにおける全体的な処理の流れを示すフローチャートである。
図6に示すように、ユーザ端末10は、アクセス制御装置20との間でVPN接続が確立された後(ステップS1)、ユーザ操作によってアプリケーションサーバ30への接続要求をアクセス制御装置20に送信する(ステップS2)。
このとき、例えば、ユーザ端末10は、自装置のユーザを特定する「ユーザID」、自装置に割り当てられた「ユーザ端末IPアドレス」、接続を要求するアプリケーションサーバ30を特定する「接続先URL」をアクセス制御装置20に送信する。
そして、アクセス制御装置20は、アプリケーションサーバ30への接続要求を送信してきたユーザ端末10がVPN接続を確立した正当なユーザ端末であるか否かを認証し(ステップS3)、認証を許可すると、ユーザ端末10を介したリダイレクトで認証許可応答をアプリケーションサーバ30に送信する(ステップS4)。
このとき、例えば、アクセス制御装置20は、認証成功応答としてアクセス関連情報「アプリケーションサーバ30のIPアドレス、ポート番号、帯域」などをユーザ端末10に送信し、ユーザ端末10は、受信したアクセス関連情報「アプリケーションサーバ30のIPアドレス、ポート番号、帯域」をリダイレクトで自動的にアプリケーションサーバ30に送信する。なお、「アプリケーションサーバ30のIPアドレス」は、ステップS2で受信した「接続先URL」からDNSサーバなどを用いて特定することができる。
その後、アプリケーションサーバ30は、アクセス制御装置20から受信したアクセス関連情報「アプリケーションサーバ30のIPアドレス、ポート番号、帯域」に基づいて、ユーザ端末10にサービスを提供する(ステップS5)。このとき、例えば、アプリケーションサーバ30は、受信したアクセス関連情報「帯域」内で提供できるサービスを特定し、特定したサービスをユーザ端末10に提供する。また、例えば、アプリケーションサーバ30は、受信したアクセス関連情報「帯域」内で提供できる複数のサービスを特定し、特定した複数のサービスの一覧をユーザ端末10に表示出力するようにしてもよい。
(アクセスネットワークの確立に際したユーザ認証処理の流れ)
次に、図7を用いて、実施例1に係るサービス提供システムにおけるアクセスネットワークの確立に際したユーザ認証処理の流れを説明する。図7は、実施例1に係るサービス提供システムにおけるアクセスネットワークの確立に際したユーザ認証処理の流れを示すフローチャートである。なお、図7は、図6におけるステップS1を詳細に説明した図である。
次に、図7を用いて、実施例1に係るサービス提供システムにおけるアクセスネットワークの確立に際したユーザ認証処理の流れを説明する。図7は、実施例1に係るサービス提供システムにおけるアクセスネットワークの確立に際したユーザ認証処理の流れを示すフローチャートである。なお、図7は、図6におけるステップS1を詳細に説明した図である。
図7に示すように、ユーザ端末10は、アクセスネットワークの確立要求(認証要求)をアクセス制御装置20に送信し(ステップS101)、この要求を受信したアクセス制御装置20のVPN終端機能部25bは、認証部25aによってユーザ端末10が正当なユーザであると判定されると(ステップS102)、アクセス関連情報をアクセス関連情報収集部25cに送信する(ステップS103)。
例えば、認証部25aは、「アクセスネットワーク確立用のID、パスワード」などをユーザ端末10から受け付けてユーザ認証してもよい。また、VPN終端機能部25bは、アクセス関連情報として「アクセス回線ID、ユーザ端末IPアドレス、帯域」をアクセス関連情報収集部25cに送信する。
続いて、アクセス制御装置20のVPN終端機能部25b(または認証部25a)は、認証許可をユーザ端末10に送信し、その結果、ユーザ端末10との間にVPN通信が確立される(ステップS104)。また、アクセス制御装置20のアクセス関連情報収集部25cは、VPN終端機能部25bから取得したアクセス関連情報「アクセス回線ID、ユーザ端末IPアドレス、帯域」をアクセス関連DB22bに格納する(ステップS105)。
なお、ここでは、VPN終端機能部25bがアクセス関連情報をアクセス関連情報収集部25cに送信する例について説明したが、アクセス関連情報収集部25cがVPN終端機能部25bから取得するようにしてもよく、確立されたVPN通信に含まれる情報から取得するようにしてもよい。
(サービス提供処理の流れ)
続いて、図8を用いて、実施例1に係るサービス提供システムにおけるサービス提供処理の流れを説明する。図8は、実施例1に係るサービス提供システムにおけるサービス提供処理の流れを示すフローチャートである。なお、図8は、図6におけるステップS2〜ステップS5を詳細に説明した図である。
続いて、図8を用いて、実施例1に係るサービス提供システムにおけるサービス提供処理の流れを説明する。図8は、実施例1に係るサービス提供システムにおけるサービス提供処理の流れを示すフローチャートである。なお、図8は、図6におけるステップS2〜ステップS5を詳細に説明した図である。
図8に示すように、ユーザ端末10は、アクセス制御装置20にアプリケーションサーバ30への接続要求を送信し(ステップS106)、この要求を受け付けたアクセス制御装置20のアクセス関連情報送信部25eは、認証部25aによってユーザ認証処理を実施する(ステップS107)。
このとき、例えば、ユーザ端末10は、アクセス制御装置20にアクセスしたアプリケーションを介して、自装置のユーザを特定する「ユーザID」、自装置に割り当てられた「ユーザ端末IPアドレス」、接続を要求するアプリケーションサーバ30を特定する「接続先URL」をアクセス制御装置20に送信する。また、アクセス制御装置20の認証部25aは、当該接続要求から「ユーザID」と「パスワード」とを取得し、これらが対応付けられて認証DB22aに記憶されているか否かにより、アプリケーションレベルでのユーザ認証を実行する。
そして、アクセス制御装置20のアクセス関連情報送信部25eは、認証部25aによる認証が正常終了すると、ルーティング情報の書換え、ファイアウォール設定変更内容、特定ポートの開放要求などが含まれる設定変更要求をルーティング・ファイアウォール制御部25fに送信する(ステップS108)。このとき、アクセス関連情報送信部25eは、上記設定変更要求とともに、アプリケーションサーバ30への接続要求に含まれる「接続先URL」を送信する。
続いて、アクセス制御装置20のルーティング・ファイアウォール制御部25fは、受信した設定変更要求に基づいてどのルーティング・ファイアウォール接続部25gに送信するかを特定し(ステップS109)、設定変更要求をルーティング・ファイアウォール接続部25gに送信する(ステップS110)。ここで、ルーティング・ファイアウォール制御部25fは、特定した設定内容(例えば、サービス提供のために開放すべきポート番号など)とともに、アプリケーションサーバ30への接続要求に含まれる「ユーザ端末IPアドレス」や「接続先URL」から特定した「アプリケーションサーバのIPアドレス」をルーティング・ファイアウォール接続部25gに送信する。
そして、ルーティング・ファイアウォール接続部25gは、送信された設定内容にしたがって、サービス提供で使用するポート番号(ポート番号A)の開放などを実行し(ステップS111)、設定変更完了通知をルーティング・ファイアウォール制御部25fに送信する(ステップS112)。ルーティング・ファイアウォール制御部25fは、送信された設定変更完了通知をアクセス関連情報送信部25eに送信する(ステップS113)。
続いて、設定変更完了通知を受信したアクセス関連情報送信部25eは、「接続先URL」から特定された「アプリケーションサーバのIPアドレス」やサービス提供で使用するポート番号(ポート番号A)、ユーザ端末10のアクセス関連情報(帯域など)とともに、ユーザ端末10を介したリダイレクトでアプリケーションサーバ30に認証成功応答を送信する(ステップS114)。このとき、ユーザ端末10のアクセス関連情報は、アプリケーションサーバ30で利用可能なフォーマットであって、VPN種別ごと等で異なるフォーマットのアクセス関連情報は統一フォーマットに変換されている。
すると、アプリケーションサーバ30は、受信したアクセス関連情報(帯域など)にしたがって提供可能なサービスを特定し(ステップS115)、特定したサービスを指定されたポート番号でユーザ端末10に提供する(ステップS116)。
(アクセスネットワーク確立後のアクセス関連情報取得の流れ)
続いて、図9を用いて、実施例1に係るサービス提供システムにおけるアクセスネットワーク確立後のアクセス関連情報取得の流れを説明する。図9は、実施例1に係るサービス提供システムにおけるアクセスネットワーク確立後のアクセス関連情報取得の流れを示すフローチャートである。なお、図9は、図6におけるステップS3、図8におけるステップ107とステップ108の間の処理を詳細に説明した図である。
続いて、図9を用いて、実施例1に係るサービス提供システムにおけるアクセスネットワーク確立後のアクセス関連情報取得の流れを説明する。図9は、実施例1に係るサービス提供システムにおけるアクセスネットワーク確立後のアクセス関連情報取得の流れを示すフローチャートである。なお、図9は、図6におけるステップS3、図8におけるステップ107とステップ108の間の処理を詳細に説明した図である。
認証部25aによってアプリケーションレベルでのユーザ認証が正常終了すると、図9に示すように、アクセス関連情報送信部25eは、受信したアプリケーションサーバ30への接続要求に含まれる「ユーザ端末IPアドレス」に対応するアクセス関連情報の提供要求をアクセス関連情報変換部25dに送信する(ステップS201)。
そして、アクセス関連情報の提供要求を受信したアクセス関連情報変換部25dは、この要求と「ユーザ端末IPアドレス」とをアクセス関連情報収集部25cに送信し(ステップS202)、アクセス関連情報収集部25cは、受信した「ユーザ端末IPアドレス」に対応するアクセス関連情報をアクセス関連DB22bから取得する(ステップS203とステップS204)。ここで、アクセス関連情報収集部25cは、受信した「ユーザ端末IPアドレス」に対応するアクセス関連情報として「アクセス回線ID、ユーザ端末IPアドレス、帯域」を取得する。
続いて、アクセス関連情報収集部25cは、アクセス関連DB22bから取得したアクセス関連情報「アクセス回線ID、ユーザ端末IPアドレス、帯域」をアクセス関連情報変換部25dに送信し(ステップS205)、アクセス関連情報変換部25dは、VPN種別ごと等で異なるフォーマットのアクセス関連情報を、アプリケーションサーバ30で利用可能なフォーマットである統一フォーマットに変換して(ステップS206)、アクセス関連情報送信部25eに送信する(ステップS207)。
[実施例1による効果]
このように、実施例1によれば、ユーザ端末10がサービスを利用する回線(例えば、帯域、回線種別)に応じたサービスを提供することができる結果、ネットワークを介したデータ送受信に際して、どのようなアプリケーションのデータであっても、アクセスネットワークに応じた制御ができる。この結果、アクセスネットワークなどを含むシステムを構築するネットワーク全体の遅延や輻輳を引き起こす原因も解消することができる。
このように、実施例1によれば、ユーザ端末10がサービスを利用する回線(例えば、帯域、回線種別)に応じたサービスを提供することができる結果、ネットワークを介したデータ送受信に際して、どのようなアプリケーションのデータであっても、アクセスネットワークに応じた制御ができる。この結果、アクセスネットワークなどを含むシステムを構築するネットワーク全体の遅延や輻輳を引き起こす原因も解消することができる。
また、図1や図2に示したように、社内システムをSaaS事業者のアプリケーションとして移行することを従来技術で実現しようとした場合、SaaS事業者は、各企業の各ユーザごとに利用可能なアプリケーションを設定する必要があり、その設定箇所は膨大になり、実質的に不可能である。ところが、実施例1によれば、図1や図2に示したように、アクセスネットワーク提供側(アクセス管理装置20)が回線種別や契約帯域などによって利用制限を行うことができるので、社内システムをSaaS事業者のアプリケーションとして移行させることが可能である。また、自宅から企業網などに接続した場合に、機密を含まないアプリケーションのみを利用可能としたり、細い回線でも利用できるアプリケーションのみを利用可能としたり、セキュリティや用途を考慮した柔軟なシステム設定が可能となる。
ところで、実施例1では、図9に示したアクセスネットワーク確立後のユーザ認証処理をアクセス制御装置20で実行する例について説明したが、本処理は、アプリケーションサーバ30で実行することもできる。
そこで、実施例2では、図10を用いて、アクセスネットワーク確立後のユーザ認証処理をアプリケーションサーバ30で実行する例について説明する。なお、図10は、アクセスネットワーク確立後のユーザ認証処理をアプリケーションサーバで実行する場合の流れを示すフローチャートである。
この実施例2に係るアプリケーションサーバ30の構成は、実施例1(図2)に示したアプリケーションサーバ30の構成に加えて、アクセス制御装置20の認証DB22aと同様のDBと、このDBを用いてアプリケーションレベルの認証を実行する認証部とを有する。
図10に示すように、ユーザ端末10は、アクセス制御装置20との間でVPN接続が確立された後(ステップS50)、アクセス制御装置20を介した通信で接続要求をアプリケーションサーバ30に送信する(ステップS51)。このとき、例えば、ユーザ端末10は、自装置のユーザを特定する「ユーザID」、自装置に割り当てられた「ユーザ端末IPアドレス」をアプリケーションサーバ30に送信する。
そして、アプリケーションサーバ30は、接続要求とともに受信した「ユーザID」や「ユーザ端末IPアドレス」に対応するアクセス関連情報の提供要求をアクセス制御装置20に送信する(ステップS52)。
その後、アプリケーションサーバ30は、送信した「ユーザID」や「ユーザ端末IPアドレス」に対応するアクセス関連情報を受信し、当該接接続要求を受信したアプリケーション内から「ユーザID」と「パスワード」とを取得し、これらが対応付けられて認証DB22aに記憶されているか否かにより、アプリケーションレベルでのユーザ認証を実行する(ステップS53)。
そして、アプリケーションサーバ30は、ユーザ認証が正常終了すると、アクセス制御装置20から受信したアクセス関連情報に基づいて、ユーザ端末10にサービスを提供する(ステップS54)。
このようにすることで、ユーザ認証処理をアプリケーションサーバ30側に配備できることより、認証を行う事業者の自由度を高めることができる。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に示すように、(アクセス関連情報)、(アクセスネットワークの種別)、(ユーザ認証手法)、(システム)、(プログラム)にそれぞれ区分けして異なる実施例を説明する。
(アクセス関連情報)
例えば、実施例1や2では、アクセス関連情報として、「アクセス回線ID、ユーザ端末IPアドレス、ユーザID、サービス名、回線種別、帯域」や「ポート番号」などを用いる例について説明したが、これに限定されるものではない。例えば、確立されたアクセスネットワークを一意に特定できる情報や、ユーザ端末の処理性能を特定する情報なども用いることができる。
例えば、実施例1や2では、アクセス関連情報として、「アクセス回線ID、ユーザ端末IPアドレス、ユーザID、サービス名、回線種別、帯域」や「ポート番号」などを用いる例について説明したが、これに限定されるものではない。例えば、確立されたアクセスネットワークを一意に特定できる情報や、ユーザ端末の処理性能を特定する情報なども用いることができる。
ここで、図11〜図15を用いて、様々な情報をアクセス関連情報として用いた例について説明する。なお、図11は、アクセスメディア種別をアクセス関連情報として用いた場合のアクセス制御例を示す図であり、図12は、アクセスメディア品質をアクセス関連情報として用いた場合のアクセス制御例を示す図であり、図13は、端末情報をアクセス関連情報として用いた場合のアクセス制御例を示す図であり、図14は、利用地域をアクセス関連情報として用いた場合のアクセス制御例を示す図であり、図15は、ユーザIDをアクセス関連情報として用いた場合のアクセス制御例を示す図である。
例えば、本願が開示するアクセス制御装置は、IP−VPN、インターネットなどのアクセスメディア種別をアクセス関連情報としてアプリケーションサーバに送信することができる。したがって、アプリケーションサーバ(SaaS事業者)は、図11に示すように、セキュリティレベルの高いIP−VPNで接続される端末にはサービスを提供し、セキュリティレベルの低いインターネットで接続される端末にはサービスを提供しないように制御することができる。
また、例えば、本願が開示するアクセス制御装置は、ベストエフォートサービス、QoS(Quality of Service)サービスなどのアクセスメディア品質をアクセス関連情報としてアプリケーションサーバに送信することができる。したがって、アプリケーションサーバ(SaaS事業者)は、図12に示すように、セキュリティレベルの高いQoS保障されている回線で接続される端末にはサービスを提供し、セキュリティレベルの低いQoS保障されていない回線で接続される端末にはサービスを提供しないように制御することができる。
また、例えば、本願が開示するアクセス制御装置は、電話番号やIPアドレスなどの端末情報をアクセス関連情報としてアプリケーションサーバに送信することができる。したがって、アプリケーションサーバ(SaaS事業者)は、図13に示すように、端末情報にあわせてサービス制御を実施することができる。
また、例えば、本願が開示するアクセス制御装置は、市外局番や市外局番から入手した地域名などの利用地域をアクセス関連情報としてアプリケーションサーバに送信することができる。したがって、アプリケーションサーバ(SaaS事業者)は、図14に示すように、利用地域にあわせてサービス制御を実施することができる。
また、例えば、本願が開示するアクセス制御装置は、アクセスネットワークで接続されるユーザ端末のユーザIDをアクセス関連情報としてアプリケーションサーバに送信することができる。したがって、アプリケーションサーバ(SaaS事業者)は、図15に示すように、ユーザIDごとに予め登録されたサービスのみを提供することができる。
(アクセスネットワークの種別)
また、例えば、実施例1や2では、アクセスネットワーク上でVPNが確立された例について説明したが、これに限定されるものではない。例えば、セキュリティが確保されたネットワーク環境下においては、xDSLや光ファイバーなどの種別のみを用いてもよいし、他の様々なセキュアな回線情報やVPN種別を用いることができる。
また、例えば、実施例1や2では、アクセスネットワーク上でVPNが確立された例について説明したが、これに限定されるものではない。例えば、セキュリティが確保されたネットワーク環境下においては、xDSLや光ファイバーなどの種別のみを用いてもよいし、他の様々なセキュアな回線情報やVPN種別を用いることができる。
(ユーザ認証手法)
また、実施例1や2では、アクセスネットワーク確立時とアクセスネットワーク確立後のサービス提供時(アクセス関連情報提供時)にユーザ認証やアプリケーションレベルでのユーザ認証を実施する例について説明したが、認証手法が上記手法に限定されるものではない。例えば、アクセスネットワークが確立されている間有効とするワンタイムパスワードなどを用いてもよいし、電子証明書などを用いてもよい。
また、実施例1や2では、アクセスネットワーク確立時とアクセスネットワーク確立後のサービス提供時(アクセス関連情報提供時)にユーザ認証やアプリケーションレベルでのユーザ認証を実施する例について説明したが、認証手法が上記手法に限定されるものではない。例えば、アクセスネットワークが確立されている間有効とするワンタイムパスワードなどを用いてもよいし、電子証明書などを用いてもよい。
(システム構成等)
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理(例えばルーティングなどの設定変更処理など)の全部または一部を手動でおこなうこともでき、あるいは、手動でおこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、図3〜図5など)については、特記する場合を除いて任意に変更することができる。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理(例えばルーティングなどの設定変更処理など)の全部または一部を手動でおこなうこともでき、あるいは、手動でおこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、図3〜図5など)については、特記する場合を除いて任意に変更することができる。
また、図8に示したステップS107〜ステップS113までのアクセスネットワーク確立後のユーザ認証処理〜ルーティングなどの設定変更処理については、システム提供側や利用側の契約などによって、任意に実行するようにすればよい。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる(例えば、アクセス関連情報収集部とアクセス関連情報変換部とを統合するなど)。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(プログラム)
なお、本実施例で説明した各機能部の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
なお、本実施例で説明した各機能部の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、本発明にかかるアクセス制御装置、アクセス制御方法、アクセス制御プログラムおよびサービス提供システムは、各種サービスをユーザ端末に提供するアプリケーションサーバとユーザ端末とのそれぞれと接続され、アプリケーションサーバとユーザ端末との間の通信を中継することに有用であり、特に、ネットワークを介したデータ送受信に際して、どのようなアプリケーションのデータであっても、アクセスネットワークに応じた制御をすることと、アクセスネットワークのセキュリティレベルに応じて、アプリケーションの使用を制御することに適している。
10 ユーザ端末
11 通信制御I/F部
12 記憶部
15 制御部
15a 接続部
15b VPN接続部
15c サービス利用部
20 アクセス制御装置
21 通信制御I/F部
22 記憶部
22a 認証DB
22b アクセス関連DB
25 制御部
25a 認証部
25b VPN終端機能部
25c アクセス関連情報収集部
25d アクセス関連情報変換部
25e アクセス関連情報送信部
25f ルーティング・ファイアウォール制御部
25g ルーティング・ファイアウォール接続部
30 アプリケーションサーバ
31 通信制御I/F部
32 記憶部
32a サービスDB
35 制御部
35a サービス提供部
11 通信制御I/F部
12 記憶部
15 制御部
15a 接続部
15b VPN接続部
15c サービス利用部
20 アクセス制御装置
21 通信制御I/F部
22 記憶部
22a 認証DB
22b アクセス関連DB
25 制御部
25a 認証部
25b VPN終端機能部
25c アクセス関連情報収集部
25d アクセス関連情報変換部
25e アクセス関連情報送信部
25f ルーティング・ファイアウォール制御部
25g ルーティング・ファイアウォール接続部
30 アプリケーションサーバ
31 通信制御I/F部
32 記憶部
32a サービスDB
35 制御部
35a サービス提供部
Claims (6)
- 各種サービスをユーザ端末に提供するアプリケーションサーバと前記ユーザ端末とのそれぞれと接続され、前記アプリケーションサーバとユーザ端末との間の通信を中継するアクセス制御装置であって、
前記ユーザ端末との間のアクセスネットワーク確立時の接続情報から、当該ユーザ端末を識別するユーザ識別情報と、当該確立されたアクセスネットワークを識別するアクセス関連情報とを取得し、それぞれを対応付けてアクセス関連情報記憶部に格納するアクセス関連情報格納手段と、
前記ユーザ端末から前記アプリケーションサーバへの接続要求を受信した場合に、当該ユーザ端末に対応するアクセス関連情報を前記アクセス関連情報記憶部から取得し、取得したアクセス関連情報を前記接続要求とともに、前記アプリケーションサーバに送信するアクセス関連情報送信手段と、
を備えたことを特徴とするアクセス制御装置。 - 前記アクセス関連情報送信手段は、前記ユーザ端末から前記アプリケーションサーバへの接続要求を受信した場合に、当該接続要求を送信したユーザ端末が前記アクセスネットワークが確立されるユーザ端末であることを条件に、前記識別情報とアクセス関連情報とを取得し、それぞれを対応付けてアクセス関連情報記憶部に格納することを特徴とする請求項1に記載のアクセス制御装置。
- 前記アクセス関連情報送信手段は、前記アプリケーションサーバからユーザ端末に対応するアクセス関連情報の提供依頼を受信した場合に、当該ユーザ端末に対応するアクセス関連情報を前記アクセス関連情報記憶部から取得して前記アプリケーションサーバに送信することを特徴とする請求項1に記載のアクセス制御装置。
- 各種サービスをユーザ端末に提供するアプリケーションサーバと前記ユーザ端末とのそれぞれと接続され、前記アプリケーションサーバとユーザ端末との間の通信を中継することに適したアクセス制御方法であって、
前記ユーザ端末との間のアクセスネットワーク確立時の接続情報から、当該ユーザ端末を識別するユーザ識別情報と、当該確立されたアクセスネットワークを識別するアクセス関連情報とを取得し、それぞれを対応付けてアクセス関連情報記憶部に格納するアクセス関連情報格納工程と、
前記ユーザ端末から前記アプリケーションサーバへの接続要求を受信した場合に、当該ユーザ端末に対応するアクセス関連情報を前記アクセス関連情報記憶部から取得し、取得したアクセス関連情報を前記接続要求とともに、前記アプリケーションサーバに送信するアクセス関連情報送信工程と、
を含んだことを特徴とするアクセス制御方法。 - 各種サービスをユーザ端末に提供するアプリケーションサーバと前記ユーザ端末とのそれぞれと接続され、前記アプリケーションサーバとユーザ端末との間の通信を中継することをコンピュータに実行させるアクセス制御プログラムであって、
前記ユーザ端末との間のアクセスネットワーク確立時の接続情報から、当該ユーザ端末を識別するユーザ識別情報と、当該確立されたアクセスネットワークを識別するアクセス関連情報とを取得し、それぞれを対応付けてアクセス関連情報記憶部に格納するアクセス関連情報格納手順と、
前記ユーザ端末から前記アプリケーションサーバへの接続要求を受信した場合に、当該ユーザ端末に対応するアクセス関連情報を前記アクセス関連情報記憶部から取得し、取得したアクセス関連情報を前記接続要求とともに、前記アプリケーションサーバに送信するアクセス関連情報送信手順と、
をコンピュータに実行させることを特徴とするアクセス制御プログラム。 - 各種サービスをユーザ端末に提供するアプリケーションサーバと、前記アプリケーションサーバとユーザ端末との間の通信を中継するアクセス制御装置とを有するサービス提供システムであって、
前記アクセス制御装置は、
前記ユーザ端末との間のアクセスネットワーク確立時の接続情報から、当該ユーザ端末を識別するユーザ識別情報と、当該確立されたアクセスネットワークを識別するアクセス関連情報とを取得し、それぞれを対応付けてアクセス関連情報記憶部に格納するアクセス関連情報格納手段と、
前記ユーザ端末から前記アプリケーションサーバへの接続要求を受信した場合に、当該ユーザ端末に対応するアクセス関連情報を前記アクセス関連情報記憶部から取得し、取得したアクセス関連情報を前記接続要求とともに、前記アプリケーションサーバに送信するアクセス関連情報送信手段とを有し、
前記アプリケーションサーバは、
前記アクセス関連情報に対応付けて、前記ユーザ端末に提供可能なサービスを記憶するサービス情報記憶手段と、
前記アクセス制御装置から前記接続要求とともにアクセス関連情報を受信した場合に、当該アクセス関連情報に対応するサービスを前記サービス情報記憶手段から特定し、特定したサービスを前記ユーザ端末に提供するサービス提供手段と、
を備えたことを特徴とするサービス提供システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009035720A JP2010193192A (ja) | 2009-02-18 | 2009-02-18 | アクセス制御装置、アクセス制御方法、アクセス制御プログラムおよびサービス提供システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009035720A JP2010193192A (ja) | 2009-02-18 | 2009-02-18 | アクセス制御装置、アクセス制御方法、アクセス制御プログラムおよびサービス提供システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010193192A true JP2010193192A (ja) | 2010-09-02 |
Family
ID=42818755
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009035720A Pending JP2010193192A (ja) | 2009-02-18 | 2009-02-18 | アクセス制御装置、アクセス制御方法、アクセス制御プログラムおよびサービス提供システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010193192A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012222678A (ja) * | 2011-04-12 | 2012-11-12 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御システム、およびアクセス制御方法 |
JP2019057801A (ja) * | 2017-09-20 | 2019-04-11 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | ネットワーク制御装置、通信システム、ネットワーク制御方法、及びプログラム |
CN112199113A (zh) * | 2020-10-28 | 2021-01-08 | 重庆撼地大数据有限公司 | 软件服务访问控制方法及装置 |
CN114363046A (zh) * | 2021-12-31 | 2022-04-15 | 广州市浩洋电子股份有限公司 | 一种数据高安全性舞台灯以及物联网系统 |
-
2009
- 2009-02-18 JP JP2009035720A patent/JP2010193192A/ja active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012222678A (ja) * | 2011-04-12 | 2012-11-12 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御システム、およびアクセス制御方法 |
JP2019057801A (ja) * | 2017-09-20 | 2019-04-11 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | ネットワーク制御装置、通信システム、ネットワーク制御方法、及びプログラム |
JP7100967B2 (ja) | 2017-09-20 | 2022-07-14 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | ネットワーク制御装置、通信システム、ネットワーク制御方法、及びプログラム |
CN112199113A (zh) * | 2020-10-28 | 2021-01-08 | 重庆撼地大数据有限公司 | 软件服务访问控制方法及装置 |
CN114363046A (zh) * | 2021-12-31 | 2022-04-15 | 广州市浩洋电子股份有限公司 | 一种数据高安全性舞台灯以及物联网系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11533190B2 (en) | System and method for providing network support services and premises gateway support infrastructure | |
JP2010193192A (ja) | アクセス制御装置、アクセス制御方法、アクセス制御プログラムおよびサービス提供システム | |
WO2020090412A1 (ja) | 通信システム及びポリシー制御装置 | |
JP7383145B2 (ja) | ネットワークサービス処理方法、システム及びゲートウェイデバイス | |
WO2020090407A1 (ja) | 通信システム及びポリシー制御装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110520 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110520 |