JP2012064007A - 情報処理装置、通信中継方法およびプログラム - Google Patents
情報処理装置、通信中継方法およびプログラム Download PDFInfo
- Publication number
- JP2012064007A JP2012064007A JP2010208096A JP2010208096A JP2012064007A JP 2012064007 A JP2012064007 A JP 2012064007A JP 2010208096 A JP2010208096 A JP 2010208096A JP 2010208096 A JP2010208096 A JP 2010208096A JP 2012064007 A JP2012064007 A JP 2012064007A
- Authority
- JP
- Japan
- Prior art keywords
- server
- terminal
- communication
- proxy
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】端末からサーバに接続して作業を行うシステムにおいて、ログの改ざんを防止することを課題とする。
【解決手段】アクセスゲートウェイ10に、端末9からサーバ3の指定を受け付けるサーバ指定受付部23と、受け付けられた指定のサーバ3に接続するサーバ接続部25と、接続された指定のサーバ3に対する端末9からの通信をサーバ3に代わって受信し、サーバ3からの通信をサーバ3に代わって端末9へ送信するサーバ代理部26と、サーバ代理部26によって受信された端末9からの通信を端末9に代わってサーバ3へ送信し、サーバ代理部26によって送信されるサーバ3からの端末9への通信を端末9に代わって受信する、端末代理部27と、サーバ代理部26および端末代理部27によって中継される、端末9とサーバ3との間の通信の内容を、少なくとも端末9からのアクセスが制限される記憶領域に蓄積する蓄積部28と、を備えた。
【選択図】図2
【解決手段】アクセスゲートウェイ10に、端末9からサーバ3の指定を受け付けるサーバ指定受付部23と、受け付けられた指定のサーバ3に接続するサーバ接続部25と、接続された指定のサーバ3に対する端末9からの通信をサーバ3に代わって受信し、サーバ3からの通信をサーバ3に代わって端末9へ送信するサーバ代理部26と、サーバ代理部26によって受信された端末9からの通信を端末9に代わってサーバ3へ送信し、サーバ代理部26によって送信されるサーバ3からの端末9への通信を端末9に代わって受信する、端末代理部27と、サーバ代理部26および端末代理部27によって中継される、端末9とサーバ3との間の通信の内容を、少なくとも端末9からのアクセスが制限される記憶領域に蓄積する蓄積部28と、を備えた。
【選択図】図2
Description
本発明は、通信中継方法に関する。
従来、推薦サイトがユーザPCに対して中継装置のURLを通知することで、ユーザPCから商用サイトへのアクセスを中継装置に中継させ、ユーザPCと商用サイトとの間の通信状況を中継装置が保存する、オンライン広告システムがある(特許文献1を参照)。
従来、クライアント端末からサーバに接続して作業を行うシステムにおいて、クライアント端末で作業者のオペレーションを自動的にロギングすることが行われている。しかし、例えば自動ロギングをクライアント端末において行った場合、保存されたログは作業者等によって改ざんされるおそれがある。
本発明は、上記した問題に鑑み、端末からサーバに接続して作業を行うシステムにおいて、ログの改ざんを防止することを課題とする。
本発明では、上記課題を解決するために、以下の手段を採用した。即ち、本発明は、端末に対してサービスを提供するサーバに接続される情報処理装置であって、前記端末から、サービスの提供を受けたいサーバの指定を受け付けるサーバ指定受付手段と、前記サーバ指定受付手段によって受け付けられた指定のサーバに接続するサーバ接続手段と、前記サーバ接続手段によって接続された前記指定のサーバに対する前記端末からの通信を該サーバに代わって受信し、該サーバからの通信を該サーバに代わって該端末へ送信するサーバ代理手段と、前記サーバ代理手段によって受信された前記端末からの通信を該端末に代わって前記サーバへ送信し、前記サーバ代理手段によって送信される該サーバからの該端末への通信を該端末に代わって受信する、端末代理手段と、前記サーバ代理手段および前記端末代理手段によって中継される、前記端末と前記サーバとの間の通信の内容を、少なくとも前記端末からのアクセスが制限される記憶領域に蓄積する蓄積手段と、を備える情報処理装置である。
即ち、本発明に係る情報処理装置は、サーバ代理手段および端末代理手段を備えることで、端末とサーバとの間の通信を中継し、中継される通信を蓄積することで、端末でもサーバでもない装置における、オペレーションのログ収集を可能としている。そして、本発明では、端末とサーバとの間の通信の内容が、少なくとも端末からのアクセスが制限される記憶領域に蓄積されることで、端末からのログの改ざんを防止する。
また、本発明に係る情報処理装置は、前記端末毎または該端末を操作するユーザ毎に異なる、前記指定のサーバへの接続用情報を取得する接続用情報取得手段を更に備え、前記サーバ接続手段は、前記接続用情報取得手段によって取得された接続用情報を用いることで、前記端末または前記ユーザを代理して、前記サーバに接続してもよい。
接続用情報取得手段を更に備え、情報処理装置においてサーバへの接続用情報を取得するようにすることで、本発明によれば、情報処理装置とサーバとの間での通信に用いられる情報(例えば、ユーザ名、パスワード、暗号通信に用いられる暗号鍵等)を、端末およびユーザに対して隠蔽することが可能となり、セキュリティレベルを向上させることが出来る。また、端末における接続用情報の管理が不要となるため、ユーザの手間を軽減することが可能となる。また、接続用情報が情報処理装置において管理されるために、端末における操作ミス等による、誤ったサーバへのログイン等、オペレーションのミスを低減させることが出来る。
また、本発明に係る情報処理装置は、前記端末から送信された、前記サーバへの接続要求を受け付ける接続要求受付手段と、前記接続要求の送信元の前記端末を認証する認証手段と、を更に備え、前記サーバ指定受付手段は、前記認証手段による認証に成功した場合に、前記サーバの指定を受け付けてもよい。
接続用情報を用いる、情報処理装置によるサーバへの接続とは別に、端末から情報処理装置への接続を認証手段によって認証することで、端末と情報処理装置との間の接続と、情報処理装置とサーバとの間の接続とを、異なる手続を用いた接続とすることができる。このような互いに独立した手続によって端末と情報処理装置との間の接続と、情報処理装置とサーバとの間の接続とを行うことで、本発明によれば、端末と情報処理装置との間の接続に係るセキュリティを確保しつつ、情報処理装置とサーバとの間の接続のための接続用情報の管理の手間を軽減することが出来る。
また、本発明に係る情報処理装置は、前記サーバ代理手段によって受信された、前記サーバに対する前記端末からの通信の内容を解釈することで、該通信が、中継を制限されるべき通信であるか否かを判断する解釈手段と、前記解釈手段によって、前記通信が中継を制限されるべき通信であると判断された場合に、前記端末代理手段による前記サーバへの該通信の送信を制限する制限手段と、を更に備えてもよい。
解釈手段および制限手段を備えることで、本発明によれば、中継を制限されるべき通信の中継を制限することが可能となり、システムのセキュリティレベルを向上させることが出来る。
また、本発明に係る情報処理装置は、前記サーバ代理手段によって受信される通信を第一の鍵情報を用いて復号し、該サーバ代理手段によって送信される通信を該第一の鍵情報を用いて暗号化する、第一の暗号通信処理手段と、前記端末代理手段によって受信される通信を前記第一の鍵情報とは異なる第二の鍵情報を用いて復号し、該端末代理手段によって送信される通信を該第二の鍵情報を用いて暗号化する、第二の暗号通信処理手段と、を更に備えてもよい。
端末と情報処理装置との間の暗号化通信を処理する第一の暗号化通信処理手段と、情報処理装置とサーバとの間の暗号化通信を処理する第二の暗号化通信処理手段と、を備えることで、本発明によれば、端末による通信とサーバによる通信とを、互いに独立させることが可能となる。
更に、本発明は、方法、又はコンピュータによって実行されるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
例えば、本発明は、端末に対してサービスを提供するサーバに接続されるコンピュータが、前記端末から、サービスの提供を受けたいサーバの指定を受け付けるサーバ指定受付ステップと、前記サーバ指定受付ステップにおいて受け付けられた指定のサーバに接続するサーバ接続ステップと、前記サーバ接続ステップにおいて接続された前記指定のサーバに対する前記端末からの通信を該サーバに代わって受信し、該サーバからの通信を該サーバに代わって該端末へ送信するサーバ代理ステップと、前記サーバ代理ステップにおいて受信された前記端末からの通信を該端末に代わって前記サーバへ送信し、前記サーバ代理ステップにおいて送信される該サーバからの該端末への通信を該端末に代わって受信する、端末代理ステップと、前記サーバ代理ステップおよび前記端末代理ステップにおいて中継される、前記端末と前記サーバとの間の通信の内容を、少なくとも前記端末からのアクセスが制限される記憶領域に蓄積する蓄積ステップと、を実行する通信中継方法である。
本発明によれば、端末からサーバに接続して作業を行うシステムにおいて、ログの改ざんを防止することが可能となる。
以下、本発明の実施の形態について、図面に基づいて説明する。以下に説明する実施の形態は、本発明を実施する場合の一例を示すものであって、本発明を以下に説明する具体的構成に限定するものではない。本発明を実施するにあたっては、実施の形態に応じた具体的構成が適宜採用されることが好ましい。
<システムの構成>
図1は、本実施形態に係る情報処理システム1の構成を示す概略図である。本実施形態に係る情報処理システム1は、複数のクライアント9が接続されるネットワーク2と、クライアント9に対して種々のサービスを提供する複数のサーバ3(図にはサーバAからCを示す)が接続されるネットワーク4と、ネットワーク2とネットワーク4との間の通信を中継するアクセスゲートウェイ10と、を備える。但し、ネットワークの構成は図1に示した構成に限定されない。例えば、クライアント9とサーバ3は同一のネットワークに属していてもよい。
図1は、本実施形態に係る情報処理システム1の構成を示す概略図である。本実施形態に係る情報処理システム1は、複数のクライアント9が接続されるネットワーク2と、クライアント9に対して種々のサービスを提供する複数のサーバ3(図にはサーバAからCを示す)が接続されるネットワーク4と、ネットワーク2とネットワーク4との間の通信を中継するアクセスゲートウェイ10と、を備える。但し、ネットワークの構成は図1に示した構成に限定されない。例えば、クライアント9とサーバ3は同一のネットワークに属していてもよい。
ここで、アクセスゲートウェイ10は、本発明の情報処理装置に相当する。但し、本発明の情報処理装置に相当する装置は、ゲートウェイとしてではなく、サーバ3へのアクセス中継用装置として、クライアント9またはサーバ3が属するネットワークや、その他のネットワークに接続されてもよい。
アクセスゲートウェイ10は、CPU(Central Processing Unit)11、ROM(Read Only Memory)12、RAM(Random
Access Memory)13、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置14、NIC(Netwo
rk Interface Card)15等の通信ユニット、等を備えるコンピュータである。
Access Memory)13、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置14、NIC(Netwo
rk Interface Card)15等の通信ユニット、等を備えるコンピュータである。
また、サーバ3およびクライアント9は、何れも、CPU、RAM、ROM、記憶装置、および通信ユニット等を備えるコンピュータである。サーバ3は、記憶装置に記録されているプログラムがRAMに読み出され、CPUによって実行されることで、アクセスゲートウェイ10を介して、業務等において必要とされる様々なサービスをクライアント9に提供するサーバとして機能する。また、クライアント9は、記憶装置に記録されているプログラムがRAMに読み出され、CPUによって実行されることで、アクセスゲートウェイ10を介してサーバ3から提供されるサービスを受ける端末として機能する。
図2は、本実施形態に係るアクセスゲートウェイ10の機能構成の概略を示す図である。アクセスゲートウェイ10は、記憶装置14に記録されている通信中継用プログラムが、RAM13に読み出され、CPU11によって実行されることで、接続要求受付部21、認証部22、サーバ指定受付部23、接続用情報取得部24、サーバ接続部25、サーバ代理部26、端末代理部27、蓄積部28、解釈部29、制限部30、第一暗号通信処理部31および第二暗号通信処理部32を備える情報処理装置として機能する。なお、本実施形態では、アクセスゲートウェイ10の備える各機能は、汎用プロセッサであるCPU11によって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
また、アクセスゲートウェイ10の記憶装置14には、予めアカウント管理テーブルが記録されている。アカウント管理テーブルには、クライアント9がアクセスゲートウェイ10に接続するためのユーザ名とパスワードの組み合わせと、アクセスゲートウェイ10がサーバ3にログインするためのサーバ3へのログイン用アカウント(ユーザ名とパスワードの組み合わせを含む接続用情報)と、が記録される。但し、アカウント管理テーブルは、記憶装置14上ではなく、外部データベースに保持されてもよい。なお、パスワードは、暗号化された状態で保持されるか、ハッシュ値のみ保持される等の方法を用いて、平文以外の形態で保持されることが好ましい。
<処理の流れ>
次に、本実施形態において実行される処理の流れを説明する。なお、以下に説明する処理では、クライアント9、アクセスゲートウェイ10、およびサーバ3間で通信が行われるが、ここでの通信のために採用される通信プロトコルは、実施の形態に応じて適宜選択することが可能である。例えば、通信プロトコルには、telnet(Telecommunication network)またはSSH(Secure SHell)が採用されてよい。
次に、本実施形態において実行される処理の流れを説明する。なお、以下に説明する処理では、クライアント9、アクセスゲートウェイ10、およびサーバ3間で通信が行われるが、ここでの通信のために採用される通信プロトコルは、実施の形態に応じて適宜選択することが可能である。例えば、通信プロトコルには、telnet(Telecommunication network)またはSSH(Secure SHell)が採用されてよい。
図3は、本実施形態に係るサーバ接続処理の流れを示すシーケンス図である。本実施形態に係るサーバ接続処理は、クライアント9においてサーバ3への接続操作が行われたことや、予め設定された、サーバ3への接続時刻が到来したこと等を契機として開始される。なお、本シーケンス図に示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
ステップS101およびステップS102では、接続要求が送受信され、クライアント9が認証される。クライアント9は、アクセスゲートウェイ10に対して、ユーザ名およびパスワード等の、認証用の情報を含む、サーバ3への接続要求を送信する。そして、アクセスゲートウェイ10の接続要求受付部21は、クライアント9から送信された、サーバ3への接続要求を受け付ける(ステップS101)。接続要求が受信されると、アクセ
スゲートウェイ10の認証部22は、受信された接続要求に含まれる認証用の情報(ユーザ名およびパスワード等)と、予めアカウント管理テーブルに保持されているアカウント情報とを比較することで、ユーザの認証を行う(ステップS102)。
スゲートウェイ10の認証部22は、受信された接続要求に含まれる認証用の情報(ユーザ名およびパスワード等)と、予めアカウント管理テーブルに保持されているアカウント情報とを比較することで、ユーザの認証を行う(ステップS102)。
このようにして、アクセスゲートウェイ10の認証部22は、通信相手のクライアント9が、サーバ3への接続を中継してよいクライアント9であるか否か、またはアクセスゲートウェイ10の管理下にあるクライアント9であるか否か、を判断することが出来る。但し、認証は省略されてもよい。アクセスゲートウェイ10の認証部22は、認証結果をアクセスゲートウェイ10のサーバ指定受付部23(SSH受付部)へ通知する。認証が失敗した場合、アクセスゲートウェイ10は、クライアント9からのアクセスを拒否し、クライアント9からの接続を切断する。
なお、本実施形態において、クライアント9からアクセスゲートウェイ10への接続要求は、例えば、SSHセッションの確立要求である。この場合、アクセスゲートウェイ10において行われるクライアント9の認証処理は、SSHのログイン処理であり、アクセスゲートウェイ10による認証が成功すると、クライアント9とアクセスゲートウェイ10との間でSSHセッションが確立される。アクセスゲートウェイ10による認証が成功すると、処理はステップS103へ進む。
ステップS103では、クライアント9に対して、指定サーバ入力要求が送信される。ステップS102における認証およびクライアント9とアクセスゲートウェイ10との間でのSSHセッション確立が成功した場合、アクセスゲートウェイ10のサーバ指定受付部23は、クライアント9に対して、クライアント9またはそのユーザがサービスの提供を受けたいと欲するサーバ3(以下、「指定サーバ3」と称する)の入力要求を送信することで、指定サーバ3を問い合わせる。指定サーバ入力要求を受信したクライアント9は、クライアント9に備えられたディスプレイ等の出力装置を介してユーザに対して指定サーバ入力要求を出力し、ユーザによる指定サーバ3の入力を受け付ける。
ステップS104およびステップS105では、サーバ指定が送受信され、サーバ接続用のアカウント情報が取得される。クライアント9は、ユーザによって入力された指定サーバ3を通知するためのサーバ指定を、アクセスゲートウェイ10へ送信する(ステップS104)。アクセスゲートウェイ10のサーバ指定受付部23がサーバ指定を受信すると、アクセスゲートウェイ10の接続用情報取得部24は、アカウント管理テーブルから、ステップS102において認証されたユーザと、ステップS104において受信された指定サーバ3と、の組み合わせに係るログイン用アカウントを読み出すことで、指定サーバ3へのログイン用アカウント(接続用情報)を取得する(ステップS105)。
ここで取得されるログイン用アカウントは、ステップS101およびステップS102に示した処理において、クライアント9がアクセスゲートウェイ10に接続する際に用いた認証用の情報(ユーザ名およびパスワード等)とは異なるアカウントである。即ち、本実施形態に係る情報処理システム1では、クライアント9とアクセスゲートウェイ10との間での接続(例えば、SSHセッション)において用いられるアカウントと、アクセスゲートウェイ10とサーバ3との間での接続(例えば、SSHセッション)において用いられるアカウントとは、異なるアカウントである。換言すれば、本実施形態に係るアクセスゲートウェイ10は、クライアント9がサーバ3によるサービスを受けようとする際に用いるアカウントの変換機能を備えている。例えば、このようなアカウント変換機能を採用することにより、クライアント9とアクセスゲートウェイ10との間で用いられる鍵情報と、アクセスゲートウェイ10とサーバ3との間で用いられる鍵情報と、を異ならせることも出来る。アクセスゲートウェイ10が、このようなアカウント変換機能を備えることによって、アクセスゲートウェイ10とサーバ3との間での通信に用いられる情報(ユ
ーザ名、パスワード、SSHの暗号通信に用いられる暗号鍵等)を、クライアント9およびユーザに対して隠蔽することが可能となり、セキュリティが向上する。
ーザ名、パスワード、SSHの暗号通信に用いられる暗号鍵等)を、クライアント9およびユーザに対して隠蔽することが可能となり、セキュリティが向上する。
なお、アクセスゲートウェイ10が管理しているサーバ3へのログイン用アカウントは、ユーザに固定されずに用いられてもよい。例えば、アクセスゲートウェイ10の接続用情報取得部24は、ユーザに対して現時点で使用されていないログイン用アカウントを所定の順に又はランダムに取得してユーザに割り当て、ユーザによってログイン用アカウントが使用されている間、当該ログイン用アカウントが使用中である旨を記録する。
ステップS105においてログイン用アカウントの取得に失敗した場合、処理はステップS106へ進む。また、ステップS105においてログイン用アカウントの取得に成功した場合、処理はステップS107へ進む。
ステップS106では、クライアント9に対して、該当権限が無い旨の通知が行われる。アクセスゲートウェイ10は、指定サーバ3へのログイン用アカウントの取得に失敗した場合、ログイン用アカウントの取得に失敗した旨、およびクライアント9から指定されたサーバ3へのアクセス権限をクライアント9(またはクライアント9を使用するユーザ)が有していない旨を、クライアント9に対して通知する。その後、本シーケンス図に示された処理は終了する。
ステップS107からステップS109では、指定サーバ3への接続が行われ、接続結果が通知される。指定サーバ3へのログイン用アカウントの取得に成功した場合、アクセスゲートウェイ10のサーバ接続部25は、ステップS105において取得されたログイン用アカウントを用いて、クライアント9を代理して、指定サーバ3に接続(ログイン)する(ステップS107)。サーバ3は、アクセスゲートウェイ10からの接続要求を受けると、接続要求に含まれるログイン用アカウントを参照して接続の許可または不許可を決定し、接続成功または接続失敗を示す情報を送信する(ステップS108)。また、接続成功または接続失敗を示す情報は、アクセスゲートウェイ10のサーバ代理部26および端末代理部27(SSHプロキシ)によって中継されて、クライアント9に到達する(ステップS109)。サーバ代理部26および端末代理部27による中継の方法の詳細は、図4を用いて後述する。ここで、接続成功の場合、クライアント9とアクセスゲートウェイ10との間の接続(例えば、SSHセッション)とは異なる、アクセスゲートウェイ10とサーバ3との間の接続(例えば、SSHセッション)が確立される。その後、本フローチャートに示された処理は終了し、その後図4に示すログ収集処理が開始される。
図4は、本実施形態に係るログ収集処理の流れを示すシーケンス図である。本実施形態に係るログ収集処理は、上記説明したサーバ接続処理が終了し、クライアント9とサーバ3との間での通信が発生したこと等を契機として開始される。ここでいうクライアント9とサーバ3との間における通信には、例えば、クライアント9から送信されるコマンドや、コマンドを受けてサーバ3から送信される処理結果等が含まれる。なお、本シーケンス図に示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
上記サーバ接続処理において説明した通り、本実施形態では、クライアント9とアクセスゲートウェイ10との間の接続(例えば、SSHセッション)とは異なる、アクセスゲートウェイ10とサーバ3との間の接続(例えば、SSHセッション)が確立される。そして、本実施形態に係るログ収集処理では、アクセスゲートウェイ10において、クライアント側プロセス(サーバ代理部26)およびサーバ側プロセス(端末代理部27)が実行される。アクセスゲートウェイ10のサーバ代理部26および端末代理部27は、クラ
イアント9において入力および送信されたコマンドを、ステップS107で接続した指定サーバ3に転送し、また、コマンドの処理結果として指定サーバ3から送信された処理結果応答を、クライアント9に転送する。以下、サーバ代理部26および端末代理部27によって行われるログ収集処理の詳細について説明する。
イアント9において入力および送信されたコマンドを、ステップS107で接続した指定サーバ3に転送し、また、コマンドの処理結果として指定サーバ3から送信された処理結果応答を、クライアント9に転送する。以下、サーバ代理部26および端末代理部27によって行われるログ収集処理の詳細について説明する。
以下に説明するログ収集処理において、クライアント9とアクセスゲートウェイ10との間の通信は、クライアント9とアクセスゲートウェイ10との間の接続(例えば、SSHセッション)において用いられる第一の鍵情報を用いて暗号化される。ここで、第一の鍵情報は、クライアント9とアクセスゲートウェイ10との間の通信(例えば、SSHセッション)において用いられる鍵情報であり、予め設定されたものであってもよいし、クライアント9とアクセスゲートウェイ10との間の接続の確立に際して新たに生成されたものであってもよい。
同様に、アクセスゲートウェイ10とサーバ3との間の通信は、アクセスゲートウェイ10とサーバ3との間の接続(例えば、SSHセッション)において用いられる第二の鍵情報を用いて暗号化される。ここで、第二の鍵情報は、アクセスゲートウェイ10とサーバ3との間の通信(例えば、SSHセッション)において用いられる鍵情報であり、予め設定されたものであってもよいし、アクセスゲートウェイ10とサーバ3との間の接続の確立に際して新たに生成されたものであってもよい。
但し、通信は必ずしも暗号化される必要はない。例えば、通信プロトコルにtelnetが採用された場合、通信は暗号化されない。暗号化付きの通信プロトコルが採用されない場合、後述する第一暗号通信処理部31および第二暗号通信処理部32による暗号化処理および復号処理(ステップS202、ステップS206、ステップS209およびステップS213)は省略される。
ステップS201およびステップS202では、クライアント9から送信されたコマンド等が受信および復号される。アクセスゲートウェイ10のサーバ代理部26は、サーバ接続部25によって接続された指定サーバ3に対するクライアント9からの通信を、指定サーバ3に代わって受信する(ステップS201)。そして、アクセスゲートウェイ10の第一暗号通信処理部31は、サーバ代理部26によって受信された通信を、第一の鍵情報を用いて復号する(ステップS202)。その後、処理はステップS203へ進む。
ステップS203では、クライアント9から送信された通信の内容(コマンド等)が蓄積(ロギング)される。アクセスゲートウェイ10の蓄積部28は、ステップS201およびステップS202で受信および復号された、指定サーバ3に対するクライアント9からの通信の内容(即ち、サーバ代理部26および端末代理部27によって中継される通信の内容)を、記憶装置14上の、少なくともクライアント9からのアクセスが制限される記憶領域に蓄積する。より具体的には、蓄積部28は、ステップS202で復号された通信ストリームを、変更せずにそのまま蓄積する。このような蓄積方法が採用されることで、例えば、サーバ3の処理状況(情報、警告、エラー)や、オペレーターによって入力されたコマンド、コマンドに対するサーバ3から応答、等、サーバ3の操作内容を含む全ての通信内容がロギングされる。その後、処理はステップS204へ進む。
なお、従来、通常のコマンド操作については、アクセスログにロギングすることが出来たが、データベース(例えば、MySQL等)呼び出し後のSQLコマンド操作は、ロギングが困難であり、不正操作が無いことの監査が困難であった。これに対して、本実施形態によれば、データベースのアクセスログについても詳細にロギングすることが可能となったため、データベースへの不正操作防止・作業時のミスの早期発見が可能となる。
ステップS204では、コマンド等の中継の制限の要否が判断される。アクセスゲートウェイ10の解釈部29は、サーバ代理部26によって受信された、指定サーバ3に対するクライアント9からの通信の内容を解釈することで、該通信が、中継を制限されるべき通信であるか否かを判断する。より具体的には、解釈部29は、復号された通信に含まれるコマンド等を、予め保持している禁則コマンドリストと比較することで禁則コマンドを特定する方法や、クライアント9からの通信のパターン等を、予め保持している攻撃パターン定義リストと比較することで攻撃を検出する方法等を用いて、該通信が、中継を制限されるべき通信であるか否かを判断する。
ステップS204において、中継の制限が必要であると判断された場合、処理はステップS205へ進む。ステップS205では、コマンド等の中継が制限される。アクセスゲートウェイ10の制限部30は、ステップS204で中継の制限が必要であると判断された通信の、端末代理部27によるサーバ3への送信を制限する。例えば、制限部30は、端末代理部27によるサーバ3への送信を禁止するか、または少なくとも一部を送信させないことで、中継の制限を行う。ステップS205に示された処理が終了すると、本シーケンス図に示された処理は終了する。
ステップS204において、中継の制限は不要であると判断された場合、処理はステップS206へ進む。ステップS206およびステップS207では、コマンド等が再び暗号化され、中継される。アクセスゲートウェイ10の第二暗号通信処理部32は、ステップS202において復号された通信を、第一の鍵情報とは異なる第二の鍵情報を用いて暗号化する(ステップS206)。
第二暗号通信処理部32による暗号化が行われると、アクセスゲートウェイ10の端末代理部27は、暗号化された通信を、クライアント9に代わってサーバ3へ送信する(ステップS207)。なお、ここで送信される通信の内容は、サーバ代理部26によって受信されたクライアント9からの通信と同一である。その後、処理はステップS208へ進む。
ステップS208からステップS210では、サーバ3から送信された処理結果等が受信、復号され、更に蓄積(ロギング)される。サーバ3は、ステップS201においてクライアント9から送信され、ステップS208においてアクセスゲートウェイ10によって中継された通信(例えば、コマンド)等を受信すると、受信されたコマンドに従った処理を実行し、コマンド等の発行元クライアント9への処理結果を、アクセスゲートウェイ10とサーバ3との間で確立されたSSHセッションを介して、アクセスゲートウェイ10宛に送信する。アクセスゲートウェイ10の端末代理部27は、サーバ3からのクライアント9への通信をクライアント9に代わって受信する(ステップS208)。
そして、アクセスゲートウェイ10の第二暗号通信処理部32は、端末代理部27によって受信された通信を、第二の鍵情報を用いて復号する(ステップS209)。アクセスゲートウェイ10の蓄積部28は、ステップS208およびステップS209で受信および復号された、クライアント9に対するサーバ3からの通信の内容(即ち、サーバ代理部26および端末代理部27によって中継される通信の内容)を、少なくともクライアント9からのアクセスが制限される記憶領域に蓄積する(ステップS210)。蓄積される具体的な情報は、ステップS203において説明したものと概略同様であるため、説明を省略する。その後、処理はステップS211へ進む。但し、ステップS211およびステップS212に示す処理は、下りトラフィックの制限を行う処理であるため、付加的な機能として実行されることとしもよいし、当該処理を実行するための機能自体実装されなくてもよい。ステップS211およびステップS212に示す処理が省略される場合には、ステップS210の処理が終了すると、処理はステップS213へ進む。
ステップS211およびステップS212では、処理結果等の中継の制限の要否が判断され、中継を制限すべきと判断された場合には、処理結果等の中継が制限される。アクセスゲートウェイ10の解釈部29は、端末代理部27によって受信された、クライアント9に対するサーバ3からの通信の内容を解釈することで、該通信が、中継を制限されるべき通信であるか否かを判断する(ステップS211)。そして、アクセスゲートウェイ10の制限部30は、ステップS211で中継の制限が必要であると判断された通信の、サーバ代理部26によるクライアント9への送信を制限する(ステップS212)。具体的な判断および制限の処理内容は、ステップS204およびステップS205において説明したものと概略同様であるため、説明を省略する。ステップS212に示された処理が終了すると、本シーケンス図に示された処理は終了する。また、ステップS211において中継の制限は不要であると判断された場合、処理はステップS213へ進む。
ステップS213およびステップS214では、処理結果等が再び暗号化され、中継される。アクセスゲートウェイ10の第一暗号通信処理部31は、ステップS209において復号された通信を、第一の鍵情報を用いて暗号化する(ステップS213)。第一暗号通信処理部31による暗号化が行われると、アクセスゲートウェイ10のサーバ代理部26は、暗号化された通信を、サーバ3に代わってクライアント9へ送信する(ステップS214)。なお、ここで送信される通信の内容は、端末代理部27によって受信されたサーバ3からの通信と同一である。その後、本シーケンス図に示された処理は終了する。
本シーケンス図に示された処理によれば、通信ストリームの生ログ(例えば、パケット自体)が蓄積されるため、その後パケットを組立てる等の方法で、ユーザ毎、サーバ3毎のログを採集することが出来る。
なお、本実施形態では、クライアント9とアクセスゲートウェイ10との間の通信プロトコル、およびアクセスゲートウェイ10とサーバ3との間の通信プロトコルとして、何れもSSHが採用された場合について説明したが、中継される通信プロトコルには、その他の通信プロトコルが採用されてもよい。例えば、アクセスゲートウェイ10は、telnet、FTP(File Transfer Protocol)、HTTP(HyperText Transfer Protocol)等を中継してもよい。
また、クライアント9とアクセスゲートウェイ10との間の通信プロトコルと、アクセスゲートウェイ10とサーバ3との間の通信プロトコルとを、異なるプロトコルとしてもよい。但し、クライアント9−アクセスゲートウェイ10間と、アクセスゲートウェイ10−サーバ3間とで異なるプロトコルを採用する場合には、アクセスゲートウェイ10は、送受信されるコマンドやデータを翻訳する手段を備えることが好ましい。プロトコルの翻訳は、翻訳対象となる複数のプロトコル間での、対応するコマンドやデータ形式の対応テーブルを参照することで行うことが出来る。
また、アクセスゲートウェイ10は、クライアント9に対して、限定された所定のポートのみを開放することとしてもよい。例えば、アクセスゲートウェイ10は、22番ポートおよび23番ポートのみを開放する。このようにすることで、サービスの提供に用いられるサーバ3の種類や数に拘らず、クライアント9からの接続先ポートを限定することが出来、情報処理システム1のセキュリティを向上させることが出来る。また、クライアント9が何れのサーバ3に接続したい場合であっても、クライアント9から接続すべきポート番号が限られているため、ユーザによるオペレーションの負担を軽減することが出来る。
<サーバ接続処理のバリエーション>
図5は、本実施形態に係るサーバ接続処理の流れを示すシーケンス図である。本実施形態に係るサーバ接続処理は、上記説明した情報処理システム1において、クライアント9においてサーバ3への接続操作が行われたことや、予め設定された、サーバ3への接続時刻が到来したこと等を契機として開始される。図3を用いて説明した、予め登録されたユーザ名とパスワードを利用して宛先サーバ3へ認証する認証方式(固定ユーザ認証方式)と異なり、図5に示すサーバ接続処理では、認証プロンプトをクライアント9のディスプレイに表示し、ユーザ名とパスワードをユーザに入力させる認証方式(ユーザ入力認証方式)が採用されている。ユーザ入力認証方式を採用した場合、アクセスゲートウェイ10における接続用情報の管理が不要となる。
図5は、本実施形態に係るサーバ接続処理の流れを示すシーケンス図である。本実施形態に係るサーバ接続処理は、上記説明した情報処理システム1において、クライアント9においてサーバ3への接続操作が行われたことや、予め設定された、サーバ3への接続時刻が到来したこと等を契機として開始される。図3を用いて説明した、予め登録されたユーザ名とパスワードを利用して宛先サーバ3へ認証する認証方式(固定ユーザ認証方式)と異なり、図5に示すサーバ接続処理では、認証プロンプトをクライアント9のディスプレイに表示し、ユーザ名とパスワードをユーザに入力させる認証方式(ユーザ入力認証方式)が採用されている。ユーザ入力認証方式を採用した場合、アクセスゲートウェイ10における接続用情報の管理が不要となる。
以下、ユーザ入力認証方式を用いたサーバ接続処理の一例について説明する。なお、本シーケンス図に示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
ステップS301からステップS304に示す処理は、図3を用いて説明したステップS101からステップS104の処理と概略同様であるため、説明を省略する。アクセスゲートウェイ10のサーバ指定受付部23がサーバ指定を受信すると、処理はステップS305へ進む。
ステップS305からステップS307では、指定サーバ3への接続が行われ、接続結果が通知される。アクセスゲートウェイ10のサーバ接続部25は、クライアント9を代理して、ステップS304において指定された指定サーバ3に接続する(ステップS305)。サーバ3は、アクセスゲートウェイ10に係る情報、および/またはアクセスゲートウェイ10によって通知されたクライアント9の情報(例えば、IPアドレス等)を参照し、これらの情報と予め設定されている基準とを比較することで接続の許可または不許可を決定する。サーバ3は、接続を不許可とする場合には、接続失敗を示す通知をアクセスゲートウェイ10へ送信する(ステップS306)。
なお、ステップS305においてアクセスゲートウェイ10からサーバ3に対して送信される接続要求には、ログインに必要な接続用情報は含まれない。このため、サーバ3は、アクセスゲートウェイ10からの接続要求を受信し、接続の許可を決定すると、アクセスゲートウェイ10に対して認証プロンプトを送信することで、ログインのための接続用情報(ユーザ名およびパスワード)を要求する(ステップS306)。アクセスゲートウェイ10の端末代理部27が、サーバ3から送信された接続用情報の要求(認証プロンプト)を受信すると(ステップS306)、アクセスゲートウェイ10のサーバ代理部26は、認証プロンプトをクライアント9へ送信することで、接続用情報の要求を中継する(ステップS307)。即ち、ステップS306およびステップS307では、アクセスゲートウェイ10による中継によって、サーバ3からクライアント9に対して、認証プロンプトが発行される。その後、処理はステップS308へ進む。
ステップS308からステップS311では、クライアント9からサーバ3への認証用の情報が中継され、また、サーバ3からクライアント9への認証結果が中継される。クライアント9によって表示された認証プロンプトを見たユーザは、認証プロンプトに応じて、サーバログイン用のユーザ名およびパスワードを入力する。入力された情報は、クライアント9によって認証要求としてアクセスゲートウェイ10宛に送信される(ステップS308)。認証要求は、アクセスゲートウェイ10のサーバ代理部26および端末代理部27によって中継されて、サーバ3に到達する(ステップS309)。
サーバ3は、アクセスゲートウェイ10からの認証要求を受けると、認証要求に含まれ
るログイン用アカウントを参照して接続の許可または不許可を決定し、認証成功または認証失敗を示す情報を送信する(ステップS310)。また、認証成功または認証失敗を示す情報は、アクセスゲートウェイ10のサーバ代理部26および端末代理部27によって中継されて、クライアント9に到達する(ステップS311)。ここで、認証成功の場合、クライアント9とアクセスゲートウェイ10との間の接続(例えば、SSHセッション)とは異なる、アクセスゲートウェイ10とサーバ3との間の接続(例えば、SSHセッション)が確立される。その後、本フローチャートに示された処理は終了し、その後図4に示すログ収集処理が開始される。
るログイン用アカウントを参照して接続の許可または不許可を決定し、認証成功または認証失敗を示す情報を送信する(ステップS310)。また、認証成功または認証失敗を示す情報は、アクセスゲートウェイ10のサーバ代理部26および端末代理部27によって中継されて、クライアント9に到達する(ステップS311)。ここで、認証成功の場合、クライアント9とアクセスゲートウェイ10との間の接続(例えば、SSHセッション)とは異なる、アクセスゲートウェイ10とサーバ3との間の接続(例えば、SSHセッション)が確立される。その後、本フローチャートに示された処理は終了し、その後図4に示すログ収集処理が開始される。
<ネットワーク構成のバリエーション>
図6は、本実施形態に係る情報処理システム1bの構成を示す概略図である。本実施形態に係る情報処理システム1bは、図1を用いて説明した情報処理システム1と同様、複数のクライアント9が接続されるネットワーク2と、クライアント9に対して種々のサービスを提供する複数のサーバ3が接続されるネットワーク4と、を備える。但し、図1を用いて説明した情報処理システム1では、ネットワーク2とネットワーク4との間の通信を中継するための情報処理装置として、アクセスゲートウェイ10を用いたのに対して、情報処理システム1bでは、ネットワーク2に設置されるアクセスサーバ10bを用いる。図6に示した構成によれば、ネットワーク2において、クライアント9が直接ネットワーク4等の外部ネットワークと通信することを制限し、クライアント9がサーバ3と通信するには、アクセスサーバ10bを介さなければサーバ3と通信できないようにすることで、情報処理システム1bのセキュリティを向上させることが出来る。
図6は、本実施形態に係る情報処理システム1bの構成を示す概略図である。本実施形態に係る情報処理システム1bは、図1を用いて説明した情報処理システム1と同様、複数のクライアント9が接続されるネットワーク2と、クライアント9に対して種々のサービスを提供する複数のサーバ3が接続されるネットワーク4と、を備える。但し、図1を用いて説明した情報処理システム1では、ネットワーク2とネットワーク4との間の通信を中継するための情報処理装置として、アクセスゲートウェイ10を用いたのに対して、情報処理システム1bでは、ネットワーク2に設置されるアクセスサーバ10bを用いる。図6に示した構成によれば、ネットワーク2において、クライアント9が直接ネットワーク4等の外部ネットワークと通信することを制限し、クライアント9がサーバ3と通信するには、アクセスサーバ10bを介さなければサーバ3と通信できないようにすることで、情報処理システム1bのセキュリティを向上させることが出来る。
なお、情報処理システム1bは、情報処理システム1と比較して、ネットワークにおけるアクセスサーバ10bの接続形態が異なるのみであり、アクセスサーバ10bが有する機能(図2を参照)や、アクセスサーバ10bによって実行される処理(サーバ接続処理およびログ収集処理)等の内容は、図2から図5を用いて説明したアクセスゲートウェイ10と概略同様であるため、説明を省略する。
<効果>
上記実施形態に係る情報処理システム1、1bでは、クライアント9と指定サーバ3間の通信を中継しながら、クライアント9と指定サーバ3間の通信をログとして自動的に採取し、監査に提出するまでの期間はログを閲覧できないようにしている。本実施形態に係る情報処理システム1、1bによれば、ログが採取されてから監査に提出されるまでの期間に、ログが改ざんされるリスクを解消することが出来る。また、本実施形態に係る情報処理システム1、1bによれば、該システムを経由して各サーバ3へログインするため、アカウント管理が集約され、アカウント管理等のメンテナンス作業の負荷が軽減される。
上記実施形態に係る情報処理システム1、1bでは、クライアント9と指定サーバ3間の通信を中継しながら、クライアント9と指定サーバ3間の通信をログとして自動的に採取し、監査に提出するまでの期間はログを閲覧できないようにしている。本実施形態に係る情報処理システム1、1bによれば、ログが採取されてから監査に提出されるまでの期間に、ログが改ざんされるリスクを解消することが出来る。また、本実施形態に係る情報処理システム1、1bによれば、該システムを経由して各サーバ3へログインするため、アカウント管理が集約され、アカウント管理等のメンテナンス作業の負荷が軽減される。
1、1b 情報処理システム
3 サーバ
9 クライアント(端末)
10 アクセスゲートウェイ
10b アクセスサーバ
3 サーバ
9 クライアント(端末)
10 アクセスゲートウェイ
10b アクセスサーバ
Claims (7)
- 端末に対してサービスを提供するサーバに接続される情報処理装置であって、
前記端末から、サービスの提供を受けたいサーバの指定を受け付けるサーバ指定受付手段と、
前記サーバ指定受付手段によって受け付けられた指定のサーバに接続するサーバ接続手段と、
前記サーバ接続手段によって接続された前記指定のサーバに対する前記端末からの通信を該サーバに代わって受信し、該サーバからの通信を該サーバに代わって該端末へ送信するサーバ代理手段と、
前記サーバ代理手段によって受信された前記端末からの通信を該端末に代わって前記サーバへ送信し、前記サーバ代理手段によって送信される該サーバからの該端末への通信を該端末に代わって受信する、端末代理手段と、
前記サーバ代理手段および前記端末代理手段によって中継される、前記端末と前記サーバとの間の通信の内容を、少なくとも前記端末からのアクセスが制限される記憶領域に蓄積する蓄積手段と、
を備える情報処理装置。 - 前記端末毎または該端末を操作するユーザ毎に異なる、前記指定のサーバへの接続用情報を取得する接続用情報取得手段を更に備え、
前記サーバ接続手段は、前記接続用情報取得手段によって取得された接続用情報を用いることで、前記端末または前記ユーザを代理して、前記サーバに接続する、
請求項1に記載の情報処理装置。 - 前記端末から送信された、前記サーバへの接続要求を受け付ける接続要求受付手段と、
前記接続要求の送信元の前記端末を認証する認証手段と、を更に備え、
前記サーバ指定受付手段は、前記認証手段による認証に成功した場合に、前記サーバの指定を受け付ける、
請求項1または2に記載の情報処理装置。 - 前記サーバ代理手段によって受信された、前記サーバに対する前記端末からの通信の内容を解釈することで、該通信が、中継を制限されるべき通信であるか否かを判断する解釈手段と、
前記解釈手段によって、前記通信が中継を制限されるべき通信であると判断された場合に、前記端末代理手段による前記サーバへの該通信の送信を制限する制限手段と、
を更に備える請求項1から3の何れか一項に記載の情報処理装置。 - 前記サーバ代理手段によって受信される通信を第一の鍵情報を用いて復号し、該サーバ代理手段によって送信される通信を該第一の鍵情報を用いて暗号化する、第一の暗号通信処理手段と、
前記端末代理手段によって受信される通信を前記第一の鍵情報とは異なる第二の鍵情報を用いて復号し、該端末代理手段によって送信される通信を該第二の鍵情報を用いて暗号化する、第二の暗号通信処理手段と、
を更に備える請求項1から4の何れか一項に記載の情報処理装置。 - 端末に対してサービスを提供するサーバに接続されるコンピュータが、
前記端末から、サービスの提供を受けたいサーバの指定を受け付けるサーバ指定受付ステップと、
前記サーバ指定受付ステップにおいて受け付けられた指定のサーバに接続するサーバ接続ステップと、
前記サーバ接続ステップにおいて接続された前記指定のサーバに対する前記端末からの通信を該サーバに代わって受信し、該サーバからの通信を該サーバに代わって該端末へ送信するサーバ代理ステップと、
前記サーバ代理ステップにおいて受信された前記端末からの通信を該端末に代わって前記サーバへ送信し、前記サーバ代理ステップにおいて送信される該サーバからの該端末への通信を該端末に代わって受信する、端末代理ステップと、
前記サーバ代理ステップおよび前記端末代理ステップにおいて中継される、前記端末と前記サーバとの間の通信の内容を、少なくとも前記端末からのアクセスが制限される記憶領域に蓄積する蓄積ステップと、
を実行する通信中継方法。 - 端末に対してサービスを提供するサーバに接続されるコンピュータに、
前記端末から、サービスの提供を受けたいサーバの指定を受け付けるサーバ指定受付ステップと、
前記サーバ指定受付ステップにおいて受け付けられた指定のサーバに接続するサーバ接続ステップと、
前記サーバ接続ステップにおいて接続された前記指定のサーバに対する前記端末からの通信を該サーバに代わって受信し、該サーバからの通信を該サーバに代わって該端末へ送信するサーバ代理ステップと、
前記サーバ代理ステップにおいて受信された前記端末からの通信を該端末に代わって前記サーバへ送信し、前記サーバ代理ステップにおいて送信される該サーバからの該端末への通信を該端末に代わって受信する、端末代理ステップと、
前記サーバ代理ステップおよび前記端末代理ステップにおいて中継される、前記端末と前記サーバとの間の通信の内容を、少なくとも前記端末からのアクセスが制限される記憶領域に蓄積する蓄積ステップと、
を実行させるための通信中継用プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010208096A JP2012064007A (ja) | 2010-09-16 | 2010-09-16 | 情報処理装置、通信中継方法およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010208096A JP2012064007A (ja) | 2010-09-16 | 2010-09-16 | 情報処理装置、通信中継方法およびプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012064007A true JP2012064007A (ja) | 2012-03-29 |
Family
ID=46059650
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010208096A Pending JP2012064007A (ja) | 2010-09-16 | 2010-09-16 | 情報処理装置、通信中継方法およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012064007A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013045278A (ja) * | 2011-08-24 | 2013-03-04 | Nomura Research Institute Ltd | アクセス管理装置 |
| JP2015133016A (ja) * | 2014-01-14 | 2015-07-23 | フュージョン・コミュニケーションズ株式会社 | 通信制御サーバ、通信制御方法、及びプログラム |
| JP2017045355A (ja) * | 2015-08-28 | 2017-03-02 | コニカミノルタ株式会社 | 画像形成装置及びアクセス制御プログラム並びにアクセス制御方法 |
| JPWO2021181910A1 (ja) * | 2020-03-11 | 2021-09-16 | ||
| WO2022123963A1 (ja) * | 2020-12-08 | 2022-06-16 | 株式会社デンソー | 通信制御方法及び通信装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003132022A (ja) * | 2001-10-22 | 2003-05-09 | Nec Corp | ユーザ認証システムおよび方法 |
| JP2004103022A (ja) * | 2002-09-05 | 2004-04-02 | Docomo Communications Laboratories Usa Inc | 複数の装置間でのクッキー管理を行なうための、個人クッキー格納サービスを実行する方法および装置 |
| JP2006129138A (ja) * | 2004-10-29 | 2006-05-18 | Fujitsu Ltd | プロキシサーバプログラム及びプロキシサーバ方法 |
| JP2007299303A (ja) * | 2006-05-02 | 2007-11-15 | Ntt Resonant Inc | Id連携型認証システムおよびid連携型認証方法 |
| JP2009223608A (ja) * | 2008-03-17 | 2009-10-01 | Osaka Gas Co Ltd | リバースプロキシシステム |
| JP2010086435A (ja) * | 2008-10-02 | 2010-04-15 | Hitachi Ltd | 情報処理方法およびコンピュータ |
| JP2010198386A (ja) * | 2009-02-25 | 2010-09-09 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視システムおよび不正アクセス監視方法 |
-
2010
- 2010-09-16 JP JP2010208096A patent/JP2012064007A/ja active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003132022A (ja) * | 2001-10-22 | 2003-05-09 | Nec Corp | ユーザ認証システムおよび方法 |
| JP2004103022A (ja) * | 2002-09-05 | 2004-04-02 | Docomo Communications Laboratories Usa Inc | 複数の装置間でのクッキー管理を行なうための、個人クッキー格納サービスを実行する方法および装置 |
| JP2006129138A (ja) * | 2004-10-29 | 2006-05-18 | Fujitsu Ltd | プロキシサーバプログラム及びプロキシサーバ方法 |
| JP2007299303A (ja) * | 2006-05-02 | 2007-11-15 | Ntt Resonant Inc | Id連携型認証システムおよびid連携型認証方法 |
| JP2009223608A (ja) * | 2008-03-17 | 2009-10-01 | Osaka Gas Co Ltd | リバースプロキシシステム |
| JP2010086435A (ja) * | 2008-10-02 | 2010-04-15 | Hitachi Ltd | 情報処理方法およびコンピュータ |
| JP2010198386A (ja) * | 2009-02-25 | 2010-09-09 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視システムおよび不正アクセス監視方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013045278A (ja) * | 2011-08-24 | 2013-03-04 | Nomura Research Institute Ltd | アクセス管理装置 |
| JP2015133016A (ja) * | 2014-01-14 | 2015-07-23 | フュージョン・コミュニケーションズ株式会社 | 通信制御サーバ、通信制御方法、及びプログラム |
| JP2017045355A (ja) * | 2015-08-28 | 2017-03-02 | コニカミノルタ株式会社 | 画像形成装置及びアクセス制御プログラム並びにアクセス制御方法 |
| JPWO2021181910A1 (ja) * | 2020-03-11 | 2021-09-16 | ||
| WO2021181910A1 (ja) * | 2020-03-11 | 2021-09-16 | 日本電気株式会社 | 通信装置、データ記録方法、及び非一時的なコンピュータ可読媒体 |
| CN115280736A (zh) * | 2020-03-11 | 2022-11-01 | 日本电气株式会社 | 通信设备、数据记录方法以及非暂时性计算机可读介质 |
| EP4007350A4 (en) * | 2020-03-11 | 2022-11-23 | NEC Corporation | COMMUNICATION DEVICE, DATA RECORDING METHOD AND COMPUTER READABLE NON-TRANSITORY MEDIA |
| JP7287569B2 (ja) | 2020-03-11 | 2023-06-06 | 日本電気株式会社 | 通信装置、データ記録方法、及びプログラム |
| WO2022123963A1 (ja) * | 2020-12-08 | 2022-06-16 | 株式会社デンソー | 通信制御方法及び通信装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8667170B2 (en) | Address conversion method, access control method, and device using these methods | |
| JP5942503B2 (ja) | サービス要求装置、サービス要求方法およびサービス要求プログラム | |
| JP3995338B2 (ja) | ネットワーク接続制御方法及びシステム | |
| US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
| KR100739245B1 (ko) | 정보 처리 장치, 정보 처리 방법 및 기억 매체 | |
| EP3119059A1 (en) | A system and method for secure proxy-based authentication | |
| JP2015519776A (ja) | マルチパーティシステムにおける安全な認証 | |
| JP2007323553A (ja) | ネットワーク上の暗号化通信を行うアダプタ装置及びicカード | |
| JP4339234B2 (ja) | Vpn接続構築システム | |
| CN113341798A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| CN109861973A (zh) | 信息传输方法、装置、电子设备及计算机可读介质 | |
| JP2008181310A (ja) | 認証サーバおよび認証プログラム | |
| US11165768B2 (en) | Technique for connecting to a service | |
| US9954853B2 (en) | Network security | |
| CN102811225A (zh) | 一种ssl中间代理访问web资源的方法及交换机 | |
| JP2012064007A (ja) | 情報処理装置、通信中継方法およびプログラム | |
| JP4667921B2 (ja) | 検証装置及び通信システム及びトラストストア管理装置及びトラストストア監視装置 | |
| CN112437100A (zh) | 漏洞扫描方法及相关设备 | |
| US20190306160A1 (en) | Method and apparatus for automatically connecting a mobile device and an output device | |
| KR20170085423A (ko) | 사용자 단말 장치 및 이에 의한 개인 정보 제공 방법 | |
| JP5336262B2 (ja) | ユーザ認証システムおよびユーザ認証方法 | |
| JP2001005746A (ja) | ファイル転送システム | |
| WO2009041804A2 (en) | Secure instant messaging | |
| JP2019012405A (ja) | リモート通信制御システム、セッション管理システムおよびセッション管理プログラム | |
| CN115664686A (zh) | 一种登录方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130121 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131115 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131217 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140217 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140311 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20140701 |