JP2014154112A - 通信データ中継装置およびプログラム - Google Patents

通信データ中継装置およびプログラム Download PDF

Info

Publication number
JP2014154112A
JP2014154112A JP2013026043A JP2013026043A JP2014154112A JP 2014154112 A JP2014154112 A JP 2014154112A JP 2013026043 A JP2013026043 A JP 2013026043A JP 2013026043 A JP2013026043 A JP 2013026043A JP 2014154112 A JP2014154112 A JP 2014154112A
Authority
JP
Japan
Prior art keywords
authentication
request
server
information
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013026043A
Other languages
English (en)
Inventor
Naoyuki Yamauchi
直行 山内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2013026043A priority Critical patent/JP2014154112A/ja
Publication of JP2014154112A publication Critical patent/JP2014154112A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】既存の認証システムに修正を加えず、シングルサインオンを実現する。
【解決手段】複数のサーバの認証手続きに関する情報を管理する情報管理手段219と、複数のサーバと少なくとも1以上のクライアントとの通信中継を制御する通信制御手段216と、クライアントから受信した認証情報を含む認証要求に応じ、情報管理手段219によって管理された認証手続きに関する情報に基づいて複数のサーバに対して認証手続きを代行する認証中継手段217と、認証中継手段217の代行によって認証に成功した各サーバから受信した認証情報を含むアクセス資格情報を、認証成功の結果と共に管理する管理手段218と、認証要求を送信してきたクライアントに対し、認証成功の結果とアクセス資格情報とを返答する認証結果返答手段220と、を備える。
【選択図】図3

Description

本発明は、通信データ中継装置およびプログラムに関する。
近年の情報システムは、従来のクライアントサーバ型システムからWeb(World Wide Web)技術を基盤としたシステムに移行している。これに伴い、様々な業務がインターネットを経由したアプリケーション化され、業務効率の向上が図られている。その結果、業務毎に多数の情報システムが存在することになっている。
ところが、多数の情報システムが存在する場合には、各情報システムの使用に際してそれぞれの情報システム毎にユーザ名やパスワードなどの情報を入力するログイン操作(認証操作)を実行しなければならず、煩雑な操作を強いられていた。
この問題を解決するためにシングルサインオン技術が注目されている。シングルサインオンとは、認証を必要とする複数の情報システムを利用する際に、ユーザがログイン操作を一度行って認証を受けるだけで複数の情報システムを利用できるようにするログイン方式である。シングルサインオン技術としては、リバースプロキシ型とエージェント型の手法が既に知られている。
例えば特許文献1には、既存の認証システムに対する変更を最小限に留めつつ認証システムの利便性を高めることを目的とした方式の異なるシングルサインオンシステムの連携方法が開示されている。より詳細には、特許文献1には、認証仲介サーバが各シングルサインオンシステムの認証識別子を解釈し、認証処理を仲介することによってシステムを連携させる構成が開示されている。
しかしながら、特許文献1に開示された方法によれば、認証処理を一箇所に集中させ、既存の認証システムから新しい認証サーバにアクセスするよう修正する必要がある。すなわち、特許文献1に開示された方法によれば、リバースプロキシ型、および、エージェント型のどちらの方法においても、既存の認証システムを修正しなければならない、という問題があった。
本発明は、上記に鑑みてなされたものであって、既存の認証システムに修正を加えず、シングルサインオンを実現することを目的とする。
上述した課題を解決し、目的を達成するために、本発明の通信データ中継装置は、複数のサーバの認証手続きに関する情報を管理する情報管理手段と、前記複数のサーバと少なくとも1以上のクライアントとの通信中継を制御する通信制御手段と、前記通信制御手段を介してクライアントから受信した認証情報を含む認証要求に応じ、前記情報管理手段によって管理された前記認証手続きに関する情報に基づいて前記複数のサーバに対して認証手続きを代行する認証中継手段と、前記認証中継手段の代行によって認証に成功した前記各サーバから前記通信制御手段を介して受信した前記認証情報を含むアクセス資格情報を、認証成功の結果と共に管理する管理手段と、認証要求を送信してきた前記クライアントに対し、前記認証成功の結果と前記アクセス資格情報とを前記通信制御手段を介して返答する認証結果返答手段と、を備えることを特徴とする。
また、本発明のプログラムは、コンピュータを、複数のサーバの認証手続きに関する情報を管理する情報管理手段と、前記複数のサーバと少なくとも1以上のクライアントとの通信中継を制御する通信制御手段と、前記通信制御手段を介してクライアントから受信した認証情報を含む認証要求に応じ、前記情報管理手段によって管理された前記認証手続きに関する情報に基づいて前記複数のサーバに対して認証手続きを代行する認証中継手段と、前記認証中継手段の代行によって認証に成功した前記各サーバから前記通信制御手段を介して受信した前記認証情報を含むアクセス資格情報を、認証成功の結果と共に管理する管理手段と、認証要求を送信してきた前記クライアントに対し、前記認証成功の結果と前記アクセス資格情報とを前記通信制御手段を介して返答する認証結果返答手段と、として機能させることを特徴とする。
本発明によれば、複数のサーバの認証手続きに関する情報を管理し、クライアントからの認証要求をサーバの全てに対して代行することで、一度の認証要求で複数のサーバにアクセスすることができる。その後、クライアントからの要求を中継する際は、利用先のサーバに合わせたアクセス資格情報を通信データに付加(もしくは変換)することで、承認されたユーザとしてサーバを利用することができる。これにより、既存の認証システムを修正せずに、中継機器(中継ソフトウェア)を導入するだけで認証システムを統合することができる、という効果を奏する。
図1は、実施の一形態にかかるシステムのシステム構築例を示す模式図である。 図2は、中継機器のハードウェア構成の一例を示すブロック図である。 図3は、中継機器の認証手続き代行処理にかかる機能構成を概略的に示す模式図である。 図4は、認証要求および認証成功後の要求を中継する際の処理の流れを概略的に示すフローチャートである。 図5は、認証要求を中継する際の具体的な処理の流れを示すフローチャートである。 図6は、サービス利用リクエストを中継する際の具体的な処理の流れを示すフローチャートである。
[1.システムの全体構成]
図1は、実施の一形態にかかるシステム1のシステム構築例を示す模式図である。図1に示すように、システム1は、例えば企業や事業所に設けられたネットワークであるクライアントネットワーク100を、インターネット網150を介してWeb(World Wide Web)技術を基盤としたWebサービス提供ネットワーク200に接続したシステムを想定する。
図1に示すように、Webサービス提供ネットワーク200は、各種のサーバコンピュータ(以下、サーバという)201〜203および中継機器210をLAN(Local Area Network)等であるネットワーク204を介して接続したシステムである。なお、特に図示しないが、Webサービス提供ネットワーク200とインターネット網150との間で出入りするパケットを監視し、決められたルールに従って、その通過を許可したり、阻止(廃棄)したりすることにより、Webサービス提供ネットワーク200内のセキュリティを確保するファイアウォールが設けられていても良い。
また、図1に示すように、クライアントネットワーク100は、複数のクライアント101〜103をLAN等であるネットワーク104を介して接続したシステムである。このようなクライアントネットワーク100においても、インターネット網150と、クライアントネットワーク100との境界にファイアウォールが設けられていても良い。
なお、クライアントネットワーク100とWebサービス提供ネットワーク200とのネットワーク接続としては、インターネット網150に限るものではなく、専用の通信回線を用いて接続するようにしても良い。
また、ネットワーク104やネットワーク204は有線通信に限るものではなく、無線通信(赤外線や電波等)であっても良い。また、光ファイバを用いたものであっても良い。
Webサービス提供ネットワーク200に備えられたサーバ201〜203は、各種の業務に係る情報処理を実行する情報処理システムである。また、サーバ201〜203は、サーバ201〜203が提供するサービスを利用するにあたって、ユーザ名やパスワードなどの情報を入力するログイン操作(認証操作)が必要となる認証システムである。したがって、各サーバ201〜203は、認証に用いる認証情報201A〜203Aを図示しない記憶部に記憶している。このようなサーバ201〜203が提供するサービスは、クライアントネットワーク100に備えられたクライアント101〜103によって利用される。
中継機器210は、通信データ中継装置として機能するものであって、図1に示すように、クライアント101〜103とサーバ201〜203の間に位置し、クライアント101〜103からの認証要求、サービス利用要求、および、サーバ201〜203からの応答を中継する。
中継機器210は、概略的には、クライアント101〜103からの認証要求、および、その後の通信の中継処理に際して、以下の特徴を有している。
・クライアント101〜103からの認証要求時、複数のサーバ201〜203に対して認証手続きを代行する。
・認証後のクライアント101〜103からの要求を、中継機器210にインストールされている中継ソフトウェアが解析し、要求先のサーバ201〜203が受け入れ可能なアクセス資格情報を付加(もしくは変換)してサーバ201〜203へ転送する。
要するに、中継機器210は、既存の認証システムに対する認証手続きを把握しており、クライアント101〜103からの認証要求をサーバ201〜203の全てに対して代行することで、一度の認証要求で複数のサーバ201〜203にアクセスすることを可能としている。その後、クライアント101〜103からの要求を中継する際は、利用先のサーバ201〜203に合わせたアクセス資格情報を通信データに付加(もしくは変換)することで、承認されたユーザとしてサーバ201〜203を利用できることが特徴になっている。
なお、クライアント101〜103やサーバ201〜203については、一般的なコンピュータが適用されるので、その説明は省略する。なお、クライアント101〜103とサーバ201〜203とにおける機能の違いは、それぞれの記憶部に記憶されているOSおよびOS上で走る種々のアプリケーションプログラムの違いによるものである。
[2.中継機器210の構成]
次に、Webサービス提供ネットワーク200が備える中継機器210について説明する。図2は、中継機器210のハードウェア構成の一例を示すブロック図である。図2に示すように、中継機器210は、この中継機器210の動作制御を行うCPU(Central Processing Unit:中央処理装置)211を備えている。このCPU211には、CPU211が実行する制御プログラム(例えば、中継ソフトウェア)や必要なデータ(例えば、後述する中継先判定情報)等を記憶するためのEPROM(Erasable Programmable Read Only Memory)212と、CPU211のワークエリア等を構成するためのRAM(Random Access Memory)213とが内部バス226を介して接続されている。RAM213は、例えば中継処理中に作業メモリとして使用される。
また、CPU211には、中継機器210をインターネット網150に接続するためのネットワークインタフェース214と、中継機器210をネットワーク204に接続するためのネットワークインタフェース215とが接続されている。
このような構成の中継機器210は、ユーザが電源を投入するとEPROM212より制御プログラム(例えば、中継ソフトウェア)をRAM213に読み込み、この制御プログラムを起動させる。このようにして起動した制御プログラムは、ユーザの操作に応じて必要なデータ(例えば、後述する中継先判定情報)を読み込んだり、保存を行ったりする。
なお、中継機器210のEPROM212にインストールされる制御プログラムは、CD−ROM(図示せず)などの記憶媒体に記録され、この記憶媒体に記録された制御プログラムがドライブ装置(図示せず)を介してEPROM212にインストールされる。このため、CD−ROM等の可搬性を有する記憶媒体も、制御プログラムを記憶する記憶媒体となり得る。さらには、制御プログラムは、例えばネットワークインタフェース214およびインターネット網150を介して外部から取り込まれ、EPROM212にインストールされても良い。
[3.中継機器210の認証手続き代行処理]
次に、システム1の中継機器210のCPU211が制御プログラム(例えば、中継ソフトウェア)に従って実行する各種の演算処理のうち、本実施の形態の中継機器210が発揮する特徴的な処理である認証手続き代行処理について以下に説明する。
システム1においては、クライアントネットワーク100に備えられた複数のクライアント101〜103内の一つのクライアントからWebサービス提供ネットワーク200に対して認証の要求がなされると、中継機器210は、複数のサーバ201〜203に対して認証手続きを代行することになる。
中継機器210は、制御プログラムが起動すると、この制御プログラムに従い、CPU211が各部を制御して認証手続き代行処理を実行する。
ここで、図3は中継機器210の認証手続き代行処理にかかる機能構成を概略的に示す模式図である。図3に示すように、中継機器210は、通信制御手段として機能する通信制御部216と、認証中継手段として機能する認証中継部217と、管理手段として機能するセッション管理部218と、情報管理手段として機能する情報管理部219と、認証結果返答手段として機能する認証結果返答部220と、を備えている。
また、図3に示すように、中継機器210は、リクエスト判断手段として機能するリクエスト判断部221と、サーバ判断手段として機能するサーバ判断部222と、転送手段として機能する転送部223と、サービス送信手段として機能するサービス送信部224と、更新手段として機能する更新部225と、を備えている。
情報管理部219は、全てのサーバ201〜203の認証手続きに関する情報をEPROM212において管理する。
通信制御部216は、クライアント101〜103およびサーバ201〜203との通信中継を制御する。
認証中継部217は、通信制御部216を介して受信したクライアント101〜103からの認証要求(認証情報)に応じ、情報管理部219によって管理された認証手続きに関する情報に基づいて全てのサーバ201〜203に対して認証手続きを代行する。ここで、認証要求(認証情報)は、ユーザアカウントやパスワードなどの情報である。
セッション管理部218は、認証に成功した各サーバ201〜203から受信したアクセス資格情報を認証成功の結果と共にEPROM212に記憶して管理する。アクセス資格情報は、ユーザのログオン認証にユーザアカウントとパスワードを利用する場合、アクセス資格情報にはログオンしたユーザアカウントとパスワードが含まれている。
認証結果返答部220は、認証要求(認証情報)を送信してきたクライアント101〜103に対し、認証成功の結果とアクセス資格情報とを通信制御部216を介して返答する。
リクエスト判断部221は、サービス識別子およびアクセス資格情報を含むサービス利用のリクエストを認証成功したクライアント101〜103から通信制御部216を介して受信すると、当該リクエストに含まれているアクセス資格情報がセッション管理部218で管理されているアクセス資格情報に一致するものであれば、認証済みのクライアント101〜103からのリクエストであると判断する。すなわち、アクセス資格情報は、中継先判定情報となる。
サーバ判断部222は、受信したリクエスト中に含まれているサービス識別子に応じて当該リクエストの要求先となるサーバ201〜203の中の何れかのサーバを判断する。
転送部223は、リクエストに含まれているアクセス資格情報をセッション管理部218で管理されているアクセス資格情報を使ってサーバ判断部222によって判断したサーバ201〜203の中の何れかのサーバが受け入れ可能なリクエストに変換し、変換したリクエストを当該サーバへ通信制御部216を介して転送する。
サービス送信部224は、転送部223によりリクエストを転送したサーバ201〜203の中の何れかのサーバから通信制御部216を介して受信したサービスのレスポンスを、認証成功したクライアント101〜103に対して通信制御部216を介して送信する。
更新部225は、認証成功したサーバ201〜203の中の何れかのサーバに対するクライアント101〜103からのサービス利用のリクエストに対応したレスポンスを受信した場合、他のサーバのセッション有効期限を更新する。
次いで、本実施の形態の中継機器210の認証手続き代行処理について、シーン毎に具体的に説明する。
まず、クライアント101〜103からの認証要求および認証成功後の要求を中継する際の処理の概要について図4を参照して説明する。
図4に示すように、中継機器210は、通信制御部216によってクライアント101〜103の何れかから認証要求となる認証情報を受信すると、シングルサインオンの対象となる全てのサーバに対し、情報管理部219によって管理された認証手続きに関する情報に基づいて認証処理を順に代行する(ステップS1,S3:認証中継部217)。図4に示す例では、中継機器210は、サーバ201とサーバ202に対して認証を代行する。
より詳細には、中継機器210の認証中継部217は、クライアント101〜103の何れかからの認証要求(認証情報)をシングルサインオンの対象となる全てのサーバ(ここでは、サーバ201、サーバ202)に対して代行する。
次いで、中継機器210は、通信制御部216によってサーバ(ここでは、サーバ201、サーバ202)からの認証成功の結果と共にセッション情報(アクセス資格情報)を受信すると、それぞれのセッション情報(アクセス資格情報)を、EPROM212に記録する(ステップS2,S4:セッション管理部218)。
全てのサーバ(ここでは、サーバ201、サーバ202)からの認証成功の結果を受信した後、中継機器210は、認証要求を送信してきたクライアントに対し、通信制御部216によって認証成功の結果とセッション情報(アクセス資格情報)を返答する(ステップS5:認証結果返答部220)。
認証成功の結果とセッション情報(アクセス資格情報)を受信したクライアントは、認証成功の結果を受け取ると、続いてサービス利用リクエストを中継機器210に対して送信する。ここで、サービス利用リクエストは、
・使用したいサービス識別子
・セッション情報(アクセス資格情報)
を含んでいる。
中継機器210は、通信制御部216によってクライアント101〜103の何れかから事前認証が必要なサービスの利用リクエストを受信すると、要求に含まれているセッション情報(アクセス資格情報)が認証済みのものか否かを検査する(ステップS6:リクエスト判断部221)。具体的には、中継機器210は、クライアント101〜103の何れかからのサービス利用リクエストに含まれているセッション情報(アクセス資格情報)が、ステップS2/ステップS4でEPROM212に記録したセッション情報(アクセス資格情報)に一致するものであれば、認証済みのクライアントからのリクエストであると判断する。
次いで、中継機器210は、クライアント101〜103の何れかから受信したサービス利用リクエスト中に含まれているサービス識別子をチェックし、リクエストの要求先となるサーバを判断する(ステップS7:サーバ判断部222)。
中継機器210は、リクエストの要求先となるサーバを判断した後、ステップS2/ステップS4でEPROM212に記録したセッション情報(アクセス資格情報)を使ってサーバ201/サーバ202が受け入れ可能なリクエストに変換し、変換したリクエストを該当するサーバへ通信制御部216によって転送する(ステップS8,S9:転送部223)。
サービス利用リクエストを受信したサーバ(ここでは、サーバ201またはサーバ202)は、サービス利用リクエストに含まれるサービス利用可能なセッション情報(アクセス資格情報)に基づく各サーバにおけるサービスの応答(レスポンス)を中継機器210に対して送信する。
中継機器210は、通信制御部216によってサーバ(ここでは、サーバ201またはサーバ202)からサービスのレスポンスを受け取ると、続いてサービスのレスポンスをリクエスト送信クライアントに対して送信する(ステップS10:サービス送信部224)。その後、クライアントは、中継機器210から送信されたサービスのレスポンスを受信する。
上述したように、中継器210は、1つのサービス利用リクエストを1つのサーバにのみ中継する。すなわち、サービス利用リクエストと応答とは、1対1の関係となっている。しかしながら、これに限るものではなく、1つのサービス利用リクエストについて複数のサーバへ中継するものであっても良い。
次いで、クライアントからの認証要求をサーバ(ここでは、サーバ201またはサーバ202)に中継する際の具体的な処理の流れについて図5を参照しつつ説明する。
図5に示すように、中継機器210は、クライアント101〜103の何れかから認証要求となる認証情報を受信した後、サーバ201への認証要求を中継する(ステップS11)。
中継機器210は、サーバ201から認証成功の結果と共にセッション情報(アクセス資格情報)を受信すると、セッション情報(アクセス資格情報)を、EPROM212に記録する(ステップS12:セッション管理部218)。
次いで、中継機器210は、残りのサーバ202への認証処理を代行し、ステップS11およびステップS12と同様の手順でセッション情報(アクセス資格情報)をEPROM212に記録する(ステップS13,S14:セッション管理部218)。
なお、図5に示すように、サーバ(ここでは、サーバ201、サーバ202)は、認証処理が失敗した場合には、認証エラー画面のリソースを中継機器210に対して返答する。
なお、サーバがN台存在する場合は、上述した認証処理をN台分実施する。
中継機器210は、ステップS11,S13における認証処理代行の結果、サーバ(ここでは、サーバ201またはサーバ202)において認証成功であれば、認証要求を送信してきたクライアントに対して認証結果とセッション情報(アクセス資格情報)を返答する(ステップS15)。このとき、複数のサーバ(ここでは、サーバ201、サーバ202)から受信したセッション情報(アクセス資格情報)のうち、いずれの情報を返却しても良い。
続いて、クライアントからのサービス利用リクエストをサーバ(ここでは、サーバ201またはサーバ202)に中継する際の具体的な処理の流れについて図6を参照しつつ説明する。
図6に示すように、中継機器210は、クライアント101〜103の何れかから事前認証が必要なサービスの利用リクエストを受信した後、クライアントからのリクエストを解析する(ステップS21)。中継機器210は、EPROM212に記録していたセッション情報(アクセス資格情報)がクライアントからのリクエストに含まれていた場合は、認証済みのクライアントからの要求が届いたと判断する。一方、中継機器210は、クライアントからのリクエスト中に含まれるセッション情報(アクセス資格情報)が、EPROM212にない場合、認証されていないクライアントからの要求であると判断する。
クライアント101〜103の何れかからのリクエストに、サーバ201のサービス識別子が含まれている場合、中継機器210は、EPROM212からサーバ201のセッション情報(アクセス資格情報)を取得し、サービス利用リクエスト中に含まれるセッション情報(アクセス資格情報)を書き換えてサーバ201へ転送する(ステップS22)。
一方、クライアント101〜103の何れかからのリクエストに、サーバ202のサービス識別子が含まれている場合、中継機器210は、EPROM212からサーバ202のセッション情報(アクセス資格情報)を取得し、サービス利用リクエスト中に含まれるセッション情報(アクセス資格情報)を書き換えてサーバ202へ転送する(ステップS23)。
なお、中継機器210は、サービスを提供するサーバがN台ある場合は、サーバ201、サーバ202への転送処理と同様の手続きでサービス利用リクエストを転送する。このとき、通信プロトコルにTCP/IPを使用している場合は、チェックサムの再計算を行い、通信エラーとならないようにする。
リクエストを受信したサーバ(ここでは、サーバ201、サーバ202)は、セッション情報(アクセス資格情報)が有効なものか否かをチェックするセッションチェックを実行する。そして、リクエストを受信したサーバ(ここでは、サーバ201、サーバ202)は、セッションチェックの結果、セッション情報(アクセス資格情報)が有効なものであると判定した場合、要求に対応するサービスの応答(レスポンス)を中継機器210に対して応答する。
サーバ201からの応答(レスポンス)を受け取った中継機器210(更新部225)は、他のサーバ202に対してセッション情報(アクセス資格情報)の更新要求を送信し(ステップS24)、他のサーバ202のセッション有効期限を更新させる。この更新処理により、セッション期限切れによる再認証の頻発を防ぐことが可能となり、クライアントにとってサービスの使い勝手が向上する。
また、サーバ202からの応答(レスポンス)を受け取った中継機器210(更新部225)は、他のサーバ201に対してセッション情報(アクセス資格情報)の更新要求を送信し(ステップS25)、他のサーバ201のセッション有効期限を更新させる。
このように中継機器210が、サーバ(ここでは、サーバ201、サーバ202)のセッション有効期限を更新する際、既存のサービス利用により更新するようにしたことで、既存システムのソフトウェア変更が不要となる。
その後、中継機器210は、サーバ(ここでは、サーバ201またはサーバ202)から受信したサービスのレスポンスをリクエスト送信クライアントに対して送信する(ステップS26)。
その後、リクエスト送信クライアントは、中継機器210から送信されたサービスのレスポンスを受信する。
このように本実施形態の中継機器210によれば、複数のサーバ201〜203の認証手続きに関する情報を管理しており、クライアント101〜103からの認証要求をサーバ201〜203の全てに対して代行することで、一度の認証要求で複数のサーバ201〜203にアクセスすることができる。その後、クライアント101〜103からの要求を中継する際は、利用先のサーバ201〜203に合わせたアクセス資格情報を通信データに付加(もしくは変換)することで、承認されたユーザとしてサーバ201〜203を利用することができる。これにより、既存の認証システムを修正せずに、中継機器210(中継ソフトウェア)を導入するだけで認証システムを統合することができる、という効果を奏する。
101〜103 クライアント
210 通信データ中継装置
201〜203 サーバ
216 通信制御手段
217 認証中継手段
218 管理手段
219 情報管理手段
220 認証結果返答手段
221 リクエスト判断手段
222 サーバ判断手段
223 転送手段
224 サービス送信手段
225 更新手段
特開2006−252418号公報

Claims (6)

  1. 複数のサーバの認証手続きに関する情報を管理する情報管理手段と、
    前記複数のサーバと少なくとも1以上のクライアントとの通信中継を制御する通信制御手段と、
    前記通信制御手段を介してクライアントから受信した認証情報を含む認証要求に応じ、前記情報管理手段によって管理された前記認証手続きに関する情報に基づいて前記複数のサーバに対して認証手続きを代行する認証中継手段と、
    前記認証中継手段の代行によって認証に成功した前記各サーバから前記通信制御手段を介して受信した前記認証情報を含むアクセス資格情報を、認証成功の結果と共に管理する管理手段と、
    認証要求を送信してきた前記クライアントに対し、前記認証成功の結果と前記アクセス資格情報とを前記通信制御手段を介して返答する認証結果返答手段と、
    を備えることを特徴とする通信データ中継装置。
  2. サービス識別子および前記アクセス資格情報を含むサービス利用のリクエストを認証成功した前記クライアントから前記通信制御手段を介して受信すると、当該リクエストに含まれているアクセス資格情報が前記管理手段で管理されているアクセス資格情報に一致するものであれば、認証済みのクライアントからのリクエストであると判断するリクエスト判断手段と、
    受信した前記リクエスト中に含まれている前記サービス識別子に応じて当該リクエストの要求先となるサーバを判断するサーバ判断手段と、
    前記リクエストに含まれているアクセス資格情報を前記管理手段で管理されているアクセス資格情報を使って前記サーバ判断手段によって判断した前記サーバが受け入れ可能なリクエストに変換し、変換したリクエストを当該サーバへ前記通信制御手段を介して転送する転送手段と、
    前記転送手段によりリクエストを転送した前記サーバから前記通信制御手段を介して受信したサービスのレスポンスを、認証成功した前記クライアントに対して前記通信制御手段を介して送信するサービス送信手段と、
    を備えることを特徴とする請求項1記載の通信データ中継装置。
  3. 認証成功した前記サーバに対する前記クライアントからのサービス利用のリクエストに対応したレスポンスを受信した場合、他の前記サーバのセッション有効期限を更新する更新手段を更に備える、
    ことを特徴とする請求項2記載の通信データ中継装置。
  4. コンピュータを、
    複数のサーバの認証手続きに関する情報を管理する情報管理手段と、
    前記複数のサーバと少なくとも1以上のクライアントとの通信中継を制御する通信制御手段と、
    前記通信制御手段を介してクライアントから受信した認証情報を含む認証要求に応じ、前記情報管理手段によって管理された前記認証手続きに関する情報に基づいて前記複数のサーバに対して認証手続きを代行する認証中継手段と、
    前記認証中継手段の代行によって認証に成功した前記各サーバから前記通信制御手段を介して受信した前記認証情報を含むアクセス資格情報を、認証成功の結果と共に管理する管理手段と、
    認証要求を送信してきた前記クライアントに対し、前記認証成功の結果と前記アクセス資格情報とを前記通信制御手段を介して返答する認証結果返答手段と、
    として機能させるためのプログラム。
  5. サービス識別子および前記アクセス資格情報を含むサービス利用のリクエストを認証成功した前記クライアントから前記通信制御手段を介して受信すると、当該リクエストに含まれているアクセス資格情報が前記管理手段で管理されているアクセス資格情報に一致するものであれば、認証済みのクライアントからのリクエストであると判断するリクエスト判断手段と、
    受信した前記リクエスト中に含まれている前記サービス識別子に応じて当該リクエストの要求先となるサーバを判断するサーバ判断手段と、
    前記リクエストに含まれているアクセス資格情報を前記管理手段で管理されているアクセス資格情報を使って前記サーバ判断手段によって判断した前記サーバが受け入れ可能なリクエストに変換し、変換したリクエストを当該サーバへ前記通信制御手段を介して転送する転送手段と、
    前記転送手段によりリクエストを転送した前記サーバから前記通信制御手段を介して受信したサービスのレスポンスを、認証成功した前記クライアントに対して前記通信制御手段を介して送信するサービス送信手段と、
    として前記コンピュータを機能させるための請求項4記載のプログラム。
  6. 認証成功した前記サーバに対する前記クライアントからのサービス利用のリクエストに対応したレスポンスを受信した場合、他の前記サーバのセッション有効期限を更新する更新手段として前記コンピュータを機能させるための請求項5記載のプログラム。
JP2013026043A 2013-02-13 2013-02-13 通信データ中継装置およびプログラム Pending JP2014154112A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013026043A JP2014154112A (ja) 2013-02-13 2013-02-13 通信データ中継装置およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013026043A JP2014154112A (ja) 2013-02-13 2013-02-13 通信データ中継装置およびプログラム

Publications (1)

Publication Number Publication Date
JP2014154112A true JP2014154112A (ja) 2014-08-25

Family

ID=51575884

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013026043A Pending JP2014154112A (ja) 2013-02-13 2013-02-13 通信データ中継装置およびプログラム

Country Status (1)

Country Link
JP (1) JP2014154112A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017221855A1 (ja) * 2016-06-20 2017-12-28 日本電気株式会社 ユーザ認証統合装置、方法および記憶媒体
JP2020160873A (ja) * 2019-03-27 2020-10-01 日本電気株式会社 システム操作ロック解除システム、操作ロック連携エージェント、サーバ、方法、及びプログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017221855A1 (ja) * 2016-06-20 2017-12-28 日本電気株式会社 ユーザ認証統合装置、方法および記憶媒体
JPWO2017221855A1 (ja) * 2016-06-20 2019-03-28 日本電気株式会社 ユーザ認証統合装置、方法および記憶媒体
JP2020160873A (ja) * 2019-03-27 2020-10-01 日本電気株式会社 システム操作ロック解除システム、操作ロック連携エージェント、サーバ、方法、及びプログラム
JP7183908B2 (ja) 2019-03-27 2022-12-06 日本電気株式会社 システム操作ロック解除システム、操作ロック連携エージェント、サーバ、方法、及びプログラム

Similar Documents

Publication Publication Date Title
US11025605B2 (en) System and method for secure application communication between networked processors
JP5714078B2 (ja) 分散セキュアコンテンツ管理システムに対する認証
KR101086576B1 (ko) 보안 프로토콜의 자동 협상 시스템 및 방법
EP2078260B1 (en) Detecting stolen authentication cookie attacks
WO2018010146A1 (zh) 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器
US9344417B2 (en) Authentication method and system
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
JP2007515852A (ja) カプセル化通信プロトコルを使用してネットワークコンポーネントをセキュアに横断する持続性および信頼性のあるセッション
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
US9246906B1 (en) Methods for providing secure access to network resources and devices thereof
US10873497B2 (en) Systems and methods for maintaining communication links
US9100277B2 (en) Client credentials data structure and method of employing the same
CA2912774C (en) Providing single sign-on for wireless devices
JP2014154112A (ja) 通信データ中継装置およびプログラム
US7702799B2 (en) Method and system for securing a commercial grid network over non-trusted routes
JP2021140821A (ja) 画面制御装置及び画面制御方法
JP6710230B2 (ja) 認証システム及び認証方法
US20230208807A1 (en) Access control in a mesh network
KR20100063886A (ko) 이종 네트워크 간의 원격 접속 제어 시스템 및 방법
EP3580901B1 (en) Connection apparatus for establishing a secured application-level communication connection
CN118057762A (zh) 数据采集方法、装置、相关设备和程序产品