JP2728033B2 - コンピュータネットワークにおけるセキュリティ方式 - Google Patents

コンピュータネットワークにおけるセキュリティ方式

Info

Publication number
JP2728033B2
JP2728033B2 JP7148268A JP14826895A JP2728033B2 JP 2728033 B2 JP2728033 B2 JP 2728033B2 JP 7148268 A JP7148268 A JP 7148268A JP 14826895 A JP14826895 A JP 14826895A JP 2728033 B2 JP2728033 B2 JP 2728033B2
Authority
JP
Japan
Prior art keywords
server
client
user
authentication result
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP7148268A
Other languages
English (en)
Other versions
JPH08314863A (ja
Inventor
勝美 齋藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
Nippon Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Electric Co Ltd filed Critical Nippon Electric Co Ltd
Priority to JP7148268A priority Critical patent/JP2728033B2/ja
Priority to US08/651,467 priority patent/US5781725A/en
Publication of JPH08314863A publication Critical patent/JPH08314863A/ja
Application granted granted Critical
Publication of JP2728033B2 publication Critical patent/JP2728033B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は複数のコンピュータがネ
ットワークを介して接続されたコンピュータネットワー
クにおけるセキュリティ方式に関する。
【0002】
【従来の技術】処理を依頼するクライアントとなるコン
ピュータと、クライアントから依頼された処理を実行す
るサーバとなるコンピュータとがネットワークを介して
接続されたコンピュータネットワークにおいて、クライ
アントからのサーバに対する無権限な処理の依頼を防止
し、サーバ側で管理されているファイル等の資源を保護
するためのセキュリティ方式としては、例えば特開平2
−157949号公報に見られるように、クライアント
となる各端末からのサーバ資源への処理要求を許可する
か否かの情報をクライアント別にサーバ側のテーブルに
設定しておき、クライアントから処理要求があった場合
にサーバがそのテーブルを参照して当該処理要求の実行
可否を判断する方式が知られている。同様な技術は例え
ば実開平1−169842号公報にも記載されている。
【0003】
【発明が解決しようとする課題】上述した従来のセキュ
リティ方式では、クライアントとなるコンピュータ毎に
サーバ資源の利用の権限が固定的に定められるため、同
じクライアントを別々の利用者(ユーザ)が共通に利用
する環境においては、各利用者毎にサーバ資源の利用権
限を定めることが困難である。
【0004】各利用者毎に利用権限を定める方式として
は、ユーザ名とパスワード名とを用いる方式がある。そ
こで、この方式を前記の従来技術に適用することが考え
られる。即ち、サーバ側に、利用を許可するユーザ名お
よびそのパスワードを予め登録しておき、利用者がクラ
イアントからサーバに対して処理を要求する際に要求中
にユーザ名とパスワードとを含め、サーバ側において、
要求中のユーザ名およびパスワードを事前に登録されて
いるユーザ名およびパスワードと照合することにより、
その処理要求の実行可否を判断する方式である。
【0005】しかし、この方式では、処理要求を出す毎
に利用者は毎回ユーザ名とパスワードとを入力しなけれ
ばならず、一連の処理要求を連続して送出する場合の利
用者の入力作業が煩雑になってしまう。
【0006】また、ホストコンピュータに通信回線等を
介して多数の端末が接続された大型のコンピュータネッ
トワークにおいては、いわゆるログイン時にユーザ名と
パスワードとの照合をホストコンピュータ側で行い、ロ
グインの可否を判断している。この方式によれば、権限
の無い利用者による利用は阻止できるが、そのためには
ログインといった機能をサポートするソフトウェアを組
み込む必要があり、大がかりな構成になってしまう。
【0007】そこで、以下のような方式が考えられる。
先ず、サーバ側に、利用を許可するユーザ名およびその
パスワードを予め登録しておく。利用者はクライアント
からサーバに対して処理を要求する前に、ユーザ名とパ
スワードとを含むユーザ認証情報をサーバ側に転送す
る。サーバ側では、受信したユーザ認証情報中のユーザ
名およびパスワードを、登録されたユーザ名およびパス
ワードと照合し、当該利用者の利用の可否を判断し、そ
の結果をサーバ側のテーブルにクライアント対応に保持
する。利用者はサーバに対して何らかの処理を要求する
際、クライアントからそのサーバに処理要求を送出す
る。この処理要求中にはユーザ名およびパスワードは含
まれない。サーバ側では、処理要求を受信したクライア
ントに対応する上記テーブルの内容を参照し、利用可と
判断されていた場合に限って、当該処理要求を実行す
る。なお、利用者がクライアントを通じてサーバに処理
の終了要求を通知すると、サーバ側では上記テーブル中
の当該クライアントに対応する内容を無効化する。
【0008】このような方式によれば、ユーザ名および
パスワードを含むユーザ認証情報を転送してサーバ側で
認証を得ておけば、後は単に処理要求を送出するだけで
済むので、複数の処理要求を連続して入力する場合の利
用者の入力作業の煩雑化を避けることができる。また、
サーバ側で認証されなかった利用者からの処理要求はサ
ーバ側で拒否されるので、セキュリティの面でも問題は
なくなる。
【0009】しかしながら、このような方式にあっても
未だ改善すべき課題が残されている。それは、処理要求
の実行可否をサーバ側でのみ判断している為、本来サー
バ側で拒否される処理要求もネットワークを流れること
である。これは、ネットワークの負荷を不要に増大させ
る要因となり、データ転送能力に余裕のないネットワー
クの場合には、アクセスできなくなったり、アクセスに
時間がかかったり、コンピュータの接続数を増やすこと
ができなくなる等の種々の弊害を招くことになる。
【0010】本発明は以上のような事情に鑑みて提案さ
れたものであり、その目的は、処理要求の実行可否をク
ライアント側で判断し得るようにして、本来サーバ側で
拒否される処理要求がネットワークを流れないようにし
た、コンピュータネットワークにおけるセキュリティ方
式を提供することにある。
【0011】
【課題を解決するための手段】本発明は上記の目的を達
成するために、処理を依頼するクライアントとなるコン
ピュータと、クライアントから依頼された処理を実行す
るサーバとなるコンピュータとがネットワークを介して
接続されたコンピュータネットワークにおいて、クライ
アントとなるコンピュータ側に、利用者から入力された
ユーザ名およびパスワードを含むユーザ認証情報をネッ
トワークを介してサーバに転送してその認証結果を受け
取るアクセス権限チェック依頼手段と、該アクセス権限
チェック依頼手段で受け取られた認証結果を保持するク
ライアント側認証結果保持手段と、利用者からの処理依
頼コマンドの入力時、前記クライアント側認証結果保持
手段の保持内容を参照して当該処理依頼コマンドの実行
可否を判断し、実行可と判断した場合に限って当該処理
依頼コマンドをネットワークを介してサーバに転送する
処理依頼手段と、ユーザからの処理終了要求時、前記ク
ライアント側認証結果保持手段の保持内容を無効化する
無効化手段とを備え、サーバとなるコンピュータ側に、
クライアントからネットワークを介して転送されてきた
ユーザ名およびパスワードを含むユーザ認証情報の正当
性をチェックして認証結果をクライアントに返却するア
クセス権限チェック依頼手段を備えている。
【0012】また、サーバ側でも処理依頼コマンドの実
行可否を判断してセキュリティの信頼性をより一層高め
るために、サーバ側に、アクセス権限チェック手段の認
証結果をクライアント対応に保持するサーバ側認証結果
保持手段と、クライアントからの処理依頼コマンドの受
信時、前記サーバ側認証結果保持手段中の依頼元クライ
アントに対応する保持内容を参照して当該処理依頼コマ
ンドの実行可否を判断し、実行可と判断した場合に限っ
て当該処理依頼コマンドを実行する処理実行手段とを備
えるようにしている。なお、クライアントからのサーバ
アクセス処理終了の通知時、前記サーバ側認証結果保持
手段中の当該クライアントに対応する保持内容は、無効
化手段によって無効化される。
【0013】更に、同一のクライアントから複数のサー
バを同時に利用し得る環境に対応し得るようにするため
に、クライアント側では、アクセス権限チェック依頼手
段で受け取られた認証結果をサーバ対応にクライアント
側認証結果保持手段に保持し、処理依頼手段は、ユーザ
からの処理依頼先サーバを指定した処理依頼コマンドの
入力時に、クライアント側認証結果保持手段中の処理依
頼先サーバに対応する保持内容を参照して当該処理依頼
コマンドの実行可否を判断するようにしている。また、
その無効化も各サーバ毎に行うようにしている。
【0014】
【作用】利用者が或るクライアントから或るサーバに対
して処理を依頼する場合、先ず、そのクライアントにユ
ーザ名およびパスワードを含むユーザ認証情報を入力す
る。このユーザ認証情報はそのクライアントのアクセス
権限チェック依頼手段によりネットワークを介してサー
バに送られ、サーバ側のアクセス権限チェック手段によ
ってその正当性がチェックされ、その認証結果がネット
ワークを介してクライアントに戻され、クライアント側
認証結果保持手段に保持される。その後、利用者がサー
バに対して何らかの処理、例えばサーバ側の記憶装置に
格納されているデータの参照を要求する処理依頼コマン
ドをそのクライアントから入力すると、クライアント側
の処理依頼手段が、クライアント側認証結果保持手段の
保持内容を参照して当該処理依頼コマンドの実行可否を
判断し、実行可と判断した場合に限って当該処理依頼コ
マンドをネットワークを介してサーバに転送する。この
ため、上記認証操作を行った利用者がサーバ側で利用可
と認証されなかった場合、そのユーザからの以後の処理
依頼コマンドは全てクライアント側で拒否され、ネット
ワークに流れることがない。また、ユーザ認証の操作自
体を省略した場合、その利用者について利用可とする認
証結果がクライアント側認証結果保持手段に保持されな
いないため、入力された処理依頼コマンドは同様にクラ
イアント側で拒否され、ネットワークに流れることがな
い。
【0015】
【実施例】次に本発明の実施例について図面を参照して
詳細に説明する。
【0016】図1は本発明を適用したコンピュータネッ
トワークの一例を示すブロック図であり、5台のコンピ
ュータ1〜5がネットワークを構成するバス(ネットワ
ーク)6を介して相互に通信可能に接続されている例を
示している。各コンピュータ1〜5は同じ構成を有して
おり、処理装置11〜51,キーボード及びディスプレ
イ等を含む利用者端末21〜52,磁気ディスク装置等
の補助記憶装置13〜53から構成されている。また、
処理装置11〜51は、処理装置11に代表して例示す
るように、CPU111,バス6との間のバスインタフ
ェイス112,利用者端末12との間の利用者インタフ
ェイス113および補助記憶装置13との間の入出力イ
ンタフェイス114を含んでいる。コンピュータ1〜5
間のデータやコマンドの転送は、各コンピュータ1〜5
のCPU111上で動作する通信ソフトウェアの働きに
よって、バス6を通じて行われる。
【0017】図1に示したコンピュータネットワークに
おいては、任意のコンピュータに対して任意のコンピュ
ータから処理依頼コマンドを転送して実行させることが
できる。ここで、処理依頼コマンドを他のコンピュータ
に転送して処理を依頼する側のコンピュータをクライア
ントと呼び、クライアントから依頼された処理を実行す
るコンピュータをサーバと呼ぶ。図1のコンピュータ1
〜5は何れもクライアントおよびサーバになり得る。以
下では、説明の便宜上、コンピュータ5がサーバとな
り、他のコンピュータ1〜4がクライアントとなる場合
を例にして、サーバおよびクライアントの構成を説明す
る。
【0018】図2は本発明のセキュリティ方式を適用し
たコンピュータネットワークにおけるクライアントおよ
びサーバの構成例を示すブロック図である。同図に示す
ように、クライアント7側には、アクセス権限チェック
依頼手段71,クライアント側認証結果保持手段72,
処理依頼手段73および無効化手段74が設けられ、サ
ーバ8側には、アクセス権限チェック手段81,サーバ
側認証結果保持手段82,処理実行手段83,無効化手
段84が設けられる。前述の例では、クライアント7は
コンピュータ1〜4であり、サーバ8はコンピュータ5
である。上記のクライアント7側の手段71,73,7
4はクライアントとなる各コンピュータ1〜4のCPU
上で実行されるソフトウェアにて実現され、手段72は
例えば主記憶や補助記憶装置等の領域に設定される。ま
た、上記のサーバ8側の手段81,83,84は、サー
バとなるコンピュータ5のCPU上で実行されるソフト
ウェアにて実現され、手段82は例えば主記憶や補助記
憶装置等の領域に設定される。
【0019】図3はアクセス権限チェック依頼手段71
の処理例を示すフローチャートである。同図に示すよう
に、アクセス権限チェック依頼手段71は、利用者端末
9から、利用したいサーバ名ならびにユーザ名およびパ
スワードを含むユーザ認証情報が入力されると、それを
ネットワーク10を介して要求先のサーバ8に転送する
(S1)。そして、サーバ8からその認証結果の通知を
受信し(S2)、利用可とする認証結果の通知を受信し
たときは(S3でYES)、クライアント側認証結果保
持手段72に、その認証元のサーバ名を認証結果として
登録し(S4)、処理を終える。他方、利用不可とする
認証結果の通知を受信したときは(S3でNO)、クラ
イアント側認証結果保持手段72へのサーバ名の登録は
行わず、処理を終了する。なお、本実施例では、利用可
と認証されたサーバ名だけを登録するようにしたが、利
用可か利用不可かのフラグとサーバ名とを登録するよう
にしても良い。
【0020】図4は処理依頼手段73の処理例を示すフ
ローチャートである。同図に示すように、処理依頼手段
73は、利用者端末9から、処理依頼先のサーバ名,依
頼する処理の内容(例えば、補助記憶装置100中のど
のようなデータを参照するか等)とを指定した処理依頼
コマンドが投入されると、その処理依頼先のサーバ名が
クライアント側認証結果保持手段72に登録されている
か否かによって、当該処理依頼コマンドの実行可否を判
断する(S11)。処理依頼先のサーバ名がクライアン
ト側認証結果保持手段72に登録されているときは実行
可と判断し(S12でYES)、ネットワーク10を介
してその処理依頼先のサーバへ当該処理依頼コマンドを
転送し、サーバからその処理結果が返却されたら利用者
端末9へ出力する(S13)。他方、処理依頼先のサー
バ名がクライアント側認証結果保持手段72に未登録の
場合は(S12でNO)、当該処理依頼コマンドの受け
付けを拒否する(S14)。
【0021】図5は無効化手段74の処理例を示すフロ
ーチャートである。同図に示すように、無効化手段74
は、利用者端末9から、サーバ名を指定したサーバアク
セス処理の終了要求が入力されると、クライアント側認
証結果保持手段72中の当該指定されたサーバ名を無効
化(削除)する(S21)。また、該当するサーバ側で
も認証結果を無効化させるため、利用者端末9から入力
された上記の処理終了要求をネットワーク10を介して
該当するサーバに転送する(S22)。
【0022】図6はアクセス権限チェック手段81の処
理例を示すフローチャートである。同図に示すように、
アクセス権限チェック手段81は、ネットワーク10を
介してクライアントからユーザ名およびパスワードを含
むユーザ認証情報を受信すると、予め利用許可を与える
べきものとして設定されたユーザ名およびパスワードと
照合することにより、ユーザ認証情報の正当性をチェッ
クする(S31)。そして、利用可の場合は(S32で
YES)、サーバ側認証結果保持手段82に、当該ユー
ザ認証情報の送出元であるクライアント名および利用可
のフラグを認証結果として登録する(S33)。なお、
この登録においては、サーバ側認証結果保持手段82に
既に当該クライアント名およびフラグの登録エリアがあ
るときは、そこに上書きする。そして、そのクライアン
トに利用可の認証結果を通知する(S34)。他方、ユ
ーザ認証情報の正当性チェックにより利用不可と判断し
た場合は(S32でNO)、サーバ側認証結果保持手段
82に、当該ユーザ認証情報の送出元であるクライアン
ト名および利用不可のフラグを認証結果として登録する
(S35)。そして、そのクライアントに利用不可の認
証結果を通知する(S36)。なお、本実施例では、利
用可か利用不可かのフラグとクライアント名とを登録す
るようにしたが、利用可と認証したときだけ、そのクラ
イアント名を登録するようにしても良い。
【0023】図7は処理実行手段83の処理例を示すフ
ローチャートである。同図に示すように、処理実行手段
83は、ネットワーク10を介してクライアントから処
理依頼コマンドを受信すると、当該処理依頼コマンドを
送信してきたクライアント名がサーバ側認証結果保持手
段82に利用可として登録されているか否かを調べるこ
とにより、当該処理依頼コマンドの実行可否を判断する
(S41)。そして、利用可の場合は(S42でYE
S)、当該処理依頼コマンドに応じた処理を実行し、そ
の結果をネットワーク10を介して要求元のクライアン
トに返却する(S43)。他方、利用不可の場合は(S
42でNO)、当該処理依頼コマンドの受け付けを拒否
する(S44)。
【0024】図8は無効化手段84の処理例を示すフロ
ーチャートである。同図に示すように、無効化手段84
は、ネットワーク10を介してクライアントからサーバ
アクセス処理の終了要求が通知されると、サーバ側認証
結果保持手段82に登録されている当該クライアント名
およびフラグ(利用可のフラグ,利用不可のフラグ)を
削除する(S51)。
【0025】図9は、利用者がクライアント7の利用者
端末9を操作してサーバ8をアクセスする際の一連のシ
ーケンスの例を示しており、以下、図9の流れに沿っ
て、本実施例の動作を説明する。
【0026】利用者は、サーバ8に処理依頼コマンドに
よる処理を行わせる場合、先ず、自己が正当な利用者で
あることをシステムに認証させるために、自己のユーザ
名と自己に割り当てられたパスワードとを含むユーザ認
証情報を利用者端末9から入力する。このとき、どのサ
ーバを利用したいかをサーバ名で指定する。
【0027】クライアント7のアクセス権限チェック依
頼手段71は、利用者端末9から入力された上記のユー
ザ認証情報を、利用者が指定したサーバ8にネットワー
ク10を介して転送する(図3のS1)。
【0028】ネットワーク10を介して転送されたユー
ザ認証情報はサーバ8のアクセス権限チェック手段81
で受信され、アクセス権限チェック手段81は、ユーザ
認証情報に含まれるユーザ名およびパスワードが予め設
定されたものと合致するか否かを調べることにより、そ
の正当性をチェックする(図6のS31)。そして、利
用可能な利用者であれば、サーバ側認証結果保持手段8
2に当該ユーザ認証情報を送信してきたクライアント名
と利用可のフラグとを登録し(S33)、そのクライア
ントにはネットワーク10を介して利用可の認証結果を
通知する(S34)。他方、ユーザ名およびパスワード
が予め設定されたものと合致しない場合には、サーバ側
認証結果保持手段82に当該ユーザ認証情報を送信して
きたクライアント名と利用不可のフラグとを設定し(S
35)、そのクライアントにはネットワーク10を介し
て利用不可の認証結果を通知する(S36)。
【0029】ユーザ認証情報をサーバ8に転送したクラ
イアント7のアクセス権限チェック依頼手段71は、サ
ーバ8から通知される認証結果を受信し(図3のS
2)、利用可であれば、そのサーバ名をクライアント側
認証結果保持手段72に登録する(S4)。また、利用
不可であれば、そのような登録は行わない。
【0030】その後、利用者が利用者端末9から、サー
バ名およびそのサーバに実行させたい処理内容の記述を
含む処理依頼コマンドを入力すると、クライアント7の
処理依頼手段73は、当該処理依頼コマンドで指定され
たサーバ名がクライアント側認証結果保持手段72に登
録されているか否かを調べることにより、当該処理依頼
コマンドの正当性をチェックする(図4のS11)。そ
して、正当と判断した場合に限って、当該処理依頼コマ
ンドをネットワーク10を介してサーバ8に転送し、不
当な処理依頼コマンドについてはその受け付けを拒否し
(S14)、ネットワーク10には送出しない。これに
より、不当な処理依頼コマンドによってネットワーク1
0の負荷が増大されるのを防止する。
【0031】クライアント7側の処理依頼手段73で正
当と判断された処理依頼コマンドは、ネットワーク10
を介してサーバ8側の処理実行手段83に送られ、そこ
でサーバ側認証結果保持手段82を用いて再度チェック
される(図7のS41)。そして、利用可の場合、処理
実行手段83がその処理依頼コマンドを実行し、その実
行結果をネットワーク100を介してクライアント7に
返却する(S43)。例えば、処理依頼コマンドが補助
記憶装置100の或るデータの参照を要求している場
合、補助記憶装置100をアクセスして該当データを読
み出し、この読み出したデータを含む応答結果をクライ
アント7に返却する。クライアント7の処理依頼手段7
3では受信した応答結果を利用者端末9に出力する(図
4のS13)。
【0032】利用者は、サーバ8に別の処理を依頼した
い場合には、その処理に合致した処理依頼コマンドを利
用者端末9から入力すれば良い。即ち、一度認証を得て
いる利用者は、その認証結果がクライアント側認証結果
保持手段72およびサーバ側認証結果保持手段82に登
録されているので、サーバアクセス処理の終了要求を出
すまで、連続して処理依頼コマンドを投入することがで
きる。
【0033】また、1つのサーバ8を利用している利用
者が、その利用中に別のサーバを利用したい場合、その
別のサーバを指定して再度ユーザ認証情報を利用者端末
9から入力すれば良い。この場合、新たに指定されたサ
ーバのアクセス権限チェック手段81によって、そのユ
ーザ認証情報の正当性が判断され、その結果がそのサー
バのサーバ側認証結果保持手段82に保持されると共
に、利用可の場合にはクライアント7のクライアント側
認証結果保持手段72にそのサーバ名が追加され、利用
者はそのサーバに対しても処理依頼コマンドを出せる状
態となる。
【0034】さて、利用者が一連の処理依頼コマンドの
入力を終了し、サーバ8に対する処理を終えるために利
用者端末9からサーバ名を指定したサーバアクセス処理
の終了要求を入力すると、クライアント7の無効化手段
74は、クライアント側認証結果保持手段72中の当該
サーバ名を削除する(図5のS21)。また、無効化手
段74は上記の処理の終了要求通知を該当するサーバ8
にネットワーク10を介して転送し、サーバ8の無効化
手段84は、サーバ側認証結果保持手段82中の該当す
るクライアント名およびフラグを削除する(図8のS5
1)。これにより、利用者端末9から当該サーバに対す
る処理依頼コマンドを入力しても拒否されることにな
る。
【0035】図10は、正当な権限の無い利用者からの
サーバに対する処理依頼コマンドのシステム内の流れを
示したもので、同図(a)が本発明の場合、同図(b)
が従来技術の場合である。本発明では、図10(a)に
示すように、正当な権限の無い利用者からのサーバ8に
対する処理依頼コマンドは、その入力元であるクライア
ント側において拒否される結果、不当な処理依頼コマン
ドがネットワーク10を流れることを防止できる。これ
に対し、正当性のチェックをサーバ側でのみ実施する図
10(b)の従来技術では、本来サーバ側で受け付けら
れない不当な処理依頼コマンドもネットワーク10を流
れることにより、ネットワーク10の負荷が増大する。
【0036】
【発明の効果】以上説明したように本発明によれば、以
下のような効果を得ることができる。
【0037】サーバ側での認証結果をクライアント側で
保持する構成を採用し、利用者からサーバに対する処理
依頼コマンドが入力されたとき、上記保持した認証結果
に基づいてクライアント側でその実行可否を判断し、実
行可と判断した場合に限ってネットワークを通じてサー
バ側に転送するようにしたので、本来サーバ側で拒否さ
れる処理依頼コマンドがネットワークを流れることがな
くなり、ネットワークの負荷の増大を抑えることができ
る。
【0038】サーバ側の処理実行手段でも実行可否を判
断する構成によれば、チェックが二重に行われるので、
セキュリティの信頼性をより一層高めることができる。
【図面の簡単な説明】
【図1】本発明を適用したコンピュータネットワークの
一例を示すブロック図である。
【図2】本発明を適用したコンピュータネットワークに
おけるクライアントおよびサーバの構成例を示すブロッ
ク図である。
【図3】アクセス権限チェック依頼手段の処理例を示す
フローチャートである。
【図4】処理依頼手段の処理例を示すフローチャートで
ある。
【図5】クライアント側の無効化手段の処理例を示すフ
ローチャートである。
【図6】アクセス権限チェック手段の処理例を示すフロ
ーチャートである。
【図7】処理実行手段の処理例を示すフローチャートで
ある。
【図8】サーバ側の無効化手段の処理例を示すフローチ
ャートである。
【図9】利用者がクライアントの利用者端末を操作して
サーバをアクセスする際の一連のシーケンスの例を示す
図である。
【図10】正当な権限の無い利用者からのサーバに対す
る処理依頼コマンドのシステム内の流れを本発明の場合
と従来技術の場合とについて模式的に描いた図である。
【符号の説明】
1〜5…コンピュータ 6…バス(ネットワーク) 7…クライアント 71…アクセス権限チェック依頼手段 72…クライアント側認証結果保持手段 73…処理依頼手段 74…無効化手段 8…サーバ 81…アクセス権限チェック手段 82…サーバ側認証結果保持手段 83…処理実行手段 84…無効化手段 9…利用者端末 10…ネットワーク 100…補助記憶装置

Claims (3)

    (57)【特許請求の範囲】
  1. 【請求項1】 処理を依頼するクライアントとなるコン
    ピュータと、クライアントから依頼された処理を実行す
    るサーバとなるコンピュータとがネットワークを介して
    接続されたコンピュータネットワークにおいて、 クライアントとなるコンピュータ側に、 利用者から入力されたユーザ名およびパスワードを含む
    ユーザ認証情報をネットワークを介してサーバに転送し
    てその認証結果を受け取るアクセス権限チェック依頼手
    段と、 該アクセス権限チェック依頼手段で受け取られた認証結
    果を保持するクライアント側認証結果保持手段と、 利用者からの処理依頼コマンドの入力時、前記クライア
    ント側認証結果保持手段の保持内容を参照して当該処理
    依頼コマンドの実行可否を判断し、実行可と判断した場
    合に限って当該処理依頼コマンドをネットワークを介し
    てサーバに転送する処理依頼手段と、 利用者からの処理終了要求時、前記クライアント側認証
    結果保持手段の保持内容を無効化する無効化手段とを備
    え、 サーバとなるコンピュータ側に、 クライアントからネットワークを介して転送されてきた
    ユーザ名およびパスワードを含むユーザ認証情報の正当
    性をチェックして認証結果をクライアントに返却するア
    クセス権限チェック手段を備えることを特徴とするコン
    ピュータネットワークにおけるセキュリティ方式。
  2. 【請求項2】 処理を依頼するクライアントとなるコン
    ピュータと、クライアントから依頼された処理を実行す
    るサーバとなるコンピュータとがネットワークを介して
    接続されたコンピュータネットワークにおいて、 クライアントとなるコンピュータ側に、 利用者から入力されたユーザ名およびパスワードを含む
    ユーザ認証情報をネットワークを介してサーバに転送し
    てその認証結果を受け取るアクセス権限チェック依頼手
    段と、 該アクセス権限チェック依頼手段で受け取られた認証結
    果を保持するクライアント側認証結果保持手段と、 利用者からの処理依頼コマンドの入力時、前記クライア
    ント側認証結果保持手段の保持内容を参照して当該処理
    依頼コマンドの実行可否を判断し、実行可と判断した場
    合に限って当該処理依頼コマンドをネットワークを介し
    てサーバに転送する処理依頼手段と、 利用者からのサーバアクセス処理終了要求時、その旨を
    サーバに通知すると共に、前記クライアント側認証結果
    保持手段の保持内容を無効化する無効化手段とを備え、 サーバとなるコンピュータ側に、 クライアントからネットワークを介して転送されてきた
    ユーザ名およびパスワードを含むユーザ認証情報の正当
    性をチェックして認証結果をクライアントに返却するア
    クセス権限チェック手段と、 該アクセス権限チェック手段の認証結果をクライアント
    対応に保持するサーバ側認証結果保持手段と、 クライアントからの処理依頼コマンドの受信時、前記サ
    ーバ側認証結果保持手段中の依頼元クライアントに対応
    する保持内容を参照して当該処理依頼コマンドの実行可
    否を判断し、実行可と判断した場合に限って当該処理依
    頼コマンドを実行する処理実行手段と、 クライアントからのサーバアクセス処理の終了要求の通
    知時、前記サーバ側認証結果保持手段中の当該クライア
    ントに対応する保持内容を無効化する無効化手段とを備
    えることを特徴とするコンピュータネットワークにおけ
    るセキュリティ方式。
  3. 【請求項3】 処理を依頼するクライアントとなるコン
    ピュータと、クライアントから依頼された処理を実行す
    るサーバとなるコンピュータとがネットワークを介して
    接続されたコンピュータネットワークにおいて、 クライアントとなるコンピュータ側に、 利用者から入力されたユーザ名およびパスワードを含む
    ユーザ認証情報を、ユーザから指定されたサーバにネッ
    トワークを介して転送してその認証結果を受け取るアク
    セス権限チェック依頼手段と、 該アクセス権限チェック依頼手段で受け取られた認証結
    果をサーバ対応に保持するクライアント側認証結果保持
    手段と、 利用者からの処理依頼先サーバを指定した処理依頼コマ
    ンドの入力時、前記クライアント側認証結果保持手段中
    の処理依頼先サーバに対応する保持内容を参照して当該
    処理依頼コマンドの実行可否を判断し、実行可と判断し
    た場合に限って当該処理依頼コマンドをネットワークを
    介して処理依頼先のサーバに転送する処理依頼手段と、 利用者からのサーバを指定したサーバアクセス処理終了
    要求時、その旨を指定されたサーバに通知すると共に、
    前記クライアント側認証結果保持手段中の前記指定され
    たサーバに対応する保持内容を無効化する無効化手段と
    を備え、 サーバとなるコンピュータ側に、 クライアントからネットワークを介して転送されてきた
    ユーザ名およびパスワードを含むユーザ認証情報の正当
    性をチェックして認証結果をクライアントに返却するア
    クセス権限チェック手段と、 該アクセス権限チェック手段の認証結果をクライアント
    対応に保持するサーバ側認証結果保持手段と、 クライアントからの処理依頼コマンドの受信時、前記サ
    ーバ側認証結果保持手段中の依頼元クライアントに対応
    する保持内容を参照して当該処理依頼コマンドの実行可
    否を判断し、実行可と判断した場合に限って当該処理依
    頼コマンドを実行する処理実行手段と、 クライアントからのサーバアクセス処理の終了要求の通
    知時、前記サーバ側認証結果保持手段中の当該クライア
    ントに対応する保持内容を無効化する無効化手段とを備
    えることを特徴とするコンピュータネットワークにおけ
    るセキュリティ方式。
JP7148268A 1995-05-23 1995-05-23 コンピュータネットワークにおけるセキュリティ方式 Expired - Fee Related JP2728033B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP7148268A JP2728033B2 (ja) 1995-05-23 1995-05-23 コンピュータネットワークにおけるセキュリティ方式
US08/651,467 US5781725A (en) 1995-05-23 1996-05-23 Computer network system having a small of amount of data in a network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP7148268A JP2728033B2 (ja) 1995-05-23 1995-05-23 コンピュータネットワークにおけるセキュリティ方式

Publications (2)

Publication Number Publication Date
JPH08314863A JPH08314863A (ja) 1996-11-29
JP2728033B2 true JP2728033B2 (ja) 1998-03-18

Family

ID=15448976

Family Applications (1)

Application Number Title Priority Date Filing Date
JP7148268A Expired - Fee Related JP2728033B2 (ja) 1995-05-23 1995-05-23 コンピュータネットワークにおけるセキュリティ方式

Country Status (2)

Country Link
US (1) US5781725A (ja)
JP (1) JP2728033B2 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6163383A (en) * 1996-04-17 2000-12-19 Fuji Xerox Co., Ltd. Method for providing print output security in a multinetwork environment
JP3557056B2 (ja) * 1996-10-25 2004-08-25 株式会社東芝 パケット検査装置、移動計算機装置及びパケット転送方法
SK102399A3 (en) * 1997-01-13 2000-01-18 John Overton Automated system for image archiving
EP0863468A1 (en) * 1997-03-07 1998-09-09 Matsushita Electric Industrial Co., Ltd. Simplified filing system
US5931947A (en) * 1997-09-11 1999-08-03 International Business Machines Corporation Secure array of remotely encrypted storage devices
JP3507309B2 (ja) * 1997-11-05 2004-03-15 株式会社日立製作所 旅行支援システムおよび方法
US7103640B1 (en) 1999-09-14 2006-09-05 Econnectix, Llc Network distributed tracking wire transfer protocol
US7233978B2 (en) * 1998-07-08 2007-06-19 Econnectix, Llc Method and apparatus for managing location information in a network separate from the data to which the location information pertains
JP3739585B2 (ja) * 1999-03-04 2006-01-25 日本電信電話株式会社 Icカードアクセス装置、およびicカードアクセスプログラムを記録した記録媒体
JP3494590B2 (ja) * 1999-06-18 2004-02-09 富士通株式会社 送受信システムおよび送信装置
US6895557B1 (en) * 1999-07-21 2005-05-17 Ipix Corporation Web-based media submission tool
US6721802B1 (en) * 1999-08-12 2004-04-13 Point2 Technologies Inc. Method, apparatus and program for the central storage of standardized image data
US6732162B1 (en) 1999-11-15 2004-05-04 Internet Pictures Corporation Method of providing preprocessed images for a plurality of internet web sites
KR20010060379A (ko) * 1999-12-01 2001-07-06 김선민 인터넷 상의 실명 확인 장치 및 그 확인 방법
US20080005275A1 (en) * 2000-06-02 2008-01-03 Econnectix, Llc Method and apparatus for managing location information in a network separate from the data to which the location information pertains
JP2002215585A (ja) * 2000-11-16 2002-08-02 Fuji Xerox Co Ltd 個人証明書サブジェクト名処理装置および方法
JP5087422B2 (ja) * 2008-02-14 2012-12-05 エヌ・ティ・ティ・コムウェア株式会社 情報入力システムおよびその処理方法、プログラム
JP4618344B2 (ja) 2008-07-29 2011-01-26 コニカミノルタビジネステクノロジーズ株式会社 認証装置、認証システム、認証方法、認証プログラムおよび記録媒体
US8549314B2 (en) 2010-04-29 2013-10-01 King Saud University Password generation methods and systems

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01169842A (ja) * 1987-12-25 1989-07-05 Hitachi Ltd カラーブラウン管の螢光体塗布装置
JPH02157949A (ja) * 1988-12-09 1990-06-18 Casio Comput Co Ltd 電子ファイル管理方式
US5491752A (en) * 1993-03-18 1996-02-13 Digital Equipment Corporation, Patent Law Group System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens
US5455953A (en) * 1993-11-03 1995-10-03 Wang Laboratories, Inc. Authorization system for obtaining in single step both identification and access rights of client to server directly from encrypted authorization ticket
US5617570A (en) * 1993-11-03 1997-04-01 Wang Laboratories, Inc. Server for executing client operation calls, having a dispatcher, worker tasks, dispatcher shared memory area and worker control block with a task memory for each worker task and dispatcher/worker task semaphore communication
US5535276A (en) * 1994-11-09 1996-07-09 Bell Atlantic Network Services, Inc. Yaksha, an improved system and method for securing communications using split private key asymmetric cryptography

Also Published As

Publication number Publication date
US5781725A (en) 1998-07-14
JPH08314863A (ja) 1996-11-29

Similar Documents

Publication Publication Date Title
JP2728033B2 (ja) コンピュータネットワークにおけるセキュリティ方式
US7865931B1 (en) Universal authorization and access control security measure for applications
JP4782986B2 (ja) パブリックキー暗号法を用いたインターネット上でのシングルサインオン
US7788711B1 (en) Method and system for transferring identity assertion information between trusted partner sites in a network using artifacts
US20140230020A1 (en) Authorization server and client apparatus, server cooperative system, and token management method
US8006289B2 (en) Method and system for extending authentication methods
US8955082B2 (en) Authenticating using cloud authentication
EP1645971B1 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
TWI400922B (zh) 在聯盟中主用者之認證
JP3415456B2 (ja) ネットワークシステム及びコマンド使用権限制御方法ならびに制御プログラムを格納した記憶媒体
US8305596B2 (en) Information processing apparatus, information processing method, program, and storage medium
JP6929181B2 (ja) デバイスと、その制御方法とプログラム
US7627751B2 (en) Information processing apparatus, an authentication apparatus, and an external apparatus
US20040019787A1 (en) Method and system for authenticating communication terminals
JP2017107343A (ja) 認証連携システム及び認証連携方法、認可サーバー及びプログラム
JP2006502496A (ja) クライエント−サーバネットワークで通信を行うための方法およびシステム
JP7096736B2 (ja) システム、及びデータ処理方法
JP2001067315A (ja) エンタープライズ・コンピュータ・システム内の異なる複数の認証システムを扱う分散認証メカニズム
JPH11212912A (ja) セッション管理システム及び管理方法
US20080163348A1 (en) Moving principals across security boundaries without service interruption
CN105991614A (zh) 一种开放授权、资源访问的方法及装置、服务器
JP2014157480A (ja) 情報処理装置及びプログラム、制御方法
US7013388B2 (en) Vault controller context manager and methods of operation for securely maintaining state information between successive browser connections in an electronic business system
US7072969B2 (en) Information processing system
JP4018450B2 (ja) 文書管理システム、文書管理装置、認証方法、コンピュータ読み取り可能なプログラム、及び記憶媒体

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees