JP3766338B2 - Authentication access control system, authentication access control server apparatus, authentication access control method, authentication access control program, and recording medium recording the program - Google Patents
Authentication access control system, authentication access control server apparatus, authentication access control method, authentication access control program, and recording medium recording the program Download PDFInfo
- Publication number
- JP3766338B2 JP3766338B2 JP2002071277A JP2002071277A JP3766338B2 JP 3766338 B2 JP3766338 B2 JP 3766338B2 JP 2002071277 A JP2002071277 A JP 2002071277A JP 2002071277 A JP2002071277 A JP 2002071277A JP 3766338 B2 JP3766338 B2 JP 3766338B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- content
- access control
- control server
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、認証アクセス制御サーバ装置とゲートウェイ装置とで構成されて、利用者端末から発行されるコンテンツへのアクセス要求を認証する認証アクセス制御システムと、その認証アクセス制御システムで用いられる認証アクセス制御サーバ装置と、その認証アクセス制御サーバ装置で用いられる認証アクセス制御方法と、その認証アクセス制御方法の実現に用いられる認証アクセス制御プログラム及びそのプログラムを記録した記録媒体とに関する。
【0002】
サーバ上に、特定の利用者にのみアクセスを許可したいコンテンツがある場合、アクセス時に、利用者に認証を求める必要がある。利用者が複数のコンテンツへのアクセス権限を有している場合、コンテンツ毎に認証を行なうのでなく、一括して認証ができることがセキュリティ及び利便性の面から望ましい。
【0003】
本発明は、複数のコンテンツへのアクセス権限を有している利用者に対して、認証を一括して行なうコンテンツ認証アクセス制御システムに関するものである。
【0004】
【従来の技術】
一度の認証で複数のサーバ上のコンテンツへのアクセスを可能にする(以下、シングルサインオンと表記)方法として、網内に認証アクセス制御サーバを設置する方法が知られており、その処理形態によって、「リバース・プロキシ型」と、「エージェント・モジュール型」とに分類される。
【0005】
リバース・プロキシ型のシングルサインオンは、図10に示すように、認証アクセス制御サーバを利用者端末とコンテンツサーバとの間に設置することで実現する。
【0006】
このリバース・プロキシ型のシングルサインオンでは、コンテンツサーバへのアクセス要求は全て認証アクセス制御サーバを中継して送信され、認証アクセス制御サーバは、中継時に、内部に持つ利用者毎のアクセスリストを参照してアクセス制御を行なう。
【0007】
一方、エージェント・モジュール型のシングルサインオンは、図11に示すように、網内に設置される認証アクセス制御サーバと、コンテンツサーバに組み込むエージェント・モジュールとによって実現する。
【0008】
このエージェント・モジュール型のシングルサインオンでは、利用者は、まず認証アクセス制御サーバにログインする。認証に成功すると、認証アクセス制御サーバは、当該利用者がアクセス可能なコンテンツサーバのリストをクッキーに埋め込んで利用者端末に送信する。
【0009】
その後、利用者がコンテンツサーバにアクセスした時、コンテンツサーバ内のエージェント・モジュールがクッキー内の情報をもとにアクセスの可否を決定する。コンテンツサーバに対して、認証アクセス制御サーバで認証されていない利用者端末からのアクセスがあった場合は、当該コンテンツサーバ内のエージェント・モジュールがアクセス要求を認証アクセス制御サーバに転送して、認証を行なわせる。
【0010】
【発明が解決しようとする課題】
リバース・プロキシ型では、コンテンツサーバには手を加えずにシングルサインオンが可能であることから、コンテンツサーバの種別によらずシングルサインオンを行なうことができる。
【0011】
しかしながら、全てのアクセス要求を中継することから、セキュリティ強度は強い反面、認証アクセス制御サーバへアクセスが集中することにより、多数のコンテンツサーバが分散配置されているような大規模環境では、特に、サーバ処理性能や網リソースの限界に起因するスループット低下が発生する可能性があった。
【0012】
一方、エージェント・モジュール型では、認証アクセス制御サーバを経由するのは未認証のアクセス要求のみであるため、リバース・プロキシ型の場合のようなスループットの低下が発生する可能性は低い。
【0013】
しかしながら、未認証パケットが直接コンテンツサーバに届くことから、リバース・プロキシ型に比べてセキュリティ強度がやや弱く、各コンテンツサーバ内に専用のエージェント・モジュールを組み込む必要があることから、対応可能なコンテンツサーバが限定される可能性があった。
【0014】
このような従来技術に鑑みて、本発明者らは、先に出願した特願2002-037586 で、リバース・プロキシ型の認証アクセス制御サーバの課題とされていた、認証アクセス制御サーバへの負荷の集中を回避することを実現するシステムを開示した。
【0015】
この本発明者らが開示した先願発明では、図12に示すように、従来のリバース・プロキシ型の認証アクセス制御サーバからゲートウェイ機能を切り出し、アドレスとポート番号等に基づくパケットフィルタリングのハードウエア処理が可能な専用のゲートウェイ装置3と、認証アクセス制御サーバ2とに分離し、ゲートウェイ装置3の通過を許可するエントリが設定されていないサーバ宛てのアクセス要求のみ認証アクセス制御サーバ2に転送することで、認証アクセス制御サーバ2への負荷の集中を回避できるようにするという構成を採っている。
【0016】
この本発明者らが開示した先願発明では、単一のコンテンツサーバ内に異なる認証を必要とするコンテンツ群が存在しないことを前提としている。
【0017】
したがって、本発明者らが開示した先願発明では、利用者端末5の発行したコンテンツへのアクセス要求を認証アクセス制御サーバ2に転送するのか否かについての判断を、ゲートウェイ装置3にてコンテンツサーバ単位に行うようにしている。
【0018】
このため、単一のコンテンツサーバ内に異なる認証を必要とするコンテンツ群が複数存在する場合には、あるコンテンツ群内のコンテンツへのアクセス時の認証が成功すると、その後は、本来は別途認証が必要である他のコンテンツ群に対しても、認証アクセス制御サーバ2を経由することなく直接アクセス可能となってしまうという問題点が残されている。
【0019】
このように、本発明者らが開示した先願発明では、単一のコンテンツサーバ内に異なる認証を必要とするコンテンツ群が存在しないことを前提としており、単一のコンテンツサーバ内に異なる認証を必要とするコンテンツ群が複数存在する場合には適用できないという制限がある。
【0020】
また、本発明者らが開示した先願発明では、コンテンツサーバが認証機能を有している場合、原則として、認証を必要とするコンテンツへのアクセス要求を契機として、シングルサインオンを行うようにしている。
【0021】
このため、認証機能を有するコンテンツサーバ内にある認証を必要としないコンテンツへの利用者からのアクセスが続いた場合、認証アクセス制御サーバ2への負荷の集中を回避できないためにスループットが低下する可能性があった。
【0022】
本発明はかかる事情に鑑みてなされたものであって、本発明者らが開示した先願発明の改良を図ることで、プロキシ・リバース型を改良した先願発明の利点を継承しつつ、単一のコンテンツサーバ内に異なる認証を必要とするコンテンツ群が複数存在する場合にも、その適用を可能にするとともに、認証アクセス制御サーバへの負荷をさらに軽減することでスループット低下が発生しにくいシステムを実現することをその目的とする。
【0023】
【課題を解決するための手段】
この目的を達成するために、本発明の認証アクセス制御システムは、認証アクセス制御サーバ装置とゲートウェイ装置とで構成されて、利用者端末から発行されるコンテンツへのアクセス要求を認証する処理を行うために、次のような構成の認証アクセス制御サーバ装置とゲートウェイ装置とを備える。
〔i〕認証アクセス制御サーバ装置の構成
本発明の認証アクセス制御システムで用いられる認証アクセス制御サーバ装置は、(1)ゲートウェイ装置にコンテンツへのアクセス要求の許可が設定されていないことで、アクセス要求が転送されてくる場合に、それを受け取る手段と、(2)アクセス要求コンテンツの属するコンテンツ群の認証に必要な情報を、利用者端末からそのコンテンツ群への初回アクセス要求の場合にのみ取得する手段と、(3)アクセス要求コンテンツの属するコンテンツ群について、取得した認証に必要な情報を使って認証を実行して、認証機能を持たないコンテンツサーバの保有するそのコンテンツ群配下のコンテンツについて認証を得る手段と、(4)アクセス要求コンテンツを保有するコンテンツサーバに対して、そのコンテンツの認証に必要な情報を指定して認証を依頼することで認証を得る手段と、(5)認証を得たコンテンツへのアクセス要求の許可を示すエントリ情報をゲートウェイ装置に設定するとともに、初期設定として、認証を必要としないコンテンツへのアクセス要求の許可を示すエントリ情報をゲートウェイ装置に設定する手段と、(6)規定の状態になる場合に、ゲートウェイ装置に設定したエントリ情報を無効化する手段とを備えるように構成する。
【0024】
この認証アクセス制御サーバ装置が動作することで実現される認証アクセス制御方法については、具体的にはコンピュータプログラムで実現できるものであり、このコンピュータプログラムは、半導体メモリなどのような適当な記録媒体に記録して提供することができる。
【0025】
〔 ii 〕ゲートウェイ装置の構成
本発明の認証アクセス制御システムで用いられるゲートウェイ装置は、(1)認証アクセス制御サーバ装置から設定されるコンテンツへのアクセス要求を許可することを示すエントリ情報を管理する手段と、(2)利用者端末の発行するコンテンツへのアクセス要求に対応するエントリ情報が設定されていない場合に、そのアクセス要求を認証アクセス制御サーバ装置に転送する手段と、(3)アクセス要求の転送に応答して、認証アクセス制御サーバ装置からエントリ情報の設定指示がある場合に、そのエントリ情報を上記管理する手段に設定するとともに、初期設定として、認証アクセス制御サーバ装置から転送に関係なくエントリ情報の設定指示がある場合に、そのエントリ情報を上記管理する手段に設定する手段と、(4)認証アクセス制御サーバ装置からの無効化指示に応答して、指定されるエントリ情報を無効化する手段と、(5)設定したエントリ情報が一定時間参照されない場合に、そのエントリ情報を無効化する手段とを備えるように構成する。
【0026】
このゲートウェイ装置が動作することで実現されるゲートウェイ制御方法については、具体的にはコンピュータプログラムで実現できるものであり、このコンピュータプログラムは、半導体メモリなどのような適当な記録媒体に記録して提供することができる。
【0027】
次に、このように構成される本発明の認証アクセス制御システムの処理の流れの一例について説明する。
【0028】
このように構成される本発明の認証アクセス制御システムでは、利用者端末から認証を必要としないコンテンツへのアクセス要求が発行されると、そのコンテンツにかかるエントリ情報(そのコンテンツへのアクセス要求の許可を示す情報)については初期設定によりゲートウェイ装置に設定されているので、そのアクセス要求については、認証アクセス制御サーバ装置に転送されてくることはなく処理されることになる。
【0029】
一方、利用者端末から認証を必要とするコンテンツへのアクセス要求が発行されるときにあって、そのコンテンツにかかるエントリ情報がゲートウェイ装置に設定されていない場合には、そのアクセス要求が認証アクセス制御サーバ装置に転送され、これを受けて、認証アクセス制御サーバ装置は、そのアクセス要求のコンテンツの属するコンテンツ群への初回のアクセス要求(利用者からの初回のアクセス要求)であるのか否かを判断して、初回のアクセス要求であることを判断するときには、利用者端末から、そのコンテンツ群の認証に必要な情報(利用者及びコンテンツ群毎に定義される情報)を取得する。
【0030】
続いて、認証アクセス制御サーバ装置は、この取得した認証に必要な情報を使ってアクセス要求コンテンツの属するコンテンツ群について認証を実行し、これにより、認証機能を持たないコンテンツサーバに保有されるそのコンテンツ群配下のコンテンツについて認証を得て、ゲートウェイ装置にエントリ情報を設定する。
【0031】
これ以降、エントリ情報が設定されていることで、認証機能を持たないコンテンツサーバに保有されるそのコンテンツ群配下のコンテンツへのアクセス要求(コンテンツ群についての認証を行った利用者からのアクセス要求)については、ゲートウェイ装置から転送されてくることはなくなる。
【0032】
認証アクセス制御サーバ装置は、この初回のアクセス要求が認証機能を持たないコンテンツサーバに保有されるコンテンツへのアクセス要求である場合には、このエントリ情報の設定により、この初回アクセス要求におけるゲートウェイ装置に対してのエントリ情報の設定を終了する。
【0033】
一方、認証アクセス制御サーバ装置は、この初回のアクセス要求が認証機能を持つコンテンツサーバに保有されるコンテンツへのアクセス要求である場合には、コンテンツ群についての認証が得られると、そのコンテンツサーバからの要求に応答して、そのコンテンツの認証に必要な情報(利用者及びコンテンツ毎に定義される情報であって、認証アクセス制御サーバ装置の内部で保持している)を指定して、そのコンテンツサーバに対して認証依頼を行うことでそのコンテンツについて認証を得て、ゲートウェイ装置にエントリ情報を設定する。
【0034】
これ以降、エントリ情報が設定されていることで、そのコンンテンツへのアクセス要求(コンテンツについての認証を行った利用者からのアクセス要求)については、ゲートウェイ装置から転送されてくることはなくなる。
【0035】
そして、初回のアクセス要求の後に発行される同一コンテンツ群配下の別のコンテンツに対するアクセス要求が転送されてくる場合には、そのコンテンツ群についての認証は既に終了しているので、そのコンテンツを保有するコンテンツサーバからの要求に応答して、そのコンテンツの認証に必要な情報(利用者及びコンテンツ毎に定義される情報であって、認証アクセス制御サーバ装置の内部で保持している)を指定して、そのコンテンツサーバに対して認証依頼を行うことでそのコンテンツについて認証を得て、ゲートウェイ装置にエントリ情報を設定する。
【0036】
これ以降、エントリ情報が設定されていることで、そのコンンテンツへのアクセス要求(コンテンツについての認証を行った利用者からのアクセス要求)については、ゲートウェイ装置から転送されてくることはなくなる。
【0037】
このような形でゲートウェイ装置にエントリ情報を設定していくことで、アクセス要求が認証アクセス制御サーバ装置に転送されなくなってくるが、利用者端末とコンテンツサーバとの接続関係をそのまま放置しておくことはセキュリティ上好ましいことではない。
【0038】
そこで、認証アクセス制御サーバ装置は、▲1▼認証したコンテンツ群に対応付けて利用者端末にプログラムを送信するようにして、そのプログラムからの応答が一定時間なくなる場合に、ゲートウェイ装置に設定したその利用者端末にかかるそのコンテンツ群配下のコンテンツについての全てのエントリ情報を無効化するようにしたり、▲2▼認証したコンテンツ群に対応付けて利用者端末にプログラムを送信するようにして、そのプログラムから認証の無効化指示が発行される場合に、ゲートウェイ装置に設定したその利用者端末にかかるそのコンテンツ群配下のコンテンツについての全てのエントリ情報を無効化するようにしたり、▲3▼利用者端末からのアクセス要求に応答して認証したコンテンツ群についての認証から一定時間経過する場合に、ゲートウェイ装置に設定したその利用者端末にかかるそのコンテンツ群配下のコンテンツについての全てのエントリ情報を無効化するように処理する。
【0039】
ここで、この無効化処理を実行するために、認証アクセス制御サーバ装置は、どのようなエントリ情報をゲートウェイ装置に設定したのかについて記録するように処理している。
【0040】
一方、ゲートウェイ装置は、認証アクセス制御サーバ装置から設定されるコンテンツへのアクセス要求を許可することを示すエントリ情報を管理して、利用者端末の発行するコンテンツへのアクセス要求に対応するエントリ情報が設定されていない場合に、そのアクセス要求を認証アクセス制御サーバ装置に転送していく構成を採るときに、認証アクセス制御サーバ装置からの無効化指示に応答してエントリ情報を無効化するとともに、設定したエントリ情報が一定時間参照されない場合に、そのエントリ情報を無効化するように処理する。
【0041】
このように、本発明は、従来のリバース・プロキシ型の認証アクセス制御サーバ装置からゲートウェイ機能を切り出し、ゲートウェイ装置に設定する通信許可エントリに、アドレス、ポート等宛先コンテンツサーバを識別する情報だけでなく、コンテンツサーバ上のコンテンツを識別する情報を加え、コンテンツサーバを識別する情報とコンテンツを識別する情報との両方についてゲートウェイ装置の通過を許可されているアクセス要求のみ通過を許可し、それ以外のアクセス要求は認証アクセス制御サーバに転送することを特徴とする。
【0042】
この構成に従って、本発明によれば、ゲートウェイ装置における通過可否の判定を、アクセス先のコンテンツサーバ単位ではなく、コンテンツサーバ内のコンテンツ単位に実施することが可能となることにより、単一のコンテンツサーバ内に異なる認証を必要とするコンテンツ群が複数存在する場合に、1つのコンテンツ群に対してシングルサインオンが成功するときに、異なる認証を必要とする他のコンテンツ群に対しても直接アクセス可能となってしまうというような不都合な状態の発生を防止することが可能となる。
【0043】
また、コンテンツサーバ上にあるアクセス時の認証を必要としないコンテンツについては、利用者からのアクセス要求前に、あらかじめゲートウェイ装置に通過許可エントリを設定しておけることから、認証アクセス制御サーバ装置への負荷を軽減することが可能となる。
【0044】
そして、認証アクセス制御サーバ装置を経由しない直接通信において、端末確認用のプログラムを利用者端末に送信して監視を行い、通信の終了を検知してゲートウェイ装置の通信許可エントリを削除(無効化)することによって、サーバに手を加えることなく、従来のエージェント・モジュール型のように未認証のアクセス要求が直接サーバに到達してしまうことを防止することが可能となる。
【0045】
次に、本発明の構成上の特徴についてまとめる。
【0046】
(1)本発明では、認証アクセス制御サーバ装置とゲートウェイ装置で構成され、コネクションレス通信網に接続された利用者端末から1つ又は複数のサーバへのアクセス時の認証において、▲1▼各サーバ内にある、利用者がアクセス権限を持つコンテンツ群を利用者ごとに管理し、▲2▼利用者がアクセス権限を持つコンテンツ群へのアクセス要求を認証アクセス制御サーバ装置にて代理で受け付け、▲3▼利用者がアクセス権限を持つコンテンツ群への認証失効後初めてのアクセス時のみ利用者に対して認証に必要な情報の投入を要求し、▲4▼認証の有効期間内は当該コンテンツ群に属する全てのコンテンツについて利用者が認証に必要な情報をアクセスの都度投入することを不要にし、▲5▼認証に成功した場合、通信網内に配置するゲートウェイ装置を制御し、利用者端末からそのコンテンツに対し、認証アクセス制御サーバ装置を介さず直接アクセスすることを可能とすることを特徴とする。
【0047】
(2)そして、ゲートウェイ装置の機能として、▲1▼利用者が認証に成功する以前は、利用者端末からコンテンツへのアクセスを許可しないことでセキュリティを確保し、▲2▼アクセス時に認証を必要とするコンテンツ宛てで、かつ、通過を許可されていないアクセス要求については、認証アクセス制御サーバ装置に転送して認証を求めることを特徴とする。
【0048】
(3)そして、認証機能を有するサーバ内のコンテンツへのアクセスにおいて、▲1▼認証アクセス制御サーバ装置が代理に受け付けたアクセス要求をそのままアクセス要求先のサーバに転送して当該サーバからの認証要求を受信し、▲2▼そのコンテンツへのアクセスが、当該利用者がアクセス権限を持つコンテンツ群への認証失効後初めてのアクセスである場合のみ、当該利用者に対して認証に必要な情報の投入を要求して利用者から受信した情報に基づいて認証を行ない、▲3▼当該サーバでの認証に必要な情報を利用者に代わって送信するとともに、網内のゲートウェイ装置にてその利用者端末から当該コンテンツへの直接通信を許可し、▲4▼認証の有効期間内に認証アクセス制御サーバ装置で受け付けた、コンテンツ群内の他のコンテンツ向けのアクセス要求についてはそのコンテンツを保有するサーバにそのまま転送し、▲5▼サーバからの認証要求に対して、当該コンテンツへのアクセスの認証に必要な情報を利用者に代わって送信するとともに、網内のゲートウェイ装置にてその利用者端末から当該コンテンツへの直接通信を許可することを特徴とする。
【0049】
(4)そして、認証機能を有するサーバ内のコンテンツへのアクセスにおいて、▲1▼利用者がアクセス権限を持つコンテンツ群に対する認証失効後初めてのアクセス要求を認証アクセス制御サーバ装置にて代理で受け付けた場合、当該利用者に対して認証に必要な情報の投入を要求し、▲2▼認証成功後にサーバにアクセス要求を転送し、▲3▼サーバからの認証要求に対して利用者に代わって当該コンテンツへのアクセス時の認証に必要な情報を送信するとともに、網内のゲートウェイ装置にてその利用者端末から当該コンテンツへの直接通信を許可し、▲4▼認証の有効期間内に認証アクセス制御サーバ装置で受け付けた、コンテンツ群内の他のコンテンツ向けのアクセス要求についてはそのコンテンツを保有するサーバにそのまま転送し、▲5▼サーバからの認証要求に対して、当該コンテンツへのアクセスの認証に必要な情報を利用者に代わって送信するとともに、網内のゲートウェイ装置にてその利用者端末から当該コンテンツへの直接通信を許可することを特徴とする。
【0050】
(5)そして、認証機能を有さないサーバ内のコンテンツへのアクセスにおいて、▲1▼利用者がアクセス権限を持つコンテンツ群に対する認証失効後初めてのアクセス要求を認証アクセス制御サーバ装置にて代理で受け付け、▲2▼当該利用者に対して認証に必要な情報の投入を要求し、認証成功後に、通信網内のゲートウェイ装置にて、その利用者端末からコンテンツ群に属する全てのコンテンツへの直接通信を許可することを特徴とする。
【0051】
(6)そして、▲1▼利用者端末上で動作するプログラムを有し、▲2▼定期的に認証アクセス制御サーバ装置と当該プログラムとの間で通信を行うことで利用者端末の状態を監視し、▲3▼当該プログラムからの通信が無くなったことでセッションの終了を検知して当該利用者の認証を無効にし、▲4▼再びコンテンツ群へのアクセス要求を代理で受け付けるようにゲートウェイ装置の設定を変更することを特徴とする。
【0052】
(7)そして、▲1▼認証アクセス制御サーバ装置での認証後、認証に成功した利用者端末のブラウザにプログラムを送信して認証の強制失効を指示するボタン等をブラウザ上に表示し、▲2▼利用者がそのボタン等をクリックすることを契機に認証アクセス制御サーバ装置に対して認証の無効化を示す情報を送信させ、▲3▼その情報の受信をもって再びコンテンツ群へのアクセス要求を代理で受け付けるようにゲートウェイ装置の設定を変更することを特徴とする。
【0053】
(8)そして、▲1▼認証アクセス制御サーバ装置での認証後にゲートウェイ装置に設定した、利用者端末からアクセス先のコンテンツへの通信許可エントリが一定時間参照されなかった場合に、当該エントリを自動的に削除し、▲2▼再びコンテンツへのアクセス要求が認証アクセス制御サーバ装置に転送されるようにすることで当該利用者の認証を無効にすることを特徴とする。
【0054】
(9)そして、▲1▼認証アクセス制御サーバ装置での認証後、一定時間経過した後に自動的にゲートウェイ装置に設定した、利用者端末からサーバ上のコンテンツへの通信許可エントリを削除し、▲2▼再びコンテンツへのアクセス要求が認証アクセス制御サーバ装置に転送されるようにすることで当該利用者の認証を無効にすることを特徴とする。
【0055】
【発明の実施の形態】
以下、実施の形態に従って本発明を詳細に説明する。
【0056】
図1に、本発明を実現するシステム構成の一実施形態例を図示する。
【0057】
この図に示すように、本発明を実現する認証アクセス制御システム1は、認証アクセス制御サーバ2及びゲートウェイ装置3から構成されており、ゲートウェイ装置3は、IPアドレス、ポート番号及びコンテンツのURL(Uniform Resource Locater)に基づくパケットフィルタリング機能を有している。
【0058】
この構成を採るときに、利用者4が認証アクセス制御システム1を介して、利用者端末5から、コンテンツサーバ6〜9上にあって利用者4がアクセス権限を持つコンテンツ群10及びコンテンツ群11と、コンテンツサーバ6〜9上にあってアクセス時の認証を必要としないコンテンツ14,17,20,23とにアクセスするものとする。
【0059】
ここで、コンテンツ群10とコンテンツ群11へのアクセスには別々の認証を必要とし、コンテンツ群10はコンテンツ12,15,18,21からなり、コンテンツ群11はコンテンツ13,16,19,22からなるとする。
【0060】
また、コンテンツサーバ6,7はサーバ自体が認証機能を有し、コンテンツサーバ8,9はサーバ自体が認証機能を有さないとする。
【0061】
この構成を採るときに、ゲートウェイ装置3には、利用者端末5を送信元とし、認証を必要としないコンテンツ14,17,20,23を送信先とするパケットの通過を許可するゲートウェイエントリをあらかじめ設定しておく構成を採っている。
【0062】
これにより、認証の不要なコンテンツに対しては、認証が必要なコンテンツと同一のコンテンツサーバ上に存在している場合でも、認証アクセス制御サーバ2を経由することなく、利用者端末5から直接アクセスすることが可能となる。
【0063】
以下に説明するように、認証アクセス制御サーバ2は、利用者毎に、コンテンツ群を単位としてシングルサインオンを実行して、シングルサインオンを実行したコンテンツ群については、再度シングルサインオンを実行しないように処理している。
【0064】
これから、認証アクセス制御サーバ2は、各コンテンツ群に割り当てられたシングルサインオン用のパスワードと、そのコンテンツ群について既にシングルサインオンの認証を終えているのか否かを示す情報とについて管理する、図2(a)に示すようなデータ構造を持つテーブル200(利用者毎に用意されている)を備えるという構成を採っている。
【0065】
そして、以下に説明するように、認証アクセス制御サーバ2は、利用者がシングルサインオンの認証を終えたコンテンツ群配下の認証を必要とするコンテンツにアクセスする場合には、利用者及びコンンテツ毎に定義されるそのコンテンツの認証に必要となるパスワードを、そのコンテンツを保有するコンテンツサーバに対して送信することで認証を得るように処理している。
【0066】
これから、認証アクセス制御サーバ2は、認証を必要とするコンテンツについて、そのコンテンツがどのコンテンツサーバに保有されているのかということと、そのコンテンツがどのコンテンツ群に属しているのかということと、そのコンテンツの認証に必要となる利用者毎のパスワードとについて管理する、図2(b)に示すようなデータ構造を持つテーブル201を備えるという構成を採っている。
【0067】
そして、上述したように、認証アクセス制御サーバ2は、認証を必要としないコンテンツについては、その通過を許可するゲートウェイエントリをあらかじめゲートウェイ装置3に設定するように処理している。
【0068】
これから、認証アクセス制御サーバ2は、認証を必要としないコンテンツとしてどのようなものがあるとかいうことと、そのコンテンツがどのコンテンツサーバに保有されているのかということとについて管理する、図2(c)に示すようなデータ構造を持つテーブル202を備えるという構成を採っている。
【0069】
(A)認証機能を有するコンテンツサーバ6,7に最初にアクセスする場合の処理(先に中継するパターン)
図3及び図4に、利用者4が認証を必要とするコンテンツへのアクセスを試みた場合の処理を示す。
【0070】
利用者4が、コンテンツ群10,11に対して末認証の状態で、利用者端末5から、コンテンツサーバ6,7上にあってコンテンツ群10に属するコンテンツ12,15のいずれか宛てのアクセス要求のパケットを送信すると、ゲートウェイ装置3において、利用者端末5を送信元とし、送信先を当該コンテンツ(ここでは仮にコンテンツサーバ6上のコンテンツ12とする)とするパケットの通過を許可するゲートウェイエントリが無いことから、利用者端末5からのパケットは認証アクセス制御サーバ2に転送され、認証アクセス制御サーバ2を経由してコンテンツサーバ6と通信コネクションを確立する(ステップ101)。
【0071】
利用者端末5からコンテンツ12へのコンテンツファイル要求(ステップ102,103)に対して、コンテンツサーバ6から認証に必要な情報(本実施形態例ではパスワードとする)の送信が求められる(ステップ104)。認証アクセス制御サーバ2は、これを受けて、利用者4のコンテンツ群10に対する認証に必要なパスワードの送信要求を利用者端末5に送信する(ステップ105)。
【0072】
この送信要求に応答してパスワートが送信されてくるので、認証アクセス制御サーバ2は、そのパスワードを受信して、利用者4のコンテンツ群10に対する認証を行なった(ステップ106)後、内部に持つ利用者4のコンテンツ12における認証に必要な情報を、代理でコンテンツサーバ6に送信して(ステップ107)、コンテンツサーバ6内で認証させるとともに、利用者端末5に対して、利用者端末5のブラウザ上に、常駐プログラム(本実施例ではJava(登録商標)アプレットとする)を送信する(ステップ108)。
【0073】
続いて、認証アクセス制御サーバ2は、ゲートウェイ装置3に対して、利用者端末5を送信元とし、コンテンツ12を送信先とするパケットを通過させるようにと、ゲートウェイエントリを設定(登録)する(ステップ109)。
【0074】
さらに、認証アクセス制御サーバ2は、ゲートウェイ装置3に対して、利用者端末5を送信元とし、認証機能を有さないコンテンツサーバ8,9上にあってコンテンツ群10に属するコンテンツ18,21を送信先とするパケットを通過させるようにと、ゲートウェイエントリを設定する(ステップ110)。
【0075】
このゲートウェイエントリの設定により、ステップ102,103で送信したコンテンツファイル要求の応答を利用者端末5に送信した(ステップ111,112)後、次回以降のコンテンツ12及びコンテンツ18,21宛ての利用者端末5からのコンテンツファイル要求については、認証アクセス制御サーバ2を経由せずに、直接コンテンツサーバに到達するようになる(ステップ113,114)。
【0076】
次に、利用者4が利用者端末5からコンテンツ15宛てのアクセスを試みた場合、ゲートウェイ装置3において、利用者端末5を送信元とし、コンテンツ15を送信先とするパケットの通過を許可するゲートウェイエントリが設定されていないため、当該パケットは認証アクセス制御サーバ2に転送され、認証アクセス制御サーバ2を経由してコンテンツサーバ7と通信コネクションを確立する(ステップ115)。
【0077】
利用者端末5からコンテンツ15へのコンテンツファイル要求(ステップ116,117)に対して、コンテンツサーバ7からパスワードの送信が求められる(ステップ118)。この場合、認証アクセス制御サーバ2は、コンテンツ群10に対する認証については既に終えているので、利用者端末5に対してパスワードの送信要求は行なわずに、認証アクセス制御サーバ2の内部に持つ利用者4の当該コンテンツ用のパスワードを代理で当該コンテンツサーバ7に送信して、当該コンテンツサーバ7内で認証させる(ステップ119)。
【0078】
続いて、認証アクセス制御サーバ2は、ゲートウェイ装置3に対して、利用者端末5を送信元とし、コンテンツ15を送信先とするパケットを通過させるようにと、ゲートウェイエントリを設定する(ステップ120)。
【0079】
このゲートウェイエントリの設定により、ステップ116,117で送信したコンテンツファイル要求の応答を利用者端末5に送信した(ステップ121,122)後、次回以降のコンテンツ15宛ての利用者端末5からのコンテンツファイル要求については、認証アクセス制御サーバ2を経由せずに、直接コンテンツサーバ7に到達するようになる(ステップ123,124)。
【0080】
次に、利用者4が利用者端末5からコンテンツサーバ8,9上にあるコンテンツ群10に属するいずれかのコンテンツ(ここでは18または21)宛てのアクセスを試みた場合には、ゲートウェイ装置3において、パケットの通過を許可するゲートウェイエントリが設定済みであるため、認証アクセス制御サーバ2を経由せずに、直接当該コンテンツサーバ8,9との間で通信コネクションを確立し(ステップ125)、コンテンツへのアクセスが可能である(ステップ126,127)。
【0081】
さらに、利用者4が利用者端末5からコンテンツサーバ6,7上にあるコンテンツ群11に属するコンテンツへのアクセスを試みた場合には、上記ステップ101〜127に相当する処理が別に実行されることになる。
【0082】
(B)認証機能を有するコンテンツサーバ6,7に最初にアクセスする場合の処理(先に認証するパターン)
図5及び図6に、利用者4が認証を必要とするコンテンツへのアクセスを試みた場合の処理を示す。
【0083】
利用者4が、コンテンツ群10,11に対して未認証の状態で、利用者端末5から、コンテンツサーバ6,7上にあってコンテンツ群10に属するコンテンツ12,15のいずれか宛てのアクセス要求のパケットを送信すると、ゲートウェイ装置3において、利用者端末5を送信元とし、送信先を当該コンテンツ(ここでは仮にコンテンツサーバ6上のコンテンツ12とする)とするパケットの通過を許可するゲートウェイエントリが無いことから、利用者端末5からのパケットは認証アクセス制御サーバ2に転送され、認証アクセス制御サーバ2を経由してコンテンツサーバ6と通信コネクションを確立する(ステップ201)。
【0084】
その後、認証アクセス制御サーバ2は、利用者端末5からのコンテンツファイル要求を受けて(ステップ202)、利用者4のコンテンツ群10に対する認証に必要なパスワードの送信要求を利用者端末5に送信する(ステップ203)。
【0085】
この送信要求に応答してパスワードが送信されてくると、認証アクセス制御サーバ2は、そのパスワードを受信して、利用者4のコンテンツ群10に対する認証を行なった(ステップ204)後、当初のコンテンツ12宛てのコンテンツファイル要求を、利用者端末5の代理でコンテンツサーバ6に送信する(ステップ205)とともに、利用者端末5に対して、Java アプレットを送信する(ステップ206)。
【0086】
コンテンツ12宛てのコンテンツファイル要求をコンテンツサーバ6に送信すると、コンテンツサーバ6からはパスワードの送信が求められる(ステップ207)。このとき、認証アクセス制御サーバ2は、内部に持つ利用者4のコンテンツ12用のパスワードを代理でコンテンツサーバ6に送信してコンテンツサーバ6内で認証させる(ステップ208)。
【0087】
続いて、認証アクセス制御サーバ2は、ゲートウェイ装置3に対して、利用者端末5を送信元とし、コンテンツ12を送信先とするパケットを通過させるようにと、ゲートウェイエントリを設定する(ステップ209)。
【0088】
さらに、認証アクセス制御サーバ2は、ゲートウェイ装置3に対して、利用者端末5を送信元とし、認証機能を有さないコンテンツサーバ8,9上にあってコンテンツ群10に属するコンテンツ18,21を送信先とするパケットを通過させるようにと、ゲートウェイエントリを設定する(ステップ210)。
【0089】
このゲートウェイエントリの設定により、ステップ202,205で送信したコンテンツファイル要求の応答を利用者端末5に送信した(ステップ211,212)後、次回以降のコンテンツ12及びコンテンツ18,21宛ての利用者端末5からのコンテンツファイル要求については、認証アクセス制御サーバ2を経由せずに、直接コンテンツサーバに到達するようになる(ステップ213,214)。
【0090】
次に、利用者4が利用者端末5からコンテンツ15宛てのアクセスを試みた場合、ゲートウェイ装置3において、利用者端末5を送信元とし、コンテンツ15を送信先とするパケットの通過を許可するゲートウェイエントリは設定されていないため、当該パケットは認証アクセス制御サーバ2に転送され、認証アクセス制御サーバ2を経由してコンテンツサーバ7と通信コネクションを確立する(ステップ215)。
【0091】
利用者端末5からコンテンツ15へのコンテンツファイル要求(ステップ216,217)に対して、コンテンツサーバ7からパスワードの送信が求められる(ステップ218)。この場合、認証アクセス制御サーバ2は、利用者端末5に対してパスワードの送信要求は行なわずに、認証アクセス制御サーバ2の内部に持つ利用者4の当該コンテンツ用のパスワードを代理で当該コンテンツサーバ7に送信して、当該コンテンツサーバ7内で認証させる(ステップ219)。
【0092】
続いて、認証アクセス制御サーバ2は、ゲートウェイ装置3に対して、利用者端末5を送信元とし、コンテンツ15を送信先とするパケットを通過させるようにと、ゲートウェイエントリを設定する(ステップ220)。
【0093】
このゲートウェイエントリの設定により、ステップ216,217で送信したコンテンツファイル要求の応答を利用者端末5に送信した(ステップ221,222)後、次回以降の当該コンテンツ15宛ての利用者端末5からのコンテンツファイル要求については、認証アクセス制御サーバ2を経由せず、直接コンテンツサーバ7に到達するようになる(ステップ223,224)。
【0094】
次に、利用者4が利用者端末5からコンテンツサーバ8,9上にあるコンテンツ群10に属するいずれかのコンテンツ(ここでは18または21)宛てのアクセスを試みた場合には、ゲートウェイ装置3において、パケットの通過を許可するゲートウェイエントリが設定済みであるため、認証アクセス制御サーバ2を経由せずに、直接当該コンテンツサーバ8,9との間で通信コネクションを確立し(ステップ225)、コンテンツへのアクセスが可能である(ステップ226,227)。
【0095】
さらに、利用者4が利用者端末5からコンテンツサーバ6,7上にあるコンテンツ群11に属するコンテンツへのアクセスを試みた場合は、上記ステップ201〜227に相当する処理が別に実行されることになる。
【0096】
(C)認証機能を有さないコンテンツサーバ8,9に最初にアクセスする場合の処理
図7及び図8に、利用者4が認証を必要とするコンテンツへのアクセスを試みた場合の処理を示す。
【0097】
利用者4が、コンテンツ群10,11に対して未認証の状態で、利用者端末5から認証機能を有さないコンテンツサーバ8,9上にあってコンテンツ群10に属するコンテンツ18,21のいずれか宛てのアクセス要求のパケットを送信すると、ゲートウェイ装置3において、利用者端末5を送信元とし、送信先を当該コンテンツ(ここでは仮にコンテンツ18とする)とするパケットの通過を許可するゲートウェイエントリが無いことから、利用者端末5からのパケットは認証アクセス制御サーバ2に転送され、認証アクセス制御サーバ2を経由してコンテンツサーバ8と通信コネクションを確立する(ステップ301)。
【0098】
その後、認証アクセス制御サーバ2は、利用者端末5からのコンテンツファイル要求を受けて(ステップ302)、利用者4のコンテンツ群10に対する認証に必要なパスワードの送信要求を利用者端末5に送信する(ステップ303)。
【0099】
この送信要求に応答してパスワードが送信されてくると、認証アクセス制御サーバ2は、そのパスワードを受信して、利用者4のコンテンツ群10に対する認証を行なった(ステップ304)後、当初のコンテンツサーバ8上のコンテンツ18宛てのコンテンツファイル要求を利用者端末5の代理でコンテンツサーバ8に送信する(ステップ305)とともに、利用者端末5に対して、Java アプレットを送信する(ステップ306)。
【0100】
続いて、認証アクセス制御サーバ2は、ゲートウェイ装置3に対して、利用者端末5を送信元とし、コンテンツサーバ8,9上にあってコンテンツ群10に属するコンテンツ(ここではコンテンツ18,21)を送信先とするパケットを通過させるようにと、ゲートウェイエントリを設定する(ステップ307)。そして、ステップ302,305で送信したコンテンツファイル要求の応答を利用者端末5に送信する(ステップ308,309)。
【0101】
このゲートウェイエントリの設定により、次回以降のコンテンツサーバ8,9に対するコンテンツ群10に属するコンテンツ宛ての利用者端末5からのコンテンツファイル要求については、認証アクセス制御サーバ2を経由せずに、直接コンテンツサーバ8,9に到達するようになる(ステップ310,311)。
【0102】
次に、利用者4が利用者端末5からコンテンツサーバ6,7上にあってコンテンツ群10に属するいずれかのコンテンツ(ここではコンテンツ12,15)宛てのアクセスを試みた場合、ゲートウェイ装置3において、利用者端末5を送信元とし、当該コンテンツ(ここでは仮にコンテンツサーバ6上のコンテンツ12とする)を送信先とするパケットの通過を許可するゲートウェイエントリが設定されていないため、当該パケットは認証アクセス制御サーバ2に転送され、認証アクセス制御サーバ2を経由して当該コンテンツサーバ6と通信コネクションを確立する(ステップ312)。
【0103】
利用者端末5からコンテンツ12へのコンテンツファイル要求(ステップ313,314)に対して、コンテンツサーバ6からパスワードの送信が求められる(ステップ315)。この場合、認証アクセス制御サーバ2は、利用者端末5に対してパスワードの送信要求は行なわずに、認証アクセス制御サーバ2の内部に持つ利用者4の当該コンテンツ用のパスワードを代理で当該コンテンツサーバ6に送信して、当該コンテンツサーバ6内で認証させる(ステップ316)。
【0104】
続いて、認証アクセス制御サーバ2は、ゲートウェイ装置3に対して、利用者端末5を送信元とし、当該コンテンツを送信先とするパケットを通過させるようにと、ゲートウェイエントリを設定する(ステップ317)。
【0105】
このゲートウェイエントリの設定により、ステップ313,314で送信したコンテンツファイル要求の応答を利用者端末5に送信した(ステップ318,319)後、次回以降のコンテンツ12宛ての利用者端末5からのアクセス要求については、認証アクセス制御サーバ2を経由せず、直接コンテンツサーバに到達するようになる(ステップ320,321)。
【0106】
次に、利用者4が利用者端末5からコンテンツサーバ8,9上にあってコンテンツ群10に属するコンテンツ宛てのアクセスを試みた場合は、ゲートウェイ装置3において、パケットの通過を許可するエントリが設定済みであるため、認証アクセス制御サーバ2を経由せず、直接当該コンテンツサーバとの間で通信コネクションを確立し(ステップ322)、コンテンツへのアクセスが可能である(ステップ323,324)。
【0107】
さらに、利用者4が利用者端末5からコンテンツサーバ8,9上にあるコンテンツ群11に属するコンテンツへのアクセスを試みた場合は、上記ステップ301〜324に相当する処理が別に実行されることになる。
【0108】
(D)利用者のブラウザ終了による認証の無効化処理
認証アクセス制御サーバ2は、利用者4のコンテンツ群10(あるいはコンテンツ群11)に対する認証を行なった後、利用者端末5に送信した常駐プログラム(ここではJava アプレット)に対して一定時間毎に通信を行う。
【0109】
認証アクセス制御サーバ2は、利用者端末5のJava アプレットからの応答がなくなった場合、利用者4によるコンテンツ群10(コンテンツ群11)のコンテンツの閲覧が終了したものと判断して、ゲートウェイ装置3に対して先に設定した、利用者端末5を送信元としコンテンツ群10(コンテンツ群11)に属するコンテンツを送信先とする通過許可ゲートウェイエントリを全て削除する。
【0110】
これにより認証は無効化され、利用者端末5からコンテンツ群10(コンテンツ群11)に属するコンテンツ宛てのアクセス要求については、再び認証アクセス制御サーバ2を経由して認証を求められることになる。
【0111】
(E)利用者のログアウト処理による認証の無効化処理
利用者4のコンテンツ群10(あるいはコンテンツ群11)に対する認証を行なった後に利用者端末5に送信する常駐プログラム(ここではJava アプレット)によって、利用者端末5上のブラウザに、図9に示すように、認証の強制失効を指示するログアウトボタン31,32を表示させる。
【0112】
このログアウトボタン31,32の表示を受けて、利用者端末5は、利用者4がログアウトボタン31(ログアウトボタン32)をクリックすることを契機にして、認証アクセス制御サーバ2に対して、コンテンツ群10(コンテンツ群11)に対する認証の強制失効を指示するパケットを送信する。
【0113】
認証アクセス制御サーバ2は、そのパケットを受信すると、ゲートウェイ装置3に対して先に設定した、利用者端末5を送信元としコンテンツ群10(コンテンツ群11)に属するコンテンツを送信先とする通過許可ゲートウェイエントリを全て削除する。
【0114】
これにより認証は無効化され、利用者端末5からコンテンツ群10(コンテンツ群11)に属するコンテンツ宛てのアクセス要求については、再び認証アクセス制御サーバ2を経由して認証を求められることになる。
【0115】
(F)通信タイムアウトによる認証の無効化処理
ゲートウェイ装置3は、認証アクセス制御サーバ2から設定されたパケット通過許可ゲートウェイエントリの参照状況を監視する。
【0116】
ゲートウェイ装置3は、利用者端末5から一定時間連続してコンテンツ群10(あるいはコンテンツ群11)に属するコンテンツに対する通信が無かった場合、利用者端末5を送信元としそのコンテンツを送信先とする通過許可ゲートウェイエントリを削除する。
【0117】
この結果、コンテンツ群10(コンテンツ群11)に属する全てのコンテンツ宛てのエントリが削除された場合、認証は無効化され、利用者端末5からコンテンツ群10(コンテンツ群11)に属するコンテンツ宛てのアクセス要求については、再び認証アクセス制御サーバ2を経由して認証を求められることになる。
【0118】
(G)認証後一定時間経過による認証の無効化処理
認証アクセス制御サーバ2は、利用者4のコンテンツ群10(あるいはコンテンツ群11)に対する認証を行なった時刻を記録しておき、一定時間が経過すると、ゲートウェイ装置3に対して先に設定した、利用者端末5を送信元としコンテンツ群10(コンテンツ群11)に属するコンテンツを送信先とする通過許可ゲートウェイエントリを全て削除する。
【0119】
これにより認証は無効化され、利用者端末5からコンテンツ群10(コンテンツ群11)に属するコンテンツ宛てのアクセス要求については、再び認証アクセス制御サーバ2を経由して認証を求められることになる。
【0120】
【発明の効果】
以上説明したように、本発明によれば、コンテンツサーバへのシングルサインオンを実現するコンテンツ認証アクセス制御システムにおいて、同一のコンテンツサーバ内に異なる認証を必要とするコンテンツ群が複数ある場合にも対応することが可能になることで、シングルサインオンに対応可能なコンテンツサーバの条件を緩和できるようになるとともに、コンテンツ認証アクセス制御サーバへの負荷を軽減することができるようになることで、システムのスループット低下の可能性を抑えることができる、という効果が得られる。
【図面の簡単な説明】
【図1】本発明を実現するシステム構成の一実施形態例である。
【図2】認証アクセス制御サーバ装置の備えるテーブルの説明図である。
【図3】実施形態例における処理の流れである。
【図4】実施形態例における処理の流れである。
【図5】実施形態例における処理の流れである。
【図6】実施形態例における処理の流れである。
【図7】実施形態例における処理の流れである。
【図8】実施形態例における処理の流れである。
【図9】ブラウザの説明図である。
【図10】リバース・プロキシ型のシングルサインオンの説明図である。
【図11】エージェント・モジュール型のシングルサインオンの説明図である。
【図12】本発明者らが開示した先願発明の説明図である。
【符号の説明】
1 認証アクセス制御システム
2 認証アクセス制御サーバ
3 ゲートウェイ装置
4 利用者
5 利用者端末
6 コンテンツサーバ
7 コンテンツサーバ
8 コンテンツサーバ
9 コンテンツサーバ
10 コンテンツ群
11 コンテンツ群
12 コンテンツ
13 コンテンツ
14 コンテンツ
15 コンテンツ
16 コンテンツ
17 コンテンツ
18 コンテンツ
19 コンテンツ
20 コンテンツ
21 コンテンツ
22 コンテンツ
23 コンテンツ[0001]
BACKGROUND OF THE INVENTION
The present invention comprises an authentication access control server device and a gateway device, and authenticates an access request to content issued from a user terminal.Authentication access control system and authentication access control systemAuthentication access control server device used in the systemAnd soAUTHENTICATION ACCESS CONTROL METHOD USED IN AUTHENTICATION ACCESS CONTROL SERVER DEVICEAnd soAUTHENTICATION ACCESS CONTROL PROGRAM USED FOR IMPLEMENTING AUTHENTICATION ACCESS CONTROL METHOD AND RECORDING MEDIUM CONTAINING THE PROGRAMAndRelated.
[0002]
When there is content on the server that only a specific user wants to allow access to, it is necessary to ask the user for authentication at the time of access. When the user has an access authority to a plurality of contents, it is desirable from the viewpoint of security and convenience that authentication can be performed collectively instead of performing authentication for each content.
[0003]
The present invention relates to a content authentication access control system that collectively authenticates users who have access authority to a plurality of contents.
[0004]
[Prior art]
As a method for enabling access to content on multiple servers with a single authentication (hereinafter referred to as single sign-on), a method of installing an authentication access control server in the network is known. , "Reverse proxy type" and "Agent module type".
[0005]
As shown in FIG. 10, the reverse proxy type single sign-on is realized by installing an authentication access control server between a user terminal and a content server.
[0006]
In this reverse proxy type single sign-on, all access requests to the content server are transmitted through the authentication access control server, and the authentication access control server refers to the access list for each user in the relay. To perform access control.
[0007]
On the other hand, as shown in FIG. 11, the agent module type single sign-on is realized by an authentication access control server installed in the network and an agent module incorporated in the content server.
[0008]
In this agent module type single sign-on, the user first logs in to the authentication access control server. If the authentication is successful, the authentication access control server embeds a list of content servers accessible by the user in a cookie and transmits the cookie to the user terminal.
[0009]
Thereafter, when the user accesses the content server, the agent module in the content server determines whether or not access is possible based on the information in the cookie. When there is an access to a content server from a user terminal that is not authenticated by the authentication access control server, the agent module in the content server forwards the access request to the authentication access control server for authentication. Let it be done.
[0010]
[Problems to be solved by the invention]
In the reverse proxy type, since single sign-on is possible without changing the content server, single sign-on can be performed regardless of the type of content server.
[0011]
However, since all access requests are relayed, the security strength is strong, but access is concentrated on the authentication access control server, so in a large-scale environment where a large number of content servers are distributed and distributed, especially the server There was a possibility of throughput degradation due to processing performance and network resource limitations.
[0012]
On the other hand, in the agent module type, only an unauthenticated access request passes through the authentication access control server, so that there is a low possibility that the throughput will decrease as in the reverse proxy type.
[0013]
However, since unauthenticated packets reach the content server directly, the security level is slightly weaker than that of the reverse proxy type, and it is necessary to embed a dedicated agent module in each content server. Could be limited.
[0014]
In view of such a conventional technique, the inventors of the present invention filed the previously filed Japanese Patent Application No. 2002-037586, and the load on the authentication access control server, which was a problem of the reverse proxy type authentication access control server, is as follows. A system that achieves avoiding concentration has been disclosed.
[0015]
In the prior invention disclosed by the present inventors, as shown in FIG. 12, the gateway function is cut out from the conventional reverse proxy type authentication access control server, and the packet filtering hardware processing based on the address and the port number is performed. By separating only the access request addressed to the server for which the entry permitting passage through the
[0016]
The prior invention disclosed by the present inventors is based on the premise that there is no content group that requires different authentication within a single content server.
[0017]
Therefore, in the prior invention disclosed by the present inventors, the
[0018]
For this reason, when there are multiple content groups that require different authentication within a single content server, if authentication is successful when accessing content within a certain content group, separate authentication is essentially performed thereafter. There remains a problem that other necessary content groups can be directly accessed without going through the authentication
[0019]
Thus, in the prior application disclosed by the present inventors, it is assumed that there is no content group that requires different authentication within a single content server, and different authentication is performed within a single content server. There is a limitation that it cannot be applied when there are a plurality of required content groups.
[0020]
In the prior invention disclosed by the present inventors, when the content server has an authentication function, as a general rule, single sign-on is performed in response to a request to access content that requires authentication. ing.
[0021]
For this reason, when the user continues to access content that does not require authentication in the content server having the authentication function, the concentration of the load on the authentication
[0022]
The present invention has been made in view of such circumstances, and by improving the prior application disclosed by the present inventors, the present invention has succeeded in inheriting the advantages of the prior application improved from the proxy / reverse type. A system that makes it possible to apply multiple content groups that require different authentication within a single content server and to reduce throughput by further reducing the load on the authentication access control server. The purpose is to realize.
[0023]
[Means for Solving the Problems]
In order to achieve this object, an authentication access control system of the present invention includes an authentication access control server device and a gateway device, and performs a process of authenticating an access request to content issued from a user terminal. And an authentication access control server device and a gateway device configured as follows.
[I] Configuration of authentication access control server device
Authentication used in the authentication access control system of the present inventionCertificate access control server device(1)Means for receiving the access request when the access request is transferred because the permission of the access request to the content is not set in the gateway device;(2)Means for acquiring information necessary for authentication of the content group to which the access request content belongs only in the case of an initial access request from the user terminal to the content group;(3)Means for performing authentication using the information necessary for the acquired authentication for the content group to which the access request content belongs, and obtaining authentication for the content under the content group possessed by the content server having no authentication function;(4)Means for obtaining authentication by requesting authentication by specifying information necessary for authentication of the content to the content server holding the access request content;(5)Means for setting entry information indicating permission of access request to authenticated content in the gateway device and setting entry information indicating permission of access request to content not requiring authentication in the gateway device as an initial setting When,(6)And a means for invalidating the entry information set in the gateway device when the specified state is reached.
[0024]
ThisRecognitionThe authentication access control method realized by the operation of the certificate access control server device can be specifically realized by a computer program, and this computer program is recorded in an appropriate recording medium such as a semiconductor memory. Can be provided.
[0025]
[ ii ] Configuration of gateway device
The gage used in the authentication access control system of the present invention.Gateway device(1) recognitionMeans for managing entry information indicating that an access request to content set from the certificate access control server device is permitted;(2)Means for transferring the access request to the authentication access control server device when entry information corresponding to the access request to the content issued by the user terminal is not set;(3)When there is an entry information setting instruction from the authentication access control server device in response to the transfer of the access request, the entry information is set in the above management means, and is transferred from the authentication access control server device as an initial setting. Regardless of the entry information setting instruction regardless, means for setting the entry information in the management means,(4)Means for invalidating designated entry information in response to an invalidation instruction from the authentication access control server device;(5)And means for invalidating the entry information when the set entry information is not referred to for a certain period of time.
[0026]
ThisNoThe gateway control method realized by the operation of the gateway device can be specifically realized by a computer program, and this computer program is provided by being recorded on an appropriate recording medium such as a semiconductor memory. be able to.
[0027]
Next, the authentication of the present invention configured in this wayAccess controlAn example of the processing flow of the system will be described.
[0028]
The authentication of the present invention configured as described aboveAccess controlIn the system, when an access request to content that does not require authentication is issued from the user terminal, entry information related to the content (information indicating permission of access request to the content) is initially set in the gateway device. Since it is set, the access request is processed without being transferred to the authentication access control server apparatus.
[0029]
On the other hand, when an access request to a content requiring authentication is issued from the user terminal and entry information related to the content is not set in the gateway device, the access request is authenticated access control. The authentication access control server device determines whether it is the first access request (first access request from the user) to the content group to which the content of the access request belongs. Then, when determining that it is the first access request, information necessary for authentication of the content group (information defined for each user and content group) is acquired from the user terminal.
[0030]
Subsequently, the authentication access control server device performs authentication for the content group to which the access request content belongs using the information necessary for the acquired authentication, and thereby the content held in the content server having no authentication function. Authentication is obtained for the content under the group, and entry information is set in the gateway device.
[0031]
Thereafter, the entry information is set, so that an access request to the content under the content group held in the content server that does not have the authentication function (access request from the user who authenticated the content group) Is not transferred from the gateway device.
[0032]
If the initial access request is an access request to content held in a content server that does not have an authentication function, the authentication access control server device sets the entry information to the gateway device in the initial access request. The entry information setting for the user is finished.
[0033]
On the other hand, when the first access request is an access request to content held in a content server having an authentication function, the authentication access control server device, when authentication for the content group is obtained, In response to the request, the content (information defined for each user and content and held in the authentication access control server device) is specified and the content is specified. By authenticating the server, the content is authenticated, and entry information is set in the gateway device.
[0034]
Thereafter, the entry information is set, so that the access request to the content (access request from the user who has authenticated the content) is not transferred from the gateway device.
[0035]
Then, when an access request for another content under the same content group issued after the first access request is transferred, the authentication for the content group has already been completed, so the content is held. In response to a request from the content server, specify information required for authentication of the content (information defined for each user and content, and held in the authentication access control server device) Authenticate the content by making an authentication request to the content server, and set entry information in the gateway device.
[0036]
Thereafter, the entry information is set, so that the access request to the content (access request from the user who has authenticated the content) is not transferred from the gateway device.
[0037]
By setting the entry information in the gateway device in this way, the access request is not transferred to the authentication access control server device, but the connection relationship between the user terminal and the content server is left as it is. This is not desirable for security.
[0038]
Therefore, (1) the authentication access control server device transmits the program to the user terminal in association with the authenticated content group, and when there is no response from the program for a certain period of time, the authentication access control server device All the entry information for the contents under the content group related to the user terminal is invalidated, or (2) the program is transmitted to the user terminal in association with the authenticated content group. When the authentication invalidation instruction is issued from the user terminal, all entry information regarding the contents under the content group related to the user terminal set in the gateway device is invalidated, or (3) the user terminal A certain amount of time has passed since the authentication for the content group authenticated in response to When, processed to invalidate all entry information of the content under the content group according to the user terminal set in the gateway device.
[0039]
Here, in order to execute the invalidation processing, the authentication access control server device performs processing so as to record what entry information is set in the gateway device.
[0040]
On the other hand, the gateway device manages entry information indicating that the access request to the content set from the authentication access control server device is permitted, and the entry information corresponding to the access request to the content issued by the user terminal is When not configured, the entry request is invalidated in response to the invalidation instruction from the authentication access control server device when the access request is transferred to the authentication access control server device. When the entered entry information is not referred to for a certain period of time, the entry information is processed to be invalidated.
[0041]
As described above, the present invention cuts out the gateway function from the conventional reverse proxy type authentication access control server device and includes not only information for identifying the destination content server such as address and port in the communication permission entry set in the gateway device. , Adding information identifying content on the content server, allowing only access requests that are allowed to pass through the gateway device for both information identifying the content server and information identifying the content, and other access The request is transferred to the authentication access control server.
[0042]
According to the present invention, according to the present invention, it is possible to determine whether or not a gateway device can pass through a content unit in a content server, not in a content server as an access destination. When there are multiple content groups that require different authentication in the content group, when single sign-on succeeds for one content group, other content groups that require different authentication can be directly accessed. It is possible to prevent the occurrence of an inconvenient state such as that.
[0043]
For content that does not require authentication at the time of access on the content server, a pass permission entry can be set in the gateway device in advance before an access request from the user. The load can be reduced.
[0044]
Then, in direct communication not via the authentication access control server device, a terminal confirmation program is transmitted to the user terminal for monitoring, and the end of communication is detected and the communication permission entry of the gateway device is deleted (invalidated). By doing so, it is possible to prevent an unauthenticated access request from reaching the server directly as in the conventional agent module type without modifying the server.
[0045]
Next, the structural features of the present invention will be summarized.
[0046]
(1) In the present invention, in authentication at the time of access to one or a plurality of servers from a user terminal connected to a connectionless communication network, comprising an authentication access control server device and a gateway device, (1) each server The content group for which the user has access authority is managed for each user. (2) The access request to the content group for which the user has access authority is accepted by the authentication access control server device as a proxy. 3 ▼ Requests the user to input information necessary for authentication only when accessing the content group for which the user has access authority for the first time after the authentication has expired. It is unnecessary for the user to input information necessary for authentication for every content that belongs, and if it succeeds in authentication, it is placed in the communication network. Controls gateway device that, with respect to the content from the user terminal, characterized in that makes it possible to directly access without going through the authentication access control server.
[0047]
(2) As a function of the gateway device, (1) before the user succeeds in authentication, security is ensured by not permitting access to the content from the user terminal, and (2) authentication is required at the time of access. The access request addressed to the content and not allowed to pass is transferred to the authentication access control server device for authentication.
[0048]
(3) Then, in accessing contents in a server having an authentication function, (1) an access request received on behalf of the authentication access control server device is transferred to the access request destination server as it is and an authentication request from the server (2) Only when the access to the content is the first access after the expiration of the authentication to the content group for which the user has access authority, input of information necessary for the authentication to the user Authentication is performed on the basis of information received from the user and (3) information necessary for authentication at the server is transmitted on behalf of the user, and the user terminal is used at the gateway device in the network. (4) allow other communication in the content group received by the authentication access control server device within the validity period of the authentication. The access request for content is transferred as it is to the server that holds the content, and in response to the authentication request from the server, information necessary for authentication of access to the content is transmitted on behalf of the user. The gateway device in the network permits direct communication from the user terminal to the content.
[0049]
(4) When accessing content in a server having an authentication function, (1) the access request for the first time after the authentication has expired for the content group to which the user has access authority is accepted by the authentication access control server device as a proxy. In this case, the user is requested to input information necessary for authentication, (2) after successful authentication, the access request is transferred to the server, and (3) the user receives the authentication request from the server on behalf of the user. Information necessary for authentication at the time of access to the content is transmitted, and the gateway device in the network permits direct communication from the user terminal to the content. (4) Authentication access control within the valid period of authentication Access requests for other content in the content group received by the server device are directly transferred to the server that owns the content. (5) In response to an authentication request from the server, information necessary for authentication of access to the content is transmitted on behalf of the user, and the gateway device in the network transfers the information from the user terminal to the content. It is characterized by permitting direct communication.
[0050]
(5) When accessing content in a server that does not have an authentication function, (1) the authentication access control server device acts as a proxy for the first access request for the content group for which the user has access authority. Accept (2) Request the user to input information necessary for authentication, and after successful authentication, the gateway device in the communication network directly accesses all contents belonging to the content group from the user terminal. It is characterized by permitting communication.
[0051]
(6) And, (1) having a program operating on the user terminal, and (2) monitoring the status of the user terminal by periodically communicating between the authentication access control server device and the program. (3) When the communication from the program is lost, the end of the session is detected and authentication of the user is invalidated. (4) The gateway device is configured to accept the access request to the content group as a proxy again. It is characterized by changing the setting.
[0052]
(7) Then, (1) after authentication with the authentication access control server device, a button is transmitted on the browser of the user terminal that has succeeded in authentication to instruct the forced invalidation of authentication, etc. 2) When the user clicks on the button or the like, the authentication access control server device is sent information indicating that the authentication is invalidated. 3) Upon receipt of the information, an access request to the content group is made again. The setting of the gateway device is changed so as to be accepted by a proxy.
[0053]
(8) Then, when the communication permission entry from the user terminal to the access destination content set in the gateway device after authentication by the authentication access control server device is not referenced for a certain period of time, the entry is automatically And (2) invalidating the user authentication by allowing the access request to the content to be transferred again to the authentication access control server device.
[0054]
(9) Then, (1) after authentication at the authentication access control server device, after a certain time has elapsed, the communication permission entry from the user terminal to the content on the server automatically set in the gateway device is deleted. 2) It is characterized in that the authentication of the user is invalidated by transferring the access request to the content to the authentication access control server device again.
[0055]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, the present invention will be described in detail according to embodiments.
[0056]
FIG. 1 illustrates an embodiment of a system configuration for realizing the present invention.
[0057]
As shown in this figure, an authentication
[0058]
When this configuration is adopted, the
[0059]
Here, separate authentication is required for access to the
[0060]
Further, it is assumed that the
[0061]
When this configuration is adopted, the
[0062]
As a result, content that does not require authentication is accessed directly from the
[0063]
As will be described below, the authentication
[0064]
From now on, the authentication
[0065]
Then, as will be described below, the authentication
[0066]
From now on, the authentication
[0067]
As described above, the authentication
[0068]
From now on, the authentication
[0069]
(A) Processing when first accessing the
3 and 4 show processing when the
[0070]
An access request addressed to one of the
[0071]
In response to a content file request from the
[0072]
Since the password is transmitted in response to this transmission request, the authentication
[0073]
Subsequently, the authentication
[0074]
Furthermore, the authentication
[0075]
By setting the gateway entry, the response of the content file request transmitted in
[0076]
Next, when the
[0077]
In response to the content file request from the
[0078]
Subsequently, the authentication
[0079]
The content file request from the
[0080]
Next, when the
[0081]
Furthermore, when the
[0082]
(B) Processing when first accessing the
FIG. 5 and FIG. 6 show processing when the
[0083]
The
[0084]
Thereafter, the authentication
[0085]
When a password is transmitted in response to this transmission request, the authentication
[0086]
When a content file request addressed to the
[0087]
Subsequently, the authentication
[0088]
Furthermore, the authentication
[0089]
By setting the gateway entry, the response of the content file request transmitted in
[0090]
Next, when the
[0091]
In response to the content file request from the
[0092]
Subsequently, the authentication
[0093]
With this gateway entry setting, the content file request response transmitted in
[0094]
Next, when the
[0095]
Furthermore, when the
[0096]
(C) Processing when accessing
FIG. 7 and FIG. 8 show processing when the
[0097]
The
[0098]
Thereafter, the authentication
[0099]
When a password is transmitted in response to this transmission request, the authentication
[0100]
Subsequently, the authentication
[0101]
With the setting of this gateway entry, the content file request from the
[0102]
Next, when the
[0103]
In response to the content file request from the
[0104]
Subsequently, the authentication
[0105]
By setting the gateway entry, the response of the content file request transmitted in
[0106]
Next, when the
[0107]
Furthermore, when the
[0108]
(D) Authentication invalidation processing by user's browser termination
The authentication
[0109]
When there is no response from the Java applet of the
[0110]
As a result, the authentication is invalidated, and the access request addressed to the content belonging to the content group 10 (content group 11) from the
[0111]
(E) Authentication invalidation processing by user logout processing
FIG. 9 shows a browser on the
[0112]
In response to the display of the
[0113]
When the authentication
[0114]
As a result, the authentication is invalidated, and the access request addressed to the content belonging to the content group 10 (content group 11) from the
[0115]
(F) Authentication invalidation processing due to communication timeout
The
[0116]
When there is no communication from the
[0117]
As a result, when entries addressed to all the contents belonging to the content group 10 (content group 11) are deleted, the authentication is invalidated and access from the
[0118]
(G) Invalidation processing for authentication after a certain period of time
The authentication
[0119]
As a result, the authentication is invalidated, and the access request addressed to the content belonging to the content group 10 (content group 11) from the
[0120]
【The invention's effect】
As described above, according to the present invention, in a content authentication access control system that realizes single sign-on to a content server, it is possible to handle a case where there are a plurality of content groups that require different authentication within the same content server. It becomes possible to relax the conditions of the content server that can support single sign-on and to reduce the load on the content authentication access control server. The effect that the possibility of throughput reduction can be suppressed is obtained.
[Brief description of the drawings]
FIG. 1 is an example of a system configuration for realizing the present invention.
FIG. 2 is an explanatory diagram of a table provided in the authentication access control server apparatus.
FIG. 3 is a process flow in the embodiment.
FIG. 4 is a process flow in the embodiment.
FIG. 5 is a process flow in the embodiment.
FIG. 6 is a process flow in the embodiment.
FIG. 7 is a flow of processing in the embodiment.
FIG. 8 is a flow of processing in the embodiment.
FIG. 9 is an explanatory diagram of a browser.
FIG. 10 is an explanatory diagram of reverse proxy type single sign-on.
FIG. 11 is an explanatory diagram of agent module type single sign-on.
FIG. 12 is an explanatory diagram of a prior invention disclosed by the present inventors.
[Explanation of symbols]
1 Authentication access control system
2 Authentication access control server
3 Gateway device
4 users
5 User terminals
6 Content server
7 Content server
8 Content server
9 Content server
10 content groups
11 Content group
12 content
13 content
14 content
15 content
16 content
17 content
18 content
19 content
20 content
21 content
22 content
23 content
Claims (15)
上記認証アクセス制御サーバ装置は、The authentication access control server device
上記ゲートウェイ装置にコンテンツへのアクセス要求の許可が設定されていないことで、該アクセス要求が転送されてくる場合に、それを受け取る手段と、Means for receiving the access request when the access request is transferred because the access request to the content is not set in the gateway device;
アクセス要求コンテンツの属するコンテンツ群の認証に必要な情報を、利用者端末から該コンテンツ群への初回アクセス要求の場合にのみ取得する手段と、Means for acquiring information necessary for authentication of the content group to which the access request content belongs only in the case of an initial access request from the user terminal to the content group;
アクセス要求コンテンツの属するコンテンツ群について、上記認証に必要な情報を使って認証を実行して、認証機能を持たないコンテンツサーバの保有する該コンテンツ群配下のコンテンツについて認証を得る手段と、Means for executing authentication using the information necessary for the authentication for the content group to which the access request content belongs, and obtaining authentication for the content under the content group held by the content server not having the authentication function;
アクセス要求コンテンツを保有するコンテンツサーバに対して、該コンテンツの認証に必要な情報を指定して認証を依頼することで認証を得る手段と、Means for obtaining authentication by requesting authentication by designating information necessary for authentication of the content to the content server holding the access request content;
上記認証を得たコンテンツへのアクセス要求の許可を示すエントリ情報を上記ゲートウェイ装置に設定する手段とを備え、Means for setting entry information indicating permission of an access request to the authenticated content in the gateway device;
上記ゲートウェイ装置は、The gateway device is
上記認証アクセス制御サーバ装置から設定されるコンテンツへのアクセス要求を許可することを示すエントリ情報を管理する手段と、Means for managing entry information indicating that an access request to content set from the authentication access control server device is permitted;
利用者端末の発行するコンテンツへのアクセス要求に対応するエントリ情報が設定されていない場合に、該アクセス要求を上記認証アクセス制御サーバ装置に転送する手段と、Means for transferring the access request to the authentication access control server device when entry information corresponding to the access request to the content issued by the user terminal is not set;
上記転送に応答して、上記認証アクセス制御サーバ装置からエントリ情報の設定指示がある場合に、該エントリ情報を上記管理する手段に設定する手段とを備えることを、In response to the transfer, when there is an entry information setting instruction from the authentication access control server device, the entry information is set in the management means,
特徴とする認証アクセス制御システム。A featured authentication access control system.
上記ゲートウェイ装置の備える上記設定する手段は、初期設定として、上記認証アクセス制御サーバ装置から上記転送に関係なくエントリ情報の設定指示がある場合に、該エントリ情報を設定することを、The setting means included in the gateway device sets the entry information as an initial setting when there is an entry information setting instruction from the authentication access control server device regardless of the transfer.
特徴とする認証アクセス制御システム。A featured authentication access control system.
上記ゲートウェイ装置は、さらに、上記認証アクセス制御サーバ装置からの無効化指示に応答して、指定される設定エントリ情報を無効化する手段を備えることを、The gateway device further includes means for invalidating designated setting entry information in response to an invalidation instruction from the authentication access control server device.
特徴とする認証アクセス制御システム。A featured authentication access control system.
上記ゲートウェイ装置は、さらに、設定したエントリ情報が一定時間参照されない場合に、該エントリ情報を無効化する手段を備えることを、The gateway device further comprises means for invalidating the entry information when the set entry information is not referenced for a certain period of time.
特徴とする認証アクセス制御システム。A featured authentication access control system.
上記ゲートウェイ装置にコンテンツへのアクセス要求の許可が設定されていないことで、該アクセス要求が転送されてくる場合に、それを受け取る手段と、
アクセス要求コンテンツの属するコンテンツ群の認証に必要な情報を、利用者端末から該コンテンツ群への初回アクセス要求の場合にのみ取得する手段と、
アクセス要求コンテンツの属するコンテンツ群について、上記認証に必要な情報を使って認証を実行して、認証機能を持たないコンテンツサーバの保有する該コンテンツ群配下のコンテンツについて認証を得る手段と、
アクセス要求コンテンツを保有するコンテンツサーバに対して、該コンテンツの認証に必要な情報を指定して認証を依頼することで認証を得る手段と、
上記認証を得たコンテンツへのアクセス要求の許可を示すエントリ情報を上記ゲートウェイ装置に設定する手段とを備えることを、
特徴とする認証アクセス制御サーバ装置。An authentication access control server device configured by an authentication access control server device and a gateway device and used in a system for authenticating an access request to content issued from a user terminal,
Means for receiving the access request when the access request is transferred because the access request to the content is not set in the gateway device;
Means for acquiring information necessary for authentication of the content group to which the access request content belongs only in the case of an initial access request from the user terminal to the content group;
Means for executing authentication using the information necessary for the authentication for the content group to which the access request content belongs, and obtaining authentication for the content under the content group held by the content server not having the authentication function;
Means for obtaining authentication by requesting authentication by designating information necessary for authentication of the content to the content server holding the access request content;
Means for setting entry information indicating permission of an access request to the authenticated content in the gateway device;
A featured authentication access control server device.
上記設定する手段は、初期設定として、認証を必要としないコンテンツへのアクセス要求の許可を示すエントリ情報を上記ゲートウェイ装置に設定することを、
特徴とする認証アクセス制御サーバ装置。The authentication access control server device according to claim 5 ,
The setting means sets, as an initial setting, entry information indicating permission of an access request to content that does not require authentication in the gateway device.
A featured authentication access control server device.
規定の状態になる場合に、上記ゲートウェイ装置に設定したエントリ情報を無効化する手段を備えることを、
特徴とする認証アクセス制御サーバ装置。The authentication access control server device according to claim 5 ,
Comprising means for invalidating the entry information set in the gateway device in a specified state;
A featured authentication access control server device.
上記無効化する手段は、認証したコンテンツ群に対応付けて利用者端末に送信したプログラムからの応答が一定時間なくなる場合に、上記ゲートウェイ装置に設定した該利用者端末にかかる該コンテンツ群配下のコンテンツについての全てのエントリ情報を無効化することを、
特徴とする認証アクセス制御サーバ装置。The authentication access control server device according to claim 7 ,
The means for invalidating the content subordinate to the content group related to the user terminal set in the gateway device when there is no response from the program transmitted to the user terminal in association with the authenticated content group for a certain period of time. To invalidate all entry information about
A featured authentication access control server device.
上記無効化する手段は、認証したコンテンツ群に対応付けて利用者端末に送信したプログラムから認証の無効化指示が発行される場合に、上記ゲートウェイ装置に設定した該利用者端末にかかる該コンテンツ群配下のコンテンツについての全てのエントリ情報を無効化することを、
特徴とする認証アクセス制御サーバ装置。The authentication access control server device according to claim 7 ,
The means for invalidating the content group related to the user terminal set in the gateway device when an authentication invalidation instruction is issued from a program transmitted to the user terminal in association with the authenticated content group To invalidate all entry information for subordinate content,
A featured authentication access control server device.
上記無効化する手段は、利用者端末からのアクセス要求に応答して認証したコンテンツ群についての認証から一定時間経過する場合に、上記ゲートウェイ装置に設定した該利用者端末にかかる該コンテンツ群配下のコンテンツについての全てのエントリ情報を無効化することを、
特徴とする認証アクセス制御サーバ装置。The authentication access control server device according to claim 7 ,
The means for invalidating the content group under the content group related to the user terminal set in the gateway device when a predetermined time elapses after the authentication of the content group authenticated in response to the access request from the user terminal. Disabling all entry information about the content,
A featured authentication access control server device.
上記ゲートウェイ装置にコンテンツへのアクセス要求の許可が設定されていないことで、該アクセス要求が転送されてくる場合に、それを受け取る過程と、
アクセス要求コンテンツの属するコンテンツ群の認証に必要な情報を、利用者端末から該コンテンツ群への初回アクセス要求の場合にのみ取得する過程と、
アクセス要求コンテンツの属するコンテンツ群について、上記認証に必要な情報を使って認証を実行して、認証機能を持たないコンテンツサーバの保有する該コンテンツ群配下のコンテンツについて認証を得る過程と、
アクセス要求コンテンツを保有するコンテンツサーバに対して、該コンテンツの認証に必要な情報を指定して認証を依頼することで認証を得る過程と、
上記認証を得たコンテンツへのアクセス要求の許可を示すエントリ情報を上記ゲートウェイ装置に設定する過程とを備えることを、
特徴とする認証アクセス制御方法。An authentication access control method configured to include an authentication access control server device and a gateway device, and executed by an authentication access control server device used in a system for authenticating an access request to content issued from a user terminal,
When the access request is transferred because the access request to the content is not set in the gateway device, a process of receiving the request,
A process of acquiring information necessary for authentication of a content group to which the access request content belongs, only in the case of an initial access request from the user terminal to the content group,
A process of performing authentication using the information necessary for the authentication for the content group to which the access request content belongs, and obtaining authentication for the content under the content group held by the content server having no authentication function;
A process of obtaining authentication by requesting authentication by designating information necessary for authenticating the content to a content server holding the access request content;
A step of setting entry information indicating permission of an access request to the authenticated content in the gateway device.
A featured authentication access control method.
上記設定する過程では、初期設定として、認証を必要としないコンテンツへのアクセス要求の許可を示すエントリ情報を上記ゲートウェイ装置に設定することを、
特徴とする認証アクセス制御方法。The authentication access control method according to claim 11, wherein
In the setting process, as an initial setting, setting entry information indicating permission of an access request to content that does not require authentication to the gateway device,
A featured authentication access control method.
規定の状態になる場合に、上記ゲートウェイ装置に設定したエントリ情報を無効化する過程を備えることを、
特徴とする認証アクセス制御方法。The authentication access control method according to claim 11, wherein
Including a process of invalidating the entry information set in the gateway device in the case of a specified state;
A featured authentication access control method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002071277A JP3766338B2 (en) | 2002-03-15 | 2002-03-15 | Authentication access control system, authentication access control server apparatus, authentication access control method, authentication access control program, and recording medium recording the program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002071277A JP3766338B2 (en) | 2002-03-15 | 2002-03-15 | Authentication access control system, authentication access control server apparatus, authentication access control method, authentication access control program, and recording medium recording the program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003273868A JP2003273868A (en) | 2003-09-26 |
| JP3766338B2 true JP3766338B2 (en) | 2006-04-12 |
Family
ID=29201600
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002071277A Expired - Fee Related JP3766338B2 (en) | 2002-03-15 | 2002-03-15 | Authentication access control system, authentication access control server apparatus, authentication access control method, authentication access control program, and recording medium recording the program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3766338B2 (en) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4589200B2 (en) * | 2005-08-23 | 2010-12-01 | 日本電信電話株式会社 | Authentication method, authentication cooperation device, program thereof, and program recording medium in broadcast communication cooperation service |
| JP2007094493A (en) * | 2005-09-27 | 2007-04-12 | Matsushita Electric Works Ltd | Access control system and method |
| JP2007206850A (en) * | 2006-01-31 | 2007-08-16 | Casio Comput Co Ltd | Login management device and program |
| JP2007293811A (en) * | 2006-03-31 | 2007-11-08 | Nippon Telegr & Teleph Corp <Ntt> | Proxy authentication system and method and authentication apparatus using therewith |
| JP2008117179A (en) * | 2006-11-06 | 2008-05-22 | Superindex Inc | Information distribution method, information distribution system, information distribution server, terminal unit, and computer program |
| US20090164568A1 (en) * | 2007-12-20 | 2009-06-25 | Electronics And Telecommunications Research Institute | Method for integrating management of posted articles and terminal for the same |
| JP5485246B2 (en) | 2011-11-05 | 2014-05-07 | 京セラドキュメントソリューションズ株式会社 | Image forming apparatus |
| JP6121964B2 (en) * | 2014-09-29 | 2017-04-26 | 株式会社シーイーシー | Access restriction method, distribution system, and reverse proxy server |
| CN107809496B (en) * | 2016-09-09 | 2020-05-12 | 新华三技术有限公司 | Network access control method and device |
-
2002
- 2002-03-15 JP JP2002071277A patent/JP3766338B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003273868A (en) | 2003-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8319984B2 (en) | Image forming system, apparatus, and method executing a process designated by a service request after token validation | |
| US8887233B2 (en) | Cookie-based acceleration of an authentication protocol | |
| JP5357246B2 (en) | System, method and program product for integrated authentication | |
| US7793342B1 (en) | Single sign-on with basic authentication for a transparent proxy | |
| US7356833B2 (en) | Systems and methods for authenticating a user to a web server | |
| TWI400922B (en) | Authentication of a principal in a federation | |
| US8640202B2 (en) | Synchronizing user sessions in a session environment having multiple web services | |
| JP3588323B2 (en) | User-specific data redirection system and method for performing user-specific data redirection | |
| US20110231555A1 (en) | Brokering state information and identity among user agents, origin servers, and proxies | |
| EP1830512B1 (en) | A method and system for realizing the domain authentication and network authority authentication | |
| AU2001280975A1 (en) | Systems and methods for authenticating a user to a web server | |
| JP2007200316A (en) | Method for establishing secured communication link through computer network among network communication system, network server and client device | |
| JP2005516533A (en) | Single sign-on on the Internet using public key cryptography | |
| WO2013002886A1 (en) | Network identity for software-as-a-service authentication | |
| JP3863441B2 (en) | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program | |
| WO2009129753A1 (en) | A method and apparatus for enhancing the security of the network identity authentication | |
| JP3766338B2 (en) | Authentication access control system, authentication access control server apparatus, authentication access control method, authentication access control program, and recording medium recording the program | |
| WO2012017561A1 (en) | Mediation processing method, mediation device, and system | |
| JP4390429B2 (en) | Single sign-on system, program thereof and method thereof | |
| JP4149745B2 (en) | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program | |
| JP3953963B2 (en) | Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system | |
| JP2007272689A (en) | Online storage authentication system, online storage authentication method, and online storage authentication program | |
| KR100496355B1 (en) | Distributed syndicate service system of Multimedia contents | |
| JP2001056795A (en) | Access authentication processor, network provided with the processor, storage medium therefor and access authentication processing method | |
| JP2005346571A (en) | Authentication system and authentication method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040317 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051014 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051025 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051221 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20051221 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060124 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060126 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: R3D02 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090203 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100203 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110203 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110203 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120203 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |