JP3863441B2 - 認証アクセス制御サーバ装置、認証アクセス制御方法、認証アクセス制御プログラム及びそのプログラムを記録したコンピュータ読み取り可能な記録媒体 - Google Patents
認証アクセス制御サーバ装置、認証アクセス制御方法、認証アクセス制御プログラム及びそのプログラムを記録したコンピュータ読み取り可能な記録媒体 Download PDFInfo
- Publication number
- JP3863441B2 JP3863441B2 JP2002037586A JP2002037586A JP3863441B2 JP 3863441 B2 JP3863441 B2 JP 3863441B2 JP 2002037586 A JP2002037586 A JP 2002037586A JP 2002037586 A JP2002037586 A JP 2002037586A JP 3863441 B2 JP3863441 B2 JP 3863441B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- access
- server
- access control
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
【発明の属する技術分野】
本発明は、認証アクセス制御サーバ装置とゲートウェイ装置とで構成されて、通信網に接続された利用者端末から発行されるサーバ群へのアクセス要求を認証するシステムで用いられる認証アクセス制御サーバ装置と、その認証アクセス制御サーバ装置で実行される認証アクセス制御方法と、その認証アクセス制御方法の実現に用いられる認証アクセス制御プログラム及びそのプログラムを記録したコンピュータ読み取り可能な記録媒体とに関する。
【0002】
特定の利用者にのみアクセスを許可したいサーバは、アクセス時に、利用者に認証を求める必要がある。利用者が複数のサーバへのアクセス権限を有している場合、サーバ毎に認証を行なうのでなく、一括して認証ができることがセキュリティ及び利便性の面から望ましい。
【0003】
本発明は、一つまたは複数のサーバへのアクセス権限を有している利用者に対して、認証を一括して行なう認証アクセス制御システムに関するものである。
【0004】
【従来の技術】
一度の認証で複数のサーバ(以下では特にコンテンツサーバ)へのアクセスを可能にする(以下、シングルサインオンと表記)方法として、網内に認証アクセス制御サーバを設置する方法が知られており、その処理形態によって、「リバース・プロキシ型」と、「エージェント・モジュール型」とに分類される。
【0005】
リバース・プロキシ型のシングルサインオンは、図9に示すように、認証アクセス制御サーバを利用者端末とコンテンツサーバとの間に設置することで実現する。
【0006】
このリバース・プロキシ型のシングルサインオンでは、コンテンツサーバへのアクセス要求は全て認証アクセス制御サーバを中継して送信され、認証アクセス制御サーバは、中継時に、内部に持つユーザ毎のアクセスリストを参照してアクセス制御を行なう。
【0007】
一方、エージェント・モジュール型のシングルサインオンは、図10に示すように、網内に設置される認証アクセス制御サーバと、コンテンツサーバに組み込むエージェント・モジュールとによって実現する。
【0008】
このエージェント・モジュール型のシングルサインオンでは、利用者は、まず認証アクセス制御サーバにログインする。認証に成功すると、認証アクセス制御サーバは、当該利用者がアクセス可能なコンテンツサーバのリストをクッキーに埋め込んで利用者端末に送信する。
【0009】
その後、利用者がコンテンツサーバにアクセスした時、コンテンツサーバ内のエージェント・モジュールがクッキー内の情報をもとにアクセスの可否を決定する。コンテンツサーバに対して、認証アクセス制御サーバで認証されていない利用者端末からのアクセスがあった場合は、当該コンテンツサーバ内のエージェント・モジュールがアクセス要求を認証アクセス制御サーバに転送して、認証を行なわせる。
【0010】
【発明が解決しようとする課題】
リバース・プロキシ型では、コンテンツサーバには手を加えずにシングルサインオンが可能であることから、コンテンツサーバの種別によらずシングルサインオンを行なうことができる。
【0011】
しかしながら、全てのアクセス要求を中継することから、セキュリティ強度は強い反面、認証アクセス制御サーバへアクセスが集中することにより、多数のコンテンツサーバが分散配置されているような大規模環境では、特に、サーバ処理性能や網リソースの限界に起因するスループット低下が発生する可能性があった。
【0012】
一方、エージェント・モジュール型では、認証アクセス制御サーバを経由するのは未認証のアクセス要求のみであるため、リバース・プロキシ型の場合のようなスループットの低下が発生する可能性は低い。
【0013】
しかしながら、未認証パケットが直接コンテンツサーバに届くことから、リバース・プロキシ型に比べてセキュリティ強度がやや弱く、各コンテンツサーバ内に専用のエージェント・モジュールを組み込む必要があることから、対応可能なコンテンツサーバが限定される可能性があった。
【0014】
本発明は、シングルサインオンにおいて、上述したリバース・プロキシ型とエージェント・モジュール型が有する欠点を解決するためになされたものであり、リバース・プロキシ型のもつ、エージェント・モジュール型にない利点を継承しつつ、認証アクセス制御サーバへの負荷の集中を回避することで、セキュリティ強度が強く、かつ、コンテンツサーバの種別に依存せず、さらに、スループットの低下が発生しにくい通信システムを実現することをその目的とする。
【0015】
【課題を解決するための手段】
この目的を達成するために、本発明の認証アクセス制御サーバ装置は、認証アクセス制御サーバ装置とゲートウェイ装置とで構成されて、認証機能を持つサーバと認証機能を持たないサーバとで構成されるサーバ群に含まれるいずれかのサーバをアクセス要求先として、利用者端末から発行されるサーバへのアクセス要求を認証するシステムで用いられるときにあって、(1)ゲートウェイ装置にサーバへのアクセス要求の許可を示すエントリ情報が設定されていないことで、当該アクセス要求がゲートウェイ装置から転送されてくる場合に、そのアクセス要求を受け取るアクセス要求受取手段と、(2)アクセス要求受取手段で受け取ったアクセス要求が、アクセス要求元の利用者端末からの初回のアクセス要求の場合にのみ、シングルサインオン用のパスワードを用いて当該利用者端末と端末アクセス認証を行う端末アクセス認証手段と、(3)端末アクセス認証手段にて端末アクセス認証が成功した場合に、アクセス要求元の利用者端末からの、サーバ群に含まれる認証機能を持たない全てのサーバへのアクセス許可を示すエントリ情報をゲートウェイ装置に設定する第1のアクセス設定手段と、(4)アクセス要求受取手段で受け取ったアクセス要求が、アクセス要求元の利用者端末からの認証機能を持ついずれかのサーバへの当該サーバへの最初のアクセス要求である場合に、あらかじめ保持している当該利用者の当該サーバ用のパスワードを用いて当該サーバとサーバアクセス認証を行うサーバアクセス認証手段と、(5)端末アクセス認証手段にて端末アクセス認証が成功し、かつサーバアクセス認証手段にてサーバアクセス認証が成功した場合に、アクセス要求元の利用者端末からの、サーバアクセス認証が成功したサーバへのアクセス許可を示すエントリ情報をゲートウェイ装置に設定する第2のアクセス設定手段と、(6)規定の状態になる場合に、ゲートウェイ装置に設定したエントリ情報を無効化する無効化手段とを備えるように構成する。
ここで、無効化手段は、利用者端末に送信したプログラムからの応答が一定時間なくなる場合に、ゲートウェイ装置に設定した当該利用者端末にかかる全てのエントリ情報を無効化することがある。
【0016】
この本発明の認証アクセス制御サーバ装置が動作することで実現される認証アクセス制御方法については、具体的にはコンピュータプログラムで実現できるものであり、このコンピュータプログラムは適当な記録媒体に記録して提供することができる。
【0017】
一方、この目的を達成するために、本発明に関連する技術で構成されるゲートウェイ装置は、認証アクセス制御サーバ装置とゲートウェイ装置とで構成されて、利用者端末から発行されるサーバへのアクセス要求を認証するシステムで用いられるときにあって、(1)認証アクセス制御サーバ装置から設定されるサーバへのアクセス要求を許可することを示すエントリ情報を管理する手段と、(2)利用者端末の発行するサーバへのアクセス要求に対応するエントリ情報が設定されていない場合に、そのアクセス要求を認証アクセス制御サーバ装置に転送する手段と、(3)アクセス要求の転送に応答して、認証アクセス制御サーバ装置からエントリ情報の設定指示がある場合に、そのエントリ情報を上記管理手段に設定する手段と、(4)認証アクセス制御サーバ装置からの無効化指示に応答して、指定される設定エントリ情報を無効化する手段と、(5)設定したエントリ情報が一定時間参照されない場合に、そのエントリ情報を無効化する手段とを備えるように構成する。
【0018】
この本発明に関連する技術で構成されるゲートウェイ装置が動作することで実現されるゲートウェイ制御方法については、具体的にはコンピュータプログラムで実現できるものであり、このコンピュータプログラムは適当な記録媒体に記録して提供することができる。
【0019】
次に、このように構成される本発明の認証システムの処理の流れの一例について説明する。
【0020】
このように構成される本発明の認証システムでは、利用者端末からサーバへ最初のアクセス要求が発行されると、そのサーバにかかるエントリ情報(そのサーバへのアクセス要求の許可を示す情報)がゲートウェイ装置に設定されていないので、そのアクセス要求が認証アクセス制御サーバ装置に転送され、これを受けて、認証アクセス制御サーバ装置は、その利用者端末からサーバ群の認証に必要な情報を取得する。
【0021】
続いて、認証アクセス制御サーバ装置は、この取得した認証に必要な情報を使ってサーバ群について認証を実行し、これにより、認証機能を持たない全てのサーバについて認証を得て、ゲートウェイ装置に対して、それらのサーバへのアクセス要求の許可を示す全てのエントリ情報を設定する。
これ以降、エントリ情報が設定されていることで、認証機能を持たないサーバへのアクセス要求(サーバ群についての認証を行った利用者からのアクセス要求)については、ゲートウェイ装置から転送されてくることはなくなる。
認証アクセス制御サーバ装置は、この初回のアクセス要求が認証機能を持たないサーバへのアクセス要求である場合には、このエントリ情報の設定により、この初回アクセス要求におけるゲートウェイ装置に対してのエントリ情報の設定を終了する。
【0022】
一方、認証アクセス制御サーバ装置は、この初回のアクセス要求が認証機能を持つサーバへのアクセス要求である場合には、サーバ群についての認証が得られると、そのサーバからの要求に応答して、そのサーバの認証に必要な情報(認証アクセス制御サーバ装置の内部で保持している)を指定して、そのサーバに対して認証依頼を行うことでそのサーバについて認証を得て、ゲートウェイ装置にエントリ情報を設定する。
これ以降、エントリ情報が設定されていることで、その認証機能を持つサーバへのアクセス要求(サーバについての認証を行った利用者からのアクセス要求)については、ゲートウェイ装置から転送されてくることはなくなる。
【0023】
そして、認証アクセス制御サーバ装置は、初回のアクセス要求の後に発行されるアクセス要求に従って、認証機能を持つ別のサーバへのアクセス要求が転送されてくる場合には、サーバ群についての認証は既に終了しているので、そのサーバからの要求に応答して、そのサーバの認証に必要な情報(認証アクセス制御サーバ装置の内部で保持している)を指定して、そのサーバに対して認証依頼を行うことでそのサーバについて認証を得て、ゲートウェイ装置にエントリ情報を設定する。
これ以降、エントリ情報が設定されていることで、その認証機能を持つサーバへのアクセス要求(サーバについての認証を行った利用者からのアクセス要求)については、ゲートウェイ装置から転送されてくることはなくなる。
【0024】
このような形でゲートウェイ装置にエントリ情報を設定していくことで、アクセス要求が認証アクセス制御サーバ装置に転送されなくなってくるが、利用者端末とサーバとの接続関係をそのまま放置しておくことはセキュリティ上好ましいことではない。
【0025】
そこで、認証アクセス制御サーバ装置は、▲1▼利用者端末にプログラムを送信するようにして、そのプログラムからの応答が一定時間なくなる場合に、ゲートウェイ装置に設定したその利用者端末にかかる全てのエントリ情報を無効化するようにしたり、▲2▼利用者端末にプログラムを送信するようにして、そのプログラムから認証の無効化指示が発行される場合に、ゲートウェイ装置に設定したその利用者端末にかかる全てのエントリ情報を無効化するようにしたり、▲3▼利用者端末からのアクセス要求に応答して設定したエントリ情報についての認証(認証してエントリ情報を設定する)から一定時間経過する場合に、ゲートウェイ装置に設定したその利用者端末にかかる全てのエントリ情報を無効化するように処理する。
【0026】
一方、ゲートウェイ装置は、認証アクセス制御サーバ装置から設定されるサーバへのアクセス要求を許可することを示すエントリ情報を管理して、利用者端末の発行するサーバへのアクセス要求に対応するエントリ情報が設定されていない場合に、そのアクセス要求を認証アクセス制御サーバ装置に転送していく構成を採るときに、認証アクセス制御サーバ装置からの無効化指示に応答してエントリ情報を無効化するとともに、設定したエントリ情報が一定時間参照されない場合に、そのエントリ情報を無効化するように処理する。
【0027】
このように、本発明は、従来のリバース・プロキシ型の認証アクセス制御サーバ装置からゲートウェイ機能を切り出し、IPアドレスとポート番号等に基づくパケットフィルタリングのハードウェア処理が可能な専用のゲートウェイ装置と認証アクセス制御サーバ装置とに分離し、ゲートウェイ装置の通過を許可するエントリが設定されていないアクセス要求のみ認証アクセス制御サーバ装置に転送することを特徴とする。
【0028】
そして、利用者端末とサーバとが直接通信することから引き起こされる、未認証のアクセス要求がサーバへ到達するのを防ぐために、端末確認用のプログラムを利用者端末に送信して監視を行い、通信の終了を検知して認証を無効化し、ゲートウェイ装置の通信許可エントリを削除(無効化)することを特徴とする。
【0029】
このように、本発明によれば、ゲートウェイ装置の通過を許可するエントリが設定されていないアクセス要求のみ認証アクセス制御サーバ装置に転送させることにより、従来のリバース・プロキシ型の課題であった、認証アクセス制御サーバ装置への負荷の集中を回避することが可能となる。
【0030】
そして、認証アクセス制御サーバ装置を経由しない直接通信において、端末確認用のプログラムを利用者端末に送信して監視を行い、通信の終了を検知してゲートウェイ装置の通信許可エントリを削除(無効化)することによって、サーバに手を加えることなく、従来のエージェント・モジュール型のように未認証のアクセス要求が直接サーバに到達してしまうことを防止することが可能となる。
【0031】
次に、本発明の構成上の特徴についてまとめる。
【0032】
(1)本発明では、認証アクセス制御サーバ装置とゲートウェイ装置で構成され、コネクションレス通信網に接続された利用者端末から複数のサーバへのアクセス時の認証において、▲1▼利用者がアクセス権限を持つサーバ群を利用者ごとに管理し、▲2▼利用者がアクセス権限を持つサーバ群へのアクセス要求を認証アクセス制御サーバ装置にて代理で受け付け、▲3▼利用者がアクセス権限を持つサーバ群への認証失効後の初めてのアクセス時のみ、利用者に対して認証に必要な情報の投入を要求し、▲4▼認証の有効期間内は、当該サーバ群に属する全てのサーバについて利用者が認証に必要な情報をアクセスの都度投入することを不要にし、▲5▼認証に成功した場合、通信網内に配置するゲートウェイ装置を制御して、利用者端末とサーバとの間で直接通信することを可能とすることを特徴とする。
【0033】
(2)そして、ゲートウェイ装置の機能として、▲1▼利用者の認証に成功するまでは、利用者端末とサーバとの間の通信を許可しないことでセキュリティを確保し、▲2▼サーバ宛てで、かつ、通過を許可されていないアクセス要求については、認証アクセス制御サーバ装置に転送して認証を求めることを特徴とする。
【0034】
(3)そして、認証機能を有するサーバへのアクセスにおいて、▲1▼認証アクセス制御サーバ装置が代理で受け付けたアクセス要求を、そのままアクセス要求先のサーバに転送して当該サーバからの認証要求を受信し、▲2▼そのサーバへのアクセスが、当該利用者がアクセス権限を持つサーバ群への認証失効後初めてのアクセスである場合のみ、当該利用者に対して認証に必要な情報の投入を要求して、利用者から受信した情報に基づいて認証を行ない、▲3▼当該サーバでの認証に必要な情報を利用者に代わって送信するとともに、網内のゲートウェイ装置にて、その利用者端末と当該サーバとの間の直接通信を許可し、▲4▼認証の有効期間内に認証アクセス制御サーバ装置で受け付けた、サーバ群内の他のサーバ向けのアクセス要求についてはそのままサーバに転送し、▲5▼サーバからの認証要求に対して、当該サーバでの認証に必要な情報を利用者に代わって送信するとともに、網内のゲートウェイ装置にて、その利用者端末とサーバとの間の直接通信を許可することを特徴とする。
【0035】
(4)そして、認証機能を有するサーバへのアクセスにおいて、▲1▼利用者がアクセス権限を持つサーバ群に対する認証失効後の初めてのアクセス要求を、認証アクセス制御サーバにて代理で受け付けた場合、当該利用者に対して認証に必要な情報の投入を要求し、▲2▼認証成功後にサーバにアクセス要求を転送し、▲3▼サーバからの認証要求に対して、利用者に代わって当該サーバでの認証に必要な情報を送信するとともに、網内のゲートウェイ装置にて、その利用者端末とサーバとの間の直接通信を許可し、▲4▼認証の有効期間内に認証アクセス制御サーバ装置で受け付けた、サーバ群内の他のサーバ向けのアクセス要求についてはそのままサーバに転送し、▲5▼サーバからの認証要求に対して、当該サーバでの認証に必要な情報を利用者に代わって送信するとともに、網内のゲートウェイ装置にて、その利用者端末とサーバとの間の直接通信を許可することを特徴とする。
【0036】
(5)そして、認証機能を有さないサーバへのアクセスにおいて、▲1▼利用者がアクセス権限を持つサーバ群に対する認証失効後の初めてのアクセス要求を認証アクセス制御サーバ装置にて代理で受け付け、▲2▼当該利用者に対して認証に必要な情報の投入を要求し、▲3▼認証成功後に、通信網内のゲートウェイ装置にて、その利用者端末とサーバ群に属する全てのサーバとの間の直接通信を許可することを特徴とする。
【0037】
(6)そして、▲1▼利用者端末上で動作するプログラムを有し、▲2▼定期的に認証アクセス制御サーバ装置と当該プログラムとの間で通信を行うことで利用者端末の状態を監視し、▲3▼当該プログラムからの通信が無くなったことでセッションの終了を検知して当該利用者の認証を無効にし、▲4▼再びサーバ群へのアクセス要求を代理で受け付けるようにゲートウェイ装置の設定を変更することを特徴とする。
【0038】
(7)そして、▲1▼認証アクセス制御サーバ装置での認証後、認証に成功した利用者端末のブラウザにプログラムを送信して、認証の強制失効を指示するボタン等をブラウザ上に表示し、▲2▼利用者がそのボタン等をクリックすることを契機にして、認証アクセス制御サーバ装置に対して認証の無効化を示す情報を送信させ、▲3▼その情報の受信をもって、再びサーバ群へのアクセス要求を代理で受け付けるようにゲートウェイ装置の設定を変更することを特徴とする。
【0039】
(8)そして、▲1▼認証アクセス制御サーバ装置での認証後にゲートウェイ装置に設定した、利用者端末とサーバとの間の通信許可エントリが一定時間参照されなかった場合に、当該エントリを自動的に削除(無効化)し、再びサーバへのアクセス要求が認証アクセス制御サーバ装置に転送されるようにすることで当該利用者の認証を無効にすることを特徴とする。
【0040】
(9)そして、▲1▼認証アクセス制御サーバ装置での認証後、一定時間経過した後に自動的にゲートウェイ装置に設定した、利用者端末とサーバとの間の通信許可エントリを削除(無効化)し、再びサーバへのアクセス要求が認証アクセス制御サーバ装置に転送されるようにすることで当該利用者の認証を無効にすることを特徴とする。
【0041】
【発明の実施の形態】
以下、実施の形態に従って本発明を詳細に説明する。
【0042】
図1に、本発明を実現するシステム構成の一実施形態例を図示する。
【0043】
この図に示すように、本発明を実現する認証アクセス制御システム1は、認証アクセス制御サーバ2及びゲートウェイ装置3から構成されており、ゲートウェイ装置3は、IPアドレス、ポート番号に基づく高速なパケットフィルタリング機能を有している。
【0044】
この構成を採るときに、利用者4が、認証アクセス制御システム1を介して、利用者端末5からアクセス権限を持つコンテンツサーバ群6に属するコンテンツサーバ7〜12にアクセスするものとする。
【0045】
ここで、コンテンツサーバ群6は、認証機能を有するコンテンツサーバ7〜9と、認証機能を有さないコンテンツサーバ10〜12とから構成されるものとする。
【0046】
(A)認証機能を有するコンテンツサーバ7〜9に最初にアクセスする場合の処理(先に中継するパターン)
図2及び図3に、このときにおける処理の流れを示す。
【0047】
利用者4が、コンテンツサーバ群6に対して、未認証の状態で、利用者端末5からコンテンツサーバ7〜9のいずれか宛てのアクセス要求のパケットを送信すると、ゲートウェイ装置3において、利用者端末5を送信元とし、送信先を当該コンテンツサーバ(ここでは仮にコンテンツサーバ7とする)とするパケットの通過を許可するエントリが無いことから、利用者端末5からのパケットは認証アクセス制御サーバ2に転送され、認証アクセス制御サーバ2を経由してコンテンツサーバ7と通信コネクションを確立する(ステップ101)。
【0048】
利用者端末5から、コンテンツサーバ7での認証が必要なコンテンツへのアクセスがあった場合(ステップ102,103)、コンテンツサーバ7から、認証に必要な情報(本実施形態例ではパスワードとする)の送信が求められる(ステップ104)。
【0049】
認証アクセス制御サーバ2は、これを受けて、利用者4のコンテンツサーバ群6に対する認証に必要なパスワードの送信要求を利用者端末5に送信する(ステップ105)。
【0050】
認証アクセス制御サーバ2は、この送信要求に応答して返信されてくるパスワードを受信すると、利用者4のコンテンツサーバ群6に対する認証を行なった(ステップ106)後、内部に持つ利用者4のコンテンツサーバ7における認証に必要な情報を、代理でコンテンツサーバ7に送信して(ステップ107)、コンテンツサーバ7内で認証させるとともに、利用者端末5に対して、利用者端末5のブラウザ上に常駐プログラム(本実施形態例ではJava(登録商標) アプレットとする)を送信する(ステップ108)。
【0051】
続いて、認証アクセス制御サーバ2は、ゲートウェイ装置3に対して、利用者端末5を送信元とし、コンテンツサーバ7を送信先とするパケットを通過させるようにと、ファイアウォールエントリを設定(登録)する(ステップ109)。
【0052】
さらに、認証アクセス制御サーバ2は、ゲートウェイ装置3に対して、利用者端末5を送信元とし、認証機能を有さないコンテンツサーバ10〜12を送信先とするパケットを通過させるようにと、ファイアウォールエントリを設定(登録)する(ステップ110)。
【0053】
ステップ102,103で送信したアクセス要求の応答を利用者端末5に送信した(ステップ111,112)後、次回以降のコンテンツサーバ7、およびコンテンツサーバ10〜12宛ての利用者端末5からのアクセス要求については、認証アクセス制御サーバ2を経由せず、直接コンテンツサーバに到達するようになる(ステップ113,114)。
【0054】
次に、利用者4が利用者端末5からコンテンツサーバ8or9宛てのアクセスを試みた場合、ゲートウェイ装置3において、利用者端末5を送信元とし、コンテンツサーバ8or9を送信先とするパケットの通過を許可するエントリは設定されていないため、当該パケットは認証アクセス制御サーバ2に転送され、認証アクセス制御サーバ2を経由して、当該コンテンツサーバ8or9と通信コネクションを確立する(ステップ115)。
【0055】
当該コンテンツサーバ8or9での認証が必要なコンテンツへのアクセスがあった場合(ステップ116,117)は、当該コンテンツサーバ8or9からパスワードの送信が求められる(ステップ118)。
【0056】
この場合、認証アクセス制御サーバ2は、利用者端末5に対してパスワードの送信要求は行なわず、認証アクセス制御サーバ2の内部に持つ利用者4の当該コンテンツサーバ8or9用のパスワードを代理で当該コンテンツサーバ8or9に送信して、当該コンテンツサーバ8or9内で認証させる(ステップ119)。
【0057】
続いて、認証アクセス制御サーバ2は、ゲートウェイ装置3に対して、利用者端末5を送信元とし、当該コンテンツサーバ8or9を送信先とするパケットを通過させるようにと、ファイアウォールエントリを設定(登録)する(ステップ120)。
【0058】
ステップ116,117で送信したアクセス要求の応答を利用者端末5に送信した(ステップ121,122)後、次回以降の当該コンテンツサーバ8or9宛ての利用者端末5からのアクセス要求は、認証アクセス制御サーバ2を経由せず、直接コンテンツサーバ8or9に到達するようになる(ステップ123,124)。
【0059】
次に、利用者4が利用者端末5からコンテンツサーバ10〜12のいずれか宛てのアクセスを試みた場合は、ゲートウェイ装置3において、パケットの通過を許可するエントリが設定済みであるため、認証アクセス制御サーバ2を経由せず、直接当該コンテンツサーバ10〜12との間で通信コネクションを確立し(ステップ125)、コンテンツへのアクセスが可能である(ステップ126,127)。
【0060】
(B)認証機能を有するコンテンツサーバ7〜9に最初にアクセスする場合の処理(先に認証するパターン)
図4及び図5に、このときにおける処理の流れを示す。
【0061】
利用者4が、コンテンツサーバ群6に対して、未認証の状態で、利用者端末5からコンテンツサーバ7〜9のいずれか宛てのアクセス要求のパケットを送信すると、ゲートウェイ装置3において、利用者端末5を送信元とし、送信先を当該コンテンツサーバ(ここでは仮にコンテンツサーバ7とする)とするパケットの通過を許可するエントリが無いことから、利用者端末5からのパケットは認証アクセス制御サーバ2に転送され、認証アクセス制御サーバ2を経由してコンテンツサーバ7と通信コネクションを確立する(ステップ201)。
【0062】
その後、認証アクセス制御サーバ2は、利用者端末5からのコンテンツへのアクセス要求を受けて(ステップ202)、利用者4のコンテンツサーバ群6に対する認証に必要なパスワードの送信要求を利用者端末5に送信する(ステップ203)。
【0063】
認証アクセス制御サーバ2は、この送信要求に応答して返信されてくるパスワードを受信すると、利用者4のコンテンツサーバ群6に対する認証を行なった(ステップ204)後、当初のコンテンツサーバ7宛てのアクセス要求を利用者端末5の代理でコンテンツサーバ7に送信して(ステップ205)、コンテンツサーバ7内で認証させるとともに、利用者端末5に対して、Java アプレットを送信する(ステップ206)。
【0064】
そして、ステップ202,205で送信したアクセス要求の応答を利用者端末5に送信する(ステップ207,208)。
【0065】
その後、コンテンツサーバ7での認証が必要なコンテンツへのアクセスがあった場合(ステップ209,210)には、コンテンツサーバ7からパスワードの送信が求められる(ステップ211)。
【0066】
この場合、認証アクセス制御サーバ2は、内部に持つ利用者4のコンテンツサーバ7用のパスワードを代理でコンテンツサーバ7に送信して、コンテンツサーバ7内で認証させる(ステップ212)。
【0067】
続いて、認証アクセス制御サーバ2は、ゲートウェイ装置3に対して、利用者端末5を送信元とし、コンテンツサーバ7を送信先とするパケットを通過させるようにと、ファイアウォールエントリを設定(登録)する(ステップ213)。
【0068】
さらに、認証アクセス制御サーバ2は、ゲートウェイ装置3に対して、利用者端末5を送信元とし、認証機能を有さないコンテンツサーバ10〜12を送信先とするパケットを通過させるようにと、ファイアウォールエントリを設定(登録)する(ステップ214)。
【0069】
ステップ209,210で送信したアクセス要求の応答を利用者端末5に送信した(ステップ215,216)後、次回以降のコンテンツサーバ7、およびコンテンツサーバ10〜12宛ての利用者端末5からのアクセス要求については、認証アクセス制御サーバ2を経由せず、直接コンテンツサーバに到達するようになる(ステップ217、218)。
【0070】
なお、ステップ202のアクセス要求が、コンテンツサーバ7での認証が必要なコンテンツへのアクセス要求であった場合には、ステップ207〜210までのステップは省略され、ステップ215,216でのアクセス要求の応答は、ステップ202,205で送信したアクセス要求の応答となる。
【0071】
次に、利用者4が利用者端末5からコンテンツサーバ8or9宛てのアクセスを試みた場合、ゲートウェイ装置3において、利用者端末5を送信元とし、コンテンツサーバ8or9を送信先とするパケットの通過を許可するエントリは設定されていないため、当該パケットは認証アクセス制御サーバ2に転送され、認証アクセス制御サーバ2を経由して当該コンテンツサーバ8or9と通信コネクションを確立する(ステップ219)。
【0072】
当該コンテンツサーバ8or9での認証が必要なコンテンツへのアクセスがあった場合(ステップ220,221)は、当該コンテンツサーバ8or9からパスワードの送信が求められる(ステップ222)。
【0073】
この場合、認証アクセス制御サーバ2は、利用者端末5に対してパスワードの送信要求は行なわず、認証アクセス制御サーバ2の内部に持つ利用者4の当該コンテンツサーバ8or9用のパスワードを代理で当該コンテンツサーバ8or9に送信して、当該コンテンツサーバ8or9内で認証させる(ステップ223)。
【0074】
続いて、認証アクセス制御サーバ2は、ゲートウェイ装置3に対して、利用者端末5を送信元とし、当該コンテンツサーバ8or9を送信先とするパケットを通過させるようにと、ファイアウォールエントリを設定(登録)する(ステップ224)。
【0075】
ステップ220,221で送信したアクセス要求の応答を利用者端末5に送信した(ステップ225,226)後、次回以降の当該コンテンツサーバ8or9宛ての利用者端末5からのアクセス要求については、認証アクセス制御サーバ2を経由せず、直接コンテンツサーバ8or9に到達するようになる(ステップ227,228)。
【0076】
次に、利用者4が利用者端末5からコンテンツサーバ10〜12のいずれか宛てのアクセスを試みた場合には、ゲートウェイ装置3において、パケットの通過を許可するエントリは設定済みであるため、認証アクセス制御サーバ2を経由せず、直接当該コンテンツサーバ10〜12との間で通信コネクションを確立し(ステップ229)、コンテンツへのアクセスが可能である(ステップ230,231)。
【0077】
(C)認証機能を有しないコンテンツサーバ10〜12に最初にアクセスする場合の処理
図6及び図7に、このときにおける処理の流れを示す。
【0078】
利用者4が、コンテンツサーバ群6に対して、未認証の状態で、利用者端末5から認証機能を有さないコンテンツサーバ10〜12のいずれか宛てのアクセス要求のパケットを送信すると、ゲートウェイ装置3において、利用者端末5を送信元とし、送信先を当該コンテンツサーバ(ここでは仮にコンテンツサーバ10とする)とするパケットの通過を許可するエントリが無いことから、利用者端末5からのパケットは認証アクセス制御サーバ2に転送され、認証アクセス制御サーバ2を経由してコンテンツサーバ10と通信コネクションを確立する(ステップ301)。
【0079】
その後、認証アクセス制御サーバ2は、利用者端末5からのコンテンツへのアクセス要求を受けて(ステップ302)、利用者4のコンテンツサーバ群6に対する認証に必要なパスワードの送信要求を利用者端末5に送信する(ステップ303)。
【0080】
認証アクセス制御サーバ2は、この送信要求に応答して返信されてくるパスワードを受信すると、利用者4のコンテンツサーバ群6に対する認証を行なった(ステップ304)後、当初のコンテンツサーバ10宛てのアクセス要求を利用者端末5の代理でコンテンツサーバ10に送信して(ステップ305)、利用者端末5に対して、Java アプレットを送信する(ステップ306)。
【0081】
続いて、認証アクセス制御サーバ2は、ゲートウェイ装置3に対して、利用者端末5を送信元とし、コンテンツサーバ10〜12を送信先とするパケットを通過させるようにと、ファイアウォールエントリを設定(登録)する(ステップ307)。
【0082】
そして、ステップ302,305で送信したアクセス要求の応答を利用者端末5に送信する(ステップ308,309)。
【0083】
次回以降のコンテンツサーバ10〜12宛ての利用者端末5からのアクセス要求については、認証アクセス制御サーバ2を経由せず、直接コンテンツサーバ10〜12に到達するようになる(ステップ310,311)。
【0084】
次に、利用者4が利用者端末5からコンテンツサーバ7〜9のいずれか宛てのアクセスを試みた場合、ゲートウェイ装置3において、利用者端末5を送信元とし、コンテンツサーバ7〜9を送信先とするパケットの通過を許可するエントリは設定されていないため、当該パケットは認証アクセス制御サーバ2に転送され、認証アクセス制御サーバ2を経由して当該コンテンツサーバと通信コネクションを確立する(ステップ312)。
【0085】
当該コンテンツサーバ7〜9での認証が必要なコンテンツへのアクセスがあった場合(ステップ313,314)には、当該コンテンツサーバ7〜9からパスワードの送信が求められる(ステップ315)。
【0086】
この場合、認証アクセス制御サーバ2は、利用者端末5に対してパスワードの送信要求は行なわず、認証アクセス制御サーバ2の内部に持つ利用者4の当該コンテンツサーバ7〜9用のパスワードを代理で当該コンテンツサーバ7〜9に送信して、当該コンテンツサーバ7〜9内で認証させる(ステップ316)。
【0087】
続いて、認証アクセス制御サーバ2は、ゲートウェイ装置3に対して、利用者端末5を送信元とし、当該コンテンツサーバ7〜9を送信先とするパケットを通過させるようにと、ファイアウォールエントリを設定(登録)する(ステップ317)。
【0088】
ステップ313,314で送信したアクセス要求の応答を利用者端末5に送信した(ステップ318,319)後、次回以降の当該コンテンツサーバ7〜9宛ての利用者端末5からのアクセス要求は、認証アクセス制御サーバ2を経由せず、直接コンテンツサーバ7〜9に到達するようになる(ステップ320,321)。
【0089】
次に、利用者4が利用者端末5からコンテンツサーバ11or12宛てのアクセスを試みた場合には、ゲートウェイ装置3において、パケットの通過を許可するエントリは設定済みであるため、認証アクセス制御サーバ2を経由せず、直接当該コンテンツサーバ11or12との間で通信コネクションを確立し(ステップ322)、コンテンツへのアクセスが可能である(ステップ323,324)。
【0090】
(D)利用者のブラウザ終了による認証の無効化処理
認証アクセス制御サーバ2は、利用者4のコンテンツサーバ群6に対する認証を行なった後、利用者端末5に送信した常駐プログラム(ここではJava アプレットとする)に対して一定時間毎に通信を行う。
【0091】
認証アクセス制御サーバ2は、利用者端末5のJava アプレットからの応答がなくなった場合、利用者4によるコンテンツサーバ閲覧が終了したものと判断して、ゲートウェイ装置3に対して先に設定した、利用者端末5を送信元としコンテンツサーバ群6に属するコンテンツサーバを送信先とする通過許可エントリを全て削除する。
【0092】
これにより認証は無効化され、利用者端末5からコンテンツサーバ群6に属するコンテンツサーバ宛てのアクセス要求については、再び認証アクセス制御サーバ2を経由して認証を求められることになる。
【0093】
(E)利用者のログアウト処理による認証の無効化処理
利用者4のコンテンツサーバ群6に対する認証を行なった後に利用者端末5に送信した常駐プログラム(ここではJava アプレット)を使って、図8に示すように、利用者端末5上のブラウザに、認証の強制失効を指示するログアウトボタン20を表示させる。
【0094】
このログアウトボタン20の表示を受けて、利用者端末5は、利用者4がログアウトボタン20をクリックすることを契機にして、認証アクセス制御サーバ2に対して、認証の強制失効を指示するパケットを送信する。
【0095】
認証アクセス制御サーバ2は、そのパケットを受信すると、ゲートウェイ装置3に対して先に設定した、利用者端末5を送信元としコンテンツサーバ群6に属するコンテンツサーバを送信先とする通過許可エントリを全て削除する。
【0096】
これにより認証は無効化され、利用者端末5からコンテンツサーバ群6に属するコンテンツサーバ宛てのアクセス要求については、再び認証アクセス制御サーバ2を経由して認証を求められることになる。
【0097】
(F)通信タイムアウトによる認証の無効化処理
ゲートウェイ装置3は、認証アクセス制御サーバ2から設定されたパケット通過許可エントリの参照状況を監視する。
【0098】
ゲートウェイ装置3は、利用者端末5から一定時間連続してコンテンツサーバ群6に属するコンテンツサーバに対する通信が無かった場合、利用者端末5を送信元とし当該コンテンツサーバを送信先とする通過許可エントリを削除する。
【0099】
この結果、コンテンツサーバ群6に属する全てのコンテンツサーバ宛てのエントリが削除された場合には、認証は無効化され、利用者端末5からコンテンツサーバ群6に属するコンテンツサーバ宛てのアクセス要求については、再び認証アクセス制御サーバ2を経由して認証を求められることになる。
【0100】
(G)認証後一定時間経過による認証の無効化処理
認証アクセス制御サーバ2は、利用者4のコンテンツサーバ群6に対する認証を行なった時刻を記録しておき、一定時間が経過すると、ゲートウェイ装置3に対して先に設定した、利用者端末5を送信元としコンテンツサーバ群6に属するコンテンツサーバを送信先とする通過許可エントリを全て削除する。
【0101】
これにより認証は無効化され、利用者端末5からコンテンツサーバ群6に属するコンテンツサーバ宛てのアクセス要求については、再び認証アクセス制御サーバ2を経由して認証を求められることになる。
【0102】
図示実施形態例に従って本発明について説明したが、本発明はこれに限定されるものではない。例えば、実施形態例ではコンテンツサーバの認証を具体例にして本発明を説明したが、本発明はコンテンツサーバ以外のサーバの認証に対してもそのまま適用できるものである。
【0103】
【発明の効果】
以上のように本発明によれば、コンテンツサーバへのシングルサインオンを実現する認証アクセス制御システムにおいて、認証アクセス制御サーバへの負荷の集中を回避することで、認証アクセス制御サーバの処理性能や網リソースの限界に伴うスループットの低下を回避することが可能になるとともに、未認証のアクセス要求が直接コンテンツサーバに届くことを防止することでセキュリティ強度の高いシステムが実現できる、という効果が得られる。
【図面の簡単な説明】
【図1】本発明を実現するシステム構成の一実施形態例である。
【図2】実施形態例における処理の流れである。
【図3】実施形態例における処理の流れである。
【図4】実施形態例における処理の流れである。
【図5】実施形態例における処理の流れである。
【図6】実施形態例における処理の流れである。
【図7】実施形態例における処理の流れである。
【図8】ブラウザの説明図である。
【図9】リバース・プロキシ型のシングルサインオンの説明図である。
【図10】エージェント・モジュール型のシングルサインオンの説明図である。
【符号の説明】
1 認証アクセス制御システム
2 認証アクセス制御サーバ
3 ゲートウェイ装置
4 利用者
5 利用者端末
6 コンテンツサーバ群
7〜12 コンテンツサーバ
Claims (8)
- 認証アクセス制御サーバ装置とゲートウェイ装置とで構成されて、認証機能を持つサーバと認証機能を持たないサーバとで構成されるサーバ群に含まれるいずれかのサーバをアクセス要求先として、利用者端末から発行されるサーバへのアクセス要求を認証するシステムで用いられる認証アクセス制御サーバ装置であって、
上記ゲートウェイ装置にサーバへのアクセス要求の許可を示すエントリ情報が設定されていないことで、当該アクセス要求が上記ゲートウェイ装置から転送されてくる場合に、そのアクセス要求を受け取るアクセス要求受取手段と、
上記アクセス要求受取手段で受け取ったアクセス要求が、アクセス要求元の利用者端末からの初回のアクセス要求の場合にのみ、シングルサインオン用のパスワードを用いて当該利用者端末と端末アクセス認証を行う端末アクセス認証手段と、
上記端末アクセス認証手段にて端末アクセス認証が成功した場合に、アクセス要求元の利用者端末からの、上記サーバ群に含まれる認証機能を持たない全てのサーバへのアクセス許可を示すエントリ情報を上記ゲートウェイ装置に設定する第1のアクセス設定手段と、
上記アクセス要求受取手段で受け取ったアクセス要求が、アクセス要求元の利用者端末からの認証機能を持ついずれかのサーバへの当該サーバへの最初のアクセス要求である場合に、あらかじめ保持している当該利用者の当該サーバ用のパスワードを用いて当該サーバとサーバアクセス認証を行うサーバアクセス認証手段と、
上記端末アクセス認証手段にて端末アクセス認証が成功し、かつ上記サーバアクセス認証手段にてサーバアクセス認証が成功した場合に、アクセス要求元の利用者端末からの、上記サーバアクセス認証が成功したサーバへのアクセス許可を示すエントリ情報を上記ゲートウェイ装置に設定する第2のアクセス設定手段とを備えることを、
特徴とする認証アクセス制御サーバ装置。 - 請求項1に記載の認証アクセス制御サーバ装置において、
規定の状態になる場合に、上記ゲートウェイ装置に設定したエントリ情報を無効化する無効化手段を備えることを、
特徴とする認証アクセス制御サーバ装置。 - 請求項2に記載の認証アクセス制御サーバ装置において、
上記無効化手段は、利用者端末に送信したプログラムからの応答が一定時間なくなる場合に、上記ゲートウェイ装置に設定した当該利用者端末にかかる全てのエントリ情報を無効化することを、
特徴とする認証アクセス制御サーバ装置。 - アクセス要求受取手段と端末アクセス認証手段と第1のアクセス設定手段とサーバアクセス認証手段と第2のアクセス設定手段とを備える認証アクセス制御サーバ装置とゲートウェイ装置とで構成されて、認証機能を持つサーバと認証機能を持たないサーバとで構成されるサーバ群に含まれるいずれかのサーバをアクセス要求先として、利用者端末から発行されるサーバへのアクセス要求を認証するシステムで実行される認証アクセス制御方法であって、
上記アクセス要求受取手段が、上記ゲートウェイ装置にサーバへのアクセス要求の許可を示すエントリ情報が設定されていないことで、当該アクセス要求が上記ゲートウェイ装置から転送されてくる場合に、そのアクセス要求を受け取り、
上記端末アクセス認証手段が、上記アクセス要求受取手段で受け取ったアクセス要求が、アクセス要求元の利用者端末からの初回のアクセス要求の場合にのみ、シングルサインオン用のパスワードを用いて当該利用者端末と端末アクセス認証を行い、
上記第1のアクセス設定手段が、上記端末アクセス認証手段にて端末アクセス認証が成功した場合に、アクセス要求元の利用者端末からの、上記サーバ群に含まれる認証機能を持たない全てのサーバへのアクセス許可を示すエントリ情報を上記ゲートウェイ装置に設定し、
上記サーバアクセス認証手段が、上記アクセス要求受取手段で受け取ったアクセス要求 が、アクセス要求元の利用者端末からの認証機能を持ついずれかのサーバへの当該サーバへの最初のアクセス要求である場合に、あらかじめ保持している当該利用者の当該サーバ用のパスワードを用いて当該サーバとサーバアクセス認証を行い、
上記第2のアクセス設定手段が、上記端末アクセス認証手段にて端末アクセス認証が成功し、かつ上記サーバアクセス認証手段にてサーバアクセス認証が成功した場合に、アクセス要求元の利用者端末からの、上記サーバアクセス認証が成功したサーバへのアクセス許可を示すエントリ情報を上記ゲートウェイ装置に設定することを、
特徴とする認証アクセス制御方法。 - 請求項4に記載の認証アクセス制御方法において、
上記認証アクセス制御サーバ装置がさらに無効化手段を備えて、当該無効化手段が、規定の状態になる場合に、上記ゲートウェイ装置に設定したエントリ情報を無効化することを、
特徴とする認証アクセス制御方法。 - 請求項5に記載の認証アクセス制御方法において、
上記無効化手段は、利用者端末に送信したプログラムからの応答が一定時間なくなる場合に、上記ゲートウェイ装置に設定した当該利用者端末にかかる全てのエントリ情報を無効化することを、
特徴とする認証アクセス制御方法。 - 請求項4ないし6のいずれか1項に記載の認証アクセス制御方法の実現に用いられる処理をコンピュータに実行させるための認証アクセス制御プログラム。
- 請求項4ないし6のいずれか1項に記載の認証アクセス制御方法の実現に用いられる処理をコンピュータに実行させるための認証アクセス制御プログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002037586A JP3863441B2 (ja) | 2002-02-15 | 2002-02-15 | 認証アクセス制御サーバ装置、認証アクセス制御方法、認証アクセス制御プログラム及びそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002037586A JP3863441B2 (ja) | 2002-02-15 | 2002-02-15 | 認証アクセス制御サーバ装置、認証アクセス制御方法、認証アクセス制御プログラム及びそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2003242109A JP2003242109A (ja) | 2003-08-29 |
JP3863441B2 true JP3863441B2 (ja) | 2006-12-27 |
Family
ID=27779129
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002037586A Expired - Fee Related JP3863441B2 (ja) | 2002-02-15 | 2002-02-15 | 認証アクセス制御サーバ装置、認証アクセス制御方法、認証アクセス制御プログラム及びそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3863441B2 (ja) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007523401A (ja) * | 2003-12-31 | 2007-08-16 | アプライド アイデンティティー | コンピュータトランザクションの発信者が本人であることを立証する方法と装置 |
JP2006054720A (ja) * | 2004-08-12 | 2006-02-23 | Nakayo Telecommun Inc | ファイアウォール、フォーリンエージェント、ホームエージェント、移動端末、および通信方法 |
KR100708453B1 (ko) * | 2004-12-14 | 2007-04-18 | (주)온소프텔 | 데이터의 보안 서비스 방법 |
JP2007005847A (ja) * | 2005-06-21 | 2007-01-11 | Alaxala Networks Corp | ネットワークにおけるデータ伝送制御 |
JP4867482B2 (ja) | 2006-06-06 | 2012-02-01 | 富士ゼロックス株式会社 | 制御プログラムおよび通信システム |
JP5531435B2 (ja) * | 2009-03-31 | 2014-06-25 | 日本電気株式会社 | 認証システム、中継サーバ、及び中継サーバの認証プログラム |
JP2011175394A (ja) * | 2010-02-24 | 2011-09-08 | Fujifilm Corp | シングル・サインオン・システムを構成するウェブ・サーバならびにその動作制御方法およびその動作制御プログラム |
JP5750972B2 (ja) * | 2011-03-25 | 2015-07-22 | 富士ゼロックス株式会社 | 情報処理装置、プログラムおよび情報処理システム |
JP6121964B2 (ja) * | 2014-09-29 | 2017-04-26 | 株式会社シーイーシー | アクセス制限方法、配信システム、及びリバースプロキシサーバ |
JP6345092B2 (ja) * | 2014-11-25 | 2018-06-20 | エイチ・シー・ネットワークス株式会社 | 通信システム |
JP6347732B2 (ja) * | 2014-12-03 | 2018-06-27 | エイチ・シー・ネットワークス株式会社 | 認証システム |
CN105721489A (zh) * | 2016-03-16 | 2016-06-29 | 四川长虹电器股份有限公司 | 基于数字证书对ip白名单中的ip认证方法与系统 |
-
2002
- 2002-02-15 JP JP2002037586A patent/JP3863441B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2003242109A (ja) | 2003-08-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8319984B2 (en) | Image forming system, apparatus, and method executing a process designated by a service request after token validation | |
US7793342B1 (en) | Single sign-on with basic authentication for a transparent proxy | |
JP4728258B2 (ja) | ユーザーがipネットワークに接続する時、ローカル管理ドメインにおいてユーザーに対するアクセス認証を管理するための方法及びシステム | |
US8640202B2 (en) | Synchronizing user sessions in a session environment having multiple web services | |
JP3588323B2 (ja) | ユーザ専用のデータリダイレクションシステム、および、ユーザ専用のデータリダイレクションを実行する方法 | |
US7954144B1 (en) | Brokering state information and identity among user agents, origin servers, and proxies | |
US8151116B2 (en) | Multi-channel user authentication apparatus system and method | |
CA2633311C (en) | Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider | |
US9350704B2 (en) | Provisioning network access through a firewall | |
US20060230265A1 (en) | Cookie-based acceleration of an authentication protocol | |
CN112468481B (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
US8627493B1 (en) | Single sign-on for network applications | |
JP2004536359A (ja) | ウェブ・サーバに対してユーザを認証するシステムおよび方法 | |
US20090055891A1 (en) | Device, method, and program for relaying data communication | |
EP1830512B1 (en) | A method and system for realizing the domain authentication and network authority authentication | |
JP5239341B2 (ja) | ゲートウェイ、中継方法及びプログラム | |
JP3863441B2 (ja) | 認証アクセス制御サーバ装置、認証アクセス制御方法、認証アクセス制御プログラム及びそのプログラムを記録したコンピュータ読み取り可能な記録媒体 | |
WO2009129753A1 (zh) | 提高网络身份认证安全性的方法和装置 | |
JP3766338B2 (ja) | 認証アクセス制御システム、認証アクセス制御サーバ装置、認証アクセス制御方法、認証アクセス制御プログラム及びそのプログラムを記録した記録媒体 | |
JP4390429B2 (ja) | シングルサインオンシステム、そのプログラム及びその方法 | |
JP4149745B2 (ja) | 認証アクセス制御サーバ装置、認証アクセス制御方法、認証アクセス制御プログラム及びそのプログラムを記録したコンピュータ読み取り可能な記録媒体 | |
US7899918B1 (en) | Service accounting in a network | |
JP3953963B2 (ja) | 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、および分散型認証アクセス制御システム | |
CN101102234A (zh) | 网络摄像头防监听的控制方法及系统 | |
CN107045603A (zh) | 一种应用的调用控制方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040317 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060711 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060829 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20060829 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060926 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060928 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R154 | Certificate of patent or utility model (reissue) |
Free format text: JAPANESE INTERMEDIATE CODE: R154 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: R3D02 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101006 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111006 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |