JP4389232B2 - Webシステム、サーバ、プロキシサーバ、通信方法及びプログラム - Google Patents

Webシステム、サーバ、プロキシサーバ、通信方法及びプログラム Download PDF

Info

Publication number
JP4389232B2
JP4389232B2 JP2007058260A JP2007058260A JP4389232B2 JP 4389232 B2 JP4389232 B2 JP 4389232B2 JP 2007058260 A JP2007058260 A JP 2007058260A JP 2007058260 A JP2007058260 A JP 2007058260A JP 4389232 B2 JP4389232 B2 JP 4389232B2
Authority
JP
Japan
Prior art keywords
client terminal
server
internal server
authentication
internal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007058260A
Other languages
English (en)
Other versions
JP2008225521A (ja
Inventor
達哉 清水
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2007058260A priority Critical patent/JP4389232B2/ja
Publication of JP2008225521A publication Critical patent/JP2008225521A/ja
Application granted granted Critical
Publication of JP4389232B2 publication Critical patent/JP4389232B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、アクセスが制限された内部サーバにクライアント端末からインターネットを介してアクセスするためのWEBシステム、サーバ、プロキシサーバ、通信方法及びプログラムに関するものである。
従来、Webブラウザで電子メールを送受信するためのWebメールシステムでは、HTTP上でアカウント毎にログインからログアウトまでのセッション管理が必要となる。そのために広く利用される方式としてHTTPクッキーを用いる方式があり、ログイン完了時にサーバがHTTPクッキーによりセッション識別子を新規発行し、ログアウトまでの間、サーバとクライアント間でセッション識別子を送受信することで個人が自信のアカウントのみ利用できる機能を実現している。
多数のメールアカウントを管理する必要があるメールシステムでは、複数台のサーバにアカウントを分散配置し、全体として単一のメールサーバと同等に動作することが望ましい。その場合、エンドユーザ(メールクライアント)は自信のアカウントを持つサーバからデータを取り出す必要があり、Webメールシステムにおけるそのための手法として、従来、HTTPリダイレクトと呼ばれる機能を利用した方式がある。HTTPリダイレクトとはサーバからクライアントに指定の宛先への再接続を要求するものであり、リダイレクト要求を受けたクライアントは自動的に指定された宛先に接続を行う。この動作へのエンドユーザの関与は一般的には不要であるため、初めから自身のアカウントを持つサーバに接続しなくても、HTTPリダイレクトにより正しいサーバへの自動再接続を行った後、エンドユーザはサーバから自身のメールを取り出すことが可能となる。HTTPクッキーによるセッション管理を行うシステムにおいて有効な手法となる。
また一方、近年のWWWの発展により、これまでは例えば一般企業や教育機関内のネットワークといった特定のLANからのみ利用可能であった内部システムを、インターネットから利用可能とすることが望まれている。
内部Webメールシステムをインターネットから利用する場合、最も単純には内部Webメールサーバ(複数台存在する場合は全てのサーバ)に対してインターネットから接続が可能なようにネットワークシステムを変更することがあるが、内部Webメールサーバ内の機密情報漏洩等のセキュリティ面で問題がある。問題解決のため暗号化を施したVPNシステムを構築することが考えられるが、暗号化VPNシステムの構築にはコストがかかることが多い。
すなわち、企業内や教育機関等の内部メールシステムをインターネットに公開することはセキュリティ面で問題があるが、暗号化VPNシステムによるセキュリティの確保はコストがかかることが多い。
これに対し、低コストでセキュリティを確保する方法として、例えば、サーバ側の代理機能を持つ一般的なHTTPリバースプロキシサーバ(特開2001−273211号公報(特許文献1)など)を利用する方法が考えられる。これはリバースプロキシサーバのみをインターネットに公開し、インターネットと内部サーバとの通信をリバースプロキシサーバで中継することで内部システムを隠蔽し、セキュリティを確保する方式である。
まずセッション維持方式として、セッション識別子に対応する内部サーバ識別情報をリバースプロキシサーバが記憶保持し、クライアントから受信したセッション識別子に対応する適切な内部サーバとの中継を行う方式があり、クライアントが(フォワード)プロキシサーバを利用しても問題なく、またインターネットから内部システム情報が隠蔽されるという利点がある。
別の方式として、内部サーバ数と同じ数のホストをインターネット上に用意し、ホスト名の対応付けをリバースプロキシサーバで管理する方式があり、この方式によれば、リバースプロキシ自体の負荷分散構成も容易であるという利点がある。
また、特開2006−18795号公報(特許文献2)や特表2005−531054号公報(特許文献3)のように、HTTPクッキーによるセッション識別子自体に内部サーバ識別名を含ませ、リバースプロキシサーバでセッション識別子から内部サーバ名を抽出し、適切な内部サーバへの中継を実現する従来の方式がある。
特開2001−273211号公報 特開2006−18795号公報 特表2005−531054号公報
しかし、上記に示したサーバ側の代理機能を持つ一般的なリバースプロキシサーバを利用し、リバースプロキシサーバ経由でWebメールシステムをインターネットから利用する方式では、内部Webメールシステムが複数サーバ群で構成される単一システムの場合等に運用面で課題があり、例えば、以下のような問題を有していた。
すなわち、従来のセッション維持方式は、セッション識別子と内部サーバ情報が動的に生成されるため、リバースプロキシサーバ自体の負荷分散構成に不向きという問題を有していた。内部サーバ数と同じ数のホストをインターネット上に用意し、ホスト名の対応付けをリバースプロキシサーバで管理する従来の方式は、内部サーバ台数が多い場合にシステム全体の運用管理が煩雑になるという問題や、また、内部サーバの数がインターネットに公開されるため、上記セッション維持方式と比較して内部システムの隠蔽度は劣るという問題を有していた。
さらに、HTTPクッキーによるセッション識別子自体に内部サーバ識別名を含ませ、リバースプロキシサーバでセッション識別子から内部サーバ名を抽出し、適切な内部サーバへの中継を実現する従来の方式は、セッション識別子から内部サーバ識別名を取得できないシステムに対しての採用が困難という問題を有していた。
本発明の目的は、内部サーバの隠蔽度を維持しつつ、内部サーバ台数が多い場合にも全体の運用管理が煩雑になることがなく、プロキシサーバの負荷分散構成に適したWEBシステムを提供することである。
本発明の第1のWEBシステムは、アクセスが制限された内部サーバにクライアント端末からインターネットを介してアクセスするためのWEBシステムであって、クライアント端末と内部サーバの間に配置されたプロキシサーバが、クライアント端末からの処理要求に暗黙的に埋め込まれた、内部サーバへのアクセスのために予め付与された所定の内部サーバ識別情報を抽出し、抽出した当該内部サーバ識別情報に基づいて内部サーバを選択し、選択した内部サーバに対して処理要求を送信する手段と、クライアント端末からの認証要求と認証情報を送信した内部サーバからリダイレクト処理要求を受けた場合において、リダイレクト処理要求をクライアント端末へ返却せずに、クライアント端末との接続を保ったまま、リダイレクト処理要求において指定された内部サーバに対し、再度認証要求と認証情報を送信するリダイレクト手段を備える。
より詳細には、内部サーバからからクライアント端末に返却される応答データ、およびクライアント端末から内部サーバに送信される要求データ内にサーバ識別情報を暗黙的に埋め込み、リバースプロキシサーバが、クライアント端末からの要求データ内のサーバ識別情報を抽出し、適切な内部サーバと中継と行うことを特徴とする。
(作用)
上記構成により、クライアント端末が、内部サーバ識別情報を認識することなく、アクセスが制限された内部サーバにインターネットを介してアクセスする。
本発明によれば、インターネットを介したクライアント端末からのアクセスが制限されたサーバを、インターネットを介して安全に利用することができる。
その理由は、クライアント端末が、内部サーバ識別情報を認識することなく、アクセスが制限された内部サーバにインターネットを介してアクセスするため、内部サーバを隠蔽したまま、外部から内部サーバを利用できるからである。
(第1の実施の形態)
本発明による第1の実施の形態を図を用いて詳細に説明する。
(第1の実施の形態の構成)
図1は、本実施の形態によるWebメールシステムの構成の概略を示すブロック図である。
図1を参照すると、本実施の形態は、クライアント101(クライアント101a〜クライアント101n)、負荷分散装置102、内部Webメールサーバ105〜107等、負荷分散装置102と内部Webメールサーバ105〜107等の間に配置されたリバースプロキシサーバ103及び104等を備える。各クライアントと各サーバはIPネットワーク(ネットワーク108、109)で接続されており、TCP/IPによる双方向通信が可能である。
図2は、本実施の形態によるWebメールシステムのより詳細な構成を示すブロック図である。
図2を参照し、リバースプロキシサーバ103又は104を介してクライアント101aと内部Webメールサーバ105〜107との間で通信を行う構成例を中心に以下説明する。なお、クライアント101aのアカウントデータ1011aは、内部Webメールサーバ106の記憶手段1062内に存在し、他の内部Webメールサーバには存在しない。
クライアント101(101a〜101n)は、一般的なWEBブラウザ機能と、HTTPクライアント機能を有する通信端末である。
負荷分散装置102は、複数のリバースプロキシサーバ(103、104等)の負荷を考慮して、クライアント101からの通信を1台のリバースプロキシサーバへ振り分ける処理を行う機能を有し、一般的なレイヤ4スイッチ装置またはDNSラウンドロビン方式等の手段を用いて当該機能を実施する。
リバースプロキシサーバ103,104は、リダイレクト処理手段1031、1041と、サーバ識別情報抽出手段1032、1042とを備える。
リダイレクト処理手段1031、1041は、内部WebメールサーバからのHTTPリダイレクト指示をクライアント101に返却せず暗黙のうちに処理する機能を有する。
サーバ識別情報抽出手段1032、1042は、クライアント101からの要求データに含まれる内部Webメールサーバを識別するサーバ識別情報を抽出し、抽出したサーバ識別情報に基づいて1台の内部Webメールサーバと中継を行う機能を有する。
内部Webメールサーバ105〜107は、サーバ識別情報埋込手段1051〜1071と、クライアント101のアカウントデータ、自身の内部Webメールサーバを識別するサーバ識別情報、通信セッションに関するセッション情報、セッション情報に対応するクライアントを識別するクライアントIDを記憶する記憶手段1052〜1072と、認証手段1053〜1073とを備える。
サーバ識別情報埋込手段1051〜1071は、認証完了情報等のクライアントに返却する応答データ内に自身のサーバ識別情報の埋め込みを行う機能を有する。この埋め込みにより、クライアント101から内部Webメールサーバ105〜107への要求データ内に暗黙のうちにサーバ識別情報が含まれる。
図3は、本実施の形態による認証完了情報の例を示す図である。
図3を参照すると、本実施の形態による認証完了情報200は、認証を完了したクライアントを識別するクライアントIDと、認証を完了したクライアントとの間のセッション情報と、認証完了情報を発行する内部Webメールサーバを識別するサーバ識別情報とが対応付けられている。
図4は、本実施の形態による記憶手段1052〜1072のうち、一例として記憶手段1062の詳細な構成を示すブロック図である。
図4を参照すると、記憶手段1062は、クライアント101aのアカウントデータ1011aと、記憶手段1062自身が属する内部Webメールサーバのサーバ識別情報10621と、認証完了情報200とを格納する。
認証手段1053〜1073は、クライアント101から送られた認証情報が正当であるか否かを確認する機能と、正当な認証情報を送信したクライント101のアカウントデータを自身が属する内部Webメールサーバの記憶手段が有するか否かを確認する機能と、処理を要求するクライアント101から送られたセッション識別子が正当であるか否かを確認する機能とを有する。
ここで、内部Webメールサーバ105〜107のハードウェア構成の説明をする。
図5は、本実施の形態によるWebメールシステムの内部Webメールサーバ105〜107のハードウェア構成例を示すブロック図である。
図5を参照すると、本発明による内部Webメールサーバ105〜107は、一般的なコンピュータ装置と同様のハードウェア構成によって実現することができ、CPU(Central Processing Unit)1001、RAM(Random Access Memory)等のメインメモリであり、データの作業領域やデータの一時退避領域に用いられる主記憶部1002、ネットワーク2000を介してデータの送受信を行う通信制御部1003、液晶ディスプレイ、プリンタやスピーカ等の提示部1004、キーボードやマウス等の入力部1005、周辺機器と接続してデータの送受信を行うインタフェース部1006、ROM(Read Only Memory)、磁気ディスク、半導体メモリ等の不揮発性メモリから構成されるハードディスク装置である補助記憶部1007、本情報処理装置の上記各構成要素を相互に接続するシステムバス1008等を備えている。
本発明による内部Webメールサーバ105〜107は、その動作を、内部Webメールサーバ105〜107内部にそのような機能を実現するプログラムを組み込んだ、LSI(Large Scale Integration)等のハードウェア部品からなる回路部品を実装してハードウェア的に実現することは勿論として、上記した各構成要素の各機能を提供するプログラムを、コンピュータ処理装置上のCPU1001で実行することにより、ソフトウェア的に実現することができる。
すなわち、CPU1001は、補助記憶部1007に格納されているプログラムを、主記憶部1002にロードして実行し、内部Webメールサーバ105〜107の動作を制御することにより、上述した各機能をソフトウェア的に実現する。
なお、クライアント101やリバースプロキシサーバ103及び104が上述のような構成を有し、上述した各機能をハードウェア的又はソフトウェア的に実現してもよい。
(第1の実施の形態の動作)
本実施の形態におけるWebメールシステムの動作について、図6〜図9を用いて説明する。
図6は、本実施の形態のWebメールシステムにおける接続処理開始時の動作を示すシーケンス図である。
図6を参照すると、始めにクライアント101aは、負荷分散装置102によって任意のリバースプロキシサーバ103又は104に接続し、内部Webメールサーバ105〜107との通信を開始するための通信開始要求を送信する(ステップS101)。
接続されたリバースプロキシサーバ103又は104は、クライアント101aとの接続を保ったまま、任意の内部Webメールサーバ(ここでは、例えば、内部Webメールサーバ106)に接続し、通信開始要求を送信する(ステップS102)。
通信開始要求を送信された送信内部Webメールサーバは、ログインを許可する認証情報を要求するための認証情報要求を、例えば、ログイン画面によってリバースプロキシサーバ103又は104に返却する(ステップS103)。
リバースプロキシサーバ103又は104は、当該ログイン画面の情報をクライアント101aに返却する(ステップS104)。
図7は、本実施の形態のWebメールシステムにおける認証時の動作を示すシーケンス図である。
図7を参照すると、クライアント101aでユーザにより認証情報の入力及び入力完了操作が実施される等により、前記負荷分散装置102によって任意のリバースプロキシサーバ103又は104に認証要求と認証情報が送信される(ステップS201)。
リバースプロキシサーバ103又は104は、クライアント101aとの接続を保ったまま、任意の内部Webメールサーバ105〜107に接続し、同様に認証要求と認証情報を送信する(ステップS202)。
内部Webメールサーバ105〜107は、認証情報が正当であるか確認し、正当であれば、自身が当該アカウントデータを有するか否かを確認する(ステップS203)。
内部Webメールサーバ105〜107は、自身が当該アカウントデータを有さない場合、当該アカウントデータを持つ適切な内部Webメールサーバ105〜107へのHTTPリダイレクト指示をリバースプロキシサーバ103又は104に対して返却し(ステップS204)、当該アカウントデータを持つ適切な内部Webメールサーバが自身であれば、リダイレクト指示でなく認証完了情報を返却する(後述)。
HTTPリダイレクト指示を受信したリバースプロキシサーバ103又は104は、リダイレクト処理手段1031又は1041により、クライアント101aとの接続を保ったまま指定のリダイレクトURLに再接続し、再度認証要求と認証情報を送信する(ステップS205)。
認証要求と認証情報を受信した内部Webメールサーバ106は、認証情報が正当であるか確認し、正当であれば、自身が当該アカウントデータを有するか否かを確認し(ステップS203)、当該アカウントデータが自身に存在する場合、セッション識別子(セッション情報10622)を新規生成し(ステップS206)、サーバ識別情報埋込手段1061により、当該クライアント101aの認証が完了したことを示す認証完了HTMLデータ(認証完了情報)内に自身のサーバ識別情報10621を埋め込む(ステップS207)。埋め込みは次回クライアント101aからのリクエストに暗黙のうちにサーバ識別情報10621が含まれるよう考慮して行う。具体的には全てのFORM要素内へのHIDDEN属性を用いたINPUTタグの埋め込みを行う。
サーバ識別情報10621を埋め込まれた認証完了情報は、セッション識別子(セッション情報10622)と共にリバースプロキシサーバ103又は104に返却され(ステップS208)、そのままクライアント101aに返却される(ステップS209)。
図8は、本実施の形態のWebメールシステムにおけるログイン後の処理動作を示すシーケンス図である。
ユーザ操作により、クライアント101aは、任意のリバースプロキシサーバ103又は104にセッション識別子(セッション情報10622)と処理要求データを送信する(ステップS301)。処理要求データには暗黙のうちにサーバ識別情報10621が含まれる。
処理要求データとセッション識別子(セッション情報10622)を受信したリバースプロキシサーバ103又は104は、サーバ識別情報抽出手段1032又は1042により処理要求データからサーバ識別情報10621を抽出し(ステップS302)、抽出したサーバ識別情報10621の示す内部Webメールサーバ106に接続し、セッション識別子(セッション情報10622)と処理要求データを送信する(ステップS303)。
内部Webメールサーバ106は、セッション識別子(セッション情報10622)が正当であるかを確認し(ステップS303)、正当であれば、処理を実施する(ステップS304)。
内部Webメールサーバ106は、実施した処理の結果を示す処理結果情報に、サーバ識別情報埋込手段1051〜1071によりサーバ識別情報10621を埋め込み(ステップS305)、当該処理結果情報と、セッション識別子(セッション情報10622)とをリバースプロキシサーバ103又は104に対して返却する(ステップS306)。
セッション識別子と処理結果情報は、リバースプロキシサーバ103又は104を経由してクライアント101aまで返却される(ステップS307)。
図9は、本実施の形態のWebメールシステムにおける接続処理終了時の動作を示すシーケンス図である。
クライアント101aからリバースプロキシサーバ103又は104に、内部Webメールサーバ106との接続をやめる接続終了要求が送信されると、暗黙のうちにセッション識別子(セッション情報10622)とサーバ識別情報10621が送信される(ステップS401)。
リバースプロキシサーバ103又は104は、クライアント101aから受信した接続終了要求から、サーバ識別情報抽出手段1032、1042によりサーバ識別情報10621を抽出し(ステップS402)、抽出したサーバ識別情報10621の示す内部Webメールサーバ106にセッション識別子(セッション情報10622)と共に接続終了要求を送信する(ステップS403)。
内部Webメールサーバ106は、受信したセッション識別子が正当か否かを判定し(ステップS404)、正当な場合に、受信したセッション識別子を無効とし(破棄し)(ステップS405)、接続がなされなくなったことを示す終了情報をリバースプロキシサーバ103又は104に対して返却する(ステップS406)。
終了情報はリバースプロキシサーバ103又は104からクライアント101aに送信され(ステップS407)、クライアント101aでは例えば、終了情報に基づいて終了画面が表示される(ステップS406)。
(第1の実施の形態の効果)
本実施の形態によれば、以下の効果を有する。
第1に、インターネットを介したクライアント端末からのアクセスが制限されたサーバを、インターネットを介して安全に利用することができる。
その理由は、クライアント101a〜クライアント101nが、サーバ識別情報を認識することなく、アクセスが制限された内部Webメールサーバ105〜107等にインターネットを介してアクセスするため、内部Webメールサーバ105〜107等及びこれらのサーバ識別情報を隠蔽したまま、外部から内部Webメールサーバ105〜107等を利用できるからである。
第2に、従来のリバースプロキシサーバによる動的な対応付けを保持するセッション維持方式と比較して運用面で優位となる効果を有する。
その理由は、本実施の形態におけるリバースプロキシサーバが、クライアントから受信したデータ内のサーバ識別情報を抽出し、正しい内部Webメールサーバとクライアントとの中継を行うことができるからである。このため、リバースプロキシサーバが、クライアントと内部Webメールサーバの動的な対応付けを保持することなく動作することが可能であり、リバースプロキシサーバの二重化・負荷分散構成が容易となるからである。すなわち、リバースプロキシサーバは、クライアントからの要求データ内からサーバ識別情報を取得し、動的な情報を管理する必要がないことから、リバースプロキシサーバ自体の二重化・負荷分散構成が容易となるからである。
第3に、従来のリバースプロキシサーバによる内部サーバと同数ホストをインターネット上に用意するホスト対応付け方式と比較して運用面・セキュリティ面で優位となる効果を有する。
その理由は、HTTPリダイレクトによる再接続がクライアントでなくリバースプロキシサーバで暗黙のうちに処理され、また、内部Webメールサーバを識別するサーバ識別情報が、暗黙のうちにHTMLデータ内に埋め込まれ、クライアントで抽出されることなく用いられるからである。これは、クライアントはリバースプロキシサーバのみと最も単純なHTTP通信を行うことで動作することを意味しており、その結果内部Webメールサーバを識別するサーバ識別情報をクライアントから隠蔽できるからである。また、インターネットを介して内部Webメールサーバに接続する場合、インターネットに公開するサーバはリバースプロキシサーバのみで動作可能であるところ、HTTPリダイレクトはリバースプロキシサーバで暗黙のうちに処理されるため複数のホストを用意する必要がないことからも、内部Webメールサーバを識別するサーバ識別情報をクライアントから隠蔽できる。
第4に、内部Webメールサーバが複数台の当該サーバから構成される単一システムであった場合でも、クライアントは1台のリバースプロキシサーバ経由で当該単一システムに接続して通信することが可能となる。
その理由は、内部Webメールサーバからからクライアントに返却される応答データ、およびクライアントからサーバに送信される要求データ内にサーバ識別情報を埋め込み、また、リバースプロキシサーバは、HTTPリダイレクト要求をクライアント(エンドユーザ)に返却せず暗黙のうちに処理し、クライアントからの要求データ内のサーバ識別情報を抽出し、適切な内部Webメールサーバと通信するからである。
これらにより、複数台の内部Webメールサーバから構成される単一Webメールシステムにおいても、クライアントは1台のリバースプロキシサーバ経由で単一Webメールシステムを利用することが可能となる。また、インターネットから単一Webメールシステムを利用する場合、インターネットに公開するサーバはリバースプロキシサーバのみで動作可能である。
(第2の実施の形態)
本発明による第2の実施の形態を説明する。
第1の実施の形態はWebメールシステムに係るものであり、内部サーバとして内部Webメールサーバを備えていたが、本実施の形態は、Webメールシステムとは異なるWebスケジュール管理システムに係るものであり、内部サーバとして、内部Webメールサーバでなく、内部Webスケジュール管理サーバを備える(特に図示しない)。
本実施の形態のWebスケジュール管理システムにおいて、スケジュールデータが複数の内部Webスケジュール管理サーバに分散配置されており、当該システムにおける通信接続時はセッション管理が行われており、クライアント(エンドユーザ)のWebブラウザが特定の内部Webスケジュール管理サーバと通信する必要がある場合、第1の実施の形態と同等の方式を用いることで、第1の実施の形態と同様に、インターネットからでも安全に内部Webスケジュール管理サーバに対して接続して通信することができる。
(第3の実施の形態)
本発明による第3の実施の形態を説明する。
第1の実施の形態はWebメールシステムに係るものであり、内部サーバとして内部Webメールサーバを備えていたが、本実施の形態は、Webメールシステムとは異なるWeb施設予約システムに係るものであり、内部サーバとして、内部Webメールサーバでなく、内部Web施設予約サーバを備える(特に図示しない)。
本実施の形態のWeb施設予約システムにおいても同様に、施設予約データが複数の内部Web施設予約サーバに分散配置されており、当該システムにおける通信接続時はセッション管理が行われており、クライアント(エンドユーザ)のWebブラウザが特定の内部Web施設予約サーバと通信する必要がある場合は、第1の実施の形態と同等の方式を用いることで、第1の実施の形態と同様に、インターネットからでも安全に内部Web施設予約サーバに対して接続して通信することができる。
以上好ましい実施の形態をあげて本発明を説明したが、本発明は必ずしも、上記実施の形態に限定されるものでなく、その技術的思想の範囲内において様々に変形して実施することができる。
例えば、大量のデータを複数の内部サーバに分散配置するWebシステムであり、かつ当該システムにおける通信接続時はセッション管理が必要となり、クライアント(エンドユーザ)のWebブラウザが特定の内部サーバと通信する必要があるWebシステムの場合、本発明を適用することによって、インターネットからでも安全に内部サーバに対して接続して通信することができる。
本発明の第1の実施の形態によるWebメールシステムの構成の概略を示すブロック図である。 第1の実施の形態によるWebメールシステムのより詳細な構成を示すブロック図である。 第1の実施の形態による認証完了情報の例を示す図である。 第1の実施の形態による記憶手段1052〜1072のうち、一例として記憶手段1062の詳細な構成を示すブロック図である。 第1の実施の形態によるWebメールシステムの内部Webメールサーバのハードウェア構成例を示すブロック図である。 第1の実施の形態のWebメールシステムにおける接続処理開始時の動作を示すシーケンス図である。 第1の実施の形態のWebメールシステムにおける認証時の動作を示すシーケンス図である。 第1の実施の形態のWebメールシステムにおけるログイン後の処理動作を示すシーケンス図である。 第1の実施の形態のWebメールシステムにおける接続処理終了時の動作を示すシーケンス図である。
符号の説明
101、101a〜101n:クライアント
102:負荷分散装置
103、104:リバースプロキシサーバ
1031、1041:リダイレクト処理手段
1032、1042:サーバ識別情報抽出手段
105〜107:内部Webメールサーバ
1051、1061、1071:サーバ識別情報埋込手段
1052、1062、1072:記憶手段
1011a:アカウントデータ
10621:サーバ識別情報
200:認証完了情報
1053、1063、1073:認証手段
108、109:ネットワーク
1001:CPU
1002:主記憶部
1003:通信制御部
1004:提示部
1005:入力部
1006:インタフェース部
1007:補助記憶部
1008:システムバス
2000:ネットワーク

Claims (11)

  1. アクセスが制限された内部サーバにクライアント端末からインターネットを介してアクセスするためのWEBシステムであって、
    前記クライアント端末と前記内部サーバの間に配置されたプロキシサーバが、前記クライアント端末からの処理要求に暗黙的に埋め込まれた、前記内部サーバへのアクセスのために予め付与された所定の内部サーバ識別情報を抽出し、抽出した当該内部サーバ識別情報に基づいて前記内部サーバを選択し、選択した前記内部サーバに対して前記処理要求を送信する手段と、
    前記クライアント端末からの認証要求と認証情報を送信した前記内部サーバからリダイレクト処理要求を受けた場合において、前記リダイレクト処理要求を前記クライアント端末へ返却せずに、前記クライアント端末との接続を保ったまま、前記リダイレクト処理要求において指定された内部サーバに対し、再度前記認証要求と認証情報を送信するリダイレクト手段を備えることを特徴とするWEBシステム。
  2. 前記処理要求は、前記内部サーバ識別情報に加え、前記内部サーバが前記クライアント端末を認証した際に当該クライアント端末に対して送信したセッション識別子を含み、
    前記選択された内部サーバは、前記セッション識別子が適切な場合に前記処理要求に係る処理を実行することを特徴とする請求項1に記載のWEBシステム。
  3. 前記内部サーバは、実行した前記処理の処理結果と、当該内部サーバの内部サーバ識別情報と、新たに生成したセッション識別子とを前記クライアント端末に返却することを特徴とする請求項2に記載のWEBシステム。
  4. 前記認証は、前記クライアント端末のアカウント情報を有する前記内部サーバによって行われ、
    当該内部サーバは、
    当該クライアント端末の認証が完了したことを示す認証完了情報と、当該クライアント端末から以降に送信される処理要求を実行するために用いる新たに生成したセッション識別子を当該クライアント端末に対して送信すると共に、
    当該処理要求を実行するために用いる当該内部サーバの内部サーバ識別情報が当該処理要求に暗黙的に埋め込まれるように当該内部サーバ識別情報を当該クライアント端末に対して送信する
    ことを特徴とする請求項2又は請求項3に記載のWEBシステム。
  5. 前記内部サーバは、自身の内部サーバ識別情報を、全てのFORM要素内へのHIDDEN属性を用いたINPUTタグの埋め込みを行うことによって、当該クライアント端末に送信することを特徴とする請求項1から請求項4のいずれか1項に記載のWEBシステム。
  6. 前記選択された内部サーバは、前記クライアント端末から前記認証要求と共に送信された前記認証情報が正当か否かを判定し、
    正当な場合に、自身が当該クライアント端末のアカウント情報を有しているか否か判定し、
    当該クライアント端末のアカウント情報を有さない場合に、前記認証要求及び前記認証情報を他の内部サーバに送信する前記リダイレクト処理を前記プロキシサーバに対して要求することを特徴とする請求項1から請求項4のいずれか1項に記載のWEBシステム。
  7. 前記選択された内部サーバは、当該クライアント端末のアカウント情報を有する場合に、当該クライアント端末の認証が完了したことを示す認証完了情報と共に、当該クライアント端末から以降に送信される処理要求を実行するための当該内部サーバの内部サーバ識別情報及び新たに生成したセッション識別子を前記クライアント端末に対して送信することを特徴とする請求項6に記載のWEBシステム。
  8. アクセスが制限された内部サーバにクライアント端末からインターネットを介してアクセスするためのWEBシステムの前記クライアント端末と前記内部サーバの間に配置されたプロキシサーバであって、
    前記クライアント端末からの処理要求に暗黙的に埋め込まれた、前記内部サーバへのアクセスのために予め付与された所定の内部サーバ識別情報を抽出し、抽出した当該内部サーバ識別情報に基づいて前記内部サーバを選択し、選択した前記内部サーバに対して前記処理要求を送信する手段と、
    前記クライアント端末からの認証要求と認証情報を送信した前記内部サーバからリダイレクト処理要求を受けた場合において、前記リダイレクト処理要求を前記クライアント端末へ返却せずに、前記クライアント端末との接続を保ったまま、前記リダイレクト処理要求において指定された内部サーバに対し、再度前記認証要求と前記認証情報を送信するリダイレクト手段を備えることを特徴とするプロキシサーバ。
  9. アクセスが制限された内部サーバにクライアント端末からインターネットを介してアクセスするためのWEBシステムにおける通信方法であって、
    前記クライアント端末と前記内部サーバの間に配置されたプロキシサーバが、前記クライアント端末からの処理要求に暗黙的に埋め込まれた、前記内部サーバへのアクセスのために予め付与された所定の内部サーバ識別情報を抽出し、抽出した当該内部サーバ識別情報に基づいて前記内部サーバを選択し、選択した前記内部サーバに対して前記処理要求を送信するステップと、
    前記クライアント端末からの認証要求と認証情報を送信した前記内部サーバからリダイレクト処理要求を受けた場合において、前記リダイレクト処理を前記クライアント端末へ返却せずに、前記クライアント端末との接続を保ったまま、前記リダイレクト処理要求において指定された内部サーバに対し、再度前記認証要求と前記認証情報を送信するリダイレクト処理ステップを有することを特徴とする通信方法。
  10. 前記クライアント端末からのアクセスの認証を、前記クライアント端末のアカウント情報を有する前記内部サーバによって行うステップと、
    前記認証が完了した当該サーバによって、当該クライアント端末の認証が完了したことを示す認証完了情報と、当該クライアント端末から以降に送信される処理要求を実行するために用いる新たに生成したセッション識別子を当該クライアント端末に対して送信すると共に、当該処理要求を実行するために用いる当該サーバのサーバ識別情報が当該処理要求に暗黙的に埋め込まれるように当該サーバ識別情報を当該クライアント端末に対して送信するステップとを備えることを特徴とする請求項9に記載の通信方法。
  11. アクセスが制限された内部サーバにクライアント端末からインターネットを介してアクセスするためのWEBシステムの前記クライアント端末と前記内部サーバの間に配置されたプロキシサーバ上で実行されるプログラムであって、
    前記プロキシサーバに、
    前記クライアント端末からの処理要求に暗黙的に埋め込まれた、前記内部サーバへのアクセスのために予め付与された所定の内部サーバ識別情報を抽出し、抽出した当該内部サーバ識別情報に基づいて前記内部サーバを選択し、選択した前記内部サーバに対して前記処理要求を送信する処理を実行させ、
    また、前記クライアント端末からの認証要求と認証情報を送信した前記内部サーバからリダイレクト処理要求を受けた場合において、前記リダイレクト処理を前記クライアント端末へ返却せずに、前記クライアント端末との接続を保ったまま、前記リダイレクト処理要求において指定された内部サーバに対し、再度前記認証要求と認証情報を送信するリダイレクト処理を実行させることを特徴とするプログラム。
JP2007058260A 2007-03-08 2007-03-08 Webシステム、サーバ、プロキシサーバ、通信方法及びプログラム Active JP4389232B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007058260A JP4389232B2 (ja) 2007-03-08 2007-03-08 Webシステム、サーバ、プロキシサーバ、通信方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007058260A JP4389232B2 (ja) 2007-03-08 2007-03-08 Webシステム、サーバ、プロキシサーバ、通信方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2008225521A JP2008225521A (ja) 2008-09-25
JP4389232B2 true JP4389232B2 (ja) 2009-12-24

Family

ID=39844124

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007058260A Active JP4389232B2 (ja) 2007-03-08 2007-03-08 Webシステム、サーバ、プロキシサーバ、通信方法及びプログラム

Country Status (1)

Country Link
JP (1) JP4389232B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6176161B2 (ja) * 2014-03-18 2017-08-09 富士ゼロックス株式会社 印刷制御装置及びプログラム
JP6383293B2 (ja) * 2015-01-09 2018-08-29 エイチ・シー・ネットワークス株式会社 認証システム

Also Published As

Publication number Publication date
JP2008225521A (ja) 2008-09-25

Similar Documents

Publication Publication Date Title
US8438227B2 (en) Instant messaging using browser
US8423650B2 (en) Transferring session data between network applications
EP2550791B1 (en) System and method for secure multi-client communication service
JP6157411B2 (ja) 権限移譲システム、方法、認証サーバーシステム、およびそのプログラム
JP4867486B2 (ja) 制御プログラムおよび通信システム
JP5309496B2 (ja) 認証システムおよび認証方法
CN103404103A (zh) 将访问控制系统与业务管理系统相结合的系统和方法
JP2007310512A (ja) 通信システム、サービス提供サーバおよびユーザ認証サーバ
KR100354369B1 (ko) 정보 처리 방법, 정보 처리 장치, 정보 처리 프로그램을 격납하는 기억 매체
JP2008181427A (ja) シングルサインオンシステム、情報端末装置、シングルサインオンサーバ、プログラム
JP2008009607A (ja) 情報処理システムおよび制御プログラム
JP2011523145A (ja) サーバを利用したウェブサイト上での情報公表
JP4389232B2 (ja) Webシステム、サーバ、プロキシサーバ、通信方法及びプログラム
CN109379339A (zh) 一种Portal认证方法及装置
JP5211579B2 (ja) Sipを用いた認証システムおよび認証方法
US7640580B1 (en) Method and apparatus for accessing a computer behind a firewall
US20100287600A1 (en) Assigning User Requests of Different Types or Protocols to a User by Trust Association Interceptors
JP6537019B2 (ja) 中継装置及び中継通信システム
JP4337747B2 (ja) ハードウェア資源提供システム
JP6710230B2 (ja) 認証システム及び認証方法
JP2007272689A (ja) オンラインストレージ認証システム、オンラインストレージ認証方法、及びオンラインストレージ認証プログラム
JP2004302869A (ja) アクセス管理サーバ、ネットワーク装置、ネットワークシステム、アクセス管理方法
JP7243144B2 (ja) 端末装置、認証支援装置及びプログラム
JP2008217376A (ja) コンテンツ共有方法及びシステム
JP4185012B2 (ja) サーバシステム、第1のアプリケーションサーバ、第2のアプリケーションサーバ、セッションデータ取得方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090420

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090911

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090924

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121016

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4389232

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131016

Year of fee payment: 4