JP5016950B2 - 認証システム及び情報中継装置 - Google Patents

認証システム及び情報中継装置 Download PDF

Info

Publication number
JP5016950B2
JP5016950B2 JP2007053613A JP2007053613A JP5016950B2 JP 5016950 B2 JP5016950 B2 JP 5016950B2 JP 2007053613 A JP2007053613 A JP 2007053613A JP 2007053613 A JP2007053613 A JP 2007053613A JP 5016950 B2 JP5016950 B2 JP 5016950B2
Authority
JP
Japan
Prior art keywords
business
business application
information
access
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007053613A
Other languages
English (en)
Other versions
JP2008217383A (ja
Inventor
建部吉男
鈴木俊行
山平拓也
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2007053613A priority Critical patent/JP5016950B2/ja
Publication of JP2008217383A publication Critical patent/JP2008217383A/ja
Application granted granted Critical
Publication of JP5016950B2 publication Critical patent/JP5016950B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、インタネットやイントラネットを介して複数の業務アプリケーションをコンピュータ端末から操作可能とするためのシステムおよび装置に関する。
複数の異なる業務を、それぞれの業務に対応した専用端末を使って実行している環境において、この環境では、一端末では一名しか同時に該当の一業務しか実行できないため、頻繁に利用される業務には多数の専用端末が必要になる。また、担当者は、その専用端末が設置されている場所に移動して業務を行う必要があり、複数の業務を担当している場合は、担当者の移動などより業務時間において時間的なロスが生じるという不都合があった。
専用端末と業務装置に実装されている業務アプリケーションを接続する場合には、専用端末の電源を入れると同時に接続されて認証処理や業務処理を開始する場合や、専用端末に表示されるメニューを選択したり個人認証データを入力した後、業務アプリケーションと接続されて業務を開始する場合など、業務に応じて種々のアクセス方法をとっている。
また、業務アプリケーションと個人認証もそれぞれ個々の業務アプリケーションごとに個別に行われるため、利用者はそれぞれの業務端末ごとにその都度認証情報を入力している。
企業統合や業務統合などにおいて、従来の異なる業務アプリケーションをそれぞれの業務に対応した専用端末で実行する環境から、担当者ごとに操作を行う同一の業務端末で複数の業務にも利用できる環境への移行が必要とされている。
従来、担当者が専用端末を利用する場合、セキュリティ上の面から利用者が正規の利用者であるかを判定する認証情報が、業務アプリケーションにアクセスする場合に必要となり、複数の異なる業務アプリケーションを統合する場合には、担当者数と業務アプリケーションの積に相当する認証情報を判断する仕組みが必要になる。
この環境を構築するに当たり、全ての業務端末にこれらのデータを保持させる方法が考えられるが、業務端末が多数の場合の実装時間、データ変更などの保守的な問題、業務端末を複数の利用者が共有する場合もありセキュリティ上の問題がある。
本発明の統合業務認証システムでは、上記課題を解決するために、ユーザから業務アプリケーションへのアクセス要求に応じて認証処理およびアクセス処理を行う認証システムであって、ユーザから個人認証情報と利用する業務アプリケーション情報とを受信する業務認証情報受信手段と、前記個人認証情報毎に前記業務アプリケーションへアクセスするための情報を保持する業務アクセス情報記録手段と、前記業務認証情報受信手段が受信した個人認証情報と業務アプリケーション情報をもとに、前記業務アクセス情報記録手段を検索し、前記業務アプリケーションへのアクセス処理を行うか否かを判断する業務アクセス情報変換手段とを有する統合業務認証システムを提供する。
企業統合や企業内組織統合などにおいて、複数の異なる業務アプリケーションをそれぞれの担当者が個別に利用する業務端末で実行する環境を構築できる。そのため、多数の専用端末を設置する必要がなくなり、担当者が業務アプリケーションの専用端末が設置されている場所に移動して業務を行う必要がなくなるため、複数の業務を担当している場合の移動などよる時間的なロスが生じるという不都合が解消でき、担当者がアクセスするための個人認証情報のセキュリティが確保できる効果がある。
本発明の実施に好適な実施形態の例を、図面を用いて説明する。但し、本発明は本実施形態に限定されるものではない。
図1は、本発明の統合業務認証システム(単に認証システムとも言う)の一実施形態を示すブロック図である。
1は本実施形態における統合業務認証システムであり、2はユーザが個人認証情報を入力したり、利用する業務アプリケーションの選択を行う入力装置、3はディスプレイ等の表示装置、11はユーザが入力した個人認証情報や選択した業務アプリケーション情報を受信する業務認証情報受信部、12は個人認証情報や業務アプリケーション情報を利用しユーザの業務アクセス情報を検索し、業務アプリケーションへのアクセス処理を行うか否かを判断する業務アクセス情報変換部、13は業務アプリケーションにアクセスするための業務アクセス情報テーブルを記憶する業務アクセス情報記憶部、14は業務アクセス情報を利用して業務アプリケーションへの接続処理を行う接続状態維持部、15は業務アプリケーションである。総合業務認証システム1は、例えばCPUやメモリから構成されるサーバ装置であり、業務認証情報受信部11、業務アクセス情報変換部12、および、接続状態維持部14は、サーバ装置のメモリに格納されるプログラムをCPUが実行することによって実現される。業務アクセス情報記憶部13は、サーバ装置のメモリによって実現される。通信処理部16もサーバ装置のメモリに格納されるプログラムをCPUが実行することによって実現されてもよい。入力装置2および表示装置3は、例えばキーボードおよびディスプレイ等から構成されるユーザ業務端末である。業務アプリケーション15は、例えば業務専用サーバ装置において、メモリに格納されるプログラムをCPUが実行することによって実現される。
利用者は、コンピュータ端末のキーボードを代表とするデータ入力装置2を利用し、アクセス要求情報である個人認証情報の入力と利用する業務アプリケーションの選択を行う。個人認証情報は、ユーザIDとパスワードが一般的であるが、指紋や静脈などのデータを、これら情報を入力可能な装置から入力し、ユーザIDとパスワードに置き換えることも可能である。利用する業務アプリケーションの選択には、複数ある業務アプリケーションをそれらの名称を文字での表示やアイコンでの表示によってメニュー形式でコンピュータのディスプレイ装置等の表示装置3に表示することで、利用者はそれらの中から利用する業務アプリケーションを、マウスやキーボードなどの入力装置2を利用して選択することが出来る。これら入力装置2と表示装置3は業務端末に付随しているものを利用できる。
入力されたアクセス要求情報(個人認証情報と利用する業務アプリケーション情報)は、業務認証情報受信部11が受信し、ユーザIDとパスワードからなる個人認証情報と、利用する業務アプリケーションの識別子を、業務アクセス情報変換部12に送信する。
業務アクセス情報変換部12では、アクセス要求情報として個人認証情報と業務アプリケーションの識別子を受信し、業務アクセス情報記憶部13を利用し、該当する利用者の業務アクセス情報を検索する。業務アクセス情報は、各業務アプリケーションを業務端末から利用するために必要な情報である。
業務アクセス情報記憶部13は、図2の業務アクセス情報テーブル21に示すような表形式で構成されている。
図2の業務アクセス情報テーブル21おいて、同一の列201は同一の業務アプリケーションの識別子に関連し、同一の行202は同一の個人IDとパスワードに関連する。これらの列201の記述である業務アプリケーションの識別子、行202の記述である個人IDとパスワードの双方が関連する欄が該当する業務アクセス情報である。たとえば、図2において、業務アクセス情報(NK)は、個人認証情報であるUserID-N、P.W.-Nを有する利用者が業務アプリケーション(K)にアクセスするための情報が記載されている。
インタネットやイントラネットを介して業務アプリケーションを実行する一般的な方法として、インタネットやイントラネットを介して利用者からの実行要請コマンドを受け付け、コマンドに応じて業務アプリケーションを実行するアプリケーションサービスが用意されている。たとえば、「telnet」や「http」が代表的なアプリケーションサービスである。これらアプリケーションサービスを利用して、業務アプリケーションを実行する仕組みは良く知られておりここでは詳述しない。
業務アプリケーションを実行するために、下記(1)〜(3)の業務アクセス情報が一例として必要である。
(1)業務アプリケーションが実装されている装置のIPアドレス
(2)該当する業務を実行させるための業務アプリケーションのTCPポート番号あるいはUDPポート番号。たとえば、前記「telnet」を利用する場合のTCPポート番号は23、「http」を利用する場合のTCPポート番号は80となっている。
(3)前記アプリケーションサービスを利用して業務アプリケーションを起動するためのコマンドとデータ。これには、該当する業務の利用者の個人認証情報が含まれる。
業務アプリケーションによっては、業務端末との接続のために複数回の送受信を繰り返すこともあるので、その接続開始時のやり取りに応じた複数個の送受信コマンドと該当する送信データが必要である。たとえば、業務アプリケーションから、c1コマンドを受信すればc2コマンドにd2データを添付して業務アプリケーションへ返信する。c3コマンドを受信すれば、c4コマンドにd4データを添付して業務アプリケーションへ送信する。コマンドc5を受信した場合は接続完了とする。このような接続処理を実行するなら、「c1/c2,d2;c3/c4,d4;c5/S;」のようなデータを業務アクセス情報テーブル21に記載しておく。
あるいは、業務アプリケーションを起動するために利用されるパケットデータのデータ部の全体を記憶しておくこともできる。その場合、データ部の全体を確認し、データ部のD6を業務アプリケーションから受信すればデータ部のd6を業務アプリケーションへ送信し、データ部のD7を業務アプリケーションから受信すればデータ部のd7を業務アプリケーションへ送信する、という接続処理を実行することもできる。このような接続処理を実行するなら、D6/d6,D7/d7;のようなデータを業務アクセス情報テーブル21に記載しておく。
このように、業務アプリケーションを起動するためのコマンドとデータは、前記のようにアクセスに必要なコマンドとデータのみを選択的に記載しておくことも、また業務アプリケーションを起動するために利用されるパケットデータのデータ部の全体を業務アクセス情報テーブル21に記載しておくことも可能である。以降業務アクセステーブル21に記載されているデータとコマンド、あるいはパケットデータのデータ部をアクセスデータと呼ぶ。パケットデータの形式については図7を利用して別途説明する。
また利用者によっては利用できない業務アプリケーションもある。そのような場合は、図2の業務アクセス情報テーブル21において、個人認証情報としてUserID-C P.W.-Cを持つ利用者の業務アプリケーションであるAPL(2)や、個人認証情報としてUserID-M P.W.-Mを持つ利用者の業務アプリケーションであるAPL(K)に該当する業務アクセス情報のように、利用不可能を示すデータを記載しておくことができる。利用不可能を示すデータとして図2では「*」を記載している。この方法により不正なアクセスを防止できる。
業務アクセス情報テーブル21において、図2に示す列201の記述である業務アプリケーションの識別子、行202の記述である個人IDとパスワードの双方が一致し該当する欄の業務アクセス情報が利用不可能を示すデータでない場合は、該当する欄の業務アクセス情報を、業務アクセス情報変換部12から接続状態維持部14に送信する。
業務アクセス情報変換部12では、列201の記述である業務アプリケーションの識別子、行202の記述である個人IDとパスワードの双方、あるいはいずれか一方が存在しない場合、該当する欄が利用不可能を示すものである場合はその旨を業務認証情報受信部11に送信する。業務認証情報受信部11では、列201の記述である業務アプリケーションの識別子、行202の記述である個人IDとパスワードの双方、あるいはいずれか一方が存在しない旨、あるいは利用不可能である旨を表示装置3に表示し利用者に通知する。表示装置3としては、コンピュータのディスプレイ装置が利用できる。利用者は、業務アクセス情報を再入力することもできるが、本処理は不正アクセスを防止する機能ともなる。
以上のように業務アクセス情報変換部12では、業務アクセス情報テーブル21をもとに業務アプリケーションへのアクセス処理を行うか否かを判定している。
接続状態維持部14では、業務アクセス情報変換部12から受信した業務アクセス情報を利用して、該当する業務アプリケーションにアクセスし、業務アプリケーションを該当する利用者が実行できる状態を確保する。
接続状態維持部14からは、業務アクセス情報変換部12から受信した業務アクセス情報の第一番目のコマンドとデータ、あるいは第一番目の送信データを、該当する業務アプリケーションに送信する。この際、業務アプリケーションへ送信されるパケットデータに含まれる情報として、アクセスデータである前記第一番目のコマンドとデータあるいは第一番目のデータ部、送信元のIPアドレスとして業務端末のIPアドレスを利用し、あて先のIPアドレスとして業務アプリケーションが実装されている装置のIPアドレスを利用し、送信元のポート番号として業務端末のポート番号を利用し、あて先のポート番号として該当する業務アプリケーションを実行するアプリケーションサービスのポート番号をそれぞれ利用する。
接続状態維持部14では、業務アプリケーションからパケットを受信すると、受信したパケットデータの送信元とあて先のIPアドレス、送信元とあて先のポート番号を確認する。業務アプリケーションから受信したパケットデータの業務アプリケーション側と業務端末側の双方のIPアドレス、ポート番号が全て一致し、該当する業務アプリケーションと該当する業務端末のものであれば、受信したパケットデータからコマンド、あるいはデータ部を抽出する。抽出したコマンドあるいはデータ部が前記業務アクセス情報に含まれていれば、該当するアクセスデータであるコマンドとデータ、あるいは該当するデータ部を返信する。これを繰り返す。接続が完了した場合、完了時に受信したパケットデータは業務認証情報受信部11に送信し、接続状態維持部14の該当業務端末と業務アプリケーションのアクセス処理が正常終了する。
前記業務アプリケーションから受信したパケットデータの業務アプリケーション側と業務端末側の双方のIPアドレス、ポート番号が一致していなければ、該当する業務アプリケーションと業務端末のアクセス処理とは関係のないパケットデータを業務アプリケーションが実装されるサーバ装置から受信したと判断し、通信処理部16に該当パケットを送信する。パケットのヘッダ情報をもとに該パケットの転送処理を行う。
前記業務アプリケーションから受信したパケットデータを確認し、該当するアクセスデータが前記業務アクセス情報に含まれていなければ、その旨を業務認証情報受信部11に送信し、アクセス処理は異常終了となる。
業務認証情報受信部11では、接続状態維持部14がアクセス処理を完了した後、業務アプリケーションから受信したパケットデータに従った業務画面が表示装置3に表示されるので、利用者は該当する業務アプリケーションを実行することができる。
また、業務アプリケーションへのアクセス処理において、前記、業務アクセス情報変換部12において業務アクセス情報テーブル21から該当する業務アクセス情報を検索できなかった場合、業務アクセス情報が利用不可能を示すデータである場合、または接続状態維持部14において業務アプリケーションとのアクセス処理時に業務アクセス情報には含まれていないコマンド、あるいはデータが業務アプリケーションより送信された場合、タイムアウトなどにおいて通信が正常に実行されなかった場合は、その旨を前記表示装置3により表示する。
このようにして利用者は個人業務端末から複数の業務アプリケーションから利用したい業務アプリケーションの実行が可能となる。
図3は、本発明の統合業務認証システム1の動作例を示すフローチャートである。図3のそれぞれのステップ、あるいは複数のブロックにより、前記図1における実施形態を示すブロックの動作に対応している。
まず、業務認証情報受信部11は、利用者が入力装置2から入力したアクセス要求情報(個人認証情報と利用する業務アプリケーション情報)を受信する(ステップ301)。次に、業務アクセス情報変換部12は、アクセス要求情報を個人認証情報と業務アプリケーション識別子に分離する(ステップ302)。ステップ302では、アクセス要求情報をユーザIDとパスワードである個人認証情報と、業務アプリケーションの識別子を分離する。次に、業務アクセス情報変換部12は、個人認証情報が業務アクセス情報テーブル21に含まれているか確認し(ステップ303)、業務アプリケーションの識別子が業務アクセス情報テーブル21に含まれているかを確認する(ステップ304)。ステップ303とステップ304では、それぞれ図1の業務アクセス情報記憶部13に含まれる図2の業務アクセス情報テーブル21を参照し、個人認証情報である個人IDとパスワードと業務アプリケーションの識別子が含まれているかどうかを確認する。次に、業務アクセス情報変換部12は、ステップ303とステップ304の確認結果をもとに業務アクセス情報テーブル21から業務アクセス情報を検索する(ステップ305)。業務アクセス情報変換部12は、業務アクセス情報テーブル21を検索することで、業務アプリケーションへのアクセス処理を行うか否かを判定する。ステップ305で、列201の記述である業務アプリケーションの識別子、行202の記述である個人IDとパスワードの双方、あるいはいずれか一方が存在しない場合は、業務認証情報受信部11が該当するアクセスが不可能である旨を利用者に表示装置3を通して通知する(ステップ306)。ステップ305で、列201の記述である業務アプリケーションの識別子、行202の記述である個人IDとパスワードの双方が一致していた場合、業務アクセス情報記憶部13の業務アクセス情報テーブル21を参照し該当する業務アクセス情報を検索する。検索した業務アクセス情報が利用不可能を示すデータ(図2では「*」)である場合は、ステップ306にて利用者にアクセスが不可能である旨を通知する。ステップ305では、検索した業務アクセス情報が利用不可能を示すデータでない場合、検索した業務アクセス情報と、業務端末のIPアドレスとポート番号とを合わせて接続状態維持部14へ送信する。接続状態維持部14は、受信した業務アクセス情報から業務アプリケーションのIPアドレス、ポート番号、業務アプリケーションに送信するコマンドとデータを読み出す(ステップ307)。次に、接続状態維持部14は、業務アプリケーションのIPアドレス、ポート番号をあて先とし、業務アクセス情報変換部12から受信した業務端末のIPアドレスとポート番号を送信元として、該当するコマンドとデータを含めて該当する業務アプリケーションにパケットデータを送信する(ステップ308)。
その後、業務アプリケーションからは、ステップ308からのコマンドに応じて、業務端末のIPアドレスとポート番号をあて先として、返信コマンドが接続状態維持部14に送られる。
接続状態維持部14は、業務アプリケーションから受信したパケットデータからIPアドレス、ポート番号、コマンドを確認する(ステップ309)。次に、接続状態維持部14は、あて先の業務端末のIPアドレスとポート番号と、送信元の業務アプリケーションのIPアドレス、ポート番号が、該当する業務アプリケーションと該当する業務端末のものであるかを判断し、一致するかどうか確認する(ステップ310)。一致しなければ一般パケット処理を行う通信処理部16にパケットデータを送信する(ステップ311)。一致すれば、受信したパケットから業務アプリケーションからのコマンドを抽出し、業務アプリケーションからのコマンドが該当する業務アクセス情報からのコマンドが完了を意味するかを確認する(ステップ312)。完了を意味する場合は、該当するパケットデータを該当する業務端末に送信する(ステップ313)。その他のコマンドの場合は、あて先の業務端末のIPアドレスとポート番号と、送信元の業務アプリケーションのIPアドレス、ポート番号の情報とともにステップ307の処理を行う。
ステップ309では、業務アプリケーションとの通信において、タイムアウトなどの通信異常についても確認を行い、通信異常が確認された場合は業務認証情報受信部11にてステップ306の処理を行う。
ステップ306では、該当するアクセスが不可能である通知として、ステップ305からの通知である、列201の記述である業務アプリケーションの識別子、行202の記述である個人IDとパスワードの双方、あるいはいずれか一方が存在しない場合、検索した業務アクセス情報が利用不可能を示すデータ(図2では「*」)である場合、ステップ309からの通知であるタイムアウトなどの通信が正常に実行されなかった場合において、その旨を表示装置3を通して利用者に通知する。
ステップ308では、あて先の業務端末のIPアドレスとポート番号と、送信元の業務アプリケーションのIPアドレス、ポート番号に一致する業務アプリケーションからのコマンドが該当する業務アクセス情報にあるか否かを判断し、存在すれば業務アプリケーションのIPアドレス、ポート番号をあて先とし、業務端末のIPアドレスとポート番号を送信元として、該当するコマンドとデータを含むパケットデータを該当する業務アプリケーションに送信する。これを繰り返す。
このようにして利用者は個人業務端末から複数の業務アプリケーションから利用したい業務アプリケーションの実行が可能となる。
図4は、本システムの実行環境の他の実施形態を示すブロック図である。
図4において、業務端末41a、41b、...、41nは、通信中継装置43からなるLANを介して認証装置42に接続され、通信中継装置43は、インタネットやイントラネットを介して業務装置44a、44b、...、44mに接続されている。
業務端末41a、41b、...、41nには、パーソナルコンピュータやワークステーションのようなCPU及びメモリを搭載した装置が利用可能であり、業務認証情報受信部11を実装できる。業務端末41a、41b、...、41nは、業務を実行する担当者に応じた台数が配備され、一般的に多数である。
認証装置42には、業務アクセス情報変換部12、業務アクセス情報記憶部13を実装できる。認証装置42はCPU及びメモリを搭載した一般的なコンピュータを利用できる。認証装置42は、イントラネットと呼ばれる組織内ネットワークを介して接続可能な場所に1台設置される場合が一般的である。しかし、インタネットを介して接続可能な場所に設置される場合、イントラネットと呼ばれる組織内ネットワークを介して接続可能な場所に設置される場合、業務端末31と同じネットワーク内部に設置される場合のいずれの場所に設置されていても、本発明の範囲を逸脱しない。
通信中継装置43には、CPU及びメモリを搭載しており接続状態維持部14を実装できる。通信中継装置43はスイッチあるいはルータと呼ばれる装置が利用できる。通信中継装置43は、中継装置の性能、ネットワーク構成、建物やフロア構成などにより異なるが、一般的に1台の中継装置で複数台の業務端末や電子機器を接続できる。
業務装置44a、44b、...、44mには、それぞれ異なる業務アプリケーションが実装される場合、負荷分散などに応じて複数台の業務装置に同一業務アプリケーションが実装される場合、一台の業務装置に複数の業務アプリケーションが実装される場合あるが、いずれの場合も本発明の範囲を逸脱しない。業務装置44a、44b、...、44mは、CPU及びメモリを搭載しており、一般的なコンピュータを利用できる。業務装置44は、インタネットを介して接続可能な場所に設置される場合、イントラネットと呼ばれる組織内ネットワークを介して接続可能な場所に設置される場合、業務端末41と同じネットワーク内部に設置される場合のいずれの場所に設置されていても、本発明の範囲を逸脱しない。
図5は、本発明の更に他の実施形態を示すブロック図である。
業務認証情報受信部11、業務アクセス情報変換部12、業務アクセス情報記憶部13、接続状態維持部14、通信処理部16を通信中継装置に実装し、実施することができる。図4のブロック図において業務端末41に実装されていた業務認証情報受信部11を通信中継装置43に実装し、入力装置2と表示装置3を専用端末41に残す構成としている。認証装置42に実装されていた業務アクセス情報変換部12と業務アクセス情報記憶部13を通信中継装置43に実装し認証装置42は利用しない。
各部の処理内容については、他の構成例と同様であるため、ここでは詳述しない。
図6は、本発明の統合業務認証システム1の動作例を示すシーケンス図である。
業務端末に接続されている入力装置2から入力されたアクセス要求情報は、業務認証情報受信部11に送信され(601)、個人認証情報と業務アプリケーション識別子に分離され(602)、業務アクセス情報変換部12に送信される(603)。業務アクセス情報変換部12では、業務アクセス情報記憶部13を利用し、該当する利用者の要求する業務アプリケーションの業務アクセス情報を検索する(604)。検索された業務アクセス情報は接続状態維持部14に送信され(605)、該当する業務アプリケーションに送信される業務アクセス情報を確認し、IPアドレスとポート番号を設定し(606)、業務アプリケーション15に送信する(607)。
接続状態維持部14では、業務アプリケーションと応答を繰り返し(608)、接続処理が完了した場合、業務情報を業務端末41に送信し(609)、表示装置3において該当業務情報が表示され利用者は業務を進める(610)。
業務アクセス情報変換部12、接続状態維持部14において、アクセスが不可能と判断された場合、その旨は業務認証情報受信部11に送信され(611)、業務端末41に接続されている表示装置3に表示される(612)。
図7は本発明において利用するインタネット環境で利用されるパケットデータ701の形式である。
接続状態維持部14が業務アプリケーションにパケットデータ701を送信する場合、前記業務アプリケーションが実装されている装置のIPアドレスはあて先IPアドレス711、業務端末のIPアドレスは送信元IPアドレス710として、IPヘッダ703に記載することになっており、それぞれIPヘッダ703の129ビット目から32ビット、97ビット目から32ビットで表現される。
業務アプリケーションのIPポート番号はあて先ポート番号715、業務端末のポート番号は送信元ポート番号714として、TCPヘッダ704に記載することになっており、それぞれTCPヘッダ704の17ビット目から16ビット、1ビット目から16ビットで表現される。
業務アプリケーションを起動するためのアクセスデータはデータ部705に記述されている。
接続状態維持部14が業務アプリケーションからパケットデータを受信する場合は、あて先と送信元のIPアドレス、ポート番号がそれぞれ入れ替わる。
このように、本発明の統合業務認証システムにおいて、複数の異なる業務アプリケーションを、同一端末で統合された認証を実行し、セキュリティを確保された環境で実行できる。
統合業務認証システムの一実施形態を示すブロック図である。 業務アクセス情報テーブル21の例を示す図である。 統合業務認証システムの動作例を示すフローチャートである。 統合業務認証システムの一実施形態を示すブロック図である。 統合業務認証システムの一実施形態を示すブロック図である。 統合業務認証システムの動作例を示すシーケンス図である。 インタネット環境で利用されるパケットデータの形式を示す図である。
符号の説明
1:統合業務認証システム、2:入力装置、3:表示装置、11:業務認証情報受信部、12:業務アクセス情報変換部、13:業務アクセス情報記憶部、14:接続状態維持部、15:業務アプリケーション、16:通信処理部、21:業務アクセス情報テーブル
41a,41b,...,41n:業務端末、42:認証装置、43:通信中継装置、44a,44b,...,44m:業務装置

Claims (10)

  1. ユーザ端末から業務アプリケーションへのアクセス要求に応じて認証処理およびアクセス処理を行う認証システムであって、
    前記ユーザ端末から個人認証情報と利用する業務アプリケーション識別子とを受信する業務認証情報受信手段と、
    前記個人認証情報および前記業務アプリケーション識別子毎に、前記業務アプリケーション識別子が示す業務アプリケーションへアクセスするための情報を保持する業務アクセス情報記録手段と、
    前記業務認証情報受信手段が受信した個人認証情報と業務アプリケーション識別子をもとに、前記業務アクセス情報記録手段を検索し、前記業務アプリケーションへのアクセス処理を行うか否かを判断する業務アクセス情報変換手段と
    前記業務アクセス情報変換手段が前記業務アプリケーションへのアクセス処理を行うと判断した場合に、前記アクセスするための情報をもとに前記業務アプリケーションへのアクセス処理を行う接続状態維持手段とを有し、
    前記アクセスするための情報は、前記業務アプリケーションが実装される装置のアドレス情報と前記業務アプリケーションにアクセスするためのコマンドを含み、
    前記接続状態維持手段は、前記アドレス情報を宛先アドレスとするパケットを前記コマンドを入れた状態で生成し、前記装置へ送信することを特徴とする。
  2. 請求項1記載の認証システムであって、
    前記業務アクセス情報変換手段は、前記業務アプリケーションへのアクセス処理を行わないと判断した場合に、前記業務認証情報受信手段にアクセス不可を通知することを特徴とする。
  3. 請求項記載の認証システムであって、
    前記アクセスするための情報は、更に前記業務アプリケーションで使用するポート番号を含み、
    前記接続状態維持手段は、前記パケットの宛先ポート番号として前記使用するポート番号を設定することを特徴とする。
  4. 請求項記載の認証システムであって、
    前記接続状態維持手段は、前記業務アプリケーションから応答パケットを受信し、該受信したパケットの送信元アドレスと送信元ポート番号が、前記送信先アドレスと送信先ポート番号ポートと一致した場合に、前記アクセス処理を継続することを特徴とする。
  5. 請求項記載の認証システムであって、
    前記接続状態維持手段は、前記応答パケットを一定期間受信しない場合、前記業務認証情報受信手段にアクセス不可を通知することを特徴とする。
  6. ユーザ端末から業務アプリケーションへのアクセス要求パケットを受信し、業務アプリケーションへの認証処理およびアクセス処理を行うために業務アプリケーションが実装される装置へパケットを送信する情報中継装置であって、
    前記ユーザ端末から個人認証情報と利用する業務アプリケーション識別子とを受信する業務認証情報受信部と、
    前記個人認証情報および前記業務アプリケーション識別子毎に、前記業務アプリケーション識別子が示す業務アプリケーションへアクセスするための情報を保持する業務アクセス情報記録部と、
    前記業務認証情報受信部が受信した個人認証情報と業務アプリケーション識別子をもとに、前記業務アクセス情報記録部を検索し、前記業務アプリケーションへのアクセス処理を行うか否かを判断する業務アクセス情報変換部と
    前記業務アクセス情報変換部が前記業務アプリケーションへのアクセス処理を行うと判断した場合に、前記アクセスするための情報をもとに前記業務アプリケーションへのアクセス処理を行う接続状態維持部とを有し、
    前記アクセスするための情報は、前記業務アプリケーションが実装される装置のアドレス情報と前記業務アプリケーションにアクセスするためのコマンドを含み、
    前記接続状態維持手段は、前記アドレス情報を宛先アドレスとするパケットを前記コマンドを入れた状態で生成し、前記業務アプリケーションが実装される装置へ送信することを特徴とする。
  7. 請求項記載の情報中継装置であって、
    前記業務アクセス情報変換部は、前記業務アプリケーションへのアクセス処理を行わないと判断した場合に、前記業務認証情報受信部にアクセス不可を通知することを特徴とする。
  8. 請求項記載の情報中継装置であって、
    前記アクセスするための情報は、更に前記業務アプリケーションで使用するポート番号を含み、
    前記接続状態維持部は、前記パケットの宛先ポート番号として前記使用するポート番号を設定することを特徴とする。
  9. 請求項記載の情報中継装置であって、
    前記接続状態維持部は、前記業務アプリケーションから応答パケットを受信し、該受信したパケットの送信元アドレスと送信元ポート番号が、前記送信先アドレスと送信先ポート番号ポートと一致した場合に、前記アクセス処理を継続することを特徴とする。
  10. 請求項記載の認証システムであって、
    前記接続状態維持部は、前記応答パケットを一定期間受信しない場合、前記業務認証情報受信部にアクセス不可を通知することを特徴とする。
JP2007053613A 2007-03-05 2007-03-05 認証システム及び情報中継装置 Expired - Fee Related JP5016950B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007053613A JP5016950B2 (ja) 2007-03-05 2007-03-05 認証システム及び情報中継装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007053613A JP5016950B2 (ja) 2007-03-05 2007-03-05 認証システム及び情報中継装置

Publications (2)

Publication Number Publication Date
JP2008217383A JP2008217383A (ja) 2008-09-18
JP5016950B2 true JP5016950B2 (ja) 2012-09-05

Family

ID=39837348

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007053613A Expired - Fee Related JP5016950B2 (ja) 2007-03-05 2007-03-05 認証システム及び情報中継装置

Country Status (1)

Country Link
JP (1) JP5016950B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5565027B2 (ja) 2010-03-26 2014-08-06 富士ゼロックス株式会社 処理装置、処理システム及び処理制御プログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08298523A (ja) * 1995-04-26 1996-11-12 Nec Corp ルータ
JP2003132022A (ja) * 2001-10-22 2003-05-09 Nec Corp ユーザ認証システムおよび方法
JP2005064820A (ja) * 2003-08-11 2005-03-10 Nec Corp アクセス制御装置、ネットワークセキュリティシステム、アクセス制御方法およびそのプログラム
JP4291213B2 (ja) * 2004-05-26 2009-07-08 日本電信電話株式会社 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体

Also Published As

Publication number Publication date
JP2008217383A (ja) 2008-09-18

Similar Documents

Publication Publication Date Title
CN101232375B (zh) 单点登录系统、信息终端设备、单点登记服务器及方法
CN102141901B (zh) 打印机控制装置、打印机控制方法和打印系统
JP4894619B2 (ja) 画面出力設定方法、情報処理装置及び情報処理システム
JP5309496B2 (ja) 認証システムおよび認証方法
JP2005151107A (ja) データセンタの装置管理方法、装置管理サーバ、データセンタの装置管理システム並びにプログラム
US8204993B2 (en) Computer system and information processing method
US8478869B2 (en) Information processing device and program
JP2011186849A (ja) Webコンテンツ提供システム、Webサーバ、コンテンツ提供方法、及びこれらのプログラム
US20080183880A1 (en) Power control method and system
JP2007188184A (ja) アクセス制御プログラム、アクセス制御方法およびアクセス制御装置
JP2008140132A (ja) 印刷システム、印刷ジョブ制御装置および印刷ジョブ制御プログラム
JP6344907B2 (ja) 情報処理装置、システムおよび情報処理装置の制御方法
US20040095962A1 (en) Data routing device, method for determining a destination of a request, and a computer program product for realizing the method
WO2004112312A1 (ja) ユーザ認証システム
CN105897667A (zh) 设备访问历史跟踪方法、设备、服务器及系统
JP2007257525A (ja) デバイス管理装置
JP5016950B2 (ja) 認証システム及び情報中継装置
CN101938527B (zh) 通信装置及其控制方法
JP2010283413A (ja) 通信端末、及びその通信インタフェース選択プログラム
JP4404215B2 (ja) 画像形成装置、管理装置、ネットワークシステム、画像形成装置の制御プログラム、及び管理装置の制御プログラム
US7975005B2 (en) Using a proxy to redirect downloads
JP6127622B2 (ja) Dnsサーバ装置、ネットワーク機器、および通信システム
JP5211579B2 (ja) Sipを用いた認証システムおよび認証方法
US20080092206A1 (en) Security protocol control apparatus and security protocol control method
CN1756241A (zh) 一种分布式环境中消息交换的实现方法及其装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090701

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090701

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111012

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111025

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111221

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120515

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120611

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150615

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees