JP6073120B2 - 接続認証システムおよび接続認証方法 - Google Patents

接続認証システムおよび接続認証方法 Download PDF

Info

Publication number
JP6073120B2
JP6073120B2 JP2012263598A JP2012263598A JP6073120B2 JP 6073120 B2 JP6073120 B2 JP 6073120B2 JP 2012263598 A JP2012263598 A JP 2012263598A JP 2012263598 A JP2012263598 A JP 2012263598A JP 6073120 B2 JP6073120 B2 JP 6073120B2
Authority
JP
Japan
Prior art keywords
mobile terminal
connection
authentication
address information
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012263598A
Other languages
English (en)
Other versions
JP2014110515A (ja
Inventor
徹 大渕
徹 大渕
涼一 尾上
涼一 尾上
朝史 嘉陽田
朝史 嘉陽田
Original Assignee
株式会社日本デジタル研究所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社日本デジタル研究所 filed Critical 株式会社日本デジタル研究所
Priority to JP2012263598A priority Critical patent/JP6073120B2/ja
Publication of JP2014110515A publication Critical patent/JP2014110515A/ja
Application granted granted Critical
Publication of JP6073120B2 publication Critical patent/JP6073120B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、接続認証システムおよび接続認証方法に関する。
従来から、ユーザが携帯するモバイル端末と、室内(例えば、会計事務所内)等に設置されたクライアント端末とをリモート接続することで、クライアント端末が目の前にある時と同じように直接操作することができる技術が知られている。ところが、モバイル端末とクライアント端末とが一度接続されてしまうと、モバイル端末からクライアント端末が保持する情報を誰でも閲覧することができてしまうため、接続の際に認証処理等を行ってセキュリティを向上させる必要がある。
例えば、セキュリティを向上させる手法として、VPN(Virtual Private Network)接続により、モバイル端末とクライアント端末との間で暗号化したデータを通信する技術が知られている。
また、セキュリティを向上させる手法として、例えば、モバイル端末とクライアント端末とを中継する専用のセンタ(例えば、中継サーバ)が認証を行い、認証に成功した場合には、全ての通信をセンタを経由させてモバイル端末とクライアント端末とを接続させる技術が知られている。
特開2002−135867号公報
しかしながら、上記のVPN接続による暗号化したデータで通信を行う技術では、モバイル端末とクライアント端末との間で通信を行うたびに、暗号化および復号化を行う必要があるため、通信負荷が高くなり、通信速度が低下するという課題があった。より詳細には、送受信するパケットの内、ユーザデータだけでなくローカルIPヘッダやTCPヘッダ(ポート番号を含む)なども含めて暗号化され、パケットを送受信するたびに暗号化および復号化の処理を経ることによる処理速度の低下である。例えば、モバイル端末を利用して、事務所側の端末(ないし仮想端末)に対しリモート接続を行う場合には、RDP(リモートデスクトッププロトコル)を利用する場合が多いが、この場合、事務所側の端末からモバイル端末に対して画像データを転送したり、モバイル端末から事務所側の端末に入力操作を送信したりすることが複合して行われるため、この際のレスポンスにおいて処理速度の低下は特に重要な問題となる。
また、上記のセンタを経由させてモバイル端末とクライアント端末とを接続させる技術では、全ての通信がセンタを経由するので、通信速度と安全性がセンタに依存してしまい、通信速度および安全性が低下するおそれがあるという課題があった。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、通信負荷による通信速度の低下を軽減しつつも、接続に至るまでの手順(プロトコル)を工夫することで安全性を高くすることを目的とする。
上述した課題を解決し、目的を達成するため、本発明に係る接続認証システムは、ユーザが携帯するモバイル端末と、認証管理サーバを介して前記モバイル端末を認証するファイアウォール装置と、クライアント端末に接続されているサーバとを有する接続認証システムであって、前記モバイル端末は、前記認証管理サーバを介して前記ファイアウォール装置に対して、認証の要求を行うとともに、該モバイル端末のアドレス情報を通知する認証要求部と、前記ファイアウォール装置から受信した接続先クライアント端末のアドレス情報とポート番号とを用いて、前記ファイアウォール装置に対して、前記接続先クライアント端末とのリモート接続を要求するリモート接続要求部とを備え、前記ファイアウォール装置は、前記認証管理サーバを介して前記モバイル端末から認証の要求を受け付けると、該モバイル端末の認証を行う認証部と、前記認証部によって前記モバイル端末の認証を行った結果、該モバイル端末が正当であると判定した場合には、該モバイル端末のアドレス情報を格納する格納部と、前記サーバから接続先クライアント端末のアドレス情報を受信すると、該アドレス情報と前記モバイル端末の接続を許可するポートを識別するポート識別情報とを対応付けて登録する登録部と、前記登録部によって登録された接続先クライアント端末のアドレス情報とポート識別情報とを、前記モバイル端末に送信する送信部と、前記モバイル端末からリモート接続の要求を受け付けると、該モバイル端末のアドレス情報と、前記格納部によって格納されたアドレス情報とを比較し、両アドレス情報が一致する場合には、前記モバイル端末と前記接続先クライアント端末とのリモート接続を確立する接続確立部とを備え、前記サーバは、前記ファイアウォール装置によって前記モバイル端末が正当であると判定された場合には、前記モバイル端末が接続する接続先クライアント端末のアドレス情報を前記ファイアウォール装置に通知するアドレス通知部を備えることを特徴とする。
また、本発明に係る接続認証方法は、ユーザが携帯するモバイル端末と、認証管理サーバを介して前記モバイル端末を認証するファイアウォール装置と、クライアント端末に接続されているサーバとを有する接続認証システムで実行される接続認証方法であって、前記モバイル端末が、前記認証管理サーバを介して前記ファイアウォール装置に対して、認証の要求を行うとともに、該モバイル端末のアドレス情報を通知する認証要求ステップと、前記ファイアウォール装置が、前記認証管理サーバを介して前記モバイル端末から認証の要求を受け付けると、該モバイル端末の認証を行う認証ステップと、前記ファイアウォール装置が、前記認証ステップによって前記モバイル端末の認証を行った結果、該モバイル端末が正当であると判定した場合には、該モバイル端末のアドレス情報を格納する格納ステップと、前記サーバは、前記ファイアウォール装置によって前記モバイル端末が正当であると判定された場合には、前記モバイル端末が接続する接続先クライアント端末のアドレス情報を前記ファイアウォール装置に通知するアドレス通知ステップと、前記ファイアウォール装置が、前記サーバから接続先クライアント端末のアドレス情報を受信すると、該アドレス情報と前記モバイル端末の接続を許可するポートを識別するポート識別情報とを対応付けて登録する登録ステップと、前記ファイアウォール装置が、前記登録ステップによって登録された接続先クライアント端末のアドレス情報とポート識別情報とを、前記モバイル端末に送信する送信ステップと、前記モバイル端末が、前記ファイアウォール装置から受信した接続先クライアント端末のアドレス情報とポート番号とを用いて、前記ファイアウォール装置に対して、前記接続先クライアント端末とのリモート接続を要求するリモート接続要求ステップと、前記ファイアウォール装置が、前記モバイル端末からリモート接続の要求を受け付けると、該モバイル端末のアドレス情報と、前記格納ステップによって格納されたアドレス情報とを比較し、両アドレス情報が一致する場合には、前記モバイル端末と前記接続先クライアント端末とのリモート接続を確立する接続確立ステップと、を含んだことを特徴とする。
発明によれば、認証処理については、認証管理サーバを介して行うことで安全性を高め、一方、接続処理については、ファイアウォールを通してモバイル端末とクライアント端末とでダイレクトに行うことで、通信負荷を軽くする。これにより、通信負荷による通信速度の低下を軽減するとともに、安全性を高めることができるという効果を奏する。
図1は、実施例1に係る接続認証システムの構成を示すブロック図である。 図2は、実施例1に係るモバイル端末の構成を示すブロック図である。 図3は、実施例1に係る認証管理サーバの構成を示すブロック図である。 図4は、契約情報管理テーブルのデータ例を示す図である。 図5は、実施例1に係るファイアウォールの構成を示すブロック図である。 図6は、ポート管理テーブルのデータ例を示す図である。 図7は、モバイル端末IP管理テーブルのデータ例を示す図である。 図8は、DNS情報のデータ例を示す図である。 図9は、実施例1に係るサーバの構成を示すブロック図である。 図10は、ID管理テーブルのデータ例を示す図である。 図11は、接続先管理テーブルのデータ例を示す図である。 図12は、ユーザ契約コードのデータ例を示す図である。 図13は、アクセス管理テーブルのデータ例を示す図である。 図14は、接続認証システムにおける認証処理および接続処理の概要について説明する図である。 図15は、接続認証システムにおけるリモート接続処理について説明する図である。 図16は、接続認証システムによる全体の処理の流れを示すシーケンス図である。 図17は、認証要求を行う際にモバイル端末に表示される画面例を示す図である。 図18は、接続先のコンピュータ名一覧をモバイル端末に表示した画面例を示す図である。 図19は、接続先のコンピュータに関する情報を表示した画面例を示す図である。
以下に添付図面を参照して、この発明に係る接続認証システムおよび接続認証方法の実施例を詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
以下の実施例では、実施例1に係る接続認証システムの構成、モバイル端末の構成、認証管理サーバの構成、ファイアウォールの構成、サーバの構成および接続認証システムの処理の流れを順に説明し、最後に実施例1による効果を説明する。なお、以下では、会計事務所内にファイアウォール、サーバおよびクライアントPCが設置されており、会計事務所外でユーザがモバイル端末を利用している場合を例として説明する。
[実施例1に係る接続認証システムの構成]
まず、図1を用いて、第1の実施形態に係る接続認証システムの構成について説明する。図1は、第1の実施形態に係る接続認証システムの構成を示すブロック図である。
図1に例示するように、第1の実施形態に係る接続認証システム100は、モバイル端末10と、認証管理サーバ20と、ファイアウォール30と、サーバ40と、複数のクライアントPC(Personal Computer)50a〜50cとで構成される。また、接続認証システム100では、モバイル端末10、認証管理サーバ20、および、ファイアウォール30は、インターネット60を介して接続されている。なお、クライアントPC50a〜50cについて、特に区別無く説明する場合には、クライアントPC50と記載する。
モバイル端末10は、例えば、携帯電話機、スマートフォン、PDA(Personal Digital Assistant)、タブレット型PC、ノート型PC等の情報処理装置であり、ユーザが会計事務所外に持ち運んで使用する端末である。モバイル端末10は、事前準備として、認証管理サーバ20へアクセスするURLを保持している。そして、モバイル端末10は、該URLを用いて認証管理サーバ20にアクセスし、ID、パスワードを入力して、認証管理サーバ20を介してファイアウォール30に認証要求を行うとともに、クライアントPC50とのリモート接続を要求する。そして、モバイル端末10では、クライアントPC50とのリモート接続が確立した後、リモートアクセスすることによって該クライアントPC50が目の前にある時と同様に直接操作することができる。
認証管理サーバ20は、認証に関する情報や、ユーザの契約に関する情報を管理するサーバであり、モバイル端末10からの認証要求を受け付ける。また、例えば、この認証管理サーバ20は、サーバ40からユーザが契約状況の問い合わせを受け付け、契約状況を応答する。
ファイアウォール30は、会計事務所内のネットワークに対する外部からの不正な侵入を防ぐ機能を有するソフトウェアを搭載した装置である。このファイアウォール30は、デフォルト状態では、認証管理サーバ20からのアクセスのみを許可し、他装置からのアクセスを拒否することで、安全性を確保している。また、後述するように、ファイアウォール30は、認証管理サーバ20からの指示を受けて、認証管理サーバ20が認証に成功したモバイル端末10のみリモート接続を許可するので、さらに安全性を確保している。
サーバ40は、会計事務所内に設置されたサーバ装置であり、同会計事務所内に設置されたクライアントPC50a〜50cに関する情報を管理している。また、サーバ40は、事前準備として、各クライアントPC50a〜50cからユーザIDとパスワードの登録を受け付け、該ユーザIDとパスワードを後述するID管理テーブル43aに記憶する。また、図1の例では、サーバ40上において、クライアントPC50を仮想的に構築した仮想クライアントPC40aを動作させており、この仮想クライアントPC40aをモバイル端末10とリモート接続される接続先端末としてもよい。
クライアントPC50は、会計事務所内に設置されたPCであり、例えば、デスクトップ型PC等の情報処理装置であって、ユーザが会計事務所内で使用する端末である。また、このクライアントPC50は、ファイアウォール30が認証したモバイル端末10とリモート接続される端末である。
以下に、図を用いて、モバイル端末10の構成、認証管理サーバ20の構成、ファイアウォール30の構成、サーバ40の構成を順に説明していく。
[モバイル端末10の構成]
まず、図2を用いて、図1に示したモバイル端末10の構成を説明する。図2は、実施例1に係るモバイル端末10の構成を示すブロック図である。図2に示すように、このモバイル端末10は、入力部11、出力部12、通信部13、制御部14、記憶部15を備える。以下にこれらの各部の処理を説明する。
入力部11は、ユーザIDやパスワード、接続先のコンピュータ名の選択指示などを入力するものであり、キーボードやマウス、マイクなどを備えて構成される。また、出力部12は、ユーザIDおよびパスワードを入力可能な認証画面(後述する図17参照)や、接続先のコンピュータ名一覧を表示した画面(後述する図18参照)、リモート接続要求時の画面(後述する図19参照)を表示するものであり、モニタ(ディスプレイ、タッチパネル)やスピーカを備えて構成される。
通信部13は、接続される認証管理サーバ20およびファイアウォール30との間でやり取りする各種情報に関する通信を制御する。具体的には、通信部13は、ユーザIDやパスワードを認証管理サーバ20に送信し、接続先のコンピュータの一覧を認証管理サーバ20から受信する。また、通信部13は、接続先端末情報とポート番号をファイアウォール30から受信し、リモート接続の要求をファイアウォール30に送信する。
制御部14は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、認証要求部14a、選択指示部14b、リモート接続要求部14cを有する。
認証要求部14aは、モバイル端末10から認証管理サーバ20を介してファイアウォール30に対して、認証の要求を行うとともに、該モバイル端末10のグローバルIPを通知する。具体的には、認証要求部14aは、認証の要求を行う際には、ファイアウォール30内のDNS(Domain Name System)と認証管理サーバ20のURLとが組み合わされた特定URLを用いて、認証管理サーバ20にアクセスする。なお、この特定URLは、事前にサーバ40から通知されたものであり、例えば、ブックマークに登録されているものとする。
選択指示部14bは、サーバ40から通知された接続先クライアント端末の一覧のうち、ユーザによって選択指示されたコンピュータ名をファイアウォール30に通知する。具体的には、選択指示部14bは画面に表示されたコンピュータ名のうち、いずれかのコンピュータ名がユーザに選択指示されると、該コンピュータ名をファイアウォール30に通知する。
リモート接続要求部14cは、ファイアウォール30から受信した接続先クライアント端末のアドレス情報とポート番号とを用いて、ファイアウォール30に対して、接続先クライアント端末とのリモート接続を要求する。具体的には、リモート接続要求部14cは、RDP(Remote Desktop Protocol)ツールにより接続アドレス、ポート番号を取得して、リモート接続をファイアウォール30へ要求する。
記憶部15は、制御部14による各種処理に必要なデータおよびプログラムを格納するものであり、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ(flash memory)などの半導体メモリ素子、または、ハードディスク、光ディスクなどの記憶装置である。
[認証管理サーバ20の構成]
次に、図3を用いて、図1に示した認証管理サーバ20の構成を説明する。図3は、実施例1に係る認証管理サーバ20の構成を示すブロック図である。図3に示すように、この認証管理サーバ20は、通信部21、制御部22、記憶部23を備える。以下にこれらの各部の処理を説明する。
通信部21は、接続されるモバイル端末10およびファイアウォール30との間でやり取りする各種情報に関する通信を制御する。具体的には、通信部21は、ユーザIDやパスワードをモバイル端末10から受信し、ファイアウォール30に転送する。また、通信部21は、接続先のコンピュータの一覧をファイアウォール30から受信し、モバイル端末10に転送する。
記憶部23は、制御部22による各種処理に必要なデータおよびプログラムを格納するものであり、特に本発明に密接に関連するものとしては、契約情報管理テーブル23aを記憶する。
契約情報管理テーブル23aは、契約状況に関する情報が登録されたテーブルである。具体的には、図4に例示するように、契約情報管理テーブル23aは、契約を一意に識別するコードである「ユーザ契約コード」と、契約が有効であるか無効であるかを示す「契約状況」とを対応付けて記憶する。例えば、図4の例では、契約情報管理テーブル23aは、ユーザ契約コード「tokyo634」と、契約状況「有効」とを対応付けて記憶している。これは、ユーザ契約コード「tokyo634」の契約が「有効」であることを示している。
制御部22は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、認証接続部22aおよび確認部22bを有する。
認証接続部22aは、モバイル端末10から、ユーザIDおよびパスワードの入力を受け付ける。そして、認証接続部22aは、モバイル端末10のグローバルIPを取得し、受け付けたユーザIDおよびパスワードとともに、モバイル端末10のグローバルIPをファイアウォール30に送信する。
確認部22bは、サーバ40から問い合わせを受け付けた場合には、契約状況が有効であるか否かを確認し、該確認の結果をサーバ40に送信する。具体的には、確認部22bは、サーバ40からユーザ契約コードとともに、契約状況を確認する旨の問い合わせを受け付けると、サーバ40から受け付けたユーザ契約コードと一致するユーザ契約コードを契約情報管理テーブル23aから検索し、該ユーザ契約コードに対応する契約状況(有効または無効)を取得して、該契約状況をサーバ40に返信する。
[ファイアウォール30の構成]
次に、図5を用いて、図1に示したファイアウォール30の構成を説明する。図5は、実施例1に係るファイアウォール30の構成を示すブロック図である。図5に示すように、このファイアウォール30は、通信部31、制御部32、記憶部33を備える。以下にこれらの各部の処理を説明する。
通信部31は、接続されるモバイル端末10、認証管理サーバ20、ファイアウォール30およびサーバ40との間でやり取りする各種情報に関する通信を制御する。具体的には、通信部31は、ユーザIDやパスワードを認証管理サーバ20から受信し、ユーザID、パスワードの問い合わせをサーバ40に送信する。また、通信部31は、接続先のコンピュータ名一覧をサーバ40から受信し、その接続先のコンピュータ名一覧を認証管理サーバ20に送信する。
また、通信部31は、選択指示された接続先のコンピュータ名をモバイル端末10から受信し、そのコンピュータ名をサーバ40に送信する。また、通信部31は、リモート接続が許可されたクライアントPC50(以下、接続先コンピュータという)のIPアドレスをサーバ40から受信する。また、通信部31は、接続先端末情報(IPアドレス)と、開放するポートのポート番号をモバイル端末10に送信する。また、通信部31は、リモート接続をモバイル端末10から受信する。
記憶部33は、制御部32による各種処理に必要なデータおよびプログラムを格納するものであり、特に本発明に密接に関連するものとしては、ポート管理テーブル33a、モバイル端末IP管理テーブル33b、DNS情報33cを記憶する。
ポート管理テーブル33aは、接続先コンピュータのIPアドレスと、開放される外部ポートのポート番号とを対応付けて記憶する。具体的には、図6に例示するように、ポート管理テーブル33aは、接続先コンピュータの「IPアドレス」と、開放されるポートのポート番号を示す「外部ポート」とを対応付けて記憶する。例えば、図6の例を用いて説明すると、IPアドレス「172.16.1.11」と、外部ポート「9004」とを対応付けて記憶している。
モバイル端末IP管理テーブル33bは、認証の要求を行ったモバイル端末10のグローバルIPを記憶する。具体的には、図7に例示するように、モバイル端末IP管理テーブル33bは、認証の要求を行ったモバイル端末10のグローバルIPである「モバイル端末グローバルIP」を記憶する。例えば、図7の例を用いて説明すると、モバイル端末グローバルIPとして「192.0.2.0/24」を記憶する。
また、DNS情報33cは、ファイアウォール30のDNSである。例えば、記憶部33は、図8に例示するように、ファイアウォール30のDNS情報として「jw401000011.example.jp」を記憶する。なお、記憶部33は、このDNS情報の代わりに、ファイアウォール30の固定IPを記憶していてもよく、例えば、ファイアウォール30の固定IPとして「111.222.33.44」を記憶する。
制御部32は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、認証部32a、格納部32b、登録部32c、送信部32d、接続確立部32eおよび切断部32fを有する。
認証部32aは、認証管理サーバ20を介してモバイル端末10から認証の要求を受け付けると、該モバイル端末10の認証を行う。具体的には、認証部32aは、認証管理サーバ20を介してモバイル端末10から認証の要求を受け付けるとともに、ユーザID、パスワードおよびモバイル端末10のグローバルIPを受け付ける。そして、認証部32aは、ユーザIDおよびパスワードがサーバ40に事前に登録されているものと一致するか否かを問い合わせ、ユーザIDおよびパスワードがサーバ40に事前に登録されているものと一致するものである場合には、モバイル端末10が正当であると判定する。
格納部32bは、認証部32aによってモバイル端末10の認証を行った結果、該モバイル端末10が正当であると判定した場合には、該モバイル端末10のグローバルIPをモバイル端末IP管理テーブル33bに格納する。
登録部32cは、サーバ40から接続先コンピュータのIPアドレスを受信すると、該IPアドレスとモバイル端末10の接続を許可するポートを識別するポート番号とを対応付けて登録する。具体的には、登録部32cは、サーバ40から接続先コンピュータのIPアドレスとともにポートマッピングの指示を受け付けると、サーバ40から接続先コンピュータのIPとモバイル端末10の接続を許可するポートを識別するポート番号とを紐付けてポート管理テーブル33aに登録する。
送信部32dは、登録された接続先コンピュータのIPアドレスとポート番号とを、モバイル端末10に送信する。なお、送信部32dは、暗号化を行って、IPアドレスとポート番号をモバイル端末10に送るようにしてもよい。例えば、TCPヘッダ(ポート番号)だけを暗号化したり、ユーザデータだけを暗号化する等により、処理速度をできるだけ低下させずに、さらにセキュリティレベルを向上させることが考えられる。その他、ポート番号をスクランブル処理することで、セキュリティレベルを向上させることも考えられる。
接続確立部32eは、モバイル端末10からリモート接続の要求を受け付けると、該モバイル端末10のグローバルIPを取得し、取得したグローバルIPと、モバイル端末IP管理テーブル33bに格納されたグローバルIPとを比較し、両グローバルIPが一致する場合には、モバイル端末10と接続先コンピュータとのリモート接続を確立する。また、接続確立部32eは、接続先コンピュータの電源がオフである場合には、該接続先コンピュータをWake on LANの起動指示で接続先コンピュータを起動させた後に、リモート接続を確立する。なお、ここでリモート接続を確立するのは、クライアントPC50であってもよいし、サーバ40上で動作する仮想クライアントPC40aであってもよい。
切断部32fは、接続確立部32eによってモバイル端末10と接続先コンピュータとのリモート接続を確立した後に、所定時間(例えば、1時間)が経過したか否かを監視し、所定時間が経過した場合には、接続を許可したポートを閉じてリモート接続を切断する。なお、リモート接続を切断するタイミングは、任意に設定することができる。例えば、モバイル端末10を操作しているユーザがセッションを終了させた場合には、すぐにポートを閉じてリモート接続を切断するようにしてもよい。
[サーバ40の構成]
次に、図9を用いて、図1に示したサーバ40の構成を説明する。図9は、実施例1に係るサーバ40の構成を示すブロック図である。図9に示すように、このサーバ40は、通信部41、制御部42、記憶部43を備える。以下にこれらの各部の処理を説明する。
通信部41は、接続されるファイアウォール30およびクライアントPC50との間でやり取りする各種情報に関する通信を制御する。具体的には、通信部41は、ファイアウォール30からユーザIDおよびパスワードの問い合わせを受信する。また、通信部41は、認証管理サーバ20に契約状況の問い合わせを送信する。また、通信部41は、接続先のコンピュータ名一覧をファイアウォール30に送信する。また、通信部41は、接続先コンピュータのIPアドレスとともに、ポートマッピングの指示をファイアウォール30に送信する。
記憶部43は、制御部42による各種処理に必要なデータおよびプログラムを格納するものであり、特に本発明に密接に関連するものとしては、ID管理テーブル43a、接続先管理テーブル43b、ユーザ契約コード43c、アクセス管理テーブル43dを記憶する。
ID管理テーブル43aは、事前準備で登録されたユーザIDおよびパスワードの組を記憶する。具体的には、ID管理テーブル43aは、図10に例示するように、ユーザを一意に識別する「ユーザID」と、認証時に使用される「パスワード」とを対応付けて記憶する。例えば、図10の例を用いて説明すると、ID管理テーブル43aは、ユーザID「mercury」と、パスワード「suisei01」とを対応付けて記憶する。
接続先管理テーブル43bは、リモート接続されるクライアントPC50に関する情報を記憶する。具体的には、接続先管理テーブル43bは、図11に例示するように、各クライアントPC50について、「コンピュータ名」と、「IPアドレス」と、「MACアドレス」と、実機か仮想クライアントPCであるかを示す「実機/仮想」と、接続される内部のポート番号を示す「内部ポート」と、最新の状態を示す「状態」とを対応付けて記憶する。例えば、図11の例を用いて説明すると、接続先管理テーブル43bは、コンピュータ名「WORKAZ0123」と、IPアドレス「172.16.1.11」と、MACアドレス「02−A3−32−5D−3C−43」と、実機/仮想「実機」と、内部ポート「3389」と、状態「接続可能」とを対応付けて記憶する。
ユーザ契約コード43cは、契約を一意に識別するコードである。例えば、記憶部43は、図12に例示するように、ユーザ契約コードとして「tokyo634」を記憶する。なお、サーバ40は、このユーザ契約コードをもとに、認証管理サーバ20に契約状況を問い合わせる。
アクセス管理テーブル43dは、ユーザごとに、リモート接続可能なクライアントPC50のコンピュータ名を記憶する。具体的には、アクセス管理テーブル43dは、図13に例示するように、「ユーザID」および「コンピュータ名」の項目を有し、「ユーザID」の行、「コンピュータ」の列に対応するセルに、「アクセス可」または「アクセス不可」を記憶する。例えば、図13の例を用いて説明すると、ユーザID「mercury」は、コンピュータ名が「WORKAZ0123」、「VWORKAZ−1」、「TERMINAL8」および「VIRT−PC」のクライアントPC50全てが「アクセス可」であり、各クライアントPC50についてリモートアクセスすることが可能であることを示している。
また、ユーザID「venus」は、コンピュータ名が「WORKAZ0123」および「VIRT−PC」のクライアントPC50が「アクセス可」であり、「VWORKAZ−1」および「TERMINAL8」のクライアントPC50が「アクセス不可」であり、コンピュータ名が「WORKAZ0123」および「VIRT−PC」のクライアントPC50についてはリモートアクセスすることが可能であり、「VWORKAZ−1」および「TERMINAL8」のクライアントPC50についてはリモートアクセスすることが出来ないことを示している。
制御部42は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、事前登録部42a、問い合わせ部42b、一覧通知部42c、アドレス通知部42dを有する。
事前登録部42aは、クライアントPC50からユーザIDおよびパスワードを受け付けて事前にID管理テーブル43aに登録する。つまり、事前登録部42aは、モバイル端末10が認証の要求を行う際に入力するユーザIDおよびパスワードが正当なものか否かを認証するために、事前に正当なユーザIDおよびパスワードをID管理テーブル43aに登録する。この他、モバイル端末10からの事前登録依頼を受け付けて事前登録するようにしても良い。
問い合わせ部42bは、ファイアウォール30によってモバイル端末10が正当であると認証された場合には、モバイル端末10と接続先コンピュータとのリモート接続を確立する契約が有効であるか否かを認証管理サーバ20に問い合わせる。具体的には、問い合わせ部42bは、ファイアウォール30によってモバイル端末10が正当であると認証された場合には、ユーザ契約コードを記憶部43から読み出し、該ユーザ契約コードをもとに、認証管理サーバ20に契約状況を問い合わせる。そして、問い合わせ部42bは、認証管理サーバ20から契約が有効であるか否かを示す契約状況を受信する。
一覧通知部42cは、契約が有効であった場合であった場合には、接続先コンピュータ名の一覧をモバイル端末10に通知する。具体的には、一覧通知部42cは、契約が有効であった場合には、アクセス管理テーブル43dを参照し、ユーザIDからアクセス可能なクライアントPC50を特定し、アクセス可能なクライアントPC50のコンピュータ名一覧をモバイル端末10に通知する。例えば、図13の例を用いて説明すると、ユーザIDが「venus」である場合には、アクセス可能なクライアントPC50が「WORKAZ0123」および「VIRT−PC」であると特定し、「WORKAZ0123」および「VIRT−PC」をアクセス可能なコンピュータ名一覧としてモバイル端末10に通知する。
アドレス通知部42dは、ファイアウォール30によってモバイル端末10が正当であると認証された場合には、モバイル端末10が接続する接続先コンピュータのIPアドレスをファイアウォール30に通知する。具体的には、アドレス通知部42dは、ファイアウォール30によってモバイル端末10が正当であると認証された場合には、モバイル端末10が接続する接続先コンピュータのIPアドレスをファイアウォール30に通知するとともに、ポートマッピングを指示する。
以上のように、接続認証システム100に含まれるモバイル端末10、認証管理サーバ20、ファイアウォール30およびサーバ40の構成それぞれについて説明した。ここで、図14を用いて、接続認証システム100における認証処理およびリモート接続処理の概要について説明する。図14は、接続認証システムにおける認証処理および接続処理の概要について説明する図である。
図14に示すように、接続認証システム100では、まず、認証を要求するモバイル端末10は、認証管理サーバ20を介して認証の要求を行う(図14の(1)参照)。ここで、ファイアウォール30は、特定の認証管理サーバ20からのアクセスのみを許可しているため、モバイル端末10との間で認証処理を直接行うのではなく、認証管理サーバ20を経由してモバイル端末10の認証を行う。このため、認証処理の安全性を向上させることができる。
そして、ファイアウォール30は、認証を行った結果、モバイル端末10のリモート接続を許可する場合には、開放する外部ポートのポート番号をモバイル端末10に通知する(図14の(2)参照)。その後、モバイル端末10とクライアントPC50bとのリモート接続が確立する(図14の(3)参照)。上記の認証処理は、認証管理サーバ20を介して行われたが、接続処理は、ファイアウォール30を通して、モバイル端末10とクライアントPC50bとがダイレクトに行う。このため、VPN等の暗号化処理を行った場合や外部の認証サーバを中間に介在させた場合等に比して、通信負荷を軽減し、通信速度の低下を軽減することができる。なお、図14の例では、便宜上、リモート接続として、モバイル端末10とクライアントPC50bとが直接矢印で繋がっているが、実際はファイアウォール30を介して接続されているものとする。
そこで、図15を用いて、接続認証システム100における接続処理について具体的に説明する。図15は、接続認証システムにおけるリモート接続処理について説明する図である。図15の例では、モバイル端末10aとクライアントPC50aとがリモート接続しているものとし、モバイル端末10bとクライアントPC50bとがリモート接続しているものとする。また、図15の例では、モバイル端末10aのIPアドレスが「A」であり、モバイル端末10bのIPアドレスが「B」であり、クライアントPC50aのIPアドレスが「172.16.1.11」であり、クライアントPC50bのIPアドレスが「172.16.1.21」であるものとする。
また、図15の例では、ファイアウォール30は、図6に例示したポート管理テーブル33aにおいて、クライアントPC50aのIPアドレス「172.16.1.11」と外部ポート「9004」とが紐付けしており、また、IPアドレス「172.16.1.21」と外部ポート「9005」とが紐付けしているものとする。
そして、ファイアウォール30は、モバイル端末10aから外部ポート「9004」宛パケットを受け付けると、外部ポート「9004」に紐付けられたIPアドレス「172.16.1.11」をポート管理テーブル33aから取得し、IPアドレス「172.16.1.11」に対応する内部ポート「3389」(図示せず)にパケットを転送する。
また、同様に、ファイアウォール30は、モバイル端末10bから外部ポート「9005」宛パケットを受け付けると、外部ポート「9005」に紐付けられたIPアドレス「172.16.1.21」をポート管理テーブル33aから取得し、IPアドレス「172.16.1.21」に対応する内部ポート「3389」にパケットを転送する。
このように、ファイアウォール30は、IPアドレスとポート番号との紐付け、すなわちポートマッピングを行って、認証したモバイル端末10a、10bに限定して通信を許可しているため、例えば、不正な通信を行う者70が認証した端末以外の端末を用いて、不正に会計事務所内の所内LANに侵入しようとした場合であっても侵入を防止することができる。
[接続認証システムによる処理]
次に、図16を用いて、実施例1に係る接続認証システム100による処理を説明する。図16は、接続認証システムによる全体の処理の流れを示すシーケンス図である。
まず、接続認証システム100では、認証処理および接続処理を行う前に、事前準備として、ステップS1〜ステップS3の処理を行う。図16に示すように、接続認証システム100のサーバ40は、事前準備として、ユーザIDおよびパスワードの登録をクライアントPC50から受け付け(ステップS1)、ユーザIDとパスワードの組をID管理テーブル43aに登録する。
続いて、サーバ40は、ファイアウォール30からDNS情報33cを取得する(ステップS2)。なお、DNS情報の代わりに固定IPでもよい。そして、サーバ40は、認証管理サーバ20へアクセスするURLをメールでモバイル端末10に対して通知する(ステップS3)。なお、このURLは、ファイアウォール30内のDNS情報と認証管理サーバ20のURLの組み合わせである。
そして、モバイル端末10は、メールで受け取ったURLを用いて、認証管理サーバ20にアクセスして、ユーザIDおよびパスワードを入力して認証の要求を行う(ステップS4)。
ここで、ステップS4において、認証の要求を行う際にブラウザ上に表示される画面例を図17に例示する。図17に示すように、メールで受け取ったアクセス先のURLのパラメータからファイアウォール30のDNS情報である「接続先アドレス」が自動で入力される。また、「ユーザID」および「パスワード」の項目には、ユーザのアカウントが入力される。このように、モバイル端末10から認証管理サーバ20へブラウザベースでアクセスして認証処理を行うことができるので、OS毎にアプリを用意する必要がないので、汎用性が高くなる。
次に、認証管理サーバ20は、モバイル端末10からユーザIDおよびパスワードの入力を受け付けると、モバイル端末10のグローバルIPを取得し、受け付けたユーザIDおよびパスワードとともに、モバイル端末10のグローバルIPをファイアウォール30に送信する(ステップS5)。
そして、ファイアウォール30は、認証管理サーバ20を介してユーザID、パスワードおよびモバイル端末10のグローバルIPを受け付けると、ユーザIDおよびパスワードがサーバ40に事前に登録されているものと一致するか否かを問い合わせる(ステップS6)。この結果、ファイアウォール30は、ユーザIDおよびパスワードがサーバ40に事前に登録されているものと一致するものである場合には、モバイル端末10が正当であると判定する。また、ファイアウォール30は、モバイル端末10が正当であると判定した場合には、該モバイル端末10のグローバルIPをモバイル端末IP管理テーブル33bに格納する。
そして、サーバ40は、ファイアウォール30によってモバイル端末10が正当であると認証された場合には、モバイル端末10と接続先コンピュータとのリモート接続を確立する契約が有効であるか否かを認証管理サーバ20に問い合わせる(ステップS7)。その後、認証管理サーバ20は、サーバ40から問い合わせを受け付けた場合には、契約状況が有効であるか否かを確認し、契約状況をサーバ40に応答する(ステップS8)。
そして、サーバ40は、契約が有効であった場合には、アクセス管理テーブル43dを参照し、アクセス可能なクライアントPC50を特定し、アクセス可能なクライアントPC50のコンピュータ名一覧を、ファイアウォール30および認証管理サーバ20を介して、モバイル端末10に通知する(ステップS9)。
そして、モバイル端末10は、サーバ40から通知された接続先クライアント端末の一覧のうち、ユーザによって選択指示されたコンピュータ名をファイアウォール30に通知する(ステップS10)。ここで、図18を用いて、モバイル端末10におけるコンピュータ名一覧の表示画面例について説明する。図18に例示するように、「認証に成功しました 接続先のコンピュータを選択してくだい」というメッセージとともに、接続可能なコンピュータ名が4つ表示されている。モバイル端末10は、表示されているコンピュータ名のなかから接続先のコンピュータの選択指示を受け付ける。なお、図18の例では、接続可能な全てのコンピュータ名が4つ表示されているが、接続先の端末の(各ユーザ毎の)アクセス権限に対応して、表示される数を制限するようにしてもよい。
続いて、ファイアウォール30は、接続先コンピュータ名をサーバ40に渡す(ステップS11)。そして、サーバ40は、受け取った接続先コンピュータ名の接続先コンピュータの最新状態を取得し(ステップS12)、接続先管理テーブル内の「状態」を更新する。
そして、サーバ40は、ファイアウォール30によってモバイル端末10が正当であると認証された場合には、モバイル端末10が接続する接続先コンピュータのIPアドレスをファイアウォール30に通知するとともに、ポートマッピングを指示する(ステップS13)。ファイアウォール30は、サーバ40から接続先コンピュータのIPアドレスとともにポートマッピングの指示を受け付けると、サーバ40から接続先コンピュータのIPとモバイル端末10の接続を許可するポートを識別するポート番号とを紐付けてポート管理テーブル33aに登録する。
続いて、ファイアウォール30は、登録された接続先コンピュータのIPアドレスとポート番号とを、モバイル端末10に通知する(ステップS14)。なお、ファイアウォール30は、通知した直後からタイムアウトを監視する。そして、モバイル端末10は、RDPツールにより接続アドレス、ポート番号を取得して、リモート接続をファイアウォール30へ要求する(ステップS15)。
ここで、ファイアウォール30から接続先コンピュータのIPアドレスとポート番号とが通知されたモバイル端末10の画面表示例を図19に示す。図19に例示するように、接続先コンピュータの「コンピュータ名」および接続先コンピュータとの接続状態を示す「状態」が表示されるとともに、状態が「接続可能」である場合には、通知された「接続先アドレス」と「ポート番号」とが表示される。図19の例では、接続先アドレスとして「jw40100001a.example.jp」、ポート番号として「9004」が表示されている。
続いて、ファイアウォール30は、モバイル端末10からリモート接続の要求を受け付けると、該モバイル端末10のグローバルIPを取得し、取得したグローバルIPと、モバイル端末IP管理テーブル33bに格納されたグローバルIPとを比較して認証する(ステップS16)。
この結果、ファイアウォール30は、両グローバルIPが一致する場合には、モバイル端末10と接続先コンピュータとのリモート接続を確立する(ステップS17)。なお、接続先コンピュータの電源がオフである場合には、該接続先コンピュータをWake on LANの起動指示で接続先コンピュータを起動させた後に、リモート接続を確立する。また、リモート接続を確立する時や確立後のモバイル端末10と接続先コンピュータ間のデータ通信は暗号化により、セキュリティが保たれている。
その後、ファイアウォール30は、モバイル端末10と接続先コンピュータとのリモート接続を確立した後に、所定時間(例えば、1時間)が経過したか否かを監視し、タイムアウトとなった場合には、接続を許可したポートを閉じてリモート接続を切断する(ステップS18)。
[実施例1の効果]
上述してきたように、実施例1に係る認証接続システム100では、認証処理については、認証管理サーバ20を介して行うことで安全性を高め、一方、接続処理については、ファイアウォール30を通してモバイル端末10とクライアントPC50とでダイレクトに行うことで、通信負荷を軽くしている。これにより、認証接続サーバ100では、通信負荷による通信速度の低下を軽減するとともに、安全性を高くすることが可能である。
また、実施例1によれば、サーバ40は、ファイアウォール30によってモバイル端末10が正当であると判定した場合であって、接続先コンピュータが複数ある場合には、接続先クライアント端末の一覧をモバイル端末に通知する。そして、モバイル端末10は、サーバから通知された接続先コンピュータの一覧のうち、ユーザによって選択指示された接続先クライアントを識別するコンピュータ名をファイアウォール30に通知する。このため、リモート接続可能な接続先コンピュータが複数ある場合には、ユーザに接続先コンピュータを選択させることが可能である。
また、実施例1によれば、ファイアウォール30のDNS情報または固定IPと、認証管理サーバ20のURLとが組み合わされた特定のURLを用いて、認証管理サーバ20にアクセスし、認証の要求を行う。このため、ファイアウォール30から取得されたDNS情報または固定IPからURLを生成するので、接続先を生成する時点から、安全性を高くすることが可能である。
また、実施例1によれば、ファイアウォール30によってモバイル端末10が正当であると判定した場合には、モバイル端末10と接続先コンピュータのリモート接続を確立する契約が有効であるか否かを認証管理サーバ20に問い合わせるので、契約状況を確認して、リモート接続の許可または拒否をサーバ40で判断することができる結果、不正利用を防止することが可能である。
また、実施例1によれば、ファイアウォール30は、モバイル端末10と接続先コンピュータとのリモート接続を確立した後に、所定時間が経過したか否かを監視し、所定時間が経過した場合には、接続を許可したポートを閉じてリモート接続を切断する。このため、リモート接続終了後はポートを自動で閉じるので、外部用にポートを開放する時間が最小限となり、安全性を高くすることが可能である。
また、実施例1によれば、接続先コンピュータの電源がオフである場合には、該接続先コンピュータを起動指示で起動させた後に、リモート接続を確立する。このため、電源OFFのコンピュータへリモート接続する時は、Wake On LANで電源ONしてからリモート接続するので、利便性を高くすることが可能である。
また、実施例1によれば、接続コンピュータに代えて、該接続コンピュータをサーバ40上で仮想的に構築された仮想クライアントPC40aとモバイル端末10とのリモート接続を確立するので、仮想クライアントPC40aへのリモート接続も出来るようになる結果、利便性を向上させることが可能である。
なお、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、本実施例で説明した接続認証方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
10 モバイル端末
11 入力部
12 出力部
13 通信部
14 制御部
14a 認証要求部
14b 選択指示部
14c リモート接続要求部
15 記憶部
20 認証管理サーバ
30 ファイアウォール
40 サーバ
40a 仮想クライアントPC
50a〜50c クライアントPC
100 接続認証システム

Claims (8)

  1. ユーザが携帯するモバイル端末と、認証管理サーバを介して前記モバイル端末を認証するファイアウォール装置と、クライアント端末に接続されているサーバとを有する接続認証システムであって、
    前記モバイル端末は、
    前記認証管理サーバを介して前記ファイアウォール装置に対して、認証の要求を行うとともに、該モバイル端末のアドレス情報を通知する認証要求部と、
    前記ファイアウォール装置から受信した接続先クライアント端末のアドレス情報とポート番号とを用いて、前記ファイアウォール装置に対して、前記接続先クライアント端末とのリモート接続を要求するリモート接続要求部とを備え、
    前記ファイアウォール装置は、
    前記認証管理サーバを介して前記モバイル端末から認証の要求を受け付けると、該モバイル端末の認証を行う認証部と、
    前記認証部によって前記モバイル端末の認証を行った結果、該モバイル端末が正当であると判定した場合には、該モバイル端末のアドレス情報を格納する格納部と、
    前記サーバから接続先クライアント端末のアドレス情報を受信すると、該アドレス情報と前記モバイル端末の接続を許可するポートを識別するポート識別情報とを対応付けて登録する登録部と、
    前記登録部によって登録された接続先クライアント端末のアドレス情報とポート識別情報とを、前記モバイル端末に送信する送信部と、
    前記モバイル端末からリモート接続の要求を受け付けると、該モバイル端末のアドレス情報と、前記格納部によって格納されたアドレス情報とを比較し、両アドレス情報が一致する場合には、前記モバイル端末と前記接続先クライアント端末とのリモート接続を確立する接続確立部とを備え、
    前記接続確立部は、両アドレス情報が一致する場合には、該モバイル端末と前記接続先クライアント端末とのリモート接続を確立する一方で、両アドレス情報が一致しない場合には、第1の認証によって正当なモバイル端末と判断された場合でも、該モバイル端末と前記接続先クライアント端末とのリモート接続を拒否し、
    前記サーバは、前記ファイアウォール装置によって前記モバイル端末が正当であると判定された場合には、前記モバイル端末が接続する接続先クライアント端末のアドレス情報を前記ファイアウォール装置に通知するアドレス通知部を備えることを特徴とする接続認証システム。
  2. 前記サーバは、前記ファイアウォール装置によって前記モバイル端末が正当であると判定した場合であって、接続先クライアント端末が複数ある場合には、接続先クライアント端末の一覧を前記モバイル端末に通知する一覧通知部をさらに備え、
    前記モバイル端末は、前記サーバから通知された接続先クライアント端末の一覧のうち、前記ユーザによって選択指示された接続先クライアントを識別するクライアント識別情報を前記ファイアウォール装置に通知する選択指示部をさらに備え、
    前記アドレス通知部は、前記ファイアウォール装置に通知されたクライアント識別情報により識別される接続先クライアント端末のアドレス情報を前記ファイアウォール装置に通知することを特徴とする請求項1に記載の接続認証システム。
  3. ユーザが携帯するモバイル端末と、認証管理サーバを介して前記モバイル端末を認証するファイアウォール装置と、クライアント端末に接続されているサーバとを有する接続認証システムであって、
    前記モバイル端末は、
    前記ファイアウォール装置のドメイン情報またはアドレス情報と、前記認証管理サーバの資源位置指定子とが組み合わされた特定の資源位置指定子を用いて、前記認証管理サーバにアクセスし、前記認証管理サーバを介して前記ファイアウォール装置に対して、認証の要求を行うとともに、該モバイル端末のアドレス情報を通知する認証要求部と、
    前記ファイアウォール装置から受信した接続先クライアント端末のアドレス情報とポート番号とを用いて、前記ファイアウォール装置に対して、前記接続先クライアント端末とのリモート接続を要求するリモート接続要求部とを備え、
    前記ファイアウォール装置は、
    前記認証管理サーバを介して前記モバイル端末から認証の要求を受け付けると、該モバイル端末の認証を行う認証部と、
    前記認証部によって前記モバイル端末の認証を行った結果、該モバイル端末が正当であると判定した場合には、該モバイル端末のアドレス情報を格納する格納部と、
    前記サーバから接続先クライアント端末のアドレス情報を受信すると、該アドレス情報と前記モバイル端末の接続を許可するポートを識別するポート識別情報とを対応付けて登録する登録部と、
    前記登録部によって登録された接続先クライアント端末のアドレス情報とポート識別情報とを、前記モバイル端末に送信する送信部と、
    前記モバイル端末からリモート接続の要求を受け付けると、該モバイル端末のアドレス情報と、前記格納部によって格納されたアドレス情報とを比較し、両アドレス情報が一致する場合には、前記モバイル端末と前記接続先クライアント端末とのリモート接続を確立する接続確立部とを備え、
    前記サーバは、前記ファイアウォール装置によって前記モバイル端末が正当であると判定された場合には、前記モバイル端末が接続する接続先クライアント端末のアドレス情報を前記ファイアウォール装置に通知するアドレス通知部を備えることを特徴とする接続認証システム。
  4. 前記サーバは、前記ファイアウォール装置によって前記モバイル端末が正当であると判定した場合には、前記モバイル端末と前記接続先クライアント端末とのリモート接続を確立する契約が有効であるか否かを示す契約状況を前記認証管理サーバに問い合わせる問い合わせ部をさらに備え、
    前記認証管理サーバは、前記サーバから問い合わせを受け付けた場合には、前記契約状況が有効であるか否かを確認し、該確認の結果を前記サーバに送信する確認部を備え、
    前記一覧通知部は、前記契約状況が有効であって、接続先クライアント端末が複数ある場合には、接続先クライアント端末の一覧を前記モバイル端末に通知することを特徴とする請求項2に記載の接続認証システム。
  5. 前記ファイアウォールは、前記接続確立部によって前記モバイル端末と前記接続先クライアント端末とのリモート接続を確立した後に、所定時間が経過したか否かを監視し、所定時間が経過した場合には、接続を許可したポートを閉じてリモート接続を切断する切断部をさらに備えることを特徴とする請求項1〜4のいずれか一つに記載の接続認証システム。
  6. 前記接続確立部は、前記接続先クライアント端末の電源がオフである場合には、該接続先クライアント端末を起動指示で起動させた後に、リモート接続を確立することを特徴とする請求項1〜5のいずれか一つに記載の接続認証システム。
  7. 前記接続確立部は、前記接続クライアント端末に代えて、該接続クライアント端末を前記サーバ上で仮想的に構築された仮想クライアント端末と前記モバイル端末とのリモート接続を確立することを特徴とする請求項1〜6のいずれか一つに記載の接続認証システム。
  8. ユーザが携帯するモバイル端末と、認証管理サーバを介して前記モバイル端末を認証するファイアウォール装置と、クライアント端末に接続されているサーバとを有する接続認証システムで実行される接続認証方法であって、
    前記モバイル端末が、前記認証管理サーバを介して前記ファイアウォール装置に対して、認証の要求を行うとともに、該モバイル端末のアドレス情報を通知する認証要求ステップと、
    前記ファイアウォール装置が、前記認証管理サーバを介して前記モバイル端末から認証の要求を受け付けると、該モバイル端末の認証を行う認証ステップと、
    前記ファイアウォール装置が、前記認証ステップによって前記モバイル端末の認証を行った結果、該モバイル端末が正当であると判定した場合には、該モバイル端末のアドレス情報を格納する格納ステップと、
    前記サーバは、前記ファイアウォール装置によって前記モバイル端末が正当であると判定された場合には、前記モバイル端末が接続する接続先クライアント端末のアドレス情報を前記ファイアウォール装置に通知するアドレス通知ステップと、
    前記ファイアウォール装置が、前記サーバから接続先クライアント端末のアドレス情報を受信すると、該アドレス情報と前記モバイル端末の接続を許可するポートを識別するポート識別情報とを対応付けて登録する登録ステップと、
    前記ファイアウォール装置が、前記登録ステップによって登録された接続先クライアント端末のアドレス情報とポート識別情報とを、前記モバイル端末に送信する送信ステップと、
    前記モバイル端末が、前記ファイアウォール装置から受信した接続先クライアント端末のアドレス情報とポート番号とを用いて、前記ファイアウォール装置に対して、前記接続先クライアント端末とのリモート接続を要求するリモート接続要求ステップと、
    前記ファイアウォール装置が、前記モバイル端末からリモート接続の要求を受け付けると、該モバイル端末のアドレス情報と、前記格納ステップによって格納されたアドレス情報とを比較し、両アドレス情報が一致する場合には、前記モバイル端末と前記接続先クライアント端末とのリモート接続を確立する一方で、両アドレス情報が一致しない場合には、第1の認証によって正当なモバイル端末と判断された場合でも、該モバイル端末と前記接続先クライアント端末とのリモート接続を拒否する接続確立ステップと、
    を含んだことを特徴とする接続認証方法。
JP2012263598A 2012-11-30 2012-11-30 接続認証システムおよび接続認証方法 Active JP6073120B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012263598A JP6073120B2 (ja) 2012-11-30 2012-11-30 接続認証システムおよび接続認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012263598A JP6073120B2 (ja) 2012-11-30 2012-11-30 接続認証システムおよび接続認証方法

Publications (2)

Publication Number Publication Date
JP2014110515A JP2014110515A (ja) 2014-06-12
JP6073120B2 true JP6073120B2 (ja) 2017-02-01

Family

ID=51030915

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012263598A Active JP6073120B2 (ja) 2012-11-30 2012-11-30 接続認証システムおよび接続認証方法

Country Status (1)

Country Link
JP (1) JP6073120B2 (ja)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7676675B2 (en) * 2003-06-06 2010-03-09 Microsoft Corporation Architecture for connecting a remote client to a local client desktop
JP2006148661A (ja) * 2004-11-22 2006-06-08 Toshiba Corp 情報端末遠隔操作システム、そのリモートアクセス端末、そのゲートウェイサーバ、その情報端末制御装置、情報端末装置、およびその遠隔操作方法
CN101128805B (zh) * 2005-02-24 2010-05-12 富士通株式会社 连接支持装置及网关装置
JP2010278778A (ja) * 2009-05-28 2010-12-09 Dainippon Printing Co Ltd リモートアクセスシステム,方法及びリモートアクセス認証装置
JP5820239B2 (ja) * 2011-11-01 2015-11-24 日本電信電話株式会社 セキュアアクセスシステム、ホームゲートウェイ、およびセキュアアクセス方法

Also Published As

Publication number Publication date
JP2014110515A (ja) 2014-06-12

Similar Documents

Publication Publication Date Title
JP5375976B2 (ja) 認証方法、認証システムおよび認証プログラム
US9729514B2 (en) Method and system of a secure access gateway
TWI545446B (zh) 與一公用雲端網路一同使用之方法及系統
US20100197293A1 (en) Remote computer access authentication using a mobile device
AU2007267836B2 (en) Policy driven, credential delegation for single sign on and secure access to network resources
WO2018010146A1 (zh) 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器
US20100199086A1 (en) Network transaction verification and authentication
US20120023325A1 (en) Virtual private network system and network device thereof
JP5239341B2 (ja) ゲートウェイ、中継方法及びプログラム
JP6027069B2 (ja) Vpnアクセス制御システム、その作動方法及びプログラム、並びにvpnルータ及びサーバ
JPWO2012053135A1 (ja) 通信制御装置、システム、方法及びプログラム
CN113614691A (zh) 供传统虚拟交付器件使用的连接租用系统和相关方法
JP2012165199A (ja) ネットワーク接続制御システム及び接続制御方法
JP2014013960A (ja) 通信制御方法、通信制御装置、通信機器、及びプログラム
JP2016066298A (ja) 中継装置、通信システム、情報処理方法、及び、プログラム
KR101619928B1 (ko) 이동단말기의 원격제어시스템
JP6577546B2 (ja) リモートアクセス制御システム
JP6073120B2 (ja) 接続認証システムおよび接続認証方法
JP6347732B2 (ja) 認証システム
JP4878043B2 (ja) アクセス制御システム、接続制御装置および接続制御方法
JP4736722B2 (ja) 認証方法、情報処理装置、およびコンピュータプログラム
JP2016162278A (ja) アクセス中継装置、情報処理方法、及びプログラム
US11825306B2 (en) Peer-to-peer secure communication system, apparatus, and method
JP2022165032A (ja) 中継サーバ及びアクセス制御システム
JP2006279579A (ja) アクセス制御システム、これに用いる端末及びゲートウェイ装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151127

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160916

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161018

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161129

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161220

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170104

R150 Certificate of patent or registration of utility model

Ref document number: 6073120

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250