WO2011089712A1

WO2011089712A1 - 認証方法、認証システムおよび認証プログラム

Info

Publication number: WO2011089712A1
Application number: PCT/JP2010/050823
Authority: WO
Inventors: 豊明古澤
Original assignee: 富士通株式会社
Priority date: 2010-01-22
Filing date: 2010-01-22
Publication date: 2011-07-28
Also published as: JPWO2011089712A1; JP5375976B2

Abstract

　本発明の認証システムは、ＳＳＯ認証サーバ（３０）が利用者端末（２０）の利用者の認証に成功した場合に、ＳＳＯログイン用Ｗｅｂサーバ（１０）が利用者の権限情報と、所定の仮想回線を利用した接続を許可する端末識別情報とを認証キーを利用して、ＳＳＬ中継サーバの記憶部（１８）に登録する。このため、記憶部（１８）に記憶された端末識別情報に対応する利用者端末は認証済みの利用者端末といえる。したがって、インターネット（５０）に接続された利用者端末（２０）から接続要求を受け付けた場合に、接続要求を行った利用者端末の端末識別情報が記憶部（１８）に登録されているか否かを判定することで、利用者端末を適切に認証することができる。

Description

認証方法、認証システムおよび認証プログラム

　本発明は、認証方法、認証システムおよび認証プログラムに関する。

　近年、ＳＳＬ（Secure　Socket　Layer）－ＶＰＮ（Virtual　Private　Network）と呼ばれる技術が普及している。このＳＳＬ－ＶＰＮは、ＷＷＷ（World　Wide　Web）の暗号化などで標準的に用いられているＳＳＬで仮想回線を構築する技術である。ＳＳＬ－ＶＰＮを利用して、サーバアプリケーションとクライアントアプリケーションとの間でデータ通信を実行する場合には、サーバ側およびクライアント側にＳＳＬ－ＶＰＮ装置が必要となる。

　なお、パソコンやモバイル端末の普及に伴って、例えば、社内ＬＡＮ（Local　Area　Network）上で構築されたクライアントサーバシステムに、インターネット上に接続された利用者端末のクライアントアプリケーションから安全にアクセスすることが求められている。この場合には、インターネット上に接続されたクライアントアプリケーションは、内蔵したＳＳＬ－ＶＰＮ装置をサーバアプリケーションに擬してアクセスし、ＳＳＬ－ＶＰＮ経由でデータ通信を実行する。

特開２００７－２９３７６０号公報

　しかしながら、クライアントサーバシステムに含まれるサーバアプリケーションは、サーバ側に設置したＳＳＬ－ＶＰＮ装置を介して、インターネット上の利用者端末からアクセス要求を受付ける。多くの場合、それらのアクセスはプロキシを経由するため、サーバアプリケーションは、どのようなクライアントからアクセス要求を受付けているのかを通信プロトコルからは知るすべがなく、アクセス要求を行ったインターネット上のクライアントを適切に認証することができないという問題があった。例えば、多くのクライアントサーバシステムのサーバアプリケーションはデータベース本体そのものであり、クライアントを識別認証するためのセキュリティ機能が弱く、データ漏洩などのリスクが存在する。

　本発明は、上記に鑑みてなされたものであって、社内ネットワーク上に構築されたセキュリティ機能の弱いクライアントサーバシステムに対して、インターネットを介してアクセス要求を行うクライアントアプリケーションの通信を適切に認証することができる認証方法等を提供することを目的とする。

　上述した課題を解決し、目的を達成するために、本発明は、インターネットを介してアプリケーションを実行するクライアントサーバシステムにおいてサーバ側に設置されたＳＳＯログイン用Ｗｅｂサーバが、インターネットを介して接続された利用者端末のＷｅｂブラウザから当該端末の利用者を識別する利用者識別情報を取得し、取得した利用者識別情報を認証装置に通知することで、前記利用者の認証を前記認証装置に依頼するステップと、前記認証装置により前記利用者が認証された後に、固有の認証キーを生成し、生成した認証キーと前記利用者の権限情報とを対応付けて認証テーブルに登録するステップと、前記認証キーを前記Ｗｅｂブラウザに通知するステップと、前記Ｗｅｂブラウザが、前記ＳＳＯログイン用Ｗｅｂサーバから前記認証キーを取得した後に、前記利用者端末を識別する端末識別情報と前記認証キーとを対応付けた情報をＳＳＬ中継サーバに送信するステップと、前記ＳＳＬ中継サーバが、前記認証キーと前記端末識別情報とを対応付けた情報を前記利用者端末から取得し、前記認証キーに対応付けて前記端末識別情報を前記認証テーブルに登録するステップと、前記利用者端末が前記ＳＳＬ中継サーバに前記利用者端末の端末識別情報を通知することで、前記ＳＳＬ中継サーバに接続要求を行うステップと、前記ＳＳＬ中継サーバが、前記利用者端末から前記端末識別情報を取得することで接続要求を受け付けた場合に、取得した前記端末識別情報が前記認証テーブルに登録されているか否かを判定するステップと、前記端末識別情報が前記認証テーブルに登録されている場合に、接続要求を行ったクライアントアプリケーションと前記クライアントサーバシステム内のサーバアプリケーションとの接続を許可し、前記端末識別情報に対応する利用者の権限情報に応じたサービスを所定の仮想回線により前記サーバアプリケーションに実行させるステップとを実行することを要件とする。

　本発明にかかる認証方法によれば、インターネットを介してアクセス要求を行うクライアントアプリケーションを適切に認証することができるという効果を奏する。

図１は、本実施例１にかかる認証システムの構成を示す図である。図２は、本実施例２にかかる認証システムの一例を示す図である。図３は、認証システムの処理手順を説明するための図である。図４は、本実施例２にかかる利用者端末の構成を示す図である。図５は、ＳＳＯ認証サーバの構成を示す図である。図６は、ＳＳＯ認証テーブルのデータ構造の一例を示す図である。図７は、利用者管理テーブルのデータ構造の一例を示す図である。図８は、権限管理テーブルのデータ構造の一例を示す図である。図９は、ＳＳＯログイン用Ｗｅｂサーバの構成を示す図である。図１０は、ＳＳＬ中継サーバの構成を示す図である。図１１は、認証テーブルのデータ構造の一例を示す図である。図１２は、ポート管理テーブルのデータ構造の一例を示す図である。図１３は、本実施例２にかかる認証システムの処理手順を示すフローチャート（１）である。図１４は、本実施例２にかかる認証システムの処理手順を示すフローチャート（２）である。図１５は、ＳＳＬ中継サーバを構成するコンピュータのハードウェア構成を示す図である。

　以下に、本発明にかかる認証方法、認証システムおよび認証プログラムの実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。

　本実施例１にかかる認証システムの構成について説明する。図１は、本実施例１にかかる認証システムの構成を示す図である。図１に示すようにこの認証システムは、インターネットを介してアプリケーションを実行するクライアントサーバシステムにおいてサーバ側に設置されたＳＳＯログイン用Ｗｅｂサーバ１０およびＳＳＬ中継サーバ１５を有する。また、認証システムは、サービスを要求する利用者端末２０、利用者を認証するＳＳＯ認証サーバ３０、サービスを提供するサーバアプリケーション４０を有する。ＳＳＯログイン用Ｗｅｂサーバ１０は、インターネット５０を介して利用者端末２０と接続し、ＳＳＯ認証サーバ３０およびＳＳＬ中継サーバ１５と接続する。また、ＳＳＬ中継サーバ１０は、インターネット５０を介して利用者端末２０し、サーバアプリケーション４０と接続する。

　ＳＳＯログイン用Ｗｅｂサーバ１０は、ＨＴＴＰ通信部１１、認証依頼処理部１２、認証キー発行部１３、認証情報登録部１４を有する。このうち認証依頼処理部１１は、インターネット５０を介して接続された利用者端末２０から、該端末２０の利用者を識別する利用者識別情報を取得する。また、認証依頼処理部１２は、利用者識別情報をＳＳＯ認証サーバ３０に通知することで、利用者の認証をＳＳＯ認証サーバ３０に依頼する。

　認証情報登録部１４は、ＳＳＯ認証サーバ３０により利用者が認証された後に、固有の認証キーを生成するもしくはＳＳＯ認証サーバ３０より認証キーを取得し、該認証キーと利用者の権限情報とを対応付けてＳＳＬ中継サーバ１５がアクセス可能な記憶部１８に登録する。

　ＳＳＬ中継サーバ１５は、ＳＳＬ通信部１６、接続認証部１７、認証テーブルなどを保持する記憶部１８、接続中継部１９を有する。記憶部１８は、認証キーと権限情報と端末識別情報とを対応付けて記憶する。

　ＳＳＬ通信部１６は、利用者端末２０から接続認証依頼を受信した際に、ＳＳＯ認証済みかどうか判定するために、利用者端末から受信した認証キーを利用して、接続認証部１７に問い合わせる。接続認証部１７は記憶部１８を検索し、既に認証キーが登録済みかつ端末識別情報が未登録の場合のみ、初回の接続認証依頼と判定し、該認証キーに対して端末識別情報を登録する。

　また、ＳＳＬ通信部１６は、利用者端末２０からサーバアプリケーション４０への接続要求を受信した際に、利用者端末を識別する端末識別情報と利用して、接続可否を接続認証部１７に問い合わせる。接続認証部１７は、端末識別情報を利用して記憶部１８を検索する。検索に該当端末がある場合、ＳＳＯ認証済みと判定し、接続中継部１９を利用し、サーバアプリケーション４０との接続および通信の中継を行なう。検索に該当端末がない場合、接続中継部１９での接続・中継を許可しない。また、接続認証部１７は、端末識別情報に対応する利用者の権限情報に応じてサーバアプリケーション４０の仮想回線（ポート）へのアクセス許可の判定を行なう。

　上述したようにこの認証システムは、ＳＳＯ認証サーバ３０が利用者端末２０の利用者の認証に成功した場合に、ＳＳＯログイン用Ｗｅｂサーバ１０が利用者の権限情報と、所定の仮想回線を利用した接続を許可する端末識別情報とを認証キーを利用してＳＳＬ中継サーバ１５内の記憶部１８の認証テーブルに登録する。このため、該認証テーブルに記憶された端末識別情報により識別される利用者端末は認証済みと判定できる。したがって、ＳＳＬ中継サーバ１５は、インターネット５０に接続された利用者端末２０から接続要求を受け付ける際に、利用者端末の端末識別情報が該認証テーブルに登録されているか否かを判定することで、利用者端末からのアクセスを適切に認証することができる。

　次に、本実施例２にかかる認証システムの一例について説明する。図２は、本実施例２にかかる認証システムの一例を示す図である。図２に示すように、この認証システムは、利用者端末７０ａ～７０ｃ、ＳＳＯ（Single　Sign　On）認証サーバ８０、ＳＳＯログイン用Ｗｅｂサーバ９０、ＳＳＬ中継サーバ１００、サーバアプリケーション１２０を有する。また、利用者端末７０ａ～７０ｃとＳＳＯログイン用Ｗｅｂサーバ９０およびＳＳＬ中継サーバ１００とは、インターネット６０を介して接続されている。また、ＳＳＬ中継サーバ１００は、例えば、ＬＡＮ（Local　Area　Network）等の内部ネットワーク６５を介して、ＳＳＯ認証サーバ８０およびＳＳＯログイン用Ｗｅｂサーバ９０に接続される。

　利用者端末７０ａ～７０ｃは、ＳＳＬ中継サーバ１００との間でＳＳＬ通信を確立し、サーバアプリケーション１２０からのサービス提供を受ける装置である。ＳＳＯ認証サーバ８０は、利用者端末７０の利用者を認証する装置である。

　ＳＳＯログイン用Ｗｅｂサーバ９０は、利用者端末７０から端末利用者情報を受け付け、ＳＳＯ認証サーバ８０に認証依頼を行う装置である。ＳＳＯログイン用Ｗｅｂサーバ９０は、ＳＳＯ認証サーバ８０による利用者の認証が成功した場合に、この利用者の権限情報と利用者端末のＩＰアドレスとを認証キーを用いて対応付け、ＳＳＬ中継サーバ１００に通知する。そして、ＳＳＬ中継サーバ１００は、認証キーを用いて対応付けた情報を利用して、サーバアプリケーション１２０との接続を許可する利用者端末やサービス種別を判定し、接続を制御する。

　次に、認証システムの処理手順について説明する。図３は、認証システムの処理手順を説明するための図である。なお、ここでは説明の便宜上、利用者端末７０ａ～７０ｃのうち、利用者端末７０ａを用いて、認証システムの処理手順を説明する。まず、利用者端末７０ａは、利用者ＩＤ（Identification）とパスワードとを、ＳＳＯログイン用Ｗｅｂサーバ９０に送信する。図３の（１）参照。

　ＳＳＯログイン用Ｗｅｂサーバ９０は、利用者端末７０ａから取得した利用者ＩＤとパスワードとをＳＳＯ認証サーバ８０に通知することで、ＳＳＯ認証サーバ８０に利用者の認証を依頼する。図３の（２）参照。

　ＳＳＯ認証サーバ８０は、利用者ＩＤとパスワードとを基にして利用者を認証する。そして、ＳＳＯ認証サーバ８０は、利用者の認証結果、サービスリスト、権限情報をＳＳＯログイン用Ｗｅｂサーバ９０に送信する。図３の（３）参照。ここで、サービスリストは、利用者が利用可能なサービスの一覧である。権限情報は、利用者の権限を含む情報である。かかる権限情報に応じて、利用者が利用できるサービスが決まる。

　ＳＳＯログイン用Ｗｅｂサーバ９０は、ＳＳＯ認証サーバ８０により利用者端末７０ａの利用者が認証された場合に、固有の認証キーを生成する。該認証キーはＳＳＯ認証サーバ８０が生成したものを利用してもよい。該認証キーは、後述の手順により、認証に成功した利用者の権限情報と、この利用者の利用者端末のＩＰアドレスとを対応付けるために用いられる。

　上記認証キーを生成した後に、ＳＳＯログイン用Ｗｅｂサーバ９０は、認証キーと利用者の権限情報とを対応付けて、ＳＳＬ中継サーバ１００に通知する。図３の（４）参照。そして、ＳＳＯログイン用Ｗｅｂサーバ９０は、認証キーとサービスリストとを対応付けた情報を、利用者端末７０ａに送信する。図３の（５）参照。

　利用者端末７０ａは、ＳＳＯログイン用Ｗｅｂサーバ９０から受信したサービスリストをディスプレイ等に表示させる。そして、利用者端末７０ａは、サービスリストが利用者により選択された際に、認証キーと自身のＩＰアドレスとを対応付けた情報を利用してＳＳＬ中継サーバ１００に認証依頼を行なう。ＳＳＬ中継サーバ１００は、利用者端末７０ａから受信したＩＰアドレスを、該認証キーが既にＳＳＯログイン用Ｗｅｂサーバ９０により登録されていた場合にのみ認証テーブルに登録する。図３の（６）参照。この段階で、認証キーにより、認証に成功した利用者の権限情報と利用者端末７０ａのＩＰアドレスとが対応付けられる。

　続いて、利用者端末７０ａは、ＳＳＬ中継サーバ１００に接続依頼を行う。図３の（６）参照。ＳＳＬ中継サーバ１００は、利用者端末７０ａから接続依頼を受け付けた場合に、利用者端末７０ａのＩＰアドレスが認証テーブルに登録されているか否かを判定する。利用者端末７０ａのＩＰアドレスが認証テーブルに登録されていれば、利用者端末７０ａの利用者が認証済みであると判定する。

　ＳＳＬ中継サーバ１００は、利用端末７０ａのＩＰアドレスが認証テーブルに登録されている場合に、利用者の権限情報に応じたサービス提供をサーバアプリケーション１２０に依頼する。図３の（７）参照。この利用者の権限情報は、利用者端末７０ａのＩＰアドレスに対応付けられてＳＳＬ中継サーバ１００の認証テーブルに登録されている。

　サーバアプリケーション１２０は、ＳＳＬ中継サーバ１００からサービス提供の依頼を受け付けた場合に、ＳＳＬ中継サーバ１００に対してサービス提供を行なう。図３の（８）参照。ＳＳＬ中継サーバ１００は、利用者端末７０ａに対してサービス提供を中継する。図３の（９）参照。

　次に、図２に示した利用者端末７０ａ、ＳＳＯ認証サーバ８０、ＳＳＯログイン用Ｗｅｂサーバ９０、ＳＳＬ中継サーバ１００の構成について順に説明する。まず、利用者端末７０ａの構成の一例について説明する。図４は、本実施例２にかかる利用者端末の構成を示す図である。なお、利用者端末７０ｂおよび７０ｃの構成は、図４に示す利用者端末７０ａの構成と同じである。図４に示すように、この利用者端末７０ａは、Ｗｅｂブラウザ７１、クライアントパッケージ７４を有する。Ｗｅｂブラウザ７１は、ＳＳＯログイン処理部７２、アプリケーション連携部７３を有する。クライアントパッケージ７４は、アプリケーション起動部７５、ＳＳＬ中継クライアント７６、クライアントアプリケーション７９を有する。

　このうち、ＳＳＯログイン処理部７２は、ＳＳＯログイン用Ｗｅｂサーバと通信を行い、ＳＳＯ認証処理を依頼し、結果として認証キーと利用可能なサービスリストを取得し、メモリ上に保持する。

　アプリケーション連携部７３は、該サービスリスト内のサービスを起動処理を行なう。利用者がサービスリストからサービスを選択操作すると、アプリケーション連携部７３は、サービスに対応するクライアントパッケージ７４のアプリケーション起動部７５を起動する。その際に、アプリケーション連携部７３はＷｅｂブラウザが保持しているメモリ上から該認証キーを取得し、アプリケーション起動部７５に通知する。

　アプリケーション起動部７５は、起動後、ＳＳＬ中継クライアント７６を起動し、アプリケーション連携部７３より通知された認証キーおよび利用者端末のＩＰアドレスを利用して、ＳＳＬ中継クライアント７６の認証依頼部７７に接続認証を要求する。該接続認証要求が成功した場合、アプリケーション起動部７５は、クライアントアプリケーション７９を起動する。

　ＳＳＬ中継クライアント７６は、認証依頼部７７およびＳＳＬ通信部７８を有する。認証依頼部７７は、アプリケーション起動部７５より通知された認証キーとＩＰアドレスを利用して、ＳＳＬ通信部７８を経由して、ＳＳＬ中継サーバ１００に接続を要求する。この要求がＳＳＬ中継サーバ１００により認証されることにより、クライアントアプリケーション７９はＳＳＬ中継クライント７６を経由してＳＳＬ中継サーバ１００との接続を確立することができる。

　ＳＳＬ通信部７８は、認証依頼部７７やクライアントアプリケーション７９から通知された情報を暗号化し、ＳＳＬ中継サーバ１００に送信する。また、ＳＳＬ中継サーバ１００から受信した情報を復号化し、認証依頼部７７やクライアントアプリケーション７９に送信する。

　クライアントアプリケーション７９は、アプリケーション起動部７５により起動された後、ＳＳＬ中継クライアント７６およびＳＳＬ中継サーバ１００を経由して、サーバアプリケーション１２０と接続し、通信を行なう。この際、ＳＳＬ中継クライアント７６は、クライアントアプリケーション７９から見れば、サーバアプリケーション１２０として振舞うことになる。

　次に、図２に示したＳＳＯ認証サーバ８０の構成の一例について説明する。図５は、ＳＳＯ認証サーバの構成を示す図である。図５に示すように、このＳＳＯ認証サーバ８０は、通信部８１、入力部８２、出力部８３、入出力制御部８４、記憶部８５、制御部８６を有する。

　通信部８１は、ＳＳＯログイン用Ｗｅｂサーバ９０との間におけるデータ通信を制御する処理部である。入力部８２は、各種の情報を入力する入力装置である。例えば、入力部８２は、キーボードやマウス等に対応する。出力部８３は、各種の情報を出力する出力部である。例えば、出力部８３は、ディスプレイやモニタ、タッチパネル等に対応する。入出力制御部８４は、入力部８２、出力部８３、制御部８６によるデータの入出力を制御する処理部である。

　記憶部８５は、各種の情報を記憶する記憶部である。図５に示すように、記憶部８５は、ＳＳＯ認証テーブル８５ａ、利用者管理テーブル８５ｂ、権限管理テーブル８５ｃを記憶する。

　このうち、ＳＳＯ認証テーブル８５ａは、利用者の利用者ＩＤとパスワードとを対応付けて記憶するテーブルである。図６は、ＳＳＯ認証テーブルのデータ構造の一例を示す図である。図６に示すように、このＳＳＯ認証テーブル８５ａは、利用者ＩＤとパスワードとを有する。例えば、ＳＳＯ認証テーブル８５ａの１段目では、利用者ＩＤ「Ｕ０００１」とパスワード「Ｐ１２３４」とが対応付けられている。ＳＳＯ認証テーブル８５ａの２段目では、利用者ＩＤ「Ｕ０００２」とパスワード「Ｐ５６７８」とが対応付けられている。

　利用者管理テーブル８５ｂは、利用者ＩＤ、利用者名、ロールを対応付けて記憶するテーブルである。本実施例２では一例として、ロールは利用者の役職に対応する情報とする。図７は、利用者管理テーブル８５ｂのデータ構造の一例を示す図である。図７に示すように、この利用者管理テーブル８５ｂは、利用者ＩＤ、利用者名、ロールを対応付けて記憶する。例えば、利用者管理テーブル８５ｂの１段目では、利用者ＩＤ「Ｕ０００１」と利用者名「富士太郎」とロール「一般」とが対応付けられている。利用者管理テーブル８５ｂの２段目では、利用者ＩＤ「Ｕ０００２」と利用者名「富士花子」とロール「課長」とが対応付けられている。

　権限管理テーブル８５ｃは、ロール毎の権限情報を記憶するテーブルである。図８は、権限管理テーブル８５ｃのデータ構造の一例を示す図である。図８に示すように、この権限管理テーブル８５ｃは、ロール、権限情報、利用可能サービスを対応付けて記憶する。例えば、権限管理テーブル８５ｃの１段目に示すように、ロール「一般」の権限情報は「レベル１権限情報」であり、かかる権限情報で利用できるサービスは「サービスＡ」となる。権限管理テーブル８５ｃの２段目に示すように、ロール「課長」の権限情報は「レベル２権限情報」であり、かかる権限情報で利用できるサービスは「サービスＢ」となる。

　制御部８６は、ＳＳＯログイン用Ｗｅｂサーバ９０により依頼される利用者の認証を実行する処理部である。図５に示すように、この制御部８６は、認証処理部８６ａ、利用者情報検索部８６ｂを有する。

　認証処理部８６ａは、ＳＳＯログイン用Ｗｅｂサーバ９０から利用者ＩＤとパスワードとを受信し、受信した利用者ＩＤとパスワードとの組がＳＳＯ認証テーブル８５ａに存在するか否かを判定することで、利用者の認証を行う。すなわち、認証処理部８６ａは、ＳＳＯログイン用Ｗｅｂサーバ９０から受信した利用者ＩＤとパスワードとの組がＳＳＯ認証テーブル８５ａに存在する場合には、利用者の認証に成功したと判定する。一方、認証処理部８６ａは、利用者ＩＤとパスワードとの組がＳＳＯ認証テーブル８５ａに存在しない場合には、利用者の認証に失敗したと判定する。認証処理部８６ａは、認証結果をＳＳＯログイン用Ｗｅｂサーバ９０に送信する。

　利用者情報検索部８６ｂは、認証処理部８６ａによる利用者の認証が成功した場合に、ＳＳＯログイン用Ｗｅｂサーバ９０から受信した利用者ＩＤをキーとして、利用者名、サービスリスト、権限情報を検索する処理部である。利用者情報検索部８６ｂは、検索結果をＳＳＯログイン用Ｗｅｂサーバ９０に送信する。

　具体的に、利用者情報検索部８６ｂは、利用者ＩＤと利用者管理テーブル８５ｂとを比較して、利用者ＩＤに対応付けられた利用者名とロールとを検索する。例えば、利用者ＩＤが「Ｕ０００１」の場合には、利用者名は「富士太郎」となり、ロールは「一般」となる。続いて、利用者情報検索部８６ｂは、利用者ＩＤをキーにして検索したロールと、権限管理テーブル８５ｃとを比較して、ロールに対応付けられた権限情報と利用可能サービスを検索する。例えば、ロールが「一般」の場合には、権限情報は「レベル１権限」、利用可能サービスが「サービスＡ」となる。この利用可能サービスは、サービスリストに対応するものとする。利用者情報検索部８６ｂは、上記の手順により利用者名、権限情報、サービスリストを検索する。

　次に、図２に示したＳＳＯログイン用Ｗｅｂサーバ９０の構成の一例について説明する。図９は、ＳＳＯログイン用Ｗｅｂサーバ９０の構成を示す図である。図９に示すように、このＳＳＯログイン用Ｗｅｂサーバ９０は、ＨＴＴＰ通信部９１、認証依頼処理部９２、認証キー発行部９３、認証情報登録部９４を有する。

　ＨＴＴＰ通信部９１は、利用者端末７０ａとの間におけるデータ通信を制御する処理部である。認証依頼処理部９２は、利用者端末７０ａから利用者のＩＤとパスワードを受信し、ＳＳＯ認証サーバ８０に対して認証を依頼する。認証以来処理部９２は、利用者の権限情報を含む認証依頼の結果を認証キー発行部９３に通知する。認証キー発行部９３では、認証が成功した場合には認証キーを発行し、認証登録情報部に該認証キーを通知し、認証結果をＨＴＴＰ通信部９１を経由して、利用者端末７０ａに通知する。なお、認証キーはＳＳＯ認証サーバが発行し、認証結果として認証依頼処理部９２に返してもよい。認証情報登録部９４は、認証キーと利用者端末のＩＰアドレスと権限情報とを対応付けて、ＳＳＬ中継サーバ１００の認証テーブル１０４に登録する処理部である。

　次に、図２に示したＳＳＬ中継サーバ１００の構成の一例について説明する。図１０は、ＳＳＬ中継サーバ１００の構成を示す図である。図１０に示すように、このＳＳＬ中継サーバ１００は、ＳＳＬ通信部１０１、接続認証部１０２、記憶部１０３、接続中継部１０６を有する。

　ＳＳＬ通信部１０１は、利用者端末７０ａ～７０ｃとの間におけるデータ通信を制御する処理部である。ＳＳＬ通信部１０１は、利用者端末から認証依頼を受信した際に、利用者端末から送信されてくる認証依頼に含まれる端末識別情報および認証キーを、接続認証部１０２に通知する。また、ＳＳＬ通信部１０１は、利用者端末２０からサーバアプリケーション１２０への接続要求を受信した際に、利用者端末を識別する端末識別情報と利用して、ＳＳＯ認証済みか否かを接続認証部１０２に問い合わせ、ＳＳＯ認証済みの場合のみ利用者端末２０からサーバアプリケーション１２０との接続を確立する。

　接続認証部１０２は、認証端末登録部１０２ａおよび判定部１０２ｂを有する。ＳＳＬ通信部１０１から認証依頼情報を通知されると、接続認証部１０２は認証端末登録部１０２ａを呼び出す。認証端末登録部１０２ａは、利用者端末がＳＳＯ認証済みかどうか判定するために、利用者端末から受信した認証キーを利用して、記憶部１０３の認証テーブル１０４を検索する。既に認証キーが登録済みかつ端末識別情報が未登録の場合のみ、初回の接続認証依頼と判定し、該認証キーに対して端末識別情報を登録する。また、接続認証部１０２は、ＩＰアドレスを認証テーブル１０４に登録する場合に、有効期限を認証テーブル１０４に登録する。この有効期限は、例えば、現日時に所定の日時を加算した日時とする。認証キーおよび端末識別情報が登録済みの場合、認証依頼処理済であり、何もしない。認証キーおよび端末識別情報が未登録の場合、ＳＳＯ未認証であり、端末情報を登録しない。

　ＳＳＬ通信部１０１から接続要求情報を通知されると、接続認証部１０２は判定部１０２ｂを呼び出す。判定部１０２ｂは、接続要求情報からＩＰアドレスを取得し、該ＩＰアドレスをキーに利用して記憶部１０３の認証テーブル１０４を検索する。認証テーブル１０４に該ＩＰアドレスがある場合、ＳＳＯ認証済みと判定し、サーバアプリケーション４０との接続を、接続中継部１０６に許可する。該ＩＰアドレスがない場合、接続を許可しない。また、判定部１０２ｂは、ＩＰアドレスに対応する利用者の権限情報に応じてサーバアプリケーション１２０の仮想回線（ポート）へのアクセス許可の判定も行なう。つまり、同一のサーバアプリケーションでも、権限に応じて、利用可能な通信回線が変更される。

　記憶部１０３は、利用者端末を認証する情報や、利用者権限に応じたポート等を記憶する記憶部である。同図に示すように、この記憶部１０３は、認証テーブル１０４、ポート管理テーブル１０５を有する。

　認証テーブル１０４は、認証キーに対応付けて、利用者端末のＩＰアドレスと、利用者権限情報等を記憶するテーブルである。図１１は、認証テーブル１０４のデータ構造の一例を示す図である。図１１に示すように、この認証テーブル１０４は、認証キー、ＩＰアドレス、有効期限、権限情報、利用者名を有する。例えば、認証テーブル１０４はの１段目では、認証キー「aabbcc」により、ＩＰアドレス「xxx.xxx.xxx」、有効期限「１２月２８日」、権限情報「レベル１権限」、利用者名「富士太郎」が対応付けられている。また、認証テーブル１０４はの２段目では、認証キー「ccddee」により、ＩＰアドレス「xxx.xxx.xxx」、有効期限「１２月２９日」、権限情報「レベル２権限」、利用者名「富士花子」が対応付けられている。

　ポート管理テーブル１０５は、利用者権限とポートとを対応付けて記憶するテーブルである。このポートは、サーバアプリケーション１２０が提供するサービスの種別と対応付いているものとする。すなわち、ポートが決まれば、サーバアプリケーション１２０が提供するサービスの種別も決まる。図１２は、ポート管理テーブル１０５はのデータ構造の一例を示す図である。

　一方、判定部１０２ｂは、利用者端末７０ａのＩＰアドレスが認証テーブル１０４に登録されている場合には、かかるＩＰアドレスに対応付けられた権限情報を認証テーブル１０４から検索する。そして、判定部１０２ｂは、検索した権限情報と、ポート管理テーブル１０５とを比較して、利用者がアクセス可能なポートのリストを取得する。その後、判定部１０２ｂは、利用者の権限でアクセス可能なポートのリストと、接続要求情報に含まれるサーバアプリケーション１２０のポートを比較し、アクセスを許可するかどうかを判定する。アクセス許可の場合に、接続中継部１０６は利用者端末７０ａとサーバアプリケーション１２０の該ポートとの間の通信を確立する。

　次に、本実施例２にかかる認証システムの処理手順について説明する。図１３、図１４は、本実施例２にかかる認証システムの処理手順を示すフローチャートである。図１３、図１４では一例として、利用者端末７０ａがログイン要求、接続要求を行うものとする。図１３に示すように、利用者端末７０ａは、利用者ＩＤとパスワードとを受け付け（ステップＳ１０１）、利用者ＩＤおよびパスワードをＳＳＯログイン用Ｗｅｂサーバ９０に送信する（ステップＳ１０２）。

　ＳＳＯログイン用Ｗｅｂサーバ９０は、利用者ＩＤおよびパスワードを受信し（ステップＳ１０３）、受信した利用者ＩＤおよびパスワードをＳＳＯ認証サーバ８０に送信することで、ＳＳＯ認証依頼をＳＳＯ認証サーバ８０に対して行う（ステップＳ１０４）。

　ＳＳＯ認証サーバ８０は、ＳＳＯ認証依頼を受け付け（ステップＳ１０５）、利用者ＩＤとパスワードとを基にして認証処理を実行する（ステップＳ１０６）。そして、ＳＳＯ認証サーバ８０は認証に成功した場合に、利用者名、利用可能なサービスリスト、権限情報を検索する（ステップＳ１０７）。ＳＳＯ認証サーバ８０は、利用者名、利用可能なサービスリストおよび権限情報をＳＳＯログイン用Ｗｅｂサーバ９０に送信する（ステップＳ１０８）。

　ＳＳＯログイン用Ｗｅｂサーバ９０は、利用者名、利用可能なサービスリストおよび権限情報を受信し（ステップＳ１０９）、認証キーを生成する（ステップＳ１１０）。ＳＳＯログイン用Ｗｅｂサーバ９０は、認証キー、権限情報、利用者名をＳＳＬ中継サーバ１００に送信し（ステップＳ１１１）、ＳＳＬ中継サーバ１００は認証キー、権限情報、利用者名を受信し、認証テーブル１０４に登録する（ステップＳ１１２）。ＳＳＯログイン用Ｗｅｂサーバ９０は、認証キーおよびサービスリストのデータを利用者端末７０ａに送信する（ステップＳ１１３）。

　利用者端末７０ａは、認証キーおよびサービスリストのデータを受信する（ステップＳ１１４）。利用者端末７０ａは、サービスリストを表示し、サービスの選択を受け付ける（ステップＳ１１５）。利用者端末７０ａは、サービスの選択を受け付けた場合に、認証キーおよびアドレス情報をＳＳＬ中継サーバ１００に送信する（ステップＳ１１６）。

　ＳＳＬ中継サーバ１００は、認証キーおよびアドレス情報を受信し（ステップＳ１１７）、認証キーに対応するＩＰアドレスと有効期限を認証テーブル１０４に登録する（ステップＳ１１８）。ここで、ＩＰアドレスはアドレス情報に含まれているものとする。

　続いて、利用者端末７０ａは、ＳＳＬ中継サーバ１００に接続要求を行い（ステップＳ１１９）、ＳＳＬ中継サーバ１００は接続要求を受け付ける（ステップＳ１２０）。ＳＳＬ中継サーバ１００は、接続要求を行った利用者端末７０ａが認証済みであるか否かを判定する（ステップＳ１２１）。ステップＳ１２０において、ＳＳＬ中継サーバ１００は、接続要求を行った利用者端末７０ａのＩＰアドレスが、認証テーブル１０４に登録されている場合に、利用者端末７０ａが認証済みであると判定する。

　ＳＳＬ中継サーバ１００は、接続要求を行った利用者端末７０ａが認証済みでない場合には（ステップＳ１２２，Ｎｏ）、接続失敗を利用者端末７０ａに通知する（ステップＳ１２３）。一方、ＳＳＬ中継サーバ１００は、接続要求を行った利用者端末７０ａが認証済みの場合には（ステップＳ１２２，Ｙｅｓ）、サーバアプリケーション１２０の利用者の権限情報に応じたポートおよび利用者端末７０ａとの間の接続および通信の中継を行なうスレッドを生成する（ステップＳ１２４）。サーバアプリケーション１２０は、利用者の権限情報に応じたポートによるＳＳＬ中継サーバ１００との接続を確立する（ステップＳ１２５）。利用者端末７０ａは、ＳＳＬ中継サーバ１００との接続を確立する（ステップＳ１２６）。

　ＳＳＬ中継サーバ１００は、サーバアプリケーション１２０の利用者の権限情報に応じたポートおよび利用者端末７０ａとの間の通信を中継する（ステップＳ１２７）。この際に、利用者端末７０ａとの間の通信データを暗号化もしくは復号化を行なう。サーバアプリケーション１２０は、利用者の権限情報に応じたポートを利用してサービスを提供する（ステップＳ１２８）。利用者端末７０ａは、ＳＳＬ中継サーバ１００の中継によりサービスを受け付ける（ステップＳ１２９）。

　本実施例２の認証システムは、ＳＳＯ認証サーバ８０が利用者の認証に成功した場合に、ＳＳＯログイン用Ｗｅｂサーバ９０が利用者の権限情報と、利用者端末のＩＰアドレスとを認証キーを利用して、ＳＳＬ中継サーバ１００の認証テーブル１０４に登録する。このため、認証テーブル１０４に登録されたＩＰアドレスの利用者端末は認証済みの利用者端末といえる。したがって、この認証システムでは、インターネット６０上の利用者端末７０ａ～７０ｃから接続要求を受け付けた場合に、利用者端末のＩＰアドレスが認証テーブル１０４に登録されているか否かを判定することで、利用者端末を適切に認証することができる。

　また、本実施例２のＳＳＬ中継サーバ１００は、利用者端末から接続依頼を受信した際に、利用者の権限情報とポート管理テーブル１０５とを比較して、利用者端末が接続依頼したサーバアプリケーション１２０のポートを利用可能かどうか判定する。このため、サーバアプリケーション１２０のポートは利用者の権限情報に応じてＳＳＬ中継サーバ１００を経由して利用者端末と接続され、サーバアプリケーション１２０は、権限情報に応じたサービスを利用者端末７０ａ～７０ｂに適切に提供することができる。

　ところで、図４に示した利用者端末７０ａの各構成要素、図５に示したＳＳＯ認証サーバ８０の各構成要素、図９に示したＳＳＯログイン用Ｗｅｂサーバ９０の各構成要素、図１０に示したＳＳＬ中継サーバ１００の各構成要素は機能概念的なものである。このため、図４、図５、図９、図１０に示した各構成要素は、必ずしも図示の如く構成されていることを要しない。すなわち、各構成要素の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、図１０のＳＳＬ中継サーバ１００に含まれる記憶部１０３の機能をその他のサーバに持たせても良い。

　なお、図４、図５、図９、図１０に示した各装置の機能をハードウェアもしくはソフトウェアのどちらでも実装することもできる。ここでは一例として、図１０に示したＳＳＬ中継サーバ１００を構成するコンピュータのハードウェア構成を、図１５にて示す。

　図１５に示すように、このコンピュータ２００は、各種演算処理を実行するＣＰＵ（Central　Processing　Unit）２１０と、ユーザからのデータの入力を受け付ける入力装置２２０と、モニタ２３０を有する。また、コンピュータ２００は、記憶媒体からプログラム等を読取る媒体読み取り装置２４０と、ネットワークを介して他のコンピュータとの間でデータの授受を行うネットワークインターフェース装置２５０を有する。また、コンピュータ２００は、各種情報を一時記憶するＲＡＭ（Random　Access　Memory）２６０と、ハードディスク装置２７０を有する。各装置２１０～２７０は、バス２８０に接続される。

　そして、ハードディスク装置２７０には、図１０に示した接続認証部１０２と同様の機能を有する認証処理プログラム２７０ａを記憶する。また、ハードディスク装置２７０は、図１０に示した認証テーブル１０４、ポート管理テーブル１０５に対応する認証データ２７０ｂを記憶する。

　ＣＰＵ２１０が認証処理プログラム２７０ａをハードディスク装置２７０から読み出してＲＡＭ２６０に展開することで、認証処理プログラム２７０ａは、認証処理プロセス２６０ａとして機能する。そして、認証処理プロセス２６０ａは、認証データ２７０ｂをＲＡＭ２６０に読み出し、各種の認証処理を実行する。

　なお、上記認証処理プログラム２７０ａは、必ずしもハードディスク装置２７０に格納されている必要はない。例えば、ＣＤ－ＲＯＭ等の記憶媒体に記憶された認証処理プログラム２７０ａを、コンピュータ２００が読み出して実行するようにしてもよい。また、公衆回線、インターネット、ＬＡＮ（Local　Area　Network）、ＷＡＮ（Wide　Area　Network）等にこの認証処理プログラム２７０ａを記憶させておき、コンピュータ２００がこれらから認証処理プログラム２７０ａを読み出して実行するようにしてもよい。

　１０　　ＳＳＯログイン用Ｗｅｂサーバ
　１１　　ＨＴＴＰ通信部
　１２　　認証依頼処理部
　１３　　認証キー発行部
　１４　　認証情報登録部
　１５　　ＳＳＬ中継サーバ
　１６　　ＳＳＬ通信部
　１７　　接続認証部
　１８　　記憶部
　１９　　接続中継部
　２０　　利用者端末
　３０　　ＳＳＯ認証サーバ
　４０　　サーバアプリケーション
　５０　　インターネット

Claims

　インターネットを介してアプリケーションを実行するクライアントサーバシステムにおいて、
　サーバ側に設置されたログイン用Ｗｅｂサーバが、インターネットを介して接続された利用者端末のＷｅｂブラウザから当該端末の利用者を識別する利用者識別情報を取得し、取得した利用者識別情報を認証装置に通知することで、前記利用者の認証を前記認証装置に依頼するステップと、
　前記認証装置により前記利用者が認証された後に、固有の認証キーを生成し、生成した認証キーと前記利用者の権限情報とを対応付けてＳＳＬ中継サーバの認証テーブルに登録するステップと、
　前記認証キーを前記Ｗｅｂブラウザに通知するステップと、
　前記Ｗｅｂブラウザが、前記ログイン用Ｗｅｂサーバから前記認証キーを取得した後に、前記利用者端末を識別する端末識別情報と前記認証キーとを対応付けた情報をＳＳＬ中継サーバに送信するステップと、
　前記ＳＳＬ中継サーバが、前記認証キーと前記端末識別情報とを対応付けた情報を前記利用者端末から取得し、前記認証キーに対応付けて前記端末識別情報を前記認証テーブルに登録するステップと、
　前記利用者端末が前記ＳＳＬ中継サーバに前記利用者端末の端末識別情報を通知することで、前記ＳＳＬ中継サーバに接続要求を行うステップと、
　前記ＳＳＬ中継サーバが、前記利用者端末から前記端末識別情報を取得することで仮想回線の接続要求を受け付けた場合に、取得した前記端末識別情報が前記認証テーブルに登録されているか否かを判定するステップと、
　前記端末識別情報が前記認証テーブルに登録されている場合に、接続要求を行ったクライアントアプリケーションと前記クライアントサーバシステム内のサーバアプリケーションとの接続を許可し、前記端末識別情報に対応する利用者の権限情報に応じたサービスを所定の仮想回線により前記サーバアプリケーションに実行させるステップと
を実行することを特徴とする認証方法。
　前記ＳＳＬ中継サーバは、前記権限情報と前記クライアントサーバシステム内のサーバアプリケーションのポートとを対応付けた管理テーブルを保持し、前記端末識別情報に対応する利用者の権限情報と前記管理テーブルとを比較して、前記端末利用者の権限が接続する前記サーバアプリケーションのポートを利用可能かどうか判定するステップを更に実行することを特徴とする請求項１に記載の認証方法。
　インターネットを介してアプリケーションを実行するクライアントサーバシステムにおいて、サーバ側に設置されたログイン用Ｗｅｂサーバと、ＳＳＬ中継サーバを介してサーバアプリケーションにアクセスする利用者端末とを含む認証システムであって、
　前記ログイン用Ｗｅｂサーバは、
　前記端末から利用者を識別する利用者識別情報を取得し、取得した利用者識別情報を認証サーバに通知することで、前記利用者の認証を前記認証サーバに依頼する認証依頼処理部と、
　前記認証サーバにより前記利用者が認証された後に、固有の認証キーを発行するもしくは認証サーバから通知される認証キーを取得する認証キー発行部と、
　該認証キーと前記利用者の権限情報とをＳＳＬ中継サーバの認証テーブルに登録する認証情報登録部を有し、
　ＳＳＬ中継サーバは、
前記利用者端末からの前記認証キーと前記利用者端末を識別する端末識別情報と受信した場合に、前記認証キーが認証テーブルに登録済みならば前記認証キーに対応付けて前記端末識別情報を前記認証テーブルに登録する認証端末登録部を有し、
　前記利用者端末からの接続要求を受信した場合には、該接続要求を実現するかどうかを判定するために、接続要求に含まれる当該利用者端末識別情報を取得し、取得した端末識別情報が前記認証テーブルに登録されているか否かを確認し、登録済みであれば前記端末識別情報に対応する利用者の権限情報に応じたサービスを所定の仮想回線により前記サーバアプリケーションとの接続を行なう判定部と、
　を有することを特徴とする認証システム。
　前記ＳＳＬ中継サーバは、前記権限情報と前記サーバアプリケーションのポートとを対応付けた管理テーブルを保持し、前記判定部は、前記端末識別情報に対応する利用者の権限情報と前記管理テーブルとを比較して、前記利用者端末と接続する前記サーバアプリケーションのポートを更に利用可能かどうか判定することを特徴とする請求項３に記載の認証システム。
　インターネットに対応したクライアントサーバアプリケーションを実行するクライアントサーバシステムのサーバ側に設置されたコンピュータに、
　クライアントから利用者を識別する利用者識別情報を取得し、取得した利用者識別情報を認証装置に通知することで、前記利用者の認証を前記認証装置に依頼する認証依頼手順と、
　前記認証装置により前記利用者が認証された後に、固有の認証キーを発行するもしくは認証サーバから通知される認証キーを取得し、該認証キーと前記利用者の権限情報とを対応付けて認証テーブルに登録する権限情報登録手順と、
　前記認証キーを前記利用者端末に通知した後に、前記認証キーと前記クライアントを識別する端末識別情報とを対応付けた情報を前記利用者端末から取得し、前記認証キーに対応付けて前記端末識別情報を前記認証テーブルに登録する識別情報登録手順と、
　前記利用者端末から接続要求を取得した場合に、当該クライアントから端末識別情報を取得し、取得した端末識別情報が前記認証テーブルに登録されているか否かを判定する判定手順と、
　前記端末識別情報が前記認証テーブルに登録されている場合に、接続要求を行った利用者端末と前記クライアントサーバシステム内のサーバアプリケーションとの接続を許可し、前記端末識別情報に対応する利用者の権限情報に応じたサービスを所定の仮想回線により前記サーバアプリケーションに実行させるサービス制御手順と
　を実行させることを特徴とする認証プログラム。
　前記コンピュータは、前記権限情報と前記サーバアプリケーションのポートとを対応付けた管理テーブルを保持し、
　前記コンピュータに、前記端末識別情報に対応する利用者の権限情報と前記管理テーブルとを比較して、前記利用者端末と接続する前記サーバアプリケーションのポートを更に判定するポート判定手順を更に実行させることを特徴とする請求項５に記載の認証プログラム。