WO2015004743A1 - 中継処理装置、中継処理方法、およびプログラム - Google Patents
中継処理装置、中継処理方法、およびプログラム Download PDFInfo
- Publication number
- WO2015004743A1 WO2015004743A1 PCT/JP2013/068841 JP2013068841W WO2015004743A1 WO 2015004743 A1 WO2015004743 A1 WO 2015004743A1 JP 2013068841 W JP2013068841 W JP 2013068841W WO 2015004743 A1 WO2015004743 A1 WO 2015004743A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- server
- client terminal
- session
- user
- user authentication
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Definitions
- the present invention relates to a relay processing device, a relay processing method, and a program.
- business information systems that support the operation of companies and public facilities, so-called enterprise systems, are now the foundation of large and small organizations.
- the business information system supports complicated organization management by outputting higher value-added information after totaling, accumulating, analyzing and processing data obtained from node terminals and databases.
- a privilege ID An ID having a high authority exceeding the general authority is generally called a privilege ID.
- This privilege ID for example, root of UNIX (registered trademark) system, administrator of Windows (registered trademark) system, SYS, SYSTEM of DB system, etc. are known.
- privilege IDs There are many privilege IDs other than those described above, and some of these privilege IDs may be shared by a plurality of operators or used in a program.
- the privilege ID is used by connecting to the relay device.
- Patent Document 1 There is known a method for managing the above (Patent Document 1).
- user authentication is performed in the relay device before connecting to each server of the business information system, so that the user ID registered in the relay device and the connection destination server are used.
- the privileged ID is managed, and the privileged ID usage state is managed by specifying the privileged ID user.
- a server that constitutes a business information system may provide a file sharing service using CIFS (Common Internet File System).
- CIFS Common Internet File System
- Access to resources provided by file sharing services may require users to be identified as well as specific event logs and exchanged data, depending on the company's security policy.
- the CIFS protocol is monitored in the relay device.
- the connection to the server that actually implements the CIFS protocol uses a WebDAV (Distributed Authoring and Versioning protocol for the WWW) function, which is a function that Windows (registered trademark) has as a standard.
- the client terminal is configured to connect to and operate the shared folder of the server configured by CIFS via the relay device using the WebDAV function.
- the WebDAV referred to here is an extension of HTTP used for transferring files on the WWW, and has specifications that allow files and folders on a Web server to be managed from a Web browser.
- WebDAV is an extension of HTTP 1.1 and is defined as RFC2518 by IETF (Internet Engineering Task Force).
- this WebDAV function can be used only for communication of HTTPS (Hypertext Transfer Protocol Protocol Security) using a certificate approved by a third party, instead of HTTP (Hypertext Transfer Protocol Protocol) as standard in a Windows 7 (registered trademark) device. . Therefore, when a client terminal used in a company is switched from a Windows XP (registered trademark) device or the like to a Windows 7 (registered trademark) device, management of privilege IDs as in the past is performed in an environment where an authorization certificate cannot be used. This causes a problem that the relay device cannot be used.
- agent software As a method of solving this, for example, a method of installing agent software on each client terminal and collecting event logs and screen data on the relay device side is conceivable.
- agent software when agent software is used, there is a problem that the possibility of affecting the network environment of the business information system increases. Further, since it is necessary to install the agent software on each client terminal, there arises a problem that the number of management objects increases. Furthermore, there is a problem that the load on the system operation side increases due to an increase in management targets.
- the present invention has been made in view of at least one of the above-described problems, and monitors the access to a server that provides a file sharing service in an agentless manner, and easily realizes management of privilege IDs.
- An object of the present invention is to provide a relay processing device, a relay processing method, and a program.
- the relay processing device relays a predetermined process executed between a server that provides a file sharing service and a client terminal that connects to data provided by the file sharing service of the server.
- a first negotiation control unit that establishes a session with a client terminal based on an authentication request from the client terminal, and a session is established with the client terminal by the first negotiation control unit.
- the first session setup control unit that executes the first user authentication process with the client terminal, and the server based on the information indicating the connection destination of the server desired by the user of the client terminal.
- a second negotiation control unit for establishing a session and a second negotiation control unit;
- a second session setup control unit for executing a second user authentication process with the server, a first user authentication process, and a second user authentication when a session is established with the server by the unit.
- the server provides a file sharing service using the CIFS (Common Internet File System) protocol.
- the first user authentication process and the second user authentication process are challenge / response.
- User authentication is executed according to a method, and user authorization processing can be executed based on access control set for a user of a client terminal in data to be a connection destination in a server.
- the first session setup control unit notifies the client terminal of the authentication result when the user authentication processing of the client terminal is successful
- the second negotiation control unit In order to establish a session with the server based on information indicating the connection destination at the server transmitted from the client terminal that has received the notification, and the relay processing unit executes predetermined processing on the data from the client terminal When the operation information is acquired, the information indicating the data and the operation information can be notified to the server.
- a storage processing unit that stores each data before and after the change of data exchanged between the client terminal and the server in its own storage unit or an external storage unit connectable via a network Can have.
- one aspect of the present invention relates to a relay processing method. That is, the relay processing method according to the present invention relays a predetermined process executed between a server providing a file sharing service and a client terminal connected to data provided by the server's file sharing service.
- a relay processing method used in a processing device comprising: a first negotiation control step for establishing a session with a client terminal based on an authentication request from the client terminal; and a first negotiation control step for communicating with the client terminal First session setup control step for executing a first user authentication process with a client terminal when a session is established between the client terminal and information indicating a server connection destination desired by the user of the client terminal Second negotiator to establish a session with the server
- a second session setup control step for executing a second user authentication process with the server when a session is established with the server by the session control step and the second negotiation control step;
- the program according to the present invention is a relay processing device that relays a predetermined process executed between a server that provides a file sharing service and a client terminal that is connected to data provided by the file sharing service of the server.
- a first negotiation control means for establishing a session with a client terminal based on an authentication request from the client terminal, and a client terminal by the first negotiation control means Information indicating the connection destination of the server desired by the user of the client terminal and the first session setup control means for executing the first user authentication process with the client terminal when a session is established with the client terminal Session with server based on And a second session setup control for executing a second user authentication process with the server when a session is established with the server by the second negotiation control means and the second negotiation control means.
- the server terminal transmits information indicating the connection destination desired by the user of the client terminal to the server.
- the user authorization process at the connection destination is executed with the server, the tree setup control means for starting the tree connection with the server connection destination, and the result of the user authorization process executed by the tree setup control means, the client terminal If the user is authorized, the session already established with the client terminal
- a relay processing apparatus capable of monitoring an access to a server providing a file sharing service without an agent and easily realizing privilege ID management. Can do.
- FIG. 1 is a block diagram showing a configuration example of a business information system including a gateway 10 which is a first embodiment of a relay processing apparatus of the present invention.
- FIG. 2 is a diagram showing an image of communication processing between the client terminal 20 and the CIFS server 40 using the CIFS protocol.
- FIG. 3 is a diagram illustrating a specific example of the communication process illustrated in FIG. 2.
- FIG. 4 is a block diagram illustrating a functional configuration example of the gateway 10 illustrated in FIG. 1.
- FIG. 5 is a diagram showing an example of screen transition in the client terminal 20 shown in FIG.
- FIG. 6 is a communication conceptual diagram of relay processing by the gateway 10 shown in FIG.
- FIG. 7 is a diagram showing a specific example of the communication process shown in FIG. FIG.
- FIG. 8 is a diagram illustrating an example of the output timing of the log data 17 ⁇ / b> B of the CIFS server 40.
- FIG. 9 is a diagram illustrating a correspondence between an operation to be acquired and an operation log (an example of log data 17B).
- FIG. 10 is a diagram illustrating an example of a search result of an access log (an example of log data 17B).
- FIG. 11 is a diagram illustrating a specific example of communication processing executed between the gateway 10A, the client terminal 20, and the CIFS server 40 in the second embodiment of the present invention.
- Embodiments of a relay processing device, a relay processing method, and a program according to the present invention will be described with reference to the drawings.
- the embodiment of the relay processing method according to the present invention will be described together with the description of the operation of the relay processing apparatus, and the program according to the present invention will be described as a program installed in the relay processing apparatus.
- the relay processing device, the relay processing method, and the program according to the present invention are not limited to the embodiments described below.
- access control in this specification is mainly intended for access control by computer security, and processing for which object (system, file, server, etc.) a certain subject (active body, client terminal, etc.) (E.g., read / write, execute if file, etc.) or control connection means (e.g., protocol, port number, etc. that can be used for connection if server) Point to.
- object system, file, server, etc.
- control connection means e.g., protocol, port number, etc. that can be used for connection if server
- Point to Point to.
- access control by computer security generally consists of authentication, authorization, and audit, but other processes may be included, or all of them may not be included. It does not have to be.
- authentication refers to confirming the identity of the user when connecting to a network or server.
- authorization means giving an authorized user authority to use some service or access to a resource. For example, each operation such as reading, writing, and execution of a resource by a system administrator is permitted in advance to a specific user or group, or not permitted.
- FIG. 1 is a block diagram showing a configuration example of a business information system including a gateway 10 which is a first embodiment of a relay processing apparatus of the present invention.
- a gateway 10 and a client terminal 20 are connected via a network 30, and CIFS servers 40A, 40B, and 40C that provide a file sharing service using the CIFS protocol are connected via the gateway 10.
- the CIFS servers 40A, 40B, and 40C will be referred to as the CIFS server 40 for convenience when there is no need to specifically limit them.
- the gateway 10 is a relay processing device that accepts connection from the client terminal 20 to the CIFS server 40 via the network 30 and is installed at the network security boundary.
- the gateway 10 performs access control of CIFS (Common Internet File System) protocol and auditing by log acquisition.
- CIFS Common Internet File System
- the description will focus on the access control and log acquisition related to the CIFS protocol.
- TELNET Telecommunication network
- SSH Secure SHell
- FTP File Transfer Protocol
- HTTP HyperText Transfer Protocol
- HTTPS Hypertext Transfer Protocol Security
- Windows registered trademark
- RDP Remote Desktop Protocol
- FIG. 2 is a diagram illustrating an image of communication processing between the client terminal 20 and the CIFS server 40. Note that the image of the communication process illustrated in FIG. 2 is based on the assumption that the client terminal 20 and the CIFS server 40 communicate directly, and is not a communication process that is actually executed in the present embodiment. Further, it is assumed that the client terminal 20 has secured a communication path to the CIFS server 40 at a transport layer level lower than the CIFS.
- StepP1, STEP2, STEP3 roughly three communication processes (STEP1, STEP2, STEP3) are executed between the client terminal 20 and the CIFS server 40. Specifically, the client terminal 20 executes communication processing for session establishment with respect to the CIFS server 40 (STEP 1). Subsequently, the client terminal 20 executes communication processing for connecting to the actual resource of the CIFS server 40 using the session established in STEP 1 (STEP 2). Furthermore, the client terminal 20 executes communication processing for using specific resources with respect to the CIFS server 40 (STEP 3).
- each communication process of STEP1, STEP2, and STEP3 will be described in detail.
- FIG. 3 is a diagram more specifically showing each communication process of STEP1, STEP2, and STEP3 shown in FIG.
- the processing of STEP 1 is performed by a network protocol called NTLM authentication (Windows NT LAN Manager authentication), which is a user authentication method that is standardly used in Windows NT (registered trademark) series OS before Windows4.0. Yes.
- NTLM authentication Windows NT LAN Manager authentication
- STEP 1 a process for performing this protocol version matching (hereinafter, this process is simply referred to as “protocol negotiation”) and a process for performing authentication for connecting the client terminal 20 to the file sharing service of the CIFS server 40 ( Hereinafter, this process is simply referred to as “session setup”).
- the client terminal 20 can notify the CIFS server 40 of the function level of NTLM authentication supported, and can select the optimum protocol version.
- the processing described as “SESSION_SETUP_ANDX (NTLM: type 1 negotiate)” in STEP 1 corresponds to this protocol negotiation.
- the CIFS server 40 that has received a session establishment request (“SESSION_SETUP_ANDX (NTLM: type 1 negotiate)”) from the client terminal 20 transmits a “UID” and a “challenge” (random byte string) to the client terminal 20.
- the “UID” is a temporary number assigned to identify the user of the client terminal 20 only during the CIFS session.
- the CIFS server 40 issues this “UID” for each session establishment request from the client terminal 20 and notifies the client terminal 20 of it.
- the client terminal 20 sends a “response”, which is the result of processing this challenge based on the password information entered by the user, to the CIFS server 40.
- the CIFS server 40 performs the same process as the response generation performed on the client terminal 20 side, and compares the result with the response sent from the client terminal 20. If they are the same, the CIFS server 40 and the client terminal 20 have the same password information (more precisely, the password hash obtained by processing the password with a one-way function). Can authenticate the client terminal 20 as a legitimate user.
- a communication path (session) at the CIFS protocol level is established between the CIFS server 40 and the client terminal 20.
- the CIFS protocol commands, results, data, etc. are exchanged using the same session until the client terminal 20 (actually a user) terminates the connection by disconnecting it. It becomes possible.
- the client terminal 20 does not pass the user authentication of the CIFS server 40, the connection request is rejected and a session with the CIFS server 40 cannot be established.
- processing for connecting the client terminal 20 to the resource provided by the CIFS server 40 (hereinafter, this processing is simply referred to as “tree setup”) is performed.
- an access authority check for resources for example, ⁇ share
- this check is simply referred to as “path authentication”.
- the user identification information eg, user ID, password
- the CIFS server 40 notifies a TID that is information for identifying a tree if the connection of the client terminal 20 is permitted.
- processing for the client terminal 20 to use the resources of the CIFS server 40 (hereinafter, this processing is simply referred to as “client request processing”) is executed.
- a communication request for performing an actual operation on a file held by the CIFS server 40 is generated.
- a file name or the like to be operated is transmitted from the client terminal 20 to the CIFS server 40
- a file identifier (FID) is notified.
- the client terminal 20 executes various commands such as file reading and writing on the FID. If the executed command is permitted by the authorization process on the CIFS server 40 side, an appropriate response is returned.
- the client terminal 20 executes a process for closing the file (CLOSE) at the communication level of STEP 3 and a process for disconnecting the tree connection set up at the communication level of STEP 2 (TREE_DISCONNECT). Is executed, and the process of logging off the session at the communication level of STEP 1 (SESSION_LOGOFF) is executed.
- the CIFS server 40 By executing these three processes of STEP1, STEP2, and STEP3, the CIFS server 40 establishes an appropriate communication path with the client terminal 20, and executes user authentication processing and authorization processing to execute appropriate processing. Resources can be used with access authority.
- the typical communication processing example of the CIFS protocol has been described above with reference to FIGS. 2 and 3, but the gateway 10 in this embodiment performs these communication processing between the client terminal 20 and the CIFS server 40. It has the necessary functions for relaying.
- FIG. 4 is a block diagram showing a functional configuration example of the gateway 10 shown in FIG.
- the gateway 10 includes at least a communication control unit 11 and a storage unit 17.
- the communication control unit 11 further includes a negotiation control unit 12, a session setup control unit 13, a tree setup control unit 14, a relay control unit 15, and a communication record control unit 16.
- the storage unit 17 stores a control program 17A, log data 17B, first user identification information 17C, and second user identification information 17D.
- Each block in the communication control unit 11 shown in FIG. 4 can be realized by hardware such as a computer CPU or a storage device such as RAM, ROM, HDD, SSD, flash memory, etc. Specifically, it can be realized by installing the OS, the control program 17A, and other computer programs on the above hardware.
- FIG. 4 shows functional blocks realized by such cooperation. Therefore, these functional blocks can be realized in various forms by a combination of hardware and software.
- the gateway 10 has the storage unit 17, only the log data 17B of the storage unit 17 may be stored and managed by another log management device (external storage device) or the like.
- the negotiation control unit 12 controls the protocol negotiation of STEP 1 described with reference to FIG. 3, and the version of the network protocol (that is, NTLM) supported by each of the client terminal 20 and the CIFS server 40. Perform each matching. Specifically, the negotiation control unit 12 issues a command “Negotiate” to the client terminal 20 or the CIFS server 40 as a communication partner. For example, the negotiation control unit 12 transmits a list (dialect) of version information supported by itself to the communication partner and receives a response of version information supported by the communication partner.
- client negotiation control unit 12A the negotiation control unit 12 in the case of controlling the protocol negotiation with the client terminal 20
- the negotiation control unit 12 may be described as a “server negotiation control unit 12B”.
- the session setup control unit 13 controls the session setup of STEP 1 described with reference to FIG. 3, and performs communication related to challenge / response type user authentication between the client terminal 20 and the CIFS server 40 at appropriate timings, respectively. Execute.
- the session setup control unit 13 when controlling the session setup with the client terminal 20 is referred to as “client session setup control unit 13A”, and the session setup with the CIFS server 40 is controlled.
- the session setup control unit 13 in this case is described as a “server session setup control unit 13B”.
- the tree setup control unit 14 controls the tree setup of STEP 2 described with reference to FIG. 3 and executes communication related to the tree setup between the client terminal 20 and the CIFS server 40 at appropriate timings.
- the relay control unit 15 controls the client request processing of STEP 3 described with reference to FIG. 3, and relates to various commands issued between the client terminal 20 and the CIFS server 40, or responses to various issued commands. A process of relaying each communication at an appropriate timing is executed. The relay control unit 15 appropriately converts the path information transmitted from the client terminal 20 into the address of the CIFS server 40 and then transfers the CIFS server 40 to the CIFS server 40.
- the communication record control unit 16 acquires file data and various commands exchanged between the client terminal 20 and the CIFS server 40 in the processing of STEP 3 described with reference to FIG. 3 and stores them in the storage unit 17 as log data 17B.
- the communication record control unit 16 may be configured to store the log data 17B in an external storage unit (not shown) that can be connected via the network 30.
- the storage unit 17 can store a control program 17A, log data 17B, first user identification information 17C, and second user identification information 17D.
- the control program 17A is a program for causing the gateway 10 (computer) to function as described as each block shown in the communication control unit 11 of FIG.
- the log data 17B is information indicating an operation log recorded by the communication record control unit 16. Details of the log data 17B will be described later (FIGS. 8, 9, and 10).
- the first user identification information 17C is user identification information such as a user ID and a password for the gateway 10 to manage users uniquely.
- the second user identification information 17D is user identification information such as a user ID and a password when connecting to the CIFS server 40.
- the first user identification information 17C and the second user identification information 17D are stored in association with each other.
- the gateway 10 uses the first user identification information in the user authentication process (first user authentication) executed with the client terminal 20.
- the gateway 10 uses the second user identification information associated with the first user identification information in the user authentication process (second user authentication) and the authorization process executed with the CIFS server 40.
- the first user identification information 17C is registered with a user ID and password for identifying each person, but the second user identification information 17D is a privilege ID and password in the CIFS server 40, etc. Is registered. Thereby, the gateway 10 can grasp who the user of the privilege ID is.
- the client terminal 20 is a computer for connecting to the CIFS server 40.
- the client terminal 20 can transmit an authentication request for establishing a session to the gateway 10.
- the client terminal 20 can be realized by hardware such as a computer CPU or a storage device such as RAM, ROM, HDD, etc. in terms of hardware, and in terms of software, WINDOWS (registered trademark), Mac (registered trademark). It is realized by various OSs such as UNIX (registered trademark) and Linux (registered), computer programs, and the like.
- the network 30 is constructed by combining the Internet, a local area network (LAN), and the like.
- the gateway 10, the CIFS server 40, and the client terminal 20 may be connected to each other via a dedicated line.
- the CIFS server 40 is a server that provides a file sharing service.
- the CIFS server 40 can be realized in terms of hardware by an element such as a CPU of a computer or a storage device such as a RAM, ROM, and HDD, and in terms of software, it can be realized by WINDOWS (registered trademark), Mac (registered trademark). , UNIX (registered trademark), Linux (registered) and other server OSs, computer programs, and the like.
- FIG. 5 is a diagram showing an example of screen transition in the client terminal 20 shown in FIG.
- the user needs to apply for the CIFS server 40 to be connected and the folder of the CIFS server 40 in advance and be approved by a person (authorizer) who has permission to access the folder.
- the CIFS server 40 to be connected, the folder of the CIFS server 40, etc. may be made available without prior application.
- FIG. 5 is a diagram showing an example of screen transition in the client terminal 20 shown in FIG.
- the user needs to apply for the CIFS server 40 to be connected, the folder of the CIFS server 40 in advance, and be approved by a person (approver) who has permission to access the folder.
- the CIFS server 40 to be connected, the folder of the CIFS server 40, and the like may be used without prior application.
- the user designates the IP address (or host name) of the gateway 10 and the folder name in the gateway 10 from the screen 51 displayed on the client terminal 20 after performing the above-described prior approval. Then, a login screen 52 is popped up separately. From this login screen 52, the user inputs a user name and a password managed uniquely by the gateway 10. That is, the user inputs the user ID and password registered in the first user identification information 17C.
- FIG. 6 is a communication conceptual diagram of relay processing by the gateway 10 shown in FIG.
- the client terminal 20 must be configured to be connected to the gateway 10 when connecting to the CIFS server 40.
- STEP 1 user authentication is performed using a UID that is assigned to the client terminal 20 in advance by the gateway 10.
- the client terminal 20 establishes a session with the gateway 10 by user authentication (first user authentication) by the challenge / response method.
- path authentication is performed by a tree connection identifier (hereinafter simply referred to as “TID”) (note that the path authentication here includes the concept of user authorization processing).
- the gateway 10 can acquire the IP address, the connection destination path name, and the NTLM hash value of the CIFS server 40 as the connection destination based on the information from the client terminal 20, and refer to the storage unit 17.
- the user name used when connecting to the CIFS server 40 can be specified.
- the gateway 10 establishes a session with the CIFS server 40 by user authentication (second user authentication) by the challenge / response method with the CIFS server 40.
- FIG. 7 is a diagram showing a specific example of the communication process shown in FIG. Hereinafter, processing corresponding to the above-described STEP1, STEP2, and STEP3 executed between the devices will be described.
- This process is a process for establishing a session between the client terminal 20 and the gateway 10, and is basically the same as the communication process between the client terminal 20 and the CIFS server 40 described in FIG.
- STEP 1 between the client terminal 20 and the gateway 10, the user inputs the IP address (or host name, computer name, etc.) of the gateway 10 and the folder name on the gateway 10 from the prompt (screen 51 in FIG. 5). It is executed by doing.
- the client terminal 20 performs “NEGOCIATE” of STEP 1 on the IP address input by the user, and then transmits “SESSION_SETUP_ANDX (NTLM: type 1 negotiate)” (hereinafter referred to as “type 1 message”).
- type 1 message hereinafter referred to as “type 1 message”.
- the gateway 10 receives the type 1 message from the client terminal 20, it returns “SESSION_SETUP_ANDX (NTLM: type 2)” (hereinafter referred to as “type 2 message”).
- the client terminal 20 that has received this type2 message creates “SESSION_SETUP_ANDX (NTLM: type3 response)” (hereinafter referred to as “type3 message”) based on the information of the user logged in to its own OS, and the gateway. 10 to send.
- the client terminal 20 displays a login prompt as shown in the screen 52 of FIG. 5 when authentication fails with the information of this type3 message, prompts the user to enter a user name and password, and is input.
- a type 3 message is generated and transmitted again based on the information. Then, the gateway 10 notifies the user approval / disapproval by “SESSION_SETUP_ANDX response”.
- Step 1 between the gateway 10 and the CIFS server 40 session establishment
- the gateway 10 receives the path information in STEP 2 with the client terminal 20
- the gateway 10 starts processing for establishing a session with the CIFS server 40.
- the processing of STEP1 between the gateway 10 and the CIFS server 40 is the same as the processing of STEP1 between the client terminal 20 and the gateway 10, and thus the description thereof is omitted.
- Step 2 between gateway 10 and CIFS server 40, transmission of path information, authorization processing
- the gateway 10 When receiving the authentication result in STEP 1 with the CIFS server 40, the gateway 10 further replaces the path information received from the client terminal 20 with the path on the CIFS server 40 and then transmits it to the CIFS server 40.
- the CIFS server 40 executes an authorization process based on the path information transmitted from the gateway 10, and if authorized, transmits a tree connector (TID) to the gateway 10.
- TID tree connector
- the gateway 10 transmits the TID received from the CIFS server 40 to the client terminal 20.
- the client terminal 20 executes various commands to the connection destination resource.
- the gateway 10 relays various commands to the connection destination resource received from the client terminal 20 to the CIFS server 40 and also relays responses of various commands transmitted from the CIFS server 40.
- FIG. 8 is a diagram showing an example of the output timing of the log data 17B of the CIFS server 40.
- the gateway 10 After session setup, tree setup, user authentication, and authorization processing are executed in order between the client terminal 20 and the gateway 10, the gateway 10 starts session setup with the CIFS server 40.
- the starting point of the log data 17B is preferably the timing at which the gateway 10 executes session setup with the CIFS server 40. Further, it is preferable that the log data 17B is output at a timing at which a TCP close is executed between the respective devices as an end timing.
- FIG. 9 is a diagram illustrating a correspondence between an operation to be acquired and an operation log (an example of log data 17B). Note that the processing executed based on each operation shown in FIG. 9 corresponds to “predetermined processing” executed between the client terminal 20 and the CIFS server 40.
- Examples of user operations include creating, writing, reading, deleting, moving, copying and pasting, renaming, and changing properties of files and directories.
- the log data 17B acquired from these operations for example, if the user's operation is any of creation, writing, reading, deletion, movement, and copy / paste of a file or directory, the file that has been operated The name, file contents, and the like are acquired as log data 17B. If the user operation is a change of file or directory property, the contents of the property before and after the change are acquired as log data 17B.
- FIG. 10 is a diagram illustrating an example of a search result of an access log (an example of log data 17B).
- the log data 17B includes, for example, an access start date and time, an access end date and time, a connection time (seconds) with the gateway 10, whether access is possible in the gateway 10, and the gateway 10 server.
- Name (Gateway server name), account name used to connect to the gateway 10, IP address of the client terminal 20 (connection source IP address), node name of the client terminal 20 (connection node name), IP address of the CIFS server (Connection destination IP address) and the like are stored and can be searched.
- the access log is used when connecting to the CIFS server 40, the access start date and time, the access end date and time, the connection time, the information indicating the result of the access by the CIFS server 40, and the access result. It may be the account name.
- FIG. 11 is a diagram illustrating a specific example of communication processing executed between the gateway 10A, the client terminal 20, and the CIFS server 40 in the second embodiment of the present invention.
- the gateway 10A according to the second embodiment of the present invention is different from the gateway 10 according to the first embodiment in terms of the timing of user authentication processing with the CIFS server 40, the number of times the user is requested to input a password, and the load on the device itself. Mainly different.
- the user authentication process executed between the gateway 10 and the CIFS server 40 is executed after STEP 1 executed between the client terminal 20 and the gateway 10 is completed.
- the user authentication process executed between the gateway 10A and the CIFS server 40 is started before STEP 1 executed between the client terminal 20 and the gateway 10A is completed. It is configured. Thereby, the gateway 10A can transfer the STEP1 process executed with the CIFS server 40 as it is in the process of establishing the STEP1 process executed with the client terminal 20. .
- the gateway 10A notifies that the user authentication has failed once in the process of STEP1 executed with the client terminal 20 even if the user authentication is successful. The reason why the user authentication is failed once is to establish a session directly between the CIFS server 40 and the client terminal 20.
- the path information transmitted from the client terminal 20 to the gateway 10 is used as CIFS.
- the processing of transmitting the path information for the server 40 after being converted is performed one by one.
- the client terminal 20 since the session is directly established between the CIFS server 40 and the client terminal 20, the client terminal 20 Is transmitted (relayed) to the CIFS server 40 as it is. As a result, the processing executed by the gateway 10A itself is reduced, and the load on the gateway 10A itself is reduced.
- the gateways 10 and 10A are connected between the CIFS server 40 that provides the file sharing service and the client terminal 20 that is connected to the data provided by the file sharing service of the CIFS server 40.
- a client negotiation control unit 12A (first negotiation control unit) that establishes a session with the client terminal 20 based on a request from the client terminal 20 and relays a predetermined process to be executed, and a client negotiation Client session setup control unit 13A (first session setup control unit) that executes a first user authentication process with the client terminal 20 when a session is established with the client terminal 20 by the control unit 12A.
- a server negotiation control unit 12B (second negotiation control unit) that establishes a session with the CIFS server 40 based on information indicating a connection destination of the CIFS server 40 desired by the user of the client terminal 20, and a server negotiation control unit
- a server session setup control unit 13B (second session setup control unit) that executes a second user authentication process with the CIFS server 40 when a session is established with the CIFS server 40 by 12B;
- information indicating the connection destination desired by the user of the client terminal 20 is transmitted to the CIFS server 40, and the CIFS Client at the connection destination of the server 40
- a tree setup control unit 14 (tree setup control unit) that executes user authorization processing of the client terminal 20 with the CIFS server 40 and starts a tree connection with the connection destination of the CIFS server 40; If the user of the client terminal 20 is authorized as a result of the executed user authorization process, information (TID) that can identify the tree connection established
- the user can access the target CIFS server 40 only by executing a login process for the target CIFS server 40.
- the user authentication processing first user authentication processing
- the user authentication process second user authentication process
- the authorization process for the data at the connection destination of the CIFS server 40 can all be executed.
- the CIFS server 40 may control access to data provided by the file sharing service based on communication requests from the gateways 10 and 10A.
- the gateways 10 and 10A can relay the communication processing executed between the client terminal 20 and the CIFS server 40 while executing access control, it is easy to record these communication contents. Is possible. Further, since it is not necessary to separately install the agent software on the client terminal 20 by the gateways 10 and 10A, the possibility of affecting the network environment of the business information system is extremely reduced. Further, since it is not necessary to install the agent software on each client terminal 20, there is no problem that the number of management objects increases. Furthermore, since the number of management objects does not increase, there is no problem that the load on the system operation side increases.
- the ID used in the connection destination CIFS server 40 is a privilege ID. However, it is possible to easily grasp who has performed what operation on what target and when with the privilege ID.
- the CIFS server 40 provides a file sharing service using the CIFS (Common Internet File System) protocol.
- the first user authentication process and the second user authentication process executed by the gateways 10 and 10A are:
- the challenge / response method user authentication adopted by CIFS is executed, and the user authorization process is set by CIFS for the user of the client terminal 20 in the data to be the connection destination in the CIFS server 40. It is configured to be executed based on access control.
- the gateways 10 and 10A are configured to relay the communication between the two apparatuses while executing necessary processes with the respective apparatuses.
- the client session setup control unit 13A (first session setup control unit) notifies the client terminal 20 of the authentication result
- the server negotiation control unit 12B (the first session setup control unit). 2 negotiation control unit) establishes a session with CIFS server 40 based on the information indicating the connection destination at CIFS server 40 transmitted from client terminal 20 that has received the notification of the authentication result, and performs relay control.
- the unit 15 (relay processing unit) is configured to notify the CIFS server 40 of the information indicating the data and the operation information when acquiring the operation information for executing a predetermined process on the data from the client terminal 20. .
- a response similar to the communication when directly communicating with the CIFS server 40 is returned from the client terminal 20 as appropriate from the gateway 10. Further, from the CIFS server 40 side, a request similar to the communication when directly communicating with the client terminal 20 is appropriately transmitted from the gateway 10. In other words, even if the gateway 10 relays communication, it is not different from the communication directly exchanged between the client terminal 20 and the CIFS server 40, so there is no need to change the settings on these devices.
- the gateways 10 and 10A are external data that can be connected via the storage unit 17 or the network 30 as log data 17B of data before and after the change of data exchanged between the client terminal 20 and the CIFS server 40.
- the communication recording control unit 16 storage processing unit stores in a storage unit (not shown).
- the user of the privilege ID is specified, and specific event logs and file data before and after the change are easily acquired. It becomes possible.
- the relay processing method of the apparatus described as the gateway 10, 10A described above, and the control program 17A for causing the computer to function as the gateway 10, 10A have the same effects as the gateway 10, 10A described above. is there.
- the gateways 10 and 10A have been described as examples.
- the present invention is not limited to the above-described embodiments as they are, and in the implementation stage, the constituent elements may be modified and embodied without departing from the spirit of the invention.
- Various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the above embodiments. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, you may combine the component covering different embodiment suitably.
- the above-described series of processing of the gateways 10 and 10A can be executed by hardware or can be executed by software.
- the programs that make up the software can execute various functions by installing a computer built into dedicated hardware or by installing various programs. For example, it is installed in a general-purpose personal computer from a non-temporary program recording medium.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
- Debugging And Monitoring (AREA)
Abstract
ファイル共有サービスを提供するサーバへのアクセスをエージェントレスで監視するとともに、特権IDの管理を容易に実現することができる中継処理装置、中継処理方法、およびプログラムを提供する。 クライアント端末20とセッションを確立して第1のユーザ認証処理を実行し、接続を所望するサーバとの間でセッションを確立して第2のユーザ認証処理を実行し、これらの認証処理両方で認証された場合に、所望するサーバとの間でツリー接続を開始して認可処理を実行して認可されている場合に、クライアント端末20との間で既に確立しているセッションを利用して所望のサーバとの間で確立したツリー接続を識別できる情報を送信すると共に、クライアント端末20と所望するサーバとの間で実行される所定の処理を中継するゲートウェイ10(中継処理装置)とする。
Description
本発明は、中継処理装置、中継処理方法、およびプログラムに関する。
企業や公共施設などの運用を支える業務情報システム、いわゆるエンタープライズシステム(Enterprise System)は、今や、大小さまざまな組織の基盤となっている。業務情報システムは、ノード端末やデータベースから得られるデータを集計、蓄積、解析、加工した上でより付加価値の高い情報を出力することにより、複雑化する組織マネジメントを支えている。
このような業務情報システムを構成するサーバへアクセスする場合、一般権限のIDだけでなく、高権限のIDにてアクセスし、各種データなどの作成・更新・削除・実行などを行う場合がある。一般権限を超える高権限を持つIDは、一般的には特権IDと呼ばれる。この特権IDとしては、たとえばUNIX(登録商標)システムのroot、Windows(登録商標)システムのAdministrator、DBシステムのSYS、SYSTEMなどが知られている。また、この特権IDには、上述したもの以外にも多数存在し、中にはそれらの特権IDが複数の操作者により共有されていたり、プログラムの中で利用されている場合がある。また、通常運用や障害対応の場面で特権IDを利用せざるを得ない場面も多数存在する。そのため、特権IDの利用者を特定し、適切なアクセス管理を行うことは一般権限のIDのアクセス管理と比較すると非常に困難な状況が存在する。
しかしながら、IT統制の監査などの場面では、業務情報システムを構成するサーバへのアクセスに対して、「いつ」、「誰が」、「どんな目的で」利用したのかを特権IDを含めて管理すべきである、という指摘を受けるケースがある。たとえば、特権IDの利用者の操作に対して、アクセスした利用者の特定ができない場合や、業務情報システムを構成するサーバでの作業に対して職務分掌ができていない場合、誰でも作業が可能である場合、作業のログが取得できていない場合、作業に対する事後確認ができていない場合などである。
このような指摘に対応すべく、たとえば本出願人による提案により、作業者が特権IDを用いて業務情報システムを構成するサーバに接続する前に、中継装置に接続させて、特権IDの利用状況を管理する方法が知られている(特許文献1)。特許文献1に開示される中継装置では、業務情報システムの各サーバへ接続する前に中継装置においてユーザ認証を行うことで、中継装置にて登録されているユーザIDと接続先のサーバで使用される特権IDとを紐つけ、特権ID利用者を特定することで特権IDの利用状況を管理するように構成されている。
ところで、特許文献1に開示される技術において、業務情報システムを構成するサーバがCIFS(Common Internet File System)によるファイル共有サービスを提供する場合がある。
ファイル共有サービスにて提供さるリソースへのアクセスは、企業のセキュリティポリシーによっては、ユーザを特定すると共に、具体的なイベントログ、やりとりしたデータについても取得するように求められることがある。
そのため特許文献1に開示される技術でも、中継装置においてCIFSプロトコルが監視対象となっている。しかしながら、実際にCIFSプロトコルを実装しているサーバへの接続は、Windows(登録商標)が標準で備えている機能であるWebDAV(Distributed Authoring and Versioning protocol for the WWW)機能を利用している。すなわち、クライアント端末は、WebDAV機能を利用して中継装置を介してCIFSで構成されているサーバの共有フォルダへ接続するとともに、操作するように構成されている。なお、ここでいうWebDAVとは、WWWでファイルの転送に使われるHTTPを拡張し、WebブラウザからWebサーバ上のファイルやフォルダを管理できるようにした仕様を備えたものである。ちなみに、WebDAVは、HTTP1.1を拡張した仕様で、IETF(Internet Engineering Task Force)によってRFC2518として定義されているものである。
ところが、このWebDAV機能はWindows7(登録商標)の機器では標準でHTTP(Hypertext Transfer Protocol)ではなく、第三者により認可された証明書を利用するHTTPS(Hypertext Transfer Protocol Security)の通信でしか利用できない。そのため、企業で利用されるクライアント端末が、WindowsXP(登録商標)の機器などからWindows7(登録商標)の機器へと入れ替える場合、認可証明書の利用ができない環境においては従来のような特権IDの管理が中継装置においてできなくなるという問題が生じる。
これを解決する方法として、たとえば、各クライアント端末にエージェント・ソフトをインストールしてイベントログや画面データを中継装置側で収集する方法が考えられる。しかしながら、エージェント・ソフトを利用すると、業務情報システムのネットワーク環境に影響を与える可能性が大きくなるという問題が生じる。また、エージェント・ソフトを各クライアント端末にインストールする必要があるため、管理対象が多くなってしまうという問題が生じる。さらには、管理対象が多くなることによりシステム運用側の負荷が増大してしまうという問題が生じる。
本発明は、上述した課題の少なくともいずれか1つを鑑みてなされたものであり、ファイル共有サービスを提供するサーバへのアクセスをエージェントレスで監視するとともに、特権IDの管理を容易に実現することができる中継処理装置、中継処理方法、およびプログラムを提供することを目的とする。
本発明の一側面は、中継処理装置に関するものである。すなわち、本発明に係る中継処理装置は、ファイル共有サービスを提供するサーバと、サーバのファイル共有サービスにて提供されるデータに接続するクライアント端末との間で実行される所定の処理を中継する中継処理装置であって、クライアント端末からの認証要求に基づいてクライアント端末との間でセッションを確立する第1のネゴシエーション制御部と、第1のネゴシエーション制御部によりクライアント端末との間でセッションが確立された場合に、クライアント端末との間で第1のユーザ認証処理を実行する第1のセッションセットアップ制御部と、クライアント端末のユーザが所望するサーバの接続先を示す情報に基づいてサーバとの間でセッションを確立する第2のネゴシエーション制御部と、第2のネゴシエーション制御部によりサーバとの間でセッションが確立された場合に、サーバとの間で第2のユーザ認証処理を実行する第2のセッションセットアップ制御部と、第1のユーザ認証処理および第2のユーザ認証処理の両方においてクライアント端末のユーザが認証された場合に、クライアント端末のユーザが所望する接続先を示す情報をサーバに送信し、サーバでの接続先におけるユーザ認可処理をサーバとの間で実行し、サーバの接続先とのツリー接続を開始するツリーセットアップ制御部と、ツリーセットアップ制御部により実行されたユーザ認可処理の結果、クライアント端末のユーザが認可されている場合に、クライアント端末との間で既に確立しているセッションを利用してサーバとの間で確立したツリー接続を識別できる情報を送信すると共に、クライアント端末とサーバとの間で実行される所定の処理を中継する中継処理部とを有することを特徴とする。
また、上述した構成に加えて、サーバは、ファイル共有サービスをCIFS(Common Internet File System)プロトコルにて提供するものであり、第1のユーザ認証処理および第2のユーザ認証処理は、チャレンジ/レスポンス方式によりユーザ認証が実行されるものであり、ユーザ認可処理は、サーバでの接続先となるデータにおけるクライアント端末のユーザに対して設定されているアクセス制御に基づいて実行することができる。
また、上述した構成に加えて、第1のセッションセットアップ制御部は、クライアント端末のユーザ認証処理が成功した場合に、その認証結果をクライアント端末へ通知し、第2のネゴシエーション制御部は、認証結果の通知を受信したクライアント端末から送信されてきたサーバでの接続先を示す情報に基づいてサーバとの間でセッションを確立し、中継処理部は、クライアント端末からデータに対する所定の処理を実行するための操作情報を取得すると、データを示す情報および操作情報をサーバへと通知することができる。
また、上述した構成に加えて、クライアント端末およびサーバとの間でやり取りされるデータの変更前後の各データについて自己の記憶部あるいはネットワークを介して接続可能な外部の記憶部に記憶する記憶処理部を有することができる。
また、本発明の一側面は、中継処理方法に関するものである。すなわち、本発明に係る中継処理方法は、ファイル共有サービスを提供するサーバと、サーバのファイル共有サービスにて提供されるデータに接続するクライアント端末との間で実行される所定の処理を中継する中継処理装置に用いられる中継処理方法であって、クライアント端末からの認証要求に基づいてクライアント端末との間でセッションを確立する第1のネゴシエーション制御ステップと、第1のネゴシエーション制御ステップによりクライアント端末との間でセッションが確立された場合に、クライアント端末との間で第1のユーザ認証処理を実行する第1のセッションセットアップ制御ステップと、クライアント端末のユーザが所望するサーバの接続先を示す情報に基づいてサーバとの間でセッションを確立する第2のネゴシエーション制御ステップと、第2のネゴシエーション制御ステップによりサーバとの間でセッションが確立された場合に、サーバとの間で第2のユーザ認証処理を実行する第2のセッションセットアップ制御ステップと、第1のユーザ認証処理および第2のユーザ認証処理の両方においてクライアント端末のユーザが認証された場合に、クライアント端末のユーザが所望する接続先を示す情報をサーバに送信し、サーバでの接続先におけるユーザ認可処理をサーバとの間で実行し、サーバの接続先とのツリー接続を開始するツリーセットアップ制御ステップと、ツリーセットアップ制御ステップにて実行されたユーザ認可処理の結果、クライアント端末のユーザが認可されている場合に、クライアント端末との間で既に確立しているセッションを利用してサーバとの間で確立したツリー接続を識別できる情報を送信すると共に、クライアント端末とサーバとの間で実行される所定の処理を中継する中継処理ステップを有することを特徴とする。
また、本発明の一側面は、プログラムに関するものである。すなわち、本発明に係るプログラムは、ファイル共有サービスを提供するサーバと、サーバのファイル共有サービスにて提供されるデータに接続するクライアント端末との間で実行される所定の処理を中継する中継処理装置としてコンピュータを機能させるためのプログラムであって、コンピュータをクライアント端末からの認証要求に基づいてクライアント端末との間でセッションを確立する第1のネゴシエーション制御手段と、第1のネゴシエーション制御手段によりクライアント端末との間でセッションが確立された場合に、クライアント端末との間で第1のユーザ認証処理を実行する第1のセッションセットアップ制御手段と、クライアント端末のユーザが所望するサーバの接続先を示す情報に基づいてサーバとの間でセッションを確立する第2のネゴシエーション制御手段と、第2のネゴシエーション制御手段によりサーバとの間でセッションが確立された場合に、サーバとの間で第2のユーザ認証処理を実行する第2のセッションセットアップ制御手段と、第1のユーザ認証処理および第2のユーザ認証処理の両方においてクライアント端末のユーザが認証された場合に、クライアント端末のユーザが所望する接続先を示す情報をサーバに送信し、サーバでの接続先におけるユーザ認可処理をサーバとの間で実行し、サーバの接続先とのツリー接続を開始するツリーセットアップ制御手段と、ツリーセットアップ制御手段により実行されたユーザ認可処理の結果、クライアント端末のユーザが認可されている場合に、クライアント端末との間で既に確立しているセッションを利用してサーバとの間で確立したツリー接続を識別できる情報を送信すると共に、クライアント端末とサーバとの間で実行される所定の処理を中継する中継処理手段として機能させるプログラムであることを特徴とする。
本発明によれば、ファイル共有サービスを提供するサーバへのアクセスをエージェントレスで監視するとともに、特権IDの管理を容易に実現することができる中継処理装置、中継処理方法、およびプログラムを提供することができる。
本発明に係る中継処理装置、中継処理方法およびプログラムの実施形態について図面を参照しながら説明する。なお、本発明に係る中継処理方法の実施形態については、中継処理装置の動作説明と共に行い、本発明に係るプログラムについては中継処理装置にインストールされているプログラムとして説明する。しかしながら、本発明に係る中継処理装置、中継処理方法およびプログラムは、以下に説明する各実施形態に限定されるものではない。
なお、本明細書における「アクセス制御」とは、主にコンピュータセキュリティによるアクセス制御を意図しており、あるサブジェクト(能動体、クライアント端末など)が、どのオブジェクト(システム、ファイル、サーバなど)に対する処理(たとえばファイルであれば読み取り/書き込み、実行など)を許可するか否か、あるいは許可する接続手段(たとえば、サーバであれば接続の際に使用可能なプロトコル、ポート番号など)について制御することを指す。なお、コンピュータセキュリティによるアクセス制御は、一般的には、認証(authentication)、認可(authorization)、監査(audit)からなるが、これ以外の処理が含まれてもよいし、これらをすべて含んでいなくてもよい。以下の説明において、認証(authentication)とは、ネットワークやサーバに接続する際に利用者が本人であることを確認することを言う。たとえば本人に割り振られたユーザIDとパスワードなどの組み合わせが正しいことをもって本人であると確認する。一方、認可(authorization)とは、認証済みの利用者に対して、何らかのサービスの利用やリソースへのアクセスなどに対する権限を与えたりすることを言う。たとえばあらかじめシステム管理者によりリソースへの読み込み、書き込み、実行などの各操作を特定のユーザやグループに対してのみ許可する状態としたり、あるいは不許可の状態としたりする。
[第1実施形態]
図1は、本発明の中継処理装置の第1実施形態であるゲートウェイ10を含む業務情報システムの構成例を示すブロック図である。同図に示す業務情報システムは、ゲートウェイ10とクライアント端末20とがネットワーク30を介して接続されているとともに、CIFSプロトコルによりファイル共有サービスを提供するCIFSサーバ40A,40B,40Cが、ゲートウェイ10を介してネットワーク30に接続されている。なお、以下、CIFSサーバ40A,40B,40Cを特に限定する必要がない場合には便宜上CIFSサーバ40と称して説明する。
図1は、本発明の中継処理装置の第1実施形態であるゲートウェイ10を含む業務情報システムの構成例を示すブロック図である。同図に示す業務情報システムは、ゲートウェイ10とクライアント端末20とがネットワーク30を介して接続されているとともに、CIFSプロトコルによりファイル共有サービスを提供するCIFSサーバ40A,40B,40Cが、ゲートウェイ10を介してネットワーク30に接続されている。なお、以下、CIFSサーバ40A,40B,40Cを特に限定する必要がない場合には便宜上CIFSサーバ40と称して説明する。
(ゲートウェイ10の役割)
ゲートウェイ10は、クライアント端末20からネットワーク30を介してCIFSサーバ40への接続を受け付ける中継処理装置であって、ネットワークセキュリティ境界に設置される。ゲートウェイ10は、CIFS(Common Internet File System)プロトコルのアクセス制御、およびログ取得による監査を行う。なお、本実施例では、CIFSプロトコルに関するアクセス制御、およびログ取得に絞って説明するが、ゲートウェイ10では、CIFSプロトコル以外にも、TELNET(Telecommunication network)、SSH(Secure SHell)、FTP(File Transfer Protocol)、HTTP(HyperText Transfer Protocol)、HTTPS(Hypertext Transfer Protocol Security)、Windows(登録商標)RDP(Remote Desktop Protocol)などの各種プロトコルについてのアクセス制御、およびログ取得を行うことができるように構成されてもよい。
ゲートウェイ10は、クライアント端末20からネットワーク30を介してCIFSサーバ40への接続を受け付ける中継処理装置であって、ネットワークセキュリティ境界に設置される。ゲートウェイ10は、CIFS(Common Internet File System)プロトコルのアクセス制御、およびログ取得による監査を行う。なお、本実施例では、CIFSプロトコルに関するアクセス制御、およびログ取得に絞って説明するが、ゲートウェイ10では、CIFSプロトコル以外にも、TELNET(Telecommunication network)、SSH(Secure SHell)、FTP(File Transfer Protocol)、HTTP(HyperText Transfer Protocol)、HTTPS(Hypertext Transfer Protocol Security)、Windows(登録商標)RDP(Remote Desktop Protocol)などの各種プロトコルについてのアクセス制御、およびログ取得を行うことができるように構成されてもよい。
(CIFSプロトコルを実装したサーバで用いられる典型的な通信処理について)
まず先に、CIFSプロトコルを実装したサーバで用いられる典型的な通信処理について説明する。図2は、クライアント端末20とCIFSサーバ40との間での通信処理のイメージを示す図である。なお、図2に示す通信処理のイメージは、あくまでもクライアント端末20とCIFSサーバ40とが直接通信をした場合を想定したものであって、本実施形態において実際に実行される通信処理ではない。また、クライアント端末20がCIFSより下位のトランスポート層レベルでCIFSサーバ40への通信路を確保した状態を前提としている。
まず先に、CIFSプロトコルを実装したサーバで用いられる典型的な通信処理について説明する。図2は、クライアント端末20とCIFSサーバ40との間での通信処理のイメージを示す図である。なお、図2に示す通信処理のイメージは、あくまでもクライアント端末20とCIFSサーバ40とが直接通信をした場合を想定したものであって、本実施形態において実際に実行される通信処理ではない。また、クライアント端末20がCIFSより下位のトランスポート層レベルでCIFSサーバ40への通信路を確保した状態を前提としている。
図2に示すように、クライアント端末20とCIFSサーバ40との間では、大きく分けて3つの通信処理(STEP1,STEP2,STEP3)が実行される。具体的には、クライアント端末20は、CIFSサーバ40に対してセッション確立のための通信処理を実行する(STEP1)。続いて、クライアント端末20は、STEP1で確立したセッションを利用して、実際のCIFSサーバ40のリソースへ接続するための通信処理を実行する(STEP2)。さらに、クライアント端末20は、CIFSサーバ40に対して具体的なリソースを使用するための通信処理を実行する(STEP3)。以下、これらのSTEP1、STEP2、STEP3の各通信処理について詳細に説明する。
図3は、図2に示したSTEP1、STEP2、STEP3の各通信処理をより具体的に示した図である。なお、STEP1の処理は、Windows4.0以前のWindows NT(登録商標)シリーズのOSで標準的に使われていたユーザ認証方式であるNTLM認証(Windows NT LAN Manager認証)というネットワークプロトコルにより行われている。このSTEP1では、このプロトコルのバージョンのすり合わせを行う処理(以下、この処理を単に「プロトコルネゴシエーション」という。)と、クライアント端末20がCIFSサーバ40のファイル共有サービスに接続するための認証を行う処理(以下、この処理を単に「セッションセットアップ」という。)が実行される。
STEP1のプロトコルネゴシエーションでは、クライアント端末20がCIFSサーバ40に対してサポートしているNTLM認証の機能レベルを通知し、最適なプロトコルバージョンを選択させることができる。図3で示す例ではSTEP1の「SESSION_SETUP_ANDX(NTLM:type1negotiate)」と記載されている処理がこのプロトコルネゴシエーションに相当する。
STEP1のセッションセットアップでは、CIFSサーバ40からクライアント端末20に対してチャレンジ/レスポンス方式でのユーザ認証処理が実行される。たとえばクライアント端末20からセッション確立の要求(「SESSION_SETUP_ANDX(NTLM:type1negotiate)」)を受けたCIFSサーバ40は「UID」と「チャレンジ」(ランダムなバイト列)をクライアント端末20へ送信する。なお、この「UID」は、CIFSのセッションの間だけクライアント端末20のユーザを識別するために振り分けられる一時的な番号である。CIFSサーバ40は、クライアント端末20からセッション確立要求の度にこの「UID」を発行し、クライアント端末20へ通知する。これにより、認証をあくまでもセッションの間だけのものとして管理しやすくすると共に、ユーザ側でユーザ名の変更等(たとえば特定の処理については特権IDでの処理とする場合など)が発生しても、利用中のセッションをそのまま利用してファイル共有を継続することが可能となっている。
クライアント端末20ではユーザが入力したパスワードの情報に基づいてこのチャレンジを処理した結果である「レスポンス」をCIFSサーバ40へと送る。CIFSサーバ40側ではクライアント端末20側で行われたレスポンス生成と同じ処理を行い、その結果とクライアント端末20から送られたレスポンスとを比較する。それらが同一のものであれば、CIFSサーバ40およびクライアント端末20の双方が持っているパスワード情報(正確にはパスワードを一方向関数で処理した、パスワードハッシュ)が等しいことになるため、CIFSサーバ40はクライアント端末20を正当なユーザであると認証することができる。
STEP1のセッションセットアップにより、CIFSサーバ40への接続が許可されると、CIFSサーバ40とクライアント端末20の間でCIFSプロトコルのレベルでの通信路(セッション)が確立される。そして、一度セッションが確立されると、そのクライアント端末20(実際にはユーザ)が接続を切断などにより終了させるまで、同じセッションを利用して、CIFSプロトコルのコマンドや結果、データなどのやりとりをすることが可能となる。ただし、クライアント端末20は、CIFSサーバ40のユーザ認証をパスしないと、この接続要求は拒否され、CIFSサーバ40とのセッションを確立することができない。
STEP2の処理では、CIFSサーバ40が提供するリソースにクライアント端末20が接続するための処理(以下、この処理を単に「ツリーセットアップ」という。)が行われる。
ツリーセットアップでは、CIFSサーバ40が提供するリソース(例:\share)に関するアクセス権限のチェック(以下、このチェックを単に「パス認証」という。)が行われる。このパス認証ではSTEP1のセッションセットアップ時に使用したユーザ識別情報(例:ユーザID、パスワード)がそのまま使われて接続が許可されているか否かが判定される。CIFSサーバ40は、クライアント端末20の接続が許可されていればツリーを識別する情報であるTIDを通知する。
STEP3の処理では、クライアント端末20がCIFSサーバ40のリソースを利用するための処理(以下、この処理を単に「クライアント要求処理」という。)が実行される。
クライアント要求処理では、たとえば、CIFSサーバ40が有しているファイルに対する実際の操作を行うための通信要求が発生する。図3に示す例では、操作したいファイル名などをクライアント端末20からCIFSサーバ40へ送信すると、ファイル識別子(FID)が通知される。そして、クライアント端末20は、このFIDに対してファイルの読み出し、書き込みなどの各種コマンドを実行する。CIFSサーバ40側の認可処理により、実行されたコマンドが許可されていれば適切な応答を返す。なお、これらの処理をすべて終了する場合には、クライアント端末20は、STEP3の通信レベルでファイルを閉じる処理(CLOSE)が実行され、STEP2の通信レベルでセットアップしたツリー接続を切断する処理(TREE_DISCONNECT)が実行され、STEP1の通信レベルでセッションをログオフする処理(SESSION_LOGOFF)が実行されることになる。
これらのSTEP1、STEP2およびSTEP3の3つの処理が実行されることでCIFSサーバ40は、クライアント端末20との間で適切な通信経路を確立すると共に、ユーザ認証処理と認可処理を実行して適切なアクセス権限にてリソースを利用させることが可能となっている。
以上、図2および図3を参照しながら、CIFSプロトコルの典型的な通信処理例について説明したが、本実施形態におけるゲートウェイ10は、クライアント端末20とCIFSサーバ40との間のこれらの通信処理を中継するために必要な機能を備えている。
図4は、図1に示すゲートウェイ10の機能構成例を示すブロック図である。ゲートウェイ10は、通信制御部11と記憶部17とを少なくとも有している。通信制御部11は、更にネゴシエーション制御部12、セッションセットアップ制御部13、ツリーセットアップ制御部14、中継制御部15、および通信記録制御部16を有している。また記憶部17には、制御プログラム17A、ログデータ17B、第1ユーザ識別情報17Cおよび第2ユーザ識別情報17Dが記憶されている。
なお、図4に示す通信制御部11内の各ブロックは、ハードウェア的には、コンピュータのCPUをはじめとする素子やRAM,ROM,HDD,SSD,フラッシュメモリなどの記憶装置で実現でき、ソフトウェア的には、OS、制御プログラム17Aおよびその他のコンピュータプログラム等が上記のハードウェアにインストールされることによって実現することができる。しかし、図4ではそれらの連携によって実現される機能ブロックを示している。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現することができる。また、ゲートウェイ10に記憶部17を有する構成としたが、この記憶部17のログデータ17Bのみを他のログ管理装置(外部記憶装置)などで記憶、管理させる構成としてもよい。
ネゴシエーション制御部12は、図3で説明したSTEP1のプロトコルネゴシエーションを制御するものであり、クライアント端末20およびCIFSサーバ40それぞれとの間でお互いのサポートしているネットワークプロトコル(すなわち、NTLM)のバージョンのすり合わせをそれぞれ行う。具体的には、ネゴシエーション制御部12は、「Negotiate」というコマンドを通信相手となるクライアント端末20あるいはCIFSサーバ40に対して発行する。たとえば、ネゴシエーション制御部12は、自身のサポートしているバージョン情報の一覧(ダイアレクト)を通信相手に送信すると共に、その通信相手がサポートしているバージョン情報の応答を受信する。なお、以下の説明において、クライアント端末20との間でのプロトコルネゴシエーションを制御する場合のネゴシエーション制御部12を「クライアントネゴシエーション制御部12A」とし、CIFSサーバ40との間でのプロトコルネゴシエーションを制御する場合のネゴシエーション制御部12を「サーバネゴシエーション制御部12B」として説明する場合がある。
セッションセットアップ制御部13は、図3で説明したSTEP1のセッションセットアップを制御するものであり、クライアント端末20およびCIFSサーバ40それぞれとの間でチャレンジ/レスポンス方式のユーザ認証に関する通信を適切なタイミングでそれぞれ実行する。なお、以下の説明において、クライアント端末20との間でのセッションセットアップを制御する場合のセッションセットアップ制御部13を「クライアントセッションセットアップ制御部13A」とし、CIFSサーバ40との間でのセッションセットアップを制御する場合のセッションセットアップ制御部13を「サーバセッションセットアップ制御部13B」として説明する場合がある。
ツリーセットアップ制御部14は、図3で説明したSTEP2のツリーセットアップを制御するものであり、クライアント端末20およびCIFSサーバ40それぞれとの間でのツリーセットアップに関する通信を適切なタイミングでそれぞれ実行する。
中継制御部15は、図3で説明したSTEP3のクライアント要求処理を制御するものであり、クライアント端末20およびCIFSサーバ40それぞれとの間で発行される各種コマンド、あるいは発行された各種コマンドに対する応答に関する通信を適切なタイミングでそれぞれ中継する処理を実行する。なお、中継制御部15は、クライアント端末20から送信されてくるパス情報を、CIFSサーバ40のアドレスに適宜変換してからCIFSサーバ40へと転送する。
通信記録制御部16は、図3で説明したSTEP3の処理においてクライアント端末20とCIFSサーバ40との間においてやりとりされるファイルデータや各種コマンドについて取得して記憶部17にログデータ17Bとして記憶する。なお、通信記録制御部16は、ネットワーク30を介して接続可能な外部の記憶部(不図示)にログデータ17Bを記憶するように構成してもよい。
記憶部17は、制御プログラム17A,ログデータ17B,第1ユーザ識別情報17Cおよび第2ユーザ識別情報17Dを記憶することができる。
制御プログラム17Aは、ゲートウェイ10(コンピュータ)を、図4の通信制御部11に示す各ブロックとして説明したように機能させるためのプログラムである。
ログデータ17Bは、通信記録制御部16により記録される操作ログを示す情報である。なお、ログデータ17Bの詳細については後述する(図8,図9,図10)。
第1ユーザ識別情報17Cは、ゲートウェイ10が独自にユーザを管理するためのユーザIDとパスワードなどのユーザ識別情報である。第2ユーザ識別情報17Dは、CIFSサーバ40に接続する際のユーザIDとパスワードなどのユーザ識別情報である。ゲートウェイ10では、第1ユーザ識別情報17Cと第2ユーザ識別情報17Dとが関連付けて記憶されている。ゲートウェイ10は、クライアント端末20との間で実行するユーザ認証処理(第1のユーザ認証)では、第1ユーザ識別情報を用いる。一方、ゲートウェイ10は、CIFSサーバ40との間で実行するユーザ認証処理(第2のユーザ認証)および認可処理では、第1ユーザ識別情報に関連付けられている第2ユーザ識別情報を用いる。
なお、本実施形態において、第1ユーザ識別情報17Cは各人を識別するためのユーザIDおよびパスワードが登録されているが、第2ユーザ識別情報17Dは、CIFSサーバ40での特権IDおよびパスワードなどが登録されている。これにより、ゲートウェイ10では特権IDの利用者が誰であるのかを把握することができる。
(クライアント端末20の構成)
図1に戻りクライアント端末20について説明する。クライアント端末20は、CIFSサーバ40へ接続するためのコンピュータである。クライアント端末20は、ユーザによって、CIFSサーバ40へログインするためのユーザIDとパスワードが入力されると、ゲートウェイ10に対してセッション確立をするための認証要求を送信することができる。なお、クライアント端末20は、ハードウェア的には、コンピュータのCPUをはじめとする素子やRAM,ROM,HDDなどの記憶装置で実現でき、ソフトウェア的にはWINDOWS(登録商標)、Mac(登録商標)、UNIX(登録商標),Linux(登録)などの各種OS、コンピュータプログラム等によって実現される。
図1に戻りクライアント端末20について説明する。クライアント端末20は、CIFSサーバ40へ接続するためのコンピュータである。クライアント端末20は、ユーザによって、CIFSサーバ40へログインするためのユーザIDとパスワードが入力されると、ゲートウェイ10に対してセッション確立をするための認証要求を送信することができる。なお、クライアント端末20は、ハードウェア的には、コンピュータのCPUをはじめとする素子やRAM,ROM,HDDなどの記憶装置で実現でき、ソフトウェア的にはWINDOWS(登録商標)、Mac(登録商標)、UNIX(登録商標),Linux(登録)などの各種OS、コンピュータプログラム等によって実現される。
(ネットワーク30の構成)
ネットワーク30は、インターネットやローカルエリアネットワーク(LAN)等を組み合わせて構築されたものである。しかしながら、ゲートウェイ10やCIFSサーバ40、クライアント端末20は、互いに専用回線にて接続される構成であってもよい。
ネットワーク30は、インターネットやローカルエリアネットワーク(LAN)等を組み合わせて構築されたものである。しかしながら、ゲートウェイ10やCIFSサーバ40、クライアント端末20は、互いに専用回線にて接続される構成であってもよい。
(CIFSサーバ40の構成)
CIFSサーバ40は、ファイル共有サービスを提供するサーバである。なお、CIFSサーバ40は、ハードウェア的には、コンピュータのCPUをはじめとする素子やRAM,ROM,HDDなどの記憶装置で実現でき、ソフトウェア的にはWINDOWS(登録商標)、Mac(登録商標)、UNIX(登録商標),Linux(登録)などのサーバ用OS、コンピュータプログラム等によって実現される。
CIFSサーバ40は、ファイル共有サービスを提供するサーバである。なお、CIFSサーバ40は、ハードウェア的には、コンピュータのCPUをはじめとする素子やRAM,ROM,HDDなどの記憶装置で実現でき、ソフトウェア的にはWINDOWS(登録商標)、Mac(登録商標)、UNIX(登録商標),Linux(登録)などのサーバ用OS、コンピュータプログラム等によって実現される。
(クライアント端末20での画面遷移例)
図5は、図1に示すクライアント端末20での画面遷移例を示す図である。なお、ユーザは接続する予定のCIFSサーバ40およびCIFSサーバ40のフォルダ等は事前に申請すると共に、当該フォルダのアクセス許可の権限を有する者(承認者)から承認されている必要がある。しかしながら、接続する予定のCIFSサーバ40、CIFSサーバ40のフォルダ等は事前申請しなくても利用できるようにしてもよい。
図5は、図1に示すクライアント端末20での画面遷移例を示す図である。なお、ユーザは接続する予定のCIFSサーバ40およびCIFSサーバ40のフォルダ等は事前に申請すると共に、当該フォルダのアクセス許可の権限を有する者(承認者)から承認されている必要がある。しかしながら、接続する予定のCIFSサーバ40、CIFSサーバ40のフォルダ等は事前申請しなくても利用できるようにしてもよい。
図5は、図1に示すクライアント端末20での画面遷移例を示す図である。なお、ユーザは接続するCIFSサーバ40、CIFSサーバ40のフォルダ等は事前に申請すると共に、当該フォルダのアクセス許可の権限を有する者(承認者)から承認されている必要がある。しかしながら、接続するCIFSサーバ40、CIFSサーバ40のフォルダ等は事前申請しなくても利用できるようにしてもよい。
ユーザは、上述の事前承認をした後に、クライアント端末20で表示される画面51からゲートウェイ10のIPアドレス(またはホスト名)、ゲートウェイ10でのフォルダ名を指定する。するとログイン画面52が別途ポップアップ表示される。ユーザはこのログイン画面52から、ゲートウェイ10で独自に管理されているユーザ名、およびパスワードを入力する。すなわち、ユーザは、第1のユーザ識別情報17Cに登録されているユーザIDとパスワードを入力する。
するとゲートウェイ10側では、クライアント端末20およびCIFSサーバ40それぞれとの間で適切な処理が実行されて目的のCIFSサーバ40、フォルダにアクセスできるようになり、クライアント端末20において画面53が表示される。
図6は、図1に示すゲートウェイ10による中継処理の通信概念図である。なお、図6に示すような通信がなされる前提として、クライアント端末20側で、CIFSサーバ40へ接続する際には必ずゲートウェイ10に接続されるように構成されている必要がある。
STEP1ではゲートウェイ10があらかじめクライアント端末20に割り振っているUIDによるユーザ認証が行われる。ここでクライアント端末20は、チャレンジ/レスポンス方式によるユーザ認証(第1のユーザ認証)により、ゲートウェイ10とセッションを確立することになる。
STEP2ではツリー接続識別子(以下、単に「TID」という)によるパス認証(なお、ここでのパス認証には、ユーザ認可処理の概念も含む)が行われる。ここでゲートウェイ10は、クライアント端末20からの情報に基づいて、接続先となるCIFSサーバ40のIPアドレス、接続先パス名、NTLMハッシュ値を取得することができると共に、記憶部17を参照してCIFSサーバ40に接続する際に用いるユーザ名などを特定することができる。ここで、ゲートウェイ10は、CIFSサーバ40との間でチャレンジ/レスポンス方式によるユーザ認証(第2のユーザ認証)により、CIFSサーバ40とセッションを確立することになる。
STEP3では実際のファイルの操作に関するやりとりがなされる。なお、ゲートウェイ10は、STEP2およびSTEP3において、クライアント端末20から送信されてくるパスの付け替えを適宜実行する。なお、クライアント端末20とゲートウェイ10のSTEP2の通信処理が終了すると、ゲートウェイ10とCIFSサーバ40間のSTEP1の通信処理も終了する。また、クライアント端末20とゲートウェイ10間のSTEP1が1回だけでも、ゲートウェイ10とCIFSサーバ40間のSTEP1は、アクセスする対象が変わるごとに実行する必要がある。
図7は、図6に示した通信処理の具体例を示す図である。以下、それぞれの機器の間で実行される上述したSTEP1、STEP2およびSTEP3に対応する処理について説明する。
(クライアント端末20、ゲートウェイ10間のSTEP1、セッション確立)
本処理は、クライアント端末20とゲートウェイ10間のセッションを確立する処理であり、図3で説明したクライアント端末20とCIFSサーバ40間の通信処理と基本的には同様である。
本処理は、クライアント端末20とゲートウェイ10間のセッションを確立する処理であり、図3で説明したクライアント端末20とCIFSサーバ40間の通信処理と基本的には同様である。
なお、クライアント端末20とゲートウェイ10間のSTEP1の処理は、ユーザがプロンプト(図5の画面51)より、ゲートウェイ10のIPアドレス(またはホスト名、コンピュータ名など),ゲートウェイ10上のフォルダ名を入力することにより実行される。そして、クライアント端末20は、ユーザにより入力されたIPアドレスに対してSTEP1の「NEGOCIATE」を実施した後に、「SESSION_SETUP_ANDX(NTLM:type1negotiate)」(以下、これを「type1メッセージ」という。)を送信する。ゲートウェイ10は、type1メッセージをクライアント端末20から受信すると「SESSION_SETUP_ANDX(NTLM:type2)」(以下、これを「type2メッセージ」という。)を返信する。このtype2メッセージを受信したクライアント端末20は、自身のOSにログインしているユーザの情報で、「SESSION_SETUP_ANDX(NTLM:type3 response)」(以下、これを「type3メッセージ」という。)を作成し、ゲートウェイ10へ送信する。なお、クライアント端末20は、このtype3メッセージの情報で認証に失敗した場合には図5の画面52で示したようなログインプロンプトを表示させ、ユーザにユーザ名とパスワードの入力を促し、入力された情報に基づいて再度type3メッセージを生成して送信する。すると、ゲートウェイ10は、「SESSION_SETUP_ANDX response)」にてユーザ認可可否を通知する。
(クライアント端末20、ゲートウェイ10間のSTEP2、パス情報の送信)
STEP1の「SESSION_SETUP_ANDX response)」にてゲートウェイ10から認証に成功したというメッセージを受信すると、クライアント端末20は、ユーザがプロンプト(図5の画面51)から入力したゲートウェイ10上のフォルダ名に基づいて「TREE_CONNECT_ANDX request)」にて接続したいパス情報をゲートウェイ10へ送信する。なお、ここでのパス情報は、ゲートウェイ10上のパス情報である。
STEP1の「SESSION_SETUP_ANDX response)」にてゲートウェイ10から認証に成功したというメッセージを受信すると、クライアント端末20は、ユーザがプロンプト(図5の画面51)から入力したゲートウェイ10上のフォルダ名に基づいて「TREE_CONNECT_ANDX request)」にて接続したいパス情報をゲートウェイ10へ送信する。なお、ここでのパス情報は、ゲートウェイ10上のパス情報である。
(ゲートウェイ10、CIFSサーバ40間のSTEP1、セッション確立)
ゲートウェイ10は、クライアント端末20とのSTEP2にてパス情報を受信すると、CIFSサーバ40との間でセッションを確立する処理を開始する。なお、ゲートウェイ10、CIFSサーバ40間のSTEP1の処理は、クライアント端末20とゲートウェイ10間のSTEP1の処理と同様の処理であるため、説明を省略する。
ゲートウェイ10は、クライアント端末20とのSTEP2にてパス情報を受信すると、CIFSサーバ40との間でセッションを確立する処理を開始する。なお、ゲートウェイ10、CIFSサーバ40間のSTEP1の処理は、クライアント端末20とゲートウェイ10間のSTEP1の処理と同様の処理であるため、説明を省略する。
(ゲートウェイ10、CIFSサーバ40間のSTEP2、パス情報の送信、認可処理)
ゲートウェイ10は、CIFSサーバ40とのSTEP1において、認証結果を受信すると、更にクライアント端末20から受信したパス情報をCIFSサーバ40上のパスに置き換えてからCIFSサーバ40へと送信する。CIFSサーバ40は、ゲートウェイ10から送信されてきたパス情報に基づいて認可処理を実行し、認可されていれば、ツリー接続子(TID)をゲートウェイ10へ送信する。
ゲートウェイ10は、CIFSサーバ40とのSTEP1において、認証結果を受信すると、更にクライアント端末20から受信したパス情報をCIFSサーバ40上のパスに置き換えてからCIFSサーバ40へと送信する。CIFSサーバ40は、ゲートウェイ10から送信されてきたパス情報に基づいて認可処理を実行し、認可されていれば、ツリー接続子(TID)をゲートウェイ10へ送信する。
(クライアント端末20、ゲートウェイ10間のSTEP2、TIDの送信)
ゲートウェイ10は、CIFSサーバ40から受信したTIDをクライアント端末20へ送信する。
ゲートウェイ10は、CIFSサーバ40から受信したTIDをクライアント端末20へ送信する。
(クライアント端末20、ゲートウェイ10間のSTEP3)
クライアント端末20は、接続先のリソースへの各種コマンドを実行する。
クライアント端末20は、接続先のリソースへの各種コマンドを実行する。
(ゲートウェイ10、CIFSサーバ40間のSTEP3)
ゲートウェイ10は、クライアント端末20から受信した接続先のリソースへの各種コマンドをCIFSサーバ40へと中継すると共に、CIFSサーバ40から送信されてきた各種コマンドの応答についても中継する。
ゲートウェイ10は、クライアント端末20から受信した接続先のリソースへの各種コマンドをCIFSサーバ40へと中継すると共に、CIFSサーバ40から送信されてきた各種コマンドの応答についても中継する。
図8は、CIFSサーバ40のログデータ17Bの出力タイミングの一例を示す図である。クライアント端末20とゲートウェイ10の間ではセッションセットアップ、ツリーセットアップ、ユーザ認証、認可処理が順番に実行された後に、ゲートウェイ10がCIFSサーバ40との間でセッションセットアップを開始する。そのため、ログデータ17Bの起点としては、ゲートウェイ10がCIFSサーバ40との間でセッションセットアップを実行するタイミングが好ましい。また、終了するタイミングとしては、各装置間でTCPクローズを実行するタイミングにログデータ17Bを出力することが好ましい。
図9は、取得対象とされる操作と操作ログ(ログデータ17Bの一例)の対応を示す図である。なお、図9に示す各操作に基づいて実行される処理が、クライアント端末20とCIFSサーバ40との間で実行される「所定の処理」に対応するものである。ユーザの操作としては、たとえばファイルやディレクトリの作成,書き込み,読み取り,削除,移動,コピーペースト,名称の変更、プロパティの変更などが挙げられる。これらの操作から取得されるログデータ17Bとしては、たとえばユーザの操作がファイルやディレクトリの作成,書き込み,読み取り,削除,移動,コピーペーストのいずれかの操作であれば、その操作がなされたファイルの名前、ファイルの内容などがログデータ17Bとして取得される。また、ユーザの操作がファイルやディレクトリのプロパティの変更であれば、変更前後のプロパティの内容などがログデータ17Bとして取得される。
図10は、アクセスログ(ログデータ17Bの一例)の検索結果の一例を示す図である。図10に示すように、ゲートウェイ10では、ログデータ17Bとして、たとえばゲートウェイ10へのアクセス開始日時、アクセス終了日時、ゲートウェイ10との接続時間(秒)、ゲートウェイ10でのアクセス可否、ゲートウェイ10のサーバ名(Gateway server名)、ゲートウェイ10に接続する際に使用されたアカウント名、クライアント端末20のIPアドレス(接続元IPアドレス)、クライアント端末20のノード名(接続ノード名)、CIFSサーバのIPアドレス(接続先IPアドレス)などが記憶されており、検索することが可能となっている。なお、アクセスログとしては、上記以外にもCIFSサーバ40へのアクセス開始日時、アクセス終了日時、接続時間、CIFSサーバ40でのアクセス可否の結果を示す情報、CIFSサーバ40に接続する際にしようされたアカウント名などであってもよい。
[第2実施形態]
図11は、本発明の第2実施形態におけるゲートウェイ10A、クライアント端末20、CIFSサーバ40それぞれの間で実行される具体的な通信処理例を示す図である。本発明の第2実施形態におけるゲートウェイ10Aは、第1実施形態におけるゲートウェイ10とはCIFSサーバ40とのユーザ認証処理のタイミング、ユーザにパスワード入力を求める回数、および装置自体にかかる負荷の3点が主に異なる。
図11は、本発明の第2実施形態におけるゲートウェイ10A、クライアント端末20、CIFSサーバ40それぞれの間で実行される具体的な通信処理例を示す図である。本発明の第2実施形態におけるゲートウェイ10Aは、第1実施形態におけるゲートウェイ10とはCIFSサーバ40とのユーザ認証処理のタイミング、ユーザにパスワード入力を求める回数、および装置自体にかかる負荷の3点が主に異なる。
(CIFSサーバ40とのユーザ認証処理のタイミング)
第1実施形態では、ゲートウェイ10とCIFSサーバ40との間で実行されるユーザ認証処理は、クライアント端末20とゲートウェイ10との間で実行されるSTEP1が完了した後に実行されている。一方、第2実施形態では、ゲートウェイ10AとCIFSサーバ40との間で実行されるユーザ認証処理は、クライアント端末20とゲートウェイ10Aとの間で実行されるSTEP1が完了する前から開始されるように構成されている。これにより、ゲートウェイ10Aは、クライアント端末20との間で実行されるSTEP1の処理を確立する過程で、CIFSサーバ40との間で実行されるSTEP1の処理をそのまま転送させてしまうことが可能となる。
第1実施形態では、ゲートウェイ10とCIFSサーバ40との間で実行されるユーザ認証処理は、クライアント端末20とゲートウェイ10との間で実行されるSTEP1が完了した後に実行されている。一方、第2実施形態では、ゲートウェイ10AとCIFSサーバ40との間で実行されるユーザ認証処理は、クライアント端末20とゲートウェイ10Aとの間で実行されるSTEP1が完了する前から開始されるように構成されている。これにより、ゲートウェイ10Aは、クライアント端末20との間で実行されるSTEP1の処理を確立する過程で、CIFSサーバ40との間で実行されるSTEP1の処理をそのまま転送させてしまうことが可能となる。
(ユーザにパスワード入力を求める回数)
第1実施形態では、ユーザにパスワード入力を求める回数については1回であったが、第2実施形態では2回の入力を求めるように構成されている。これは、ゲートウェイ10Aがクライアント端末20との間で実行するSTEP1の処理過程において、ユーザ認証に成功しても一度失敗した旨を通知するためである。なお、ユーザ認証に成功しても一度失敗させる理由は、CIFSサーバ40とクライアント端末20との間で直接セッションを確立させるためである。
第1実施形態では、ユーザにパスワード入力を求める回数については1回であったが、第2実施形態では2回の入力を求めるように構成されている。これは、ゲートウェイ10Aがクライアント端末20との間で実行するSTEP1の処理過程において、ユーザ認証に成功しても一度失敗した旨を通知するためである。なお、ユーザ認証に成功しても一度失敗させる理由は、CIFSサーバ40とクライアント端末20との間で直接セッションを確立させるためである。
(装置自体にかかる負荷)
第1実施形態では、クライアント端末20とゲートウェイ10の間およびゲートウェイ10とCIFSサーバ40との間のそれぞれでセッションを確立させているため、クライアント端末20からゲートウェイ10へ送信されてきたパス情報をCIFSサーバ40向けのパス情報に変換してから送信する処理が逐一なされていたが、第2実施形態では、CIFSサーバ40とクライアント端末20との間で直接セッションを確立させているため、クライアント端末20からゲートウェイ10Aへ送信されてきたパス情報をそのままCIFSサーバ40へと送信(中継)している。これにより、ゲートウェイ10A自体で実行される処理が少なくなるため、ゲートウェイ10A自体にかかる負荷が軽減される。
第1実施形態では、クライアント端末20とゲートウェイ10の間およびゲートウェイ10とCIFSサーバ40との間のそれぞれでセッションを確立させているため、クライアント端末20からゲートウェイ10へ送信されてきたパス情報をCIFSサーバ40向けのパス情報に変換してから送信する処理が逐一なされていたが、第2実施形態では、CIFSサーバ40とクライアント端末20との間で直接セッションを確立させているため、クライアント端末20からゲートウェイ10Aへ送信されてきたパス情報をそのままCIFSサーバ40へと送信(中継)している。これにより、ゲートウェイ10A自体で実行される処理が少なくなるため、ゲートウェイ10A自体にかかる負荷が軽減される。
[発明の実施の形態における効果]
以上のように、ゲートウェイ10,10A(中継処理装置)は、ファイル共有サービスを提供するCIFSサーバ40と、CIFSサーバ40のファイル共有サービスにて提供されるデータに接続するクライアント端末20との間で実行される所定の処理を中継するものであり、クライアント端末20からの要求に基づいてクライアント端末20との間でセッションを確立するクライアントネゴシエーション制御部12A(第1のネゴシエーション制御部)と、クライアントネゴシエーション制御部12Aによりクライアント端末20との間でセッションが確立された場合に、クライアント端末20との間で第1のユーザ認証処理を実行するクライアントセッションセットアップ制御部13A(第1のセッションセットアップ制御部)と、クライアント端末20のユーザが所望するCIFSサーバ40の接続先を示す情報に基づいてCIFSサーバ40との間でセッションを確立するサーバネゴシエーション制御部12B(第2のネゴシエーション制御部)と、サーバネゴシエーション制御部12BによりCIFSサーバ40との間でセッションが確立された場合に、CIFSサーバ40との間で第2のユーザ認証処理を実行するサーバセッションセットアップ制御部13B(第2のセッションセットアップ制御部)と、第1のユーザ認証処理および第2のユーザ認証処理の両方においてクライアント端末20のユーザが認証された場合に、クライアント端末20のユーザが所望する接続先を示す情報をCIFSサーバ40に送信し、CIFSサーバ40の接続先におけるクライアント端末20のユーザ認可処理をCIFSサーバ40との間で実行し、CIFSサーバ40の接続先とのツリー接続を開始するツリーセットアップ制御部14(ツリーセットアップ制御部)と、ツリーセットアップ制御部14により実行されたユーザ認可処理の結果、クライアント端末20のユーザが認可されている場合に、CIFSサーバ40との間で確立したツリー接続を識別できる情報(TID)をクライアント端末20との間で既に確立しているセッションを利用して送信すると共に、クライアント端末20とCIFSサーバ40との間で実行される所定の処理を中継する中継制御部15(中継処理部)とを有する構成となっている。
以上のように、ゲートウェイ10,10A(中継処理装置)は、ファイル共有サービスを提供するCIFSサーバ40と、CIFSサーバ40のファイル共有サービスにて提供されるデータに接続するクライアント端末20との間で実行される所定の処理を中継するものであり、クライアント端末20からの要求に基づいてクライアント端末20との間でセッションを確立するクライアントネゴシエーション制御部12A(第1のネゴシエーション制御部)と、クライアントネゴシエーション制御部12Aによりクライアント端末20との間でセッションが確立された場合に、クライアント端末20との間で第1のユーザ認証処理を実行するクライアントセッションセットアップ制御部13A(第1のセッションセットアップ制御部)と、クライアント端末20のユーザが所望するCIFSサーバ40の接続先を示す情報に基づいてCIFSサーバ40との間でセッションを確立するサーバネゴシエーション制御部12B(第2のネゴシエーション制御部)と、サーバネゴシエーション制御部12BによりCIFSサーバ40との間でセッションが確立された場合に、CIFSサーバ40との間で第2のユーザ認証処理を実行するサーバセッションセットアップ制御部13B(第2のセッションセットアップ制御部)と、第1のユーザ認証処理および第2のユーザ認証処理の両方においてクライアント端末20のユーザが認証された場合に、クライアント端末20のユーザが所望する接続先を示す情報をCIFSサーバ40に送信し、CIFSサーバ40の接続先におけるクライアント端末20のユーザ認可処理をCIFSサーバ40との間で実行し、CIFSサーバ40の接続先とのツリー接続を開始するツリーセットアップ制御部14(ツリーセットアップ制御部)と、ツリーセットアップ制御部14により実行されたユーザ認可処理の結果、クライアント端末20のユーザが認可されている場合に、CIFSサーバ40との間で確立したツリー接続を識別できる情報(TID)をクライアント端末20との間で既に確立しているセッションを利用して送信すると共に、クライアント端末20とCIFSサーバ40との間で実行される所定の処理を中継する中継制御部15(中継処理部)とを有する構成となっている。
これにより、クライアント端末20の操作としては、目的のCIFSサーバ40に対してログイン処理をユーザが実行するだけで目的のCIFSサーバ40へのアクセスをすることが可能になる。そして、クライアント端末20からの通信を中継するゲートウェイ10,10A側では、クライアント端末20との間で確立される1つのセッション内において、ゲートウェイ10,10Aにおけるユーザ認証処理(第1のユーザ認証処理)、CIFSサーバ40におけるユーザ認証処理(第2のユーザ認証処理)およびCIFSサーバ40の接続先でのデータにおける認可処理のすべてを実行させることが可能となる。さらに、CIFSサーバ40では、ゲートウェイ10,10Aからの通信要求に基づいてファイル共有サービスにて提供されるデータへのアクセスを制御すればよい。
すなわち、このゲートウェイ10,10Aは、クライアント端末20とCIFSサーバ40との間で実行される通信処理についてアクセス制御を実行しながら中継させることが可能なので、これらの通信内容を記録することが容易に可能である。また、このゲートウェイ10,10Aにより、クライアント端末20にエージェント・ソフトを個別にインストールする必要がないため、業務情報システムのネットワーク環境に影響を与える可能性が非常に少なくなる。また、エージェント・ソフトを各クライアント端末20にインストールする必要がないため、管理対象が多くなってしまうという問題は生じない。さらには、管理対象が多くならないため、システム運用側の負荷が増大してしまうという問題も生じない。なお、このゲートウェイ10,10Aでは、クライアント端末20のユーザについて第1のユーザ認証処理および第2のユーザ認証処理を実行するため、仮に接続先のCIFSサーバ40で利用されるIDが特権IDであっても、その特権IDを誰がいつどのような対象に対してどのような操作をしたのかを容易に把握することができる。
また、CIFSサーバ40は、ファイル共有サービスをCIFS(Common Internet File System)プロトコルにて提供するものであり、このゲートウェイ10,10Aが実行する第1のユーザ認証処理および第2のユーザ認証処理は、CIFSで採用されているチャレンジ/レスポンス方式のユーザ認証が実行されるものであり、ユーザ認可処理は、CIFSサーバ40での接続先となるデータにおけるクライアント端末20のユーザに対してCIFSにより設定されているアクセス制御に基づいて実行されるように構成されている。
これにより、図2および図3で説明したようなクライアント端末20とCIFSサーバ40との間で直接やり取りする際に実行されるCIFS独自の通信処理、すなわちユーザ認証処理および認可処理に対応させて、ゲートウェイ10,10A側において適宜必要となる処理をそれぞれの装置との間で実行させながら、両者間の通信を中継することを実現している。
また、クライアントセッションセットアップ制御部13A(第1のセッションセットアップ制御部)は、クライアント端末20のユーザ認証処理が成功した場合に、その認証結果をクライアント端末20へ通知し、サーバネゴシエーション制御部12B(第2のネゴシエーション制御部)は、認証結果の通知を受信したクライアント端末20から送信されてきたCIFSサーバ40での接続先を示す情報に基づいてCIFSサーバ40との間でセッションを確立し、中継制御部15(中継処理部)は、クライアント端末20からデータに対する所定の処理を実行するための操作情報を取得すると、データを示す情報および操作情報をCIFSサーバ40へと通知するように構成されている。
これにより、クライアント端末20側からは、CIFSサーバ40と直接通信やり取りする際の通信と同様の応答がゲートウェイ10から適宜返ってくることになる。また、CIFSサーバ40側からは、クライアント端末20と直接やり取りする際の通信と同様の要求がゲートウェイ10から適宜送信されてくることになる。すなわち、ゲートウェイ10が通信を中継してもクライアント端末20とCIFSサーバ40との間で直接やり取りされる通信と何ら変わらないため、これらの装置側での設定変更をする必要がない。
また、ゲートウェイ10,10Aは、クライアント端末20およびCIFSサーバ40との間でやり取りされるデータの変更前後の各データをログデータ17Bとして自己の記憶部17あるいはネットワーク30を介して接続可能な外部の記憶部(不図示)に記憶する通信記録制御部16(記憶処理部)を有する構成となっている。
これにより、たとえば、ファイル共有サービスにて提供されるCIFSサーバ40のデータへのアクセスについて、特権IDの使用者を特定すると共に、具体的なイベントログや変更前後のファイルデータについても容易に取得することが可能となる。
また、上述したゲートウェイ10,10Aとして説明した装置の中継処理方法、およびゲートウェイ10,10Aとしてコンピュータを機能させるための制御プログラム17Aは上述したゲートウェイ10,10Aが奏する効果と同様の効果を奏するものである。
以上、ゲートウェイ10,10Aを例に挙げ説明したが、この発明は、上記実施の形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化したり、上記実施の形態に開示されている複数の構成要素を適宜組み合わせたりすることにより種々の発明を形成できる。例えば、実施の形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施の形態に亘る構成要素を適宜組み合わせても良い。
また、ゲートウェイ10,10Aの上述した一連の処理は、ハードウェアにより実行することもできるし、ソフトウェアにより実行することもできる。一連の処理をソフトウェアにより実行する場合には、そのソフトウェアを構成するプログラムが、専用のハードウェアに組み込まれているコンピュータ、または、各種のプログラムをインストールすることで各種の機能を実行することが可能な、例えば汎用のパーソナルコンピュータなどに、非一時的プログラム記録媒体からインストールされる。
10,10A…ゲートウェイ、11…通信制御部、12…ネゴシエーション制御部、
13…セッションセットアップ制御部、14…ツリーセットアップ制御部、15…中継制御部、16…通信記録制御部、17…記憶部、17A…制御プログラム、17B…ログデータ、20…クライアント端末、30…ネットワーク、40,40A…CIFSサーバ(ファイル共有サービスを提供するサーバ)、
13…セッションセットアップ制御部、14…ツリーセットアップ制御部、15…中継制御部、16…通信記録制御部、17…記憶部、17A…制御プログラム、17B…ログデータ、20…クライアント端末、30…ネットワーク、40,40A…CIFSサーバ(ファイル共有サービスを提供するサーバ)、
Claims (6)
- ファイル共有サービスを提供するサーバと、前記サーバのファイル共有サービスにて提供されるデータに接続するクライアント端末との間で実行される所定の処理を中継する中継処理装置であって、
前記クライアント端末からの要求に基づいて前記クライアント端末との間でセッションを確立する第1のネゴシエーション制御部と、
前記第1のネゴシエーション制御部により前記クライアント端末との間でセッションが確立された場合に、前記クライアント端末との間で前記第1のユーザ認証処理を実行する第1のセッションセットアップ制御部と、
前記クライアント端末が所望する前記サーバの接続先を示す情報に基づいて前記サーバとの間でセッションを確立する第2のネゴシエーション制御部と、
前記第2のネゴシエーション制御部により前記サーバとの間でセッションが確立された場合に、前記サーバとの間で前記第2のユーザ認証処理を実行する第2のセッションセットアップ制御部と、
前記第1のユーザ認証処理および前記第2のユーザ認証処理の両方において前記クライアント端末のユーザが認証された場合に、前記クライアント端末のユーザが所望する接続先を示す情報を前記サーバに送信し、前記クライアント端末の前記サーバの接続先におけるユーザ認可処理を前記サーバとの間で実行し、前記サーバの接続先とのツリー接続を開始するツリーセットアップ制御部と、
前記ツリーセットアップ制御部により実行された前記ユーザ認可処理の結果、前記クライアント端末のユーザが認可されている場合に、前記クライアント端末との間で既に確立しているセッションを利用して前記サーバとの間で確立した前記ツリー接続を識別できる情報を送信すると共に、前記クライアント端末と前記サーバとの間で実行される前記所定の処理を中継する中継処理部と
を有することを特徴とする中継処理装置。
- 請求項1に記載の中継処理装置であって、
前記サーバは、前記ファイル共有サービスをCIFS(Common Internet File System)プロトコルにて提供するものであり、
前記第1のユーザ認証処理および前記第2のユーザ認証処理は、
チャレンジ/レスポンス方式によりユーザ認証が実行されるものであり、
前記ユーザ認可処理は、
前記サーバでの接続先となる前記データにおける前記クライアント端末のユーザに対して設定されているアクセス制御に基づいて実行される
ことを特徴とする中継処理装置。
- 請求項1または2に記載の中継処理装置であって、
前記第1のセッションセットアップ制御部は、
前記クライアント端末のユーザ認証処理が成功した場合に、その認証結果を前記クライアント端末へ通知し、
前記第2のネゴシエーション制御部は、
前記認証結果の通知を受信したクライアント端末から送信されてきた前記サーバでの接続先を示す情報に基づいて前記サーバとの間でセッションを確立し、
前記中継処理部は、
前記クライアント端末から前記データに対する所定の処理を実行するための操作情報を取得すると、前記データを示す情報および前記操作情報を前記サーバへと通知することを特徴とする中継処理装置。
- 請求項1~3のいずれか1項に記載の中継処理装置であって、
前記クライアント端末および前記サーバとの間でやり取りされる前記データの変更前後の各データについて自己の記憶部あるいはネットワークを介して接続可能な外部の記憶部に記憶する記憶処理部
を有することを特徴とする中継処理装置。
- ファイル共有サービスを提供するサーバと、前記サーバのファイル共有サービスにて提供されるデータに接続するクライアント端末との間で実行される所定の処理を中継する中継処理装置に用いられる中継処理方法であって、
前記クライアント端末からの認証要求に基づいて前記クライアント端末との間でセッションを確立する第1のネゴシエーション制御ステップと、
前記第1のネゴシエーション制御ステップにより前記クライアント端末との間でセッションが確立された場合に、前記クライアント端末との間で前記第1のユーザ認証処理を実行する第1のセッションセットアップ制御ステップと、
前記クライアント端末が所望する前記サーバの接続先を示す情報に基づいて前記サーバとの間でセッションを確立する第2のネゴシエーション制御ステップと、
前記第2のネゴシエーション制御ステップにより前記サーバとの間でセッションが確立された場合に、前記サーバとの間で前記第2のユーザ認証処理を実行する第2のセッションセットアップ制御ステップと、
前記第1のユーザ認証処理および前記第2のユーザ認証処理の両方において前記クライアント端末のユーザが認証された場合に、前記クライアント端末のユーザが所望する接続先を示す情報を前記サーバに送信し、前記クライアント端末の前記サーバの接続先におけるユーザ認可処理を前記サーバとの間で実行し、前記サーバの接続先とのツリー接続を開始するツリーセットアップ制御ステップと、
前記ツリーセットアップ制御ステップにて実行された前記ユーザ認可処理の結果、前記クライアント端末のユーザが認可されている場合に、前記クライアント端末との間で既に確立しているセッションを利用して前記サーバとの間で確立した前記ツリー接続を識別できる情報を送信すると共に、前記クライアント端末と前記サーバとの間で実行される前記所定の処理を中継する中継処理ステップと
を有することを特徴とする中継処理方法。
- ファイル共有サービスを提供するサーバと、前記サーバのファイル共有サービスにて提供されるデータに接続するクライアント端末との間で実行される所定の処理を中継する中継処理装置としてコンピュータを機能させるためのプログラムであって、
前記コンピュータを
前記クライアント端末からの認証要求に基づいて前記クライアント端末との間でセッションを確立する第1のネゴシエーション制御手段と、
前記第1のネゴシエーション制御手段により前記クライアント端末との間でセッションが確立された場合に、前記クライアント端末との間で前記第1のユーザ認証処理を実行する第1のセッションセットアップ制御手段と、
前記クライアント端末が所望する前記サーバの接続先を示す情報に基づいて前記サーバとの間でセッションを確立する第2のネゴシエーション制御手段と、
前記第2のネゴシエーション制御手段により前記サーバとの間でセッションが確立された場合に、前記サーバとの間で前記第2のユーザ認証処理を実行する第2のセッションセットアップ制御手段と、
前記第1のユーザ認証処理および前記第2のユーザ認証処理の両方において前記クライアント端末のユーザが認証された場合に、前記クライアント端末のユーザが所望する接続先を示す情報を前記サーバに送信し、前記クライアント端末の前記サーバの接続先におけるユーザ認可処理を前記サーバとの間で実行し、前記サーバの接続先とのツリー接続を開始するツリーセットアップ制御手段と、
前記ツリーセットアップ制御手段により実行された前記ユーザ認可処理の結果、前記クライアント端末のユーザが認可されている場合に、前記クライアント端末との間で既に確立しているセッションを利用して前記サーバとの間で確立した前記ツリー接続を識別できる情報を送信すると共に、前記クライアント端末と前記サーバとの間で実行される前記所定の処理を中継する中継処理手段
として機能させるためのプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015526055A JP6100376B2 (ja) | 2013-07-10 | 2013-07-10 | 中継処理装置、中継処理方法、およびプログラム |
PCT/JP2013/068841 WO2015004743A1 (ja) | 2013-07-10 | 2013-07-10 | 中継処理装置、中継処理方法、およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2013/068841 WO2015004743A1 (ja) | 2013-07-10 | 2013-07-10 | 中継処理装置、中継処理方法、およびプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2015004743A1 true WO2015004743A1 (ja) | 2015-01-15 |
Family
ID=52279469
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2013/068841 WO2015004743A1 (ja) | 2013-07-10 | 2013-07-10 | 中継処理装置、中継処理方法、およびプログラム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6100376B2 (ja) |
WO (1) | WO2015004743A1 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6161182A (en) * | 1998-03-06 | 2000-12-12 | Lucent Technologies Inc. | Method and apparatus for restricting outbound access to remote equipment |
JP2005321970A (ja) * | 2004-05-07 | 2005-11-17 | Hitachi Ltd | コンピュータシステム |
JP2007128349A (ja) * | 2005-11-04 | 2007-05-24 | Nec Corp | ネットワークシステム、プロキシサーバ、セッション管理方法、及びプログラム |
JP2009545089A (ja) * | 2006-07-28 | 2009-12-17 | マイクロソフト コーポレーション | ユニバーサル・プラグ・アンド・プレー発見項目のsmb所在地に対するマッピング |
-
2013
- 2013-07-10 JP JP2015526055A patent/JP6100376B2/ja active Active
- 2013-07-10 WO PCT/JP2013/068841 patent/WO2015004743A1/ja active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6161182A (en) * | 1998-03-06 | 2000-12-12 | Lucent Technologies Inc. | Method and apparatus for restricting outbound access to remote equipment |
JP2005321970A (ja) * | 2004-05-07 | 2005-11-17 | Hitachi Ltd | コンピュータシステム |
JP2007128349A (ja) * | 2005-11-04 | 2007-05-24 | Nec Corp | ネットワークシステム、プロキシサーバ、セッション管理方法、及びプログラム |
JP2009545089A (ja) * | 2006-07-28 | 2009-12-17 | マイクロソフト コーポレーション | ユニバーサル・プラグ・アンド・プレー発見項目のsmb所在地に対するマッピング |
Non-Patent Citations (1)
Title |
---|
JUN MIYOSHI ET AL.: "Network-supported Single Sign-On Architecture on IP-VPN", IEICE TECHNICAL REPORT, vol. 101, no. 715, 8 March 2002 (2002-03-08), pages 53 - 58 * |
Also Published As
Publication number | Publication date |
---|---|
JPWO2015004743A1 (ja) | 2017-02-23 |
JP6100376B2 (ja) | 2017-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9473419B2 (en) | Multi-tenant cloud storage system | |
US9258308B1 (en) | Point to multi-point connections | |
US7958245B2 (en) | Method and system for providing secure access to private networks with client redirection | |
US8490165B2 (en) | Restoring secure sessions | |
US8990911B2 (en) | System and method for single sign-on to resources across a network | |
US8572268B2 (en) | Managing secure sessions | |
US8838965B2 (en) | Secure remote support automation process | |
CN109768965B (zh) | 一种服务器的登录方法、设备及存储介质 | |
US8326981B2 (en) | Method and system for providing secure access to private networks | |
US20120246226A1 (en) | System and method for sharing data from a local network to a remote device | |
WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
CN101841537A (zh) | 一种基于协议代理实现对文件共享访问控制方法及系统 | |
JP2010531516A (ja) | 安全でないネットワークを介する装置のプロビジョニング及びドメイン加入エミュレーション | |
JP4915182B2 (ja) | 情報の管理方法及び情報処理装置 | |
CN114363165B (zh) | 一种电子设备的配置方法、电子设备和服务器 | |
CN111108736B (zh) | 用于计算设备的自动地址故障切换的方法和系统 | |
US10032027B2 (en) | Information processing apparatus and program for executing an electronic data in an execution environment | |
US11729334B2 (en) | Communication system, device, and recording medium for remote access to electronic device through relaying device and converter | |
CN108289074A (zh) | 用户账号登录方法及装置 | |
WO2022257931A1 (zh) | 安全加速服务部署方法、装置、介质及设备 | |
JP6055546B2 (ja) | 認証装置、認証方法、およびプログラム | |
JP6100376B2 (ja) | 中継処理装置、中継処理方法、およびプログラム | |
TWI511596B (zh) | 提供遠端存取的通訊系統及其通訊方法 | |
KR102269885B1 (ko) | 사용자별 맞춤형 서버 작업 환경의 생성 기능을 구비한 접근통제 시스템 | |
US20230063428A1 (en) | Onboarding for cloud-based management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 13889276 Country of ref document: EP Kind code of ref document: A1 |
|
ENP | Entry into the national phase |
Ref document number: 2015526055 Country of ref document: JP Kind code of ref document: A |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 13889276 Country of ref document: EP Kind code of ref document: A1 |