Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4867482B2 - 制御プログラムおよび通信システム - Google Patents
[go: Go Back, main page]

JP4867482B2 - 制御プログラムおよび通信システム - Google Patents

制御プログラムおよび通信システム Download PDF

Info

Publication number
JP4867482B2
JP4867482B2 JP2006157351A JP2006157351A JP4867482B2 JP 4867482 B2 JP4867482 B2 JP 4867482B2 JP 2006157351 A JP2006157351 A JP 2006157351A JP 2006157351 A JP2006157351 A JP 2006157351A JP 4867482 B2 JP4867482 B2 JP 4867482B2
Authority
JP
Japan
Prior art keywords
authentication
terminal
proxy
client terminal
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006157351A
Other languages
English (en)
Other versions
JP2007328419A (ja
Inventor
陽一 廣瀬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2006157351A priority Critical patent/JP4867482B2/ja
Priority to US11/605,301 priority patent/US8056125B2/en
Priority to CN2006101566375A priority patent/CN101087192B/zh
Publication of JP2007328419A publication Critical patent/JP2007328419A/ja
Application granted granted Critical
Publication of JP4867482B2 publication Critical patent/JP4867482B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、制御プログラムおよび通信システムに関する。
ユーザが最初に一度認証を受けると、その認証で許可された全ての機能を利用できるようにするSSO(Single Sign-On)システムが提案されている。このシステムは、例えば、特許文献1に記載された構成で実現でき、あるサーバへの接続に際し認証、別のサーバへの接続に際し認証…といった認証操作を複数回繰り返す煩わしさを解消させることができる。
学校、企業等において、ネットワークシステムを運用する場合には、セキュリティを強化するために、内部ネットワークと外部ネットワーク(例えば、インターネット)との境に、内部ネットワークのコンピュータの代理として外部ネットワークへ接続を行うプロキシサーバが設けられる。このプロキシサーバは、外部ネットワーク上のサーバを、内部ネットワークから利用することを目的とし、特に、フォワードプロキシと呼ばれることもある。
これに対しリバースプロキシは、フォワードプロキシが内部ネットワークから外部ネットワークへの接続を中継するのとは逆に、外部ネットワークから内部ネットワークへの接続を中継する。なお、リバースプロキシの用途は、外部ネットワークから内部ネットワークへの接続に限らず、同一のネットワーク内で用いられることも少なくない。
特開2005−321970号
SSOシステムの1つに、リバースプロキシを配し、外部ネットワーク側からの接続を集中的に管理ならびに監査するリバースプロキシ型のSSOシステムがある。このタイプのシステムでは、WebブラウザからWebサーバに対する全てのリクエストを一旦、このリバースプロキシが受け取り、Webサーバに転送することによって動作することになる。そのため、全てのリクエストがこのリバースプロキシを通過することになるので、リバースプロキシがボトルネックとなり、処理速度や可用性が低下してしまう恐れがある。
リバースプロキシ型のSSOシステムの場合、ブラウザ側からは、コンテンツがすべてリバースプロキシに存在するように見える。このため、リバースプロキシでは、コンテンツ(例えば、HTML(HyperText Markup Language)、スタイルシート(CSS)、クライアントサイドスクリプト言語(Java(登録商標)Script、VBScript)等で構成される)内にリンクなどが設定してある場合、このリンク先のURLに変更が生じるため、これに伴ってコンテンツを書き換える必要がでてくる。これらのコンテンツはユーザが手作業で作成、あるいは、サーバ側へのアクセス時にプログラムが動的に生成したものであるため、構文上正しい保証がなく、往々にして誤りが含まれている。
構文が間違っていれば、書き換えが上手くいかないので、事前に構文チェックをしておく等の、サーバ側での対応が必要になってくるケースがある。このため、任意のサービスをSSOシステムに参加させることが難しい場合が多かった。
本発明は上記問題点に鑑みてなされたものであり、コンテンツの書き換えを不要にし、パフォーマンスを向上させるようにした制御プログラムおよび通信システムを提供することを目的とする。
上記目的を達成するため、請求項1の発明は、ブラウザを用いたクライアント端末からの1または複数のサーバ端末への認証処理を前記クライアント端末に代わって認証プロキシ端末が代行する処理をコンピュータに実行させる制御プログラムであって、前記クライアント端末からの前記ブラウザを用いた前記サーバ端末へのアクセスに先立って、該クライアント端末との間でユーザ認証を行う認証ステップと、前記ユーザ認証が正常に行われたことを条件に、前記クライアント端末に代わって前記サーバ端末へ代行認証を行う代行認証ステップと、前記代行認証が正常に行われて該サーバ端末に該クライアント端末が認証済みと記憶された後には該クライアント端末が前記ブラウザを用いた該サーバ端末への認証以外のアクセスを可能にするように、前記ブラウザを用いた前記クライアント端末からの認証に際しては前記認証プロキシ端末にアクセスするが他のアクセスに際しては前記認証プロキシ端末を介さずに前記サーバ端末へアクセスするように前記ブラウザを制御するスクリプトファイルを該クライアント端末に対して送信する送信ステップとを含む。
また、請求項2の発明は、請求項1の発明において、前記送信ステップは、前記代行認証が正常に行われた後の前記クライアント端末からの前記ブラウザを用いた前記サーバ端末へのアクセスに際してプロキシサーバを介して前記サーバ端末へアクセスするように前記ブラウザを制御するスクリプトファイルを前記クライアント端末に対して送信する。
また、請求項3の発明は、請求項1または2の発明において、前記スクリプトファイルを作成する作成ステップを更に具備し、前記送信ステップは、前記クライアント端末からの要求により前記作成ステップで作成した前記スクリプトファイルを送信する。
また、請求項4の発明は、ブラウザを用いたクライアント端末からの1または複数のサーバ端末への認証処理を前記クライアント端末に代わって認証プロキシ端末が代行する処理をコンピュータに実行させる制御プログラムであって、前記ブラウザを用いたクライアント端末からの認証に際しては前記認証プロキシ端末へアクセスし、他のアクセスに際しては前記認証プロキシ端末を介さずに前記サーバ端末へアクセスするように前記ブラウザを制御するスクリプトファイルを前記クライアント端末へ送信する送信ステップと、前記クライアント端末からの前記ブラウザを用いた前記サーバ端末へのアクセスに先立って、該クライアント端末との間でユーザ認証を行う認証ステップと、前記送信ステップにより送信されたスクリプトファイルを受信した前記クライアント端末が前記スクリプトファイルに基づいて前記認証プロキシ端末に認証の為のアクセスをしてきたこと、または、前記送信ステップにより送信されたスクリプトファイルを受信した前記クライアント端末が前記サーバ端末へアクセスを試みた結果当該サーバ端末より未認証と判断されて前記スクリプトファイルに基づいて前記認証プロキシ端末に認証の為のアクセスをしてきたことに対して、前記認証ステップによるユーザ認証が正常に行われたことを条件に、前記クライアント端末に代わって前記サーバ端末へ、認証成功後は該サーバ端末が該クライアント端末を認証済みと記憶して該クライアント端末が前記スクリプトファイルに基づき認証以外のアクセスである該サーバ端末へアクセスすることが出来るよう代行認証を行う代行認証ステップとを含む。
また、請求項5の通信システムの発明は、ブラウザを用いて1または複数のサーバ端末へアクセスするクライアント端末と、前記クライアント端末に代わって前記サーバ端末への認証処理を行う認証プロキシ端末とを備え、前記認証プロキシ端末は、前記ブラウザを用いたクライアント端末からの認証に際しては前記認証プロキシ端末へアクセスし、他のアクセスに際しては前記認証プロキシ端末を介さずに前記サーバ端末へアクセスするように前記ブラウザを制御するスクリプトファイルを前記クライアント端末へ送信する送信手段と、前記クライアント端末からの前記ブラウザを用いた前記サーバ端末へのアクセスに先立って、該クライアント端末との間でユーザ認証を行う認証手段と、前記送信ステップで送信された前記スクリプトファイルに基づいて前記クライアント端末がアクセスしてきた認証要求に対して、前記ユーザ認証が正常に行われたことを条件に、前記クライアント端末に代わって前記サーバ端末へ代行認証を行う代行認証手段とを具備し、前記クライアント端末の前記ブラウザは、前記送信手段で送信されたスクリプトファイルを受信する受信手段と、前記受信手段で受信したスクリプトファイルに基づき前記認証プロキシ端末に認証要求のアクセスをする、または、前記サーバ端末へアクセスを試みた結果前記サーバ端末より未認証と判断されて前記受信手段で受信したスクリプトファイルに基づき前記認証プロキシ端末に認証要求のアクセスをする認証アクセス手段と、前記認証プロキシ端末が代行認証手段によって前記サーバ端末へ代行認証が完了すると該サーバ端末に該クライアント端末が認証済みと記憶され、その後、前記スクリプトファイルに基づき認証以外のアクセスである該サーバ端末へのアクセスを行うサーバアクセス手段とを具備するように構成される
本発明によれば、クライアント端末からのブラウザを用いた1または複数のサーバ端末へのアクセスに際し、認証プロキシ端末を介さずにサーバ端末へアクセスするようにブラウザを制御するスクリプトファイルをクライアント端末に対して送信するようにしたので、代行認証後のサーバ端末へのアクセスに際し、認証プロキシ端末を中継しないため、パフォーマンスを向上させることができる。
また、本発明によれば、コンテンツの書き換え等が不要になり、SSOに参加するサーバ端末側での対応がなくなるため、任意のサービスをSSOに参加させることができる。
以下、この発明に係わる制御プログラムおよび通信システムの実施形態について添付図面を参照して詳細に説明する。
図1は、本発明に係わる通信システムの全体構成の一例を示す図である。
この通信システムは、LAN(Local Area Network)やWAN(Wide Area Network)等で構成されたネットワーク50を介して1または複数台のクライアント端末10と、認証プロキシ端末20および1または複数台のサービス提供サーバ40とが接続されている。この通信システムでは、認証プロキシ端末20の制御によりSSOが実現される。すなわち、認証プロキシ端末20で1度認証が有効に行われると、この認証プロキシ端末20が各サービス提供サーバ40に対し代行認証を行うことで以後、どのサービス提供サーバ40にアクセスしたとしても、ユーザは認証を要求されない。なお、この通信システムにおけるネットワーク構成は、あくまで一例であり、ネットワーク50上にはこの他、アプリケーションサーバ、Webサーバ等、各種ネットワーク端末が接続されていても良い。
ここで、クライアント端末10には、HTMLコンテンツ等を閲覧するためのアプリケーションとしてWebブラウザ11が備わっており、このWebブラウザ11を用いることで認証プロキシ端末20、サービス提供サーバ40等とのデータ通信が実現されることになる。
Webブラウザ11には一般に、プロキシ選択スクリプト12(インターネットエクスプローラでは、自動構成スクリプトファイルなどと呼ばれる)を使ってプロキシサーバの構成を自動的に行う機能が備わっている。すなわち、Webブラウザ11はプロキシの設定をスクリプトで自動化できる仕組みを持っており、これを用いることでWebブラウザ11による通信経路を簡単に変更することができる。
サービス提供サーバ40は、HTMLコンテンツ、画像などの各種情報や、Webアプリケーションなどのリソースを保持しており、クライアント端末10からのWebブラウザ11を介したhttpリクエストに応じてこれら情報等を提供する。なお、このサービス提供サーバ40は、静的コンテンツ(例えば、HTMLコンテンツ等)と、動的コンテンツ(Webアプリケーション等)とを保持し、Webサーバとアプリケーションサーバの両方の機能を備えたものであるが、これはあくまで一例であり、いずれか一方の機能のみを備えたサーバであってもよい。
クライアント端末10からサービス提供サーバ40へ初めてアクセスする際には、まず、クライアント端末10と認証プロキシ端末20との間で認証処理を行う必要がある。ここで、ユーザがWebブラウザ11を起動させると、認証プロキシ端末20からクライアント端末10のWebブラウザ11へプロキシ選択スクリプト12がダウンロードされる。
このスクリプトのダウンロードが終了すると、次に認証が始まる。例えば、ポップアップなどでクライアント端末10上に認証画面が表示される。これを受けたユーザは、キーボード、マウス等の操作部からアカウントやパスワード等の入力を行い、認証プロキシ端末20に対し認証情報を送ることになる。なお、従来より周知であるため詳細については省略するが、ユーザが認証を行う前に、サービス提供サーバ40に直接アクセスした場合であっても、リダイレクトされるため、上記同様に認証プロキシ端末20から認証が要求されることになる。
この認証が正常に行われると、認証プロキシ端末20がサービス提供サーバ40への認証を代行して行うため、この1度の認証でサービス提供サーバ40へのアクセスが許可されることになる。ここで、ユーザがサービス提供サーバ40へアクセスを試みると、先の処理でダウンロードされたプロキシ選択スクリプト12に従い、認証プロキシ端末20を介さずにサービス提供サーバ40へ直接アクセスすることになる。すなわち、認証画面に対するアクセスのみが認証プロキシ端末20を通過することになり、それ以外の場合には、サービス提供サーバ40へ直接アクセスすることになる。
このように本実施例において認証プロキシ端末20は、認証用としてだけ機能し、認証が正常に行われた後のサービス提供サーバ40へのアクセスについては、関与しないことになる。従来、この種のシステムでは、認証と、認証後のアクセスに際して必ず、同図で言う認証プロキシ端末(中継サーバなどとも呼ぶ)を介してしか、サービス提供サーバ40へアクセスできなかったが、本実施例においては、認証が正常であれば、認証タイムアウト等を迎えるまでのアクセスに関しては、サービス提供サーバ40に直接アクセスできることになる。
ここで、この図1に示す認証プロキシ端末20の機能的な構成の一部について説明する。
認証プロキシ端末20は、その機能構成として、通信部21と、制御部22と、記憶部23と、表示部24と、操作部25とを具備して構成される。
通信部21は、ネットワークカード等で構成され、認証プロキシ端末20とネットワーク50との通信を制御する通信インターフェースとしての機能を果たす。認証プロキシ端末20は、この通信部21を介してクライアント端末10やサービス提供サーバ40等とデータ通信を行うことになる。
制御部22は、CPU(Central Processing Unit)や作業用メモリ等から構成され、
このCPUが、作業用メモリをワーク領域として記憶部23に格納された制御プログラムを読み込んで実行することで、本実施例による制御処理が実行されることになる。
記憶部23は、HD(Hard Disk)等から構成され、各種データを記憶する記憶装置としての機能を果たす。この記憶部23には各種プログラムが記憶される他、一般的なSSOシステムを運用するために必要なユーザ情報やアプリケーション情報等が記憶される。
表示部24は、各種情報の表示を行うディスプレイ等の表示装置であり、操作部25は、ユーザ指示を入力するためのキーボードやマウス等の入力装置である。以上が、認証プロキシ端末20を構成する各種処理機能の説明である。なお、この表示部24、操作部25および記憶部23は、必ずしも必要な構成要素ではなく省略可能である。但し、記憶部23を除く場合には、認証に必要な情報を保持するサーバ等を別個に設け、そのサーバへの問い合わせに基づき認証を行うことになる。
次に、上述した制御部22の機能的な構成の一部について説明する。なお、この制御部22上に実現される各種処理機能(機能ブロック)は、主に、CPUが記憶部23に記憶された制御プログラムを実行することで実現される。
制御部22は、各種処理機能部として、ユーザ認証部31と、代行認証部32と、スクリプト作成部33と、スクリプト送信部34とを具備して構成される。
ユーザ認証部31は、クライアント端末10との間でユーザ認証を行う機能を果たす。このユーザ認証は、記憶部23に予め格納されたユーザ認証用の認証情報に基づき行われる。ここで、認証正常となった場合には、各サービス提供サーバ40への代行認証が行われ、SSOが実現されることになる。
代行認証部32は、サービス提供サーバ40への認証をクライアント端末10に代わって実行する機能を果たす。具体的には、クライアント端末10と認証プロキシ端末20との間で認証が正常に行われると、記憶部23に予め格納された当該ユーザと対応する代行認証用の認証情報を用いてサービス提供サーバ40へ認証を行う。
スクリプト作成部33は、上述したプロキシ選択スクリプト12を作成する機能を果たす。例えば、図2に示すようなスクリプトファイルを作成することになる。この図2に示すように、スクリプトファイルは一般に、Java(登録商標)Scriptの構文で作成され、1行ずつ実行コマンドが順番に書かれた簡単なファイルである。
例えば、この場合、if構文の条件に当てはまる認証画面(URL)へアクセスする場合は認証プロキシ端末20を介してアクセスし、それ以外の場合には、認証プロキシ端末20を介さず目的のサーバへ直接アクセスするように設定されている。すなわち、認証画面に対するリクエストだけを認証プロキシ端末20へ送る設定となっている。
スクリプト送信部34は、スクリプト作成部33で作成されたプロキシ選択スクリプト12をクライアント端末10へ送信する機能を果たす。すなわち、認証後に認証プロキシ端末20を中継しないようにWebブラウザ11の通信経路を変更させるためのスクリプトファイルを、クライアント端末10へダウンロードさせ、それをクライアント端末10の所定のフォルダ等に格納させるなどして、作成したスクリプトファイルをクライアント端末10へ設定することになる。
以上が、制御部22を構成する各種処理機能の説明である。なお、スクリプト作成部33は、必ずしも必要な構成要素ではなく、省略可能である。スクリプト作成部33を除く場合には、プロキシ選択スクリプト12を記憶部23等に予め格納しておき、スクリプト送信部34では、それをクライアント端末10へ送信することになる。
ここで、図3を用いて、未認証のWebブラウザ11がサービス提供サーバ40にアクセスする場合の通信シーケンスの流れについて説明する。
まず、Webブラウザ11が起動されると、このWebブラウザ11からの要求により、認証プロキシ端末20のスクリプト作成部33において、プロシキ選択スクリプト12が作成され、それがスクリプト送信部34によって、クライアント端末10へ送信され設定される(1:スクリプト取得())。
これを受けたWebブラウザ11が、プロキシ選択スクリプト12に従って認証プロキシ端末20へアクセスすると、認証画面がクライアント端末10上にポップアップなどで表示される。ここで、ユーザがアカウントやパスワード等を入力すると、ユーザ認証部31による認証が行われ、クライアント端末10と認証プロキシ端末20との間で認証処理が行われることになる(2:ユーザ認証())
このユーザ認証が正常に行われると、SSOへ参加するために、Webブラウザ11から認証用のURLへアクセスすることになる(3:認証用URLへのアクセス())。すると、これを受けた認証プロキシ端末20の代行認証部32では、クライアント端末10に代わってサービス提供サーバ40への認証を行う。この代行認証は、認証プロキシ端末20の記憶部23に格納された代行認証用の認証情報が、サービス提供サーバ40に送られることで行われる(3.1:アプリの認証画面()および3.2:代行認証())。なお、ここで当該ユーザと対応する代行用の認証情報がない場合には、ユーザに直接入力させることになり、認証画面がWebブラウザ11上に表示されることになる。次回以降は、このとき入力された認証情報が代行用の認証情報として記憶部23へ格納されるため、自動的に代行認証が行われることになる。
そして、この代行認証が正常に行われると、その通知が認証プロキシ端末40からWebブラウザ11へ返され、これを受けたWebブラウザ11は、認証プロキシ端末20を介さずにサービス提供サーバ40へ直接アクセスすることになる(4:データアクセス())。すなわち、これはクライアント端末10からの認証画面を要求するリクエスト以外は、サービス提供サーバ40へ直接アクセスするべくプロキシ選択スクリプト12に設定されているためである。
次に、図4を用いて、未認証のWebブラウザ11がサービス提供サーバ40にアクセスする際に、リダイレクトを用いた場合の通信シーケンスの流れについて説明する。なお、この図4には、認証前にサービス提供サーバ40へ直接アクセスした場合の処理の流れが示されており、実際の運用においては、図3よりもこの図4に示す通信シーケンスの発生頻度の方が高いと考えられる。
まず、Webブラウザ11が起動されると、このWebブラウザ11からの要求により、認証プロキシ端末20のスクリプト作成部33において、プロシキ選択スクリプト12が作成され、それがスクリプト送信部34によって、クライアント端末10へ送信され設定される(1:スクリプト取得())。
これを受けたWebブラウザ11が、プロキシ選択スクリプト12に従って認証プロキシ端末20へアクセスすると、認証画面がクライアント端末10上にポップアップなどで表示される。ここで、ユーザがアカウントやパスワード等を入力すると、ユーザ認証部31による認証が行われ、クライアント端末10と認証プロキシ端末20との間で認証処理が行われることになる(2:ユーザ認証())
このユーザ認証が正常に行われた後、SSOへ参加するための認証が行われていないにも拘わらず、Webブラウザ11からサービス提供サーバ40へアクセスすると、サービス提供サーバ40では、Cookieを参照するなどしてWebブラウザ11が未認証であることが分かる。すると、サービス提供サーバ40は、認証用URLへのリダイレクトを発行する(3:アプリにアクセス())。
これを受けたWebブラウザ11は、このリダイレクトに従って認証用URLへアクセスすることになる(4:認証用URLへのアクセス())。すると、これを受けた認証プロキシ端末20の代行認証部32では、クライアント端末10に代わってサービス提供サーバ40への認証を行う。この代行認証は、認証プロキシ端末20の記憶部23に格納された代行認証用の認証情報が、サービス提供サーバ40に送られることで行われる(4.1:アプリの認証画面()および4.2:代行認証())。なお、ここで当該ユーザと対応する代行用の認証情報がない場合には、ユーザに直接入力させることになり、認証画面がWebブラウザ11上に表示されることになる。次回以降は、このとき入力された認証情報が代行用の認証情報として記憶部23へ格納されるため、自動的に代行認証が行われることになる。
そして、この代行認証が正常に行われると、認証プロキシ端末40からWebブラウザ11へアプリへのリダイレクトが返され、これを受けたWebブラウザ11は、認証プロキシ端末20を介さずにサービス提供サーバ40へ直接アクセスすることになる(5:リダイレクト先にアクセス())。すなわち、これはクライアント端末10からの認証画面を要求するリクエスト以外は、サービス提供サーバ40へ直接アクセスするべくプロキシ選択スクリプト12に設定されているためである。
なお、この図3および図4で説明したスクリプト取得は、基本的に1度行えばよく、以後、Webブラウザ11を閉じたとしても、クライアント端末10を再起動させたとしても消えることはない。そのため、プロキシ選択スクリプト12の内容自体に変更とかが生じた場合に限り、再度ダウンロードさせるようにすればよい。
また、この図3および図4で説明した通信シーケンスでは、ユーザ認証の後、SSOへ参加するために、Webブラウザ11から認証用URLへアクセスする必要がある場合の動作を例に挙げて説明したが、この認証用URLへのアクセスを省き、ユーザ認証が行われた後、続けて代行認証が自動的に行われるようにしてもよい。これは、認証プロキシ端末20の動作設定によって適宜調整できる。
以上が本発明の代表的な実施形態の一例であるが、本発明は、上記および図面に示す実施例に限定することなく、その要旨を変更しない範囲内で適宜変形して実施できるものである。
例えば、上記実施例においては、認証後のデータアクセスでWebブラウザ11からサービス提供サーバ40へ直接アクセスする場合を例に挙げて説明したが、本発明では、認証だけ(但し、ログ採取等、大幅なパフォーマンスの低下を招かない処理であれば認証以外にも行ってもよい)を認証プロキシ端末20で行うようにすればよく、その後のクライアント端末10からサービス提供サーバ40へのアクセスは、どのような通信経路で行われてもよい。そのため、例えば、図5に示すように、専用のプロキシサーバ60を配し、サービス提供サーバ40へアクセスする際には、必ずこのサーバを介してアクセスするように構成してもよい。また、プロキシサーバ60を配した場合の別の構成として、図6に示すように、クライアント端末10等が接続されたネットワーク50とは別のネットワーク70にサービス提供サーバ40を接続してもよい。なお、このようにプロキシサーバ60を配した場合には、データ通信処理に特化した専用のプロキシサーバ60を介してアクセスを行うことになるため、パフォーマンスの低下なく、セキュリティ面を強化することができる。
また、上記実施例においては、本発明に係わる通信システムにより処理を実施する場合を説明したが、この処理をコンピュータにインストールされた制御プログラムにより実施するように構成してもよい。なお、この制御プログラムは、ネットワーク等の通信手段により提供することはもちろん、CD−ROM等の記録媒体に格納して提供することも可能である。
本発明の制御プログラムおよび通信システムは、1または複数のサーバ端末への認証を代行する処理をコンピュータに実行させる制御プログラムおよび通信システム全般に適用可能である。
本発明に係わる通信システムの全体構成の一例を示す図である。 図1に示すプロキシ選択スクリプト12の一例を示す図である。 図1に示す通信システムにおける通信シーケンスの流れを示す図である。 図1に示す通信システムにおける通信シーケンスの流れを示す図である(リダイレクト有り)。 本発明に係わる第1の変形例の全体構成の一例を示す図である。 本発明に係わる第2の変形例の全体構成の一例を示す図である。
符号の説明
10 クライアント端末
11 Webブラウザ
12 プロキシ選択スクリプト
20 認証プロキシ端末
21 通信部
22 制御部
23 記憶部
24 表示部
25 操作部
31 ユーザ認証部
32 代行認証部
33 スクリプト作成部
34 スクリプト送信部
40 サービス提供サーバ
50 ネットワーク
60 プロキシサーバ
70 ネットワーク

Claims (5)

  1. ブラウザを用いたクライアント端末からの1または複数のサーバ端末への認証処理を前記クライアント端末に代わって認証プロキシ端末が代行する処理をコンピュータに実行させる制御プログラムであって、
    前記クライアント端末からの前記ブラウザを用いた前記サーバ端末へのアクセスに先立って、該クライアント端末との間でユーザ認証を行う認証ステップと、
    前記ユーザ認証が正常に行われたことを条件に、前記クライアント端末に代わって前記サーバ端末へ代行認証を行う代行認証ステップと、
    前記代行認証が正常に行われて該サーバ端末に該クライアント端末が認証済みと記憶された後には該クライアント端末が前記ブラウザを用いた該サーバ端末への認証以外のアクセスを可能にするように、前記ブラウザを用いた前記クライアント端末からの認証に際しては前記認証プロキシ端末にアクセスするが他のアクセスに際しては前記認証プロキシ端末を介さずに前記サーバ端末へアクセスするように前記ブラウザを制御するスクリプトファイルをクライアント端末に対して送信する送信ステップと
    を含む制御プログラム。
  2. 前記送信ステップは、
    前記代行認証が正常に行われた後の前記クライアント端末からの前記ブラウザを用いた前記サーバ端末へのアクセスに際してプロキシサーバを介して前記サーバ端末へアクセスするように前記ブラウザを制御するスクリプトファイルを前記クライアント端末に対して送信する
    請求項1記載の制御プログラム。
  3. 前記スクリプトファイルを作成する作成ステップ
    を更に具備し、
    前記送信ステップは、
    前記クライアント端末からの要求により前記作成ステップで作成した前記スクリプトファイルを送信する
    請求項1または2記載の制御プログラム。
  4. ブラウザを用いたクライアント端末からの1または複数のサーバ端末への認証処理を前記クライアント端末に代わって認証プロキシ端末が代行する処理をコンピュータに実行させる制御プログラムであって、
    前記ブラウザを用いたクライアント端末からの認証に際しては前記認証プロキシ端末へアクセスし、他のアクセスに際しては前記認証プロキシ端末を介さずに前記サーバ端末へアクセスするように前記ブラウザを制御するスクリプトファイルを前記クライアント端末へ送信する送信ステップと、
    前記クライアント端末からの前記ブラウザを用いた前記サーバ端末へのアクセスに先立って、該クライアント端末との間でユーザ認証を行う認証ステップと、
    前記送信ステップにより送信されたスクリプトファイルを受信した前記クライアント端末が前記スクリプトファイルに基づいて前記認証プロキシ端末に認証の為のアクセスをしてきたこと、または、前記送信ステップにより送信されたスクリプトファイルを受信した前記クライアント端末が前記サーバ端末へアクセスを試みた結果当該サーバ端末より未認証と判断されて前記スクリプトファイルに基づいて前記認証プロキシ端末に認証の為のアクセスをしてきたことに対して、前記認証ステップによるユーザ認証が正常に行われたことを条件に、前記クライアント端末に代わって前記サーバ端末へ、認証成功後は該サーバ端末が該クライアント端末を認証済みと記憶して該クライアント端末が前記スクリプトファイルに基づき認証以外のアクセスである該サーバ端末へアクセスすることが出来るよう代行認証を行う代行認証ステップと
    を含む制御プログラム。
  5. ブラウザを用いて1または複数のサーバ端末へアクセスするクライアント端末と、前記クライアント端末に代わって前記サーバ端末への認証処理を行う認証プロキシ端末とを備え
    前記認証プロキシ端末は、
    前記ブラウザを用いたクライアント端末からの認証に際しては前記認証プロキシ端末へアクセスし、他のアクセスに際しては前記認証プロキシ端末を介さずに前記サーバ端末へアクセスするように前記ブラウザを制御するスクリプトファイルを前記クライアント端末へ送信する送信手段と、
    前記クライアント端末からの前記ブラウザを用いた前記サーバ端末へのアクセスに先立って、該クライアント端末との間でユーザ認証を行う認証手段と、
    前記送信ステップで送信された前記スクリプトファイルに基づいて前記クライアント端末がアクセスしてきた認証要求に対して、前記ユーザ認証が正常に行われたことを条件に、前記クライアント端末に代わって前記サーバ端末へ代行認証を行う代行認証手段
    を具備し、
    前記クライアント端末の前記ブラウザは、
    前記送信手段で送信されたスクリプトファイルを受信する受信手段と、
    前記受信手段で受信したスクリプトファイルに基づき前記認証プロキシ端末に認証要求のアクセスをする、または、前記サーバ端末へアクセスを試みた結果前記サーバ端末より未認証と判断されて前記受信手段で受信したスクリプトファイルに基づき前記認証プロキシ端末に認証要求のアクセスをする認証アクセス手段と、
    前記認証プロキシ端末が代行認証手段によって前記サーバ端末へ代行認証が完了すると該サーバ端末に該クライアント端末が認証済みと記憶され、その後、前記スクリプトファイルに基づき認証以外のアクセスである該サーバ端末へのアクセスを行うサーバアクセス手段と
    を具備する通信システム。
JP2006157351A 2006-06-06 2006-06-06 制御プログラムおよび通信システム Expired - Fee Related JP4867482B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2006157351A JP4867482B2 (ja) 2006-06-06 2006-06-06 制御プログラムおよび通信システム
US11/605,301 US8056125B2 (en) 2006-06-06 2006-11-29 Recording medium storing control program and communication system
CN2006101566375A CN101087192B (zh) 2006-06-06 2006-12-29 控制装置、存储有控制程序的记录介质以及通信系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006157351A JP4867482B2 (ja) 2006-06-06 2006-06-06 制御プログラムおよび通信システム

Publications (2)

Publication Number Publication Date
JP2007328419A JP2007328419A (ja) 2007-12-20
JP4867482B2 true JP4867482B2 (ja) 2012-02-01

Family

ID=38791940

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006157351A Expired - Fee Related JP4867482B2 (ja) 2006-06-06 2006-06-06 制御プログラムおよび通信システム

Country Status (3)

Country Link
US (1) US8056125B2 (ja)
JP (1) JP4867482B2 (ja)
CN (1) CN101087192B (ja)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1819108B1 (en) 1999-10-22 2013-09-18 Nomadix, Inc. Systems and methods for dynamic bandwidth management on a per subscriber basis in a communication network
KR20090094229A (ko) 2006-09-29 2009-09-04 노마딕스, 인코포레이티드 콘텐츠를 삽입하기 위한 시스템 및 방법
US7647404B2 (en) * 2007-01-31 2010-01-12 Edge Technologies, Inc. Method of authentication processing during a single sign on transaction via a content transform proxy service
EP2056565A1 (fr) * 2007-10-29 2009-05-06 Axalto Procédé d'authentification d'un utilisateur accédant à un serveur distant à partir d'un ordinateur
JP5339868B2 (ja) * 2008-11-28 2013-11-13 ソフトバンクモバイル株式会社 情報処理システム、ログイン管理装置、ログイン管理方法及びログイン管理プログラム
GB0904559D0 (en) 2009-03-17 2009-04-29 British Telecomm Web application access
GB0905270D0 (en) 2009-03-27 2009-05-13 British Telecomm Call barring
US20110030037A1 (en) 2009-07-07 2011-02-03 Vadim Olshansky Zone migration in network access
US8850554B2 (en) * 2010-02-17 2014-09-30 Nokia Corporation Method and apparatus for providing an authentication context-based session
JP5521736B2 (ja) * 2010-04-23 2014-06-18 富士ゼロックス株式会社 通信制御装置、通信制御プログラム及び通信制御システム
US9699169B2 (en) * 2012-05-10 2017-07-04 Symantec Corporation Computer readable storage media for selective proxification of applications and method and systems utilizing same
JP2013257806A (ja) * 2012-06-14 2013-12-26 Nec Fielding Ltd 認証システム、認証方法、認証処理代行装置、端末装置、認証処理代行方法、端末装置の制御方法、及びプログラム
CN103716285A (zh) * 2012-09-29 2014-04-09 西门子公司 一种单点登录方法、代理服务器及系统
JP6380664B2 (ja) 2014-05-30 2018-08-29 日本電気株式会社 コアネットワークノード、基地局、ue、コアネットワークノードの通信方法、基地局の通信方法、及びueの通信方法
US10122703B2 (en) * 2014-09-30 2018-11-06 Citrix Systems, Inc. Federated full domain logon
CN107172114B (zh) * 2016-03-08 2020-06-16 深信服科技股份有限公司 基于显式代理环境中访问ftp资源的方法及代理服务器
WO2020136722A1 (ja) * 2018-12-25 2020-07-02 パスロジ株式会社 リモコンシステム、リモコン方法、プログラム、ならびに、情報記録媒体
CN111355713B (zh) * 2020-02-20 2022-09-30 深信服科技股份有限公司 一种代理访问方法、装置、代理网关及可读存储介质
US12143396B2 (en) * 2021-03-25 2024-11-12 International Business Machines Corporation Injecting risk assessment in user authentication
JP2024104615A (ja) * 2023-01-24 2024-08-05 キヤノン株式会社 情報処理装置、情報処理装置の制御方法、およびプログラム

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5586260A (en) * 1993-02-12 1996-12-17 Digital Equipment Corporation Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
JPH10177552A (ja) * 1996-12-17 1998-06-30 Fuji Xerox Co Ltd 認証応答方法およびその方法を用いた認証応答装置
US20050114705A1 (en) * 1997-12-11 2005-05-26 Eran Reshef Method and system for discriminating a human action from a computerized action
US6826593B1 (en) * 1998-09-01 2004-11-30 Lucent Technologies Inc. Computer implemented method and apparatus for fulfilling a request for information content with a user-selectable version of a file containing that information content
US7127605B1 (en) * 1999-05-10 2006-10-24 Axalto, Inc. Secure sharing of application methods on a microcontroller
JP2002032340A (ja) * 2000-07-14 2002-01-31 Nec Corp Webサイトに対するシングルサインオンシステム及び方法並びに記録媒体
US20020078371A1 (en) * 2000-08-17 2002-06-20 Sun Microsystems, Inc. User Access system using proxies for accessing a network
US7370015B2 (en) * 2000-10-12 2008-05-06 Sap Portals Israel Ltd. User impersonation by a proxy server
JP5576005B2 (ja) * 2000-11-07 2014-08-20 株式会社三菱東京Ufj銀行 認証代行装置
JP3830100B2 (ja) * 2000-11-16 2006-10-04 株式会社エヌ・ティ・ティ・ドコモ 移動通信端末の位置登録方法、移動通信端末の一括呼出方法および移動通信システム
AU2002230735A1 (en) * 2000-12-11 2002-06-24 Phlair, Inc. System and method for detecting and reporting online activity using real-time content-based network monitoring
JP2005503047A (ja) * 2001-02-06 2005-01-27 エン ガルデ システムズ、インコーポレイテッド 安全なネットワークを供給するための装置と方法
US20020147849A1 (en) * 2001-04-05 2002-10-10 Chung-Kei Wong Delta encoding using canonical reference files
US6912591B2 (en) * 2001-05-02 2005-06-28 Science Application International Corporation System and method for patch enabled data transmissions
US7484240B2 (en) * 2001-07-13 2009-01-27 Nokia Corporation Mechanism to allow authentication of terminated SIP calls
US20030061515A1 (en) * 2001-09-27 2003-03-27 Timothy Kindberg Capability-enabled uniform resource locator for secure web exporting and method of using same
JP3826782B2 (ja) * 2001-12-12 2006-09-27 ソニー株式会社 データ伝送システム、情報処理装置および方法、記録媒体、並びにプログラム
AU2003211053A1 (en) * 2002-02-11 2003-09-04 Polycom, Inc. System and method for videoconferencing across a firewall
JP3863441B2 (ja) * 2002-02-15 2006-12-27 日本電信電話株式会社 認証アクセス制御サーバ装置、認証アクセス制御方法、認証アクセス制御プログラム及びそのプログラムを記録したコンピュータ読み取り可能な記録媒体
US20030226036A1 (en) * 2002-05-30 2003-12-04 International Business Machines Corporation Method and apparatus for single sign-on authentication
US7421580B2 (en) * 2002-08-12 2008-09-02 Aol Llc A Delaware Limited Liability Company Method and apparatus for synchronizing e-mail addresses
US7650416B2 (en) * 2003-08-12 2010-01-19 Riverbed Technology Content delivery for client-server protocols with user affinities using connection end-point proxies
JP4039632B2 (ja) * 2003-08-14 2008-01-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 認証システム、サーバおよび認証方法並びにプログラム
US20050086533A1 (en) * 2003-10-20 2005-04-21 Hsieh Vincent W. Method and apparatus for providing secure communication
US20050138426A1 (en) * 2003-11-07 2005-06-23 Brian Styslinger Method, system, and apparatus for managing, monitoring, auditing, cataloging, scoring, and improving vulnerability assessment tests, as well as automating retesting efforts and elements of tests
US7543331B2 (en) * 2003-12-22 2009-06-02 Sun Microsystems, Inc. Framework for providing a configurable firewall for computing systems
JP4615247B2 (ja) * 2004-05-07 2011-01-19 株式会社日立製作所 コンピュータシステム
US8200776B2 (en) * 2006-06-08 2012-06-12 Avaya Inc. Methods and apparatus for network presence detection

Also Published As

Publication number Publication date
US20070283421A1 (en) 2007-12-06
JP2007328419A (ja) 2007-12-20
CN101087192A (zh) 2007-12-12
CN101087192B (zh) 2012-08-29
US8056125B2 (en) 2011-11-08

Similar Documents

Publication Publication Date Title
JP4867482B2 (ja) 制御プログラムおよび通信システム
US12367082B2 (en) Dynamically integrating a client application with third-party services
US10798127B2 (en) Enhanced document and event mirroring for accessing internet content
CN109768965B (zh) 一种服务器的登录方法、设备及存储介质
JP4882546B2 (ja) 情報処理システムおよび制御プログラム
US11983546B2 (en) Rendering content of service providers via web page having dynamically-loaded plugins
JP4353487B2 (ja) ローカル・プロキシにより通信情報を共有する方法
JP6353471B2 (ja) Api連携装置、api連携方法及びapi連携プログラム
JP4867486B2 (ja) 制御プログラムおよび通信システム
US7752438B2 (en) Secure resource access
CN113301050B (zh) 网页页面多用户实时登录登出管理方法、系统、终端及介质
US20080228927A1 (en) Server directed browsing
CN112997173B (zh) 用于在协同浏览会话中访问专有资源的方法和装置
JP5345432B2 (ja) ウェブログオン制御方法とシステムおよびプログラム
JP5541160B2 (ja) プログラム入手・実行クライアント、プログラム入手・実行方法およびプログラム
CN119342052A (zh) 网络资源的加载方法、系统、电子设备和存储介质
US11902147B2 (en) Remote access system, remote access control method, and non-transitory recording medium
US8516040B2 (en) Load reduction and response time reduction for web-based applications
JP2005157822A (ja) 通信制御装置、アプリケーションサーバ、通信制御方法、およびプログラム
CN105339928A (zh) 网站服务器请求重新路由
JP5901267B2 (ja) 情報処理装置およびその制御方法、並びにプログラム
JP4957436B2 (ja) ポータルシステム並びにその制御方法、プログラム及び記録媒体
Päivärinta Design and Implementation of Centralized APIs Platform and Application Portal
JP2014010656A (ja) 情報処理システム
US20230403263A1 (en) Bookmarking Support for Federated Login Pages

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110729

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110802

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110928

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111018

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111031

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4867482

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141125

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees
S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R370 Written measure of declining of transfer procedure

Free format text: JAPANESE INTERMEDIATE CODE: R370