ゲートウェイ、中継方法及びプログラム
【課題】アカウント入力(ログイン)回数を削減し、通信最適化を実現することができるゲートウェイ、中継方法及びプログラムを提供すること。
【解決手段】クライアントが利用するアプリケーションサーバ5とクライアント3aとの間を中継するVPNゲートウェイ4は、クライアント3aからのアプリケーションサーバへ5のリクエストを受けてアプリケーションサーバ5にアクセス要求する通信部30と、クライアント3aとの接続を管理するVPN情報管理サーバ2から受け取ったトンネル接続情報に基づきトークンを生成するトークン生成部28とを有し、通信部30は、リクエストをトークン生成部28が生成したトークンと共にアプリケーションサーバ5に送信し、当該アプリケーションサーバからの応答をクライアント3aに送信する。
【解決手段】クライアントが利用するアプリケーションサーバ5とクライアント3aとの間を中継するVPNゲートウェイ4は、クライアント3aからのアプリケーションサーバへ5のリクエストを受けてアプリケーションサーバ5にアクセス要求する通信部30と、クライアント3aとの接続を管理するVPN情報管理サーバ2から受け取ったトンネル接続情報に基づきトークンを生成するトークン生成部28とを有し、通信部30は、リクエストをトークン生成部28が生成したトークンと共にアプリケーションサーバ5に送信し、当該アプリケーションサーバからの応答をクライアント3aに送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、VPN情報を活用したトークン生成によるシングルサインオンを実現したゲートウェイ、中継方法及びプログラムに関する。
に関する。
【背景技術】
【0002】
組織をまたがったグループコラボレーションを円滑に進めるためには、他の組織に属するクライアントから自組織内のグループウェアサーバやドキュメント管理サーバ等のアプリケーションサーバへアクセスできるようにする必要がある。これを実現する従来技術として、以下の2つの技術が挙げられる。
【0003】
VPN(Virtual Private Network:仮想プライベートネットワーク)技術
アプリケーションサーバとクライアントが参加するグループ専用の仮想ネットワーク(VPN)を構築して組織内アプリケーションサーバと組織外クライアントとの間のセキュアなネットワーク接続を確保する。
【0004】
仮想ネットワークへの接続を許可するクライアントのアカウント情報や接続可能なVPNを一括管理するVPN情報管理サーバを用意し、当該サーバにおいてクライアントの認証を行い、グループに属するクライアントに対してのみ仮想ネットワークへの接続、すなわちアプリケーションサーバへの接続を許可する。
【0005】
クライアントはVPN情報管理サーバへログイン要求を送信し、認証されたあとVPNへ接続するためのトンネル情報(トンネル情報終端アドレスや鍵情報)を取得する。その後クライアントはアプリケーションサーバ前段に設置されたゲートウェイ装置に対してトンネル接続し、アプリケーションサーバへのリクエストを、トンネルを利用して送信する。ゲートウェイ装置はトンネルが正規のクライアントからのものであることを確認した後、リクエストをアプリケーションサーバへ転送する。
【0006】
認証情報連携技術(Federated Identity)
グループに属するクライアントのアカウント情報・所属グループ情報を一括管理するアプリケーション認証サーバを用意し、当該サーバにおけるクライアントの認証結果を信頼するようアプリケーションサーバへ設定することで、自組織内のアプリケーションサーバにおいて個々の組織外クライアントのアカウント情報を追加設定することなく組織外クライアントの認証、及びアクセス制御を実施できるようにする。
【0007】
クライアントが他組織のアプリケーションサーバへリクエストを送信すると、アプリケーションサーバはリクエストに対する応答としてトークンを提示するよう要求し、リクエストをアプリケーション認証サーバへリダイレクトする。アプリケーション認証サーバはリダイレクトされたリクエストに対する応答としてクライアントへアカウント情報の提供(ID及びパスワードや認証済みであることを示すCookie)を要求し、クライアントからアカウント情報を受信したのち所属グループを示すトークンをクライアントへ発行すると共に、クライアントからのリクエストを再度アプリケーションサーバへリダイレクトする。アプリケーションサーバはリクエストに付与されたトークンを参照し、リクエストに対するアクセス制御を実施する。
【0008】
次に、従来のサービス提供システムにおいて、クライアントからアプリケーションサーバへのリクエスト処理の一例について説明する。図6は、クライアントがアプリケーションサーバにアクセスする際のシーケンス図である。図6に示すように、先ず、クライアントは、VPN情報管理サーバに対し、ID及びパスワードを入力してVPNログインする(ステップS101)。VPN情報管理サーバは、VPN認証処理を行い(ステップS102)、その結果をクライアントに送信する(ステップS103)。これにより、VPN接続が確立する。
【0009】
次に、クライアントがアプリケーションサーバにアクセスする場合、先ず、アプリケーションサーバに対して、ID及びパスワードを提示して、情報提示要求を行う(ステップS104)。アプリケーションサーバは、この要求に対し、トークン提示を要求する(ステップS105)。クライアントはトークンを提示するため、今度は、アプリケーション認証サーバに対し、トークン提示要求を行う(ステップS106)。これを受け、アプリケーション認証サーバはアカウント認証し(ステップS107)、認証確認後にトークンを提示する(ステップS108)。トークンを取得したクライアントサーバは、トークン付でアプリケーションサーバに情報提示要求を行い(ステップSS109)、アプリケーションサーバから情報提示を受ける(ステップS110)。
【0010】
このような従来の技術には、以下の問題点があった。先ず、2度のログインが必要となりユーザの利便性が低かった。つまり、VPN情報管理サーバでの認証結果がトンネル接続情報として提供されるのに対して、アプリケーション認証サーバ(グループ情報管理サーバ)での認証結果はトークンの形式で提供されるが、従来方式には、それらを対応付ける機構が用意されていなかった。たとえばトンネル接続情報を利用してアプリケーションサーバにおけるアクセス制御を実施する仕組みやトークンを利用して仮想ネットワークへの接続を許可する仕組みが用意されていなかった。このため、クライアントはアプリケーションサーバへアクセスする際、VPN情報管理サーバとアプリケーション認証サーバへ計2回ログインする必要があった。
【0011】
次に、アプリケーションサーバへアクセスできるまでの時間が長かった。つまり、アプリケーション認証サーバから発行されたトークンをアプリケーションサーバへ受け渡すために、クライアントをハブとしてリダイレクトを繰り返す必要があった。また、アプリケーションサーバとクライアントとの間のリダイレクトについてはVPNを経由する必要があった。このため、クライアントの処理能力や通信回線スピード、さらにはアプリケーションサーバやアプリケーション認証サーバまでの距離に応じてアクセスできるまでの遅延が大きくなり、ユーザ利便性を低下させていた
【0012】
最後に、なりすましにより不正にアプリケーションを利用されることがあった。つまり、従来、インターネット上のアプリケーションサーバはIDとパスワードによる認証しか行っておらず、IDとパスワードを盗用されれば不正利用されることがあった。たとえばWebサイトに侵入しての改竄や、登録されている管理情報を盗み取るなどの犯罪行為が行われていた。また、侵入したコンピュータを踏み台にして、さらに別のコンピュータに侵入する、DoS攻撃するなどの管理者権限を奪うものから、総当たり攻撃などを用いて利用者のパスワードを突破し、当該利用者になりすまして、迷惑メールを発信したり、掲示板への不適切な発言やWebショップでの購入などを行うなどの事件も発生していた。
【0013】
すなわち、従来においては、VPNなどのネットワークへのログインとシングルサインオンなどのアプリケーションへのログインは別々に行われおり、ユーザはそれぞれのID・パスワードを入力する必要があり利便性にかけていた。またネットワーク、アプリケーションのそれぞれが動的に変化する環境下で、オンデマンドにアプリケーション利用制御を行うことができなかった。
【0014】
これに対し、サーバ収容ネットワーク接続時のリモートアクセス認証によりシングルサインオンを実現するサービス提供システムが特許文献1に記載されている。特許文献1に記載のサービス提供システムでは、ゲートウェイは、サーバ収容ネットワークとインターネットの接続点に置かれ、ユーザ端末がサーバ収容ネットワークに接続するためのリモートアクセス認証の処理を行う。ゲートウェイは、認証が成功すれば、以後、ユーザ端末から送出されるパケットをサーバ収容ネットワークに転送し、また、サーバ収容ネットワークにつながるサービスサーバからユーザ端末に送られるパケットをインターネットに転送する。
【0015】
ユーザ端末からリモートアクセス認証を受け、認証が成功であることを確認すると、ゲートウェイは、リモートアクセス認証における認証結果であるリモートアクセス認証結果を、認証確認サーバに転送する。リモートアクセス認証結果が成功である場合、認証確認サーバは、ユーザ端末を通じて認証を行ったユーザが認証済みであることを一元管理する。
【0016】
この後、ユーザ端末は例えばサービスサーバに対しサービス情報を享受したい場合に、サービスサーバにサービス要求を送る。サービスサーバはサービス要求を受信すると、認証確認サーバに対し認証確認を送信する。認証確認を受信すると、認証確認サーバは、ユーザ端末は既に認証済みであるため、認証済みの通知をサービスサーバに返送する。サービスサーバは認証済みであることの確認がとれると、要求されたサービス情報をユーザ端末2に対し送付する。
【特許文献1】特開2004−133824号公報
【発明の開示】
【発明が解決しようとする課題】
【0017】
しかしながら、特許文献1に記載の技術においては、ユーザが認証済みであることを認証確認サーバが一元管理している。したがって、ゲートウェイは、ユーザ端末からアクセス要求がある毎に、認証確認サーバに対し、認証確認を送信し、認証済みの通知を受け取るという処理が発生するとなる。よって、ユーザ端末からのアクセス要求に対し、それを処理するのに時間がかかる、すなわち、従来のサービス提供システムにおいては、アプリケーションサーバへのアクセス時間が長くなるという問題点がある。
【0018】
本発明は、このような問題点を解決するためになされたものであり、アカウント入力(ログイン)回数を削減し、通信最適化を実現することができるゲートウェイ、中継方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0019】
上述した課題を解決するために、本発明に係るゲートウェイは、クライアントが利用するアプリケーションサーバと前記クライアントとの間を中継するゲートウェイであって、前記クライアントからの前記アプリケーションサーバへのリクエストを受けて前記アプリケーションサーバにアクセス要求する通信部と、前記クライアントとの接続を管理する情報管理サーバから受け取ったトンネル接続情報に基づきトークンを生成するトークン生成部とを有し、前記通信部は、前記リクエストを前記トークン生成部が生成した前記トークンと共に前記アプリケーションサーバに送信し、当該アプリケーションサーバからの応答を前記クライアントに送信するものである。
【0020】
本発明に係る中継方法は、クライアントが利用するアプリケーションサーバと前記クライアントとの間を中継する中継方法であって、前記クライアントからの前記アプリケーションサーバへのリクエストを受けて前記アプリケーションサーバにアクセス要求し、前記クライアントとの接続を管理する情報管理サーバから受け取ったトンネル接続情報に基づきトークンを生成するトークン生成し、前記リクエストを生成した前記トークンと共に前記アプリケーションサーバに送信し、当該アプリケーションサーバからの応答を前記クライアントに送信する。
【0021】
また、本発明に係るプログラムは、上述した中継処理をコンピュータに実行させるものである。
【発明の効果】
【0022】
本発明によれば、アカウント入力(ログイン)回数を削減し、通信最適化を実現することができるゲートウェイ、中継方法及びプログラムを提供することができる。
【発明を実施するための最良の形態】
【0023】
以下、本発明を適用した具体的な実施例について、図面を参照しながら詳細に説明する。この実施例は、本発明を、複数の企業や組織が参加する業務プロジェクトなどのメンバで構成させるグループや、家庭間などでの映像コンテンツ共有サービスへ適用したものである。
【0024】
図1は、本発明の実施例にかかるサービス提供システムを示す図である。図1に示すように、サービス提供システムは、クライアント3a、VPN情報管理サーバ2、VPNゲートウェイ4、及びアプリケーションサーバ(サービスサーバ)5を有している。クライアント3a、VPN情報管理サーバ2、及びVPNゲートウェイ4は、インターネット等の外部ネットワークにより接続されている。VPNゲートウェア4及びアプリケーションサーバ5はLAN等の内部ネットワークにより接続されている。アプリケーションサーバ5は、Webベースのアプリケーションが動作するサーバである。
【0025】
VPNゲートウェイ4は、クライアント3aが利用するアプリケーションサーバ5と間のクライアント3aの中継をする。このVPNゲートウェイ4は、クライアント3aからのアプリケーションサーバ5へのリクエストを受けてアプリケーションサーバ5にアクセス要求する通信部30と、クライアント3aとの接続を管理するVPN情報管理サーバ2から受け取ったトンネル接続情報に基づきトークンを生成するトークン生成部28とを有している。そして、通信部30は、クライアント3aからのリクエストをトークン生成部28が生成したトークンと共にアプリケーションサーバ5に送信し、当該アプリケーションサーバ5からの応答をクライアント3a送信する。
【0026】
本実施例では、シングルサインオンにおいて、アカウント入力(ログイン)回数削減とVPN上の通信最適化を実現するために、グループで使用する回線情報とトークンを対応付けたことを特徴としている。本実施例のVPNゲートウェイ4は、VPN情報管理サーバ2からトンネル情報を取得する機構を備えている。クライアント3aからアプリケーションサーバ5に対するリクエストをVPNゲートウェイ4が受信した際、当該トンネル接続情報に基づきトークンを生成、当該トークンを利用してクライアント3aの代わりにアプリケーションサーバ5にアクセスする。トンネル情報に基づきトークンを生成するため、クライアント3aはVPNに接続するためのログインのみを行えばよく、アプリケーションサーバ5へアクセスするためのトークンを発行してもらうためのログインは不要となる。
【0027】
以下、本発明の実施例についてさらに具体的に説明する。図2は、本発明の実施例にかかるサービス提供システムの詳細を示す模式図、図3は、VPNゲートウェイの機能を示すブロック図である。また、図4は、トンネル情報管理テーブル22、VPN側コネクション情報−トンネル情報管理テーブル25、コネクションマッピングテーブル26を示す図である。
【0028】
本システムにおいては、管理ユーザ1により管理されるVPN情報管理サーバ2と、複数のクライアント3a、3bと、ゲートウェイ4と、アプリケーションサーバ5とを有する。VPNゲートウェイ4は、図2に示すように、トンネル接続情報取得部21、トンネル情報管理テーブル22、VPN終端部23、VPN側コネクション情報−トンネル情報管理テーブル25、WebProxy部27、コネクションマッピングテーブル26、及びクライアント通信部29を有する。VPN終端部23は、VPN側コネクション情報−トンネル情報マッピング部24を有する。WebProxy部27は、トークン生成部28を有している。上述の通信部30は、WebProxy部27及びクライアント通信部29の機能を有する。
【0029】
ところで、上記の従来方式では2度のログインが必要となりユーザの利便性が低かった課題は、VPN情報管理サーバ2での認証結果であるトンネル接続情報と、従来のアプリケーション認証サーバでの認証結果であるトークンを対応付ける機構を用意することで解決する。
【0030】
また、アプリケーションサーバ5へアクセスできるまでの時間が長かった課題を、以下の2点により解決する。すなわち、クライアント3a、3bではなく、アプリケーションサーバ5の近傍にあるVPNゲートウェイ4がハブとなってリダイレクトを行う。かつ、リダイレクトはイントラネット上で行い、VPNを経由しない。
【0031】
さらに、なりすましにより不正にアプリケーションを利用される課題に対しては、アプリケーションサーバ5へのアクセスは以下の3つの条件を満たすユーザのみ受け付けることで解決する。
1.VPN情報管理サーバ2での許容設定がされたVPN(トンネル)経由でアクセスしてきたユーザであること。
2.VPN情報管理サーバ2でアプリケーションサーバ5の利用可能設定がされたVPN(トンネル)経由でアクセスしてきたユーザであること。
3.VPN情報管理サーバ2に認証されたユーザであること。
【0032】
以下、具体的に説明する。図2に示すように組織CにてVPNゲートウェイ4とアプリケーションサーバ5を設置し、組織A、組織Bそれぞれからクライアント3a、3bがログインする形態について説明する。
【0033】
図2に示すVPN情報管理サーバ2は、管理ユーザ1からのグループ作成・削除及びクライアント、アプリケーションサーバ5の登録・削除の指示を受けて、グループに対応するVPNの作成・削除を行うと共にクライアント3a、3b、アプリケーションサーバ5のアカウント情報の登録、削除を行う。また、クライアント3a、3b、ゲートウェイ4からのログイン要求を受け、VPN認証処理を行うと共に、認証されたクライアント3a、3b、ゲートウェイ4に対して、VPN認証結果通知としてトンネル情報を提供する。
【0034】
クライアント3a、3bは、VPN情報管理サーバ2に対してログイン要求を送信してトンネル接続情報を取得し、VPNゲートウェイ4にトンネル接続する。そして、ローカルにインストールされたアプリケーション(Webブラウザ)からのアプリケーションサーバ5へのリクエスト(A1)を、トンネル11aを利用してVPNゲートウェイ4に転送する。
【0035】
VPNゲートウェイ4は、アプリケーションサーバ5に対するリクエスト(A1)を受信した際、リクエスト受信に利用したトンネル接続情報に基づきトークンを生成、当該トークンを利用してクライアント3aの代わりにアプリケーションサーバ5にアクセスする。
【0036】
次に、VPNゲートウェイ4の内部モジュール機能について説明する。トンネル接続情報取得部21は、予め設定されたアカウント情報を利用してVPN情報管理サーバ2へログインし、自身の管理下として予め設定されているアプリケーションサーバ5が参加するグループと同一のグループに参加するクライアント3a、3bのトンネル情報を取得する。また、当該グループにクライアント3a、3bが新規に参加・脱退したり、自身の管理下にあるアプリケーションサーバ5が新規にグループに参加・脱退したりした際にもVPN情報管理サーバ2からトンネル情報を取得する。トンネル接続情報取得部21は、定期的にVPN情報管理サーバ2にログインし、取得したトンネル情報でトンネル情報管理テーブル22を更新する。
【0037】
図4(a)は、トンネル情報管理テーブル22の一例を示す図である。トンネル情報は、トンネル毎に自動採番されて付与されるトンネルID、トンネルの両端のアドレスを示すトンネル終端アドレス、認証に使用する鍵情報、MAC(Media Access Control)アドレス、クライアントを識別するクライアントID、VPNグループを識別するVPNIDなどを有する。VPNIDにより、ユーザ単位のみならずグループ単位でのアプリケーションサーバ5へのアクセス制御を実現することができる。
【0038】
VPN終端部23は、トンネル情報管理テーブル22を参照し(A2)、カプセル化のために付加したヘッダをとり、復号化して中身のIPパケットを取り出すトンネル終端処理をする。このため、トンネル情報管理テーブル22を参照し、VPNを終端するためのトンネル情報終端アドレスや鍵情報を取得する。また、内部のVPN側コネクション情報−トンネル情報マッピング部24がトンネル経由で受信したリクエストが利用するTCPコネクション情報と、当該トンネルのトンネル情報の対応関係をVPN側コネクション情報−トンネル情報管理テーブル25に登録する。具体的には、トンネルID、VPN側送信元アドレス情報(Src IP:Port)、VPN側送信先アドレス情報(Dst IP:Port)の組み合わせで新しい組み合わせがあった場合は、これらのセットを追加する。これらのセット情報に対しては、コネクションIDが自動採番される。データの登録後、Web Proxy部27へリクエストを転送する(A4)。本リクエストのパケットには、コネクションIDを含む。なお、VPN終端部23によりVPNコネクションは終端しているので、ここでのコネクションはWebProxy部27とアプリケーションサーバ5により構築されたイントラネット側でのTCPコネクションを示す。
【0039】
図4(b)は、VPN側コネクション情報−トンネル情報管理テーブル25の一例を示す図である。VPN側コネクション情報−トンネル情報管理テーブル25は、上述したように、コネクションID、送信元のアドレス(Src IP.Port)、送信先のアドレス(Dst IP.Port)、トンネルIDなどを有する。
【0040】
Web Proxy部27は、クライアント3a、3bから受信したリクエスト(A1)を、アプリケーションサーバ5へ転送する(A5)。WebProxy部27は、クライアントからのリクエスト受信に用いたTCPコネクションと転送の際に用いたTCPコネクションの対応関係をコネクションマッピングテーブル26に登録する(A6)。リクエスト転送後にアプリケーションサーバ5からトークンの提示要求(A7)を受信した場合、内部のトークン生成部28はコネクションマッピングテーブル26を参照して(A8)リクエスト受信に用いたVPN側TCPコネクションを特定し、さらにVPN側コネクション情報−トンネル情報管理テーブル25、トンネル情報管理テーブル22を参照し、リクエスト受信に用いたトンネルのトンネル情報を把握する(A9)。トークン生成部28は、把握したトンネル情報を元に、当該リクエストを送信したクライアントが接続するVPN(グループ)を示すトークンを生成し、当該トークンを用いて再度アプリケーションサーバ5に対してリクエストを送信する(A10)。
【0041】
ここで、WebProxy部27は、コネクションID、イントラネット側送信元アドレス情報、イントラネット側送信先アドレス情報の組み合わせをキーにコネクションマッピングテーブル26を参照(検索)し、その組み合わせのトークンがキャッシュされていれば、そのトークンを使用してトークン付リクエストをアプリケーションサーバ5に送信する。キャッシュされていなければ、トークン生成部28により、トークンを生成する。
【0042】
トークンの生成では、先ず、VPN側コネクション情報−トンネル情報管理テーブルを参照し、コネクションIDをキーにトンネルIDを取得する。次に、トンネル情報管理テーブル22を参照し、上記で取得したトンネルIDをキーにVPNID及びクライアントID等のトンネル情報を取得する。トークン生成部28は、このVPNID及びクライアントIDによりトークンを生成する。
【0043】
ここで、グループ毎にアプリケーションサーバを利用可能にしたい場合は、VPNIDに対応づけられたトークンを生成し、ユーザ(クライアント)毎にアプリケーションサーバを利用できるようにしたい場合は、クライアントIDに対応づけられたトークンを生成し、アプリケーションサーバへのアクセスを制御する。
【0044】
ここで、一度生成したトークンはキャッシュしておき、同一クライアントからのリクエストを転送する際に利用する。ただしキャッシュしたトークンを利用する際はトンネル情報管理テーブル22を参照し、トークン生成時の当該クライアントの接続VPN(グループ)とトークン利用時の接続VPNが一致していることを確認する。一致していない場合は、新たにトークンを生成しなおす。
【0045】
図4(c)は、コネクションマッピングテーブル26の一例を示す図である。コネクションマッピングテーブル26は、VPN側コネクション情報として、コネクションIDを有し、インターネット側コネクション情報として送信元のアドレス、送信先のアドレスを有している。
【0046】
次に、本実施例のサービス提供システムにおいて、クライアントからアプリケーションサーバへのリクエスト処理の一例について説明する。図5は、本実施例にかかるサービス提供システムを示すシーケンス図である。ここでは、クライアント3aがアプリケーションサーバ5にアクセスするまでの動作について説明する。
【0047】
図5に示すように、VPNゲートウェイ4は、VPN情報管理サーバにログインし、トンネル情報取得要求を行う(ステップS1)。VPN情報管理サーバ2は、トンネル情報をVPNゲートウェイ4に通知する(ステップS2)。VPNゲートウェイ4は以上のステップを定期的に実行し、トンネル情報管理テーブル22を更新している。
【0048】
次に、クライアント3aがアプリケーションサーバ5にリクエストを要求する動作について説明する。先ず、クライアント3aは、VPN情報管理サーバ2に対し、ID及びパスワードを入力してログイン要求をする(ステップS11)。VPN情報管理サーバ2は、認証処理をし(ステップS12)。VPN認証結果をクライアント3aに通知する(ステップS13)。これにより、クライアント3aは、VPNゲートウェイ4にトンネル接続する。
【0049】
次に、クライアント3aはアプリケーションサーバ5にアクセスするため、VPNゲートウェイ4に、アプリケーションサーバへの情報提示要求を行う(ステップS14)。ここで、本実施例においては、従来と異なり、ID及びパスワードの入力が必要ない。VPNゲートウェイ4は、この要求をアプリケーションサーバに送信する(ステップS15)。アプリケーションサーバ5は、これに対し、トークン提示要求をVPNゲートウェイ4に返す(ステップS16)。VPNゲートウェイ4は、上述したように、コネクションマッピングテーブル26にトークンがない場合は、VPN側コネクション情報−トンネル情報管理テーブル25及びトンネル情報管理テーブル22のトンネル情報に基づき、トークンを生成する(ステップS17)。そして、アプリケーションサーバへの情報提示要求を生成したトークンと共に送信する(ステップS18)。
【0050】
これを受けたアプリケーションサーバ5は、要求された情報を提示し(ステップS19)、この情報は、VPNゲートウェイ4を介してクライアント3aに送られる(ステップS20)。クライアント3aは、VPN情報管理サーバ2にログインするのみでアプリケーションサーバ5から情報提示を受けることができる。
【0051】
以上説明したように、本実施例においては、以下に記載するような効果を奏する。すなわち、シングルサインオンの実現によるユーザ利便性が向上する。VPNゲートウェイ4においてリクエスト受信に利用したトンネルによってリクエスト送信元クライアント(の所属するグループ)を識別し、識別結果に基づいてトークンを生成するため、クライアント3a、3bはVPNに接続するためのログインのみを行えばよく、トークンを発行してもらうためのログインは不要となる。
【0052】
また、VPNゲートウェイ4におけるリダイレクト終端によるアプリケーションサーバ5へのアクセス時間が短縮する。その要因は2つあり、これらの要因によってリダイレクトに要する時間が従来技術より短縮される。第1に、クライアント3a、3bではなく、アプリケーションサーバ5の近傍にあるVPNゲートウェイ4がハブとなってリダイレクトが行われるためである。第2に、リダイレクトはイントラネット上で行われ、VPNを経由しないためである。また、VPNゲートウェイ4自身がトークンの生成及び提示を行うことでリダイレクトの回数そのものが従来技術に比較して少なくなる。
【0053】
さらに、なりすましにより不正に利用を抑制することができる。アプリケーションサーバへのアクセスは以下の3つの条件を満たすユーザのみ受け付けることで不正利用を抑制できる。第1に、VPN情報管理サーバ2での許容設定がされたVPN(トンネル)経由でアクセスしてきたユーザであること、第2に、VPN情報管理サーバ2でアプリケーションサーバ5の利用可能設定がされたVPN(トンネル)経由でアクセスしてきたユーザであること、第3に、VPN情報管理サーバに認証されたユーザであることである。
【0054】
さらにまた、本実施例では暗号化プロトコルに制約されることなく(暗号化プロトコルの多様化)、適用及び応用範囲が広い。また、本実施例においては、VPN IDというパラメータをトンネル情報テーブルに追加することで、ユーザ単位のみならずグループ単位でのアプリケーションサーバへのアクセス制御を実現している。
【0055】
さらに、本実施例においては、VPNゲートウェイ4はリクエスト(サービス要求)の転送に利用したTCPコネクションによりアプリケーションサーバ5から認証確認を受け取るとともに、認証確認の受信に利用したTCPコネクション(すなわちサービス要求の転送に利用したTCPコネクション)をキーにしてトークンを生成する。このため、本実施例の場合、アプリケーションサーバ5は認証確認にTCPコネクション情報を含める必要はなく、アプリケーションサーバ5は、例えばID-Federation等、標準化された認証確認方式によって認証確認を行うことが可能である。
【0056】
なお、上記の特許文献1においては、リモートアクセス認証結果で登録した情報を認証確認でどのように確認するか、つまりどのような情報をキーとするかが明示されていない。サービスサーバがサービス要求の受信に利用したTCPコネクション(IPアドレスやポート番号)の情報をキーとして認証確認を行う方式も考えられるが(認証確認にTCPコネクション情報を含めて認証確認サーバへ送信)、このような方式は標準化されていないため、独自拡張を行ったサービスサーバしか特許文献1の方式を利用することができない。
【0057】
なお、本発明は上述した実施例のみに限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能であることは勿論である。
【0058】
例えば、上述の実施例では、ハードウェアの構成として説明したが、これに限定されるものではなく、任意の処理を、CPU(Central Processing Unit)にコンピュータプログラムを実行させることにより実現することも可能である。この場合、コンピュータプログラムは、記録媒体に記録して提供することも可能であり、また、インターネットその他の伝送媒体を介して伝送することにより提供することも可能である。
【図面の簡単な説明】
【0059】
【図1】本発明の実施例にかかるサービス提供システムを示す模式図である。
【図2】本発明の実施例にかかるサービス提供システムの詳細を示す模式図である。
【図3】本発明の実施例にかかるサービス提供システムにおけるVPNゲートウェイの機能を示すブロック図である。
【図4】(a)乃至(c)は、それぞれ本発明の実施例にかかるサービス提供システムにおけるVPNゲートウェイが有するトンネル情報管理テーブル、VPN側コネクション情報−トンネル情報管理テーブル、コネクションマッピングテーブルを示す図である。
【図5】本実施例にかかるサービス提供システムを示すシーケンス図である。
【図6】従来のサービス提供システムのシーケンス図である。
【符号の説明】
【0060】
1 管理ユーザ
2 情報管理サーバ
3a、3b クライアント
4 ゲートウェイ
5 アプリケーションサーバ
11a、11b トンネル
21 トンネル接続情報取得部
22 トンネル情報管理テーブル
23 VPN終端部
24 トンネル情報マッピング部
25 VPN側コネクション情報−トンネル情報管理テーブル
26 コネクションマッピングテーブル
27 WebProxy部
28 トークン生成部
【技術分野】
【0001】
本発明は、VPN情報を活用したトークン生成によるシングルサインオンを実現したゲートウェイ、中継方法及びプログラムに関する。
に関する。
【背景技術】
【0002】
組織をまたがったグループコラボレーションを円滑に進めるためには、他の組織に属するクライアントから自組織内のグループウェアサーバやドキュメント管理サーバ等のアプリケーションサーバへアクセスできるようにする必要がある。これを実現する従来技術として、以下の2つの技術が挙げられる。
【0003】
VPN(Virtual Private Network:仮想プライベートネットワーク)技術
アプリケーションサーバとクライアントが参加するグループ専用の仮想ネットワーク(VPN)を構築して組織内アプリケーションサーバと組織外クライアントとの間のセキュアなネットワーク接続を確保する。
【0004】
仮想ネットワークへの接続を許可するクライアントのアカウント情報や接続可能なVPNを一括管理するVPN情報管理サーバを用意し、当該サーバにおいてクライアントの認証を行い、グループに属するクライアントに対してのみ仮想ネットワークへの接続、すなわちアプリケーションサーバへの接続を許可する。
【0005】
クライアントはVPN情報管理サーバへログイン要求を送信し、認証されたあとVPNへ接続するためのトンネル情報(トンネル情報終端アドレスや鍵情報)を取得する。その後クライアントはアプリケーションサーバ前段に設置されたゲートウェイ装置に対してトンネル接続し、アプリケーションサーバへのリクエストを、トンネルを利用して送信する。ゲートウェイ装置はトンネルが正規のクライアントからのものであることを確認した後、リクエストをアプリケーションサーバへ転送する。
【0006】
認証情報連携技術(Federated Identity)
グループに属するクライアントのアカウント情報・所属グループ情報を一括管理するアプリケーション認証サーバを用意し、当該サーバにおけるクライアントの認証結果を信頼するようアプリケーションサーバへ設定することで、自組織内のアプリケーションサーバにおいて個々の組織外クライアントのアカウント情報を追加設定することなく組織外クライアントの認証、及びアクセス制御を実施できるようにする。
【0007】
クライアントが他組織のアプリケーションサーバへリクエストを送信すると、アプリケーションサーバはリクエストに対する応答としてトークンを提示するよう要求し、リクエストをアプリケーション認証サーバへリダイレクトする。アプリケーション認証サーバはリダイレクトされたリクエストに対する応答としてクライアントへアカウント情報の提供(ID及びパスワードや認証済みであることを示すCookie)を要求し、クライアントからアカウント情報を受信したのち所属グループを示すトークンをクライアントへ発行すると共に、クライアントからのリクエストを再度アプリケーションサーバへリダイレクトする。アプリケーションサーバはリクエストに付与されたトークンを参照し、リクエストに対するアクセス制御を実施する。
【0008】
次に、従来のサービス提供システムにおいて、クライアントからアプリケーションサーバへのリクエスト処理の一例について説明する。図6は、クライアントがアプリケーションサーバにアクセスする際のシーケンス図である。図6に示すように、先ず、クライアントは、VPN情報管理サーバに対し、ID及びパスワードを入力してVPNログインする(ステップS101)。VPN情報管理サーバは、VPN認証処理を行い(ステップS102)、その結果をクライアントに送信する(ステップS103)。これにより、VPN接続が確立する。
【0009】
次に、クライアントがアプリケーションサーバにアクセスする場合、先ず、アプリケーションサーバに対して、ID及びパスワードを提示して、情報提示要求を行う(ステップS104)。アプリケーションサーバは、この要求に対し、トークン提示を要求する(ステップS105)。クライアントはトークンを提示するため、今度は、アプリケーション認証サーバに対し、トークン提示要求を行う(ステップS106)。これを受け、アプリケーション認証サーバはアカウント認証し(ステップS107)、認証確認後にトークンを提示する(ステップS108)。トークンを取得したクライアントサーバは、トークン付でアプリケーションサーバに情報提示要求を行い(ステップSS109)、アプリケーションサーバから情報提示を受ける(ステップS110)。
【0010】
このような従来の技術には、以下の問題点があった。先ず、2度のログインが必要となりユーザの利便性が低かった。つまり、VPN情報管理サーバでの認証結果がトンネル接続情報として提供されるのに対して、アプリケーション認証サーバ(グループ情報管理サーバ)での認証結果はトークンの形式で提供されるが、従来方式には、それらを対応付ける機構が用意されていなかった。たとえばトンネル接続情報を利用してアプリケーションサーバにおけるアクセス制御を実施する仕組みやトークンを利用して仮想ネットワークへの接続を許可する仕組みが用意されていなかった。このため、クライアントはアプリケーションサーバへアクセスする際、VPN情報管理サーバとアプリケーション認証サーバへ計2回ログインする必要があった。
【0011】
次に、アプリケーションサーバへアクセスできるまでの時間が長かった。つまり、アプリケーション認証サーバから発行されたトークンをアプリケーションサーバへ受け渡すために、クライアントをハブとしてリダイレクトを繰り返す必要があった。また、アプリケーションサーバとクライアントとの間のリダイレクトについてはVPNを経由する必要があった。このため、クライアントの処理能力や通信回線スピード、さらにはアプリケーションサーバやアプリケーション認証サーバまでの距離に応じてアクセスできるまでの遅延が大きくなり、ユーザ利便性を低下させていた
【0012】
最後に、なりすましにより不正にアプリケーションを利用されることがあった。つまり、従来、インターネット上のアプリケーションサーバはIDとパスワードによる認証しか行っておらず、IDとパスワードを盗用されれば不正利用されることがあった。たとえばWebサイトに侵入しての改竄や、登録されている管理情報を盗み取るなどの犯罪行為が行われていた。また、侵入したコンピュータを踏み台にして、さらに別のコンピュータに侵入する、DoS攻撃するなどの管理者権限を奪うものから、総当たり攻撃などを用いて利用者のパスワードを突破し、当該利用者になりすまして、迷惑メールを発信したり、掲示板への不適切な発言やWebショップでの購入などを行うなどの事件も発生していた。
【0013】
すなわち、従来においては、VPNなどのネットワークへのログインとシングルサインオンなどのアプリケーションへのログインは別々に行われおり、ユーザはそれぞれのID・パスワードを入力する必要があり利便性にかけていた。またネットワーク、アプリケーションのそれぞれが動的に変化する環境下で、オンデマンドにアプリケーション利用制御を行うことができなかった。
【0014】
これに対し、サーバ収容ネットワーク接続時のリモートアクセス認証によりシングルサインオンを実現するサービス提供システムが特許文献1に記載されている。特許文献1に記載のサービス提供システムでは、ゲートウェイは、サーバ収容ネットワークとインターネットの接続点に置かれ、ユーザ端末がサーバ収容ネットワークに接続するためのリモートアクセス認証の処理を行う。ゲートウェイは、認証が成功すれば、以後、ユーザ端末から送出されるパケットをサーバ収容ネットワークに転送し、また、サーバ収容ネットワークにつながるサービスサーバからユーザ端末に送られるパケットをインターネットに転送する。
【0015】
ユーザ端末からリモートアクセス認証を受け、認証が成功であることを確認すると、ゲートウェイは、リモートアクセス認証における認証結果であるリモートアクセス認証結果を、認証確認サーバに転送する。リモートアクセス認証結果が成功である場合、認証確認サーバは、ユーザ端末を通じて認証を行ったユーザが認証済みであることを一元管理する。
【0016】
この後、ユーザ端末は例えばサービスサーバに対しサービス情報を享受したい場合に、サービスサーバにサービス要求を送る。サービスサーバはサービス要求を受信すると、認証確認サーバに対し認証確認を送信する。認証確認を受信すると、認証確認サーバは、ユーザ端末は既に認証済みであるため、認証済みの通知をサービスサーバに返送する。サービスサーバは認証済みであることの確認がとれると、要求されたサービス情報をユーザ端末2に対し送付する。
【特許文献1】特開2004−133824号公報
【発明の開示】
【発明が解決しようとする課題】
【0017】
しかしながら、特許文献1に記載の技術においては、ユーザが認証済みであることを認証確認サーバが一元管理している。したがって、ゲートウェイは、ユーザ端末からアクセス要求がある毎に、認証確認サーバに対し、認証確認を送信し、認証済みの通知を受け取るという処理が発生するとなる。よって、ユーザ端末からのアクセス要求に対し、それを処理するのに時間がかかる、すなわち、従来のサービス提供システムにおいては、アプリケーションサーバへのアクセス時間が長くなるという問題点がある。
【0018】
本発明は、このような問題点を解決するためになされたものであり、アカウント入力(ログイン)回数を削減し、通信最適化を実現することができるゲートウェイ、中継方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0019】
上述した課題を解決するために、本発明に係るゲートウェイは、クライアントが利用するアプリケーションサーバと前記クライアントとの間を中継するゲートウェイであって、前記クライアントからの前記アプリケーションサーバへのリクエストを受けて前記アプリケーションサーバにアクセス要求する通信部と、前記クライアントとの接続を管理する情報管理サーバから受け取ったトンネル接続情報に基づきトークンを生成するトークン生成部とを有し、前記通信部は、前記リクエストを前記トークン生成部が生成した前記トークンと共に前記アプリケーションサーバに送信し、当該アプリケーションサーバからの応答を前記クライアントに送信するものである。
【0020】
本発明に係る中継方法は、クライアントが利用するアプリケーションサーバと前記クライアントとの間を中継する中継方法であって、前記クライアントからの前記アプリケーションサーバへのリクエストを受けて前記アプリケーションサーバにアクセス要求し、前記クライアントとの接続を管理する情報管理サーバから受け取ったトンネル接続情報に基づきトークンを生成するトークン生成し、前記リクエストを生成した前記トークンと共に前記アプリケーションサーバに送信し、当該アプリケーションサーバからの応答を前記クライアントに送信する。
【0021】
また、本発明に係るプログラムは、上述した中継処理をコンピュータに実行させるものである。
【発明の効果】
【0022】
本発明によれば、アカウント入力(ログイン)回数を削減し、通信最適化を実現することができるゲートウェイ、中継方法及びプログラムを提供することができる。
【発明を実施するための最良の形態】
【0023】
以下、本発明を適用した具体的な実施例について、図面を参照しながら詳細に説明する。この実施例は、本発明を、複数の企業や組織が参加する業務プロジェクトなどのメンバで構成させるグループや、家庭間などでの映像コンテンツ共有サービスへ適用したものである。
【0024】
図1は、本発明の実施例にかかるサービス提供システムを示す図である。図1に示すように、サービス提供システムは、クライアント3a、VPN情報管理サーバ2、VPNゲートウェイ4、及びアプリケーションサーバ(サービスサーバ)5を有している。クライアント3a、VPN情報管理サーバ2、及びVPNゲートウェイ4は、インターネット等の外部ネットワークにより接続されている。VPNゲートウェア4及びアプリケーションサーバ5はLAN等の内部ネットワークにより接続されている。アプリケーションサーバ5は、Webベースのアプリケーションが動作するサーバである。
【0025】
VPNゲートウェイ4は、クライアント3aが利用するアプリケーションサーバ5と間のクライアント3aの中継をする。このVPNゲートウェイ4は、クライアント3aからのアプリケーションサーバ5へのリクエストを受けてアプリケーションサーバ5にアクセス要求する通信部30と、クライアント3aとの接続を管理するVPN情報管理サーバ2から受け取ったトンネル接続情報に基づきトークンを生成するトークン生成部28とを有している。そして、通信部30は、クライアント3aからのリクエストをトークン生成部28が生成したトークンと共にアプリケーションサーバ5に送信し、当該アプリケーションサーバ5からの応答をクライアント3a送信する。
【0026】
本実施例では、シングルサインオンにおいて、アカウント入力(ログイン)回数削減とVPN上の通信最適化を実現するために、グループで使用する回線情報とトークンを対応付けたことを特徴としている。本実施例のVPNゲートウェイ4は、VPN情報管理サーバ2からトンネル情報を取得する機構を備えている。クライアント3aからアプリケーションサーバ5に対するリクエストをVPNゲートウェイ4が受信した際、当該トンネル接続情報に基づきトークンを生成、当該トークンを利用してクライアント3aの代わりにアプリケーションサーバ5にアクセスする。トンネル情報に基づきトークンを生成するため、クライアント3aはVPNに接続するためのログインのみを行えばよく、アプリケーションサーバ5へアクセスするためのトークンを発行してもらうためのログインは不要となる。
【0027】
以下、本発明の実施例についてさらに具体的に説明する。図2は、本発明の実施例にかかるサービス提供システムの詳細を示す模式図、図3は、VPNゲートウェイの機能を示すブロック図である。また、図4は、トンネル情報管理テーブル22、VPN側コネクション情報−トンネル情報管理テーブル25、コネクションマッピングテーブル26を示す図である。
【0028】
本システムにおいては、管理ユーザ1により管理されるVPN情報管理サーバ2と、複数のクライアント3a、3bと、ゲートウェイ4と、アプリケーションサーバ5とを有する。VPNゲートウェイ4は、図2に示すように、トンネル接続情報取得部21、トンネル情報管理テーブル22、VPN終端部23、VPN側コネクション情報−トンネル情報管理テーブル25、WebProxy部27、コネクションマッピングテーブル26、及びクライアント通信部29を有する。VPN終端部23は、VPN側コネクション情報−トンネル情報マッピング部24を有する。WebProxy部27は、トークン生成部28を有している。上述の通信部30は、WebProxy部27及びクライアント通信部29の機能を有する。
【0029】
ところで、上記の従来方式では2度のログインが必要となりユーザの利便性が低かった課題は、VPN情報管理サーバ2での認証結果であるトンネル接続情報と、従来のアプリケーション認証サーバでの認証結果であるトークンを対応付ける機構を用意することで解決する。
【0030】
また、アプリケーションサーバ5へアクセスできるまでの時間が長かった課題を、以下の2点により解決する。すなわち、クライアント3a、3bではなく、アプリケーションサーバ5の近傍にあるVPNゲートウェイ4がハブとなってリダイレクトを行う。かつ、リダイレクトはイントラネット上で行い、VPNを経由しない。
【0031】
さらに、なりすましにより不正にアプリケーションを利用される課題に対しては、アプリケーションサーバ5へのアクセスは以下の3つの条件を満たすユーザのみ受け付けることで解決する。
1.VPN情報管理サーバ2での許容設定がされたVPN(トンネル)経由でアクセスしてきたユーザであること。
2.VPN情報管理サーバ2でアプリケーションサーバ5の利用可能設定がされたVPN(トンネル)経由でアクセスしてきたユーザであること。
3.VPN情報管理サーバ2に認証されたユーザであること。
【0032】
以下、具体的に説明する。図2に示すように組織CにてVPNゲートウェイ4とアプリケーションサーバ5を設置し、組織A、組織Bそれぞれからクライアント3a、3bがログインする形態について説明する。
【0033】
図2に示すVPN情報管理サーバ2は、管理ユーザ1からのグループ作成・削除及びクライアント、アプリケーションサーバ5の登録・削除の指示を受けて、グループに対応するVPNの作成・削除を行うと共にクライアント3a、3b、アプリケーションサーバ5のアカウント情報の登録、削除を行う。また、クライアント3a、3b、ゲートウェイ4からのログイン要求を受け、VPN認証処理を行うと共に、認証されたクライアント3a、3b、ゲートウェイ4に対して、VPN認証結果通知としてトンネル情報を提供する。
【0034】
クライアント3a、3bは、VPN情報管理サーバ2に対してログイン要求を送信してトンネル接続情報を取得し、VPNゲートウェイ4にトンネル接続する。そして、ローカルにインストールされたアプリケーション(Webブラウザ)からのアプリケーションサーバ5へのリクエスト(A1)を、トンネル11aを利用してVPNゲートウェイ4に転送する。
【0035】
VPNゲートウェイ4は、アプリケーションサーバ5に対するリクエスト(A1)を受信した際、リクエスト受信に利用したトンネル接続情報に基づきトークンを生成、当該トークンを利用してクライアント3aの代わりにアプリケーションサーバ5にアクセスする。
【0036】
次に、VPNゲートウェイ4の内部モジュール機能について説明する。トンネル接続情報取得部21は、予め設定されたアカウント情報を利用してVPN情報管理サーバ2へログインし、自身の管理下として予め設定されているアプリケーションサーバ5が参加するグループと同一のグループに参加するクライアント3a、3bのトンネル情報を取得する。また、当該グループにクライアント3a、3bが新規に参加・脱退したり、自身の管理下にあるアプリケーションサーバ5が新規にグループに参加・脱退したりした際にもVPN情報管理サーバ2からトンネル情報を取得する。トンネル接続情報取得部21は、定期的にVPN情報管理サーバ2にログインし、取得したトンネル情報でトンネル情報管理テーブル22を更新する。
【0037】
図4(a)は、トンネル情報管理テーブル22の一例を示す図である。トンネル情報は、トンネル毎に自動採番されて付与されるトンネルID、トンネルの両端のアドレスを示すトンネル終端アドレス、認証に使用する鍵情報、MAC(Media Access Control)アドレス、クライアントを識別するクライアントID、VPNグループを識別するVPNIDなどを有する。VPNIDにより、ユーザ単位のみならずグループ単位でのアプリケーションサーバ5へのアクセス制御を実現することができる。
【0038】
VPN終端部23は、トンネル情報管理テーブル22を参照し(A2)、カプセル化のために付加したヘッダをとり、復号化して中身のIPパケットを取り出すトンネル終端処理をする。このため、トンネル情報管理テーブル22を参照し、VPNを終端するためのトンネル情報終端アドレスや鍵情報を取得する。また、内部のVPN側コネクション情報−トンネル情報マッピング部24がトンネル経由で受信したリクエストが利用するTCPコネクション情報と、当該トンネルのトンネル情報の対応関係をVPN側コネクション情報−トンネル情報管理テーブル25に登録する。具体的には、トンネルID、VPN側送信元アドレス情報(Src IP:Port)、VPN側送信先アドレス情報(Dst IP:Port)の組み合わせで新しい組み合わせがあった場合は、これらのセットを追加する。これらのセット情報に対しては、コネクションIDが自動採番される。データの登録後、Web Proxy部27へリクエストを転送する(A4)。本リクエストのパケットには、コネクションIDを含む。なお、VPN終端部23によりVPNコネクションは終端しているので、ここでのコネクションはWebProxy部27とアプリケーションサーバ5により構築されたイントラネット側でのTCPコネクションを示す。
【0039】
図4(b)は、VPN側コネクション情報−トンネル情報管理テーブル25の一例を示す図である。VPN側コネクション情報−トンネル情報管理テーブル25は、上述したように、コネクションID、送信元のアドレス(Src IP.Port)、送信先のアドレス(Dst IP.Port)、トンネルIDなどを有する。
【0040】
Web Proxy部27は、クライアント3a、3bから受信したリクエスト(A1)を、アプリケーションサーバ5へ転送する(A5)。WebProxy部27は、クライアントからのリクエスト受信に用いたTCPコネクションと転送の際に用いたTCPコネクションの対応関係をコネクションマッピングテーブル26に登録する(A6)。リクエスト転送後にアプリケーションサーバ5からトークンの提示要求(A7)を受信した場合、内部のトークン生成部28はコネクションマッピングテーブル26を参照して(A8)リクエスト受信に用いたVPN側TCPコネクションを特定し、さらにVPN側コネクション情報−トンネル情報管理テーブル25、トンネル情報管理テーブル22を参照し、リクエスト受信に用いたトンネルのトンネル情報を把握する(A9)。トークン生成部28は、把握したトンネル情報を元に、当該リクエストを送信したクライアントが接続するVPN(グループ)を示すトークンを生成し、当該トークンを用いて再度アプリケーションサーバ5に対してリクエストを送信する(A10)。
【0041】
ここで、WebProxy部27は、コネクションID、イントラネット側送信元アドレス情報、イントラネット側送信先アドレス情報の組み合わせをキーにコネクションマッピングテーブル26を参照(検索)し、その組み合わせのトークンがキャッシュされていれば、そのトークンを使用してトークン付リクエストをアプリケーションサーバ5に送信する。キャッシュされていなければ、トークン生成部28により、トークンを生成する。
【0042】
トークンの生成では、先ず、VPN側コネクション情報−トンネル情報管理テーブルを参照し、コネクションIDをキーにトンネルIDを取得する。次に、トンネル情報管理テーブル22を参照し、上記で取得したトンネルIDをキーにVPNID及びクライアントID等のトンネル情報を取得する。トークン生成部28は、このVPNID及びクライアントIDによりトークンを生成する。
【0043】
ここで、グループ毎にアプリケーションサーバを利用可能にしたい場合は、VPNIDに対応づけられたトークンを生成し、ユーザ(クライアント)毎にアプリケーションサーバを利用できるようにしたい場合は、クライアントIDに対応づけられたトークンを生成し、アプリケーションサーバへのアクセスを制御する。
【0044】
ここで、一度生成したトークンはキャッシュしておき、同一クライアントからのリクエストを転送する際に利用する。ただしキャッシュしたトークンを利用する際はトンネル情報管理テーブル22を参照し、トークン生成時の当該クライアントの接続VPN(グループ)とトークン利用時の接続VPNが一致していることを確認する。一致していない場合は、新たにトークンを生成しなおす。
【0045】
図4(c)は、コネクションマッピングテーブル26の一例を示す図である。コネクションマッピングテーブル26は、VPN側コネクション情報として、コネクションIDを有し、インターネット側コネクション情報として送信元のアドレス、送信先のアドレスを有している。
【0046】
次に、本実施例のサービス提供システムにおいて、クライアントからアプリケーションサーバへのリクエスト処理の一例について説明する。図5は、本実施例にかかるサービス提供システムを示すシーケンス図である。ここでは、クライアント3aがアプリケーションサーバ5にアクセスするまでの動作について説明する。
【0047】
図5に示すように、VPNゲートウェイ4は、VPN情報管理サーバにログインし、トンネル情報取得要求を行う(ステップS1)。VPN情報管理サーバ2は、トンネル情報をVPNゲートウェイ4に通知する(ステップS2)。VPNゲートウェイ4は以上のステップを定期的に実行し、トンネル情報管理テーブル22を更新している。
【0048】
次に、クライアント3aがアプリケーションサーバ5にリクエストを要求する動作について説明する。先ず、クライアント3aは、VPN情報管理サーバ2に対し、ID及びパスワードを入力してログイン要求をする(ステップS11)。VPN情報管理サーバ2は、認証処理をし(ステップS12)。VPN認証結果をクライアント3aに通知する(ステップS13)。これにより、クライアント3aは、VPNゲートウェイ4にトンネル接続する。
【0049】
次に、クライアント3aはアプリケーションサーバ5にアクセスするため、VPNゲートウェイ4に、アプリケーションサーバへの情報提示要求を行う(ステップS14)。ここで、本実施例においては、従来と異なり、ID及びパスワードの入力が必要ない。VPNゲートウェイ4は、この要求をアプリケーションサーバに送信する(ステップS15)。アプリケーションサーバ5は、これに対し、トークン提示要求をVPNゲートウェイ4に返す(ステップS16)。VPNゲートウェイ4は、上述したように、コネクションマッピングテーブル26にトークンがない場合は、VPN側コネクション情報−トンネル情報管理テーブル25及びトンネル情報管理テーブル22のトンネル情報に基づき、トークンを生成する(ステップS17)。そして、アプリケーションサーバへの情報提示要求を生成したトークンと共に送信する(ステップS18)。
【0050】
これを受けたアプリケーションサーバ5は、要求された情報を提示し(ステップS19)、この情報は、VPNゲートウェイ4を介してクライアント3aに送られる(ステップS20)。クライアント3aは、VPN情報管理サーバ2にログインするのみでアプリケーションサーバ5から情報提示を受けることができる。
【0051】
以上説明したように、本実施例においては、以下に記載するような効果を奏する。すなわち、シングルサインオンの実現によるユーザ利便性が向上する。VPNゲートウェイ4においてリクエスト受信に利用したトンネルによってリクエスト送信元クライアント(の所属するグループ)を識別し、識別結果に基づいてトークンを生成するため、クライアント3a、3bはVPNに接続するためのログインのみを行えばよく、トークンを発行してもらうためのログインは不要となる。
【0052】
また、VPNゲートウェイ4におけるリダイレクト終端によるアプリケーションサーバ5へのアクセス時間が短縮する。その要因は2つあり、これらの要因によってリダイレクトに要する時間が従来技術より短縮される。第1に、クライアント3a、3bではなく、アプリケーションサーバ5の近傍にあるVPNゲートウェイ4がハブとなってリダイレクトが行われるためである。第2に、リダイレクトはイントラネット上で行われ、VPNを経由しないためである。また、VPNゲートウェイ4自身がトークンの生成及び提示を行うことでリダイレクトの回数そのものが従来技術に比較して少なくなる。
【0053】
さらに、なりすましにより不正に利用を抑制することができる。アプリケーションサーバへのアクセスは以下の3つの条件を満たすユーザのみ受け付けることで不正利用を抑制できる。第1に、VPN情報管理サーバ2での許容設定がされたVPN(トンネル)経由でアクセスしてきたユーザであること、第2に、VPN情報管理サーバ2でアプリケーションサーバ5の利用可能設定がされたVPN(トンネル)経由でアクセスしてきたユーザであること、第3に、VPN情報管理サーバに認証されたユーザであることである。
【0054】
さらにまた、本実施例では暗号化プロトコルに制約されることなく(暗号化プロトコルの多様化)、適用及び応用範囲が広い。また、本実施例においては、VPN IDというパラメータをトンネル情報テーブルに追加することで、ユーザ単位のみならずグループ単位でのアプリケーションサーバへのアクセス制御を実現している。
【0055】
さらに、本実施例においては、VPNゲートウェイ4はリクエスト(サービス要求)の転送に利用したTCPコネクションによりアプリケーションサーバ5から認証確認を受け取るとともに、認証確認の受信に利用したTCPコネクション(すなわちサービス要求の転送に利用したTCPコネクション)をキーにしてトークンを生成する。このため、本実施例の場合、アプリケーションサーバ5は認証確認にTCPコネクション情報を含める必要はなく、アプリケーションサーバ5は、例えばID-Federation等、標準化された認証確認方式によって認証確認を行うことが可能である。
【0056】
なお、上記の特許文献1においては、リモートアクセス認証結果で登録した情報を認証確認でどのように確認するか、つまりどのような情報をキーとするかが明示されていない。サービスサーバがサービス要求の受信に利用したTCPコネクション(IPアドレスやポート番号)の情報をキーとして認証確認を行う方式も考えられるが(認証確認にTCPコネクション情報を含めて認証確認サーバへ送信)、このような方式は標準化されていないため、独自拡張を行ったサービスサーバしか特許文献1の方式を利用することができない。
【0057】
なお、本発明は上述した実施例のみに限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能であることは勿論である。
【0058】
例えば、上述の実施例では、ハードウェアの構成として説明したが、これに限定されるものではなく、任意の処理を、CPU(Central Processing Unit)にコンピュータプログラムを実行させることにより実現することも可能である。この場合、コンピュータプログラムは、記録媒体に記録して提供することも可能であり、また、インターネットその他の伝送媒体を介して伝送することにより提供することも可能である。
【図面の簡単な説明】
【0059】
【図1】本発明の実施例にかかるサービス提供システムを示す模式図である。
【図2】本発明の実施例にかかるサービス提供システムの詳細を示す模式図である。
【図3】本発明の実施例にかかるサービス提供システムにおけるVPNゲートウェイの機能を示すブロック図である。
【図4】(a)乃至(c)は、それぞれ本発明の実施例にかかるサービス提供システムにおけるVPNゲートウェイが有するトンネル情報管理テーブル、VPN側コネクション情報−トンネル情報管理テーブル、コネクションマッピングテーブルを示す図である。
【図5】本実施例にかかるサービス提供システムを示すシーケンス図である。
【図6】従来のサービス提供システムのシーケンス図である。
【符号の説明】
【0060】
1 管理ユーザ
2 情報管理サーバ
3a、3b クライアント
4 ゲートウェイ
5 アプリケーションサーバ
11a、11b トンネル
21 トンネル接続情報取得部
22 トンネル情報管理テーブル
23 VPN終端部
24 トンネル情報マッピング部
25 VPN側コネクション情報−トンネル情報管理テーブル
26 コネクションマッピングテーブル
27 WebProxy部
28 トークン生成部
【特許請求の範囲】
【請求項1】
クライアントが利用するアプリケーションサーバと前記クライアントとの間を中継するゲートウェイであって、
前記クライアントからの前記アプリケーションサーバへのリクエストを受けて前記アプリケーションサーバにアクセス要求する通信部と、
前記クライアントとの接続を管理する情報管理サーバから受け取ったトンネル接続情報に基づきトークンを生成するトークン生成部とを有し、
前記通信部は、前記リクエストを前記トークン生成部が生成した前記トークンと共に前記アプリケーションサーバに送信し、当該アプリケーションサーバからの応答を前記クライアントに送信するゲートウェイ。
【請求項2】
前記クライアントとの接続を管理する情報管理サーバにアクセスして、前記クライアントのトンネル情報を取得し第1の管理テーブルに登録するトンネル情報取得部と、
前記クライアントのアドレスとトンネルを識別するトンネルIDとを対応づけて第2の管理テーブルに登録する登録部とを有し、
前記トークン生成部は、前記第1の管理テーブル及び第2の管理テーブルを参照し、前記トークンを生成する
ことを特徴とする請求項1記載のゲートウェイ。
【請求項3】
前記第2管理情報は、前記クライアントのアドレスと前記トンネルIDに対応づけられるコネクションIDを有し、
前記トークン生成部は、前記コネクションIDとアプリケーションサーバのアドレスとを対応づけて第3の管理テーブルに登録する
ことを特徴とする請求項2記載のゲートウェイ。
【請求項4】
前記トークン生成部は、前記コネクションIDを使用し前記第2の管理テーブルからトンネルIDを取得し、前記トンネル識別情報を使用して前記第1の管理テーブルからクライアントIDを取得し、当該クライアントIDに基づき前記トークンを生成する
ことを特徴とする請求項3記載のゲートウェイ。
【請求項5】
前記第1管理テーブルは、VPNグループ毎に付与されるVPNIDを有し、
前記トークン生成部は、前記VPNIDに対応づけられたトークンを生成する
ことを特徴とする請求項2乃至4のいずれか1項記載のゲートウェイ。
【請求項6】
前記トークン生成部は、前記第3の管理テーブルに、生成した前記トークンを登録する
ことを特徴とする請求項3乃至5のいずれか1項記載のゲートウェイ。
【請求項7】
クライアントが利用するアプリケーションサーバと前記クライアントとの間を中継する中継方法であって、
前記クライアントからの前記アプリケーションサーバへのリクエストを受けて前記アプリケーションサーバにアクセス要求し、
前記クライアントとの接続を管理する情報管理サーバから受け取ったトンネル接続情報に基づきトークンを生成するトークン生成し、
前記リクエストを生成した前記トークンと共に前記アプリケーションサーバに送信し、当該アプリケーションサーバからの応答を前記クライアントに送信する中継方法。
【請求項8】
前記クライアントとの接続を管理する情報管理サーバにアクセスして、前記クライアントのトンネル情報を取得し第1の管理テーブルに登録し、
前記クライアントのアドレスとトンネルを識別するトンネルIDとを対応づけて第2の管理テーブルに登録し、
前記第1の管理テーブル及び第2の管理テーブルを参照し、前記トークンを生成する
ことを特徴とする請求項7記載の中継方法。
【請求項9】
前記第2管理情報は、前記クライアントのアドレスと前記トンネルIDに対応づけられるコネクションIDを有し、
前記コネクションIDとアプリケーションサーバのアドレスとを対応づけて第3の管理テーブルに登録する
ことを特徴とする請求項8記載の中継方法。
【請求項10】
前記コネクションIDを使用し前記第2の管理テーブルからトンネルIDを取得し、
前記トンネル識別情報を使用して前記第1の管理テーブルからクライアントIDを取得し、
前記クライアントIDに基づき前記トークンを生成する
ことを特徴とする請求項9記載の中継方法。
【請求項11】
前記第1管理テーブルは、VPNグループ毎に付与されるVPNIDを有し、
前記VPNIDに対応づけられたトークンを生成する
ことを特徴とする請求項8乃至10のいずれか1項記載のゲートウェイ。
【請求項12】
前記第3の管理テーブルに、生成した前記トークンを登録する
ことを特徴とする請求項9又は11記載の中継方法。
【請求項13】
クライアントが利用するアプリケーションサーバと前記クライアントとの間を中継する動作をコンピュータに実行させるためのプログラムであって、
前記クライアントからの前記アプリケーションサーバへのリクエストを受けて前記アプリケーションサーバにアクセス要求し、
前記クライアントとの接続を管理する情報管理サーバから受け取ったトンネル接続情報に基づきトークンを生成するトークン生成し、
前記リクエストを生成した前記トークンと共に前記アプリケーションサーバに送信し、当該アプリケーションサーバからの応答を前記クライアントに送信するプログラム。
【請求項1】
クライアントが利用するアプリケーションサーバと前記クライアントとの間を中継するゲートウェイであって、
前記クライアントからの前記アプリケーションサーバへのリクエストを受けて前記アプリケーションサーバにアクセス要求する通信部と、
前記クライアントとの接続を管理する情報管理サーバから受け取ったトンネル接続情報に基づきトークンを生成するトークン生成部とを有し、
前記通信部は、前記リクエストを前記トークン生成部が生成した前記トークンと共に前記アプリケーションサーバに送信し、当該アプリケーションサーバからの応答を前記クライアントに送信するゲートウェイ。
【請求項2】
前記クライアントとの接続を管理する情報管理サーバにアクセスして、前記クライアントのトンネル情報を取得し第1の管理テーブルに登録するトンネル情報取得部と、
前記クライアントのアドレスとトンネルを識別するトンネルIDとを対応づけて第2の管理テーブルに登録する登録部とを有し、
前記トークン生成部は、前記第1の管理テーブル及び第2の管理テーブルを参照し、前記トークンを生成する
ことを特徴とする請求項1記載のゲートウェイ。
【請求項3】
前記第2管理情報は、前記クライアントのアドレスと前記トンネルIDに対応づけられるコネクションIDを有し、
前記トークン生成部は、前記コネクションIDとアプリケーションサーバのアドレスとを対応づけて第3の管理テーブルに登録する
ことを特徴とする請求項2記載のゲートウェイ。
【請求項4】
前記トークン生成部は、前記コネクションIDを使用し前記第2の管理テーブルからトンネルIDを取得し、前記トンネル識別情報を使用して前記第1の管理テーブルからクライアントIDを取得し、当該クライアントIDに基づき前記トークンを生成する
ことを特徴とする請求項3記載のゲートウェイ。
【請求項5】
前記第1管理テーブルは、VPNグループ毎に付与されるVPNIDを有し、
前記トークン生成部は、前記VPNIDに対応づけられたトークンを生成する
ことを特徴とする請求項2乃至4のいずれか1項記載のゲートウェイ。
【請求項6】
前記トークン生成部は、前記第3の管理テーブルに、生成した前記トークンを登録する
ことを特徴とする請求項3乃至5のいずれか1項記載のゲートウェイ。
【請求項7】
クライアントが利用するアプリケーションサーバと前記クライアントとの間を中継する中継方法であって、
前記クライアントからの前記アプリケーションサーバへのリクエストを受けて前記アプリケーションサーバにアクセス要求し、
前記クライアントとの接続を管理する情報管理サーバから受け取ったトンネル接続情報に基づきトークンを生成するトークン生成し、
前記リクエストを生成した前記トークンと共に前記アプリケーションサーバに送信し、当該アプリケーションサーバからの応答を前記クライアントに送信する中継方法。
【請求項8】
前記クライアントとの接続を管理する情報管理サーバにアクセスして、前記クライアントのトンネル情報を取得し第1の管理テーブルに登録し、
前記クライアントのアドレスとトンネルを識別するトンネルIDとを対応づけて第2の管理テーブルに登録し、
前記第1の管理テーブル及び第2の管理テーブルを参照し、前記トークンを生成する
ことを特徴とする請求項7記載の中継方法。
【請求項9】
前記第2管理情報は、前記クライアントのアドレスと前記トンネルIDに対応づけられるコネクションIDを有し、
前記コネクションIDとアプリケーションサーバのアドレスとを対応づけて第3の管理テーブルに登録する
ことを特徴とする請求項8記載の中継方法。
【請求項10】
前記コネクションIDを使用し前記第2の管理テーブルからトンネルIDを取得し、
前記トンネル識別情報を使用して前記第1の管理テーブルからクライアントIDを取得し、
前記クライアントIDに基づき前記トークンを生成する
ことを特徴とする請求項9記載の中継方法。
【請求項11】
前記第1管理テーブルは、VPNグループ毎に付与されるVPNIDを有し、
前記VPNIDに対応づけられたトークンを生成する
ことを特徴とする請求項8乃至10のいずれか1項記載のゲートウェイ。
【請求項12】
前記第3の管理テーブルに、生成した前記トークンを登録する
ことを特徴とする請求項9又は11記載の中継方法。
【請求項13】
クライアントが利用するアプリケーションサーバと前記クライアントとの間を中継する動作をコンピュータに実行させるためのプログラムであって、
前記クライアントからの前記アプリケーションサーバへのリクエストを受けて前記アプリケーションサーバにアクセス要求し、
前記クライアントとの接続を管理する情報管理サーバから受け取ったトンネル接続情報に基づきトークンを生成するトークン生成し、
前記リクエストを生成した前記トークンと共に前記アプリケーションサーバに送信し、当該アプリケーションサーバからの応答を前記クライアントに送信するプログラム。
【図3】
【図4】
【図5】
【図6】
【図1】
【図2】
【図4】
【図5】
【図6】
【図1】
【図2】
【公開番号】特開2009−163546(P2009−163546A)
【公開日】平成21年7月23日(2009.7.23)
【国際特許分類】
【出願番号】特願2008−1213(P2008−1213)
【出願日】平成20年1月8日(2008.1.8)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成21年7月23日(2009.7.23)
【国際特許分類】
【出願日】平成20年1月8日(2008.1.8)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]