プロキシ認証サーバ
【課題】 クライアントが特定のNTLM認証コードを有することを要求することなく、NTLM認証プロトコルを用いてクライアントがMicrosoft Windows Serverによる認証を受けることを可能にする技術を提供すること。
【解決手段】
本発明の一特徴は、コンピュータにより実現されるクライアントを認証する方法であって、プロキシ認証サーバが、クライアントからデジタル証明書リクエストを受け付けるステップと、前記プロキシ認証サーバが、前記デジタル証明書リクエストに応答して、認証局が常駐する特定のサーバと認証処理をやりとりするステップとを有する方法に関する。
【解決手段】
本発明の一特徴は、コンピュータにより実現されるクライアントを認証する方法であって、プロキシ認証サーバが、クライアントからデジタル証明書リクエストを受け付けるステップと、前記プロキシ認証サーバが、前記デジタル証明書リクエストに応答して、認証局が常駐する特定のサーバと認証処理をやりとりするステップとを有する方法に関する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティに関し、より詳細には、クライアントの代わりにMicrosoft Windows(登録商標) Serverによる認証を受けるプロキシ認証サーバを介して、クライアントがMicrosoft Windows Serverと間接的にやりとりすることを可能にするシステム及び技術に関する。
【背景技術】
【0002】
ネットワーク装置は、しばしばタスクを実行するため互いに通信する必要がある。例えば、クライアントは、サーバが提供するサービスにアクセスするため、ネットワークを介しサーバと通信する必要があるかもしれない。典型的には、サーバの所有者は、特定の認証されたクライアントしかサーバが提供するサービスにアクセスできないことを確保したい。
【0003】
認証されたクライアントであることを装うことによって、認証されていないクライアントはサーバが提供するサービスにアクセスすることを防ぐため、認証の仕組がときどき利用される。認証の仕組を通じて、クライアントはクライアントが真正であること、すなわち、クライアントが実際に表明する認証されたクライアントであることをサーバに証明することができる。1つのタイプの認証の仕組は、デジタル証明書の使用を伴う。クライアントは、サーバが信頼する認証局からクライアントが取得したデジタル証明書をサーバに提供する。クライアントは、それが実際に真正である場合に限って信頼された認証局からデジタル証明書を取得することができないため、サーバはクライアントの真正性の証明としてデジタル証明書を受け付ける。
【0004】
デジタル証明書は、証明書の発行日から指定された期間が経過すると期限切れとなる。クライアントのデジタル証明書が期限切れに設定される前に、クライアントは、デジタル証明書を当初発行した認証局とやりとりすることによって、デジタル証明書を更新することが要求される。しばしば、認証局はMicrosoft Windows(登録商標) Server上に常駐している。クライアントがこのような認証局とやりとり可能となる前に、クライアントは、NT LAN Manager(NTLM)認証プロトコルを用いてMicrosoft Windows Serverから認証を受ける必要がある。
【0005】
NTLM認証プロトコルには各種バージョンがあるが、すべてのバージョンが典型的には、クライアントとMicrosoft Windows Serverとの間のメッセージ交換を伴う。メッセージの1つ(“タイプ2”メッセージ)は、Microsoft Windows Serverからのランダムチャレンジを含む。クライアントは、このランダムチャレンジとクライアント及びMicrosoft Windows Serverにより共有されるある秘密(及び認証されていないエンティティには未知である)との両方に基づき、クライアントが生成したデータを含む他のメッセージ(“タイプ3”メッセージ)によって、上記メッセージに応答することが要求される。例えば、このデータを生成するため、クライアントは、共有されている秘密がキーとして用いられる合意されているハッシュ処理及び暗号化アルゴリズム(MD4/MD5ハッシュ処理及びDES暗号化)を利用して、ランダムチャレンジを暗号化するかもしれない。Microsoft Windows Serverはクライアントのメッセージを受信すると、共有されている秘密のキーを用いてメッセージデータからランダムチャレンジを再構成(解読などを介し)することを試みる。Microsoft Windows Serverがこれに成功することができる場合、このことは、クライアントが共有されている秘密のキーを所持し、このためクライアントが真正であるという証明となる。
【0006】
残念ながら、クライアントがNTLM認証プロトコルに参加可能となるためには、特定のNTLM認証コードがクライアントに搭載されている必要がある。このコードをクライアントに搭載することは、クライアントの複雑さを増大させ、クライアントの実現をより困難にする。さらには、このことが、クライアントを構成するコストを増大させることになる。また、クライアントに、この処理を追加するとエラーが生じやすくなる。
【発明の開示】
【発明が解決しようとする課題】
【0007】
本発明の課題は、上記問題点に鑑み、クライアントが特定のNTLM認証コードを有することを要求することなく、NTLM認証プロトコルを用いてクライアントがMicrosoft Windows Serverによる認証を受けることを可能にする技術を提供することである。
【課題を解決するための手段】
【0008】
上記課題を解決するため、本発明の一特徴は、コンピュータにより実現されるクライアントを認証する方法であって、プロキシ認証サーバが、クライアントからデジタル証明書リクエストを受け付けるステップと、前記プロキシ認証サーバが、前記デジタル証明書リクエストに応答して、認証局が常駐する特定のサーバと認証処理をやりとりするステップとを有する方法に関する。
【0009】
また、本発明の他の特徴は、1以上の命令シーケンスを有するコンピュータ可読媒体であって、1以上のプロセッサにより前記1以上の命令シーケンスが実行されると、プロキシ認証サーバが、クライアントからデジタル証明書リクエストを受け付けるステップと、前記プロキシ認証サーバが、前記デジタル証明書リクエストに応答して、認証局が常駐する特定のサーバと認証処理をやりとりするステップとを前記1以上のプロセッサに実行させるコンピュータ可読媒体に関する。
【0010】
さらに、本発明のさらなる他の特徴は、クライアントからデジタル証明書リクエストを受け付け、前記デジタル証明書リクエストの受け付けに応答して、認証局が常駐する特定のサーバと認証処理をやりとりするよう構成されるプロキシ認証サーバに関する。
【発明の効果】
【0011】
本発明によると、クライアントが特定のNTLM認証コードを有することを要求することなく、NTLM認証プロトコルを用いてクライアントがMicrosoft Windows(登録商標) Serverによる認証を受けることが可能になる。
【発明を実施するための最良の形態】
【0012】
以下の説明では、本発明の完全な理解を提供するため、説明のための多数の具体的詳細が与えられる。しかしながら、本発明はこれら具体的詳細なしに実現可能であることは明らかであろう。また、本発明を不必要に不明りょうにすることを回避するため、周知の構成及び装置はブロック図により示される。
【0013】
[概略]
クライアントがプロキシ認証サーバを介しMicrosoft Windows Serverとやりとりすることを可能にする技術及びシステムが開示される。本発明の一実施例では、NTLM認証プロトコルによりMicrosoft Windows Serverと直接的にやりとりする代わりに、クライアントはプロキシ認証サーバとやりとりする。クライアントは、NTLM認証プロトコルを意識する必要はない。プロキシ認証サーバが、クライアントの代わりにMicrosoft Windows Serverとやりとりし、Microsoft Windows Serverとの必要なすべてのNTLM認証プロトコルのやりとりを実行する。従って、プロキシ認証サーバがMicrosoft Windows Serverによる認証を受け、クライアントのエージェント(代理人)として動作する。クライアントはMicrosoft Windows Serverと直接的にはやりとりしないため、クライアントはMicrosoft Windows Serverによる認証を受ける必要がなく、その代わりに、プロキシ認証サーバがMicrosoft Windows Serverによる認証を受けた後、クライアントは認証されたプロキシ認証サーバを介しMicrosoft Windows Serverとクライアントとの処理を実行することが可能となる。プロキシ認証サーバは、ネットワーク上の複数のクライアントの代わり(エージェントとして)に動作可能であり、このため、各クライアントがMicrosoft Windows ServerとのNTLM認証プロトコルのやりとりを直接行うタスクから解放する。
【0014】
[プロキシ認証サーバの具体例]
図1は、プロキシ認証サーバがMicrosoft Windows Serverによる認証を受け、その後、クライアントの代わりにMicrosoft Windows Serverとやりとりする本発明の実施例によるシステムを示すブロック図である。システム100は、クライアント102、プロキシ認証サーバ104及びMicrosoft Windows Server106を有する。本発明の一実施例では、Microsoft Windows Server106は、Microsoft Windows Server2003である。システム100はMicrosoft Windows Server106を有しているが、本発明の他の実施例では、NTLM認証プロトコルを用いてクライアントを認証する任意のサーバがMicrosoft Windows Server106と置換されるかもしれない。本発明の他の実施例は、本例に図示された以上、以下又は異なるコンポーネントを有するかもしれない。
【0015】
クライアント102は、パーソナルコンピュータ、ラップトップコンピュータ、携帯電話、携帯情報端末、プリンタ、コピー機、多機能プリンタ(MFP)、カメラ、デジタルオーディオプレーヤー、家電機器、ネットワークハブ、ネットワークブリッジ、ネットワークルータ、モバイル装置又は他の何れかの電子装置であるかもしれない。あるいは、クライアント102は、上述された各装置の何れかで実行されるプログラムであるかもしれない。クライアント102は、デジタル証明書(新規の又は更新された)を取得しようとしている。このため、クライアント102はまた“証明書登録者”と呼ばれる。
【0016】
本発明の一実施例では、プロキシ認証サーバ104は、ここに記載される各処理を実行するプログラムである。プロキシ認証サーバ104は、クライアント102が常駐する同一装置上で実行されるかもしれない。あるいは、プロキシ認証サーバ104は、LAN(Local Area Network)、WAN(Wide Area Network)及び/又はインターネットなどの相互接続されたネットワーク系列を介しクライアント102と通信するかもしれない。クライアント102とプロキシ認証サーバ104は、IP(Internet Protocol)、TCP(Transmission Control Protocol)及びHTTP(Hypertext Transfer Protocol)などを介し互いに通信するかもしれない。本発明の一実施例では、プロキシ認証サーバ104は、LAN、WAN及び/又はインターネットなどのネットワークを介しMicrosoft Windows Serverと通信する。本発明の一実施例では、プロキシ認証サーバ104は、IP、TCP、HTTP及び/又は他のプロトコルを用いてMicrosoft Windows Server106と通信する。
【0017】
図1に示されるように、認証局108がMicrosoft Windows Server106上で実行される。認証局108は、デジタル証明書の登録及び更新リクエストを受け付ける。認証局108は、当該更新リクエストに対してデジタル証明書により応答する。例えば、認証局108は、クライアント102から更新リクエストを受け付ける。しかしながら、本発明の一実施例では、Microsoft Windows Server106は、認証局108に送信されるすべてのリクエストを傍受する。Microsoft Windows Server106は、当該リクエストの送信元のエンティティ(実体)がNTLM認証プロトコルを用いて認証されているか判断する。Microsoft Windows Server106は、エンティティが認証されていると判断した場合、認証局108が当該リクエストを受け取ることを許可する。
【0018】
あるいは、Microsoft Windows Server106は、エンティティが、まだ認証されていないと判断した場合、当該リクエストが認証局108に到達するのを禁止する。これらの状況の下、Microsoft Windows Server106は、リクエストの送信元のエンティティを認証する処理を開始する。この処理は、NTLM認証プロトコルに従う。NTLM認証プロトコルは、Eric Glass氏による“The NTLM Authentication Protocol and Security Support Provider”(2006)に記載されている。プロキシ認証サーバ104がクライアント102の代わりにMicrosoft Windows Server106による認証を受ける技術が、本明細書で説明される。この技術の結果として、クライアント102はNTLM認証プロトコルを意識する必要がなくなる。
【0019】
[証明書登録の代わりのNTLM認証の実行]
図2A及び2Bは、プロキシ認証サーバがMicrosoft Windows Serverから認証を受け、その後、クライアントの代わりにMicrosoft Windows Serverとやりとりする本発明の実施例による技術を示すフロー図である。他の実施例は、本例に図示された以上、以下又は異なるステップを有するかもしれない。
【0020】
まず図2Aを参照するに、ブロック202において、クライアント102は指定されたTCPポートを介し認証局108にアクセスリクエストを送信する。指定されたTCPポートは、クライアント102がこのようなリクエストを送信するであろうTCPポートと異なるTCPポートである。例えば、クライアント102が通常はこのようなリクエストをTCPポート80、すなわち、認証局108が当該リクエストを取得するTCPポートに送信する場合、クライアント102は、例えば、代わりにTCPポート8800にリクエストを送信するかもしれない。クライアント102がリクエストを送信する指定されたTCPポートは、プロキシ認証サーバ104が当該リクエストを取得するTCPポートである。通常のTCPポートの代わりにこのような指定されたTCPポートを介してリクエストを送信することにより、プロキシ認証サーバ104がリクエストのMicrosoft Windows Server106への到達前にリクエストを傍受することを可能にする。本発明の一実施例では、Microsoft Windows Server106のIPアドレスにリクエストを送信する代わりに、クライアント102はリクエストをプロキシ認証サーバ104のIPアドレスに送信する。
【0021】
ブロック204では、プロキシ認証サーバ104は、指定されたTCPポートを介しクライアント102が送信したリクエストを傍受する。
【0022】
ステップ206において、プロキシ認証サーバ104は、認証局108とMicrosoft Windows Server106とにリクエストを転送する。
【0023】
ステップ208において、Microsoft Windows Server106は、プロキシ認証サーバ104からアクセスリクエストを傍受する。ブロック210において、Microsoft Windows Server106は、プロキシ認証サーバ104がNTLM認証プロトコルを用いてまだ認証されていないと判断する。ブロック212において、Microsoft Windows Server106は、認証されていないアクセスを示すメッセージによってプロキシ認証サーバ104に応答することによりアクセスを拒絶する。
【0024】
ブロック214において、プロキシ認証サーバ104は、クライアント102の代わりにMicrosoft Windows Server106によるNTLM認証を開始する。そのとき、プロキシ認証サーバ104は、NTLM認証プロトコルによる“タイプ1”メッセージにおいて通常提案される交渉パラメータを有するメッセージをMicrosoft Windows Server106に送信する。本発明の一実施例では、プロキシ認証サーバ104は、プロキシ認証サーバ104がリクエストの送信元を記憶することを可能にするマッピングをメモリに維持し、これにより、プロキシ認証サーバ104は、認証局108からの認証後のメッセージを適切なエンティティ(このケースでは、クライアント102)に転送することができる。本発明の一実施例では、プロキシ認証サーバ104は、複数のクライアントの代わりにMicrosoft Windows Server106と同時にやりとりする。
【0025】
ブロック216において、Microsoft Windows Server106は、ランダムチャレンジを含むメッセージを送信することにより応答する。本発明の一実施例では、このメッセージはNTLM認証プロトコルによる“タイプ2”メッセージである。
【0026】
ブロック218において、プロキシ認証サーバ104は、このメッセージと、そのメッセージに含まれるランダムチャレンジ(ランダムに構成されて数値列)を受け付ける。本発明の一実施例では、プロキシ認証サーバ104は、すべての認証されたクライアントが知っているとMicrosoft Windows Server106が予想する共有された秘密(パスワードやキーなど)を有するよう構成され、これを知っている。本発明の一実施例では、プロキシ認証サーバ104がこの秘密を知っている責任があることを仮定しているため、クライアント102は、この共有されている秘密を知らないか、又はこの共有されている秘密を所有していない。ブロック220において、プロキシ認証サーバ104は、共有されている秘密とランダムチャレンジの両方に基づきデータを生成する。例えば、本発明の一実施例では、プロキシ認証サーバ104は、この秘密をハッシュ及び/又は暗号化キーとして用いて、合意されているハッシュ及び/又は暗号化アルゴリズムに従って、ランダムチャレンジをハッシュ処理及び/又は暗号化することによってデータを生成する。プロキシ認証サーバ104は、プロキシ認証サーバ104が生成したデータを含むメッセージをMicrosoft Windows Server106に送信する。本発明の一実施例では、このメッセージは、NTLM認証プロトコルによる“タイプ3”メッセージである。
【0027】
ブロック222において、Microsoft Windows Server106は、プロキシ認証サーバ104が生成したデータを含むメッセージを受け取る。図2Bを参照するに、ブロック224において、Microsoft Windows Server106は、プロキシ認証サーバ104がデータを生成するのに用いたものと同じ共有されている秘密を利用して、当該データからブロック216においてMicrosoft Windows Server106がプロキシ認証サーバ104に送信したオリジナルのランダムチャレンジを再構成する。オリジナルのランダムチャレンジを再構成することが可能であるという結果が得られると、Microsoft Windows Server106は、プロキシ認証サーバ104が共有されている秘密を知っており、プロキシ認証サーバ104が真正であることを知ることができる。これにより、プロキシ認証サーバ104が認証される。本発明の一実施例では、Microsoft Windows Server106は、プロキシ認証サーバ104が認証されているとみなされていることをプロキシ認証サーバ104に通知する通知をプロキシ認証サーバ104に送信する。
【0028】
この時点で、Microsoft Windows Server106はプロキシ認証サーバ104が認証されているとみなすため、Microsoft Windows Server106は、プロキシ認証サーバ104からのリクエストが認証局108に到達することを許可することとなる。ブロック226において、Microsoft Windows Server106は、プロキシ認証サーバ104を介しクライアント102にチャレンジパスワードメッセージを返す。
【0029】
ブロック228において、プロキシ認証サーバ104は、クライアント102にチャレンジパスワードテキストメッセージを返す。
【0030】
ブロック230において、クライアント102は、プロキシ認証サーバ104を介した認証局108に対するデジタル証明書のリクエストにチャレンジパスワードを含める。本発明の一実施例では、クライアント102は、プロキシ認証サーバ104を介しMicrosoft Windows Server106にデジタル証明書リクエストを送信する。
【0031】
ブロック232において、プロキシ認証サーバ104は、認証局108に証明書リクエストを転送する。
【0032】
ブロック234において、Microsoft Windows Server106は、当該リクエストを傍受し、それが認証局108に転送されることを許可する。
【0033】
ブロック236において、認証局108は、証明書リクエストを受信し、新たなデジタル証明書を生成し、それをプロキシ認証サーバ104に送信する。ブロック238において、プロキシ認証サーバ104は、デジタル証明書を受信し、それをクライアント102に転送する。最終的に、ブロック240において、クライアント102はデジタル証明書を受け取る。
【0034】
上述された技術の結果として、クライアント102は、Microsoft Windows Server106とのNTLM認証プロトコルのやりとりに参加することなく、新たなデジタル証明書を取得することができる。実際、クライアント102は、NTLM認証プロトコルを意識する必要はない。本発明の一実施例では、プロキシ認証サーバ104がMicrosoft Windows Server106により認証を受けた後、プロキシ認証サーバ104は、クライアント102からMicrosoft Windows Server106へのすべての通信を転送し、またMicrosoft Windows Server106からクライアント102へのすべての通信を転送する。
【0035】
[SSHを用いたプロキシ認証サーバとの接続]
本発明の一実施例では、各クライアントについて独立したプロキシ認証サーバを有する代わりに(同一コンピュータ上で実行されるなど)、複数のコンピュータ上の複数のクライアントのすべてが、クライアントが実行されるコンピュータとは分離され遠隔にあるコンピュータ上で実行される1つのプロキシ認証サーバと通信する。本発明のこのような実施例では、セキュリティのため、特定の既知の信頼されたクライアントしかプロキシ認証サーバのサービスを利用することができないことが望ましいかもしれない。
【0036】
従って、本発明の一実施例では、プロキシ認証サーバ104は、プロキシ認証サーバ104のサービスを利用することが許可されているクライアントのリストを記憶する。例えば、プロキシ認証サーバ104は、承認されているクライアントのIPアドレスのリストを記憶するかもしれない。本発明のこのような実施例では、プロキシ認証サーバ104がリストにないIPアドレスを有するクライアントからメッセージを受信した場合、プロキシ認証サーバ104は、当該クライアントの代わりに動作する(例えば、Microsoft Windows Server106と認証局108とやりとりするなど)ことを拒絶する。
【0037】
しかしながら、承認されているクライアントのリストは頻繁に時間の経過と共に変更されるため、当該リストを最新のものに維持及び管理することは、管理者にとって面倒なことであるかもしれない。従って、本発明の一実施例では、プロキシ認証サーバ104に承認されているクライアントのリストを維持する代わりに、プロキシ認証サーバ104は、すべてのクライアントがSSH(Secure Shell)プロトコルを利用してプロキシ認証サーバ104と通信することを要求する。SSHプロトコルは、2つのコンピュータの間でセキュアなチャネルを介しデータが通信されることを可能にするネットワークプロトコルである。暗号化は、データの秘匿性と完全性を提供する。SSHプロトコルは、公開鍵暗号化を利用して、リモートコンピュータを認証し、リモートコンピュータがユーザ又はクライアントを認証することを可能にする。承認されているクライアントしかSSHプロトコルを用いてプロキシ認証サーバ104と通信するのに要求される情報を有していないため、すべてのクライアントにSSHプロトコルを用いてプロキシ認証サーバ104と通信することを要求することは、プロキシ認証サーバ104と通信するすべてのクライアントが実際に承認されているクライアントであることを確実にする。SSHプロトコルは、IETF(Internet Engineering Task Force) RFC(Request For Comments)4251、IETF RFC4252、IETF RFC4253、IETF RFC4254、IETF RFC4255及びIETF RFC4256に記載されている。
【0038】
本発明の一実施例では、クライアント102は、クライアント102とプロキシ認証サーバ104との間にSSHチャネルを確立する。その後、クライアント102とプロキシ認証サーバ104との間のすべての通信は、暗号化されたSSHチャネルを介して行われる。本発明の一実施理では、パスワード及び/又はユーザ名などの秘密情報は、プロキシ認証サーバ104とクライアント102に記憶される。認証されていないエンティティは、この秘密情報を知らない。本発明のこのような実施例では、クライアント102は、SSHチャネルを確立するため、秘密情報を利用する。このため、秘密情報を所有しないエンティティは、プロキシ認証サーバ104とSSHチャネルを確立することができない。承認されている各クライアントは、同じ秘密情報を有するよう構成されてもよい。本発明の一実施例では、プロキシ認証サーバ104は、SSHチャネルを使用しない接続要求を拒絶する。
【0039】
例えば、クライアント102は、クライアント102上のTCPポート8800とプロキシ認証サーバ104上のTCPポート9900との間にセキュアな接続を確立するかもしれない。そのとき、クライアント102はクライアント102上のTCPポート8800を介しすべてのデジタル証明書リクエストを送信するかもしれない。この結果、デジタル証明書リクエストは、暗号化されたチャネルを介しプロキシ認証サーバ104に送信される。
【0040】
[実現機構]
ここに記載されたアプローチは、何れかのタイプの計算プラットフォーム又はアーキテクチャ上で実現されるかもしれない。図3は、本発明の実施例が実装可能なコンピュータシステム300を示す。コンピュータシステム300は、情報を通信するためのバス302又は他の通信機構と、バス302に接続され、情報を処理するプロセッサ304とを有する。コンピュータシステム300はまた、RAM(Random Access Memory)や他のダイナミック記憶装置など、バス302に接続され、プロセッサ304により実行される命令及び情報を格納するメインメモリ306を有する。メインメモリ306はまた、プロセッサ304により実行される命令の実行中に一時的な変数又は他の中間情報を格納するのに利用されるかもしれない。コンピュータシステム300はさらに、バス302に接続され、プロセッサ304のための静的な命令及び情報を格納するROM(Read Only Memory)308又は他のスタティック記憶装置を有する。磁気ディスクや光ディスクなどの記憶装置310が、情報及び命令を格納するため設けられ、バス302に接続される。
【0041】
コンピュータシステム300は、コンピュータユーザに情報を表示するため、CRT(Cathode Ray Tube)などのディスプレイ312にバス302を介し接続されるかもしれない。英数字及び他のキーを含む入力装置314が、情報及びコマンド選択をプロセッサ304に通信するため、バス302に接続される。他のタイプのユーザ入力装置は、方向情報及びコマンド選択をプロセッサ304に通信し、ディスプレイ312上のカーソルの動きを制御するマウス、トラックボール又はカーソル方向キーなどのカーソル制御316である。この入力装置は、典型的には、装置が平面におけるポジションを指定することを可能にする第1軸(xなど)と第2軸(yなど)の2つの軸に関する2つの自由度を有する。
【0042】
本発明は、ここに記載された技術を実現するコンピュータシステム300の利用に関する。本発明の一実施例によると、これらの技術は、プロセッサ304がメインメモリ306に含まれる1以上の命令の1以上のシーケンスを実行すると、コンピュータシステム300により実行される。このような命令は、記憶装置310などの他のマシーン可読媒体からメインメモリ306に読み込まれるかもしれない。メインメモリ306に含まれる命令シーケンスの実行は、プロセッサ304にここに記載される処理ステップを実行させる。他の実施例では、配線論理は、本発明の実現するためソフトウェアの代わりに又は組み合わせて利用されるかもしれない。従って、本発明の実施例は、ハードウェア回路及びソフトウェアの何れか特定の組み合わせに限定されるものでない。
【0043】
ここに使用される“マシーン可読媒体”という用語は、マシーンを特定の方法により実行させるデータを提供する何れかの媒体を表す。コンピュータシステム300を用いて実現される実施例では、各種マシーン可読媒体が、実行のためプロセッサ304に命令を提供することに関与する。このような媒体は、以下に限定されるものでないが、記憶媒体及び伝送媒体を含む多数の形態をとりうる。記憶媒体は、不揮発性媒体と揮発性媒体を含む。不揮発性媒体は、例えば、記憶装置310などの光ディスク又は磁気ディスクなどを含む。揮発性媒体は、メインメモリ306などのダイナミックメモリを含む。
【0044】
マシーン可読媒体の一般的な形態としては、例えば、フロッピー(登録商標)ディスク、フレキシブルディスク、ハードディスク、磁気テープ若しくは他の何れかの磁気媒体、CD−ROM若しくは他の何れかの光媒体、パンチカード、紙テープ若しくは穴のパターンを有した他の何れかの物理媒体、RAM、PROM、EPROM、FLASH−EPROM若しくは他の何れかのメモリチップ若しくはカートリッジ、後述されるような搬送波、又はコンピュータが読み込み可能な他の何れかの媒体などがあげられる。
【0045】
各種形式のマシーン可読媒体が、実行のためプロセッサ304に1以上の命令の1以上のシーケンスを搬送することに関与するかもしれない。例えば、命令はまずリモートコンピュータの磁気ディスクに搬送されるかもしれない。リモートコンピュータは、それのダイナミックメモリに命令をロードし、モデムを用いて電話線を介し命令を送信することができる。コンピュータシステム300のローカルのモデムは、電話線を介しデータを受信し、データを赤外線信号に変換するため、赤外線送信機を利用する。赤外線検出手段が、赤外線信号に搬送されるデータを受信し、適切な回路がバス302上にデータを配置することができる。バス302は、データをメインメモリ306に搬送し、そこからプロセッサ304は命令を抽出及び実行する。メインメモリ306により受信される命令は、任意的にプロセッサ304による実行前後に記憶装置310に格納されるかもしれない。
【0046】
コンピュータシステム300はまた、バス302に接続される通信インタフェース318を有する。通信インタフェース318は、ローカルネットワーク322に接続されるネットワークリンク320に接続される双方向データ通信を提供する。例えば、通信インタフェース318は、対応するタイプの電話線とのデータ通信接続を提供するISDN(Integrated Service Digital Network)カード又はモデムであるかもしれない。他の例として、通信インタフェース318は、互換性のあるLAN(Local Area Network)とのデータ通信接続を提供するためのLANネットワークであるかもしれない。無線リンクがまた実装されてもよい。このような実現形態では、通信インタフェース318は、各種タイプの情報を表すデジタルデータストリームを搬送する電気、電磁又は光信号を送受信する。
【0047】
ネットワークリンク320は、典型的には、1以上のネットワークを介し他のデータ装置とのデータ通信を提供する。例えば、ネットワークリンク320は、インターネットサービスプロバイダ(ISP)326により運営されるホストコンピュータ324又はデータ装置とのローカルネットワーク322を介した接続を提供するかもしれない。さらに、ISP326は、一般に“インターネット”328と呼ばれるワールドワイドパケットデータ通信ネットワークを介しデータ通信サービスを提供する。ローカルネットワーク322とインターネット328は共に、デジタルデータストリームを搬送する電気、電磁又は光信号を利用する。各種ネットワークを介した信号、ネットワークリンク320上の信号及びコンピュータシステムとの間でデジタルデータを搬送する通信インタフェース318を介した信号は、情報を伝送する搬送波の例示的な形態である。
【0048】
コンピュータシステム300は、ネットワーク、ネットワークリンク320及び通信インタフェース318を介しプログラムコードを含むデータ及びメッセージを送受信することが可能である。インターネットの例では、サーバ330がインターネット328、ISP326、ローカルネットワーク322及び通信インタフェース318を介しアプリケーションプログラムのリクエストされたコードを送信するかもしれない。
【0049】
受信したコードは、プロセッサ304により実行され、及び/又は以降の実行のため記憶装置310又は他の不揮発性ストレージに格納されるかもしれない。このようにして、コンピュータシステム300は、搬送波の形式によりアプリケーションコードを取得するかもしれない。
【0050】
本明細書では、本発明の実施例が実現形態毎に異なる多数の具体的詳細を参照して説明された。このため、本発明が如何なるものであるか、また出願人により本発明であると意図されるものの唯一の指標は、本出願により具体的に請求される各請求項と以降の補正を含む請求項である。このような請求項に含まれる用語について明示的に与えられる定義は、請求項に用いられる当該用語の意味を規定する。従って、請求項に明示的に記載されない限定、要素、性質、特徴、効果又は属性は、請求項の範囲を限定するものでない。明細書と図面は、限定的でなく例示的なものとしてみなされるべきである。
【図面の簡単な説明】
【0051】
【図1】図1は、プロキシ認証サーバがMicrosoft Windows Serverによる認証を受け、その後、クライアントの代わりにMicrosoft Windows Serverとやりとりする本発明の実施例によるシステムを示すブロック図である。
【図2A】図2Aは、プロキシ認証サーバがMicrosoft Windows Serverから認証を受け、その後、クライアントの代わりにMicrosoft Windows Serverとやりとりする本発明の実施例による技術を示すフロー図である。
【図2B】図2Bは、プロキシ認証サーバがMicrosoft Windows Serverから認証を受け、その後、クライアントの代わりにMicrosoft Windows Serverとやりとりする本発明の実施例による技術を示すフロー図である。
【図3】図3は、本発明の実施例が実装可能な装置を示すブロック図である。
【符号の説明】
【0052】
100 システム
102 クライアント
104 プロキシ認証サーバ
106 Microsoft Windows Server
300 コンピュータシステム
302 バス
304 プロセッサ
306 メインメモリ
【技術分野】
【0001】
本発明は、セキュリティに関し、より詳細には、クライアントの代わりにMicrosoft Windows(登録商標) Serverによる認証を受けるプロキシ認証サーバを介して、クライアントがMicrosoft Windows Serverと間接的にやりとりすることを可能にするシステム及び技術に関する。
【背景技術】
【0002】
ネットワーク装置は、しばしばタスクを実行するため互いに通信する必要がある。例えば、クライアントは、サーバが提供するサービスにアクセスするため、ネットワークを介しサーバと通信する必要があるかもしれない。典型的には、サーバの所有者は、特定の認証されたクライアントしかサーバが提供するサービスにアクセスできないことを確保したい。
【0003】
認証されたクライアントであることを装うことによって、認証されていないクライアントはサーバが提供するサービスにアクセスすることを防ぐため、認証の仕組がときどき利用される。認証の仕組を通じて、クライアントはクライアントが真正であること、すなわち、クライアントが実際に表明する認証されたクライアントであることをサーバに証明することができる。1つのタイプの認証の仕組は、デジタル証明書の使用を伴う。クライアントは、サーバが信頼する認証局からクライアントが取得したデジタル証明書をサーバに提供する。クライアントは、それが実際に真正である場合に限って信頼された認証局からデジタル証明書を取得することができないため、サーバはクライアントの真正性の証明としてデジタル証明書を受け付ける。
【0004】
デジタル証明書は、証明書の発行日から指定された期間が経過すると期限切れとなる。クライアントのデジタル証明書が期限切れに設定される前に、クライアントは、デジタル証明書を当初発行した認証局とやりとりすることによって、デジタル証明書を更新することが要求される。しばしば、認証局はMicrosoft Windows(登録商標) Server上に常駐している。クライアントがこのような認証局とやりとり可能となる前に、クライアントは、NT LAN Manager(NTLM)認証プロトコルを用いてMicrosoft Windows Serverから認証を受ける必要がある。
【0005】
NTLM認証プロトコルには各種バージョンがあるが、すべてのバージョンが典型的には、クライアントとMicrosoft Windows Serverとの間のメッセージ交換を伴う。メッセージの1つ(“タイプ2”メッセージ)は、Microsoft Windows Serverからのランダムチャレンジを含む。クライアントは、このランダムチャレンジとクライアント及びMicrosoft Windows Serverにより共有されるある秘密(及び認証されていないエンティティには未知である)との両方に基づき、クライアントが生成したデータを含む他のメッセージ(“タイプ3”メッセージ)によって、上記メッセージに応答することが要求される。例えば、このデータを生成するため、クライアントは、共有されている秘密がキーとして用いられる合意されているハッシュ処理及び暗号化アルゴリズム(MD4/MD5ハッシュ処理及びDES暗号化)を利用して、ランダムチャレンジを暗号化するかもしれない。Microsoft Windows Serverはクライアントのメッセージを受信すると、共有されている秘密のキーを用いてメッセージデータからランダムチャレンジを再構成(解読などを介し)することを試みる。Microsoft Windows Serverがこれに成功することができる場合、このことは、クライアントが共有されている秘密のキーを所持し、このためクライアントが真正であるという証明となる。
【0006】
残念ながら、クライアントがNTLM認証プロトコルに参加可能となるためには、特定のNTLM認証コードがクライアントに搭載されている必要がある。このコードをクライアントに搭載することは、クライアントの複雑さを増大させ、クライアントの実現をより困難にする。さらには、このことが、クライアントを構成するコストを増大させることになる。また、クライアントに、この処理を追加するとエラーが生じやすくなる。
【発明の開示】
【発明が解決しようとする課題】
【0007】
本発明の課題は、上記問題点に鑑み、クライアントが特定のNTLM認証コードを有することを要求することなく、NTLM認証プロトコルを用いてクライアントがMicrosoft Windows Serverによる認証を受けることを可能にする技術を提供することである。
【課題を解決するための手段】
【0008】
上記課題を解決するため、本発明の一特徴は、コンピュータにより実現されるクライアントを認証する方法であって、プロキシ認証サーバが、クライアントからデジタル証明書リクエストを受け付けるステップと、前記プロキシ認証サーバが、前記デジタル証明書リクエストに応答して、認証局が常駐する特定のサーバと認証処理をやりとりするステップとを有する方法に関する。
【0009】
また、本発明の他の特徴は、1以上の命令シーケンスを有するコンピュータ可読媒体であって、1以上のプロセッサにより前記1以上の命令シーケンスが実行されると、プロキシ認証サーバが、クライアントからデジタル証明書リクエストを受け付けるステップと、前記プロキシ認証サーバが、前記デジタル証明書リクエストに応答して、認証局が常駐する特定のサーバと認証処理をやりとりするステップとを前記1以上のプロセッサに実行させるコンピュータ可読媒体に関する。
【0010】
さらに、本発明のさらなる他の特徴は、クライアントからデジタル証明書リクエストを受け付け、前記デジタル証明書リクエストの受け付けに応答して、認証局が常駐する特定のサーバと認証処理をやりとりするよう構成されるプロキシ認証サーバに関する。
【発明の効果】
【0011】
本発明によると、クライアントが特定のNTLM認証コードを有することを要求することなく、NTLM認証プロトコルを用いてクライアントがMicrosoft Windows(登録商標) Serverによる認証を受けることが可能になる。
【発明を実施するための最良の形態】
【0012】
以下の説明では、本発明の完全な理解を提供するため、説明のための多数の具体的詳細が与えられる。しかしながら、本発明はこれら具体的詳細なしに実現可能であることは明らかであろう。また、本発明を不必要に不明りょうにすることを回避するため、周知の構成及び装置はブロック図により示される。
【0013】
[概略]
クライアントがプロキシ認証サーバを介しMicrosoft Windows Serverとやりとりすることを可能にする技術及びシステムが開示される。本発明の一実施例では、NTLM認証プロトコルによりMicrosoft Windows Serverと直接的にやりとりする代わりに、クライアントはプロキシ認証サーバとやりとりする。クライアントは、NTLM認証プロトコルを意識する必要はない。プロキシ認証サーバが、クライアントの代わりにMicrosoft Windows Serverとやりとりし、Microsoft Windows Serverとの必要なすべてのNTLM認証プロトコルのやりとりを実行する。従って、プロキシ認証サーバがMicrosoft Windows Serverによる認証を受け、クライアントのエージェント(代理人)として動作する。クライアントはMicrosoft Windows Serverと直接的にはやりとりしないため、クライアントはMicrosoft Windows Serverによる認証を受ける必要がなく、その代わりに、プロキシ認証サーバがMicrosoft Windows Serverによる認証を受けた後、クライアントは認証されたプロキシ認証サーバを介しMicrosoft Windows Serverとクライアントとの処理を実行することが可能となる。プロキシ認証サーバは、ネットワーク上の複数のクライアントの代わり(エージェントとして)に動作可能であり、このため、各クライアントがMicrosoft Windows ServerとのNTLM認証プロトコルのやりとりを直接行うタスクから解放する。
【0014】
[プロキシ認証サーバの具体例]
図1は、プロキシ認証サーバがMicrosoft Windows Serverによる認証を受け、その後、クライアントの代わりにMicrosoft Windows Serverとやりとりする本発明の実施例によるシステムを示すブロック図である。システム100は、クライアント102、プロキシ認証サーバ104及びMicrosoft Windows Server106を有する。本発明の一実施例では、Microsoft Windows Server106は、Microsoft Windows Server2003である。システム100はMicrosoft Windows Server106を有しているが、本発明の他の実施例では、NTLM認証プロトコルを用いてクライアントを認証する任意のサーバがMicrosoft Windows Server106と置換されるかもしれない。本発明の他の実施例は、本例に図示された以上、以下又は異なるコンポーネントを有するかもしれない。
【0015】
クライアント102は、パーソナルコンピュータ、ラップトップコンピュータ、携帯電話、携帯情報端末、プリンタ、コピー機、多機能プリンタ(MFP)、カメラ、デジタルオーディオプレーヤー、家電機器、ネットワークハブ、ネットワークブリッジ、ネットワークルータ、モバイル装置又は他の何れかの電子装置であるかもしれない。あるいは、クライアント102は、上述された各装置の何れかで実行されるプログラムであるかもしれない。クライアント102は、デジタル証明書(新規の又は更新された)を取得しようとしている。このため、クライアント102はまた“証明書登録者”と呼ばれる。
【0016】
本発明の一実施例では、プロキシ認証サーバ104は、ここに記載される各処理を実行するプログラムである。プロキシ認証サーバ104は、クライアント102が常駐する同一装置上で実行されるかもしれない。あるいは、プロキシ認証サーバ104は、LAN(Local Area Network)、WAN(Wide Area Network)及び/又はインターネットなどの相互接続されたネットワーク系列を介しクライアント102と通信するかもしれない。クライアント102とプロキシ認証サーバ104は、IP(Internet Protocol)、TCP(Transmission Control Protocol)及びHTTP(Hypertext Transfer Protocol)などを介し互いに通信するかもしれない。本発明の一実施例では、プロキシ認証サーバ104は、LAN、WAN及び/又はインターネットなどのネットワークを介しMicrosoft Windows Serverと通信する。本発明の一実施例では、プロキシ認証サーバ104は、IP、TCP、HTTP及び/又は他のプロトコルを用いてMicrosoft Windows Server106と通信する。
【0017】
図1に示されるように、認証局108がMicrosoft Windows Server106上で実行される。認証局108は、デジタル証明書の登録及び更新リクエストを受け付ける。認証局108は、当該更新リクエストに対してデジタル証明書により応答する。例えば、認証局108は、クライアント102から更新リクエストを受け付ける。しかしながら、本発明の一実施例では、Microsoft Windows Server106は、認証局108に送信されるすべてのリクエストを傍受する。Microsoft Windows Server106は、当該リクエストの送信元のエンティティ(実体)がNTLM認証プロトコルを用いて認証されているか判断する。Microsoft Windows Server106は、エンティティが認証されていると判断した場合、認証局108が当該リクエストを受け取ることを許可する。
【0018】
あるいは、Microsoft Windows Server106は、エンティティが、まだ認証されていないと判断した場合、当該リクエストが認証局108に到達するのを禁止する。これらの状況の下、Microsoft Windows Server106は、リクエストの送信元のエンティティを認証する処理を開始する。この処理は、NTLM認証プロトコルに従う。NTLM認証プロトコルは、Eric Glass氏による“The NTLM Authentication Protocol and Security Support Provider”(2006)に記載されている。プロキシ認証サーバ104がクライアント102の代わりにMicrosoft Windows Server106による認証を受ける技術が、本明細書で説明される。この技術の結果として、クライアント102はNTLM認証プロトコルを意識する必要がなくなる。
【0019】
[証明書登録の代わりのNTLM認証の実行]
図2A及び2Bは、プロキシ認証サーバがMicrosoft Windows Serverから認証を受け、その後、クライアントの代わりにMicrosoft Windows Serverとやりとりする本発明の実施例による技術を示すフロー図である。他の実施例は、本例に図示された以上、以下又は異なるステップを有するかもしれない。
【0020】
まず図2Aを参照するに、ブロック202において、クライアント102は指定されたTCPポートを介し認証局108にアクセスリクエストを送信する。指定されたTCPポートは、クライアント102がこのようなリクエストを送信するであろうTCPポートと異なるTCPポートである。例えば、クライアント102が通常はこのようなリクエストをTCPポート80、すなわち、認証局108が当該リクエストを取得するTCPポートに送信する場合、クライアント102は、例えば、代わりにTCPポート8800にリクエストを送信するかもしれない。クライアント102がリクエストを送信する指定されたTCPポートは、プロキシ認証サーバ104が当該リクエストを取得するTCPポートである。通常のTCPポートの代わりにこのような指定されたTCPポートを介してリクエストを送信することにより、プロキシ認証サーバ104がリクエストのMicrosoft Windows Server106への到達前にリクエストを傍受することを可能にする。本発明の一実施例では、Microsoft Windows Server106のIPアドレスにリクエストを送信する代わりに、クライアント102はリクエストをプロキシ認証サーバ104のIPアドレスに送信する。
【0021】
ブロック204では、プロキシ認証サーバ104は、指定されたTCPポートを介しクライアント102が送信したリクエストを傍受する。
【0022】
ステップ206において、プロキシ認証サーバ104は、認証局108とMicrosoft Windows Server106とにリクエストを転送する。
【0023】
ステップ208において、Microsoft Windows Server106は、プロキシ認証サーバ104からアクセスリクエストを傍受する。ブロック210において、Microsoft Windows Server106は、プロキシ認証サーバ104がNTLM認証プロトコルを用いてまだ認証されていないと判断する。ブロック212において、Microsoft Windows Server106は、認証されていないアクセスを示すメッセージによってプロキシ認証サーバ104に応答することによりアクセスを拒絶する。
【0024】
ブロック214において、プロキシ認証サーバ104は、クライアント102の代わりにMicrosoft Windows Server106によるNTLM認証を開始する。そのとき、プロキシ認証サーバ104は、NTLM認証プロトコルによる“タイプ1”メッセージにおいて通常提案される交渉パラメータを有するメッセージをMicrosoft Windows Server106に送信する。本発明の一実施例では、プロキシ認証サーバ104は、プロキシ認証サーバ104がリクエストの送信元を記憶することを可能にするマッピングをメモリに維持し、これにより、プロキシ認証サーバ104は、認証局108からの認証後のメッセージを適切なエンティティ(このケースでは、クライアント102)に転送することができる。本発明の一実施例では、プロキシ認証サーバ104は、複数のクライアントの代わりにMicrosoft Windows Server106と同時にやりとりする。
【0025】
ブロック216において、Microsoft Windows Server106は、ランダムチャレンジを含むメッセージを送信することにより応答する。本発明の一実施例では、このメッセージはNTLM認証プロトコルによる“タイプ2”メッセージである。
【0026】
ブロック218において、プロキシ認証サーバ104は、このメッセージと、そのメッセージに含まれるランダムチャレンジ(ランダムに構成されて数値列)を受け付ける。本発明の一実施例では、プロキシ認証サーバ104は、すべての認証されたクライアントが知っているとMicrosoft Windows Server106が予想する共有された秘密(パスワードやキーなど)を有するよう構成され、これを知っている。本発明の一実施例では、プロキシ認証サーバ104がこの秘密を知っている責任があることを仮定しているため、クライアント102は、この共有されている秘密を知らないか、又はこの共有されている秘密を所有していない。ブロック220において、プロキシ認証サーバ104は、共有されている秘密とランダムチャレンジの両方に基づきデータを生成する。例えば、本発明の一実施例では、プロキシ認証サーバ104は、この秘密をハッシュ及び/又は暗号化キーとして用いて、合意されているハッシュ及び/又は暗号化アルゴリズムに従って、ランダムチャレンジをハッシュ処理及び/又は暗号化することによってデータを生成する。プロキシ認証サーバ104は、プロキシ認証サーバ104が生成したデータを含むメッセージをMicrosoft Windows Server106に送信する。本発明の一実施例では、このメッセージは、NTLM認証プロトコルによる“タイプ3”メッセージである。
【0027】
ブロック222において、Microsoft Windows Server106は、プロキシ認証サーバ104が生成したデータを含むメッセージを受け取る。図2Bを参照するに、ブロック224において、Microsoft Windows Server106は、プロキシ認証サーバ104がデータを生成するのに用いたものと同じ共有されている秘密を利用して、当該データからブロック216においてMicrosoft Windows Server106がプロキシ認証サーバ104に送信したオリジナルのランダムチャレンジを再構成する。オリジナルのランダムチャレンジを再構成することが可能であるという結果が得られると、Microsoft Windows Server106は、プロキシ認証サーバ104が共有されている秘密を知っており、プロキシ認証サーバ104が真正であることを知ることができる。これにより、プロキシ認証サーバ104が認証される。本発明の一実施例では、Microsoft Windows Server106は、プロキシ認証サーバ104が認証されているとみなされていることをプロキシ認証サーバ104に通知する通知をプロキシ認証サーバ104に送信する。
【0028】
この時点で、Microsoft Windows Server106はプロキシ認証サーバ104が認証されているとみなすため、Microsoft Windows Server106は、プロキシ認証サーバ104からのリクエストが認証局108に到達することを許可することとなる。ブロック226において、Microsoft Windows Server106は、プロキシ認証サーバ104を介しクライアント102にチャレンジパスワードメッセージを返す。
【0029】
ブロック228において、プロキシ認証サーバ104は、クライアント102にチャレンジパスワードテキストメッセージを返す。
【0030】
ブロック230において、クライアント102は、プロキシ認証サーバ104を介した認証局108に対するデジタル証明書のリクエストにチャレンジパスワードを含める。本発明の一実施例では、クライアント102は、プロキシ認証サーバ104を介しMicrosoft Windows Server106にデジタル証明書リクエストを送信する。
【0031】
ブロック232において、プロキシ認証サーバ104は、認証局108に証明書リクエストを転送する。
【0032】
ブロック234において、Microsoft Windows Server106は、当該リクエストを傍受し、それが認証局108に転送されることを許可する。
【0033】
ブロック236において、認証局108は、証明書リクエストを受信し、新たなデジタル証明書を生成し、それをプロキシ認証サーバ104に送信する。ブロック238において、プロキシ認証サーバ104は、デジタル証明書を受信し、それをクライアント102に転送する。最終的に、ブロック240において、クライアント102はデジタル証明書を受け取る。
【0034】
上述された技術の結果として、クライアント102は、Microsoft Windows Server106とのNTLM認証プロトコルのやりとりに参加することなく、新たなデジタル証明書を取得することができる。実際、クライアント102は、NTLM認証プロトコルを意識する必要はない。本発明の一実施例では、プロキシ認証サーバ104がMicrosoft Windows Server106により認証を受けた後、プロキシ認証サーバ104は、クライアント102からMicrosoft Windows Server106へのすべての通信を転送し、またMicrosoft Windows Server106からクライアント102へのすべての通信を転送する。
【0035】
[SSHを用いたプロキシ認証サーバとの接続]
本発明の一実施例では、各クライアントについて独立したプロキシ認証サーバを有する代わりに(同一コンピュータ上で実行されるなど)、複数のコンピュータ上の複数のクライアントのすべてが、クライアントが実行されるコンピュータとは分離され遠隔にあるコンピュータ上で実行される1つのプロキシ認証サーバと通信する。本発明のこのような実施例では、セキュリティのため、特定の既知の信頼されたクライアントしかプロキシ認証サーバのサービスを利用することができないことが望ましいかもしれない。
【0036】
従って、本発明の一実施例では、プロキシ認証サーバ104は、プロキシ認証サーバ104のサービスを利用することが許可されているクライアントのリストを記憶する。例えば、プロキシ認証サーバ104は、承認されているクライアントのIPアドレスのリストを記憶するかもしれない。本発明のこのような実施例では、プロキシ認証サーバ104がリストにないIPアドレスを有するクライアントからメッセージを受信した場合、プロキシ認証サーバ104は、当該クライアントの代わりに動作する(例えば、Microsoft Windows Server106と認証局108とやりとりするなど)ことを拒絶する。
【0037】
しかしながら、承認されているクライアントのリストは頻繁に時間の経過と共に変更されるため、当該リストを最新のものに維持及び管理することは、管理者にとって面倒なことであるかもしれない。従って、本発明の一実施例では、プロキシ認証サーバ104に承認されているクライアントのリストを維持する代わりに、プロキシ認証サーバ104は、すべてのクライアントがSSH(Secure Shell)プロトコルを利用してプロキシ認証サーバ104と通信することを要求する。SSHプロトコルは、2つのコンピュータの間でセキュアなチャネルを介しデータが通信されることを可能にするネットワークプロトコルである。暗号化は、データの秘匿性と完全性を提供する。SSHプロトコルは、公開鍵暗号化を利用して、リモートコンピュータを認証し、リモートコンピュータがユーザ又はクライアントを認証することを可能にする。承認されているクライアントしかSSHプロトコルを用いてプロキシ認証サーバ104と通信するのに要求される情報を有していないため、すべてのクライアントにSSHプロトコルを用いてプロキシ認証サーバ104と通信することを要求することは、プロキシ認証サーバ104と通信するすべてのクライアントが実際に承認されているクライアントであることを確実にする。SSHプロトコルは、IETF(Internet Engineering Task Force) RFC(Request For Comments)4251、IETF RFC4252、IETF RFC4253、IETF RFC4254、IETF RFC4255及びIETF RFC4256に記載されている。
【0038】
本発明の一実施例では、クライアント102は、クライアント102とプロキシ認証サーバ104との間にSSHチャネルを確立する。その後、クライアント102とプロキシ認証サーバ104との間のすべての通信は、暗号化されたSSHチャネルを介して行われる。本発明の一実施理では、パスワード及び/又はユーザ名などの秘密情報は、プロキシ認証サーバ104とクライアント102に記憶される。認証されていないエンティティは、この秘密情報を知らない。本発明のこのような実施例では、クライアント102は、SSHチャネルを確立するため、秘密情報を利用する。このため、秘密情報を所有しないエンティティは、プロキシ認証サーバ104とSSHチャネルを確立することができない。承認されている各クライアントは、同じ秘密情報を有するよう構成されてもよい。本発明の一実施例では、プロキシ認証サーバ104は、SSHチャネルを使用しない接続要求を拒絶する。
【0039】
例えば、クライアント102は、クライアント102上のTCPポート8800とプロキシ認証サーバ104上のTCPポート9900との間にセキュアな接続を確立するかもしれない。そのとき、クライアント102はクライアント102上のTCPポート8800を介しすべてのデジタル証明書リクエストを送信するかもしれない。この結果、デジタル証明書リクエストは、暗号化されたチャネルを介しプロキシ認証サーバ104に送信される。
【0040】
[実現機構]
ここに記載されたアプローチは、何れかのタイプの計算プラットフォーム又はアーキテクチャ上で実現されるかもしれない。図3は、本発明の実施例が実装可能なコンピュータシステム300を示す。コンピュータシステム300は、情報を通信するためのバス302又は他の通信機構と、バス302に接続され、情報を処理するプロセッサ304とを有する。コンピュータシステム300はまた、RAM(Random Access Memory)や他のダイナミック記憶装置など、バス302に接続され、プロセッサ304により実行される命令及び情報を格納するメインメモリ306を有する。メインメモリ306はまた、プロセッサ304により実行される命令の実行中に一時的な変数又は他の中間情報を格納するのに利用されるかもしれない。コンピュータシステム300はさらに、バス302に接続され、プロセッサ304のための静的な命令及び情報を格納するROM(Read Only Memory)308又は他のスタティック記憶装置を有する。磁気ディスクや光ディスクなどの記憶装置310が、情報及び命令を格納するため設けられ、バス302に接続される。
【0041】
コンピュータシステム300は、コンピュータユーザに情報を表示するため、CRT(Cathode Ray Tube)などのディスプレイ312にバス302を介し接続されるかもしれない。英数字及び他のキーを含む入力装置314が、情報及びコマンド選択をプロセッサ304に通信するため、バス302に接続される。他のタイプのユーザ入力装置は、方向情報及びコマンド選択をプロセッサ304に通信し、ディスプレイ312上のカーソルの動きを制御するマウス、トラックボール又はカーソル方向キーなどのカーソル制御316である。この入力装置は、典型的には、装置が平面におけるポジションを指定することを可能にする第1軸(xなど)と第2軸(yなど)の2つの軸に関する2つの自由度を有する。
【0042】
本発明は、ここに記載された技術を実現するコンピュータシステム300の利用に関する。本発明の一実施例によると、これらの技術は、プロセッサ304がメインメモリ306に含まれる1以上の命令の1以上のシーケンスを実行すると、コンピュータシステム300により実行される。このような命令は、記憶装置310などの他のマシーン可読媒体からメインメモリ306に読み込まれるかもしれない。メインメモリ306に含まれる命令シーケンスの実行は、プロセッサ304にここに記載される処理ステップを実行させる。他の実施例では、配線論理は、本発明の実現するためソフトウェアの代わりに又は組み合わせて利用されるかもしれない。従って、本発明の実施例は、ハードウェア回路及びソフトウェアの何れか特定の組み合わせに限定されるものでない。
【0043】
ここに使用される“マシーン可読媒体”という用語は、マシーンを特定の方法により実行させるデータを提供する何れかの媒体を表す。コンピュータシステム300を用いて実現される実施例では、各種マシーン可読媒体が、実行のためプロセッサ304に命令を提供することに関与する。このような媒体は、以下に限定されるものでないが、記憶媒体及び伝送媒体を含む多数の形態をとりうる。記憶媒体は、不揮発性媒体と揮発性媒体を含む。不揮発性媒体は、例えば、記憶装置310などの光ディスク又は磁気ディスクなどを含む。揮発性媒体は、メインメモリ306などのダイナミックメモリを含む。
【0044】
マシーン可読媒体の一般的な形態としては、例えば、フロッピー(登録商標)ディスク、フレキシブルディスク、ハードディスク、磁気テープ若しくは他の何れかの磁気媒体、CD−ROM若しくは他の何れかの光媒体、パンチカード、紙テープ若しくは穴のパターンを有した他の何れかの物理媒体、RAM、PROM、EPROM、FLASH−EPROM若しくは他の何れかのメモリチップ若しくはカートリッジ、後述されるような搬送波、又はコンピュータが読み込み可能な他の何れかの媒体などがあげられる。
【0045】
各種形式のマシーン可読媒体が、実行のためプロセッサ304に1以上の命令の1以上のシーケンスを搬送することに関与するかもしれない。例えば、命令はまずリモートコンピュータの磁気ディスクに搬送されるかもしれない。リモートコンピュータは、それのダイナミックメモリに命令をロードし、モデムを用いて電話線を介し命令を送信することができる。コンピュータシステム300のローカルのモデムは、電話線を介しデータを受信し、データを赤外線信号に変換するため、赤外線送信機を利用する。赤外線検出手段が、赤外線信号に搬送されるデータを受信し、適切な回路がバス302上にデータを配置することができる。バス302は、データをメインメモリ306に搬送し、そこからプロセッサ304は命令を抽出及び実行する。メインメモリ306により受信される命令は、任意的にプロセッサ304による実行前後に記憶装置310に格納されるかもしれない。
【0046】
コンピュータシステム300はまた、バス302に接続される通信インタフェース318を有する。通信インタフェース318は、ローカルネットワーク322に接続されるネットワークリンク320に接続される双方向データ通信を提供する。例えば、通信インタフェース318は、対応するタイプの電話線とのデータ通信接続を提供するISDN(Integrated Service Digital Network)カード又はモデムであるかもしれない。他の例として、通信インタフェース318は、互換性のあるLAN(Local Area Network)とのデータ通信接続を提供するためのLANネットワークであるかもしれない。無線リンクがまた実装されてもよい。このような実現形態では、通信インタフェース318は、各種タイプの情報を表すデジタルデータストリームを搬送する電気、電磁又は光信号を送受信する。
【0047】
ネットワークリンク320は、典型的には、1以上のネットワークを介し他のデータ装置とのデータ通信を提供する。例えば、ネットワークリンク320は、インターネットサービスプロバイダ(ISP)326により運営されるホストコンピュータ324又はデータ装置とのローカルネットワーク322を介した接続を提供するかもしれない。さらに、ISP326は、一般に“インターネット”328と呼ばれるワールドワイドパケットデータ通信ネットワークを介しデータ通信サービスを提供する。ローカルネットワーク322とインターネット328は共に、デジタルデータストリームを搬送する電気、電磁又は光信号を利用する。各種ネットワークを介した信号、ネットワークリンク320上の信号及びコンピュータシステムとの間でデジタルデータを搬送する通信インタフェース318を介した信号は、情報を伝送する搬送波の例示的な形態である。
【0048】
コンピュータシステム300は、ネットワーク、ネットワークリンク320及び通信インタフェース318を介しプログラムコードを含むデータ及びメッセージを送受信することが可能である。インターネットの例では、サーバ330がインターネット328、ISP326、ローカルネットワーク322及び通信インタフェース318を介しアプリケーションプログラムのリクエストされたコードを送信するかもしれない。
【0049】
受信したコードは、プロセッサ304により実行され、及び/又は以降の実行のため記憶装置310又は他の不揮発性ストレージに格納されるかもしれない。このようにして、コンピュータシステム300は、搬送波の形式によりアプリケーションコードを取得するかもしれない。
【0050】
本明細書では、本発明の実施例が実現形態毎に異なる多数の具体的詳細を参照して説明された。このため、本発明が如何なるものであるか、また出願人により本発明であると意図されるものの唯一の指標は、本出願により具体的に請求される各請求項と以降の補正を含む請求項である。このような請求項に含まれる用語について明示的に与えられる定義は、請求項に用いられる当該用語の意味を規定する。従って、請求項に明示的に記載されない限定、要素、性質、特徴、効果又は属性は、請求項の範囲を限定するものでない。明細書と図面は、限定的でなく例示的なものとしてみなされるべきである。
【図面の簡単な説明】
【0051】
【図1】図1は、プロキシ認証サーバがMicrosoft Windows Serverによる認証を受け、その後、クライアントの代わりにMicrosoft Windows Serverとやりとりする本発明の実施例によるシステムを示すブロック図である。
【図2A】図2Aは、プロキシ認証サーバがMicrosoft Windows Serverから認証を受け、その後、クライアントの代わりにMicrosoft Windows Serverとやりとりする本発明の実施例による技術を示すフロー図である。
【図2B】図2Bは、プロキシ認証サーバがMicrosoft Windows Serverから認証を受け、その後、クライアントの代わりにMicrosoft Windows Serverとやりとりする本発明の実施例による技術を示すフロー図である。
【図3】図3は、本発明の実施例が実装可能な装置を示すブロック図である。
【符号の説明】
【0052】
100 システム
102 クライアント
104 プロキシ認証サーバ
106 Microsoft Windows Server
300 コンピュータシステム
302 バス
304 プロセッサ
306 メインメモリ
【特許請求の範囲】
【請求項1】
コンピュータにより実現されるクライアントを認証する方法であって、
プロキシ認証サーバが、クライアントからデジタル証明書リクエストを受け付けるステップと、
前記プロキシ認証サーバが、前記デジタル証明書リクエストに応答して、認証局が常駐する特定のサーバと認証処理をやりとりするステップと、
を有する方法。
【請求項2】
前記デジタル証明書リクエストを受け付けるステップは、デジタル証明書リクエストが通常送信される標準的なポート以外のポートを介し前記クライアントが送信したデジタル証明書リクエストを受け付けることからなる、請求項1記載の方法。
【請求項3】
前記プロキシ認証サーバが、前記認証処理を介し前記特定のサーバによる認証を受けるステップと、
前記プロキシ認証サーバが、前記認証処理を介し前記特定のサーバによる認証を受けた後、前記デジタル証明書リクエストを前記認証局に送信するステップと、
前記認証局が前記デジタル証明書リクエストを受け付けると、前記プロキシ認証サーバが、前記認証局からデジタル証明書を受け付けるステップと、
前記プロキシ認証サーバが、前記デジタル証明書を前記クライアントに送信するステップと、
をさらに有する、請求項1記載の方法。
【請求項4】
前記プロキシ認証サーバが、前記クライアントとのSSHチャネルを確立するステップをさらに有し、
前記クライアントから前記デジタル証明書リクエストを受け付けるステップは、前記SSHチャネルを介し前記デジタル証明書リクエストを受け付けることからなる、請求項1記載の方法。
【請求項5】
1以上の命令シーケンスを有するコンピュータ可読媒体であって、1以上のプロセッサにより前記1以上の命令シーケンスが実行されると、
プロキシ認証サーバが、クライアントからデジタル証明書リクエストを受け付けるステップと、
前記プロキシ認証サーバが、前記デジタル証明書リクエストに応答して、認証局が常駐する特定のサーバと認証処理をやりとりし、前記クライアントが前記サーバによる認証処理に参加しないようにするステップと、
を前記1以上のプロセッサに実行させるコンピュータ可読媒体。
【請求項6】
クライアントからデジタル証明書リクエストを受け付け、
前記デジタル証明書リクエストの受け付けに応答して、認証局が常駐する特定のサーバと認証処理をやりとりする、
よう構成されるプロキシ認証サーバ。
【請求項7】
デジタル証明書リクエストが通常送信される標準的なポート以外のポートを介し前記クライアントが送信したデジタル証明書リクエストを受け付けるようさらに構成される、請求項6記載のプロキシ認証サーバ。
【請求項8】
前記認証処理を介し前記特定のサーバによる認証を受け、
前記認証処理を介し前記特定のサーバによる認証を受けた後、前記デジタル証明書リクエストを前記認証局に送信し、
前記認証局が前記デジタル証明書リクエストを受け付けると、前記認証局からデジタル証明書を受け付け、
前記デジタル証明書を前記クライアントに送信する、
ようさらに構成される、請求項6記載のプロキシ認証サーバ。
【請求項9】
前記クライアントとのSSHチャネルを確立し、
前記SSHチャネルを介し前記デジタル証明書リクエストを受け付ける、
ようさらに構成される、請求項6記載のプロキシ認証サーバ。
【請求項1】
コンピュータにより実現されるクライアントを認証する方法であって、
プロキシ認証サーバが、クライアントからデジタル証明書リクエストを受け付けるステップと、
前記プロキシ認証サーバが、前記デジタル証明書リクエストに応答して、認証局が常駐する特定のサーバと認証処理をやりとりするステップと、
を有する方法。
【請求項2】
前記デジタル証明書リクエストを受け付けるステップは、デジタル証明書リクエストが通常送信される標準的なポート以外のポートを介し前記クライアントが送信したデジタル証明書リクエストを受け付けることからなる、請求項1記載の方法。
【請求項3】
前記プロキシ認証サーバが、前記認証処理を介し前記特定のサーバによる認証を受けるステップと、
前記プロキシ認証サーバが、前記認証処理を介し前記特定のサーバによる認証を受けた後、前記デジタル証明書リクエストを前記認証局に送信するステップと、
前記認証局が前記デジタル証明書リクエストを受け付けると、前記プロキシ認証サーバが、前記認証局からデジタル証明書を受け付けるステップと、
前記プロキシ認証サーバが、前記デジタル証明書を前記クライアントに送信するステップと、
をさらに有する、請求項1記載の方法。
【請求項4】
前記プロキシ認証サーバが、前記クライアントとのSSHチャネルを確立するステップをさらに有し、
前記クライアントから前記デジタル証明書リクエストを受け付けるステップは、前記SSHチャネルを介し前記デジタル証明書リクエストを受け付けることからなる、請求項1記載の方法。
【請求項5】
1以上の命令シーケンスを有するコンピュータ可読媒体であって、1以上のプロセッサにより前記1以上の命令シーケンスが実行されると、
プロキシ認証サーバが、クライアントからデジタル証明書リクエストを受け付けるステップと、
前記プロキシ認証サーバが、前記デジタル証明書リクエストに応答して、認証局が常駐する特定のサーバと認証処理をやりとりし、前記クライアントが前記サーバによる認証処理に参加しないようにするステップと、
を前記1以上のプロセッサに実行させるコンピュータ可読媒体。
【請求項6】
クライアントからデジタル証明書リクエストを受け付け、
前記デジタル証明書リクエストの受け付けに応答して、認証局が常駐する特定のサーバと認証処理をやりとりする、
よう構成されるプロキシ認証サーバ。
【請求項7】
デジタル証明書リクエストが通常送信される標準的なポート以外のポートを介し前記クライアントが送信したデジタル証明書リクエストを受け付けるようさらに構成される、請求項6記載のプロキシ認証サーバ。
【請求項8】
前記認証処理を介し前記特定のサーバによる認証を受け、
前記認証処理を介し前記特定のサーバによる認証を受けた後、前記デジタル証明書リクエストを前記認証局に送信し、
前記認証局が前記デジタル証明書リクエストを受け付けると、前記認証局からデジタル証明書を受け付け、
前記デジタル証明書を前記クライアントに送信する、
ようさらに構成される、請求項6記載のプロキシ認証サーバ。
【請求項9】
前記クライアントとのSSHチャネルを確立し、
前記SSHチャネルを介し前記デジタル証明書リクエストを受け付ける、
ようさらに構成される、請求項6記載のプロキシ認証サーバ。
【図1】
【図2A】
【図2B】
【図3】
【図2A】
【図2B】
【図3】
【公開番号】特開2009−110522(P2009−110522A)
【公開日】平成21年5月21日(2009.5.21)
【国際特許分類】
【出願番号】特願2008−278617(P2008−278617)
【出願日】平成20年10月29日(2008.10.29)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成21年5月21日(2009.5.21)
【国際特許分類】
【出願日】平成20年10月29日(2008.10.29)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]