認証方法、変換装置、中継装置、及び該プログラム
【課題】認証情報生成時のサーバ装置への認証情報の設定処理量をサーバ装置数に非依存にする認証方法を提供する。
【解決手段】変換装置は第1接続先データ及び認証済ユーザの認証情報を含んだサービスデータを受信し、第1接続先データを特定する第2接続先データを生成した後、認証済ユーザの認証情報、第1及び第2接続先データを関係付けて中継装置へ送信し、第1接続先データを第2接続先データに置換した前記サービスデータをクライアントへ送信し、クライアントはユーザにより選択された第2接続先データを中継装置に送信し、中継装置はクライアントから送信された第2接続先データに対応する、認証情報及び第1接続先データに基づいて第1接続先データの示すサーバへ認証情報を送信し、サーバのアドレスをクライアントへ送信し、クライアントは、アドレスと認証情報を用いて、サーバと通信することにより、上記課題の解決を図る。
【解決手段】変換装置は第1接続先データ及び認証済ユーザの認証情報を含んだサービスデータを受信し、第1接続先データを特定する第2接続先データを生成した後、認証済ユーザの認証情報、第1及び第2接続先データを関係付けて中継装置へ送信し、第1接続先データを第2接続先データに置換した前記サービスデータをクライアントへ送信し、クライアントはユーザにより選択された第2接続先データを中継装置に送信し、中継装置はクライアントから送信された第2接続先データに対応する、認証情報及び第1接続先データに基づいて第1接続先データの示すサーバへ認証情報を送信し、サーバのアドレスをクライアントへ送信し、クライアントは、アドレスと認証情報を用いて、サーバと通信することにより、上記課題の解決を図る。
【発明の詳細な説明】
【技術分野】
【0001】
本明細書はクライアント−サーバ間のアクセス制御技術に関する。
【背景技術】
【0002】
近年、ネットワーク技術等の情報技術の発達に伴い、クライアントからサーバへのアクセス制御に関する技術も発達している。アクセス制御に関する技術として、例えば、次のログイン管理方法がある。この方法では、ユーザが認証のための情報を入力してネットワーク上の第1のサイトへログインする。そのログイン後、そのサイトからリンクを辿って第2のサイトへのログインを試みる。このとき、第1のサイトにて前記認証のための情報を第2のサイトへアクセスするためのアドレスに付加して当該アクセスに提供している。
【0003】
また、アクセス制御に関する技術として、例えば、次のDNS(Domain Name System)サーバがある。そのDNSサーバは、前記名前解決要求メッセージに含まれる情報に基づいて、名前解決要求メッセージに含まれない送信者であるユーザに関する属性情報を取得し、当該属性情報に基づいて前記名前解決を行なう。
【0004】
また、アクセス制御に関する技術として、例えば、次の技術がある。DNSサーバは、ホスト名に対応付けて、複数のIPアドレスと、個々のIPアドレスへのアクセスを許容するユーザ識別情報を記憶している。アドレス特定部は、その記憶された情報を参照して、ユーザの識別情報、ホスト名から、当該ユーザに対応付けられているIPアドレスを特定して、ユーザに回答する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2002−278931号公報
【特許文献2】特開2004−266568号公報
【特許文献3】特開2003−32281号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本実施形態では、認証情報生成時のサーバ装置への認証情報の設定処理量を削減し、認証情報の設定をサーバ装置数に非依存にする認証方法を提供する。
【課題を解決するための手段】
【0007】
本実施形態にかかる認証方法では、変換装置は、第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信する。前記変換装置は、前記第1接続先データを特定する第2接続先データを生成する。前記変換装置は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信する。前記中継装置は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて記憶装置に格納する。前記変換装置は、前記第1接続先データを前記第2接続先データに置換したサービスデータを前記認証済ユーザが操作するクライアント装置へ送信する。前記クライアント装置は、前記変換された前記サービスデータと前記ユーザの操作により選択された前記第2接続先データを前記中継装置に送信する。前記中継装置は、前記記憶部から、前記クライアント装置から送信された第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出する。前記中継装置は、前記抽出した第1接続先データの示すサーバ装置へ、前記抽出した認証情報を送信する。前記中継装置は、前記サーバ装置のアドレスを前記クライアント装置へ送信する。前記クライアント装置は、前記アドレスと前記認証情報を用いて、前記サーバ装置と通信する。
【0008】
また、本実施形態に係る変換装置は、受信部、生成部、及び送信部を備える。受信部は、第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信する。生成部は、前記第1接続先データを特定する第2接続先データを生成する。送信部は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信し、前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置へ送信する。
【0009】
また、本実施形態に係る中継装置は、受信部、記憶部、抽出部、及び送信部を備える。受信部は、変換装置から、認証済ユーザの認証情報、第1接続先データ、および第2接続先データを受信し、ユーザの操作により選択された第2接続先データを該ユーザが操作するクライアント装置から受信する。記憶部は、前記変換装置から受信した前記第2接続先データ、前記認証情報および前記第1接続先データを関係付けて記憶する。抽出部は、前記記憶部から、前記クライアント装置から受信した第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出する。送信部は、前記抽出した第1接続先データの示すサーバ装置へ前記抽出した認証情報を送信し、前記サーバ装置のアドレスを前記クライアント装置へ送信する。
【発明の効果】
【0010】
本実施形態によれば、認証情報生成時のサーバ装置への認証情報の設定処理量を削減し、認証情報の設定をサーバ装置数に非依存にすることができる。
【図面の簡単な説明】
【0011】
【図1】1つのサービスプロバイダ108のシステム内に閉じたアクセス制御システム101の一例を示す。
【図2】サービスプロバイダ108aがCDNサービスを利用する場合のアクセス制御システム101aを示す。
【図3】図2のアクセス制御システム101aの全体シーケンスの一例を示す。
【図4】アクセス制御システム20の構成例を示す。
【図5】アクセス制御システム20−1の構成例を示す。
【図6】マッピング機能40を有するゲートウェイ装置40−1の構成図である。
【図7】設定先選択機能30を有するゲートウェイ装置30−1の構成図である。
【図8】アクセス制御システム20−1の全体シーケンスの一例を示す。
【図9】コンテンツの一覧などのリソース提供のためのレスポンスメッセージを受信した場合のマッピング機能40の処理フローを示す。
【図10】ポータルサーバ7からクライアント2へ送信されるリソース提供のためのレスポンスメッセージ50の一例を示す。
【図11】ID格納箇所定義情報28の一例を示す。
【図12】書き換え箇所定義情報27の一例を示す。
【図13】ID−FQDN管理テーブル44の一例を示す。
【図14】設定先選択機能アドレスの一例を示す。
【図15】マッピング機能から設定先選択機能へ送信される通知メッセージの一例を示す。
【図16】マッピング機能40からの通知メッセージ60を受信した場合の設定先選択機能30の動作(S7〜S8)の詳細なフローチャートを示す。
【図17】ID−FQDNテーブル26の一例を示す。
【図18】FQDN変換テーブル25の一例を示す。
【図19】クライアント2からDNSサーバ12へのFQDNについての問い合わせメッセージを受信した場合の設定先選択機能30の動作(S10〜S15)の詳細なフローチャートを示す。
【図20】ID−アドレステーブル33の一例を示す。
【図21】設定先選択機能30からアクセスGW3へ送信される設定メッセージ61の一例を示す。
【図22】アクセス制御システム20−2の構成例を示す。
【図23】アクセス制御システム20−2の全体シーケンスの一例を示す。
【図24】認証サーバ6から認証済みIDとその有効期限についての通知メッセージ受信時のマッピング機能40aのフローチャートを示す。
【図25】認証サーバ6からマッピング機能40aへ送信される認証済みIDの有効期限を通知する通知メッセージ80の一例を示す。
【図26】ID−FQDN管理テーブル44aの一例を示す。
【図27】マッピング機能40aから設定先選択機能30へ送信される通知メッセージ60aの一例を示す。
【図28】ID−FQDNテーブル26aの一例を示す。
【図29】FQDN変換テーブル25aの一例を示す。
【図30】ID−アドレステーブル33aの一例を示す。
【図31】設定先選択機能30からアクセスGW3へ送信される設定メッセージ61aの一例を示す。
【図32】マッピング機能40,40aまたは設定先選択機能30を有するゲートウェイ装置の各部の機能を実現するコンピュータのハードウェア構成の一例を示す。
【発明を実施するための形態】
【0012】
以下では、クライアントが認証済みか否かに応じて、クライアントからサーバへのリクエストメッセージを中継または遮断するアクセス制御技術について説明する。
図1は、1つのサービスプロバイダ108のシステム内に閉じたアクセス制御システム101の一例を示す。アクセス制御システム101は、アクセスゲートウェイ(以降、「アクセスGW」と称する)103と設定機能105で構成される。図1では、サービスプロバイダ108は、さらに、コンテンツサーバA(104)、認証サーバ106、ポータルサーバ107を有する。
【0013】
アクセスGW103はクライアント102からサーバへのリクエストを受信する。そして、リクエストメッセージに正当な認証済みIDが格納されている場合、アクセスGW103はリクエストメッセージをサーバへ中継する。リクエストメッセージに正当な認証済みIDが格納されていない場合、アクセスGW103はリクエストを遮断する。ここで認証済みIDとは、認証サーバ106がクライアント102の認証処理を完了した際に、クライアント102に送信する任意の文字列であり、クライアント102の認証が完了していることを一定期間保証するものである。
【0014】
設定機能105はアクセスGW103に正当な認証済みIDを設定する役割を担い、認証サーバ106からの認証済みIDの通知を受け付ける。図1に示すような1つのサービスプロバイダ108のシステム内に閉じたアクセス制御システム101では、設定機能105は同一システムのアクセスGW103に認証済みIDを設定する。
【0015】
一方、近年、サービスをクライアントに迅速に提供することを目的に、サービスプロバイダがCDN(Contents Delivery Network)サービスを利用する形態が注目されている。CDNサービスにより、サービスのコンテンツを提供するサーバ(コンテンツサーバ)及びクライアントからコンテンツサーバまでのネットワーク負荷を分散することができる。これについて図2を用いて説明する。
【0016】
図2は、サービスプロバイダ108aがCDNサービスを利用する場合のアクセス制御システム101aを示す。サービスプロバイダ108aがCDNサービスを利用する場合、図2に示すようにコンテンツサーバ104はCDNのサービスプロバイダ111のシステムに置かれ、地理的に分散配置されることとなる。したがって、アクセス制御システム101aは、地理的に分散配置されたN個のサービスプロバイダ111のシステムと、1個のサービスプロバイダ108aのシステムから構成される。
【0017】
この時、クライアント102からコンテンツサーバ104へのリクエストをDNS(Domain Name System)サーバ112が振り分ける場合、設定機能105はクライアント102のアクセス先が分からない。具体的には、クライアント102がコンテンツサーバ104のFQDN(Fully Qualified Domain Name)の問い合わせをDNSサーバ112へ送信した場合が考えられる。このとき、DNSサーバ112が、クライアント102のIPアドレスやコンテンツの負荷の状況に応じて、複数存在するコンテンツサーバ104のIPアドレスの中から適切なものを選択して回答するものとする。このような場合、設定機能5はクライアント102のアクセス先が分からない。
【0018】
図2のアクセス制御システム101aでは、設定機能105はクライアント102のアクセス先が分からないため、すべてのアクセスGW103に認証済みIDを通知する必要がある。
【0019】
図3は、図2のアクセス制御システム101aの全体シーケンスの一例を示す。クライアント102は、ポータルサーバ107にリソース(コンテンツの一覧など)要求メッセージを送信する(S101)。初めてのリソース要求メッセージには認証済みIDが格納されていないため、ポータルサーバ107はクライアント102にリダイレクトを指示する(認証サーバ106にアクセスするよう指示する)レスポンスを送信する(S102)。レスポンスを受信したクライアント102は、認証サーバ106にリクエストを送信する。
【0020】
クライアント102が認証サーバ106にID・パスワード等を送信するなどして認証処理を行う。認証処理が完了すると、認証サーバ106は認証済みIDを生成する(S103)。
【0021】
認証サーバ106が生成した認証済みIDを設定機能105に通知すると、設定機能105は認証済みIDの設定を行う(S104)。この時点で設定機能105は、クライアント102がリクエストを送信するアクセスGW103を特定できないため、全てのアクセスGW103に認証済みIDの設定メッセージを送信して設定する。
【0022】
認証済みIDの設定メッセージを受信したアクセスGW103は、認証済みIDの設定が完了すると、Acknowledgementを設定機能105に返信する(S105)。設定機能105は、全てのアクセスGW103に認証済みIDの設定が完了したことを確認して、認証サーバ106に設定完了通知を行う。
【0023】
認証サーバ106は、設定が完了した認証済みIDをクライアント102に通知するとともに、ポータルサーバ107へリダイレクトを指示するレスポンスメッセージを送信する(S106)。メッセージを受信したクライアント102は、認証済みIDを格納したリクエストメッセージをポータルサーバ107へ送信する。
【0024】
認証済みIDが格納されたリクエストメッセージを受信した場合、ポータルサーバ107は、認証サーバ106に対して認証済みIDの正当性の確認を行う(S107)。
その認証済みIDが正当なものであった場合、ポータルサーバ107はクライアント102へコンテンツの一覧などのリソースを提供する(S108)。この時提供されるリソースは、HTML文書等であり、その中には各コンテンツの場所を表すURL(Uniform Resource Locator)が含まれる。URLの中には各コンテンツサーバ104のFQDNが含まれる。
【0025】
ユーザがコンテンツ一覧の中から閲覧したいコンテンツを選択すると、クライアント102は、コンテンツサーバ104の名前解決を行うために、DNSサーバ12へコンテンツサーバ104のFQDNの問い合わせメッセージを送信する(S109)。
【0026】
DNSサーバ112は、クライアント102の送信元IPアドレスやコンテンツサーバ104の負荷状況に基づき適切なコンテンツサーバ104を選択し、クライアント102に回答するIPアドレスを決める。その後、DNSサーバ112は、決定したIPアドレスを問い合わせの回答メッセージとして送信する(S110)。
【0027】
アクセスGW103は、コンテンツサーバ104へのリクエストを受信する必要があるため、コンテンツサーバ104を仮想化する。よって、クライアント102が送信するコンテンツサーバ104へのリクエストの宛先IPアドレスはアクセスGW103のIPアドレスである。また、DNSサーバ112が回答するコンテンツサーバ104のIPアドレスも、各コンテンツサーバ104を仮想化するアクセスGW103のIPアドレスである。
【0028】
クライアント102は、DNSサーバ112から回答として受信したIPアドレスを宛先IPアドレスとし、コンテンツのリソース要求メッセージをその宛先アドレスへ送信する(S111)。この時、クライアント102は認証済みIDをメッセージ内に格納する。
【0029】
アクセスGW103はコンテンツのリソース要求メッセージを受信する。すると、アクセスGW103は、要求メッセージ内の認証済みIDが既に設定済みの認証済みIDの一覧にあるかどうかを調査し、認証済みIDの正当性を確認する(S112)。認証済みIDが正当なものである場合、アクセスGW103は要求メッセージをコンテンツサーバ104へ転送する。
【0030】
コンテンツサーバ104はリソース要求メッセージに対するレスポンスメッセージをアクセスGW103へ返信する(S113)。
アクセスGW103はレスポンスメッセージをクライアント102へ転送する(S114)。
【0031】
上述のシーケンスにおいて、1つの認証済みIDが生成された時に要するアクセスGWへの認証済みIDの設定の処理量がアクセスGW103の数(分散配置されるコンテンツサーバ104の数)に比例して増大してしまう。すると、システム全体での性能を向上させるためにコンテンツサーバ104及びアクセスGW103の数を増加させる度に、アクセスGW103への認証済みID設定の処理量が増加することになり、十分なスケーラビリティが得られない。
【0032】
そこで本実施形態では、1つの認証済みID生成時のアクセスGWへの認証済みIDの設定処理量を削減し、認証済みIDの設定をアクセスGW数に非依存にすることで、高いスケーラビリティを得ることができる。以下、本実施例のシステムについて説明する。
【0033】
本実施形態では、サービスの一覧を提供するようなポータルサーバがクライアントに通知するコンテンツサーバのFQDNを利用する。そして、設定機能が「認証サーバが認証済みIDを送信したクライアント」と「DNSサーバがIPアドレスを回答したクライアント」を対応づける。これにより、設定先のアクセスGWを1つに減らすことを可能とする。
【0034】
図4は、本実施形態におけるアクセス制御システム20の構成例を示す。設定機能21は、FQDN−アドレス対応付け部22−1、FQDN変換部22−2、FQDN生成部24−1、及び格納部(不図示)を備える。格納部には、FQDN変換テーブル25、ID−FQDNテーブル26、書き換え箇所定義情報27、ID格納箇所定義情報28が格納されている。
【0035】
FQDN生成部24−1は、ポータルサーバ7がクライアント2に対して送信するメッセージ内のコンテンツサーバのFQDNを、認証済みID毎に書き換える。すなわち、FQDN生成部24−1は、そのメッセージからコンテンツサーバのFQDNを抽出し、認証済みID毎に、この抽出したFQDNを任意のFQDNへ変換する。そして、FQDN生成部24−1は、そのメッセージ内のオリジナルのFQDN(変換前FQDN)を、その変換したFQDN(変換後FQDN)へ書き換える。これにより、FQDN生成部24−1は、各クライアント2に通知するコンテンツサーバ7のFQDNをそれぞれ異なる値にすることができる。この時、FQDN生成部24−1は「変換前FQDN」と「変換後FQDN」とを対応づけた情報をFQDN変換テーブル25に記憶する。また、FQDN生成部24−1は、「変換後FQDN」と「認証済みID」とを対応付けた情報をID−FQDNテーブル26に記憶する。
【0036】
また、FQDN−アドレス対応付け部22−1は、各クライアント2がDNSサーバ12へ問い合わせたFQDNとDNSサーバ12が回答したIPアドレスとを対応付けて、「変換後FQDN」と「IPアドレス」とを対応付けた情報を作成する。
【0037】
よって、「変換後FQDN」と「認証済みID」の対応関係と、「変換後FQDN」と「IPアドレス」の対応関係とが得られる。この2つの対応関係から、「認証サーバ6が認証済みIDを送信したクライアント」と「DNSサーバ12がIPアドレスを回答したクライアント」を対応付けることができる。
【0038】
ここで、クライアント2がDNSサーバ12に問い合わせるFQDNは、変換後のFQDNである。そのため、その問い合わせ対象のFQDNは、DNSサーバ12には登録されておらず、そのまま問い合わせを行うことはできない。そのためFQDN変換部22−2ではFQDN変換テーブル25を用いて、クライアント2が送信するDNSサーバ12への問い合わせメッセージ内のFQDNを、変換後FQDNから変換前FQDNへと書き換える。
【0039】
本実施形態によれば、クライアント2から問い合せされたFQDNが「変換後FQDN」であれば、設定機能21は、そのクライアントが既に認証されたクライアントであることが分かる。したがって、認証済みIDが発行され、認証済みID毎にFQDNが書き換えられたメッセージをクライアントが受信した後にセッションが切れても、クライアントは再度認証を受けなくても、DNSサーバに対して、FQDNの問合せ要求を行うことができる。
【0040】
なお、図4において、矢印に対して「S」+「番号」の形式で付した符号は、図8において説明する処理を示す符号に対応するものである。以下では、本実施形態について詳述する。
【0041】
<第1の実施形態>
本実施形態では、例えば次のネットワーク構成下を例に説明する。すなわち、ポータルサーバ7と認証サーバ6が同一のシステム内に存在する。DNSサーバ12は別のシステムである。またコンテンツサーバ4およびコンテンツサーバ4へのアクセスを制御するアクセスGW3が複数のシステムに分散配置されている。
【0042】
図5は、本実施形態におけるアクセス制御システム20−1の構成例を示す。図5では、図4における設定機能21を、ID−FQDNマッピング機能(以下、マッピング機能という)40と設定先選択機能30に分けている。そして、それぞれの機能40,30をクライアント2−ポータルサーバ7間のメッセージを中継するゲートウェイと、クライアント−DNSサーバ間のメッセージを中継するゲートウェイに配備する場合について説明する。
【0043】
クライアント2は、ポータルサーバ7、DNSサーバ12、コンテンツサーバ4にリクエストを送信する一般的な情報処理装置である。
コンテンツサーバ4は、アクセスGW3によって仮想化される。そのため、クライアント2が送信するコンテンツサーバ4へのリクエストメッセージのIPアドレスは、アクセスGW3となる。
【0044】
ポータルサーバ7は、クライアント2のアプリケーションプログラムからのリクエストメッセージを受信し、レスポンスメッセージとしてコンテンツの一覧を示すデータ(ここではHTML文書であるとする)を返信する一般的なポータルサーバである。
【0045】
また、ポータルサーバ7は、認証済みIDを確認する機能を有する。すなわち、ポータルサーバ7は、リクエストメッセージに認証済みIDが格納されているかどうかを調査する。リクエストメッセージに認証済みIDが格納されていた場合、ポータルサーバ7は、認証済みIDを認証サーバ6に問い合わせて、認証済みIDの正当性を確認する。リクエストメッセージに認証済みIDが格納されていない場合、または認証済みIDが期限切れ等の理由で正当なものでない場合、ポータルサーバ7は、クライアント2に認証サーバ6へのリダイレクトを指示するレスポンスメッセージを送信する。
【0046】
認証サーバ6は、クライアント2からの認証要求を受付け、認証処理を行う一般的な認証サーバである。認証処理が正常に完了した場合、認証サーバ6は認証済みIDをクライアント2に送信する。
【0047】
DNSサーバ12は、クライアント2からFQDNについて問い合わせメッセージを受信し、その問い合わせされたFQDNに対応するIPアドレスを返信する。問い合わせ対象のFQDNがコンテンツサーバ4のFQDNの場合、DNSサーバ12は、問い合わせメッセージの送信元IPアドレスやコンテンツサーバの負荷状況に応じて適切なコンテンツサーバ4を選択する。それから、DNSサーバ12は、選択したコンテンツサーバ4を仮想化するアクセスGW3のIPアドレスを回答として返信する。
【0048】
アクセスGW3は、設定先選択機能30から、認証済みIDを設定するための設定メッセージを受付け、正当な認証済みIDのリストを保持する。アクセスGW3は、クライアント2からコンテンツサーバ4へのリクエストメッセージを受信し、リクエストメッセージ内の認証済みIDを調査する。リクエストメッセージに格納されている認証済みIDが正当な認証済みIDのリストに存在する場合、アクセスGW3は、リクエストメッセージをコンテンツサーバ4へ転送する。リクエストメッセージに認証済みIDが格納されていない場合、または格納されている認証済みIDが正当な認証済みIDのリストにない場合、アクセスGW3は、リクエストを遮断する。
【0049】
コンテンツサーバ4は、クライアント2からのリクエストメッセージを受信し、クライアント2にコンテンツを提供する一般的なコンテンツサーバである。
マッピング機能40は、本実施形態では、ポータルサーバ7のゲートウェイ装置において起動するプログラムである。なお、マッピング機能40を行うプログラムは、ポータルサーバ7において起動するものであってもよい。マッピング機能40は、FQDN生成部24、通知部41、ID−FQDN管理部42、格納部(不図示)を有している。格納部には、書き換え箇所定義情報27、ID格納箇所定義情報28、設定先選択機能アドレス情報43、ID−FQDN管理テーブル44が格納されている。なお、FQDN生成部24は、図4におけるFQDN生成部24−1に相当する。
【0050】
FQDN生成部24は、ポータルサーバ7がクライアント2へ送信するHTML文書内の、コンテンツサーバ4のFQDNを抽出し、この抽出したFQDNを認証済みID毎に任意のFQDNへ変換する。そして、FQDN生成部24は、HTML文書内のオリジナルのFQDN(変換前FQDN)をその変換したFQDN(変換後FQDN)へ書き換える。このとき、FQDN生成部24は、HTML文書内でのコンテンツサーバ7のFQDNが設定されている箇所を書き換え箇所定義情報27より取得する。また、FQDN生成部24は、メッセージ内において認証済みIDが設定されている箇所をID格納箇所定義情報28より取得する。
【0051】
ID−FQDN管理部42は、ID−FQDN管理テーブル44を用いて、認証済みIDと変換前FQDNおよび変換後FQDNの対応関係情報を管理する。
通知部41は、設定先選択機能アドレス情報43を用いて、認証済みID、変換前FQDN、変換後FQDNを設定先選択機能30のアドレスへ通知する。
【0052】
設定先選択機能30は、本実施形態では、DNSサーバ12のゲートウェイ装置において起動するプログラムである。なお、設定先選択機能30を行うプログラムは、DNSサーバ12において起動するものであってもよい。設定先選択機能30は、設定部31、設定制御部32、変換管理部22、通信受付部34、格納部(不図示)を有している。格納部には、ID−アドレステーブル33、ID−FQDNテーブル26、FQDN変換テーブル25が格納されている。なお、変換管理部22は、図4におけるFQDN書き戻し部22−2とFQDN−アドレス対応付け部22−1を統合したものに相当する。
【0053】
通知受付部34は、マッピング機能40より通知メッセージを受付ける。通知メッセージには、認証済みIDと変換前FQDNおよび変換後FQDNの組が含まれる。通知受付部34は、通知メッセージ受信後、ID−FQDNテーブル26に、認証済みIDと変換後FQDNの組を記憶する。また、通知受付部34は、FQDN変換テーブル25に、変換前FQDNと変換後FQDNの組を記憶する。
【0054】
変換管理部22は、クライアント2とDNSサーバ12間で受送信されるメッセージ内のFQDNの書き換えを行う。変換管理部22は、書き換えるFQDNをFQDN変換テーブル25から取得する。
【0055】
変換管理部22は、クライアント2からDNSサーバ12へ送信される問い合わせメッセージ内のFQDNが変換後FQDNである場合、そのメッセージ中の変換後FQDNを変換前FQDNへ書き換える。それから、変換管理部22は、その書き換え後のメッセージをDNSサーバ12へ転送する。
【0056】
変換前FQDNへ書き換えた後のメッセージに対してDNSサーバ12から回答メッセージがあった場合、変換管理部22は、その回答メッセージ中の変換前FQDNを変換後FQDNへ書き換える。変換管理部22は、FQDNを変換後FQDNへ書き換えたDNSサーバ12からの回答メッセージをクライアント2へ転送する。
【0057】
変換管理部22は、変換後FQDNと、そのときの回答メッセージに含まれるIPアドレスを対応付けて、設定制御部32にFQDNとIPアドレスの対応関係情報を通知する。
【0058】
設定制御部32は、ID−FQDNテーブル26の認証済みIDと変換後FQDNの対応関係と、変換管理部22より取得する変換後FQDNとIPアドレスの対応関係とに基づいて、認証済みIDとIPアドレスを対応付ける。設定制御部32は、その対応付けた認証済みIDとIPアドレスを設定部31へ通知する。
【0059】
それから、設定制御部32は、認証済みIDとIPアドレスの対応関係をID−アドレステーブル33に記憶する。クライアント2からの問い合わせに対してDNSサーバ12から回答メッセージがあった際、得られた認証済みIDとIPアドレスの組み合わせが既にID−アドレステーブル33にあるとする。この場合、設定制御部32は、その認証済みIDとIPアドレスの組み合わせについては、設定部31へは通知しない。
【0060】
設定部31は、設定制御部32からの通知に従い、認証済みIDをアクセスGW3に設定するための設定メッセージを、IPアドレスで指定されるアクセスGW3へ送信する。
【0061】
図6は、本実施形態におけるマッピング機能40を有するゲートウェイ装置40−1の構成図である。ゲートウェイ装置40−1は、例えばクライアント2−ポータルサーバ7間のメッセージを中継するゲートウェイ装置である。ゲートウェイ装置40−1は、受信部40−2、生成部40−3、送信部40−4を含む。
【0062】
受信部40−2は、ポータルサーバ7からクライアント2へのコンテンツの一覧などのリソース提供のためのメッセージを受信する。生成部40−3は、そのリソース提供のためのメッセージ内におけるコンテンツサーバ7のFQDNと認証済みIDとに基づいて、認証済みID毎に、そのFQDN(変換前FQDN)を特定できるFQDN(変換後FQDN)を生成する。生成部40−3は、そのメッセージ内における変換前FQDNを変換後FQDNに書き換える。受信部40−2及び生成部40−3による処理は、図8のS6〜S7の処理に相当する。
【0063】
送信部40−4は、認証済みIDと、変換前FQDNおよび変換後FQDNとの対応関係を、設定先選択機能30を有する、クライアント−DNSサーバ間のメッセージを中継するゲートウェイ30−1に通知する。この通知処理は、図8のS7の処理に相当する。
【0064】
また、送信部40−4は、生成部40−3にてFQDNの書き換えを行ったリソース提供のためのメッセージをクライアント2へ転送する。この転送処理は、図8のS9の処理に相当する。
【0065】
図7は、本実施形態における設定先選択機能30を有するゲートウェイ装置30−1の構成図である。ゲートウェイ装置30−1は、例えばクライアント−DNSサーバ間のメッセージを中継するゲートウェイ装置である。ゲートウェイ装置30−1は、受信部30−2、記憶部30−3、抽出部30−4、送信部3−5を含む。
【0066】
受信部30−2は、マッピング機能40を有するゲートウェイ30−1の送信部40−4から通知された、認証済みIDと、変換前FQDNおよび変換後FQDNとの対応関係情報を受信する。受信部30−2は、この受信した認証済みIDと、変換前FQDNおよび変換後FQDNとの対応関係情報を記憶部30−3に格納する。この受信処理は、図8のS7の処理に相当する。
【0067】
また、受信部30−2は、次の処理も行う。例えば、リソース提供のためのメッセージを受信したクライアント2において、ユーザがコンテンツ一覧の中から閲覧したいコンテンツを選択する。すると、コンテンツサーバ4の名前解決を行うために、クライアント2はDNSサーバ12へリソース提供のためのメッセージにおいて設定されていたFQDN(変換後FQDN)についての問い合わせメッセージを送信する。受信部30−2は、クライアント2からその変換後FQDNについての問い合わせメッセージを受信する。この受信処理は、図8のS10の処理に相当する。
【0068】
抽出部30−4は、記憶部30−3から、クライアント装置2から受信した問い合わせメッセージ中の変換後FQDNに対応する、認証済みIDと変換前FQDNとを抽出する。
【0069】
その後、ゲートウェイ30−1において、クライアント2からの問い合わせメッセージ内のFQDNが変換後FQDNである場合、そのメッセージ内における変換後FQDNが変換前FQDNへ書き換えられる。
【0070】
その後、ゲートウェイ30−1は、DNSサーバ12に問い合わせて、その変換前FQDNのIPアドレスを取得する。なお、ゲートウェイ30−1がDNSサーバ12も兼ねていてもよい。ゲートウェイ30−1は、認証済みIDとそのIPアドレスを対応付ける。
【0071】
送信部30−5は、アクセスGW3に認証済みIDを設定するための設定メッセージを、その認証済みIDと対応付けたIPアドレス(すなわち、アクセスGW3)へ送信する。この送信処理は、図8のS13の処理に相当する。
【0072】
その問い合わせメッセージに対するDNSサーバ12からの回答メッセージのFQDNは、変換前FQDNから変換後FQDNへ書き換えられる。送信部30−5は、FQDNを変換後FQDNへ変換したDNSサーバ12からの回答メッセージをクライアント2へ転送する。これらの処理は、図8のS11〜S13,S15の処理に相当する。
【0073】
図5〜図7で説明した内容について、図8を用いて詳述する。
図8は、本実施形態におけるアクセス制御システム20−1の全体シーケンスの一例を示す。クライアント2はポータルサーバ7にリソース(コンテンツの一覧など)要求メッセージを送信する(S1)。
【0074】
初めてのリソース要求メッセージには認証済みIDが格納されていないため、ポータルサーバ7は、クライアント2にリダイレクトを指示する(認証サーバにアクセスするよう指示する)レスポンスを送信する。そのリダイレクト指示のレスポンスを受信したクライアント2は、認証サーバ6にリクエストを送信する(S2)。
【0075】
クライアント2が認証サーバ6にID・パスワード等を送信するなどして認証処理を行う。認証処理が完了すると、認証サーバ6は認証済みIDを生成する(S3)。
認証サーバ6は、クライアント2に対して、認証済みIDを通知するとともに、ポータルサーバ7へリダイレクトを指示するレスポンスメッセージを送信する。そのレスポンスメッセージを受信したクライアント2は、認証済みIDを格納したリクエストメッセージをポータルサーバ7へ送信する(S4)。
【0076】
ポータルサーバ7は、認証済みIDが格納されたリクエストメッセージを受信した場合、認証サーバ6に対して認証済みIDの正当性の確認を行う(S5)。
認証済みIDが正当なものであった場合、ポータルサーバ7はクライアント2へコンテンツの一覧などのリソースを提供するために、マッピング機能40にそのリソースを提供する(S6)。
【0077】
マッピング機能40は、ポータルサーバ7からクライアント2へのコンテンツの一覧などのリソース提供のためのメッセージを受信した場合、そのメッセージ内のコンテンツサーバ7のFQDNの書き換えを行う。すなわち、マッピング機能40は、そのリソース提供のためのメッセージ内におけるコンテンツサーバ7のFQDNと認証済みIDとに基づいて、認証済みID毎に、そのFQDN(変換前FQDN)を特定できるFQDN(変換後FQDN)を生成する。マッピング機能40は、そのメッセージ内における変換前FQDNを変換後FQDNに書き換える。以降、変換前のFQDNを「original−fqdn」、変換後FQDNを「private−fqdn」として説明する。
【0078】
マッピング機能40は、original−fqdnとprivate−fqdnおよびメッセージ内の認証済みIDの対応関係を設定先選択機能30に通知する(S7)。
その後、設定先選択機能30は、Acknowledgementをマッピング機能40に返信する(S8)。
【0079】
マッピング機能40は、S6において変換後FQDN(private−fqdn)に書き換えを行ったポータルサーバ7からのリソース提供のためのメッセージをクライアント2へ転送する(S9)。
【0080】
そのリソース提供のためのメッセージを受信したクライアント2において、ユーザがコンテンツ一覧の中から閲覧したいコンテンツを選択する。すると、コンテンツサーバ4の名前解決を行うために、クライアント2はDNSサーバ12へprivate−fqdnについての問い合わせメッセージを送信する(S10)。
【0081】
設定先選択機能30は、S7で通知されたoriginal−fqdnとprivate−fqdnの関係情報に基づいて、クライアント2からのFQDNについての問い合わせメッセージ内のprivate−fqdnをoriginal−fqdnに書き換える。それから、設定先選択機能30は、その書き換えた問い合わせメッセージをDNSサーバ12へ転送する(S11)。
【0082】
DNSサーバ12は、クライアント2の送信元IPアドレスやコンテンツサーバ4の負荷状況に基づき適切なコンテンツサーバ4を選択し、クライアント2に回答するIPアドレスを決める。DNSサーバ12は、決定したIPアドレスを、クライアント2からの問い合わせに対する回答メッセージとして送信する(S12)。なお、コンテンツサーバ4はアクセスGW3によって仮想化されているため、その決定したIPアドレスはアクセスGW3のIPアドレスである。
【0083】
設定先選択機能30は、DNSサーバ12からの回答メッセージ内のoriginal−fqdnをprivate−fqdnに書き換える。また、設定先選択機能30は、private−fqdnと回答メッセージ内のIPアドレスとを対応づけて、記憶する。設定先選択機能30は、そのprivate−fqdnと回答メッセージ内のIPアドレスの対応関係と、S7で通知されたprivate−fqdnと認証済みIDの対応関係とに基づいて、認証済みIDとIPアドレスを対応付けて記憶する。それから、設定先選択機能30は、アクセスGW3に認証済みIDを設定するための設定メッセージを、その認証済みIDと対応付けたIPアドレス(すなわち、アクセスGW3)へ送信する(S13)。
【0084】
上記設定メッセージを受信したアクセスGW3は、認証済みIDの設定が完了すると、Acknowledgementを設定先選択機能30へ返信する(S14)。
設定先選択機能30は、S13にてoriginal−fqdnからprivate−fqdnへ書き換えを行った回答メッセージをクライアント2に転送する(S15)。
【0085】
クライアント2はDNSサーバ12から、private−fqdnについての問い合わせに対する回答として受信したIPアドレスを宛先IPアドレスとして、その宛先IPアドレスにコンテンツのリソース要求メッセージを送信する(S16)。この時、認証済みIDは、そのリソース要求メッセージ内に格納されている。
【0086】
アクセスGW3はクライアント2からコンテンツのリソース要求メッセージを受信すると、要求メッセージ内の認証済みIDが既に設定済みの認証済みIDの一覧にあるかどうかを調査し、認証済みIDの正当性を確認する。認証済みIDが正当なものである場合、アクセスGW3は、そのリソース要求メッセージをコンテンツサーバ4へ転送する(S17)。
【0087】
コンテンツサーバ4はそのリソース要求メッセージに対するレスポンスメッセージをアクセスGW3へ返信する(S18)。
アクセスGW3は、そのコンテンツサーバ4からのリソース要求メッセージに対するレスポンスメッセージをクライアント2へ転送する(S19)。
【0088】
以上が、本実施形態の全体のシーケンスである。以下では、マッピング機能40、設定先選択機能30に着目して説明する。まず、マッピング機能40の、より詳細な動作について説明する。マッピング機能40の上記S6〜S9に対応するフローチャートを図9に示す。
【0089】
図9は、本実施形態におけるコンテンツの一覧などのリソース提供のためのレスポンスメッセージを受信した場合のマッピング機能40の処理フローを示す。
FQDN生成部24は、ポータルサーバ7からクライアント2へのコンテンツの一覧などのリソース提供のためのレスポンスメッセージを受信する(S21)。ポータルサーバ7からクライアント2へ送信されるリソース提供のためのレスポンスメッセージ50の一例を図10に示す。
【0090】
図10において、コンテンツの一覧などのリソース提供のためのレスポンスメッセージ50は、IPヘッダ51、TPCヘッダ52、レイヤ7プロトコルヘッダ(例えばHTTPヘッダ)53、メッセージコンテンツ(例えば、HTML文書)等を含む。
【0091】
FQDN生成部24は、レスポンスメッセージ50から認証済みIDとコンテンツサーバ4のFQDNを抽出する(S22)。FQDN生成部24は、ID格納箇所定義情報28から、レスポンスメッセージ50中において認証済みIDの抽出箇所を特定する属性情報を取得する。また、FQDN生成部24は、書き換え箇所定義情報27から、レスポンスメッセージ50中においてコンテンツサーバ4のFQDN抽出箇所を特定する属性情報を取得する。ここで、ID格納箇所定義情報28の一例を図11に示す。
【0092】
図11に示すID格納箇所定義情報28では、HTTPのヘッダフィールド名「Set−Cookie」で指定されるCookieの内、NAMEが「Authe」であるものが認証済みIDであることを定義している。よって、レスポンスメッセージ50を受信したFQDN生成部24は、ID格納箇所定義情報28に基づいて、HTTPヘッダ53の「Set−Cookie:Authe=12345;」から文字列「12345」を認証済みIDとして抽出する。
【0093】
次に、書き換え箇所定義情報27の一例を図12に示す。図12に示す書き換え箇所定義情報27では、HTML文書のA要素のHREFという属性を書き換え箇所として定義するものである。よって、FQDN生成部24は、書き換え箇所定義情報27に基づいて、HTML文書54の「<A HREF=“Http://srv1.example.com/content1”>」から、文字列「srv1.example.com」を抽出する。この文字列「srv1.example.com」は、コンテンツサーバ4のFQDNとして抽出されたものである。
【0094】
FQDN生成部24は、抽出した認証済みID及びコンテンツサーバのFQDNをID−FQDN管理部42に渡す。
ID−FQDN管理部42は、認証済みIDと変換前FQDNをキーにID−FQDN管理テーブル44を検索する(S23)。ここで、ID−FQDN管理テーブル44の一例を図13に示す。
【0095】
図13において、ID−FQDN管理テーブル44は、「認証済みID」と、その認証済みIDに対応する「変換前FQDN」及び「変換後FQDN」の組を1つのエントリとして持つ。
【0096】
S23での検索の結果、該当するエントリが存在しない場合(S23で「No」)、ID−FQDN管理部42は、認証済みIDとコンテンツサーバ4のFQDNとの組み合わせに対応する任意のFQDN(変換後FQDN)を生成する。例えば、ID−FQDN管理部42は、認証済みID「12345」とコンテンツサーバ4のFQDN「srv1.example.com」の組み合わせに対応するFQDN「ccc.example.com」を変換後FQDNとして生成する。それから、ID−FQDN管理部42は、その生成した変換後FQDNを、変換前FQDNと認証済みとに対応付けて、ID−FQDN管理テーブル44に登録する(S24)。
【0097】
ID−FQDN管理部42は、認証済みID「12345」、コンテンツサーバのFQDN「srv1.example.com」、変換後FQDN「ccc.example.com」の組を通知部41へ渡す。
【0098】
通知部41は、設定先選択機能アドレス情報43を参照する。ここで、設定先選択機能アドレスの一例を図14に示す。図14において、設定先選択機能アドレス情報43には、設定先選択機能アドレスとして例えば「192.0.2.111」が格納されている。
【0099】
通知部41は、設定先選択機能アドレス情報43から得られたIPアドレス「192.0.2.111」を宛先として、認証済みID、コンテンツサーバ4の変換前FQDN、変換後FQDNの組を含む通知メッセージを設定先選択機能30に送信する(S25)。ここで、マッピング機能から設定先選択機能へ送信される通知メッセージの一例を図15に示す。
【0100】
図15において、通知メッセージ60は、認証済みID「12345」、コンテンツサーバ4の変換前FQDN「srv1.example.com」、変換後FQDN「ccc.example.com」の組を含む。
【0101】
通知部41は、その通知メッセージ60に対して設定先選択機能30からAcknowledgementを受信すると、S25の通知処理が完了する。すると、通知部41は、ID−FQDN管理部42に通知メッセージ60の送信処理が完了したことを通知する。
【0102】
S23での検索の結果、該当するエントリが存在する場合(S23で「Yes」)、またはS25における通知メッセージ60の通知処理が完了した場合、ID−FQDN管理部42は、次を行う。すなわち、ID−FQDN管理部42は、コンテンツサーバ7の変換前FQDN「srv1.example.com」と変換後FQDN「ccc.example.com」をFQDN生成部24に渡す。
【0103】
FQDN生成部24は、S22にて抽出したHTML文書54内のコンテンツサーバ4のFQDN「srv1.example.com」を、変換後FQDN「ccc.example.com」に書き換える(S26)。
【0104】
FQDN生成部24は、書き換えたHTML文書54を含むレスポンスメッセージ50をクライアント2に送信する(S27)。
次に、上述した設定先選択機能30について、より詳細な動作について説明する。設定先選択機能30の動作は、マッピング機能40からの通知メッセージ60を受信した場合(S7〜S8)と、クライアント2からDNSサーバ12への問い合わせメッセージを受信した場合(S10〜S15)とに分かれる。まずは、マッピング機能40からの通知メッセージ60を受信した場合の設定先選択機能30の動作(S7〜S8)の詳細なフローチャートを図16に示す。
【0105】
通知受付部34は、マッピング機能40からの通知メッセージ60を受信する(S31)。図15に示すように、通知メッセージ60には認証済みID、変換前FQDN、及び変換後FQDNが含まれる。
【0106】
通知受付部34は、認証済みIDと変換後FQDNの組をID−FQDNテーブル26に登録する(S32)。また、通知受付部34は、変換前FQDNと変換後FQDNの組をFQDN変換テーブル25に登録する。ID−FQDNテーブル26の一例を図17に示す。FQDN変換テーブル25の一例を図18に示す。
【0107】
FQDN変換テーブル25及びID−FQDNテーブル26へのエントリの登録が完了すると、通知受付部34はマッピング機能40にAcknowledgmentを返信する(S33)。
【0108】
次に、クライアント2からDNSサーバ12へのFQDNについての問い合わせメッセージを受信した場合の設定先選択機能30の動作(S10〜S15)の詳細なフローチャートを図19に示す。
【0109】
まず、変換管理部22は、クライアント2からDNSサーバ12への問い合わせメッセージを受信する(S41)。図8のS10において説明したように、この問い合わせメッセージにおいて問い合わせ対象のFQDNは、変換後FQDN(private−fqdn)である。
【0110】
変換管理部22は、問い合わせ対象のFQDNをキーに、FQDN変換テーブル25の列「変換後FQDN」を検索する(S42)。S42において、FQDN変換テーブル25にヒットするエントリが存在しない場合(S42で「No」)、この問合せは、変換後FQDNを受信したクライアント以外のクライアントからのDNSサーバ12への問い合わせである。この場合、変換管理部22は、DNSサーバ12へ問い合わせメッセージを転送し(S43)、DNSサーバ12から回答メッセージを受信すると、S51へ進む。
【0111】
S42においてFQDN変換テーブル25にヒットするエントリが存在し、変換前FQDNが得られた場合について説明する(S42で「Yes」)。この場合、変換管理部22は、この問合せが、変換後FQDNを受信したクライアント2からのDNSサーバ12への問い合わせであることがわかる。
【0112】
このとき、変換管理部22は、問い合わせメッセージのFQDN(変更後FQDN)を、S42にてFQDN変換テーブル25を検索して得られた変換前FQDNに書き換える(S44)。例えば、FQDN変換テーブル25の内容が図18の通りで、問い合わせ対象のFQDNが「ccc.example.com」であった場合、変換管理部22は、そのFQDNを「srv1.example.com」に書き換える。
【0113】
変換管理部22は、問い合わせメッセージをDNSサーバ12へ送信し、DNSサーバ12からの回答メッセージを得る(S45)。
変換管理部22は、回答メッセージ内の変換前FQDNを、変換後FQDNに書き換える(S46)。例えば、変換管理部22は、回答メッセージ内の「srv1.exmaple.com」を「ccc.example.com」に書き換える。
【0114】
また、変換管理部22は、変換後FQDNとDNSサーバ12からの回答メッセージに含まれるIPアドレスとを対応づける。それから、変換管理部22は、その対応付けた変換後FQDNとIPアドレスの組を設定制御部32へ渡す。例えば、回答に含まれるIPアドレスが「192.0.2.222」であった場合、変換管理部22は、「ccc.example.com」と「192.0.2.222」の組を設定制御部32へ渡す。
【0115】
設定制御部32は、変換後FQDNをキーにID−FQDNテーブル26を検索し、認証済みIDを得る(S47)。よって、設定制御部32は、認証済みIDとIPアドレスを対応づけることが出来る。例えば、ID−FQDNテーブル26が図17の場合、設定制御部32は、変換後FQDN「ccc.example.com」をキーに検索を行うと、認証済みID「12345」が得られる。この時、対応付けられる認証済みIDとIPアドレスは、「12345」と「192.0.2.222」である。
【0116】
設定制御部32は、認証済みIDとIPアドレスの組をキーにID−アドレステーブル33を検索する(S48)。ここで、ID−アドレステーブル33の一例を図20に示す。図20では、ID−アドレステーブル33は、認証済みIDとIPアドレスから構成される。
【0117】
S48における検索の結果、ID−アドレステーブル33において、認証済みIDとIPアドレスの組が既に登録済みである場合(S48で「Yes」)、設定制御部32は変換管理部22に制御を渡し、S51へ進む。S48における検索の結果、ID−アドレステーブル33において、認証済みIDとIPアドレスの組が未登録である場合(S48で「No」)、S49へ進む。例えば、図20において、認証済みID「12345」とIPアドレス「192.0.2.222」との組を検索すると、この組はID−アドレステーブル33に未登録であるため、S49へ進む。
【0118】
設定制御部32は認証済みIDとIPアドレスの組をID−アドレステーブル33に登録し(S49)、認証済みIDとIPアドレスの組を設定部31に渡す。
設定部31は、設定制御部32から渡された認証済みIDの設定メッセージを、設定制御部32から渡されたIPアドレス宛てに送信する(S50)。そのIPアドレスは、分散配置されたアクセスGW3の内の1つのIPアドレスである。設定先選択機能30からアクセスGW3へ送信される設定メッセージ61の一例を図21に示す。図21において、設定メッセージ61には認証済みID「12345」が設定されている。
【0119】
アクセスGW3は、その設定メッセージ61を受信すると、認証済みIDを設定する。アクセスGW3は、認証済みIDの設定が完了すると、設定先選択機能30にAcknowledgementを返信する。
【0120】
設定部31は、設定先選択機能30からのAcknowledgementを受信すると、設定制御部32に認証済みIDの設定の完了を通知する。すると、設定制御部32は変換管理部22に制御を渡す。
【0121】
変換管理部22は、DNSサーバ12からの回答メッセージをクライアント2へ転送する(S51)。
本実施形態によれば、クライアントと認証サーバ間、クライアントとDNSサーバ間にHTTPプロキシサーバやDNSキャッシュサーバが存在する場合でも、次のことができる。すなわち、「認証サーバが認証済みIDを送信したクライアント」と「DNSサーバがIPアドレスを回答したクライアント」を対応づけることができる。そのため、認証済みIDの設定先を常にそれぞれのクライアントがアクセスするアクセスGWのみにすることが可能である。よって認証済みIDの設定処理量はアクセスGW数に非依存となり、分散配置されるコンテンツサーバ及びアクセスGW数に応じてシステム全体の性能向上が見込める。
【0122】
また、クライアント2から問い合せされたFQDNが「変換後FQDN」であれば、設定先選択機能21は、そのクライアントが既に認証されたクライアントであることが分かる。したがって、認証済みIDが発行され、ポータルサーバ7から認証済みID毎にFQDNが書き換えられたメッセージをクライアントが受信した後にセッションが切れたとする。この場合、クライアントは再度認証を受けなくても、DNSサーバに対して、FQDNの問合せ要求を行うことができる。すなわち、図8のS9とS10との間でセッションが切れた後、S10からシーケンスを開始しても、クライアントから問い合せされたFQDNが「変換後FQDN」であれば、既に認証されたクライアントであることを確認することができる。
【0123】
<第2の実施形態>
本実施形態では、認証済みIDの有効期限に従って、マッピング機能が持つID−FQDN管理テーブル及び、設定先選択機能が持つID−FQDNテーブル、FQDN変換テーブル、ID−アドレステーブルの各エントリに有効期限を設定する例を示す。なお、本実施形態において、第1の実施形態と同一の構成要素については同一の符号を付し、その説明を省略する。
【0124】
図22は、本実施形態におけるアクセス制御システム20−2の構成例を示す。アクセス制御システム20−2において、マッピング機能40aは、図5のマッピング機能40に通知受付部45、有効期限管理部46を追加したものである。また、設定先選択機能30aは、図5の設定先選択機能30に有効期限管理部47を追加したものである。
【0125】
図23は、本実施形態におけるアクセス制御システム20−2の全体シーケンスの一例を示す。S1〜S3については、図8と同様である。
S3において認証サーバ6は認証済みIDを生成すると、その生成した認証済みIDの有効期限を設定する。それから、認証サーバ6は、認証済みIDとその有効期限をマッピング機能40aに通知する(S3−1)。
【0126】
マッピング機能40aは、認証サーバ6からの通知を受信すると、ID−FQDN管理テーブル44aに認証済みIDと有効期限を格納する。その後、マッピング機能40aは、認証サーバ6にAcknowledgementを送信する(S3−2)。
【0127】
S4〜S6については、図8と同様である。
それから、マッピング機能40aは、ポータルサーバ7からクライアント2へのコンテンツの一覧などのリソース提供のためのメッセージを受信する。すると、マッピング機能40aは、図8のS7で説明したのと同様に、そのメッセージ内のコンテンツサーバ7のFQDNの書き換えを行う。それから、マッピング機能40は、original−fqdnと、private−fqdnと、メッセージ内の認証済みIDとの対応関係情報、及び認証済みIDの有効期限を設定先選択機能30aに通知する(S7−1)。
【0128】
S8〜S12については、図8と同様である。
それから、設定先選択機能30aは、DNSサーバ12から、クライアント2からの問い合わせに対する回答メッセージを受信する。すると、設定先選択機能30aは、図8のS13で説明したのと同様に、その回答メッセージ内のoriginal−fqdnをprivate−fqdnに書き換える。それから、設定先選択機能30aは、private−fqdnと回答メッセージ内のIPアドレスを対応づける。設定先選択機能30aは、private−fqdnと回答メッセージ内のIPアドレスとの対応関係と、S7−1で通知されたprivate−fqdnと認証済みIDとの対応関係に基づいて、認証済みIDとIPアドレスを対応付ける。それから、設定先選択機能30aは、有効期限を含む認証済みIDを設定するための設定メッセージを、その認証済みIDと対応付けたIPアドレス(すなわち、アクセスGW3)へ送信する(S13−1)。
【0129】
S14〜S19については、図8と同様である。
有効期限管理部46,47はそれぞれ、認証済みIDの有効期限を管理する。認証済みIDはその有効期限が過ぎると、有効期限管理部46は、ID−FQDN管理テーブル44aからその有効期限が過ぎた認証済みIDに関係するエントリを削除する。また、認証済みIDはその有効期限が過ぎると、有効期限管理部47は、ID−FQDNテーブル26a、FQDN変換テーブル25a、ID−アドレステーブル33aからその有効期限が過ぎた認証済みIDに関係するエントリを削除する。
【0130】
図24は、本実施形態における、認証サーバ6から認証済みIDとその有効期限についての通知メッセージ受信時のマッピング機能40aのフローチャートを示す。図24のフローチャートは、図23のS3−1〜S3−2の詳細を示す。
【0131】
まず、通知受付部45は、認証サーバ6からの通知メッセージ80を受信する(S51)。認証サーバ6からマッピング機能40aへ送信される認証済みIDの有効期限を通知する通知メッセージ80の一例を図25に示す。図25に示すように、通知メッセージ80は、認証済みIDと、認証済みIDの有効期限を有している。
【0132】
通知受付部45は、通知メッセージ80から得られる認証済みIDとその有効期限をID−FQDN管理テーブル44aに登録する(S52)。ここで、ID−FQDN管理テーブル44aの一例を図26に示す。ID−FQDN管理テーブル44aは、図13のID−FQDN管理テーブル44に、データ項目「有効期限」が追加されたものである。
【0133】
認証済みIDとその有効期限の登録後、通知受付部45は認証サーバ6にAcknowledgementを送信する(S53)。
なお、マッピング機能40aの、ポータルサーバ7からのコンテンツの一覧などのリソース提供のためのレスポンスメッセージ受信時の動作(S6〜S9)は、図9のフローと同様である。
【0134】
次に、設定先選択機能30aの動作について説明する。設定先選択機能30aの動作は、基本的には図16と同様である。ただし、マッピング機能40aから設定先選択機能30aへ送信される通知メッセージ60a(図27)には、認証済みIDの「有効期限」が設定される。また、ID−FQDNテーブル26a(図28)、FQDN変換テーブル25a(図29)、ID−アドレステーブル33a(図30)にも、認証済みIDの「有効期限」が設定される。また、設定先選択機能3からアクセスGW3へ送信される設定メッセージ61a(図31)にも、認証済みIDの「有効期限」が設定される。
【0135】
認証済みIDの「有効期限」が過ぎれば、有効期限管理部46は、ID−FQDN管理テーブル44aから、その「有効期限」を含むエントリを削除する。同様に、認証済みIDの「有効期限」が過ぎれば、有効期限管理部47は、ID−FQDNテーブル26a(図28)、FQDN変換テーブル25a(図29)、ID−アドレステーブル33a(図30)から、その「有効期限」を含むエントリを削除する。
【0136】
図19において、例えば、有効期限が過ぎた認証済みIDに対応する変換後FQDNについての問い合わせがクライアント2からあったとする(S41)。しかしながら、FQDN変換テーブル25aには、問い合わせ対象のFQDNを含むエントリが存在しない(S42で「No」)。この場合、換え管理部22は、DNSサーバ12へ問い合わせメッセージを転送し(S43)、DNSサーバ12から回答メッセージを受信すると、その回答メッセージをクライアント2へ転送する(S51)。なお、ここでのDNSサーバ12からの回答メッセージは、そのFQDNに対応するIPアドレスがない旨のエラーメッセージである。
【0137】
本実施形態によれば、第1の実施形態の効果に加えて、さらに、認証済みIDの「有効期限」を設けることにより、その有効期限が過ぎた場合、その「有効期限」を含むエントリが全てのテーブルから削除される。これにより、使用されなくなった認証済みIDが登録されたままになるのを防止することができる。したがって、認証済みIDの信頼性を高めることができる。また、記憶領域の容量を必要以上に圧迫することがなく、メモリ資源を節約することができる。
【0138】
次に図32について説明する。図32は、第1または第2の実施形態におけるマッピング機能40,40aまたは設定先選択機能30,30aを有するゲートウェイ装置の各部の機能を実現するコンピュータのハードウェア構成の一例を示す。
【0139】
図32において、コンピュータ90は、CPU91、ROM92、RAM93、ハードディスク装置(HDD)94、インタフェース装置(I/F)95、入力装置96、出力装置97を備えている。これらの要素はいずれもバス98に接続されており、CPU91の管理の下で各種のデータを相互に授受することができる。
【0140】
CPU91は、マッピング機能40,40aを有するゲートウェイ装置または設定先選択機能30,30aを有するゲートウェイ装置全体の動作を制御する中央演算処理装置である。ROM(Read Only Memory)92は、各種の制御動作を行うための制御プログラムを格納する。RAM(Random Access Memory)93は、CPU91が制御プログラムを実行する際に必要に応じて使用する作業用の一時記憶領域を提供する。ROM92には、CPU91が実行する基本制御プログラムが予め格納されている。ROM92に格納されている基本制御プログラムをCPU91が読み出してその実行を開始すると、コンピュータ90の各部の制御が可能となる。
【0141】
HDD94は、CPU91によって実行される各種の制御プログラム、本実施形態に係るプログラムやデータ、テーブル等を記憶しておく記憶装置である。例えば、コンピュータ90が第1の実施形態のマッピング機能40を有するゲートウェイ装置の場合、HDD94には、書き換え箇所定義情報27、ID格納箇所定義情報28、設定先選択機能アドレス情報43、ID−FQDN管理テーブル44が格納されている。また、例えば、コンピュータ90が第1の実施形態の設定先選択機能30を有するゲートウェイ装置の場合、HDD94には、ID−アドレステーブル33、ID−FQDNテーブル26、FQDN変換テーブル25が格納されている。例えば、コンピュータ90が第2の実施形態のマッピング機能40aを有するゲートウェイ装置の場合、HDD94には、書き換え箇所定義情報27、ID格納箇所定義情報28、設定先選択機能アドレス情報43、ID−FQDN管理テーブル44aが格納されている。また、例えば、コンピュータ90が第2の実施形態の設定先選択機能30aを有するゲートウェイ装置の場合、HDD94には、ID−アドレステーブル33a、ID−FQDNテーブル26a、FQDN変換テーブル25aが格納されている。
【0142】
CPU91はハードディスク装置94に記憶されている上述した実施形態に係るマッピング機能40,40a又は設定先選択機能30,30aを実現する処理プログラム(例えば、図9、図16、図19、図24等)を読み出して実行する。
【0143】
I/F装置95は、外部コンピュータ等とコンピュータ90との間の各種データの送受信の管理を行う。入力装置96は、例えばキーボード装置やマウス装置である。出力装置97は、例えばディスプレイ、プリンタ等の出力装置である。
【0144】
上記の実施形態によれば、認証方法は以下のようになる。変換装置(例えば、マッピング機能40,40a)は、第1接続先データ(例えば、変換前FQDN)及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信する(S6,S21)。
【0145】
前記変換装置は、前記第1接続先データを特定する第2接続先データ(例えば、変換後FQDN)を生成する(S24)。前記変換装置は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを中継装置(例えば、設定先選択機能30,30a)へ送信する(S7,S25)。すると、前記中継装置は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて記憶装置に格納する(S32)。それから、前記変換装置は、前記第1接続先データを前記第2接続先データに置換したサービスデータを前記認証済ユーザが操作するクライアント装置(例えば、クライアント2)へ送信する(S9,S26,S27)。すると、前記クライアント装置は、前記置換されたサービスデータと前記ユーザの操作により選択された前記第2接続先データを前記中継装置に送信する(S10,S41)。前記中継装置は、前記記憶部から、前記クライアント装置から送信された第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出する(S42)。前記中継装置は、前記抽出した第1接続先データの示すサーバ装置(例えば、アクセスGW3)へ、前記抽出した認証情報を送信する(S13,S50)。前記中継装置は、前記サーバ装置のアドレスを前記クライアント装置へ送信する(S15,S51)。前記クライアント装置は、前記アドレスと前記認証情報を用いて、前記サーバ装置と通信する(S16)。
【0146】
このように構成することにより、1つの認証済みID生成時のアクセスGWへの認証済みIDの設定量をアクセスGW数に非依存にすることができる。また、認証済みIDが発行され、認証済みID毎にFQDNが書き換えられたメッセージをクライアントが受信した後にセッションが切れても、クライアントは再度認証を受けなくても、DNSサーバに対して、FQDNの問合せ要求を行うことができる。
【0147】
前記中継装置は、前記サーバ装置に対して前記認証情報を送信済である場合は、前記認証情報を送信しない。
このように構成することにより、既にアクセスGWに認証済みIDが設定されている場合には、アクセスGWに対して再度認証済みIDの設定を行う必要がないので、アクセスGWへの認証済みIDの設定処理量を削減できる。
【0148】
前記変換装置および前記中継装置は、前記認証済ユーザの認証情報、該認証情報と関係付けられた前記第1接続先データ、および該認証情報と関係付けられた前記第2接続先データを記憶し、一定時間経過後に消去する。当該消去は、例えば、本実施形態で言えば、有効期限管理部46,47により行われる。
【0149】
このように構成することにより、認証済みIDの「有効期限」を設けることにより、その有効期限が過ぎた場合、その「有効期限」を含むエントリを全てのテーブルから削除することができる。
【0150】
変換装置(例えば、ゲートウェイ40−1)は、受信部(例えば、受信部40−2)、生成部(例えば、生成部40−3)、送信部(例えば、送信部40−4)を含む。受信部は、第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信する。生成部は、前記第1接続先データを特定する第2接続先データを生成する。送信部は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置(例えば、ゲートウェイ30−1)へ送信し、前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置(例えば、クライアント2)へ送信する。
【0151】
このように構成することにより、変換装置は、クライアントと設定先選択機能に、認証済みID毎に生成された変換後FQDNを通知することにより、クライアントと設定先選択機能間では、変換後FQDNを用いて、通信することができる。
【0152】
中継装置(例えば、ゲートウェイ30−1)は、受信部(例えば、受信部30−2)、記憶部(例えば、記憶部30−3)、抽出部(例えば、抽出部30−4)、送信部(例えば、送信部30−5)を含む。受信部は、変換装置(例えば、ゲートウェイ40−1)から、認証済ユーザの認証情報、第1接続先データ、および第2接続先データを受信する。また、受信部は、ユーザの操作により選択された第2接続先データを該ユーザが操作するクライアント装置から受信する。記憶部は、前記変換装置から受信した前記第2接続先データ、前記認証情報および前記第1接続先データを関係付けて記憶する。抽出部は、前記記憶部から、前記クライアント装置から受信した第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出する。送信部は、前記抽出した第1接続先データの示すサーバ装置へ前記抽出した認証情報を送信し、前記サーバ装置のアドレスを前記クライアント装置へ送信する。
【0153】
このように構成することにより、中継装置は、クライアントとの間では、変換後FQDNを用いて通信をし、アクセスGWとの間では、変換前FQDNを用いて通信をすることができる。
【0154】
なお、本実施形態は、以上に述べた実施の形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成または実施形態を取ることができる。
【0155】
上記実施形態に関し、更に以下の付記を開示する。
(付記1)
変換装置は、第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信し、
前記変換装置は、前記第1接続先データを特定する第2接続先データを生成し、
前記変換装置は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信し、
前記中継装置は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて記憶装置に格納し、
前記変換装置は、前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置へ送信し、
前記クライアント装置は、前記置換されたサービスデータと前記ユーザの操作により選択された前記第2接続先データを前記中継装置に送信し、
前記中継装置は、前記記憶部から、前記クライアント装置から送信された第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出し、
前記中継装置は、前記抽出した第1接続先データの示すサーバ装置へ、前記抽出した認証情報を送信し、
前記中継装置は、前記サーバ装置のアドレスを前記クライアント装置へ送信し、
前記クライアント装置は、前記アドレスと前記認証情報を用いて、前記サーバ装置と通信する
ことを特徴とする認証方法。
(付記2)
前記中継装置は、前記サーバ装置に対して前記認証情報を送信済である場合は、前記認証情報を送信しない
ことを特徴とする付記1記載の認証方法。
(付記3)
前記変換装置および前記中継装置は、前記認証済ユーザの認証情報、該認証情報と関係付けられた前記第1接続先データ、および該認証情報と関係付けられた前記第2接続先データを記憶し、一定時間経過後に消去する
ことを特徴とする付記1記載の認証方法。
(付記4)
第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信し、
前記第1接続先データを特定する第2接続先データを生成し、
前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信し、
前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置へ送信する
ことをコンピュータに実行させることを特徴とするプログラム。
(付記5)
第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信する受信部と、
前記第1接続先データを特定する第2接続先データを生成する生成部と、
前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信し、前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置へ送信する送信部と、
を備えることを特徴とする変換装置。
(付記6)
認証済ユーザの認証情報、第1接続先データ、および第2接続先データを変換装置から受信し、
前記変換装置から受信した認証済ユーザの認証情報、第1接続先データ、および第2接続先データを関係付けて記憶装置に格納し、
ユーザの操作により選択された第2接続先データを該ユーザが操作するクライアント装置から受信し、
前記記憶装置から、前記クライアント装置から受信した第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出し、
前記抽出した第1接続先データの示すサーバ装置へ、前記抽出した認証情報を送信し、
前記サーバ装置のアドレスを前記クライアント装置へ送信する
ことをコンピュータに実行させることを特徴とするプログラム。
(付記7)
変換装置から、認証済ユーザの認証情報、第1接続先データ、および第2接続先データを受信し、ユーザの操作により選択された第2接続先データを該ユーザが操作するクライアント装置から受信する受信部と、
前記変換装置から受信した前記第2接続先データ、前記認証情報および前記第1接続先データを関係付けて記憶する記憶部と、
前記記憶部から、前記クライアント装置から受信した第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出する抽出部と、
前記抽出した第1接続先データの示すサーバ装置へ前記抽出した認証情報を送信し、前記サーバ装置のアドレスを前記クライアント装置へ送信する送信部と、
を備えることを特徴とする中継装置。
(付記8)
変換装置と中継装置を含む認証システムであって、
前記変換装置は、
第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信する受信部と、
前記第1接続先データを特定する第2接続先データを生成する生成部と、
前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信し、前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置へ送信する送信部と、
を備え、
前記中継装置は、
前記変換装置から、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを受信し、前記ユーザの操作により選択された第2接続先データを前記クライアント装置から受信する受信部と、
前記変換装置から受信した前記第2接続先データ、前記認証情報および前記第1接続先データを関係付けて記憶する記憶部と、
前記記憶部から、前記クライアント装置から受信した第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出する抽出部と、
前記抽出した第1接続先データの示すサーバ装置へ前記抽出した認証情報を送信し、前記サーバ装置のアドレスを前記クライアント装置へ送信する送信部と、
を備えることを特徴とする認証システム。
【符号の説明】
【0156】
2 クライアント
3 アクセスGW
4 コンテンツサーバ
6 認証サーバ
7 ポータルサーバ
12 DNSサーバ
20,20−1,20−2 アクセス制御システム
21 設定機能
22−1 FQDN−アドレス対応付け部
22−2 FQDN変換部
22 変換管理部
24,24−1 FQDN生成部
25 FQDN変換テーブル
26 ID−FQDNテーブル
27 書き換え箇所定義情報
28 ID格納箇所定義情報
30,30a 設定先選択機能
30−1 ゲートウェイ装置
30−2 受信部
30−3 記憶部
30−4 抽出部
30−5 送信部
31 設定部
32 設定制御部
34 通信受付部
40,40a マッピング機能
40−1 ゲートウェイ装置
40−2 受信部
40−3 生成部
40−4 送信部
41 通知部
42 ID−FQDN管理部
43 設定先選択機能アドレス情報
44 ID−FQDN管理テーブル
45 通知受付部
46,47 有効期限管理部
【技術分野】
【0001】
本明細書はクライアント−サーバ間のアクセス制御技術に関する。
【背景技術】
【0002】
近年、ネットワーク技術等の情報技術の発達に伴い、クライアントからサーバへのアクセス制御に関する技術も発達している。アクセス制御に関する技術として、例えば、次のログイン管理方法がある。この方法では、ユーザが認証のための情報を入力してネットワーク上の第1のサイトへログインする。そのログイン後、そのサイトからリンクを辿って第2のサイトへのログインを試みる。このとき、第1のサイトにて前記認証のための情報を第2のサイトへアクセスするためのアドレスに付加して当該アクセスに提供している。
【0003】
また、アクセス制御に関する技術として、例えば、次のDNS(Domain Name System)サーバがある。そのDNSサーバは、前記名前解決要求メッセージに含まれる情報に基づいて、名前解決要求メッセージに含まれない送信者であるユーザに関する属性情報を取得し、当該属性情報に基づいて前記名前解決を行なう。
【0004】
また、アクセス制御に関する技術として、例えば、次の技術がある。DNSサーバは、ホスト名に対応付けて、複数のIPアドレスと、個々のIPアドレスへのアクセスを許容するユーザ識別情報を記憶している。アドレス特定部は、その記憶された情報を参照して、ユーザの識別情報、ホスト名から、当該ユーザに対応付けられているIPアドレスを特定して、ユーザに回答する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2002−278931号公報
【特許文献2】特開2004−266568号公報
【特許文献3】特開2003−32281号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本実施形態では、認証情報生成時のサーバ装置への認証情報の設定処理量を削減し、認証情報の設定をサーバ装置数に非依存にする認証方法を提供する。
【課題を解決するための手段】
【0007】
本実施形態にかかる認証方法では、変換装置は、第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信する。前記変換装置は、前記第1接続先データを特定する第2接続先データを生成する。前記変換装置は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信する。前記中継装置は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて記憶装置に格納する。前記変換装置は、前記第1接続先データを前記第2接続先データに置換したサービスデータを前記認証済ユーザが操作するクライアント装置へ送信する。前記クライアント装置は、前記変換された前記サービスデータと前記ユーザの操作により選択された前記第2接続先データを前記中継装置に送信する。前記中継装置は、前記記憶部から、前記クライアント装置から送信された第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出する。前記中継装置は、前記抽出した第1接続先データの示すサーバ装置へ、前記抽出した認証情報を送信する。前記中継装置は、前記サーバ装置のアドレスを前記クライアント装置へ送信する。前記クライアント装置は、前記アドレスと前記認証情報を用いて、前記サーバ装置と通信する。
【0008】
また、本実施形態に係る変換装置は、受信部、生成部、及び送信部を備える。受信部は、第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信する。生成部は、前記第1接続先データを特定する第2接続先データを生成する。送信部は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信し、前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置へ送信する。
【0009】
また、本実施形態に係る中継装置は、受信部、記憶部、抽出部、及び送信部を備える。受信部は、変換装置から、認証済ユーザの認証情報、第1接続先データ、および第2接続先データを受信し、ユーザの操作により選択された第2接続先データを該ユーザが操作するクライアント装置から受信する。記憶部は、前記変換装置から受信した前記第2接続先データ、前記認証情報および前記第1接続先データを関係付けて記憶する。抽出部は、前記記憶部から、前記クライアント装置から受信した第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出する。送信部は、前記抽出した第1接続先データの示すサーバ装置へ前記抽出した認証情報を送信し、前記サーバ装置のアドレスを前記クライアント装置へ送信する。
【発明の効果】
【0010】
本実施形態によれば、認証情報生成時のサーバ装置への認証情報の設定処理量を削減し、認証情報の設定をサーバ装置数に非依存にすることができる。
【図面の簡単な説明】
【0011】
【図1】1つのサービスプロバイダ108のシステム内に閉じたアクセス制御システム101の一例を示す。
【図2】サービスプロバイダ108aがCDNサービスを利用する場合のアクセス制御システム101aを示す。
【図3】図2のアクセス制御システム101aの全体シーケンスの一例を示す。
【図4】アクセス制御システム20の構成例を示す。
【図5】アクセス制御システム20−1の構成例を示す。
【図6】マッピング機能40を有するゲートウェイ装置40−1の構成図である。
【図7】設定先選択機能30を有するゲートウェイ装置30−1の構成図である。
【図8】アクセス制御システム20−1の全体シーケンスの一例を示す。
【図9】コンテンツの一覧などのリソース提供のためのレスポンスメッセージを受信した場合のマッピング機能40の処理フローを示す。
【図10】ポータルサーバ7からクライアント2へ送信されるリソース提供のためのレスポンスメッセージ50の一例を示す。
【図11】ID格納箇所定義情報28の一例を示す。
【図12】書き換え箇所定義情報27の一例を示す。
【図13】ID−FQDN管理テーブル44の一例を示す。
【図14】設定先選択機能アドレスの一例を示す。
【図15】マッピング機能から設定先選択機能へ送信される通知メッセージの一例を示す。
【図16】マッピング機能40からの通知メッセージ60を受信した場合の設定先選択機能30の動作(S7〜S8)の詳細なフローチャートを示す。
【図17】ID−FQDNテーブル26の一例を示す。
【図18】FQDN変換テーブル25の一例を示す。
【図19】クライアント2からDNSサーバ12へのFQDNについての問い合わせメッセージを受信した場合の設定先選択機能30の動作(S10〜S15)の詳細なフローチャートを示す。
【図20】ID−アドレステーブル33の一例を示す。
【図21】設定先選択機能30からアクセスGW3へ送信される設定メッセージ61の一例を示す。
【図22】アクセス制御システム20−2の構成例を示す。
【図23】アクセス制御システム20−2の全体シーケンスの一例を示す。
【図24】認証サーバ6から認証済みIDとその有効期限についての通知メッセージ受信時のマッピング機能40aのフローチャートを示す。
【図25】認証サーバ6からマッピング機能40aへ送信される認証済みIDの有効期限を通知する通知メッセージ80の一例を示す。
【図26】ID−FQDN管理テーブル44aの一例を示す。
【図27】マッピング機能40aから設定先選択機能30へ送信される通知メッセージ60aの一例を示す。
【図28】ID−FQDNテーブル26aの一例を示す。
【図29】FQDN変換テーブル25aの一例を示す。
【図30】ID−アドレステーブル33aの一例を示す。
【図31】設定先選択機能30からアクセスGW3へ送信される設定メッセージ61aの一例を示す。
【図32】マッピング機能40,40aまたは設定先選択機能30を有するゲートウェイ装置の各部の機能を実現するコンピュータのハードウェア構成の一例を示す。
【発明を実施するための形態】
【0012】
以下では、クライアントが認証済みか否かに応じて、クライアントからサーバへのリクエストメッセージを中継または遮断するアクセス制御技術について説明する。
図1は、1つのサービスプロバイダ108のシステム内に閉じたアクセス制御システム101の一例を示す。アクセス制御システム101は、アクセスゲートウェイ(以降、「アクセスGW」と称する)103と設定機能105で構成される。図1では、サービスプロバイダ108は、さらに、コンテンツサーバA(104)、認証サーバ106、ポータルサーバ107を有する。
【0013】
アクセスGW103はクライアント102からサーバへのリクエストを受信する。そして、リクエストメッセージに正当な認証済みIDが格納されている場合、アクセスGW103はリクエストメッセージをサーバへ中継する。リクエストメッセージに正当な認証済みIDが格納されていない場合、アクセスGW103はリクエストを遮断する。ここで認証済みIDとは、認証サーバ106がクライアント102の認証処理を完了した際に、クライアント102に送信する任意の文字列であり、クライアント102の認証が完了していることを一定期間保証するものである。
【0014】
設定機能105はアクセスGW103に正当な認証済みIDを設定する役割を担い、認証サーバ106からの認証済みIDの通知を受け付ける。図1に示すような1つのサービスプロバイダ108のシステム内に閉じたアクセス制御システム101では、設定機能105は同一システムのアクセスGW103に認証済みIDを設定する。
【0015】
一方、近年、サービスをクライアントに迅速に提供することを目的に、サービスプロバイダがCDN(Contents Delivery Network)サービスを利用する形態が注目されている。CDNサービスにより、サービスのコンテンツを提供するサーバ(コンテンツサーバ)及びクライアントからコンテンツサーバまでのネットワーク負荷を分散することができる。これについて図2を用いて説明する。
【0016】
図2は、サービスプロバイダ108aがCDNサービスを利用する場合のアクセス制御システム101aを示す。サービスプロバイダ108aがCDNサービスを利用する場合、図2に示すようにコンテンツサーバ104はCDNのサービスプロバイダ111のシステムに置かれ、地理的に分散配置されることとなる。したがって、アクセス制御システム101aは、地理的に分散配置されたN個のサービスプロバイダ111のシステムと、1個のサービスプロバイダ108aのシステムから構成される。
【0017】
この時、クライアント102からコンテンツサーバ104へのリクエストをDNS(Domain Name System)サーバ112が振り分ける場合、設定機能105はクライアント102のアクセス先が分からない。具体的には、クライアント102がコンテンツサーバ104のFQDN(Fully Qualified Domain Name)の問い合わせをDNSサーバ112へ送信した場合が考えられる。このとき、DNSサーバ112が、クライアント102のIPアドレスやコンテンツの負荷の状況に応じて、複数存在するコンテンツサーバ104のIPアドレスの中から適切なものを選択して回答するものとする。このような場合、設定機能5はクライアント102のアクセス先が分からない。
【0018】
図2のアクセス制御システム101aでは、設定機能105はクライアント102のアクセス先が分からないため、すべてのアクセスGW103に認証済みIDを通知する必要がある。
【0019】
図3は、図2のアクセス制御システム101aの全体シーケンスの一例を示す。クライアント102は、ポータルサーバ107にリソース(コンテンツの一覧など)要求メッセージを送信する(S101)。初めてのリソース要求メッセージには認証済みIDが格納されていないため、ポータルサーバ107はクライアント102にリダイレクトを指示する(認証サーバ106にアクセスするよう指示する)レスポンスを送信する(S102)。レスポンスを受信したクライアント102は、認証サーバ106にリクエストを送信する。
【0020】
クライアント102が認証サーバ106にID・パスワード等を送信するなどして認証処理を行う。認証処理が完了すると、認証サーバ106は認証済みIDを生成する(S103)。
【0021】
認証サーバ106が生成した認証済みIDを設定機能105に通知すると、設定機能105は認証済みIDの設定を行う(S104)。この時点で設定機能105は、クライアント102がリクエストを送信するアクセスGW103を特定できないため、全てのアクセスGW103に認証済みIDの設定メッセージを送信して設定する。
【0022】
認証済みIDの設定メッセージを受信したアクセスGW103は、認証済みIDの設定が完了すると、Acknowledgementを設定機能105に返信する(S105)。設定機能105は、全てのアクセスGW103に認証済みIDの設定が完了したことを確認して、認証サーバ106に設定完了通知を行う。
【0023】
認証サーバ106は、設定が完了した認証済みIDをクライアント102に通知するとともに、ポータルサーバ107へリダイレクトを指示するレスポンスメッセージを送信する(S106)。メッセージを受信したクライアント102は、認証済みIDを格納したリクエストメッセージをポータルサーバ107へ送信する。
【0024】
認証済みIDが格納されたリクエストメッセージを受信した場合、ポータルサーバ107は、認証サーバ106に対して認証済みIDの正当性の確認を行う(S107)。
その認証済みIDが正当なものであった場合、ポータルサーバ107はクライアント102へコンテンツの一覧などのリソースを提供する(S108)。この時提供されるリソースは、HTML文書等であり、その中には各コンテンツの場所を表すURL(Uniform Resource Locator)が含まれる。URLの中には各コンテンツサーバ104のFQDNが含まれる。
【0025】
ユーザがコンテンツ一覧の中から閲覧したいコンテンツを選択すると、クライアント102は、コンテンツサーバ104の名前解決を行うために、DNSサーバ12へコンテンツサーバ104のFQDNの問い合わせメッセージを送信する(S109)。
【0026】
DNSサーバ112は、クライアント102の送信元IPアドレスやコンテンツサーバ104の負荷状況に基づき適切なコンテンツサーバ104を選択し、クライアント102に回答するIPアドレスを決める。その後、DNSサーバ112は、決定したIPアドレスを問い合わせの回答メッセージとして送信する(S110)。
【0027】
アクセスGW103は、コンテンツサーバ104へのリクエストを受信する必要があるため、コンテンツサーバ104を仮想化する。よって、クライアント102が送信するコンテンツサーバ104へのリクエストの宛先IPアドレスはアクセスGW103のIPアドレスである。また、DNSサーバ112が回答するコンテンツサーバ104のIPアドレスも、各コンテンツサーバ104を仮想化するアクセスGW103のIPアドレスである。
【0028】
クライアント102は、DNSサーバ112から回答として受信したIPアドレスを宛先IPアドレスとし、コンテンツのリソース要求メッセージをその宛先アドレスへ送信する(S111)。この時、クライアント102は認証済みIDをメッセージ内に格納する。
【0029】
アクセスGW103はコンテンツのリソース要求メッセージを受信する。すると、アクセスGW103は、要求メッセージ内の認証済みIDが既に設定済みの認証済みIDの一覧にあるかどうかを調査し、認証済みIDの正当性を確認する(S112)。認証済みIDが正当なものである場合、アクセスGW103は要求メッセージをコンテンツサーバ104へ転送する。
【0030】
コンテンツサーバ104はリソース要求メッセージに対するレスポンスメッセージをアクセスGW103へ返信する(S113)。
アクセスGW103はレスポンスメッセージをクライアント102へ転送する(S114)。
【0031】
上述のシーケンスにおいて、1つの認証済みIDが生成された時に要するアクセスGWへの認証済みIDの設定の処理量がアクセスGW103の数(分散配置されるコンテンツサーバ104の数)に比例して増大してしまう。すると、システム全体での性能を向上させるためにコンテンツサーバ104及びアクセスGW103の数を増加させる度に、アクセスGW103への認証済みID設定の処理量が増加することになり、十分なスケーラビリティが得られない。
【0032】
そこで本実施形態では、1つの認証済みID生成時のアクセスGWへの認証済みIDの設定処理量を削減し、認証済みIDの設定をアクセスGW数に非依存にすることで、高いスケーラビリティを得ることができる。以下、本実施例のシステムについて説明する。
【0033】
本実施形態では、サービスの一覧を提供するようなポータルサーバがクライアントに通知するコンテンツサーバのFQDNを利用する。そして、設定機能が「認証サーバが認証済みIDを送信したクライアント」と「DNSサーバがIPアドレスを回答したクライアント」を対応づける。これにより、設定先のアクセスGWを1つに減らすことを可能とする。
【0034】
図4は、本実施形態におけるアクセス制御システム20の構成例を示す。設定機能21は、FQDN−アドレス対応付け部22−1、FQDN変換部22−2、FQDN生成部24−1、及び格納部(不図示)を備える。格納部には、FQDN変換テーブル25、ID−FQDNテーブル26、書き換え箇所定義情報27、ID格納箇所定義情報28が格納されている。
【0035】
FQDN生成部24−1は、ポータルサーバ7がクライアント2に対して送信するメッセージ内のコンテンツサーバのFQDNを、認証済みID毎に書き換える。すなわち、FQDN生成部24−1は、そのメッセージからコンテンツサーバのFQDNを抽出し、認証済みID毎に、この抽出したFQDNを任意のFQDNへ変換する。そして、FQDN生成部24−1は、そのメッセージ内のオリジナルのFQDN(変換前FQDN)を、その変換したFQDN(変換後FQDN)へ書き換える。これにより、FQDN生成部24−1は、各クライアント2に通知するコンテンツサーバ7のFQDNをそれぞれ異なる値にすることができる。この時、FQDN生成部24−1は「変換前FQDN」と「変換後FQDN」とを対応づけた情報をFQDN変換テーブル25に記憶する。また、FQDN生成部24−1は、「変換後FQDN」と「認証済みID」とを対応付けた情報をID−FQDNテーブル26に記憶する。
【0036】
また、FQDN−アドレス対応付け部22−1は、各クライアント2がDNSサーバ12へ問い合わせたFQDNとDNSサーバ12が回答したIPアドレスとを対応付けて、「変換後FQDN」と「IPアドレス」とを対応付けた情報を作成する。
【0037】
よって、「変換後FQDN」と「認証済みID」の対応関係と、「変換後FQDN」と「IPアドレス」の対応関係とが得られる。この2つの対応関係から、「認証サーバ6が認証済みIDを送信したクライアント」と「DNSサーバ12がIPアドレスを回答したクライアント」を対応付けることができる。
【0038】
ここで、クライアント2がDNSサーバ12に問い合わせるFQDNは、変換後のFQDNである。そのため、その問い合わせ対象のFQDNは、DNSサーバ12には登録されておらず、そのまま問い合わせを行うことはできない。そのためFQDN変換部22−2ではFQDN変換テーブル25を用いて、クライアント2が送信するDNSサーバ12への問い合わせメッセージ内のFQDNを、変換後FQDNから変換前FQDNへと書き換える。
【0039】
本実施形態によれば、クライアント2から問い合せされたFQDNが「変換後FQDN」であれば、設定機能21は、そのクライアントが既に認証されたクライアントであることが分かる。したがって、認証済みIDが発行され、認証済みID毎にFQDNが書き換えられたメッセージをクライアントが受信した後にセッションが切れても、クライアントは再度認証を受けなくても、DNSサーバに対して、FQDNの問合せ要求を行うことができる。
【0040】
なお、図4において、矢印に対して「S」+「番号」の形式で付した符号は、図8において説明する処理を示す符号に対応するものである。以下では、本実施形態について詳述する。
【0041】
<第1の実施形態>
本実施形態では、例えば次のネットワーク構成下を例に説明する。すなわち、ポータルサーバ7と認証サーバ6が同一のシステム内に存在する。DNSサーバ12は別のシステムである。またコンテンツサーバ4およびコンテンツサーバ4へのアクセスを制御するアクセスGW3が複数のシステムに分散配置されている。
【0042】
図5は、本実施形態におけるアクセス制御システム20−1の構成例を示す。図5では、図4における設定機能21を、ID−FQDNマッピング機能(以下、マッピング機能という)40と設定先選択機能30に分けている。そして、それぞれの機能40,30をクライアント2−ポータルサーバ7間のメッセージを中継するゲートウェイと、クライアント−DNSサーバ間のメッセージを中継するゲートウェイに配備する場合について説明する。
【0043】
クライアント2は、ポータルサーバ7、DNSサーバ12、コンテンツサーバ4にリクエストを送信する一般的な情報処理装置である。
コンテンツサーバ4は、アクセスGW3によって仮想化される。そのため、クライアント2が送信するコンテンツサーバ4へのリクエストメッセージのIPアドレスは、アクセスGW3となる。
【0044】
ポータルサーバ7は、クライアント2のアプリケーションプログラムからのリクエストメッセージを受信し、レスポンスメッセージとしてコンテンツの一覧を示すデータ(ここではHTML文書であるとする)を返信する一般的なポータルサーバである。
【0045】
また、ポータルサーバ7は、認証済みIDを確認する機能を有する。すなわち、ポータルサーバ7は、リクエストメッセージに認証済みIDが格納されているかどうかを調査する。リクエストメッセージに認証済みIDが格納されていた場合、ポータルサーバ7は、認証済みIDを認証サーバ6に問い合わせて、認証済みIDの正当性を確認する。リクエストメッセージに認証済みIDが格納されていない場合、または認証済みIDが期限切れ等の理由で正当なものでない場合、ポータルサーバ7は、クライアント2に認証サーバ6へのリダイレクトを指示するレスポンスメッセージを送信する。
【0046】
認証サーバ6は、クライアント2からの認証要求を受付け、認証処理を行う一般的な認証サーバである。認証処理が正常に完了した場合、認証サーバ6は認証済みIDをクライアント2に送信する。
【0047】
DNSサーバ12は、クライアント2からFQDNについて問い合わせメッセージを受信し、その問い合わせされたFQDNに対応するIPアドレスを返信する。問い合わせ対象のFQDNがコンテンツサーバ4のFQDNの場合、DNSサーバ12は、問い合わせメッセージの送信元IPアドレスやコンテンツサーバの負荷状況に応じて適切なコンテンツサーバ4を選択する。それから、DNSサーバ12は、選択したコンテンツサーバ4を仮想化するアクセスGW3のIPアドレスを回答として返信する。
【0048】
アクセスGW3は、設定先選択機能30から、認証済みIDを設定するための設定メッセージを受付け、正当な認証済みIDのリストを保持する。アクセスGW3は、クライアント2からコンテンツサーバ4へのリクエストメッセージを受信し、リクエストメッセージ内の認証済みIDを調査する。リクエストメッセージに格納されている認証済みIDが正当な認証済みIDのリストに存在する場合、アクセスGW3は、リクエストメッセージをコンテンツサーバ4へ転送する。リクエストメッセージに認証済みIDが格納されていない場合、または格納されている認証済みIDが正当な認証済みIDのリストにない場合、アクセスGW3は、リクエストを遮断する。
【0049】
コンテンツサーバ4は、クライアント2からのリクエストメッセージを受信し、クライアント2にコンテンツを提供する一般的なコンテンツサーバである。
マッピング機能40は、本実施形態では、ポータルサーバ7のゲートウェイ装置において起動するプログラムである。なお、マッピング機能40を行うプログラムは、ポータルサーバ7において起動するものであってもよい。マッピング機能40は、FQDN生成部24、通知部41、ID−FQDN管理部42、格納部(不図示)を有している。格納部には、書き換え箇所定義情報27、ID格納箇所定義情報28、設定先選択機能アドレス情報43、ID−FQDN管理テーブル44が格納されている。なお、FQDN生成部24は、図4におけるFQDN生成部24−1に相当する。
【0050】
FQDN生成部24は、ポータルサーバ7がクライアント2へ送信するHTML文書内の、コンテンツサーバ4のFQDNを抽出し、この抽出したFQDNを認証済みID毎に任意のFQDNへ変換する。そして、FQDN生成部24は、HTML文書内のオリジナルのFQDN(変換前FQDN)をその変換したFQDN(変換後FQDN)へ書き換える。このとき、FQDN生成部24は、HTML文書内でのコンテンツサーバ7のFQDNが設定されている箇所を書き換え箇所定義情報27より取得する。また、FQDN生成部24は、メッセージ内において認証済みIDが設定されている箇所をID格納箇所定義情報28より取得する。
【0051】
ID−FQDN管理部42は、ID−FQDN管理テーブル44を用いて、認証済みIDと変換前FQDNおよび変換後FQDNの対応関係情報を管理する。
通知部41は、設定先選択機能アドレス情報43を用いて、認証済みID、変換前FQDN、変換後FQDNを設定先選択機能30のアドレスへ通知する。
【0052】
設定先選択機能30は、本実施形態では、DNSサーバ12のゲートウェイ装置において起動するプログラムである。なお、設定先選択機能30を行うプログラムは、DNSサーバ12において起動するものであってもよい。設定先選択機能30は、設定部31、設定制御部32、変換管理部22、通信受付部34、格納部(不図示)を有している。格納部には、ID−アドレステーブル33、ID−FQDNテーブル26、FQDN変換テーブル25が格納されている。なお、変換管理部22は、図4におけるFQDN書き戻し部22−2とFQDN−アドレス対応付け部22−1を統合したものに相当する。
【0053】
通知受付部34は、マッピング機能40より通知メッセージを受付ける。通知メッセージには、認証済みIDと変換前FQDNおよび変換後FQDNの組が含まれる。通知受付部34は、通知メッセージ受信後、ID−FQDNテーブル26に、認証済みIDと変換後FQDNの組を記憶する。また、通知受付部34は、FQDN変換テーブル25に、変換前FQDNと変換後FQDNの組を記憶する。
【0054】
変換管理部22は、クライアント2とDNSサーバ12間で受送信されるメッセージ内のFQDNの書き換えを行う。変換管理部22は、書き換えるFQDNをFQDN変換テーブル25から取得する。
【0055】
変換管理部22は、クライアント2からDNSサーバ12へ送信される問い合わせメッセージ内のFQDNが変換後FQDNである場合、そのメッセージ中の変換後FQDNを変換前FQDNへ書き換える。それから、変換管理部22は、その書き換え後のメッセージをDNSサーバ12へ転送する。
【0056】
変換前FQDNへ書き換えた後のメッセージに対してDNSサーバ12から回答メッセージがあった場合、変換管理部22は、その回答メッセージ中の変換前FQDNを変換後FQDNへ書き換える。変換管理部22は、FQDNを変換後FQDNへ書き換えたDNSサーバ12からの回答メッセージをクライアント2へ転送する。
【0057】
変換管理部22は、変換後FQDNと、そのときの回答メッセージに含まれるIPアドレスを対応付けて、設定制御部32にFQDNとIPアドレスの対応関係情報を通知する。
【0058】
設定制御部32は、ID−FQDNテーブル26の認証済みIDと変換後FQDNの対応関係と、変換管理部22より取得する変換後FQDNとIPアドレスの対応関係とに基づいて、認証済みIDとIPアドレスを対応付ける。設定制御部32は、その対応付けた認証済みIDとIPアドレスを設定部31へ通知する。
【0059】
それから、設定制御部32は、認証済みIDとIPアドレスの対応関係をID−アドレステーブル33に記憶する。クライアント2からの問い合わせに対してDNSサーバ12から回答メッセージがあった際、得られた認証済みIDとIPアドレスの組み合わせが既にID−アドレステーブル33にあるとする。この場合、設定制御部32は、その認証済みIDとIPアドレスの組み合わせについては、設定部31へは通知しない。
【0060】
設定部31は、設定制御部32からの通知に従い、認証済みIDをアクセスGW3に設定するための設定メッセージを、IPアドレスで指定されるアクセスGW3へ送信する。
【0061】
図6は、本実施形態におけるマッピング機能40を有するゲートウェイ装置40−1の構成図である。ゲートウェイ装置40−1は、例えばクライアント2−ポータルサーバ7間のメッセージを中継するゲートウェイ装置である。ゲートウェイ装置40−1は、受信部40−2、生成部40−3、送信部40−4を含む。
【0062】
受信部40−2は、ポータルサーバ7からクライアント2へのコンテンツの一覧などのリソース提供のためのメッセージを受信する。生成部40−3は、そのリソース提供のためのメッセージ内におけるコンテンツサーバ7のFQDNと認証済みIDとに基づいて、認証済みID毎に、そのFQDN(変換前FQDN)を特定できるFQDN(変換後FQDN)を生成する。生成部40−3は、そのメッセージ内における変換前FQDNを変換後FQDNに書き換える。受信部40−2及び生成部40−3による処理は、図8のS6〜S7の処理に相当する。
【0063】
送信部40−4は、認証済みIDと、変換前FQDNおよび変換後FQDNとの対応関係を、設定先選択機能30を有する、クライアント−DNSサーバ間のメッセージを中継するゲートウェイ30−1に通知する。この通知処理は、図8のS7の処理に相当する。
【0064】
また、送信部40−4は、生成部40−3にてFQDNの書き換えを行ったリソース提供のためのメッセージをクライアント2へ転送する。この転送処理は、図8のS9の処理に相当する。
【0065】
図7は、本実施形態における設定先選択機能30を有するゲートウェイ装置30−1の構成図である。ゲートウェイ装置30−1は、例えばクライアント−DNSサーバ間のメッセージを中継するゲートウェイ装置である。ゲートウェイ装置30−1は、受信部30−2、記憶部30−3、抽出部30−4、送信部3−5を含む。
【0066】
受信部30−2は、マッピング機能40を有するゲートウェイ30−1の送信部40−4から通知された、認証済みIDと、変換前FQDNおよび変換後FQDNとの対応関係情報を受信する。受信部30−2は、この受信した認証済みIDと、変換前FQDNおよび変換後FQDNとの対応関係情報を記憶部30−3に格納する。この受信処理は、図8のS7の処理に相当する。
【0067】
また、受信部30−2は、次の処理も行う。例えば、リソース提供のためのメッセージを受信したクライアント2において、ユーザがコンテンツ一覧の中から閲覧したいコンテンツを選択する。すると、コンテンツサーバ4の名前解決を行うために、クライアント2はDNSサーバ12へリソース提供のためのメッセージにおいて設定されていたFQDN(変換後FQDN)についての問い合わせメッセージを送信する。受信部30−2は、クライアント2からその変換後FQDNについての問い合わせメッセージを受信する。この受信処理は、図8のS10の処理に相当する。
【0068】
抽出部30−4は、記憶部30−3から、クライアント装置2から受信した問い合わせメッセージ中の変換後FQDNに対応する、認証済みIDと変換前FQDNとを抽出する。
【0069】
その後、ゲートウェイ30−1において、クライアント2からの問い合わせメッセージ内のFQDNが変換後FQDNである場合、そのメッセージ内における変換後FQDNが変換前FQDNへ書き換えられる。
【0070】
その後、ゲートウェイ30−1は、DNSサーバ12に問い合わせて、その変換前FQDNのIPアドレスを取得する。なお、ゲートウェイ30−1がDNSサーバ12も兼ねていてもよい。ゲートウェイ30−1は、認証済みIDとそのIPアドレスを対応付ける。
【0071】
送信部30−5は、アクセスGW3に認証済みIDを設定するための設定メッセージを、その認証済みIDと対応付けたIPアドレス(すなわち、アクセスGW3)へ送信する。この送信処理は、図8のS13の処理に相当する。
【0072】
その問い合わせメッセージに対するDNSサーバ12からの回答メッセージのFQDNは、変換前FQDNから変換後FQDNへ書き換えられる。送信部30−5は、FQDNを変換後FQDNへ変換したDNSサーバ12からの回答メッセージをクライアント2へ転送する。これらの処理は、図8のS11〜S13,S15の処理に相当する。
【0073】
図5〜図7で説明した内容について、図8を用いて詳述する。
図8は、本実施形態におけるアクセス制御システム20−1の全体シーケンスの一例を示す。クライアント2はポータルサーバ7にリソース(コンテンツの一覧など)要求メッセージを送信する(S1)。
【0074】
初めてのリソース要求メッセージには認証済みIDが格納されていないため、ポータルサーバ7は、クライアント2にリダイレクトを指示する(認証サーバにアクセスするよう指示する)レスポンスを送信する。そのリダイレクト指示のレスポンスを受信したクライアント2は、認証サーバ6にリクエストを送信する(S2)。
【0075】
クライアント2が認証サーバ6にID・パスワード等を送信するなどして認証処理を行う。認証処理が完了すると、認証サーバ6は認証済みIDを生成する(S3)。
認証サーバ6は、クライアント2に対して、認証済みIDを通知するとともに、ポータルサーバ7へリダイレクトを指示するレスポンスメッセージを送信する。そのレスポンスメッセージを受信したクライアント2は、認証済みIDを格納したリクエストメッセージをポータルサーバ7へ送信する(S4)。
【0076】
ポータルサーバ7は、認証済みIDが格納されたリクエストメッセージを受信した場合、認証サーバ6に対して認証済みIDの正当性の確認を行う(S5)。
認証済みIDが正当なものであった場合、ポータルサーバ7はクライアント2へコンテンツの一覧などのリソースを提供するために、マッピング機能40にそのリソースを提供する(S6)。
【0077】
マッピング機能40は、ポータルサーバ7からクライアント2へのコンテンツの一覧などのリソース提供のためのメッセージを受信した場合、そのメッセージ内のコンテンツサーバ7のFQDNの書き換えを行う。すなわち、マッピング機能40は、そのリソース提供のためのメッセージ内におけるコンテンツサーバ7のFQDNと認証済みIDとに基づいて、認証済みID毎に、そのFQDN(変換前FQDN)を特定できるFQDN(変換後FQDN)を生成する。マッピング機能40は、そのメッセージ内における変換前FQDNを変換後FQDNに書き換える。以降、変換前のFQDNを「original−fqdn」、変換後FQDNを「private−fqdn」として説明する。
【0078】
マッピング機能40は、original−fqdnとprivate−fqdnおよびメッセージ内の認証済みIDの対応関係を設定先選択機能30に通知する(S7)。
その後、設定先選択機能30は、Acknowledgementをマッピング機能40に返信する(S8)。
【0079】
マッピング機能40は、S6において変換後FQDN(private−fqdn)に書き換えを行ったポータルサーバ7からのリソース提供のためのメッセージをクライアント2へ転送する(S9)。
【0080】
そのリソース提供のためのメッセージを受信したクライアント2において、ユーザがコンテンツ一覧の中から閲覧したいコンテンツを選択する。すると、コンテンツサーバ4の名前解決を行うために、クライアント2はDNSサーバ12へprivate−fqdnについての問い合わせメッセージを送信する(S10)。
【0081】
設定先選択機能30は、S7で通知されたoriginal−fqdnとprivate−fqdnの関係情報に基づいて、クライアント2からのFQDNについての問い合わせメッセージ内のprivate−fqdnをoriginal−fqdnに書き換える。それから、設定先選択機能30は、その書き換えた問い合わせメッセージをDNSサーバ12へ転送する(S11)。
【0082】
DNSサーバ12は、クライアント2の送信元IPアドレスやコンテンツサーバ4の負荷状況に基づき適切なコンテンツサーバ4を選択し、クライアント2に回答するIPアドレスを決める。DNSサーバ12は、決定したIPアドレスを、クライアント2からの問い合わせに対する回答メッセージとして送信する(S12)。なお、コンテンツサーバ4はアクセスGW3によって仮想化されているため、その決定したIPアドレスはアクセスGW3のIPアドレスである。
【0083】
設定先選択機能30は、DNSサーバ12からの回答メッセージ内のoriginal−fqdnをprivate−fqdnに書き換える。また、設定先選択機能30は、private−fqdnと回答メッセージ内のIPアドレスとを対応づけて、記憶する。設定先選択機能30は、そのprivate−fqdnと回答メッセージ内のIPアドレスの対応関係と、S7で通知されたprivate−fqdnと認証済みIDの対応関係とに基づいて、認証済みIDとIPアドレスを対応付けて記憶する。それから、設定先選択機能30は、アクセスGW3に認証済みIDを設定するための設定メッセージを、その認証済みIDと対応付けたIPアドレス(すなわち、アクセスGW3)へ送信する(S13)。
【0084】
上記設定メッセージを受信したアクセスGW3は、認証済みIDの設定が完了すると、Acknowledgementを設定先選択機能30へ返信する(S14)。
設定先選択機能30は、S13にてoriginal−fqdnからprivate−fqdnへ書き換えを行った回答メッセージをクライアント2に転送する(S15)。
【0085】
クライアント2はDNSサーバ12から、private−fqdnについての問い合わせに対する回答として受信したIPアドレスを宛先IPアドレスとして、その宛先IPアドレスにコンテンツのリソース要求メッセージを送信する(S16)。この時、認証済みIDは、そのリソース要求メッセージ内に格納されている。
【0086】
アクセスGW3はクライアント2からコンテンツのリソース要求メッセージを受信すると、要求メッセージ内の認証済みIDが既に設定済みの認証済みIDの一覧にあるかどうかを調査し、認証済みIDの正当性を確認する。認証済みIDが正当なものである場合、アクセスGW3は、そのリソース要求メッセージをコンテンツサーバ4へ転送する(S17)。
【0087】
コンテンツサーバ4はそのリソース要求メッセージに対するレスポンスメッセージをアクセスGW3へ返信する(S18)。
アクセスGW3は、そのコンテンツサーバ4からのリソース要求メッセージに対するレスポンスメッセージをクライアント2へ転送する(S19)。
【0088】
以上が、本実施形態の全体のシーケンスである。以下では、マッピング機能40、設定先選択機能30に着目して説明する。まず、マッピング機能40の、より詳細な動作について説明する。マッピング機能40の上記S6〜S9に対応するフローチャートを図9に示す。
【0089】
図9は、本実施形態におけるコンテンツの一覧などのリソース提供のためのレスポンスメッセージを受信した場合のマッピング機能40の処理フローを示す。
FQDN生成部24は、ポータルサーバ7からクライアント2へのコンテンツの一覧などのリソース提供のためのレスポンスメッセージを受信する(S21)。ポータルサーバ7からクライアント2へ送信されるリソース提供のためのレスポンスメッセージ50の一例を図10に示す。
【0090】
図10において、コンテンツの一覧などのリソース提供のためのレスポンスメッセージ50は、IPヘッダ51、TPCヘッダ52、レイヤ7プロトコルヘッダ(例えばHTTPヘッダ)53、メッセージコンテンツ(例えば、HTML文書)等を含む。
【0091】
FQDN生成部24は、レスポンスメッセージ50から認証済みIDとコンテンツサーバ4のFQDNを抽出する(S22)。FQDN生成部24は、ID格納箇所定義情報28から、レスポンスメッセージ50中において認証済みIDの抽出箇所を特定する属性情報を取得する。また、FQDN生成部24は、書き換え箇所定義情報27から、レスポンスメッセージ50中においてコンテンツサーバ4のFQDN抽出箇所を特定する属性情報を取得する。ここで、ID格納箇所定義情報28の一例を図11に示す。
【0092】
図11に示すID格納箇所定義情報28では、HTTPのヘッダフィールド名「Set−Cookie」で指定されるCookieの内、NAMEが「Authe」であるものが認証済みIDであることを定義している。よって、レスポンスメッセージ50を受信したFQDN生成部24は、ID格納箇所定義情報28に基づいて、HTTPヘッダ53の「Set−Cookie:Authe=12345;」から文字列「12345」を認証済みIDとして抽出する。
【0093】
次に、書き換え箇所定義情報27の一例を図12に示す。図12に示す書き換え箇所定義情報27では、HTML文書のA要素のHREFという属性を書き換え箇所として定義するものである。よって、FQDN生成部24は、書き換え箇所定義情報27に基づいて、HTML文書54の「<A HREF=“Http://srv1.example.com/content1”>」から、文字列「srv1.example.com」を抽出する。この文字列「srv1.example.com」は、コンテンツサーバ4のFQDNとして抽出されたものである。
【0094】
FQDN生成部24は、抽出した認証済みID及びコンテンツサーバのFQDNをID−FQDN管理部42に渡す。
ID−FQDN管理部42は、認証済みIDと変換前FQDNをキーにID−FQDN管理テーブル44を検索する(S23)。ここで、ID−FQDN管理テーブル44の一例を図13に示す。
【0095】
図13において、ID−FQDN管理テーブル44は、「認証済みID」と、その認証済みIDに対応する「変換前FQDN」及び「変換後FQDN」の組を1つのエントリとして持つ。
【0096】
S23での検索の結果、該当するエントリが存在しない場合(S23で「No」)、ID−FQDN管理部42は、認証済みIDとコンテンツサーバ4のFQDNとの組み合わせに対応する任意のFQDN(変換後FQDN)を生成する。例えば、ID−FQDN管理部42は、認証済みID「12345」とコンテンツサーバ4のFQDN「srv1.example.com」の組み合わせに対応するFQDN「ccc.example.com」を変換後FQDNとして生成する。それから、ID−FQDN管理部42は、その生成した変換後FQDNを、変換前FQDNと認証済みとに対応付けて、ID−FQDN管理テーブル44に登録する(S24)。
【0097】
ID−FQDN管理部42は、認証済みID「12345」、コンテンツサーバのFQDN「srv1.example.com」、変換後FQDN「ccc.example.com」の組を通知部41へ渡す。
【0098】
通知部41は、設定先選択機能アドレス情報43を参照する。ここで、設定先選択機能アドレスの一例を図14に示す。図14において、設定先選択機能アドレス情報43には、設定先選択機能アドレスとして例えば「192.0.2.111」が格納されている。
【0099】
通知部41は、設定先選択機能アドレス情報43から得られたIPアドレス「192.0.2.111」を宛先として、認証済みID、コンテンツサーバ4の変換前FQDN、変換後FQDNの組を含む通知メッセージを設定先選択機能30に送信する(S25)。ここで、マッピング機能から設定先選択機能へ送信される通知メッセージの一例を図15に示す。
【0100】
図15において、通知メッセージ60は、認証済みID「12345」、コンテンツサーバ4の変換前FQDN「srv1.example.com」、変換後FQDN「ccc.example.com」の組を含む。
【0101】
通知部41は、その通知メッセージ60に対して設定先選択機能30からAcknowledgementを受信すると、S25の通知処理が完了する。すると、通知部41は、ID−FQDN管理部42に通知メッセージ60の送信処理が完了したことを通知する。
【0102】
S23での検索の結果、該当するエントリが存在する場合(S23で「Yes」)、またはS25における通知メッセージ60の通知処理が完了した場合、ID−FQDN管理部42は、次を行う。すなわち、ID−FQDN管理部42は、コンテンツサーバ7の変換前FQDN「srv1.example.com」と変換後FQDN「ccc.example.com」をFQDN生成部24に渡す。
【0103】
FQDN生成部24は、S22にて抽出したHTML文書54内のコンテンツサーバ4のFQDN「srv1.example.com」を、変換後FQDN「ccc.example.com」に書き換える(S26)。
【0104】
FQDN生成部24は、書き換えたHTML文書54を含むレスポンスメッセージ50をクライアント2に送信する(S27)。
次に、上述した設定先選択機能30について、より詳細な動作について説明する。設定先選択機能30の動作は、マッピング機能40からの通知メッセージ60を受信した場合(S7〜S8)と、クライアント2からDNSサーバ12への問い合わせメッセージを受信した場合(S10〜S15)とに分かれる。まずは、マッピング機能40からの通知メッセージ60を受信した場合の設定先選択機能30の動作(S7〜S8)の詳細なフローチャートを図16に示す。
【0105】
通知受付部34は、マッピング機能40からの通知メッセージ60を受信する(S31)。図15に示すように、通知メッセージ60には認証済みID、変換前FQDN、及び変換後FQDNが含まれる。
【0106】
通知受付部34は、認証済みIDと変換後FQDNの組をID−FQDNテーブル26に登録する(S32)。また、通知受付部34は、変換前FQDNと変換後FQDNの組をFQDN変換テーブル25に登録する。ID−FQDNテーブル26の一例を図17に示す。FQDN変換テーブル25の一例を図18に示す。
【0107】
FQDN変換テーブル25及びID−FQDNテーブル26へのエントリの登録が完了すると、通知受付部34はマッピング機能40にAcknowledgmentを返信する(S33)。
【0108】
次に、クライアント2からDNSサーバ12へのFQDNについての問い合わせメッセージを受信した場合の設定先選択機能30の動作(S10〜S15)の詳細なフローチャートを図19に示す。
【0109】
まず、変換管理部22は、クライアント2からDNSサーバ12への問い合わせメッセージを受信する(S41)。図8のS10において説明したように、この問い合わせメッセージにおいて問い合わせ対象のFQDNは、変換後FQDN(private−fqdn)である。
【0110】
変換管理部22は、問い合わせ対象のFQDNをキーに、FQDN変換テーブル25の列「変換後FQDN」を検索する(S42)。S42において、FQDN変換テーブル25にヒットするエントリが存在しない場合(S42で「No」)、この問合せは、変換後FQDNを受信したクライアント以外のクライアントからのDNSサーバ12への問い合わせである。この場合、変換管理部22は、DNSサーバ12へ問い合わせメッセージを転送し(S43)、DNSサーバ12から回答メッセージを受信すると、S51へ進む。
【0111】
S42においてFQDN変換テーブル25にヒットするエントリが存在し、変換前FQDNが得られた場合について説明する(S42で「Yes」)。この場合、変換管理部22は、この問合せが、変換後FQDNを受信したクライアント2からのDNSサーバ12への問い合わせであることがわかる。
【0112】
このとき、変換管理部22は、問い合わせメッセージのFQDN(変更後FQDN)を、S42にてFQDN変換テーブル25を検索して得られた変換前FQDNに書き換える(S44)。例えば、FQDN変換テーブル25の内容が図18の通りで、問い合わせ対象のFQDNが「ccc.example.com」であった場合、変換管理部22は、そのFQDNを「srv1.example.com」に書き換える。
【0113】
変換管理部22は、問い合わせメッセージをDNSサーバ12へ送信し、DNSサーバ12からの回答メッセージを得る(S45)。
変換管理部22は、回答メッセージ内の変換前FQDNを、変換後FQDNに書き換える(S46)。例えば、変換管理部22は、回答メッセージ内の「srv1.exmaple.com」を「ccc.example.com」に書き換える。
【0114】
また、変換管理部22は、変換後FQDNとDNSサーバ12からの回答メッセージに含まれるIPアドレスとを対応づける。それから、変換管理部22は、その対応付けた変換後FQDNとIPアドレスの組を設定制御部32へ渡す。例えば、回答に含まれるIPアドレスが「192.0.2.222」であった場合、変換管理部22は、「ccc.example.com」と「192.0.2.222」の組を設定制御部32へ渡す。
【0115】
設定制御部32は、変換後FQDNをキーにID−FQDNテーブル26を検索し、認証済みIDを得る(S47)。よって、設定制御部32は、認証済みIDとIPアドレスを対応づけることが出来る。例えば、ID−FQDNテーブル26が図17の場合、設定制御部32は、変換後FQDN「ccc.example.com」をキーに検索を行うと、認証済みID「12345」が得られる。この時、対応付けられる認証済みIDとIPアドレスは、「12345」と「192.0.2.222」である。
【0116】
設定制御部32は、認証済みIDとIPアドレスの組をキーにID−アドレステーブル33を検索する(S48)。ここで、ID−アドレステーブル33の一例を図20に示す。図20では、ID−アドレステーブル33は、認証済みIDとIPアドレスから構成される。
【0117】
S48における検索の結果、ID−アドレステーブル33において、認証済みIDとIPアドレスの組が既に登録済みである場合(S48で「Yes」)、設定制御部32は変換管理部22に制御を渡し、S51へ進む。S48における検索の結果、ID−アドレステーブル33において、認証済みIDとIPアドレスの組が未登録である場合(S48で「No」)、S49へ進む。例えば、図20において、認証済みID「12345」とIPアドレス「192.0.2.222」との組を検索すると、この組はID−アドレステーブル33に未登録であるため、S49へ進む。
【0118】
設定制御部32は認証済みIDとIPアドレスの組をID−アドレステーブル33に登録し(S49)、認証済みIDとIPアドレスの組を設定部31に渡す。
設定部31は、設定制御部32から渡された認証済みIDの設定メッセージを、設定制御部32から渡されたIPアドレス宛てに送信する(S50)。そのIPアドレスは、分散配置されたアクセスGW3の内の1つのIPアドレスである。設定先選択機能30からアクセスGW3へ送信される設定メッセージ61の一例を図21に示す。図21において、設定メッセージ61には認証済みID「12345」が設定されている。
【0119】
アクセスGW3は、その設定メッセージ61を受信すると、認証済みIDを設定する。アクセスGW3は、認証済みIDの設定が完了すると、設定先選択機能30にAcknowledgementを返信する。
【0120】
設定部31は、設定先選択機能30からのAcknowledgementを受信すると、設定制御部32に認証済みIDの設定の完了を通知する。すると、設定制御部32は変換管理部22に制御を渡す。
【0121】
変換管理部22は、DNSサーバ12からの回答メッセージをクライアント2へ転送する(S51)。
本実施形態によれば、クライアントと認証サーバ間、クライアントとDNSサーバ間にHTTPプロキシサーバやDNSキャッシュサーバが存在する場合でも、次のことができる。すなわち、「認証サーバが認証済みIDを送信したクライアント」と「DNSサーバがIPアドレスを回答したクライアント」を対応づけることができる。そのため、認証済みIDの設定先を常にそれぞれのクライアントがアクセスするアクセスGWのみにすることが可能である。よって認証済みIDの設定処理量はアクセスGW数に非依存となり、分散配置されるコンテンツサーバ及びアクセスGW数に応じてシステム全体の性能向上が見込める。
【0122】
また、クライアント2から問い合せされたFQDNが「変換後FQDN」であれば、設定先選択機能21は、そのクライアントが既に認証されたクライアントであることが分かる。したがって、認証済みIDが発行され、ポータルサーバ7から認証済みID毎にFQDNが書き換えられたメッセージをクライアントが受信した後にセッションが切れたとする。この場合、クライアントは再度認証を受けなくても、DNSサーバに対して、FQDNの問合せ要求を行うことができる。すなわち、図8のS9とS10との間でセッションが切れた後、S10からシーケンスを開始しても、クライアントから問い合せされたFQDNが「変換後FQDN」であれば、既に認証されたクライアントであることを確認することができる。
【0123】
<第2の実施形態>
本実施形態では、認証済みIDの有効期限に従って、マッピング機能が持つID−FQDN管理テーブル及び、設定先選択機能が持つID−FQDNテーブル、FQDN変換テーブル、ID−アドレステーブルの各エントリに有効期限を設定する例を示す。なお、本実施形態において、第1の実施形態と同一の構成要素については同一の符号を付し、その説明を省略する。
【0124】
図22は、本実施形態におけるアクセス制御システム20−2の構成例を示す。アクセス制御システム20−2において、マッピング機能40aは、図5のマッピング機能40に通知受付部45、有効期限管理部46を追加したものである。また、設定先選択機能30aは、図5の設定先選択機能30に有効期限管理部47を追加したものである。
【0125】
図23は、本実施形態におけるアクセス制御システム20−2の全体シーケンスの一例を示す。S1〜S3については、図8と同様である。
S3において認証サーバ6は認証済みIDを生成すると、その生成した認証済みIDの有効期限を設定する。それから、認証サーバ6は、認証済みIDとその有効期限をマッピング機能40aに通知する(S3−1)。
【0126】
マッピング機能40aは、認証サーバ6からの通知を受信すると、ID−FQDN管理テーブル44aに認証済みIDと有効期限を格納する。その後、マッピング機能40aは、認証サーバ6にAcknowledgementを送信する(S3−2)。
【0127】
S4〜S6については、図8と同様である。
それから、マッピング機能40aは、ポータルサーバ7からクライアント2へのコンテンツの一覧などのリソース提供のためのメッセージを受信する。すると、マッピング機能40aは、図8のS7で説明したのと同様に、そのメッセージ内のコンテンツサーバ7のFQDNの書き換えを行う。それから、マッピング機能40は、original−fqdnと、private−fqdnと、メッセージ内の認証済みIDとの対応関係情報、及び認証済みIDの有効期限を設定先選択機能30aに通知する(S7−1)。
【0128】
S8〜S12については、図8と同様である。
それから、設定先選択機能30aは、DNSサーバ12から、クライアント2からの問い合わせに対する回答メッセージを受信する。すると、設定先選択機能30aは、図8のS13で説明したのと同様に、その回答メッセージ内のoriginal−fqdnをprivate−fqdnに書き換える。それから、設定先選択機能30aは、private−fqdnと回答メッセージ内のIPアドレスを対応づける。設定先選択機能30aは、private−fqdnと回答メッセージ内のIPアドレスとの対応関係と、S7−1で通知されたprivate−fqdnと認証済みIDとの対応関係に基づいて、認証済みIDとIPアドレスを対応付ける。それから、設定先選択機能30aは、有効期限を含む認証済みIDを設定するための設定メッセージを、その認証済みIDと対応付けたIPアドレス(すなわち、アクセスGW3)へ送信する(S13−1)。
【0129】
S14〜S19については、図8と同様である。
有効期限管理部46,47はそれぞれ、認証済みIDの有効期限を管理する。認証済みIDはその有効期限が過ぎると、有効期限管理部46は、ID−FQDN管理テーブル44aからその有効期限が過ぎた認証済みIDに関係するエントリを削除する。また、認証済みIDはその有効期限が過ぎると、有効期限管理部47は、ID−FQDNテーブル26a、FQDN変換テーブル25a、ID−アドレステーブル33aからその有効期限が過ぎた認証済みIDに関係するエントリを削除する。
【0130】
図24は、本実施形態における、認証サーバ6から認証済みIDとその有効期限についての通知メッセージ受信時のマッピング機能40aのフローチャートを示す。図24のフローチャートは、図23のS3−1〜S3−2の詳細を示す。
【0131】
まず、通知受付部45は、認証サーバ6からの通知メッセージ80を受信する(S51)。認証サーバ6からマッピング機能40aへ送信される認証済みIDの有効期限を通知する通知メッセージ80の一例を図25に示す。図25に示すように、通知メッセージ80は、認証済みIDと、認証済みIDの有効期限を有している。
【0132】
通知受付部45は、通知メッセージ80から得られる認証済みIDとその有効期限をID−FQDN管理テーブル44aに登録する(S52)。ここで、ID−FQDN管理テーブル44aの一例を図26に示す。ID−FQDN管理テーブル44aは、図13のID−FQDN管理テーブル44に、データ項目「有効期限」が追加されたものである。
【0133】
認証済みIDとその有効期限の登録後、通知受付部45は認証サーバ6にAcknowledgementを送信する(S53)。
なお、マッピング機能40aの、ポータルサーバ7からのコンテンツの一覧などのリソース提供のためのレスポンスメッセージ受信時の動作(S6〜S9)は、図9のフローと同様である。
【0134】
次に、設定先選択機能30aの動作について説明する。設定先選択機能30aの動作は、基本的には図16と同様である。ただし、マッピング機能40aから設定先選択機能30aへ送信される通知メッセージ60a(図27)には、認証済みIDの「有効期限」が設定される。また、ID−FQDNテーブル26a(図28)、FQDN変換テーブル25a(図29)、ID−アドレステーブル33a(図30)にも、認証済みIDの「有効期限」が設定される。また、設定先選択機能3からアクセスGW3へ送信される設定メッセージ61a(図31)にも、認証済みIDの「有効期限」が設定される。
【0135】
認証済みIDの「有効期限」が過ぎれば、有効期限管理部46は、ID−FQDN管理テーブル44aから、その「有効期限」を含むエントリを削除する。同様に、認証済みIDの「有効期限」が過ぎれば、有効期限管理部47は、ID−FQDNテーブル26a(図28)、FQDN変換テーブル25a(図29)、ID−アドレステーブル33a(図30)から、その「有効期限」を含むエントリを削除する。
【0136】
図19において、例えば、有効期限が過ぎた認証済みIDに対応する変換後FQDNについての問い合わせがクライアント2からあったとする(S41)。しかしながら、FQDN変換テーブル25aには、問い合わせ対象のFQDNを含むエントリが存在しない(S42で「No」)。この場合、換え管理部22は、DNSサーバ12へ問い合わせメッセージを転送し(S43)、DNSサーバ12から回答メッセージを受信すると、その回答メッセージをクライアント2へ転送する(S51)。なお、ここでのDNSサーバ12からの回答メッセージは、そのFQDNに対応するIPアドレスがない旨のエラーメッセージである。
【0137】
本実施形態によれば、第1の実施形態の効果に加えて、さらに、認証済みIDの「有効期限」を設けることにより、その有効期限が過ぎた場合、その「有効期限」を含むエントリが全てのテーブルから削除される。これにより、使用されなくなった認証済みIDが登録されたままになるのを防止することができる。したがって、認証済みIDの信頼性を高めることができる。また、記憶領域の容量を必要以上に圧迫することがなく、メモリ資源を節約することができる。
【0138】
次に図32について説明する。図32は、第1または第2の実施形態におけるマッピング機能40,40aまたは設定先選択機能30,30aを有するゲートウェイ装置の各部の機能を実現するコンピュータのハードウェア構成の一例を示す。
【0139】
図32において、コンピュータ90は、CPU91、ROM92、RAM93、ハードディスク装置(HDD)94、インタフェース装置(I/F)95、入力装置96、出力装置97を備えている。これらの要素はいずれもバス98に接続されており、CPU91の管理の下で各種のデータを相互に授受することができる。
【0140】
CPU91は、マッピング機能40,40aを有するゲートウェイ装置または設定先選択機能30,30aを有するゲートウェイ装置全体の動作を制御する中央演算処理装置である。ROM(Read Only Memory)92は、各種の制御動作を行うための制御プログラムを格納する。RAM(Random Access Memory)93は、CPU91が制御プログラムを実行する際に必要に応じて使用する作業用の一時記憶領域を提供する。ROM92には、CPU91が実行する基本制御プログラムが予め格納されている。ROM92に格納されている基本制御プログラムをCPU91が読み出してその実行を開始すると、コンピュータ90の各部の制御が可能となる。
【0141】
HDD94は、CPU91によって実行される各種の制御プログラム、本実施形態に係るプログラムやデータ、テーブル等を記憶しておく記憶装置である。例えば、コンピュータ90が第1の実施形態のマッピング機能40を有するゲートウェイ装置の場合、HDD94には、書き換え箇所定義情報27、ID格納箇所定義情報28、設定先選択機能アドレス情報43、ID−FQDN管理テーブル44が格納されている。また、例えば、コンピュータ90が第1の実施形態の設定先選択機能30を有するゲートウェイ装置の場合、HDD94には、ID−アドレステーブル33、ID−FQDNテーブル26、FQDN変換テーブル25が格納されている。例えば、コンピュータ90が第2の実施形態のマッピング機能40aを有するゲートウェイ装置の場合、HDD94には、書き換え箇所定義情報27、ID格納箇所定義情報28、設定先選択機能アドレス情報43、ID−FQDN管理テーブル44aが格納されている。また、例えば、コンピュータ90が第2の実施形態の設定先選択機能30aを有するゲートウェイ装置の場合、HDD94には、ID−アドレステーブル33a、ID−FQDNテーブル26a、FQDN変換テーブル25aが格納されている。
【0142】
CPU91はハードディスク装置94に記憶されている上述した実施形態に係るマッピング機能40,40a又は設定先選択機能30,30aを実現する処理プログラム(例えば、図9、図16、図19、図24等)を読み出して実行する。
【0143】
I/F装置95は、外部コンピュータ等とコンピュータ90との間の各種データの送受信の管理を行う。入力装置96は、例えばキーボード装置やマウス装置である。出力装置97は、例えばディスプレイ、プリンタ等の出力装置である。
【0144】
上記の実施形態によれば、認証方法は以下のようになる。変換装置(例えば、マッピング機能40,40a)は、第1接続先データ(例えば、変換前FQDN)及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信する(S6,S21)。
【0145】
前記変換装置は、前記第1接続先データを特定する第2接続先データ(例えば、変換後FQDN)を生成する(S24)。前記変換装置は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを中継装置(例えば、設定先選択機能30,30a)へ送信する(S7,S25)。すると、前記中継装置は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて記憶装置に格納する(S32)。それから、前記変換装置は、前記第1接続先データを前記第2接続先データに置換したサービスデータを前記認証済ユーザが操作するクライアント装置(例えば、クライアント2)へ送信する(S9,S26,S27)。すると、前記クライアント装置は、前記置換されたサービスデータと前記ユーザの操作により選択された前記第2接続先データを前記中継装置に送信する(S10,S41)。前記中継装置は、前記記憶部から、前記クライアント装置から送信された第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出する(S42)。前記中継装置は、前記抽出した第1接続先データの示すサーバ装置(例えば、アクセスGW3)へ、前記抽出した認証情報を送信する(S13,S50)。前記中継装置は、前記サーバ装置のアドレスを前記クライアント装置へ送信する(S15,S51)。前記クライアント装置は、前記アドレスと前記認証情報を用いて、前記サーバ装置と通信する(S16)。
【0146】
このように構成することにより、1つの認証済みID生成時のアクセスGWへの認証済みIDの設定量をアクセスGW数に非依存にすることができる。また、認証済みIDが発行され、認証済みID毎にFQDNが書き換えられたメッセージをクライアントが受信した後にセッションが切れても、クライアントは再度認証を受けなくても、DNSサーバに対して、FQDNの問合せ要求を行うことができる。
【0147】
前記中継装置は、前記サーバ装置に対して前記認証情報を送信済である場合は、前記認証情報を送信しない。
このように構成することにより、既にアクセスGWに認証済みIDが設定されている場合には、アクセスGWに対して再度認証済みIDの設定を行う必要がないので、アクセスGWへの認証済みIDの設定処理量を削減できる。
【0148】
前記変換装置および前記中継装置は、前記認証済ユーザの認証情報、該認証情報と関係付けられた前記第1接続先データ、および該認証情報と関係付けられた前記第2接続先データを記憶し、一定時間経過後に消去する。当該消去は、例えば、本実施形態で言えば、有効期限管理部46,47により行われる。
【0149】
このように構成することにより、認証済みIDの「有効期限」を設けることにより、その有効期限が過ぎた場合、その「有効期限」を含むエントリを全てのテーブルから削除することができる。
【0150】
変換装置(例えば、ゲートウェイ40−1)は、受信部(例えば、受信部40−2)、生成部(例えば、生成部40−3)、送信部(例えば、送信部40−4)を含む。受信部は、第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信する。生成部は、前記第1接続先データを特定する第2接続先データを生成する。送信部は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置(例えば、ゲートウェイ30−1)へ送信し、前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置(例えば、クライアント2)へ送信する。
【0151】
このように構成することにより、変換装置は、クライアントと設定先選択機能に、認証済みID毎に生成された変換後FQDNを通知することにより、クライアントと設定先選択機能間では、変換後FQDNを用いて、通信することができる。
【0152】
中継装置(例えば、ゲートウェイ30−1)は、受信部(例えば、受信部30−2)、記憶部(例えば、記憶部30−3)、抽出部(例えば、抽出部30−4)、送信部(例えば、送信部30−5)を含む。受信部は、変換装置(例えば、ゲートウェイ40−1)から、認証済ユーザの認証情報、第1接続先データ、および第2接続先データを受信する。また、受信部は、ユーザの操作により選択された第2接続先データを該ユーザが操作するクライアント装置から受信する。記憶部は、前記変換装置から受信した前記第2接続先データ、前記認証情報および前記第1接続先データを関係付けて記憶する。抽出部は、前記記憶部から、前記クライアント装置から受信した第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出する。送信部は、前記抽出した第1接続先データの示すサーバ装置へ前記抽出した認証情報を送信し、前記サーバ装置のアドレスを前記クライアント装置へ送信する。
【0153】
このように構成することにより、中継装置は、クライアントとの間では、変換後FQDNを用いて通信をし、アクセスGWとの間では、変換前FQDNを用いて通信をすることができる。
【0154】
なお、本実施形態は、以上に述べた実施の形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成または実施形態を取ることができる。
【0155】
上記実施形態に関し、更に以下の付記を開示する。
(付記1)
変換装置は、第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信し、
前記変換装置は、前記第1接続先データを特定する第2接続先データを生成し、
前記変換装置は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信し、
前記中継装置は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて記憶装置に格納し、
前記変換装置は、前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置へ送信し、
前記クライアント装置は、前記置換されたサービスデータと前記ユーザの操作により選択された前記第2接続先データを前記中継装置に送信し、
前記中継装置は、前記記憶部から、前記クライアント装置から送信された第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出し、
前記中継装置は、前記抽出した第1接続先データの示すサーバ装置へ、前記抽出した認証情報を送信し、
前記中継装置は、前記サーバ装置のアドレスを前記クライアント装置へ送信し、
前記クライアント装置は、前記アドレスと前記認証情報を用いて、前記サーバ装置と通信する
ことを特徴とする認証方法。
(付記2)
前記中継装置は、前記サーバ装置に対して前記認証情報を送信済である場合は、前記認証情報を送信しない
ことを特徴とする付記1記載の認証方法。
(付記3)
前記変換装置および前記中継装置は、前記認証済ユーザの認証情報、該認証情報と関係付けられた前記第1接続先データ、および該認証情報と関係付けられた前記第2接続先データを記憶し、一定時間経過後に消去する
ことを特徴とする付記1記載の認証方法。
(付記4)
第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信し、
前記第1接続先データを特定する第2接続先データを生成し、
前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信し、
前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置へ送信する
ことをコンピュータに実行させることを特徴とするプログラム。
(付記5)
第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信する受信部と、
前記第1接続先データを特定する第2接続先データを生成する生成部と、
前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信し、前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置へ送信する送信部と、
を備えることを特徴とする変換装置。
(付記6)
認証済ユーザの認証情報、第1接続先データ、および第2接続先データを変換装置から受信し、
前記変換装置から受信した認証済ユーザの認証情報、第1接続先データ、および第2接続先データを関係付けて記憶装置に格納し、
ユーザの操作により選択された第2接続先データを該ユーザが操作するクライアント装置から受信し、
前記記憶装置から、前記クライアント装置から受信した第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出し、
前記抽出した第1接続先データの示すサーバ装置へ、前記抽出した認証情報を送信し、
前記サーバ装置のアドレスを前記クライアント装置へ送信する
ことをコンピュータに実行させることを特徴とするプログラム。
(付記7)
変換装置から、認証済ユーザの認証情報、第1接続先データ、および第2接続先データを受信し、ユーザの操作により選択された第2接続先データを該ユーザが操作するクライアント装置から受信する受信部と、
前記変換装置から受信した前記第2接続先データ、前記認証情報および前記第1接続先データを関係付けて記憶する記憶部と、
前記記憶部から、前記クライアント装置から受信した第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出する抽出部と、
前記抽出した第1接続先データの示すサーバ装置へ前記抽出した認証情報を送信し、前記サーバ装置のアドレスを前記クライアント装置へ送信する送信部と、
を備えることを特徴とする中継装置。
(付記8)
変換装置と中継装置を含む認証システムであって、
前記変換装置は、
第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信する受信部と、
前記第1接続先データを特定する第2接続先データを生成する生成部と、
前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信し、前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置へ送信する送信部と、
を備え、
前記中継装置は、
前記変換装置から、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを受信し、前記ユーザの操作により選択された第2接続先データを前記クライアント装置から受信する受信部と、
前記変換装置から受信した前記第2接続先データ、前記認証情報および前記第1接続先データを関係付けて記憶する記憶部と、
前記記憶部から、前記クライアント装置から受信した第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出する抽出部と、
前記抽出した第1接続先データの示すサーバ装置へ前記抽出した認証情報を送信し、前記サーバ装置のアドレスを前記クライアント装置へ送信する送信部と、
を備えることを特徴とする認証システム。
【符号の説明】
【0156】
2 クライアント
3 アクセスGW
4 コンテンツサーバ
6 認証サーバ
7 ポータルサーバ
12 DNSサーバ
20,20−1,20−2 アクセス制御システム
21 設定機能
22−1 FQDN−アドレス対応付け部
22−2 FQDN変換部
22 変換管理部
24,24−1 FQDN生成部
25 FQDN変換テーブル
26 ID−FQDNテーブル
27 書き換え箇所定義情報
28 ID格納箇所定義情報
30,30a 設定先選択機能
30−1 ゲートウェイ装置
30−2 受信部
30−3 記憶部
30−4 抽出部
30−5 送信部
31 設定部
32 設定制御部
34 通信受付部
40,40a マッピング機能
40−1 ゲートウェイ装置
40−2 受信部
40−3 生成部
40−4 送信部
41 通知部
42 ID−FQDN管理部
43 設定先選択機能アドレス情報
44 ID−FQDN管理テーブル
45 通知受付部
46,47 有効期限管理部
【特許請求の範囲】
【請求項1】
変換装置は、第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信し、
前記変換装置は、前記第1接続先データを特定する第2接続先データを生成し、
前記変換装置は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信し、
前記中継装置は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて記憶装置に格納し、
前記変換装置は、前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置へ送信し、
前記クライアント装置は、前記置換されたサービスデータと前記ユーザの操作により選択された前記第2接続先データを前記中継装置に送信し、
前記中継装置は、前記記憶部から、前記クライアント装置から送信された第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出し、
前記中継装置は、前記抽出した第1接続先データの示すサーバ装置へ、前記抽出した認証情報を送信し、
前記中継装置は、前記サーバ装置のアドレスを前記クライアント装置へ送信し、
前記クライアント装置は、前記アドレスと前記認証情報を用いて、前記サーバ装置と通信する
ことを特徴とする認証方法。
【請求項2】
前記中継装置は、前記サーバ装置に対して前記認証情報を送信済である場合は、前記認証情報を送信しない
ことを特徴とする請求項1記載の認証方法。
【請求項3】
前記変換装置および前記中継装置は、前記認証済ユーザの認証情報、該認証情報と関係付けられた前記第1接続先データ、および該認証情報と関係付けられた前記第2接続先データを記憶し、一定時間経過後に消去する
ことを特徴とする請求項1記載の認証方法。
【請求項4】
第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信し、
前記第1接続先データを特定する第2接続先データを生成し、
前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信し、
前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置へ送信する
ことをコンピュータに実行させることを特徴とするプログラム。
【請求項5】
第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信する受信部と、
前記第1接続先データを特定する第2接続先データを生成する生成部と、
前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信し、前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置へ送信する送信部と、
を備えることを特徴とする変換装置。
【請求項6】
認証済ユーザの認証情報、第1接続先データ、および第2接続先データを変換装置から受信し、
前記変換装置から受信した認証済ユーザの認証情報、第1接続先データ、および第2接続先データを関係付けて記憶装置に格納し、
ユーザの操作により選択された第2接続先データを該ユーザが操作するクライアント装置から受信し、
前記記憶装置から、前記クライアント装置から受信した第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出し、
前記抽出した第1接続先データの示すサーバ装置へ、前記抽出した認証情報を送信し、
前記サーバ装置のアドレスを前記クライアント装置へ送信する
ことをコンピュータに実行させることを特徴とするプログラム。
【請求項7】
変換装置から、認証済ユーザの認証情報、第1接続先データ、および第2接続先データを受信し、ユーザの操作により選択された第2接続先データを該ユーザが操作するクライアント装置から受信する受信部と、
前記変換装置から受信した前記第2接続先データ、前記認証情報および前記第1接続先データを関係付けて記憶する記憶部と、
前記記憶部から、前記クライアント装置から受信した第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出する抽出部と、
前記抽出した第1接続先データの示すサーバ装置へ前記抽出した認証情報を送信し、前記サーバ装置のアドレスを前記クライアント装置へ送信する送信部と、
を備えることを特徴とする中継装置。
【請求項1】
変換装置は、第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信し、
前記変換装置は、前記第1接続先データを特定する第2接続先データを生成し、
前記変換装置は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信し、
前記中継装置は、前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて記憶装置に格納し、
前記変換装置は、前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置へ送信し、
前記クライアント装置は、前記置換されたサービスデータと前記ユーザの操作により選択された前記第2接続先データを前記中継装置に送信し、
前記中継装置は、前記記憶部から、前記クライアント装置から送信された第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出し、
前記中継装置は、前記抽出した第1接続先データの示すサーバ装置へ、前記抽出した認証情報を送信し、
前記中継装置は、前記サーバ装置のアドレスを前記クライアント装置へ送信し、
前記クライアント装置は、前記アドレスと前記認証情報を用いて、前記サーバ装置と通信する
ことを特徴とする認証方法。
【請求項2】
前記中継装置は、前記サーバ装置に対して前記認証情報を送信済である場合は、前記認証情報を送信しない
ことを特徴とする請求項1記載の認証方法。
【請求項3】
前記変換装置および前記中継装置は、前記認証済ユーザの認証情報、該認証情報と関係付けられた前記第1接続先データ、および該認証情報と関係付けられた前記第2接続先データを記憶し、一定時間経過後に消去する
ことを特徴とする請求項1記載の認証方法。
【請求項4】
第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信し、
前記第1接続先データを特定する第2接続先データを生成し、
前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信し、
前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置へ送信する
ことをコンピュータに実行させることを特徴とするプログラム。
【請求項5】
第1接続先データ及び認証済ユーザの認証情報を含んだ、該認証済ユーザに送付するサービスデータを受信する受信部と、
前記第1接続先データを特定する第2接続先データを生成する生成部と、
前記認証済ユーザの認証情報、前記第1接続先データ、および前記第2接続先データを関係付けて中継装置へ送信し、前記第1接続先データを前記第2接続先データに置換した前記サービスデータを前記認証済ユーザが操作するクライアント装置へ送信する送信部と、
を備えることを特徴とする変換装置。
【請求項6】
認証済ユーザの認証情報、第1接続先データ、および第2接続先データを変換装置から受信し、
前記変換装置から受信した認証済ユーザの認証情報、第1接続先データ、および第2接続先データを関係付けて記憶装置に格納し、
ユーザの操作により選択された第2接続先データを該ユーザが操作するクライアント装置から受信し、
前記記憶装置から、前記クライアント装置から受信した第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出し、
前記抽出した第1接続先データの示すサーバ装置へ、前記抽出した認証情報を送信し、
前記サーバ装置のアドレスを前記クライアント装置へ送信する
ことをコンピュータに実行させることを特徴とするプログラム。
【請求項7】
変換装置から、認証済ユーザの認証情報、第1接続先データ、および第2接続先データを受信し、ユーザの操作により選択された第2接続先データを該ユーザが操作するクライアント装置から受信する受信部と、
前記変換装置から受信した前記第2接続先データ、前記認証情報および前記第1接続先データを関係付けて記憶する記憶部と、
前記記憶部から、前記クライアント装置から受信した第2接続先データに対応する、前記変換装置から受信した前記認証情報および前記第1接続先データを抽出する抽出部と、
前記抽出した第1接続先データの示すサーバ装置へ前記抽出した認証情報を送信し、前記サーバ装置のアドレスを前記クライアント装置へ送信する送信部と、
を備えることを特徴とする中継装置。
【図4】
【図5】
【図6】
【図7】
【図9】
【図16】
【図22】
【図24】
【図32】
【図1】
【図2】
【図3】
【図8】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図17】
【図18】
【図19】
【図20】
【図21】
【図23】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図5】
【図6】
【図7】
【図9】
【図16】
【図22】
【図24】
【図32】
【図1】
【図2】
【図3】
【図8】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図17】
【図18】
【図19】
【図20】
【図21】
【図23】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【公開番号】特開2011−129005(P2011−129005A)
【公開日】平成23年6月30日(2011.6.30)
【国際特許分類】
【出願番号】特願2009−288602(P2009−288602)
【出願日】平成21年12月21日(2009.12.21)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成23年6月30日(2011.6.30)
【国際特許分類】
【出願日】平成21年12月21日(2009.12.21)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]