通信制御装置、通信制御プログラム及び通信制御システム
【課題】認証サーバ装置を利用できないサーバが認証サーバ装置を利用できる端末装置からサービスの利用要求を受け付けたとき、当該端末装置を利用してサービスの利用に要求される認証を実行することができる通信制御装置、通信制御プログラム及び通信制御システムを提供する。
【解決手段】仮想認証プロキシサーバ6Aは、認証サーバ装置8Aを利用できないアプリケーションサーバ7Aが端末装置9から利用要求とともに利用者ID及びパスワードを受け付けたとき、その認証依頼を受け付ける認証依頼受付手段603と、端末認証プログラム612を端末装置9に送信する端末認証プログラム送信手段604と、端末認証プログラム612を端末装置9で実行させることで認証サーバ装置8Aに認証を実行させて受け取った認証結果を端末装置9から受信し、当該認証結果をアプリケーションサーバ7Aに送信する認証結果送信手段605とを有する。
【解決手段】仮想認証プロキシサーバ6Aは、認証サーバ装置8Aを利用できないアプリケーションサーバ7Aが端末装置9から利用要求とともに利用者ID及びパスワードを受け付けたとき、その認証依頼を受け付ける認証依頼受付手段603と、端末認証プログラム612を端末装置9に送信する端末認証プログラム送信手段604と、端末認証プログラム612を端末装置9で実行させることで認証サーバ装置8Aに認証を実行させて受け取った認証結果を端末装置9から受信し、当該認証結果をアプリケーションサーバ7Aに送信する認証結果送信手段605とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信制御装置、通信制御プログラム及び通信制御システムに関する。
【背景技術】
【0002】
従来の通信制御装置として、IP−VPNのネットワークにそれぞれ接続され企業ごとに用意された複数の社内業務システムと、インターネットを介したリモート接続用端末装置との通信を制御するものであって、インターネットを介してリモート接続用端末からパケットを受け取ると、そのパケットのデータから企業を識別し、該当する企業の社内業務システムからリモート接続用端末へパスワード入力画面を表示する情報を出力させて、その情報に対する応答としてリモート接続用端末に入力されたパスワードを受信すると、社内業務システムに転送して、社内業務システムから認証可能の応答を受け取った場合、リモート接続用端末と社内業務システムとの通信を確立し、社内業務システムから認証拒否の応答を受け取った場合、リモート接続用端末と社内業務システムとの通信を遮断するものが提案されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2006−5503号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
本発明の目的は、認証サーバを利用できないサーバが認証サーバ装置を利用できる端末装置からサービスの利用要求を受け付けたとき、当該端末装置を利用してサービスの利用に要求される認証を実行することができる通信制御装置、通信制御プログラム及び通信制御システムを提供することにある。
【課題を解決するための手段】
【0005】
[1]外部認証サーバによる認証サービスを利用することのできないサーバが、該外部認証サーバによる前記認証サービスを利用できる外部端末から、利用要求とともに前記外部認証サーバにおいて利用者を認証する認証情報を受け付けたとき、当該サーバから当該認証情報の認証依頼を受け付ける受付手段と、前記受付手段が前記認証依頼を受け付けると、前記認証情報と、前記認証情報を送信して前記外部認証サーバに認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼の結果を前記サーバに送信する結果送信手段として前記外部端末を機能させるための端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信する送信手段と、前記外部端末から受信した前記外部認証サーバによる認証結果を前記サーバに送信する認証結果送信手段とを有する通信制御装置。
【0006】
[2]秘密鍵及び公開鍵を生成する鍵対生成手段と、前記端末認証プログラムに前記公開鍵に基づく電子証明書と前記秘密鍵に基づく電子署名とを付加するコード署名を実行するコード署名手段とをさらに有する前記[1]に記載の通信制御装置。
【0007】
[3]前記サーバ及び前記受付手段は、前記認証情報として符号化された認証情報を受け付ける前記[1]に記載の通信制御装置。
【0008】
[4]前記外部端末は、秘密鍵及び公開鍵を生成するとともに、前記認証結果に電子署名を添付し、前記認証結果送信手段は、前記外部端末が生成した公開鍵に基づいて受信した当該認証結果が真正か否かを検証する前記[1]に記載の通信制御装置。
【0009】
[5]コンピュータを、外部認証サーバによる認証サービスを利用することのできないサーバが、該外部認証サーバによる前記認証サービスを利用できる外部端末から、利用要求とともに前記外部認証サーバにおいて利用者を認証する認証情報を受け付けたとき、当該サーバから当該認証情報の認証依頼を受け付ける受付手段と、前記受付手段が前記認証依頼を受け付けると、前記認証情報と、前記認証情報を送信して前記外部認証サーバに認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼の結果を前記サーバに送信する結果送信手段として前記外部端末を機能させるための端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信する送信手段と、前記外部端末から受信した前記外部認証サーバによる認証結果を前記サーバに送信する認証結果送信手段として機能させる通信制御プログラム。
【0010】
[6]認証情報に基づいて利用者を認証する外部認証サーバと、前記外部認証サーバの前記認証サービスを利用できる外部端末と、前記外部認証サーバの前記認証サービスを利用できない通信制御装置と、前記外部端末から利用要求とともに認証情報を受け付けたとき、前記通信制御装置に認証依頼を出力する、前記外部認証サーバを利用できないサーバとを有する通信制御システムであって、前記通信制御装置は、前記サーバから前記認証情報の認証依頼を受け付けると、前記認証情報と、端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信し、前記外部端末は、前記端末認証プログラムを実行して、前記認証情報を前記外部認証サーバに送信して認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼の結果を前記サーバに送信する結果送信手段として機能し、前記通信制御装置は、前記外部端末から受信した前記外部認証サーバによる認証結果を前記サーバに送信する通信制御システム。
【発明の効果】
【0011】
請求項1、請求項5又は請求項6に係る発明によれば、認証サーバを利用できないサーバが認証サーバ装置を利用できる端末装置からサービスの利用要求を受け付けたとき、当該端末装置を利用してサービスの利用に要求される認証を実行することができる。
【0012】
請求項2に係る発明によれば、端末認証プログラムをコード署名することができる。
【0013】
請求項3に係る発明によれば、認証情報を符号化して扱うことができる。
【0014】
請求項4に係る発明によれば、認証結果の改変の有無を検証することができる。
【図面の簡単な説明】
【0015】
【図1】図1は、第1の実施の形態に係る本発明の実施の形態に係る通信制御システムの構成の一例を示す図である。
【図2】図2は、仮想認証プロキシサーバ装置の構成の一例を示すブロック図である。
【図3A】図3Aは、通信制御システムの動作の一例を示すフローチャートである。
【図3B】図3Bは、通信制御システムの動作の一例を示すフローチャートである。
【図3C】図3Cは、通信制御システムの動作の一例を示すフローチャートである。
【図4】図4は、鍵対生成手段の鍵対の生成例及びコード署名手段のプログラムに対するコード署名例を説明するための図である。
【図5】図5は、第2の実施の形態に係る通信制御システムの動作の一例を示すフローチャートである。
【発明を実施するための形態】
【0016】
[第1の実施の形態]
(通信制御システムの構成)
図1は、第1の実施の形態に係る本発明の実施の形態に係る通信制御システムの構成の一例を示す図である。
【0017】
通信制御システム1は、クラウド基盤2、企業ネットワーク3A,3B及び認証局4等を有し、それぞれインターネット5によって互いに通信可能に接続される。
【0018】
クラウド基盤2は、端末装置9の要求に応じて、仮想計算機を起動するとともに当該起動した仮想計算機上で各種プログラムを実行させることによって、ウェブアプリケーションの実行等のサービスを提供するものであり、本実施の形態では既にクラウド基盤2上で、仮想認証プロキシサーバ6A、アプリケーションサーバ7A,7B、仮想認証プロキシサーバ6B及びアプリケーションサーバ7C,7D等が起動し動作しているものとする。なお、仮想認証プロキシサーバ及びアプリケーションサーバは、単数又は複数のいずれでもよく、これらの接続方法も図示する例に限定するものではない。
【0019】
仮想認証プロキシサーバ6A,6Bは、アプリケーションサーバ7A〜7Dが端末装置9から認証が必要となるサービスの要求を受け付けた場合に、アプリケーションサーバ7A〜7Dからその認証依頼を受け付けて、認証サーバ装置8A又は8Bに認証させる。なお、仮想認証プロキシサーバ6Aは、企業ネットワーク3Aの端末装置9が使用するものであり、仮想認証プロキシサーバ6Bは、企業ネットワーク3Bの端末装置9が使用するものとする。
【0020】
アプリケーションサーバ7A〜7Dは、端末装置9の要求に応じてウェブアプリケーション等のサービスを提供する。また、アプリケーションサーバ7A〜7Dは、端末装置9から認証が必要となるサービスの要求を受け付けた場合に、仮想認証プロキシサーバ6A又は6Bにその認証を依頼する。なお、アプリケーションサーバ7A及び7Bは、企業ネットワーク3Aの端末装置9から利用可能であり、アプリケーションサーバ7C及び7Dは、企業ネットワーク3Bの端末装置9から利用可能とする。
【0021】
企業ネットワーク3Aは、認証サーバ装置8A、端末装置9等を有し、それぞれLAN(Local Area Network)31によって互いに通信可能に接続される。なお、企業ネットワーク3Aは、ファイヤウォール30によってLAN31外のインターネット5を介した通信を制限する。つまり、認証サーバ装置8A及び端末装置9を企業ネットワーク3Aに接続されていない外部装置から使用することはできない。また、LAN31は、有線、無線は問わない。また、端末装置9は、単数又は複数のいずれでもよく図示する例によって数を限定するものではない。
【0022】
認証サーバ装置8Aは、例えば、予め登録されたユーザ名及びユーザ名に対応したパスワードを有しており、認証依頼に応じて認証結果を出力する。なお、ユーザ名及びパスワードに限らず、IDカードを用いた認証や、静脈認証等の認証情報を用いてもよい。
【0023】
端末装置9は、アプリケーションサーバ7A〜7Dに対するクライアント装置であり、LCD等の表示部、キーボード及びマウス等の操作部並びにCPU等からなる制御部等を有し、利用者の操作部に対する操作内容に応じてアプリケーションサーバ7Aのウェブアプリケーションの実行を要求して、アプリケーションサーバ7A〜7Dの応答として出力される画像情報等に基づき表示部に操作用の画像等を表示する。
【0024】
企業ネットワーク3Bは、企業ネットワーク3Aの企業と異なる企業のネットワークであるが、その構成は企業ネットワーク3Aと同様であるため説明を省略する。
【0025】
認証局4は、外部から公開鍵を受け取って登録し、その公開鍵及び公開鍵の持ち主等を記載した電子公開鍵証明書を発行する。
【0026】
図2は、仮想認証プロキシサーバ6Aの構成の一例を示すブロック図である。
【0027】
仮想認証プロキシサーバ6Aは、CPU等から構成され各部を制御するとともに各種のプログラムを実行する制御部60と、HDD(Hard Disk Drive)やフラッシュメモリ等の記憶装置から構成され情報を記憶する記憶部61と、インターネット5を介して外部と通信する通信部62とを有する。
【0028】
制御部60は、通信制御プログラム610を実行することで、鍵対生成手段600、コード署名手段601、認証準備プログラム送信手段602、認証依頼受付手段603、端末認証プログラム送信手段604及び認証結果送信手段605等として機能する。
【0029】
鍵対生成手段600は、秘密鍵及び公開鍵を生成する。
【0030】
コード署名手段601は、後述する認証準備プログラム611及び端末認証プログラム612に電子署名及び電子証明書を添付してコード署名する。
【0031】
認証準備プログラム送信手段602は、取得要求を受け付けると、コード署名手段601がコード署名した、端末認証プログラム612を取得するための認証準備プログラム611をアプリケーションサーバ7A,7Bに送信する。
【0032】
認証依頼受付手段603は、アプリケーションサーバ7A,7Bの認証依頼を受け付ける。
【0033】
端末認証プログラム送信手段604は、コード署名手段601がコード署名した、アプリケーションサーバ7A,7Bの認証依頼を端末装置9によって認証サーバ装置8A又は8Bに送信させるための端末認証プログラム612を端末装置9へ送信する。
【0034】
認証結果送信手段605は、認証サーバ装置8Aの認証結果を検証してアプリケーションサーバ7A,7Bに送信する。
【0035】
記憶部61は、制御部60を上述した手段600〜605として動作させる通信制御プログラム610、例えば、Java(登録商標) Applet等の言語で記述される認証準備プログラム611及び端末認証プログラム612等の情報を格納する。なお、認証準備プログラム611及び端末認証プログラム612は、予め記憶部61に格納されずに外部装置に送信する際に生成するものでもよい。
【0036】
(動作)
以下に、通信制御システムの動作を図1〜4を参照しつつ説明する。なお、以下の説明において、アプリケーションサーバ7A、仮想認証プロキシサーバ6A、企業ネットワーク3A内の端末装置9及び認証サーバ装置8Aが動作する例を示すが、図1に示す装置のうち対応する機能を有する装置が動作する場合も同様に動作する。
【0037】
(1)準備動作
図3A〜3Cは、通信制御システム1の動作の一例を示すフローチャートである。
【0038】
まず、仮想認証プロキシサーバ6Aの鍵対生成手段600は、秘密鍵及び公開鍵からなる鍵対を生成する(S600)。次に、コード署名手段601は、公開鍵に基づいた電子証明書の作成を認証局4に要求する(S601)。
【0039】
図4は、鍵対生成手段600の鍵対の生成例及びコード署名手段601のプログラムに対するコード署名例を説明するための図である。
【0040】
コード署名手段601は、公開鍵600Bに基づいた電子証明書の作成を認証局4に要求D1することで、認証局は電子証明書600Cを作成し(S401)、仮想認証プロキシサーバ6Aに送信D2する(S402)。
【0041】
コード署名手段601は、電子証明書600Cを受信し(S602)、図示しないメモリに一時的に記憶する。
【0042】
一方、アプリケーションサーバ7Aは、認証準備プログラム611の取得を仮想認証プロキシサーバ6Aに要求する(S700)。
【0043】
仮想認証プロキシサーバ6Aの認証準備プログラム送信手段602は、アプリケーションサーバ7Aの取得要求を受け付け(S603)、コード署名手段601は、秘密鍵600Aに基づいて認証準備プログラム611の電子署名600Dを作成D3し、認証準備プログラム611に電子署名600D及び電子証明書600Cを添付することでコード署名し(S604)、コード署名した認証準備プログラム611をアプリケーションサーバ7Aに送信D4する(S605)。
【0044】
アプリケーションサーバ7Aは、仮想認証プロキシサーバ6Aからコード署名された認証準備プログラム611を受信する(S701)。
【0045】
また、端末装置9は、図示しない鍵対生成手段によって秘密鍵及び公開鍵の鍵対を生成し(S900)、公開鍵を認証局4に登録する(S901)。認証局4は、端末装置9から公開鍵を受け付けて登録する(S403)。
【0046】
(2)認証要求動作
まず、利用者は、ウェブアプリケーションを利用するため、端末装置9を操作する。端末装置9は、操作に応じてインターネット5を介してアプリケーションサーバ7Aと通信し、ログインを要求する(S902)。
【0047】
アプリケーションサーバ7Aは、端末装置9のログイン要求を受信し(S701)、ログイン画面を端末装置9の表示部に表示するための画像情報と認証準備プログラム611とを送信する(S703)。ここで、認証準備プログラム611はコード署名されたものであり、画像情報に組み込まれて送信される。
【0048】
次に、端末装置9は、ログイン画面画像情報と認証準備プログラム611とを受信し(S903)、ログイン画面画像を表示する(S904)。
【0049】
利用者は、ログイン画面画像を参照し、操作部を操作してユーザ名及びパスワードを入力する。端末装置9は、入力されたユーザ名及びパスワードを受け付けて(S905)、アプリケーションサーバ7Aに送信する(S906)。
【0050】
アプリケーションサーバ7Aは、端末装置9からユーザ名及びパスワードを受信し(S704)、仮想認証プロキシサーバ6Aに受信したユーザ名及びパスワードの認証を依頼する(S705)。
【0051】
仮想認証プロキシサーバ6Aの認証依頼受付手段603は、アプリケーションサーバ7Aから認証依頼を受け付ける(S606)。また、その認証依頼をきっかけに、コード署名手段601は、図4に示すように、秘密鍵600Aに基づいて端末認証プログラム612の電子署名600Eを作成D5し、端末認証プログラム612に電子署名600E及び電子証明書600Cを添付することでコード署名する(S607)。
【0052】
一方、端末装置9は、認証準備プログラム611を起動し(S907)、認証準備プログラム611を実行することで仮想認証プロキシサーバ6Aにポーリングする(S908)。なお、端末装置9は、認証準備プログラム611を起動する際に、コード署名を検証することで、改ざんの有無やプログラム作成者等の情報を確認する。
【0053】
端末認証プログラム送信手段604は、端末装置9からポーリングを受信すると(S608)、コード署名された端末認証プログラム612を端末装置9に送信D6する(S609)。なお、端末認証プログラム送信手段604は、端末認証プログラム612とともに、ユーザ名及びパスワード並びに認証セッションIDを送信する。
【0054】
端末装置9は、アプリケーションサーバ7Aから端末認証プログラム612、ユーザ名及びパスワード並びに認証セッションIDを受信し(S909)、コード署名を検証して端末認証プログラム612を起動する(S910)。
【0055】
(3)認証実行動作
次に、端末装置9は、端末認証プログラム612を実行することで、LAN31で接続された認証サーバ装置8Aにユーザ名及びパスワードの認証を依頼する(S911)。
【0056】
認証サーバ装置8Aは、端末装置9から認証依頼を受け付け(S800)、ユーザ名及びパスワードがデータベースに予め登録されたユーザ名及びパスワードと一致するか否か照合して認証する(S801)。次に、認証サーバ装置8Aは、認証結果を端末装置9に送信する(S802)。
【0057】
端末装置9は、認証サーバ装置8Aから認証結果を受信し(S912)、ステップS900で生成した秘密鍵で電子署名を生成し、認証結果に添付する(S913)。端末装置9は、電子署名が添付された認証結果を認証セッションIDとともに仮想認証プロキシサーバ6Aに送信する(S914)。
【0058】
仮想認証プロキシサーバ6Aの認証結果送信手段605は、端末装置9から認証結果を受信し(S610)、検証するために認証局4に端末装置9の公開鍵の取得を要求する(S611)。
【0059】
認証局4は、端末装置9の公開鍵の取得要求を受け付けて(S404)、登録された端末装置9の公開鍵を仮想認証プロキシサーバ6Aに送信する(S405)。
【0060】
仮想認証プロキシサーバ6Aの認証結果送信手段605は、認証局4から端末装置9の公開鍵を受信し(S612)、受信した公開鍵によって認証結果を検証し(S613)、検証に問題がなければ認証結果をアプリケーションサーバ7Aに送信する(S614)。
【0061】
アプリケーションサーバ7Aは、仮想認証プロキシサーバ6Aから認証結果を受信し(S706)、認証結果に基づいてウェブアプリケーションの機能を提供する(S707)。なお、認証結果が認証不可の場合は、機能を提供しないか、機能を制限して提供する。
【0062】
端末装置9は、アプリケーションサーバ7Aから提供されるウェブアプリケーションの機能を利用する(S915)。
【0063】
[第2の実施の形態]
第2の実施の形態は、端末装置9に入力されたユーザ名及びパスワードを直接、企業ネットワーク3Aの外部に送信しない点で第1の実施の形態と異なる。
【0064】
通信制御システム1は、まず、第1の実施の形態で説明した動作のうち、図4Aを用いて説明した動作を実行する。端末装置9がステップS905を実行した後、以下に説明する動作を実行する。
【0065】
図5は、第2の実施の形態に係る通信制御システム1の動作の一例を示すフローチャートである。
【0066】
端末装置9は、認証準備プログラム611を起動し(S907)、認証準備プログラム611を実行することでステップS905において受け付けたユーザ名及びパスワードを図示しないメモリに一時的に保存する(S950)。次に、端末装置9は、認証準備プログラム611を実行することで、ユーザ名、パスワード及び乱数に基づいてMAC(Message Authentication Code)を生成し(S951)、アプリケーションサーバ7Aに送信する(S952)。
【0067】
アプリケーションサーバ7Aは、端末装置9からMACを受信し(S750)、仮想認証プロキシサーバ6Aに受信したMACの認証を依頼する(S751)。
【0068】
仮想認証プロキシサーバ6Aの認証依頼受付手段603は、アプリケーションサーバ7Aから認証依頼を受け付ける(S606)。また、その認証依頼をきっかけに、コード署名手段601は、秘密鍵600Aに基づいて端末認証プログラム612の電子署名600Eを作成D5し、端末認証プログラム612に電子署名600E及び電子証明書600Cを添付することでコード署名する(S607)。
【0069】
一方、端末装置9は、認証準備プログラムを実行することで、仮想認証プロキシサーバ6Aにポーリングする(S908)。
【0070】
端末認証プログラム送信手段604は、端末装置9からポーリングを受信すると(S608)、コード署名された端末認証プログラム612をMACとともに端末装置9に送信D6する(S650)。なお、端末認証プログラム送信手段604は、端末認証プログラム612及びMACとともに、認証セッションIDを送信する。
【0071】
端末装置9は、アプリケーションサーバ7Aから端末認証プログラム612、MAC並びに認証セッションIDを受信し(S953)、ステップS950で一時保存したユーザ名及びパスワード及び乱数と受信したMACとを照合して検証する(S954)。次に、端末装置9は、端末認証プログラム612を起動する(S910)。
【0072】
次に、端末装置9の端末認証プログラム612は、LAN31で接続された認証サーバ装置8Aにユーザ名及びパスワードの認証を依頼する(S911)。
【0073】
認証サーバ装置8Aは、端末装置9から認証依頼を受け付け(S800)、ユーザ名及びパスワードがデータベースに予め登録されたユーザ名及びパスワードと一致するか否か照合して認証する(S801)。次に、認証サーバ装置8Aは、認証結果を端末装置9に送信する(S802)。
【0074】
端末装置9は、認証サーバ装置8Aから認証結果を受信し(S912)、ステップS900で生成した秘密鍵で電子署名を生成し、認証結果に添付する(S913)。端末装置9は、電子署名が添付された認証結果を認証セッションIDとともに仮想認証プロキシサーバ6Aに送信する(S914)。
【0075】
以降、通信制御システム1は、第1の実施の形態で説明した動作のうち、図4Cを用いて説明した動作を実行する。
【0076】
[他の実施の形態]
なお、本発明は、上記実施の形態に限定されず、本発明の趣旨を逸脱しない範囲で種々な変形が可能である。
【0077】
また、上記実施の形態で使用される通信制御プログラム610、認証準備プログラム611及び端末認証プログラム612は、CD−ROM等の記憶媒体から装置内の記憶部に読み込んでも良く、インターネット等のネットワークに接続されているサーバ装置等から装置内の記憶部にダウンロードしてもよい。また、上記実施の形態で使用される手段600〜605の一部または全部をASIC等のハードウェアによって実現してもよい。
【符号の説明】
【0078】
1…通信制御システム、2…クラウド基盤、3A,3B…企業ネットワーク、4…認証局、5…インターネット、6A,6B…仮想認証プロキシサーバ、7A-7D…アプリケーションサーバ、8A,8B…認証サーバ装置、9…端末装置、30…ファイヤウォール、60…制御部、61…記憶部、62…通信部、600…鍵対生成手段、600A…秘密鍵、600B…公開鍵、600C…電子証明書、600D…電子署名、600E…電子署名、601…コード署名手段、602…認証準備プログラム送信手段、603…認証依頼受付手段、604…端末認証プログラム送信手段、605…認証結果検証手段、610…通信制御プログラム、611…認証準備プログラム、612…端末認証プログラム
【技術分野】
【0001】
本発明は、通信制御装置、通信制御プログラム及び通信制御システムに関する。
【背景技術】
【0002】
従来の通信制御装置として、IP−VPNのネットワークにそれぞれ接続され企業ごとに用意された複数の社内業務システムと、インターネットを介したリモート接続用端末装置との通信を制御するものであって、インターネットを介してリモート接続用端末からパケットを受け取ると、そのパケットのデータから企業を識別し、該当する企業の社内業務システムからリモート接続用端末へパスワード入力画面を表示する情報を出力させて、その情報に対する応答としてリモート接続用端末に入力されたパスワードを受信すると、社内業務システムに転送して、社内業務システムから認証可能の応答を受け取った場合、リモート接続用端末と社内業務システムとの通信を確立し、社内業務システムから認証拒否の応答を受け取った場合、リモート接続用端末と社内業務システムとの通信を遮断するものが提案されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2006−5503号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
本発明の目的は、認証サーバを利用できないサーバが認証サーバ装置を利用できる端末装置からサービスの利用要求を受け付けたとき、当該端末装置を利用してサービスの利用に要求される認証を実行することができる通信制御装置、通信制御プログラム及び通信制御システムを提供することにある。
【課題を解決するための手段】
【0005】
[1]外部認証サーバによる認証サービスを利用することのできないサーバが、該外部認証サーバによる前記認証サービスを利用できる外部端末から、利用要求とともに前記外部認証サーバにおいて利用者を認証する認証情報を受け付けたとき、当該サーバから当該認証情報の認証依頼を受け付ける受付手段と、前記受付手段が前記認証依頼を受け付けると、前記認証情報と、前記認証情報を送信して前記外部認証サーバに認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼の結果を前記サーバに送信する結果送信手段として前記外部端末を機能させるための端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信する送信手段と、前記外部端末から受信した前記外部認証サーバによる認証結果を前記サーバに送信する認証結果送信手段とを有する通信制御装置。
【0006】
[2]秘密鍵及び公開鍵を生成する鍵対生成手段と、前記端末認証プログラムに前記公開鍵に基づく電子証明書と前記秘密鍵に基づく電子署名とを付加するコード署名を実行するコード署名手段とをさらに有する前記[1]に記載の通信制御装置。
【0007】
[3]前記サーバ及び前記受付手段は、前記認証情報として符号化された認証情報を受け付ける前記[1]に記載の通信制御装置。
【0008】
[4]前記外部端末は、秘密鍵及び公開鍵を生成するとともに、前記認証結果に電子署名を添付し、前記認証結果送信手段は、前記外部端末が生成した公開鍵に基づいて受信した当該認証結果が真正か否かを検証する前記[1]に記載の通信制御装置。
【0009】
[5]コンピュータを、外部認証サーバによる認証サービスを利用することのできないサーバが、該外部認証サーバによる前記認証サービスを利用できる外部端末から、利用要求とともに前記外部認証サーバにおいて利用者を認証する認証情報を受け付けたとき、当該サーバから当該認証情報の認証依頼を受け付ける受付手段と、前記受付手段が前記認証依頼を受け付けると、前記認証情報と、前記認証情報を送信して前記外部認証サーバに認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼の結果を前記サーバに送信する結果送信手段として前記外部端末を機能させるための端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信する送信手段と、前記外部端末から受信した前記外部認証サーバによる認証結果を前記サーバに送信する認証結果送信手段として機能させる通信制御プログラム。
【0010】
[6]認証情報に基づいて利用者を認証する外部認証サーバと、前記外部認証サーバの前記認証サービスを利用できる外部端末と、前記外部認証サーバの前記認証サービスを利用できない通信制御装置と、前記外部端末から利用要求とともに認証情報を受け付けたとき、前記通信制御装置に認証依頼を出力する、前記外部認証サーバを利用できないサーバとを有する通信制御システムであって、前記通信制御装置は、前記サーバから前記認証情報の認証依頼を受け付けると、前記認証情報と、端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信し、前記外部端末は、前記端末認証プログラムを実行して、前記認証情報を前記外部認証サーバに送信して認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼の結果を前記サーバに送信する結果送信手段として機能し、前記通信制御装置は、前記外部端末から受信した前記外部認証サーバによる認証結果を前記サーバに送信する通信制御システム。
【発明の効果】
【0011】
請求項1、請求項5又は請求項6に係る発明によれば、認証サーバを利用できないサーバが認証サーバ装置を利用できる端末装置からサービスの利用要求を受け付けたとき、当該端末装置を利用してサービスの利用に要求される認証を実行することができる。
【0012】
請求項2に係る発明によれば、端末認証プログラムをコード署名することができる。
【0013】
請求項3に係る発明によれば、認証情報を符号化して扱うことができる。
【0014】
請求項4に係る発明によれば、認証結果の改変の有無を検証することができる。
【図面の簡単な説明】
【0015】
【図1】図1は、第1の実施の形態に係る本発明の実施の形態に係る通信制御システムの構成の一例を示す図である。
【図2】図2は、仮想認証プロキシサーバ装置の構成の一例を示すブロック図である。
【図3A】図3Aは、通信制御システムの動作の一例を示すフローチャートである。
【図3B】図3Bは、通信制御システムの動作の一例を示すフローチャートである。
【図3C】図3Cは、通信制御システムの動作の一例を示すフローチャートである。
【図4】図4は、鍵対生成手段の鍵対の生成例及びコード署名手段のプログラムに対するコード署名例を説明するための図である。
【図5】図5は、第2の実施の形態に係る通信制御システムの動作の一例を示すフローチャートである。
【発明を実施するための形態】
【0016】
[第1の実施の形態]
(通信制御システムの構成)
図1は、第1の実施の形態に係る本発明の実施の形態に係る通信制御システムの構成の一例を示す図である。
【0017】
通信制御システム1は、クラウド基盤2、企業ネットワーク3A,3B及び認証局4等を有し、それぞれインターネット5によって互いに通信可能に接続される。
【0018】
クラウド基盤2は、端末装置9の要求に応じて、仮想計算機を起動するとともに当該起動した仮想計算機上で各種プログラムを実行させることによって、ウェブアプリケーションの実行等のサービスを提供するものであり、本実施の形態では既にクラウド基盤2上で、仮想認証プロキシサーバ6A、アプリケーションサーバ7A,7B、仮想認証プロキシサーバ6B及びアプリケーションサーバ7C,7D等が起動し動作しているものとする。なお、仮想認証プロキシサーバ及びアプリケーションサーバは、単数又は複数のいずれでもよく、これらの接続方法も図示する例に限定するものではない。
【0019】
仮想認証プロキシサーバ6A,6Bは、アプリケーションサーバ7A〜7Dが端末装置9から認証が必要となるサービスの要求を受け付けた場合に、アプリケーションサーバ7A〜7Dからその認証依頼を受け付けて、認証サーバ装置8A又は8Bに認証させる。なお、仮想認証プロキシサーバ6Aは、企業ネットワーク3Aの端末装置9が使用するものであり、仮想認証プロキシサーバ6Bは、企業ネットワーク3Bの端末装置9が使用するものとする。
【0020】
アプリケーションサーバ7A〜7Dは、端末装置9の要求に応じてウェブアプリケーション等のサービスを提供する。また、アプリケーションサーバ7A〜7Dは、端末装置9から認証が必要となるサービスの要求を受け付けた場合に、仮想認証プロキシサーバ6A又は6Bにその認証を依頼する。なお、アプリケーションサーバ7A及び7Bは、企業ネットワーク3Aの端末装置9から利用可能であり、アプリケーションサーバ7C及び7Dは、企業ネットワーク3Bの端末装置9から利用可能とする。
【0021】
企業ネットワーク3Aは、認証サーバ装置8A、端末装置9等を有し、それぞれLAN(Local Area Network)31によって互いに通信可能に接続される。なお、企業ネットワーク3Aは、ファイヤウォール30によってLAN31外のインターネット5を介した通信を制限する。つまり、認証サーバ装置8A及び端末装置9を企業ネットワーク3Aに接続されていない外部装置から使用することはできない。また、LAN31は、有線、無線は問わない。また、端末装置9は、単数又は複数のいずれでもよく図示する例によって数を限定するものではない。
【0022】
認証サーバ装置8Aは、例えば、予め登録されたユーザ名及びユーザ名に対応したパスワードを有しており、認証依頼に応じて認証結果を出力する。なお、ユーザ名及びパスワードに限らず、IDカードを用いた認証や、静脈認証等の認証情報を用いてもよい。
【0023】
端末装置9は、アプリケーションサーバ7A〜7Dに対するクライアント装置であり、LCD等の表示部、キーボード及びマウス等の操作部並びにCPU等からなる制御部等を有し、利用者の操作部に対する操作内容に応じてアプリケーションサーバ7Aのウェブアプリケーションの実行を要求して、アプリケーションサーバ7A〜7Dの応答として出力される画像情報等に基づき表示部に操作用の画像等を表示する。
【0024】
企業ネットワーク3Bは、企業ネットワーク3Aの企業と異なる企業のネットワークであるが、その構成は企業ネットワーク3Aと同様であるため説明を省略する。
【0025】
認証局4は、外部から公開鍵を受け取って登録し、その公開鍵及び公開鍵の持ち主等を記載した電子公開鍵証明書を発行する。
【0026】
図2は、仮想認証プロキシサーバ6Aの構成の一例を示すブロック図である。
【0027】
仮想認証プロキシサーバ6Aは、CPU等から構成され各部を制御するとともに各種のプログラムを実行する制御部60と、HDD(Hard Disk Drive)やフラッシュメモリ等の記憶装置から構成され情報を記憶する記憶部61と、インターネット5を介して外部と通信する通信部62とを有する。
【0028】
制御部60は、通信制御プログラム610を実行することで、鍵対生成手段600、コード署名手段601、認証準備プログラム送信手段602、認証依頼受付手段603、端末認証プログラム送信手段604及び認証結果送信手段605等として機能する。
【0029】
鍵対生成手段600は、秘密鍵及び公開鍵を生成する。
【0030】
コード署名手段601は、後述する認証準備プログラム611及び端末認証プログラム612に電子署名及び電子証明書を添付してコード署名する。
【0031】
認証準備プログラム送信手段602は、取得要求を受け付けると、コード署名手段601がコード署名した、端末認証プログラム612を取得するための認証準備プログラム611をアプリケーションサーバ7A,7Bに送信する。
【0032】
認証依頼受付手段603は、アプリケーションサーバ7A,7Bの認証依頼を受け付ける。
【0033】
端末認証プログラム送信手段604は、コード署名手段601がコード署名した、アプリケーションサーバ7A,7Bの認証依頼を端末装置9によって認証サーバ装置8A又は8Bに送信させるための端末認証プログラム612を端末装置9へ送信する。
【0034】
認証結果送信手段605は、認証サーバ装置8Aの認証結果を検証してアプリケーションサーバ7A,7Bに送信する。
【0035】
記憶部61は、制御部60を上述した手段600〜605として動作させる通信制御プログラム610、例えば、Java(登録商標) Applet等の言語で記述される認証準備プログラム611及び端末認証プログラム612等の情報を格納する。なお、認証準備プログラム611及び端末認証プログラム612は、予め記憶部61に格納されずに外部装置に送信する際に生成するものでもよい。
【0036】
(動作)
以下に、通信制御システムの動作を図1〜4を参照しつつ説明する。なお、以下の説明において、アプリケーションサーバ7A、仮想認証プロキシサーバ6A、企業ネットワーク3A内の端末装置9及び認証サーバ装置8Aが動作する例を示すが、図1に示す装置のうち対応する機能を有する装置が動作する場合も同様に動作する。
【0037】
(1)準備動作
図3A〜3Cは、通信制御システム1の動作の一例を示すフローチャートである。
【0038】
まず、仮想認証プロキシサーバ6Aの鍵対生成手段600は、秘密鍵及び公開鍵からなる鍵対を生成する(S600)。次に、コード署名手段601は、公開鍵に基づいた電子証明書の作成を認証局4に要求する(S601)。
【0039】
図4は、鍵対生成手段600の鍵対の生成例及びコード署名手段601のプログラムに対するコード署名例を説明するための図である。
【0040】
コード署名手段601は、公開鍵600Bに基づいた電子証明書の作成を認証局4に要求D1することで、認証局は電子証明書600Cを作成し(S401)、仮想認証プロキシサーバ6Aに送信D2する(S402)。
【0041】
コード署名手段601は、電子証明書600Cを受信し(S602)、図示しないメモリに一時的に記憶する。
【0042】
一方、アプリケーションサーバ7Aは、認証準備プログラム611の取得を仮想認証プロキシサーバ6Aに要求する(S700)。
【0043】
仮想認証プロキシサーバ6Aの認証準備プログラム送信手段602は、アプリケーションサーバ7Aの取得要求を受け付け(S603)、コード署名手段601は、秘密鍵600Aに基づいて認証準備プログラム611の電子署名600Dを作成D3し、認証準備プログラム611に電子署名600D及び電子証明書600Cを添付することでコード署名し(S604)、コード署名した認証準備プログラム611をアプリケーションサーバ7Aに送信D4する(S605)。
【0044】
アプリケーションサーバ7Aは、仮想認証プロキシサーバ6Aからコード署名された認証準備プログラム611を受信する(S701)。
【0045】
また、端末装置9は、図示しない鍵対生成手段によって秘密鍵及び公開鍵の鍵対を生成し(S900)、公開鍵を認証局4に登録する(S901)。認証局4は、端末装置9から公開鍵を受け付けて登録する(S403)。
【0046】
(2)認証要求動作
まず、利用者は、ウェブアプリケーションを利用するため、端末装置9を操作する。端末装置9は、操作に応じてインターネット5を介してアプリケーションサーバ7Aと通信し、ログインを要求する(S902)。
【0047】
アプリケーションサーバ7Aは、端末装置9のログイン要求を受信し(S701)、ログイン画面を端末装置9の表示部に表示するための画像情報と認証準備プログラム611とを送信する(S703)。ここで、認証準備プログラム611はコード署名されたものであり、画像情報に組み込まれて送信される。
【0048】
次に、端末装置9は、ログイン画面画像情報と認証準備プログラム611とを受信し(S903)、ログイン画面画像を表示する(S904)。
【0049】
利用者は、ログイン画面画像を参照し、操作部を操作してユーザ名及びパスワードを入力する。端末装置9は、入力されたユーザ名及びパスワードを受け付けて(S905)、アプリケーションサーバ7Aに送信する(S906)。
【0050】
アプリケーションサーバ7Aは、端末装置9からユーザ名及びパスワードを受信し(S704)、仮想認証プロキシサーバ6Aに受信したユーザ名及びパスワードの認証を依頼する(S705)。
【0051】
仮想認証プロキシサーバ6Aの認証依頼受付手段603は、アプリケーションサーバ7Aから認証依頼を受け付ける(S606)。また、その認証依頼をきっかけに、コード署名手段601は、図4に示すように、秘密鍵600Aに基づいて端末認証プログラム612の電子署名600Eを作成D5し、端末認証プログラム612に電子署名600E及び電子証明書600Cを添付することでコード署名する(S607)。
【0052】
一方、端末装置9は、認証準備プログラム611を起動し(S907)、認証準備プログラム611を実行することで仮想認証プロキシサーバ6Aにポーリングする(S908)。なお、端末装置9は、認証準備プログラム611を起動する際に、コード署名を検証することで、改ざんの有無やプログラム作成者等の情報を確認する。
【0053】
端末認証プログラム送信手段604は、端末装置9からポーリングを受信すると(S608)、コード署名された端末認証プログラム612を端末装置9に送信D6する(S609)。なお、端末認証プログラム送信手段604は、端末認証プログラム612とともに、ユーザ名及びパスワード並びに認証セッションIDを送信する。
【0054】
端末装置9は、アプリケーションサーバ7Aから端末認証プログラム612、ユーザ名及びパスワード並びに認証セッションIDを受信し(S909)、コード署名を検証して端末認証プログラム612を起動する(S910)。
【0055】
(3)認証実行動作
次に、端末装置9は、端末認証プログラム612を実行することで、LAN31で接続された認証サーバ装置8Aにユーザ名及びパスワードの認証を依頼する(S911)。
【0056】
認証サーバ装置8Aは、端末装置9から認証依頼を受け付け(S800)、ユーザ名及びパスワードがデータベースに予め登録されたユーザ名及びパスワードと一致するか否か照合して認証する(S801)。次に、認証サーバ装置8Aは、認証結果を端末装置9に送信する(S802)。
【0057】
端末装置9は、認証サーバ装置8Aから認証結果を受信し(S912)、ステップS900で生成した秘密鍵で電子署名を生成し、認証結果に添付する(S913)。端末装置9は、電子署名が添付された認証結果を認証セッションIDとともに仮想認証プロキシサーバ6Aに送信する(S914)。
【0058】
仮想認証プロキシサーバ6Aの認証結果送信手段605は、端末装置9から認証結果を受信し(S610)、検証するために認証局4に端末装置9の公開鍵の取得を要求する(S611)。
【0059】
認証局4は、端末装置9の公開鍵の取得要求を受け付けて(S404)、登録された端末装置9の公開鍵を仮想認証プロキシサーバ6Aに送信する(S405)。
【0060】
仮想認証プロキシサーバ6Aの認証結果送信手段605は、認証局4から端末装置9の公開鍵を受信し(S612)、受信した公開鍵によって認証結果を検証し(S613)、検証に問題がなければ認証結果をアプリケーションサーバ7Aに送信する(S614)。
【0061】
アプリケーションサーバ7Aは、仮想認証プロキシサーバ6Aから認証結果を受信し(S706)、認証結果に基づいてウェブアプリケーションの機能を提供する(S707)。なお、認証結果が認証不可の場合は、機能を提供しないか、機能を制限して提供する。
【0062】
端末装置9は、アプリケーションサーバ7Aから提供されるウェブアプリケーションの機能を利用する(S915)。
【0063】
[第2の実施の形態]
第2の実施の形態は、端末装置9に入力されたユーザ名及びパスワードを直接、企業ネットワーク3Aの外部に送信しない点で第1の実施の形態と異なる。
【0064】
通信制御システム1は、まず、第1の実施の形態で説明した動作のうち、図4Aを用いて説明した動作を実行する。端末装置9がステップS905を実行した後、以下に説明する動作を実行する。
【0065】
図5は、第2の実施の形態に係る通信制御システム1の動作の一例を示すフローチャートである。
【0066】
端末装置9は、認証準備プログラム611を起動し(S907)、認証準備プログラム611を実行することでステップS905において受け付けたユーザ名及びパスワードを図示しないメモリに一時的に保存する(S950)。次に、端末装置9は、認証準備プログラム611を実行することで、ユーザ名、パスワード及び乱数に基づいてMAC(Message Authentication Code)を生成し(S951)、アプリケーションサーバ7Aに送信する(S952)。
【0067】
アプリケーションサーバ7Aは、端末装置9からMACを受信し(S750)、仮想認証プロキシサーバ6Aに受信したMACの認証を依頼する(S751)。
【0068】
仮想認証プロキシサーバ6Aの認証依頼受付手段603は、アプリケーションサーバ7Aから認証依頼を受け付ける(S606)。また、その認証依頼をきっかけに、コード署名手段601は、秘密鍵600Aに基づいて端末認証プログラム612の電子署名600Eを作成D5し、端末認証プログラム612に電子署名600E及び電子証明書600Cを添付することでコード署名する(S607)。
【0069】
一方、端末装置9は、認証準備プログラムを実行することで、仮想認証プロキシサーバ6Aにポーリングする(S908)。
【0070】
端末認証プログラム送信手段604は、端末装置9からポーリングを受信すると(S608)、コード署名された端末認証プログラム612をMACとともに端末装置9に送信D6する(S650)。なお、端末認証プログラム送信手段604は、端末認証プログラム612及びMACとともに、認証セッションIDを送信する。
【0071】
端末装置9は、アプリケーションサーバ7Aから端末認証プログラム612、MAC並びに認証セッションIDを受信し(S953)、ステップS950で一時保存したユーザ名及びパスワード及び乱数と受信したMACとを照合して検証する(S954)。次に、端末装置9は、端末認証プログラム612を起動する(S910)。
【0072】
次に、端末装置9の端末認証プログラム612は、LAN31で接続された認証サーバ装置8Aにユーザ名及びパスワードの認証を依頼する(S911)。
【0073】
認証サーバ装置8Aは、端末装置9から認証依頼を受け付け(S800)、ユーザ名及びパスワードがデータベースに予め登録されたユーザ名及びパスワードと一致するか否か照合して認証する(S801)。次に、認証サーバ装置8Aは、認証結果を端末装置9に送信する(S802)。
【0074】
端末装置9は、認証サーバ装置8Aから認証結果を受信し(S912)、ステップS900で生成した秘密鍵で電子署名を生成し、認証結果に添付する(S913)。端末装置9は、電子署名が添付された認証結果を認証セッションIDとともに仮想認証プロキシサーバ6Aに送信する(S914)。
【0075】
以降、通信制御システム1は、第1の実施の形態で説明した動作のうち、図4Cを用いて説明した動作を実行する。
【0076】
[他の実施の形態]
なお、本発明は、上記実施の形態に限定されず、本発明の趣旨を逸脱しない範囲で種々な変形が可能である。
【0077】
また、上記実施の形態で使用される通信制御プログラム610、認証準備プログラム611及び端末認証プログラム612は、CD−ROM等の記憶媒体から装置内の記憶部に読み込んでも良く、インターネット等のネットワークに接続されているサーバ装置等から装置内の記憶部にダウンロードしてもよい。また、上記実施の形態で使用される手段600〜605の一部または全部をASIC等のハードウェアによって実現してもよい。
【符号の説明】
【0078】
1…通信制御システム、2…クラウド基盤、3A,3B…企業ネットワーク、4…認証局、5…インターネット、6A,6B…仮想認証プロキシサーバ、7A-7D…アプリケーションサーバ、8A,8B…認証サーバ装置、9…端末装置、30…ファイヤウォール、60…制御部、61…記憶部、62…通信部、600…鍵対生成手段、600A…秘密鍵、600B…公開鍵、600C…電子証明書、600D…電子署名、600E…電子署名、601…コード署名手段、602…認証準備プログラム送信手段、603…認証依頼受付手段、604…端末認証プログラム送信手段、605…認証結果検証手段、610…通信制御プログラム、611…認証準備プログラム、612…端末認証プログラム
【特許請求の範囲】
【請求項1】
外部認証サーバによる認証サービスを利用することのできないサーバが、該外部認証サーバによる前記認証サービスを利用できる外部端末から、利用要求とともに前記外部認証サーバにおいて利用者を認証する認証情報を受け付けたとき、当該サーバから当該認証情報の認証依頼を受け付ける受付手段と、
前記受付手段が前記認証依頼を受け付けると、前記認証情報と、前記認証情報を送信して前記外部認証サーバに認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼の結果を前記サーバに送信する結果送信手段として前記外部端末を機能させるための端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信する送信手段と、
前記外部端末から受信した前記外部認証サーバによる認証結果を前記サーバに送信する認証結果送信手段とを有する通信制御装置。
【請求項2】
秘密鍵及び公開鍵を生成する鍵対生成手段と、
前記端末認証プログラムに前記公開鍵に基づく電子証明書と前記秘密鍵に基づく電子署名とを付加するコード署名を実行するコード署名手段とをさらに有する請求項1に記載の通信制御装置。
【請求項3】
前記サーバ及び前記受付手段は、前記認証情報として符号化された認証情報を受け付ける請求項1に記載の通信制御装置。
【請求項4】
前記外部端末は、秘密鍵及び公開鍵を生成するとともに、前記認証結果に電子署名を添付し、
前記認証結果送信手段は、前記外部端末が生成した公開鍵に基づいて受信した当該認証結果が真正か否かを検証する請求項1に記載の通信制御装置。
【請求項5】
コンピュータを、
外部認証サーバによる認証サービスを利用することのできないサーバが、該外部認証サーバによる前記認証サービスを利用できる外部端末から、利用要求とともに前記外部認証サーバにおいて利用者を認証する認証情報を受け付けたとき、当該サーバから当該認証情報の認証依頼を受け付ける受付手段と、
前記受付手段が前記認証依頼を受け付けると、前記認証情報と、前記認証情報を送信して前記外部認証サーバに認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼の結果を前記サーバに送信する結果送信手段として前記外部端末を機能させるための端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信する送信手段と、
前記外部端末から受信した前記外部認証サーバによる認証結果を前記サーバに送信する認証結果送信手段として機能させる通信制御プログラム。
【請求項6】
認証情報に基づいて利用者を認証する外部認証サーバと、
前記外部認証サーバの前記認証サービスを利用できる外部端末と、
前記外部認証サーバの前記認証サービスを利用できない通信制御装置と、
前記外部端末から利用要求とともに認証情報を受け付けたとき、前記通信制御装置に認証依頼を出力する、前記外部認証サーバを利用できないサーバとを有する通信制御システムであって、
前記通信制御装置は、前記サーバから前記認証情報の認証依頼を受け付けると、前記認証情報と、端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信し、
前記外部端末は、前記端末認証プログラムを実行して、前記認証情報を前記外部認証サーバに送信して認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼の結果を前記サーバに送信する結果送信手段として機能し、
前記通信制御装置は、前記外部端末から受信した前記外部認証サーバによる認証結果を前記サーバに送信する通信制御システム。
【請求項1】
外部認証サーバによる認証サービスを利用することのできないサーバが、該外部認証サーバによる前記認証サービスを利用できる外部端末から、利用要求とともに前記外部認証サーバにおいて利用者を認証する認証情報を受け付けたとき、当該サーバから当該認証情報の認証依頼を受け付ける受付手段と、
前記受付手段が前記認証依頼を受け付けると、前記認証情報と、前記認証情報を送信して前記外部認証サーバに認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼の結果を前記サーバに送信する結果送信手段として前記外部端末を機能させるための端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信する送信手段と、
前記外部端末から受信した前記外部認証サーバによる認証結果を前記サーバに送信する認証結果送信手段とを有する通信制御装置。
【請求項2】
秘密鍵及び公開鍵を生成する鍵対生成手段と、
前記端末認証プログラムに前記公開鍵に基づく電子証明書と前記秘密鍵に基づく電子署名とを付加するコード署名を実行するコード署名手段とをさらに有する請求項1に記載の通信制御装置。
【請求項3】
前記サーバ及び前記受付手段は、前記認証情報として符号化された認証情報を受け付ける請求項1に記載の通信制御装置。
【請求項4】
前記外部端末は、秘密鍵及び公開鍵を生成するとともに、前記認証結果に電子署名を添付し、
前記認証結果送信手段は、前記外部端末が生成した公開鍵に基づいて受信した当該認証結果が真正か否かを検証する請求項1に記載の通信制御装置。
【請求項5】
コンピュータを、
外部認証サーバによる認証サービスを利用することのできないサーバが、該外部認証サーバによる前記認証サービスを利用できる外部端末から、利用要求とともに前記外部認証サーバにおいて利用者を認証する認証情報を受け付けたとき、当該サーバから当該認証情報の認証依頼を受け付ける受付手段と、
前記受付手段が前記認証依頼を受け付けると、前記認証情報と、前記認証情報を送信して前記外部認証サーバに認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼の結果を前記サーバに送信する結果送信手段として前記外部端末を機能させるための端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信する送信手段と、
前記外部端末から受信した前記外部認証サーバによる認証結果を前記サーバに送信する認証結果送信手段として機能させる通信制御プログラム。
【請求項6】
認証情報に基づいて利用者を認証する外部認証サーバと、
前記外部認証サーバの前記認証サービスを利用できる外部端末と、
前記外部認証サーバの前記認証サービスを利用できない通信制御装置と、
前記外部端末から利用要求とともに認証情報を受け付けたとき、前記通信制御装置に認証依頼を出力する、前記外部認証サーバを利用できないサーバとを有する通信制御システムであって、
前記通信制御装置は、前記サーバから前記認証情報の認証依頼を受け付けると、前記認証情報と、端末認証プログラムとを、当該端末認証プログラムが前記外部端末で実行されるよう前記外部端末に送信し、
前記外部端末は、前記端末認証プログラムを実行して、前記認証情報を前記外部認証サーバに送信して認証を依頼する認証依頼手段および該認証依頼に応じて前記外部認証サーバから受信した前記認証依頼の結果を前記サーバに送信する結果送信手段として機能し、
前記通信制御装置は、前記外部端末から受信した前記外部認証サーバによる認証結果を前記サーバに送信する通信制御システム。
【図1】
【図2】
【図3A】
【図3B】
【図3C】
【図4】
【図5】
【図2】
【図3A】
【図3B】
【図3C】
【図4】
【図5】
【公開番号】特開2011−232794(P2011−232794A)
【公開日】平成23年11月17日(2011.11.17)
【国際特許分類】
【出願番号】特願2010−99671(P2010−99671)
【出願日】平成22年4月23日(2010.4.23)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成23年11月17日(2011.11.17)
【国際特許分類】
【出願日】平成22年4月23日(2010.4.23)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]