VPN多重帰属システムおよび認証制御方法
【課題】複数のVPN内のアプリケーションサーバに対する、ユーザのログインに関する処理負荷を軽減する。
【解決手段】ユーザ端末と、それぞれアプリケーションサーバを収容する複数のVPNと、VPN終端装置とを有するVPN多重帰属システムであって、前記VPN終端装置は、共通機能と、前記複数のVPN毎に設けられ前記1つのVPNを終端する複数の仮想端末通信機能とを有し、前記共通機能は、前記ユーザ端末からログイン要求を受信し、当該ログイン要求をおこなったユーザの認証を行う手段と、前記ユーザ端末から前記各VPNに対する接続要求を前記各仮想端末通信機能に送信する手段と、前記各仮想端末通信機能を介して前記各アプリケーションサーバから認証要求を受信した場合に、当該ユーザが既に認証済みであるので、再度認証処理を行わずに認証結果を許可と判定する手段と、前記認証結果を前記各アプリケーションサーバに送信する手段とを有する。
【解決手段】ユーザ端末と、それぞれアプリケーションサーバを収容する複数のVPNと、VPN終端装置とを有するVPN多重帰属システムであって、前記VPN終端装置は、共通機能と、前記複数のVPN毎に設けられ前記1つのVPNを終端する複数の仮想端末通信機能とを有し、前記共通機能は、前記ユーザ端末からログイン要求を受信し、当該ログイン要求をおこなったユーザの認証を行う手段と、前記ユーザ端末から前記各VPNに対する接続要求を前記各仮想端末通信機能に送信する手段と、前記各仮想端末通信機能を介して前記各アプリケーションサーバから認証要求を受信した場合に、当該ユーザが既に認証済みであるので、再度認証処理を行わずに認証結果を許可と判定する手段と、前記認証結果を前記各アプリケーションサーバに送信する手段とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、VPN多重帰属システムおよび認証制御方法に係り、特に、単一のユーザ端末から複数のVPN(Virtual Private Network)に対して同時にアクセスし、各VPN内のアプリケーションサーバに対してログインをする際に、認証処理を一度実施することで、個別のアプリケーションサーバ毎に認証を行うことなく、複数のVPN内に存在するアプリケーションサーバの利用が可能となる技術に関する。
【背景技術】
【0002】
インターネット上や企業のイントラネット内で複数のシステムやアプリケーションサーバにアクセスしログインする際に、通常、ユーザは各システムまたは各アプリケーションサーバ毎に、IDやパスワードに代表される認証情報をその都度要求され、認証処理を行った上でログインが可能となる。
このような煩雑な手順を解消するために、複数のシステムやサーバにアクセスする場合においても、ユーザは一度認証処理を実施するだけで、その後の認証処理を自動化することを可能とする方法が、SSO(Single Sign-on)技術として、複数の方式が公開されている。
一方、企業のイントラネットの実現方法として、VPN(Virtual Private Network)が広く利用されている。VPNは、物理的には一つのネットワークを論理的には完全に分離することで、仮想的な専用網を構成することを可能とする技術である。
一般的に、個々のVPNは、ある目的毎に閉じたクローズド・ネットワークであり、内部に設置されたシステムやサーバは、他のVPNやインターネットなどの外部ネットワークからアクセスすることはできない。
外部ネットワークからVPN内のシステムやサーバにアクセスするための方法としては、VPNにアクセスするためのゲートウェイ装置等に対して一度認証処理等を行いログインした上で、VPN内の当該システムおよびサーバにアクセスする方法が挙げられる。
下記特許文献1には、この際の手順を簡略化するために、単一のネットワーク内の複数のサーバに対して順次認証処理が発生する場合に、当該ネットワークへのアクセスを可能とするゲートウェイと、前記ネットワーク内のサービスサーバに対するSSO機能を提供する発明が記載されている。
【0003】
なお、本願発明に関連する先行技術文献としては以下のものがある。
【特許文献1】特開2004−133824号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、従来のSSO技術には、以下のような課題がある。
従来のSSO技術は、インターネットやイントラネットなど単一のネットワーク内で、あるユーザ端末から複数のサーバやシステムに対するアクセスに対してSSO機能を提供するものであり、認証を行うユーザ端末や、アプリケーションサーバ、認証機能を有する認証管理サーバが同一ネットワーク上に存在し、相互に通信できる必要があり、複数のVPN内に設置されたシステムやサーバに対して、相互通信の不可能な外部ネットワークから一度の認証でアクセスすることはできなかった。また、ログイン要求自体はユーザが行う必要があり、接続先が増加するにつれて煩雑となっていた。
さらに、前述の特許文献1に記載による方法では、インターネットから特定のネットワーク内のサービスサーバに対して一度の認証でログインすることを可能としているが、複数のネットワークに対して同時にアクセスし、各ネットワーク内のサービスサーバに対してログインすることは考慮されておらず、複数のネットワークに同時にアクセスする場合はネットワーク毎に個別にログイン処理およびそれに伴う認証処理を行う必要があった。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、VPN多重帰属システムおよびその認証制御方法において、複数のVPN内のアプリケーションサーバに対する、ユーザのログインに関する処理負荷を軽減するための技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
【課題を解決するための手段】
【0005】
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
(1)ユーザ端末と、それぞれアプリケーションサーバを収容する複数のVPNと、前記ユーザ端末と前記複数のVPNとの間に配置されるVPN終端装置とを有するVPN多重帰属システムであって、前記VPN終端装置は、共通機能と、前記複数のVPN毎に設けられ前記1つのVPNを終端する複数の仮想端末通信機能とを有し、前記共通機能は、前記ユーザ端末からログイン要求を受信し、当該ログイン要求をおこなったユーザの認証を行う手段と、前記ユーザ端末から前記各VPNに対する接続要求を前記各仮想端末通信機能に送信する手段と、前記各仮想端末通信機能を介して前記各アプリケーションサーバから認証要求を受信した場合に、当該ユーザが既に認証済みであるので、再度認証処理を行わずに認証結果を許可と判定する手段と、前記認証結果を前記各アプリケーションサーバに送信する手段とを有する。
【0006】
(2)(1)において、前記共通機能は、アクセス制御機能と認証情報管理機能とを有し、前記アクセス制御機能は、前記ユーザ端末からログイン要求を受信し、前記ユーザ端末に対して前記認証情報管理機能へ認証要求の転送を要求する手段と、前記認証情報管理機能からの認証結果を受信し、前記ユーザからのログイン要求を許可する手段と、前記各仮想端末通信機能を有効化する有効化手段と、前記各VPNに対する接続要求を送信する送信手段とを有し、前記認証情報管理機能は、前記ユーザ端末から前記認証要求を受信する手段と、前記受信した認証要求のユーザが未認証の場合は、当該ユーザの認証処理を行い、当該ユーザが既に認証済みである場合には、再度認証処理を行わずに認証結果を許可と判定する手段とを有し、各仮想端末通信機能は、前記終端している前記VPNに対する接続要求を受信し、前記終端している前記VPNに収容されている前記アプリケーションサーバにログイン要求を送信する手段と、前記アプリケーションサーバから認証要求の転送要求を受信し、当該認証要求を前記認証情報管理機能に転送する手段と、認証情報管理機能から認証結果の転送要求を受信した場合に、当該認証結果を前記アプリケーションサーバに転送する手段とを有し、前記アプリケーションサーバは、ログイン要求を受け付けた場合に、要求元に対して、前記認証情報管理機能へ認証要求の転送を要求する手段と、前記認証情報管理機能からの応答を受信し、前記ユーザからのログイン要求を許可する手段とを有する。
【0007】
(3)(2)において、前記ユーザの前記アクセス制御機能に対するログイン処理が完了した状態において、前記アクセス制御機能は、前記ユーザ端末から1つのVPNに対する接続要求を受信すると、前記アクセス制御機能の前記有効化手段は、当該VPNを終端する前記仮想端末通信機能を有効化し、前記アクセス制御機能の前記送信手段は、前記1つのVPNに対して前記ユーザ端末からの接続要求を転送する。
(4)(2)において、前記ユーザの前記アクセス制御機能に対するログイン処理が完了後、前記アクセス制御機能の前記有効化手段は、当該ユーザがアクセス可能な全VPNに対して、当該VPNを終端する全ての仮想端末通信機能を有効化し、前記アクセス制御機能の前記送信手段は、前記ユーザがアクセス可能な全VPNに対して接続要求を送信する。
【0008】
(5)ユーザ端末と、それぞれアプリケーションサーバを収容する複数のVPNと、前記ユーザ端末と前記複数のVPNとの間に配置されるVPN終端装置とを有するVPN多重帰属システムにおける認証制御方法であって、前記VPN終端装置は、共通機能と、前記複数のVPN毎に設けられ前記1つのVPNを終端する複数の仮想端末通信機能とを有し、前記共通機能が、前記ユーザ端末からログイン要求を受信し、当該ログイン要求をおこなったユーザの認証を行う工程と、前記ユーザ端末から前記各VPNに対する接続要求を前記各仮想端末通信機能に送信する工程と、前記各仮想端末通信機能を介して前記各アプリケーションサーバから認証要求を受信し、当該ユーザが既に認証済みであるので、再度認証処理を行わずに認証結果を許可と判定する工程と、前記認証結果を前記各アプリケーションサーバに送信する工程とを有する。
【0009】
(6)ユーザ端末と、それぞれアプリケーションサーバを収容する複数のVPNと、前記ユーザ端末と前記複数のVPNとの間に配置されるVPN終端装置とを有するVPN多重帰属システムにおける認証制御方法であって、前記ユーザ端末が、前記VPN終端装置内のアクセス制御機能にログイン要求を送信する工程と、前記アクセス制御機能が、前記ユーザ端末からログイン要求を受信し、前記ユーザ端末に対して前記VPN終端装置内の認証情報管理機能へ認証要求の転送を要求する工程と、前記ユーザ端末が、受信した認証要求を前記認証情報管理機能へ転送する工程と、前記認証情報管理機能が、前記ユーザ端末からの認証要求を受信し、当該認証要求のユーザが未認証の場合は、当該ユーザの認証処理を行い、認証結果を要求元へ転送することを要求する工程と、前記ユーザ端末が、前記受信した認証結果を前記アクセス制御機能へ転送する工程と、前記アクセス制御機能が、前記認証結果を受信し、ユーザからのログイン要求を許可する工程と、前記アクセス制御機能が、前記ユーザ端末から1つのVPNに対する接続要求を受信し、前記1つのVPNを終端する前記仮想端末通信機能を有効化し、前記1つのVPNに対して前記ユーザ端末からの接続要求を転送する工程と、前記1つのVPNを終端する前記仮想端末機能が、前記1つのVPNに対する接続要求を受信し、当該VPNに収容されているアプリケーションサーバにログイン要求を送信する工程と、前記アプリケーションサーバが、ログイン要求を受け付け、対応する前記仮想端末機能に対して認証情報管理機能へ認証要求の転送を要求する工程と、前記1つのVPNを終端する前記仮想端末機能が、前記アプリケーションサーバからの認証要求の転送要求を受信し、当該認証要求を前記認証情報管理機能に転送する工程と、前記認証情報管理機能が、当該ユーザが既に認証済みであるため、再度認証処理を行わずに認証結果を許可と判定し、認証結果を要求元のアプリケーションサーバへ転送することを前記1つのVPNを終端する前記仮想端末機能に要求する工程と、前記1つのVPNを終端する前記仮想端末機能が、受信した認証結果を前記アプリケーションサーバに転送する工程と、前記アプリケーションサーバが、前記ユーザからのログイン要求を許可する工程とを有する。
【0010】
(7)ユーザ端末と、それぞれアプリケーションサーバを収容する複数のVPNと、前記ユーザ端末と前記複数のVPNとの間に配置されるVPN終端装置とを有するVPN多重帰属システムにおける認証制御方法であって、前記ユーザ端末が、前記VPN終端装置内のアクセス制御機能にログイン要求を送信する工程と、前記アクセス制御機能が、前記ユーザ端末からログイン要求を受信し、前記ユーザ端末に対して前記VPN終端装置内の認証情報管理機能へ認証要求の転送を要求する工程と、前記ユーザ端末が、受信した認証要求を前記認証情報管理機能へ転送する工程と、前記認証情報管理機能が、前記ユーザ端末からの認証要求を受信し、当該認証要求のユーザが未認証の場合は、当該ユーザの認証処理を行い、認証結果を要求元へ転送することを要求する工程と、前記ユーザ端末が、前記受信した認証結果を前記アクセス制御機能へ転送する工程と、前記アクセス制御機能が、前記認証結果を受信し、ユーザからのログイン要求を許可する工程と、前記アクセス制御機能が、前記ユーザがアクセス可能な全VPNに対して、前記ユーザがアクセス可能な全VPNを終端する全ての仮想端末通信機能を有効化した後、前記ユーザがアクセス可能な全VPNに対して接続要求を送信する工程と、接続要求を受信した前記各仮想端末機能が、終端している前記VPNに収容されている前記アプリケーションサーバにログイン要求を送信する工程と、前記アプリケーションサーバは、ログイン要求を受け付け、それぞれ対応する前記仮想端末機能に対して前記認証情報管理機能へ認証要求の転送を要求する工程と、前記各仮想端末機能が、前記アプリケーションサーバからの認証要求の転送要求を受信し、当該認証要求を前記認証情報管理機能に転送する工程と、前記認証情報管理機能が、当該ユーザが既に認証済みであるため、再度認証処理を行わずに認証結果を許可と判定し、認証結果を要求元の前記アプリケーションサーバへ転送することを前記各仮想端末機能に要求する工程と、前記各仮想端末機能が、受信した認証結果を前記アプリケーションサーバに転送する工程と、前記アプリケーションサーバが、前記ユーザからのログイン要求を許可する工程とを有する。
【発明の効果】
【0011】
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明のVPN多重帰属システムおよびその認証制御方法によれば、複数のVPN内のアプリケーションサーバに対する、ユーザのログインに関する処理負荷を軽減することが可能となる。
【発明を実施するための最良の形態】
【0012】
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
[実施例1]
図1は、本発明の実施例のVPN多重帰属システムの概略構成を示すブロック図である。 図1に示すように、ユーザ端末1−1は、VPN終端装置1−2と接続され、VPN終端装置は複数のVPN(VPN(a)1−3a、VPN(b)1−3b、VPN(c)1−3c)と接続され、各VPNにはそれぞれアプリケーションサーバ(a)1−4a、アプリケーションサーバ(b)1−4b、アプリケーションサーバ(c)1−4cが接続されている。
ユーザ端末間とVPN終端装置1−2との間の接続はTCP/IPによるネットワークで接続されている接続形態でよく、従って、インターネット経由による接続やIP−VPN、Internet−VPN経由による接続でもよい。
アプリケーションサーバ1−4a〜cとVPN終端装置1−2は、インターネットVPNやIP−VPNを用いて構成されたVPN1−3a〜cによって接続されている。このVPNは、論理的にネットワークを独立に構成することが出来ればよいため、キャリアの広域イーサネットサービスなどで構成されていてもよい。
また、図1では、各VPNにアプリケーションサーバが1台の場合の構成例を図示しているが、同一VPN内に複数のアプリケーションサーバが存在する場合も以下に説明する本実施例と同様な工程で本発明を実施することが可能である。
【0013】
VPN終端装置1−2には、共通通信機能1−6と仮想端末通信機能1−5a〜cがあり、さらに共通通信機能1−6内には、認証情報管理機能1−7とアクセス制御機能1−8がある。
仮想端末通信機能1−5a〜cは、それぞれVPN1−3a〜cを終端し、対応するアプリケーションサーバ1−4a〜cと通信する機能を有しており、VPN終端装置1−2内では共通通信機能1−6と通信する機能を有している。
ユーザ端末は、例えば、OSをWindowsとするPC端末でよく、WebアプリケーションサーバにアクセスするためのWebブラウザ機能を有している。
アプリケーションサーバは、例えば、OSをLinuxとするWebアプリケーションサーバでよく、本発明による認証制御機能を有している。
また、VPN終端装置、ユーザ端末、アプリケーションサーバは、上述した各機能に加えて、CPU、メモリ、ハードディスクといったデバイスを備えているものとする。また、各機能はCPUによって処理されるプログラムのモジュールであってもよい。
以上説明したように、本実施例によれば、VPN終端装置内の共通通信機能1−6に認証情報管理機能1−7を配備することで、各VPN内のアプリケーションサーバと認証情報管理機能1−7の相互通信と、ユーザ端末1−1と認証情報管理機能1−7の相互通信を可能とすることができる。
また、VPN終端装置内の共通通信機能1−7にアクセス制御機能1−8を配備することで、ユーザ端末1−1からVPNにアクセスする際に認証処理を行うことが可能となり、VPNに対するアクセスを制御することが可能となる。
【0014】
まず、図1のシステム構成において、ユーザ端末1−1からVPN終端装置1−2にログインし、その後、アプリケーションサーバ(a)1−4a、アプリケーションサーバ(b)1−4bにログインする場合の動作例を図2により説明する。
まず、ユーザ端末2−1は、ユーザのWebブラウザの操作により、VPN終端装置2−8のアクセス制御機能2−2にログイン要求2−10を送信する。
アクセス制御機能2−2は、ログイン要求2−10を受信すると、認証情報管理機能2−3に対して共通鍵の共有処理2−11を行い、ユーザ端末2−1に対して認証情報管理機能2−3に認証要求をリダイレクトする要求2−12を送信する。
ユーザ端末2−1は、リダイレクト要求2−12を受信すると、認証要求2−13を認証情報管理機能2−3に転送する。
認証情報管理機能2−3は、認証要求2−13を受信すると、当該ユーザの認証処理2−14を、例えば、ログインIDとパスワードをユーザに入力させることによって実施し、認証結果をリダイレクト要求2−15としてユーザ端末2−1に返答する。
ユーザ端末2−1は、認証結果2−16をアクセス制御機能2−2に転送する。
結果として、アクセス制御機能2−2が認証結果2−16を受信し、結果が許可であれば、当該ユーザのVPN終端装置2−8へのログイン処理2−17を行い、ユーザ端末2−1から各VPNへのアクセスが可能な状態となる。
その後、ユーザ端末2−1がユーザのWebブラウザの操作により、VPN(a)に対する接続要求2−20をアクセス制御機能2−2に送信すると、アクセス制御機能2−2は、VPN(a)を終端する仮想端末機能(a)2−4を有効化した後、当該接続要求2−20を仮想端末機能(a)2−4に転送する。
【0015】
次に、仮想端末機能(a)2−4は、VPN(a)内のアプリケーションサーバ(a)2−6に対して、ログイン要求2−21を送信する。
アプリケーションサーバ(a)2−6は、ログイン要求2−21を受信すると、認証情報管理機能2−3に対して共通鍵の共有処理2−22を行い、仮想端末機能(a)2−4に対して、認証情報管理機能2−3に認証要求をリダイレクトする要求2−23を送信する。仮想端末機能(a)2−4は、リダイレクト要求2−23を受信すると、認証要求2−23を認証情報管理機能2−3に転送する。
認証情報管理機能2−3は、認証要求2−23を受信すると、当該ユーザが既に前述の認証処理2−14で認証済みであるため、許可判定2−25を行い、認証結果をリダイレクト要求2−26として仮想端末機能(a)2−4に返答する。
仮想端末機能(a)2−4は、認証結果2−27をアプリケーションサーバ(a)2−6に転送する。
最終的にアプリケーションサーバ(a)2−6が認証結果2−27を受信し、結果が許可であるため、当該ユーザのアプリケーションサーバ(a)2−6へのログイン処理2−28を行い、ユーザ端末2−1からVPN(a)内のアプリケーションサーバ(a)2−6の利用が可能となる。
なお、前述の説明では、VPN(a)内にアプリケーションサーバが1台の場合について説明したが、複数台ある場合でも、前述のログイン要求2−21から当該アプリケーションサーバへのログイン処理2−28を各アプリケーションサーバに対して繰り返し実行すればよい。
【0016】
次に、ユーザ端末2−1がユーザのWebブラウザの操作により、VPN(b)に対する接続要求2−30をアクセス制御機能2−2に送信すると、アクセス制御機能2−2は、VPN(b)を終端する仮想端末機能(b)2−5を有効化した後、当該接続要求2−30を仮想端末機能(b)2−5に転送する。
次に、仮想端末機能(b)2−5は、VPN(b)内のアプリケーションサーバ(b)2−7に対して、ログイン要求2−31を送信する。アプリケーションサーバ(b)2−7は、ログイン要求2−31を受信すると、認証情報管理機能2−3に対して共通鍵の共有処理2−32を行い、仮想端末機能(b)2−5に対して認証情報管理機能2−3に認証要求をリダイレクトする要求2−33を送信する。
仮想端末機能(b)2−5は、リダイレクト要求2−33を受信すると、認証要求2−34を認証情報管理機能2−3に転送する。
認証情報管理機能2−3は、認証要求2−34を受信すると、当該ユーザが既に前述の認証処理2−14で認証済みであるため、許可判定2−35を行い、認証結果をリダイレクト要求2−36として仮想端末機能(b)2−5に返答する。
仮想端末機能(b)2−5は、認証結果2−37をアプリケーションサーバ(b)2−7に転送する。
最終的にアプリケーションサーバ(b)2−7が認証結果2−37を受信し、結果が許可であるため、当該ユーザのアプリケーションサーバ(b)2−7へのログイン処理2−38を行い、ユーザ端末2−1からVPN(b)内のアプリケーションサーバ(b)2−7の利用が可能となる。
【0017】
なお、前述の説明では、VPN(b)内にアプリケーションサーバが1台の場合について説明したが、複数台ある場合でも、上述のログイン要求2−31から当該アプリケーションサーバへのログイン処理2−38を各アプリケーションサーバに対して繰り返し実行すればよい。
また、本実施例では、ユーザがVPN(a)に対する接続要求を送信し、その後VPN(b)に対する接続要求を送信する場合について説明したが、その後、VPN(c)やその他複数のVPNに対して接続する場合も同様に認証制御を行うことで、VPN終端装置がログイン処理および認証処理を代行することとなり、ユーザのログイン処理に関する負荷が軽減される。
以上説明したように、本実施例によれば、単一のユーザ端末2−1から複数のVPN内の複数のアプリケーションサーバにアクセスする際に、VPN終端装置2−8に対する認証処理を一度実施することで、その後は、接続したいVPNに対する接続要求を送信するだけで、各VPN内のアプリケーションサーバへのログインが可能となり、ユーザが複数のVPNに同時にアクセスする場合に、ユーザのログイン処理を簡略化することが可能となる。
【0018】
[実施例2]
次に、実施例2として、図1のシステム構成において、ユーザ端末1−1からVPN終端装置1−2にログインし、その後、アプリケーションサーバ(a)1−4a、アプリケーションサーバ(b)1−4bにログインする場合の動作例を図3により説明する。
本実施例では、ユーザはVPN終端装置に1回ログインすると、全てのアプリケーションサーバに向けてアクセス制御装置から自動的にログイン要求行う。なお、アクセス制御装置からの自動ログイン要求は、全てのアプリケーションサーバに向けて行う必要はなく、特定のアプリケーションサーバに対して選択的に行うようにしてもよい。
まず、ユーザ端末3−1は、ユーザのWebブラウザの操作により、VPN終端装置3−8のアクセス制御機能3−2にログイン要求3−10を送信する。
アクセス制御機能3−2は、ログイン要求3−10を受信すると、認証情報管理機能3−3に対して共通鍵の共有処理3−11を行い、ユーザ端末3−1に対して認証情報管理機能3−3に認証要求をリダイレクトする要求3−12を送信する。
ユーザ端末3−1は、リダイレクト要求3−12を受信すると、認証要求3−13を認証情報管理機能3−3に転送する。
認証情報管理機能3−3は、認証要求3−13を受信すると、当該ユーザの認証処理3−14を、例えば、ログインIDと、パスワードをユーザに入力させることによって実施し、認証結果をリダイレクト要求3−15としてユーザ端末3−1に返答する。
ユーザ端末3−1は、認証結果3−16をアクセス制御機能3−2に転送する。
結果として、アクセス制御機能3−2が認証結果3−16を受信し、結果が許可であれば、当該ユーザのVPN終端装置へのログイン処理3−17を行い、ユーザ端末3−1から各VPNへのアクセスが可能な状態となる。
【0019】
続いて、アクセス制御機能3−2は、ユーザがVPN(a)、VPN(b)およびVPN(c)にアクセス可能である場合、VPN(a)を終端する仮想端末機能(a)3−4を有効化した後、VPN(a)に対する接続要求3−20を仮想端末機能(a)3−4に転送する。
次に、仮想端末機能(a)3−4は、VPN(a)内のアプリケーションサーバ(a)3−6に対して、ログイン要求3−21を送信する。アプリケーションサーバ(a)3−6は、ログイン要求3−21を受信すると、認証情報管理機能3−3に対して共通鍵の共有処理3−22を行い、仮想端末機能(a)3−4に対して認証情報管理機能3−3に認証要求をリダイレクトする要求3−23を送信する。
仮想端末機能(a)3−4は、リダイレクト要求3−23を受信すると、認証要求3−24を認証情報管理機能3−3に転送する。
認証情報管理機能3−3は、認証要求3−24を受信すると、当該ユーザが既に前述の認証処理3−14で認証済みであるため、許可判定3−25を行い、認証結果をリダイレクト要求3−26として仮想端末機能(a)3−4に返答する。
仮想端末機能(a)3−4は、認証結果3−27をアプリケーションサーバ(a)3−6に転送する。
最終的にアプリケーションサーバ(a)3−6が認証結果3−27を受信し、結果が許可であるため、当該ユーザのアプリケーションサーバ(a)3−6へのログイン処理3−28を行い、ユーザ端末3−1からVPN(a)内のアプリケーションサーバ(a)3−6の利用が可能となる。
なお、前述の説明では、VPN(a)内にアプリケーションサーバが1台の場合について説明したが、複数台ある場合でも、前述のログイン要求3−21から当該アプリケーションサーバへのログイン処理3−28を各アプリケーションサーバに対して繰り返し実行すればよい。
【0020】
続いて、アクセス制御機能3−2は、VPN(b)を終端する仮想端末機能(b)3−5を有効化した後、当該接続要求3−30を仮想端末機能(b)3−5に転送する。
次に、仮想端末機能(b)3−5は、VPN(b)内のアプリケーションサーバ(b)3−7に対して、ログイン要求3−31を送信する。
アプリケーションサーバ(b)3−7は、ログイン要求3−31を受信すると、認証情報管理機能3−3に対して共通鍵の共有処理3−32を行い、仮想端末機能(b)3−5に対して認証情報管理機能3−3に認証要求をリダイレクトする要求3−33を送信する。
仮想端末機能(b)3−5は、リダイレクト要求3−33を受信すると、認証要求3−34を認証情報管理機能3−3に転送する。
認証情報管理機能3−3は、認証要求3−34を受信すると、当該ユーザが既に前述の認証処理3−14で認証済みであるため、許可判定3−35を行い、認証結果をリダイレクト要求3−36として仮想端末機能(b)3−5に返答する。
仮想端末機能(b)3−5は、認証結果3−37をアプリケーションサーバ(b)3−7に転送する。
【0021】
最終的にアプリケーションサーバ(b)3−7が認証結果3−37を受信し、結果が許可であるため、当該ユーザのアプリケーションサーバ(b)3−7へのログイン処理3−38を行い、ユーザ端末3−1からVPN(b)内のアプリケーションサーバ(b)3−7の利用が可能となる。
なお、前述の説明では、VPN(b)内にアプリケーションサーバが1台の場合について説明したが、複数台ある場合でも、上述のログイン要求3−31から当該アプリケーションサーバへのログイン処理3−38を各アプリケーションサーバに対して繰り返し実行すればよい。
また、アクセス制御機能3−2がVPN(a)に対する接続要求を送信し、その後VPN(b)に対する接続要求を送信する場合について説明したが、この後、VPN(c)に対して接続する場合も同様に認証制御を行うことで、VPN終端装置がログイン処理および認証処理を代行することとなり、ユーザのログイン処理に関する負荷が軽減される。
さらに、前述の説明では、VPN毎の処理を逐次実行する例について説明したが、各VPN毎の処理は独立であるため、アクセス制御機能の各VPNに対する接続要求の送信処理以降の各手順を並行に実行させることも可能である。
【0022】
このように、本実施例によれば、単一のユーザ端末3−1から複数のVPN内の複数のアプリケーションサーバにアクセスする際に、VPN終端装置3−8に対するログイン処理および認証処理を一度実施することで、当該ユーザがアクセス可能な全VPN内のアプリケーションサーバへのログイン処理が連動して実行されるため、特に、ユーザが複数のVPN内の多数のアプリケーションサーバに同時にアクセスする場合に、ユーザのログイン処理を大幅に簡略化する効果を得ることができる。
以上説明したように、本実施例によるVPN多重帰属システムおよびその認証方法は、ユーザが、複数VPNに同時にアクセスする上で有用であり、特に、ユーザが各VPN内のアプリケーションサーバに対して同時にアクセスする際に、複数のVPNをセキュアに終端する装置内に認証情報を管理する機能を有することで、同時にアクセスするサーバが増えることに応じて増加するユーザの認証処理に関わる負荷を軽減する点で有益である。 以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【図面の簡単な説明】
【0023】
【図1】本発明の実施例のVPN多重帰属システムの概略構成を示すブロック図である。
【図2】本発明の実施例1のVPN多重帰属システムの認証方法を説明ためのシーケンス図である。
【図3】本発明の実施例2のVPN多重帰属システムの認証方法を説明ためのシーケンス図である。
【符号の説明】
【0024】
1−1,2−1,3−1 ユーザ端末
1−2,2−8,3−8 VPN終端装置
1−3a VPN(a)
1−3b VPN(b)
1−3c VPN(c)
1−4a,2−6,3−6 アプリケーションサーバ(a)
1−4b,2−7,3−7 アプリケーションサーバ(b)
1−4c アプリケーションサーバ(c)
1−5a,2−4,3−4 仮想端末通信機能(a)
1−5b,2−5,3−5 仮想端末通信機能(b)
1−5c 仮想端末通信機能(c)
1−6 共通通信機能
1−7,2−3,3−3 認証情報管理機能
1−8,2−2,3−2 アクセス制御機能
【技術分野】
【0001】
本発明は、VPN多重帰属システムおよび認証制御方法に係り、特に、単一のユーザ端末から複数のVPN(Virtual Private Network)に対して同時にアクセスし、各VPN内のアプリケーションサーバに対してログインをする際に、認証処理を一度実施することで、個別のアプリケーションサーバ毎に認証を行うことなく、複数のVPN内に存在するアプリケーションサーバの利用が可能となる技術に関する。
【背景技術】
【0002】
インターネット上や企業のイントラネット内で複数のシステムやアプリケーションサーバにアクセスしログインする際に、通常、ユーザは各システムまたは各アプリケーションサーバ毎に、IDやパスワードに代表される認証情報をその都度要求され、認証処理を行った上でログインが可能となる。
このような煩雑な手順を解消するために、複数のシステムやサーバにアクセスする場合においても、ユーザは一度認証処理を実施するだけで、その後の認証処理を自動化することを可能とする方法が、SSO(Single Sign-on)技術として、複数の方式が公開されている。
一方、企業のイントラネットの実現方法として、VPN(Virtual Private Network)が広く利用されている。VPNは、物理的には一つのネットワークを論理的には完全に分離することで、仮想的な専用網を構成することを可能とする技術である。
一般的に、個々のVPNは、ある目的毎に閉じたクローズド・ネットワークであり、内部に設置されたシステムやサーバは、他のVPNやインターネットなどの外部ネットワークからアクセスすることはできない。
外部ネットワークからVPN内のシステムやサーバにアクセスするための方法としては、VPNにアクセスするためのゲートウェイ装置等に対して一度認証処理等を行いログインした上で、VPN内の当該システムおよびサーバにアクセスする方法が挙げられる。
下記特許文献1には、この際の手順を簡略化するために、単一のネットワーク内の複数のサーバに対して順次認証処理が発生する場合に、当該ネットワークへのアクセスを可能とするゲートウェイと、前記ネットワーク内のサービスサーバに対するSSO機能を提供する発明が記載されている。
【0003】
なお、本願発明に関連する先行技術文献としては以下のものがある。
【特許文献1】特開2004−133824号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、従来のSSO技術には、以下のような課題がある。
従来のSSO技術は、インターネットやイントラネットなど単一のネットワーク内で、あるユーザ端末から複数のサーバやシステムに対するアクセスに対してSSO機能を提供するものであり、認証を行うユーザ端末や、アプリケーションサーバ、認証機能を有する認証管理サーバが同一ネットワーク上に存在し、相互に通信できる必要があり、複数のVPN内に設置されたシステムやサーバに対して、相互通信の不可能な外部ネットワークから一度の認証でアクセスすることはできなかった。また、ログイン要求自体はユーザが行う必要があり、接続先が増加するにつれて煩雑となっていた。
さらに、前述の特許文献1に記載による方法では、インターネットから特定のネットワーク内のサービスサーバに対して一度の認証でログインすることを可能としているが、複数のネットワークに対して同時にアクセスし、各ネットワーク内のサービスサーバに対してログインすることは考慮されておらず、複数のネットワークに同時にアクセスする場合はネットワーク毎に個別にログイン処理およびそれに伴う認証処理を行う必要があった。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、VPN多重帰属システムおよびその認証制御方法において、複数のVPN内のアプリケーションサーバに対する、ユーザのログインに関する処理負荷を軽減するための技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
【課題を解決するための手段】
【0005】
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
(1)ユーザ端末と、それぞれアプリケーションサーバを収容する複数のVPNと、前記ユーザ端末と前記複数のVPNとの間に配置されるVPN終端装置とを有するVPN多重帰属システムであって、前記VPN終端装置は、共通機能と、前記複数のVPN毎に設けられ前記1つのVPNを終端する複数の仮想端末通信機能とを有し、前記共通機能は、前記ユーザ端末からログイン要求を受信し、当該ログイン要求をおこなったユーザの認証を行う手段と、前記ユーザ端末から前記各VPNに対する接続要求を前記各仮想端末通信機能に送信する手段と、前記各仮想端末通信機能を介して前記各アプリケーションサーバから認証要求を受信した場合に、当該ユーザが既に認証済みであるので、再度認証処理を行わずに認証結果を許可と判定する手段と、前記認証結果を前記各アプリケーションサーバに送信する手段とを有する。
【0006】
(2)(1)において、前記共通機能は、アクセス制御機能と認証情報管理機能とを有し、前記アクセス制御機能は、前記ユーザ端末からログイン要求を受信し、前記ユーザ端末に対して前記認証情報管理機能へ認証要求の転送を要求する手段と、前記認証情報管理機能からの認証結果を受信し、前記ユーザからのログイン要求を許可する手段と、前記各仮想端末通信機能を有効化する有効化手段と、前記各VPNに対する接続要求を送信する送信手段とを有し、前記認証情報管理機能は、前記ユーザ端末から前記認証要求を受信する手段と、前記受信した認証要求のユーザが未認証の場合は、当該ユーザの認証処理を行い、当該ユーザが既に認証済みである場合には、再度認証処理を行わずに認証結果を許可と判定する手段とを有し、各仮想端末通信機能は、前記終端している前記VPNに対する接続要求を受信し、前記終端している前記VPNに収容されている前記アプリケーションサーバにログイン要求を送信する手段と、前記アプリケーションサーバから認証要求の転送要求を受信し、当該認証要求を前記認証情報管理機能に転送する手段と、認証情報管理機能から認証結果の転送要求を受信した場合に、当該認証結果を前記アプリケーションサーバに転送する手段とを有し、前記アプリケーションサーバは、ログイン要求を受け付けた場合に、要求元に対して、前記認証情報管理機能へ認証要求の転送を要求する手段と、前記認証情報管理機能からの応答を受信し、前記ユーザからのログイン要求を許可する手段とを有する。
【0007】
(3)(2)において、前記ユーザの前記アクセス制御機能に対するログイン処理が完了した状態において、前記アクセス制御機能は、前記ユーザ端末から1つのVPNに対する接続要求を受信すると、前記アクセス制御機能の前記有効化手段は、当該VPNを終端する前記仮想端末通信機能を有効化し、前記アクセス制御機能の前記送信手段は、前記1つのVPNに対して前記ユーザ端末からの接続要求を転送する。
(4)(2)において、前記ユーザの前記アクセス制御機能に対するログイン処理が完了後、前記アクセス制御機能の前記有効化手段は、当該ユーザがアクセス可能な全VPNに対して、当該VPNを終端する全ての仮想端末通信機能を有効化し、前記アクセス制御機能の前記送信手段は、前記ユーザがアクセス可能な全VPNに対して接続要求を送信する。
【0008】
(5)ユーザ端末と、それぞれアプリケーションサーバを収容する複数のVPNと、前記ユーザ端末と前記複数のVPNとの間に配置されるVPN終端装置とを有するVPN多重帰属システムにおける認証制御方法であって、前記VPN終端装置は、共通機能と、前記複数のVPN毎に設けられ前記1つのVPNを終端する複数の仮想端末通信機能とを有し、前記共通機能が、前記ユーザ端末からログイン要求を受信し、当該ログイン要求をおこなったユーザの認証を行う工程と、前記ユーザ端末から前記各VPNに対する接続要求を前記各仮想端末通信機能に送信する工程と、前記各仮想端末通信機能を介して前記各アプリケーションサーバから認証要求を受信し、当該ユーザが既に認証済みであるので、再度認証処理を行わずに認証結果を許可と判定する工程と、前記認証結果を前記各アプリケーションサーバに送信する工程とを有する。
【0009】
(6)ユーザ端末と、それぞれアプリケーションサーバを収容する複数のVPNと、前記ユーザ端末と前記複数のVPNとの間に配置されるVPN終端装置とを有するVPN多重帰属システムにおける認証制御方法であって、前記ユーザ端末が、前記VPN終端装置内のアクセス制御機能にログイン要求を送信する工程と、前記アクセス制御機能が、前記ユーザ端末からログイン要求を受信し、前記ユーザ端末に対して前記VPN終端装置内の認証情報管理機能へ認証要求の転送を要求する工程と、前記ユーザ端末が、受信した認証要求を前記認証情報管理機能へ転送する工程と、前記認証情報管理機能が、前記ユーザ端末からの認証要求を受信し、当該認証要求のユーザが未認証の場合は、当該ユーザの認証処理を行い、認証結果を要求元へ転送することを要求する工程と、前記ユーザ端末が、前記受信した認証結果を前記アクセス制御機能へ転送する工程と、前記アクセス制御機能が、前記認証結果を受信し、ユーザからのログイン要求を許可する工程と、前記アクセス制御機能が、前記ユーザ端末から1つのVPNに対する接続要求を受信し、前記1つのVPNを終端する前記仮想端末通信機能を有効化し、前記1つのVPNに対して前記ユーザ端末からの接続要求を転送する工程と、前記1つのVPNを終端する前記仮想端末機能が、前記1つのVPNに対する接続要求を受信し、当該VPNに収容されているアプリケーションサーバにログイン要求を送信する工程と、前記アプリケーションサーバが、ログイン要求を受け付け、対応する前記仮想端末機能に対して認証情報管理機能へ認証要求の転送を要求する工程と、前記1つのVPNを終端する前記仮想端末機能が、前記アプリケーションサーバからの認証要求の転送要求を受信し、当該認証要求を前記認証情報管理機能に転送する工程と、前記認証情報管理機能が、当該ユーザが既に認証済みであるため、再度認証処理を行わずに認証結果を許可と判定し、認証結果を要求元のアプリケーションサーバへ転送することを前記1つのVPNを終端する前記仮想端末機能に要求する工程と、前記1つのVPNを終端する前記仮想端末機能が、受信した認証結果を前記アプリケーションサーバに転送する工程と、前記アプリケーションサーバが、前記ユーザからのログイン要求を許可する工程とを有する。
【0010】
(7)ユーザ端末と、それぞれアプリケーションサーバを収容する複数のVPNと、前記ユーザ端末と前記複数のVPNとの間に配置されるVPN終端装置とを有するVPN多重帰属システムにおける認証制御方法であって、前記ユーザ端末が、前記VPN終端装置内のアクセス制御機能にログイン要求を送信する工程と、前記アクセス制御機能が、前記ユーザ端末からログイン要求を受信し、前記ユーザ端末に対して前記VPN終端装置内の認証情報管理機能へ認証要求の転送を要求する工程と、前記ユーザ端末が、受信した認証要求を前記認証情報管理機能へ転送する工程と、前記認証情報管理機能が、前記ユーザ端末からの認証要求を受信し、当該認証要求のユーザが未認証の場合は、当該ユーザの認証処理を行い、認証結果を要求元へ転送することを要求する工程と、前記ユーザ端末が、前記受信した認証結果を前記アクセス制御機能へ転送する工程と、前記アクセス制御機能が、前記認証結果を受信し、ユーザからのログイン要求を許可する工程と、前記アクセス制御機能が、前記ユーザがアクセス可能な全VPNに対して、前記ユーザがアクセス可能な全VPNを終端する全ての仮想端末通信機能を有効化した後、前記ユーザがアクセス可能な全VPNに対して接続要求を送信する工程と、接続要求を受信した前記各仮想端末機能が、終端している前記VPNに収容されている前記アプリケーションサーバにログイン要求を送信する工程と、前記アプリケーションサーバは、ログイン要求を受け付け、それぞれ対応する前記仮想端末機能に対して前記認証情報管理機能へ認証要求の転送を要求する工程と、前記各仮想端末機能が、前記アプリケーションサーバからの認証要求の転送要求を受信し、当該認証要求を前記認証情報管理機能に転送する工程と、前記認証情報管理機能が、当該ユーザが既に認証済みであるため、再度認証処理を行わずに認証結果を許可と判定し、認証結果を要求元の前記アプリケーションサーバへ転送することを前記各仮想端末機能に要求する工程と、前記各仮想端末機能が、受信した認証結果を前記アプリケーションサーバに転送する工程と、前記アプリケーションサーバが、前記ユーザからのログイン要求を許可する工程とを有する。
【発明の効果】
【0011】
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明のVPN多重帰属システムおよびその認証制御方法によれば、複数のVPN内のアプリケーションサーバに対する、ユーザのログインに関する処理負荷を軽減することが可能となる。
【発明を実施するための最良の形態】
【0012】
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
[実施例1]
図1は、本発明の実施例のVPN多重帰属システムの概略構成を示すブロック図である。 図1に示すように、ユーザ端末1−1は、VPN終端装置1−2と接続され、VPN終端装置は複数のVPN(VPN(a)1−3a、VPN(b)1−3b、VPN(c)1−3c)と接続され、各VPNにはそれぞれアプリケーションサーバ(a)1−4a、アプリケーションサーバ(b)1−4b、アプリケーションサーバ(c)1−4cが接続されている。
ユーザ端末間とVPN終端装置1−2との間の接続はTCP/IPによるネットワークで接続されている接続形態でよく、従って、インターネット経由による接続やIP−VPN、Internet−VPN経由による接続でもよい。
アプリケーションサーバ1−4a〜cとVPN終端装置1−2は、インターネットVPNやIP−VPNを用いて構成されたVPN1−3a〜cによって接続されている。このVPNは、論理的にネットワークを独立に構成することが出来ればよいため、キャリアの広域イーサネットサービスなどで構成されていてもよい。
また、図1では、各VPNにアプリケーションサーバが1台の場合の構成例を図示しているが、同一VPN内に複数のアプリケーションサーバが存在する場合も以下に説明する本実施例と同様な工程で本発明を実施することが可能である。
【0013】
VPN終端装置1−2には、共通通信機能1−6と仮想端末通信機能1−5a〜cがあり、さらに共通通信機能1−6内には、認証情報管理機能1−7とアクセス制御機能1−8がある。
仮想端末通信機能1−5a〜cは、それぞれVPN1−3a〜cを終端し、対応するアプリケーションサーバ1−4a〜cと通信する機能を有しており、VPN終端装置1−2内では共通通信機能1−6と通信する機能を有している。
ユーザ端末は、例えば、OSをWindowsとするPC端末でよく、WebアプリケーションサーバにアクセスするためのWebブラウザ機能を有している。
アプリケーションサーバは、例えば、OSをLinuxとするWebアプリケーションサーバでよく、本発明による認証制御機能を有している。
また、VPN終端装置、ユーザ端末、アプリケーションサーバは、上述した各機能に加えて、CPU、メモリ、ハードディスクといったデバイスを備えているものとする。また、各機能はCPUによって処理されるプログラムのモジュールであってもよい。
以上説明したように、本実施例によれば、VPN終端装置内の共通通信機能1−6に認証情報管理機能1−7を配備することで、各VPN内のアプリケーションサーバと認証情報管理機能1−7の相互通信と、ユーザ端末1−1と認証情報管理機能1−7の相互通信を可能とすることができる。
また、VPN終端装置内の共通通信機能1−7にアクセス制御機能1−8を配備することで、ユーザ端末1−1からVPNにアクセスする際に認証処理を行うことが可能となり、VPNに対するアクセスを制御することが可能となる。
【0014】
まず、図1のシステム構成において、ユーザ端末1−1からVPN終端装置1−2にログインし、その後、アプリケーションサーバ(a)1−4a、アプリケーションサーバ(b)1−4bにログインする場合の動作例を図2により説明する。
まず、ユーザ端末2−1は、ユーザのWebブラウザの操作により、VPN終端装置2−8のアクセス制御機能2−2にログイン要求2−10を送信する。
アクセス制御機能2−2は、ログイン要求2−10を受信すると、認証情報管理機能2−3に対して共通鍵の共有処理2−11を行い、ユーザ端末2−1に対して認証情報管理機能2−3に認証要求をリダイレクトする要求2−12を送信する。
ユーザ端末2−1は、リダイレクト要求2−12を受信すると、認証要求2−13を認証情報管理機能2−3に転送する。
認証情報管理機能2−3は、認証要求2−13を受信すると、当該ユーザの認証処理2−14を、例えば、ログインIDとパスワードをユーザに入力させることによって実施し、認証結果をリダイレクト要求2−15としてユーザ端末2−1に返答する。
ユーザ端末2−1は、認証結果2−16をアクセス制御機能2−2に転送する。
結果として、アクセス制御機能2−2が認証結果2−16を受信し、結果が許可であれば、当該ユーザのVPN終端装置2−8へのログイン処理2−17を行い、ユーザ端末2−1から各VPNへのアクセスが可能な状態となる。
その後、ユーザ端末2−1がユーザのWebブラウザの操作により、VPN(a)に対する接続要求2−20をアクセス制御機能2−2に送信すると、アクセス制御機能2−2は、VPN(a)を終端する仮想端末機能(a)2−4を有効化した後、当該接続要求2−20を仮想端末機能(a)2−4に転送する。
【0015】
次に、仮想端末機能(a)2−4は、VPN(a)内のアプリケーションサーバ(a)2−6に対して、ログイン要求2−21を送信する。
アプリケーションサーバ(a)2−6は、ログイン要求2−21を受信すると、認証情報管理機能2−3に対して共通鍵の共有処理2−22を行い、仮想端末機能(a)2−4に対して、認証情報管理機能2−3に認証要求をリダイレクトする要求2−23を送信する。仮想端末機能(a)2−4は、リダイレクト要求2−23を受信すると、認証要求2−23を認証情報管理機能2−3に転送する。
認証情報管理機能2−3は、認証要求2−23を受信すると、当該ユーザが既に前述の認証処理2−14で認証済みであるため、許可判定2−25を行い、認証結果をリダイレクト要求2−26として仮想端末機能(a)2−4に返答する。
仮想端末機能(a)2−4は、認証結果2−27をアプリケーションサーバ(a)2−6に転送する。
最終的にアプリケーションサーバ(a)2−6が認証結果2−27を受信し、結果が許可であるため、当該ユーザのアプリケーションサーバ(a)2−6へのログイン処理2−28を行い、ユーザ端末2−1からVPN(a)内のアプリケーションサーバ(a)2−6の利用が可能となる。
なお、前述の説明では、VPN(a)内にアプリケーションサーバが1台の場合について説明したが、複数台ある場合でも、前述のログイン要求2−21から当該アプリケーションサーバへのログイン処理2−28を各アプリケーションサーバに対して繰り返し実行すればよい。
【0016】
次に、ユーザ端末2−1がユーザのWebブラウザの操作により、VPN(b)に対する接続要求2−30をアクセス制御機能2−2に送信すると、アクセス制御機能2−2は、VPN(b)を終端する仮想端末機能(b)2−5を有効化した後、当該接続要求2−30を仮想端末機能(b)2−5に転送する。
次に、仮想端末機能(b)2−5は、VPN(b)内のアプリケーションサーバ(b)2−7に対して、ログイン要求2−31を送信する。アプリケーションサーバ(b)2−7は、ログイン要求2−31を受信すると、認証情報管理機能2−3に対して共通鍵の共有処理2−32を行い、仮想端末機能(b)2−5に対して認証情報管理機能2−3に認証要求をリダイレクトする要求2−33を送信する。
仮想端末機能(b)2−5は、リダイレクト要求2−33を受信すると、認証要求2−34を認証情報管理機能2−3に転送する。
認証情報管理機能2−3は、認証要求2−34を受信すると、当該ユーザが既に前述の認証処理2−14で認証済みであるため、許可判定2−35を行い、認証結果をリダイレクト要求2−36として仮想端末機能(b)2−5に返答する。
仮想端末機能(b)2−5は、認証結果2−37をアプリケーションサーバ(b)2−7に転送する。
最終的にアプリケーションサーバ(b)2−7が認証結果2−37を受信し、結果が許可であるため、当該ユーザのアプリケーションサーバ(b)2−7へのログイン処理2−38を行い、ユーザ端末2−1からVPN(b)内のアプリケーションサーバ(b)2−7の利用が可能となる。
【0017】
なお、前述の説明では、VPN(b)内にアプリケーションサーバが1台の場合について説明したが、複数台ある場合でも、上述のログイン要求2−31から当該アプリケーションサーバへのログイン処理2−38を各アプリケーションサーバに対して繰り返し実行すればよい。
また、本実施例では、ユーザがVPN(a)に対する接続要求を送信し、その後VPN(b)に対する接続要求を送信する場合について説明したが、その後、VPN(c)やその他複数のVPNに対して接続する場合も同様に認証制御を行うことで、VPN終端装置がログイン処理および認証処理を代行することとなり、ユーザのログイン処理に関する負荷が軽減される。
以上説明したように、本実施例によれば、単一のユーザ端末2−1から複数のVPN内の複数のアプリケーションサーバにアクセスする際に、VPN終端装置2−8に対する認証処理を一度実施することで、その後は、接続したいVPNに対する接続要求を送信するだけで、各VPN内のアプリケーションサーバへのログインが可能となり、ユーザが複数のVPNに同時にアクセスする場合に、ユーザのログイン処理を簡略化することが可能となる。
【0018】
[実施例2]
次に、実施例2として、図1のシステム構成において、ユーザ端末1−1からVPN終端装置1−2にログインし、その後、アプリケーションサーバ(a)1−4a、アプリケーションサーバ(b)1−4bにログインする場合の動作例を図3により説明する。
本実施例では、ユーザはVPN終端装置に1回ログインすると、全てのアプリケーションサーバに向けてアクセス制御装置から自動的にログイン要求行う。なお、アクセス制御装置からの自動ログイン要求は、全てのアプリケーションサーバに向けて行う必要はなく、特定のアプリケーションサーバに対して選択的に行うようにしてもよい。
まず、ユーザ端末3−1は、ユーザのWebブラウザの操作により、VPN終端装置3−8のアクセス制御機能3−2にログイン要求3−10を送信する。
アクセス制御機能3−2は、ログイン要求3−10を受信すると、認証情報管理機能3−3に対して共通鍵の共有処理3−11を行い、ユーザ端末3−1に対して認証情報管理機能3−3に認証要求をリダイレクトする要求3−12を送信する。
ユーザ端末3−1は、リダイレクト要求3−12を受信すると、認証要求3−13を認証情報管理機能3−3に転送する。
認証情報管理機能3−3は、認証要求3−13を受信すると、当該ユーザの認証処理3−14を、例えば、ログインIDと、パスワードをユーザに入力させることによって実施し、認証結果をリダイレクト要求3−15としてユーザ端末3−1に返答する。
ユーザ端末3−1は、認証結果3−16をアクセス制御機能3−2に転送する。
結果として、アクセス制御機能3−2が認証結果3−16を受信し、結果が許可であれば、当該ユーザのVPN終端装置へのログイン処理3−17を行い、ユーザ端末3−1から各VPNへのアクセスが可能な状態となる。
【0019】
続いて、アクセス制御機能3−2は、ユーザがVPN(a)、VPN(b)およびVPN(c)にアクセス可能である場合、VPN(a)を終端する仮想端末機能(a)3−4を有効化した後、VPN(a)に対する接続要求3−20を仮想端末機能(a)3−4に転送する。
次に、仮想端末機能(a)3−4は、VPN(a)内のアプリケーションサーバ(a)3−6に対して、ログイン要求3−21を送信する。アプリケーションサーバ(a)3−6は、ログイン要求3−21を受信すると、認証情報管理機能3−3に対して共通鍵の共有処理3−22を行い、仮想端末機能(a)3−4に対して認証情報管理機能3−3に認証要求をリダイレクトする要求3−23を送信する。
仮想端末機能(a)3−4は、リダイレクト要求3−23を受信すると、認証要求3−24を認証情報管理機能3−3に転送する。
認証情報管理機能3−3は、認証要求3−24を受信すると、当該ユーザが既に前述の認証処理3−14で認証済みであるため、許可判定3−25を行い、認証結果をリダイレクト要求3−26として仮想端末機能(a)3−4に返答する。
仮想端末機能(a)3−4は、認証結果3−27をアプリケーションサーバ(a)3−6に転送する。
最終的にアプリケーションサーバ(a)3−6が認証結果3−27を受信し、結果が許可であるため、当該ユーザのアプリケーションサーバ(a)3−6へのログイン処理3−28を行い、ユーザ端末3−1からVPN(a)内のアプリケーションサーバ(a)3−6の利用が可能となる。
なお、前述の説明では、VPN(a)内にアプリケーションサーバが1台の場合について説明したが、複数台ある場合でも、前述のログイン要求3−21から当該アプリケーションサーバへのログイン処理3−28を各アプリケーションサーバに対して繰り返し実行すればよい。
【0020】
続いて、アクセス制御機能3−2は、VPN(b)を終端する仮想端末機能(b)3−5を有効化した後、当該接続要求3−30を仮想端末機能(b)3−5に転送する。
次に、仮想端末機能(b)3−5は、VPN(b)内のアプリケーションサーバ(b)3−7に対して、ログイン要求3−31を送信する。
アプリケーションサーバ(b)3−7は、ログイン要求3−31を受信すると、認証情報管理機能3−3に対して共通鍵の共有処理3−32を行い、仮想端末機能(b)3−5に対して認証情報管理機能3−3に認証要求をリダイレクトする要求3−33を送信する。
仮想端末機能(b)3−5は、リダイレクト要求3−33を受信すると、認証要求3−34を認証情報管理機能3−3に転送する。
認証情報管理機能3−3は、認証要求3−34を受信すると、当該ユーザが既に前述の認証処理3−14で認証済みであるため、許可判定3−35を行い、認証結果をリダイレクト要求3−36として仮想端末機能(b)3−5に返答する。
仮想端末機能(b)3−5は、認証結果3−37をアプリケーションサーバ(b)3−7に転送する。
【0021】
最終的にアプリケーションサーバ(b)3−7が認証結果3−37を受信し、結果が許可であるため、当該ユーザのアプリケーションサーバ(b)3−7へのログイン処理3−38を行い、ユーザ端末3−1からVPN(b)内のアプリケーションサーバ(b)3−7の利用が可能となる。
なお、前述の説明では、VPN(b)内にアプリケーションサーバが1台の場合について説明したが、複数台ある場合でも、上述のログイン要求3−31から当該アプリケーションサーバへのログイン処理3−38を各アプリケーションサーバに対して繰り返し実行すればよい。
また、アクセス制御機能3−2がVPN(a)に対する接続要求を送信し、その後VPN(b)に対する接続要求を送信する場合について説明したが、この後、VPN(c)に対して接続する場合も同様に認証制御を行うことで、VPN終端装置がログイン処理および認証処理を代行することとなり、ユーザのログイン処理に関する負荷が軽減される。
さらに、前述の説明では、VPN毎の処理を逐次実行する例について説明したが、各VPN毎の処理は独立であるため、アクセス制御機能の各VPNに対する接続要求の送信処理以降の各手順を並行に実行させることも可能である。
【0022】
このように、本実施例によれば、単一のユーザ端末3−1から複数のVPN内の複数のアプリケーションサーバにアクセスする際に、VPN終端装置3−8に対するログイン処理および認証処理を一度実施することで、当該ユーザがアクセス可能な全VPN内のアプリケーションサーバへのログイン処理が連動して実行されるため、特に、ユーザが複数のVPN内の多数のアプリケーションサーバに同時にアクセスする場合に、ユーザのログイン処理を大幅に簡略化する効果を得ることができる。
以上説明したように、本実施例によるVPN多重帰属システムおよびその認証方法は、ユーザが、複数VPNに同時にアクセスする上で有用であり、特に、ユーザが各VPN内のアプリケーションサーバに対して同時にアクセスする際に、複数のVPNをセキュアに終端する装置内に認証情報を管理する機能を有することで、同時にアクセスするサーバが増えることに応じて増加するユーザの認証処理に関わる負荷を軽減する点で有益である。 以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【図面の簡単な説明】
【0023】
【図1】本発明の実施例のVPN多重帰属システムの概略構成を示すブロック図である。
【図2】本発明の実施例1のVPN多重帰属システムの認証方法を説明ためのシーケンス図である。
【図3】本発明の実施例2のVPN多重帰属システムの認証方法を説明ためのシーケンス図である。
【符号の説明】
【0024】
1−1,2−1,3−1 ユーザ端末
1−2,2−8,3−8 VPN終端装置
1−3a VPN(a)
1−3b VPN(b)
1−3c VPN(c)
1−4a,2−6,3−6 アプリケーションサーバ(a)
1−4b,2−7,3−7 アプリケーションサーバ(b)
1−4c アプリケーションサーバ(c)
1−5a,2−4,3−4 仮想端末通信機能(a)
1−5b,2−5,3−5 仮想端末通信機能(b)
1−5c 仮想端末通信機能(c)
1−6 共通通信機能
1−7,2−3,3−3 認証情報管理機能
1−8,2−2,3−2 アクセス制御機能
【特許請求の範囲】
【請求項1】
ユーザ端末と、
それぞれアプリケーションサーバを収容する複数のVPNと、
前記ユーザ端末と前記複数のVPNとの間に配置されるVPN終端装置とを有するVPN多重帰属システムであって、
前記VPN終端装置は、共通機能と、前記複数のVPN毎に設けられ前記1つのVPNを終端する複数の仮想端末通信機能とを有し、
前記共通機能は、前記ユーザ端末からログイン要求を受信し、当該ログイン要求をおこなったユーザの認証を行う手段と、
前記ユーザ端末から前記各VPNに対する接続要求を前記各仮想端末通信機能に送信する手段と、
前記各仮想端末通信機能を介して前記各アプリケーションサーバから認証要求を受信した場合に、当該ユーザが既に認証済みであるので、再度認証処理を行わずに認証結果を許可と判定する手段と、
前記認証結果を前記各アプリケーションサーバに送信する手段とを有することを特徴とするVPN多重帰属システム。
【請求項2】
前記共通機能は、アクセス制御機能と認証情報管理機能とを有し、
前記アクセス制御機能は、前記ユーザ端末からログイン要求を受信し、前記ユーザ端末に対して前記認証情報管理機能へ認証要求の転送を要求する手段と、
前記認証情報管理機能からの認証結果を受信し、前記ユーザからのログイン要求を許可する手段と、
前記各仮想端末通信機能を有効化する有効化手段と、
前記各VPNに対する接続要求を送信する送信手段とを有し、
前記認証情報管理機能は、前記ユーザ端末から前記認証要求を受信する手段と、
前記受信した認証要求のユーザが未認証の場合は、当該ユーザの認証処理を行い、当該ユーザが既に認証済みである場合には、再度認証処理を行わずに認証結果を許可と判定する手段とを有し、
各仮想端末通信機能は、前記終端している前記VPNに対する接続要求を受信し、前記終端している前記VPNに収容されている前記アプリケーションサーバにログイン要求を送信する手段と、
前記アプリケーションサーバから認証要求の転送要求を受信し、当該認証要求を前記認証情報管理機能に転送する手段と、
認証情報管理機能から認証結果の転送要求を受信した場合に、当該認証結果を前記アプリケーションサーバに転送する手段とを有し、
前記アプリケーションサーバは、ログイン要求を受け付けた場合に、要求元に対して、前記認証情報管理機能へ認証要求の転送を要求する手段と、
前記認証情報管理機能からの応答を受信し、前記ユーザからのログイン要求を許可する手段とを有することを特徴とする請求項1に記載のVPN多重帰属システム。
【請求項3】
前記ユーザの前記アクセス制御機能に対するログイン処理が完了した状態において、前記アクセス制御機能は、前記ユーザ端末から1つのVPNに対する接続要求を受信すると、前記アクセス制御機能の前記有効化手段は、当該VPNを終端する前記仮想端末通信機能を有効化し、
前記アクセス制御機能の前記送信手段は、前記1つのVPNに対して前記ユーザ端末からの接続要求を転送することを特徴とする請求項2に記載のVPN多重帰属システム。
【請求項4】
前記ユーザの前記アクセス制御機能に対するログイン処理が完了後、前記アクセス制御機能の前記有効化手段は、当該ユーザがアクセス可能な全VPNに対して、当該VPNを終端する全ての仮想端末通信機能を有効化し、
前記アクセス制御機能の前記送信手段は、前記ユーザがアクセス可能な全VPNに対して接続要求を送信することを特徴とする請求項2に記載のVPN多重帰属システム。
【請求項5】
ユーザ端末と、
それぞれアプリケーションサーバを収容する複数のVPNと、
前記ユーザ端末と前記複数のVPNとの間に配置されるVPN終端装置とを有するVPN多重帰属システムにおける認証制御方法であって、
前記VPN終端装置は、共通機能と、前記複数のVPN毎に設けられ前記1つのVPNを終端する複数の仮想端末通信機能とを有し、
前記共通機能が、前記ユーザ端末からログイン要求を受信し、当該ログイン要求をおこなったユーザの認証を行う工程と、
前記ユーザ端末から前記各VPNに対する接続要求を前記各仮想端末通信機能に送信する工程と、
前記各仮想端末通信機能を介して前記各アプリケーションサーバから認証要求を受信し、当該ユーザが既に認証済みであるので、再度認証処理を行わずに認証結果を許可と判定する工程と、
前記認証結果を前記各アプリケーションサーバに送信する工程とを有することを特徴とする認証制御方法。
【請求項6】
ユーザ端末と、
それぞれアプリケーションサーバを収容する複数のVPNと、
前記ユーザ端末と前記複数のVPNとの間に配置されるVPN終端装置とを有するVPN多重帰属システムにおける認証制御方法であって、
前記ユーザ端末が、前記VPN終端装置内のアクセス制御機能にログイン要求を送信する工程と、
前記アクセス制御機能が、前記ユーザ端末からログイン要求を受信し、前記ユーザ端末に対して前記VPN終端装置内の認証情報管理機能へ認証要求の転送を要求する工程と、
前記ユーザ端末が、受信した認証要求を前記認証情報管理機能へ転送する工程と、
前記認証情報管理機能が、前記ユーザ端末からの認証要求を受信し、当該認証要求のユーザが未認証の場合は、当該ユーザの認証処理を行い、認証結果を要求元へ転送することを要求する工程と、
前記ユーザ端末が、前記受信した認証結果を前記アクセス制御機能へ転送する工程と、
前記アクセス制御機能が、前記認証結果を受信し、ユーザからのログイン要求を許可する工程と、
前記アクセス制御機能が、前記ユーザ端末から1つのVPNに対する接続要求を受信し、前記1つのVPNを終端する前記仮想端末通信機能を有効化し、前記1つのVPNに対して前記ユーザ端末からの接続要求を転送する工程と、
前記1つのVPNを終端する前記仮想端末機能が、前記1つのVPNに対する接続要求を受信し、当該VPNに収容されているアプリケーションサーバにログイン要求を送信する工程と、
前記アプリケーションサーバが、ログイン要求を受け付け、対応する前記仮想端末機能に対して認証情報管理機能へ認証要求の転送を要求する工程と、
前記1つのVPNを終端する前記仮想端末機能が、前記アプリケーションサーバからの認証要求の転送要求を受信し、当該認証要求を前記認証情報管理機能に転送する工程と、
前記認証情報管理機能が、当該ユーザが既に認証済みであるため、再度認証処理を行わずに認証結果を許可と判定し、認証結果を要求元のアプリケーションサーバへ転送することを前記1つのVPNを終端する前記仮想端末機能に要求する工程と、
前記1つのVPNを終端する前記仮想端末機能が、受信した認証結果を前記アプリケーションサーバに転送する工程と、
前記アプリケーションサーバが、前記ユーザからのログイン要求を許可する工程とを有することを特徴とする認証制御方法。
【請求項7】
ユーザ端末と、
それぞれアプリケーションサーバを収容する複数のVPNと、
前記ユーザ端末と前記複数のVPNとの間に配置されるVPN終端装置とを有するVPN多重帰属システムにおける認証制御方法であって、
前記ユーザ端末が、前記VPN終端装置内のアクセス制御機能にログイン要求を送信する工程と、
前記アクセス制御機能が、前記ユーザ端末からログイン要求を受信し、前記ユーザ端末に対して前記VPN終端装置内の認証情報管理機能へ認証要求の転送を要求する工程と、
前記ユーザ端末が、受信した認証要求を前記認証情報管理機能へ転送する工程と、
前記認証情報管理機能が、前記ユーザ端末からの認証要求を受信し、当該認証要求のユーザが未認証の場合は、当該ユーザの認証処理を行い、認証結果を要求元へ転送することを要求する工程と、
前記ユーザ端末が、前記受信した認証結果を前記アクセス制御機能へ転送する工程と、
前記アクセス制御機能が、前記認証結果を受信し、ユーザからのログイン要求を許可する工程と、
前記アクセス制御機能が、前記ユーザがアクセス可能な全VPNに対して、前記ユーザがアクセス可能な全VPNを終端する全ての仮想端末通信機能を有効化した後、前記ユーザがアクセス可能な全VPNに対して接続要求を送信する工程と、
接続要求を受信した前記各仮想端末機能が、終端している前記VPNに収容されている前記アプリケーションサーバにログイン要求を送信する工程と、
前記アプリケーションサーバは、ログイン要求を受け付け、それぞれ対応する前記仮想端末機能に対して前記認証情報管理機能へ認証要求の転送を要求する工程と、
前記各仮想端末機能が、前記アプリケーションサーバからの認証要求の転送要求を受信し、当該認証要求を前記認証情報管理機能に転送する工程と、
前記認証情報管理機能が、当該ユーザが既に認証済みであるため、再度認証処理を行わずに認証結果を許可と判定し、認証結果を要求元の前記アプリケーションサーバへ転送することを前記各仮想端末機能に要求する工程と、
前記各仮想端末機能が、受信した認証結果を前記アプリケーションサーバに転送する工程と、
前記アプリケーションサーバが、前記ユーザからのログイン要求を許可する工程とを有することを特徴とする認証制御方法。
【請求項1】
ユーザ端末と、
それぞれアプリケーションサーバを収容する複数のVPNと、
前記ユーザ端末と前記複数のVPNとの間に配置されるVPN終端装置とを有するVPN多重帰属システムであって、
前記VPN終端装置は、共通機能と、前記複数のVPN毎に設けられ前記1つのVPNを終端する複数の仮想端末通信機能とを有し、
前記共通機能は、前記ユーザ端末からログイン要求を受信し、当該ログイン要求をおこなったユーザの認証を行う手段と、
前記ユーザ端末から前記各VPNに対する接続要求を前記各仮想端末通信機能に送信する手段と、
前記各仮想端末通信機能を介して前記各アプリケーションサーバから認証要求を受信した場合に、当該ユーザが既に認証済みであるので、再度認証処理を行わずに認証結果を許可と判定する手段と、
前記認証結果を前記各アプリケーションサーバに送信する手段とを有することを特徴とするVPN多重帰属システム。
【請求項2】
前記共通機能は、アクセス制御機能と認証情報管理機能とを有し、
前記アクセス制御機能は、前記ユーザ端末からログイン要求を受信し、前記ユーザ端末に対して前記認証情報管理機能へ認証要求の転送を要求する手段と、
前記認証情報管理機能からの認証結果を受信し、前記ユーザからのログイン要求を許可する手段と、
前記各仮想端末通信機能を有効化する有効化手段と、
前記各VPNに対する接続要求を送信する送信手段とを有し、
前記認証情報管理機能は、前記ユーザ端末から前記認証要求を受信する手段と、
前記受信した認証要求のユーザが未認証の場合は、当該ユーザの認証処理を行い、当該ユーザが既に認証済みである場合には、再度認証処理を行わずに認証結果を許可と判定する手段とを有し、
各仮想端末通信機能は、前記終端している前記VPNに対する接続要求を受信し、前記終端している前記VPNに収容されている前記アプリケーションサーバにログイン要求を送信する手段と、
前記アプリケーションサーバから認証要求の転送要求を受信し、当該認証要求を前記認証情報管理機能に転送する手段と、
認証情報管理機能から認証結果の転送要求を受信した場合に、当該認証結果を前記アプリケーションサーバに転送する手段とを有し、
前記アプリケーションサーバは、ログイン要求を受け付けた場合に、要求元に対して、前記認証情報管理機能へ認証要求の転送を要求する手段と、
前記認証情報管理機能からの応答を受信し、前記ユーザからのログイン要求を許可する手段とを有することを特徴とする請求項1に記載のVPN多重帰属システム。
【請求項3】
前記ユーザの前記アクセス制御機能に対するログイン処理が完了した状態において、前記アクセス制御機能は、前記ユーザ端末から1つのVPNに対する接続要求を受信すると、前記アクセス制御機能の前記有効化手段は、当該VPNを終端する前記仮想端末通信機能を有効化し、
前記アクセス制御機能の前記送信手段は、前記1つのVPNに対して前記ユーザ端末からの接続要求を転送することを特徴とする請求項2に記載のVPN多重帰属システム。
【請求項4】
前記ユーザの前記アクセス制御機能に対するログイン処理が完了後、前記アクセス制御機能の前記有効化手段は、当該ユーザがアクセス可能な全VPNに対して、当該VPNを終端する全ての仮想端末通信機能を有効化し、
前記アクセス制御機能の前記送信手段は、前記ユーザがアクセス可能な全VPNに対して接続要求を送信することを特徴とする請求項2に記載のVPN多重帰属システム。
【請求項5】
ユーザ端末と、
それぞれアプリケーションサーバを収容する複数のVPNと、
前記ユーザ端末と前記複数のVPNとの間に配置されるVPN終端装置とを有するVPN多重帰属システムにおける認証制御方法であって、
前記VPN終端装置は、共通機能と、前記複数のVPN毎に設けられ前記1つのVPNを終端する複数の仮想端末通信機能とを有し、
前記共通機能が、前記ユーザ端末からログイン要求を受信し、当該ログイン要求をおこなったユーザの認証を行う工程と、
前記ユーザ端末から前記各VPNに対する接続要求を前記各仮想端末通信機能に送信する工程と、
前記各仮想端末通信機能を介して前記各アプリケーションサーバから認証要求を受信し、当該ユーザが既に認証済みであるので、再度認証処理を行わずに認証結果を許可と判定する工程と、
前記認証結果を前記各アプリケーションサーバに送信する工程とを有することを特徴とする認証制御方法。
【請求項6】
ユーザ端末と、
それぞれアプリケーションサーバを収容する複数のVPNと、
前記ユーザ端末と前記複数のVPNとの間に配置されるVPN終端装置とを有するVPN多重帰属システムにおける認証制御方法であって、
前記ユーザ端末が、前記VPN終端装置内のアクセス制御機能にログイン要求を送信する工程と、
前記アクセス制御機能が、前記ユーザ端末からログイン要求を受信し、前記ユーザ端末に対して前記VPN終端装置内の認証情報管理機能へ認証要求の転送を要求する工程と、
前記ユーザ端末が、受信した認証要求を前記認証情報管理機能へ転送する工程と、
前記認証情報管理機能が、前記ユーザ端末からの認証要求を受信し、当該認証要求のユーザが未認証の場合は、当該ユーザの認証処理を行い、認証結果を要求元へ転送することを要求する工程と、
前記ユーザ端末が、前記受信した認証結果を前記アクセス制御機能へ転送する工程と、
前記アクセス制御機能が、前記認証結果を受信し、ユーザからのログイン要求を許可する工程と、
前記アクセス制御機能が、前記ユーザ端末から1つのVPNに対する接続要求を受信し、前記1つのVPNを終端する前記仮想端末通信機能を有効化し、前記1つのVPNに対して前記ユーザ端末からの接続要求を転送する工程と、
前記1つのVPNを終端する前記仮想端末機能が、前記1つのVPNに対する接続要求を受信し、当該VPNに収容されているアプリケーションサーバにログイン要求を送信する工程と、
前記アプリケーションサーバが、ログイン要求を受け付け、対応する前記仮想端末機能に対して認証情報管理機能へ認証要求の転送を要求する工程と、
前記1つのVPNを終端する前記仮想端末機能が、前記アプリケーションサーバからの認証要求の転送要求を受信し、当該認証要求を前記認証情報管理機能に転送する工程と、
前記認証情報管理機能が、当該ユーザが既に認証済みであるため、再度認証処理を行わずに認証結果を許可と判定し、認証結果を要求元のアプリケーションサーバへ転送することを前記1つのVPNを終端する前記仮想端末機能に要求する工程と、
前記1つのVPNを終端する前記仮想端末機能が、受信した認証結果を前記アプリケーションサーバに転送する工程と、
前記アプリケーションサーバが、前記ユーザからのログイン要求を許可する工程とを有することを特徴とする認証制御方法。
【請求項7】
ユーザ端末と、
それぞれアプリケーションサーバを収容する複数のVPNと、
前記ユーザ端末と前記複数のVPNとの間に配置されるVPN終端装置とを有するVPN多重帰属システムにおける認証制御方法であって、
前記ユーザ端末が、前記VPN終端装置内のアクセス制御機能にログイン要求を送信する工程と、
前記アクセス制御機能が、前記ユーザ端末からログイン要求を受信し、前記ユーザ端末に対して前記VPN終端装置内の認証情報管理機能へ認証要求の転送を要求する工程と、
前記ユーザ端末が、受信した認証要求を前記認証情報管理機能へ転送する工程と、
前記認証情報管理機能が、前記ユーザ端末からの認証要求を受信し、当該認証要求のユーザが未認証の場合は、当該ユーザの認証処理を行い、認証結果を要求元へ転送することを要求する工程と、
前記ユーザ端末が、前記受信した認証結果を前記アクセス制御機能へ転送する工程と、
前記アクセス制御機能が、前記認証結果を受信し、ユーザからのログイン要求を許可する工程と、
前記アクセス制御機能が、前記ユーザがアクセス可能な全VPNに対して、前記ユーザがアクセス可能な全VPNを終端する全ての仮想端末通信機能を有効化した後、前記ユーザがアクセス可能な全VPNに対して接続要求を送信する工程と、
接続要求を受信した前記各仮想端末機能が、終端している前記VPNに収容されている前記アプリケーションサーバにログイン要求を送信する工程と、
前記アプリケーションサーバは、ログイン要求を受け付け、それぞれ対応する前記仮想端末機能に対して前記認証情報管理機能へ認証要求の転送を要求する工程と、
前記各仮想端末機能が、前記アプリケーションサーバからの認証要求の転送要求を受信し、当該認証要求を前記認証情報管理機能に転送する工程と、
前記認証情報管理機能が、当該ユーザが既に認証済みであるため、再度認証処理を行わずに認証結果を許可と判定し、認証結果を要求元の前記アプリケーションサーバへ転送することを前記各仮想端末機能に要求する工程と、
前記各仮想端末機能が、受信した認証結果を前記アプリケーションサーバに転送する工程と、
前記アプリケーションサーバが、前記ユーザからのログイン要求を許可する工程とを有することを特徴とする認証制御方法。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2009−211374(P2009−211374A)
【公開日】平成21年9月17日(2009.9.17)
【国際特許分類】
【出願番号】特願2008−53310(P2008−53310)
【出願日】平成20年3月4日(2008.3.4)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
2.WINDOWS
3.Linux
【出願人】(000004226)日本電信電話株式会社 (13,992)
【出願人】(504176911)国立大学法人大阪大学 (1,536)
【Fターム(参考)】
【公開日】平成21年9月17日(2009.9.17)
【国際特許分類】
【出願日】平成20年3月4日(2008.3.4)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
2.WINDOWS
3.Linux
【出願人】(000004226)日本電信電話株式会社 (13,992)
【出願人】(504176911)国立大学法人大阪大学 (1,536)
【Fターム(参考)】
[ Back to top ]