JP4152753B2 - ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム - Google Patents

ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム Download PDF

Info

Publication number
JP4152753B2
JP4152753B2 JP2003003108A JP2003003108A JP4152753B2 JP 4152753 B2 JP4152753 B2 JP 4152753B2 JP 2003003108 A JP2003003108 A JP 2003003108A JP 2003003108 A JP2003003108 A JP 2003003108A JP 4152753 B2 JP4152753 B2 JP 4152753B2
Authority
JP
Japan
Prior art keywords
authentication
access control
control server
server
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003003108A
Other languages
English (en)
Other versions
JP2004220075A (ja
Inventor
潤 三好
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003003108A priority Critical patent/JP4152753B2/ja
Publication of JP2004220075A publication Critical patent/JP2004220075A/ja
Application granted granted Critical
Publication of JP4152753B2 publication Critical patent/JP4152753B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は統合型認証アクセス制御システムに関し、特に利用者の端末からの接続要求を、リモートアクセスサーバを介して受信し、該リモートアクセスサーバと転送ノードを制御して接続パスを設定し、端末と仮想閉域網とを接続して、端末と仮想閉域網内のアプリケーションサーバとの間の通信を実現するネットワーク認証アクセス制御サーバと、仮想閉域網内に設置されて、仮想閉域網内にある複数のアプリケーションサーバに対するアクセス時の認証を実現するアプリケーション認証アクセス制御サーバを含む統合型認証アクセス制御システムに関する。
【0002】
【従来の技術】
従来、企業通信網など特定の対地のみを接続する閉域網を構築するために、仮想閉域網が導入されている。コネクションレス型通信網における仮想閉域網は、伝送路、転送ノードを共有するのみならず、論理パス、論理回線も共有して、セキュリティを確保した転送制御がなされている。また、仮想閉域網は特定の対地のみを接続するのではなく、特定の端末、または特定のユーザからのリモートアクセスを受け付けることができるようになっている。例えば、社員の自宅の端末から電話網あるいはADSL(Asynmetric Digital Subscriber Line)網等を経由して企業の仮想閉域網にアクセスし、会社のホストコンピュータに接続することができる。電話網等と仮想閉域網との間にリモートアクセスサーバが設置されており、端末は、ダイアルアップ等でリモートアクセスサーバに接続し、仮想閉域網にアクセスすることが行なわれている。
【0003】
リモートアクセスサーバと仮想閉域網とを接続する転送ノードと、リモートアクセスサーバと転送ノードとを制御する閉域網群制御サーバを備え、複数の仮想閉域網の利用者が共有している。リモートアクセスサーバと転送ノードとの間の物理回線を複数の仮想閉域網で利用して、設備の利用効率を向上させることが出願されている(特許文献1)。この特許文献1では、利用者からの接続要求に基づいて、リモートアクセスサーバは、仮想閉域網毎に仮想ルータ(以下、VR:Virtual Routerと表記)を割り当て、VRを1本の物理回線に接続する。利用者からの切断を契機に、リモートアクセスサーバは、VRを開放し、他の仮想閉域網の利用者に割り当てる。
【0004】
一方、仮想閉域網に代表される通信網への接続環境が整っていることを前提として、通信網上に接続されている複数のサーバ上のコンテンツへのアクセスを一度の認証で可能にする(以下、シングルサインオンと表記)方法として、網内に認証アクセス制御サーバを設置する方法が知られており、シングルサインオンはその処理形態によって、「リバース・プロキシ型」と「エージェント・モジュール型」とに分類される。
【0005】
リバース・プロキシ型のシングルサインオンでは、サーバへのアクセス要求は全て認証アクセス制御サーバを中継して送信され、認証アクセス制御サーバは、中継時に、内部に持つ利用者毎のアクセスリストを参照してアクセス制御を行なう。一方、エージェント・モジュール型のシングルサインオンでは、利用者は、まず認証アクセス制御サーバにログインする。認証に成功すると、認証アクセス制御サーバは、該利用者がアクセス可能なアプリケーションサーバのリストをクッキーに埋め込んで利用者端末に送信する。その後、利用者がアプリケーションサーバにアクセスした時、コンテンツサーバ内のエージェント・モジュールがクッキー内の情報をもとにアクセスの可否を決定する。アプリケーションサーバに対して、認証アクセス制御サーバで認証されていない利用者からのアクセスがあった場合は、該アプリケーションサーバ内のエージェント・モジュールがアクセス要求を認証アクセス制御サーバに転送して、認証を行なわせる。
【0006】
なお、現在、企業連合であるLiberty Allianceにおいて、エージェント・モジュール型をベースにしたシングルサインオンの方式の標準化が進められている。
【0007】
【特許文献1】
特開2002−185538号公報
【0008】
【発明が解決しようとする課題】
仮想閉域網に利用者が遠隔地からアクセスする場合は、通常、仮想閉域網に接続した後、何らかの業務を行なうために、その仮想閉域網内のサーバにアクセスすることが考えられる。この時、一旦仮想閉域網に接続した後は、既述のリバース・プロキシ型ないしはエージェント・モジュール型の認証アクセス制御サーバを利用することにより、アプリケーションサーバへのシングルサインオンが可能であるが、仮想閉域網自体へのアクセスに対しては、別に認証が必要であるため、利用者がリモートアクセスにより仮想閉域網内のアプリケーションサーバへアクセスするためには二度以上の認証が必要となり、ユーザの利便性から見て不十分であるという問題がある。
【0009】
本発明の目的は、セキュリティ強度を損なうことなく、その仮想閉域網内にあって利用者がアクセス権限を持つアプリケーションサーバに対してさらなる認証手順を踏む必要のない、ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システムを提供することにある。
【0010】
【課題を解決するための手段】
本発明のネットワーク認証アクセス制御サーバおよびアプリケーション認証アクセス制御サーバは、転送ノードとリモートアクセスサーバとともに、利用者端末がリモートアクセスサーバおよび転送ノードを介して遠隔地から仮想閉域網に接続した上で、利用者端末から発行される仮想閉域網内のアプリケーションサーバへのアクセス要求を認証する統合型認証アクセス制御システムを構成している。
【0011】
本発明のネットワーク認証アクセス制御サーバは、利用者端末から仮想閉域網への接続要求をリモートアクセスサーバを介して受信し、仮想閉域網への接続における認証に必要な情報を利用者端末から受け取る手段と、該情報を用いて利用者を認証する手段と、認証が成功すると、リモートアクセスサーバと転送ノードに対して、利用者端末と仮想閉域網との間を接続する手段と、利用者の認証状態と、認証に成功した場合にその利用者の端末を仮想閉域網に接続するために払い出したアドレスを利用者毎に管理する手段と、アプリケーション認証アクセス制御サーバから、アプリケーションサーバへのアクセス要求パケットの送信元アドレスの情報を受け取る手段と、受け取った送信元アドレスをもとに、ネットワーク認証アクセス制御サーバ内で管理している認証時の払い出しアドレスの情報を検索し、その送信元アドレスが仮想閉域網への認証成功時に払い出したアドレスか否かを判断する手段と、送信元アドレスが認証成功時に払い出したアドレスであった場合、そのアドレスを送信元としてアプリケーションサーバへのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバで認証済みである旨をアプリケーション認証アクセス制御サーバに応答する手段と、送信元アドレスが認証成功時に払い出したアドレスでなかった場合、そのアドレスを送信元としてアプリケーションサーバへのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバで認証済みではない旨をアプリケーション認証アクセス制御サーバに応答する手段とを備える。
【0012】
一方、本発明のアプリケーション認証アクセス制御サーバは、利用者からのアプリケーションサーバ群へのアクセス要求を受け取る手段と、そのアクセス要求の送信元アドレスを抽出し、ネットワーク認証アクセス制御サーバに対してその送信元アドレスの情報を送信してアクセス要求を送ってきた利用者が認証済みであるかを問い合わせる手段と、ネットワーク認証アクセス制御サーバから認証済みである旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を改めて送信してもらうことなく、証明書等認証成功を示す情報を付与して利用者端末に対して応答する手段と、ネットワーク認証アクセス制御サーバから未認証である旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を要求して認証を求める手段と、引き続いて利用者端末から認証に必要な情報を受け取り、認証に成功した場合に、証明書等認証成功を示す情報を付与して利用者端末に対して応答する手段とを備える。
【0013】
次に、このように構成された本発明の統合型認証アクセス制御システムでの認証処理の流れについて説明する。
【0014】
ネットワーク認証アクセス制御サーバは、仮想閉域網への接続要求が発行されると、利用者端末から、その仮想閉域網へのアクセスに必要となる認証情報を取得して、それに基づいて、仮想閉域網へのアクセスの認証を行なう。この認証が得られると、ネットワーク認証アクセス制御サーバは、利用者端末が当該仮想閉域網に接続されるように、転送ノードとリモートアクセスサーバに対して接続パスの設定を行なう。この後、利用者端末から当該仮想閉域網内のアプリケーションサーバに対してアクセス要求を行なうと、そのアクセス要求にはそのアプリケーションサーバにアクセスする権限を有することを示す証明書が含まれていないため、エージェント・モジュール型のシングルサインオンの方式に従い、アクセス要求はアプリケーション認証アクセス制御サーバに転送される。
【0015】
アプリケーション認証アクセス制御サーバは、受信したアプリケーションサーバへのアクセス要求のパケットから送信元アドレスを抽出し、アクセス要求元の利用者の認証状態を確認するために、ネットワーク認証アクセス制御サーバに対して先に抽出した送信元アドレスの情報を送信する。
【0016】
ネットワーク認証アクセス制御サーバは、受信した送信元アドレス情報が自サーバ内に保持する認証状態を管理するリスト内に認証済みで払い出したアドレスとして登録されているかを検索する。該送信元アドレスがリスト内に存在した場合は、ネットワーク認証アクセス制御サーバで認証済みである旨をアプリケーション認証アクセス制御サーバに応答し、リスト内にない場合は、ネットワーク認証アクセス制御サーバで未認証であることを応答する。
【0017】
アプリケーション認証アクセス制御サーバは、認証済みとの応答を受信した場合は、元々利用者端末から送られてきたアクセス要求に対して、パスワード等認証に必要な情報を改めて要求することなく、アプリケーションサーバ群へのアクセス権限を有していることを証明する証明書を付与して利用者端末に送信する。ネットワーク認証アクセス制御サーバから未認証との応答を受信した場合は、元々のアクセス要求に対して、パスワード等認証に必要な情報を利用者に要求し、認証が成功した場合に限り、アプリケーションサーバ群へのアクセス権限を有していることを証明する証明書を付与して利用者端末に送信する。
【0018】
これ以降に該利用者端末が仮想閉域網内のアプリケーションサーバ群に対してアクセスを試みた場合は、アプリケーション認証アクセス制御サーバが発行した証明書がアクセス要求に付与されていることをアプリケーションサーバが確認することで認証手続きが完了していることを判別し、自アプリケーションサーバへのアクセスを許可する。
【0019】
したがって、Liberty Allianceにて標準化作業が進められている、エージェント・モジュール型のシングルサインオンをベースとする、仮想閉域網へのリモートアクセスにおいて、利用者は仮想閉域網へのアクセス時に一度認証を行なうだけで、仮想閉域網へのリモートアクセスのみならず、仮想閉域網内の複数のアプリケーションサーバに対するセキュアなアクセスが可能になる。
【0020】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0021】
図1は本発明の一実施形態の統合型認証アクセス制御システムの構成図である。
【0022】
統合型認証アクセス制御システム1はネットワーク認証アクセス制御サーバ2とアプリケーション認証アクセス制御サーバ3と転送ノード4とリモートアクセスサーバ5で構成されている。
【0023】
この構成において、利用者7が利用者端末6から仮想閉域網8に遠隔からダイアルアップでアクセスするものとし、この仮想閉域網8内には、アプリケーションサーバ91、92があり、利用者7はこのいずれのアプリケーションサーバ91、92にもアクセス権限を有しているものとする。
【0024】
図2(a)(b)はそれぞれネットワーク認証アクセス制御サーバ2、アプリケーション認証アクセス制御サーバ3の構成図である。
【0025】
ネットワーク認証アクセス制御サーバ2は接続要求受付/応答部21と認証部22と接続パス設定/削除部23とネットワーク認証状態テーブル24とアドレス払い出し/回収部25と認証状態応答部26を有している。
【0026】
接続要求受付/応答部21はリモートアクセスサーバ5を介した利用者端末6から仮想閉域網8の接続要求を認証に必要な情報とともに受け取り、またリモートアクセスサーバ5を介して利用者端末6に認証結果とIPアドレスを返す。また、接続要求受付/応答部21は、リモートアクセスサーバ5から切断要求を受信する。認証部22は接続要求受付/応答部21で接続要求が受信されると、受け取った認証に必要な情報を用いて利用者7を認証する。接続パス設定/削除部23は認証部22における認証が成功した場合、リモートアクセスサーバ5と転送ノード4に対して、利用者端末6と仮想閉域網8の間の接続パスを設定し、また、リモートアクセスサーバ5から切断要求が送信されると、前記接続パスを削除する。ネットワーク認証状態テーブル24は、仮想閉域網毎に用意され、各利用者が仮想閉域網に接続しているか接続していないかを示す認証状態と、接続されている場合に当該利用者の端末に対して払い出されたIP(InternetProtocol)アドレスの情報を管理する。表1に、ネットワーク認証状態テーブル24の一例を示す。
【0027】
【表1】
Figure 0004152753
【0028】
アドレス払い出し/回収部25は、アプリケーション認証アクセス制御サーバ3から受け取った、アプリケーションサーバ91または92へのアクセス要求パケットの送信元アドレスをもとに、ネットワーク認証状態テーブル24から認証時の払い出しアドレスの情報を検索し、送信元アドレスが仮想閉域網8への認証成功時に払い出したアドレスが否かを判断する。またアドレス払い出し/回収部25は接続要求受付/応答部21で切断要求が受信されると、利用者端末6に払い出したIPアドレスをネットワーク認証状態テーブル24から回収して利用者7を未認証状態に戻す。認証状態応答部26はアプリケーション認証アクセス制御サーバ3から、アプリケーションサーバ91または92へのアクセス要求パケットの送信元アドレスの情報を受け取り、該アドレスが認証成功時に払い出したアドレスであった場合、そのアドレスを送信元としてアプリケーションサーバ91または92へのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバ2で認証済みである旨をアプリケーション認証アクセス制御サーバ3に応答し、認証成功時に払い出したアドレスでなかった場合、そのアドレスを送信元としてアプリケーションサーバ91または92へのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバ2で認証済みではない旨をアプリケーション認証アクセス制御サーバ3に応答する。
【0029】
アプリケーション認証アクセス制御サーバ3はアクセス要求受付/応答部31と送信元アドレス抽出部32と認証状態問合せ部33とアクセス許可判断部34とを有している。
【0030】
アクセス要求受付/応答部31は転送ノード4を介した利用者7からのアプリケーションサーバ91または92へのアクセス要求を受付け、また認証の成功/不成功を転送ノード4を介して利用者7に応答する。送信元アドレス抽出部32はアクセス要求受付/応答部31で受け取られたアクセス要求の送信元アドレスを抽出する。認証状態問合せ部33は抽出された送信元アドレスをネットワーク認証アクセス制御サーバ2に送信してアクセス要求を送ってきた利用者が認証済みであるかを問い合わせる。アクセス許可判断部34は、ネットワーク認証アクセス制御サーバ2から認証済みである旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を改めて送信してもらうことなく、証明書等認証成功を示す情報を付与してアクセス要求受付/応答部31、転送ノード4を介して利用者端末6に対して応答し、ネットワーク認証アクセス制御サーバ2から未認証である旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を要求して認証を求め、引き続いて利用者端末6から認証に必要な情報を受け取り、認証に成功した場合に、証明書等認証成功を示す情報を付与してアクセス要求受付/応答部31、転送ノード4を介して利用者端末6に対して応答する。また、アクセス許可判断部34は、ネットワーク認証アクセス制御サーバ2からログアウト要求を受信すると、利用者7の認証を無効にする。
【0031】
次に、図3、図4、および図5に示すシーケンス図に従って、本実施形態のネットワーク認証アクセス制御サーバ2とアプリケーション認証アクセス制御サーバ3によって、利用者端末6からの一度のみの認証によって仮想閉域網8にリモートアクセスし、かつ、仮想閉域網8内のアプリケーションサーバ91、92に対してのシングルサインオンを実現する一連の処理について説明する。
【0032】
利用者端末6が仮想閉域網8に電話網経由でダイアルアップによるリモート接続を試みた場合、利用者端末6とリモートアクセスサーバ5との間の通信路が確立された後、仮想閉域網8への接続要求として認証に必要なユーザIDとパスワードとの対データがリモートアクセスサーバ5に送信される(ステップ101)。
【0033】
リモートアクセスサーバ5は、その接続要求をネットワーク認証アクセス制御サーバ2に送信して、認証を要求する(ステップ102)。
【0034】
ネットワーク認証アクセス制御サーバ2は、接続要求受付/応答部21で受信したユーザIDとパスワードの組で利用者を認証部22で認証し、認証に成功すると、利用者端末6に対して仮想閉域網8に接続するためのIPアドレスをアドレス払い出し/回収部25で払い出し、リモートアクセスサーバ5および転送ノード4に対して接続パスを接続パス設定/削除部23で設定する(ステップ103)。そして、認証結果と払い出したIPアドレスを接続要求受付/応答部21からリモートアクセスサーバ5を介して利用者端末6に送信する(ステップ104、105)。
【0035】
ここまでの処理で利用者端末6は、仮想閉域網8に接続されたため、利用者7は何らかの業務を行なうため、アプリケーションサーバ91に対してアクセス要求を送信するとする(ステップ106)。
【0036】
この時点では、利用者端末6は、アプリケーションサーバ91に対するアクセス権限を持っていることを示す証明書を持っていないため、アプリケーションサーバ91はアクセス要求に証明書が付いていないことを確認し(ステップ107)、アクセス要求をアプリケーション認証アクセス制御サーバ3にリダイレクトするように、利用者端末6に指示を送信する(ステップ108)。
【0037】
これに基づいて利用者端末6からアプリケーション認証アクセス制御サーバ3にアクセス要求が転送されると(ステップ109)、アプリケーション認証アクセス制御サーバ3は、受信したアクセス要求のパケットの送信元アドレスを送信元アドレス抽出部32で抽出し、そのアドレス情報を認証状態問合せ部33よりネットワーク認証アクセス制御サーバ2に送信することで、そのアクセス要求を送信してきた利用者がネットワーク認証アクセス制御サーバ2で認証済みであるかをネットワーク認証アクセス制御サーバ2に問い合わせる(ステップ110)。
【0038】
ネットワーク認証アクセス制御サーバ2では、仮想閉域網8のネットワーク認証状態テーブル24をアドレス払い出し/回収部25で検索し、アプリケーション認証アクセス制御サーバ3から受信したアドレスが、ネットワーク認証アクセス制御サーバ2で認証して払い出したアドレスであるかを判別し、その結果を認証状態応答部26からアプリケーション認証アクセス制御サーバ3に送信する(ステップ111)。
【0039】
認証状態応答が認証済みであった場合は(図4)、アプリケーション認証アクセス制御サーバ3は、利用者端末6に対して、認証が成功していることを示す証明書をアクセス許可判断部34で発行し、アクセス要求受付/応答部31より利用者端末6にアクセス応答として返信する(ステップ112)。
【0040】
これにより利用者端末6から再度アプリケーションサーバ91に対してアクセス要求を行なうと(ステップ113)、アプリケーションサーバ91はアクセス要求に証明書が付与されていることを検知して、アクセス要求に応答する(ステップ114)。
【0041】
これ以降は、利用者7がアクセス権限を有する他のアプリケーションサーバ(本実施形態ではアプリケーションサーバ92)に対しても、改めて認証手続きを求められることなく、アクセスが可能になる。
【0042】
認証状態応答が未認証であった場合は(図5)、アプリケーション認証アクセス制御サーバ3からパスワード要求を利用者端末6に送信してパスワードをアプリケーション認証アクセス制御サーバ3に送信し(ステップ115,116)、アクセス許可判断部34で認証を行ない(ステップ117)、認証応答をアクセス要求受付/応答部31から利用者端末6に返す(ステップ118)。認証が成功だった場合、利用者端末6はアプリケーションサーバ91にアクセス要求を送信し(ステップ119)、アプリケーションサーバ91は利用者端末6にアクセス応答を返す(ステップ120)。
【0043】
次に、図6に示すシーケンス図に従って、本実施形態において利用者7が利用者端末6とリモートアクセスサーバ5との間の回線を切断することで、実施済みのシングルサインオンの認証を無効にする一連の処理について説明する。
【0044】
利用者端末6とリモートアクセスサーバ5との間の回線が切断されると(ステップ121)、リモートアクセスサーバ5からネットワーク認証アクセス制御サーバ2に対して切断要求が送信され(ステップ122)、これを契機にネットワーク認証アクセス制御サーバ2は、アドレス払い出し/回収部25で、利用者端末6に払い出したIPアドレスを回収して利用者7を未認証状態に戻し、さらに、接続パス設定/削除部23でリモートアクセスサーバ5と転送ノード4に対して仮想閉域網8への接続パスを削除する。
【0045】
この後、ネットワーク認証アクセス制御サーバ2は、認証状態応答部26からアプリケーション認証アクセス制御サーバ3に対して、利用者7のログアウト要求を送信する(ステップ124)。アプリケーション認証アクセス制御サーバ3は、アクセス許可判断部34でアプリケーションサーバ群(91および92)に対する利用者7の認証を無効にする(ステップ125)。
【0046】
その後、アプリケーション認証アクセス制御サーバ3は、認証状態問合せ部33からログアウト完了通知をネットワーク認証アクセス制御サーバ2に送信し(ステップ126)、リモートアクセスサーバ5に切断完了通知を送信する(ステップ127)。
【0047】
なお、ネットワーク認証アクセス制御サーバ2およびアプリケーション認証アクセス制御サーバ3内の処理は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0048】
【発明の効果】
以上説明したように、本発明によれば、仮想閉域網へのリモートアクセスを実現する統合型認証アクセス制御システムにおいて、仮想閉域網へのアクセスのための認証で仮想閉域網内のアプリケーションサーバへのアクセスの認証を実現することで、利用者に対して仮想閉域網へのアクセス時に認証を行なうだけで、仮想閉域網内のサーバから別途認証手続きを求められることなく効率的に業務を遂行できるという効果が得られる。
【図面の簡単な説明】
【図1】本発明の一実施形態の統合型認証アクセス制御システムの構成図である。
【図2】ネットワーク認証アクセス制御サーバとアプリケーション認証アクセス制御サーバの構成図である。
【図3】図1の実施形態における処理の流れを示す図である。
【図4】図1の実施形態における処理の流れを示す図である。
【図5】図1の実施形態における処理の流れを示す図である。
【図6】図1の実施形態における処理の流れを示す図である。
【符号の説明】
1 統合型認証アクセス制御システム
2 ネットワーク認証アクセス制御サーバ
3 アプリケーション認証アクセス制御サーバ
4 転送ノード
5 リモートアクセスサーバ
6 利用者端末
7 利用者
8 仮想閉域網
1、92 アプリケーションサーバ
10 電話網
21 接続要求受付/応答部
22 認証部
23 接続パス設定/削除部
24 ネットワーク認証状態テーブル
25 アドレス払い出し/回収部
26 認証状態応答部
31 アクセス要求受付/応答部
32 送信元アドレス抽出部
33 認証状態問合せ部
34 アクセス許可判断部
101〜127 ステップ

Claims (4)

  1. 利用者の端末からの接続要求を、リモートアクセスサーバを介して受信し、該リモートアクセスサーバと転送ノードを制御して接続パスを設定し、前記端末と仮想閉域網とを接続して、前記端末と前記仮想閉域網内のアプリケーションサーバとの間の通信を実現するネットワーク認証アクセス制御サーバであって、
    利用者端末から前記仮想閉域網への接続要求を前記リモートアクセスサーバを介して受信し、前記仮想閉域網への接続における認証に必要な情報を前記利用者端末から受け取る手段と、
    該情報を用いて利用者を認証する手段と、
    認証が成功すると、前記リモートアクセスサーバと前記転送ノードに対して、前記利用者端末と前記仮想閉域網との間を接続する手段と、
    利用者の認証状態と、認証に成功した場合にその利用者の端末を前記仮想閉域網に接続するために払い出したアドレスを利用者毎に管理する手段と、
    前記アプリケーション認証アクセス制御サーバから、前記アプリケーションサーバへのアクセス要求パケットの送信元アドレスの情報を受け取る手段と、
    受け取った送信元アドレスをもとに、前記ネットワーク認証アクセス制御サーバ内で管理している認証時の払い出しアドレスの情報を検索し、その送信元アドレスが前記仮想閉域網への認証成功時に払い出したアドレスか否かを判断する手段と、
    前記送信元アドレスが認証成功時に払い出したアドレスであった場合、そのアドレスを送信元として前記アプリケーションサーバへのアクセス要求を発行してきた利用者は前記ネットワーク認証アクセス制御サーバで認証済みである旨を前記アプリケーション認証アクセス制御サーバに応答する手段と、
    前記送信元アドレスが認証成功時に払い出したアドレスでなかった場合、そのアドレスを送信元として前記アプリケーションサーバへのアクセス要求を発行してきた利用者は前記ネットワーク認証アクセス制御サーバで認証済みではない旨を前記アプリケーション認証アクセス制御サーバに応答する手段とを備えるネットワーク認証アクセス制御サーバ。
  2. 前記利用者端末と前記リモートアクセスサーバとの間の接続が切断された旨の通知を前記リモートアクセスサーバから受けたことを契機に、該利用者端末と、該利用者端末が接続していた仮想閉域網との間の接続パスを削除する手段と、
    同じ契機で前記ネットワーク認証アクセス制御サーバ内で管理している該利用者の認証状態を未認証の状態に戻す手段とをさらに備える、請求項1に記載のネットワーク認証アクセス制御サーバ。
  3. 仮想閉域網内に設置されて、利用者からの一度の認証によって、仮想閉域網内にある複数のアプリケーションサーバに対するアクセス時の認証を実現するアプリケーション認証アクセス制御サーバであって、
    利用者からのアプリケーションサーバ群へのアクセス要求を受け取る手段と、
    該アクセス要求の送信元アドレスを抽出し、ネットワーク認証アクセス制御サーバに対してその送信元アドレスの情報を送信して該アクセス要求を送ってきた利用者が認証済みであるかを問い合わせる手段と、
    前記ネットワーク認証アクセス制御サーバから認証済みである旨の応答があった場合、元々のアクセス要求に対して、認証に必要な情報を改めて送信してもらうことなく、認証成功を示す情報を付与して利用者端末に対して応答する手段と、
    前記ネットワーク認証アクセス制御サーバから未認証である旨の応答があった場合、元々のアクセス要求に対して、認証に必要な情報を要求して認証を求める手段と、
    引き続いて前記利用者端末から認証に必要な情報を受け取り、認証に成功した場合、認証成功を示す情報を付与して前記利用者端末に対して応答する手段とを備えるアプリケーション認証アクセス制御サーバ。
  4. 請求項1または2に記載のネットワーク認証アクセス制御サーバと、請求項に記載のアプリケーション認証アクセス制御サーバと、転送ノードと、リモートアクセスサーバとから構成される統合型認証アクセス制御システム。
JP2003003108A 2003-01-09 2003-01-09 ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム Expired - Lifetime JP4152753B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003003108A JP4152753B2 (ja) 2003-01-09 2003-01-09 ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003003108A JP4152753B2 (ja) 2003-01-09 2003-01-09 ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム

Publications (2)

Publication Number Publication Date
JP2004220075A JP2004220075A (ja) 2004-08-05
JP4152753B2 true JP4152753B2 (ja) 2008-09-17

Family

ID=32894468

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003003108A Expired - Lifetime JP4152753B2 (ja) 2003-01-09 2003-01-09 ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム

Country Status (1)

Country Link
JP (1) JP4152753B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100813791B1 (ko) * 2004-09-30 2008-03-13 주식회사 케이티 유무선 통합서비스 망에서의 개인 이동성을 위한 통합인증 처리 장치 및 그 방법
CN1816217B (zh) * 2005-02-06 2010-06-02 华为技术有限公司 基于节点地址更换的路径建立方法
JP4878043B2 (ja) * 2008-08-08 2012-02-15 日本電信電話株式会社 アクセス制御システム、接続制御装置および接続制御方法
JP5565027B2 (ja) * 2010-03-26 2014-08-06 富士ゼロックス株式会社 処理装置、処理システム及び処理制御プログラム
JP6358947B2 (ja) * 2014-12-19 2018-07-18 エイチ・シー・ネットワークス株式会社 認証システム

Also Published As

Publication number Publication date
JP2004220075A (ja) 2004-08-05

Similar Documents

Publication Publication Date Title
US6948076B2 (en) Communication system using home gateway and access server for preventing attacks to home network
EP1130875B1 (en) A home gateway with a data backup service
JP4291213B2 (ja) 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体
US8788674B2 (en) Buffering proxy for telnet access
CN1523811B (zh) 用户连接因特网时认证网络访问的用户的方法和***
CN100563248C (zh) 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和***
US7856023B2 (en) Secure virtual private network having a gateway for managing global ip address and identification of devices
JP5239341B2 (ja) ゲートウェイ、中継方法及びプログラム
WO2008022589A1 (fr) Système et procédé destinés à authentifier une demande d'accès pour un réseau local
EP1566939A1 (en) Media streaming home network system and method for operating the same
WO2007131415A1 (fr) Système et procédé de gestion d'un réseau domestique
CN109548022B (zh) 一种移动终端用户远程接入本地网络的方法
KR20040102045A (ko) 자동 구성 특성을 지닌 정보 라우팅 장치
KR100763131B1 (ko) 공중 무선랜 서비스를 위한 망접속 및 서비스 등록 방법
JP2003316742A (ja) シングルサインオン機能を有する匿名通信方法および装置
JP4152753B2 (ja) ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム
JP3953963B2 (ja) 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、および分散型認証アクセス制御システム
KR100697099B1 (ko) 이종 메신저간의 메시지 전송 서비스 제공 시스템 및 그방법
WO2011088695A1 (zh) 一种在公共设备上接入网络的方法及***
JP2012064007A (ja) 情報処理装置、通信中継方法およびプログラム
JP2009217722A (ja) 認証処理システム、認証装置、管理装置、認証処理方法、認証処理プログラムおよび管理処理プログラム
JP3655868B2 (ja) VoIP通信システムおよび方法およびゲートキ−パおよび認証サーバおよびプログラム
JP4149745B2 (ja) 認証アクセス制御サーバ装置、認証アクセス制御方法、認証アクセス制御プログラム及びそのプログラムを記録したコンピュータ読み取り可能な記録媒体
KR101117316B1 (ko) 댁 내 범용 플러그 앤 플레이 디바이스에 대한 원격 접속 서비스를 제공하기 위한 원격 접속 서비스 프로파일 설정 방법 및 사용자 인증 방법
JP4878043B2 (ja) アクセス制御システム、接続制御装置および接続制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050125

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20050125

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050125

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050614

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080116

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080402

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080509

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080625

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080702

R150 Certificate of patent or registration of utility model

Ref document number: 4152753

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110711

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120711

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130711

Year of fee payment: 5

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term