JP2003242109A - Certification access control server device, gateway device, certification access control method, gateway control method, certification access control program and recording medium with the program recorded thereon, and gateway control program and recording medium with the program recorded thereon - Google Patents
Certification access control server device, gateway device, certification access control method, gateway control method, certification access control program and recording medium with the program recorded thereon, and gateway control program and recording medium with the program recorded thereonInfo
- Publication number
- JP2003242109A JP2003242109A JP2002037586A JP2002037586A JP2003242109A JP 2003242109 A JP2003242109 A JP 2003242109A JP 2002037586 A JP2002037586 A JP 2002037586A JP 2002037586 A JP2002037586 A JP 2002037586A JP 2003242109 A JP2003242109 A JP 2003242109A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- access control
- server
- control server
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、認証アクセス制御
サーバ装置とゲートウェイ装置とで構成されて、通信網
に接続された利用者端末から発行されるサーバ群へのア
クセス要求を認証するシステムで用いられる認証アクセ
ス制御サーバ装置と、そのシステムで用いられるゲート
ウェイ装置と、その認証アクセス制御サーバ装置で用い
られる認証アクセス制御方法と、そのゲートウェイ装置
で用いられるゲートウェイ制御方法と、その認証アクセ
ス制御方法の実現に用いられる認証アクセス制御プログ
ラム及びそのプログラムを記録した記録媒体と、そのゲ
ートウェイ制御方法の実現に用いられるゲートウェイ制
御プログラム及びそのプログラムを記録した記録媒体と
に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention is used in a system that is composed of an authentication access control server device and a gateway device and authenticates an access request to a server group issued from a user terminal connected to a communication network. Authentication access control server device, gateway device used in the system, authentication access control method used in the authentication access control server device, gateway control method used in the gateway device, and realization of the authentication access control method The present invention relates to an authentication access control program used in the above, a recording medium recording the program, a gateway control program used for realizing the gateway control method, and a recording medium recording the program.
【0002】特定の利用者にのみアクセスを許可したい
サーバは、アクセス時に、利用者に認証を求める必要が
ある。利用者が複数のサーバへのアクセス権限を有して
いる場合、サーバ毎に認証を行なうのでなく、一括して
認証ができることがセキュリティ及び利便性の面から望
ましい。A server that wants to permit access only to a specific user needs to require the user to authenticate at the time of access. When the user has the access authority to a plurality of servers, it is desirable from the viewpoint of security and convenience that authentication can be performed collectively instead of performing authentication for each server.
【0003】本発明は、一つまたは複数のサーバへのア
クセス権限を有している利用者に対して、認証を一括し
て行なう認証アクセス制御システムに関するものであ
る。The present invention relates to an authentication access control system which collectively authenticates users who have the authority to access one or a plurality of servers.
【0004】[0004]
【従来の技術】一度の認証で複数のサーバ(以下では特
にコンテンツサーバ)へのアクセスを可能にする(以
下、シングルサインオンと表記)方法として、網内に認
証アクセス制御サーバを設置する方法が知られており、
その処理形態によって、「リバース・プロキシ型」と、
「エージェント・モジュール型」とに分類される。2. Description of the Related Art As a method of enabling access to a plurality of servers (hereinafter, content servers in particular) with a single authentication (hereinafter referred to as single sign-on), there is a method of installing an authentication access control server in a network. Known,
Depending on the processing form, "reverse proxy type",
It is classified as “agent module type”.
【0005】リバース・プロキシ型のシングルサインオ
ンは、図9に示すように、認証アクセス制御サーバを利
用者端末とコンテンツサーバとの間に設置することで実
現する。Reverse proxy type single sign-on is realized by installing an authentication access control server between a user terminal and a content server, as shown in FIG.
【0006】このリバース・プロキシ型のシングルサイ
ンオンでは、コンテンツサーバへのアクセス要求は全て
認証アクセス制御サーバを中継して送信され、認証アク
セス制御サーバは、中継時に、内部に持つユーザ毎のア
クセスリストを参照してアクセス制御を行なう。In this reverse proxy type single sign-on, all access requests to the content server are transmitted by relaying the authentication access control server, and the authentication access control server has an internal access list for each user when relaying. Access control is performed by referring to.
【0007】一方、エージェント・モジュール型のシン
グルサインオンは、図10に示すように、網内に設置さ
れる認証アクセス制御サーバと、コンテンツサーバに組
み込むエージェント・モジュールとによって実現する。On the other hand, the agent module type single sign-on is realized by an authentication access control server installed in the network and an agent module incorporated in the content server, as shown in FIG.
【0008】このエージェント・モジュール型のシング
ルサインオンでは、利用者は、まず認証アクセス制御サ
ーバにログインする。認証に成功すると、認証アクセス
制御サーバは、当該利用者がアクセス可能なコンテンツ
サーバのリストをクッキーに埋め込んで利用者端末に送
信する。In this agent module type single sign-on, the user first logs in to the authentication access control server. When the authentication is successful, the authentication access control server embeds a list of content servers accessible by the user in a cookie and sends the cookie to the user terminal.
【0009】その後、利用者がコンテンツサーバにアク
セスした時、コンテンツサーバ内のエージェント・モジ
ュールがクッキー内の情報をもとにアクセスの可否を決
定する。コンテンツサーバに対して、認証アクセス制御
サーバで認証されていない利用者端末からのアクセスが
あった場合は、当該コンテンツサーバ内のエージェント
・モジュールがアクセス要求を認証アクセス制御サーバ
に転送して、認証を行なわせる。After that, when the user accesses the content server, the agent module in the content server determines whether the access is possible based on the information in the cookie. If the content server is accessed by a user terminal that is not authenticated by the authentication access control server, the agent module in the content server forwards the access request to the authentication access control server for authentication. Let me do it.
【0010】[0010]
【発明が解決しようとする課題】リバース・プロキシ型
では、コンテンツサーバには手を加えずにシングルサイ
ンオンが可能であることから、コンテンツサーバの種別
によらずシングルサインオンを行なうことができる。In the reverse proxy type, since single sign-on is possible without modifying the content server, single sign-on can be performed regardless of the type of the content server.
【0011】しかしながら、全てのアクセス要求を中継
することから、セキュリティ強度は強い反面、認証アク
セス制御サーバへアクセスが集中することにより、多数
のコンテンツサーバが分散配置されているような大規模
環境では、特に、サーバ処理性能や網リソースの限界に
起因するスループット低下が発生する可能性があった。However, since all access requests are relayed, the security strength is strong, but on the other hand, in a large-scale environment in which a large number of content servers are distributed, due to concentrated access to the authentication access control server, In particular, there is a possibility that throughput may be reduced due to server processing performance and network resource limitations.
【0012】一方、エージェント・モジュール型では、
認証アクセス制御サーバを経由するのは未認証のアクセ
ス要求のみであるため、リバース・プロキシ型の場合の
ようなスループットの低下が発生する可能性は低い。On the other hand, in the agent module type,
Since only unauthenticated access requests go through the authenticated access control server, it is unlikely that the throughput will be reduced as in the case of the reverse proxy type.
【0013】しかしながら、未認証パケットが直接コン
テンツサーバに届くことから、リバース・プロキシ型に
比べてセキュリティ強度がやや弱く、各コンテンツサー
バ内に専用のエージェント・モジュールを組み込む必要
があることから、対応可能なコンテンツサーバが限定さ
れる可能性があった。However, since the unauthenticated packet reaches the content server directly, the security strength is slightly weaker than that of the reverse proxy type, and it is necessary to install a dedicated agent module in each content server, which is possible. There was a possibility that the number of content servers would be limited.
【0014】本発明は、シングルサインオンにおいて、
上述したリバース・プロキシ型とエージェント・モジュ
ール型が有する欠点を解決するためになされたものであ
り、リバース・プロキシ型のもつ、エージェント・モジ
ュール型にない利点を継承しつつ、認証アクセス制御サ
ーバへの負荷の集中を回避することで、セキュリティ強
度が強く、かつ、コンテンツサーバの種別に依存せず、
さらに、スループットの低下が発生しにくい通信システ
ムを実現することをその目的とする。According to the present invention, in single sign-on,
This was done to solve the drawbacks of the reverse proxy type and the agent module type described above. While inheriting the advantages of the reverse proxy type that the agent module type does not have, the authentication access control server By avoiding the concentration of load, the security strength is strong and it does not depend on the type of content server.
Further, it is an object of the present invention to realize a communication system in which a decrease in throughput does not easily occur.
【0015】[0015]
【課題を解決するための手段】この目的を達成するため
に、本発明の認証アクセス制御サーバ装置は、認証アク
セス制御サーバ装置とゲートウェイ装置とで構成され
て、通信網に接続された利用者端末から発行されるサー
バ群へのアクセス要求を認証するシステムで用いられる
ときにあって、ゲートウェイ装置にパスが設定されて
いないことで、アクセス要求が転送されてくる場合に、
そのアクセス要求を受け取る手段と、利用者端末か
ら、認証に必要な情報を初回のアクセス要求の場合にの
み取得する手段と、認証機能を持たないサーバについ
て、取得した認証に必要な情報を使って認証を実行する
手段と、認証機能を持つサーバに対して、取得した認
証に必要な情報を指定して認証を依頼する手段と、認
証を得たサーバへのパスをゲートウェイ装置に設定する
手段と、規定の状態になる場合に、ゲートウェイ装置
に設定したパスを無効化する手段とを備えるように構成
する。In order to achieve this object, an authenticated access control server device of the present invention is composed of an authenticated access control server device and a gateway device, and is a user terminal connected to a communication network. When it is used in a system that authenticates an access request to a server group issued from, and the access request is transferred because the path is not set in the gateway device,
Using the method for receiving the access request, the method for acquiring the information required for authentication from the user terminal only in the case of the first access request, and the information required for the authentication for the server that does not have the authentication function. Means for executing authentication, means for requesting a server having an authentication function by designating the information necessary for the acquired authentication, and means for setting a path to the authenticated server in the gateway device. , And means for invalidating the path set in the gateway device when the specified state is reached.
【0016】この本発明の認証アクセス制御サーバ装置
が動作することで実現される認証アクセス制御方法につ
いては、具体的にはコンピュータプログラムで実現でき
るものであり、このコンピュータプログラムは、半導体
メモリなどのような適当な記録媒体に記録して提供する
ことができる。The authentication access control method realized by the operation of the authentication access control server device of the present invention can be concretely realized by a computer program, and this computer program is a semiconductor memory or the like. It can be provided by recording it on any suitable recording medium.
【0017】一方、この目的を達成するために、本発明
のゲートウェイ装置は、認証アクセス制御サーバ装置と
ゲートウェイ装置とで構成されて、通信網に接続された
利用者端末から発行されるサーバ群へのアクセス要求を
認証するシステムで用いられるときにあって、認証ア
クセス制御サーバ装置から設定されるパスを管理する手
段と、利用者端末からのアクセス要求に対応するパス
が設定されていない場合に、そのアクセス要求を認証ア
クセス制御サーバ装置に転送する手段と、アクセス要
求の転送に応答して、認証アクセス制御サーバ装置から
パスの設定指示がある場合に、そのパスを設定する手段
と、認証アクセス制御サーバ装置からの無効化指示に
応答して、指定される利用者端末にかかる全ての設定パ
スを無効化する手段と、設定パスが一定時間参照され
ない場合に、そのパスを無効化する手段とを備えるよう
に構成する。On the other hand, in order to achieve this object, the gateway device of the present invention is composed of an authentication access control server device and a gateway device and is connected to a server group issued from a user terminal connected to a communication network. When it is used in a system that authenticates the access request of, when the means for managing the path set from the authentication access control server device and the path corresponding to the access request from the user terminal are not set, A means for transferring the access request to the authentication access control server device; a means for setting the path when the authentication access control server device gives a path setting instruction in response to the transfer of the access request; and an authentication access control In response to the invalidation instruction from the server device, means for invalidating all the setting paths for the specified user terminal, and If the path is not referenced predetermined time, configured to and means for invalidating the path.
【0018】この本発明のゲートウェイ装置が動作する
ことで実現されるゲートウェイ制御方法については、具
体的にはコンピュータプログラムで実現できるものであ
り、このコンピュータプログラムは、半導体メモリなど
のような適当な記録媒体に記録して提供することができ
る。The gateway control method realized by the operation of the gateway device of the present invention can be realized concretely by a computer program, and this computer program is recorded in an appropriate memory such as a semiconductor memory. It can be recorded on a medium and provided.
【0019】次に、このように構成される本発明の認証
システムの処理の流れの一例について説明する。Next, an example of the processing flow of the authentication system of the present invention configured as above will be described.
【0020】このように構成される本発明の認証システ
ムでは、利用者端末から最初のアクセス要求が発行され
ると、そのパスがゲートウェイ装置に設定されていない
ので、そのアクセス要求が認証アクセス制御サーバ装置
に転送され、これを受けて、認証アクセス制御サーバ装
置は、その利用者端末から認証に必要な情報を取得す
る。In the authentication system of the present invention having such a configuration, when the first access request is issued from the user terminal, the path is not set in the gateway device, so that the access request is sent to the authentication access control server. After being transferred to the device, the authenticated access control server device receives the information and acquires the information necessary for authentication from the user terminal.
【0021】認証アクセス制御サーバ装置は、この初回
のアクセス要求が認証機能を持たないサーバへのアクセ
ス要求である場合には、取得した認証に必要な情報を使
って、認証機能を持たない全てのサーバについての認証
を一度に実行して、ゲートウェイ装置にパスを設定す
る。これ以降、パスが設定されていることで、認証機能
を持たないサーバへのアクセス要求についてはゲートウ
ェイ装置から転送されてくることはなくなる。If this initial access request is an access request to a server that does not have an authentication function, the authentication access control server device uses the information necessary for authentication to acquire all the authentication functions that do not have an authentication function. Authenticate the server at once and set the path to the gateway device. After that, since the path is set, the access request to the server having no authentication function will not be transferred from the gateway device.
【0022】一方、認証アクセス制御サーバ装置は、こ
の初回のアクセス要求が認証機能を持つサーバへのアク
セス要求である場合には、そのサーバからの要求に応答
して、取得した認証に必要な情報を指定して、そのサー
バに対して認証依頼を行うことでそのサーバについて認
証を行うとともに、ついでに、取得した認証に必要な情
報を使って、認証機能を持たない全てのサーバについて
の認証を一度に実行して、ゲートウェイ装置にパスを設
定する。これ以降、パスが設定されていることで、その
認証機能を持つサーバへのアクセス要求と、認証機能を
持たないサーバへのアクセス要求とについてはゲートウ
ェイ装置から転送されてくることはなくなる。On the other hand, if the first access request is an access request to a server having an authentication function, the authentication access control server device responds to the request from the server and acquires the necessary information for the authentication. Authenticate to that server by requesting authentication to that server, and then use the information required for authentication to authenticate once for all servers that do not have the authentication function. To set the path in the gateway device. After that, since the path is set, the access request to the server having the authentication function and the access request to the server not having the authentication function will not be transferred from the gateway device.
【0023】そして、初回のアクセス要求に続くアクセ
ス要求で、認証機能を持つサーバへのアクセス要求が転
送されてくる場合には、認証に必要な情報については既
に取得してあるので、そのサーバからの要求に応答し
て、その取得済みの認証に必要な情報を指定して、その
サーバに対して認証依頼を行うことでそのサーバについ
て認証を行い、ゲートウェイ装置にパスを設定する。こ
れ以降、パスが設定されていることで、その認証機能を
持つサーバへのアクセス要求についてはゲートウェイ装
置から転送されてくることはなくなる。When the access request to the server having the authentication function is transferred in the access request subsequent to the first access request, the information necessary for the authentication has already been acquired, and therefore, from that server. In response to the request, the information required for the acquired authentication is designated, and the server is authenticated by making an authentication request to the server, and the path is set in the gateway device. After that, since the path is set, the access request to the server having the authentication function will not be transferred from the gateway device.
【0024】このような形でゲートウェイ装置にパスを
設定していくことで、アクセス要求が認証アクセス制御
サーバ装置に転送されなくなってくるが、利用者端末と
サーバとの接続関係をそのまま放置しておくことはセキ
ュリティ上好ましいことではない。By setting the path in the gateway device in this way, the access request is not transferred to the authentication access control server device, but the connection relationship between the user terminal and the server is left as it is. It is not preferable for security to set it.
【0025】そこで、認証アクセス制御サーバ装置は、
利用者端末にプログラムを送信するようにして、そのプ
ログラムからの応答が一定時間なくなる場合に、ゲート
ウェイ装置に設定したその利用者端末にかかる全てのパ
スを無効化するようにしたり、そのプログラムから認証
の無効化指示が発行される場合に、ゲートウェイ装置に
設定したその利用者端末にかかる全てのパスを無効化す
るようにしたり、利用者端末からのアクセス要求に応答
して設定したパスについての認証(認証してパスを設定
する)から一定時間経過する場合に、ゲートウェイ装置
に設定したその利用者端末にかかる全てのパスを無効化
するように処理する。Therefore, the authentication access control server device
By sending the program to the user terminal, if there is no response from the program for a certain period of time, disable all the paths set for the user terminal set in the gateway device, and authenticate from the program. When the invalidation instruction is issued, all the paths set to the user terminal set in the gateway device are invalidated, and the authentication of the set path in response to the access request from the user terminal is performed. When a certain time has elapsed from (authentication and setting of a path), processing is performed to invalidate all paths set for the user terminal set in the gateway device.
【0026】一方、ゲートウェイ装置は、認証アクセス
制御サーバ装置からの無効化指示に応答してパスを無効
化する以外に、パスが一定時間参照されない場合に、そ
のパスを無効化するように処理する。On the other hand, the gateway device invalidates the path in response to the invalidation instruction from the authentication access control server device, and also performs processing to invalidate the path when the path is not referenced for a certain period of time. .
【0027】このように、本発明は、従来のリバース・
プロキシ型の認証アクセス制御サーバ装置からゲートウ
ェイ機能を切り出し、IPアドレスとポート番号等に基
づくパケットフィルタリングのハードウェア処理が可能
な専用のゲートウェイ装置と認証アクセス制御サーバ装
置とに分離し、ゲートウェイ装置の通過を許可するエン
トリが設定されていないアクセス要求のみ認証アクセス
制御サーバ装置に転送することを特徴とする。As described above, according to the present invention, the conventional reverse
The gateway function is cut out from the proxy-type authentication access control server device, and is separated into a dedicated gateway device and an authentication access control server device that can perform packet filtering hardware processing based on the IP address, port number, etc., and passes through the gateway device. It is characterized in that only an access request for which no entry permitting is set is transferred to the authentication access control server device.
【0028】そして、利用者端末とサーバとが直接通信
することから引き起こされる、未認証のアクセス要求が
サーバへ到達するのを防ぐために、端末確認用のプログ
ラムを利用者端末に送信して監視を行い、通信の終了を
検知して認証を無効化し、ゲートウェイ装置の通信許可
エントリを削除(無効化)することを特徴とする。Then, in order to prevent an unauthenticated access request from reaching the server, which is caused by direct communication between the user terminal and the server, a terminal confirmation program is transmitted to the user terminal for monitoring. It is characterized by detecting the end of communication, invalidating the authentication, and deleting (invalidating) the communication permission entry of the gateway device.
【0029】このように、本発明によれば、ゲートウェ
イ装置の通過を許可するエントリが設定されていないア
クセス要求のみ認証アクセス制御サーバ装置に転送させ
ることにより、従来のリバース・プロキシ型の課題であ
った、認証アクセス制御サーバ装置への負荷の集中を回
避することが可能となる。As described above, according to the present invention, only the access request for which the entry permitting passage of the gateway device is not set is transferred to the authentication access control server device, which is a problem of the conventional reverse proxy type. Further, it becomes possible to avoid concentration of load on the authentication access control server device.
【0030】そして、認証アクセス制御サーバ装置を経
由しない直接通信において、端末確認用のプログラムを
利用者端末に送信して監視を行い、通信の終了を検知し
てゲートウェイ装置の通信許可エントリを削除(無効
化)することによって、サーバに手を加えることなく、
従来のエージェント・モジュール型のように未認証のア
クセス要求が直接サーバに到達してしまうことを防止す
ることが可能となる。Then, in the direct communication that does not pass through the authentication access control server device, a program for terminal confirmation is transmitted to the user terminal for monitoring, the end of communication is detected, and the communication permission entry of the gateway device is deleted ( By disabling), without changing the server,
It is possible to prevent an unauthenticated access request from directly reaching the server as in the conventional agent module type.
【0031】次に、本発明の構成上の特徴についてまと
める。Next, the structural features of the present invention will be summarized.
【0032】(1)本発明では、認証アクセス制御サー
バ装置とゲートウェイ装置で構成され、コネクションレ
ス通信網に接続された利用者端末から複数のサーバへの
アクセス時の認証において、利用者がアクセス権限を
持つサーバ群を利用者ごとに管理し、利用者がアクセ
ス権限を持つサーバ群へのアクセス要求を認証アクセス
制御サーバ装置にて代理で受け付け、利用者がアクセ
ス権限を持つサーバ群への認証失効後の初めてのアクセ
ス時のみ、利用者に対して認証に必要な情報の投入を要
求し、認証の有効期間内は、当該サーバ群に属する全
てのサーバについて利用者が認証に必要な情報をアクセ
スの都度投入することを不要にし、認証に成功した場
合、通信網内に配置するゲートウェイ装置を制御して、
利用者端末とサーバとの間で直接通信することを可能と
することを特徴とする。(1) In the present invention, the authentication access control server device and the gateway device are used, and when the user terminal connected to the connectionless communication network accesses a plurality of servers, the user has access authority. Manages a group of servers with each user, accepts access requests to the server group to which the user has access authority by the authentication access control server device, and revoke authentication to the server group to which the user has access authority Only when accessing for the first time afterwards, request the user to input the information required for authentication, and during the valid period of authentication, the user can access the information required for authentication for all servers belonging to the relevant server group. When it succeeds in the authentication, the gateway device placed in the communication network is controlled,
The feature is that it enables direct communication between the user terminal and the server.
【0033】(2)そして、ゲートウェイ装置の機能と
して、利用者の認証に成功するまでは、利用者端末と
サーバとの間の通信を許可しないことでセキュリティを
確保し、サーバ宛てで、かつ、通過を許可されていな
いアクセス要求については、認証アクセス制御サーバ装
置に転送して認証を求めることを特徴とする。(2) As a function of the gateway device, security is ensured by not allowing communication between the user terminal and the server until the user is successfully authenticated and addressed to the server, and An access request which is not permitted to pass is transferred to the authentication access control server device to request authentication.
【0034】(3)そして、認証機能を有するサーバへ
のアクセスにおいて、認証アクセス制御サーバ装置が
代理で受け付けたアクセス要求を、そのままアクセス要
求先のサーバに転送して当該サーバからの認証要求を受
信し、そのサーバへのアクセスが、当該利用者がアク
セス権限を持つサーバ群への認証失効後初めてのアクセ
スである場合のみ、当該利用者に対して認証に必要な情
報の投入を要求して、利用者から受信した情報に基づい
て認証を行ない、当該サーバでの認証に必要な情報を
利用者に代わって送信するとともに、網内のゲートウェ
イ装置にて、その利用者端末と当該サーバとの間の直接
通信を許可し、認証の有効期間内に認証アクセス制御
サーバ装置で受け付けた、サーバ群内の他のサーバ向け
のアクセス要求についてはそのままサーバに転送し、
サーバからの認証要求に対して、当該サーバでの認証に
必要な情報を利用者に代わって送信するとともに、網内
のゲートウェイ装置にて、その利用者端末とサーバとの
間の直接通信を許可することを特徴とする。(3) Then, in the access to the server having the authentication function, the access request accepted by the authentication access control server device as a proxy is directly transferred to the access request destination server and the authentication request from the server is received. However, only when the access to the server is the first access to the server group to which the user has access authority after the authentication has expired, the user is requested to input the information necessary for authentication, Authentication is performed based on the information received from the user, the information required for authentication at the server is transmitted on behalf of the user, and the gateway device in the network is used to connect the user terminal and the server. For the access requests for other servers in the server group that are accepted by the authentication access control server device during the validity period of authentication, Remains transferred to the server,
In response to the authentication request from the server, the information required for authentication at the server is sent on behalf of the user, and the gateway device in the network allows direct communication between the user terminal and the server. It is characterized by doing.
【0035】(4)そして、認証機能を有するサーバへ
のアクセスにおいて、利用者がアクセス権限を持つサ
ーバ群に対する認証失効後の初めてのアクセス要求を、
認証アクセス制御サーバにて代理で受け付けた場合、当
該利用者に対して認証に必要な情報の投入を要求し、
認証成功後にサーバにアクセス要求を転送し、サーバ
からの認証要求に対して、利用者に代わって当該サーバ
での認証に必要な情報を送信するとともに、網内のゲー
トウェイ装置にて、その利用者端末とサーバとの間の直
接通信を許可し、認証の有効期間内に認証アクセス制
御サーバ装置で受け付けた、サーバ群内の他のサーバ向
けのアクセス要求についてはそのままサーバに転送し、
サーバからの認証要求に対して、当該サーバでの認証
に必要な情報を利用者に代わって送信するとともに、網
内のゲートウェイ装置にて、その利用者端末とサーバと
の間の直接通信を許可することを特徴とする。(4) Then, in accessing the server having the authentication function, the first access request to the server group to which the user has the access authority after the authentication expires,
When the authentication access control server accepts it by proxy, it requests the user to input the information required for authentication,
After successful authentication, the access request is transferred to the server, and in response to the authentication request from the server, the information necessary for authentication at the server is sent on behalf of the user, and the user at the gateway device in the network. Direct communication between the terminal and the server is permitted, and the access request for other servers in the server group accepted by the authentication access control server device within the valid period of the authentication is directly transferred to the server,
In response to the authentication request from the server, the information required for authentication at the server is sent on behalf of the user, and the gateway device in the network allows direct communication between the user terminal and the server. It is characterized by doing.
【0036】(5)そして、認証機能を有さないサーバ
へのアクセスにおいて、利用者がアクセス権限を持つ
サーバ群に対する認証失効後の初めてのアクセス要求を
認証アクセス制御サーバ装置にて代理で受け付け、当
該利用者に対して認証に必要な情報の投入を要求し、
認証成功後に、通信網内のゲートウェイ装置にて、その
利用者端末とサーバ群に属する全てのサーバとの間の直
接通信を許可することを特徴とする。(5) When accessing a server that does not have an authentication function, the authentication access control server apparatus accepts the first access request for the server group to which the user has access authority after the authentication has expired, Request that the user input the information required for authentication,
After successful authentication, the gateway device in the communication network permits direct communication between the user terminal and all the servers belonging to the server group.
【0037】(6)そして、利用者端末上で動作する
プログラムを有し、定期的に認証アクセス制御サーバ
装置と当該プログラムとの間で通信を行うことで利用者
端末の状態を監視し、当該プログラムからの通信が無
くなったことでセッションの終了を検知して当該利用者
の認証を無効にし、再びサーバ群へのアクセス要求を
代理で受け付けるようにゲートウェイ装置の設定を変更
することを特徴とする。(6) Then, the program has a program that runs on the user terminal, and the state of the user terminal is monitored by periodically communicating between the authentication access control server device and the program, It is characterized in that the end of the session is detected when the communication from the program is lost, the authentication of the user is invalidated, and the setting of the gateway device is changed so as to accept the access request to the server group again by proxy. .
【0038】(7)そして、認証アクセス制御サーバ
装置での認証後、認証に成功した利用者端末のブラウザ
にプログラムを送信して、認証の強制失効を指示するボ
タン等をブラウザ上に表示し、利用者がそのボタン等
をクリックすることを契機にして、認証アクセス制御サ
ーバ装置に対して認証の無効化を示す情報を送信させ、
その情報の受信をもって、再びサーバ群へのアクセス
要求を代理で受け付けるようにゲートウェイ装置の設定
を変更することを特徴とする。(7) After the authentication by the authentication access control server device, the program is transmitted to the browser of the user terminal that has been successfully authenticated, and a button or the like for instructing the forced expiration of the authentication is displayed on the browser. When the user clicks the button etc., the authentication access control server device is made to send the information indicating the invalidation of the authentication,
When the information is received, the setting of the gateway device is changed so as to accept the access request to the server group again by proxy.
【0039】(8)そして、認証アクセス制御サーバ
装置での認証後にゲートウェイ装置に設定した、利用者
端末とサーバとの間の通信許可エントリが一定時間参照
されなかった場合に、当該エントリを自動的に削除(無
効化)し、再びサーバへのアクセス要求が認証アクセス
制御サーバ装置に転送されるようにすることで当該利用
者の認証を無効にすることを特徴とする。(8) If the communication permission entry between the user terminal and the server, which is set in the gateway device after the authentication by the authentication access control server device, is not referred to for a certain period of time, the entry is automatically set. It is characterized in that the authentication of the user is invalidated by deleting (invalidating), and by making the access request to the server again transferred to the authentication access control server device.
【0040】(9)そして、認証アクセス制御サーバ
装置での認証後、一定時間経過した後に自動的にゲート
ウェイ装置に設定した、利用者端末とサーバとの間の通
信許可エントリを削除(無効化)し、再びサーバへのア
クセス要求が認証アクセス制御サーバ装置に転送される
ようにすることで当該利用者の認証を無効にすることを
特徴とする。(9) Then, after the authentication by the authentication access control server device, the communication permission entry between the user terminal and the server which is automatically set in the gateway device after a lapse of a certain time is deleted (invalidated). However, the authentication of the user is invalidated by again transferring the access request to the server to the authentication access control server device.
【0041】[0041]
【発明の実施の形態】以下、実施の形態に従って本発明
を詳細に説明する。BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, the present invention will be described in detail according to embodiments.
【0042】図1に、本発明を実現するシステム構成の
一実施形態例を図示する。FIG. 1 shows an embodiment of a system configuration for realizing the present invention.
【0043】この図に示すように、本発明を実現する認
証アクセス制御システム1は、認証アクセス制御サーバ
2及びゲートウェイ装置3から構成されており、ゲート
ウェイ装置3は、IPアドレス、ポート番号に基づく高
速なパケットフィルタリング機能を有している。As shown in this figure, an authentication access control system 1 for realizing the present invention is composed of an authentication access control server 2 and a gateway device 3, and the gateway device 3 is a high speed based on an IP address and a port number. It has various packet filtering functions.
【0044】この構成を採るときに、利用者4が、認証
アクセス制御システム1を介して、利用者端末5からア
クセス権限を持つコンテンツサーバ群6に属するコンテ
ンツサーバ7〜12にアクセスするものとする。When adopting this configuration, it is assumed that the user 4 accesses the content servers 7 to 12 belonging to the content server group 6 having the access right from the user terminal 5 via the authentication access control system 1. .
【0045】ここで、コンテンツサーバ群6は、認証機
能を有するコンテンツサーバ7〜9と、認証機能を有さ
ないコンテンツサーバ10〜12とから構成されるもの
とする。Here, it is assumed that the content server group 6 is composed of content servers 7 to 9 having an authentication function and content servers 10 to 12 having no authentication function.
【0046】(A)認証機能を有するコンテンツサーバ
7〜9に最初にアクセスする場合の処理(先に中継する
パターン)
図2及び図3に、このときにおける処理の流れを示す。(A) Processing when first accessing the content servers 7 to 9 having the authentication function (pattern to relay first) FIGS. 2 and 3 show the flow of processing at this time.
【0047】利用者4が、コンテンツサーバ群6に対し
て、未認証の状態で、利用者端末5からコンテンツサー
バ7〜9のいずれか宛てのアクセス要求のパケットを送
信すると、ゲートウェイ装置3において、利用者端末5
を送信元とし、送信先を当該コンテンツサーバ(ここで
は仮にコンテンツサーバ7とする)とするパケットの通
過を許可するエントリが無いことから、利用者端末5か
らのパケットは認証アクセス制御サーバ2に転送され、
認証アクセス制御サーバ2を経由してコンテンツサーバ
7と通信コネクションを確立する(ステップ101)。When the user 4 sends an access request packet addressed to any of the content servers 7 to 9 from the user terminal 5 to the content server group 6 in an unauthenticated state, the gateway device 3 User terminal 5
The packet from the user terminal 5 is transferred to the authentication access control server 2 because there is no entry permitting the passage of the packet having the source as the source and the destination as the content server (here, the content server 7 is assumed). Is
A communication connection is established with the content server 7 via the authentication access control server 2 (step 101).
【0048】利用者端末5から、コンテンツサーバ7で
の認証が必要なコンテンツへのアクセスがあった場合
(ステップ102,103)、コンテンツサーバ7か
ら、認証に必要な情報(本実施形態例ではパスワードと
する)の送信が求められる(ステップ104)。When the user terminal 5 accesses the content that requires authentication in the content server 7 (steps 102 and 103), the content server 7 sends information necessary for authentication (password in this embodiment). Is transmitted (step 104).
【0049】認証アクセス制御サーバ2は、これを受け
て、利用者4のコンテンツサーバ群6に対する認証に必
要なパスワードの送信要求を利用者端末5に送信する
(ステップ105)。In response to this, the authentication access control server 2 transmits to the user terminal 5 a request for transmitting the password required for the user 4 to authenticate the content server group 6 (step 105).
【0050】認証アクセス制御サーバ2は、この送信要
求に応答して返信されてくるパスワードを受信すると、
利用者4のコンテンツサーバ群6に対する認証を行なっ
た(ステップ106)後、内部に持つ利用者4のコンテ
ンツサーバ7における認証に必要な情報を、代理でコン
テンツサーバ7に送信して(ステップ107)、コンテ
ンツサーバ7内で認証させるとともに、利用者端末5に
対して、利用者端末5のブラウザ上に常駐プログラム
(本実施形態例ではJava(登録商標) アプレットとす
る)を送信する(ステップ108)。When the authentication access control server 2 receives the password returned in response to this transmission request,
After the user 4 is authenticated to the content server group 6 (step 106), the information necessary for the authentication of the user 4 inside the content server 7 is transmitted to the content server 7 on behalf of the user (step 107). Authenticates in the content server 7, and sends a resident program (in this embodiment, a Java (registered trademark) applet in the present embodiment) to the user terminal 5 on the browser of the user terminal 5 (step 108). .
【0051】続いて、認証アクセス制御サーバ2は、ゲ
ートウェイ装置3に対して、利用者端末5を送信元と
し、コンテンツサーバ7を送信先とするパケットを通過
させるようにと、ファイアウォールエントリを設定(登
録)する(ステップ109)。Subsequently, the authentication access control server 2 sets a firewall entry to the gateway device 3 so as to pass a packet having the user terminal 5 as a transmission source and the content server 7 as a transmission destination. Registration) (step 109).
【0052】さらに、認証アクセス制御サーバ2は、ゲ
ートウェイ装置3に対して、利用者端末5を送信元と
し、認証機能を有さないコンテンツサーバ10〜12を
送信先とするパケットを通過させるようにと、ファイア
ウォールエントリを設定(登録)する(ステップ11
0)。Further, the authentication access control server 2 allows the gateway device 3 to pass a packet having the user terminal 5 as the transmission source and the content servers 10 to 12 having no authentication function as the transmission destination. And set (register) a firewall entry (step 11)
0).
【0053】ステップ102,103で送信したアクセ
ス要求の応答を利用者端末5に送信した(ステップ11
1,112)後、次回以降のコンテンツサーバ7、およ
びコンテンツサーバ10〜12宛ての利用者端末5から
のアクセス要求については、認証アクセス制御サーバ2
を経由せず、直接コンテンツサーバに到達するようにな
る(ステップ113,114)。The response to the access request transmitted in steps 102 and 103 is transmitted to the user terminal 5 (step 11
1, 112) and subsequent access requests from the content server 7 and the user terminal 5 addressed to the content servers 10 to 12, the authentication access control server 2
It directly reaches the content server without going through (steps 113 and 114).
【0054】次に、利用者4が利用者端末5からコンテ
ンツサーバ8or9宛てのアクセスを試みた場合、ゲート
ウェイ装置3において、利用者端末5を送信元とし、コ
ンテンツサーバ8or9を送信先とするパケットの通過を
許可するエントリは設定されていないため、当該パケッ
トは認証アクセス制御サーバ2に転送され、認証アクセ
ス制御サーバ2を経由して、当該コンテンツサーバ8or
9と通信コネクションを確立する(ステップ115)。Next, when the user 4 attempts an access from the user terminal 5 to the content server 8or9, the gateway device 3 transmits a packet having the user terminal 5 as the source and the content server 8or9 as the destination. Since the entry that allows passage is not set, the packet is transferred to the authentication access control server 2 and passes through the authentication access control server 2 to the content server 8or.
9 and a communication connection is established (step 115).
【0055】当該コンテンツサーバ8or9での認証が必
要なコンテンツへのアクセスがあった場合(ステップ1
16,117)は、当該コンテンツサーバ8or9からパ
スワードの送信が求められる(ステップ118)。When there is access to a content that requires authentication in the content server 8 or 9 (step 1)
16, 117) is requested to transmit a password from the content server 8 or 9 (step 118).
【0056】この場合、認証アクセス制御サーバ2は、
利用者端末5に対してパスワードの送信要求は行なわ
ず、認証アクセス制御サーバ2の内部に持つ利用者4の
当該コンテンツサーバ8or9用のパスワードを代理で当
該コンテンツサーバ8or9に送信して、当該コンテンツ
サーバ8or9内で認証させる(ステップ119)。In this case, the authentication access control server 2
The password transmission request is not issued to the user terminal 5, but the password for the content server 8or9 of the user 4 inside the authentication access control server 2 is transmitted to the content server 8or9 on behalf of the content server. Authentication is performed within 8 or 9 (step 119).
【0057】続いて、認証アクセス制御サーバ2は、ゲ
ートウェイ装置3に対して、利用者端末5を送信元と
し、当該コンテンツサーバ8or9を送信先とするパケッ
トを通過させるようにと、ファイアウォールエントリを
設定(登録)する(ステップ120)。Subsequently, the authentication access control server 2 sets a firewall entry for the gateway device 3 so that the packet having the user terminal 5 as the transmission source and the content server 8 or 9 as the transmission destination is passed. (Register) (step 120).
【0058】ステップ116,117で送信したアクセ
ス要求の応答を利用者端末5に送信した(ステップ12
1,122)後、次回以降の当該コンテンツサーバ8or
9宛ての利用者端末5からのアクセス要求は、認証アク
セス制御サーバ2を経由せず、直接コンテンツサーバ8
or9に到達するようになる(ステップ123,12
4)。The response to the access request transmitted in steps 116 and 117 is transmitted to the user terminal 5 (step 12
1, 122) and then the content server 8or
An access request from the user terminal 5 addressed to 9 does not go through the authentication access control server 2 and is directly sent to the content server 8
or9 will be reached (steps 123 and 12)
4).
【0059】次に、利用者4が利用者端末5からコンテ
ンツサーバ10〜12のいずれか宛てのアクセスを試み
た場合は、ゲートウェイ装置3において、パケットの通
過を許可するエントリが設定済みであるため、認証アク
セス制御サーバ2を経由せず、直接当該コンテンツサー
バ10〜12との間で通信コネクションを確立し(ステ
ップ125)、コンテンツへのアクセスが可能である
(ステップ126,127)。Next, when the user 4 attempts access from the user terminal 5 to any of the content servers 10 to 12, the entry allowing packet passage is already set in the gateway device 3. It is possible to access the content (steps 126 and 127) by directly establishing a communication connection with the content servers 10 to 12 without going through the authentication access control server 2 (step 125).
【0060】(B)認証機能を有するコンテンツサーバ
7〜9に最初にアクセスする場合の処理(先に認証する
パターン)
図4及び図5に、このときにおける処理の流れを示す。(B) Processing when first accessing the content servers 7 to 9 having an authentication function (pattern to be authenticated first) FIGS. 4 and 5 show the flow of processing at this time.
【0061】利用者4が、コンテンツサーバ群6に対し
て、未認証の状態で、利用者端末5からコンテンツサー
バ7〜9のいずれか宛てのアクセス要求のパケットを送
信すると、ゲートウェイ装置3において、利用者端末5
を送信元とし、送信先を当該コンテンツサーバ(ここで
は仮にコンテンツサーバ7とする)とするパケットの通
過を許可するエントリが無いことから、利用者端末5か
らのパケットは認証アクセス制御サーバ2に転送され、
認証アクセス制御サーバ2を経由してコンテンツサーバ
7と通信コネクションを確立する(ステップ201)。When the user 4 transmits an access request packet addressed to any of the content servers 7 to 9 from the user terminal 5 to the content server group 6 in an unauthenticated state, the gateway device 3 User terminal 5
The packet from the user terminal 5 is transferred to the authentication access control server 2 because there is no entry permitting the passage of the packet having the source as the source and the destination as the content server (here, the content server 7 is assumed). Is
A communication connection is established with the content server 7 via the authentication access control server 2 (step 201).
【0062】その後、認証アクセス制御サーバ2は、利
用者端末5からのコンテンツへのアクセス要求を受けて
(ステップ202)、利用者4のコンテンツサーバ群6
に対する認証に必要なパスワードの送信要求を利用者端
末5に送信する(ステップ203)。After that, the authentication access control server 2 receives the content access request from the user terminal 5 (step 202), and the content server group 6 of the user 4 is received.
A request for transmitting a password required for authentication is transmitted to the user terminal 5 (step 203).
【0063】認証アクセス制御サーバ2は、この送信要
求に応答して返信されてくるパスワードを受信すると、
利用者4のコンテンツサーバ群6に対する認証を行なっ
た(ステップ204)後、当初のコンテンツサーバ7宛
てのアクセス要求を利用者端末5の代理でコンテンツサ
ーバ7に送信して(ステップ205)、コンテンツサー
バ7内で認証させるとともに、利用者端末5に対して、
Java アプレットを送信する(ステップ206)。When the authentication access control server 2 receives the password returned in response to this transmission request,
After the user 4 authenticates the content server group 6 (step 204), the original access request addressed to the content server 7 is transmitted to the content server 7 on behalf of the user terminal 5 (step 205), and the content server is sent. In addition to authenticating within 7, the user terminal 5
Send the Java applet (step 206).
【0064】そして、ステップ202,205で送信し
たアクセス要求の応答を利用者端末5に送信する(ステ
ップ207,208)。Then, the response to the access request transmitted in steps 202 and 205 is transmitted to the user terminal 5 (steps 207 and 208).
【0065】その後、コンテンツサーバ7での認証が必
要なコンテンツへのアクセスがあった場合(ステップ2
09,210)には、コンテンツサーバ7からパスワー
ドの送信が求められる(ステップ211)。After that, when there is access to a content that requires authentication in the content server 7 (step 2)
09, 210), the content server 7 requests the transmission of the password (step 211).
【0066】この場合、認証アクセス制御サーバ2は、
内部に持つ利用者4のコンテンツサーバ7用のパスワー
ドを代理でコンテンツサーバ7に送信して、コンテンツ
サーバ7内で認証させる(ステップ212)。In this case, the authentication access control server 2
The password for the content server 7 of the user 4 held inside is transmitted to the content server 7 on behalf of the user to be authenticated in the content server 7 (step 212).
【0067】続いて、認証アクセス制御サーバ2は、ゲ
ートウェイ装置3に対して、利用者端末5を送信元と
し、コンテンツサーバ7を送信先とするパケットを通過
させるようにと、ファイアウォールエントリを設定(登
録)する(ステップ213)。Subsequently, the authentication access control server 2 sets the firewall entry to the gateway device 3 so that the packet having the user terminal 5 as the transmission source and the content server 7 as the transmission destination is passed. Registration) (step 213).
【0068】さらに、認証アクセス制御サーバ2は、ゲ
ートウェイ装置3に対して、利用者端末5を送信元と
し、認証機能を有さないコンテンツサーバ10〜12を
送信先とするパケットを通過させるようにと、ファイア
ウォールエントリを設定(登録)する(ステップ21
4)。Further, the authentication access control server 2 allows the gateway device 3 to pass the packet having the user terminal 5 as the transmission source and the content servers 10 to 12 having no authentication function as the transmission destination. And set (register) a firewall entry (step 21)
4).
【0069】ステップ209,210で送信したアクセ
ス要求の応答を利用者端末5に送信した(ステップ21
5,216)後、次回以降のコンテンツサーバ7、およ
びコンテンツサーバ10〜12宛ての利用者端末5から
のアクセス要求については、認証アクセス制御サーバ2
を経由せず、直接コンテンツサーバに到達するようにな
る(ステップ217、218)。The response to the access request transmitted in steps 209 and 210 is transmitted to the user terminal 5 (step 21
5, 216) and subsequent access requests from the content server 7 and the user terminal 5 addressed to the content servers 10 to 12, the authentication access control server 2
It directly reaches the content server without going through (steps 217 and 218).
【0070】なお、ステップ202のアクセス要求が、
コンテンツサーバ7での認証が必要なコンテンツへのア
クセス要求であった場合には、ステップ207〜210
までのステップは省略され、ステップ215,216で
のアクセス要求の応答は、ステップ202,205で送
信したアクセス要求の応答となる。The access request in step 202 is
If the request is an access to a content that requires authentication in the content server 7, steps 207 to 210
The steps up to are omitted, and the response to the access request in steps 215 and 216 is the response to the access request transmitted in steps 202 and 205.
【0071】次に、利用者4が利用者端末5からコンテ
ンツサーバ8or9宛てのアクセスを試みた場合、ゲート
ウェイ装置3において、利用者端末5を送信元とし、コ
ンテンツサーバ8or9を送信先とするパケットの通過を
許可するエントリは設定されていないため、当該パケッ
トは認証アクセス制御サーバ2に転送され、認証アクセ
ス制御サーバ2を経由して当該コンテンツサーバ8or9
と通信コネクションを確立する(ステップ219)。Next, when the user 4 attempts an access from the user terminal 5 to the content server 8or9, the gateway device 3 transmits a packet whose source is the user terminal 5 and whose destination is the content server 8or9. Since the entry permitting passage is not set, the packet is transferred to the authentication access control server 2, and the content server 8 or 9 passes through the authentication access control server 2.
And a communication connection is established (step 219).
【0072】当該コンテンツサーバ8or9での認証が必
要なコンテンツへのアクセスがあった場合(ステップ2
20,221)は、当該コンテンツサーバ8or9からパ
スワードの送信が求められる(ステップ222)。When there is access to a content that requires authentication in the content server 8 or 9 (step 2)
20, 221) is requested to transmit a password from the content server 8 or 9 (step 222).
【0073】この場合、認証アクセス制御サーバ2は、
利用者端末5に対してパスワードの送信要求は行なわ
ず、認証アクセス制御サーバ2の内部に持つ利用者4の
当該コンテンツサーバ8or9用のパスワードを代理で当
該コンテンツサーバ8or9に送信して、当該コンテンツ
サーバ8or9内で認証させる(ステップ223)。In this case, the authentication access control server 2
The password transmission request is not issued to the user terminal 5, but the password for the content server 8or9 of the user 4 inside the authentication access control server 2 is transmitted to the content server 8or9 on behalf of the content server. Authentication is performed within 8 or 9 (step 223).
【0074】続いて、認証アクセス制御サーバ2は、ゲ
ートウェイ装置3に対して、利用者端末5を送信元と
し、当該コンテンツサーバ8or9を送信先とするパケッ
トを通過させるようにと、ファイアウォールエントリを
設定(登録)する(ステップ224)。Subsequently, the authentication access control server 2 sets a firewall entry for the gateway device 3 so as to pass a packet having the user terminal 5 as a transmission source and the content server 8 or 9 as a transmission destination. (Register) (step 224).
【0075】ステップ220,221で送信したアクセ
ス要求の応答を利用者端末5に送信した(ステップ22
5,226)後、次回以降の当該コンテンツサーバ8or
9宛ての利用者端末5からのアクセス要求については、
認証アクセス制御サーバ2を経由せず、直接コンテンツ
サーバ8or9に到達するようになる(ステップ227,
228)。The response to the access request transmitted in steps 220 and 221 is transmitted to the user terminal 5 (step 22
5, 226), the content server 8or
Regarding the access request from the user terminal 5 addressed to 9,
The content server 8 or 9 is directly reached without passing through the authentication access control server 2 (step 227,
228).
【0076】次に、利用者4が利用者端末5からコンテ
ンツサーバ10〜12のいずれか宛てのアクセスを試み
た場合には、ゲートウェイ装置3において、パケットの
通過を許可するエントリは設定済みであるため、認証ア
クセス制御サーバ2を経由せず、直接当該コンテンツサ
ーバ10〜12との間で通信コネクションを確立し(ス
テップ229)、コンテンツへのアクセスが可能である
(ステップ230,231)。Next, when the user 4 attempts an access from the user terminal 5 to any of the content servers 10 to 12, the entry for permitting the passage of packets has already been set in the gateway device 3. Therefore, it is possible to directly establish a communication connection with the content servers 10 to 12 without going through the authentication access control server 2 (step 229) and access the content (steps 230 and 231).
【0077】(C)認証機能を有しないコンテンツサー
バ10〜12に最初にアクセスする場合の処理
図6及び図7に、このときにおける処理の流れを示す。(C) Processing when first accessing the content servers 10 to 12 that do not have the authentication function FIGS. 6 and 7 show the flow of processing at this time.
【0078】利用者4が、コンテンツサーバ群6に対し
て、未認証の状態で、利用者端末5から認証機能を有さ
ないコンテンツサーバ10〜12のいずれか宛てのアク
セス要求のパケットを送信すると、ゲートウェイ装置3
において、利用者端末5を送信元とし、送信先を当該コ
ンテンツサーバ(ここでは仮にコンテンツサーバ10と
する)とするパケットの通過を許可するエントリが無い
ことから、利用者端末5からのパケットは認証アクセス
制御サーバ2に転送され、認証アクセス制御サーバ2を
経由してコンテンツサーバ10と通信コネクションを確
立する(ステップ301)。When the user 4 sends to the content server group 6 an access request packet addressed to any of the content servers 10 to 12 that does not have the authentication function from the user terminal 5 in the unauthenticated state. , Gateway device 3
In the above, since there is no entry permitting passage of a packet having the user terminal 5 as the transmission source and the transmission destination as the content server (here, temporarily the content server 10), the packet from the user terminal 5 is authenticated. It is transferred to the access control server 2 and establishes a communication connection with the content server 10 via the authentication access control server 2 (step 301).
【0079】その後、認証アクセス制御サーバ2は、利
用者端末5からのコンテンツへのアクセス要求を受けて
(ステップ302)、利用者4のコンテンツサーバ群6
に対する認証に必要なパスワードの送信要求を利用者端
末5に送信する(ステップ303)。After that, the authentication access control server 2 receives the content access request from the user terminal 5 (step 302), and the content server group 6 of the user 4 is received.
A request for transmitting a password required for authentication is transmitted to the user terminal 5 (step 303).
【0080】認証アクセス制御サーバ2は、この送信要
求に応答して返信されてくるパスワードを受信すると、
利用者4のコンテンツサーバ群6に対する認証を行なっ
た(ステップ304)後、当初のコンテンツサーバ10
宛てのアクセス要求を利用者端末5の代理でコンテンツ
サーバ10に送信して(ステップ305)、利用者端末
5に対して、Java アプレットを送信する(ステップ3
06)。When the authentication access control server 2 receives the password returned in response to this transmission request,
After the user 4 is authenticated to the content server group 6 (step 304), the original content server 10
An access request addressed to the user terminal 5 is transmitted to the content server 10 on behalf of the user terminal 5 (step 305), and a Java applet is transmitted to the user terminal 5 (step 3).
06).
【0081】続いて、認証アクセス制御サーバ2は、ゲ
ートウェイ装置3に対して、利用者端末5を送信元と
し、コンテンツサーバ10〜12を送信先とするパケッ
トを通過させるようにと、ファイアウォールエントリを
設定(登録)する(ステップ307)。Subsequently, the authentication access control server 2 sets the firewall entry to the gateway device 3 so that the packet having the user terminal 5 as the transmission source and the content servers 10 to 12 as the transmission destination is passed. It is set (registered) (step 307).
【0082】そして、ステップ302,305で送信し
たアクセス要求の応答を利用者端末5に送信する(ステ
ップ308,309)。Then, the response to the access request transmitted in steps 302 and 305 is transmitted to the user terminal 5 (steps 308 and 309).
【0083】次回以降のコンテンツサーバ10〜12宛
ての利用者端末5からのアクセス要求については、認証
アクセス制御サーバ2を経由せず、直接コンテンツサー
バ10〜12に到達するようになる(ステップ310,
311)。Access requests from the user terminal 5 addressed to the content servers 10 to 12 on and after the next time directly reach the content servers 10 to 12 without passing through the authentication access control server 2 (step 310,
311).
【0084】次に、利用者4が利用者端末5からコンテ
ンツサーバ7〜9のいずれか宛てのアクセスを試みた場
合、ゲートウェイ装置3において、利用者端末5を送信
元とし、コンテンツサーバ7〜9を送信先とするパケッ
トの通過を許可するエントリは設定されていないため、
当該パケットは認証アクセス制御サーバ2に転送され、
認証アクセス制御サーバ2を経由して当該コンテンツサ
ーバと通信コネクションを確立する(ステップ31
2)。Next, when the user 4 attempts an access from the user terminal 5 to any of the content servers 7 to 9, the gateway device 3 uses the user terminal 5 as the transmission source and the content servers 7 to 9 are transmitted. Since there is no entry that allows the passage of packets destined to
The packet is transferred to the authentication access control server 2,
A communication connection is established with the content server via the authentication access control server 2 (step 31).
2).
【0085】当該コンテンツサーバ7〜9での認証が必
要なコンテンツへのアクセスがあった場合(ステップ3
13,314)には、当該コンテンツサーバ7〜9から
パスワードの送信が求められる(ステップ315)。When there is access to a content that requires authentication in the content server 7-9 (step 3)
13, 314) is requested to transmit the password from the content server 7-9 (step 315).
【0086】この場合、認証アクセス制御サーバ2は、
利用者端末5に対してパスワードの送信要求は行なわ
ず、認証アクセス制御サーバ2の内部に持つ利用者4の
当該コンテンツサーバ7〜9用のパスワードを代理で当
該コンテンツサーバ7〜9に送信して、当該コンテンツ
サーバ7〜9内で認証させる(ステップ316)。In this case, the authentication access control server 2
A password transmission request is not issued to the user terminal 5, but the password for the content server 7-9 of the user 4 held inside the authentication access control server 2 is transmitted to the content server 7-9 by proxy. , Authentication is performed in the content servers 7 to 9 (step 316).
【0087】続いて、認証アクセス制御サーバ2は、ゲ
ートウェイ装置3に対して、利用者端末5を送信元と
し、当該コンテンツサーバ7〜9を送信先とするパケッ
トを通過させるようにと、ファイアウォールエントリを
設定(登録)する(ステップ317)。Then, the authentication access control server 2 causes the gateway device 3 to pass the packet having the user terminal 5 as the transmission source and the content servers 7 to 9 as the transmission destination. Is set (registered) (step 317).
【0088】ステップ313,314で送信したアクセ
ス要求の応答を利用者端末5に送信した(ステップ31
8,319)後、次回以降の当該コンテンツサーバ7〜
9宛ての利用者端末5からのアクセス要求は、認証アク
セス制御サーバ2を経由せず、直接コンテンツサーバ7
〜9に到達するようになる(ステップ320,32
1)。The response to the access request transmitted in steps 313 and 314 is transmitted to the user terminal 5 (step 31
8, 319), and the content server 7 from the next time onward.
An access request from the user terminal 5 destined for 9 does not go through the authentication access control server 2 but directly to the content server 7
~ 9 is reached (steps 320, 32)
1).
【0089】次に、利用者4が利用者端末5からコンテ
ンツサーバ11or12宛てのアクセスを試みた場合に
は、ゲートウェイ装置3において、パケットの通過を許
可するエントリは設定済みであるため、認証アクセス制
御サーバ2を経由せず、直接当該コンテンツサーバ11
or12との間で通信コネクションを確立し(ステップ3
22)、コンテンツへのアクセスが可能である(ステッ
プ323,324)。Next, when the user 4 attempts an access from the user terminal 5 to the content server 11 or 12, the gateway device 3 has already set the entry for permitting the passage of the packet, so that the authentication access control is performed. The content server 11 directly without going through the server 2.
Establish communication connection with or12 (Step 3
22) and access to the content is possible (steps 323, 324).
【0090】(D)利用者のブラウザ終了による認証の
無効化処理
認証アクセス制御サーバ2は、利用者4のコンテンツサ
ーバ群6に対する認証を行なった後、利用者端末5に送
信した常駐プログラム(ここではJava アプレットとす
る)に対して一定時間毎に通信を行う。(D) Invalidation process of authentication due to termination of user's browser The authentication access control server 2 authenticates the content server group 6 of the user 4 and then sends the resident program (here) to the user terminal 5. Then, it is called Java applet) and communicates at regular intervals.
【0091】認証アクセス制御サーバ2は、利用者端末
5のJava アプレットからの応答がなくなった場合、利
用者4によるコンテンツサーバ閲覧が終了したものと判
断して、ゲートウェイ装置3に対して先に設定した、利
用者端末5を送信元としコンテンツサーバ群6に属する
コンテンツサーバを送信先とする通過許可エントリを全
て削除する。When the response from the Java applet of the user terminal 5 is lost, the authentication access control server 2 determines that the browsing of the content server by the user 4 has ended, and sets the gateway device 3 first. All the passage permission entries having the user terminal 5 as the transmission source and the content server belonging to the content server group 6 as the transmission destination are deleted.
【0092】これにより認証は無効化され、利用者端末
5からコンテンツサーバ群6に属するコンテンツサーバ
宛てのアクセス要求については、再び認証アクセス制御
サーバ2を経由して認証を求められることになる。As a result, the authentication is invalidated, and the access request from the user terminal 5 to the content server belonging to the content server group 6 is requested again through the authentication access control server 2.
【0093】(E)利用者のログアウト処理による認証
の無効化処理
利用者4のコンテンツサーバ群6に対する認証を行なっ
た後に利用者端末5に送信した常駐プログラム(ここで
はJava アプレット)を使って、図8に示すように、利
用者端末5上のブラウザに、認証の強制失効を指示する
ログアウトボタン20を表示させる。(E) Invalidation process of authentication by user logout process Using the resident program (here, Java applet) transmitted to the user terminal 5 after the user 4 is authenticated to the content server group 6, As shown in FIG. 8, the logout button 20 for instructing the forced expiration of the authentication is displayed on the browser on the user terminal 5.
【0094】このログアウトボタン20の表示を受け
て、利用者端末5は、利用者4がログアウトボタン20
をクリックすることを契機にして、認証アクセス制御サ
ーバ2に対して、認証の強制失効を指示するパケットを
送信する。In response to the display of the logout button 20, the user terminal 5 displays the logout button 20 by the user 4.
When the button is clicked, a packet instructing the forced expiration of the authentication is transmitted to the authentication access control server 2.
【0095】認証アクセス制御サーバ2は、そのパケッ
トを受信すると、ゲートウェイ装置3に対して先に設定
した、利用者端末5を送信元としコンテンツサーバ群6
に属するコンテンツサーバを送信先とする通過許可エン
トリを全て削除する。When the authentication access control server 2 receives the packet, the content server group 6 whose source is the user terminal 5 previously set for the gateway device 3 is set.
Delete all pass-through entries destined for the content server belonging to.
【0096】これにより認証は無効化され、利用者端末
5からコンテンツサーバ群6に属するコンテンツサーバ
宛てのアクセス要求については、再び認証アクセス制御
サーバ2を経由して認証を求められることになる。As a result, the authentication is invalidated, and the access request from the user terminal 5 to the content server belonging to the content server group 6 is requested again through the authentication access control server 2.
【0097】(F)通信タイムアウトによる認証の無効
化処理
ゲートウェイ装置3は、認証アクセス制御サーバ2から
設定されたパケット通過許可エントリの参照状況を監視
する。(F) Invalidation processing of authentication due to communication timeout The gateway device 3 monitors the reference status of the packet passage permission entry set by the authentication access control server 2.
【0098】ゲートウェイ装置3は、利用者端末5から
一定時間連続してコンテンツサーバ群6に属するコンテ
ンツサーバに対する通信が無かった場合、利用者端末5
を送信元とし当該コンテンツサーバを送信先とする通過
許可エントリを削除する。If there is no communication from the user terminal 5 to the content servers belonging to the content server group 6 for a certain period of time continuously, the gateway device 3 sends the user terminal 5
Delete the passage permission entry having the source as the source and the content server as the destination.
【0099】この結果、コンテンツサーバ群6に属する
全てのコンテンツサーバ宛てのエントリが削除された場
合には、認証は無効化され、利用者端末5からコンテン
ツサーバ群6に属するコンテンツサーバ宛てのアクセス
要求については、再び認証アクセス制御サーバ2を経由
して認証を求められることになる。As a result, when the entries for all the content servers belonging to the content server group 6 are deleted, the authentication is invalidated, and the access request from the user terminal 5 to the content server belonging to the content server group 6 is made. With respect to, the authentication will be requested again via the authentication access control server 2.
【0100】(G)認証後一定時間経過による認証の無
効化処理
認証アクセス制御サーバ2は、利用者4のコンテンツサ
ーバ群6に対する認証を行なった時刻を記録しておき、
一定時間が経過すると、ゲートウェイ装置3に対して先
に設定した、利用者端末5を送信元としコンテンツサー
バ群6に属するコンテンツサーバを送信先とする通過許
可エントリを全て削除する。(G) Invalidation processing of authentication after a lapse of a certain time after authentication The authentication access control server 2 records the time when the user 4 has authenticated the content server group 6,
When a certain period of time has elapsed, all the passage permission entries that are set in advance for the gateway device 3 and have the user terminal 5 as the transmission source and the content server belonging to the content server group 6 as the transmission destination are deleted.
【0101】これにより認証は無効化され、利用者端末
5からコンテンツサーバ群6に属するコンテンツサーバ
宛てのアクセス要求については、再び認証アクセス制御
サーバ2を経由して認証を求められることになる。As a result, the authentication is invalidated, and an access request from the user terminal 5 to the content server belonging to the content server group 6 is requested again through the authentication access control server 2.
【0102】図示実施形態例に従って本発明について説
明したが、本発明はこれに限定されるものではない。例
えば、実施形態例ではコンテンツサーバの認証を具体例
にして本発明を説明したが、本発明はコンテンツサーバ
以外のサーバの認証に対してもそのまま適用できるもの
である。Although the present invention has been described according to the illustrated embodiment, the present invention is not limited to this. For example, in the embodiment, the present invention has been described by taking the authentication of the content server as a specific example, but the present invention can be directly applied to the authentication of servers other than the content server.
【0103】[0103]
【発明の効果】以上のように本発明によれば、コンテン
ツサーバへのシングルサインオンを実現する認証アクセ
ス制御システムにおいて、認証アクセス制御サーバへの
負荷の集中を回避することで、認証アクセス制御サーバ
の処理性能や網リソースの限界に伴うスループットの低
下を回避することが可能になるとともに、未認証のアク
セス要求が直接コンテンツサーバに届くことを防止する
ことでセキュリティ強度の高いシステムが実現できる、
という効果が得られる。As described above, according to the present invention, in the authentication access control system for realizing the single sign-on to the content server, by avoiding the concentration of the load on the authentication access control server, the authentication access control server It is possible to avoid a decrease in throughput due to the limitation of processing performance and network resources, and it is possible to realize a system with high security strength by preventing unauthenticated access requests from directly reaching the content server.
The effect is obtained.
【図1】本発明を実現するシステム構成の一実施形態例
である。FIG. 1 is an embodiment of a system configuration for implementing the present invention.
【図2】実施形態例における処理の流れである。FIG. 2 is a flow of processing in the embodiment.
【図3】実施形態例における処理の流れである。FIG. 3 is a flow of processing in the embodiment.
【図4】実施形態例における処理の流れである。FIG. 4 is a flow of processing in the embodiment.
【図5】実施形態例における処理の流れである。FIG. 5 is a flow of processing in the embodiment.
【図6】実施形態例における処理の流れである。FIG. 6 is a flow of processing in the embodiment.
【図7】実施形態例における処理の流れである。FIG. 7 is a flow of processing in the embodiment.
【図8】ブラウザの説明図である。FIG. 8 is an explanatory diagram of a browser.
【図9】リバース・プロキシ型のシングルサインオンの
説明図である。FIG. 9 is an explanatory diagram of a reverse proxy type single sign-on.
【図10】エージェント・モジュール型のシングルサイ
ンオンの説明図である。FIG. 10 is an explanatory diagram of agent module type single sign-on.
1 認証アクセス制御システム 2 認証アクセス制御サーバ 3 ゲートウェイ装置 4 利用者 5 利用者端末 6 コンテンツサーバ群 7〜12 コンテンツサーバ 1 Authentication access control system 2 Authentication access control server 3 Gateway device 4 users 5 user terminals 6 Content server group 7-12 Content Server
─────────────────────────────────────────────────────
─────────────────────────────────────────────────── ───
【手続補正書】[Procedure amendment]
【提出日】平成14年3月27日(2002.3.2
7)[Submission date] March 27, 2002 (2002.3.2)
7)
【手続補正1】[Procedure Amendment 1]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】特許請求の範囲[Name of item to be amended] Claims
【補正方法】変更[Correction method] Change
【補正内容】[Correction content]
【特許請求の範囲】[Claims]
【手続補正2】[Procedure Amendment 2]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0015[Name of item to be corrected] 0015
【補正方法】変更[Correction method] Change
【補正内容】[Correction content]
【0015】[0015]
【課題を解決するための手段】この目的を達成するため
に、本発明の認証アクセス制御サーバ装置は、認証アク
セス制御サーバ装置とゲートウェイ装置とで構成され
て、利用者端末から発行されるサーバへのアクセス要求
を認証するシステムで用いられるときにあって、ゲー
トウェイ装置にサーバへのアクセス要求の許可が設定さ
れていないことで、そのアクセス要求が転送されてくる
場合に、それを受け取る手段と、アクセス要求先サー
バで構成されるサーバ群の認証に必要な情報を、利用者
端末からサーバ群への初回のアクセス要求の場合にのみ
取得する手段と、サーバ群について、取得した認証に
必要な情報を使って認証を実行して、認証機能を持たな
いサーバについて認証を得る手段と、認証機能を持つ
サーバに対して、そのサーバの認証に必要な情報を指定
して認証を依頼することで認証を得る手段と、認証を
得たサーバへのアクセス要求の許可を示すエントリ情報
をゲートウェイ装置に設定する手段と、規定の状態に
なる場合に、ゲートウェイ装置に設定したエントリ情報
を無効化する手段とを備えるように構成する。In order to achieve this object, the authentication access control server device of the present invention comprises an authentication access control server device and a gateway device.
Te, In the case used in a system for authenticating an access request to the server that is issued from a Subscriber terminal, that access permission request to the server is not set to the gateway device, the access request When a request is transferred, the method of receiving it and the access request destination server
The information required for authentication of the server group consisting of Ba, and a means for obtaining only in the case of the first round of a request for access to a Subscriber terminal or server from a group, attached to the server group, necessary for the acquired authentication by running the authentication by using the information, Do not have the authentication function
And hand position attainable About have server authentication, and to the server with an authentication function, and the hand position attainable authentication by requesting authentication by specifying the information required for authentication of the server, the server to obtain a certificate Information indicating permission of access request to
To the gateway device and the entry information set in the gateway device when the specified state is reached
And a means for invalidating.
【手続補正3】[Procedure 3]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0017[Correction target item name] 0017
【補正方法】変更[Correction method] Change
【補正内容】[Correction content]
【0017】一方、この目的を達成するために、本発明
のゲートウェイ装置は、認証アクセス制御サーバ装置と
ゲートウェイ装置とで構成されて、利用者端末から発行
されるサーバへのアクセス要求を認証するシステムで用
いられるときにあって、認証アクセス制御サーバ装置
から設定されるサーバへのアクセス要求を許可すること
を示すエントリ情報を管理する手段と、利用者端末の
発行するサーバへのアクセス要求に対応するエントリ情
報が設定されていない場合に、そのアクセス要求を認証
アクセス制御サーバ装置に転送する手段と、アクセス
要求の転送に応答して、認証アクセス制御サーバ装置か
らエントリ情報の設定指示がある場合に、そのエントリ
情報を上記管理手段に設定する手段と、認証アクセス
制御サーバ装置からの無効化指示に応答して、指定され
る設定エントリ情報を無効化する手段と、設定したエ
ントリ情報が一定時間参照されない場合に、そのエント
リ情報を無効化する手段とを備えるように構成する。Meanwhile, in order to achieve this object, the gateway apparatus of the present invention, is composed of an authentication access control server and the gateway device, authenticating access requests to the server that issued from a Subscriber terminal in the case for use in a system for, allowing access request to the authentication access control server Ru is set from the server
And means for managing entry information indicating the user ends the end of the
Entry information that corresponds to the access request to the server to be issued
If the broadcast is not set, means for transferring the access request to the authentication access control server, in response to a transfer of the access request, whether the authentication access control server
If there is a setting instruction of Luo entry information, its entry
Means for setting the information to the management unit, in response to the invalidation instruction from the authentication access control server, is designated
And means for disabling the setting entry information that, a picture that you set
If the entry information is not referenced a certain period of time, its the entry
And a means for invalidating the information .
【手続補正4】[Procedure amendment 4]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0020[Correction target item name] 0020
【補正方法】変更[Correction method] Change
【補正内容】[Correction content]
【0020】このように構成される本発明の認証システ
ムでは、利用者端末からサーバへ最初のアクセス要求が
発行されると、そのサーバにかかるエントリ情報(その
サーバへのアクセス要求の許可を示す情報)がゲートウ
ェイ装置に設定されていないので、そのアクセス要求が
認証アクセス制御サーバ装置に転送され、これを受け
て、認証アクセス制御サーバ装置は、その利用者端末か
らサーバ群の認証に必要な情報を取得する。[0020] In the authentication system of the present invention thus constituted, when the uppermost first access request to the user terminal or server from is issued, entry information (that according to that server
(Information indicating permission of access request to server) is not set in the gateway device, the access request is transferred to the authentication access control server device, and in response to this, the authentication access control server device Acquires the information necessary for authenticating the server group from the user terminal.
【手続補正5】[Procedure Amendment 5]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0021[Correction target item name] 0021
【補正方法】変更[Correction method] Change
【補正内容】[Correction content]
【0021】続いて、認証アクセス制御サーバ装置は、
この取得した認証に必要な情報を使ってサーバ群につい
て認証を実行し、これにより、認証機能を持たない全て
のサーバについて認証を得て、ゲートウェイ装置に対し
て、それらのサーバへのアクセス要求の許可を示す全て
のエントリ情報を設定する。これ以降、エントリ情報が
設定されていることで、認証機能を持たないサーバへの
アクセス要求(サーバ群についての認証を行った利用者
からのアクセス要求)については、ゲートウェイ装置か
ら転送されてくることはなくなる。認証アクセス制御サ
ーバ装置は、この初回のアクセス要求が認証機能を持た
ないサーバへのアクセス要求である場合には、このエン
トリ情報の設定により、この初回アクセス要求における
ゲートウェイ装置に対してのエントリ情報の設定を終了
する。 [0021] Subsequently, the authentication access control server device,
Use the information required for authentication to acquire the servers
Te perform authentication, by this, to obtain the authentication for all of the server that does not have the authentication function, to the gateway device
All showing access permission to those servers
Set the entry information for . This and later, when the entry information is <br/> set, authentication does not have the access request to the server (user authentication was performed on servers
Access request) from the gateway device will not be transferred. Authentication access control service
The server device has the authentication function for this first access request.
If the request is for a server that does not
By setting the bird information, in this initial access request
Finished setting the entry information for the gateway device
To do.
【手続補正6】[Procedure correction 6]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0022[Name of item to be corrected] 0022
【補正方法】変更[Correction method] Change
【補正内容】[Correction content]
【0022】一方、認証アクセス制御サーバ装置は、こ
の初回のアクセス要求が認証機能を持つサーバへのアク
セス要求である場合には、サーバ群についての認証が得
られると、そのサーバからの要求に応答して、そのサー
バの認証に必要な情報(認証アクセス制御サーバ装置の
内部で保持している)を指定して、そのサーバに対して
認証依頼を行うことでそのサーバについて認証を得て、
ゲートウェイ装置にエントリ情報を設定する。これ以
降、エントリ情報が設定されていることで、その認証機
能を持つサーバへのアクセス要求(サーバについての認
証を行った利用者からのアクセス要求)については、ゲ
ートウェイ装置から転送されてくることはなくなる。On the other hand, when the first access request is an access request to a server having an authentication function, the authentication access control server device obtains the authentication for the server group.
And it is, in response to a request from the server of its, the server
Information required for authentication of the server (authentication access control server device
Specify held internally are), to obtain authentication for the server by performing the authentication request to the server,
Setting the entry information to the gateway device. After this
Descending, that entry information is set, certified for access requests (server to server with the authentication function
Access request) information about from the user performing the testimony, that is not transferred from the gateway device.
【手続補正7】[Procedure Amendment 7]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0023[Name of item to be corrected] 0023
【補正方法】変更[Correction method] Change
【補正内容】[Correction content]
【0023】そして、認証アクセス制御サーバ装置は、
初回のアクセス要求の後に発行されるアクセス要求に従
って、認証機能を持つ別のサーバへのアクセス要求が転
送されてくる場合には、サーバ群についての認証は既に
終了しているので、そのサーバからの要求に応答して、
そのサーバの認証に必要な情報(認証アクセス制御サー
バ装置の内部で保持している)を指定して、そのサーバ
に対して認証依頼を行うことでそのサーバについて認証
を得て、ゲートウェイ装置にエントリ情報を設定する。
これ以降、エントリ情報が設定されていることで、その
認証機能を持つサーバへのアクセス要求(サーバについ
ての認証を行った利用者からのアクセス要求)について
は、ゲートウェイ装置から転送されてくることはなくな
る。[0023] And, the authentication access control server,
The first times of the slave to the access request to be issued after access request
The access request to another server that has an authentication function.
If it is sent, the authentication for the servers is already
Since it has finished, in response to the request from that server,
Information required to authenticate the server (authentication access control server
(Hold inside the device) and specify that server
Authentication for the server by requesting authentication to
It was obtained, and sets the entry information to the gateway device.
This and later, the entry information that is set, information on the access request (the server to the server with the authentication function
The access request from the authenticated user) will not be transferred from the gateway device.
【手続補正8】[Procedure Amendment 8]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0024[Name of item to be corrected] 0024
【補正方法】変更[Correction method] Change
【補正内容】[Correction content]
【0024】このような形でゲートウェイ装置にエント
リ情報を設定していくことで、アクセス要求が認証アク
セス制御サーバ装置に転送されなくなってくるが、利用
者端末とサーバとの接続関係をそのまま放置しておくこ
とはセキュリティ上好ましいことではない。In this way, the gateway device is
Although the access request is not transferred to the authentication access control server device by setting the re-information, it is not preferable for security to leave the connection relationship between the user terminal and the server as it is.
【手続補正9】[Procedure Amendment 9]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0025[Name of item to be corrected] 0025
【補正方法】変更[Correction method] Change
【補正内容】[Correction content]
【0025】そこで、認証アクセス制御サーバ装置は、
利用者端末にプログラムを送信するようにして、その
プログラムからの応答が一定時間なくなる場合に、ゲー
トウェイ装置に設定したその利用者端末にかかる全ての
エントリ情報を無効化するようにしたり、利用者端末
にプログラムを送信するようにして、そのプログラムか
ら認証の無効化指示が発行される場合に、ゲートウェイ
装置に設定したその利用者端末にかかる全てのエントリ
情報を無効化するようにしたり、 利用者端末からのア
クセス要求に応答して設定したエントリ情報についての
認証(認証してエントリ情報を設定する)から一定時間
経過する場合に、ゲートウェイ装置に設定したその利用
者端末にかかる全てのエントリ情報を無効化するように
処理する。Therefore, the authentication access control server device
By sending the program to the user terminal,
If there is no response from the program for a certain period of time,
Everything that happens to the user terminal set on the toway deviceof
Entry informationTo disable it,User terminal
To send the program toProgram of
If a certificate invalidation instruction is issued from the gateway,
Everything that happens to the user terminal set in the deviceEntry
informationTo disable it, From the user terminal
Access request and setTo the entry informationAbout
Certification (certifiedThe entry informationFrom setting) for a certain time
When the time elapses, its use set in the gateway device
All over the device terminalThe entry information ofTo disable
To process.
【手続補正10】[Procedure Amendment 10]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0026[Correction target item name] 0026
【補正方法】変更[Correction method] Change
【補正内容】[Correction content]
【0026】一方、ゲートウェイ装置は、認証アクセス
制御サーバ装置から設定されるサーバへのアクセス要求
を許可することを示すエントリ情報を管理して、利用者
端末の発行するサーバへのアクセス要求に対応するエン
トリ情報が設定されていない場合に、そのアクセス要求
を認証アクセス制御サーバ装置に転送していく構成を採
るときに、認証アクセス制御サーバ装置からの無効化指
示に応答してエントリ情報を無効化するとともに、設定
したエントリ情報が一定時間参照されない場合に、その
エントリ情報を無効化するように処理する。On the other hand, the gateway device, an access request to the server to be set authenticated access control server or al
The user manages the entry information indicating that the
Encoding corresponding to the access request to the server issued by the terminal
Access request if the bird information is not set
Is adopted to transfer to the authentication access control server device.
The Rutoki, authenticated access Disabling the entry information in response to invalidation command from the control server to Rutotomoni, set
If the entry information is not referenced a certain period of time, its of
Process to invalidate the entry information .
フロントページの続き (72)発明者 川田 隆夫 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 石井 啓之 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 首藤 晃一 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5B085 AA08 AE02 AE23 BA07 BC01 BG02 BG07 5K030 GA11 HA08 HB29 HC13 HD03 LB05 5K033 AA08 CB01 DA05 DB16 (54)【発明の名称】 認証アクセス制御サーバ装置と、ゲートウェイ装置と、認証アクセス制御方法と、ゲートウェイ 制御方法と、認証アクセス制御プログラム及びそのプログラムを記録した記録媒体と、ゲートウ ェイ制御プログラム及びそのプログラムを記録した記録媒体Continued front page (72) Inventor Takao Kawada 2-3-1, Otemachi, Chiyoda-ku, Tokyo Inside Telegraph and Telephone Corporation (72) Inventor Hiroyuki Ishii 2-3-1, Otemachi, Chiyoda-ku, Tokyo Inside Telegraph and Telephone Corporation (72) Inventor Koichi Suto 2-3-1, Otemachi, Chiyoda-ku, Tokyo Inside Telegraph and Telephone Corporation F term (reference) 5B085 AA08 AE02 AE23 BA07 BC01 BG02 BG07 5K030 GA11 HA08 HB29 HC13 HD03 LB05 5K033 AA08 CB01 DA05 DB16 (54) [Title of Invention] Authentication access control server device, gateway device, authentication access control method, and gateway Control method, authentication access control program, recording medium recording the program, and gateway Control program and recording medium recording the program
Claims (19)
ェイ装置とで構成されて、通信網に接続された利用者端
末から発行されるサーバ群へのアクセス要求を認証する
システムで用いられる認証アクセス制御サーバ装置であ
って、 上記ゲートウェイ装置にパスが設定されていないこと
で、アクセス要求が転送されてくる場合に、そのアクセ
ス要求を受け取る手段と、 利用者端末から、認証に必要な情報を初回のアクセス要
求の場合にのみ取得する手段と、 認証機能を持たないサーバについて、上記認証に必要な
情報を使って認証を実行する手段と、 認証機能を持つサーバに対して、上記認証に必要な情報
を指定して認証を依頼する手段と、 上記認証を得たサーバへのパスを上記ゲートウェイ装置
に設定する手段とを備えることを、 特徴とする認証アクセス制御サーバ装置。1. An authentication access control server device for use in a system configured by an authentication access control server device and a gateway device for authenticating an access request to a server group issued from a user terminal connected to a communication network. However, when the access request is transferred because the path is not set in the gateway device, the information required for authentication is provided from the means for receiving the access request and the user terminal for the first time. In the case of the above, for the server that does not have the authentication function, specify the information required for the above authentication for the server that does not have the authentication function and the method that performs the authentication by using the information required for the above authentication. And means for requesting authentication, and means for setting a path to the server that has been authenticated in the gateway device. Authentication access control server device.
装置において、 上記認証を実行する手段は、初回のアクセス要求の場合
に、認証機能を持たない全てのサーバについての認証を
実行することを、 特徴とする認証アクセス制御サーバ装置。2. The authentication access control server device according to claim 1, wherein the means for executing the authentication executes authentication for all servers having no authentication function in the case of an initial access request, A characteristic authentication access control server device.
装置において、 上記認証を依頼する手段は、認証機能を持つサーバへの
アクセス要求を受け取る場合に、その認証機能を持つサ
ーバに対して認証を依頼することを、 特徴とする認証アクセス制御サーバ装置。3. The authentication access control server device according to claim 1, wherein the means for requesting authentication authenticates the server having the authentication function when receiving an access request to the server having the authentication function. An authentication access control server device characterized by making a request.
の認証アクセス制御サーバ装置において、 規定の状態になる場合に、上記ゲートウェイ装置に設定
したパスを無効化する手段を備えることを、 特徴とする認証アクセス制御サーバ装置。4. The authentication access control server device according to any one of claims 1 to 3, further comprising means for invalidating a path set in the gateway device when a prescribed state is reached, A characteristic authentication access control server device.
装置において、 上記無効化する手段は、利用者端末に送信したプログラ
ムからの応答が一定時間なくなる場合に、上記ゲートウ
ェイ装置に設定した該利用者端末にかかる全てのパスを
無効化することを、 特徴とする認証アクセス制御サーバ装置。5. The authentication access control server device according to claim 4, wherein the invalidating unit sets the user set in the gateway device when the response from the program sent to the user terminal is lost for a certain period of time. An authentication access control server device characterized by invalidating all paths applied to a terminal.
装置において、 上記無効化する手段は、利用者端末に送信したプログラ
ムから認証の無効化指示が発行される場合に、上記ゲー
トウェイ装置に設定した該利用者端末にかかる全てのパ
スを無効化することを、 特徴とする認証アクセス制御サーバ装置。6. The authentication access control server device according to claim 4, wherein the invalidation unit is set in the gateway device when an authentication invalidation instruction is issued from a program transmitted to a user terminal. An authentication access control server device characterized by invalidating all paths applied to the user terminal.
装置において、 上記無効化する手段は、利用者端末からのアクセス要求
に応答して上記ゲートウェイ装置へ設定したパスについ
ての認証から一定時間経過する場合に、上記ゲートウェ
イ装置に設定した該利用者端末にかかる全てのパスを無
効化することを、 特徴とする認証アクセス制御サーバ装置。7. The authentication access control server device according to claim 4, wherein the invalidating unit lapses a certain time after authentication of a path set to the gateway device in response to an access request from a user terminal. In this case, the authentication access control server device is characterized in that all the paths related to the user terminal set in the gateway device are invalidated.
ェイ装置とで構成されて、通信網に接続された利用者端
末から発行されるサーバ群へのアクセス要求を認証する
システムで用いられるゲートウェイ装置であって、 上記認証アクセス制御サーバ装置から設定されるパスを
管理する手段と、 利用者端末からのアクセス要求に対応するパスが設定さ
れていない場合に、そのアクセス要求を上記認証アクセ
ス制御サーバ装置に転送する手段と、 上記転送に応答して、上記認証アクセス制御サーバ装置
からパスの設定指示がある場合に、そのパスを設定する
手段とを備えることを、 特徴とするゲートウェイ装置。8. A gateway device used in a system, which comprises an authentication access control server device and a gateway device, and which authenticates an access request to a server group issued from a user terminal connected to a communication network. , Means for managing a path set from the authentication access control server device, and when the path corresponding to the access request from the user terminal is not set, the access request is transferred to the authentication access control server device A gateway device comprising: a means and a means for setting a path in response to the transfer when there is a path setting instruction from the authentication access control server device.
て、 上記認証アクセス制御サーバ装置からの無効化指示に応
答して、指定される利用者端末にかかる全ての設定パス
を無効化する手段を備えることを、 特徴とするゲートウェイ装置。9. The gateway device according to claim 8, further comprising means for invalidating all the setting paths related to the designated user terminal in response to the invalidation instruction from the authentication access control server device. A gateway device characterized by:
置において、 設定パスが一定時間参照されない場合に、そのパスを無
効化する手段を備えることを、 特徴とするゲートウェイ装置。10. The gateway device according to claim 8, further comprising means for invalidating a set path when the set path is not referred to for a certain period of time.
ウェイ装置とで構成されて、通信網に接続された利用者
端末から発行されるサーバ群へのアクセス要求を認証す
るシステムで用いられる認証アクセス制御サーバ装置で
実行する認証アクセス制御方法であって、 上記ゲートウェイ装置にパスが設定されていないこと
で、アクセス要求が転送されてくる場合に、そのアクセ
ス要求を受け取る過程と、 利用者端末から、認証に必要な情報を初回のアクセス要
求の場合にのみ取得する過程と、 認証機能を持たないサーバについて、上記認証に必要な
情報を使って認証を実行する過程と、 認証機能を持つサーバに対して、上記認証に必要な情報
を指定して認証を依頼する過程と、 上記認証を得たサーバへのパスを上記ゲートウェイ装置
に設定する過程とを備えることを、 特徴とする認証アクセス制御方法。11. An authentication access control server device used in a system configured by an authentication access control server device and a gateway device for authenticating an access request to a server group issued from a user terminal connected to a communication network. Authentication access control method to be executed by the above, when the access request is transferred because the path is not set in the gateway device, the process of receiving the access request and the authentication from the user terminal are required. The process of obtaining such information only in the case of the first access request, the process of performing the authentication using the information required for the above authentication for the server that does not have the authentication function, and the above process for the server having the authentication function. Specify the information required for authentication and request authentication, and set the path to the server that has obtained the above authentication in the above gateway device. Further comprising a step, the authentication access control method according to claim.
法において、 上記認証を実行する過程では、初回のアクセス要求の場
合に、認証機能を持たない全てのサーバについての認証
を実行することを、 特徴とする認証アクセス制御方法。12. The authentication access control method according to claim 11, wherein in the process of executing the authentication, authentication is executed for all servers having no authentication function in the case of an initial access request. Authentication access control method.
法において、 上記認証を依頼する過程では、認証機能を持つサーバへ
のアクセス要求を受け取る場合に、その認証機能を持つ
サーバに対して認証を依頼することを、 特徴とする認証アクセス制御方法。13. The authentication access control method according to claim 11, wherein in the process of requesting authentication, when an access request to a server having an authentication function is received, the server having the authentication function is requested to perform authentication. An authentication access control method characterized by:
に記載の認証アクセス制御方法において、 規定の状態になる場合に、上記ゲートウェイ装置に設定
したパスを無効化する過程を備えることを、 特徴とする認証アクセス制御方法。14. The authentication access control method according to claim 11, further comprising a step of invalidating a path set in the gateway device when a prescribed state is reached. Authentication access control method.
ウェイ装置とで構成されて、通信網に接続された利用者
端末から発行されるサーバ群へのアクセス要求を認証す
るシステムで用いられるゲートウェイ装置で実行するゲ
ートウェイ制御方法であって、 利用者端末からのアクセス要求に対応するパスが設定さ
れていない場合に、そのアクセス要求を上記認証アクセ
ス制御サーバ装置に転送する過程と、 上記転送に応答して、上記認証アクセス制御サーバ装置
からパスの設定指示がある場合に、上記認証アクセス制
御サーバ装置から設定されるパスを管理する手段に、そ
の設定指示のパスを設定する過程とを備えることを、 特徴とするゲートウェイ制御方法。15. An authentication access control server device and a gateway device, which are executed by a gateway device used in a system for authenticating an access request to a server group issued from a user terminal connected to a communication network. In the gateway control method, when the path corresponding to the access request from the user terminal is not set, the process of transferring the access request to the authentication access control server device, and the step of responding to the transfer, When there is a path setting instruction from the authentication access control server device, means for managing the path set from the authentication access control server device is provided with a step of setting the path of the setting instruction. Gateway control method.
に記載の認証アクセス制御方法の実現に用いられる処理
をコンピュータに実行させるための認証アクセス制御プ
ログラム。16. An authentication access control program for causing a computer to execute a process used for realizing the authentication access control method according to claim 11. Description:
に記載の認証アクセス制御方法の実現に用いられる処理
をコンピュータに実行させるためのプログラムを記録し
た認証アクセス制御プログラムの記録媒体。17. A recording medium of an authentication access control program, which records a program for causing a computer to execute the process used for realizing the authentication access control method according to claim 11.
法の実現に用いられる処理をコンピュータに実行させる
ためのゲートウェイ制御プログラム。18. A gateway control program for causing a computer to execute the process used to implement the gateway control method according to claim 15.
法の実現に用いられる処理をコンピュータに実行させる
ためのプログラムを記録したゲートウェイ制御プログラ
ムの記録媒体。19. A recording medium of a gateway control program, which records a program for causing a computer to execute the process used to implement the gateway control method according to claim 15.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002037586A JP3863441B2 (en) | 2002-02-15 | 2002-02-15 | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002037586A JP3863441B2 (en) | 2002-02-15 | 2002-02-15 | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003242109A true JP2003242109A (en) | 2003-08-29 |
| JP3863441B2 JP3863441B2 (en) | 2006-12-27 |
Family
ID=27779129
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002037586A Expired - Fee Related JP3863441B2 (en) | 2002-02-15 | 2002-02-15 | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3863441B2 (en) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006054720A (en) * | 2004-08-12 | 2006-02-23 | Nakayo Telecommun Inc | Firewall, foreign agent, home agent, mobile terminal, and communication method |
| WO2006065029A1 (en) * | 2004-12-14 | 2006-06-22 | Onsoftel. Co., Ltd. | Security service method of data |
| JP2007005847A (en) * | 2005-06-21 | 2007-01-11 | Alaxala Networks Corp | Data transmission control in network |
| JP2007523401A (en) * | 2003-12-31 | 2007-08-16 | アプライド アイデンティティー | Method and apparatus for verifying that the originator of a computer transaction is the principal |
| JP2007328419A (en) * | 2006-06-06 | 2007-12-20 | Fuji Xerox Co Ltd | Control program and communication system |
| JP2010238060A (en) * | 2009-03-31 | 2010-10-21 | Nec Corp | Authentication system, relay server, and authentication program for relay server |
| JP2011175394A (en) * | 2010-02-24 | 2011-09-08 | Fujifilm Corp | Web server constituting single sign-on system, method of controlling operation of the same, and program for controlling operation of the same |
| JP2012203719A (en) * | 2011-03-25 | 2012-10-22 | Fuji Xerox Co Ltd | Information processing device, program, and information processing system |
| JP2016072712A (en) * | 2014-09-29 | 2016-05-09 | 株式会社シーイーシー | Access limitation method, distribution system, and reverse proxy server |
| JP2016099865A (en) * | 2014-11-25 | 2016-05-30 | 日立電線ネットワークス株式会社 | Communication system |
| JP2016110300A (en) * | 2014-12-03 | 2016-06-20 | 日立電線ネットワークス株式会社 | Authentication system |
| CN105721489A (en) * | 2016-03-16 | 2016-06-29 | 四川长虹电器股份有限公司 | Authentication method and system of IPs in IP white list based on digital certificates |
-
2002
- 2002-02-15 JP JP2002037586A patent/JP3863441B2/en not_active Expired - Fee Related
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007523401A (en) * | 2003-12-31 | 2007-08-16 | アプライド アイデンティティー | Method and apparatus for verifying that the originator of a computer transaction is the principal |
| JP2006054720A (en) * | 2004-08-12 | 2006-02-23 | Nakayo Telecommun Inc | Firewall, foreign agent, home agent, mobile terminal, and communication method |
| WO2006065029A1 (en) * | 2004-12-14 | 2006-06-22 | Onsoftel. Co., Ltd. | Security service method of data |
| US8201221B2 (en) | 2005-06-21 | 2012-06-12 | Alaxala Networks Corporation | Data transmission control on network |
| JP2007005847A (en) * | 2005-06-21 | 2007-01-11 | Alaxala Networks Corp | Data transmission control in network |
| JP2007328419A (en) * | 2006-06-06 | 2007-12-20 | Fuji Xerox Co Ltd | Control program and communication system |
| US8056125B2 (en) | 2006-06-06 | 2011-11-08 | Fuji Xerox Co., Ltd. | Recording medium storing control program and communication system |
| JP2010238060A (en) * | 2009-03-31 | 2010-10-21 | Nec Corp | Authentication system, relay server, and authentication program for relay server |
| JP2011175394A (en) * | 2010-02-24 | 2011-09-08 | Fujifilm Corp | Web server constituting single sign-on system, method of controlling operation of the same, and program for controlling operation of the same |
| JP2012203719A (en) * | 2011-03-25 | 2012-10-22 | Fuji Xerox Co Ltd | Information processing device, program, and information processing system |
| JP2016072712A (en) * | 2014-09-29 | 2016-05-09 | 株式会社シーイーシー | Access limitation method, distribution system, and reverse proxy server |
| JP2016099865A (en) * | 2014-11-25 | 2016-05-30 | 日立電線ネットワークス株式会社 | Communication system |
| JP2016110300A (en) * | 2014-12-03 | 2016-06-20 | 日立電線ネットワークス株式会社 | Authentication system |
| CN105721489A (en) * | 2016-03-16 | 2016-06-29 | 四川长虹电器股份有限公司 | Authentication method and system of IPs in IP white list based on digital certificates |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3863441B2 (en) | 2006-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9413762B2 (en) | Asynchronous user permission model for applications | |
| JP5357246B2 (en) | System, method and program product for integrated authentication | |
| JP3526435B2 (en) | Network system | |
| US20140006562A1 (en) | Information processing apparatus, information processing method, computer program, and information communication system | |
| US8627493B1 (en) | Single sign-on for network applications | |
| JP5239341B2 (en) | Gateway, relay method and program | |
| JP2004536359A (en) | System and method for authenticating a user to a web server | |
| WO2008022589A1 (en) | A system and method for authenticating the accessing request for the home network | |
| JP2002314549A (en) | User authentication system and user authentication method used for the same | |
| WO2009129753A1 (en) | A method and apparatus for enhancing the security of the network identity authentication | |
| WO2014135050A1 (en) | Message processing method, device, gateway, set-top box and internet protocol television system | |
| JP2003242109A (en) | Certification access control server device, gateway device, certification access control method, gateway control method, certification access control program and recording medium with the program recorded thereon, and gateway control program and recording medium with the program recorded thereon | |
| WO2018045798A1 (en) | Network authentication method and related device | |
| CN113824685B (en) | Mobile terminal directional flow agent system and method based on Android VpnService | |
| WO2013041882A2 (en) | User authentication in a network access system | |
| US8914870B2 (en) | Methods and arrangements for security support for universal plug and play system | |
| WO2018036415A1 (en) | Authentication proxy method, apparatus and device | |
| JP3766338B2 (en) | Authentication access control system, authentication access control server apparatus, authentication access control method, authentication access control program, and recording medium recording the program | |
| CN112311766B (en) | Method and device for acquiring user certificate and terminal equipment | |
| JP5260467B2 (en) | Access control system and access control method | |
| CN111245791B (en) | Single sign-on method for realizing management and IT service through reverse proxy | |
| JP4472566B2 (en) | Communication system and call control method | |
| JP4149745B2 (en) | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program | |
| CN101102234A (en) | Control method and system for preventing from network camera monitoring | |
| CN1592221A (en) | Method for realizing network access control |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040317 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060711 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060829 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20060829 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060926 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060928 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R154 | Certificate of patent or utility model (reissue) |
Free format text: JAPANESE INTERMEDIATE CODE: R154 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: R3D02 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101006 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111006 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |