JP2001016198A - ネットワーク装置、アクセスサーバおよび認証サーバ - Google Patents
ネットワーク装置、アクセスサーバおよび認証サーバInfo
- Publication number
- JP2001016198A JP2001016198A JP11181277A JP18127799A JP2001016198A JP 2001016198 A JP2001016198 A JP 2001016198A JP 11181277 A JP11181277 A JP 11181277A JP 18127799 A JP18127799 A JP 18127799A JP 2001016198 A JP2001016198 A JP 2001016198A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- server
- access
- network
- access server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 アクセスサーバ・認証サーバ間の事前設定が
より簡略で一元的に管理を行うことができるネットワー
ク装置を提供することを目的とする。 【解決手段】 ネットワーク107外部の電話機等のユ
ーザ装置105、106をネットワークへ接続するため
のアクセスサーバ102、103の複数台からなるグル
ープ構成のアクセスサーバグループ100と、ネットワ
ークの登録ユーザ情報を保持し、アクセスサーバとの間
で共有鍵方式を用いた認証処理を行う認証サーバ101
とから構成されるネットワーク装置であって、アクセス
サーバグループ100を構成するアクセスサーバは、認
証サーバ101との間で認証処理を行う際に、グループ
識別のための認証クライアント識別情報を認証サーバ1
01へ通知し、認証サーバ101は、アクセスサーバか
ら通知された認証クライアント識別情報を基に使用する
共有鍵を決定して認証判定を行う。
より簡略で一元的に管理を行うことができるネットワー
ク装置を提供することを目的とする。 【解決手段】 ネットワーク107外部の電話機等のユ
ーザ装置105、106をネットワークへ接続するため
のアクセスサーバ102、103の複数台からなるグル
ープ構成のアクセスサーバグループ100と、ネットワ
ークの登録ユーザ情報を保持し、アクセスサーバとの間
で共有鍵方式を用いた認証処理を行う認証サーバ101
とから構成されるネットワーク装置であって、アクセス
サーバグループ100を構成するアクセスサーバは、認
証サーバ101との間で認証処理を行う際に、グループ
識別のための認証クライアント識別情報を認証サーバ1
01へ通知し、認証サーバ101は、アクセスサーバか
ら通知された認証クライアント識別情報を基に使用する
共有鍵を決定して認証判定を行う。
Description
【0001】
【発明の属する技術分野】本発明は、ネットワーク外部
の電話機等のユーザ装置をネットワークへ接続するため
のアクセスサーバ、および、各アクセスサーバとの間で
共有鍵方式を用いた認証処理を行う認証サーバ、ならび
に、上記アクセスサーバの複数台からなるアクセスサー
バグループと上記認証サーバとから構成されるネットワ
ーク装置に関するものである。
の電話機等のユーザ装置をネットワークへ接続するため
のアクセスサーバ、および、各アクセスサーバとの間で
共有鍵方式を用いた認証処理を行う認証サーバ、ならび
に、上記アクセスサーバの複数台からなるアクセスサー
バグループと上記認証サーバとから構成されるネットワ
ーク装置に関するものである。
【0002】
【従来の技術】近年、インターネット等の情報通信ネッ
トワークの利用者は増加の一途をたどっている。
トワークの利用者は増加の一途をたどっている。
【0003】インターネットへのアクセスはオフィス等
ではLAN(ローカルエリアネットワーク)に接続され
たパーソナルコンピュータ等を通じて常時行うことが出
来るが、家庭では、電話線を通じてネットワーク接続業
者であるプロバイダへ接続するダイヤルアップ接続が一
般的である。以下に、従来のダイヤルアップ接続手順の
一例を示す。
ではLAN(ローカルエリアネットワーク)に接続され
たパーソナルコンピュータ等を通じて常時行うことが出
来るが、家庭では、電話線を通じてネットワーク接続業
者であるプロバイダへ接続するダイヤルアップ接続が一
般的である。以下に、従来のダイヤルアップ接続手順の
一例を示す。
【0004】図1は、一般的なネットワーク装置を示す
ブロック図であり、ダイヤルアップを行う電話機等のユ
ーザ装置とネットワーク上のダイヤルアップアクセスサ
ーバとユーザ認証を行う認証サーバとを示す。図1で
は、ネットワークとしてはルータを通じてインターネッ
ト(IPネットワーク)に接続されたLANを用い、ア
クセスサーバ・ユーザ装置間のインタフェースとしては
電話路、認証プロトコルとしてRADIUS(Remo
te Authentication DialIn
User Service)等の共有鍵認証方式に対応
した認証サーバを用いている。
ブロック図であり、ダイヤルアップを行う電話機等のユ
ーザ装置とネットワーク上のダイヤルアップアクセスサ
ーバとユーザ認証を行う認証サーバとを示す。図1で
は、ネットワークとしてはルータを通じてインターネッ
ト(IPネットワーク)に接続されたLANを用い、ア
クセスサーバ・ユーザ装置間のインタフェースとしては
電話路、認証プロトコルとしてRADIUS(Remo
te Authentication DialIn
User Service)等の共有鍵認証方式に対応
した認証サーバを用いている。
【0005】図1において、100はアクセスサーバグ
ループ、101は認証サーバ、102は第1のアクセス
サーバ(認証クライアント)、103は第2のアクセス
サーバ(認証クライアント)、104は他アクセスサー
バ(認証クライアント)、105はネットワークへアク
セスを行う電話機等の第1のユーザ装置、106は電話
機等の第2のユーザ装置、107はLANである。アク
セスサーバ102、103はユーザにとっての同時接続
数をより多く確保するため複数台設置され、それらは自
立的にあるいは管理者の指令によって能動的に相互間で
の運用設定情報等を交換するグループ構成をとってい
る。複数台のアクセスサーバの中で1台はマスタサーバ
として他のスレーブサーバを管理する役割を持ってい
る。図1ではアクセスサーバ102とアクセスサーバ1
03はユーザからみればマスタ−スレーブ関係のひとつ
のグループ100として動作し、アクセスサーバ102
がマスタサーバであり、アクセスサーバ103がスレー
ブサーバである。また、他アクセスサーバ104は、ア
クセスサーバ102、103のグループ100には属し
ておらず、アクセスサーバグループ100とは独立した
動作を行う。アクセスサーバ102は、認証クライアン
ト識別情報等の設定情報の保持を行い装置全体の管理的
処理を行う管理部110と、アクセスユーザの認証関連
処理を行う認証処理部111と、プロトコル処理などの
主たるデータ通信処理を行う通信制御部112と、ネッ
トワークとのインタフェースとなるネットワークインタ
フェース部113と、ネットワークへアクセスを行うユ
ーザ装置とのインタフェースとなるユーザインタフェー
ス部114とを有する。アクセスサーバ103、他アク
セスサーバ104も同様であるので、その説明は省略す
る。また、認証サーバ101は、ユーザ情報や設定情報
の保持を行い装置全体の管理的処理を行う管理部120
と、アクセスユーザの認証関連処理を行う認証処理部1
21と、プロトコル処理などの主たるデータ通信処理を
行う通信制御部122と、ネットワークとのインタフェ
ースとなるネットワークインタフェース部123とを有
する。アクセスサーバと認証サーバとの間で行われる認
証処理の観点からは、アクセスサーバはクライアント
側、認証サーバはサーバ側として動作するため、本明細
書では、アクセスサーバを認証クライアントと称する場
合もある。
ループ、101は認証サーバ、102は第1のアクセス
サーバ(認証クライアント)、103は第2のアクセス
サーバ(認証クライアント)、104は他アクセスサー
バ(認証クライアント)、105はネットワークへアク
セスを行う電話機等の第1のユーザ装置、106は電話
機等の第2のユーザ装置、107はLANである。アク
セスサーバ102、103はユーザにとっての同時接続
数をより多く確保するため複数台設置され、それらは自
立的にあるいは管理者の指令によって能動的に相互間で
の運用設定情報等を交換するグループ構成をとってい
る。複数台のアクセスサーバの中で1台はマスタサーバ
として他のスレーブサーバを管理する役割を持ってい
る。図1ではアクセスサーバ102とアクセスサーバ1
03はユーザからみればマスタ−スレーブ関係のひとつ
のグループ100として動作し、アクセスサーバ102
がマスタサーバであり、アクセスサーバ103がスレー
ブサーバである。また、他アクセスサーバ104は、ア
クセスサーバ102、103のグループ100には属し
ておらず、アクセスサーバグループ100とは独立した
動作を行う。アクセスサーバ102は、認証クライアン
ト識別情報等の設定情報の保持を行い装置全体の管理的
処理を行う管理部110と、アクセスユーザの認証関連
処理を行う認証処理部111と、プロトコル処理などの
主たるデータ通信処理を行う通信制御部112と、ネッ
トワークとのインタフェースとなるネットワークインタ
フェース部113と、ネットワークへアクセスを行うユ
ーザ装置とのインタフェースとなるユーザインタフェー
ス部114とを有する。アクセスサーバ103、他アク
セスサーバ104も同様であるので、その説明は省略す
る。また、認証サーバ101は、ユーザ情報や設定情報
の保持を行い装置全体の管理的処理を行う管理部120
と、アクセスユーザの認証関連処理を行う認証処理部1
21と、プロトコル処理などの主たるデータ通信処理を
行う通信制御部122と、ネットワークとのインタフェ
ースとなるネットワークインタフェース部123とを有
する。アクセスサーバと認証サーバとの間で行われる認
証処理の観点からは、アクセスサーバはクライアント
側、認証サーバはサーバ側として動作するため、本明細
書では、アクセスサーバを認証クライアントと称する場
合もある。
【0006】このように構成されたネットワーク装置に
ついて、その従来動作を図2、図4を用いて説明する。
図2は、図1のネットワーク装置の動作を示すシーケン
ス図であり、ユーザ装置105、106とアクセスサー
バ102、アクセスサーバ103と認証サーバ101と
の間の接続時の動作シーケンスを示す。図4は、従来の
ネットワーク装置の動作を説明するための動作説明図で
あり、アクセスサーバ102、103および認証サーバ
101の事前設定の様子を表わすものである。なお、図
2は、後述の発明の実施の形態においても使用されるも
のである。
ついて、その従来動作を図2、図4を用いて説明する。
図2は、図1のネットワーク装置の動作を示すシーケン
ス図であり、ユーザ装置105、106とアクセスサー
バ102、アクセスサーバ103と認証サーバ101と
の間の接続時の動作シーケンスを示す。図4は、従来の
ネットワーク装置の動作を説明するための動作説明図で
あり、アクセスサーバ102、103および認証サーバ
101の事前設定の様子を表わすものである。なお、図
2は、後述の発明の実施の形態においても使用されるも
のである。
【0007】図4に示すように、アクセスサーバ102
と認証サーバ101に対し、認証処理に使用する共有鍵
(シークレットキー)として両者で同じ物を設定する。
ここで、アクセスサーバ102のネットワーク上の識別
子であるIPアドレスをIPアドレスAとすると、認証
サーバ101では、IPアドレスAにはシークレットキ
ーaというように対応づけておく。アクセスサーバ10
3についても同様に、シークレットキーbを設定し、I
PアドレスBとシークレットキーbを対応づけておく。
また、アクセスサーバ102とアクセスサーバ103と
から構成されるアクセスサーバグループ100に属さな
い独立した他アクセスサーバ104もネットワーク10
7上に存在し、認証サーバ101との間でIPアドレス
Cに対応する共有シークレットキーcを設定している。
このように事前設定がなされている状況において、ユー
ザがユーザ装置105、106を介してネットワーク1
07に接続を行う際の動作シーケンスを図2を用いて説
明する。
と認証サーバ101に対し、認証処理に使用する共有鍵
(シークレットキー)として両者で同じ物を設定する。
ここで、アクセスサーバ102のネットワーク上の識別
子であるIPアドレスをIPアドレスAとすると、認証
サーバ101では、IPアドレスAにはシークレットキ
ーaというように対応づけておく。アクセスサーバ10
3についても同様に、シークレットキーbを設定し、I
PアドレスBとシークレットキーbを対応づけておく。
また、アクセスサーバ102とアクセスサーバ103と
から構成されるアクセスサーバグループ100に属さな
い独立した他アクセスサーバ104もネットワーク10
7上に存在し、認証サーバ101との間でIPアドレス
Cに対応する共有シークレットキーcを設定している。
このように事前設定がなされている状況において、ユー
ザがユーザ装置105、106を介してネットワーク1
07に接続を行う際の動作シーケンスを図2を用いて説
明する。
【0008】図2において、ユーザ装置105がネット
ワーク107へのダイヤルアップ接続を行うには、まず
アクセスサーバとの間で電話呼を確立する(S01)。
アクセスサーバがグループ構成である場合、電話呼がア
クセスサーバ102へ接続されるか、またはアクセスサ
ーバ103へ接続されるかはユーザ装置105の知ると
ころではなく呼毎に変化するが、この場合はアクセスサ
ーバ102へ接続されたとする。その後、ユーザ装置1
05・アクセスサーバ102間でデータリンクの確立を
行う(S02)。続いて、電話線を通じてIPネットワ
ークへアクセスする場合に一般的に用いられるPPP
(ポイントツーポイントプロトコル)リンクの接続を行
う。PPPリンクの接続は、PPP自体のパラメータ設
定などを行うLCP(Link Control Pr
otocol)ネゴシエーションフェーズと、ユーザ認
証を行う認証フェーズと、ネットワーク層プロトコルに
関する設定を行うNCP(Network Contr
ol Protocol)ネゴシエーションフェーズと
の大きく3つのフェーズに分けられる。
ワーク107へのダイヤルアップ接続を行うには、まず
アクセスサーバとの間で電話呼を確立する(S01)。
アクセスサーバがグループ構成である場合、電話呼がア
クセスサーバ102へ接続されるか、またはアクセスサ
ーバ103へ接続されるかはユーザ装置105の知ると
ころではなく呼毎に変化するが、この場合はアクセスサ
ーバ102へ接続されたとする。その後、ユーザ装置1
05・アクセスサーバ102間でデータリンクの確立を
行う(S02)。続いて、電話線を通じてIPネットワ
ークへアクセスする場合に一般的に用いられるPPP
(ポイントツーポイントプロトコル)リンクの接続を行
う。PPPリンクの接続は、PPP自体のパラメータ設
定などを行うLCP(Link Control Pr
otocol)ネゴシエーションフェーズと、ユーザ認
証を行う認証フェーズと、ネットワーク層プロトコルに
関する設定を行うNCP(Network Contr
ol Protocol)ネゴシエーションフェーズと
の大きく3つのフェーズに分けられる。
【0009】まずLCPネゴシエーションを行う(S0
3)。両者間でLCPネゴシエーションが終了すると認
証フェーズへ移行する。PPP認証方式がPAP(Pa
−ssword Authentication Pr
otocol)の場合はユーザ装置105側から自らの
ID、パスワード情報を含めた認証要求をアクセスサー
バ102へ送出する(S04)。アクセスサーバ102
の認証処理部111は、管理部110に保持されたシー
クレットキーaを用いて、ユーザより通知されたID、
パスワードを暗号化し、認証サーバ101(RADIU
Sサーバ)へのアクセスリクエストとして送出する(S
05)。アクセスリクエストを受信した認証サーバ10
1は、アクセスリクエストの送信元のIPアドレスをチ
ェックし、そのアドレスと事前設定されたシークレット
キーの対応から、受信したアクセスリクエストの暗号解
読のために使用するシークレットキーが認証サーバの管
理部120に登録されているシークレットキーa、b、
cのなかでシークレットキーaであると決定する。そし
て、シークレットキーaを用いて暗号解読したユーザI
D、パスワードが管理部120に登録されていれば認証
成功、登録されていなければ認証失敗として、アクセス
リプライメッセージにより、アクセスリクエストメッセ
ージの送信元であるアクセスサーバ102へ通知する
(S06)。
3)。両者間でLCPネゴシエーションが終了すると認
証フェーズへ移行する。PPP認証方式がPAP(Pa
−ssword Authentication Pr
otocol)の場合はユーザ装置105側から自らの
ID、パスワード情報を含めた認証要求をアクセスサー
バ102へ送出する(S04)。アクセスサーバ102
の認証処理部111は、管理部110に保持されたシー
クレットキーaを用いて、ユーザより通知されたID、
パスワードを暗号化し、認証サーバ101(RADIU
Sサーバ)へのアクセスリクエストとして送出する(S
05)。アクセスリクエストを受信した認証サーバ10
1は、アクセスリクエストの送信元のIPアドレスをチ
ェックし、そのアドレスと事前設定されたシークレット
キーの対応から、受信したアクセスリクエストの暗号解
読のために使用するシークレットキーが認証サーバの管
理部120に登録されているシークレットキーa、b、
cのなかでシークレットキーaであると決定する。そし
て、シークレットキーaを用いて暗号解読したユーザI
D、パスワードが管理部120に登録されていれば認証
成功、登録されていなければ認証失敗として、アクセス
リプライメッセージにより、アクセスリクエストメッセ
ージの送信元であるアクセスサーバ102へ通知する
(S06)。
【0010】アクセスサーバ102は認証サーバ101
より通知された認証結果を認証応答としてユーザ装置1
05に通知する(S07)。ユーザ装置105は、認証
が成功であれば次のNCPネゴシエーションフェーズへ
と移行するが(S08)、認証が失敗であれば通信終了
となる。
より通知された認証結果を認証応答としてユーザ装置1
05に通知する(S07)。ユーザ装置105は、認証
が成功であれば次のNCPネゴシエーションフェーズへ
と移行するが(S08)、認証が失敗であれば通信終了
となる。
【0011】別のユーザ装置106がネットワーク10
7への接続を行う場合、ステップ1(S01)と同様に
電話呼の接続を行うが、今回はグループ構成のアクセス
サーバ群のスレーブサーバ(アクセスサーバ)103と
接続されたとする(S11)。その後、ステップ2(S
02)、ステップ3(S03)と同様に、データリンク
の確立(S12)、LCPネゴシエーションを行う(S
13)。次に、PPP認証フェーズにおいて、ユーザ装
置106は自らのID、パスワード情報を含めた認証要
求をアクセスサーバ103へ送出する(S14)。アク
セスサーバ103は、管理部110に保持されたシーク
レットキーbを用いて、ユーザ装置106より通知され
たID、パスワードを暗号化し、認証サーバ101(R
ADIUSサーバ)へのアクセスリクエストとして送出
する(S15)。アクセスリクエストを受信した認証サ
ーバ101は、アクセスリクエストの送信元のIPアド
レスをチェックし、そのアドレスとシークレットキーの
対応から、受信したアクセスリクエストの暗号解読のた
めに使用するシークレットキーが認証サーバの管理部1
20に登録されているシークレットキーa、b、cのな
かでシークレットキーbであると決定する。そして、シ
ークレットキーbをもちいて暗号解読したユーザID、
パスワードが管理部120に登録されていれば認証成
功、登録されていなければ認証失敗としてアクセスリプ
ライメッセージによりアクセスリクエストメッセージの
送信元であるアクセスサーバ103へ通知する(S1
6)。アクセスサーバ103は認証サーバ101より通
知された認証結果を認証応答としてユーザ装置106に
通知する(S17)。ユーザ装置106は、認証が成功
であれば次のNCPネゴシエーションフェーズへと移行
するが(S18)、認証が失敗であれば通信終了とな
る。
7への接続を行う場合、ステップ1(S01)と同様に
電話呼の接続を行うが、今回はグループ構成のアクセス
サーバ群のスレーブサーバ(アクセスサーバ)103と
接続されたとする(S11)。その後、ステップ2(S
02)、ステップ3(S03)と同様に、データリンク
の確立(S12)、LCPネゴシエーションを行う(S
13)。次に、PPP認証フェーズにおいて、ユーザ装
置106は自らのID、パスワード情報を含めた認証要
求をアクセスサーバ103へ送出する(S14)。アク
セスサーバ103は、管理部110に保持されたシーク
レットキーbを用いて、ユーザ装置106より通知され
たID、パスワードを暗号化し、認証サーバ101(R
ADIUSサーバ)へのアクセスリクエストとして送出
する(S15)。アクセスリクエストを受信した認証サ
ーバ101は、アクセスリクエストの送信元のIPアド
レスをチェックし、そのアドレスとシークレットキーの
対応から、受信したアクセスリクエストの暗号解読のた
めに使用するシークレットキーが認証サーバの管理部1
20に登録されているシークレットキーa、b、cのな
かでシークレットキーbであると決定する。そして、シ
ークレットキーbをもちいて暗号解読したユーザID、
パスワードが管理部120に登録されていれば認証成
功、登録されていなければ認証失敗としてアクセスリプ
ライメッセージによりアクセスリクエストメッセージの
送信元であるアクセスサーバ103へ通知する(S1
6)。アクセスサーバ103は認証サーバ101より通
知された認証結果を認証応答としてユーザ装置106に
通知する(S17)。ユーザ装置106は、認証が成功
であれば次のNCPネゴシエーションフェーズへと移行
するが(S18)、認証が失敗であれば通信終了とな
る。
【0012】なお、ユーザ装置105、106の動作一
般について説明すると、認証要求はユーザ指示に基づい
て行うが、その後の一連の動作は通常自動的に行われ
る。
般について説明すると、認証要求はユーザ指示に基づい
て行うが、その後の一連の動作は通常自動的に行われ
る。
【0013】
【発明が解決しようとする課題】しかしながら、従来の
ネットワーク装置では、アクセスサーバ102とアクセ
スサーバ103から成るグループ構成のアクセスサーバ
群において、従来のRADIUS方式のような共有鍵方
式による外部認証サーバ101での認証処理を行う場
合、ユーザは全てのアクセスサーバ・認証サーバ間にお
いて共有シークレットキーを事前に設定する必要があ
り、その手続きが煩雑であるだけでなく、アクセスサー
バ側はグループ構成を意識することができるが、認証サ
ーバ側は個々のアクセスサーバをそれぞれ独立した別々
のアクセスサーバとしか意識することができず、両者で
意識のずれを生み出してしまうという問題点を有してい
た。
ネットワーク装置では、アクセスサーバ102とアクセ
スサーバ103から成るグループ構成のアクセスサーバ
群において、従来のRADIUS方式のような共有鍵方
式による外部認証サーバ101での認証処理を行う場
合、ユーザは全てのアクセスサーバ・認証サーバ間にお
いて共有シークレットキーを事前に設定する必要があ
り、その手続きが煩雑であるだけでなく、アクセスサー
バ側はグループ構成を意識することができるが、認証サ
ーバ側は個々のアクセスサーバをそれぞれ独立した別々
のアクセスサーバとしか意識することができず、両者で
意識のずれを生み出してしまうという問題点を有してい
た。
【0014】このネットワーク装置、アクセスサーバお
よび認証サーバは、より手続きが簡略で一元的に管理を
行うことが可能であることが求められる。
よび認証サーバは、より手続きが簡略で一元的に管理を
行うことが可能であることが求められる。
【0015】本発明は、アクセスサーバ・認証サーバ間
の事前設定がより簡略で一元的に管理を行うことができ
るネットワーク装置、および、認証サーバとの間の事前
設定がより簡略で一元的に管理を行うことができるアク
セスサーバ、ならびに、アクセスサーバとの間の事前設
定がより簡略で一元的に管理を行うことができる認証サ
ーバを提供することを目的とする。
の事前設定がより簡略で一元的に管理を行うことができ
るネットワーク装置、および、認証サーバとの間の事前
設定がより簡略で一元的に管理を行うことができるアク
セスサーバ、ならびに、アクセスサーバとの間の事前設
定がより簡略で一元的に管理を行うことができる認証サ
ーバを提供することを目的とする。
【0016】
【課題を解決するための手段】この課題を解決するため
に本発明のネットワーク装置は、ネットワーク外部の電
話機等のユーザ装置をネットワークへ接続するためのア
クセスサーバの複数台からなるグループ構成のアクセス
サーバグループと、ネットワークの登録ユーザ情報を保
持し、アクセスサーバとの間で共有鍵方式を用いた認証
処理を行う認証サーバとから構成されるネットワーク装
置であって、アクセスサーバグループを構成するアクセ
スサーバは、認証サーバとの間で認証処理を行う際に、
グループ識別のための認証クライアント識別情報を認証
サーバへ通知し、認証サーバは、アクセスサーバから通
知された認証クライアント識別情報を基に使用する共有
鍵を決定して認証判定を行う構成を備えている。
に本発明のネットワーク装置は、ネットワーク外部の電
話機等のユーザ装置をネットワークへ接続するためのア
クセスサーバの複数台からなるグループ構成のアクセス
サーバグループと、ネットワークの登録ユーザ情報を保
持し、アクセスサーバとの間で共有鍵方式を用いた認証
処理を行う認証サーバとから構成されるネットワーク装
置であって、アクセスサーバグループを構成するアクセ
スサーバは、認証サーバとの間で認証処理を行う際に、
グループ識別のための認証クライアント識別情報を認証
サーバへ通知し、認証サーバは、アクセスサーバから通
知された認証クライアント識別情報を基に使用する共有
鍵を決定して認証判定を行う構成を備えている。
【0017】これにより、アクセスサーバ・認証サーバ
間の事前設定がより簡略で一元的に管理を行うことがで
きるネットワーク装置が得られる。
間の事前設定がより簡略で一元的に管理を行うことがで
きるネットワーク装置が得られる。
【0018】この課題を解決するために本発明のアクセ
スサーバは、ネットワークへアクセスを行う電話機等の
ユーザ装置とのインタフェースとなるユーザインタフェ
ース部と、ネットワークとのインタフェースとなるネッ
トワークインタフェース部と、プロトコル処理などの主
たるデータ通信処理を行う通信制御部と、アクセスユー
ザの認証関連処理を行う認証処理部と、認証クライアン
ト識別情報等の設定情報の保持を行い装置全体の管理的
処理を行う管理部とを有するアクセスサーバであって、
認証処理部は、ユーザ装置の認証処理をネットワーク上
の認証サーバで行う際に、管理部に登録された認証クラ
イアント識別情報をネットワーク上の認証サーバへ通知
する構成を備えている。
スサーバは、ネットワークへアクセスを行う電話機等の
ユーザ装置とのインタフェースとなるユーザインタフェ
ース部と、ネットワークとのインタフェースとなるネッ
トワークインタフェース部と、プロトコル処理などの主
たるデータ通信処理を行う通信制御部と、アクセスユー
ザの認証関連処理を行う認証処理部と、認証クライアン
ト識別情報等の設定情報の保持を行い装置全体の管理的
処理を行う管理部とを有するアクセスサーバであって、
認証処理部は、ユーザ装置の認証処理をネットワーク上
の認証サーバで行う際に、管理部に登録された認証クラ
イアント識別情報をネットワーク上の認証サーバへ通知
する構成を備えている。
【0019】これにより、認証サーバとの間の事前設定
がより簡略で一元的に管理を行うことができるアクセス
サーバが得られる。
がより簡略で一元的に管理を行うことができるアクセス
サーバが得られる。
【0020】この課題を解決するために本発明の認証サ
ーバは、ネットワークとのインタフェースとなるネット
ワークインタフェース部と、プロトコル処理などの主た
るデータ通信処理を行う通信制御部と、認証クライアン
トからの認証要求に対する認証処理を行う認証処理部
と、ユーザ情報や設定情報の保持を行い、装置全体の管
理的処理を行う管理部とを有する認証サーバであって、
認証処理部は、認証クライアントより通知された認証ク
ライアント識別情報を基に使用する共有鍵を決定し、管
理部に保持されたユーザ情報を参照して認証判定を行う
構成を備えている。
ーバは、ネットワークとのインタフェースとなるネット
ワークインタフェース部と、プロトコル処理などの主た
るデータ通信処理を行う通信制御部と、認証クライアン
トからの認証要求に対する認証処理を行う認証処理部
と、ユーザ情報や設定情報の保持を行い、装置全体の管
理的処理を行う管理部とを有する認証サーバであって、
認証処理部は、認証クライアントより通知された認証ク
ライアント識別情報を基に使用する共有鍵を決定し、管
理部に保持されたユーザ情報を参照して認証判定を行う
構成を備えている。
【0021】これにより、アクセスサーバとの間の事前
設定がより簡略で一元的に管理を行うことができる認証
サーバが得られる。
設定がより簡略で一元的に管理を行うことができる認証
サーバが得られる。
【0022】
【発明の実施の形態】本発明の請求項1に記載のネット
ワークシステムは、ネットワーク外部の電話機等のユー
ザ装置をネットワークへ接続するためのアクセスサーバ
の複数台からなるグループ構成のアクセスサーバグルー
プと、ネットワークの登録ユーザ情報を保持し、アクセ
スサーバとの間で共有鍵方式を用いた認証処理を行う認
証サーバとから構成されるネットワーク装置であって、
アクセスサーバグループを構成するアクセスサーバは、
認証サーバとの間で認証処理を行う際に、グループ識別
のための認証クライアント識別情報を認証サーバへ通知
し、認証サーバは、アクセスサーバから通知された認証
クライアント識別情報を基に使用する共有鍵を決定して
認証判定を行うこととしたものである。
ワークシステムは、ネットワーク外部の電話機等のユー
ザ装置をネットワークへ接続するためのアクセスサーバ
の複数台からなるグループ構成のアクセスサーバグルー
プと、ネットワークの登録ユーザ情報を保持し、アクセ
スサーバとの間で共有鍵方式を用いた認証処理を行う認
証サーバとから構成されるネットワーク装置であって、
アクセスサーバグループを構成するアクセスサーバは、
認証サーバとの間で認証処理を行う際に、グループ識別
のための認証クライアント識別情報を認証サーバへ通知
し、認証サーバは、アクセスサーバから通知された認証
クライアント識別情報を基に使用する共有鍵を決定して
認証判定を行うこととしたものである。
【0023】この構成により、アクセスサーバ・認証サ
ーバ間の事前設定をグループ毎に行うことができるの
で、上記事前設定をより簡略に一元的意識のもとで行う
ことができるという作用を有する。
ーバ間の事前設定をグループ毎に行うことができるの
で、上記事前設定をより簡略に一元的意識のもとで行う
ことができるという作用を有する。
【0024】請求項2に記載のアクセスサーバは、ネッ
トワークへアクセスを行う電話機等のユーザ装置とのイ
ンタフェースとなるユーザインタフェース部と、ネット
ワークとのインタフェースとなるネットワークインタフ
ェース部と、プロトコル処理などの主たるデータ通信処
理を行う通信制御部と、アクセスユーザの認証関連処理
を行う認証処理部と、認証クライアント識別情報等の設
定情報の保持を行い装置全体の管理的処理を行う管理部
とを有するアクセスサーバであって、認証処理部は、ユ
ーザ装置の認証処理をネットワーク上の認証サーバで行
う際に、管理部に登録された認証クライアント識別情報
をネットワーク上の認証サーバへ通知することとしたも
のである。
トワークへアクセスを行う電話機等のユーザ装置とのイ
ンタフェースとなるユーザインタフェース部と、ネット
ワークとのインタフェースとなるネットワークインタフ
ェース部と、プロトコル処理などの主たるデータ通信処
理を行う通信制御部と、アクセスユーザの認証関連処理
を行う認証処理部と、認証クライアント識別情報等の設
定情報の保持を行い装置全体の管理的処理を行う管理部
とを有するアクセスサーバであって、認証処理部は、ユ
ーザ装置の認証処理をネットワーク上の認証サーバで行
う際に、管理部に登録された認証クライアント識別情報
をネットワーク上の認証サーバへ通知することとしたも
のである。
【0025】この構成により、アクセスサーバの管理部
に登録された認証クライアント識別情報をグループ毎の
ものとすれば、認証サーバは、使用する共有鍵をグルー
プ毎の認証クライアント識別情報から決定することがで
きるので、アクセスサーバ・認証サーバ間の事前設定を
より簡略に一元的意識のもとで行うことができるという
作用を有する。
に登録された認証クライアント識別情報をグループ毎の
ものとすれば、認証サーバは、使用する共有鍵をグルー
プ毎の認証クライアント識別情報から決定することがで
きるので、アクセスサーバ・認証サーバ間の事前設定を
より簡略に一元的意識のもとで行うことができるという
作用を有する。
【0026】請求項3に記載の認証サーバは、ネットワ
ークとのインタフェースとなるネットワークインタフェ
ース部と、プロトコル処理などの主たるデータ通信処理
を行う通信制御部と、認証クライアントからの認証要求
に対する認証処理を行う認証処理部と、ユーザ情報や設
定情報の保持を行い、装置全体の管理的処理を行う管理
部とを有する認証サーバであって、認証処理部は、認証
クライアントより通知された認証クライアント識別情報
を基に使用する共有鍵を決定し、管理部に保持されたユ
ーザ情報を参照して認証判定を行うこととしたものであ
る。
ークとのインタフェースとなるネットワークインタフェ
ース部と、プロトコル処理などの主たるデータ通信処理
を行う通信制御部と、認証クライアントからの認証要求
に対する認証処理を行う認証処理部と、ユーザ情報や設
定情報の保持を行い、装置全体の管理的処理を行う管理
部とを有する認証サーバであって、認証処理部は、認証
クライアントより通知された認証クライアント識別情報
を基に使用する共有鍵を決定し、管理部に保持されたユ
ーザ情報を参照して認証判定を行うこととしたものであ
る。
【0027】この構成により、認証クライアント識別情
報をグループ毎のものとすれば、認証サーバは、使用す
る共有鍵をグループ毎の認証クライアント識別情報から
決定することができるので、アクセスサーバ・認証サー
バ間の事前設定をより簡略に一元的意識のもとで行うこ
とができるという作用を有する。
報をグループ毎のものとすれば、認証サーバは、使用す
る共有鍵をグループ毎の認証クライアント識別情報から
決定することができるので、アクセスサーバ・認証サー
バ間の事前設定をより簡略に一元的意識のもとで行うこ
とができるという作用を有する。
【0028】以下、本発明の実施の形態について、図1
〜図3を用いて説明する。
〜図3を用いて説明する。
【0029】(実施の形態1)本発明の実施の形態1に
よるネットワーク装置の構成は図1と同様の構成であ
り、その説明は省略する。このように構成されたネット
ワーク装置において、ユーザ装置105、ユーザ装置1
06からの接続要求を受けたマスタスレーブ構成のアク
セスサーバグループ(アクセスサーバ102と103か
ら成るグループ)100が認証サーバ101との間で行
う認証処理の動作シーケンス例および認証処理を行うた
めの事前設定例を図2、図3を用いて説明する。図3
は、本実施の形態によるネットワーク装置の動作を説明
するための動作説明図であり、アクセスサーバ102、
103及び認証サーバ101の事前設定の様子を表わ
す。
よるネットワーク装置の構成は図1と同様の構成であ
り、その説明は省略する。このように構成されたネット
ワーク装置において、ユーザ装置105、ユーザ装置1
06からの接続要求を受けたマスタスレーブ構成のアク
セスサーバグループ(アクセスサーバ102と103か
ら成るグループ)100が認証サーバ101との間で行
う認証処理の動作シーケンス例および認証処理を行うた
めの事前設定例を図2、図3を用いて説明する。図3
は、本実施の形態によるネットワーク装置の動作を説明
するための動作説明図であり、アクセスサーバ102、
103及び認証サーバ101の事前設定の様子を表わ
す。
【0030】このように、本実施の形態によるネットワ
ーク装置の動作説明のために図1、図2を用いるが、本
実施の形態が従来と異なるところは、図2のシーケンス
動作における動作内容である。
ーク装置の動作説明のために図1、図2を用いるが、本
実施の形態が従来と異なるところは、図2のシーケンス
動作における動作内容である。
【0031】図3に示すように、アクセスサーバ102
には、グループ100内の各アクセスサーバが認証サー
バ101との間で認証処理に使用する共有鍵(以下、
「シークレットキー」と称す)として認証サーバ101
と同じ物を設定する。すなわちシークレットAを設定す
る。アクセスサーバ103には手動でシークレットキー
は設定せず、アクセスサーバ103のアクセスサーバ1
02への登録時に、アクセスサーバ102のIPアドレ
スなど他の基本情報と同時にアクセスサーバ102から
アクセスサーバ103に通知される。この状態で、アク
セスサーバ102、アクセスサーバ103、認証サーバ
101は同じシークレットキーAを共有していることと
なる。また、認証サーバ101においては、アクセスサ
ーバ102のIPアドレスAを認証クライアント識別情
報として、シークレットキーAと対応づけておく。さら
に、アクセスサーバ102とアクセスサーバ103とか
ら成るアクセスサーバグループ100に属さない独立し
た他アクセスサーバ104もネットワーク107上に存
在し、認証サーバ101との間で共有シークレットキー
Cを設定しているとする。このように事前設定がなされ
ている状況において、ユーザ装置がネットワーク107
に接続を行う際の動作シーケンスを図2を用いて説明す
る。
には、グループ100内の各アクセスサーバが認証サー
バ101との間で認証処理に使用する共有鍵(以下、
「シークレットキー」と称す)として認証サーバ101
と同じ物を設定する。すなわちシークレットAを設定す
る。アクセスサーバ103には手動でシークレットキー
は設定せず、アクセスサーバ103のアクセスサーバ1
02への登録時に、アクセスサーバ102のIPアドレ
スなど他の基本情報と同時にアクセスサーバ102から
アクセスサーバ103に通知される。この状態で、アク
セスサーバ102、アクセスサーバ103、認証サーバ
101は同じシークレットキーAを共有していることと
なる。また、認証サーバ101においては、アクセスサ
ーバ102のIPアドレスAを認証クライアント識別情
報として、シークレットキーAと対応づけておく。さら
に、アクセスサーバ102とアクセスサーバ103とか
ら成るアクセスサーバグループ100に属さない独立し
た他アクセスサーバ104もネットワーク107上に存
在し、認証サーバ101との間で共有シークレットキー
Cを設定しているとする。このように事前設定がなされ
ている状況において、ユーザ装置がネットワーク107
に接続を行う際の動作シーケンスを図2を用いて説明す
る。
【0032】図2において、ユーザ装置105がネット
ワーク100へのダイヤルアップ接続を行うには、まず
アクセスサーバとの間で電話呼を確立する(S01)。
アクセスサーバがグループ構成である場合、電話呼がア
クセスサーバ102へ接続されるか、またはアクセスサ
ーバ103へ接続されるかはユーザ装置105の知ると
ころではなく呼毎に変化するが、この場合はアクセスサ
ーバ102(マスタアクセスサーバ)へ接続されたとす
る。その後、ユーザ装置105・アクセスサーバ102
間でデータリンクの確立を行う(S02)。続いて、P
PPリンクの接続を行う。まずLCPネゴシエーション
を行う(S03)。両者間でLCPネゴシエーションが
終了すると認証フェーズへ移行する。PPP認証方式が
PAPの場合はユーザ装置105側から自らのID、パ
スワード情報を含めた認証要求をアクセスサーバ102
へ送出する(S04)。あるいはPPP認証方式がCH
AP(Challenge Authenticati
on Protocol)の場合は先にアクセスサーバ
102側よりチャレンジメッセージをユーザ装置105
に送出し、それに対してユーザ装置105は、自らのI
D、パスワード情報を含めたレスポンスメッセージをア
クセスサーバ102に返信するという順序でID、パス
ワードをアクセスサーバ102へ通知する。アクセスサ
ーバ102は、事前設定により管理部110に保持され
たシークレットキーAを用いて、ユーザ装置105より
通知されたID,パスワードを暗号化し、認証サーバ1
01(RADIUSサーバ)へのアクセスリクエストと
して送出する(S05)。このときアクセスリクエスト
には、認証サーバ101にとっての認証クライアント識
別情報となるIPアドレスAの情報も含めておく。アク
セスリクエストを受信した認証サーバ101は、従来は
アクセスリクエストの送信元IPアドレスから使用する
シークレットキーを決定していたが、本実施の形態では
アクセスリクエストにデータとして含まれるIPアドレ
ス情報を取り出し、そのアドレス情報から使用するシー
クレットキーを決定する。例ではアドレスとシークレッ
トキーの対応から、受信したアクセスリクエストの暗号
解読のために使用するシークレットキーが認証サーバの
管理部120に登録されているシークレットキーA,C
のなかでシークレットキーAであると決定する。そし
て、シークレットキーAを用いて暗号解読したユーザI
D、パスワードが管理部120に登録されていれば認証
成功、登録されていなければ認証失敗としてアクセスリ
プライメッセージによりアクセスリクエストメッセージ
の送信元であるアクセスサーバ102へ通知する(S0
6)。アクセスサーバ102は、認証サーバ101より
通知された認証結果を認証応答としてユーザ装置105
に通知する(S07)。ユーザ装置105は、認証が成
功であれば次のNCPネゴシエーションフェーズへと移
行するが(S08)、認証が失敗であれば通信終了とな
る。
ワーク100へのダイヤルアップ接続を行うには、まず
アクセスサーバとの間で電話呼を確立する(S01)。
アクセスサーバがグループ構成である場合、電話呼がア
クセスサーバ102へ接続されるか、またはアクセスサ
ーバ103へ接続されるかはユーザ装置105の知ると
ころではなく呼毎に変化するが、この場合はアクセスサ
ーバ102(マスタアクセスサーバ)へ接続されたとす
る。その後、ユーザ装置105・アクセスサーバ102
間でデータリンクの確立を行う(S02)。続いて、P
PPリンクの接続を行う。まずLCPネゴシエーション
を行う(S03)。両者間でLCPネゴシエーションが
終了すると認証フェーズへ移行する。PPP認証方式が
PAPの場合はユーザ装置105側から自らのID、パ
スワード情報を含めた認証要求をアクセスサーバ102
へ送出する(S04)。あるいはPPP認証方式がCH
AP(Challenge Authenticati
on Protocol)の場合は先にアクセスサーバ
102側よりチャレンジメッセージをユーザ装置105
に送出し、それに対してユーザ装置105は、自らのI
D、パスワード情報を含めたレスポンスメッセージをア
クセスサーバ102に返信するという順序でID、パス
ワードをアクセスサーバ102へ通知する。アクセスサ
ーバ102は、事前設定により管理部110に保持され
たシークレットキーAを用いて、ユーザ装置105より
通知されたID,パスワードを暗号化し、認証サーバ1
01(RADIUSサーバ)へのアクセスリクエストと
して送出する(S05)。このときアクセスリクエスト
には、認証サーバ101にとっての認証クライアント識
別情報となるIPアドレスAの情報も含めておく。アク
セスリクエストを受信した認証サーバ101は、従来は
アクセスリクエストの送信元IPアドレスから使用する
シークレットキーを決定していたが、本実施の形態では
アクセスリクエストにデータとして含まれるIPアドレ
ス情報を取り出し、そのアドレス情報から使用するシー
クレットキーを決定する。例ではアドレスとシークレッ
トキーの対応から、受信したアクセスリクエストの暗号
解読のために使用するシークレットキーが認証サーバの
管理部120に登録されているシークレットキーA,C
のなかでシークレットキーAであると決定する。そし
て、シークレットキーAを用いて暗号解読したユーザI
D、パスワードが管理部120に登録されていれば認証
成功、登録されていなければ認証失敗としてアクセスリ
プライメッセージによりアクセスリクエストメッセージ
の送信元であるアクセスサーバ102へ通知する(S0
6)。アクセスサーバ102は、認証サーバ101より
通知された認証結果を認証応答としてユーザ装置105
に通知する(S07)。ユーザ装置105は、認証が成
功であれば次のNCPネゴシエーションフェーズへと移
行するが(S08)、認証が失敗であれば通信終了とな
る。
【0033】別のユーザ装置106がネットワーク10
0への接続を行う場合(S01)、同様に電話呼の接続
を行うが、今回はグループ構成のアクセスサーバ群のア
クセスサーバ103と接続されたとする(S11)。そ
の後、ステップ2(S02)、ステップ3(S03)と
同様に、データリンクの確立(S12)、LCPネゴシ
エーションを行う(S13)。次に、PPP認証フェー
ズにおいて、ユーザ装置106は、自らのID、パスワ
ード情報を含めた認証要求をアクセスサーバ103へ送
出する(S14)。アクセスサーバ103は、管理部1
10に保持されたシークレットキーA(アクセスサーバ
102より通知されたもの)を用いて、ユーザ装置10
6より通知されたID、パスワードを暗号化し、認証サ
ーバ101(RADIUSサーバ)へのアクセスリクエ
ストとして送出する(S15)。このときアクセスリク
エストには、認証サーバ101にとっての認証クライア
ント識別情報となるマスタサーバIPアドレスAの情報
も含めておく。アクセスリクエストを受信した認証サー
バ101は、アクセスリクエストに含まれるIPアドレ
ス情報を取り出し、そのアドレスとシークレットキーの
対応から、受信したアクセスリクエストの暗号解読のた
めに使用するシークレットキーが認証サーバの管理部1
20に登録されているシークレットキーA、Cのなかで
シークレットキーAであると決定する。そして、シーク
レットキーAを用いて暗号解読したユーザID、パスワ
ードが管理部120に登録されていれば認証成功、登録
されていなければ認証失敗としてアクセスリプライメッ
セージによりアクセスリクエストの送信元であるアクセ
スサーバ103へ通知する(S16)。アクセスサーバ
103は、認証サーバ101より通知された認証結果を
認証応答としてユーザ装置106に通知する(S1
7)。ユーザ装置106は、認証が成功であれば次のN
CPネゴシエーションフェーズへと移行するが(S1
8)、認証が失敗であれば通信終了となる。
0への接続を行う場合(S01)、同様に電話呼の接続
を行うが、今回はグループ構成のアクセスサーバ群のア
クセスサーバ103と接続されたとする(S11)。そ
の後、ステップ2(S02)、ステップ3(S03)と
同様に、データリンクの確立(S12)、LCPネゴシ
エーションを行う(S13)。次に、PPP認証フェー
ズにおいて、ユーザ装置106は、自らのID、パスワ
ード情報を含めた認証要求をアクセスサーバ103へ送
出する(S14)。アクセスサーバ103は、管理部1
10に保持されたシークレットキーA(アクセスサーバ
102より通知されたもの)を用いて、ユーザ装置10
6より通知されたID、パスワードを暗号化し、認証サ
ーバ101(RADIUSサーバ)へのアクセスリクエ
ストとして送出する(S15)。このときアクセスリク
エストには、認証サーバ101にとっての認証クライア
ント識別情報となるマスタサーバIPアドレスAの情報
も含めておく。アクセスリクエストを受信した認証サー
バ101は、アクセスリクエストに含まれるIPアドレ
ス情報を取り出し、そのアドレスとシークレットキーの
対応から、受信したアクセスリクエストの暗号解読のた
めに使用するシークレットキーが認証サーバの管理部1
20に登録されているシークレットキーA、Cのなかで
シークレットキーAであると決定する。そして、シーク
レットキーAを用いて暗号解読したユーザID、パスワ
ードが管理部120に登録されていれば認証成功、登録
されていなければ認証失敗としてアクセスリプライメッ
セージによりアクセスリクエストの送信元であるアクセ
スサーバ103へ通知する(S16)。アクセスサーバ
103は、認証サーバ101より通知された認証結果を
認証応答としてユーザ装置106に通知する(S1
7)。ユーザ装置106は、認証が成功であれば次のN
CPネゴシエーションフェーズへと移行するが(S1
8)、認証が失敗であれば通信終了となる。
【0034】以上のように本実施の形態では、アクセス
サーバグループ100を構成するアクセスサーバ10
5、106は、認証サーバ101との間で認証処理を行
う際に、グループ識別のための認証クライアント識別情
報を認証サーバ101へ通知し、認証サーバ101は、
アクセスサーバ105、106から通知された認証クラ
イアント識別情報を基に使用する共有鍵を決定して認証
判定を行うようにしたことにより、アクセスサーバ・認
証サーバ間の事前設定をグループ毎に行うことができる
ので、上記事前設定をより簡略に一元的意識のもとで行
うことができる。
サーバグループ100を構成するアクセスサーバ10
5、106は、認証サーバ101との間で認証処理を行
う際に、グループ識別のための認証クライアント識別情
報を認証サーバ101へ通知し、認証サーバ101は、
アクセスサーバ105、106から通知された認証クラ
イアント識別情報を基に使用する共有鍵を決定して認証
判定を行うようにしたことにより、アクセスサーバ・認
証サーバ間の事前設定をグループ毎に行うことができる
ので、上記事前設定をより簡略に一元的意識のもとで行
うことができる。
【0035】(実施の形態2)本発明の実施の形態2に
よるネットワーク装置を構成するアクセスサーバの構成
は図1と同様のものなので、その説明は省略する。ま
た、本実施の形態によるネットワーク装置の事前設定は
図3の通りである。
よるネットワーク装置を構成するアクセスサーバの構成
は図1と同様のものなので、その説明は省略する。ま
た、本実施の形態によるネットワーク装置の事前設定は
図3の通りである。
【0036】このようなアクセスサーバを中心とする動
作を図1〜図3を用いて説明する。
作を図1〜図3を用いて説明する。
【0037】図2において、ユーザ装置105からの発
呼を受けたアクセスサーバ102はまず電話呼を確立す
る(S01)。その後ユーザとの間でデータリンクの確
立を行う(S02)。続いて、PPPリンクの接続を行
う。まずLCPネゴシエーションを行う(S03)。両
者間でLCPネゴシエーションが終了すると認証フェー
ズへ移行する。認証方式がPAPの場合は、ユーザ装置
105側から、自らのID、パスワード情報を含めた認
証要求がアクセスサーバ102へ送出されてくる(S0
4)。アクセスサーバ102の認証処理部111は、管
理部110に保持されたシークレットキーAを用いて、
ユーザ装置105より通知されたID、パスワードを暗
号化し、通信制御部112、ネットワークインタフェー
ス部113を通じて、認証サーバ101(RADIUS
サーバ)へのアクセスリクエストとして送出する(S0
5)。このとき、本実施の形態では、使用するシークレ
ットキーを認証サーバ101側において認証クライアン
ト識別情報から決定することを可能とするため、認証サ
ーバ101にとっての認証クライアント識別情報となる
アクセスサーバ102のIPアドレスAの情報をアクセ
スリクエストに含めておく。その後、認証サーバ101
において認証処理がなされ、その結果がアクセスリプラ
イメッセージによりアクセスサーバ102へ通知される
(S06)。アクセスサーバ102の認証処理部111
は、認証サーバ101より通知された認証結果を認証応
答メッセージとして通信制御部112、ユーザインタフ
ェース部114を通じてユーザ装置105に通知する
(S07)。ユーザ装置105は、認証が成功であれば
次のNCPネゴシエーションフェーズへと移行するが
(S08)、認証が失敗であれば通信終了となる。
呼を受けたアクセスサーバ102はまず電話呼を確立す
る(S01)。その後ユーザとの間でデータリンクの確
立を行う(S02)。続いて、PPPリンクの接続を行
う。まずLCPネゴシエーションを行う(S03)。両
者間でLCPネゴシエーションが終了すると認証フェー
ズへ移行する。認証方式がPAPの場合は、ユーザ装置
105側から、自らのID、パスワード情報を含めた認
証要求がアクセスサーバ102へ送出されてくる(S0
4)。アクセスサーバ102の認証処理部111は、管
理部110に保持されたシークレットキーAを用いて、
ユーザ装置105より通知されたID、パスワードを暗
号化し、通信制御部112、ネットワークインタフェー
ス部113を通じて、認証サーバ101(RADIUS
サーバ)へのアクセスリクエストとして送出する(S0
5)。このとき、本実施の形態では、使用するシークレ
ットキーを認証サーバ101側において認証クライアン
ト識別情報から決定することを可能とするため、認証サ
ーバ101にとっての認証クライアント識別情報となる
アクセスサーバ102のIPアドレスAの情報をアクセ
スリクエストに含めておく。その後、認証サーバ101
において認証処理がなされ、その結果がアクセスリプラ
イメッセージによりアクセスサーバ102へ通知される
(S06)。アクセスサーバ102の認証処理部111
は、認証サーバ101より通知された認証結果を認証応
答メッセージとして通信制御部112、ユーザインタフ
ェース部114を通じてユーザ装置105に通知する
(S07)。ユーザ装置105は、認証が成功であれば
次のNCPネゴシエーションフェーズへと移行するが
(S08)、認証が失敗であれば通信終了となる。
【0038】別のユーザ装置106がネットワーク10
0への接続を行う場合(S01)、同様に電話呼の接続
を行うが、今回はグループ構成のアクセスサーバ群のア
クセスサーバ103が呼を受付けたとする(S11)。
その後、ステップ2(S02)、ステップ3(S03)
と同様に、データリンクの確立(S12)、LCPネゴ
シエーションを行う(S13)。次に、PPP認証フェ
ーズにおいてユーザ装置106は、自らのID、パスワ
ード情報を含めた認証要求をアクセスサーバ103へ送
出する(S14)。アクセスサーバ103の管理部11
0にはアクセスサーバ102より通知されたシークレッ
トキーA(アクセスサーバグループ100共通のシーク
レットキー)やアクセスサーバ102のIPアドレスA
が保持されており、認証処理部111はこのシークレッ
トキーAを用いて、ユーザより通知されたID、パスワ
ードを暗号化し、通信制御部112、ネットワークイン
タフェース部113を通じて認証サーバ101(RAD
IUSサーバ)へのアクセスリクエストとして送出する
(S15)。このとき、本実施の形態では、認証サーバ
101にとっての認証クライアント識別情報となるマス
タサーバIPアドレスAの情報をアクセスリクエストに
含めておく。その後、認証サーバ101において認証処
理がなされ、その結果がアクセスリプライメッセージに
よりアクセスサーバ103へ通知される(S16)。ア
クセスサーバ103は、認証サーバ101より通知され
た認証結果を認証応答メッセージとしてユーザ装置10
6に通知する(S17)。ユーザ装置106は、認証が
成功であれば次のNCPネゴシエーションフェーズへと
移行するが(S18)、認証が失敗であれば通信終了と
なる。
0への接続を行う場合(S01)、同様に電話呼の接続
を行うが、今回はグループ構成のアクセスサーバ群のア
クセスサーバ103が呼を受付けたとする(S11)。
その後、ステップ2(S02)、ステップ3(S03)
と同様に、データリンクの確立(S12)、LCPネゴ
シエーションを行う(S13)。次に、PPP認証フェ
ーズにおいてユーザ装置106は、自らのID、パスワ
ード情報を含めた認証要求をアクセスサーバ103へ送
出する(S14)。アクセスサーバ103の管理部11
0にはアクセスサーバ102より通知されたシークレッ
トキーA(アクセスサーバグループ100共通のシーク
レットキー)やアクセスサーバ102のIPアドレスA
が保持されており、認証処理部111はこのシークレッ
トキーAを用いて、ユーザより通知されたID、パスワ
ードを暗号化し、通信制御部112、ネットワークイン
タフェース部113を通じて認証サーバ101(RAD
IUSサーバ)へのアクセスリクエストとして送出する
(S15)。このとき、本実施の形態では、認証サーバ
101にとっての認証クライアント識別情報となるマス
タサーバIPアドレスAの情報をアクセスリクエストに
含めておく。その後、認証サーバ101において認証処
理がなされ、その結果がアクセスリプライメッセージに
よりアクセスサーバ103へ通知される(S16)。ア
クセスサーバ103は、認証サーバ101より通知され
た認証結果を認証応答メッセージとしてユーザ装置10
6に通知する(S17)。ユーザ装置106は、認証が
成功であれば次のNCPネゴシエーションフェーズへと
移行するが(S18)、認証が失敗であれば通信終了と
なる。
【0039】以上のように本実施の形態では、アクセス
サーバグループ100のアクセスサーバ102、103
が認証サーバ101との間で認証処理を行う際、アクセ
スサーバ102と同一の共有鍵を用いて暗号化を行い、
認証クライアント識別情報としてマスタアクセスサーバ
IPアドレスを認証サーバ101へ通知するようにした
ことにより、認証サーバ101側は通知されたIPアド
レスを基に使用する共有鍵を決定し暗号解読を行って認
証判定を行うことが可能になり、アクセスサーバ102
に対してのみ共有鍵の設定を行えば、他のアクセスサー
バグループ100中の各アクセスサーバに対して個別に
共有鍵を設定する必要がなくなるので、アクセスサーバ
・認証サーバ間の事前設定をより簡略に一元的意識のも
とで行うことができる。
サーバグループ100のアクセスサーバ102、103
が認証サーバ101との間で認証処理を行う際、アクセ
スサーバ102と同一の共有鍵を用いて暗号化を行い、
認証クライアント識別情報としてマスタアクセスサーバ
IPアドレスを認証サーバ101へ通知するようにした
ことにより、認証サーバ101側は通知されたIPアド
レスを基に使用する共有鍵を決定し暗号解読を行って認
証判定を行うことが可能になり、アクセスサーバ102
に対してのみ共有鍵の設定を行えば、他のアクセスサー
バグループ100中の各アクセスサーバに対して個別に
共有鍵を設定する必要がなくなるので、アクセスサーバ
・認証サーバ間の事前設定をより簡略に一元的意識のも
とで行うことができる。
【0040】(実施の形態3)本発明の実施の形態3に
よるネットワーク装置を構成する認証サーバの構成は図
1と同様のものなので、その説明は省略する。また、本
実施の形態によるネットワーク装置の事前設定は図3の
通りである。
よるネットワーク装置を構成する認証サーバの構成は図
1と同様のものなので、その説明は省略する。また、本
実施の形態によるネットワーク装置の事前設定は図3の
通りである。
【0041】このような認証サーバを中心とする動作を
図1〜図3を用いて説明する。
図1〜図3を用いて説明する。
【0042】図1の構成において、アクセスサーバ10
2、103は、認証サーバ101を用いた外部認証とい
う観点からは認証クライアントとして動作する。
2、103は、認証サーバ101を用いた外部認証とい
う観点からは認証クライアントとして動作する。
【0043】図2において、S01〜S04は実施の形
態1と同じであり、その説明は概略なものとする。
態1と同じであり、その説明は概略なものとする。
【0044】まずユーザ装置105とアクセスサーバ1
02との間で電話呼が確立され(S01)、続いてデー
タリンクの確立が行われる(S02)。続いて、PPP
リンクの接続が行われる。まず両者間でLCPネゴシエ
ーションが行われる(S03)。両者間でLCPネゴシ
エーションが終了すると認証フェーズへ移行する。認証
方式がPAPの場合はユーザ装置105側から自らのI
D、パスワード情報を含めた認証要求がアクセスサーバ
102へ送出される(S04)。アクセスサーバ102
は、その管理部110に保持されたシークレットキーA
を用いて、ユーザ装置105より通知されたID、パス
ワードを暗号化し、認証サーバ101(RADIUSサ
ーバ)へのアクセスリクエストとして送出する(S0
5)。このアクセスリクエストには、使用するシークレ
ットキーを認証サーバ101側において認証クライアン
ト識別情報から決定することを可能とするため、認証サ
ーバ101にとっての認証クライアント識別情報となる
IPアドレスAの情報が含まれている。ネットワークイ
ンタフェース部123、通信制御部122を通じてアク
セスリクエストを受け取った認証サーバ101の認証処
理部121は、認証クライアント識別情報であるIPア
ドレス情報を読み出し、その情報が管理部120に登録
されているIPアドレスAであることから、暗号の解読
に用いるシークレットキーが同じく管理部120に登録
されているシークレットキーAであると決定する。その
後、シークレットキーAを用いてアクセスリクエスト中
のユーザID、パスワード情報を解読し、管理部120
に登録されたユーザ情報を参照して、このユーザ装置1
05のネットワーク107へのアクセスを許可するかど
うかを決定する。その結果はアクセスリプライメッセー
ジとして再び、通信制御部122、ネットワークインタ
フェース部123を通じてアクセスリクエストメッセー
ジの送信元であるアクセスサーバ102へ通知される
(S06)。アクセスサーバ102は、認証サーバ10
1より通知された認証結果を認証応答メッセージとして
ユーザ装置105に通知する(S07)。ユーザ装置1
05は、認証が成功であれば次のNCPネゴシエーショ
ンフェーズへと移行するが(S08)、認証が失敗であ
れば通信終了となる。
02との間で電話呼が確立され(S01)、続いてデー
タリンクの確立が行われる(S02)。続いて、PPP
リンクの接続が行われる。まず両者間でLCPネゴシエ
ーションが行われる(S03)。両者間でLCPネゴシ
エーションが終了すると認証フェーズへ移行する。認証
方式がPAPの場合はユーザ装置105側から自らのI
D、パスワード情報を含めた認証要求がアクセスサーバ
102へ送出される(S04)。アクセスサーバ102
は、その管理部110に保持されたシークレットキーA
を用いて、ユーザ装置105より通知されたID、パス
ワードを暗号化し、認証サーバ101(RADIUSサ
ーバ)へのアクセスリクエストとして送出する(S0
5)。このアクセスリクエストには、使用するシークレ
ットキーを認証サーバ101側において認証クライアン
ト識別情報から決定することを可能とするため、認証サ
ーバ101にとっての認証クライアント識別情報となる
IPアドレスAの情報が含まれている。ネットワークイ
ンタフェース部123、通信制御部122を通じてアク
セスリクエストを受け取った認証サーバ101の認証処
理部121は、認証クライアント識別情報であるIPア
ドレス情報を読み出し、その情報が管理部120に登録
されているIPアドレスAであることから、暗号の解読
に用いるシークレットキーが同じく管理部120に登録
されているシークレットキーAであると決定する。その
後、シークレットキーAを用いてアクセスリクエスト中
のユーザID、パスワード情報を解読し、管理部120
に登録されたユーザ情報を参照して、このユーザ装置1
05のネットワーク107へのアクセスを許可するかど
うかを決定する。その結果はアクセスリプライメッセー
ジとして再び、通信制御部122、ネットワークインタ
フェース部123を通じてアクセスリクエストメッセー
ジの送信元であるアクセスサーバ102へ通知される
(S06)。アクセスサーバ102は、認証サーバ10
1より通知された認証結果を認証応答メッセージとして
ユーザ装置105に通知する(S07)。ユーザ装置1
05は、認証が成功であれば次のNCPネゴシエーショ
ンフェーズへと移行するが(S08)、認証が失敗であ
れば通信終了となる。
【0045】別のユーザ装置106がネットワーク10
0への接続を行う場合(S01)、同様に電話呼の接続
を行うが、今回はグループ構成のアクセスサーバ群のア
クセスサーバ103が呼を受け付けたとする(S1
1)。その後、ステップ2(S02)、ステップ3(S
03)と同様に、データリンクの確立(S12)、LC
Pネゴシエーションを行う(S13)。次に、PPP認
証フェーズにおいてユーザ装置106は、自らのID、
パスワード情報を含めた認証要求をアクセスサーバ10
3へ送出する(S14)。アクセスサーバ103の管理
部110にはアクセスサーバ102より通知されたシー
クレットキーAやアクセスサーバ102のIPアドレス
Aが保持されており、このシークレットキーAを用い
て、ユーザ装置106より通知されたID、パスワード
を暗号化し、認証サーバ101(RADIUSサーバ)
へのアクセスリクエストとして送出する(S15)。こ
のアクセスリクエストには、認証サーバ101にとって
の認証クライアント識別情報となるマスタサーバIPア
ドレスAの情報が含まれている。アクセスリクエストを
受け取った認証サーバ101の認証処理部121は、従
来であればアクセスリクエストの送信元アドレスB(I
PB)から使用するシークレットキーを決定するが、本
実施の形態では、アクセスリクエストデータから認証ク
ライアント識別情報であるIPアドレス情報を読み出
し、その情報が管理部120に登録されているIPアド
レスAであることから、暗号の解読に用いるシークレッ
トキーが同じく管理部120に登録されているシークレ
ットキーAであると決定する。その後、シークレットキ
ーAを用いてアクセスリクエスト中のユーザID、パス
ワード情報を解読し、管理部120に登録されたユーザ
情報を参照して、このユーザ装置106のネットワーク
107へのアクセスを許可するかどうかを決定する。そ
の結果はアクセスリプライメッセージとして、アクセス
リクエストメッセージの送信元であるアクセスサーバ1
03へ通知される(S16)。アクセスサーバ103
は、認証サーバ101より通知された認証結果を認証応
答メッセージとしてユーザ装置106に通知する(S1
7)。ユーザ装置106は、認証が成功であれば次のN
CPネゴシエーションフェーズへと移行するが(S1
8)、認証が失敗であれば通信終了となる。
0への接続を行う場合(S01)、同様に電話呼の接続
を行うが、今回はグループ構成のアクセスサーバ群のア
クセスサーバ103が呼を受け付けたとする(S1
1)。その後、ステップ2(S02)、ステップ3(S
03)と同様に、データリンクの確立(S12)、LC
Pネゴシエーションを行う(S13)。次に、PPP認
証フェーズにおいてユーザ装置106は、自らのID、
パスワード情報を含めた認証要求をアクセスサーバ10
3へ送出する(S14)。アクセスサーバ103の管理
部110にはアクセスサーバ102より通知されたシー
クレットキーAやアクセスサーバ102のIPアドレス
Aが保持されており、このシークレットキーAを用い
て、ユーザ装置106より通知されたID、パスワード
を暗号化し、認証サーバ101(RADIUSサーバ)
へのアクセスリクエストとして送出する(S15)。こ
のアクセスリクエストには、認証サーバ101にとって
の認証クライアント識別情報となるマスタサーバIPア
ドレスAの情報が含まれている。アクセスリクエストを
受け取った認証サーバ101の認証処理部121は、従
来であればアクセスリクエストの送信元アドレスB(I
PB)から使用するシークレットキーを決定するが、本
実施の形態では、アクセスリクエストデータから認証ク
ライアント識別情報であるIPアドレス情報を読み出
し、その情報が管理部120に登録されているIPアド
レスAであることから、暗号の解読に用いるシークレッ
トキーが同じく管理部120に登録されているシークレ
ットキーAであると決定する。その後、シークレットキ
ーAを用いてアクセスリクエスト中のユーザID、パス
ワード情報を解読し、管理部120に登録されたユーザ
情報を参照して、このユーザ装置106のネットワーク
107へのアクセスを許可するかどうかを決定する。そ
の結果はアクセスリプライメッセージとして、アクセス
リクエストメッセージの送信元であるアクセスサーバ1
03へ通知される(S16)。アクセスサーバ103
は、認証サーバ101より通知された認証結果を認証応
答メッセージとしてユーザ装置106に通知する(S1
7)。ユーザ装置106は、認証が成功であれば次のN
CPネゴシエーションフェーズへと移行するが(S1
8)、認証が失敗であれば通信終了となる。
【0046】以上のように本実施の形態では、アクセス
サーバグループ100中のアクセスサーバ102、10
3が認証サーバ101との間で認証処理を行う際、認証
サーバ101は認証クライアント識別のための情報の一
例としてマスタアクセスサーバのIPアドレスの通知を
受け、その情報を元に暗号解読に使用する共有鍵を決定
して暗号解読を行うようにしたことにより、複数のアク
セスサーバをひとつのグループとみなすことが可能とな
り、マスタアクセスサーバに対してのみ共有鍵の設定を
行えば、他のアクセスサーバグループ中の各アクセスサ
ーバに対して個別に共有鍵を設定する必要がなく、アク
セスサーバ・認証サーバ間の事前設定がより簡略で、一
元的に管理を行うことが可能であるネットワーク装置が
得られる。
サーバグループ100中のアクセスサーバ102、10
3が認証サーバ101との間で認証処理を行う際、認証
サーバ101は認証クライアント識別のための情報の一
例としてマスタアクセスサーバのIPアドレスの通知を
受け、その情報を元に暗号解読に使用する共有鍵を決定
して暗号解読を行うようにしたことにより、複数のアク
セスサーバをひとつのグループとみなすことが可能とな
り、マスタアクセスサーバに対してのみ共有鍵の設定を
行えば、他のアクセスサーバグループ中の各アクセスサ
ーバに対して個別に共有鍵を設定する必要がなく、アク
セスサーバ・認証サーバ間の事前設定がより簡略で、一
元的に管理を行うことが可能であるネットワーク装置が
得られる。
【0047】
【発明の効果】以上のように本発明の請求項1に記載の
ネットワーク装置によれば、ネットワーク外部の電話機
等のユーザ装置をネットワークへ接続するためのアクセ
スサーバの複数台からなるグループ構成のアクセスサー
バグループと、ネットワークの登録ユーザ情報を保持
し、アクセスサーバとの間で共有鍵方式を用いた認証処
理を行う認証サーバとから構成されるネットワーク装置
であって、アクセスサーバグループを構成するアクセス
サーバは、認証サーバとの間で認証処理を行う際に、グ
ループ識別のための認証クライアント識別情報を認証サ
ーバへ通知し、認証サーバは、アクセスサーバから通知
された認証クライアント識別情報を基に使用する共有鍵
を決定して認証判定を行うことにより、複数のアクセス
サーバをひとつのグループとみなして認証処理またはそ
のための事前設定を行うことができるので、アクセスサ
ーバ・認証サーバ間の事前設定がより簡略で、一元的に
管理を行うことができるという有利な効果が得られる。
ネットワーク装置によれば、ネットワーク外部の電話機
等のユーザ装置をネットワークへ接続するためのアクセ
スサーバの複数台からなるグループ構成のアクセスサー
バグループと、ネットワークの登録ユーザ情報を保持
し、アクセスサーバとの間で共有鍵方式を用いた認証処
理を行う認証サーバとから構成されるネットワーク装置
であって、アクセスサーバグループを構成するアクセス
サーバは、認証サーバとの間で認証処理を行う際に、グ
ループ識別のための認証クライアント識別情報を認証サ
ーバへ通知し、認証サーバは、アクセスサーバから通知
された認証クライアント識別情報を基に使用する共有鍵
を決定して認証判定を行うことにより、複数のアクセス
サーバをひとつのグループとみなして認証処理またはそ
のための事前設定を行うことができるので、アクセスサ
ーバ・認証サーバ間の事前設定がより簡略で、一元的に
管理を行うことができるという有利な効果が得られる。
【0048】請求項2に記載のアクセスサーバによれ
ば、ネットワークへアクセスを行う電話機等のユーザ装
置とのインタフェースとなるユーザインタフェース部
と、ネットワークとのインタフェースとなるネットワー
クインタフェース部と、プロトコル処理などの主たるデ
ータ通信処理を行う通信制御部と、アクセスユーザの認
証関連処理を行う認証処理部と、認証クライアント識別
情報等の設定情報の保持を行い装置全体の管理的処理を
行う管理部とを有するアクセスサーバであって、認証処
理部は、ユーザ装置の認証処理をネットワーク上の認証
サーバで行う際に、管理部に登録された認証クライアン
ト識別情報をネットワーク上の認証サーバへ通知するこ
とにより、認証サーバがどの共有鍵を用いて暗号解読を
行うかをアクセスサーバのグループ単位で決定すること
ができるので、アクセスサーバ・認証サーバ間の事前設
定がより簡略で、一元的に管理を行うことができるとい
う有利な効果が得られる。
ば、ネットワークへアクセスを行う電話機等のユーザ装
置とのインタフェースとなるユーザインタフェース部
と、ネットワークとのインタフェースとなるネットワー
クインタフェース部と、プロトコル処理などの主たるデ
ータ通信処理を行う通信制御部と、アクセスユーザの認
証関連処理を行う認証処理部と、認証クライアント識別
情報等の設定情報の保持を行い装置全体の管理的処理を
行う管理部とを有するアクセスサーバであって、認証処
理部は、ユーザ装置の認証処理をネットワーク上の認証
サーバで行う際に、管理部に登録された認証クライアン
ト識別情報をネットワーク上の認証サーバへ通知するこ
とにより、認証サーバがどの共有鍵を用いて暗号解読を
行うかをアクセスサーバのグループ単位で決定すること
ができるので、アクセスサーバ・認証サーバ間の事前設
定がより簡略で、一元的に管理を行うことができるとい
う有利な効果が得られる。
【0049】請求項3に記載の認証サーバによれば、ネ
ットワークとのインタフェースとなるネットワークイン
タフェース部と、プロトコル処理などの主たるデータ通
信処理を行う通信制御部と、認証クライアントからの認
証要求に対する認証処理を行う認証処理部と、ユーザ情
報や設定情報の保持を行い、装置全体の管理的処理を行
う管理部とを有する認証サーバであって、認証処理部
は、認証クライアントより通知された認証クライアント
識別情報を基に使用する共有鍵を決定し、管理部に保持
されたユーザ情報を参照して認証判定を行うことによ
り、複数のアクセスサーバをひとつのグループとみなし
て認証処理を行うことができるので、アクセスサーバ・
認証サーバ間の事前設定がより簡略で、一元的に管理を
行うことができるという有利な効果が得られる。
ットワークとのインタフェースとなるネットワークイン
タフェース部と、プロトコル処理などの主たるデータ通
信処理を行う通信制御部と、認証クライアントからの認
証要求に対する認証処理を行う認証処理部と、ユーザ情
報や設定情報の保持を行い、装置全体の管理的処理を行
う管理部とを有する認証サーバであって、認証処理部
は、認証クライアントより通知された認証クライアント
識別情報を基に使用する共有鍵を決定し、管理部に保持
されたユーザ情報を参照して認証判定を行うことによ
り、複数のアクセスサーバをひとつのグループとみなし
て認証処理を行うことができるので、アクセスサーバ・
認証サーバ間の事前設定がより簡略で、一元的に管理を
行うことができるという有利な効果が得られる。
【図1】一般的なネットワーク装置を示すブロック図
【図2】図1のネットワーク装置の動作を示すシーケン
ス図
ス図
【図3】本発明の実施の形態1、2、3によるネットワ
ーク装置の動作を説明するための動作説明図
ーク装置の動作を説明するための動作説明図
【図4】従来のネットワーク装置の動作を説明するため
の動作説明図
の動作説明図
100 アクセスサーバグループ 101 認証サーバ 102、103 アクセスサーバ 104 他アクセスサーバ 105、106 ユーザ装置 107 ネットワーク 110、120 管理部 111、121 認証処理部 112、122 通信制御部 113、123 ネットワークインタフェース部 114 ユーザインタフェース部
Claims (3)
- 【請求項1】ネットワーク外部の電話機等のユーザ装置
をネットワークへ接続するためのアクセスサーバの複数
台からなるグループ構成のアクセスサーバグループと、
ネットワークの登録ユーザ情報を保持し、アクセスサー
バとの間で共有鍵方式を用いた認証処理を行う認証サー
バとから構成されるネットワーク装置であって、前記ア
クセスサーバグループを構成するアクセスサーバは、前
記認証サーバとの間で認証処理を行う際に、グループ識
別のための認証クライアント識別情報を認証サーバへ通
知し、認証サーバは、前記アクセスサーバから通知され
た前記認証クライアント識別情報を基に使用する共有鍵
を決定して認証判定を行うことを特徴とするネットワー
ク装置。 - 【請求項2】ネットワークへアクセスを行う電話機等の
ユーザ装置とのインタフェースとなるユーザインタフェ
ース部と、ネットワークとのインタフェースとなるネッ
トワークインタフェース部と、プロトコル処理などの主
たるデータ通信処理を行う通信制御部と、アクセスユー
ザの認証関連処理を行う認証処理部と、認証クライアン
ト識別情報等の設定情報の保持を行い装置全体の管理的
処理を行う管理部とを有するアクセスサーバであって、
前記認証処理部は、ユーザ装置の認証処理をネットワー
ク上の認証サーバで行う際に、前記管理部に登録された
認証クライアント識別情報を前記ネットワーク上の認証
サーバへ通知することを特徴とするアクセスサーバ。 - 【請求項3】ネットワークとのインタフェースとなるネ
ットワークインタフェース部と、プロトコル処理などの
主たるデータ通信処理を行う通信制御部と、認証クライ
アントからの認証要求に対する認証処理を行う認証処理
部と、ユーザ情報や設定情報の保持を行い、装置全体の
管理的処理を行う管理部とを有する認証サーバであっ
て、前記認証処理部は、認証クライアントより通知され
た認証クライアント識別情報を基に使用する共有鍵を決
定し、前記管理部に保持されたユーザ情報を参照して認
証判定を行うことを特徴とする認証サーバ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11181277A JP2001016198A (ja) | 1999-06-28 | 1999-06-28 | ネットワーク装置、アクセスサーバおよび認証サーバ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11181277A JP2001016198A (ja) | 1999-06-28 | 1999-06-28 | ネットワーク装置、アクセスサーバおよび認証サーバ |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001016198A true JP2001016198A (ja) | 2001-01-19 |
Family
ID=16097892
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11181277A Pending JP2001016198A (ja) | 1999-06-28 | 1999-06-28 | ネットワーク装置、アクセスサーバおよび認証サーバ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001016198A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006107455A (ja) * | 2004-09-30 | 2006-04-20 | Microsoft Corp | セキュリティ状態ウォッチャ |
| KR100733699B1 (ko) | 2004-12-31 | 2007-06-28 | 주식회사 케이티 | 통합 망관리시스템에서의 네크워크 운용자 인증방법 및 그 인증시스템 |
| JP2009505610A (ja) * | 2005-08-23 | 2009-02-05 | メッシュネットワークス インコーポレイテッド | ノード・ツー・ノード認証のための無線ネットワークにおけるeapol(extensibleauthenticationprotocoloverlocalareanetwork)プロキシ |
| JP2009526328A (ja) * | 2006-02-10 | 2009-07-16 | ベリサイン・インコーポレイテッド | ネットワークベースの不正および認証サービスのシステムと方法 |
-
1999
- 1999-06-28 JP JP11181277A patent/JP2001016198A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006107455A (ja) * | 2004-09-30 | 2006-04-20 | Microsoft Corp | セキュリティ状態ウォッチャ |
| KR100733699B1 (ko) | 2004-12-31 | 2007-06-28 | 주식회사 케이티 | 통합 망관리시스템에서의 네크워크 운용자 인증방법 및 그 인증시스템 |
| JP2009505610A (ja) * | 2005-08-23 | 2009-02-05 | メッシュネットワークス インコーポレイテッド | ノード・ツー・ノード認証のための無線ネットワークにおけるeapol(extensibleauthenticationprotocoloverlocalareanetwork)プロキシ |
| JP2009526328A (ja) * | 2006-02-10 | 2009-07-16 | ベリサイン・インコーポレイテッド | ネットワークベースの不正および認証サービスのシステムと方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2425646B1 (en) | Network access nodes | |
| US6684336B1 (en) | Verification by target end system of intended data transfer operation | |
| US8762726B2 (en) | System and method for secure access | |
| US6859527B1 (en) | Communications arrangement and method using service system to facilitate the establishment of end-to-end communication over a network | |
| KR101202671B1 (ko) | 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법 | |
| US6832313B1 (en) | Migration from in-clear to encrypted working over a communications link | |
| US20010044898A1 (en) | Configurable connectivity unit and method and system for configuring such a unit | |
| EP1484856A1 (en) | The method for distributes the encrypted key in wireless lan | |
| US20020041605A1 (en) | Communication initiation method employing an authorisation server | |
| US11962685B2 (en) | High availability secure network including dual mode authentication | |
| RU2002131451A (ru) | Управление защищенной линией связи в динамических сетях | |
| JP2002373153A (ja) | バイオメトリック認証されるvlan | |
| US7917947B2 (en) | Secured communication channel between IT administrators using network management software as the basis to manage networks | |
| EP2547051B1 (en) | Confidential communication method using vpn, a system and program for the same, and memory media for program therefor | |
| JP2004164576A (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法およびユーザ認証システム、ならびに記録媒体 | |
| EP1147637A1 (en) | Seamless integration of application programs with security key infrastructure | |
| JP2002359623A (ja) | 無線通信設定方法、通信端末、アクセスポイント端末、記録媒体およびプログラム | |
| WO2005004385A1 (ja) | 無線通信認証プログラムおよび無線通信プログラム | |
| EP2356791A1 (en) | Communication system and method | |
| JP2009111859A (ja) | 利用者のアドレス情報を登録する装置、方法およびプログラム | |
| JP4915182B2 (ja) | 情報の管理方法及び情報処理装置 | |
| EP2881872A2 (en) | Storage service | |
| JP2008217366A (ja) | サービス連携システム、サービス連携方法、およびサービス連携プログラム | |
| US20030196107A1 (en) | Protocol, system, and method for transferring user authentication information across multiple, independent internet protocol (IP) based networks | |
| CN110519259B (zh) | 云平台对象间通讯加密配置方法、装置及可读存储介质 |