JP2001273257A - 代理認証サーバ - Google Patents
代理認証サーバInfo
- Publication number
- JP2001273257A JP2001273257A JP2000082768A JP2000082768A JP2001273257A JP 2001273257 A JP2001273257 A JP 2001273257A JP 2000082768 A JP2000082768 A JP 2000082768A JP 2000082768 A JP2000082768 A JP 2000082768A JP 2001273257 A JP2001273257 A JP 2001273257A
- Authority
- JP
- Japan
- Prior art keywords
- authentication server
- access point
- information
- address information
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Communication Control (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【課題】 ユーザ網へは複数のアクセスポイントを一つ
のアクセスポイントであるかのように見せかけることが
可能であり、ユーザ網ヘアクセスポイントを特定するア
ドレスなどの識別情報が流れてしまうことに伴う問題を
解決する代理認証サーバを提供する。 【解決手段】 代理認証サーバ15が、共用アクセスポ
イントサーバから送られてくる認証要求パケット24に
含まれる、アクセスポイントを特定するアドレス情報
(たとえば、アクセスポイントアドレス)を、自身のア
ドレスまたはある特定のアドレス等に変換し、さらに、
アドレス情報や物理ポート番号やセッション番号につい
ても、変換または削除して、ユーザ認証サーバに送出す
る。
のアクセスポイントであるかのように見せかけることが
可能であり、ユーザ網ヘアクセスポイントを特定するア
ドレスなどの識別情報が流れてしまうことに伴う問題を
解決する代理認証サーバを提供する。 【解決手段】 代理認証サーバ15が、共用アクセスポ
イントサーバから送られてくる認証要求パケット24に
含まれる、アクセスポイントを特定するアドレス情報
(たとえば、アクセスポイントアドレス)を、自身のア
ドレスまたはある特定のアドレス等に変換し、さらに、
アドレス情報や物理ポート番号やセッション番号につい
ても、変換または削除して、ユーザ認証サーバに送出す
る。
Description
【0001】
【発明の属する技術分野】本発明は、企業等のLANや、
インターネットサービスプロバイダが、共用のリモート
アクセスサーバを使って、ダイアルアップ接続等でアク
セスするユーザを収容する、共用アクセスポイントサー
ビスに於いて、アクセスユーザの正当性の確認を行うた
めの、ユーザ認証技術に関するものである。
インターネットサービスプロバイダが、共用のリモート
アクセスサーバを使って、ダイアルアップ接続等でアク
セスするユーザを収容する、共用アクセスポイントサー
ビスに於いて、アクセスユーザの正当性の確認を行うた
めの、ユーザ認証技術に関するものである。
【0002】
【従来の技術】企業等のLANや、インターネットサービ
スプロバイダが、共通に利用できる、共用アクセスポイ
ントサービスシステムを構築することがある。図1は共
用アクセスポイントサービスシステム例を示す。10は共
用アクセスポイントサービスシステム、11はアクセスユ
ーザ(ユーザ端末)、12はISDN等のアクセス網、13はリモ
ートアクセスサーバなどの共用アクセスポイント、14は
共用アクセスポイント事業者が管理するコア網(コアネ
ットワーク)、15は共用アクセスポイント事業者が管理
する代理認証サーバ、16はユーザ網とコアネットワーク
との接続装置、17はユーザ網が管理するユーザ認証サー
バ、18はユーザ網(ユーザネットワーク)を示す。なお、
図1において、共用アクセスポイントサービスシステム
10は、共用アクセスポイント13、接続装置16を含まない
ものとして表示したが、共用アクセスポイントサービス
システムの形態(たとえば、共用アクセスポイント事業
者がこれらを含めて該システムの管理・運営をする)に
よっては、共用アクセスポイントサービスシステム10が
共用アクセスポイント13と接続装置16のいずれか一方、
または両方を含むように構成されてもよい。
スプロバイダが、共通に利用できる、共用アクセスポイ
ントサービスシステムを構築することがある。図1は共
用アクセスポイントサービスシステム例を示す。10は共
用アクセスポイントサービスシステム、11はアクセスユ
ーザ(ユーザ端末)、12はISDN等のアクセス網、13はリモ
ートアクセスサーバなどの共用アクセスポイント、14は
共用アクセスポイント事業者が管理するコア網(コアネ
ットワーク)、15は共用アクセスポイント事業者が管理
する代理認証サーバ、16はユーザ網とコアネットワーク
との接続装置、17はユーザ網が管理するユーザ認証サー
バ、18はユーザ網(ユーザネットワーク)を示す。なお、
図1において、共用アクセスポイントサービスシステム
10は、共用アクセスポイント13、接続装置16を含まない
ものとして表示したが、共用アクセスポイントサービス
システムの形態(たとえば、共用アクセスポイント事業
者がこれらを含めて該システムの管理・運営をする)に
よっては、共用アクセスポイントサービスシステム10が
共用アクセスポイント13と接続装置16のいずれか一方、
または両方を含むように構成されてもよい。
【0003】共用アクセスポイントサービスシステム10
では、各ユーザ網18のセキュリティを確保するため、共
用アクセスポイント事業者または接続先ユーザ網の片方
または両方が、アクセスユーザの正当性を確認し、ユー
ザ認証を行うことが多い。ユーザ網18のユーザ認証サー
バ17がユーザ認証を行う場合、共用アクセスポイント事
業者が管理する代理認証サーバ15が、認証情報をユーザ
から受取り、これをユーザ網18のユーザ認証サーバ17ヘ
転送することが必要になる。
では、各ユーザ網18のセキュリティを確保するため、共
用アクセスポイント事業者または接続先ユーザ網の片方
または両方が、アクセスユーザの正当性を確認し、ユー
ザ認証を行うことが多い。ユーザ網18のユーザ認証サー
バ17がユーザ認証を行う場合、共用アクセスポイント事
業者が管理する代理認証サーバ15が、認証情報をユーザ
から受取り、これをユーザ網18のユーザ認証サーバ17ヘ
転送することが必要になる。
【0004】ユーザ認証情報を転送する際には、RADIUS
やTACACS、DIAMETER等のプロトコルが用いられ、共用ア
クセスポイント13から代理認証サーバ15ヘ、さらに代理
認証サーバ15からユーザ認証サーバ17ヘと転送される。
代理認証サーバ15は複数段設置されることもある。
やTACACS、DIAMETER等のプロトコルが用いられ、共用ア
クセスポイント13から代理認証サーバ15ヘ、さらに代理
認証サーバ15からユーザ認証サーバ17ヘと転送される。
代理認証サーバ15は複数段設置されることもある。
【0005】ユーザ認証情報を転送するパケット(以
下、「ユーザ認証要求パケット」という)には、ユーザI
Dとパスワードの他に、アクセスポイントのIPアドレス
など、アクセスポイントを特定するための情報や、(ダ
イアルアップの例で言えば、一つの呼に相当する)アク
セスのセッションを特定するためのアクセスセッション
特定情報、たとえばアクセスポイントでのポート番号
や、セッション番号等も、含まれることがある。
下、「ユーザ認証要求パケット」という)には、ユーザI
Dとパスワードの他に、アクセスポイントのIPアドレス
など、アクセスポイントを特定するための情報や、(ダ
イアルアップの例で言えば、一つの呼に相当する)アク
セスのセッションを特定するためのアクセスセッション
特定情報、たとえばアクセスポイントでのポート番号
や、セッション番号等も、含まれることがある。
【0006】共用アクセスポイントサービスシステムで
は、接続先ユーザ網18を特定するため、ユーザIDにユー
ザ網の識別子を含めることがある。従来の代理認証サー
バでは、アクセスユーザが入力したユーザIDから、ユー
ザ網識別子を取り外したり、代理認証サーバでの状態を
示す情報を付加する、というような変換を行うものも存
在するが、基本的には、認証要求パケットの内容は変更
しない。このため、アクセスポイントのIPアドレスなど
アクセスポイントを特定する情報やセッションを特定す
る情報がユーザ網の認証サーバヘも転送される。
は、接続先ユーザ網18を特定するため、ユーザIDにユー
ザ網の識別子を含めることがある。従来の代理認証サー
バでは、アクセスユーザが入力したユーザIDから、ユー
ザ網識別子を取り外したり、代理認証サーバでの状態を
示す情報を付加する、というような変換を行うものも存
在するが、基本的には、認証要求パケットの内容は変更
しない。このため、アクセスポイントのIPアドレスなど
アクセスポイントを特定する情報やセッションを特定す
る情報がユーザ網の認証サーバヘも転送される。
【0007】[表1]は、以上で説明した従来技術で転
送される認証パケット中の属性値例を示す。
送される認証パケット中の属性値例を示す。
【0008】
【表1】
【0009】[表1]に示される例においては、あるア
クセスユーザ(ユーザ端末)11から、アクセス網12、共用
アクセスポイント13、コア網14、代理認証サーバ15、接
続装置16を順に介して、ユーザ網の認証サーバ17に認証
要求パケットを送出すると、該認証サーバ17が、認証の
諾否を示す情報を付加して該認証要求パケットに応答す
るパケット(以下、「認証応答パケット」という)を生
成し、前記経路を逆にたどってこれを該アクセスユーザ
11に返送する。
クセスユーザ(ユーザ端末)11から、アクセス網12、共用
アクセスポイント13、コア網14、代理認証サーバ15、接
続装置16を順に介して、ユーザ網の認証サーバ17に認証
要求パケットを送出すると、該認証サーバ17が、認証の
諾否を示す情報を付加して該認証要求パケットに応答す
るパケット(以下、「認証応答パケット」という)を生
成し、前記経路を逆にたどってこれを該アクセスユーザ
11に返送する。
【0010】[表1]左欄に示すように、共用アクセス
ポイント13から送出される認証要求パケットは、該アク
セスポイントのアドレスを示すアクセスポイントアドレ
スI a,該パケットを送出するポート番号を示すアクセ
スポイントポート番号Pa,該認証要求パケット送出に
かかるアクセスセッションを特定するアクセスポイント
セッション番号Saを含む。このような認証要求パケッ
トが、代理認証サーバ15を介してアクセスユーザ11及び
ユーザ認証サーバ17間を送受信される。
ポイント13から送出される認証要求パケットは、該アク
セスポイントのアドレスを示すアクセスポイントアドレ
スI a,該パケットを送出するポート番号を示すアクセ
スポイントポート番号Pa,該認証要求パケット送出に
かかるアクセスセッションを特定するアクセスポイント
セッション番号Saを含む。このような認証要求パケッ
トが、代理認証サーバ15を介してアクセスユーザ11及び
ユーザ認証サーバ17間を送受信される。
【0011】
【発明が解決しようとする課題】前記のように、従来の
代理認証サーバを用いて、共用アクセスポイントサービ
スを提供する場合、ユーザ網ヘアクセスポイントを特定
する識別情報が流れてしまい、それに伴う問題が発生す
る危険性があった。例えば、共用アクセスポイントサー
ビスを提供している事業者のネットワーク構成に関する
情報が、ユーザ網にも流れてしまうため、共用アクセス
ポイント事業者のセキュリティを重視する場合、望まし
いとは言えない。
代理認証サーバを用いて、共用アクセスポイントサービ
スを提供する場合、ユーザ網ヘアクセスポイントを特定
する識別情報が流れてしまい、それに伴う問題が発生す
る危険性があった。例えば、共用アクセスポイントサー
ビスを提供している事業者のネットワーク構成に関する
情報が、ユーザ網にも流れてしまうため、共用アクセス
ポイント事業者のセキュリティを重視する場合、望まし
いとは言えない。
【0012】また、ユーザ網にとっても、アクセスポイ
ント識別情報を用いて制御を行う場合、対象とするアド
レス数がアクセスポイント数と同じになり、管理が煩雑
となるという問題があった。
ント識別情報を用いて制御を行う場合、対象とするアド
レス数がアクセスポイント数と同じになり、管理が煩雑
となるという問題があった。
【0013】また、共用アクセスポイントのネットワー
クがプライベートアドレスを用いている場合は、アドレ
ス変換機能(NAT)を用いて、プライベートアドレス情報
を外部に漏らさないことが必要であるが、代理認証サー
バと全てのアクセスポイントがアドレス変換の対象とな
るため、管理が煩雑となったり、アドレスが不足すると
いう問題が発生する可能性がある。
クがプライベートアドレスを用いている場合は、アドレ
ス変換機能(NAT)を用いて、プライベートアドレス情報
を外部に漏らさないことが必要であるが、代理認証サー
バと全てのアクセスポイントがアドレス変換の対象とな
るため、管理が煩雑となったり、アドレスが不足すると
いう問題が発生する可能性がある。
【0014】さらに、共用アクセスポイントのネットワ
ークとユーザ網で用いているアドレス空間が重なる場合
には、アドレス変換機能(NAT)を用いて、アドレス重複
問題を解決することが可能であるが、認証情報パケット
中のアクセスポイント識別情報はNATでは変換されない
ため、ユーザ網でアクセスポイントと同一アドレスを用
いるホストがあった場合、障害切り分け等で混乱を招く
恐れがある。
ークとユーザ網で用いているアドレス空間が重なる場合
には、アドレス変換機能(NAT)を用いて、アドレス重複
問題を解決することが可能であるが、認証情報パケット
中のアクセスポイント識別情報はNATでは変換されない
ため、ユーザ網でアクセスポイントと同一アドレスを用
いるホストがあった場合、障害切り分け等で混乱を招く
恐れがある。
【0015】本発明の目的は、代理認証サーバで認証情
報パケット中のアクセスポイント識別情報を特定のアド
レスに変換することで、ユーザ網へは複数のアクセスポ
イントを一つのアクセスポイントであるかのように見せ
ることによって、(1)ユーザ網ヘアクセスポイントを
特定する識別情報が流出することを防止し、(2)ユー
ザ網が管理対象とするアドレス数を代理認証サーバ一つ
にすることができ、管理を容易にし、(3)共用アクセ
スポイントのネットワークがプライベートアドレスを用
いている場合において、プライベートアドレス情報を外
部に漏らさないようにアドレス変換機能(NAT)を用い
て、アドレス変換を行う必要が生じず,(4)共用アク
セスポイントのネットワークとユーザ網で用いているア
ドレス空間が重なる場合に、アドレス変換機能(NAT)を
用いて、アドレス重複問題を解決する、ことができる代
理認証サーバを提供することを目的とする。
報パケット中のアクセスポイント識別情報を特定のアド
レスに変換することで、ユーザ網へは複数のアクセスポ
イントを一つのアクセスポイントであるかのように見せ
ることによって、(1)ユーザ網ヘアクセスポイントを
特定する識別情報が流出することを防止し、(2)ユー
ザ網が管理対象とするアドレス数を代理認証サーバ一つ
にすることができ、管理を容易にし、(3)共用アクセ
スポイントのネットワークがプライベートアドレスを用
いている場合において、プライベートアドレス情報を外
部に漏らさないようにアドレス変換機能(NAT)を用い
て、アドレス変換を行う必要が生じず,(4)共用アク
セスポイントのネットワークとユーザ網で用いているア
ドレス空間が重なる場合に、アドレス変換機能(NAT)を
用いて、アドレス重複問題を解決する、ことができる代
理認証サーバを提供することを目的とする。
【0016】
【課題を解決するための手段】本発明では上記の目的を
達成するために、代理認証サーバが、認証要求情報(た
とえば、認証要求パケット)に含まれる、アクセスポイ
ントを特定するアドレス情報(たとえば、アクセスポイ
ントアドレス)を、自身またはある特定のアドレス情報
に変換し、さらに、アドレス情報や物理ポート番号やセ
ッション番号についても、変換または削除することを、
主な特徴とする。
達成するために、代理認証サーバが、認証要求情報(た
とえば、認証要求パケット)に含まれる、アクセスポイ
ントを特定するアドレス情報(たとえば、アクセスポイ
ントアドレス)を、自身またはある特定のアドレス情報
に変換し、さらに、アドレス情報や物理ポート番号やセ
ッション番号についても、変換または削除することを、
主な特徴とする。
【0017】本発明により、ユーザ網へは複数のアクセ
スポイントを一つのアクセスポイントであるかのように
見せかけることが可能であり、ユーザ網ヘアクセスポイ
ントを特定するアドレスなどの識別情報が流れてしまう
ことに伴う問題を解決することが可能である。
スポイントを一つのアクセスポイントであるかのように
見せかけることが可能であり、ユーザ網ヘアクセスポイ
ントを特定するアドレスなどの識別情報が流れてしまう
ことに伴う問題を解決することが可能である。
【0018】
【発明の実施の形態】[実施例]本発明にかかる代理認
証サーバが適用されるネットワーク構成(共用アクセス
ポイントサービスシステム)は、従来技術で説明したも
のと同様であり、図1に示されるものである。なお、本
発明にかかる共用アクセスポイントサービスシステム10
においても、図1において共用アクセスポイントサービ
スシステム10は、共用アクセスポイント13、接続装置16
を含まないものとして表示されているが、共用アクセス
ポイントサービスシステムの形態(たとえば、共用アク
セスポイント事業者がこれらを含めて該システムの管理
・運営をする)によっては、該共用アクセスポイントサ
ービスシステム10が共用アクセスポイント13と接続装置
16のいずれか一方、または両方を含むように構成するこ
とができる。
証サーバが適用されるネットワーク構成(共用アクセス
ポイントサービスシステム)は、従来技術で説明したも
のと同様であり、図1に示されるものである。なお、本
発明にかかる共用アクセスポイントサービスシステム10
においても、図1において共用アクセスポイントサービ
スシステム10は、共用アクセスポイント13、接続装置16
を含まないものとして表示されているが、共用アクセス
ポイントサービスシステムの形態(たとえば、共用アク
セスポイント事業者がこれらを含めて該システムの管理
・運営をする)によっては、該共用アクセスポイントサ
ービスシステム10が共用アクセスポイント13と接続装置
16のいずれか一方、または両方を含むように構成するこ
とができる。
【0019】本発明での代理認証サーバ15は、たとえば
[表2]に示すような変換テーブルを有していてもよ
く、該変換テーブルを用いて各アクセスセッションに於
ける、アクセスポイント13のアドレス、ポート番号、セ
ッション番号について、変換前後の関係を管理する。
[表2]に示すような変換テーブルを有していてもよ
く、該変換テーブルを用いて各アクセスセッションに於
ける、アクセスポイント13のアドレス、ポート番号、セ
ッション番号について、変換前後の関係を管理する。
【0020】
【表2】
【0021】[表2]は、共用アクセスポイント13のい
ずれかから3つの異なる認証要求パケットA,B,Cが
代理認証サーバ15に送られてきた場合を示す。
ずれかから3つの異なる認証要求パケットA,B,Cが
代理認証サーバ15に送られてきた場合を示す。
【0022】認証要求パケットA,B,Cに含まれるア
クセスポイントアドレス、アクセスポイントポート番
号、アクセスポイントセッション番号はそれぞれ、(I
a,P a,Sa)、(Ib,Pb,Sb)、(Ic,
Pc,Sc)である。代理認証サーバ15は、[表2]左
欄に示すように、これらの情報を変換テーブルにそれぞ
れエントリ1,2,3として記憶する。
クセスポイントアドレス、アクセスポイントポート番
号、アクセスポイントセッション番号はそれぞれ、(I
a,P a,Sa)、(Ib,Pb,Sb)、(Ic,
Pc,Sc)である。代理認証サーバ15は、[表2]左
欄に示すように、これらの情報を変換テーブルにそれぞ
れエントリ1,2,3として記憶する。
【0023】上述のように、アクセスポイント13からコ
ア網14を介して認証要求パケットを受信すると、代理認
証サーバ15はその変換テーブルを検索して、まだ使用し
ていない変換後ポート番号とセッション番号を決定し、
その内容を、[表2]右欄に示すように、変換テーブル
に記録する。すなわち、該認証パケットA,B,Cのそ
れぞれについて、変換後ポート番号とセッション番号を
元のポート番号、セッション番号と関連付けて[表2]
右欄に示すように該変換テーブルにエントリごとに記憶
しておく。なお、ここでは、使用していない変換後ポー
ト番号とセッション番号を検索結果に基づいて決定する
としたが、アクセスポイントのIPアドレスなどの識別子
情報を用いて、ポート番号やセッション番号を変換する
という方式も可能である。例えば、アクセスポイントの
識別子が、nbit(IPアドレスの場合n=32)、ポート番号
(またはセッション番号)がmbitの数で表すことので
きる場合、これらを2進数と見て、ビット列の連結を取
り、n+m bit数にする、という変換(あるいはマッピ
ング、関数)を用いることも可能である。
ア網14を介して認証要求パケットを受信すると、代理認
証サーバ15はその変換テーブルを検索して、まだ使用し
ていない変換後ポート番号とセッション番号を決定し、
その内容を、[表2]右欄に示すように、変換テーブル
に記録する。すなわち、該認証パケットA,B,Cのそ
れぞれについて、変換後ポート番号とセッション番号を
元のポート番号、セッション番号と関連付けて[表2]
右欄に示すように該変換テーブルにエントリごとに記憶
しておく。なお、ここでは、使用していない変換後ポー
ト番号とセッション番号を検索結果に基づいて決定する
としたが、アクセスポイントのIPアドレスなどの識別子
情報を用いて、ポート番号やセッション番号を変換する
という方式も可能である。例えば、アクセスポイントの
識別子が、nbit(IPアドレスの場合n=32)、ポート番号
(またはセッション番号)がmbitの数で表すことので
きる場合、これらを2進数と見て、ビット列の連結を取
り、n+m bit数にする、という変換(あるいはマッピ
ング、関数)を用いることも可能である。
【0024】そして、変換テーブル(または変換ルール)
に基づいて、認証要求パケットの属性値のうち、アクセ
スポイントのアドレスをある特定のアドレスへ変換する
と共に、ポート番号とセッション番号を該当する変換テ
ーブルのエントリのものに変換して、ユーザ網の認証サ
ーバ17ヘ転送する。ある特定のアドレスは、たとえば、
代理認証サーバ15自身のアドレスであってもよく、ま
た、代理認証サーバ15自身のアドレス以外のアドレスで
あってユーザ網13に接続許可対象として登録されたアド
レスであってもよい。
に基づいて、認証要求パケットの属性値のうち、アクセ
スポイントのアドレスをある特定のアドレスへ変換する
と共に、ポート番号とセッション番号を該当する変換テ
ーブルのエントリのものに変換して、ユーザ網の認証サ
ーバ17ヘ転送する。ある特定のアドレスは、たとえば、
代理認証サーバ15自身のアドレスであってもよく、ま
た、代理認証サーバ15自身のアドレス以外のアドレスで
あってユーザ網13に接続許可対象として登録されたアド
レスであってもよい。
【0025】ユーザ網の認証サーバ17は、ユーザ認証登
録データベース等を参照して、該認証要求の可否を判定
し、その判定結果情報を含む認証応答パケットを生成し
てこれを代理認証サーバ15に送出する。
録データベース等を参照して、該認証要求の可否を判定
し、その判定結果情報を含む認証応答パケットを生成し
てこれを代理認証サーバ15に送出する。
【0026】ユーザ網のユーザ認証サーバ17より該認証
応答パケットが返ってくると代理認証サーバ15は、該変
換テーブルから該当する認証セッションに対応するエン
トリを取り出し、そのアクセスポイント13のアドレス、
ポート番号およびセッション番号を変換前の状態に戻し
て、アクセスポイント13ヘ該認証応答パケットを転送す
る。
応答パケットが返ってくると代理認証サーバ15は、該変
換テーブルから該当する認証セッションに対応するエン
トリを取り出し、そのアクセスポイント13のアドレス、
ポート番号およびセッション番号を変換前の状態に戻し
て、アクセスポイント13ヘ該認証応答パケットを転送す
る。
【0027】以下の[表3]は、[表2]中のエントリ
1における、上記のアクセスポイント13、代理認証サー
バ15、およびユーザ認証サーバ17間での認証要求パケッ
トおよび認証応答パケット中のアクセスポイントアドレ
ス、アクセスポイントポート番号、アクセスポイントセ
ッション番号を示す。なお、ここでは、[表2]中のエ
ントリ1を例としてあげたが、他のエントリについても
同様である。
1における、上記のアクセスポイント13、代理認証サー
バ15、およびユーザ認証サーバ17間での認証要求パケッ
トおよび認証応答パケット中のアクセスポイントアドレ
ス、アクセスポイントポート番号、アクセスポイントセ
ッション番号を示す。なお、ここでは、[表2]中のエ
ントリ1を例としてあげたが、他のエントリについても
同様である。
【0028】
【表3】
【0029】また、認証プロトコルは課金情報を転送す
るのにも用いられることがあるが、この課金情報の転送
でも、同一セッションについては、上記で生成した変換
テーブルの同じ情報を用いて、アドレス、ポート番号、
セッション番号を変換する。また、アクセスセッション
が終了した場合、該当する変換テーブルのエントリを代
理認証サーバが削除することができる。
るのにも用いられることがあるが、この課金情報の転送
でも、同一セッションについては、上記で生成した変換
テーブルの同じ情報を用いて、アドレス、ポート番号、
セッション番号を変換する。また、アクセスセッション
が終了した場合、該当する変換テーブルのエントリを代
理認証サーバが削除することができる。
【0030】つぎに、本発明にかかる代理認証サーバ15
の構成例について説明する。図2は、本発明にかかる代
理認証サーバの一例の構成を概略的に示す概略ブロック
図である。
の構成例について説明する。図2は、本発明にかかる代
理認証サーバの一例の構成を概略的に示す概略ブロック
図である。
【0031】図2に示すように、代理認証サーバ15は、
共用アクセスポイントサーバ(図1中の共用アクセスポ
イント13に相当する)およびユーザ認証サーバ(図1中
のユーザ認証サーバ17に相当する)に接続されており、
また、該代理認証サーバ15は、共用アクセスポイントサ
ーバおよびユーザ認証サーバに接続されたアドレス情報
変換手段21と、該アドレス情報変換手段21に接続された
変換テーブル記憶手段23と、該変換テーブル記憶手段23
に接続され、かつ共用アクセスポイントサーバおよびユ
ーザ認証サーバに接続されたアドレス情報再変換手段22
とを有している。
共用アクセスポイントサーバ(図1中の共用アクセスポ
イント13に相当する)およびユーザ認証サーバ(図1中
のユーザ認証サーバ17に相当する)に接続されており、
また、該代理認証サーバ15は、共用アクセスポイントサ
ーバおよびユーザ認証サーバに接続されたアドレス情報
変換手段21と、該アドレス情報変換手段21に接続された
変換テーブル記憶手段23と、該変換テーブル記憶手段23
に接続され、かつ共用アクセスポイントサーバおよびユ
ーザ認証サーバに接続されたアドレス情報再変換手段22
とを有している。
【0032】アドレス情報(Ia)、アクセスセッショ
ン特定情報(Pa,Sa)等を含む認証要求パケット24
が代理認証サーバ15のアドレス情報変換手段21を介して
共用アクセスポイントサーバからユーザ認証サーバへ送
られる。アドレス情報変換手段21は、該認証要求パケッ
ト24に含まれるアドレス情報Iaを、別のアドレス情報I
pに変換した後、該認証要求パケット24をユーザ認証サ
ーバに送出する。このとき、アドレス情報変換手段21が
アクセスセッション特定情報Pa,Saを変換または削
除するように構成しても良い。
ン特定情報(Pa,Sa)等を含む認証要求パケット24
が代理認証サーバ15のアドレス情報変換手段21を介して
共用アクセスポイントサーバからユーザ認証サーバへ送
られる。アドレス情報変換手段21は、該認証要求パケッ
ト24に含まれるアドレス情報Iaを、別のアドレス情報I
pに変換した後、該認証要求パケット24をユーザ認証サ
ーバに送出する。このとき、アドレス情報変換手段21が
アクセスセッション特定情報Pa,Saを変換または削
除するように構成しても良い。
【0033】変換テーブル記憶手段23は、該アドレス情
報変換手段21から変換前のアドレス情報Iaおよび変換
後のアドレス情報Ipを取得し、これを、たとえば[表
3]に示すような変換テーブルに格納する。アクセスセ
ッション特定情報Pa,Saを変換または削除する場合
は、該アクセスセッション特定情報Pa,Saおよび、
変換後のこれらアクセスセッション特定情報Pp,Spも
該変換テーブルに記憶する。
報変換手段21から変換前のアドレス情報Iaおよび変換
後のアドレス情報Ipを取得し、これを、たとえば[表
3]に示すような変換テーブルに格納する。アクセスセ
ッション特定情報Pa,Saを変換または削除する場合
は、該アクセスセッション特定情報Pa,Saおよび、
変換後のこれらアクセスセッション特定情報Pp,Spも
該変換テーブルに記憶する。
【0034】一方、ユーザ認証サーバは、該認証要求パ
ケット24を受け取ると、該認証要求パケット24に格納さ
れた認証情報から接続の可否を判断しその結果を認証応
答パケット25に格納してこれを代理認証サーバ15に返送
する。
ケット24を受け取ると、該認証要求パケット24に格納さ
れた認証情報から接続の可否を判断しその結果を認証応
答パケット25に格納してこれを代理認証サーバ15に返送
する。
【0035】該認証応答パケット25は、代理認証サーバ
15のアドレス情報再変換手段22によって受け取られる。
アドレス情報再変換手段22は該認証応答パケット25に格
納されたアドレス情報Ipを読み取り、該変換テーブル
記憶手段23に記憶された変換テーブルを参照して、アド
レス情報IpをIaに再変換する。なお、アクセスセッシ
ョン特定情報がPp,Spに変換された場合には、アドレ
ス情報再変換手段22はこれらを元のアクセスセッション
特定情報Pa,Saに再変換し、また、アクセスセッシ
ョン特定情報の削除が行われた場合には、アドレス情報
再変換手段22はアクセスセッション特定情報Pa,Sa
を認証応答パケット25に付加してもよい。
15のアドレス情報再変換手段22によって受け取られる。
アドレス情報再変換手段22は該認証応答パケット25に格
納されたアドレス情報Ipを読み取り、該変換テーブル
記憶手段23に記憶された変換テーブルを参照して、アド
レス情報IpをIaに再変換する。なお、アクセスセッシ
ョン特定情報がPp,Spに変換された場合には、アドレ
ス情報再変換手段22はこれらを元のアクセスセッション
特定情報Pa,Saに再変換し、また、アクセスセッシ
ョン特定情報の削除が行われた場合には、アドレス情報
再変換手段22はアクセスセッション特定情報Pa,Sa
を認証応答パケット25に付加してもよい。
【0036】該アドレス情報再変換手段22は、上記のよ
うな再変換または付加を行った後、該認証応答パケット
25を共有アクセスポイントサーバに送出する。
うな再変換または付加を行った後、該認証応答パケット
25を共有アクセスポイントサーバに送出する。
【0037】なお、上記の構成例においては、変換テー
ブル記憶手段23が用いられていたが、本発明の別の実施
態様においては、変換テーブル記憶手段23を用いずに、
アドレス情報変換手段21が、アドレス情報Ia、Ip、ア
クセスセッション特定情報P a,Sa、Pp,Sp等を
直接アドレス情報再変換手段22に供給するように構成し
ても、本発明は実施可能である。
ブル記憶手段23が用いられていたが、本発明の別の実施
態様においては、変換テーブル記憶手段23を用いずに、
アドレス情報変換手段21が、アドレス情報Ia、Ip、ア
クセスセッション特定情報P a,Sa、Pp,Sp等を
直接アドレス情報再変換手段22に供給するように構成し
ても、本発明は実施可能である。
【0038】なお、本発明は上記実施例に限定されるも
のではなく、本発明の趣旨を逸脱しない範囲において、
種々変形して実施可能である。
のではなく、本発明の趣旨を逸脱しない範囲において、
種々変形して実施可能である。
【0039】
【発明の効果】本発明による代理認証サーバを用いれ
ば、以下の[表3]に示すような属性値を持つパケット
を転送することができ、ユーザ網の認証サーバに対し
て、共用アクセスポイントを仮想的に一つに見せること
が可能となる。
ば、以下の[表3]に示すような属性値を持つパケット
を転送することができ、ユーザ網の認証サーバに対し
て、共用アクセスポイントを仮想的に一つに見せること
が可能となる。
【0040】なお、本発明による代理認証サーバは、IS
DNやアナログ電話回線のみならず、ADSLアクセス系など
の常時接続アクセス回線を用いたシステムに於いても、
有効である。
DNやアナログ電話回線のみならず、ADSLアクセス系など
の常時接続アクセス回線を用いたシステムに於いても、
有効である。
【図1】本発明実施例および従来技術で前提とする、共
用アクセスポイントサービスシステム構成例を示す。
用アクセスポイントサービスシステム構成例を示す。
【図2】本発明にかかる代理認証サーバの一例の構成を
概略的に示す概略ブロック図である。
概略的に示す概略ブロック図である。
10 … 共用アクセスポイントサービスシステム、 11 … アクセスユーザ(ユーザ端末)、 12 … アクセス網、 13 … 共用アクセスポイント(リモートアクセスサ
ーバ) 14 … コア網(コアネットワーク)、 15 … 代理認証サーバ、 16 … 接続装置、 17 … ユーザ認証サーバ、 18 … ユーザ網(ユーザネットワーク)、 21 … アドレス情報変換手段、 22 … アドレス情報再変換手段、 23 … 変換テーブル記憶手段、 24 … 認証要求パケット、 25 … 認証応答パケット
ーバ) 14 … コア網(コアネットワーク)、 15 … 代理認証サーバ、 16 … 接続装置、 17 … ユーザ認証サーバ、 18 … ユーザ網(ユーザネットワーク)、 21 … アドレス情報変換手段、 22 … アドレス情報再変換手段、 23 … 変換テーブル記憶手段、 24 … 認証要求パケット、 25 … 認証応答パケット
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B085 AA08 AE23 BA06 CA01 5K030 GA15 HC01 HD09 KA06 5K033 CB09 DA06 EC04 5K034 AA16 DD02 HH62 9A001 BB03 BB04 CC03 CC04 CC08 DD10 JJ18 JJ25 JJ27 KK56 LL03 LL09
Claims (7)
- 【請求項1】 アクセスユーザ(11)が共用リモート
アクセスポイント(13)を介して所望のネットワーク
(18)を任意に選択して該所望のネットワークとの接
続を行う共用アクセスポイントサービスシステムに於い
て、該リモートアクセスポイントと該ネットワークとの
間に接続された代理認証サーバ(15)であって、 アクセスユーザからの認証要求に含まれる、アクセスポ
イントを特定するアドレス情報を、自身またはある特定
のアドレス情報に変換することを特徴とする、代理認証
サーバ。 - 【請求項2】 請求項1に記載の代理認証サーバであっ
て、 該代理認証サーバは、該アドレス情報と変換後のアドレ
ス情報を記録した変換テーブルを備えている、ことを特
徴とする代理認証サーバ。 - 【請求項3】 請求項1または2に記載の代理認証サー
バであって、 該認証要求に含まれるアクセスセッション特定情報を変
換または削除することを特徴とする、代理認証サーバ。 - 【請求項4】 複数のユーザ端末(11)にそれぞれ接
続された少なくとも一つの共用アクセスポイント(1
3)と、ユーザ認証サーバ(17)を有する少なくとも
一つのユーザネットワーク(18)とに接続された代理
認証サーバ(15)であって、ユーザ端末から共用アク
セスポイントを介して送られた、アドレス情報を含む認
証要求情報(24)をユーザネットワークのユーザ認証
サーバに転送し、かつ該ユーザ認証サーバが該認証要求
情報に応答して発信したユーザ認証応答情報(25)を
該共用アクセスポイントを介して該ユーザ端末に転送す
る代理認証サーバにおいて、 該代理認証サーバは:該認証要求情報における該アドレ
ス情報を第2のアドレス情報に変換して、該第2のアド
レス情報を含む認証要求情報を該ユーザ認証サーバに向
けて送出するアドレス情報変換手段(21)と、 該ユーザ認証サーバが該第2のアドレス情報を含む認証
要求情報に応答して生成した、該第2のアドレス情報を
含む認証応答情報を受け取り、該第2のアドレス情報を
該アドレス情報に再変換し、該アドレス情報を含む認証
応答情報を該共用ポイントに向けて送出する、アドレス
情報再変換手段(22)と、を具備することを特徴とす
る代理認証サーバ。 - 【請求項5】 請求項4に記載の代理認証サーバであっ
て、 該代理認証サーバは、該アドレス情報と該第2のアドレ
ス情報を記録した変換テーブルを記録する変換テーブル
記憶手段(23)を備えており、 該変換テーブル記憶手段は該アドレス情報変換手段から
該アドレス情報と該第2のアドレス情報を取得し、か
つ、これらを該変換テーブルに記憶し、 該アドレス情報再変換手段は、該変換テーブル記憶手段
の該変換テーブルに基づいて、該第2のアドレス情報か
ら該アドレス情報への再変換を行う、ことを特徴とする
代理認証サーバ。 - 【請求項6】 請求項4または5に記載の代理認証サー
バであって、 該認証要求情報は、アクセスセッションを特定するため
のアクセスセッション特定情報を含んでおり、 該アドレス情報変換手段は、該認証要求情報に含まれる
アクセスセッション特定情報を変換または削除すること
を特徴とする、代理認証サーバ。 - 【請求項7】 複数のユーザ端末(11)と複数のユー
ザネットワーク(18)とを、該ユーザ端末に接続され
た少なくとも一つの共用アクセスポイントサーバ(1
3)と、該複数のユーザネットワークに接続された少な
くとも一つの接続装置(16)とを介して選択的に接続
するための共用アクセスポイントサービスシステム(1
0)において、該共用アクセスポイントサービスシステ
ムは:該共用アクセスポイントおよび接続装置に接続さ
れたコア網(14)と、 該コア網に接続された代理認証サーバ(15)と、を具
備し、 該代理認証サーバは、請求項1から6のいずれかに記載
された代理認証サーバである、ことを特徴とする共用ア
クセスポイントサービスシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000082768A JP2001273257A (ja) | 2000-03-23 | 2000-03-23 | 代理認証サーバ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000082768A JP2001273257A (ja) | 2000-03-23 | 2000-03-23 | 代理認証サーバ |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001273257A true JP2001273257A (ja) | 2001-10-05 |
Family
ID=18599523
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000082768A Pending JP2001273257A (ja) | 2000-03-23 | 2000-03-23 | 代理認証サーバ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001273257A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2410402A (en) * | 2004-01-23 | 2005-07-27 | Rxtxtech Ltd | Preventing fraudulent logging on to network services |
| WO2009101848A1 (ja) * | 2008-02-14 | 2009-08-20 | Nec Corporation | 処理分散システム、認証サーバ、分散サーバ及び処理分散方法 |
| US7631186B2 (en) | 2003-11-21 | 2009-12-08 | Nec Corporation | Mobile terminal authentication method capable of reducing authentication processing time and preventing fraudulent transmission/reception of data through spoofing |
| WO2012054637A3 (en) * | 2010-10-20 | 2012-07-26 | Jeffry Aronson | Single-point-of-access cyber system |
| US8832794B2 (en) | 2010-10-20 | 2014-09-09 | Jeffry David Aronson | Single-point-of-access cyber system |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10154995A (ja) * | 1996-11-20 | 1998-06-09 | Fujitsu Ltd | ゲートウェイ装置及びパケット中継方法 |
| JPH10254807A (ja) * | 1997-01-22 | 1998-09-25 | Lucent Technol Inc | 匿名的にサーバサイトを閲覧する方法 |
| JPH11239178A (ja) * | 1998-02-20 | 1999-08-31 | Distribution Systems Research Inst | 統合情報通信システム |
| WO1999043399A1 (en) * | 1998-02-27 | 1999-09-02 | Bauer Inc. | In-line roller skate with improved connection between the frame and the boot |
| JP2000513198A (ja) * | 1996-11-12 | 2000-10-03 | モトローラ・インコーポレイテッド | 電気モータを整流する方法および装置 |
-
2000
- 2000-03-23 JP JP2000082768A patent/JP2001273257A/ja active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000513198A (ja) * | 1996-11-12 | 2000-10-03 | モトローラ・インコーポレイテッド | 電気モータを整流する方法および装置 |
| JPH10154995A (ja) * | 1996-11-20 | 1998-06-09 | Fujitsu Ltd | ゲートウェイ装置及びパケット中継方法 |
| JPH10254807A (ja) * | 1997-01-22 | 1998-09-25 | Lucent Technol Inc | 匿名的にサーバサイトを閲覧する方法 |
| JPH11239178A (ja) * | 1998-02-20 | 1999-08-31 | Distribution Systems Research Inst | 統合情報通信システム |
| WO1999043399A1 (en) * | 1998-02-27 | 1999-09-02 | Bauer Inc. | In-line roller skate with improved connection between the frame and the boot |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7631186B2 (en) | 2003-11-21 | 2009-12-08 | Nec Corporation | Mobile terminal authentication method capable of reducing authentication processing time and preventing fraudulent transmission/reception of data through spoofing |
| GB2410402A (en) * | 2004-01-23 | 2005-07-27 | Rxtxtech Ltd | Preventing fraudulent logging on to network services |
| GB2410402B (en) * | 2004-01-23 | 2007-01-24 | Rxtxtech Ltd | A system and method for limiting simultaneous access to a network service |
| WO2009101848A1 (ja) * | 2008-02-14 | 2009-08-20 | Nec Corporation | 処理分散システム、認証サーバ、分散サーバ及び処理分散方法 |
| WO2012054637A3 (en) * | 2010-10-20 | 2012-07-26 | Jeffry Aronson | Single-point-of-access cyber system |
| US8832794B2 (en) | 2010-10-20 | 2014-09-09 | Jeffry David Aronson | Single-point-of-access cyber system |
| US9479507B2 (en) | 2010-10-20 | 2016-10-25 | Jeffry David Aronson | Single-point-of-access cyber system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6801528B2 (en) | System and method for dynamic simultaneous connection to multiple service providers | |
| US6088725A (en) | Mobile computer supporting system, its administrative server, its terminal, and address conversion method | |
| JP4909277B2 (ja) | ネットワーク通信機器、ネットワーク通信方法、アドレス管理機器 | |
| US8737396B2 (en) | Communication method and communication system | |
| US20070217408A1 (en) | Address Resolution Device, Address Resolution Method, And Communication System Including The Same | |
| CN101110847B (zh) | 一种获取介质访问控制地址的方法、系统及装置 | |
| JP2004364141A (ja) | Ipアドレス変換装置およびパケット転送装置 | |
| JP4524906B2 (ja) | 通信中継装置、通信中継方法、および通信端末装置、並びにプログラム記憶媒体 | |
| JP2007013684A (ja) | 通信システム、サーバ装置及びデータ端末装置 | |
| JP2007074172A (ja) | プライベートネットワーク間接続システム及びアドレス変換装置 | |
| JP3858884B2 (ja) | ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム | |
| JP2002123491A (ja) | 認証代行方法、認証代行装置、及び認証代行システム | |
| JP2001273257A (ja) | 代理認証サーバ | |
| JP2011217174A (ja) | 通信システム、パケット転送方法、ネットワーク交換装置、及びプログラム | |
| CN108040137A (zh) | 一种域名解析方法、网关及网络系统 | |
| JP4249680B2 (ja) | 構内電話システム及びその内線電話機収容方法 | |
| JP3490358B2 (ja) | ネットワーク間通信方法およびサーバ装置並びにネットワーク間通信システム | |
| JP3616571B2 (ja) | インターネット中継接続におけるアドレス解決方式 | |
| JP3696816B2 (ja) | アドレス秘匿通信方法、システムおよびプライバシーゲートウェイ | |
| JP2008206081A (ja) | マルチホーミング通信システムに用いられるデータ中継装置およびデータ中継方法 | |
| JP2001211196A (ja) | 通信システム | |
| CN111917858B (zh) | 一种远程管理系统、方法、装置及服务器 | |
| JP2004120125A (ja) | ルータおよびルータ設定情報処理方法 | |
| US6934764B2 (en) | Method of converting a network address | |
| JP3947141B2 (ja) | ネットワーク間通信方法及び管理サーバ並びにユーザ網管理サーバ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20041026 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041221 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050426 |