JP2001273258A - ユーザ認証システム - Google Patents
ユーザ認証システムInfo
- Publication number
- JP2001273258A JP2001273258A JP2000082767A JP2000082767A JP2001273258A JP 2001273258 A JP2001273258 A JP 2001273258A JP 2000082767 A JP2000082767 A JP 2000082767A JP 2000082767 A JP2000082767 A JP 2000082767A JP 2001273258 A JP2001273258 A JP 2001273258A
- Authority
- JP
- Japan
- Prior art keywords
- user
- authentication server
- vpn
- proxy authentication
- side proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】 ユーザ認証サーバ26の代理認証サーバ登録デ
ータベースに変更を加えずに、共用NAS23の増設に伴う
相互接続網40内の代理認証サーバ増設を行なえるユーザ
認証システムを提供する。 【解決手段】 ユーザ認証サーバ26とVPN側代理認証サ
ーバ25との接続関係が常に固定となるように、相互接続
網40内にユーザ側代理認証サーバ24とVPN側代理認証サ
ーバ25を設置し、ユーザ側代理認証サーバ26とVPN側代
理認証サーバ25との間及び、VPN側代理認証サーバ25と
ユーザ認証サーバ24との間でユーザ認証情報を転送す
る。
ータベースに変更を加えずに、共用NAS23の増設に伴う
相互接続網40内の代理認証サーバ増設を行なえるユーザ
認証システムを提供する。 【解決手段】 ユーザ認証サーバ26とVPN側代理認証サ
ーバ25との接続関係が常に固定となるように、相互接続
網40内にユーザ側代理認証サーバ24とVPN側代理認証サ
ーバ25を設置し、ユーザ側代理認証サーバ26とVPN側代
理認証サーバ25との間及び、VPN側代理認証サーバ25と
ユーザ認証サーバ24との間でユーザ認証情報を転送す
る。
Description
【0001】
【発明の属する技術分野】本発明は、PPP(Point-to-Poi
nt Protocol)等により、ユーザ端末(たとえば、ユーザ
PC)をISDN等のダイヤルアップやADSL等の常時接続アク
セスを介して、VPN(Virtual Pivate Network)に接続す
るアクセスサービスを、複数のVPNが共同で利用できる
共用NASを設置して提供する際の、ユーザの認証に関す
るものである。
nt Protocol)等により、ユーザ端末(たとえば、ユーザ
PC)をISDN等のダイヤルアップやADSL等の常時接続アク
セスを介して、VPN(Virtual Pivate Network)に接続す
るアクセスサービスを、複数のVPNが共同で利用できる
共用NASを設置して提供する際の、ユーザの認証に関す
るものである。
【0002】
【従来の技術】一般家庭や中小企業のユーザが、アナロ
グ電話回線やISDN等の公衆網を用いて商用ISP(Internet
Servce Provider)や企業LAN(商用ISPや企業LANをまと
めて、「VPN」と称す)に接続するには、PPP(Point-to-
Point Potocol)等によるダイヤルアップアクセスを用い
て、VPNが用意するNASに接続することが主流である。現
状では各VPNがユーザの利便を図るために、地域毎にNAS
を設置してサービスを展開していることが殆んどだが、
VPN〜NAS間に専用線を設置しなければならない等、コス
ト面で課題がある。
グ電話回線やISDN等の公衆網を用いて商用ISP(Internet
Servce Provider)や企業LAN(商用ISPや企業LANをまと
めて、「VPN」と称す)に接続するには、PPP(Point-to-
Point Potocol)等によるダイヤルアップアクセスを用い
て、VPNが用意するNASに接続することが主流である。現
状では各VPNがユーザの利便を図るために、地域毎にNAS
を設置してサービスを展開していることが殆んどだが、
VPN〜NAS間に専用線を設置しなければならない等、コス
ト面で課題がある。
【0003】この課題を解決するために、複数のVPNが
共同で利用できる共用NASを設置し、共用NASとVPNとの
間に相互接続網を設けることが考えられる。共用NASサ
ービスのネットワーク構成例を図1に示す。
共同で利用できる共用NASを設置し、共用NASとVPNとの
間に相互接続網を設けることが考えられる。共用NASサ
ービスのネットワーク構成例を図1に示す。
【0004】図中、1はユーザ端末(ユーザPC)、2は公
衆網、3は共用NAS、4は相互接続網、5は代理認証サー
バ、6はVPN、7はユーザ認証サーバである。共用NASサー
ビスでは、ユーザは手近の共用NASにダイヤルアップ等
で接続する。この際、ユーザが接続を希望するVPNを特
定できるようにするために、ユーザにはログイン名やパ
スワードの他に、VPN識別子をログイン名のフォーマッ
トを「login_name@vpn_identifier」とする等の方法に
より入力してもらう。
衆網、3は共用NAS、4は相互接続網、5は代理認証サー
バ、6はVPN、7はユーザ認証サーバである。共用NASサー
ビスでは、ユーザは手近の共用NASにダイヤルアップ等
で接続する。この際、ユーザが接続を希望するVPNを特
定できるようにするために、ユーザにはログイン名やパ
スワードの他に、VPN識別子をログイン名のフォーマッ
トを「login_name@vpn_identifier」とする等の方法に
より入力してもらう。
【0005】ユーザ認証には、相互接続網とユーザ認証
サーバとの間でユーザ認証に必要な情報を送受信するた
めの代理認証サーバを相互接続網内に設置する方式が実
用化されている。図1におけるユーザ認証の論理的ネッ
トワーク構成を図2に示す。図中、11はユーザ端末(ユ
ーザPC)、12は公衆網、13は共用NAS、14は代理認証サ
ーバ、15はVPNのユーザ認証サーバである。
サーバとの間でユーザ認証に必要な情報を送受信するた
めの代理認証サーバを相互接続網内に設置する方式が実
用化されている。図1におけるユーザ認証の論理的ネッ
トワーク構成を図2に示す。図中、11はユーザ端末(ユ
ーザPC)、12は公衆網、13は共用NAS、14は代理認証サ
ーバ、15はVPNのユーザ認証サーバである。
【0006】代理認証サーバ14は、共用NAS13から受け
取った認証情報をユーザ認証サーバ15ヘ転送し、また、
ユーザ認証サーバ15から送られる認証応答を共用NASへ
転送する機能を持つ。代理認証サーバ14とユーザ認証サ
ーバ15とは、クライアント・サーバの関係を持つと考え
れば良い。また、代理認証サーバ14とユーザ認証サーバ
15との間でやりとりされる認証に関する情報は相互接続
網を流れるので、MD5等の暗号化が施されている。さら
に、ユーザ認証サーバ15は、セキュリティ確保のため
に、クライアントとなる代理認証サーバ14毎の暗号鍵や
IPアドレスの情報を保持する代理認証サーバ登録データ
ベースを持つ。
取った認証情報をユーザ認証サーバ15ヘ転送し、また、
ユーザ認証サーバ15から送られる認証応答を共用NASへ
転送する機能を持つ。代理認証サーバ14とユーザ認証サ
ーバ15とは、クライアント・サーバの関係を持つと考え
れば良い。また、代理認証サーバ14とユーザ認証サーバ
15との間でやりとりされる認証に関する情報は相互接続
網を流れるので、MD5等の暗号化が施されている。さら
に、ユーザ認証サーバ15は、セキュリティ確保のため
に、クライアントとなる代理認証サーバ14毎の暗号鍵や
IPアドレスの情報を保持する代理認証サーバ登録データ
ベースを持つ。
【0007】代理認証サーバ14を用いる場合は、ユーザ
数の増大により共用NAS13を増設する時に、負荷の分散
のために代理認証サーバ14の増設も同時に行なうことが
望まれる。この時、代理認証サーバ14をクライアントと
する認証サーバ15の、代理認証サーバ登録データベース
に対してもエントリの追加が必要となる。ユーザ認証サ
ーバ15をVPN自身が持つ場合、この追加作業はVPN自身で
行なう。共用NASの増設のたびに、相互接続網の管理組
織よりVPNに対して代理認証サーバ登録データベースの
更新を要求することになり、VPNに対するサービス性が
低下する。
数の増大により共用NAS13を増設する時に、負荷の分散
のために代理認証サーバ14の増設も同時に行なうことが
望まれる。この時、代理認証サーバ14をクライアントと
する認証サーバ15の、代理認証サーバ登録データベース
に対してもエントリの追加が必要となる。ユーザ認証サ
ーバ15をVPN自身が持つ場合、この追加作業はVPN自身で
行なう。共用NASの増設のたびに、相互接続網の管理組
織よりVPNに対して代理認証サーバ登録データベースの
更新を要求することになり、VPNに対するサービス性が
低下する。
【0008】共用NAS13の増設の際に、代理認証サーバ1
4を増設しなければ、VPNの設定変更は不要であるが、代
理認証サーバの処理負荷が増大してしまうという問題が
ある。
4を増設しなければ、VPNの設定変更は不要であるが、代
理認証サーバの処理負荷が増大してしまうという問題が
ある。
【0009】前記のように、相互接続網内に代理認証サ
ーバを増設する場合、認証サーバの代理認証サーバ登録
データベースを更新する必要がある、という問題があっ
た。
ーバを増設する場合、認証サーバの代理認証サーバ登録
データベースを更新する必要がある、という問題があっ
た。
【0010】本発明の目的は、共用NASの増設に伴う相
互接続網内の代理認証サーバ増設を、認証サーバの代理
認証サーバ登録データベースに変更を加えずに行なうこ
とである。
互接続網内の代理認証サーバ増設を、認証サーバの代理
認証サーバ登録データベースに変更を加えずに行なうこ
とである。
【0011】
【課題を解決するための手段】本発明では、上記の目的
を達成するために、相互接続網内にユーザ側代理認証サ
ーバとVPN側代理認証サーバを設置し、ユーザ側代理認
証サーバとVPN側代理認証サーバとの間及び、VPN側代理
認証サーバとユーザ認証サーバとの間で、ユーザ認証情
報を転送する、ことを特徴とする。
を達成するために、相互接続網内にユーザ側代理認証サ
ーバとVPN側代理認証サーバを設置し、ユーザ側代理認
証サーバとVPN側代理認証サーバとの間及び、VPN側代理
認証サーバとユーザ認証サーバとの間で、ユーザ認証情
報を転送する、ことを特徴とする。
【0012】またこの構成に追加して、VPN側代理認証
サーバとユーザ側代理認証サーバの間に、1段以上の中
間代理認証サーバを設置し、中間代理認証サーバと、VP
N側代理認証サーバおよびユーザ側代理認証サーバとの
間でユーザ認証情報を転送することも可能である。
サーバとユーザ側代理認証サーバの間に、1段以上の中
間代理認証サーバを設置し、中間代理認証サーバと、VP
N側代理認証サーバおよびユーザ側代理認証サーバとの
間でユーザ認証情報を転送することも可能である。
【0013】従来の技術とは、代理認証サーバとユーザ
認証サーバとの間の相互接続網内に、1段以上の代理認
証サーバ(VPN側代理認証サーバ、あるいはVPN側代理認
証サーバおよび1段以上の中間代理認証サーバ)を設け
るという点が異なる。
認証サーバとの間の相互接続網内に、1段以上の代理認
証サーバ(VPN側代理認証サーバ、あるいはVPN側代理認
証サーバおよび1段以上の中間代理認証サーバ)を設け
るという点が異なる。
【0014】本発明により、相互接続網内の代理認証サ
ーバを介してユーザ認証を行なう共用NASサービスにお
いて、ユーザ認証サーバの代理認証サーバ登録データベ
ースを更新することなく、相互接続網内に共用NASおよ
び代理認証サーバを増設することが可能となる。
ーバを介してユーザ認証を行なう共用NASサービスにお
いて、ユーザ認証サーバの代理認証サーバ登録データベ
ースを更新することなく、相互接続網内に共用NASおよ
び代理認証サーバを増設することが可能となる。
【0015】
【発明の実施の形態】以下、図面を参照しながら本発明
の実施例について説明する。
の実施例について説明する。
【0016】[第1の実施例]図3は、本発明による第
1の実施例を示すもので、図中、21はユーザ端末(ユー
ザPC)、22はISDN等の公衆網、23は共用NAS、24はユー
ザ側代理認証サーバ、25はVPN側代理認証サーバ、26はV
PNのユーザ認証サーバ、である。なお、VPNのユーザ認
証サーバ25は、ある定まった範囲のVPN側代理認証サー
バ26とのみ通信する。
1の実施例を示すもので、図中、21はユーザ端末(ユー
ザPC)、22はISDN等の公衆網、23は共用NAS、24はユー
ザ側代理認証サーバ、25はVPN側代理認証サーバ、26はV
PNのユーザ認証サーバ、である。なお、VPNのユーザ認
証サーバ25は、ある定まった範囲のVPN側代理認証サー
バ26とのみ通信する。
【0017】第1の実施例においては、ユーザ端末21の
それぞれは公衆網22を介して各共用NAS23と接続可能と
なっている。各共用NAS23は、対応するユーザ側代理認
証サーバ24に接続されている。本図中、共用NAS23とユ
ーザ側代理認証サーバ24とは、一対一の関係で接続され
ているが、本発明はこれに限られるものではなく、たと
えば一つのユーザ側代理認証サーバ24に複数の共用NAS2
3が接続されるように構成されてもよい。ユーザ側代理
認証サーバ24のそれぞれは、各VPN側代理認証サーバ25
に接続されている。VPN側代理認証サーバ25のそれぞれ
は、いずれかのユーザ認証サーバ26に接続される。VPN
側代理認証サーバ25とユーザ認証サーバ26との接続関係
は、一対一、一対多、多対一、多対多のいずれも選択可
能である。
それぞれは公衆網22を介して各共用NAS23と接続可能と
なっている。各共用NAS23は、対応するユーザ側代理認
証サーバ24に接続されている。本図中、共用NAS23とユ
ーザ側代理認証サーバ24とは、一対一の関係で接続され
ているが、本発明はこれに限られるものではなく、たと
えば一つのユーザ側代理認証サーバ24に複数の共用NAS2
3が接続されるように構成されてもよい。ユーザ側代理
認証サーバ24のそれぞれは、各VPN側代理認証サーバ25
に接続されている。VPN側代理認証サーバ25のそれぞれ
は、いずれかのユーザ認証サーバ26に接続される。VPN
側代理認証サーバ25とユーザ認証サーバ26との接続関係
は、一対一、一対多、多対一、多対多のいずれも選択可
能である。
【0018】本実施例によれば、ユーザ端末21がVPNに
接続する際に共用NAS23に送信するユーザ名やパスワー
ド等のユーザ認証情報は、共用NAS23からユーザ側代理
認証サーバ24に送られ、次にVPN側代理認証サーバ25ヘ
送信され、最終的にVPNのユーザ認証サーバ26ヘ到達す
る。逆に、VPNの認証サーバ26からユーザ端末21に送信
される認証応答は、VPNの認証サーバ26からVPN側代理認
証サーバ25、ユーザ側代理認証サーバ24、共用NAS23、
そしてユーザ端末21という順序で転送される。
接続する際に共用NAS23に送信するユーザ名やパスワー
ド等のユーザ認証情報は、共用NAS23からユーザ側代理
認証サーバ24に送られ、次にVPN側代理認証サーバ25ヘ
送信され、最終的にVPNのユーザ認証サーバ26ヘ到達す
る。逆に、VPNの認証サーバ26からユーザ端末21に送信
される認証応答は、VPNの認証サーバ26からVPN側代理認
証サーバ25、ユーザ側代理認証サーバ24、共用NAS23、
そしてユーザ端末21という順序で転送される。
【0019】VPNのユーザ認証サーバ26から見れば、ク
ライアントはVPN側代理認証サーバ25となる。また、VPN
側代理認証サーバ25のクライアントは、ユーザ側代理認
証サーバ24となる。そのため、VPNのユーザ認証サーバ2
6の代理認証サーバ登録データベースには、VPN側代理認
証サーバ25を登録し、VPN側代理認証サーバ25の代理認
証サーバ登録データベースは、ユーザ側代理認証サーバ
24を登録する。
ライアントはVPN側代理認証サーバ25となる。また、VPN
側代理認証サーバ25のクライアントは、ユーザ側代理認
証サーバ24となる。そのため、VPNのユーザ認証サーバ2
6の代理認証サーバ登録データベースには、VPN側代理認
証サーバ25を登録し、VPN側代理認証サーバ25の代理認
証サーバ登録データベースは、ユーザ側代理認証サーバ
24を登録する。
【0020】PPPユーザ数の増大等の理由により共用NAS
23を新たに設置する際には、それに対応してユーザ側代
理認証サーバ24を増設する。その際、新しいユーザ側代
理認証サーバ24が接続するVPN側代理認証サーバ25で
は、代理認証サーバ検索データベースにエントリを追加
しなければならない。しかし、VPNのユーザ認証サーバ2
6の代理認証サーバ登録データベースを更新する必要は
ない。
23を新たに設置する際には、それに対応してユーザ側代
理認証サーバ24を増設する。その際、新しいユーザ側代
理認証サーバ24が接続するVPN側代理認証サーバ25で
は、代理認証サーバ検索データベースにエントリを追加
しなければならない。しかし、VPNのユーザ認証サーバ2
6の代理認証サーバ登録データベースを更新する必要は
ない。
【0021】[第2の実施例]図4は、本発明による第
2の実施例を示すもので、図中、21はユーザPC(ユーザ
端末)、22はISDN等の公衆網、23は共用NAS、24はユーザ
側代理認証サーバ、27は中間代理認証サーバ、25はVPN
側代理認証サーバ、26はVPNのユーザ認証サーバであ
る。
2の実施例を示すもので、図中、21はユーザPC(ユーザ
端末)、22はISDN等の公衆網、23は共用NAS、24はユーザ
側代理認証サーバ、27は中間代理認証サーバ、25はVPN
側代理認証サーバ、26はVPNのユーザ認証サーバであ
る。
【0022】第2の実施例においては、ユーザ端末21の
それぞれは公衆網22を介して各共用NAS23と接続可能と
なっている。各共用NAS23は、対応するユーザ側代理認
証サーバ24に接続されている。本図中、共用NAS23とユ
ーザ側代理認証サーバ24とは、一対一の関係で接続され
ているが、本発明はこれに限られるものではなく、たと
えば一つのユーザ側代理認証サーバ24に複数の共用NAS2
3が接続されるように構成されてもよい。
それぞれは公衆網22を介して各共用NAS23と接続可能と
なっている。各共用NAS23は、対応するユーザ側代理認
証サーバ24に接続されている。本図中、共用NAS23とユ
ーザ側代理認証サーバ24とは、一対一の関係で接続され
ているが、本発明はこれに限られるものではなく、たと
えば一つのユーザ側代理認証サーバ24に複数の共用NAS2
3が接続されるように構成されてもよい。
【0023】ユーザ側代理認証サーバ24のそれぞれは、
いずれかの中間代理認証サーバ27に接続されている。ユ
ーザ側代理認証サーバ24と中間代理認証サーバ27との接
続関係は、一対一、一対多、多対一、多対多のいずれも
選択可能であるが、認証のために用意するパスの数を少
なくするためには、多対一(一つの中間代理認証サーバ
27が複数のユーザ側代理認証サーバ24を受け持つ)の関
係で接続されるのが好ましい。
いずれかの中間代理認証サーバ27に接続されている。ユ
ーザ側代理認証サーバ24と中間代理認証サーバ27との接
続関係は、一対一、一対多、多対一、多対多のいずれも
選択可能であるが、認証のために用意するパスの数を少
なくするためには、多対一(一つの中間代理認証サーバ
27が複数のユーザ側代理認証サーバ24を受け持つ)の関
係で接続されるのが好ましい。
【0024】各中間代理認証サーバ27は、VPN側代理認
証サーバ25のそれぞれに接続される。ただし、ユーザ側
代理認証サーバ24と中間代理認証サーバ27との接続関係
によっては、各中間代理認証サーバ27がVPN側代理認証
サーバ25のそれぞれに接続されなくとも、各ユーザ端末
21が全てのユーザ認証サーバとの接続ルートを確立でき
る場合もあるので、このような場合には各中間代理認証
サーバ27がVPN側代理認証サーバ25のそれぞれに接続さ
れなくともよい。なお、本図中、中間代理サーバ27は1
段構成となっているが、それぞれ少なくとも一つの中間
代理認証サーバ27から成る別の段の中間代理認証サーバ
27を追加してもよい。
証サーバ25のそれぞれに接続される。ただし、ユーザ側
代理認証サーバ24と中間代理認証サーバ27との接続関係
によっては、各中間代理認証サーバ27がVPN側代理認証
サーバ25のそれぞれに接続されなくとも、各ユーザ端末
21が全てのユーザ認証サーバとの接続ルートを確立でき
る場合もあるので、このような場合には各中間代理認証
サーバ27がVPN側代理認証サーバ25のそれぞれに接続さ
れなくともよい。なお、本図中、中間代理サーバ27は1
段構成となっているが、それぞれ少なくとも一つの中間
代理認証サーバ27から成る別の段の中間代理認証サーバ
27を追加してもよい。
【0025】VPN側代理認証サーバ25のそれぞれは、い
ずれかのユーザ認証サーバ26に接続される。VPN側代理
認証サーバ25とユーザ認証サーバ26との接続関係は、一
対一、一対多、多対一、多対多のいずれも選択可能であ
るが、認証のために用意するパスの数を少なくするため
には、多対一(一つのユーザ認証サーバ26が複数のVPN
側代理認証サーバ25を受け持つ)の関係で接続されるの
が好ましい。
ずれかのユーザ認証サーバ26に接続される。VPN側代理
認証サーバ25とユーザ認証サーバ26との接続関係は、一
対一、一対多、多対一、多対多のいずれも選択可能であ
るが、認証のために用意するパスの数を少なくするため
には、多対一(一つのユーザ認証サーバ26が複数のVPN
側代理認証サーバ25を受け持つ)の関係で接続されるの
が好ましい。
【0026】本実施例によれば、PPPユーザ(ユーザ端
末21)がVPNに接続する際に共用NAS23に送信するユーザ
名やパスワードなどの認証情報は、共用NAS23からユー
ザ側代理認証サーバ24に送られ、次に1段以上の中間代
理認証サーバ27に送られ、更にVPN側代理認証サーバ25
ヘ送信され、最終的にVPNのユーザ認証サーバ26ヘ到達
する。逆に、VPNのユーザ認証サーバ26からPPPユーザに
送信される認証応答は、VPNのユーザ認証サーバからVPN
側代理認証サーバ、1段以上の中間代理認証サーバ27、
ユーザ側代理認証サーバ24、共用NAS23、そしてユーザ
端末21という順序で転送される。
末21)がVPNに接続する際に共用NAS23に送信するユーザ
名やパスワードなどの認証情報は、共用NAS23からユー
ザ側代理認証サーバ24に送られ、次に1段以上の中間代
理認証サーバ27に送られ、更にVPN側代理認証サーバ25
ヘ送信され、最終的にVPNのユーザ認証サーバ26ヘ到達
する。逆に、VPNのユーザ認証サーバ26からPPPユーザに
送信される認証応答は、VPNのユーザ認証サーバからVPN
側代理認証サーバ、1段以上の中間代理認証サーバ27、
ユーザ側代理認証サーバ24、共用NAS23、そしてユーザ
端末21という順序で転送される。
【0027】図3に示す実施例1に於いては、各ユーザ
側代理認証サーバ24は、全てのVPN側代理認証サーバ25
と認証情報を送受信する必要があったが、本実施例で
は、各共用NAS23からすべてのVPNに対しての中間代理認
証サーバを経由したパスが設定されていれば良く、認証
のために用意するパスの数が少なくでき、共用NASとVPN
の相互接続網内の距離が長い場合に、効率的な認証用パ
スの設定が可能となる。
側代理認証サーバ24は、全てのVPN側代理認証サーバ25
と認証情報を送受信する必要があったが、本実施例で
は、各共用NAS23からすべてのVPNに対しての中間代理認
証サーバを経由したパスが設定されていれば良く、認証
のために用意するパスの数が少なくでき、共用NASとVPN
の相互接続網内の距離が長い場合に、効率的な認証用パ
スの設定が可能となる。
【0028】[第3の実施例]図5は、本発明による第
3の実施例を示すもので、図中、21はユーザ端末(ユー
ザPC)、22はISDN等の公衆網、40は相互接続網、23は共
用NAS、24はユーザ側代理認証サーバ、25はVPN側代理認
証サーバ、26’は相互接続網内のユーザ認証サーバ、50
はVPNである。
3の実施例を示すもので、図中、21はユーザ端末(ユー
ザPC)、22はISDN等の公衆網、40は相互接続網、23は共
用NAS、24はユーザ側代理認証サーバ、25はVPN側代理認
証サーバ、26’は相互接続網内のユーザ認証サーバ、50
はVPNである。
【0029】本実施例は、ユーザ認証サーバ26’がVPN
内に設けられるのではなく相互接続網40内に設けられる
点を除いて、第1の実施例と同様であり、本実施例にお
ける共用NAS23、ユーザ側代理認証サーバ24、VPN側代理
認証サーバ25、およびユーザ認証サーバ26’相互の接続
関係は、前記第1の実施例と同様である。
内に設けられるのではなく相互接続網40内に設けられる
点を除いて、第1の実施例と同様であり、本実施例にお
ける共用NAS23、ユーザ側代理認証サーバ24、VPN側代理
認証サーバ25、およびユーザ認証サーバ26’相互の接続
関係は、前記第1の実施例と同様である。
【0030】本実施例によれば、PPPユーザ(ユーザ端末
21)がVPN50に接続する際に共用NAS23に送信するユーザ
名やパスワード等の認証情報は、共用NAS23からユーザ
側代理認証サーバ24に送られ、更にVPN側代理認証サー
バ25ヘ送信され、最終的に相互接続網40内のユーザ認証
サーバ26’ヘ到達する。認証情報がVPN50内に到達する
事はない。逆に、相互接続網40内のユーザ認証サーバ2
6’からPPPユーザに送信される認証応答は、相互接続網
40内のユーザ認証サーバ26’からVPN側代理認証サーバ2
5、ユーザ側代理認証サーバ24、共用NAS23、そしてユー
ザPC21という順序で転送される。
21)がVPN50に接続する際に共用NAS23に送信するユーザ
名やパスワード等の認証情報は、共用NAS23からユーザ
側代理認証サーバ24に送られ、更にVPN側代理認証サー
バ25ヘ送信され、最終的に相互接続網40内のユーザ認証
サーバ26’ヘ到達する。認証情報がVPN50内に到達する
事はない。逆に、相互接続網40内のユーザ認証サーバ2
6’からPPPユーザに送信される認証応答は、相互接続網
40内のユーザ認証サーバ26’からVPN側代理認証サーバ2
5、ユーザ側代理認証サーバ24、共用NAS23、そしてユー
ザPC21という順序で転送される。
【0031】前記実施例1と同様に、本実施例では共用
NAS23増設時のユーザ側代理認証サーバ24増設の際に
も、VPN側代理認証サーバ25の数を不変とする事で、相
互接続網内のユーザ認証サーバの代理認証サーバ登録デ
ータベースの更新を不要とする事が可能となる。
NAS23増設時のユーザ側代理認証サーバ24増設の際に
も、VPN側代理認証サーバ25の数を不変とする事で、相
互接続網内のユーザ認証サーバの代理認証サーバ登録デ
ータベースの更新を不要とする事が可能となる。
【0032】なお、ユーザ側代理認証サーバ26’とVPN
側代理認証サーバ25との間に1段以上の中間代理認証サ
ーバを設置する事も可能である。この場合でも、前記第
2の実施と同様に、認証のために用意するパスを少なく
でき、効率的な認証用パスの設定が可能となる。また、
相互接続網40内に設置されるユーザ認証サーバ26’は、
接続先のVPN毎に分散配置されていても良いし、複数のV
PNが共用していても構わない。
側代理認証サーバ25との間に1段以上の中間代理認証サ
ーバを設置する事も可能である。この場合でも、前記第
2の実施と同様に、認証のために用意するパスを少なく
でき、効率的な認証用パスの設定が可能となる。また、
相互接続網40内に設置されるユーザ認証サーバ26’は、
接続先のVPN毎に分散配置されていても良いし、複数のV
PNが共用していても構わない。
【0033】
【発明の効果】本発明によれば、相互接続網内の代理認
証サーバを介してユーザ認証を行なう共用NASサービス
において、ユーザ認証サーバの代理認証サーバ登録デー
タベースを更新する負担を生じさせること無く、相互接
続網内に共用NASおよび代理認証サーバを増設すること
が可能となる。また、中間代理認証サーバを用いる本発
明の実施の態様によれば、認証のために用意するパスの
数を少なくすることが可能となり、共用NASとVPNの相互
接続網内の距離が長い場合に、効率的な認証用パスの設
定が可能となる。
証サーバを介してユーザ認証を行なう共用NASサービス
において、ユーザ認証サーバの代理認証サーバ登録デー
タベースを更新する負担を生じさせること無く、相互接
続網内に共用NASおよび代理認証サーバを増設すること
が可能となる。また、中間代理認証サーバを用いる本発
明の実施の態様によれば、認証のために用意するパスの
数を少なくすることが可能となり、共用NASとVPNの相互
接続網内の距離が長い場合に、効率的な認証用パスの設
定が可能となる。
【図1】従来の共用NASサービスのネットワーク構成の
一例を示す概略ブロック図である。
一例を示す概略ブロック図である。
【図2】従来の代理認証サーバを用いる場合の論理的ネ
ットワーク構成の一例を示す概略ブロック図である。
ットワーク構成の一例を示す概略ブロック図である。
【図3】本発明にかかる第1の実施例によるユーザ認証
システム構成の一例を示す概略ブロック図である。
システム構成の一例を示す概略ブロック図である。
【図4】本発明にかかる第2の実施例によるユーザ認証
システム構成の一例を示す概略ブロック図である。
システム構成の一例を示す概略ブロック図である。
【図5】本発明にかかる第3の実施例によるユーザ認証
システム構成の一例を示す概略ブロック図である。
システム構成の一例を示す概略ブロック図である。
21 … ユーザ端末(ユーザPC) 22 … 公衆網、 23 … 共用NAS、 24 … ユーザ側代理認証サーバ、 25 … VPN側代理認証サーバ、 26 … ユーザ認証サーバ、 27 … 中間代理認証サーバ 40 … 相互接続網 50 … VPN
───────────────────────────────────────────────────── フロントページの続き (72)発明者 加納 正雄 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 早瀬 千善 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5B085 AE23 BG07 5J104 AA07 KA01 MA03 PA07 5K030 GA15 HA08 HC01 HC13 KA01 KA07 LD20 LE01 9A001 CC04 CC06 CC08 DD10 EE03 JJ25 JJ27 KK60 LL03
Claims (10)
- 【請求項1】 ユーザ認証サーバ(26)を有する複数
の仮想プライベートネットワーク(Virtua1 Private Net
work、以下「VPN」という)と複数のユーザ端末(2
1)とに接続され、ユーザ端末の要求に応じて、該ユー
ザ端末と該ユーザ端末が選択したVPNを接続するため
の相互接続網に於いて、該ユーザ端末が該VPNに接続
する資格を有する場合にのみ該接続を行うユーザ認証シ
ステムであって、 該複数のユーザ端末に接続された少なくとも一つの共用
ネットワークアクセスサーバ(共用Network Access Serv
er、以下「共用NAS」という)(23)と、 該少なくとも一つの共用NASに接続された、少なくと
も一つのユーザ側代理認証サーバ(24)と、 該少なくとも一つのユーザ側代理認証サーバに接続され
るとともに、該複数のVPNのユーザ認証サーバに接続
された、少なくとも一つのVPN側代理認証サーバ(2
5)と、を具備し、 該複数のVPNのユーザ認証サーバのそれぞれは該少な
くとも一つのVPN側代理認証サーバのいずれかに接続
され、該ユーザ認証サーバとVPN側代理認証サーバと
の接続関係は常に固定である、ことを特徴とする、ユー
ザ認証システム。 - 【請求項2】 請求項1に記載のユーザ認証システムに
おいて、 ユーザ側代理認証サーバのそれぞれは、そのクライアン
トとなる共用NASを識別するためのデータベース及
び、そのサーバとなるVPN側代理認証サーバを識別す
るためのデータベースを有し、 VPN側代理認証サーバのそれぞれは、そのクライアン
トとなるユーザ側代理認証サーバを識別するためのデー
タベース及び、そのサーバとなるユーザ認証サーバを識
別するためのデータベースを持つ、ことを特徴とする、
ユーザ認証システム。 - 【請求項3】 請求項1に記載のユーザ認証システムで
あって、 各ユーザ側代理認証サーバは、全ての該VPN側代理認
証サーバに接続され、ユーザ認証情報を送受信する、こ
とを特徴とする、ユーザ認証システム。 - 【請求項4】 ユーザ認証サーバ(26)を有する複数
のVPNと複数のユーザ端末(21)とに接続され、ユ
ーザ端末の要求に応じて、該ユーザ端末と該ユーザ端末
が選択したVPNを接続するための相互接続網に於い
て、該ユーザ端末が該VPNに接続する資格を有する場
合にのみ該接続を行うユーザ認証システムであって、 該複数のユーザ端末に接続された少なくとも一つの共用
NAS(23)と、 該少なくとも一つの共用NASに接続された、少なくと
も一つのユーザ側代理認証サーバ(24)と、 該少なくとも一つのユーザ側代理認証サーバに接続され
た少なくとも一つの中間代理認証サーバ(27)と、 該少なくとも一つの中間代理認証サーバに接続されると
ともに、該複数のVPNのユーザ認証サーバに接続され
た、少なくとも一つのVPN側代理認証サーバと、を具
備し、 該ユーザ側代理認証サーバと該中間代理認証サーバの
間、および該中間代理認証サーバと該VPN側代理認証
サーバの間のそれぞれでユーザ認証情報を転送し、該ユ
ーザ認証サーバとVPN側代理認証サーバとの接続関係
は常に固定である、ことを特徴とする、ユーザ認証シス
テム。 - 【請求項5】 請求項4に記載のユーザ認証システムに
於いて、 該中間代理認証サーバのそれぞれは、そのクライアント
となるユーザ側代理認証サーバを識別するためのデータ
ベース及び、サーバとなるVPN側代理認証サーバを識
別するためのデータベースを持つ、ことを特徴とする、
ユーザ認証システム。 - 【請求項6】 請求項4または5に記載のユーザ認証シ
ステムであって、 各ユーザ側代理認証サーバは、中間代理認証サーバの全
てには接続されない、ことを特徴とする、ユーザ認証シ
ステム。 - 【請求項7】 請求項4に記載のユーザ認証システムに
おいて、該中間代理認証サーバは複数個であって、該複
数の中間代理認証サーバは、それぞれが少なくとも一つ
の中間代理認証サーバから成る複数の段を構成し、 該複数の段は、隣り合う段相互が接続されており、該接
続された段間でユーザ認証情報を転送する、ことを特徴
とする、ユーザ認証システム。 - 【請求項8】 請求項7に記載のユーザ認証システムに
おいて、 該中間代理認証サーバのそれぞれは、そのクライアント
となるユーザ側代理認証サーバ或は前段の中間代理認証
サーバを識別するためのデータベース及び、サーバとな
る次段の中間代理認証サーバ或いはVPN側代理認証サ
ーバを識別するためのデータベースを持つ、ことを特徴
とする、ユーザ認証システム。 - 【請求項9】 請求項7または8に記載のユーザ認証シ
ステムであって、 各ユーザ側代理認証サーバは、ユーザ側代理認証サーバ
に接続される段に属する中間代理認証サーバの全てには
接続されない、ことを特徴とする、ユーザ認証システ
ム。 - 【請求項10】 複数のVPN(50)と複数のユーザ
端末(21)とに接続され、ユーザ端末の要求に応じ
て、該ユーザ端末と該ユーザ端末が選択したVPNを接
続するための相互接続網に於いて、該ユーザ端末が該V
PNに接続する資格を有する場合にのみ該接続を行うユ
ーザ認証システムであって、 該複数のユーザ端末に接続された少なくとも一つの共用
NAS(23)と、 該少なくとも一つの共用NASに接続された、少なくと
も一つのユーザ側代理認証サーバ(24)と、 該少なくとも一つのユーザ側代理認証サーバに接続され
るとともに、該複数のVPNのユーザ認証サーバに接続
された、少なくとも一つのVPN側代理認証サーバ(2
5)と、 該少なくとも一つのVPN側代理認証サーバのいずれか
に接続されたユーザ認証サーバ(26’)と、を具備
し、 該ユーザ認証サーバのそれぞれは該少なくとも一つのV
PN側代理認証サーバのいずれかに接続され、該ユーザ
認証サーバとVPN側代理認証サーバとの接続関係は常
に固定である、ことを特徴とする、ユーザ認証システ
ム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000082767A JP2001273258A (ja) | 2000-03-23 | 2000-03-23 | ユーザ認証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000082767A JP2001273258A (ja) | 2000-03-23 | 2000-03-23 | ユーザ認証システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001273258A true JP2001273258A (ja) | 2001-10-05 |
Family
ID=18599522
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000082767A Pending JP2001273258A (ja) | 2000-03-23 | 2000-03-23 | ユーザ認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001273258A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7454421B2 (en) | 2003-07-11 | 2008-11-18 | Nippon Telegraph And Telephone Corporation | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program |
| JP2014039313A (ja) * | 2008-12-10 | 2014-02-27 | Amazon Technologies Inc | 設定可能プライベートコンピュータネットワークへのアクセス提供 |
| JP2015502694A (ja) * | 2011-11-14 | 2015-01-22 | エフオーエヌ・ワイヤレス・リミテッドFon Wirerless Limited | セキュアトンネリング・プラットフォームシステムならびに方法 |
| US9137209B1 (en) | 2008-12-10 | 2015-09-15 | Amazon Technologies, Inc. | Providing local secure network access to remote services |
| US9374341B2 (en) | 2008-12-10 | 2016-06-21 | Amazon Technologies, Inc. | Establishing secure remote access to private computer networks |
| US9524167B1 (en) | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
-
2000
- 2000-03-23 JP JP2000082767A patent/JP2001273258A/ja active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7454421B2 (en) | 2003-07-11 | 2008-11-18 | Nippon Telegraph And Telephone Corporation | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program |
| US9524167B1 (en) | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
| US9137209B1 (en) | 2008-12-10 | 2015-09-15 | Amazon Technologies, Inc. | Providing local secure network access to remote services |
| US9374341B2 (en) | 2008-12-10 | 2016-06-21 | Amazon Technologies, Inc. | Establishing secure remote access to private computer networks |
| US9521037B2 (en) | 2008-12-10 | 2016-12-13 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
| JP2014039313A (ja) * | 2008-12-10 | 2014-02-27 | Amazon Technologies Inc | 設定可能プライベートコンピュータネットワークへのアクセス提供 |
| US9756018B2 (en) | 2008-12-10 | 2017-09-05 | Amazon Technologies, Inc. | Establishing secure remote access to private computer networks |
| US10728089B2 (en) | 2008-12-10 | 2020-07-28 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
| US10868715B2 (en) | 2008-12-10 | 2020-12-15 | Amazon Technologies, Inc. | Providing local secure network access to remote services |
| US10951586B2 (en) | 2008-12-10 | 2021-03-16 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
| US11290320B2 (en) | 2008-12-10 | 2022-03-29 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
| US11831496B2 (en) | 2008-12-10 | 2023-11-28 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
| JP2015502694A (ja) * | 2011-11-14 | 2015-01-22 | エフオーエヌ・ワイヤレス・リミテッドFon Wirerless Limited | セキュアトンネリング・プラットフォームシステムならびに方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7848335B1 (en) | Automatic connected virtual private network | |
| US8984141B2 (en) | Server for routing connection to client device | |
| US8458359B2 (en) | System for the internet connections, and server for routing connection to a client machine | |
| EP2866389B1 (en) | Method and device thereof for automatically finding and configuring virtual network | |
| US7689716B2 (en) | Systems and methods for providing dynamic network authorization, authentication and accounting | |
| US8713641B1 (en) | Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device | |
| US7461157B2 (en) | Distributed server functionality for emulated LAN | |
| US7782877B2 (en) | Network-based dedicated backup service | |
| US20020009078A1 (en) | Server and method for providing specific network services | |
| US20100115113A1 (en) | Systems and methods for providing dynamic network authorization, authentication and accounting | |
| US20050041671A1 (en) | Network system and an interworking apparatus | |
| US20030055968A1 (en) | System and method for dynamic configuration of network resources | |
| EP1304830A2 (en) | Virtual private network management | |
| EP1701516B1 (en) | Method for facilitating application server functionality and access node comprising the same | |
| US8321550B2 (en) | Media access control address based service selection | |
| WO2008037210A1 (fr) | Procédé et dispositif servant à transférer un message dans un réseau local privé virtuel | |
| JP2007158594A (ja) | データ通信システム、端末装置およびvpn設定更新方法 | |
| US20030196107A1 (en) | Protocol, system, and method for transferring user authentication information across multiple, independent internet protocol (IP) based networks | |
| SE517217C2 (sv) | Metod och system för kommunikation mellan olika nätverk | |
| JP2001273258A (ja) | ユーザ認証システム | |
| US11523443B2 (en) | Extraction, conversion, and transmission of user packet from encapsulated packet | |
| JP2001268125A (ja) | Vpn選択接続ゲートウェイおよびそれによる通信方法 | |
| CN116170409A (zh) | 一种基于虚拟域名的sd-wan网络地址规划系统 | |
| WO2001086906A2 (en) | Server and method for providing specific network services | |
| EP3796602B1 (en) | Network system, network operation center, network device, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20041028 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041214 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050510 |