JP2004021761A - Authentication access control server device, authentication access control method, authentication access control program, and storage medium with the program stored therein - Google Patents
Authentication access control server device, authentication access control method, authentication access control program, and storage medium with the program stored therein Download PDFInfo
- Publication number
- JP2004021761A JP2004021761A JP2002177944A JP2002177944A JP2004021761A JP 2004021761 A JP2004021761 A JP 2004021761A JP 2002177944 A JP2002177944 A JP 2002177944A JP 2002177944 A JP2002177944 A JP 2002177944A JP 2004021761 A JP2004021761 A JP 2004021761A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- content
- access
- access control
- server device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、コネクションレス型通信網上に構築された仮想閉域網に遠隔地からリモートアクセスするための認証を行ない、利用者端末の仮想閉域網への接続を実現すると同時に、仮想閉域網内にあって当該利用者がアクセス権限を有している複数のサーバ上のコンテンツへのアクセスに対する認証について一括して行う認証アクセス制御サーバ装置と、その認証アクセス制御サーバ装置で用いられる認証アクセス制御方法と、その認証アクセス制御方法の実現に用いられる認証アクセス制御プログラムと、その認証アクセス制御プログラムを記録した記録媒体とに関する。
【0002】
【従来の技術】
従来、企業通信網など特定の対地のみを接続する閉域網を構築するために、仮想閉域網が導入されている。コネクションレス型通信網における仮想閉域網は、伝送路、転送ノードを共有するのみならず、論理パス、論理回線も共有して、セキュリティを確保した転送制御がなされている。
【0003】
また、仮想閉域網は特定の対地のみを接続するのではなく、特定の端末、または特定の利用者からのリモートアクセスを受け付けることができるようになっている。例えば、社員の自宅の端末から電話網あるいはADSL網等を経由して企業の仮想閉域網にアクセスし、会社のホストコンピュータに接続することができる。電話網等と仮想閉域網との間にリモートアクセスサーバが設置されており、端末は、ダイアルアップ等でリモートアクセスサーバに接続し、仮想閉域網にアクセスすることが行なわれている。
【0004】
リモートアクセスサーバと仮想閉域網とを接続する転送ノードと、リモートアクセスサーバと転送ノードとを制御する閉域網群制御サーバとを備え、複数の仮想閉域網の利用者が共用している。
【0005】
本出願人は、先に出願した特願2000−380838(公開されていない)で、リモートアクセスサーバと転送ノードとの間の物理回線を複数の仮想閉域網が利用可能にすることで、設備の利用効率を向上させるという発明を出願した。
【0006】
この先願発明では、利用者からの接続要求に基づいて、リモートアクセスサーバは、仮想閉域網毎に仮想ルータ(以下、VR:Virtual Routerと表記)を割り当て、VRを1本の物理回線に接続するようにしている。そして、利用者からの切断を契機に、リモートアクセスサーバは、VRを開放し、他の仮想閉域網の利用者に割り当てるようにしている。
【0007】
一方、本出願人は、先に出願した特願2002−71277(公開されていない)で、仮想閉域網に代表される通信網への接続環境が整っていることを前提として、通信網上に接続されている複数のサーバ上のコンテンツへのアクセスを一度の認証で可能にする(以下、シングルサインオンと表記)方法として、網内に認証アクセス制御サーバ装置とゲートウェイ装置とを設置するという発明を出願した。
【0008】
この先願発明では、図11に示すように、従来のリバース・プロキシ型の認証アクセス制御サーバからゲートウェイ機能を切り出すことで、アドレスとポート番号に加えて、コンテンツを識別する情報(URL等)に基づくパケットフィルタリングのハードウェア処理が可能な専用のゲートウェイ装置と、認証制御を行う認証アクセス制御サーバ装置とに分離し、ゲートウェイ装置の通過を許可するエントリが設定されていないサーバ宛てのアクセス要求のみを認証アクセス制御サーバ装置に転送することで、認証アクセス制御サーバ装置への負荷の集中を回避できることを特徴としている。
【0009】
【発明が解決しようとする課題】
仮想閉域網に利用者が遠隔地からアクセスする場合は、通常、仮想閉域網に接続した後、何らかの業務を行うために、その仮想閉域網内のサーバにアクセスすることが考えられる。
【0010】
このとき、一旦仮想閉域網に接続した後は、先願発明である特願2002−71277を適用することにより、仮想閉域網内のサーバ上のコンテンツへのシングルサインオンが可能であるが、仮想閉域網自体へのアクセスに対しては、別に認証が必要であるため、利用者がリモートアクセスにより仮想閉域網内のサーバへアクセスするためには二度以上の認証が必要となり、シングルサインオンとしては不十分であるという問題がでる。
【0011】
本発明は、このような問題に鑑みてなされたものであり、仮想閉域網へのリモートアクセスにおいて、仮想閉域網へのアクセス時に一度認証を行うだけで、セキュリティ強度を損なうことなく、その仮想閉域網内にあって利用者がアクセス権限を持つサーバ上のコンテンツに対してさらなる認証手順を踏む必要のないシステムを実現することをその目的とする。
【0012】
【課題を解決するための手段】
本発明の認証アクセス制御サーバ装置は、認証アクセス制御サーバ装置とゲートウェイと転送ノードとリモートアクセスサーバとで構成されて、利用者端末がリモートアクセスサーバおよび転送ノードを介して遠隔地から仮想閉域網に接続した上で、利用者端末から発行される仮想閉域網内のコンテンツへのアクセス要求を認証する認証アクセス制御システムで用いられる。
【0013】
本発明の認証アクセス制御サーバ装置は、本発明を実現するために、▲1▼利用者端末から仮想閉域網への接続要求をリモートアクセスサーバを介して受信し、仮想閉域網への接続における認証に必要な情報を利用者端末から受け取る手段と、▲2▼その受け取った情報を用いた認証の結果に基づき、リモートアクセスサーバと転送ノードに対して、利用者端末と仮想閉域網との間の接続パスを動的に設定することによって、利用者端末と仮想閉域網との間を接続する手段と、▲3▼仮想閉域網への接続に対する認証をもって、利用者が仮想閉域網内でアクセス権限を持つコンテンツ群のうちの同時認証が許可されるコンテンツ群に対する認証を兼ねることとし、認証機能を持たないコンテンツサーバの保有するそのコンテンツ群配下のコンテンツについて認証を得る手段と、▲4▼ゲートウェイにコンテンツへのアクセス要求の許可が設定されていないことで、そのアクセス要求が転送されてくる場合に、それを受け取る手段と、▲5▼アクセス要求コンテンツの属する上記同時認証が許可されないコンテンツ群の認証に必要な情報を、利用者端末からそのコンテンツ群への初回アクセス要求の場合にのみ取得する手段と、▲6▼その取得した情報を使って、アクセス要求コンテンツの属する上記同時認証が許可されないコンテンツ群について認証を実行して、認証機能を持たないコンテンツサーバの保有するそのコンテンツ群配下のコンテンツについて認証を得る手段と、▲7▼アクセス要求コンテンツを保有する認証機能を持つコンテンツサーバに対して、そのコンテンツの認証に必要な情報を指定して認証を依頼することで認証を得る手段と、▲8▼認証を得たコンテンツへのアクセス要求の許可を示すエントリ情報をゲートウェイに設定する手段とを備えるように構成する。
【0014】
この構成を採るときに、本発明の認証アクセス制御サーバ装置は、さらに、規定の状態になる場合に、ゲートウェイに設定したエントリ情報を無効化する手段を備えることがある。
【0015】
この本発明の認証アクセス制御サーバ装置が動作することで実現される認証アクセス制御方法については、具体的にはコンピュータプログラムで実現できるものであり、このコンピュータプログラムは、半導体メモリなどのような適当な記録媒体に記録して提供することができる。
【0016】
次に、このように構成される本発明の認証処理の流れの一例について説明する。
【0017】
このように構成される本発明の認証アクセス制御サーバ装置は、仮想閉域網への接続要求が発行されると、利用者端末から、その仮想閉域網へのアクセスに必要となる認証情報を取得して、それに基づいて、仮想閉域網へのアクセスの認証を行う。
【0018】
この認証が得られると、本発明の認証アクセス制御サーバ装置は、その認証と認証が兼用されるコンテンツ群を特定して、認証機能を持たないコンテンツサーバの保有する、そのコンテンツ群配下のコンテンツについて認証が得られたものと見なして、ゲートウェイに対して、そのコンテンツへのアクセス要求の許可を示すエントリ情報を設定する。
【0019】
これ以降、エントリ情報が設定されていることで、認証機能を持たないコンテンツサーバに保有される上記認証兼用のコンテンツ群配下のコンテンツへのアクセス要求(認証を行った利用者からのアクセス要求)については、ゲートウェイから転送されてくることはない。
【0020】
一方、利用者端末からコンテンツへのアクセス要求が発行されるときにあって、そのコンテンツにかかるエントリ情報がゲートウェイに設定されていない場合には、そのアクセス要求が本発明の認証アクセス制御サーバ装置に転送され、これを受けて、本発明の認証アクセス制御サーバ装置は、そのアクセス要求のコンテンツの属するコンテンツ群への初回のアクセス要求(利用者からの初回のアクセス要求)であるのか否かを判断して、初回のアクセス要求であることを判断するときには、利用者端末から、そのコンテンツ群の認証に必要な情報(利用者及びコンテンツ群毎に定義される情報)を取得する。
【0021】
続いて、本発明の認証アクセス制御サーバ装置は、この取得した認証に必要な情報を使ってアクセス要求コンテンツの属するコンテンツ群について認証を実行し、これにより、認証機能を持たないコンテンツサーバに保有されるそのコンテンツ群配下のコンテンツについて認証を得て、ゲートウェイに対して、そのコンテンツへのアクセス要求の許可を示すエントリ情報を設定する。
【0022】
これ以降、エントリ情報が設定されていることで、認証機能を持たないコンテンツサーバに保有されるそのコンテンツ群配下のコンテンツへのアクセス要求(認証を行った利用者からのアクセス要求)については、ゲートウェイから転送されてくることはなくなる。
【0023】
本発明の認証アクセス制御サーバ装置は、この初回のアクセス要求が認証機能を持たないコンテンツサーバに保有されるコンテンツへのアクセス要求である場合には、このエントリ情報の設定により、この初回アクセス要求におけるゲートウェイに対してのエントリ情報の設定を終了する。
【0024】
一方、本発明の認証アクセス制御サーバ装置は、この初回のアクセス要求が認証機能を持つコンテンツサーバに保有されるコンテンツへのアクセス要求である場合には、コンテンツ群についての認証が得られると、そのコンテンツサーバからの要求に応答して、そのコンテンツの認証に必要な情報(利用者及びコンテンツ毎に定義される情報であって、認証アクセス制御サーバ装置の内部で保持している)を指定して、そのコンテンツサーバに対して認証依頼を行うことでそのコンテンツについて認証を得て、ゲートウェイに対して、そのコンテンツへのアクセス要求の許可を示すエントリ情報を設定する。
【0025】
これ以降、エントリ情報が設定されていることで、そのコンテンツへのアクセス要求(認証を行った利用者からのアクセス要求)については、ゲートウェイから転送されてくることはなくなる。
【0026】
そして、初回のアクセス要求の後に発行される同一コンテンツ群配下の別のコンテンツに対するアクセス要求が転送されてくる場合には、そのコンテンツ群についての認証は既に終了しているので、そのコンテンツを保有するコンテンツサーバからの要求に応答して、そのコンテンツの認証に必要な情報(利用者及びコンテンツ毎に定義される情報であって、認証アクセス制御サーバ装置の内部で保持している)を指定して、そのコンテンツサーバに対して認証依頼を行うことでそのコンテンツについて認証を得て、ゲートウェイに対して、そのコンテンツへのアクセス要求の許可を示すエントリ情報を設定する。
【0027】
これ以降、エントリ情報が設定されていることで、そのコンテンツへのアクセス要求(認証を行った利用者からのアクセス要求)については、ゲートウェイから転送されてくることはなくなる。
【0028】
このような形でゲートウェイにエントリ情報を設定していくことで、コンテンツへのアクセス要求が本発明の認証アクセス制御サーバ装置に転送されなくなってくるが、利用者端末とコンテンツサーバとの接続関係をそのまま放置しておくことはセキュリティ上好ましいことではない。
【0029】
そこで、本発明の認証アクセス制御サーバ装置は、利用者端末が仮想閉域網から切り離された場合には、ゲートウェイに設定したその利用者端末にかかる全てのエントリ情報を無効化するように処理する。
【0030】
また、本発明の認証アクセス制御サーバ装置は、認証したコンテンツ群に対応付けて利用者端末にプログラムを送信するようにして、そのプログラムからの応答が一定時間なくなる場合には、ゲートウェイに設定したその利用者端末にかかるそのコンテンツ群配下のコンテンツについての全てのエントリ情報を無効化するように処理することがある。
【0031】
また、本発明の認証アクセス制御サーバ装置は、認証したコンテンツ群に対応付けて利用者端末にプログラムを送信するようにして、そのプログラムから認証の無効化指示が発行される場合には、ゲートウェイに設定したその利用者端末にかかるそのコンテンツ群配下のコンテンツについての全てのエントリ情報を無効化するように処理することがある。
【0032】
また、本発明の認証アクセス制御サーバ装置は、利用者端末からのアクセス要求に応答して認証したコンテンツ群についての認証から一定時間経過する場合には、ゲートウェイに設定したその利用者端末にかかるそのコンテンツ群配下のコンテンツについての全てのエントリ情報を無効化するように処理することがある。
【0033】
ここで、この無効化処理を実行するために、本発明の認証アクセス制御サーバ装置は、どのようなエントリ情報をゲートウェイに設定したのかについて記録するように処理している。
【0034】
このようにして、本発明では、仮想閉域網へのリモートアクセスを実現する場合に、認証機能とゲートウェイ機能とを分離して、ゲートウェイ機能を使って通過の許可されているコンテンツへのアクセス要求のみを通過させ、それ以外のアクセス要求については認証機能を使って認証を行ってゲートウェイ機能に通過許可を設定するという処理を行う認証機構を用意することで、仮想閉域網内のサーバ上のコンテンツに対してシングルサインオンの認証を実現するという構成を採るときにあって、仮想閉域網へのアクセスのための認証でもって、仮想閉域網内のサーバ上のコンテンツへのアクセスの認証を兼ねるようにするという構成を採ることから、利用者は仮想閉域網内のサーバから別途認証手順を求められることなく効率的に業務を遂行できるという効果が得られる。
【0035】
【発明の実施の形態】
以下、実施の形態に従って本発明を詳細に説明する。
【0036】
図1に、本発明を実現するシステム構成の一実施形態例を図示する。
【0037】
この図に示すように、本発明を実現する認証アクセス制御システム1は、本発明により構成される認証アクセス制御サーバ装置2、ゲートウェイ3、転送ノード4、リモートアクセスサーバ5から構成されており、ゲートウェイ3はIPアドレス、ポート番号およびコンテンツのURL(Uniform Resource Locator)に基づくパケットフィルタリング機能を有している。
【0038】
この構成を採るときに、利用者7が利用者端末6から仮想閉域網8に遠隔からダイアルアップでアクセスするものとし、この仮想閉域網8内には、コンテンツサーバ9,10上にあって利用者7がアクセス権限を持つ2つのコンテンツ群11,12があり、この2つのコンテンツ群11,12へのアクセスには別々の認証を必要とし、仮想閉域網8への接続の認証でコンテンツ群11へのアクセスの認証を兼ねるものとする。
【0039】
また、コンテンツ群11はコンテンツ13,15からなり、コンテンツ群12はコンテンツ14,16からなるものとし、コンテンツサーバ9は認証機能を持ち、コンテンツサーバ10は認証機能を持たないものとする。
【0040】
認証アクセス制御サーバ装置2は、本発明に特徴的な認証処理を実行するために、仮想閉域網アクセス認証テーブル20と、コンテンツ群アクセス認証テーブル21と、コンテンツアクセス認証テーブル22とを備える。
【0041】
図2に、仮想閉域網アクセス認証テーブル20の一実施形態例を図示し、図3に、コンテンツ群アクセス認証テーブル21の一実施形態例を図示し、図4に、コンテンツアクセス認証テーブル22の一実施形態例を図示する。
【0042】
この仮想閉域網アクセス認証テーブル20は、各利用者が各仮想閉域網にリモートアクセスするにあたって必要とされる認証情報を管理するものである。
【0043】
具体的には、図2に示すように、各利用者識別番号に対応付けて、各仮想閉域網について、アクセス権を有しているのか否かということと、アクセス権を有している場合には、そのアクセスに必要な認証情報(ユーザIDとパスワードとの対データ)を管理する。
【0044】
例えば、利用者識別番号“001”の利用者7は、仮想閉域網xについてはアクセス権を有して、その認証情報はこういう値であり、一方、仮想閉域網yについてはアクセス権を有していないといったような情報を管理するのである。
【0045】
一方、コンテンツ群アクセス認証テーブル21は、仮想閉域網内で利用者毎に規定され、利用者が仮想閉域網内の各コンテンツ群にアクセスするにあたって必要とされる認証情報と、そのコンテンツ群について仮想閉域網へのログインの際の認証でもって認証が兼ねられているのか否かを示す情報と、そのコンテンツ群へのアクセスについて認証済みであるのか否かを示す情報とを管理する。
【0046】
具体的には、図3に示すように、利用者毎に、各コンテンツ群に対応付けて、そのコンテンツ群へのアクセスに必要な認証情報(ユーザIDとパスワードとの対データ)と、そのコンテンツ群について仮想閉域網へのログインの際の認証でもって認証が兼ねられているのか否かを示す情報と、そのコンテンツ群へのアクセスについて既に認証済みであるのか否かを示す情報とを管理する。
【0047】
例えば、利用者識別番号“001”の利用者7が、コンテンツ群11にアクセスするときに必要とされる認証情報はこういう値であり、コンテンツ群11へのアクセスについては仮想閉域網ログインの際の認証で兼ねられており、コンテンツ群11へのアクセスの認証については未だ行われていないといったような情報を管理するのである。
【0048】
一方、コンテンツアクセス認証テーブル22は、コンテンツ毎に規定され、そのコンテンツの所属するコンテンツ群の識別情報と、そのコンテンツを保有するコンテンツサーバの識別情報と、そのコンテンツにアクセスするためにコンテンツサーバで認証が求められるのか否かということと、認証が求められる場合には、その認証に必要な情報(ユーザIDとパスワードとの対データ)とを管理する。
【0049】
具体的には、図4に示すように、各コンテンツに対応付けて、そのコンテンツの所属するコンテンツ群名と、そのコンテンツを保有するコンテンツサーバ名と、そのコンテンツを保有するコンテンツサーバで認証が必要であるのか否かということと、認証が必要な場合には、その認証に必要となる認証情報(ユーザIDとパスワードとの対データ)を管理する。
【0050】
例えば、コンテンツ13については、コンテンツ群11に属し、コンテンツサーバ9で保有され、コンテンツサーバ9では認証が要求されていて、利用者識別番号“001”の利用者7についてのその認証情報はこういう値であるといったような情報を管理するのである。
【0051】
本発明では、上述したように、仮想閉域網にアクセスするための閉域網群制御サーバに対して、仮想閉域網内のサーバ上のコンテンツについてシングルサインオンを実現する機能を付加することで、本発明により構成される認証アクセス制御サーバ装置2を構築して、仮想閉域網へのアクセスを許可されると同時に、それらのコンテンツに対するアクセス許可を得ることができるようにすることを特徴とする。
【0052】
本発明の認証アクセス制御サーバ装置2の実行する認証処理について簡単に説明するならば、本発明の認証アクセス制御サーバ装置2は、リモートアクセスサーバ5を介して、利用者端末6からの仮想閉域網アクセス要求を受信すると、先ず最初に、その仮想閉域網8へのアクセスの認証に必要な情報を利用者端末6に要求する。
【0053】
その要求に応答して送られてくる認証情報を受信すると、続いて、仮想閉域網アクセス認証テーブル20に登録される認証情報と照合することで認証を行い、その認証に成功すると、リモートアクセスサーバ5と転送ノード4に対して、利用者端末6から仮想閉域網8への接続パスを確立する。
【0054】
さらに、利用者7が仮想閉域網8へのログインと同時に認証することを許可しているコンテンツ群をコンテンツ群アクセス認証テーブル21から検索し、そのコンテンツ群配下のコンテンツについては仮想閉域網アクセスの認証をもって認証したこととし、認証機能を持たないコンテンツサーバの保有するそのコンテンツについて、ゲートウェイ3に対して、そのコンテンツへのアクセスを許可するエントリ情報を設定する。
【0055】
この後、利用者7がコンテンツサーバでの認証が求められるコンテンツへのアクセスを試みた場合には、コンテンツアクセス認証テーブル22を検索して認証情報を取得して、それを指定してコンテンツサーバに認証を依頼することで認証を得て、ゲートウェイ3に対して、そのコンテンツへのアクセスを許可するエントリ情報を設定する。
【0056】
そして、仮想閉域網ログインと同時の認証を許可されていないコンテンツ群については、利用者が仮想閉域網ログインした後、そのコンテンツ群内のコンテンツへの初回のアクセス要求を契機として、利用者端末6から認証情報を得て、コンテンツ群アクセス認証テーブル21に登録される認証情報と照合することで認証を行い、認証機能を持たないコンテンツサーバの保有するそのコンテンツについて、ゲートウェイ3に対して、そのコンテンツへのアクセスを許可するエントリ情報を設定する。
【0057】
次に、図5及び図6に示す処理の流れに従って、本発明の認証アクセス制御サーバ装置2の実行する認証処理について詳細に説明する。
【0058】
(1)利用者7が仮想閉域網8にアクセスを試みた場合の処理
図5及び図6に、利用者7がダイアルアップで仮想閉域網8にアクセスを試みた場合の処理を図示する。
【0059】
利用者端末6から仮想閉域網8に電話網経由でダイアルアップによるリモート接続を試みた場合、利用者端末6とリモートアクセスサーバ5との間の通信路が確立した後、仮想閉域網8へのアクセス要求として、認証に必要なユーザIDとパスワードとの対データがリモートアクセスサーバ5に送信される(ステップ101)。
【0060】
リモートアクセスサーバ5は、そのアクセス要求を認証アクセス制御サーバ装置2に送信して、認証を要求する(ステップ102)。
【0061】
認証アクセス制御サーバ装置2は、仮想閉域網アクセス認証テーブル20を参照することで、受信したアクセス要求を認証し(ステップ103)、その認証結果をリモートアクセスサーバ5を介して利用者端末6に送信する(ステップ104、105)。
【0062】
認証アクセス制御サーバ装置2は、認証に成功だった場合は、コンテンツ群アクセス認証テーブル21を参照することで、利用者7がアクセス権を持つコンテンツ群のうち、仮想閉域網8へのログインと同時の認証を許可するコンテンツ群(本実施形態例ではコンテンツ群11)を特定し、利用者端末6を送信元とし、コンテンツサーバ9,10上にあってコンテンツ群11に属する、コンテンツサーバでの認証を必要としないコンテンツ(本実施形態例ではコンテンツ15)を送信先とするパケットを通過させるようにと、ゲートウェイ3に対してエントリ情報を設定する(ステップ106)。
【0063】
さらに、認証アクセス制御サーバ装置2は、利用者端末6に対して、利用者7によるコンテンツの閲覧が終了したのか否かについて判断するために、Java アプレット(Java は登録商標)を送信する(ステップ107)。
【0064】
この後、ゲートウェイ3に設定した該当のエントリ情報に従って、コンテンツ群11に属する、コンテンツサーバでの認証を必要としない全てのコンテンツ(本実施形態例ではコンテンツ15)については、認証アクセス制御サーバ装置2を介さないコンテンツファイルアクセスが可能になる(ステップ108、109)。
【0065】
利用者端末6から、コンテンツ群11に属する、コンテンツサーバでの認証を必要とするコンテンツ(本実施形態例ではコンテンツ13)へのアクセス要求が行なわれた場合、ゲートウェイ3に該当のエントリ情報が設定されていないことから、アクセス要求は認証アクセス制御サーバ装置2に転送される(ステップ110)。
【0066】
認証アクセス制御サーバ装置2は、コンテンツアクセス認証テーブル22を検索することでアクセス要求のコンテンツの属するコンテンツ群を特定し、それをキーにしてコンテンツ群アクセス認証テーブル21を検索することで、コンテンツ13の属するコンテンツ群11に対する認証を終了していることを判断して、直ちにアクセス要求をコンテンツサーバ9(コンテンツ13を保有するコンテンツサーバ)に送信する(ステップ111)。
【0067】
このアクセス要求に対して、コンテンツサーバ9からコンテンツ13へのアクセスに対するパスワードの要求(ステップ112)が発行され、認証アクセス制御サーバ装置2は、これに応答して、コンテンツアクセス認証テーブル22を検索して、該当するユーザIDとパスワードとの対データを取得してコンテンツサーバ9に送信する(ステップ113)。
【0068】
さらに、認証アクセス制御サーバ装置2は、ゲートウェイ3に対して、利用者端末6を送信元とし、コンテンツ13を送信先とするパケットを通過させるようにと、エントリ情報を設定する(ステップ114)。
【0069】
コンテンツサーバ9は、認証アクセス制御サーバ装置2から受信したユーザIDとパスワードとにより認証を行ない(ステップ115)、要求されているコンテンツを送信する(ステップ116、117)。
【0070】
この後、ゲートウェイ3に設定した該当のエントリ情報に従って、利用者端末6からのコンテンツ13宛てのコンテンツファイルアクセス要求については、認証アクセス制御サーバ装置2を経由せずに、直接コンテンツサーバ9との間でやり取りが行なわれる(ステップ118、119)。
【0071】
なお、仮想閉域網8へのログインと同時の認証が許可されていないコンテンツ群12に対しては、コンテンツ群12に属するコンテンツ(本実施形態例ではコンテンツ14,16)への初回アクセス時にパスワード投入を求められるが、その後は、上記のステップ106〜119に該当する処理が行なわれることから、利用者7はコンテンツ群12内のコンテンツに対して改めてパスワードを求められることはない。
【0072】
次に、図7ないし図9に示す処理フローに従って、以上に説明した認証アクセス制御サーバ装置2の実行する認証処理についてまとめる。
【0073】
認証アクセス制御サーバ装置2は、利用者端末6の発行する仮想閉域網へのリモート接続要求に応答して、リモートアクセスサーバ5から認証に必要なユーザIDとパスワードとの対データが送信されてくると、図7の処理フローに示すように、先ず最初に、ステップ10で、それを受信し、続くステップ11で、図2に示すデータ構造を持つ仮想閉域網アクセス認証テーブル20に登録される認証情報を参照して、その仮想閉域網へのアクセス要求の認証を行う。
【0074】
続いて、ステップ12で、この認証に成功したのか否かを判断して、認証に成功しなかったことを判断するときには、ステップ13に進んで、リモートアクセスサーバ5に認証不可を返信して、処理を終了する。
【0075】
一方、ステップ12で、認証に成功したことを判断するときには、ステップ14に進んで、図3に示すデータ構造を持つコンテンツ群アクセス認証テーブル21を参照して、利用者7がアクセス権を持ち、かつ、アクセス要求先の仮想閉域網との同時認証を許可するコンテンツ群を特定する。
【0076】
続いて、ステップ15で、そのコンテンツ群アクセス認証テーブル21に、特定したコンテンツ群について認証済みを記録する。すなわち、仮想閉域網へのアクセス要求の認証でもって認証が行われたと見なして、コンテンツ群アクセス認証テーブル21に、特定したコンテンツ群について認証済みを記録するのである。
【0077】
続いて、ステップ16で、図4に示すデータ構造を持つコンテンツアクセス認証テーブル22を参照して、特定したコンテンツ群の中から、認証機能を持たないコンテンツサーバに保有されるコンテンツを特定する。
【0078】
続いて、ステップ17で、ゲートウェイ3に対して、その特定したコンテンツへのアクセス要求の通過許可を示すエントリ情報を設定し、続くステップ18で、アクセス要求発行元の利用者端末6にJava アプレットを送信して、処理を終了する。
【0079】
このようにして、認証アクセス制御サーバ装置2は、利用者端末6の発行する仮想閉域網へのリモート接続要求に応答して、仮想閉域網へのアクセス要求の認証でもって認証が兼ねられるコンテンツ群を特定して、認証機能を持たないコンテンツサーバに保有されるそのコンテンツ群配下のコンテンツへのアクセス要求がゲートウェイ3から転送されてこないようにと、ゲートウェイ3に対して、その特定したコンテンツへのアクセス要求の通過許可を示すエントリ情報を設定するように処理するのである。
【0080】
一方、認証アクセス制御サーバ装置2は、通過許可を示すエントリ情報が設定されていないことでゲートウェイ3からアクセス要求が転送されてくると、図8及び図9の処理フローに示すように、先ず最初に、ステップ20で、図4に示すデータ構造を持つコンテンツアクセス認証テーブル22を参照して、アクセス要求コンテンツの所属するコンテンツ群を特定する。
【0081】
続いて、ステップ21で、図3に示すデータ構造を持つコンテンツ群アクセス認証テーブル21を参照して、その特定したコンテンツ群について認証が済んでいるのか否かをチェックする。
【0082】
続いて、ステップ22で、このチェックにより認証済みであることが得られたのか否かを判断して、認証済みでないことを判断するときには、ステップ23に進んで、利用者7からシングルサインオン用のパスワードを取得する。
【0083】
続いて、ステップ24で、図3に示すデータ構造を持つコンテンツ群アクセス認証テーブル21に登録される認証情報を参照し、取得したシングルサインオン用のパスワードに基づいて、特定したコンテンツ群について認証を行い、コンテンツ群アクセス認証テーブル21に認証済みを記録する。
【0084】
続いて、ステップ25で、図4に示すデータ構造を持つコンテンツアクセス認証テーブル22を参照して、特定したコンテンツ群の中から、認証機能を持たないコンテンツサーバに保有されるコンテンツを特定する。
【0085】
続いて、ステップ26で、ゲートウェイ3に対して、その特定したコンテンツへのアクセス要求の通過許可を示すエントリ情報を設定し、続くステップ27で、アクセス要求発行元の利用者端末6にJava アプレットを送信する。
【0086】
このステップ26でのエントリ情報の設定処理により、これ以降、シングルサインオンで認証を行った認証機能を持たないコンテンツサーバに保有されるコンテンツへのアクセス要求については、ゲートウェイ3から転送されてくることはない。
【0087】
続いて、ステップ28で、ゲートウェイ3から転送されてきたアクセス要求についての処理を行うべく、アクセス要求コンテンツを保有するコンテンツサーバに対して、アクセス要求を転送する。
【0088】
続いて、ステップ29で、アクセス要求コンテンツを保有するコンテンツサーバは認証機能を持っているのか否かを判断して、認証機能を持っていないことを判断するときには、ステップ30に進んで、ステップ28の転送処理に応答してコンテンツサーバから転送されてくるコンテンツを受信して利用者端末6に転送して、処理を終了する。
【0089】
この後、ゲートウェイ3にエントリ情報が設定されていることで、アクセス要求発行元の利用者端末6と、そのアクセス要求で指定されるコンテンツを保有する認証機能を持たないコンテンツサーバとの間のやり取り(そのコンテンツについてのやり取り)については、認証アクセス制御サーバ装置2に転送されてくることはない。
【0090】
一方、ステップ29で、アクセス要求コンテンツを保有するコンテンツサーバが認証機能を持っていることを判断するときには、ステップ31に進んで、ステップ28の転送処理に応答してコンテンツサーバから要求されるパスワードの転送要求を受け取り、続くステップ32で、図4に示すデータ構造を持つコンテンツアクセス認証テーブル22に登録されるユーザIDとパスワードとの対データを返信することで、そのコンテンツサーバの認証を得る。
【0091】
続いて、ステップ33で、ゲートウェイ3に対して、アクセス要求コンテンツへのアクセス要求の通過許可を示すエントリ情報を設定し、続くステップ34で、アクセス要求コンテンツを保有する認証機能を持つコンテンツサーバから転送されてくるコンテンツを受信して利用者端末6に転送して、処理を終了する。
【0092】
この後、ゲートウェイ3にエントリ情報が設定されていることで、アクセス要求発行元の利用者端末6と、そのアクセス要求で指定されるコンテンツを保有する認証機能を持つコンテンツサーバとの間のやり取り(そのコンテンツについてのやり取り)について、認証アクセス制御サーバ装置2に転送されていることはない。
【0093】
一方、ステップ22で、アクセス要求コンテンツの所属するコンテンツ群について認証が済んでいることを判断するときには、ステップ35に進んで、アクセス要求コンテンツを保有するコンテンツサーバに対して、アクセス要求を転送してから、上述したステップ31〜ステップ34の処理を行って、処理を終了する。
【0094】
すなわち、ステップ22で、アクセス要求コンテンツの所属するコンテンツ群について認証が済んでいることを判断するということは、図7の処理フローの処理に従ってコンテンツ群について認証が済んでいたり、図8の処理フローのステップ24の処理に従ってコンテンツ群について認証が済んでいることを意味し、従って、アクセス要求コンテンツを保有するコンテンツサーバが認証機能を持っていて、なおかつ、ゲートウェイ3にそのアクセス要求コンテンツに係るエントリ情報が設定されていないことを意味するので、ステップ35に進んで、アクセス要求コンテンツを保有する認証機能を持つコンテンツサーバに対して、アクセス要求を転送してから、上述したステップ31〜ステップ34の処理を行って、処理を終了するのである。
【0095】
このようにして、認証アクセス制御サーバ装置2は、ゲートウェイ3からアクセス要求が転送されてくると、アクセス要求コンテンツの所属するコンテンツ群が認証済みでない場合には、利用者端末6から取得した認証情報を使ってシングルサインオンを行うことで、認証機能を持たないコンテンツサーバに保有されるそのコンテンツ群配下のコンテンツへのアクセス要求がゲートウェイ3から転送されてこないようにと、ゲートウェイ3に対して、その特定したコンテンツへのアクセス要求の通過許可を示すエントリ情報を設定するように処理することになる。
【0096】
そして、認証機能を持つコンテンツサーバに保有されるコンテンツについては、そのコンテンツへのアクセス要求時に、そのコンテンツサーバに対して認証を依頼することで認証を得て、そのコンテンツへのアクセス要求がゲートウェイ3から転送されてこないようにと、ゲートウェイ3に対して、そのコンテンツへのアクセス要求の通過許可を示すエントリ情報を設定するように処理することになる。
【0097】
(2)利用者端末6を仮想閉域網8から切り離す場合の処理
仮想閉域網8に接続されていた利用者端末6を仮想閉域網8から切り離すために、利用者7が利用者端末6を電話網から切断した場合、リモートアクセスサーバ5から認証アクセス制御サーバ装置2に対して、利用者端末6が切断された旨の信号が送信される。
【0098】
認証アクセス制御サーバ装置2は、その信号に基づき、利用者7が持つ仮想閉域網8内の全てのコンテンツ群に対する認証を無効化し、ゲートウェイ3上の該当する通過許可のエントリ情報を消去する。
【0099】
(3)利用者のブラウザ終了による認証の無効化処理
認証アクセス制御サーバ装置2は、利用者7のコンテンツ群11(あるいはコンテンツ群12)に対する認証を行なった後、利用者端末6に送信した常駐プログラム(ここではJava アプレット)との間で、一定時間毎に通信を行う。
【0100】
認証アクセス制御サーバ装置2は、利用者端末6のJava アプレットからの応答がなくなった場合、利用者7によるコンテンツ群11(コンテンツ群12)のコンテンツの閲覧が終了したものと判断して、ゲートウェイ3に対して先に設定した、利用者端末6を送信元としコンテンツ群11(コンテンツ群12)に属するコンテンツを送信先とする通過許可のエントリ情報を全て削除する。
【0101】
これにより認証は無効化され、利用者端末6からコンテンツ群11(コンテンツ群12)に属するコンテンツ宛てのアクセス要求については、再び認証アクセス制御サーバ装置2を経由して認証を求められることになる。
【0102】
(4)利用者のログアウト処理による認証の無効化処理
利用者7のコンテンツ群11(あるいはコンテンツ群12)に対する認証を行なった後に利用者端末6に送信する常駐プログラム(ここではJava アプレット)によって、利用者端末6上のブラウザに、図10に示すように、認証の強制失効を指示するログアウトボタン31,32を表示させる。
【0103】
このログアウトボタン31,32の表示を受けて、利用者端末6は、利用者7がログアウトボタン31(ログアウトボタン32)をクリックすることを契機にして、認証アクセス制御サーバ装置2に対して、コンテンツ群11(コンテンツ群12)に対する認証の強制失効を指示するパケットを送信する。
【0104】
認証アクセス制御サーバ装置2は、そのパケットを受信すると、ゲートウェイ3に対して先に設定した、利用者端末6を送信元としコンテンツ群11(コンテンツ群12)に属するコンテンツを送信先とする通過許可のエントリ情報を全て削除する。
【0105】
これにより認証は無効化され、利用者端末6からコンテンツ群11(コンテンツ群12)に属するコンテンツ宛てのアクセス要求については、再び認証アクセス制御サーバ装置2を経由して認証を求められることになる。
【0106】
(5)認証後一定時間経過による認証の無効化処理
認証アクセス制御サーバ装置2は、利用者7のコンテンツ群11(あるいはコンテンツ群12)に対する認証を行なった時刻を記録しておき、一定時間が経過すると、ゲートウェイ3に対して先に設定した、利用者端末6を送信元としコンテンツ群11(コンテンツ群12)に属するコンテンツを送信先とする通過許可のエントリ情報を全て削除する。
【0107】
これにより認証は無効化され、利用者端末6からコンテンツ群11(コンテンツ群12)に属するコンテンツ宛てのアクセス要求については、再び認証アクセス制御サーバ装置2を経由して認証を求められることになる。
【0108】
【発明の効果】
以上説明したように、本発明では、仮想閉域網へのリモートアクセスを実現する場合に、認証機能とゲートウェイ機能とを分離して、ゲートウェイ機能を使って通過の許可されているコンテンツへのアクセス要求のみを通過させ、それ以外のアクセス要求については認証機能を使って認証を行ってゲートウェイ機能に通過許可を設定するという処理を行う認証機構を用意することで、仮想閉域網内のサーバ上のコンテンツに対してシングルサインオンの認証を実現するという構成を採るときにあって、仮想閉域網へのアクセスのための認証でもって、仮想閉域網内のサーバ上のコンテンツへのアクセスの認証を兼ねるようにするという構成を採ることから、利用者は仮想閉域網内のサーバから別途認証手順を求められることなく効率的に業務を遂行できるという効果が得られる。
【図面の簡単な説明】
【図1】本発明を実現するシステム構成の一実施形態例である。
【図2】仮想閉域網アクセス認証テーブルの一実施形態例である。
【図3】コンテンツ群アクセス認証テーブルの一実施形態例である。
【図4】コンテンツアクセス認証テーブルの一実施形態例である。
【図5】実施形態例における処理の流れを示す図である。
【図6】実施形態例における処理の流れを示す図である。
【図7】本発明で実行する処理フローの一実施形態例である。
【図8】本発明で実行する処理フローの一実施形態例である。
【図9】本発明で実行する処理フローの一実施形態例である。
【図10】利用者端末上のブラウザの画面イメージを説明する図である。
【図11】先願発明における認証アクセス制御システムを説明する図である。
【符号の説明】
1 認証アクセス制御システム
2 認証アクセス制御サーバ装置
3 ゲートウェイ
4 転送ノード
5 リモートアクセスサーバ
6 利用者端末
7 利用者
8 仮想閉域網
9 コンテンツサーバ
10 コンテンツサーバ
11 コンテンツ群
12 コンテンツ群
13 コンテンツ
14 コンテンツ
15 コンテンツ
16 コンテンツ
20 仮想閉域網アクセス認証テーブル
21 コンテンツ群アクセス認証テーブル
22 コンテンツアクセス認証テーブル[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention performs authentication for remotely accessing a virtual closed network constructed on a connectionless communication network from a remote place, realizes connection of a user terminal to the virtual closed network, and simultaneously establishes a connection in the virtual closed network. An authentication access control server device that collectively performs authentication for access to content on a plurality of servers to which the user has access authority; an authentication access control method used in the authentication access control server device; The present invention relates to an authentication access control program used for realizing the authentication access control method, and a recording medium recording the authentication access control program.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, a virtual closed network has been introduced to construct a closed network that connects only a specific ground such as a corporate communication network. The virtual closed network in the connectionless communication network not only shares a transmission path and a transfer node but also shares a logical path and a logical line to perform transfer control with security.
[0003]
In addition, the virtual closed area network can receive remote access from a specific terminal or a specific user, instead of connecting only to a specific terminal. For example, an employee's home terminal can access a company's virtual closed network via a telephone network or an ADSL network or the like and connect to a company's host computer. A remote access server is installed between a telephone network or the like and a virtual closed network, and a terminal connects to the remote access server by dial-up or the like to access the virtual closed network.
[0004]
The network includes a transfer node that connects the remote access server and the virtual closed network, and a closed network group control server that controls the remote access server and the transfer node, and is shared by a plurality of virtual closed network users.
[0005]
The present applicant has previously filed Japanese Patent Application No. 2000-380838 (not disclosed) to make the physical line between a remote access server and a forwarding node available to a plurality of virtual closed networks, thereby making it possible to install equipment. We have applied for an invention to improve utilization efficiency.
[0006]
In this prior invention, the remote access server assigns a virtual router (hereinafter, VR: Virtual Router) for each virtual closed network based on a connection request from a user, and connects the VR to one physical line. Like that. Then, upon disconnection from the user, the remote access server releases the VR and allocates it to a user of another virtual closed network.
[0007]
On the other hand, the applicant of the present application has disclosed in Japanese Patent Application No. 2002-71277 (not disclosed) that a connection environment to a communication network represented by a virtual closed network is prepared, and An invention in which an authentication access control server device and a gateway device are installed in a network as a method for enabling access to contents on a plurality of connected servers with one authentication (hereinafter, referred to as single sign-on). Filed.
[0008]
In the prior invention, as shown in FIG. 11, a gateway function is cut out from a conventional reverse proxy type authentication access control server, and based on information (URL or the like) for identifying a content in addition to an address and a port number. Separated into a dedicated gateway device that can perform packet filtering hardware processing and an authentication access control server device that performs authentication control, and authenticates only access requests addressed to servers that do not have an entry permitted to pass through the gateway device By transferring the data to the access control server, concentration of the load on the authentication access control server can be avoided.
[0009]
[Problems to be solved by the invention]
When a user accesses a virtual closed network from a remote place, usually, after connecting to the virtual closed network, it is conceivable to access a server in the virtual closed network in order to perform some business.
[0010]
At this time, once connected to the virtual closed network, single sign-on to content on a server in the virtual closed network is possible by applying Japanese Patent Application No. 2002-71277, which is a prior invention, Since separate authentication is required for access to the closed network itself, more than one authentication is required for the user to access the server in the virtual closed network by remote access. Is not enough.
[0011]
The present invention has been made in view of such a problem, and in remote access to a virtual closed network, authentication is performed only once when accessing the virtual closed network, without impairing security strength, and the virtual closed network is not lost. It is an object of the present invention to realize a system that does not require a user to take a further authentication procedure for content on a server in a network to which a user has access authority.
[0012]
[Means for Solving the Problems]
The authentication access control server device of the present invention comprises an authentication access control server device, a gateway, a transfer node, and a remote access server, and allows a user terminal to connect to a virtual closed network from a remote place via the remote access server and the transfer node. After being connected, it is used in an authentication access control system that authenticates a request for access to content in a virtual closed network issued from a user terminal.
[0013]
In order to realize the present invention, the authentication access control server device of the present invention receives (1) a connection request to a virtual closed network from a user terminal via a remote access server, and performs authentication in connection to the virtual closed network. Means for receiving necessary information from the user terminal, and (2) a communication between the user terminal and the virtual closed network to the remote access server and the transfer node based on a result of the authentication using the received information. Means for connecting the user terminal and the virtual closed network by dynamically setting the connection path; and (3) the user is authorized to access the virtual closed network by authenticating the connection to the virtual closed network. Of a group of contents that are permitted to be simultaneously authenticated from among the group of contents that have an authentication function. (4) means for obtaining authentication of the contents, (4) means for receiving the access request when the access request to the content is not set in the gateway, and (5) access request. Means for acquiring information necessary for authentication of a content group to which the simultaneous authentication to which the content belongs is not permitted only in the case of a first access request from the user terminal to the content group, and {circle around (6)} using the acquired information. Means for executing authentication for the content group to which the simultaneous authentication to which the access request content belongs is not permitted, and obtaining authentication for the content under the content group owned by the content server having no authentication function; To a content server with an authentication function that holds A means for obtaining authentication by requesting authentication by designating information necessary for the certificate; and (8) means for setting entry information indicating permission of an access request to the authenticated content in the gateway. Constitute.
[0014]
When employing this configuration, the authentication access control server device of the present invention may further include a unit for invalidating the entry information set in the gateway when a prescribed state is reached.
[0015]
The authentication access control method realized by the operation of the authentication access control server device of the present invention can be specifically realized by a computer program. It can be provided by being recorded on a recording medium.
[0016]
Next, an example of the flow of the authentication processing of the present invention configured as described above will be described.
[0017]
The authentication access control server device of the present invention configured as described above, when a connection request to the virtual closed network is issued, acquires authentication information necessary for accessing the virtual closed network from the user terminal. Then, based on that, authentication of access to the virtual closed network is performed.
[0018]
When this authentication is obtained, the authentication access control server device of the present invention specifies a content group for which the authentication and the authentication are shared, and determines the content under the content group that is owned by the content server having no authentication function. Assuming that the authentication has been obtained, entry information indicating permission of an access request to the content is set in the gateway.
[0019]
Thereafter, since the entry information is set, an access request (access request from the authenticated user) to the content under the above-mentioned group of contents that is also used for authentication and held in the content server having no authentication function will be described. Will not be forwarded from the gateway.
[0020]
On the other hand, when an access request to the content is issued from the user terminal and the entry information relating to the content is not set in the gateway, the access request is transmitted to the authentication access control server apparatus of the present invention. In response to the transfer, the authentication access control server device of the present invention determines whether the access request is the first access request to the content group to which the content to which the content belongs (first access request from the user). Then, when it is determined that this is the first access request, information necessary for authentication of the content group (information defined for each user and content group) is obtained from the user terminal.
[0021]
Subsequently, the authentication access control server device of the present invention performs authentication on the content group to which the access request content belongs by using the information necessary for the obtained authentication, whereby the content is held by the content server having no authentication function. Then, authentication is performed on the contents under the contents group, and entry information indicating permission of an access request to the contents is set in the gateway.
[0022]
Since the entry information has been set, access requests (access requests from authenticated users) to the contents under the content group held in the content server having no authentication function are set by the gateway. Will no longer be forwarded.
[0023]
When the first access request is an access request to a content held by a content server having no authentication function, the authentication access control server device of the present invention sets the entry information so that the first access request Finish setting the entry information for the gateway.
[0024]
On the other hand, the authentication access control server device of the present invention, when the first access request is an access request to the content held in the content server having the authentication function, when the authentication for the content group is obtained, In response to a request from the content server, specify information necessary for authentication of the content (information defined for each user and content and held inside the authentication access control server device). By making an authentication request to the content server, the content is authenticated, and entry information indicating permission of an access request to the content is set in the gateway.
[0025]
Thereafter, since the entry information is set, an access request to the content (an access request from the authenticated user) is not transferred from the gateway.
[0026]
Then, when an access request for another content under the same content group issued after the first access request is transferred, the authentication for the content group has already been completed, so that the content is retained. In response to a request from the content server, specify information necessary for authentication of the content (information defined for each user and content and held inside the authentication access control server device). By making an authentication request to the content server, the content is authenticated, and entry information indicating permission of an access request to the content is set in the gateway.
[0027]
Thereafter, since the entry information is set, an access request to the content (an access request from the authenticated user) is not transferred from the gateway.
[0028]
By setting the entry information in the gateway in such a manner, the access request to the content is not transferred to the authentication access control server device of the present invention, but the connection relationship between the user terminal and the content server is changed. Leaving it as is is not preferable for security.
[0029]
Therefore, when the user terminal is disconnected from the virtual closed network, the authentication access control server device of the present invention performs processing so as to invalidate all entry information relating to the user terminal set in the gateway.
[0030]
Further, the authentication access control server device of the present invention transmits the program to the user terminal in association with the authenticated content group, and when a response from the program disappears for a certain period of time, the authentication set in the gateway. There is a case where processing is performed to invalidate all entry information on the content under the content group according to the user terminal.
[0031]
Also, the authentication access control server device of the present invention transmits a program to the user terminal in association with the authenticated content group, and when the program issues an authentication invalidation instruction, the authentication access control server device transmits the program to the gateway. In some cases, processing is performed to invalidate all entry information on the content under the content group for the set user terminal.
[0032]
Further, the authentication access control server device of the present invention, when a certain period of time has passed since the authentication of the content group authenticated in response to the access request from the user terminal, the user In some cases, processing is performed to invalidate all entry information for content under the content group.
[0033]
Here, in order to execute the invalidation processing, the authentication access control server device of the present invention performs processing to record what entry information is set in the gateway.
[0034]
As described above, according to the present invention, when remote access to the virtual closed network is realized, the authentication function and the gateway function are separated, and only the access request to the content permitted to pass through using the gateway function is performed. By providing an authentication mechanism that performs authentication using the authentication function for other access requests and sets pass permission for the gateway function. When adopting a configuration that implements single sign-on authentication on the other hand, authentication for access to the virtual private network is also used as authentication for access to content on servers in the virtual private network. User, the user can efficiently perform business without requiring a separate authentication procedure from servers in the virtual private network. An effect that can be obtained.
[0035]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, the present invention will be described in detail according to embodiments.
[0036]
FIG. 1 shows an embodiment of a system configuration for realizing the present invention.
[0037]
As shown in FIG. 1, an authentication
[0038]
When adopting this configuration, it is assumed that the user 7 accesses the virtual closed network 8 from the user terminal 6 by dial-up from a remote place. There are two
[0039]
The content group 11 is composed of
[0040]
The authentication access
[0041]
FIG. 2 illustrates an embodiment of the virtual closed network access authentication table 20, FIG. 3 illustrates an embodiment of the content group access authentication table 21, and FIG. The example of an embodiment is illustrated.
[0042]
The virtual closed network access authentication table 20 manages authentication information required for each user to remotely access each virtual closed network.
[0043]
Specifically, as shown in FIG. 2, in association with each user identification number, it is determined whether each virtual closed network has an access right, and whether the virtual closed network has an access right. Manages authentication information (pair data of a user ID and a password) necessary for the access.
[0044]
For example, the user 7 having the user identification number “001” has an access right for the virtual closed network x, and the authentication information has such a value, while the user 7 has an access right for the virtual closed network y. It manages information that does not exist.
[0045]
On the other hand, the content group access authentication table 21 is defined for each user in the virtual private network, authentication information required for the user to access each content group in the virtual private network, and virtual information on the content group. It manages information indicating whether authentication is also performed by authentication at the time of login to the closed network, and information indicating whether access to the content group has been authenticated.
[0046]
Specifically, as shown in FIG. 3, for each user, authentication information (pair data of a user ID and a password) necessary for accessing the content group is associated with each content group, and the content It manages information indicating whether or not the group is also used for authentication at the time of login to the virtual closed network, and information indicating whether or not access to the content group has already been authenticated. .
[0047]
For example, the authentication information required when the user 7 with the user identification number “001” accesses the content group 11 is such a value, and the access to the content group 11 is performed when logging in to the virtual closed network. The information is also managed by authentication, and information such as authentication of access to the content group 11 has not been performed yet is managed.
[0048]
On the other hand, the content access authentication table 22 is defined for each content, and the identification information of the content group to which the content belongs, the identification information of the content server holding the content, and the content server authenticating the content to access the content. Is required or not, and when authentication is required, information necessary for the authentication (pair data of a user ID and a password) is managed.
[0049]
Specifically, as shown in FIG. 4, in association with each content, the name of the content group to which the content belongs, the name of the content server holding the content, and the content server holding the content require authentication. Or not, and if authentication is required, manages authentication information (pair data of a user ID and a password) required for the authentication.
[0050]
For example, the content 13 belongs to the content group 11, is held by the content server 9, and the content server 9 requires authentication, and the authentication information for the user 7 with the user identification number "001" has such a value. It manages information such as
[0051]
In the present invention, as described above, the function of implementing single sign-on for content on a server in the virtual closed network is added to the closed network group control server for accessing the virtual closed network, thereby realizing the present invention. An authentication access
[0052]
To briefly explain the authentication processing executed by the authentication access
[0053]
Upon receiving the authentication information transmitted in response to the request, the authentication is performed by checking the authentication information registered in the virtual private network access authentication table 20. If the authentication is successful, the remote access server A connection path from the user terminal 6 to the virtual private network 8 is established for the
[0054]
Further, a content group that the user 7 is permitted to authenticate at the same time as logging in to the virtual private network 8 is searched from the content group access authentication table 21, and the contents under the content group are authenticated for virtual private network access. And the
[0055]
Thereafter, when the user 7 attempts to access content that requires authentication at the content server, the user 7 searches the content access authentication table 22 to obtain authentication information, specifies the authentication information, and specifies the authentication information to the content server. The authentication is obtained by requesting the authentication, and entry information for permitting access to the content is set in the
[0056]
Then, for a content group for which authentication at the same time as the virtual closed network login is not permitted, after the user logs in to the virtual closed network, the first access request to the content in the content group is triggered, and the user terminal 6 , And authenticates by comparing the authentication information registered in the content group access authentication table 21 with the authentication information registered in the content group access authentication table 21. Set the entry information that permits access to.
[0057]
Next, the authentication processing executed by the authentication access
[0058]
(1) Processing when user 7 attempts to access virtual closed network 8
FIG. 5 and FIG. 6 show processing when the user 7 attempts to access the virtual closed network 8 by dial-up.
[0059]
When a remote connection by dial-up is attempted from the user terminal 6 to the virtual closed network 8 via the telephone network, access to the virtual closed network 8 is established after a communication path between the user terminal 6 and the
[0060]
The
[0061]
The authentication access
[0062]
If the authentication is successful, the authentication access
[0063]
Further, the authentication access
[0064]
Thereafter, according to the corresponding entry information set in the
[0065]
When an access request is issued from the user terminal 6 to a content belonging to the content group 11 and requiring authentication by the content server (the content 13 in this embodiment), the corresponding entry information is set in the
[0066]
The authentication access
[0067]
In response to the access request, the content server 9 issues a password request for access to the content 13 (step 112), and the authentication access
[0068]
Further, the authentication access
[0069]
The content server 9 performs authentication based on the user ID and the password received from the authentication access control server device 2 (step 115), and transmits the requested content (
[0070]
After that, according to the corresponding entry information set in the
[0071]
For a
[0072]
Next, the authentication processing executed by the authentication access
[0073]
The authentication access
[0074]
Subsequently, in
[0075]
On the other hand, when it is determined in
[0076]
Subsequently, in
[0077]
Subsequently, in
[0078]
Subsequently, in step 17, entry information indicating permission to pass the access request to the specified content is set in the
[0079]
In this manner, the authentication access
[0080]
On the other hand, when the access request is transferred from the
[0081]
Subsequently, in
[0082]
Subsequently, in
[0083]
Subsequently, in step 24, referring to the authentication information registered in the content group access authentication table 21 having the data structure shown in FIG. 3, based on the obtained single sign-on password, authentication is performed for the specified content group. Then, “authorized” is recorded in the content group access authentication table 21.
[0084]
Subsequently, in
[0085]
Subsequently, in
[0086]
By the entry information setting process in
[0087]
Subsequently, in
[0088]
Subsequently, in step 29, it is determined whether or not the content server holding the access request content has the authentication function. If it is determined that the content server does not have the authentication function, the process proceeds to step 30, and step 28 is performed. The content transferred from the content server in response to the transfer process is received and transferred to the user terminal 6, and the process ends.
[0089]
Thereafter, since the entry information is set in the
[0090]
On the other hand, when it is determined in step 29 that the content server holding the access request content has the authentication function, the process proceeds to step 31 in which the password of the password requested from the content server in response to the transfer process in
[0091]
Subsequently, in step 33, entry information indicating permission to pass the access request to the access request content is set in the
[0092]
After that, since the entry information is set in the
[0093]
On the other hand, when it is determined in
[0094]
That is, in
[0095]
In this way, when the access request is transferred from the
[0096]
The content held by the content server having the authentication function is authenticated by requesting the content server for authentication when the access to the content is requested, and the access request to the content is transmitted to the
[0097]
(2) Processing for disconnecting the user terminal 6 from the virtual closed network 8
When the user 7 disconnects the user terminal 6 from the telephone network in order to disconnect the user terminal 6 connected to the virtual closed network 8 from the virtual closed network 8, the authentication access
[0098]
Based on the signal, the authentication access
[0099]
(3) Authentication invalidation processing by user's browser termination
After authenticating the user 7 for the content group 11 (or the content group 12), the authentication access
[0100]
When there is no response from the Java applet of the user terminal 6, the authentication access
[0101]
As a result, the authentication is invalidated, and an access request from the user terminal 6 to a content belonging to the content group 11 (content group 12) is required to be authenticated again via the authentication access
[0102]
(4) Authentication invalidation processing by user logout processing
As shown in FIG. 10, a resident program (here, a Java applet) transmitted to the user terminal 6 after authenticating the content group 11 (or the content group 12) of the user 7 is transmitted to the browser on the user terminal 6 as shown in FIG. Then,
[0103]
In response to the display of the
[0104]
When the authentication access
[0105]
As a result, the authentication is invalidated, and an access request from the user terminal 6 to a content belonging to the content group 11 (content group 12) is required to be authenticated again via the authentication access
[0106]
(5) Invalidation processing of authentication after a certain time elapses after authentication
The authentication access
[0107]
As a result, the authentication is invalidated, and an access request from the user terminal 6 to a content belonging to the content group 11 (content group 12) is required to be authenticated again via the authentication access
[0108]
【The invention's effect】
As described above, according to the present invention, when remote access to a virtual closed network is realized, the authentication function and the gateway function are separated from each other, and the access request to the content permitted to pass through using the gateway function is performed. Only the content on the server in the virtual closed network is prepared by preparing an authentication mechanism that performs the process of passing only the access request and performing authentication using the authentication function for the other access requests and setting the passage function to the gateway function. When a configuration is adopted in which single sign-on authentication is implemented, authentication for access to a virtual private network is also used to authenticate access to content on servers in the virtual private network. The configuration allows users to work efficiently without requiring separate authentication procedures from servers in the virtual closed network. An effect that can be performed is obtained.
[Brief description of the drawings]
FIG. 1 is an embodiment of a system configuration for realizing the present invention.
FIG. 2 is an example of an embodiment of a virtual private network access authentication table.
FIG. 3 is an example of an embodiment of a content group access authentication table.
FIG. 4 is an example of an embodiment of a content access authentication table.
FIG. 5 is a diagram showing a processing flow in the embodiment.
FIG. 6 is a diagram showing a processing flow in the embodiment.
FIG. 7 is an embodiment of a processing flow executed in the present invention.
FIG. 8 is an embodiment of a processing flow executed in the present invention.
FIG. 9 is an embodiment of a processing flow executed in the present invention.
FIG. 10 is a diagram illustrating a screen image of a browser on a user terminal.
FIG. 11 is a diagram illustrating an authentication access control system according to the invention of the prior application.
[Explanation of symbols]
1 authentication access control system
2 Authentication access control server device
3 gateway
4 Forwarding node
5 remote access server
6 user terminals
7 Users
8 Virtual closed network
9 Content server
10 Content server
11 Contents
12 contents group
13 Contents
14 Contents
15 Contents
16 Contents
20 Virtual Private Network Access Authentication Table
21 Content group access authentication table
22 Content Access Authentication Table
Claims (10)
仮想閉域網への接続に必要とされる認証を行うことで、認証機能を持たないサーバの保有する、その認証と認証が兼用されるコンテンツ群配下のコンテンツについて認証を得る手段と、
仮想閉域網内のゲートウェイに、コンテンツへのアクセス許可が設定されていないことでアクセス要求が転送されてくる場合に、それを受け取る手段と、
上記認証の兼用が許可されないコンテンツ群を処理対象として、アクセス要求コンテンツの属するコンテンツ群の認証に必要な情報を、利用者端末から初回アクセス要求の場合にのみ取得し認証を実行して、認証機能を持たないサーバの保有する該コンテンツ群配下のコンテンツについて認証を得る手段と、
アクセス要求コンテンツを保有する認証機能を持つサーバに対して、該コンテンツの認証に必要な情報を指定して認証を依頼することで認証を得る手段と、
上記認証を得たコンテンツへのアクセス要求の許可を示すエントリ情報を上記ゲートウェイに設定する手段とを備えることを、
特徴とする認証アクセス制御サーバ装置。An authentication access control server device for authenticating an access request to content in a virtual closed network issued from a user terminal,
By performing the authentication required for the connection to the virtual closed network, means for obtaining the authentication of the content under the group of contents held by a server having no authentication function, the authentication and the authentication being shared,
When an access request is transferred to the gateway in the virtual closed network because access permission to the content is not set, a means for receiving the request,
The above-mentioned authentication is performed by acquiring information necessary for the authentication of the content group to which the access request content belongs from the user terminal only in the case of the first access request, and executing the authentication by targeting the content group for which the above-mentioned authentication is not permitted. Means for obtaining authentication for content under the content group held by a server having no
Means for obtaining authentication by requesting a server having an authentication function holding the access request content and designating information necessary for authentication of the content, and requesting authentication;
Means for setting entry information indicating permission of an access request to the authenticated content in the gateway,
Characteristic authentication access control server device.
規定の状態になる場合に、上記ゲートウェイに設定したエントリ情報を無効化する手段を備えることを、
特徴とする認証アクセス制御サーバ装置。The authentication access control server device according to claim 1,
When a prescribed state is provided, a means for invalidating the entry information set in the gateway is provided.
Characteristic authentication access control server device.
上記無効化する手段は、利用者端末が仮想閉域網から切り離された場合に、上記ゲートウェイに設定した該利用者端末にかかる全てのエントリ情報を無効化することを、
特徴とする認証アクセス制御サーバ装置。The authentication access control server device according to claim 2,
The invalidating means, when the user terminal is disconnected from the virtual closed network, to invalidate all entry information related to the user terminal set in the gateway,
Characteristic authentication access control server device.
上記無効化する手段は、認証したコンテンツ群に対応付けて利用者端末に送信したプログラムからの応答が一定時間なくなる場合に、上記ゲートウェイに設定した該利用者端末にかかる該コンテンツ群配下のコンテンツについての全てのエントリ情報を無効化することを、
特徴とする認証アクセス制御サーバ装置。The authentication access control server device according to claim 2,
The invalidating means is configured to, when there is no response from the program transmitted to the user terminal in association with the authenticated content group for a certain period of time, for the content under the content group of the user terminal set in the gateway. Invalidating all entry information of
Characteristic authentication access control server device.
上記無効化する手段は、認証したコンテンツ群に対応付けて利用者端末に送信したプログラムから認証の無効化指示が発行される場合に、上記ゲートウェイに設定した該利用者端末にかかる該コンテンツ群配下のコンテンツについての全てのエントリ情報を無効化することを、
特徴とする認証アクセス制御サーバ装置。The authentication access control server device according to claim 2,
The means for invalidating is, when an instruction for invalidating authentication is issued from a program transmitted to the user terminal in association with the group of authenticated contents, under the control of the content group for the user terminal set in the gateway. Invalidating all entry information for the content of
Characteristic authentication access control server device.
上記無効化する手段は、利用者端末からのアクセス要求に応答して認証したコンテンツ群についての認証から一定時間経過する場合に、上記ゲートウェイに設定した該利用者端末にかかる該コンテンツ群配下のコンテンツについての全てのエントリ情報を無効化することを、
特徴とする認証アクセス制御サーバ装置。The authentication access control server device according to claim 2,
The invalidating means is configured such that, when a predetermined time has elapsed from the authentication of the content group authenticated in response to the access request from the user terminal, the content under the content group of the user terminal set in the gateway is set. To invalidate all entry information for
Characteristic authentication access control server device.
仮想閉域網への接続に必要とされる認証を行うことで、認証機能を持たないサーバの保有する、その認証と認証が兼用されるコンテンツ群配下のコンテンツについて認証を得る過程と、
仮想閉域網内のゲートウェイに、コンテンツへのアクセス許可が設定されていないことでアクセス要求が転送されてくる場合に、それを受け取る過程と、
上記認証の兼用が許可されないコンテンツ群を処理対象として、アクセス要求コンテンツの属するコンテンツ群の認証に必要な情報を、利用者端末から初回アクセス要求の場合にのみ取得し認証を実行して、認証機能を持たないサーバの保有する該コンテンツ群配下のコンテンツについて認証を得る過程と、
アクセス要求コンテンツを保有する認証機能を持つサーバに対して、該コンテンツの認証に必要な情報を指定して認証を依頼することで認証を得る過程と、
上記認証を得たコンテンツへのアクセス要求の許可を示すエントリ情報を上記ゲートウェイに設定する過程とを備えることを、
特徴とする認証アクセス制御方法。An authentication access control method for authenticating an access request to content in a virtual closed network issued from a user terminal,
By performing authentication required for connection to the virtual closed network, a process of obtaining authentication for content under a content group owned by a server having no authentication function and for which authentication and authentication are shared,
When an access request is transferred to the gateway in the virtual closed network because access permission to the content is not set, a process of receiving the request,
The above-mentioned authentication is performed by acquiring information necessary for the authentication of the content group to which the access request content belongs from the user terminal only in the case of the first access request, and executing the authentication by targeting the content group for which the above-mentioned authentication is not permitted. Obtaining authentication for the content under the content group held by the server having no server,
A process of obtaining authentication by designating information required for authentication of the content and requesting authentication to a server having an authentication function holding the access request content;
Setting entry information indicating permission of an access request to the authenticated content in the gateway,
An authentication access control method characterized by the following.
規定の状態になる場合に、上記ゲートウェイに設定したエントリ情報を無効化する過程を備えることを、
特徴とする認証アクセス制御方法。The authentication access control method according to claim 7,
In a case where a prescribed state is reached, a step of invalidating the entry information set in the gateway is provided,
An authentication access control method characterized by the following.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002177944A JP4149745B2 (en) | 2002-06-19 | 2002-06-19 | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002177944A JP4149745B2 (en) | 2002-06-19 | 2002-06-19 | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004021761A true JP2004021761A (en) | 2004-01-22 |
| JP4149745B2 JP4149745B2 (en) | 2008-09-17 |
Family
ID=31175806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002177944A Expired - Fee Related JP4149745B2 (en) | 2002-06-19 | 2002-06-19 | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4149745B2 (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006277387A (en) * | 2005-03-29 | 2006-10-12 | Nomura Research Institute Ltd | Load balancing system and load balancing method |
| JP2009086960A (en) * | 2007-09-28 | 2009-04-23 | Nippon Digital Kenkyusho:Kk | Method for setting url filter, client device, terminal device, client/server system, and program for setting url filter |
| JP2009237671A (en) * | 2008-03-26 | 2009-10-15 | Mizuho Information & Research Institute Inc | Data-disclosing system, access control-setting method, and access control-setting program |
| JP2012203719A (en) * | 2011-03-25 | 2012-10-22 | Fuji Xerox Co Ltd | Information processing device, program, and information processing system |
| JP2014219711A (en) * | 2013-05-01 | 2014-11-20 | 富士通株式会社 | Biometric authentication system, biometric authentication method, and biometric authentication device |
| US20170165974A1 (en) * | 2014-10-16 | 2017-06-15 | Funai Electric Co., Ltd. | Agitating member for ink cartridge |
-
2002
- 2002-06-19 JP JP2002177944A patent/JP4149745B2/en not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006277387A (en) * | 2005-03-29 | 2006-10-12 | Nomura Research Institute Ltd | Load balancing system and load balancing method |
| JP4728026B2 (en) * | 2005-03-29 | 2011-07-20 | 株式会社野村総合研究所 | Load balancing system and load balancing method |
| JP2009086960A (en) * | 2007-09-28 | 2009-04-23 | Nippon Digital Kenkyusho:Kk | Method for setting url filter, client device, terminal device, client/server system, and program for setting url filter |
| JP2009237671A (en) * | 2008-03-26 | 2009-10-15 | Mizuho Information & Research Institute Inc | Data-disclosing system, access control-setting method, and access control-setting program |
| JP2012203719A (en) * | 2011-03-25 | 2012-10-22 | Fuji Xerox Co Ltd | Information processing device, program, and information processing system |
| JP2014219711A (en) * | 2013-05-01 | 2014-11-20 | 富士通株式会社 | Biometric authentication system, biometric authentication method, and biometric authentication device |
| US20170165974A1 (en) * | 2014-10-16 | 2017-06-15 | Funai Electric Co., Ltd. | Agitating member for ink cartridge |
| US9937723B2 (en) * | 2014-10-16 | 2018-04-10 | Funai Electric Co., Ltd. | Agitating member for ink cartridge |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4149745B2 (en) | 2008-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4867663B2 (en) | Network communication system | |
| US9253031B2 (en) | System, method and computer program product for identifying, configuring and accessing a device on a network | |
| KR100847596B1 (en) | Communication network system, gateway, data communication method and program providing medium | |
| KR100906119B1 (en) | Distributed filesystem network security extension | |
| US7716350B2 (en) | Methods and devices for sharing content on a network | |
| US9219750B2 (en) | Communication access control device, communication access control method, and computer readable recording medium | |
| JP5239341B2 (en) | Gateway, relay method and program | |
| JP2005339093A (en) | Authentication method, authentication system, authentication proxy server, network access authenticating server, program, and storage medium | |
| WO2008022589A1 (en) | A system and method for authenticating the accessing request for the home network | |
| JPWO2004105333A1 (en) | Secure virtual private network | |
| JPH11338799A (en) | Method and system for controlling network connection | |
| WO2022247751A1 (en) | Method, system and apparatus for remotely accessing application, device, and storage medium | |
| CN105991614A (en) | Open authorization, resource access method and device, and a server | |
| JP2002123491A (en) | Authentication proxy method, device and system | |
| JP3863441B2 (en) | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program | |
| US20060122936A1 (en) | System and method for secure publication of online content | |
| JP4149745B2 (en) | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program | |
| CN111245791B (en) | Single sign-on method for realizing management and IT service through reverse proxy | |
| JP3766338B2 (en) | Authentication access control system, authentication access control server apparatus, authentication access control method, authentication access control program, and recording medium recording the program | |
| US7899918B1 (en) | Service accounting in a network | |
| JP3953963B2 (en) | Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system | |
| JP4152753B2 (en) | Network authentication access control server, application authentication access control server, and integrated authentication access control system | |
| JP6345092B2 (en) | Communications system | |
| JP2001056795A (en) | Access authentication processor, network provided with the processor, storage medium therefor and access authentication processing method | |
| JP6920614B2 (en) | Personal authentication device, personal authentication system, personal authentication program, and personal authentication method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040728 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061010 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061208 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20061208 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080226 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080317 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080422 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080520 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080624 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080626 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110704 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110704 Year of fee payment: 3 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: R3D02 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120704 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |