JP2004220075A - ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム - Google Patents
ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム Download PDFInfo
- Publication number
- JP2004220075A JP2004220075A JP2003003108A JP2003003108A JP2004220075A JP 2004220075 A JP2004220075 A JP 2004220075A JP 2003003108 A JP2003003108 A JP 2003003108A JP 2003003108 A JP2003003108 A JP 2003003108A JP 2004220075 A JP2004220075 A JP 2004220075A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- access control
- server
- control server
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】仮想閉域網内にあって利用者がアクセス権限を持つアプリケーションサーバに対してさらなる認証手順を踏む必要のないようにする。
【解決手段】利用者端末6から仮想閉域網8へのアクセスの認証が得られると、ネットワーク認証アクセス制御サーバ2は、転送ノード4とリモートアクセスサーバ5に対して接続パスの設定を行なう。アプリケーション認証アクセス制御サーバ3は、利用者端末6から仮想閉域網8内のアプリケーションサーバ9へのアクセス要求のパケットから送信元アドレスを抽出し、ネットワーク認証アクセス制御サーバ2に送信する。ネットワーク認証アクセス制御サーバ2は、送信元アドレス情報が自サーバ内に登録されていればネットワーク認証アクセス制御サーバ2で認証済みである旨を、登録されていない場合は、ネットワーク認証アクセス制御サーバ2で未認証であることをアプリケーション認証アクセス制御サーバ3に応答する。
【選択図】 図1
【解決手段】利用者端末6から仮想閉域網8へのアクセスの認証が得られると、ネットワーク認証アクセス制御サーバ2は、転送ノード4とリモートアクセスサーバ5に対して接続パスの設定を行なう。アプリケーション認証アクセス制御サーバ3は、利用者端末6から仮想閉域網8内のアプリケーションサーバ9へのアクセス要求のパケットから送信元アドレスを抽出し、ネットワーク認証アクセス制御サーバ2に送信する。ネットワーク認証アクセス制御サーバ2は、送信元アドレス情報が自サーバ内に登録されていればネットワーク認証アクセス制御サーバ2で認証済みである旨を、登録されていない場合は、ネットワーク認証アクセス制御サーバ2で未認証であることをアプリケーション認証アクセス制御サーバ3に応答する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は統合型認証アクセス制御システムに関し、特に利用者の端末からの接続要求を、リモートアクセスサーバを介して受信し、該リモートアクセスサーバと転送ノードを制御して接続パスを設定し、端末と仮想閉域網とを接続して、端末と仮想閉域網内のアプリケーションサーバとの間の通信を実現するネットワーク認証アクセス制御サーバと、仮想閉域網内に設置されて、仮想閉域網内にある複数のアプリケーションサーバに対するアクセス時の認証を実現するアプリケーション認証アクセス制御サーバを含む統合型認証アクセス制御システムに関する。
【0002】
【従来の技術】
従来、企業通信網など特定の対地のみを接続する閉域網を構築するために、仮想閉域網が導入されている。コネクションレス型通信網における仮想閉域網は、伝送路、転送ノードを共有するのみならず、論理パス、論理回線も共有して、セキュリティを確保した転送制御がなされている。また、仮想閉域網は特定の対地のみを接続するのではなく、特定の端末、または特定のユーザからのリモートアクセスを受け付けることができるようになっている。例えば、社員の自宅の端末から電話網あるいはADSL(Asynmetric Digital Subscriber Line)網等を経由して企業の仮想閉域網にアクセスし、会社のホストコンピュータに接続することができる。電話網等と仮想閉域網との間にリモートアクセスサーバが設置されており、端末は、ダイアルアップ等でリモートアクセスサーバに接続し、仮想閉域網にアクセスすることが行なわれている。
【0003】
リモートアクセスサーバと仮想閉域網とを接続する転送ノードと、リモートアクセスサーバと転送ノードとを制御する閉域網群制御サーバを備え、複数の仮想閉域網の利用者が共有している。リモートアクセスサーバと転送ノードとの間の物理回線を複数の仮想閉域網で利用して、設備の利用効率を向上させることが出願されている(特許文献1)。この特許文献1では、利用者からの接続要求に基づいて、リモートアクセスサーバは、仮想閉域網毎に仮想ルータ(以下、VR:Virtual Routerと表記)を割り当て、VRを1本の物理回線に接続する。利用者からの切断を契機に、リモートアクセスサーバは、VRを開放し、他の仮想閉域網の利用者に割り当てる。
【0004】
一方、仮想閉域網に代表される通信網への接続環境が整っていることを前提として、通信網上に接続されている複数のサーバ上のコンテンツへのアクセスを一度の認証で可能にする(以下、シングルサインオンと表記)方法として、網内に認証アクセス制御サーバを設置する方法が知られており、シングルサインオンはその処理形態によって、「リバース・プロキシ型」と「エージェント・モジュール型」とに分類される。
【0005】
リバース・プロキシ型のシングルサインオンでは、サーバへのアクセス要求は全て認証アクセス制御サーバを中継して送信され、認証アクセス制御サーバは、中継時に、内部に持つ利用者毎のアクセスリストを参照してアクセス制御を行なう。一方、エージェント・モジュール型のシングルサインオンでは、利用者は、まず認証アクセス制御サーバにログインする。認証に成功すると、認証アクセス制御サーバは、該利用者がアクセス可能なアプリケーションサーバのリストをクッキーに埋め込んで利用者端末に送信する。その後、利用者がアプリケーションサーバにアクセスした時、コンテンツサーバ内のエージェント・モジュールがクッキー内の情報をもとにアクセスの可否を決定する。アプリケーションサーバに対して、認証アクセス制御サーバで認証されていない利用者からのアクセスがあった場合は、該アプリケーションサーバ内のエージェント・モジュールがアクセス要求を認証アクセス制御サーバに転送して、認証を行なわせる。
【0006】
なお、現在、企業連合であるLiberty Allianceにおいて、エージェント・モジュール型をベースにしたシングルサインオンの方式の標準化が進められている。
【0007】
【特許文献1】
特開2002−185538号公報
【0008】
【発明が解決しようとする課題】
仮想閉域網に利用者が遠隔地からアクセスする場合は、通常、仮想閉域網に接続した後、何らかの業務を行なうために、その仮想閉域網内のサーバにアクセスすることが考えられる。この時、一旦仮想閉域網に接続した後は、既述のリバース・プロキシ型ないしはエージェント・モジュール型の認証アクセス制御サーバを利用することにより、アプリケーションサーバへのシングルサインオンが可能であるが、仮想閉域網自体へのアクセスに対しては、別に認証が必要であるため、利用者がリモートアクセスにより仮想閉域網内のアプリケーションサーバへアクセスするためには二度以上の認証が必要となり、ユーザの利便性から見て不十分であるという問題がある。
【0009】
本発明の目的は、セキュリティ強度を損なうことなく、その仮想閉域網内にあって利用者がアクセス権限を持つアプリケーションサーバに対してさらなる認証手順を踏む必要のない、ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システムを提供することにある。
【0010】
【課題を解決するための手段】
本発明のネットワーク認証アクセス制御サーバおよびアプリケーション認証アクセス制御サーバは、転送ノードとリモートアクセスサーバとともに、利用者端末がリモートアクセスサーバおよび転送ノードを介して遠隔地から仮想閉域網に接続した上で、利用者端末から発行される仮想閉域網内のアプリケーションサーバへのアクセス要求を認証する統合型認証アクセス制御システムを構成している。
【0011】
本発明のネットワーク認証アクセス制御サーバは、利用者端末から仮想閉域網への接続要求をリモートアクセスサーバを介して受信し、仮想閉域網への接続における認証に必要な情報を利用者端末から受け取る手段と、該情報を用いて利用者を認証する手段と、認証が成功すると、リモートアクセスサーバと転送ノードに対して、利用者端末と仮想閉域網との間を接続する手段と、利用者の認証状態と、認証に成功した場合にその利用者の端末を仮想閉域網に接続するために払い出したアドレスを利用者毎に管理する手段と、アプリケーション認証アクセス制御サーバから、アプリケーションサーバへのアクセス要求パケットの送信元アドレスの情報を受け取る手段と、受け取った送信元アドレスをもとに、ネットワーク認証アクセス制御サーバ内で管理している認証時の払い出しアドレスの情報を検索し、その送信元アドレスが仮想閉域網への認証成功時に払い出したアドレスか否かを判断する手段と、送信元アドレスが認証成功時に払い出したアドレスであった場合、そのアドレスを送信元としてアプリケーションサーバへのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバで認証済みである旨をアプリケーション認証アクセス制御サーバに応答する手段と、送信元アドレスが認証成功時に払い出したアドレスでなかった場合、そのアドレスを送信元としてアプリケーションサーバへのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバで認証済みではない旨をアプリケーション認証アクセス制御サーバに応答する手段とを備える。
【0012】
一方、本発明のアプリケーション認証アクセス制御サーバは、利用者からのアプリケーションサーバ群へのアクセス要求を受け取る手段と、そのアクセス要求の送信元アドレスを抽出し、ネットワーク認証アクセス制御サーバに対してその送信元アドレスの情報を送信してアクセス要求を送ってきた利用者が認証済みであるかを問い合わせる手段と、ネットワーク認証アクセス制御サーバから認証済みである旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を改めて送信してもらうことなく、証明書等認証成功を示す情報を付与して利用者端末に対して応答する手段と、ネットワーク認証アクセス制御サーバから未認証である旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を要求して認証を求める手段と、引き続いて利用者端末から認証に必要な情報を受け取り、認証に成功した場合に、証明書等認証成功を示す情報を付与して利用者端末に対して応答する手段とを備える。
【0013】
次に、このように構成された本発明の統合型認証アクセス制御システムでの認証処理の流れについて説明する。
【0014】
ネットワーク認証アクセス制御サーバは、仮想閉域網への接続要求が発行されると、利用者端末から、その仮想閉域網へのアクセスに必要となる認証情報を取得して、それに基づいて、仮想閉域網へのアクセスの認証を行なう。この認証が得られると、ネットワーク認証アクセス制御サーバは、利用者端末が当該仮想閉域網に接続されるように、転送ノードとリモートアクセスサーバに対して接続パスの設定を行なう。この後、利用者端末から当該仮想閉域網内のアプリケーションサーバに対してアクセス要求を行なうと、そのアクセス要求にはそのアプリケーションサーバにアクセスする権限を有することを示す証明書が含まれていないため、エージェント・モジュール型のシングルサインオンの方式に従い、アクセス要求はアプリケーション認証アクセス制御サーバに転送される。
【0015】
アプリケーション認証アクセス制御サーバは、受信したアプリケーションサーバへのアクセス要求のパケットから送信元アドレスを抽出し、アクセス要求元の利用者の認証状態を確認するために、ネットワーク認証アクセス制御サーバに対して先に抽出した送信元アドレスの情報を送信する。
【0016】
ネットワーク認証アクセス制御サーバは、受信した送信元アドレス情報が自サーバ内に保持する認証状態を管理するリスト内に認証済みで払い出したアドレスとして登録されているかを検索する。該送信元アドレスがリスト内に存在した場合は、ネットワーク認証アクセス制御サーバで認証済みである旨をアプリケーション認証アクセス制御サーバに応答し、リスト内にない場合は、ネットワーク認証アクセス制御サーバで未認証であることを応答する。
【0017】
アプリケーション認証アクセス制御サーバは、認証済みとの応答を受信した場合は、元々利用者端末から送られてきたアクセス要求に対して、パスワード等認証に必要な情報を改めて要求することなく、アプリケーションサーバ群へのアクセス権限を有していることを証明する証明書を付与して利用者端末に送信する。ネットワーク認証アクセス制御サーバから未認証との応答を受信した場合は、元々のアクセス要求に対して、パスワード等認証に必要な情報を利用者に要求し、認証が成功した場合に限り、アプリケーションサーバ群へのアクセス権限を有していることを証明する証明書を付与して利用者端末に送信する。
【0018】
これ以降に該利用者端末が仮想閉域網内のアプリケーションサーバ群に対してアクセスを試みた場合は、アプリケーション認証アクセス制御サーバが発行した証明書がアクセス要求に付与されていることをアプリケーションサーバが確認することで認証手続きが完了していることを判別し、自アプリケーションサーバへのアクセスを許可する。
【0019】
したがって、Liberty Allianceにて標準化作業が進められている、エージェント・モジュール型のシングルサインオンをベースとする、仮想閉域網へのリモートアクセスにおいて、利用者は仮想閉域網へのアクセス時に一度認証を行なうだけで、仮想閉域網へのリモートアクセスのみならず、仮想閉域網内の複数のアプリケーションサーバに対するセキュアなアクセスが可能になる。
【0020】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0021】
図1は本発明の一実施形態の統合型認証アクセス制御システムの構成図である。
【0022】
統合型認証アクセス制御システム1はネットワーク認証アクセス制御サーバ2とアプリケーション認証アクセス制御サーバ3と転送ノード4とリモートアクセスサーバ5で構成されている。
【0023】
この構成において、利用者7が利用者端末6から仮想閉域網8に遠隔からダイアルアップでアクセスするものとし、この仮想閉域網8内には、アプリケーションサーバ91、92があり、利用者7はこのいずれのアプリケーションサーバ91、92にもアクセス権限を有しているものとする。
【0024】
図2(a)(b)はそれぞれネットワーク認証アクセス制御サーバ2、アプリケーション認証アクセス制御サーバ3の構成図である。
【0025】
ネットワーク認証アクセス制御サーバ2は接続要求受付/応答部21と認証部22と接続パス設定/削除部23とネットワーク認証状態テーブル24とアドレス払い出し/回収部25と認証状態応答部26を有している。
【0026】
接続要求受付/応答部21はリモートアクセスサーバ5を介した利用者端末6から仮想閉域網8の接続要求を認証に必要な情報とともに受け取り、またリモートアクセスサーバ5を介して利用者端末6に認証結果とIPアドレスを返す。また、接続要求受付/応答部21は、リモートアクセスサーバ5から切断要求を受信する。認証部22は接続要求受付/応答部21で接続要求が受信されると、受け取った認証に必要な情報を用いて利用者7を認証する。接続パス設定/削除部23は認証部22における認証が成功した場合、リモートアクセスサーバ5と転送ノード4に対して、利用者端末6と仮想閉域網8の間の接続パスを設定し、また、リモートアクセスサーバ5から切断要求が送信されると、前記接続パスを削除する。ネットワーク認証状態テーブル24は、仮想閉域網毎に用意され、各利用者が仮想閉域網に接続しているか接続していないかを示す認証状態と、接続されている場合に当該利用者の端末に対して払い出されたIP(InternetProtocol)アドレスの情報を管理する。表1に、ネットワーク認証状態テーブル24の一例を示す。
【0027】
【表1】
【0028】
アドレス払い出し/回収部25は、アプリケーション認証アクセス制御サーバ3から受け取った、アプリケーションサーバ91または92へのアクセス要求パケットの送信元アドレスをもとに、ネットワーク認証状態テーブル24から認証時の払い出しアドレスの情報を検索し、送信元アドレスが仮想閉域網8への認証成功時に払い出したアドレスが否かを判断する。またアドレス払い出し/回収部25は接続要求受付/応答部21で切断要求が受信されると、利用者端末6に払い出したIPアドレスをネットワーク認証状態テーブル24から回収して利用者7を未認証状態に戻す。認証状態応答部26はアプリケーション認証アクセス制御サーバ3から、アプリケーションサーバ91または92へのアクセス要求パケットの送信元アドレスの情報を受け取り、該アドレスが認証成功時に払い出したアドレスであった場合、そのアドレスを送信元としてアプリケーションサーバ91または92へのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバ2で認証済みである旨をアプリケーション認証アクセス制御サーバ3に応答し、認証成功時に払い出したアドレスでなかった場合、そのアドレスを送信元としてアプリケーションサーバ91または92へのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバ2で認証済みではない旨をアプリケーション認証アクセス制御サーバ3に応答する。
【0029】
アプリケーション認証アクセス制御サーバ3はアクセス要求受付/応答部31と送信元アドレス抽出部32と認証状態問合せ部33とアクセス許可判断部34とを有している。
【0030】
アクセス要求受付/応答部31は転送ノード4を介した利用者7からのアプリケーションサーバ91または92へのアクセス要求を受付け、また認証の成功/不成功を転送ノード4を介して利用者7に応答する。送信元アドレス抽出部32はアクセス要求受付/応答部31で受け取られたアクセス要求の送信元アドレスを抽出する。認証状態問合せ部33は抽出された送信元アドレスをネットワーク認証アクセス制御サーバ2に送信してアクセス要求を送ってきた利用者が認証済みであるかを問い合わせる。アクセス許可判断部34は、ネットワーク認証アクセス制御サーバ2から認証済みである旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を改めて送信してもらうことなく、証明書等認証成功を示す情報を付与してアクセス要求受付/応答部31、転送ノード4を介して利用者端末6に対して応答し、ネットワーク認証アクセス制御サーバ2から未認証である旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を要求して認証を求め、引き続いて利用者端末6から認証に必要な情報を受け取り、認証に成功した場合に、証明書等認証成功を示す情報を付与してアクセス要求受付/応答部31、転送ノード4を介して利用者端末6に対して応答する。また、アクセス許可判断部34は、ネットワーク認証アクセス制御サーバ2からログアウト要求を受信すると、利用者7の認証を無効にする。
【0031】
次に、図3、図4、および図5に示すシーケンス図に従って、本実施形態のネットワーク認証アクセス制御サーバ2とアプリケーション認証アクセス制御サーバ3によって、利用者端末6からの一度のみの認証によって仮想閉域網8にリモートアクセスし、かつ、仮想閉域網8内のアプリケーションサーバ91、92に対してのシングルサインオンを実現する一連の処理について説明する。
【0032】
利用者端末6が仮想閉域網8に電話網経由でダイアルアップによるリモート接続を試みた場合、利用者端末6とリモートアクセスサーバ5との間の通信路が確立された後、仮想閉域網8への接続要求として認証に必要なユーザIDとパスワードとの対データがリモートアクセスサーバ5に送信される(ステップ101)。
【0033】
リモートアクセスサーバ5は、その接続要求をネットワーク認証アクセス制御サーバ2に送信して、認証を要求する(ステップ102)。
【0034】
ネットワーク認証アクセス制御サーバ2は、接続要求受付/応答部21で受信したユーザIDとパスワードの組で利用者を認証部22で認証し、認証に成功すると、利用者端末6に対して仮想閉域網8に接続するためのIPアドレスをアドレス払い出し/回収部25で払い出し、リモートアクセスサーバ5および転送ノード4に対して接続パスを接続パス設定/削除部23で設定する(ステップ103)。そして、認証結果と払い出したIPアドレスを接続要求受付/応答部21からリモートアクセスサーバ5を介して利用者端末6に送信する(ステップ104、105)。
【0035】
ここまでの処理で利用者端末6は、仮想閉域網8に接続されたため、利用者7は何らかの業務を行なうため、アプリケーションサーバ91に対してアクセス要求を送信するとする(ステップ106)。
【0036】
この時点では、利用者端末6は、アプリケーションサーバ91に対するアクセス権限を持っていることを示す証明書を持っていないため、アプリケーションサーバ91はアクセス要求に証明書が付いていないことを確認し(ステップ107)、アクセス要求をアプリケーション認証アクセス制御サーバ3にリダイレクトするように、利用者端末6に指示を送信する(ステップ108)。
【0037】
これに基づいて利用者端末6からアプリケーション認証アクセス制御サーバ3にアクセス要求が転送されると(ステップ109)、アプリケーション認証アクセス制御サーバ3は、受信したアクセス要求のパケットの送信元アドレスを送信元アドレス抽出部32で抽出し、そのアドレス情報を認証状態問合せ部33よりネットワーク認証アクセス制御サーバ2に送信することで、そのアクセス要求を送信してきた利用者がネットワーク認証アクセス制御サーバ2で認証済みであるかをネットワーク認証アクセス制御サーバ2に問い合わせる(ステップ110)。
【0038】
ネットワーク認証アクセス制御サーバ2では、仮想閉域網8のネットワーク認証状態テーブル24をアドレス払い出し/回収部25で検索し、アプリケーション認証アクセス制御サーバ3から受信したアドレスが、ネットワーク認証アクセス制御サーバ2で認証して払い出したアドレスであるかを判別し、その結果を認証状態応答部26からアプリケーション認証アクセス制御サーバ3に送信する(ステップ111)。
【0039】
認証状態応答が認証済みであった場合は(図4)、アプリケーション認証アクセス制御サーバ3は、利用者端末6に対して、認証が成功していることを示す証明書をアクセス許可判断部34で発行し、アクセス要求受付/応答部31より利用者端末6にアクセス応答として返信する(ステップ112)。
【0040】
これにより利用者端末6から再度アプリケーションサーバ91に対してアクセス要求を行なうと(ステップ113)、アプリケーションサーバ91はアクセス要求に証明書が付与されていることを検知して、アクセス要求に応答する(ステップ114)。
【0041】
これ以降は、利用者7がアクセス権限を有する他のアプリケーションサーバ(本実施形態ではアプリケーションサーバ92)に対しても、改めて認証手続きを求められることなく、アクセスが可能になる。
【0042】
認証状態応答が未認証であった場合は(図5)、アプリケーション認証アクセス制御サーバ3からパスワード要求を利用者端末6に送信してパスワードをアプリケーション認証アクセス制御サーバ3に送信し(ステップ115,116)、アクセス許可判断部34で認証を行ない(ステップ117)、認証応答をアクセス要求受付/応答部31から利用者端末6に返す(ステップ118)。認証が成功だった場合、利用者端末6はアプリケーションサーバ91にアクセス要求を送信し(ステップ119)、アプリケーションサーバ91は利用者端末6にアクセス応答を返す(ステップ120)。
【0043】
次に、図6に示すシーケンス図に従って、本実施形態において利用者7が利用者端末6とリモートアクセスサーバ5との間の回線を切断することで、実施済みのシングルサインオンの認証を無効にする一連の処理について説明する。
【0044】
利用者端末6とリモートアクセスサーバ5との間の回線が切断されると(ステップ121)、リモートアクセスサーバ5からネットワーク認証アクセス制御サーバ2に対して切断要求が送信され(ステップ122)、これを契機にネットワーク認証アクセス制御サーバ2は、アドレス払い出し/回収部25で、利用者端末6に払い出したIPアドレスを回収して利用者7を未認証状態に戻し、さらに、接続パス設定/削除部23でリモートアクセスサーバ5と転送ノード4に対して仮想閉域網8への接続パスを削除する。
【0045】
この後、ネットワーク認証アクセス制御サーバ2は、認証状態応答部26からアプリケーション認証アクセス制御サーバ3に対して、利用者7のログアウト要求を送信する(ステップ124)。アプリケーション認証アクセス制御サーバ3は、アクセス許可判断部34でアプリケーションサーバ群(91および92)に対する利用者7の認証を無効にする(ステップ125)。
【0046】
その後、アプリケーション認証アクセス制御サーバ3は、認証状態問合せ部33からログアウト完了通知をネットワーク認証アクセス制御サーバ2に送信し(ステップ126)、リモートアクセスサーバ5に切断完了通知を送信する(ステップ127)。
【0047】
なお、ネットワーク認証アクセス制御サーバ2およびアプリケーション認証アクセス制御サーバ3内の処理は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0048】
【発明の効果】
以上説明したように、本発明によれば、仮想閉域網へのリモートアクセスを実現する統合型認証アクセス制御システムにおいて、仮想閉域網へのアクセスのための認証で仮想閉域網内のアプリケーションサーバへのアクセスの認証を実現することで、利用者に対して仮想閉域網へのアクセス時に認証を行なうだけで、仮想閉域網内のサーバから別途認証手続きを求められることなく効率的に業務を遂行できるという効果が得られる。
【図面の簡単な説明】
【図1】本発明の一実施形態の統合型認証アクセス制御システムの構成図である。
【図2】ネットワーク認証アクセス制御サーバとアプリケーション認証アクセス制御サーバの構成図である。
【図3】図1の実施形態における処理の流れを示す図である。
【図4】図1の実施形態における処理の流れを示す図である。
【図5】図1の実施形態における処理の流れを示す図である。
【図6】図1の実施形態における処理の流れを示す図である。
【符号の説明】
1 統合型認証アクセス制御システム
2 ネットワーク認証アクセス制御サーバ
3 アプリケーション認証アクセス制御サーバ
4 転送ノード
5 リモートアクセスサーバ
6 利用者端末
7 利用者
8 仮想閉域網
91、92 アプリケーションサーバ
10 電話網
21 接続要求受付/応答部
22 認証部
23 接続パス設定/削除部
24 ネットワーク認証状態テーブル
25 アドレス払い出し/回収部
26 認証状態応答部
31 アクセス要求受付/応答部
32 送信元アドレス抽出部
33 認証状態問合せ部
34 アクセス許可判断部
101〜127 ステップ
【発明の属する技術分野】
本発明は統合型認証アクセス制御システムに関し、特に利用者の端末からの接続要求を、リモートアクセスサーバを介して受信し、該リモートアクセスサーバと転送ノードを制御して接続パスを設定し、端末と仮想閉域網とを接続して、端末と仮想閉域網内のアプリケーションサーバとの間の通信を実現するネットワーク認証アクセス制御サーバと、仮想閉域網内に設置されて、仮想閉域網内にある複数のアプリケーションサーバに対するアクセス時の認証を実現するアプリケーション認証アクセス制御サーバを含む統合型認証アクセス制御システムに関する。
【0002】
【従来の技術】
従来、企業通信網など特定の対地のみを接続する閉域網を構築するために、仮想閉域網が導入されている。コネクションレス型通信網における仮想閉域網は、伝送路、転送ノードを共有するのみならず、論理パス、論理回線も共有して、セキュリティを確保した転送制御がなされている。また、仮想閉域網は特定の対地のみを接続するのではなく、特定の端末、または特定のユーザからのリモートアクセスを受け付けることができるようになっている。例えば、社員の自宅の端末から電話網あるいはADSL(Asynmetric Digital Subscriber Line)網等を経由して企業の仮想閉域網にアクセスし、会社のホストコンピュータに接続することができる。電話網等と仮想閉域網との間にリモートアクセスサーバが設置されており、端末は、ダイアルアップ等でリモートアクセスサーバに接続し、仮想閉域網にアクセスすることが行なわれている。
【0003】
リモートアクセスサーバと仮想閉域網とを接続する転送ノードと、リモートアクセスサーバと転送ノードとを制御する閉域網群制御サーバを備え、複数の仮想閉域網の利用者が共有している。リモートアクセスサーバと転送ノードとの間の物理回線を複数の仮想閉域網で利用して、設備の利用効率を向上させることが出願されている(特許文献1)。この特許文献1では、利用者からの接続要求に基づいて、リモートアクセスサーバは、仮想閉域網毎に仮想ルータ(以下、VR:Virtual Routerと表記)を割り当て、VRを1本の物理回線に接続する。利用者からの切断を契機に、リモートアクセスサーバは、VRを開放し、他の仮想閉域網の利用者に割り当てる。
【0004】
一方、仮想閉域網に代表される通信網への接続環境が整っていることを前提として、通信網上に接続されている複数のサーバ上のコンテンツへのアクセスを一度の認証で可能にする(以下、シングルサインオンと表記)方法として、網内に認証アクセス制御サーバを設置する方法が知られており、シングルサインオンはその処理形態によって、「リバース・プロキシ型」と「エージェント・モジュール型」とに分類される。
【0005】
リバース・プロキシ型のシングルサインオンでは、サーバへのアクセス要求は全て認証アクセス制御サーバを中継して送信され、認証アクセス制御サーバは、中継時に、内部に持つ利用者毎のアクセスリストを参照してアクセス制御を行なう。一方、エージェント・モジュール型のシングルサインオンでは、利用者は、まず認証アクセス制御サーバにログインする。認証に成功すると、認証アクセス制御サーバは、該利用者がアクセス可能なアプリケーションサーバのリストをクッキーに埋め込んで利用者端末に送信する。その後、利用者がアプリケーションサーバにアクセスした時、コンテンツサーバ内のエージェント・モジュールがクッキー内の情報をもとにアクセスの可否を決定する。アプリケーションサーバに対して、認証アクセス制御サーバで認証されていない利用者からのアクセスがあった場合は、該アプリケーションサーバ内のエージェント・モジュールがアクセス要求を認証アクセス制御サーバに転送して、認証を行なわせる。
【0006】
なお、現在、企業連合であるLiberty Allianceにおいて、エージェント・モジュール型をベースにしたシングルサインオンの方式の標準化が進められている。
【0007】
【特許文献1】
特開2002−185538号公報
【0008】
【発明が解決しようとする課題】
仮想閉域網に利用者が遠隔地からアクセスする場合は、通常、仮想閉域網に接続した後、何らかの業務を行なうために、その仮想閉域網内のサーバにアクセスすることが考えられる。この時、一旦仮想閉域網に接続した後は、既述のリバース・プロキシ型ないしはエージェント・モジュール型の認証アクセス制御サーバを利用することにより、アプリケーションサーバへのシングルサインオンが可能であるが、仮想閉域網自体へのアクセスに対しては、別に認証が必要であるため、利用者がリモートアクセスにより仮想閉域網内のアプリケーションサーバへアクセスするためには二度以上の認証が必要となり、ユーザの利便性から見て不十分であるという問題がある。
【0009】
本発明の目的は、セキュリティ強度を損なうことなく、その仮想閉域網内にあって利用者がアクセス権限を持つアプリケーションサーバに対してさらなる認証手順を踏む必要のない、ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システムを提供することにある。
【0010】
【課題を解決するための手段】
本発明のネットワーク認証アクセス制御サーバおよびアプリケーション認証アクセス制御サーバは、転送ノードとリモートアクセスサーバとともに、利用者端末がリモートアクセスサーバおよび転送ノードを介して遠隔地から仮想閉域網に接続した上で、利用者端末から発行される仮想閉域網内のアプリケーションサーバへのアクセス要求を認証する統合型認証アクセス制御システムを構成している。
【0011】
本発明のネットワーク認証アクセス制御サーバは、利用者端末から仮想閉域網への接続要求をリモートアクセスサーバを介して受信し、仮想閉域網への接続における認証に必要な情報を利用者端末から受け取る手段と、該情報を用いて利用者を認証する手段と、認証が成功すると、リモートアクセスサーバと転送ノードに対して、利用者端末と仮想閉域網との間を接続する手段と、利用者の認証状態と、認証に成功した場合にその利用者の端末を仮想閉域網に接続するために払い出したアドレスを利用者毎に管理する手段と、アプリケーション認証アクセス制御サーバから、アプリケーションサーバへのアクセス要求パケットの送信元アドレスの情報を受け取る手段と、受け取った送信元アドレスをもとに、ネットワーク認証アクセス制御サーバ内で管理している認証時の払い出しアドレスの情報を検索し、その送信元アドレスが仮想閉域網への認証成功時に払い出したアドレスか否かを判断する手段と、送信元アドレスが認証成功時に払い出したアドレスであった場合、そのアドレスを送信元としてアプリケーションサーバへのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバで認証済みである旨をアプリケーション認証アクセス制御サーバに応答する手段と、送信元アドレスが認証成功時に払い出したアドレスでなかった場合、そのアドレスを送信元としてアプリケーションサーバへのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバで認証済みではない旨をアプリケーション認証アクセス制御サーバに応答する手段とを備える。
【0012】
一方、本発明のアプリケーション認証アクセス制御サーバは、利用者からのアプリケーションサーバ群へのアクセス要求を受け取る手段と、そのアクセス要求の送信元アドレスを抽出し、ネットワーク認証アクセス制御サーバに対してその送信元アドレスの情報を送信してアクセス要求を送ってきた利用者が認証済みであるかを問い合わせる手段と、ネットワーク認証アクセス制御サーバから認証済みである旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を改めて送信してもらうことなく、証明書等認証成功を示す情報を付与して利用者端末に対して応答する手段と、ネットワーク認証アクセス制御サーバから未認証である旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を要求して認証を求める手段と、引き続いて利用者端末から認証に必要な情報を受け取り、認証に成功した場合に、証明書等認証成功を示す情報を付与して利用者端末に対して応答する手段とを備える。
【0013】
次に、このように構成された本発明の統合型認証アクセス制御システムでの認証処理の流れについて説明する。
【0014】
ネットワーク認証アクセス制御サーバは、仮想閉域網への接続要求が発行されると、利用者端末から、その仮想閉域網へのアクセスに必要となる認証情報を取得して、それに基づいて、仮想閉域網へのアクセスの認証を行なう。この認証が得られると、ネットワーク認証アクセス制御サーバは、利用者端末が当該仮想閉域網に接続されるように、転送ノードとリモートアクセスサーバに対して接続パスの設定を行なう。この後、利用者端末から当該仮想閉域網内のアプリケーションサーバに対してアクセス要求を行なうと、そのアクセス要求にはそのアプリケーションサーバにアクセスする権限を有することを示す証明書が含まれていないため、エージェント・モジュール型のシングルサインオンの方式に従い、アクセス要求はアプリケーション認証アクセス制御サーバに転送される。
【0015】
アプリケーション認証アクセス制御サーバは、受信したアプリケーションサーバへのアクセス要求のパケットから送信元アドレスを抽出し、アクセス要求元の利用者の認証状態を確認するために、ネットワーク認証アクセス制御サーバに対して先に抽出した送信元アドレスの情報を送信する。
【0016】
ネットワーク認証アクセス制御サーバは、受信した送信元アドレス情報が自サーバ内に保持する認証状態を管理するリスト内に認証済みで払い出したアドレスとして登録されているかを検索する。該送信元アドレスがリスト内に存在した場合は、ネットワーク認証アクセス制御サーバで認証済みである旨をアプリケーション認証アクセス制御サーバに応答し、リスト内にない場合は、ネットワーク認証アクセス制御サーバで未認証であることを応答する。
【0017】
アプリケーション認証アクセス制御サーバは、認証済みとの応答を受信した場合は、元々利用者端末から送られてきたアクセス要求に対して、パスワード等認証に必要な情報を改めて要求することなく、アプリケーションサーバ群へのアクセス権限を有していることを証明する証明書を付与して利用者端末に送信する。ネットワーク認証アクセス制御サーバから未認証との応答を受信した場合は、元々のアクセス要求に対して、パスワード等認証に必要な情報を利用者に要求し、認証が成功した場合に限り、アプリケーションサーバ群へのアクセス権限を有していることを証明する証明書を付与して利用者端末に送信する。
【0018】
これ以降に該利用者端末が仮想閉域網内のアプリケーションサーバ群に対してアクセスを試みた場合は、アプリケーション認証アクセス制御サーバが発行した証明書がアクセス要求に付与されていることをアプリケーションサーバが確認することで認証手続きが完了していることを判別し、自アプリケーションサーバへのアクセスを許可する。
【0019】
したがって、Liberty Allianceにて標準化作業が進められている、エージェント・モジュール型のシングルサインオンをベースとする、仮想閉域網へのリモートアクセスにおいて、利用者は仮想閉域網へのアクセス時に一度認証を行なうだけで、仮想閉域網へのリモートアクセスのみならず、仮想閉域網内の複数のアプリケーションサーバに対するセキュアなアクセスが可能になる。
【0020】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0021】
図1は本発明の一実施形態の統合型認証アクセス制御システムの構成図である。
【0022】
統合型認証アクセス制御システム1はネットワーク認証アクセス制御サーバ2とアプリケーション認証アクセス制御サーバ3と転送ノード4とリモートアクセスサーバ5で構成されている。
【0023】
この構成において、利用者7が利用者端末6から仮想閉域網8に遠隔からダイアルアップでアクセスするものとし、この仮想閉域網8内には、アプリケーションサーバ91、92があり、利用者7はこのいずれのアプリケーションサーバ91、92にもアクセス権限を有しているものとする。
【0024】
図2(a)(b)はそれぞれネットワーク認証アクセス制御サーバ2、アプリケーション認証アクセス制御サーバ3の構成図である。
【0025】
ネットワーク認証アクセス制御サーバ2は接続要求受付/応答部21と認証部22と接続パス設定/削除部23とネットワーク認証状態テーブル24とアドレス払い出し/回収部25と認証状態応答部26を有している。
【0026】
接続要求受付/応答部21はリモートアクセスサーバ5を介した利用者端末6から仮想閉域網8の接続要求を認証に必要な情報とともに受け取り、またリモートアクセスサーバ5を介して利用者端末6に認証結果とIPアドレスを返す。また、接続要求受付/応答部21は、リモートアクセスサーバ5から切断要求を受信する。認証部22は接続要求受付/応答部21で接続要求が受信されると、受け取った認証に必要な情報を用いて利用者7を認証する。接続パス設定/削除部23は認証部22における認証が成功した場合、リモートアクセスサーバ5と転送ノード4に対して、利用者端末6と仮想閉域網8の間の接続パスを設定し、また、リモートアクセスサーバ5から切断要求が送信されると、前記接続パスを削除する。ネットワーク認証状態テーブル24は、仮想閉域網毎に用意され、各利用者が仮想閉域網に接続しているか接続していないかを示す認証状態と、接続されている場合に当該利用者の端末に対して払い出されたIP(InternetProtocol)アドレスの情報を管理する。表1に、ネットワーク認証状態テーブル24の一例を示す。
【0027】
【表1】
アドレス払い出し/回収部25は、アプリケーション認証アクセス制御サーバ3から受け取った、アプリケーションサーバ91または92へのアクセス要求パケットの送信元アドレスをもとに、ネットワーク認証状態テーブル24から認証時の払い出しアドレスの情報を検索し、送信元アドレスが仮想閉域網8への認証成功時に払い出したアドレスが否かを判断する。またアドレス払い出し/回収部25は接続要求受付/応答部21で切断要求が受信されると、利用者端末6に払い出したIPアドレスをネットワーク認証状態テーブル24から回収して利用者7を未認証状態に戻す。認証状態応答部26はアプリケーション認証アクセス制御サーバ3から、アプリケーションサーバ91または92へのアクセス要求パケットの送信元アドレスの情報を受け取り、該アドレスが認証成功時に払い出したアドレスであった場合、そのアドレスを送信元としてアプリケーションサーバ91または92へのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバ2で認証済みである旨をアプリケーション認証アクセス制御サーバ3に応答し、認証成功時に払い出したアドレスでなかった場合、そのアドレスを送信元としてアプリケーションサーバ91または92へのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバ2で認証済みではない旨をアプリケーション認証アクセス制御サーバ3に応答する。
【0029】
アプリケーション認証アクセス制御サーバ3はアクセス要求受付/応答部31と送信元アドレス抽出部32と認証状態問合せ部33とアクセス許可判断部34とを有している。
【0030】
アクセス要求受付/応答部31は転送ノード4を介した利用者7からのアプリケーションサーバ91または92へのアクセス要求を受付け、また認証の成功/不成功を転送ノード4を介して利用者7に応答する。送信元アドレス抽出部32はアクセス要求受付/応答部31で受け取られたアクセス要求の送信元アドレスを抽出する。認証状態問合せ部33は抽出された送信元アドレスをネットワーク認証アクセス制御サーバ2に送信してアクセス要求を送ってきた利用者が認証済みであるかを問い合わせる。アクセス許可判断部34は、ネットワーク認証アクセス制御サーバ2から認証済みである旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を改めて送信してもらうことなく、証明書等認証成功を示す情報を付与してアクセス要求受付/応答部31、転送ノード4を介して利用者端末6に対して応答し、ネットワーク認証アクセス制御サーバ2から未認証である旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を要求して認証を求め、引き続いて利用者端末6から認証に必要な情報を受け取り、認証に成功した場合に、証明書等認証成功を示す情報を付与してアクセス要求受付/応答部31、転送ノード4を介して利用者端末6に対して応答する。また、アクセス許可判断部34は、ネットワーク認証アクセス制御サーバ2からログアウト要求を受信すると、利用者7の認証を無効にする。
【0031】
次に、図3、図4、および図5に示すシーケンス図に従って、本実施形態のネットワーク認証アクセス制御サーバ2とアプリケーション認証アクセス制御サーバ3によって、利用者端末6からの一度のみの認証によって仮想閉域網8にリモートアクセスし、かつ、仮想閉域網8内のアプリケーションサーバ91、92に対してのシングルサインオンを実現する一連の処理について説明する。
【0032】
利用者端末6が仮想閉域網8に電話網経由でダイアルアップによるリモート接続を試みた場合、利用者端末6とリモートアクセスサーバ5との間の通信路が確立された後、仮想閉域網8への接続要求として認証に必要なユーザIDとパスワードとの対データがリモートアクセスサーバ5に送信される(ステップ101)。
【0033】
リモートアクセスサーバ5は、その接続要求をネットワーク認証アクセス制御サーバ2に送信して、認証を要求する(ステップ102)。
【0034】
ネットワーク認証アクセス制御サーバ2は、接続要求受付/応答部21で受信したユーザIDとパスワードの組で利用者を認証部22で認証し、認証に成功すると、利用者端末6に対して仮想閉域網8に接続するためのIPアドレスをアドレス払い出し/回収部25で払い出し、リモートアクセスサーバ5および転送ノード4に対して接続パスを接続パス設定/削除部23で設定する(ステップ103)。そして、認証結果と払い出したIPアドレスを接続要求受付/応答部21からリモートアクセスサーバ5を介して利用者端末6に送信する(ステップ104、105)。
【0035】
ここまでの処理で利用者端末6は、仮想閉域網8に接続されたため、利用者7は何らかの業務を行なうため、アプリケーションサーバ91に対してアクセス要求を送信するとする(ステップ106)。
【0036】
この時点では、利用者端末6は、アプリケーションサーバ91に対するアクセス権限を持っていることを示す証明書を持っていないため、アプリケーションサーバ91はアクセス要求に証明書が付いていないことを確認し(ステップ107)、アクセス要求をアプリケーション認証アクセス制御サーバ3にリダイレクトするように、利用者端末6に指示を送信する(ステップ108)。
【0037】
これに基づいて利用者端末6からアプリケーション認証アクセス制御サーバ3にアクセス要求が転送されると(ステップ109)、アプリケーション認証アクセス制御サーバ3は、受信したアクセス要求のパケットの送信元アドレスを送信元アドレス抽出部32で抽出し、そのアドレス情報を認証状態問合せ部33よりネットワーク認証アクセス制御サーバ2に送信することで、そのアクセス要求を送信してきた利用者がネットワーク認証アクセス制御サーバ2で認証済みであるかをネットワーク認証アクセス制御サーバ2に問い合わせる(ステップ110)。
【0038】
ネットワーク認証アクセス制御サーバ2では、仮想閉域網8のネットワーク認証状態テーブル24をアドレス払い出し/回収部25で検索し、アプリケーション認証アクセス制御サーバ3から受信したアドレスが、ネットワーク認証アクセス制御サーバ2で認証して払い出したアドレスであるかを判別し、その結果を認証状態応答部26からアプリケーション認証アクセス制御サーバ3に送信する(ステップ111)。
【0039】
認証状態応答が認証済みであった場合は(図4)、アプリケーション認証アクセス制御サーバ3は、利用者端末6に対して、認証が成功していることを示す証明書をアクセス許可判断部34で発行し、アクセス要求受付/応答部31より利用者端末6にアクセス応答として返信する(ステップ112)。
【0040】
これにより利用者端末6から再度アプリケーションサーバ91に対してアクセス要求を行なうと(ステップ113)、アプリケーションサーバ91はアクセス要求に証明書が付与されていることを検知して、アクセス要求に応答する(ステップ114)。
【0041】
これ以降は、利用者7がアクセス権限を有する他のアプリケーションサーバ(本実施形態ではアプリケーションサーバ92)に対しても、改めて認証手続きを求められることなく、アクセスが可能になる。
【0042】
認証状態応答が未認証であった場合は(図5)、アプリケーション認証アクセス制御サーバ3からパスワード要求を利用者端末6に送信してパスワードをアプリケーション認証アクセス制御サーバ3に送信し(ステップ115,116)、アクセス許可判断部34で認証を行ない(ステップ117)、認証応答をアクセス要求受付/応答部31から利用者端末6に返す(ステップ118)。認証が成功だった場合、利用者端末6はアプリケーションサーバ91にアクセス要求を送信し(ステップ119)、アプリケーションサーバ91は利用者端末6にアクセス応答を返す(ステップ120)。
【0043】
次に、図6に示すシーケンス図に従って、本実施形態において利用者7が利用者端末6とリモートアクセスサーバ5との間の回線を切断することで、実施済みのシングルサインオンの認証を無効にする一連の処理について説明する。
【0044】
利用者端末6とリモートアクセスサーバ5との間の回線が切断されると(ステップ121)、リモートアクセスサーバ5からネットワーク認証アクセス制御サーバ2に対して切断要求が送信され(ステップ122)、これを契機にネットワーク認証アクセス制御サーバ2は、アドレス払い出し/回収部25で、利用者端末6に払い出したIPアドレスを回収して利用者7を未認証状態に戻し、さらに、接続パス設定/削除部23でリモートアクセスサーバ5と転送ノード4に対して仮想閉域網8への接続パスを削除する。
【0045】
この後、ネットワーク認証アクセス制御サーバ2は、認証状態応答部26からアプリケーション認証アクセス制御サーバ3に対して、利用者7のログアウト要求を送信する(ステップ124)。アプリケーション認証アクセス制御サーバ3は、アクセス許可判断部34でアプリケーションサーバ群(91および92)に対する利用者7の認証を無効にする(ステップ125)。
【0046】
その後、アプリケーション認証アクセス制御サーバ3は、認証状態問合せ部33からログアウト完了通知をネットワーク認証アクセス制御サーバ2に送信し(ステップ126)、リモートアクセスサーバ5に切断完了通知を送信する(ステップ127)。
【0047】
なお、ネットワーク認証アクセス制御サーバ2およびアプリケーション認証アクセス制御サーバ3内の処理は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0048】
【発明の効果】
以上説明したように、本発明によれば、仮想閉域網へのリモートアクセスを実現する統合型認証アクセス制御システムにおいて、仮想閉域網へのアクセスのための認証で仮想閉域網内のアプリケーションサーバへのアクセスの認証を実現することで、利用者に対して仮想閉域網へのアクセス時に認証を行なうだけで、仮想閉域網内のサーバから別途認証手続きを求められることなく効率的に業務を遂行できるという効果が得られる。
【図面の簡単な説明】
【図1】本発明の一実施形態の統合型認証アクセス制御システムの構成図である。
【図2】ネットワーク認証アクセス制御サーバとアプリケーション認証アクセス制御サーバの構成図である。
【図3】図1の実施形態における処理の流れを示す図である。
【図4】図1の実施形態における処理の流れを示す図である。
【図5】図1の実施形態における処理の流れを示す図である。
【図6】図1の実施形態における処理の流れを示す図である。
【符号の説明】
1 統合型認証アクセス制御システム
2 ネットワーク認証アクセス制御サーバ
3 アプリケーション認証アクセス制御サーバ
4 転送ノード
5 リモートアクセスサーバ
6 利用者端末
7 利用者
8 仮想閉域網
91、92 アプリケーションサーバ
10 電話網
21 接続要求受付/応答部
22 認証部
23 接続パス設定/削除部
24 ネットワーク認証状態テーブル
25 アドレス払い出し/回収部
26 認証状態応答部
31 アクセス要求受付/応答部
32 送信元アドレス抽出部
33 認証状態問合せ部
34 アクセス許可判断部
101〜127 ステップ
Claims (5)
- 利用者の端末からの接続要求を、リモートアクセスサーバを介して受信し、該リモートアクセスサーバと転送ノードを制御して接続パスを設定し、前記端末と仮想閉域網とを接続して、前記端末と前記仮想閉域網内のアプリケーションサーバとの間の通信を実現するネットワーク認証アクセス制御サーバであって、
利用者端末から前記仮想閉域網への接続要求を前記リモートアクセスサーバを介して受信し、前記仮想閉域網への接続における認証に必要な情報を前記利用者端末から受け取る手段と、
該情報を用いて利用者を認証する手段と、
認証が成功すると、前記リモートアクセスサーバと前記転送ノードに対して、前記利用者端末と前記仮想閉域網との間を接続する手段と、
利用者の認証状態と、認証に成功した場合にその利用者の端末を前記仮想閉域網に接続するために払い出したアドレスを利用者毎に管理する手段と、
前記アプリケーション認証アクセス制御サーバから、前記アプリケーションサーバへのアクセス要求パケットの送信元アドレスの情報を受け取る手段と、
受け取った送信元アドレスをもとに、前記ネットワーク認証アクセス制御サーバ内で管理している認証時の払い出しアドレスの情報を検索し、その送信元アドレスが前記仮想閉域網への認証成功時に払い出したアドレスか否かを判断する手段と、
前記送信元アドレスが認証成功時に払い出したアドレスであった場合、そのアドレスを送信元として前記アプリケーションサーバへのアクセス要求を発行してきた利用者は前記ネットワーク認証アクセス制御サーバで認証済みである旨を前記アプリケーション認証アクセス制御サーバに応答する手段と、
前記送信元アドレスが認証成功時に払い出したアドレスでなかった場合、そのアドレスを送信元として前記アプリケーションサーバへのアクセス要求を発行してきた利用者は前記ネットワーク認証アクセス制御サーバで認証済みではない旨を前記アプリケーション認証アクセス制御サーバに応答する手段とを備えるネットワーク認証アクセス制御サーバ。 - 前記利用者端末と前記リモートアクセスサーバとの間の接続が切断された旨の通知を前記リモートアクセスサーバから受けたことを契機に、該利用者端末と、該利用者端末が接続していた仮想閉域網との間の接続パスを削除する手段と、
同じ契機で前記ネットワーク認証アクセス制御サーバ内で管理している該利用者の認証状態を未認証の状態に戻す手段と、
同じ契機で前記アプリケーション認証アクセス制御サーバに対して、該利用者の認証を無効にする手段とをさらに備える、請求項1に記載のネットワーク認証アクセス制御サーバ。 - 仮想閉域網内に設置されて、利用者からの一度の認証によって、仮想閉域網内にある複数のアプリケーションサーバに対するアクセス時の認証を実現するアプリケーション認証アクセス制御サーバであって、
利用者からのアプリケーションサーバ群へのアクセス要求を受け取る手段と、
該アクセス要求の送信元アドレスを抽出し、ネットワーク認証アクセス制御サーバに対してその送信元アドレスの情報を送信して該アクセス要求を送ってきた利用者が認証済みであるかを問い合わせる手段と、
前記ネットワーク認証アクセス制御サーバから認証済みである旨の応答があった場合、元々のアクセス要求に対して、認証に必要な情報を改めて送信してもらうことなく、認証成功を示す情報を付与して利用者端末に対して応答する手段と、
前記ネットワーク認証アクセス制御サーバから未認証である旨の応答があった場合、元々のアクセス要求に対して、認証に必要な情報を要求して認証を求める手段と、
引き続いて前記利用者端末から認証に必要な情報を受け取り、認証に成功した場合、認証成功を示す情報を付与して前記利用者端末に対して応答する手段とを備えるアプリケーション認証アクセス制御サーバ。 - 前記ネットワーク認証アクセス制御サーバからの指示に従って特定の利用者に対する認証を無効にする手段をさらに備える、請求項3に記載のアプリケーション認証アクセス制御サーバ。
- 請求項1または2に記載のネットワーク認証アクセス制御サーバと、請求項3または4に記載のアプリケーション認証アクセス制御サーバと、転送ノードと、リモートアクセスサーバとから構成される統合型認証アクセス制御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003003108A JP4152753B2 (ja) | 2003-01-09 | 2003-01-09 | ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003003108A JP4152753B2 (ja) | 2003-01-09 | 2003-01-09 | ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004220075A true JP2004220075A (ja) | 2004-08-05 |
| JP4152753B2 JP4152753B2 (ja) | 2008-09-17 |
Family
ID=32894468
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003003108A Expired - Lifetime JP4152753B2 (ja) | 2003-01-09 | 2003-01-09 | ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4152753B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006081768A1 (fr) * | 2005-02-06 | 2006-08-10 | Huawei Technologies Co., Ltd | Méthode pour établir le chemin en fonction du changement d’adresse du nœud |
| JP2008515080A (ja) * | 2004-09-30 | 2008-05-08 | ケィティ、コーポレーション | 有・無線統合サービスネットワークにおける個人の移動性のための統合認証処理装置及びその方法 |
| JP2010039994A (ja) * | 2008-08-08 | 2010-02-18 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御システム、接続制御装置および接続制御方法 |
| JP2011204075A (ja) * | 2010-03-26 | 2011-10-13 | Fuji Xerox Co Ltd | 処理装置、処理システム及び処理制御プログラム |
| JP2016118930A (ja) * | 2014-12-19 | 2016-06-30 | 日立電線ネットワークス株式会社 | 認証システム |
-
2003
- 2003-01-09 JP JP2003003108A patent/JP4152753B2/ja not_active Expired - Lifetime
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008515080A (ja) * | 2004-09-30 | 2008-05-08 | ケィティ、コーポレーション | 有・無線統合サービスネットワークにおける個人の移動性のための統合認証処理装置及びその方法 |
| JP4937917B2 (ja) * | 2004-09-30 | 2012-05-23 | ケィティ、コーポレーション | 有・無線統合サービスネットワークにおける個人の移動性のための統合認証処理装置及びその方法 |
| WO2006081768A1 (fr) * | 2005-02-06 | 2006-08-10 | Huawei Technologies Co., Ltd | Méthode pour établir le chemin en fonction du changement d’adresse du nœud |
| JP2010039994A (ja) * | 2008-08-08 | 2010-02-18 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御システム、接続制御装置および接続制御方法 |
| JP2011204075A (ja) * | 2010-03-26 | 2011-10-13 | Fuji Xerox Co Ltd | 処理装置、処理システム及び処理制御プログラム |
| JP2016118930A (ja) * | 2014-12-19 | 2016-06-30 | 日立電線ネットワークス株式会社 | 認証システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4152753B2 (ja) | 2008-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4023240B2 (ja) | ユーザ認証システム | |
| CN100563248C (zh) | 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统 | |
| CN104506510B (zh) | 用于设备认证的方法、装置及认证服务系统 | |
| US6948076B2 (en) | Communication system using home gateway and access server for preventing attacks to home network | |
| US7349993B2 (en) | Communication network system, gateway, data communication method and program providing medium | |
| US7856023B2 (en) | Secure virtual private network having a gateway for managing global ip address and identification of devices | |
| WO2008022589A1 (fr) | Système et procédé destinés à authentifier une demande d'accès pour un réseau local | |
| JP5239341B2 (ja) | ゲートウェイ、中継方法及びプログラム | |
| JP2005339093A (ja) | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 | |
| WO2007131415A1 (fr) | Système et procédé de gestion d'un réseau domestique | |
| JP2013098880A (ja) | フィルタリングシステムおよびフィルタリング方法 | |
| JP3973961B2 (ja) | 無線ネットワーク接続システム、端末装置、リモートアクセスサーバ及び認証機能装置 | |
| KR20120102765A (ko) | 공공설비에서 네트워크에 접속하는 방법 및 시스템 | |
| WO2008034355A1 (fr) | Procédé, dispositif et système d'authentification de service réseau | |
| KR20030053280A (ko) | 공중 무선랜 서비스를 위한 망접속 및 서비스 등록 방법 | |
| JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
| JP2003316742A (ja) | シングルサインオン機能を有する匿名通信方法および装置 | |
| EP2512089A1 (en) | Method and system for accessing network through public equipment | |
| KR20120094952A (ko) | 공공설비에서 네트워크에 접속하는 방법 및 시스템 | |
| JP4886712B2 (ja) | アクセス制御システム、アクセス制御方法、アクセス制御装置およびアクセス制御プログラム | |
| KR100697099B1 (ko) | 이종 메신저간의 메시지 전송 서비스 제공 시스템 및 그방법 | |
| JP4152753B2 (ja) | ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム | |
| JP3953963B2 (ja) | 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、および分散型認証アクセス制御システム | |
| JP3655868B2 (ja) | VoIP通信システムおよび方法およびゲートキ−パおよび認証サーバおよびプログラム | |
| JP4149745B2 (ja) | 認証アクセス制御サーバ装置、認証アクセス制御方法、認証アクセス制御プログラム及びそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050125 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20050125 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050125 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050614 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080116 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080402 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080509 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080625 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080702 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4152753 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110711 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120711 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130711 Year of fee payment: 5 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |