JP2004240819A - 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および分散型認証アクセス制御システム - Google Patents
認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および分散型認証アクセス制御システム Download PDFInfo
- Publication number
- JP2004240819A JP2004240819A JP2003030674A JP2003030674A JP2004240819A JP 2004240819 A JP2004240819 A JP 2004240819A JP 2003030674 A JP2003030674 A JP 2003030674A JP 2003030674 A JP2003030674 A JP 2003030674A JP 2004240819 A JP2004240819 A JP 2004240819A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- terminal
- network
- access control
- control server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】私設網内の端末から一度の認証手続きのみで仮想閉域網内のアプリケーションサーバへのアクセスを可能にする。
【解決手段】認証機能付きパケット通信装置2は、私設網9に新たに端末が接続されると、端末の利用者に対して認証を要求し、認証に成功すると、その端末に対してアドレスを付与する。その後、アドレスを付与された端末が仮想閉域網7宛ての通信を要求すると、認証機能付きパケット通信装置2はそれを受けて、ネットワーク認証アクセス制御サーバ3に対して接続要求を行なう。ネットワーク認証アクセス制御サーバ3は、利用者端末から仮想閉域網7へのアクセスに必要となる認証情報を取得して、仮想閉域網7へのアクセスの認証を行なう。この認証が得られると、ネットワーク認証アクセス制御サーバ3は、利用者端末が仮想閉域網7に接続されるように、転送ノード5とリモートアクセスサーバ6に対して接続パスの設定を行なう。
【選択図】 図1
【解決手段】認証機能付きパケット通信装置2は、私設網9に新たに端末が接続されると、端末の利用者に対して認証を要求し、認証に成功すると、その端末に対してアドレスを付与する。その後、アドレスを付与された端末が仮想閉域網7宛ての通信を要求すると、認証機能付きパケット通信装置2はそれを受けて、ネットワーク認証アクセス制御サーバ3に対して接続要求を行なう。ネットワーク認証アクセス制御サーバ3は、利用者端末から仮想閉域網7へのアクセスに必要となる認証情報を取得して、仮想閉域網7へのアクセスの認証を行なう。この認証が得られると、ネットワーク認証アクセス制御サーバ3は、利用者端末が仮想閉域網7に接続されるように、転送ノード5とリモートアクセスサーバ6に対して接続パスの設定を行なう。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、分散型認証アクセス制御システムに関し、特にコネクションレス型通信網上に構築された仮想閉域網に対して、遠隔の私設網からアクセス(以下、リモートアクセス)するための認証を行ない、その私設網内の端末の仮想閉域網への接続の認証を行なう分散型認証アクセス制御システムに関する。
【0002】
【従来の技術】
従来、企業通信網など特定の対地のみを接続する閉域網を構築するために、仮想閉域網が導入されている。コネクションレス型通信網における仮想閉域網は、伝送路、転送ノードを共有するのみならず、論理パス、論理回線も共有して、セキュリティを確保した転送制御がなされている。
【0003】
また、仮想閉域網は特定の対地のみを接続するのではなく、特定の端末、またはルータ等の通信装置からのリモートアクセスを受け付けることができるようになっている。例えば、社員の自宅の端末や、事務所のルータから公衆の電話網あるいはADSL(Asymmetric Digital Subscriber Line)網等を経由して企業の仮想閉域網にアクセスし、会社のホストコンピュータに接続することができる。電話網等と仮想閉域網との間にリモートアクセスサーバが設置されており、端末やルータは、ダイアルアップ等でリモートアクセスサーバに接続し、仮想閉域網にアクセスすることが行なわれている。
【0004】
リモートアクセスサーバと仮想閉域網とを接続する転送ノードと、リモートアクセスサーバと転送ノードとを制御する閉域網群制御サーバを備え、複数の仮想閉域網の利用者が共用している。リモートアクセスサーバと転送ノードとの間の物理回線を複数の仮想閉域網で利用して、設備の利用効率を向上させることが提案されている(特許文献1)。この特許文献1では、利用者からの接続要求に基づいて、リモートアクセスサーバは、仮想閉域網毎に仮想ルータ(以下、VR:Virtual Routerと表記)を割り当て、VRを1本の物理回線に接続する。利用者からの切断を契機に、リモートアクセスサーバは、VRを開放し、他の仮想閉域網の利用者に割り当てる。
【0005】
一方、仮想閉域網に代表される通信網への接続環境が整っていることを前提として、通信網上に接続されている複数のサーバ上のコンテンツへのアクセスを一度の認証で可能にする(以下、シングルサインオンと表記)方法として、網内に認証アクセス制御サーバを設置する方法が知られており、この方法はその処理形態によって、「リバース・プロキシ型」と「エージェント・モジュール型」とに分類される。
【0006】
リバース・プロキシ型のシングルサインオンでは、サーバへのアクセス要求は全て認証アクセス制御サーバを中継して送信され、認証アクセス制御サーバは、中継時に、内部に持つ利用者毎のアクセスリストを参照してアクセス制御を行なう。
【0007】
一方、エージェント・モジュール型のシングルサインオンでは、利用者は、まず認証アクセス制御サーバにログインする。認証に成功すると、認証アクセス制御サーバは、当該利用者がアクセス可能なアプリケーションサーバのリストをクッキーに埋め込んで利用者端末に送信する。その後、利用者がアプリケーションサーバにアクセスした時、コンテンツサーバ内のエージェント・モジュールがクッキー内の情報をもとにアクセスの可否を決定する。アプリケーションサーバに対して、認証アクセス制御サーバで認証されていない利用者からのアクセスがあった場合は、当該アプリケーションサーバ内のエージェント・モジュールがアクセス要求を認証アクセス制御サーバに転送して、認証を行なわせる。
【0008】
なお、現在、企業連合であるLiberty Allianceにおいて、エージェント・モジュール型をベースにしたシングルサインオンの方式の標準化が進められている。
【0009】
【特許文献1】
特開2002−185538号公報
【特許文献2】
特願2003−003108号
【0010】
【発明が解決しようとする課題】
仮想閉域網に遠隔からアクセスする場合は、通常、仮想閉域網に接続した後、何らかの業務を行なうために、その仮想閉域網内のサーバにアクセスすることが考えられる。このため、本出願人は、遠隔の端末から仮想閉域網に対する接続認証をもって、当該仮想閉域網内の特定のアプリケーションサーバ群に対するアクセス時の認証を兼ねられるようにし、利用者が仮想閉域網への接続時に一度のみ認証手続きを行なうことで仮想閉域網内のアプリケーションサーバへのアクセスを可能とする技術を提案している(特許文献2)。
【0011】
しかし、端末から直接仮想閉域網に接続するのではなく、既設の私設網からルータを介して仮想閉域網に接続する場合は、仮想閉域網への接続時に行なわれる認証は、当該私設網内で共通のルータとしての認証であり、私設網内の個々の端末の利用者の認証とはなっていないため、ルータの仮想閉域網への接続時の認証のみで私設網内の個々の端末から仮想閉域網内のアプリケーションサーバへのアクセスの認証を兼ねることはセキュリティ上問題がある。
【0012】
本発明の目的は、遠隔の私設網からルータを介して仮想閉域網に接続する場合に、私設網内の各端末の利用者のセキュリティを損なうことなく、私設網内の端末から一度の認証手続きのみで仮想閉域網内のアプリケーションサーバへのアクセスを可能にする認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および分散型認証アクセス制御システムを提供することにある。
【0013】
【課題を解決するための手段】
本発明の分散型認証アクセス制御システムは認証機能付きパケット通信装置とネットワーク認証アクセス制御サーバと転送ノードとリモートアクセスサーバとアプリケーション認証アクセス制御サーバとで構成され、遠隔の私設網内の端末が、認証機能付きパケット通信装置とリモートアクセスサーバおよび転送ノードを介して仮想閉域網に接続した上で、私設網内の端末から発行される仮想閉域網内のアプリケーションサーバへのアクセス要求を認証する。
【0014】
本発明の認証機能付きパケット通信装置は、(1)端末が私設網に接続された時にその端末からの接続要求を受けて端末利用者の認証を行なう手段と、(2)(1)の認証に成功した場合にその端末にアドレスを付与する手段と、(3)(2)で付与したアドレスを管理する手段と、(4)私設網内の端末に付与したアドレスとして既に記録されているアドレスを持つ端末からの接続要求に対しては、その端末の利用者に対して改めて認証を求めないようにする手段と、(5)アドレスを付与済みの端末から仮想閉域網宛ての通信要求を受けて、リモートアクセスサーバに対して接続要求を送信する手段と、(6)リモートアクセスサーバへの接続要求時に、その時点までに認証機能付きパケット通信装置から私設網内の端末に付与済みのアドレスの情報をネットワーク認証アクセス制御サーバに通知する手段と、(7)仮想閉域網との間の接続パスが存在している間に新たに私設網内の端末の認証に成功した場合に、その端末に付与したアドレスをネットワーク認証アクセス制御サーバに通知する手段とを有する。
【0015】
認証機能付きパケット通信装置は、(8)私設網内の利用者からの切断要求、もしくは自装置から自律的に発する切断要求を契機として、リモートアクセスサーバに対して、該認証機能付きパケット通信装置から私設網内の端末に付与した全アドレスの情報を含んだ切断要求を送信する手段と、(9)アドレスを付与した端末が私設網から切り離された場合に、当該端末用に付与したアドレスを無効にするとともに、ネットワーク認証アクセス制御サーバに対して当該アドレスを持つ端末の認証を無効にするように通知する手段とを任意に有する。
【0016】
また、ネットワーク認証アクセス制御サーバは、(1)私設網内の認証機能付きパケット通信装置の、仮想閉域網への接続認証の認証状態と、認証機能付きパケット通信装置に払い出したアドレスを管理する手段と、(2)私設網内の端末の、認証機能付きパケット通信装置への接続の認証状態を、認証機能付きパケット通信装置から通知された、認証成功時にその端末に付与されたアドレスの情報をもって管理する手段と、(3)私設網内の端末に付与されたアドレス宛ての経路を転送ノードに設定する手段と、(4)仮想閉域網内のアプリケーションサーバにアクセス要求を行なった端末の送信元アドレスの情報をアプリケーション認証アクセス制御サーバ経由で受信し、認証機能付きパケット通信装置から通知されているアドレスと一致するかどうかで当該利用者の認証状態を判断し、アプリケーション認証アクセス制御サーバに認証状態を応答する手段とを有する。
【0017】
また、ネットワーク認証アクセス制御サーバは、(5)端末が私設網から切断された場合に、認証機能付きパケット通信装置から切断された端末に付与されていたアドレスの情報を受信し、その端末の認証機能付きパケット通信装置への接続の認証を無効にする手段と、(6)同じ契機で、アプリケーション認証アクセス制御サーバに対して、当該端末に付与されていたアドレスの情報を通知する手段と、(7)同じ契機で、転送ノードに設定済みであった、当該端末に付与されていたアドレス宛ての経路を削除する手段と、(8)私設網内の認証機能付きパケット通信装置とリモートアクセスサーバとの間の接続が切断されたことをリモートアクセスサーバから通知を受けたことを契機に、その認証機能付きパケット通信装置とそれが接続していた仮想閉域網との間の接続パスを削除する手段と、(9)(8)と同じ契機で、ネットワーク認証アクセス制御サーバ内で管理している、該認証機能付きパケット通信装置の認証を無効にする手段と、(10)(8)と同じ契機で、該認証機能付きパケット通信装置に接続されている全ての端末に対する認証を無効にする手段と、(11)(8)と同じ契機で、アプリケーション認証アクセス制御サーバに対して、該認証機能付きパケット通信装置に接続されている端末の利用者の認証を無効にするために該認証機能付きパケット通信装置が付与した全てのアドレスの情報を通知する手段と、(12)(8)と同じ契機で、転送ノードに設定済みであった、私設網内の端末に払い出し済みのアドレス宛ての経路を削除する手段とを任意に有する。
【0018】
さらに、アプリケーション認証アクセス制御サーバは、(1)端末の利用者からのアプリケーションサーバ群へのアクセス要求を受信した際に、アクセス要求を送信してきた端末からのパケットの送信元アドレスを抽出し、該送信元アドレスをネットワーク認証アクセス制御サーバに送ることで該利用者の認証状態を問い合わせる手段と、(2)ネットワーク認証アクセス制御サーバから認証済みの応答を受けた場合に、該利用者端末に対して利用者の認証に必要な情報を要求することなく、アプリケーションサーバ群へのアクセスを許可する手段と、(3)ネットワーク認証アクセス制御サーバから未認証の応答を受けた場合に、当該利用者端末に対して利用者の認証に必要な情報を要求し、認証に成功した場合に限りアプリケーションサーバ群へのアクセスを許可する手段とを有し、さらに(4)ネットワーク認証アクセス制御サーバからの指示に従って特定の利用者に対する認証を無効にする手段を任意に有する。
【0019】
次に、このように構成された本発明の分散型認証アクセス制御システムにおける認証処理の流れについて説明する。
【0020】
認証機能付きパケット通信装置は、私設網に新たに端末が接続されると、端末の利用者に対して認証を要求し、認証に成功すると、その端末に対してアドレスを付与する。その後、アドレスを付与された端末が仮想閉域網宛ての通信を要求すると、認証機能付きパケット通信装置はそれを受けて、公衆網とリモートアクセスサーバを介してネットワーク認証アクセス制御サーバに対して接続要求を行なう。ネットワーク認証アクセス制御サーバは、利用者端末からその仮想閉域網へのアクセスに必要となる認証情報を取得して、それに基づいて、仮想閉域網へのアクセスの認証を行なう。
【0021】
この認証が得られると、ネットワーク認証アクセス制御サーバは、利用者端末が当該仮想閉域網に接続されるよう、転送ノードとリモートアクセスサーバに対して接続パスの設定を行なう。
【0022】
また、認証機能付きパケット通信装置からネットワーク認証アクセス制御サーバに接続要求を行なった後に私設網内の端末の新規接続があった場合は、その端末に付与したアドレスを認証機能付きパケット通信装置からネットワーク認証アクセス制御サーバに通知する。端末の切断があった場合には、その端末に付与されていたアドレスの情報をネットワーク認証アクセス制御サーバに通知する。ネットワーク認証アクセス制御サーバは、新規接続の通知を受けると、当該アドレスを持つ端末の認証は完了しているものとして新たに管理し、切断の通知を受けると、当該アドレスを持つ端末の認証を無効にする。
【0023】
この後、私設網内の端末から仮想閉域網内のアプリケーションサーバに対してアクセス要求を行なうと、そのアクセス要求にはそのアプリケーションサーバにアクセスする権限を有することを示す証明書が含まれていないため、エージェント・モジュール型のシングルサインオンの方式に従い、アクセス要求はアプリケーション認証アクセス制御サーバに転送される。
【0024】
アプリケーション認証アクセス制御サーバは、受信したアプリケーションサーバへのアクセス要求のパケットから送信元アドレスを抽出し、アクセス要求元の端末の利用者の認証状態を確認するために、ネットワーク認証アクセス制御サーバに対して先に抽出した送信元アドレスの情報を送信する。
【0025】
ネットワーク認証アクセス制御サーバは、受信した送信元アドレス情報が自サーバ内に保持する認証状態を管理するリスト内で認証済みであるアドレスとして登録されているかを検索する。該送信元アドレスがリスト内に存在した場合は、ネットワーク認証アクセス制御サーバで認証済みである旨をアプリケーション認証アクセス制御サーバに応答し、リスト内にない場合は、ネットワーク認証アクセス制御サーバで未認証であることを応答する。
【0026】
アプリケーション認証アクセス制御サーバは、認証済みとの応答を受信した場合は、元々利用者端末から送られてきたアクセス要求に対して、パスワード等認証に必要な情報を改めて要求することなく、アプリケーションサーバ群へのアクセス権限を有していることを証明する証明書を付与して利用者端末に送信する。ネットワーク認証アクセス制御サーバから未認証との応答を受信した場合は、元々のアクセス要求に対して、パスワード等認証に必要な情報を利用者に要求し、認証が成功した場合に限り、アプリケーションサーバ群へのアクセス権限を有していることを証明する証明書を付与して利用者端末に送信する。
【0027】
これ以降に当該利用者端末が仮想閉域網内のアプリケーションサーバ群に対してアクセスを試みた場合は、アプリケーション認証アクセス制御サーバが発行した証明書がアクセス要求に付与されていることをアプリケーションサーバが確認することで認証手続きが完了していることを判別し、自アプリケーションサーバへのアクセスを許可する。
【0028】
このようにして、私設網内の端末の利用者はただ一度の認証手続きを実行するだけで、仮想閉域網へのリモートアクセスのみならず、仮想閉域網内の複数のアプリケーションサーバに対するセキュアなアクセスが可能になる。
【0029】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0030】
図1は本発明の一実施形態の分散型認証アクセス制御システムの構成図である。
【0031】
分散型認証アクセス制御システム1は認証機能付きパケット通信装置2とネットワーク認証アクセス制御サーバ3とアプリケーション認証アクセス制御サーバ4と転送ノード5とリモートアクセスサーバ6から構成されている。
【0032】
アプリケーション認証アクセス制御サーバ4はアプリケーションサーバ8a,8bとともに仮想閉域網7を構成している。また、認証機能付きパケット通信装置2は端末10a,10b,10cとともに私設網9を構成している。私設網9内の端末10a,10b,10cからそれぞれ利用者11a,11b,11cが仮想閉域網7内のアプリケーションサーバ8a,8bへの試みるものとする。ここで、利用者11a,11b,11cは、アプリケーションサーバ8a,8bのいずれにもアクセス権限を有しているものとする。
【0033】
図2(1)、図2(2)、図2(3)はそれぞれ認証機能付きパケット通信装置2、ネットワーク認証アクセス制御サーバ3、アプリケーション認証アクセス制御サーバ4の構成図である。
【0034】
認証機能付きパケット通信装置2は接続要求受付/応答部21と認証部22と接続/切断要求部23とアドレス割当テーブル24とアドレス検索/払い出し/回収部25から構成されている。
【0035】
接続要求受付/応答部21は端末10a〜10cが私設網9に接続された時にその端末からの接続要求を、また切断要求を受け取り、端末10a〜10cに認証結果等を返す。アドレス割当テーブル24は表1に示すように、認証機能付きパケット通信装置2の配下にこれに接続されている端末10a,10b,10cの物理識別子(本例ではMAC(Media Access Control)アドレスとする)と、それぞれの端末10a,10b,10cに付与されたIP(Internet Protocol)アドレスを管理している。
【0036】
【表1】
【0037】
認証部22は端末からの接続要求を受け端末利用者の認証を行ない、認証に成功すると、その端末にアドレスを付与し、アドレス割当テーブル24に登録する。接続要求受付/応答部21はアドレス割当テーブル24で既にアドレスが付与されている端末からの接続要求に対しては、その端末の利用者に対して改め認証を認証部22に求めない。接続/切断要求部23は、接続要求受付/応答部21を介して、私設網9内の端末から仮想閉域網7宛ての通信要求を受けて、リモートアクセスサーバ6に対して接続要求を送信するとともに、その時点までに端末に付与済みのアドレスの情報をリモートアクセスサーバ6を介してネットワーク認証アクセス制御サーバ3に通知する。また、接続/切断要求部23は仮想閉域網7との間の接続パスが存在している間に新たに私設網9内の端末の認証に成功した場合に、アドレス割当テーブル24で管理されている、その端末に付与されたアドレスをネットワーク認証アクセス制御サーバ3にリモートアクセスサーバ6を介して通知する。また、接続/切断要求部23は、接続要求受付/応答部21を介した、私設網9内の利用者からの切断要求、もしくは自装置から自律的に発する切断要求を契機として、リモートアクセスサーバ6に対して、認証機能付きパケット通信装置2から私設網9内の端末に付与した全アドレスの情報を含んだ切断要求を送信する。さらに、接続/切断要求部23は、アドレスが付与されている端末が私設網9から切り離された場合に、ネットワーク認証アクセス制御サーバ3に対して該アドレスを持つ端末の認証を無効にするようにリモートアクセスサーバ6を介して通知する。アドレス検索/払い出し/回収部25はアドレス割当テーブル24の検索、認証部22での利用者の認証が成功した場合、アドレス割当テーブル24への、端末に付与したアドレスの登録、アドレスが付与された端末が私設網9から切り離された場合の、その端末に付与されたアドレスのアドレス割当テーブル24からの回収(抹消)を行なう。
【0038】
ネットワーク認証アクセス制御サーバ3は認証要求受付/応答部31と認証部32と接続パス設定/削除部33とネットワーク認証状態テーブル34とアドレス払い出し/回収部35と認証状態応答部36で構成されている。
【0039】
ネットワーク認証状態テーブル34は、表2に示すように、仮想閉域網毎に用意され、リモートアクセスサーバ6経由でネットワーク認証アクセス制御サーバ3に接続要求する端末あるいは認証機能付きパケット通信装置(ここでは認証機能付きパケット通信装置2)が仮想閉域網7に接続しているか接続していないかを示す認証状態と、接続されている場合に当該端末あるいは認証機能付きパケット通信装置2に対して払い出されたIPアドレスの情報と、接続要求したのが認証機能付きパケット通信装置であった場合にその認証機能付きパケット通信装置が配下の端末に対して付与したIPアドレスの情報を管理する。
【0040】
【表2】
【0041】
接続要求受付/応答部31はリモートアクセスサーバ6を介して認証機能付きパケット通信装置2から仮想閉域網7の接続要求を認証に必要な情報とともに受け取り、またリモートアクセスサーバ6を介して認証機能付きパケット通信装置2に認証結果とIPアドレスを返す。また、接続要求受付/応答部31は、リモートアクセスサーバ6から切断要求を受信する。認証部32は接続要求受付/応答部31で接続要求が受信されると、受け取った認証に必要な情報を用いて利用者を認証する。接続パス設定/削除部33は認証部32における認証が成功した場合、私設網9内の端末に付与されたアドレス宛ての経路を転送ノード5に設定する。認証状態応答部36は仮想閉域網7内のアプリケーションサーバにアクセス要求を行なった端末の送信元アドレスの情報をアプリケーション認証アクセス制御サーバ4経由で受信し、認証機能付きパケット通信装置2から通知されている、ネットワーク認証状態テーブル34内のアドレスと一致するかどうかで当該利用者の認証状態を判断し、アプリケーション認証アクセス制御サーバ4に認証状態を応答する。アドレス払い出し/回収部35は端末が私設網9から切断された場合に、認証機能付きパケット通信装置2から、切断された端末に付与されていたアドレスを認証要求受付/応答部31を介して受信し、ネットワーク認証状態テーブル34における、その端末の認証機能付きパケット通信装置2への接続の認証を無効にする。このとき、認証状態応答部36はアプリケーション認証アクセス制御サーバ4に対して、当該端末に付与されていたアドレスの情報を通知し、接続パス設定/削除部33は、転送ノード5に設定済みであった、当該端末に付与されていたアドレス宛ての経路を削除する。認証要求受付/応答部31が私設網9内の認証機能付きパケット通信装置2とリモートアクセスサーバ6との間の接続が切断されたことをリモートアクセスサーバ6から通知を受けたことを契機に、接続パス設定/削除部33はその認証機能付きパケット通信装置2とそれが接続していた仮想閉域網7との間の接続パスを削除し、アドレス払い出し/回収部35は、ネットワーク認証状態テーブル34で管理している、当該認証機能付きパケット通信装置の認証を回収(無効)にするとともに、当該認証機能付きパケット通信装置に接続されている全ての端末に対する認証を無効にし、認証状態応答部36はアプリケーション認証アクセス制御サーバ4に対して、当該認証機能付きパケット通信装置に接続されている端末の利用者の認証を無効にするために当該認証機能付きパケット通信装置2が付与した全てのアドレスの情報を通知し、接続パス設定/削除部33は転送ノード5に設定済みであった、私設網9内の端末に払い出し済みのアドレス宛ての経路を削除する。
【0042】
アプリケーション認証アクセス制御サーバ4はアクセス要求受付/応答部41と送信元アドレス抽出部42と認証状態問合せ部43とアクセス許可判断部44から構成される。
【0043】
アクセス要求受付/応答部41は、端末の利用者からのアプリケーションサーバ群へのアクセス要求を転送ノード5を介して受信し、また未認証の端末に対してパスワード等の利用者の認証に必要な情報を要求する。送信元アドレス抽出部42は、アクセス要求受付/応答部41でアクセス要求が受信されると、アクセス要求を送信してきた端末からのパケットの送信元アドレスを抽出する。認証状態問合せ部43は抽出された送信元アドレスをネットワーク認証アクセス制御サーバ3に送ることで当該利用者の認証状態を問合わせ、ネットワーク認証アクセス制御サーバ3から認証状態を示す応答を受信する。アクセス許可判断部44はネットワーク認証アクセス制御サーバ3から認証済みの応答を受けた場合、当該利用者端末に対してパスワード等利用者の認証に必要な情報を要求することなく、アクセス要求受付/応答部41を介してアプリケーションサーバ群へのアクセスを許可し、ネットワーク認証アクセス制御サーバ3から未認証の応答を受けた場合、アクセス要求受付/応答部41を介して当該利用者端末に対してパスワード等利用者の認証に必要な情報を要求し、認証に成功した場合に限りアプリケーションサーバ群へのアクセスを許可する。また、アクセス許可判断部44はネットワーク認証アクセス制御サーバ3からの指示に従って特定の利用者に対する認証を無効にする。
【0044】
次に、図3、図4、および図5に示すシーケンス図に従って、認証機能付きパケット通信装置2とネットワーク認証アクセス制御サーバ3とアプリケーション認証アクセス制御サーバ4によって、私設網9内の端末10a,10b,10cを使用する利用者11a,11b,11cからの一度のみの認証手続きによって仮想閉域網7にアクセスし、かつ、仮想閉域網7内のアプリケーションサーバ8a,8bに対してのシングルサインオンを実現する一連の処理について説明する。
【0045】
端末10aが私設網9への接続要求を試みると(ステップ101)、まず端末10aと認証機能付きパケット通信装置2の認証部22の間で利用者認証が行なわれる(ステップ102)。この認証に成功した場合、認証機能付きパケット通信装置2のアドレス検索/払い出し/回収部25は、端末10aに対して、私設網9内での通信を行なうためのIPアドレスを付与し、端末10aのMACアドレスとここで付与したIPアドレスの組をアドレス割当テーブル24に格納する(ステップ103)。この後、別の端末10bからも私設網9への接続要求があった場合は、端末10aの時と同様に認証手続きを行なってIPアドレスを付与し、端末10bのMACアドレスと端末10bに付与したIPアドレスの組をアドレス割当テーブル24に追加する(ステップ104〜106)。
【0046】
この状態で端末10aが仮想閉域網7内のアプリケーションサーバ(例えばアプリケーションサーバ8a)に対してアクセス要求を行なうと(ステップ107)、それを受けて認証機能付きパケット通信装置2の接続/切断要求部23は電話網経由でリモートアクセスサーバ6に対して仮想閉域網7への接続要求を行ない、仮想閉域網7への接続認証に必要な情報(ここではIDとパスワードとする)を送信する(ステップ108)。リモートアクセスサーバ6は、受信したIDとパスワードをネットワーク認証アクセス制御サーバ3に転送し、認証を依頼する(ステップ109)。ネットワーク認証アクセス制御サーバ3の認証部32は、受信したIDとパスワードの情報をもとに認証機能付きパケット通信装置2の認証を行ない、認証成功であれば、アドレス払い出し/回収部35は認証機能付きパケット通信装置2に対して、仮想閉域網7との通信用のIPアドレスを払い出し、ネットワーク認証状態テーブル34に記録する。そして、認証要求受付/応答部31と接続パス設定/削除部33はリモートアクセスサーバ6と転送ノード5に対して、仮想閉域網7への接続パスを設定する(ステップ110)。そして、認証要求受付/応答部31は認証結果と、払い出したIPアドレスを認証機能付きパケット通信装置2に送信する(ステップ111,112)。これを受けて認証機能付きパケット通信装置2の接続要求受付/応答部21は、アドレス割当テーブル24に登録済みの私設網内端末(ここでは端末10aと10b)のIPアドレスをネットワーク認証アクセス制御サーバ3に送信する(ステップ113)。ネットワーク認証アクセス制御サーバ3のアドレス払い出し/回収部35は、受信した端末10aと10bのIPアドレスをネットワーク認証状態テーブル34に登録し、接続パス設定/削除部33は転送ノード5に対して端末10aおよび10b宛ての経路を設定し(ステップ114)、認証要求受付/応答部31は認証機能付きパケット通信装置2に対して登録完了を通知する(ステップ115)。
【0047】
ここまでの処理で認証機能付きパケット通信装置2と、その配下に接続されている端末10aおよび10bは仮想閉域網7に接続されたため、利用者11aおよび11bは何らかの業務を行なうため、アプリケーションサーバ(ここではアプリケーションサーバ8a)に対してアクセス要求を送信するとする(ステップ116)。ここでは端末10aを例にとって説明する。ステップ116の時点では、端末10aはアプリケーションサーバ8aに対するアクセス権限を持っていることを示す証明書を持っていないため、アプリケーションサーバ8aはアクセス要求に証明書が付いていないことを確認し(ステップ117)、アクセス要求をアプリケーション認証アクセス制御サーバ4にリダイレクトするよう、端末10aに指示を送信する(ステップ118)。
【0048】
これに基づいて端末10aからアプリケーション認証アクセス制御サーバ4にアクセス要求が転送されると(ステップ119)、アプリケーション認証アクセス制御サーバ4の送信元アドレス抽出部42は、受信したアクセス要求のパケットの送信元アドレスを抽出し、認証状態問合せ部43よりそのアドレス情報をネットワーク認証アクセス制御サーバ3に送信することで、そのアクセス要求を送信してきた利用者(利用者11a)がネットワーク認証アクセス制御サーバ3で認証済みであるかを問い合わせる(ステップ120)。
【0049】
ネットワーク認証アクセス制御サーバ3のアドレス払い出し/回収部35は、仮想閉域網7のネットワーク認証状態テーブル34を検索し、アプリケーション認証アクセス制御サーバ4から受信したアドレスが認証済みとして登録されているか否かを判別し、その結果を認証要求受付/応答部31からアプリケーション認証アクセス制御サーバ4に送信する(ステップ121)。認証済みであった場合は、アプリケーション認証アクセス制御サーバ4のアクセス許可判断部44は、端末10aに対して、認証が成功していることを示す証明書を発行し、端末10aに対するアクセス応答としてアクセス要求受付/応答部41から返信する(ステップ122)。
【0050】
これにより端末10aから再度アプリケーションサーバ8aに対してアクセス要求を行なうと(ステップ123)、アプリケーションサーバ8aはアクセス要求に証明書が付いていることを検知して、アクセス要求に応答する(ステップ124)。
【0051】
これ以降は、利用者11aがアクセス権限を有する他のアプリケーションサーバ(本実施形態ではアプリケーションサーバ8b)に対しても、改めて認証手続きを求められることなく、アクセスが可能になる。
【0052】
また、端末10bの利用者11bに対しても、ステップ113〜121に相当する手順を実施することにより、仮想閉域網7内で利用者11bがアクセス権限を持つアプリケーションサーバ群に対して、改めて認証手続きを求められることなくアクセスが可能になる。
【0053】
次に、図5により、認証機能付きパケット通信装置2が仮想閉域網7に接続された後に私設網9内に新たに端末(ここでは端末10c)が接続された場合の処理の流れについて説明する。端末10cが新たに私設網9に接続を試みる(ステップ125)と、端末10a,10bの時と同様に利用者認証が実施され(ステップ126)、認証成功の場合IPアドレスが付与される(ステップ127)。認証機能付きパケット通信装置2は、既に仮想閉域網7への接続は完了していることから、この時点でネットワーク認証アクセス制御サーバ3に対して、端末10cの接続を通知し、付与したIPアドレスを送信する(ステップ128)。ネットワーク認証アクセス制御サーバ3では、認証機能付きパケット通信装置2が端末10cに付与したIPアドレスを、ネットワーク認証状態テーブル34に登録し、転送ノード5に対して端末10c宛ての経路を設定する(ステップ129)。そして、端末10cの登録完了を認証機能付きパケット通信装置2に通知する(ステップ130)。これにより、後は端末10cについてステップ113〜121に相当する手順を踏むことにより、端末10cの利用者11cは、仮想閉域網7内のアプリケーションサーバ群に対して、改めて認証手続きを求められることなくアクセスが可能になる。
【0054】
次に、図6、7に示すシーケンス図に従って、認証を無効化する一連の処理について説明する。
【0055】
まず、認証機能付きパケット通信装置2と仮想閉域網7との間の接続が保たれたまま、端末10cが私設網9から切断された場合について説明する。端末10cからのアドレス解放通知の受信またはアドレス使用期間更新要求の断絶により認証機能付きパケット通信装置2が端末10cの私設網9からの切断を検知すると(ステップ131)、アドレス検索/払い出し/回収部25はアドレス割当テーブル24から端末10cに付与していたIPアドレスを回収し、アドレス割当テーブル24内のそのエントリを無効化する(ステップ132)。次いで、接続/切断要求部23はネットワーク認証アクセス制御サーバ3に対して、端末10cに付与していたIPアドレスを送信し、切断を通知する(ステップ133)。これを受けてネットワーク認証アクセス制御サーバ3の認証状態応答部36は、アプリケーション認証アクセス制御サーバ4に対して、利用者11cのログアウト要求を送信する(ステップ134)。アプリケーション認証アクセス制御サーバ4のアクセス許可判断部44は、アプリケーションサーバ群(本実施形態では、アプリケーションサーバ8aと8b)に対する利用者11cの認証を無効にし(ステップ135)、ログアウト完了通知を認証状態問合せ部43よりネットワーク認証アクセス制御サーバ3に送信する(ステップ136)。ネットワーク認証アクセス制御サーバ3のアドレス払い出し/回収部35は、これを受けて、ネットワーク認証状態テーブル34から端末10cのIPアドレスの登録を抹消し、転送ノード5に対して端末10c宛ての経路の削除を行ない(ステップ137)、認証要求受付/応答部31より認証機能付きパケット通信装置2に対して端末10cの切断完了通知を送信する(ステップ138)。
【0056】
さらに、図7によって、認証機能付きパケット通信装置2とリモートアクセスサーバ6との接続回線が切断された場合の処理について説明する。リモートアクセスサーバ6は、認証機能付きパケット通信装置2との間の回線の切断を検知すると(ステップ139)、ネットワーク認証アクセス制御サーバ3に対して、認証機能付きパケット通信装置2の切断を通知する(ステップ140)。これを受けて、ネットワーク認証アクセス制御サーバ3の認証状態応答部36は、アプリケーション認証アクセス制御サーバ4に対して、利用者11aのログアウト要求を送信する(ステップ141)。アプリケーション認証アクセス制御サーバ4のアクセス許可判断部44は、アプリケーションサーバ群(本実施形態では、アプリケーションサーバ8aと8b)に対する利用者11aの認証を無効にし(ステップ142)、ログアウト完了通知をアクセス要求受付/応答部41よりネットワーク認証アクセス制御サーバ3に送信する(ステップ143)。また、端末10bの利用者11bに対しても同様にログアウト処理をアプリケーション認証アクセス制御サーバ4に依頼する(ステップ144〜146)。
【0057】
そして、ネットワーク認証アクセス制御サーバ3のアドレス払い出し/回収部35は、認証機能付きパケット通信装置2に払い出していたIPアドレスを回収してネットワーク認証状態テーブル34から認証機能付きパケット通信装置2に関わるエントリを削除し、接続パス設定/削除部33によってリモートアクセスサーバ6と転送ノード5に対して、認証機能付きパケット通信装置2およびその配下の端末(この例では端末10aと10b)宛ての経路を削除し(ステップ147)、認証要求受付/応答部31よりリモートアクセスサーバ6に対して切断完了通知を送信する(ステップ148)。
【0058】
なお、認証機能付きパケット通信装置2、ネットワーク認証アクセス制御サーバ3、アプリケーション認証アクセス制御サーバ4は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0059】
【発明の効果】
以上説明したように、本発明によれば、私設網から仮想閉域網へのリモートアクセスを実現する分散型認証アクセス制御システムにおいて、私設網内の端末の認証機能付きパケット通信装置へのアクセスのための認証で仮想閉域網内のアプリケーションサーバへのアクセスの認証を実現することで、私設網内の端末の利用者に対して一度のみの認証手続きを行なうだけで、セキュリティを保ちつつ効率的に業務を遂行できるという効果がある。
【図面の簡単な説明】
【図1】本発明の一実施形態の分散型認証アクセス制御システムの構成図である。
【図2】図1中の認証機能付きパケット通信装置2、ネットワーク認証アクセス制御サーバ3、アプリケーション認証アクセス制御サーバ4の構成図である。
【図3】利用者端末10a〜10bからの一度のみの認証手続きによって仮想閉域網7にアクセスし、かつ仮想閉域網7内のアプリケーションサーバ8a,8bに対してのシングルサインオンを実現する一連の処理を示すシーケンス図である。
【図4】利用者端末10a〜10bからの一度のみの認証手続きによって仮想閉域網7にアクセスし、かつ仮想閉域網7内のアプリケーションサーバ8a,8bに対してのシングルサインオンを実現する一連の処理を示すシーケンス図である。
【図5】利用者端末10a〜10bからの一度のみの認証手続きによって仮想閉域網7にアクセスし、かつ仮想閉域網7内のアプリケーションサーバ8a,8bに対してのシングルサインオンを実現する一連の処理を示すシーケンス図である。
【図6】認証を無効化する一連の処理を示すシーケンス図である。
【図7】認証を無効化する一連の処理を示すシーケンス図である。
【符号の説明】
1 分散型認証アクセス制御システム
2 認証機能付きパケット通信装置
3 ネットワーク認証アクセス制御サーバ
4 アプリケーション認証アクセス制御サーバ
5 転送ノード
6 リモートアクセスサーバ
7 仮想閉域網
8a,8b アプリケーションサーバ
9 私設網
10a,10b,10c 端末
11a,11b,11c 利用者
21 接続要求受付/応答部
22 認証部
23 接続/切断要求部
24 アドレス割当テーブル
25 アドレス検索/払い出し/回収部
31 認証要求受付/応答部
32 認証部
33 接続パス設定/削除部
34 ネットワーク認証状態テーブル
35 アドレス払い出し/回収部
36 認証状態応答部
41 アクセス要求受付/応答部
42 送信元アドレス抽出部
43 認証状態問合せ部
44 アクセス許可判断部
101〜148 ステップ
【発明の属する技術分野】
本発明は、分散型認証アクセス制御システムに関し、特にコネクションレス型通信網上に構築された仮想閉域網に対して、遠隔の私設網からアクセス(以下、リモートアクセス)するための認証を行ない、その私設網内の端末の仮想閉域網への接続の認証を行なう分散型認証アクセス制御システムに関する。
【0002】
【従来の技術】
従来、企業通信網など特定の対地のみを接続する閉域網を構築するために、仮想閉域網が導入されている。コネクションレス型通信網における仮想閉域網は、伝送路、転送ノードを共有するのみならず、論理パス、論理回線も共有して、セキュリティを確保した転送制御がなされている。
【0003】
また、仮想閉域網は特定の対地のみを接続するのではなく、特定の端末、またはルータ等の通信装置からのリモートアクセスを受け付けることができるようになっている。例えば、社員の自宅の端末や、事務所のルータから公衆の電話網あるいはADSL(Asymmetric Digital Subscriber Line)網等を経由して企業の仮想閉域網にアクセスし、会社のホストコンピュータに接続することができる。電話網等と仮想閉域網との間にリモートアクセスサーバが設置されており、端末やルータは、ダイアルアップ等でリモートアクセスサーバに接続し、仮想閉域網にアクセスすることが行なわれている。
【0004】
リモートアクセスサーバと仮想閉域網とを接続する転送ノードと、リモートアクセスサーバと転送ノードとを制御する閉域網群制御サーバを備え、複数の仮想閉域網の利用者が共用している。リモートアクセスサーバと転送ノードとの間の物理回線を複数の仮想閉域網で利用して、設備の利用効率を向上させることが提案されている(特許文献1)。この特許文献1では、利用者からの接続要求に基づいて、リモートアクセスサーバは、仮想閉域網毎に仮想ルータ(以下、VR:Virtual Routerと表記)を割り当て、VRを1本の物理回線に接続する。利用者からの切断を契機に、リモートアクセスサーバは、VRを開放し、他の仮想閉域網の利用者に割り当てる。
【0005】
一方、仮想閉域網に代表される通信網への接続環境が整っていることを前提として、通信網上に接続されている複数のサーバ上のコンテンツへのアクセスを一度の認証で可能にする(以下、シングルサインオンと表記)方法として、網内に認証アクセス制御サーバを設置する方法が知られており、この方法はその処理形態によって、「リバース・プロキシ型」と「エージェント・モジュール型」とに分類される。
【0006】
リバース・プロキシ型のシングルサインオンでは、サーバへのアクセス要求は全て認証アクセス制御サーバを中継して送信され、認証アクセス制御サーバは、中継時に、内部に持つ利用者毎のアクセスリストを参照してアクセス制御を行なう。
【0007】
一方、エージェント・モジュール型のシングルサインオンでは、利用者は、まず認証アクセス制御サーバにログインする。認証に成功すると、認証アクセス制御サーバは、当該利用者がアクセス可能なアプリケーションサーバのリストをクッキーに埋め込んで利用者端末に送信する。その後、利用者がアプリケーションサーバにアクセスした時、コンテンツサーバ内のエージェント・モジュールがクッキー内の情報をもとにアクセスの可否を決定する。アプリケーションサーバに対して、認証アクセス制御サーバで認証されていない利用者からのアクセスがあった場合は、当該アプリケーションサーバ内のエージェント・モジュールがアクセス要求を認証アクセス制御サーバに転送して、認証を行なわせる。
【0008】
なお、現在、企業連合であるLiberty Allianceにおいて、エージェント・モジュール型をベースにしたシングルサインオンの方式の標準化が進められている。
【0009】
【特許文献1】
特開2002−185538号公報
【特許文献2】
特願2003−003108号
【0010】
【発明が解決しようとする課題】
仮想閉域網に遠隔からアクセスする場合は、通常、仮想閉域網に接続した後、何らかの業務を行なうために、その仮想閉域網内のサーバにアクセスすることが考えられる。このため、本出願人は、遠隔の端末から仮想閉域網に対する接続認証をもって、当該仮想閉域網内の特定のアプリケーションサーバ群に対するアクセス時の認証を兼ねられるようにし、利用者が仮想閉域網への接続時に一度のみ認証手続きを行なうことで仮想閉域網内のアプリケーションサーバへのアクセスを可能とする技術を提案している(特許文献2)。
【0011】
しかし、端末から直接仮想閉域網に接続するのではなく、既設の私設網からルータを介して仮想閉域網に接続する場合は、仮想閉域網への接続時に行なわれる認証は、当該私設網内で共通のルータとしての認証であり、私設網内の個々の端末の利用者の認証とはなっていないため、ルータの仮想閉域網への接続時の認証のみで私設網内の個々の端末から仮想閉域網内のアプリケーションサーバへのアクセスの認証を兼ねることはセキュリティ上問題がある。
【0012】
本発明の目的は、遠隔の私設網からルータを介して仮想閉域網に接続する場合に、私設網内の各端末の利用者のセキュリティを損なうことなく、私設網内の端末から一度の認証手続きのみで仮想閉域網内のアプリケーションサーバへのアクセスを可能にする認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および分散型認証アクセス制御システムを提供することにある。
【0013】
【課題を解決するための手段】
本発明の分散型認証アクセス制御システムは認証機能付きパケット通信装置とネットワーク認証アクセス制御サーバと転送ノードとリモートアクセスサーバとアプリケーション認証アクセス制御サーバとで構成され、遠隔の私設網内の端末が、認証機能付きパケット通信装置とリモートアクセスサーバおよび転送ノードを介して仮想閉域網に接続した上で、私設網内の端末から発行される仮想閉域網内のアプリケーションサーバへのアクセス要求を認証する。
【0014】
本発明の認証機能付きパケット通信装置は、(1)端末が私設網に接続された時にその端末からの接続要求を受けて端末利用者の認証を行なう手段と、(2)(1)の認証に成功した場合にその端末にアドレスを付与する手段と、(3)(2)で付与したアドレスを管理する手段と、(4)私設網内の端末に付与したアドレスとして既に記録されているアドレスを持つ端末からの接続要求に対しては、その端末の利用者に対して改めて認証を求めないようにする手段と、(5)アドレスを付与済みの端末から仮想閉域網宛ての通信要求を受けて、リモートアクセスサーバに対して接続要求を送信する手段と、(6)リモートアクセスサーバへの接続要求時に、その時点までに認証機能付きパケット通信装置から私設網内の端末に付与済みのアドレスの情報をネットワーク認証アクセス制御サーバに通知する手段と、(7)仮想閉域網との間の接続パスが存在している間に新たに私設網内の端末の認証に成功した場合に、その端末に付与したアドレスをネットワーク認証アクセス制御サーバに通知する手段とを有する。
【0015】
認証機能付きパケット通信装置は、(8)私設網内の利用者からの切断要求、もしくは自装置から自律的に発する切断要求を契機として、リモートアクセスサーバに対して、該認証機能付きパケット通信装置から私設網内の端末に付与した全アドレスの情報を含んだ切断要求を送信する手段と、(9)アドレスを付与した端末が私設網から切り離された場合に、当該端末用に付与したアドレスを無効にするとともに、ネットワーク認証アクセス制御サーバに対して当該アドレスを持つ端末の認証を無効にするように通知する手段とを任意に有する。
【0016】
また、ネットワーク認証アクセス制御サーバは、(1)私設網内の認証機能付きパケット通信装置の、仮想閉域網への接続認証の認証状態と、認証機能付きパケット通信装置に払い出したアドレスを管理する手段と、(2)私設網内の端末の、認証機能付きパケット通信装置への接続の認証状態を、認証機能付きパケット通信装置から通知された、認証成功時にその端末に付与されたアドレスの情報をもって管理する手段と、(3)私設網内の端末に付与されたアドレス宛ての経路を転送ノードに設定する手段と、(4)仮想閉域網内のアプリケーションサーバにアクセス要求を行なった端末の送信元アドレスの情報をアプリケーション認証アクセス制御サーバ経由で受信し、認証機能付きパケット通信装置から通知されているアドレスと一致するかどうかで当該利用者の認証状態を判断し、アプリケーション認証アクセス制御サーバに認証状態を応答する手段とを有する。
【0017】
また、ネットワーク認証アクセス制御サーバは、(5)端末が私設網から切断された場合に、認証機能付きパケット通信装置から切断された端末に付与されていたアドレスの情報を受信し、その端末の認証機能付きパケット通信装置への接続の認証を無効にする手段と、(6)同じ契機で、アプリケーション認証アクセス制御サーバに対して、当該端末に付与されていたアドレスの情報を通知する手段と、(7)同じ契機で、転送ノードに設定済みであった、当該端末に付与されていたアドレス宛ての経路を削除する手段と、(8)私設網内の認証機能付きパケット通信装置とリモートアクセスサーバとの間の接続が切断されたことをリモートアクセスサーバから通知を受けたことを契機に、その認証機能付きパケット通信装置とそれが接続していた仮想閉域網との間の接続パスを削除する手段と、(9)(8)と同じ契機で、ネットワーク認証アクセス制御サーバ内で管理している、該認証機能付きパケット通信装置の認証を無効にする手段と、(10)(8)と同じ契機で、該認証機能付きパケット通信装置に接続されている全ての端末に対する認証を無効にする手段と、(11)(8)と同じ契機で、アプリケーション認証アクセス制御サーバに対して、該認証機能付きパケット通信装置に接続されている端末の利用者の認証を無効にするために該認証機能付きパケット通信装置が付与した全てのアドレスの情報を通知する手段と、(12)(8)と同じ契機で、転送ノードに設定済みであった、私設網内の端末に払い出し済みのアドレス宛ての経路を削除する手段とを任意に有する。
【0018】
さらに、アプリケーション認証アクセス制御サーバは、(1)端末の利用者からのアプリケーションサーバ群へのアクセス要求を受信した際に、アクセス要求を送信してきた端末からのパケットの送信元アドレスを抽出し、該送信元アドレスをネットワーク認証アクセス制御サーバに送ることで該利用者の認証状態を問い合わせる手段と、(2)ネットワーク認証アクセス制御サーバから認証済みの応答を受けた場合に、該利用者端末に対して利用者の認証に必要な情報を要求することなく、アプリケーションサーバ群へのアクセスを許可する手段と、(3)ネットワーク認証アクセス制御サーバから未認証の応答を受けた場合に、当該利用者端末に対して利用者の認証に必要な情報を要求し、認証に成功した場合に限りアプリケーションサーバ群へのアクセスを許可する手段とを有し、さらに(4)ネットワーク認証アクセス制御サーバからの指示に従って特定の利用者に対する認証を無効にする手段を任意に有する。
【0019】
次に、このように構成された本発明の分散型認証アクセス制御システムにおける認証処理の流れについて説明する。
【0020】
認証機能付きパケット通信装置は、私設網に新たに端末が接続されると、端末の利用者に対して認証を要求し、認証に成功すると、その端末に対してアドレスを付与する。その後、アドレスを付与された端末が仮想閉域網宛ての通信を要求すると、認証機能付きパケット通信装置はそれを受けて、公衆網とリモートアクセスサーバを介してネットワーク認証アクセス制御サーバに対して接続要求を行なう。ネットワーク認証アクセス制御サーバは、利用者端末からその仮想閉域網へのアクセスに必要となる認証情報を取得して、それに基づいて、仮想閉域網へのアクセスの認証を行なう。
【0021】
この認証が得られると、ネットワーク認証アクセス制御サーバは、利用者端末が当該仮想閉域網に接続されるよう、転送ノードとリモートアクセスサーバに対して接続パスの設定を行なう。
【0022】
また、認証機能付きパケット通信装置からネットワーク認証アクセス制御サーバに接続要求を行なった後に私設網内の端末の新規接続があった場合は、その端末に付与したアドレスを認証機能付きパケット通信装置からネットワーク認証アクセス制御サーバに通知する。端末の切断があった場合には、その端末に付与されていたアドレスの情報をネットワーク認証アクセス制御サーバに通知する。ネットワーク認証アクセス制御サーバは、新規接続の通知を受けると、当該アドレスを持つ端末の認証は完了しているものとして新たに管理し、切断の通知を受けると、当該アドレスを持つ端末の認証を無効にする。
【0023】
この後、私設網内の端末から仮想閉域網内のアプリケーションサーバに対してアクセス要求を行なうと、そのアクセス要求にはそのアプリケーションサーバにアクセスする権限を有することを示す証明書が含まれていないため、エージェント・モジュール型のシングルサインオンの方式に従い、アクセス要求はアプリケーション認証アクセス制御サーバに転送される。
【0024】
アプリケーション認証アクセス制御サーバは、受信したアプリケーションサーバへのアクセス要求のパケットから送信元アドレスを抽出し、アクセス要求元の端末の利用者の認証状態を確認するために、ネットワーク認証アクセス制御サーバに対して先に抽出した送信元アドレスの情報を送信する。
【0025】
ネットワーク認証アクセス制御サーバは、受信した送信元アドレス情報が自サーバ内に保持する認証状態を管理するリスト内で認証済みであるアドレスとして登録されているかを検索する。該送信元アドレスがリスト内に存在した場合は、ネットワーク認証アクセス制御サーバで認証済みである旨をアプリケーション認証アクセス制御サーバに応答し、リスト内にない場合は、ネットワーク認証アクセス制御サーバで未認証であることを応答する。
【0026】
アプリケーション認証アクセス制御サーバは、認証済みとの応答を受信した場合は、元々利用者端末から送られてきたアクセス要求に対して、パスワード等認証に必要な情報を改めて要求することなく、アプリケーションサーバ群へのアクセス権限を有していることを証明する証明書を付与して利用者端末に送信する。ネットワーク認証アクセス制御サーバから未認証との応答を受信した場合は、元々のアクセス要求に対して、パスワード等認証に必要な情報を利用者に要求し、認証が成功した場合に限り、アプリケーションサーバ群へのアクセス権限を有していることを証明する証明書を付与して利用者端末に送信する。
【0027】
これ以降に当該利用者端末が仮想閉域網内のアプリケーションサーバ群に対してアクセスを試みた場合は、アプリケーション認証アクセス制御サーバが発行した証明書がアクセス要求に付与されていることをアプリケーションサーバが確認することで認証手続きが完了していることを判別し、自アプリケーションサーバへのアクセスを許可する。
【0028】
このようにして、私設網内の端末の利用者はただ一度の認証手続きを実行するだけで、仮想閉域網へのリモートアクセスのみならず、仮想閉域網内の複数のアプリケーションサーバに対するセキュアなアクセスが可能になる。
【0029】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0030】
図1は本発明の一実施形態の分散型認証アクセス制御システムの構成図である。
【0031】
分散型認証アクセス制御システム1は認証機能付きパケット通信装置2とネットワーク認証アクセス制御サーバ3とアプリケーション認証アクセス制御サーバ4と転送ノード5とリモートアクセスサーバ6から構成されている。
【0032】
アプリケーション認証アクセス制御サーバ4はアプリケーションサーバ8a,8bとともに仮想閉域網7を構成している。また、認証機能付きパケット通信装置2は端末10a,10b,10cとともに私設網9を構成している。私設網9内の端末10a,10b,10cからそれぞれ利用者11a,11b,11cが仮想閉域網7内のアプリケーションサーバ8a,8bへの試みるものとする。ここで、利用者11a,11b,11cは、アプリケーションサーバ8a,8bのいずれにもアクセス権限を有しているものとする。
【0033】
図2(1)、図2(2)、図2(3)はそれぞれ認証機能付きパケット通信装置2、ネットワーク認証アクセス制御サーバ3、アプリケーション認証アクセス制御サーバ4の構成図である。
【0034】
認証機能付きパケット通信装置2は接続要求受付/応答部21と認証部22と接続/切断要求部23とアドレス割当テーブル24とアドレス検索/払い出し/回収部25から構成されている。
【0035】
接続要求受付/応答部21は端末10a〜10cが私設網9に接続された時にその端末からの接続要求を、また切断要求を受け取り、端末10a〜10cに認証結果等を返す。アドレス割当テーブル24は表1に示すように、認証機能付きパケット通信装置2の配下にこれに接続されている端末10a,10b,10cの物理識別子(本例ではMAC(Media Access Control)アドレスとする)と、それぞれの端末10a,10b,10cに付与されたIP(Internet Protocol)アドレスを管理している。
【0036】
【表1】
認証部22は端末からの接続要求を受け端末利用者の認証を行ない、認証に成功すると、その端末にアドレスを付与し、アドレス割当テーブル24に登録する。接続要求受付/応答部21はアドレス割当テーブル24で既にアドレスが付与されている端末からの接続要求に対しては、その端末の利用者に対して改め認証を認証部22に求めない。接続/切断要求部23は、接続要求受付/応答部21を介して、私設網9内の端末から仮想閉域網7宛ての通信要求を受けて、リモートアクセスサーバ6に対して接続要求を送信するとともに、その時点までに端末に付与済みのアドレスの情報をリモートアクセスサーバ6を介してネットワーク認証アクセス制御サーバ3に通知する。また、接続/切断要求部23は仮想閉域網7との間の接続パスが存在している間に新たに私設網9内の端末の認証に成功した場合に、アドレス割当テーブル24で管理されている、その端末に付与されたアドレスをネットワーク認証アクセス制御サーバ3にリモートアクセスサーバ6を介して通知する。また、接続/切断要求部23は、接続要求受付/応答部21を介した、私設網9内の利用者からの切断要求、もしくは自装置から自律的に発する切断要求を契機として、リモートアクセスサーバ6に対して、認証機能付きパケット通信装置2から私設網9内の端末に付与した全アドレスの情報を含んだ切断要求を送信する。さらに、接続/切断要求部23は、アドレスが付与されている端末が私設網9から切り離された場合に、ネットワーク認証アクセス制御サーバ3に対して該アドレスを持つ端末の認証を無効にするようにリモートアクセスサーバ6を介して通知する。アドレス検索/払い出し/回収部25はアドレス割当テーブル24の検索、認証部22での利用者の認証が成功した場合、アドレス割当テーブル24への、端末に付与したアドレスの登録、アドレスが付与された端末が私設網9から切り離された場合の、その端末に付与されたアドレスのアドレス割当テーブル24からの回収(抹消)を行なう。
【0038】
ネットワーク認証アクセス制御サーバ3は認証要求受付/応答部31と認証部32と接続パス設定/削除部33とネットワーク認証状態テーブル34とアドレス払い出し/回収部35と認証状態応答部36で構成されている。
【0039】
ネットワーク認証状態テーブル34は、表2に示すように、仮想閉域網毎に用意され、リモートアクセスサーバ6経由でネットワーク認証アクセス制御サーバ3に接続要求する端末あるいは認証機能付きパケット通信装置(ここでは認証機能付きパケット通信装置2)が仮想閉域網7に接続しているか接続していないかを示す認証状態と、接続されている場合に当該端末あるいは認証機能付きパケット通信装置2に対して払い出されたIPアドレスの情報と、接続要求したのが認証機能付きパケット通信装置であった場合にその認証機能付きパケット通信装置が配下の端末に対して付与したIPアドレスの情報を管理する。
【0040】
【表2】
接続要求受付/応答部31はリモートアクセスサーバ6を介して認証機能付きパケット通信装置2から仮想閉域網7の接続要求を認証に必要な情報とともに受け取り、またリモートアクセスサーバ6を介して認証機能付きパケット通信装置2に認証結果とIPアドレスを返す。また、接続要求受付/応答部31は、リモートアクセスサーバ6から切断要求を受信する。認証部32は接続要求受付/応答部31で接続要求が受信されると、受け取った認証に必要な情報を用いて利用者を認証する。接続パス設定/削除部33は認証部32における認証が成功した場合、私設網9内の端末に付与されたアドレス宛ての経路を転送ノード5に設定する。認証状態応答部36は仮想閉域網7内のアプリケーションサーバにアクセス要求を行なった端末の送信元アドレスの情報をアプリケーション認証アクセス制御サーバ4経由で受信し、認証機能付きパケット通信装置2から通知されている、ネットワーク認証状態テーブル34内のアドレスと一致するかどうかで当該利用者の認証状態を判断し、アプリケーション認証アクセス制御サーバ4に認証状態を応答する。アドレス払い出し/回収部35は端末が私設網9から切断された場合に、認証機能付きパケット通信装置2から、切断された端末に付与されていたアドレスを認証要求受付/応答部31を介して受信し、ネットワーク認証状態テーブル34における、その端末の認証機能付きパケット通信装置2への接続の認証を無効にする。このとき、認証状態応答部36はアプリケーション認証アクセス制御サーバ4に対して、当該端末に付与されていたアドレスの情報を通知し、接続パス設定/削除部33は、転送ノード5に設定済みであった、当該端末に付与されていたアドレス宛ての経路を削除する。認証要求受付/応答部31が私設網9内の認証機能付きパケット通信装置2とリモートアクセスサーバ6との間の接続が切断されたことをリモートアクセスサーバ6から通知を受けたことを契機に、接続パス設定/削除部33はその認証機能付きパケット通信装置2とそれが接続していた仮想閉域網7との間の接続パスを削除し、アドレス払い出し/回収部35は、ネットワーク認証状態テーブル34で管理している、当該認証機能付きパケット通信装置の認証を回収(無効)にするとともに、当該認証機能付きパケット通信装置に接続されている全ての端末に対する認証を無効にし、認証状態応答部36はアプリケーション認証アクセス制御サーバ4に対して、当該認証機能付きパケット通信装置に接続されている端末の利用者の認証を無効にするために当該認証機能付きパケット通信装置2が付与した全てのアドレスの情報を通知し、接続パス設定/削除部33は転送ノード5に設定済みであった、私設網9内の端末に払い出し済みのアドレス宛ての経路を削除する。
【0042】
アプリケーション認証アクセス制御サーバ4はアクセス要求受付/応答部41と送信元アドレス抽出部42と認証状態問合せ部43とアクセス許可判断部44から構成される。
【0043】
アクセス要求受付/応答部41は、端末の利用者からのアプリケーションサーバ群へのアクセス要求を転送ノード5を介して受信し、また未認証の端末に対してパスワード等の利用者の認証に必要な情報を要求する。送信元アドレス抽出部42は、アクセス要求受付/応答部41でアクセス要求が受信されると、アクセス要求を送信してきた端末からのパケットの送信元アドレスを抽出する。認証状態問合せ部43は抽出された送信元アドレスをネットワーク認証アクセス制御サーバ3に送ることで当該利用者の認証状態を問合わせ、ネットワーク認証アクセス制御サーバ3から認証状態を示す応答を受信する。アクセス許可判断部44はネットワーク認証アクセス制御サーバ3から認証済みの応答を受けた場合、当該利用者端末に対してパスワード等利用者の認証に必要な情報を要求することなく、アクセス要求受付/応答部41を介してアプリケーションサーバ群へのアクセスを許可し、ネットワーク認証アクセス制御サーバ3から未認証の応答を受けた場合、アクセス要求受付/応答部41を介して当該利用者端末に対してパスワード等利用者の認証に必要な情報を要求し、認証に成功した場合に限りアプリケーションサーバ群へのアクセスを許可する。また、アクセス許可判断部44はネットワーク認証アクセス制御サーバ3からの指示に従って特定の利用者に対する認証を無効にする。
【0044】
次に、図3、図4、および図5に示すシーケンス図に従って、認証機能付きパケット通信装置2とネットワーク認証アクセス制御サーバ3とアプリケーション認証アクセス制御サーバ4によって、私設網9内の端末10a,10b,10cを使用する利用者11a,11b,11cからの一度のみの認証手続きによって仮想閉域網7にアクセスし、かつ、仮想閉域網7内のアプリケーションサーバ8a,8bに対してのシングルサインオンを実現する一連の処理について説明する。
【0045】
端末10aが私設網9への接続要求を試みると(ステップ101)、まず端末10aと認証機能付きパケット通信装置2の認証部22の間で利用者認証が行なわれる(ステップ102)。この認証に成功した場合、認証機能付きパケット通信装置2のアドレス検索/払い出し/回収部25は、端末10aに対して、私設網9内での通信を行なうためのIPアドレスを付与し、端末10aのMACアドレスとここで付与したIPアドレスの組をアドレス割当テーブル24に格納する(ステップ103)。この後、別の端末10bからも私設網9への接続要求があった場合は、端末10aの時と同様に認証手続きを行なってIPアドレスを付与し、端末10bのMACアドレスと端末10bに付与したIPアドレスの組をアドレス割当テーブル24に追加する(ステップ104〜106)。
【0046】
この状態で端末10aが仮想閉域網7内のアプリケーションサーバ(例えばアプリケーションサーバ8a)に対してアクセス要求を行なうと(ステップ107)、それを受けて認証機能付きパケット通信装置2の接続/切断要求部23は電話網経由でリモートアクセスサーバ6に対して仮想閉域網7への接続要求を行ない、仮想閉域網7への接続認証に必要な情報(ここではIDとパスワードとする)を送信する(ステップ108)。リモートアクセスサーバ6は、受信したIDとパスワードをネットワーク認証アクセス制御サーバ3に転送し、認証を依頼する(ステップ109)。ネットワーク認証アクセス制御サーバ3の認証部32は、受信したIDとパスワードの情報をもとに認証機能付きパケット通信装置2の認証を行ない、認証成功であれば、アドレス払い出し/回収部35は認証機能付きパケット通信装置2に対して、仮想閉域網7との通信用のIPアドレスを払い出し、ネットワーク認証状態テーブル34に記録する。そして、認証要求受付/応答部31と接続パス設定/削除部33はリモートアクセスサーバ6と転送ノード5に対して、仮想閉域網7への接続パスを設定する(ステップ110)。そして、認証要求受付/応答部31は認証結果と、払い出したIPアドレスを認証機能付きパケット通信装置2に送信する(ステップ111,112)。これを受けて認証機能付きパケット通信装置2の接続要求受付/応答部21は、アドレス割当テーブル24に登録済みの私設網内端末(ここでは端末10aと10b)のIPアドレスをネットワーク認証アクセス制御サーバ3に送信する(ステップ113)。ネットワーク認証アクセス制御サーバ3のアドレス払い出し/回収部35は、受信した端末10aと10bのIPアドレスをネットワーク認証状態テーブル34に登録し、接続パス設定/削除部33は転送ノード5に対して端末10aおよび10b宛ての経路を設定し(ステップ114)、認証要求受付/応答部31は認証機能付きパケット通信装置2に対して登録完了を通知する(ステップ115)。
【0047】
ここまでの処理で認証機能付きパケット通信装置2と、その配下に接続されている端末10aおよび10bは仮想閉域網7に接続されたため、利用者11aおよび11bは何らかの業務を行なうため、アプリケーションサーバ(ここではアプリケーションサーバ8a)に対してアクセス要求を送信するとする(ステップ116)。ここでは端末10aを例にとって説明する。ステップ116の時点では、端末10aはアプリケーションサーバ8aに対するアクセス権限を持っていることを示す証明書を持っていないため、アプリケーションサーバ8aはアクセス要求に証明書が付いていないことを確認し(ステップ117)、アクセス要求をアプリケーション認証アクセス制御サーバ4にリダイレクトするよう、端末10aに指示を送信する(ステップ118)。
【0048】
これに基づいて端末10aからアプリケーション認証アクセス制御サーバ4にアクセス要求が転送されると(ステップ119)、アプリケーション認証アクセス制御サーバ4の送信元アドレス抽出部42は、受信したアクセス要求のパケットの送信元アドレスを抽出し、認証状態問合せ部43よりそのアドレス情報をネットワーク認証アクセス制御サーバ3に送信することで、そのアクセス要求を送信してきた利用者(利用者11a)がネットワーク認証アクセス制御サーバ3で認証済みであるかを問い合わせる(ステップ120)。
【0049】
ネットワーク認証アクセス制御サーバ3のアドレス払い出し/回収部35は、仮想閉域網7のネットワーク認証状態テーブル34を検索し、アプリケーション認証アクセス制御サーバ4から受信したアドレスが認証済みとして登録されているか否かを判別し、その結果を認証要求受付/応答部31からアプリケーション認証アクセス制御サーバ4に送信する(ステップ121)。認証済みであった場合は、アプリケーション認証アクセス制御サーバ4のアクセス許可判断部44は、端末10aに対して、認証が成功していることを示す証明書を発行し、端末10aに対するアクセス応答としてアクセス要求受付/応答部41から返信する(ステップ122)。
【0050】
これにより端末10aから再度アプリケーションサーバ8aに対してアクセス要求を行なうと(ステップ123)、アプリケーションサーバ8aはアクセス要求に証明書が付いていることを検知して、アクセス要求に応答する(ステップ124)。
【0051】
これ以降は、利用者11aがアクセス権限を有する他のアプリケーションサーバ(本実施形態ではアプリケーションサーバ8b)に対しても、改めて認証手続きを求められることなく、アクセスが可能になる。
【0052】
また、端末10bの利用者11bに対しても、ステップ113〜121に相当する手順を実施することにより、仮想閉域網7内で利用者11bがアクセス権限を持つアプリケーションサーバ群に対して、改めて認証手続きを求められることなくアクセスが可能になる。
【0053】
次に、図5により、認証機能付きパケット通信装置2が仮想閉域網7に接続された後に私設網9内に新たに端末(ここでは端末10c)が接続された場合の処理の流れについて説明する。端末10cが新たに私設網9に接続を試みる(ステップ125)と、端末10a,10bの時と同様に利用者認証が実施され(ステップ126)、認証成功の場合IPアドレスが付与される(ステップ127)。認証機能付きパケット通信装置2は、既に仮想閉域網7への接続は完了していることから、この時点でネットワーク認証アクセス制御サーバ3に対して、端末10cの接続を通知し、付与したIPアドレスを送信する(ステップ128)。ネットワーク認証アクセス制御サーバ3では、認証機能付きパケット通信装置2が端末10cに付与したIPアドレスを、ネットワーク認証状態テーブル34に登録し、転送ノード5に対して端末10c宛ての経路を設定する(ステップ129)。そして、端末10cの登録完了を認証機能付きパケット通信装置2に通知する(ステップ130)。これにより、後は端末10cについてステップ113〜121に相当する手順を踏むことにより、端末10cの利用者11cは、仮想閉域網7内のアプリケーションサーバ群に対して、改めて認証手続きを求められることなくアクセスが可能になる。
【0054】
次に、図6、7に示すシーケンス図に従って、認証を無効化する一連の処理について説明する。
【0055】
まず、認証機能付きパケット通信装置2と仮想閉域網7との間の接続が保たれたまま、端末10cが私設網9から切断された場合について説明する。端末10cからのアドレス解放通知の受信またはアドレス使用期間更新要求の断絶により認証機能付きパケット通信装置2が端末10cの私設網9からの切断を検知すると(ステップ131)、アドレス検索/払い出し/回収部25はアドレス割当テーブル24から端末10cに付与していたIPアドレスを回収し、アドレス割当テーブル24内のそのエントリを無効化する(ステップ132)。次いで、接続/切断要求部23はネットワーク認証アクセス制御サーバ3に対して、端末10cに付与していたIPアドレスを送信し、切断を通知する(ステップ133)。これを受けてネットワーク認証アクセス制御サーバ3の認証状態応答部36は、アプリケーション認証アクセス制御サーバ4に対して、利用者11cのログアウト要求を送信する(ステップ134)。アプリケーション認証アクセス制御サーバ4のアクセス許可判断部44は、アプリケーションサーバ群(本実施形態では、アプリケーションサーバ8aと8b)に対する利用者11cの認証を無効にし(ステップ135)、ログアウト完了通知を認証状態問合せ部43よりネットワーク認証アクセス制御サーバ3に送信する(ステップ136)。ネットワーク認証アクセス制御サーバ3のアドレス払い出し/回収部35は、これを受けて、ネットワーク認証状態テーブル34から端末10cのIPアドレスの登録を抹消し、転送ノード5に対して端末10c宛ての経路の削除を行ない(ステップ137)、認証要求受付/応答部31より認証機能付きパケット通信装置2に対して端末10cの切断完了通知を送信する(ステップ138)。
【0056】
さらに、図7によって、認証機能付きパケット通信装置2とリモートアクセスサーバ6との接続回線が切断された場合の処理について説明する。リモートアクセスサーバ6は、認証機能付きパケット通信装置2との間の回線の切断を検知すると(ステップ139)、ネットワーク認証アクセス制御サーバ3に対して、認証機能付きパケット通信装置2の切断を通知する(ステップ140)。これを受けて、ネットワーク認証アクセス制御サーバ3の認証状態応答部36は、アプリケーション認証アクセス制御サーバ4に対して、利用者11aのログアウト要求を送信する(ステップ141)。アプリケーション認証アクセス制御サーバ4のアクセス許可判断部44は、アプリケーションサーバ群(本実施形態では、アプリケーションサーバ8aと8b)に対する利用者11aの認証を無効にし(ステップ142)、ログアウト完了通知をアクセス要求受付/応答部41よりネットワーク認証アクセス制御サーバ3に送信する(ステップ143)。また、端末10bの利用者11bに対しても同様にログアウト処理をアプリケーション認証アクセス制御サーバ4に依頼する(ステップ144〜146)。
【0057】
そして、ネットワーク認証アクセス制御サーバ3のアドレス払い出し/回収部35は、認証機能付きパケット通信装置2に払い出していたIPアドレスを回収してネットワーク認証状態テーブル34から認証機能付きパケット通信装置2に関わるエントリを削除し、接続パス設定/削除部33によってリモートアクセスサーバ6と転送ノード5に対して、認証機能付きパケット通信装置2およびその配下の端末(この例では端末10aと10b)宛ての経路を削除し(ステップ147)、認証要求受付/応答部31よりリモートアクセスサーバ6に対して切断完了通知を送信する(ステップ148)。
【0058】
なお、認証機能付きパケット通信装置2、ネットワーク認証アクセス制御サーバ3、アプリケーション認証アクセス制御サーバ4は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0059】
【発明の効果】
以上説明したように、本発明によれば、私設網から仮想閉域網へのリモートアクセスを実現する分散型認証アクセス制御システムにおいて、私設網内の端末の認証機能付きパケット通信装置へのアクセスのための認証で仮想閉域網内のアプリケーションサーバへのアクセスの認証を実現することで、私設網内の端末の利用者に対して一度のみの認証手続きを行なうだけで、セキュリティを保ちつつ効率的に業務を遂行できるという効果がある。
【図面の簡単な説明】
【図1】本発明の一実施形態の分散型認証アクセス制御システムの構成図である。
【図2】図1中の認証機能付きパケット通信装置2、ネットワーク認証アクセス制御サーバ3、アプリケーション認証アクセス制御サーバ4の構成図である。
【図3】利用者端末10a〜10bからの一度のみの認証手続きによって仮想閉域網7にアクセスし、かつ仮想閉域網7内のアプリケーションサーバ8a,8bに対してのシングルサインオンを実現する一連の処理を示すシーケンス図である。
【図4】利用者端末10a〜10bからの一度のみの認証手続きによって仮想閉域網7にアクセスし、かつ仮想閉域網7内のアプリケーションサーバ8a,8bに対してのシングルサインオンを実現する一連の処理を示すシーケンス図である。
【図5】利用者端末10a〜10bからの一度のみの認証手続きによって仮想閉域網7にアクセスし、かつ仮想閉域網7内のアプリケーションサーバ8a,8bに対してのシングルサインオンを実現する一連の処理を示すシーケンス図である。
【図6】認証を無効化する一連の処理を示すシーケンス図である。
【図7】認証を無効化する一連の処理を示すシーケンス図である。
【符号の説明】
1 分散型認証アクセス制御システム
2 認証機能付きパケット通信装置
3 ネットワーク認証アクセス制御サーバ
4 アプリケーション認証アクセス制御サーバ
5 転送ノード
6 リモートアクセスサーバ
7 仮想閉域網
8a,8b アプリケーションサーバ
9 私設網
10a,10b,10c 端末
11a,11b,11c 利用者
21 接続要求受付/応答部
22 認証部
23 接続/切断要求部
24 アドレス割当テーブル
25 アドレス検索/払い出し/回収部
31 認証要求受付/応答部
32 認証部
33 接続パス設定/削除部
34 ネットワーク認証状態テーブル
35 アドレス払い出し/回収部
36 認証状態応答部
41 アクセス要求受付/応答部
42 送信元アドレス抽出部
43 認証状態問合せ部
44 アクセス許可判断部
101〜148 ステップ
Claims (7)
- 私設網内における公衆網への出口に設置され、該私設網内の利用者からの要求に基づき、前記公衆網を経由してリモートアクセスサーバに対して接続要求を送信することで、前記私設網と遠隔にある仮想閉域網とを接続し、前記私設網内にある端末から前記仮想閉域網内に設置されるアプリケーションサーバとの間の通信を実現する認証機能付きパケット通信装置であって、
前記私設網内の端末からの接続要求を受けて、端末利用者の認証を行なう手段と、
認証に成功した場合にその端末にアドレスを付与する手段と、
前記私設網内の端末に付与したアドレスを管理する手段と、
前記私設網内の端末に付与したアドレスとして既に記録されているアドレスを持つ端末からの接続要求に対しては、その端末の利用者に対して改めて認証を求めないようにする手段と、
前記私設網内の端末から前記仮想閉域網宛ての通信要求を受けて、前記リモートアクセスサーバに対して接続要求を送信する手段と、
前記リモートアクセスサーバへの接続要求時に、その時点までに該認証機能付きパケット通信装置から前記私設網内の端末に付与済みのアドレスの情報をネットワーク認証アクセス制御サーバに通知する手段と、
前記仮想閉域網との間の接続パスが存在している間に新たに前記私設網内の端末の認証が成功した場合に、当該端末に付与したアドレスを前記ネットワーク認証アクセス制御サーバに通知する手段と
を有する認証機能付きパケット通信装置。 - 前記私設網内の利用者からの切断要求、もしくは自装置から自律的に発する切断要求を契機として、前記リモートアクセスサーバに対して、該認証機能付きパケット通信装置から前記私設網内の端末に付与した全アドレスの情報を含んだ切断要求を送信する手段と、
アドレスを付与した端末が私設網から切り離された場合に、当該端末用に付与したアドレスを無効にするとともに、前記ネットワーク認証アクセス制御サーバに対して当該アドレスを持つ端末の認証を無効にするように通知する手段と
をさらに有する、請求項1に記載の認証機能付きパケット通信装置。 - 私設網内に設置された認証機能付きパケット通信装置から仮想閉域網への接続要求を、リモートアクセスサーバを介して受信し、該リモートアクセスサーバと転送ノードを制御して該私設網と該仮想閉域網との間の接続パスを設定し、前記私設網内の端末と前記仮想閉域網内のアプリケーションサーバとの間の通信を実現するネットワーク認証アクセス制御サーバであって、
前記私設網内の認証機能付きパケット通信装置の、前記仮想閉域網への接続認証の認証状態と、前記認証機能付きパケット通信装置に払い出したアドレスを管理する手段と、
前記私設網内の端末の、前記認証機能付きパケット通信装置への接続の認証状態を、前記認証機能付きパケット通信装置から通知された、認証成功時に当該端末に付与されたアドレスの情報をもって管理する手段と、
前記私設網内の端末に付与されたアドレス宛ての経路を転送ノードに設定する手段と、
前記仮想閉域網内のアプリケーションサーバにアクセス要求を行なった端末の送信元アドレスの情報をアプリケーション認証アクセス制御サーバ経由で受信し、前記認証機能付きパケット通信装置から通知されているアドレスと一致するかどうかで当該利用者の認証状態を判断し、前記アプリケーション認証アクセス制御サーバに認証状態を応答する手段と、
を有するネットワーク認証アクセス制御サーバ。 - 端末が前記私設網から切断された場合に、前記認証機能付きパケット通信装置から切断された端末に付与されていたアドレスの情報を受信し、その端末の前記認証機能付きパケット通信装置への接続の認証を無効にする手段と、
同じ契機で、前記アプリケーション認証アクセス制御サーバに対して、当該端末に付与されていたアドレスの情報を通知する手段と、
同じ契機で、転送ノードに設定済みであった、当該端末に付与されていたアドレス宛ての経路を削除する手段と、
前記私設網内の認証機能付きパケット通信装置と前記リモートアクセスサーバとの間の接続が切断されたことを前記リモートアクセスサーバから通知を受けたことを契機に、該認証機能付きパケット通信装置とそれが接続していた仮想閉域網との間の接続パスを削除する手段と、
同じ契機で、前記ネットワーク認証アクセス制御サーバ内で管理している、該認証機能付きパケット通信装置の認証を無効にする手段と、
同じ契機で、該認証機能付きパケット通信装置に接続されている全ての端末に対する認証を無効にする手段と、
同じ契機で、前記アプリケーション認証アクセス制御サーバに対して、該認証機能付きパケット通信装置が付与した全てのアドレスの情報を通知する手段と、
同じ契機で、前記転送ノードに設定済みであった、前記私設網内の端末に払い出し済みのアドレス宛ての経路を削除する手段と、
をさらに有する、請求項3に記載のネットワーク認証アクセス制御サーバ。 - 仮想閉域網内に設置されて、利用者からの一度の認証によって、仮想閉域網内にある複数のアプリケーションサーバに対するアクセス時の認証を実現するアプリケーション認証アクセス制御サーバであって、
端末の利用者からのアプリケーションサーバ群へのアクセス要求を受信した際に、アクセス要求を送信してきた利用者端末からのパケットの送信元アドレスを抽出し、該送信元アドレスをネットワーク認証アクセス制御サーバに送ることで該利用者の認証状態を問い合わせる手段と、
前記ネットワーク認証アクセス制御サーバから認証済みの応答を受けた場合に、該利用者端末に対して利用者の認証に必要な情報を要求することなく、アプリケーションサーバ群へのアクセスを許可する手段と、
前記ネットワーク認証アクセス制御サーバから未認証の応答を受けた場合に、該利用者端末に対して利用者の認証に必要な情報を要求し、認証に成功した場合に限りアプリケーションサーバ群へのアクセスを許可する手段と、
を有するアプリケーション認証アクセス制御サーバ。 - 前記ネットワーク認証アクセス制御サーバからの指示に従って特定の利用者に対する認証を無効にする手段をさらに有する、請求項5記載のアプリケーション認証アクセス制御サーバ。
- 請求項1または2に記載の認証機能付きパケット通信装置と、請求項3または4に記載のネットワーク認証アクセス制御サーバと、請求項5または6に記載のアプリケーション認証アクセス制御サーバと、転送ノード、および、リモートアクセスサーバとから構成される分散型認証アクセス制御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003030674A JP3953963B2 (ja) | 2003-02-07 | 2003-02-07 | 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、および分散型認証アクセス制御システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003030674A JP3953963B2 (ja) | 2003-02-07 | 2003-02-07 | 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、および分散型認証アクセス制御システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004240819A true JP2004240819A (ja) | 2004-08-26 |
| JP3953963B2 JP3953963B2 (ja) | 2007-08-08 |
Family
ID=32957495
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003030674A Expired - Fee Related JP3953963B2 (ja) | 2003-02-07 | 2003-02-07 | 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、および分散型認証アクセス制御システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3953963B2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006319905A (ja) * | 2005-05-16 | 2006-11-24 | Nakayo Telecommun Inc | リモートアクセス中継サーバ |
| EP2154861A2 (en) | 2008-08-13 | 2010-02-17 | Hitachi Ltd. | Authentication coordination system, terminal apparatus, storage medium, authentication coordination method, and authentication coordination program |
| WO2011089712A1 (ja) * | 2010-01-22 | 2011-07-28 | 富士通株式会社 | 認証方法、認証システムおよび認証プログラム |
| CN101160839B (zh) * | 2005-03-11 | 2013-01-16 | 富士通株式会社 | 接入控制方法、接入控制系统以及分组通信装置 |
| JP2016063417A (ja) * | 2014-09-18 | 2016-04-25 | 富士フイルム株式会社 | Vpnアクセス制御システム、その作動方法及びプログラム、並びにvpnルータ及びサーバ |
| JP2020004434A (ja) * | 2019-09-02 | 2020-01-09 | ビッグローブ株式会社 | 認証システム、認証方法およびプログラム |
-
2003
- 2003-02-07 JP JP2003030674A patent/JP3953963B2/ja not_active Expired - Fee Related
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101160839B (zh) * | 2005-03-11 | 2013-01-16 | 富士通株式会社 | 接入控制方法、接入控制系统以及分组通信装置 |
| JP2006319905A (ja) * | 2005-05-16 | 2006-11-24 | Nakayo Telecommun Inc | リモートアクセス中継サーバ |
| JP4575836B2 (ja) * | 2005-05-16 | 2010-11-04 | 株式会社ナカヨ通信機 | 中継サーバ |
| EP2154861A2 (en) | 2008-08-13 | 2010-02-17 | Hitachi Ltd. | Authentication coordination system, terminal apparatus, storage medium, authentication coordination method, and authentication coordination program |
| US8341703B2 (en) | 2008-08-13 | 2012-12-25 | Hitachi, Ltd. | Authentication coordination system, terminal apparatus, storage medium, authentication coordination method, and authentication coordination program |
| WO2011089712A1 (ja) * | 2010-01-22 | 2011-07-28 | 富士通株式会社 | 認証方法、認証システムおよび認証プログラム |
| JP5375976B2 (ja) * | 2010-01-22 | 2013-12-25 | 富士通株式会社 | 認証方法、認証システムおよび認証プログラム |
| JP2016063417A (ja) * | 2014-09-18 | 2016-04-25 | 富士フイルム株式会社 | Vpnアクセス制御システム、その作動方法及びプログラム、並びにvpnルータ及びサーバ |
| JP2020004434A (ja) * | 2019-09-02 | 2020-01-09 | ビッグローブ株式会社 | 認証システム、認証方法およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3953963B2 (ja) | 2007-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4023240B2 (ja) | ユーザ認証システム | |
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| US7735129B2 (en) | Firewall device | |
| CN100388739C (zh) | 实现dhcp地址安全分配的方法及系统 | |
| CN111107171B (zh) | Dns服务器的安全防御方法及装置、通信设备及介质 | |
| JPWO2004105333A1 (ja) | 安全な仮想プライベート・ネットワーク | |
| EP2512087B1 (en) | Method and system for accessing network through public device | |
| JP2011154622A (ja) | アクセス制御システム及びアクセス制御方法 | |
| CN101141492A (zh) | 实现dhcp地址安全分配的方法及系统 | |
| JP2009163546A (ja) | ゲートウェイ、中継方法及びプログラム | |
| JP3973961B2 (ja) | 無線ネットワーク接続システム、端末装置、リモートアクセスサーバ及び認証機能装置 | |
| JP2002118562A (ja) | 認証拒否端末に対し特定条件でアクセスを許容するlan | |
| WO2010000157A1 (zh) | 接入设备的配置方法、装置及系统 | |
| JP2002123491A (ja) | 認証代行方法、認証代行装置、及び認証代行システム | |
| JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
| KR20030053280A (ko) | 공중 무선랜 서비스를 위한 망접속 및 서비스 등록 방법 | |
| JP5451903B2 (ja) | 公共設備においてネットワークにアクセスする方法及びシステム | |
| JP3953963B2 (ja) | 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、および分散型認証アクセス制御システム | |
| JP4152753B2 (ja) | ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム | |
| JP4149745B2 (ja) | 認証アクセス制御サーバ装置、認証アクセス制御方法、認証アクセス制御プログラム及びそのプログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| JP2003324457A (ja) | アクセス制御装置、方法、プログラムおよび記録媒体 | |
| JP4878043B2 (ja) | アクセス制御システム、接続制御装置および接続制御方法 | |
| JP3645844B2 (ja) | 中継接続方式およびネットワークレベル認証サーバおよびゲートウェイ装置および情報サーバおよびプログラム | |
| CN116074125B (zh) | 一种端到端的密码中台零信任安全网关系统 | |
| JP6920614B2 (ja) | 本人認証装置、本人認証システム、本人認証プログラム、および、本人認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050125 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050617 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070131 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070323 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070418 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070425 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100511 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110511 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120511 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |