JP2021096512A - Authentication server and authentication system - Google Patents

Authentication server and authentication system Download PDF

Info

Publication number
JP2021096512A
JP2021096512A JP2019225518A JP2019225518A JP2021096512A JP 2021096512 A JP2021096512 A JP 2021096512A JP 2019225518 A JP2019225518 A JP 2019225518A JP 2019225518 A JP2019225518 A JP 2019225518A JP 2021096512 A JP2021096512 A JP 2021096512A
Authority
JP
Japan
Prior art keywords
authentication
registration
server
input
directory server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019225518A
Other languages
Japanese (ja)
Other versions
JP7227891B2 (en
Inventor
馨 江藤
Kaoru Eto
馨 江藤
浩志 西野宮
Hiroshi Nishinomiya
浩志 西野宮
功克 柴田
Isakatsu Shibata
功克 柴田
秀隆 益子
Hidetaka Masuko
秀隆 益子
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HC Networks Ltd
Original Assignee
HC Networks Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by HC Networks Ltd filed Critical HC Networks Ltd
Priority to JP2019225518A priority Critical patent/JP7227891B2/en
Publication of JP2021096512A publication Critical patent/JP2021096512A/en
Application granted granted Critical
Publication of JP7227891B2 publication Critical patent/JP7227891B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

To provide an authentication server capable of improving user convenience.SOLUTION: An authentication server 12 includes an ID retrieval unit and an inquiry unit, receives an authentication request for an input ID (IDi) and an input password PWi input by a user, and inquires the authentication success or failure to an external directory server 13. The directory server 13 keeps a correspondence relation of a first registration ID (IDr(1)), a second registration ID (IDr(2)), and a registration password determined for an identical user. The ID retrieval unit transmits a retrieval request for the first registration ID (IDr(1)) to the directory server 13 under a state where an attribute of the input ID (IDi) is set to the second registration ID (IDr(2)), and acquires the first registration ID (IDr(1)). The inquiry unit inquires the authentication success or failure of the first registration ID (IDr(1)) acquired by the ID retrieval unit and the input password PWi to the directory server 13.SELECTED DRAWING: Figure 2

Description

本発明は、認証サーバおよび認証システムに関し、例えば、RADIUS(Remote Authentication Dial In User Service)サーバを用いた認証技術に関する。 The present invention relates to an authentication server and an authentication system, for example, an authentication technique using a RADIUS (Remote Authentication Dial In User Service) server.

特許文献1には、認証サーバに対してユーザ認証を求める画像処理装置が示される。当該画像処理装置は、ユーザによって入力されたユーザIDを検索キーとしてディレクトリサーバに検索要求を送信することで認証用ユーザIDを取得し、当該認証用ユーザIDを用いて認証サーバに対してユーザ認証を求める。これにより、ユーザは、ディレクトリサーバ上で認証用ユーザIDに対応付けられる各種ユーザ属性(電話番号、社員番号等)の中の予め定めた一つ属性をユーザIDとして入力すればよく、認証用ユーザIDが長い場合等でユーザIDの入力操作を簡単にすることができる。 Patent Document 1 discloses an image processing device that requires an authentication server to authenticate a user. The image processing device acquires an authentication user ID by sending a search request to the directory server using the user ID input by the user as a search key, and uses the authentication user ID to authenticate the user to the authentication server. Ask for. As a result, the user only has to input one predetermined attribute among various user attributes (telephone number, employee number, etc.) associated with the authentication user ID on the directory server as the user ID, and the authentication user. When the ID is long, the user ID input operation can be simplified.

特開2007−128208号公報Japanese Unexamined Patent Publication No. 2007-128208

ネットワーク認証を行う認証サーバとして、RADIUSサーバが広く知られている。このような認証サーバは、正しいID(ユーザ識別子)およびパスワードが予め登録されたアカウントデータベース(アカウントDBと略す)に基づいて、IDおよびパスワードを入力したユーザに対するネットワーク認証を行う。アカウントDBは、認証サーバ内に設けられる場合の他に、Active Directory(登録商標)サーバ(ADサーバと略す)を代表とする外部のディレクトリサーバに設けられる場合がある。後者の場合、認証サーバは、ディレクトリサーバと連携してネットワーク認証を行う。 A RADIUS server is widely known as an authentication server that performs network authentication. Such an authentication server performs network authentication for a user who has entered an ID and password based on an account database (abbreviated as account DB) in which a correct ID (user identifier) and password are registered in advance. The account DB may be provided in an external directory server represented by an Active Directory (registered trademark) server (abbreviated as AD server) in addition to the case where it is provided in the authentication server. In the latter case, the authentication server cooperates with the directory server to perform network authentication.

一方、ユーザは、例えば、“samAccountName”や“UserPrincipalName”といったように、異なる2種類のIDを有する場合がある。ただし、特に、認証サーバがディレクトリサーバと連携してネットワーク認証を行う場合、各種条件に応じて、例えば、2種類のIDの両方を使用できる場合や、一方のみを使用できる場合がある。その結果、ユーザに、IDの使い分けを要求することになり、ユーザの利便性が低下する恐れがある。 On the other hand, the user may have two different types of IDs, such as "samAccountName" and "UserPrincipalName". However, in particular, when the authentication server performs network authentication in cooperation with the directory server, depending on various conditions, for example, both types of IDs may be used, or only one of them may be used. As a result, the user is required to use the ID properly, which may reduce the convenience of the user.

本発明は、このようなことに鑑みてなされたものであり、その目的の一つは、ユーザの利便性を向上させることが可能な認証サーバおよび認証システムを提供することにある。 The present invention has been made in view of the above, and one of the objects thereof is to provide an authentication server and an authentication system capable of improving user convenience.

本発明の前記並びにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。 The above and other objects and novel features of the present invention will become apparent from the description and accompanying drawings herein.

本願において開示される発明のうち、代表的な実施の形態の概要を簡単に説明すれば、次のとおりである。 A brief description of typical embodiments of the inventions disclosed in the present application is as follows.

一実施の形態による認証サーバは、ID検索部と、問い合わせ部とを有し、ユーザによって入力された入力IDおよび入力パスワードに対する認証要求を受信し、外部のディレクトリサーバに認証成否を問い合わせる。ディレクトリサーバは、同一のユーザに対して定められる第1の登録IDと第2の登録IDと登録パスワードとの対応関係を保持する。ID検索部は、入力IDの属性を第2の登録IDに定めた状態でディレクトリサーバに第2の登録IDに対応する第1の登録IDの検索要求を送信し、ディレクトリサーバから第1の登録IDを取得する。問い合わせ部は、ID検索部で取得した第1の登録IDと、入力パスワードに対する認証成否をディレクトリサーバに問い合わせる。 The authentication server according to the embodiment has an ID search unit and an inquiry unit, receives an authentication request for an input ID and an input password input by a user, and inquires an external directory server about the success or failure of the authentication. The directory server maintains a correspondence between the first registration ID, the second registration ID, and the registration password, which are defined for the same user. The ID search unit sends a search request for the first registration ID corresponding to the second registration ID to the directory server in a state where the attribute of the input ID is set to the second registration ID, and the directory server first registers. Get an ID. The inquiry unit inquires the directory server about the first registration ID acquired by the ID search unit and the success or failure of authentication for the input password.

本願において開示される発明のうち、代表的な実施の形態によって得られる効果を簡単に説明すると、ユーザの利便性を向上させることが可能になる。 A brief description of the effects obtained by a typical embodiment of the inventions disclosed in the present application makes it possible to improve user convenience.

(a)は、本発明の実施の形態1による認証システムの主要部の構成例および動作例を示す概略図であり、(b)は、(a)におけるディレクトリサーバが備えるアカウントDBの構成例を示す概略図である。(A) is a schematic diagram showing a configuration example and an operation example of a main part of the authentication system according to the first embodiment of the present invention, and (b) is a configuration example of an account DB provided in the directory server in (a). It is a schematic diagram which shows. 図1の認証システムの概略的な動作例を示すシーケンス図である。It is a sequence diagram which shows the schematic operation example of the authentication system of FIG. 図1(a)における認証サーバの主要部の構成例を示すブロック図である。It is a block diagram which shows the configuration example of the main part of the authentication server in FIG. 1A. 図3の認証サーバにおける処理内容の一例を示すフロー図である。It is a flow chart which shows an example of the processing content in the authentication server of FIG. 図3の認証サーバにおける処理内容の他の一例を示すフロー図である。It is a flow chart which shows another example of the processing content in the authentication server of FIG. 本発明の実施の形態2による認証システムにおいて、図1(a)における認証サーバの主要部の構成例を示すブロック図である。It is a block diagram which shows the structural example of the main part of the authentication server in FIG. 1A in the authentication system according to Embodiment 2 of this invention. 図6の認証サーバにおける処理内容の一例を示すフロー図である。It is a flow chart which shows an example of the processing content in the authentication server of FIG. 図6の認証サーバにおける処理内容の他の一例を示すフロー図である。It is a flow chart which shows another example of the processing content in the authentication server of FIG.

以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. In addition, in all the drawings for explaining the embodiment, in principle, the same members are designated by the same reference numerals, and the repeated description thereof will be omitted.

(実施の形態1)
《認証システムの概略》
図1(a)は、本発明の実施の形態1による認証システムの主要部の構成例および動作例を示す概略図であり、図1(b)は、図1(a)におけるディレクトリサーバが備えるアカウントDBの構成例を示す概略図である。図1(a)に示す認証システムは、ネットワークNWに接続される認証スイッチSW、認証サーバ12およびディレクトリサーバ13と、認証スイッチSWに接続されるユーザ端末TMとを備える。ネットワークNWは、例えば、OSI参照モデルのレイヤ3(L3)のネットワーク等である。 (Embodiment 1)
<< Outline of authentication system >>
FIG. 1A is a schematic view showing a configuration example and an operation example of a main part of the authentication system according to the first embodiment of the present invention, and FIG. 1B is provided by the directory server in FIG. 1A. It is the schematic which shows the configuration example of the account DB. The authentication system shown in FIG. 1A includes an authentication switch SW, an authentication server 12, and a directory server 13 connected to the network NW, and a user terminal TM connected to the authentication switch SW. The network NW is, for example, a layer 3 (L3) network of the OSI reference model.

認証サーバ12は、例えば、RADIUSサーバである。認証スイッチSWは、RADIUSクライアントの機能を搭載したイーサネット(登録商標)スイッチ等である。ただし、RADIUSクライアントとして、認証スイッチSWの代わりに無線LANアクセスポイント等が設けられてもよい。認証スイッチSWは、例えば、ユーザ端末TMにログインページを提供する機能(Web認証機能)や、IEEE802.1Xのオーセンティケータ機能等を有する。 The authentication server 12 is, for example, a RADIUS server. The authentication switch SW is an Ethernet (registered trademark) switch or the like equipped with a RADIUS client function. However, as the RADIUS client, a wireless LAN access point or the like may be provided instead of the authentication switch SW. The authentication switch SW has, for example, a function of providing a login page to the user terminal TM (Web authentication function), an authenticator function of IEEE 802.1X, and the like.

ディレクトリサーバ13は、例えば、ADサーバ等を代表とするLDAP(Lightweight Directory Access Protocol)サーバである。ディレクトリサーバ13は、アカウントDB14を備える。アカウントDB14は、図1(b)に示されるように、同一のユーザ11に対して定められる第1の登録ID(IDr[1])と第2の登録ID(IDr[2])と登録パスワードPWrとの対応関係を保持する。例えば、ADサーバを用いる場合、第1の登録ID(IDr[1])は、“samAccountName”である。一方、第2の登録ID(IDr[2])は、“UserPrincipalName”であり、“ユーザ名@ドメイン名”のフォーマットを有する。 The directory server 13 is, for example, an LDAP (Lightweight Directory Access Protocol) server represented by an AD server or the like. The directory server 13 includes an account DB 14. As shown in FIG. 1B, the account DB 14 has a first registration ID (IDr [1]), a second registration ID (IDr [2]), and a registration password defined for the same user 11. Maintains the correspondence with PWr. For example, when using an AD server, the first registration ID (IDr [1]) is "samAccountName". On the other hand, the second registration ID (IDr [2]) is "UserPrincipalName" and has the format of "user name @ domain name".

このような構成において、認証サーバ12は、ユーザ11に対するネットワーク認証(RADIUS認証)を行う場合、ユーザ11によって入力された入力ID(IDi)および入力パスワードPWiに対する認証要求を受信し、外部のディレクトリサーバ13に認証成否を問い合わせる。 In such a configuration, when performing network authentication (RADIUS authentication) for the user 11, the authentication server 12 receives an authentication request for the input ID (IDi) and the input password PWi input by the user 11 and receives an authentication request for the input password PWi, and is an external directory server. Inquire 13 about the success or failure of the certification.

具体的には、まず、ユーザ端末TMは、例えばログインページを介してユーザ11によって入力された入力ID(IDi)および入力パスワードPWiを、認証スイッチSWに送信する(ステップS103)。これを受けて、認証スイッチSWは、入力ID(IDi)および入力パスワードPWiの認証要求を、認証サーバ12に送信する(ステップS104)。 Specifically, first, the user terminal TM transmits the input ID (IDi) and the input password PWi input by the user 11 via, for example, the login page to the authentication switch SW (step S103). In response to this, the authentication switch SW transmits an authentication request for the input ID (IDi) and the input password PWi to the authentication server 12 (step S104).

続いて、認証サーバ12は、認証要求に応じて、アカウントDB14を有するディレクトリサーバ13に、IDおよびパスワードに対する認証成否を問い合わせる(ステップS105)。ディレクトリサーバ13は、ステップS105に伴うIDおよびパスワードがアカウントDB14の登録情報と一致する場合には認証成功と判定し、不一致の場合には認証失敗と判定する。そして、ディレクトリサーバ13は、認証成否の判定結果を、問い合わせ結果として認証サーバ12に送信する(ステップS106)。 Subsequently, the authentication server 12 inquires the directory server 13 having the account DB 14 about the success or failure of the authentication for the ID and the password in response to the authentication request (step S105). The directory server 13 determines that the authentication is successful if the ID and password associated with step S105 match the registration information of the account DB 14, and determines that the authentication is unsuccessful if they do not match. Then, the directory server 13 transmits the authentication success / failure determination result to the authentication server 12 as an inquiry result (step S106).

認証サーバ12は、ディレクトリサーバ13からの問い合わせ結果(ステップS106)を認証結果として認証スイッチSWに送信する(ステップS107)。認証スイッチSWは、認証結果が認証成功を表す場合には、ユーザ端末TMのネットワークNWへの接続を許可し、認証失敗を表す場合には、ユーザ端末TMのネットワークNWへの接続を禁止する。 The authentication server 12 transmits the inquiry result (step S106) from the directory server 13 to the authentication switch SW as the authentication result (step S107). The authentication switch SW permits the connection of the user terminal TM to the network NW when the authentication result indicates success, and prohibits the connection of the user terminal TM to the network NW when the authentication result indicates failure.

ここで、ステップS103,S104に際し、ユーザ端末TM(例えばIEEE802.1Xのサプリカントソフト)または認証スイッチSWは、ネットワーク認証で用いる認証プロトコルを予め設定によって定めることができる。認証プロトコルの選択肢として、例えば、PAP(Password Authentication Protocol)や、CHAP(Challenge Handshake Authentication Protocol)の一種であるMS−CHAPv2(MicroSoft(登録商標) CHAP version2)等が挙げられる。 Here, in steps S103 and S104, the user terminal TM (for example, the supplicant software of IEEE 802.1X) or the authentication switch SW can determine the authentication protocol used for network authentication in advance by setting. Examples of the authentication protocol options include PAP (Password Authentication Protocol) and MS-CHAPv2 (MicroSoft (registered trademark) CHAP version 2), which is a type of CHAP (Challenge Handshake Authentication Protocol).

PAPは、入力パスワードPWiを平文で送信する方式を用いている。一方、MS−CHAPv2は、チャレンジ/レスポンス方式を用いている。この場合、入力パスワードPWiは、規定のハッシュ関数、および予め受信した乱数(チャレンジ情報)等によって暗号化された上で、レスポンス情報としてユーザ端末TMから送信される。 PAP uses a method of transmitting the input password PWi in plain text. On the other hand, MS-CHAPv2 uses a challenge / response method. In this case, the input password PWi is encrypted by a specified hash function, a random number (challenge information) received in advance, and then transmitted from the user terminal TM as response information.

また、ステップS105に際し、認証サーバ12は、ステップS104での入力パスワードPWiに適用されている認証プロトコルがPAPの場合、当該入力パスワードPWiを含むアカウントの認証成否をケルベロス認証方式、またはLDAP_bindコマンドを用いたLDAP認証方式等を用いてディレクトリサーバ13に問い合わせる。このような認証プロトコルと認証方式との対応関係は、パスワードが平文であることが要因となっている。 Further, in step S105, when the authentication protocol applied to the input password PWi in step S104 is PAP, the authentication server 12 uses the Kerberos authentication method or the LDAP_bind command to determine the success or failure of authentication of the account including the input password PWi. The directory server 13 is inquired using the LDAP authentication method or the like. The correspondence between such an authentication protocol and an authentication method is due to the fact that the password is in plain text.

一方、認証サーバ12は、ステップS104での入力パスワードPWiに適用されている認証プロトコルがMS−CHAPv2の場合、当該入力パスワードPWiを含むアカウントの認証成否をNTLM(NT LAN Manager authentication)認証方式等を用いてディレクトリサーバ13に問い合わせる。このような認証プロトコルと認証方式との対応関係は、パスワードが暗号化されていることが要因となっている。NTLM認証方式では、MS−CHAPv2と同様のチャレンジ/レスポンス方式が用いられる。 On the other hand, when the authentication protocol applied to the input password PWi in step S104 is MS-CHAPv2, the authentication server 12 uses an NTLM (NT LAN Manager authentication) authentication method or the like to determine the success or failure of authentication of the account including the input password PWi. Use to query the directory server 13. The correspondence between such an authentication protocol and an authentication method is due to the fact that the password is encrypted. In the NTLM authentication method, a challenge / response method similar to MS-CHAPv2 is used.

《前提となる問題点》
ここで、例えば、ADサーバ等のディレクトリサーバ13において、ケルベロス認証方式は、“samAccountName”といった第1の登録ID(IDr[1])にも、“UserPrincipalName”といった第2の登録ID(IDr[2])にも対応する方式となっている。一方、NTLM認証方式は、第1の登録ID(IDr[1])に対応し、第2の登録ID(IDr[2])に対応しない方式となっている。 << Prerequisite problems >>
Here, for example, in a directory server 13 such as an AD server, the Kerberos authentication method includes a first registration ID (IDr [1]) such as "samAccountName" and a second registration ID (IDr [2]) such as "UserPrincipalName". ]) Is also supported. On the other hand, the NTLM authentication method corresponds to the first registration ID (IDr [1]) and does not correspond to the second registration ID (IDr [2]).

このため、ネットワーク認証で用いる認証プロトコルとしてPAPが設定されている場合(ひいては、認証サーバ12がケルベロス認証方式でADサーバに問い合わせる場合)には、特に問題は生じない。すなわち、ユーザ11がログインページに入力する入力ID(IDi)として、第1の登録ID(IDr[1])と第2の登録ID(IDr[2])のいずれを入力した場合でも、ADサーバは、ネットワーク認証の認証成否を正しく判定することができる。 Therefore, when PAP is set as the authentication protocol used in network authentication (and by extension, when the authentication server 12 inquires of the AD server by the Kerberos authentication method), no particular problem occurs. That is, regardless of whether the first registration ID (IDr [1]) or the second registration ID (IDr [2]) is input as the input ID (IDi) that the user 11 inputs to the login page, the AD server Can correctly determine the success or failure of network authentication.

しかし、ネットワーク認証で用いる認証プロトコルとしてMS−CHAPv2が設定されている場合(ひいては、認証サーバ12がNTLM認証方式でADサーバに問い合わせる場合)には、問題が生じる。すなわち、ユーザ11がログインページに入力する入力ID(IDi)として第2の登録ID(IDr[2])を入力した場合、ADサーバは、ネットワーク認証の認証可否を正しく判定することができない。 However, when MS-CHAPv2 is set as the authentication protocol used in network authentication (and by extension, when the authentication server 12 inquires of the AD server by the NTLM authentication method), a problem arises. That is, when the user 11 inputs the second registration ID (IDr [2]) as the input ID (IDi) input to the login page, the AD server cannot correctly determine whether or not the network authentication can be authenticated.

その結果、ユーザ11の利便性が低下する恐れがある。具体的には、ネットワーク認証において、MS−CHAPv2は、ケルベロス認証方式等と比較して古い方式であるが、実用上、例えば、ユーザ端末TMが旧式である場合を代表に、様々な場合で多く用いられている。一方、ユーザ11は、このような認証プロトコルの違いに伴うIDの使い分けを行うことなく、第1の登録ID(IDr[1])と第2の登録ID(IDr[2])のいずれを用いてもネットワーク認証が正しく行われることを望む。 As a result, the convenience of the user 11 may be reduced. Specifically, in network authentication, MS-CHAPv2 is an old method as compared with the Kerberos authentication method and the like, but in practical use, for example, in many cases, for example, when the user terminal TM is old. It is used. On the other hand, the user 11 uses either the first registration ID (IDr [1]) or the second registration ID (IDr [2]) without properly using the ID due to the difference in the authentication protocol. I also hope that network authentication will be done correctly.

また、近年では、ユーザ11は、例えば、ディレクトリサーバ13に対するドメイン認証等の際に、“UserPrincipalName”といった第2の登録ID(IDr[2])を使用する機会が多い。このような状況のもと、ユーザ11は、MS−CHAPv2が適用されている場合には、例えば、ネットワーク認証時のみでログインページに第1の登録ID(IDr[1])を入力しなければならない。 Further, in recent years, the user 11 has many opportunities to use a second registration ID (IDr [2]) such as "UserPrincipalName" at the time of domain authentication for the directory server 13, for example. Under such a situation, when MS-CHAPv2 is applied, the user 11 must enter the first registration ID (IDr [1]) on the login page only at the time of network authentication, for example. It doesn't become.

《認証システムの概略動作(実施の形態1)》
図2は、図1の認証システムの概略的な動作例を示すシーケンス図である。図2において、ステップS103,S104およびステップS106,S107に関しては、図1の場合と同様である。図2において、認証スイッチSWは、ユーザ端末TMからの未知の通信接続を検知すると(ステップS101)、ユーザ端末TMに、ログインページのURLを応答することでユーザ端末TMにログインページを表示させる(ステップS102)。 << Schematic operation of the authentication system (Embodiment 1) >>
FIG. 2 is a sequence diagram showing a schematic operation example of the authentication system of FIG. In FIG. 2, steps S103 and S104 and steps S106 and S107 are the same as in FIG. In FIG. 2, when the authentication switch SW detects an unknown communication connection from the user terminal TM (step S101), the authentication switch SW causes the user terminal TM to display the login page by responding to the URL of the login page (step S101). Step S102).

これに応じて、ユーザ11は、ユーザ端末TMに表示されたログインページに自身のアカウント(すなわち、入力ID(IDi)および入力パスワードPWi)を入力し、ユーザ端末TMは、当該入力されたアカウントを認証スイッチSWに送信する(ステップS103)。認証スイッチSWは、入力されたアカウントの認証要求を認証サーバ12に送信する(ステップS104)。ここで、認証サーバ12は、認証スイッチSWからの認証要求を受けて、ディレクトリサーバ13に認証成否を問い合わせる(ステップS105)。 In response to this, the user 11 inputs his / her own account (that is, the input ID (IDi) and the input password PWi) on the login page displayed on the user terminal TM, and the user terminal TM inputs the input account. It is transmitted to the authentication switch SW (step S103). The authentication switch SW transmits the input authentication request for the account to the authentication server 12 (step S104). Here, the authentication server 12 receives an authentication request from the authentication switch SW and inquires the directory server 13 about the success or failure of the authentication (step S105).

このステップS105の際に、認証サーバ12は、まず、入力ID(IDi)の属性を第2の登録ID(IDr[2])に定めた状態で、当該入力ID(IDi)を検索キーとして、ディレクトリサーバ13(すなわちアカウントDB14)に第2の登録ID(IDr[2])に対応する第1の登録ID(IDr[1])の検索要求を送信する(ステップS201)。この要求に対する応答によって、認証サーバ12は、ディレクトリサーバ13から第1の登録ID(IDr[1])を取得する(ステップS202)。 At the time of this step S105, the authentication server 12 first sets the attribute of the input ID (IDi) to the second registration ID (IDr [2]), and uses the input ID (IDi) as the search key. A search request for the first registration ID (IDr [1]) corresponding to the second registration ID (IDr [2]) is transmitted to the directory server 13 (that is, the account DB 14) (step S201). In response to this request, the authentication server 12 acquires the first registration ID (IDr [1]) from the directory server 13 (step S202).

この検索要求には、例えば、LDAP検索(具体的にはldapsearchコマンド等)が用いられる。そして、認証サーバ12は、取得した第1の登録ID(IDr[1])と、入力パスワードPWiに対する認証成否を、所定の認証方式(例えば、ケルベロス認証方式またはNTLM認証方式)を用いてディレクトリサーバ13に問い合わせる(ステップS203)。 For this search request, for example, an LDAP search (specifically, an ldap search command or the like) is used. Then, the authentication server 12 uses a predetermined authentication method (for example, Kerberos authentication method or NTLM authentication method) to determine the success or failure of the authentication for the acquired first registration ID (IDr [1]) and the input password PWi. Inquire at 13 (step S203).

なお、ステップS201において、認証サーバ12は、入力ID(IDi)の属性(LDAP属性)を第2の登録ID(IDr[2])に定めた状態でディレクトリサーバ13に検索要求を送信した。ただし、例えば、入力ID(IDi)が第1の登録ID(IDr[1])である場合等で、ディレクトリサーバ13から第1の登録ID(IDr[1])を取得できないことがある。このような場合(例えば、ディレクトリサーバ13からエラーが応答された場合)、認証サーバ12は、入力ID(IDi)を第1の登録ID(IDr[1])とみなしてステップS203の処理を行えばよい。 In step S201, the authentication server 12 transmits a search request to the directory server 13 in a state where the attribute (LDAP attribute) of the input ID (IDi) is set to the second registration ID (IDr [2]). However, for example, when the input ID (IDi) is the first registration ID (IDr [1]), the first registration ID (IDr [1]) may not be acquired from the directory server 13. In such a case (for example, when an error is returned from the directory server 13), the authentication server 12 regards the input ID (IDi) as the first registration ID (IDr [1]) and performs the process of step S203. Just do it.

続いて、ディレクトリサーバ13は、ステップS105(ステップS203)での認証成否の問い合わせに応じて、アカウントDB14の登録内容に基づいて認証成否を判定し、その判定結果を問い合わせ結果として認証サーバ12に応答する(ステップS106)。認証サーバ12は、ステップS104での認証要求に対する認証結果として、ディレクトリサーバ13からの問い合わせ結果を認証スイッチSWに応答する(ステップS107)。 Subsequently, the directory server 13 determines the authentication success / failure based on the registered contents of the account DB 14 in response to the authentication success / failure inquiry in step S105 (step S203), and responds to the authentication server 12 with the determination result as the inquiry result. (Step S106). The authentication server 12 responds to the authentication switch SW with the inquiry result from the directory server 13 as the authentication result for the authentication request in step S104 (step S107).

ステップS108において、認証スイッチSWは、認証サーバ12からの認証結果が認証成功を表す場合には、例えば、ユーザ端末TMが接続されているポートを開放すること等でネットワークNWへの接続を許可する。一方、認証スイッチSWは、認証サーバ12からの認証結果が認証失敗を表す場合には、例えば、ユーザ端末TMが接続されているポートを閉塞すること等でネットワークNWへの接続を禁止する。 In step S108, when the authentication result from the authentication server 12 indicates successful authentication, the authentication switch SW permits connection to the network NW by, for example, opening the port to which the user terminal TM is connected. .. On the other hand, when the authentication result from the authentication server 12 indicates an authentication failure, the authentication switch SW prohibits the connection to the network NW by, for example, blocking the port to which the user terminal TM is connected.

このように、認証サーバ12は、ステップS201,S202においてディレクトリサーバ13から第1の登録ID(IDr[1])を取得することで、仮に、入力ID(IDi)が第2の登録ID(IDr[2])であったとしても、対応する第1の登録ID(IDr[1])を用いて認証成否を問い合わせることができる(ステップS203)。その結果、この認証成否の問い合わせがケルベロス認証方式に限らずNTLM認証方式で行われる場合であっても、ディレクトリサーバ13は、正しく認証成否を判定することが可能になる。 In this way, the authentication server 12 acquires the first registration ID (IDr [1]) from the directory server 13 in steps S201 and S202, so that the input ID (IDi) is assumed to be the second registration ID (IDr [1]). Even if it is [2]), it is possible to inquire whether the authentication is successful or not by using the corresponding first registration ID (IDr [1]) (step S203). As a result, even when this authentication success / failure inquiry is made not only by the Kerberos authentication method but also by the NTLM authentication method, the directory server 13 can correctly determine the authentication success / failure.

《認証サーバの構成》
図3は、図1(a)における認証サーバの主要部の構成例を示すブロック図である。図3に示す認証サーバ12aは、認証プロトコル判別部20と、対象ID決定部21と、問い合わせ部22とを有する。これらの各部は、例えば、認証サーバ12a内のCPU(Central Processing Unit)を用いたプログラム処理によって実装される。ただし、場合によっては、これらの一部または全ては、FPGA(Field Programmable Gate Array)やASIC(Application Specific Integrated Circuit)等のハードウェアで実装されてもよい。すなわち、これらの各部は、ハードウェアまたはソフトウェアあるいはその組合せを用いて適宜実装されればよい。 << Configuration of authentication server >>
FIG. 3 is a block diagram showing a configuration example of a main part of the authentication server in FIG. 1A. The authentication server 12a shown in FIG. 3 has an authentication protocol determination unit 20, a target ID determination unit 21, and an inquiry unit 22. Each of these parts is implemented by, for example, program processing using a CPU (Central Processing Unit) in the authentication server 12a. However, depending on the case, some or all of them may be implemented by hardware such as FPGA (Field Programmable Gate Array) or ASIC (Application Specific Integrated Circuit). That is, each of these parts may be appropriately implemented using hardware, software, or a combination thereof.

認証プロトコル判別部20は、入力パスワードPWiに適用されている認証プロトコルが第1の認証プロトコル(例えばPAP)か第2の認証プロトコル(例えばMS−CHAPv2)かを判別する。具体的には、認証プロトコル判別部20は、例えば、受信したフレームに含まれるPPP(Point to Point Protocol)ヘッダの情報等に基づいて認証プロトコルを判別する。 The authentication protocol determination unit 20 determines whether the authentication protocol applied to the input password PWi is the first authentication protocol (for example, PAP) or the second authentication protocol (for example, MS-CHAPv2). Specifically, the authentication protocol determination unit 20 determines the authentication protocol based on, for example, information in the PPP (Point to Point Protocol) header included in the received frame.

対象ID決定部21は、問い合わせ部22の問い合わせ対象となる対象ID(IDq)を決定する。具体的には、対象ID決定部21は、ID検索部25を備える。ID検索部25は、前述したように、入力ID(IDi)の属性を第2の登録ID(IDr[2])に定めた状態でディレクトリサーバ13(アカウントDB14)に第1の登録ID(IDr[1])の検索要求を送信することで、第1の登録ID(IDr[1])を取得する。すなわち、ID検索部25は、例えば、認証プロトコル判別部20の判別結果に関わらず、常に、ディレクトリサーバ13に検索要求を送信する。そして、対象ID決定部21は、ID検索部25で取得した第1の登録ID(IDr[1])を対象ID(IDq)に定める。 The target ID determination unit 21 determines the target ID (IDq) to be inquired by the inquiry unit 22. Specifically, the target ID determination unit 21 includes an ID search unit 25. As described above, the ID search unit 25 sets the attribute of the input ID (IDi) in the second registration ID (IDr [2]) and sets the first registration ID (IDr) in the directory server 13 (account DB 14). By transmitting the search request of [1]), the first registration ID (IDr [1]) is acquired. That is, the ID search unit 25 always transmits a search request to the directory server 13, regardless of the determination result of the authentication protocol determination unit 20, for example. Then, the target ID determination unit 21 sets the first registration ID (IDr [1]) acquired by the ID search unit 25 as the target ID (IDq).

一方、対象ID決定部21は、認証プロトコル判別部20の判別結果に基づいて対象ID(IDq)を定めてもよい。具体的には、ID検索部25は、認証プロトコル判別部20の判別結果が第1の認証プロトコル(PAP)である場合には、ディレクトリサーバ13に検索要求を送信しない構成であってもよい。この場合、対象ID決定部21は、入力ID(IDi)を対象ID(IDq)に定める。すなわち、PAPに対応するケルベロス認証方式等では、対象ID(IDq)として、第1の登録ID(IDr[1])と第2の登録ID(IDr[2])のいずれを用いることも可能である。 On the other hand, the target ID determination unit 21 may determine the target ID (IDq) based on the determination result of the authentication protocol determination unit 20. Specifically, the ID search unit 25 may be configured not to send a search request to the directory server 13 when the determination result of the authentication protocol determination unit 20 is the first authentication protocol (PAP). In this case, the target ID determination unit 21 sets the input ID (IDi) as the target ID (IDq). That is, in the Kerberos authentication method or the like corresponding to PAP, it is possible to use either the first registration ID (IDr [1]) or the second registration ID (IDr [2]) as the target ID (IDq). is there.

問い合わせ部22は、対象ID決定部21で定められた対象ID(IDq)と、入力パスワードPWiに対する認証成否をディレクトリサーバ13に問い合わせる。この際に、問い合わせ部22は、認証プロトコル判別部20の判別結果が第1の認証プロトコル(PAP)である場合にはディレクトリサーバ13との間で第1の認証方式(ケルベロス認証方式等)を用いて認証成否を問い合わせる。一方、問い合わせ部22は、認証プロトコル判別部20の判別結果が第2の認証プロトコル(MS−CHAPv2)である場合にはディレクトリサーバ13との間で第2の認証方式(NTLM認証方式等)を用いて認証成否を問い合わせる。 The inquiry unit 22 inquires the directory server 13 about the target ID (IDq) determined by the target ID determination unit 21 and the success or failure of authentication for the input password PWi. At this time, when the determination result of the authentication protocol determination unit 20 is the first authentication protocol (PAP), the inquiry unit 22 uses the first authentication method (Kerberos authentication method, etc.) with the directory server 13. Use to inquire about the success or failure of certification. On the other hand, when the determination result of the authentication protocol determination unit 20 is the second authentication protocol (MS-CHAPv2), the inquiry unit 22 uses a second authentication method (NTLM authentication method or the like) with the directory server 13. Use to inquire about the success or failure of certification.

この際に、対象ID(IDq)は、前述した対象ID決定部21の処理に伴い、第2の認証方式(NTLM認証方式等)を用いて認証成否の問い合わせが行われる場合には、第1の登録ID(IDr[1])に定められる。一方、対象ID(IDq)は、第1の認証方式(ケルベロス認証方式等)を用いて認証成否の問い合わせが行われる場合には、ID検索部25を介して第1の登録ID(IDr[1])に定められるか、または、ID検索部25を介さずに入力ID(IDi)に定められる。 At this time, the target ID (IDq) is the first when an inquiry for success or failure of authentication is made using a second authentication method (NTLM authentication method or the like) in connection with the processing of the target ID determination unit 21 described above. It is defined in the registration ID (IDr [1]) of. On the other hand, when the target ID (IDq) is inquired about the success or failure of authentication using the first authentication method (Kerberos authentication method or the like), the target ID (IDq) is the first registered ID (IDr [1 ]), Or it is defined in the input ID (IDi) without going through the ID search unit 25.

《認証サーバの動作[1]》
図4は、図3の認証サーバにおける処理内容の一例を示すフロー図である。図4において、認証サーバ12aは、ユーザ11によって入力されたアカウント(入力ID(IDi)および入力パスワードPWi)に対する認証スイッチSWからの認証要求を受信する(ステップS104)。これを受けて、認証プロトコル判別部20は、入力パスワードPWiに適用されている認証プロトコルがPAP(第1の認証プロトコル)かMS−CHAPv2(第2の認証プロトコル)かを判別する(ステップS301,S306)。 << Operation of authentication server [1] >>
FIG. 4 is a flow chart showing an example of processing contents in the authentication server of FIG. In FIG. 4, the authentication server 12a receives an authentication request from the authentication switch SW for the account (input ID (IDi) and input password PWi) input by the user 11 (step S104). In response to this, the authentication protocol determination unit 20 determines whether the authentication protocol applied to the input password PWi is PAP (first authentication protocol) or MS-CHAPv2 (second authentication protocol) (step S301, S306).

認証プロトコル判別部20の判別結果がPAPである場合(ステップS301:Yes)、ID検索部25は、入力ID(IDi)の属性を第2の登録ID(IDr[2])に定めた状態で、ディレクトリサーバ13に、対応する第1の登録ID(IDr[1])の検索要求を送信することで第1の登録ID(IDr[1])を取得する(ステップS302)。そして、第1の登録ID(IDr[1])を取得できた場合(ステップS303:Yes)、問い合わせ部22は、取得された第1の登録ID(IDr[1])と、入力パスワードPWiに対する認証成否を、ケルベロス認証方式を用いてディレクトリサーバ13に問い合わせる(ステップS304)。 When the determination result of the authentication protocol determination unit 20 is PAP (step S301: Yes), the ID search unit 25 sets the attribute of the input ID (IDi) to the second registration ID (IDr [2]). , The first registration ID (IDr [1]) is acquired by transmitting the search request for the corresponding first registration ID (IDr [1]) to the directory server 13 (step S302). Then, when the first registration ID (IDr [1]) can be acquired (step S303: Yes), the inquiry unit 22 receives the acquired first registration ID (IDr [1]) and the input password PWi. The directory server 13 is inquired about the success or failure of the authentication using the Kerberos authentication method (step S304).

一方、ステップS302で第1の登録ID(IDr[1])を取得できなかった場合(ステップS303:No)、問い合わせ部22は、入力ID(IDi)と入力パスワードPWiに対する認証成否を、ケルベロス認証方式を用いてディレクトリサーバ13に問い合わせる(ステップS305)。第1の登録ID(IDr[1])を取得できなかった場合とは、例えば、入力ID(IDi)が第1の登録ID(IDr[1])である場合や、入力ID(IDi)が第1の登録ID(IDr[1])および第2の登録ID(IDr[2])のいずれにも該当しない場合等である。 On the other hand, when the first registration ID (IDr [1]) cannot be acquired in step S302 (step S303: No), the inquiry unit 22 certifies the success or failure of the authentication for the input ID (IDi) and the input password PWi by Kerberos authentication. The directory server 13 is inquired using the method (step S305). The case where the first registration ID (IDr [1]) cannot be acquired means, for example, that the input ID (IDi) is the first registration ID (IDr [1]) or the input ID (IDi) is This is a case where neither the first registration ID (IDr [1]) nor the second registration ID (IDr [2]) is applicable.

また、認証プロトコル判別部20の判別結果がMS−CHAPv2である場合(ステップS306:Yes)、ID検索部25は、ステップS302の場合と同様、ディレクトリサーバ13に、入力ID(IDi)に対応する第1の登録ID(IDr[1])の検索要求を送信することで第1の登録ID(IDr[1])を取得する(ステップS307)。すなわち、ID検索部25は、認証プロトコル判別部20の判別結果がPAPであるか(ステップS301:Yes)、MS−CHAPv2であるか(ステップS306:Yes)に関わらず、常に、ディレクトリサーバ13に検索要求を送信する。 Further, when the determination result of the authentication protocol determination unit 20 is MS-CHAPv2 (step S306: Yes), the ID search unit 25 corresponds to the input ID (IDi) in the directory server 13 as in the case of step S302. The first registration ID (IDr [1]) is acquired by transmitting the search request for the first registration ID (IDr [1]) (step S307). That is, the ID search unit 25 always sends the authentication protocol determination unit 20 to the directory server 13 regardless of whether the determination result is PAP (step S301: Yes) or MS-CHAPv2 (step S306: Yes). Send a search request.

ステップS307で第1の登録ID(IDr[1])を取得できた場合(ステップS308:Yes)、問い合わせ部22は、取得された第1の登録ID(IDr[1])と、入力パスワードPWiに対する認証成否を、NTLM認証方式を用いてディレクトリサーバ13に問い合わせる(ステップS309)。一方、ステップS307で第1の登録ID(IDr[1])を取得できなかった場合(ステップS308:No)、問い合わせ部22は、入力ID(IDi)と入力パスワードPWiに対する認証成否を、NTLM認証方式を用いてディレクトリサーバ13に問い合わせる(ステップS310)。 When the first registration ID (IDr [1]) can be acquired in step S307 (step S308: Yes), the inquiry unit 22 uses the acquired first registration ID (IDr [1]) and the input password PWi. The directory server 13 is inquired about the success or failure of the authentication for the above using the NTLM authentication method (step S309). On the other hand, when the first registration ID (IDr [1]) cannot be acquired in step S307 (step S308: No), the inquiry unit 22 verifies the success or failure of the authentication for the input ID (IDi) and the input password PWi by NTLM authentication. The directory server 13 is inquired using the method (step S310).

なお、認証プロトコル判別部20の判別結果がPAPでもMS−CHAPv2でもない場合(ステップS306:No)、認証サーバ12aは、例えば、所定のエラー処理等を実行する(ステップS311)。 When the determination result of the authentication protocol determination unit 20 is neither PAP nor MS-CHAPv2 (step S306: No), the authentication server 12a executes, for example, a predetermined error processing (step S311).

このような処理を用いると、原則として、第1の登録ID(IDr[1])を対象に、ディレクトリサーバ13に対する認証成否の問い合わせが行われる。その結果、ユーザが入力ID(IDi)として第1の登録ID(IDr[1])または第2の登録ID(IDr[2])のいずれを入力した場合でも、ネットワーク認証の認証可否を正しく判定することができ、ユーザの利便性を向上させることが可能になる。 When such a process is used, in principle, the directory server 13 is inquired about the success or failure of authentication for the first registration ID (IDr [1]). As a result, regardless of whether the user inputs either the first registration ID (IDr [1]) or the second registration ID (IDr [2]) as the input ID (IDi), it is correctly determined whether or not the network authentication can be authenticated. It becomes possible to improve the convenience of the user.

《認証サーバの動作[2]》
図5は、図3の認証サーバにおける処理内容の他の一例を示すフロー図である。図5に示すフローは、図4に示したフローと比較して、ステップS302〜S304が削除されたものとなっている。すなわち、認証プロトコル判別部20の判別結果がPAPである場合(ステップS301:Yes)、ID検索部25は、図4の場合と異なりディレクトリサーバ13に検索要求を送信しない。この場合、問い合わせ部22は、入力ID(IDi)と入力パスワードPWiに対する認証成否を、ケルベロス認証方式を用いてディレクトリサーバ13に問い合わせる(ステップS305)。 << Operation of authentication server [2] >>
FIG. 5 is a flow chart showing another example of the processing content in the authentication server of FIG. The flow shown in FIG. 5 has steps S302 to S304 deleted as compared with the flow shown in FIG. That is, when the determination result of the authentication protocol determination unit 20 is PAP (step S301: Yes), the ID search unit 25 does not send the search request to the directory server 13 unlike the case of FIG. In this case, the inquiry unit 22 inquires the directory server 13 about the success or failure of the authentication for the input ID (IDi) and the input password PWi by using the Kerberos authentication method (step S305).

このような処理を用いると、認証プロトコル判別部20の判別結果がPAPである場合に、ディレクトリサーバ13に対する検索を行わずに済む。その結果、例えば、認証サーバ12aとディレクトリサーバ13との間の通信負荷を軽減すること等が可能になる。 By using such a process, when the determination result of the authentication protocol determination unit 20 is PAP, it is not necessary to search the directory server 13. As a result, for example, it becomes possible to reduce the communication load between the authentication server 12a and the directory server 13.

《実施の形態1の主要な効果》
以上、実施の形態1の認証サーバおよび認証システムを用いることで、代表的には、ユーザの利便性を向上させることが可能になる。具体的には、ユーザは、認証プロトコルの違い意識する必要がなく、入力ID(IDi)として第1の登録ID(IDr[1])と第2の登録ID(IDr[2])のいずれを用いた場合であってもネットワーク認証を正しく行わせることが可能になる。特に、ユーザは、“UserPrincipalName”といった使用頻度が高い第2の登録ID(IDr[2])を常時用いてネットワーク認証を正しく行わせることが可能になる。言い換えれば、ユーザは、ネットワーク認証時のみで第1の登録ID(IDr[1])を入力するといったような使い分けをする必要がない。 << Main effect of Embodiment 1 >>
As described above, by using the authentication server and the authentication system of the first embodiment, it is possible to typically improve the convenience of the user. Specifically, the user does not need to be aware of the difference in the authentication protocol, and either the first registration ID (IDr [1]) or the second registration ID (IDr [2]) is used as the input ID (IDi). Even if it is used, network authentication can be performed correctly. In particular, the user can correctly perform network authentication by always using a second registration ID (IDr [2]) that is frequently used, such as "UserPrincipalName". In other words, the user does not need to input the first registration ID (IDr [1]) only at the time of network authentication.

(実施の形態2)
《認証サーバの構成》
図6は、本発明の実施の形態2による認証システムにおいて、図1(a)における認証サーバの主要部の構成例を示すブロック図である。図6に示す認証サーバ12bは、図3に示した認証サーバ12aと比較して、対象ID決定部31の構成が異なっている。対象ID決定部31は、図3に示したようなID検索部25に加えて、IDフォーマット判別部32を備える。 (Embodiment 2)
<< Configuration of authentication server >>
FIG. 6 is a block diagram showing a configuration example of a main part of the authentication server in FIG. 1A in the authentication system according to the second embodiment of the present invention. The authentication server 12b shown in FIG. 6 is different from the authentication server 12a shown in FIG. 3 in the configuration of the target ID determination unit 31. The target ID determination unit 31 includes an ID format determination unit 32 in addition to the ID search unit 25 as shown in FIG.

IDフォーマット判別部32は、入力ID(IDi)のフォーマットが第1の登録ID(IDr[1])のフォーマットか第2の登録IDのフォーマット(IDr[2])かを判別する。具体的には、“UserPrincipalName”といった第2の登録IDは、“samAccountName”といった第1の登録ID(IDr[1])と異なり、“@ドメイン名”を含んだフォーマットになっている。このため、IDフォーマット判別部32は、例えば、入力ID(IDi)に“@ドメイン名”が含まれる場合には、入力ID(IDi)を第2の登録ID(IDr[2])とみなし、“@ドメイン名”が含まれない場合には、入力ID(IDi)を第1の登録ID(IDr[1])とみなせばよい。 The ID format determination unit 32 determines whether the format of the input ID (IDi) is the format of the first registration ID (IDr [1]) or the format of the second registration ID (IDr [2]). Specifically, the second registration ID such as "UserPrincipalName" is different from the first registration ID (IDr [1]) such as "samAccountName" and has a format including "@domain name". Therefore, for example, when the input ID (IDi) includes "@domain name", the ID format determination unit 32 regards the input ID (IDi) as the second registration ID (IDr [2]). When "@domain name" is not included, the input ID (IDi) may be regarded as the first registration ID (IDr [1]).

ここで、IDフォーマット判別部32の判別結果が第1の登録ID(IDr[1])のフォーマットである場合には、ID検索部25は、ディレクトリサーバ13に検索要求を送信しない。この場合、対象ID決定部31は、対象ID(IDq)を入力ID(IDi)に定める。一方、IDフォーマット判別部32の判別結果が第2の登録ID(IDr[2])のフォーマットである場合には、ID検索部25は、ディレクトリサーバ13に常に検索要求を送信するか、または、認証プロトコル判別部20の判別結果に基づいて検索要求の送信有無を使い分ける。 Here, when the determination result of the ID format determination unit 32 is the format of the first registered ID (IDr [1]), the ID search unit 25 does not send the search request to the directory server 13. In this case, the target ID determination unit 31 sets the target ID (IDq) as the input ID (IDi). On the other hand, when the determination result of the ID format determination unit 32 is the format of the second registration ID (IDr [2]), the ID search unit 25 always sends a search request to the directory server 13 or Whether or not the search request is transmitted is properly used based on the determination result of the authentication protocol determination unit 20.

《認証サーバの動作[1]》
図7は、図6の認証サーバにおける処理内容の一例を示すフロー図である。図7に示すフローは、図4に示したフローに対して、IDフォーマット判別部32の処理を追加したものとなっている。図7において、ステップS104,S301,S306,S311に関しては、図4の場合と同様である。 << Operation of authentication server [1] >>
FIG. 7 is a flow chart showing an example of processing contents in the authentication server of FIG. The flow shown in FIG. 7 is obtained by adding the processing of the ID format determination unit 32 to the flow shown in FIG. In FIG. 7, steps S104, S301, S306, and S311 are the same as in FIG.

図7において、認証プロトコル判別部20の判別結果がPAPである場合(ステップS301:Yes)、IDフォーマット判別部32は、入力ID(IDi)のフォーマットが第1の登録ID(IDr[1])のフォーマットか第2の登録ID(IDr[2])のフォーマット(IDr[2])かを判別する(ステップS401)。言い換えれば、IDフォーマット判別部32は、入力ID(IDi)を第1の登録ID(IDr[1])とみなすか第2の登録ID(IDr[2])とみなす。 In FIG. 7, when the determination result of the authentication protocol determination unit 20 is PAP (step S301: Yes), the ID format determination unit 32 has the input ID (IDi) format of the first registration ID (IDr [1]). (Step S401), it is determined whether the format is the format of the second registration ID (IDr [2]) or the format (IDr [2]) of the second registration ID (IDr [2]). In other words, the ID format determination unit 32 regards the input ID (IDi) as the first registration ID (IDr [1]) or the second registration ID (IDr [2]).

入力ID(IDi)が第1の登録ID(IDr[1])とみなされた場合(ステップS401:No)、ステップS304への移行が行われる。一方、入力ID(IDi)が第2の登録ID(IDr[2])とみなされた場合(ステップS401:Yes)、ID検索部25が、図4のステップS302等の場合と同様にしてディレクトリサーバ13から第1の登録ID(IDr[1])を取得したのち(ステップS402)、ステップS304への移行が行われる。 When the input ID (IDi) is regarded as the first registration ID (IDr [1]) (step S401: No), the transition to step S304 is performed. On the other hand, when the input ID (IDi) is regarded as the second registration ID (IDr [2]) (step S401: Yes), the ID search unit 25 uses the directory as in the case of step S302 of FIG. After acquiring the first registration ID (IDr [1]) from the server 13 (step S402), the transition to step S304 is performed.

ステップS304において、問い合わせ部22は、第1の登録ID(IDr[1])と入力パスワードPWiに対する認証成否を、ケルベロス認証方式を用いてディレクトリサーバ13に問い合わせる。この際に、問い合わせ対象の第1の登録ID(IDr[1])は、ステップS401で第1の登録ID(IDr[1])とみなされた入力ID(IDi)、または、ステップS402でディレクトリサーバ13から取得された第1の登録ID(IDr[1])に該当する。 In step S304, the inquiry unit 22 inquires the directory server 13 about the success or failure of the authentication for the first registration ID (IDr [1]) and the input password PWi by using the Kerberos authentication method. At this time, the first registration ID (IDr [1]) to be inquired is the input ID (IDi) regarded as the first registration ID (IDr [1]) in step S401, or the directory in step S402. It corresponds to the first registration ID (IDr [1]) acquired from the server 13.

また、認証プロトコル判別部20の判別結果がMS−CHAPv2である場合(ステップS306:Yes)、IDフォーマット判別部32は、ステップS401の場合と同様に、入力ID(IDi)を第1の登録ID(IDr[1])とみなすか第2の登録ID(IDr[2])とみなす。すなわち、IDフォーマット判別部32は、認証プロトコル判別部20の判別結果がPAPであるか(ステップS301:Yes)、MS−CHAPv2であるか(ステップS306:Yes)に関わらず、フォーマットの判別処理を行う。 Further, when the discrimination result of the authentication protocol discrimination unit 20 is MS-CHAPv2 (step S306: Yes), the ID format discrimination unit 32 sets the input ID (IDi) as the first registration ID as in the case of step S401. It is regarded as (IDr [1]) or as a second registered ID (IDr [2]). That is, the ID format discriminating unit 32 performs the format discriminating process regardless of whether the discriminating result of the authentication protocol discriminating unit 20 is PAP (step S301: Yes) or MS-CHAPv2 (step S306: Yes). Do.

入力ID(IDi)が第1の登録ID(IDr[1])とみなされた場合(ステップS403:No)、ステップS309への移行が行われる。一方、入力ID(IDi)が第2の登録ID(IDr[2])とみなされた場合(ステップS403:Yes)、ID検索部25が、図4のステップS302等の場合と同様にしてディレクトリサーバ13から第1の登録ID(IDr[1])を取得したのち(ステップS404)、ステップS309への移行が行われる。 When the input ID (IDi) is regarded as the first registration ID (IDr [1]) (step S403: No), the transition to step S309 is performed. On the other hand, when the input ID (IDi) is regarded as the second registration ID (IDr [2]) (step S403: Yes), the ID search unit 25 uses the directory in the same manner as in step S302 of FIG. After acquiring the first registration ID (IDr [1]) from the server 13 (step S404), the transition to step S309 is performed.

ステップS309において、問い合わせ部22は、第1の登録ID(IDr[1])と入力パスワードPWiに対する認証成否を、NTLM認証方式を用いてディレクトリサーバ13に問い合わせる。この際に、問い合わせ対象の第1の登録ID(IDr[1])は、ステップS403で第1の登録ID(IDr[1])とみなされた入力ID(IDi)、または、ステップS404でディレクトリサーバ13から取得された第1の登録ID(IDr[1])に該当する。 In step S309, the inquiry unit 22 inquires the directory server 13 about the success or failure of the authentication for the first registration ID (IDr [1]) and the input password PWi by using the NTLM authentication method. At this time, the first registration ID (IDr [1]) to be inquired is the input ID (IDi) regarded as the first registration ID (IDr [1]) in step S403, or the directory in step S404. It corresponds to the first registration ID (IDr [1]) acquired from the server 13.

このような処理を用いると、図4の場合と同様に、原則として、第1の登録ID(IDr[1])を対象にディレクトリサーバ13に対して認証成否を問い合わせることができる。さらに、図4の場合と比較して、ディレクトリサーバ13に対する検索回数を減らすことができる。具体的には、ステップS402,S404において、ID検索部25は、図4の場合と異なり、IDフォーマット判別部32によって入力ID(IDi)が第2の登録ID(IDr[2])とみなされた場合に、ディレクトリサーバ13に検索要求を送信すればよい。その結果、図4の場合と比較して、例えば、認証サーバ12bとディレクトリサーバ13との間の通信負荷を軽減することが可能になる。 By using such a process, as in the case of FIG. 4, in principle, the directory server 13 can be inquired about the success or failure of authentication for the first registration ID (IDr [1]). Further, the number of searches for the directory server 13 can be reduced as compared with the case of FIG. Specifically, in steps S402 and S404, unlike the case of FIG. 4, the ID search unit 25 is regarded by the ID format determination unit 32 as the input ID (IDi) as the second registered ID (IDr [2]). In that case, a search request may be sent to the directory server 13. As a result, as compared with the case of FIG. 4, for example, the communication load between the authentication server 12b and the directory server 13 can be reduced.

《認証サーバの動作[2]》
図8は、図6の認証サーバにおける処理内容の他の一例を示すフロー図である。図8に示すフローは、図5に示したフローに対して、IDフォーマット判別部32の処理を追加したものとなっている。また、図8に示すフローは、図7に示したフローにおけるステップS401,S402,S304をステップS305に置き換えたものとなっている。 << Operation of authentication server [2] >>
FIG. 8 is a flow chart showing another example of the processing content in the authentication server of FIG. The flow shown in FIG. 8 is obtained by adding the processing of the ID format determination unit 32 to the flow shown in FIG. Further, the flow shown in FIG. 8 is obtained by replacing steps S401, S402, and S304 in the flow shown in FIG. 7 with step S305.

すなわち、認証プロトコル判別部20の判別結果がPAPである場合(ステップS301:Yes)、図7の場合と異なり、IDフォーマット判別部32はフォーマットの判別処理を行わず、ID検索部25もディレクトリサーバ13に検索要求を送信しない。この場合、問い合わせ部22は、入力ID(IDi)と入力パスワードPWiに対する認証成否を、ケルベロス認証方式を用いてディレクトリサーバ13に問い合わせる(ステップS305)。 That is, when the discrimination result of the authentication protocol discrimination unit 20 is PAP (step S301: Yes), unlike the case of FIG. 7, the ID format discrimination unit 32 does not perform the format discrimination processing, and the ID search unit 25 also is the directory server. Do not send a search request to 13. In this case, the inquiry unit 22 inquires the directory server 13 about the success or failure of the authentication for the input ID (IDi) and the input password PWi by using the Kerberos authentication method (step S305).

このような処理を用いると、図7の場合と比較して、認証プロトコル判別部20の判別結果がPAPである場合に、IDフォーマット判別部32およびID検索部25の処理を行わずに済む。その結果、認証サーバ12bの処理負荷や、認証サーバ12bとディレクトリサーバ13との間の通信負荷を軽減することが可能になる。また、図5の場合と比較して、認証サーバ12bとディレクトリサーバ13との間の通信負荷を更に軽減することが可能になる。すなわち、図8のステップS404において、ID検索部25は、図5の場合と異なり、IDフォーマット判別部32によって入力ID(IDi)が第2の登録ID(IDr[2])とみなされた場合に、ディレクトリサーバ13に検索要求を送信すればよい。 When such a process is used, as compared with the case of FIG. 7, when the discrimination result of the authentication protocol discrimination unit 20 is PAP, the processing of the ID format discrimination unit 32 and the ID search unit 25 does not need to be performed. As a result, it is possible to reduce the processing load of the authentication server 12b and the communication load between the authentication server 12b and the directory server 13. Further, as compared with the case of FIG. 5, the communication load between the authentication server 12b and the directory server 13 can be further reduced. That is, in step S404 of FIG. 8, unlike the case of FIG. 5, the ID search unit 25 considers the input ID (IDi) to be the second registered ID (IDr [2]) by the ID format determination unit 32. The search request may be sent to the directory server 13.

《実施の形態2の主要な効果》
以上、実施の形態2の認証サーバおよび認証システムを用いることで、実施の形態1で述べた各種効果に加えて、さらに、認証サーバ12bとディレクトリサーバ13との間の通信負荷を軽減すること等が可能になる。 << Main effect of Embodiment 2 >>
As described above, by using the authentication server and the authentication system of the second embodiment, in addition to the various effects described in the first embodiment, the communication load between the authentication server 12b and the directory server 13 can be further reduced. Becomes possible.

以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。例えば、前述した実施の形態は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 Although the invention made by the present inventor has been specifically described above based on the embodiment, the present invention is not limited to the embodiment and can be variously modified without departing from the gist thereof. For example, the above-described embodiments have been described in detail in order to explain the present invention in an easy-to-understand manner, and are not necessarily limited to those having all the described configurations. Further, it is possible to replace a part of the configuration of one embodiment with the configuration of another embodiment, and it is also possible to add the configuration of another embodiment to the configuration of one embodiment. .. Further, it is possible to add / delete / replace other configurations with respect to a part of the configurations of each embodiment.

11 ユーザ
12,12a,12b 認証サーバ
13 ディレクトリサーバ
14 アカウントDB
20 認証プロトコル判別部
21,31 対象ID決定部
22 問い合わせ部
25 ID検索部
32 IDフォーマット判別部
IDi 入力ID
IDq 対象ID
IDr[1] 第1の登録ID
IDr[2] 第2の登録ID
NW ネットワーク
PWi 入力パスワード
PWr 登録パスワード
SW 認証スイッチ
TM ユーザ端末 11 Users 12, 12a, 12b Authentication server 13 Directory server 14 Account DB
20 Authentication protocol discrimination unit 21, 31 Target ID determination unit 22 Inquiry unit 25 ID search unit 32 ID format discrimination unit IDi input ID
IDq Target ID
IDr [1] First registration ID
IDr [2] Second registration ID
NW network PWi input password PWr registration password SW authentication switch TM user terminal

Claims (8)

ユーザによって入力された入力IDおよび入力パスワードに対する認証要求を受信し、外部のディレクトリサーバに認証成否を問い合わせる認証サーバであって、
前記ディレクトリサーバは、同一の前記ユーザに対して定められる第1の登録IDと第2の登録IDと登録パスワードとの対応関係を保持し、
前記認証サーバは、
前記入力IDの属性を前記第2の登録IDに定めた状態で前記ディレクトリサーバに前記第2の登録IDに対応する前記第1の登録IDの検索要求を送信し、前記ディレクトリサーバから前記第1の登録IDを取得するID検索部と、
前記ID検索部で取得した前記第1の登録IDと、前記入力パスワードに対する認証成否を前記ディレクトリサーバに問い合わせる問い合わせ部と、
を有する、
認証サーバ。 An authentication server that receives an authentication request for an input ID and input password entered by a user and inquires an external directory server about the success or failure of the authentication.
The directory server maintains a correspondence between a first registration ID, a second registration ID, and a registration password defined for the same user.
The authentication server is
With the attribute of the input ID set to the second registration ID, a search request for the first registration ID corresponding to the second registration ID is transmitted to the directory server, and the directory server sends the search request for the first registration ID. ID search unit to acquire the registration ID of
The first registration ID acquired by the ID search unit, an inquiry unit that inquires the directory server about the success or failure of authentication for the input password, and an inquiry unit.
Have,
Authentication server. 請求項1記載の認証サーバにおいて、
前記入力パスワードに適用されている認証プロトコルが第1の認証プロトコルか第2の認証プロトコルかを判別する認証プロトコル判別部を有し、
前記問い合わせ部は、前記認証プロトコル判別部の判別結果が前記第1の認証プロトコルである場合には前記ディレクトリサーバとの間で第1の認証方式を用いて認証成否を問い合わせ、前記第2の認証プロトコルである場合には前記ディレクトリサーバとの間で第2の認証方式を用いて認証成否を問い合わせ、
前記第1の認証方式は、前記第1の登録IDにも前記第2の登録IDにも対応する方式であり、
前記第2の認証方式は、前記第2の登録IDに対応しない方式であり、
前記認証プロトコル判別部の判別結果が前記第1の認証プロトコルである場合、前記ID検索部は、前記ディレクトリサーバに前記検索要求を送信せず、前記問い合わせ部は、前記入力IDと前記入力パスワードに対する認証成否を前記ディレクトリサーバに問い合わせる、
認証サーバ。 In the authentication server according to claim 1,
It has an authentication protocol discriminating unit that discriminates whether the authentication protocol applied to the input password is the first authentication protocol or the second authentication protocol.
When the determination result of the authentication protocol determination unit is the first authentication protocol, the inquiry unit inquires with the directory server using the first authentication method to inquire about the success or failure of the authentication, and the second authentication. If it is a protocol, inquire about the success or failure of authentication with the directory server using the second authentication method.
The first authentication method is a method corresponding to both the first registration ID and the second registration ID.
The second authentication method is a method that does not correspond to the second registration ID.
When the determination result of the authentication protocol determination unit is the first authentication protocol, the ID search unit does not send the search request to the directory server, and the inquiry unit responds to the input ID and the input password. Inquire the directory server about the success or failure of authentication.
Authentication server. 請求項2記載の認証サーバにおいて、
前記第2の認証方式は、NTLM(NT LAN Manager authentication)認証方式である、
認証サーバ。 In the authentication server according to claim 2.
The second authentication method is an NTLM (NT LAN Manager authentication) authentication method.
Authentication server. 請求項1〜3のいずれか1項に記載の認証サーバにおいて、
前記入力IDのフォーマットが前記第1の登録IDのフォーマットか前記第2の登録IDのフォーマットかを判別するIDフォーマット判別部を有し、
前記ID検索部は、前記IDフォーマット判別部の判別結果が前記第1の登録IDのフォーマットである場合には、前記ディレクトリサーバに前記検索要求を送信しない、
認証サーバ。 In the authentication server according to any one of claims 1 to 3.
It has an ID format determination unit that determines whether the format of the input ID is the format of the first registration ID or the format of the second registration ID.
The ID search unit does not send the search request to the directory server when the determination result of the ID format determination unit is the format of the first registered ID.
Authentication server. 同一のユーザに対して定められる第1の登録IDと第2の登録IDと登録パスワードとの対応関係を保持するディレクトリサーバと、
前記ディレクトリサーバとネットワークで接続され、前記ユーザによって入力された入力IDおよび入力パスワードに対する認証要求を受信し、前記ディレクトリサーバに認証成否を問い合わせる認証サーバと、
を有する認証システムであって、
前記認証サーバは、
前記入力IDの属性を前記第2の登録IDに定めた状態で前記ディレクトリサーバに前記第2の登録IDに対応する前記第1の登録IDの検索要求を送信し、前記ディレクトリサーバから前記第1の登録IDを取得するID検索部と、
前記ID検索部で取得した前記第1の登録IDと、前記入力パスワードに対する認証成否を前記ディレクトリサーバに問い合わせる問い合わせ部と、
を有する、
認証システム。 A directory server that holds the correspondence between the first registration ID, the second registration ID, and the registration password defined for the same user.
An authentication server that is connected to the directory server via a network, receives an authentication request for an input ID and an input password entered by the user, and inquires the directory server about the success or failure of authentication.
Is an authentication system that has
The authentication server is
With the attribute of the input ID set to the second registration ID, a search request for the first registration ID corresponding to the second registration ID is transmitted to the directory server, and the directory server sends the search request for the first registration ID. ID search unit to acquire the registration ID of
The first registration ID acquired by the ID search unit, an inquiry unit that inquires the directory server about the success or failure of authentication for the input password, and an inquiry unit.
Have,
Authentication system. 請求項5記載の認証システムにおいて、
前記認証サーバは、
前記入力パスワードに適用されている認証プロトコルが第1の認証プロトコルか第2の認証プロトコルかを判別する認証プロトコル判別部を有し、
前記問い合わせ部は、前記認証プロトコル判別部の判別結果が前記第1の認証プロトコルである場合には前記ディレクトリサーバとの間で第1の認証方式を用いて認証成否を問い合わせ、前記第2の認証プロトコルである場合には前記ディレクトリサーバとの間で第2の認証方式を用いて認証成否を問い合わせ、
前記第1の認証方式は、前記第1の登録IDにも前記第2の登録IDにも対応する方式であり、
前記第2の認証方式は、前記第2の登録IDに対応しない方式であり、
前記認証プロトコル判別部の判別結果が前記第1の認証プロトコルである場合、前記ID検索部は、前記ディレクトリサーバに前記検索要求を送信せず、前記問い合わせ部は、前記入力IDと前記入力パスワードに対する認証成否を前記ディレクトリサーバに問い合わせる、
認証システム。 In the authentication system according to claim 5,
The authentication server is
It has an authentication protocol discriminating unit that discriminates whether the authentication protocol applied to the input password is the first authentication protocol or the second authentication protocol.
When the determination result of the authentication protocol determination unit is the first authentication protocol, the inquiry unit inquires with the directory server using the first authentication method to inquire about the success or failure of the authentication, and the second authentication. If it is a protocol, inquire about the success or failure of authentication with the directory server using the second authentication method.
The first authentication method is a method corresponding to both the first registration ID and the second registration ID.
The second authentication method is a method that does not correspond to the second registration ID.
When the determination result of the authentication protocol determination unit is the first authentication protocol, the ID search unit does not send the search request to the directory server, and the inquiry unit responds to the input ID and the input password. Inquire the directory server about the success or failure of authentication.
Authentication system. 請求項6記載の認証システムにおいて、
前記第2の認証方式は、NTLM(NT LAN Manager authentication)認証方式である、
認証システム。 In the authentication system according to claim 6,
The second authentication method is an NTLM (NT LAN Manager authentication) authentication method.
Authentication system. 請求項5〜7のいずれか1項に記載の認証システムにおいて、
前記認証サーバは、
前記入力IDのフォーマットが前記第1の登録IDのフォーマットか前記第2の登録IDのフォーマットかを判別するIDフォーマット判別部を有し、
前記ID検索部は、前記IDフォーマット判別部の判別結果が前記第1の登録IDのフォーマットである場合には、前記ディレクトリサーバに前記検索要求を送信しない、
認証システム。 In the authentication system according to any one of claims 5 to 7.
The authentication server is
It has an ID format determination unit that determines whether the format of the input ID is the format of the first registration ID or the format of the second registration ID.
The ID search unit does not send the search request to the directory server when the determination result of the ID format determination unit is the format of the first registered ID.
Authentication system.
JP2019225518A 2019-12-13 2019-12-13 Authentication server and authentication system Active JP7227891B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019225518A JP7227891B2 (en) 2019-12-13 2019-12-13 Authentication server and authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019225518A JP7227891B2 (en) 2019-12-13 2019-12-13 Authentication server and authentication system

Publications (2)

Publication Number Publication Date
JP2021096512A true JP2021096512A (en) 2021-06-24
JP7227891B2 JP7227891B2 (en) 2023-02-22

Family

ID=76431394

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019225518A Active JP7227891B2 (en) 2019-12-13 2019-12-13 Authentication server and authentication system

Country Status (1)

Country Link
JP (1) JP7227891B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007128208A (en) * 2005-11-02 2007-05-24 Fuji Xerox Co Ltd Image processor
JP2008234210A (en) * 2007-03-19 2008-10-02 Ricoh Co Ltd Information processing apparatus and method
JP2010134797A (en) * 2008-12-05 2010-06-17 Canon It Solutions Inc Authentication server, method, program, and authentication system
JP2010166365A (en) * 2009-01-16 2010-07-29 Nec Corp Communication system, authentication server, authentication method, and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007128208A (en) * 2005-11-02 2007-05-24 Fuji Xerox Co Ltd Image processor
JP2008234210A (en) * 2007-03-19 2008-10-02 Ricoh Co Ltd Information processing apparatus and method
JP2010134797A (en) * 2008-12-05 2010-06-17 Canon It Solutions Inc Authentication server, method, program, and authentication system
JP2010166365A (en) * 2009-01-16 2010-07-29 Nec Corp Communication system, authentication server, authentication method, and program

Also Published As

Publication number Publication date
JP7227891B2 (en) 2023-02-22

Similar Documents

Publication Publication Date Title
US7194763B2 (en) Method and apparatus for determining authentication capabilities
US8850194B2 (en) System and methods for providing multi-hop access in a communications network
RU2342700C2 (en) Increased level of automation during initialisation of computer system for network access
US7225263B1 (en) Method and apparatus for retrieving access control information
US8689283B2 (en) Security access control method and system for wired local area network
US8208899B2 (en) Wireless communication system, wireless communication device, authentication method of wireless communication device, and program
US20060174127A1 (en) Network access server (NAS) discovery and associated automated authentication in heterogenous public hotspot networks
US20080184354A1 (en) Single sign-on system, information terminal device, single sign-on server, single sign-on utilization method, storage medium, and data signal
JP2005537701A (en) Method and system for registering and automatically retrieving digital audio certificates in Internet Protocol (VOIP) communication
US20130103802A1 (en) Service providing system
US9270652B2 (en) Wireless communication authentication
US20070067831A1 (en) Communication system, and client, server and program used in such system
CN113966625A (en) Techniques for certificate handling in a core network domain
US20090300197A1 (en) Internet Protocol Communication System, Server Unit, Terminal Device, and Authentication Method
US20220264668A1 (en) Method and mechanism to assign a unique identifier to a station from an access point
US20030196107A1 (en) Protocol, system, and method for transferring user authentication information across multiple, independent internet protocol (IP) based networks
CN101616414A (en) Method, system and server that terminal is authenticated
EP2096830B1 (en) Methods and apparatus for use in enabling a mobile communication device with a digital certificate
JP2009118267A (en) Communication network system, communication network control method, communication control apparatus, communication control program, service control device and service control program
JP2009193326A (en) Authentication system, authentication method and server
JP4881672B2 (en) Communication device and communication control program
JP7227891B2 (en) Authentication server and authentication system
CN106790012B (en) User identity authentication method based on 802.1X protocol data packet verification
JP2004297292A (en) Wireless terminal, authentication server, wireless authentication information management system, and wireless authentication information management method
CN114036576A (en) Method and device for recovering ipsec tunnel and readable storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220404

TRDD Decision of grant or rejection written
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230131

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230210

R150 Certificate of patent or registration of utility model

Ref document number: 7227891

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150