JP2021165977A - Server device and network system - Google Patents

Server device and network system Download PDF

Info

Publication number
JP2021165977A
JP2021165977A JP2020069563A JP2020069563A JP2021165977A JP 2021165977 A JP2021165977 A JP 2021165977A JP 2020069563 A JP2020069563 A JP 2020069563A JP 2020069563 A JP2020069563 A JP 2020069563A JP 2021165977 A JP2021165977 A JP 2021165977A
Authority
JP
Japan
Prior art keywords
authentication
login
user
server
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020069563A
Other languages
Japanese (ja)
Other versions
JP7221235B2 (en
Inventor
勝人 小野
Katsuto Ono
純哉 秋山
Junya Akiyama
功克 柴田
Isakatsu Shibata
浩志 西野宮
Hiroshi Nishinomiya
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HC Networks Ltd
Original Assignee
HC Networks Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by HC Networks Ltd filed Critical HC Networks Ltd
Priority to JP2020069563A priority Critical patent/JP7221235B2/en
Publication of JP2021165977A publication Critical patent/JP2021165977A/en
Application granted granted Critical
Publication of JP7221235B2 publication Critical patent/JP7221235B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

To provide a server device and a network system capable of enhancing network security.SOLUTION: An authentication server 17 that determines whether or not a user ID is authenticated for an internal network in a network system, is configured to: create authentication refusal information ARI for defining that the user ID is an authentication refusal in a login DB when defining that the user ID is the authentication refusal S302; if a login server 18 receives the authentication refusal information ARI S303, update the login DB so that login authentication availability information corresponding to the target user ID is login authentication refusal S304; and transmit a logout request LORQ to service providers SPa and SPb to which the user is logging in based on the login DB S305.SELECTED DRAWING: Figure 6

Description

本発明は、サーバ装置およびネットワークシステムに関し、例えば、SSO(Single Sign On)に伴う認証技術に関する。 The present invention relates to a server device and a network system, for example, an authentication technique associated with SSO (Single Sign On).

特許文献1には、ログ管理サーバや不正通信検知装置等を用いて、不正通信を遮断するネットワークシステムが示される。具体的には、ログ管理サーバは、認証サーバ等からのアカウントIDを含む認証許可ログと、DHCPサーバからのDHCPログとを受けて、アカウントIDとIPアドレスとの対応関係をDBに登録する。そして、ログ管理サーバは、不正通信検知装置からIPアドレスを含む不正通信検知ログを受けた際に、対応するアカウントIDを認証拒否にする命令を、認証サーバへ送信する。 Patent Document 1 discloses a network system that blocks unauthorized communication by using a log management server, an unauthorized communication detection device, or the like. Specifically, the log management server receives the authentication permission log including the account ID from the authentication server and the DHCP log from the DHCP server, and registers the correspondence between the account ID and the IP address in the DB. Then, when the log management server receives the fraudulent communication detection log including the IP address from the fraudulent communication detection device, it sends an instruction to reject the authentication of the corresponding account ID to the authentication server.

特開2017−204697号公報Japanese Unexamined Patent Publication No. 2017-204697

例えば、特許文献1のような方式を用いると、不正通信を行ったこと等により悪意があるとみなされたユーザ(明細書では、不正なユーザと呼ぶ)のユーザIDを、認証サーバの管理範囲であるネットワーク認証レベルで認証拒否に定めることが可能である。認証サーバは、例えば、RADIUS(Remote Authentication Dial In User Service)サーバ等である。ただし、このような方式のみでは、不正なユーザが、アプリケーションレベルで所定のサービスプロバイダにログインし、サービスを利用できるような事態が生じ得る。 For example, when a method such as Patent Document 1 is used, the user ID of a user (referred to as an unauthorized user in the specification) deemed to be malicious due to unauthorized communication or the like is managed within the management range of the authentication server. It is possible to set the authentication refusal at the network authentication level. The authentication server is, for example, a RADIUS (Remote Authentication Dial In User Service) server or the like. However, with only such a method, a situation may occur in which an unauthorized user can log in to a predetermined service provider at the application level and use the service.

具体的には、例えば、不正なユーザが、ネットワーク認証レベルで認証許可されているユーザ端末や共用端末等を不正に使って、自身のユーザIDでサービスプロバイダにログインするような場合が挙げられる。しかし、本来、当該不正なユーザに対するネットワークの認証は拒否されているため、当該ネットワークを使ったサービスの利用も拒否されることが望ましい。 Specifically, for example, there is a case where an unauthorized user illegally uses a user terminal, a shared terminal, or the like that is authenticated at the network authentication level to log in to the service provider with his / her own user ID. However, since network authentication for the unauthorized user is originally denied, it is desirable that the use of services using the network is also denied.

本発明は、このようなことに鑑みてなされたものであり、その目的の一つは、ネットワークのセキュリティを高めることが可能なサーバ装置およびネットワークシステムを提供することにある。 The present invention has been made in view of the above, and one of the objects thereof is to provide a server device and a network system capable of enhancing the security of a network.

本発明の前記並びにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。 The above and other objects and novel features of the present invention will become apparent from the description and accompanying drawings herein.

本願において開示される発明のうち、代表的な実施の形態の概要を簡単に説明すれば、次のとおりである。 A brief description of typical embodiments of the inventions disclosed in the present application is as follows.

一実施の形態によるサーバ装置は、ユーザにユーザ端末を介して1回のログイン操作を行わせることで、内部ネットワークを介してユーザ端末に接続される複数のサービスプロバイダへのログインを可能にするものであり、ログインデータベースと、制御部と、を有する。ログインデータベースは、ユーザのユーザ識別子と、ユーザに対するログイン認証許可またはログイン認証拒否を定めるログイン認証可否情報と、ユーザがログイン中のサービスプロバイダとの対応関係を保持する。制御部は、ログインデータベースに基づいて、ユーザのログイン操作またはログアウト操作に応じた制御を行う。ここで、ユーザ識別子を、内部ネットワークの認証可否を判定する認証サーバでネットワーク認証拒否に定める場合に、ユーザ識別子を、ログインデータベースでログイン認証拒否に定めるための認証拒否情報が作成される。制御部は、当該認証拒否情報を受信した際に、ユーザ識別子に対応するログイン認証可否情報がログイン認証拒否となるようにログインデータベースを更新し、ログインデータベースに基づいて、ユーザがログイン中のサービスプロバイダへログアウト要求を送信する。 The server device according to the embodiment enables the user to log in to a plurality of service providers connected to the user terminal via the internal network by causing the user to perform one login operation via the user terminal. It has a login database and a control unit. The login database holds the user identifier of the user, the login authentication enable / disable information that determines the login authentication permission or the login authentication refusal for the user, and the correspondence relationship with the service provider in which the user is logged in. The control unit performs control according to a user's login operation or logout operation based on the login database. Here, when the user identifier is defined as network authentication refusal by the authentication server that determines whether or not the internal network can be authenticated, authentication refusal information for defining the user identifier as login authentication refusal in the login database is created. When the control unit receives the authentication refusal information, the control unit updates the login database so that the login authentication permission / rejection information corresponding to the user identifier becomes the login authentication refusal, and the service provider in which the user is logged in based on the login database. Send a logout request to.

本願において開示される発明のうち、代表的な実施の形態によって得られる効果を簡単に説明すると、ネットワークのセキュリティを高めることが可能になる。 Briefly explaining the effects obtained by the typical embodiments of the inventions disclosed in the present application makes it possible to enhance the security of the network.

本発明の実施の形態1によるネットワークシステムにおける主要部の構成例を示す概略図である。It is the schematic which shows the structural example of the main part in the network system by Embodiment 1 of this invention. 図1におけるログインサーバが有するログインDBの構成例を示す概略図である。It is the schematic which shows the configuration example of the login DB which the login server has in FIG. 図1において、ログインサーバを用いてSSOを行う際の処理内容の一例を示すシーケンス図である。FIG. 1 is a sequence diagram showing an example of processing contents when SSO is performed using a login server. 図3とは異なる処理内容の一例を示すシーケンス図である。It is a sequence diagram which shows an example of the processing content different from FIG. 図1において、ログインサーバの主要部の構成例を示すブロック図である。FIG. 1 is a block diagram showing a configuration example of a main part of a login server. 図1および図5のログインサーバを用いて行われる主要な処理内容の一例を示すシーケンス図である。It is a sequence diagram which shows an example of the main processing contents performed using the login server of FIG. 1 and FIG. 本発明の実施の形態2によるネットワークシステムにおける主要部の構成例および動作例を示す概略図である。It is the schematic which shows the structural example and the operation example of the main part in the network system by Embodiment 2 of this invention. 図7に続く構成例および動作例を示す概略図である。It is the schematic which shows the configuration example and operation example following FIG.

以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. In addition, in all the drawings for explaining the embodiment, in principle, the same members are designated by the same reference numerals, and the repeated description thereof will be omitted.

(実施の形態1)
《ネットワークシステムの構成》
図1は、本発明の実施の形態1によるネットワークシステムにおける主要部の構成例を示す概略図である。図1に示すネットワークシステムは、イントラネット等の内部ネットワーク10と、インターネット等の外部ネットワーク11と、ルータ13と、認証サーバ17と、ログインサーバ(サーバ装置)18と、認証スイッチSWとを備える。外部ネットワーク11には、所定のサービス(言い換えればアプリケーション)を提供する複数のサービスプロバイダ(言い換えればアプリケーションサーバ)SPa,SPbが接続される。 (Embodiment 1)
<< Network system configuration >>
FIG. 1 is a schematic view showing a configuration example of a main part in the network system according to the first embodiment of the present invention. The network system shown in FIG. 1 includes an internal network 10 such as an intranet, an external network 11 such as the Internet, a router 13, an authentication server 17, a login server (server device) 18, and an authentication switch SW. A plurality of service providers (in other words, application servers) SPA and SPb that provide predetermined services (in other words, applications) are connected to the external network 11.

内部ネットワーク10は、例えば、OSI参照モデルのレイヤ3(L3)やレイヤ2(L2)のネットワークである。ルータ13は、内部ネットワーク10と外部ネットワーク11との間に接続される。認証スイッチSWは、内部ネットワーク10と、ユーザによって使用されるユーザ端末TM10との間に接続される。認証サーバ17およびログインサーバ18は、内部ネットワーク10に接続される。 The internal network 10 is, for example, a layer 3 (L3) or layer 2 (L2) network of the OSI reference model. The router 13 is connected between the internal network 10 and the external network 11. The authentication switch SW is connected between the internal network 10 and the user terminal TM10 used by the user. The authentication server 17 and the login server 18 are connected to the internal network 10.

認証スイッチSWは、認証サーバ17に対する認証クライアント(例えば、RADIUSクライアント)である。認証スイッチSWは、例えば、レイヤ2(L2)の中継処理を行うL2スイッチであり、ポートP1,…を備える。この例では、ポートP1には、正規のユーザ14aによって使用されるユーザ端末TM10が接続される。ユーザ端末TM10には、IPアドレス“IPA10”およびMACアドレス“MA10”が設定される。 The authentication switch SW is an authentication client (for example, a RADIUS client) for the authentication server 17. The authentication switch SW is, for example, an L2 switch that performs relay processing of layer 2 (L2), and includes ports P1, ... In this example, the user terminal TM10 used by the legitimate user 14a is connected to the port P1. An IP address "IPA10" and a MAC address "MA10" are set in the user terminal TM10.

認証サーバ17は、例えば、認証クライアントからの認証判定要求に応じて内部ネットワーク10の認証可否を判定するRADIUSサーバ等である。明細書では、認証サーバ17によって行われる認証をネットワーク認証と呼ぶ。認証サーバ17は、記憶部23に保持される認証データベース(明細書では、データベースをDBと略す)24を有する。認証DB24は、例えば、ユーザのユーザ識別子(明細書では、識別子をIDと略す)およびパスワード(PW)と、ユーザID毎のネットワーク認証許可/ネットワーク認証拒否を表すネットワーク認証可否情報27との対応関係を保持する。 The authentication server 17 is, for example, a RADIUS server that determines whether or not the internal network 10 can be authenticated in response to an authentication determination request from an authentication client. In the specification, the authentication performed by the authentication server 17 is called network authentication. The authentication server 17 has an authentication database (the database is abbreviated as DB in the specification) 24 held in the storage unit 23. The authentication DB 24 has, for example, a correspondence relationship between a user identifier of a user (in the specification, the identifier is abbreviated as an ID) and a password (PW), and network authentication availability information 27 indicating network authentication permission / network authentication refusal for each user ID. To hold.

なお、認証DB24は、外部のディレクトリサーバが有してもよい。この場合、認証サーバ17は、ディレクトリサーバとの間でLDAP(Lightweight Directory Access Protocol)等に基づく通信を行うことで、認証DB24にアクセスすればよい。 The authentication DB 24 may be owned by an external directory server. In this case, the authentication server 17 may access the authentication DB 24 by performing communication with the directory server based on LDAP (Lightweight Directory Access Protocol) or the like.

ログインサーバ(サーバ装置)18は、SSOサーバであり、ユーザにユーザ端末TM10を介して1回のログイン操作を行わせることで、外部ネットワーク11に接続される複数のサービスプロバイダSPa,SPbへのログインを可能にするものである。言い換えれば、ログインサーバ18は、1回のログイン操作に基づいて、各サービスプロバイダへのログインに伴う認証可否を判定する。明細書では、ログインサーバ18によって行われる認証をログイン認証と呼ぶ。ログインサーバ18は、例えば、SAML(Security Assertion Markup Language)規格ではIdp(Identity provider)と呼ばれる。 The login server (server device) 18 is an SSO server, and logs in to a plurality of service providers SPA and SPb connected to the external network 11 by causing the user to perform one login operation via the user terminal TM10. Is what makes it possible. In other words, the login server 18 determines whether or not authentication is possible when logging in to each service provider based on one login operation. In the specification, the authentication performed by the login server 18 is called login authentication. The login server 18 is called an Idp (Identity provider) in the SAML (Security Assertion Markup Language) standard, for example.

ログインサーバ18は、記憶部25に保持されるログインDB26を有する。図2は、図1におけるログインサーバが有するログインDBの構成例を示す概略図である。図2に示すログインDB26は、ユーザのユーザIDおよびパスワード(PW)と、当該ユーザのログイン権限情報30と、当該ユーザのログイン認証可否情報31と、当該ユーザのログインセッション情報32との対応関係を保持する。この内、ユーザIDおよびパスワード(PW)と、ログイン権限情報30は、例えば、予め管理者等によって登録される。 The login server 18 has a login DB 26 held in the storage unit 25. FIG. 2 is a schematic view showing a configuration example of a login DB included in the login server in FIG. The login DB 26 shown in FIG. 2 has a correspondence relationship between the user ID and password (PW) of the user, the login authority information 30 of the user, the login authentication availability information 31 of the user, and the login session information 32 of the user. Hold. Of these, the user ID and password (PW) and the login authority information 30 are registered in advance by, for example, an administrator or the like.

ログイン権限情報30は、複数のサービスプロバイダSPa,SPbのそれぞれに対するログイン権限の有無を表す。ログイン認証可否情報31は、ユーザに対するログイン認証許可またはログイン認証拒否を定める。ログインセッション情報32は、ユーザがログイン中のサービスプロバイダSPa,SPbを表す。すなわち、ログインサーバ18は、ユーザがログイン権限を有するサービスプロバイダに対してログイン中であるか否か(言い換えれば、ログインセッションを確立しているか未確立であるか)を逐次管理する。 The login authority information 30 indicates the presence or absence of login authority for each of the plurality of service providers SPA and SPb. The login authentication permission / rejection information 31 determines the login authentication permission or the login authentication refusal for the user. The login session information 32 represents the service providers SPA and SPb in which the user is logged in. That is, the login server 18 sequentially manages whether or not the user is logged in to the service provider having the login authority (in other words, whether or not the login session is established or not).

《ネットワークシステムの概略動作および前提となる問題点》
ここで、図1において、内部ネットワーク10のネットワーク認証について簡単に説明する。まず、認証DB24には、予め管理者等によって、認証の対象となるユーザIDおよびパスワード(PW)が登録されている。この例では、MACアドレス認証に対応するユーザID“MA10”と、ユーザIDおよびパスワード(PW)を用いた認証に対応するユーザID“UID20”およびパスワード“pp20”とが登録されている。また、初期状態では、認証DB24内の各ユーザIDのネットワーク認証可否情報27は、ネットワーク認証許可に設定されているものとする。 << Outline of network system operation and prerequisite problems >>
Here, in FIG. 1, the network authentication of the internal network 10 will be briefly described. First, in the authentication DB 24, a user ID and a password (PW) to be authenticated are registered in advance by an administrator or the like. In this example, a user ID "MA10" corresponding to MAC address authentication, a user ID "UID20" corresponding to authentication using a user ID and a password (PW), and a password "pp20" are registered. Further, in the initial state, it is assumed that the network authentication possibility information 27 of each user ID in the authentication DB 24 is set to the network authentication permission.

続いて、認証スイッチSW(認証クライアント)は、ポートP1と内部ネットワーク10との通信経路を遮断した状態で、ユーザ端末TM10から内部ネットワーク10の認証を求めるネットワーク認証要求を受信する。認証スイッチSWは、このネットワーク認証要求に応じて、認証サーバ17へ認証判定要求を送信する。認証サーバ17は、認証スイッチSWからの認証判定要求に応じて、認証データベースDBに基づいてネットワーク認証許可/ネットワーク認証拒否を判定し、その判定結果を認証スイッチSWへ応答する。 Subsequently, the authentication switch SW (authentication client) receives a network authentication request for authentication of the internal network 10 from the user terminal TM 10 in a state where the communication path between the port P1 and the internal network 10 is blocked. The authentication switch SW transmits an authentication determination request to the authentication server 17 in response to the network authentication request. The authentication server 17 determines network authentication permission / network authentication refusal based on the authentication database DB in response to the authentication determination request from the authentication switch SW, and responds the determination result to the authentication switch SW.

この例では、認証サーバ17は、認証DB24内で、ユーザID“MA10”(すなわちユーザ端末TM10のMACアドレス)がネットワーク認証許可に設定されているため、ネットワーク認証許可と判定し、その旨を認証スイッチSWへ応答する。認証スイッチSWは、このネットワーク認証許可の応答を受けて、ポートP1と内部ネットワーク10との通信経路を開放する。これによって、ユーザ端末TM10は、内部ネットワーク10を使用することが可能になる。 In this example, since the user ID "MA10" (that is, the MAC address of the user terminal TM10) is set in the authentication DB 24, the authentication server 17 determines that the network authentication is permitted and authenticates to that effect. Responds to the switch SW. The authentication switch SW opens the communication path between the port P1 and the internal network 10 in response to the response of the network authentication permission. This allows the user terminal TM10 to use the internal network 10.

一方、ユーザID“UID20”を有するユーザ14bは、例えば、過去に何らかの不正な通信を行った結果として、図1に示されるように、認証DB24内でネットワーク認証拒否に定められているものとする。また、ユーザ端末TM10は、本来、単数または複数の正規のユーザ14aによって使用される端末または共通端末であるものとする。この場合、ユーザ端末TM10が正規のユーザ14aによって使用される際には問題が生じないが、不正なユーザ14bによって使用される際には問題が生じ得る。すなわち、本来、内部ネットワーク10を使用することが禁止されている不正なユーザ14bであっても、ユーザ端末TM10を介して内部ネットワーク10を使用可能となる。 On the other hand, it is assumed that the user 14b having the user ID "UID20" is set to reject the network authentication in the authentication DB 24 as shown in FIG. 1 as a result of performing some illegal communication in the past. .. Further, it is assumed that the user terminal TM10 is originally a terminal or a common terminal used by one or a plurality of legitimate users 14a. In this case, no problem occurs when the user terminal TM10 is used by the legitimate user 14a, but a problem may occur when the user terminal TM10 is used by the unauthorized user 14b. That is, even an unauthorized user 14b, who is originally prohibited from using the internal network 10, can use the internal network 10 via the user terminal TM10.

この場合、不正なユーザ14bは、ユーザ端末TM10および内部ネットワーク10を介してログインサーバ18へログイン命令を送信することができる。図2のログインDB26の例では、ユーザID“UID20”のログイン認証可否情報31は、ログイン認証許可に設定されている。この場合、不正なユーザ14bが、ログインサーバ18に対して自身のユーザID“UID20”およびパスワード“pp20”を用いてログイン認証を要求すると、ログインサーバ18は、当該要求に対してログイン認証許可と判定する。 In this case, the unauthorized user 14b can send a login command to the login server 18 via the user terminal TM10 and the internal network 10. In the example of the login DB 26 of FIG. 2, the login authentication availability information 31 of the user ID “UID20” is set to login authentication permission. In this case, when an unauthorized user 14b requests login authentication from the login server 18 using his / her own user ID “UID20” and password “pp20”, the login server 18 grants login authentication permission to the request. judge.

その結果、不正なユーザ14bは、ユーザ端末TM10および内部ネットワーク10を介して、外部ネットワーク11に接続されるサービスプロバイダSPa,SPbへログインし、所定のサービスを利用することが可能になる。しかし、本来、当該不正なユーザ14bによる内部ネットワーク10の使用は、認証DB24によって禁止されているため、当該内部ネットワーク10を使ったサービスの利用も禁止されることが望ましい。 As a result, the unauthorized user 14b can log in to the service providers Spa and SPb connected to the external network 11 via the user terminal TM10 and the internal network 10 and use a predetermined service. However, since the use of the internal network 10 by the unauthorized user 14b is originally prohibited by the authentication DB 24, it is desirable that the use of the service using the internal network 10 is also prohibited.

《ログインサーバを用いたSSOの概略動作》
図3は、図1において、ログインサーバを用いてSSOを行う際の処理内容の一例を示すシーケンス図である。図4は、図3とは異なる処理内容の一例を示すシーケンス図である。図3は、ログインサーバ(Idp)18を起点としてSSOを実現する際の処理シーケンスであり、図4は、サービスプロバイダ(ここではSPa)を起点としてSSOを実現する際の処理シーケンスである。 << Outline operation of SSO using login server >>
FIG. 3 is a sequence diagram showing an example of processing contents when performing SSO using a login server in FIG. 1. FIG. 4 is a sequence diagram showing an example of processing contents different from those in FIG. FIG. 3 is a processing sequence when SSO is realized starting from the login server (Idp) 18, and FIG. 4 is a processing sequence when SSO is realized starting from the service provider (SPa in this case).

図3において、まず、ユーザは、ユーザ端末TM10のブラウザを介してログインサーバ18へログイン命令LINを送信する(ステップS101)。具体的には、ユーザは、例えば、ログインサーバ18から提供されるブラウザのログイン/ログアウト画面上で、ユーザIDおよびパスワード(PW)の入力を含めたログイン操作を行う。このログイン操作に応じて、ブラウザは、ログインサーバ18へログイン命令LINを送信する。 In FIG. 3, first, the user transmits a login command LIN to the login server 18 via the browser of the user terminal TM10 (step S101). Specifically, for example, the user performs a login operation including input of a user ID and a password (PW) on the login / logout screen of the browser provided by the login server 18. In response to this login operation, the browser sends a login command LIN to the login server 18.

続いて、ログインサーバ18は、ログイン命令LINに伴うユーザIDおよびパスワード(PW)をログインDB26に基づいて検証する。そして、ログインサーバ18は、当該ユーザIDに対してログイン権限が与えられているサービスプロバイダの中から、いずれかのサービスプロバイダを選択させるためのSP選択画面を、ユーザ端末TM10のブラウザに表示させる(ステップS102)。 Subsequently, the login server 18 verifies the user ID and password (PW) associated with the login instruction LIN based on the login DB 26. Then, the login server 18 displays the SP selection screen for selecting one of the service providers from the service providers to which the login authority is given to the user ID on the browser of the user terminal TM10 ( Step S102).

次いで、ユーザが、SP選択画面上で例えばサービスプロバイダSPaを選択すると、ユーザ端末TM10は、ログインサーバ18へサービスプロバイダSPaの選択命令を送信する(ステップS103)。ログインサーバ18は、当該選択命令を受けて、ユーザ端末TM10へサービスプロバイダSPaへのHTTPリダイレクト要求を送信し(ステップS104)、これに応じて、ユーザ端末TM10は、サービスプロバイダSPaへのHTTPリダイレクトを実行する(ステップS105)。 Next, when the user selects, for example, the service provider Spa on the SP selection screen, the user terminal TM10 transmits a selection command of the service provider Spa to the login server 18 (step S103). Upon receiving the selection command, the login server 18 transmits an HTTP redirect request to the service provider SPA to the user terminal TM10 (step S104), and the user terminal TM10 responds to the HTTP redirect to the service provider SPA. Execute (step S105).

続いて、サービスプロバイダSPaは、ログイン認証要求ARQを作成し、それをユーザ端末TM10を介してログインサーバ18へ送信する(ステップS106)。具体的には、サービスプロバイダSPaは、例えば、予め設定されたログインサーバ18のURL(Uniform Resource Locator)を用いて、ユーザ端末TM10のブラウザに当該URLへのHTTPリダイレクト等を行わせることで、ログイン認証の認証可否を含めた認証情報を問い合わせる。なお、例えば、SAML規格では、当該ログイン認証要求ARQは、“AuthnRequest”と呼ばれる。 Subsequently, the service provider SPA creates a login authentication request ARQ and transmits it to the login server 18 via the user terminal TM10 (step S106). Specifically, the service provider SPA logs in by, for example, using a preset URL (Uniform Resource Locator) of the login server 18 to cause the browser of the user terminal TM10 to perform an HTTP redirect or the like to the URL. Inquire about authentication information including whether or not authentication is possible. For example, in the SAML standard, the login authentication request ARQ is called "AutthnRequest".

次いで、ログインサーバ18は、認証情報を秘密鍵で電子署名し、それを含んだログイン認証応答ARSをHTMLフォームに配置して、ユーザ端末TM10へ送信する(ステップS107)。また、この際に、ログインサーバ18は、例えば、HTMLフォームに対して、サービスプロバイダSPaへ自動送信するためのスクリプトを付加する。なお、例えば、SAML規格では、当該認証情報は“Assertion”と呼ばれ、当該ログイン認証応答ARSは“Response”と呼ばれる。 Next, the login server 18 digitally signs the authentication information with the private key, arranges the login authentication response ARS including the authentication information in the HTML form, and transmits the login authentication response ARS to the user terminal TM10 (step S107). At this time, the login server 18 adds, for example, a script for automatically transmitting to the service provider Spa to the HTML form. For example, in the SAML standard, the authentication information is called "Assertion", and the login authentication response ARS is called "Response".

続いて、ユーザ端末TM10のブラウザは、受信したログイン認証応答ARSを含むHTMLフォームを、HTTP POSTメソッド(POSTバインディングとも呼ばれる)を用いてサービスプロバイダSPaへ送信する(ステップS108)。サービスプロバイダSPaは、HTMLフォームからログイン認証応答ARSを取得し、その中の認証情報をログインサーバ18の公開鍵で復号する。そして、サービスプロバイダSPaは、復号した認証情報に基づいて、ユーザのログインを許可すると共に、アクセス権限を検証した上で、所定のリソースをユーザへ提供する(ステップS109)。 Subsequently, the browser of the user terminal TM10 transmits the HTTP form including the received login authentication response ARS to the service provider SPA using the HTTP POST method (also referred to as POST binding) (step S108). The service provider Spa acquires the login authentication response ARS from the HTML form and decrypts the authentication information in the login authentication response ARS with the public key of the login server 18. Then, the service provider SPA permits the user to log in based on the decrypted authentication information, verifies the access authority, and then provides a predetermined resource to the user (step S109).

その後、ユーザは、ステップS103の場合と同様に、SP選択画面上で例えばサービスプロバイダSPbを選択すると、ユーザ端末TM10は、ログインサーバ18へサービスプロバイダSPbの選択命令を送信する(ステップS110)。その後は、ステップS111〜S116において、ステップS104〜S109の場合と同様の処理がサービスプロバイダSPbを対象として行われる。 After that, when the user selects, for example, the service provider SPb on the SP selection screen as in the case of step S103, the user terminal TM10 transmits a selection command of the service provider SPb to the login server 18 (step S110). After that, in steps S111 to S116, the same processing as in steps S104 to S109 is performed on the service provider SPb.

ここで、ログインサーバ18は、例えば、ステップS107の段階でサービスプロバイダSPaへのログインセッションが確立された(すなわち、サービスプロバイダSPaにログイン中)と判断し、図2のログインDB26内のログインセッション情報32を更新する。同様に、ログインサーバ18は、例えば、ステップS114の段階でサービスプロバイダSPbへのログインセッションが確立された(すなわち、サービスプロバイダSPbにログイン中)と判断し、ログインセッション情報32を更新する。 Here, for example, the login server 18 determines that the login session to the service provider SPA has been established (that is, is logging in to the service provider SPA) at the stage of step S107, and the login session information in the login DB 26 of FIG. Update 32. Similarly, the login server 18 determines that the login session to the service provider SPb has been established (that is, is logged in to the service provider SPb) at the stage of step S114, and updates the login session information 32.

その後、ユーザは、ユーザ端末TM10のブラウザを介してログインサーバ18へログアウト命令LOUTを送信する(ステップS117)。具体的には、ユーザは、例えば、ログインサーバ18から提供されるブラウザのログイン/ログアウト画面上でログアウト操作を行う。これに応じて、ブラウザは、ログインサーバ18へログアウト命令LOUTを送信する。 After that, the user transmits a logout command LOUT to the login server 18 via the browser of the user terminal TM10 (step S117). Specifically, the user performs a logout operation on, for example, the login / logout screen of the browser provided by the login server 18. In response to this, the browser sends a logout command LOUT to the login server 18.

ログインサーバ18は、ログアウト命令LOUTをユーザ端末TM10から受信した際に、図2のログインDB26に基づいて、ユーザがログイン中のサービスプロバイダへログアウト要求LORQを送信する(ステップS118,S119)。図3の例では、ログインサーバ18は、サービスプロバイダSPa,SPbの両方に対して、それぞれ、ログアウト要求LORQを送信する。これにより、サービスプロバイダSPa,SPbは、ユーザを自身からログアウトさせる。なお、例えば、SAML規格では、当該ログアウト要求LORQは、“LogoutRequest”と呼ばれる。 When the login server 18 receives the logout instruction LOUT from the user terminal TM10, the login server 18 transmits a logout request LORQ to the service provider in which the user is logged in based on the login DB 26 of FIG. 2 (steps S118 and S119). In the example of FIG. 3, the login server 18 transmits a logout request LORQ to both the service providers SPA and SPb, respectively. As a result, the service providers SPa and SPb log out the user from themselves. For example, in the SAML standard, the logout request LORQ is called "LogoutRequest".

また、ログインサーバ18は、例えば、ステップS118の段階でサービスプロバイダSPaへのログインセッションが未確立になった(すなわち、サービスプロバイダSPaからログアウトされた)と判断し、図2のログインDB26内のログインセッション情報32を更新する。同様に、ログインサーバ18は、例えば、ステップS119の段階でサービスプロバイダSPbへのログインセッションが未確立になった(すなわち、サービスプロバイダSPbからログアウトされた)と判断し、ログインセッション情報32を更新する。 Further, the login server 18 determines, for example, that the login session to the service provider SPA has not been established (that is, has been logged out from the service provider SPA) at the stage of step S118, and the login in the login DB 26 of FIG. 2 is performed. Update session information 32. Similarly, the login server 18 determines that the login session to the service provider SPb has not been established (that is, has been logged out from the service provider SPb) at the stage of step S119, and updates the login session information 32. ..

このように、ユーザによる1回のログアウト操作でログイン中の複数のサービスプロバイダSPa,SPbへのログアウトを実現する機能は、シングルログアウト(SLO)と呼ばれる。シングルログアウト(SLO)機能は、例えば、SAML 2.0規格等で規定される。なお、ログインDB26内のログインセッション情報32が確立から未確立に変更されるケースとして、ステップS117のようにログアウト命令LOUTを受けたケースの他に、主に、次のようなケースが挙げられる。一つ目は、ステップS101でのログイン命令LINに伴うユーザ端末TM10とログインサーバ18との間のログインセッションがタイムアウトに達したケースであり、二つ目は、ユーザ端末TM10のブラウザが閉じられたケースである。 In this way, the function of realizing logout to a plurality of service providers SPA and SPb who are logged in by one logout operation by the user is called single logout (SLO). The single logout (SLO) function is defined by, for example, the SAML 2.0 standard. As a case where the login session information 32 in the login DB 26 is changed from established to unestablished, in addition to the case where the logout command LOUT is received as in step S117, the following cases are mainly mentioned. The first is the case where the login session between the user terminal TM10 and the login server 18 accompanying the login instruction LIN in step S101 reaches a timeout, and the second is the case where the browser of the user terminal TM10 is closed. It is a case.

図4において、まず、ユーザは、ユーザ端末TM10のブラウザを介してサービスプロバイダSPaへアクセスする(ステップS201)。続いて、サービスプロバイダSPaは、図3のステップS106の場合と同様に、ログイン認証要求ARQを作成し、それをユーザ端末TM10を介してログインサーバ18へ送信する(ステップS202)。続いて、図3の場合と異なり、ログインサーバ18は、ログイン認証要求ARQを受けてユーザ端末TM10へログイン情報を要求する(ステップS203)。これに応じて、ユーザ端末TM10は、ログインサーバ18へログイン命令LINを送信する(ステップS204)。 In FIG. 4, the user first accesses the service provider Spa via the browser of the user terminal TM10 (step S201). Subsequently, the service provider SPA creates a login authentication request ARQ and transmits it to the login server 18 via the user terminal TM10 (step S202), as in the case of step S106 of FIG. Subsequently, unlike the case of FIG. 3, the login server 18 receives the login authentication request ARQ and requests the login information from the user terminal TM10 (step S203). In response to this, the user terminal TM10 transmits a login command LIN to the login server 18 (step S204).

ステップS203,S204において、具体的には、図3のステップS101の場合と同様に、ログインサーバ18は、ユーザ端末TM10のブラウザにログイン/ログアウト画面を提供する(ステップS203)。ユーザは、当該ログイン/ログアウト画面上で、ユーザIDおよびパスワード(PW)の入力を含めたログイン操作を行うことでログインサーバ18へログイン命令LINを送信する(ステップS204)。 In steps S203 and S204, specifically, as in the case of step S101 of FIG. 3, the login server 18 provides a login / logout screen to the browser of the user terminal TM10 (step S203). The user transmits a login command LIN to the login server 18 by performing a login operation including input of a user ID and a password (PW) on the login / logout screen (step S204).

その後は、ステップS205〜S207において、図3のステップS107〜S109の場合と同様の処理が行われる。簡単に説明すると、ログインサーバ18は、認証情報を秘密鍵で電子署名し、それを含んだログイン認証応答ARSをHTMLフォームに配置して、ユーザ端末TM10へ送信する(ステップS205)。この際に、ログインサーバ18は、例えば、HTMLフォームに対して、ステップS202の要求元であるサービスプロバイダSPaへ自動送信するためのスクリプトを付加する。 After that, in steps S205 to S207, the same processing as in steps S107 to S109 of FIG. 3 is performed. Briefly, the login server 18 digitally signs the authentication information with the private key, arranges the login authentication response ARS including the authentication information in the HTML form, and transmits the login authentication response ARS to the user terminal TM10 (step S205). At this time, the login server 18 adds, for example, a script for automatically transmitting to the service provider Spa, which is the request source of step S202, to the HTML form.

続いて、ユーザ端末TM10のブラウザは、受信したログイン認証応答ARSを含むHTMLフォームを、HTTP POSTメソッドを用いてサービスプロバイダSPaへ送信する(ステップS206)。サービスプロバイダSPaは、HTMLフォームからログイン認証応答ARSを取得し、その中の認証情報を復号した後、当該認証情報に基づいて、ユーザのログインを許可すると共に、アクセス権限を検証した上で所定のリソースをユーザへ提供する(ステップS207)。 Subsequently, the browser of the user terminal TM10 transmits the HTML form including the received login authentication response ARS to the service provider Spa using the HTTP POST method (step S206). The service provider Spa acquires the login authentication response ARS from the HTML form, decrypts the authentication information in it, permits the user to log in based on the authentication information, verifies the access authority, and then determines the predetermined value. The resource is provided to the user (step S207).

その後、ユーザは、ユーザ端末TM10のブラウザを介してサービスプロバイダSPbへアクセスする(ステップS208)。これに応じて、ステップS209〜S212において、ステップS202,S205〜S207の場合と同様の処理がサービスプロバイダSPbを対象として行われる。すなわち、サービスプロバイダSPaの場合と異なり、ユーザ端末10からログインサーバ18へのログイン認証(ひいてはサービスプロバイダSPbにログインするための認証)はステップS203,S204で既に完了しているため、これらの処理は行われない。 After that, the user accesses the service provider SPb via the browser of the user terminal TM10 (step S208). In response to this, in steps S209 to S212, the same processing as in the cases of steps S202 and S205 to S207 is performed on the service provider SPb. That is, unlike the case of the service provider SPA, the login authentication from the user terminal 10 to the login server 18 (and thus the authentication for logging in to the service provider SPb) has already been completed in steps S203 and S204, so that these processes are performed. Not done.

その後、ユーザは、ユーザ端末TM10のブラウザを介してサービスプロバイダSPaへログアウト命令LOUTを送信する(ステップS213)。ここで、例えば、シングルログアウト(SLO)機能に対応したサービスプロバイダでは、このログアウト命令LOUT(例えば、サービスプロバイダSPaからの提供画面上でのログアウト操作)をシングルログアウト(SLO)として取り扱うことが可能である。 After that, the user transmits a logout command LOUT to the service provider Spa via the browser of the user terminal TM10 (step S213). Here, for example, a service provider corresponding to the single logout (SLO) function can handle this logout instruction LOUT (for example, a logout operation on the provision screen from the service provider SPA) as a single logout (SLO). be.

この場合、サービスプロバイダSPaは、自身からユーザをログアウトすると共に、例えば、HTTPリダイレクトを用いて、ユーザ端末TM10のブラウザを介してログインサーバ18へログアウト要求LORQを送信する(ステップS214)。ログインサーバ18は、サービスプロバイダSPaからのログアウト要求LORQを受け、ログインDB26に基づいて、ユーザがログイン中の他のサービスプロバイダSPbへログアウト要求LORQを送信する(ステップS215)。これを受けて、サービスプロバイダSPbも、自身からユーザをログアウトさせる。 In this case, the service provider SPA logs out the user from itself and, for example, uses HTTP redirect to send a logout request LORQ to the login server 18 via the browser of the user terminal TM10 (step S214). The login server 18 receives the logout request LORQ from the service provider SPA, and transmits the logout request LORQ to another service provider SPb in which the user is logged in based on the login DB 26 (step S215). In response to this, the service provider SPb also logs out the user from itself.

ここで、ログインサーバ18は、例えば、ステップS205の段階でサービスプロバイダSPaへのログインセッションが確立された(すなわち、サービスプロバイダSPaにログイン中)と判断し、図2のログインDB26内のログインセッション情報32を更新する。同様に、ログインサーバ18は、例えば、ステップS210の段階でサービスプロバイダSPbへのログインセッションが確立された(すなわち、サービスプロバイダSPbにログイン中)と判断し、ログインセッション情報32を更新する。 Here, for example, the login server 18 determines that the login session to the service provider SPA has been established (that is, is logging in to the service provider SPA) at the stage of step S205, and the login session information in the login DB 26 of FIG. Update 32. Similarly, the login server 18 determines that the login session to the service provider SPb has been established (that is, is logged in to the service provider SPb) at the stage of step S210, and updates the login session information 32.

また、ログインサーバ18は、例えば、ステップS214の段階でサービスプロバイダSPaへのログインセッションが未確立になった(すなわち、サービスプロバイダSPaからログアウトされた)と判断し、図2のログインDB26内のログインセッション情報32を更新する。さらに、ログインサーバ18は、例えば、ステップS215の段階でサービスプロバイダSPbへのログインセッションが未確立になった(すなわち、サービスプロバイダSPbからログアウトされた)と判断し、ログインセッション情報32を更新する。 Further, the login server 18 determines, for example, that the login session to the service provider SPA has not been established (that is, has been logged out from the service provider SPA) at the stage of step S214, and the login in the login DB 26 of FIG. 2 is performed. Update session information 32. Further, for example, the login server 18 determines that the login session to the service provider SPb has not been established (that is, has been logged out from the service provider SPb) at the stage of step S215, and updates the login session information 32.

《ログインサーバの詳細》
図5は、図1において、ログインサーバの主要部の構成例を示すブロック図である。図5に示すログインサーバ(Idp)18は、制御部35と、記憶部25とを備える。記憶部25は、例えば、RAM(Random access memory)、不揮発性メモリ、ハードディスクドライブ、SSD(Solid State Drive)等の組み合わせで構成され、図2に示したようなログインDB26を保持する。制御部35は、例えば、記憶部25に格納された所定のプログラムをCPU(Central Processing Unit)等が実行することで実装される。ただし、このような実装形態に限らず、一部または全ての構成要素を、FPGA(Field Programmable Gate Array)やASIC(Application Specific Integrated Circuit)等のデバイスで実装してもよい。 << Details of login server >>
FIG. 5 is a block diagram showing a configuration example of a main part of the login server in FIG. The login server (Idp) 18 shown in FIG. 5 includes a control unit 35 and a storage unit 25. The storage unit 25 is composed of, for example, a combination of a RAM (Random access memory), a non-volatile memory, a hard disk drive, an SSD (Solid State Drive), and the like, and holds a login DB 26 as shown in FIG. The control unit 35 is implemented by, for example, executing a predetermined program stored in the storage unit 25 by a CPU (Central Processing Unit) or the like. However, the present invention is not limited to such an implementation form, and some or all the components may be implemented by a device such as FPGA (Field Programmable Gate Array) or ASIC (Application Specific Integrated Circuit).

制御部35は、ログイン制御部36と、画面提供部37と、ログアウト制御部38と、認証拒否情報設定部39とを備え、ログインDB26に基づいて、ユーザのログイン操作またはログアウト操作に応じた各種制御を行う。ログイン制御部36は、ユーザ端末TMからのログイン命令LIN(図3のステップS101等)や、サービスプロバイダSPからのログイン認証要求ARQ(図4のステップS202等)を受けて、ログイン認証の可否判定や、認証情報の作成を行う。 The control unit 35 includes a login control unit 36, a screen providing unit 37, a logout control unit 38, and an authentication refusal information setting unit 39, and various types according to a user's login operation or logout operation based on the login DB 26. Take control. The login control unit 36 receives a login command LIN (step S101, etc. in FIG. 3) from the user terminal TM and a login authentication request ARQ (step S202, etc. in FIG. 4) from the service provider SP, and determines whether or not login authentication is possible. Or create authentication information.

また、ログイン制御部36は、作成した認証情報をログイン認証応答ARSに包含し、当該ログイン認証応答ARSをユーザ端末TMのブラウザを介して要求元のサービスプロバイダSPへ送信する(図3のステップS107,S108等)。この際に、ログイン制御部36は、ログインDB26内のログインセッション情報32を更新する。さらに、ログイン制御部36は、必要に応じて、画面提供部37を介してログイン/ログアウト画面や、SP選択画面をユーザ端末TMのブラウザに表示させる(図3のステップS101,S102等)。 Further, the login control unit 36 includes the created authentication information in the login authentication response ARS, and transmits the login authentication response ARS to the requesting service provider SP via the browser of the user terminal TM (step S107 in FIG. 3). , S108, etc.). At this time, the login control unit 36 updates the login session information 32 in the login DB 26. Further, the login control unit 36 causes the login / logout screen and the SP selection screen to be displayed on the browser of the user terminal TM via the screen providing unit 37 as needed (steps S101, S102, etc. in FIG. 3).

ログアウト制御部38は、ユーザ端末TMからのログアウト命令LOUT(図3のステップS117等)や、サービスプロバイダSPからのログアウト要求LORQ(図4のステップS214等)を受信した際に、ログインDB26内のログインセッション情報32を参照する。そして、ログアウト制御部38は、ログインセッション情報32に基づいて、ユーザがログイン中のサービスプロバイダSPへログアウト要求LORQ(図3のステップS118,S119等)を送信する。この際に、ログイン制御部36は、ログインDB26内のログインセッション情報32を更新する。また、ログイン制御部36は、必要に応じて、画面提供部37を介してログイン/ログアウト画面をユーザ端末TMのブラウザに表示させる(図3のステップS117等)。 When the logout control unit 38 receives the logout command LOUT from the user terminal TM (step S117 in FIG. 3 or the like) or the logout request LORQ from the service provider SP (step S214 or the like in FIG. 4), the logout control unit 38 is in the login DB 26. Refer to the login session information 32. Then, the logout control unit 38 transmits a logout request LORQ (steps S118, S119, etc. in FIG. 3) to the service provider SP in which the user is logged in, based on the login session information 32. At this time, the login control unit 36 updates the login session information 32 in the login DB 26. Further, the login control unit 36 displays the login / logout screen on the browser of the user terminal TM via the screen providing unit 37 as needed (step S117 in FIG. 3 and the like).

さらに、ログアウト制御部38は、認証拒否情報ARIを受信した際にも、ログインDB26内のログインセッション情報32に基づいて、ユーザがログイン中のサービスプロバイダSPへログアウト要求LORQを送信する。認証拒否情報ARIは、所定のユーザIDをログインDB26内のログイン認証可否情報31等でログイン認証拒否に定めるための情報である。これにより、認証拒否情報ARIの対象となるユーザID(すなわち不正なユーザ)からのサービスプロバイダSPへのアクセスは、現在アクセス中であったとしても、認証拒否情報ARIを受信した時点で、サービスプロバイダSPによって強制的に遮断される。 Further, when the logout control unit 38 receives the authentication refusal information ARI, it also transmits a logout request LORQ to the service provider SP in which the user is logged in, based on the login session information 32 in the login DB 26. The authentication refusal information ARI is information for defining a predetermined user ID as login authentication refusal in the login authentication propriety information 31 or the like in the login DB 26. As a result, the access to the service provider SP from the user ID (that is, an unauthorized user) subject to the authentication refusal information ARI is the service provider at the time of receiving the authentication refusal information ARI even if it is currently being accessed. It is forcibly blocked by the SP.

認証拒否情報設定部39は、認証拒否情報ARIを受信した際に、対象となるユーザIDに対応するログインDB26内のログイン認証可否情報31がログイン認証拒否となるようにログインDB26を更新する。これにより、仮にアクセスを強制的に遮断された不正なユーザが、再度、サービスプロバイダSPへのログイン認証を試みたとしても、当該ログイン認証は、ログインサーバ18(ログアウト制御部38)によって拒否される。 When the authentication refusal information setting unit 39 receives the authentication refusal information ARI, the login DB 26 is updated so that the login authentication permission / rejection information 31 in the login DB 26 corresponding to the target user ID is the login authentication refusal. As a result, even if an unauthorized user whose access is forcibly blocked attempts login authentication to the service provider SP again, the login authentication is rejected by the login server 18 (logout control unit 38). ..

図6は、図1および図5のログインサーバを用いて行われる主要な処理内容の一例を示すシーケンス図である。図6では、まず、ユーザID“UID20”を有するユーザがサービスプロバイダSPa又はSPbにログイン中となっている(ステップS301)。この状態で、例えば、当該ユーザが不正なユーザとみなされた場合、認証サーバ17は、認証DB24内で、ユーザID“UID20”のネットワーク認証可否情報27をネットワーク認証拒否に変更する(ステップS302)。 FIG. 6 is a sequence diagram showing an example of main processing contents performed by using the login server of FIGS. 1 and 5. In FIG. 6, first, a user having the user ID “UID20” is logged in to the service provider Spa or SPb (step S301). In this state, for example, when the user is regarded as an unauthorized user, the authentication server 17 changes the network authentication availability information 27 of the user ID “UID20” to network authentication refusal in the authentication DB 24 (step S302). ..

また、ステップS302に伴い、ログインサーバ18は、ネットワーク認証拒否のユーザID“UID20”を含む認証拒否情報ARIを受信する(ステップS303)。この際には、認証サーバ17が、ステップS302の処理の際に、認証拒否情報ARIを作成してログインサーバ18へ送信する方式を用いることができる。または、ログインサーバ18が、認証サーバ17の認証DB24内でネットワーク認証拒否に定められているユーザIDを、認証拒否情報ARIとして認証サーバ17との定期的な通信を介して取得するような方式を用いてもよい。ただし、処理負荷および通信負荷の観点や、認証拒否情報ARIを迅速に反映させる観点では、前者の方式を用いる方が望ましい。 Further, in accordance with step S302, the login server 18 receives the authentication refusal information ARI including the user ID “UID20” for network authentication refusal (step S303). At this time, the authentication server 17 can use a method of creating the authentication refusal information ARI and transmitting it to the login server 18 at the time of the process of step S302. Alternatively, a method is adopted in which the login server 18 acquires the user ID defined for network authentication refusal in the authentication DB 24 of the authentication server 17 as authentication refusal information ARI via periodic communication with the authentication server 17. You may use it. However, from the viewpoint of processing load and communication load, and from the viewpoint of quickly reflecting the authentication refusal information ARI, it is desirable to use the former method.

また、ここでは、認証拒否情報ARIは認証サーバ17によって作成されたが、場合によっては、管理者等が認証拒否情報ARIを手動で作成し、ログインサーバ18(および認証サーバ17)に手動で反映させることも可能である。いずれの場合であっても、認証拒否情報ARIは、ユーザIDを認証サーバ17内でネットワーク認証拒否に定める場合に、併せて、ログインDB26内でもログイン認証拒否に定めるために作成される。 Further, here, the authentication refusal information ARI is created by the authentication server 17, but in some cases, the administrator or the like manually creates the authentication refusal information ARI and manually reflects it on the login server 18 (and the authentication server 17). It is also possible to let them. In any case, the authentication refusal information ARI is created when the user ID is set as network authentication refusal in the authentication server 17, and also in the login DB 26 to be set as login authentication refusal.

ログインサーバ18(認証拒否情報設定部39)は、ステップS303での認証拒否情報ARIを受け、ログインDB26内のユーザID“UID20”に対応するログイン認証可否情報31をログイン認証拒否に変更する(ステップS304)。さらに、ログインサーバ18(ログアウト制御部38)は、ユーザID“UID20”のユーザ(すなわち不正なユーザ)がログイン中のサービスプロバイダSPa又はSPbへ、ログアウト要求LORQを送信する(ステップS305)。 The login server 18 (authentication refusal information setting unit 39) receives the authentication refusal information ARI in step S303, and changes the login authentication propriety information 31 corresponding to the user ID “UID20” in the login DB 26 to login authentication refusal (step). S304). Further, the login server 18 (logout control unit 38) transmits a logout request LORQ to the service provider SPA or SPb in which the user with the user ID “UID20” (that is, an unauthorized user) is logged in (step S305).

その結果、サービスプロバイダSPa又はSPbは、不正なユーザがログイン中であっても、当該不正なユーザを自身から強制的にログアウトさせることが可能になる(ステップS306)。これに伴い、当該不正なユーザは、その後に、ログインサーバ18へログイン命令LINを送信し、再度のログイン認証を試みる(ステップS307)。この場合であっても、ログインサーバ18は、ステップS304の処理が既に行われているため、当該ログイン認証を拒否することが可能になる(ステップS308)。 As a result, the service provider SPA or SPb can forcibly log out the unauthorized user from himself / herself even if the unauthorized user is logged in (step S306). Along with this, the unauthorized user subsequently sends a login command LIN to the login server 18 and attempts login authentication again (step S307). Even in this case, the login server 18 can reject the login authentication because the process of step S304 has already been performed (step S308).

《実施の形態1の主要な効果》
以上、実施の形態1のサーバ装置およびネットワークシステムを用いることで、代表的には、ネットワークのセキュリティを高めることが可能になる。具体的には、ネットワーク認証で認証拒否に定められたユーザをログイン認証でも認証拒否に定めることが可能になる。これにより、例えば、不正なユーザが、ネットワーク認証が許可されたユーザ端末を不正に用いてログイン認証を試みたとしても、当該ログイン認証を拒否することが可能になる。さらに、既にサービスプロバイダにログイン中のユーザであっても、当該ユーザが不正なユーザとみなされた時点で、当該ユーザを迅速かつ強制的にログアウトさせることが可能になる。 << Main effect of Embodiment 1 >>
As described above, by using the server device and the network system of the first embodiment, it is possible to typically enhance the security of the network. Specifically, it is possible to set a user who is set as authentication refusal in network authentication to be set as authentication refusal in login authentication. As a result, for example, even if an unauthorized user attempts login authentication by illegally using a user terminal for which network authentication is permitted, the login authentication can be rejected. Further, even if the user is already logged in to the service provider, the user can be quickly and forcibly logged out when the user is regarded as an unauthorized user.

なお、ここでは、説明の簡素化のため、同一ユーザに対する認証DB24内のユーザIDとログインDB26内のユーザIDとは、同一の値であるものとした。ただし、当該2個のユーザIDは、必ずしも同一の値である必要はなく、2個のユーザIDの対応関係を表すテーブル等をログインサーバ18内に設ければ、異なる値であってもよい。 Here, for the sake of simplification of the description, the user ID in the authentication DB 24 and the user ID in the login DB 26 for the same user are assumed to have the same value. However, the two user IDs do not necessarily have to have the same value, and may have different values as long as a table or the like showing the correspondence between the two user IDs is provided in the login server 18.

(実施の形態2)
《ネットワークシステムの概略》
図7は、本発明の実施の形態2によるネットワークシステムにおける主要部の構成例および動作例を示す概略図である。図8は、図7に続く構成例および動作例を示す概略図である。図7に示すネットワークシステムは、図1に示した構成例に加えて、不正通信検知装置12と、ログ管理サーバ15、DHCP(Dynamic Host Configuration Protocol)サーバ16とを有する。また、認証クライアント(例えば、RADIUSクライアント)として、図1に示した認証スイッチSWの他に、無線LANコントローラWLCが追加されている。 (Embodiment 2)
<< Outline of network system >>
FIG. 7 is a schematic view showing a configuration example and an operation example of a main part in the network system according to the second embodiment of the present invention. FIG. 8 is a schematic view showing a configuration example and an operation example following FIG. 7. The network system shown in FIG. 7 includes an unauthorized communication detection device 12, a log management server 15, and a DHCP (Dynamic Host Configuration Protocol) server 16 in addition to the configuration example shown in FIG. Further, as an authentication client (for example, a RADIUS client), a wireless LAN controller WLC is added in addition to the authentication switch SW shown in FIG.

無線LANコントローラWLCは、無線通信のアクセスポイントの機能とL2スイッチの機能とを備える。無線LANコントローラWLCは、認証スイッチSWの場合と同様に、内部ネットワーク10と、ユーザ端末TM20との間に接続され、ユーザ端末TM20から内部ネットワーク10の認証を求めるネットワーク認証要求を受信する。ユーザ端末TM20は、IPアドレス“IPA20”およびMACアドレス“MA20”が設定され、この例では、ユーザID“UID20”を有するユーザ14bによって使用される。 The wireless LAN controller WLC has a function of an access point for wireless communication and a function of an L2 switch. The wireless LAN controller WLC is connected between the internal network 10 and the user terminal TM 20 as in the case of the authentication switch SW, and receives a network authentication request from the user terminal TM 20 for authentication of the internal network 10. The user terminal TM20 is set with the IP address "IPA20" and the MAC address "MA20", and in this example, it is used by the user 14b having the user ID "UID20".

DHCPサーバ16は、内部ネットワーク10に接続され、記憶部21に保持されるIP管理DB22を有する。DHCPサーバ16は、ユーザ端末TM10,TM20からのIPアドレスの割り当て要求に応じてIPアドレスを割り当て、当該IPアドレスと当該ユーザ端末のMACアドレスとの対応関係をIP管理DB22に登録する。さらに、DHCPサーバ16は、ユーザ端末にIPアドレスを割り当てた場合に、当該ユーザ端末のIPアドレスおよびMACアドレスを含むDHCPログLG2を作成し、ログ管理サーバ15へ送信する。 The DHCP server 16 has an IP management DB 22 connected to the internal network 10 and held in the storage unit 21. The DHCP server 16 allocates an IP address in response to an IP address allocation request from the user terminals TM10 and TM20, and registers the correspondence between the IP address and the MAC address of the user terminal in the IP management DB 22. Further, when an IP address is assigned to a user terminal, the DHCP server 16 creates a DHCP log LG2 including the IP address and MAC address of the user terminal and transmits the DHCP log LG2 to the log management server 15.

また、認証サーバ17または認証クライアント(SWまたはWLC)の一方(この例では認証サーバ17)は、ネットワーク認証許可の際に認証許可ログLG1を作成し、ログ管理サーバ15へ送信する。認証許可ログLG1は、ネットワーク認証許可の対象となるユーザIDと、ネットワーク認証要求の送信元であるユーザ端末のMACアドレスとを含む。 Further, one of the authentication server 17 and the authentication client (SW or WLC) (authentication server 17 in this example) creates an authentication permission log LG1 at the time of network authentication permission and transmits it to the log management server 15. The authentication permission log LG1 includes a user ID that is the target of network authentication permission and the MAC address of the user terminal that is the source of the network authentication request.

ログ管理サーバ15は、記憶部19に保持される端末管理DB20を有する。ログ管理サーバ15は、認証サーバ17または認証クライアント(SWまたはWLC)からの認証許可ログLG1と、DHCPサーバ16からのDHCPログLG2とを受けて、端末管理DB20に所定の情報を登録する。具体的には、ログ管理サーバ15は、認証許可ログLG1およびDHCPログLG2を、その中に含まれるMACアドレスで対応付けることで、図8に示されるように、ユーザIDとユーザ端末のIPアドレスおよびMACアドレスとの対応関係を端末管理DB20に登録する。 The log management server 15 has a terminal management DB 20 held in the storage unit 19. The log management server 15 receives the authentication permission log LG1 from the authentication server 17 or the authentication client (SW or WLC) and the DHCP log LG2 from the DHCP server 16 and registers predetermined information in the terminal management DB 20. Specifically, the log management server 15 associates the authentication permission log LG1 and the DHCP log LG2 with the MAC addresses included therein, so that the user ID and the IP address of the user terminal and the IP address of the user terminal are as shown in FIG. The correspondence with the MAC address is registered in the terminal management DB 20.

不正通信検知装置12は、IPS(Intrusion Prevention System)装置やIDS(Intrusion Detection System)装置等である。不正通信検知装置12は、図8に示されるように、内部ネットワーク10から外部ネットワーク11へ向けた通信を監視し、不正通信を検知した際に不正通信に伴う送信元のIPアドレスを含む不正通信検知ログLG3をログ管理サーバ15へ送信する。なお、各種ログ(LG1〜LG3)は、例えば、syslogや、SNMP(Simple Network Management Protocol) Trap等を用いて送信される。 The fraudulent communication detection device 12 is an IPS (Intrusion Prevention System) device, an IDS (Intrusion Detection System) device, or the like. As shown in FIG. 8, the fraudulent communication detection device 12 monitors the communication from the internal network 10 to the external network 11, and when the fraudulent communication is detected, the fraudulent communication includes the IP address of the source associated with the fraudulent communication. The detection log LG3 is transmitted to the log management server 15. The various logs (LG1 to LG3) are transmitted using, for example, syslog, SNMP (Simple Network Management Protocol) Trap, or the like.

図8の例では、不正通信検知装置12は、ユーザID“UID20”のユーザ14bからのユーザ端末TM20を介した通信(ユーザフレームUF)を不正通信として検知している。なお、不正通信検知装置12は、予め通信手順や通信内容等を含む不正通信条件が設定されており、この不正通信条件を満たした通信を不正通信とみなす。 In the example of FIG. 8, the fraudulent communication detection device 12 detects the communication (user frame UF) from the user 14b of the user ID “UID20” via the user terminal TM20 as fraudulent communication. The fraudulent communication detection device 12 is set in advance with fraudulent communication conditions including communication procedures, communication contents, and the like, and communication satisfying these fraudulent communication conditions is regarded as fraudulent communication.

一方、ログ管理サーバ15は、図8に示されるように、不正通信検知装置12からの不正通信検知ログLG3と端末管理DB20とに基づいて、不正通信を行ったユーザID(この例では“UID20”)を含む認証拒否情報ARIを作成する。また、図8の例では、ログ管理サーバ15は、作成した認証拒否情報ARIを、認証クライアント(この例ではWLC)と認証サーバ17とログインサーバ18へ、それぞれ、認証拒否情報ARI1,ARI2,ARI3として送信している。 On the other hand, as shown in FIG. 8, the log management server 15 performs unauthorized communication based on the unauthorized communication detection log LG3 from the unauthorized communication detection device 12 and the terminal management DB 20 (in this example, “UID20”. Create authentication refusal information ARI including "). Further, in the example of FIG. 8, the log management server 15 transfers the created authentication refusal information ARI to the authentication client (WLC in this example), the authentication server 17, and the login server 18, respectively. Is being sent as.

認証クライアント(WLC)は、認証拒否情報ARI1を受けて、ユーザ端末TM20と内部ネットワーク10との間の通信経路を遮断する。認証サーバ17は、認証拒否情報ARI2を受けて、認証DB24内の対象のユーザID“UID20”に対応するネットワーク認証可否情報27をネットワーク認証拒否に変更する。それ以降、ユーザID“UID20”を用いたネットワーク認証要求は、認証サーバ17によって拒否される。 The authentication client (WLC) receives the authentication refusal information ARI1 and blocks the communication path between the user terminal TM20 and the internal network 10. The authentication server 17 receives the authentication refusal information ARI2 and changes the network authentication propriety information 27 corresponding to the target user ID "UID20" in the authentication DB 24 to network authentication refusal. After that, the network authentication request using the user ID "UID20" is rejected by the authentication server 17.

ログインサーバ(サーバ装置)18は、認証拒否情報ARI3を受けて、ログインDB26内の対象のユーザID“UID20”に対応するログイン認証可否情報31をログイン認証拒否に変更する。それ以降、ユーザID“UID20”を用いたログイン認証は、ログインサーバ18によって拒否される。さらに、ログインサーバ18は、ユーザ14bがユーザ端末TM20を介してサービスプロバイダSPa,SPbにログイン中の場合には、認証拒否情報ARI3に応じて、ユーザ14bを強制的にサービスプロバイダからログアウトさせる。 The login server (server device) 18 receives the authentication refusal information ARI3 and changes the login authentication permission / rejection information 31 corresponding to the target user ID “UID20” in the login DB 26 to login authentication refusal. After that, the login authentication using the user ID "UID20" is rejected by the login server 18. Further, when the user 14b is logged in to the service providers SPA and SPb via the user terminal TM20, the login server 18 forcibly logs out the user 14b from the service provider according to the authentication refusal information ARI3.

一方、このような状況を受けて、不正なユーザ14bは、例えば、実施の形態1で述べたように、ネットワーク認証が許可されているユーザ端末TM10を不正に用いて、サービスプロバイダSPa,SPbに、再度、ログイン認証を試みる場合がある。この場合、ログインサーバ18は、既に、図8の認証拒否情報ARI3に応じて、ログインDB26内でユーザID“UID20”をログイン認証拒否に定めているため、不正なユーザ14bからのログイン認証を拒否することができる。また、不正なユーザ14bがユーザ端末TM10を用いてサービスプロバイダSPa,SPbにログイン済みであっても、当該不正なユーザ14bを迅速かつ強制的にログアウトさせることができる。 On the other hand, in response to such a situation, the unauthorized user 14b illegally uses the user terminal TM10 for which network authentication is permitted to the service providers SPA and SPb, for example, as described in the first embodiment. , May try login authentication again. In this case, since the login server 18 has already set the user ID "UID20" as the login authentication refusal in the login DB 26 according to the authentication refusal information ARI3 of FIG. 8, the login server 18 rejects the login authentication from the unauthorized user 14b. can do. Further, even if the unauthorized user 14b has already logged in to the service providers SPa and SPb using the user terminal TM10, the unauthorized user 14b can be quickly and forcibly logged out.

なお、ここでは、ログ管理サーバ15が、ログインサーバ18へ認証拒否情報ARI3を送信した。ただし、これに限らず、ログ管理サーバ15は、認証拒否情報ARIを認証サーバ17へ送信し、ログインサーバ18は、図6の場合と同様に、認証サーバ17によって作成された認証拒否情報ARIを認証サーバ17から受信してもよい。 Here, the log management server 15 transmits the authentication refusal information ARI3 to the login server 18. However, not limited to this, the log management server 15 transmits the authentication refusal information ARI to the authentication server 17, and the login server 18 transmits the authentication refusal information ARI created by the authentication server 17 as in the case of FIG. It may be received from the authentication server 17.

《実施の形態2の主要な効果》
以上、実施の形態2のサーバ装置およびネットワークシステムを用いることで、実施の形態1で述べた各種効果と同様の効果が得られる。加えて、不正通信を行ったユーザを検知し、当該検知結果をネットワーク認証およびログイン認証に即座に反映させることが可能になる。その結果、ネットワークのセキュリティをより高めることが可能になる。 << Main effect of Embodiment 2 >>
As described above, by using the server device and the network system of the second embodiment, the same effects as the various effects described in the first embodiment can be obtained. In addition, it is possible to detect a user who has performed unauthorized communication and immediately reflect the detection result in network authentication and login authentication. As a result, it becomes possible to further enhance the security of the network.

以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。例えば、前述した実施の形態は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 Although the invention made by the present inventor has been specifically described above based on the embodiment, the present invention is not limited to the embodiment and can be variously modified without departing from the gist thereof. For example, the above-described embodiments have been described in detail in order to explain the present invention in an easy-to-understand manner, and are not necessarily limited to those having all the described configurations. Further, it is possible to replace a part of the configuration of one embodiment with the configuration of another embodiment, and it is also possible to add the configuration of another embodiment to the configuration of one embodiment. .. Further, it is possible to add / delete / replace other configurations with respect to a part of the configurations of each embodiment.

例えば、ここでは、SSOのプロトコルとして、主に、SAMLを用いる場合を例としたが、これに限らず、OpenID Connect等であってもよい。 For example, here, the case where SAML is mainly used as the SSO protocol is taken as an example, but the present invention is not limited to this, and OpenID Connect or the like may be used.

10 内部ネットワーク
11 外部ネットワーク
12 不正通信検知装置
13 ルータ
14a,14b ユーザ
15 ログ管理サーバ
16 DHCPサーバ
17 認証サーバ
18 ログインサーバ
19,21,23,25 記憶部
20 端末管理DB
22 IP管理DB
24 認証DB
26 ログインDB
27 ネットワーク認証可否情報
30 ログイン権限情報
31 ログイン認証可否情報
32 ログインセッション情報
35 制御部
36 ログイン制御部
37 画面提供部
38 ログアウト制御部
39 認証拒否情報
ARI 認証拒否情報
ARQ ログイン認証要求
ARS ログイン認証応答
LG1 認証許可ログ
LG2 DHCPログ
LG3 不正通信検知ログ
LIN ログイン命令
LORQ ログアウト要求
LOUT ログアウト命令
SP,SPa,SPb サービスプロバイダ
SW 認証スイッチ
TM,TM10,TM20 ユーザ端末
UF ユーザフレーム
WLC 無線LANコントローラ 10 Internal network 11 External network 12 Unauthorized communication detector 13 Routers 14a, 14b Users 15 Log management server 16 DHCP server 17 Authentication server 18 Login server 19,21,23,25 Storage unit 20 Terminal management DB
22 IP management DB
24 Authentication DB
26 Login DB
27 Network authentication availability information 30 Login permission information 31 Login authentication availability information 32 Login session information 35 Control unit 36 Login control unit 37 Screen provider 38 Logout control unit 39 Authentication refusal information ARI Authentication refusal information ARQ Login authentication request ARS Login authentication response LG1 Authentication permission log LG2 DHCP log LG3 Unauthorized communication detection log LIN login command LORQ logout request LOUT logout command SP, SPA, SPb Service provider SW authentication switch TM, TM10, TM20 User terminal UF User frame WLC wireless LAN controller

Claims (9)

ユーザにユーザ端末を介して1回のログイン操作を行わせることで、内部ネットワークを介して前記ユーザ端末に接続される複数のサービスプロバイダへのログインを可能にするサーバ装置であって、
前記ユーザのユーザ識別子と、前記ユーザに対するログイン認証許可またはログイン認証拒否を定めるログイン認証可否情報と、前記ユーザがログイン中の前記サービスプロバイダとの対応関係を保持するログインデータベースと、
前記ログインデータベースに基づいて、前記ユーザの前記ログイン操作またはログアウト操作に応じた制御を行う制御部と、
を有し、
前記ユーザ識別子を、前記内部ネットワークの認証可否を判定する認証サーバでネットワーク認証拒否に定める場合に、前記ユーザ識別子を、前記ログインデータベースで前記ログイン認証拒否に定めるための認証拒否情報が作成され、
前記制御部は、前記認証拒否情報を受信した際に、前記ユーザ識別子に対応する前記ログイン認証可否情報が前記ログイン認証拒否となるように前記ログインデータベースを更新し、前記ログインデータベースに基づいて、前記ユーザがログイン中の前記サービスプロバイダへログアウト要求を送信する、
サーバ装置。 A server device that enables a user to log in to a plurality of service providers connected to the user terminal via an internal network by causing the user to perform a single login operation via the user terminal.
A login database that holds a user identifier of the user, login authentication availability information that determines login authentication permission or login authentication refusal for the user, and a correspondence relationship with the service provider that the user is logged in to.
A control unit that controls according to the login operation or logout operation of the user based on the login database.
Have,
When the user identifier is set for network authentication refusal by the authentication server that determines whether or not the internal network can be authenticated, authentication refusal information for defining the user identifier for the login authentication refusal is created in the login database.
When the control unit receives the authentication refusal information, the control unit updates the login database so that the login authentication permission / rejection information corresponding to the user identifier becomes the login authentication refusal, and based on the login database, the control unit updates the login database. Sending a logout request to the service provider that the user is logged in to,
Server device. 請求項1記載のサーバ装置において、
前記制御部は、前記認証拒否情報を前記認証サーバから受信する、
サーバ装置。 In the server device according to claim 1,
The control unit receives the authentication refusal information from the authentication server.
Server device. 請求項1記載のサーバ装置において、
前記制御部は、前記ユーザの前記ログアウト操作に伴うログアウト命令を前記ユーザ端末から受信した際に、前記ログインデータベースに基づいて、前記ユーザがログイン中の前記サービスプロバイダへログアウト要求を送信する、
サーバ装置。 In the server device according to claim 1,
When the control unit receives a logout command associated with the logout operation of the user from the user terminal, the control unit transmits a logout request to the service provider logged in by the user based on the login database.
Server device. 内部ネットワークと、
複数のサービスプロバイダが接続される外部ネットワークと、
前記内部ネットワークと、ユーザによって使用されるユーザ端末との間に接続され、前記ユーザ端末から前記内部ネットワークの認証を求めるネットワーク認証要求を受信する認証クライアントと、
前記内部ネットワークに接続され、前記ネットワーク認証要求に伴う前記認証クライアントからの認証判定要求に応じて、認証データベースに基づいてネットワーク認証許可/ネットワーク認証拒否を判定し、前記ネットワーク認証許可/ネットワーク認証拒否の判定結果を前記認証クライアントへ応答する認証サーバと、
前記内部ネットワークに接続され、前記ユーザに前記ユーザ端末を介して1回のログイン操作を行わせることで、前記複数のサービスプロバイダへのログインを可能にするサーバ装置と、
を有するネットワークシステムであって、
前記サーバ装置は、
前記ユーザのユーザ識別子と、前記ユーザに対するログイン認証許可またはログイン認証拒否を定めるログイン認証可否情報と、前記ユーザがログイン中の前記サービスプロバイダとの対応関係を保持するログインデータベースと、
前記ログインデータベースに基づいて、前記ユーザの前記ログイン操作またはログアウト操作に応じた制御を行う制御部と、
を有し、
前記ユーザ識別子を前記認証データベースで前記ネットワーク認証拒否に定める場合に、前記ユーザ識別子を前記ログインデータベースで前記ログイン認証拒否に定めるための認証拒否情報が作成され、
前記制御部は、前記認証拒否情報を受信した際に、前記ユーザ識別子に対応する前記ログイン認証可否情報が前記ログイン認証拒否となるように前記ログインデータベースを更新し、前記ログインデータベースに基づいて、前記ユーザがログイン中の前記サービスプロバイダへログアウト要求を送信する、
ネットワークシステム。 With the internal network
With an external network to which multiple service providers are connected,
An authentication client that is connected between the internal network and a user terminal used by a user and receives a network authentication request from the user terminal for authentication of the internal network.
It is connected to the internal network, and in response to the authentication judgment request from the authentication client accompanying the network authentication request, the network authentication permission / network authentication refusal is determined based on the authentication database, and the network authentication permission / network authentication refusal is determined. An authentication server that responds to the authentication client with the determination result,
A server device that is connected to the internal network and allows the user to log in to the plurality of service providers by performing one login operation via the user terminal.
Is a network system that has
The server device
A login database that holds a user identifier of the user, login authentication availability information that determines login authentication permission or login authentication refusal for the user, and a correspondence relationship with the service provider that the user is logged in to.
A control unit that controls according to the login operation or logout operation of the user based on the login database.
Have,
When the user identifier is defined in the network authentication refusal in the authentication database, authentication refusal information for defining the user identifier in the login authentication refusal in the login database is created.
When the control unit receives the authentication refusal information, the control unit updates the login database so that the login authentication permission / rejection information corresponding to the user identifier becomes the login authentication refusal, and based on the login database, the control unit updates the login database. Sending a logout request to the service provider that the user is logged in to,
Network system. 請求項4記載のネットワークシステムにおいて、
前記制御部は、前記認証拒否情報を前記認証サーバから受信する、
ネットワークシステム。 In the network system according to claim 4,
The control unit receives the authentication refusal information from the authentication server.
Network system. 請求項4記載のネットワークシステムにおいて、
前記制御部は、前記ユーザの前記ログアウト操作に伴うログアウト命令を前記ユーザ端末から受信した際に、前記ログインデータベースに基づいて、前記ユーザがログイン中の前記サービスプロバイダへログアウト要求を送信する、
ネットワークシステム。 In the network system according to claim 4,
When the control unit receives a logout command associated with the logout operation of the user from the user terminal, the control unit transmits a logout request to the service provider logged in by the user based on the login database.
Network system. 請求項4記載のネットワークシステムにおいて、
前記内部ネットワークに接続され、前記ユーザ端末にIPアドレスを割り当て、前記IPアドレスを割り当てた場合に、前記ユーザ端末のIPアドレスおよびMACアドレスを含むDHCP(Dynamic Host Configuration Protocol)ログを作成するDHCPサーバと、
前記内部ネットワークに接続され、前記ネットワーク認証許可の際に前記認証サーバまたは前記認証クライアントの一方によって作成される認証許可ログと、前記DHCPサーバからの前記DHCPログとを受けて、前記ユーザ識別子と前記ユーザ端末のIPアドレスとの対応関係を端末管理データベースに登録するログ管理サーバと、
前記内部ネットワークから前記外部ネットワークへ向けた通信を監視し、不正通信を検知した際に前記不正通信に伴う送信元のIPアドレスを含む不正通信検知ログを前記ログ管理サーバへ送信する不正通信検知装置と、
を有し、
前記認証許可ログは、前記ネットワーク認証許可の対象となる前記ユーザ識別子と、前記ユーザ端末のMACアドレスとを含み
前記ログ管理サーバは、前記不正通信検知ログと前記端末管理データベースとに基づいて、前記認証拒否情報を作成する、
ネットワークシステム。 In the network system according to claim 4,
With a DHCP server that is connected to the internal network, assigns an IP address to the user terminal, and creates a DHCP (Dynamic Host Configuration Protocol) log including the IP address and MAC address of the user terminal when the IP address is assigned. ,
Upon receiving the authentication authorization log connected to the internal network and created by either the authentication server or the authentication client at the time of the network authentication authorization, and the DHCP log from the DHCP server, the user identifier and the said A log management server that registers the correspondence with the IP address of the user terminal in the terminal management database,
An unauthorized communication detection device that monitors communication from the internal network to the external network, and when an unauthorized communication is detected, transmits an unauthorized communication detection log including the IP address of the source associated with the unauthorized communication to the log management server. When,
Have,
The authentication permission log includes the user identifier subject to the network authentication permission and the MAC address of the user terminal, and the log management server is based on the unauthorized communication detection log and the terminal management database. Create authentication denial information,
Network system. 請求項7記載のネットワークシステムにおいて、
前記ログ管理サーバは、前記認証拒否情報を前記認証サーバと前記サーバ装置とへ送信する、
ネットワークシステム。 In the network system according to claim 7,
The log management server transmits the authentication refusal information to the authentication server and the server device.
Network system. 請求項7記載のネットワークシステムにおいて、
前記ログ管理サーバは、前記認証拒否情報を前記認証サーバへ送信し、
前記サーバ装置は、前記認証拒否情報を前記認証サーバから受信する、
ネットワークシステム。 In the network system according to claim 7,
The log management server transmits the authentication refusal information to the authentication server, and the log management server sends the authentication refusal information to the authentication server.
The server device receives the authentication refusal information from the authentication server.
Network system.
JP2020069563A 2020-04-08 2020-04-08 Server equipment and network system Active JP7221235B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020069563A JP7221235B2 (en) 2020-04-08 2020-04-08 Server equipment and network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020069563A JP7221235B2 (en) 2020-04-08 2020-04-08 Server equipment and network system

Publications (2)

Publication Number Publication Date
JP2021165977A true JP2021165977A (en) 2021-10-14
JP7221235B2 JP7221235B2 (en) 2023-02-13

Family

ID=78022019

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020069563A Active JP7221235B2 (en) 2020-04-08 2020-04-08 Server equipment and network system

Country Status (1)

Country Link
JP (1) JP7221235B2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008152596A (en) * 2006-12-19 2008-07-03 Fuji Xerox Co Ltd Authentication program, authentication server and single sign-on authentication system
JP2008244840A (en) * 2007-03-27 2008-10-09 Nec Corp Repeater, network system and repeating-processing program
JP2009003559A (en) * 2007-06-19 2009-01-08 Fuji Xerox Co Ltd Computer system for single sign-on server, and program
JP2013073421A (en) * 2011-09-28 2013-04-22 Nippon Telegraph & Telephone West Corp Information processing system and information processing method
JP2017204697A (en) * 2016-05-10 2017-11-16 エイチ・シー・ネットワークス株式会社 Network system and server device
WO2020061153A1 (en) * 2018-09-21 2020-03-26 Mcafee, Llc Methods, systems, and media for detecting anomalous network activity

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008152596A (en) * 2006-12-19 2008-07-03 Fuji Xerox Co Ltd Authentication program, authentication server and single sign-on authentication system
JP2008244840A (en) * 2007-03-27 2008-10-09 Nec Corp Repeater, network system and repeating-processing program
JP2009003559A (en) * 2007-06-19 2009-01-08 Fuji Xerox Co Ltd Computer system for single sign-on server, and program
JP2013073421A (en) * 2011-09-28 2013-04-22 Nippon Telegraph & Telephone West Corp Information processing system and information processing method
JP2017204697A (en) * 2016-05-10 2017-11-16 エイチ・シー・ネットワークス株式会社 Network system and server device
WO2020061153A1 (en) * 2018-09-21 2020-03-26 Mcafee, Llc Methods, systems, and media for detecting anomalous network activity

Also Published As

Publication number Publication date
JP7221235B2 (en) 2023-02-13

Similar Documents

Publication Publication Date Title
US20240129290A1 (en) Authenticated name resolution
US8990356B2 (en) Adaptive name resolution
US9729514B2 (en) Method and system of a secure access gateway
CN109964196B (en) Multi-factor authentication as a network service
US6199113B1 (en) Apparatus and method for providing trusted network security
ES2556245T3 (en) System and procedure for secure network connectivity
US7748047B2 (en) Preventing fraudulent internet account access
KR100894555B1 (en) System and method for enabling authorization of a network device using attribute certificates
US20070169171A1 (en) Technique for authenticating network users
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
WO2022247751A1 (en) Method, system and apparatus for remotely accessing application, device, and storage medium
JP2004536359A (en) System and method for authenticating a user to a web server
US11784993B2 (en) Cross site request forgery (CSRF) protection for web browsers
CN113347072A (en) VPN resource access method, device, electronic equipment and medium
CA2912774C (en) Providing single sign-on for wireless devices
CN116545633A (en) High-security API calling method
JP7221235B2 (en) Server equipment and network system
Cisco Common Configurations
Cisco Common Configurations
Cisco Common Configurations
Cisco Common Configurations
Cisco Common Configurations
Cisco Common Configurations
Cisco Sample Configurations
Cisco Network Access Security Commands

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220404

TRDD Decision of grant or rejection written
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230130

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230131

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230201

R150 Certificate of patent or registration of utility model

Ref document number: 7221235

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150