JP3616570B2 - Internet relay connection method - Google Patents

Internet relay connection method Download PDF

Info

Publication number
JP3616570B2
JP3616570B2 JP2001000062A JP2001000062A JP3616570B2 JP 3616570 B2 JP3616570 B2 JP 3616570B2 JP 2001000062 A JP2001000062 A JP 2001000062A JP 2001000062 A JP2001000062 A JP 2001000062A JP 3616570 B2 JP3616570 B2 JP 3616570B2
Authority
JP
Japan
Prior art keywords
authentication
server
terminal
authentication server
internet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001000062A
Other languages
Japanese (ja)
Other versions
JP2002208965A (en
Inventor
修 加納
拓也 井上
陽一 溝口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
NTT Communications Corp
Original Assignee
NEC Corp
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp, NTT Communications Corp filed Critical NEC Corp
Priority to JP2001000062A priority Critical patent/JP3616570B2/en
Publication of JP2002208965A publication Critical patent/JP2002208965A/en
Application granted granted Critical
Publication of JP3616570B2 publication Critical patent/JP3616570B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、宅内通信網内のダイアルアップ環境下にある端末と、認証サーバ通信網内にあり情報提供源となる情報サーバとが、インターネットを介して接続するための中継接続に利用する。本発明は、IP(internet protocol)による通信のセキュリティ(IPsec, internet protocol security)を高度化する技術に関する。本発明は、異なるネットワーク間のアドレス変換(NAT, network address translation)に関する。
【0002】
【従来の技術】
インターネットの普及により、インターネットを利用したビジネスやサービスが加速度的に増加し、盗聴や「なりすまし」などを防止する通信のセキュリティがきわめて重要になっている。高度のセキュリティを行うために通信相手の正当性を確認するための認証および他人に通信を盗聴されないための暗号化などがさまざまに利用されている。
【0003】
このために、インターネットおよびISP(internet service provider)を経由した端末と情報サーバ間に高度のセキュリティを維持して通信を行う、SSL(secure sockets layer)が知られている。SSLは国際標準化機構(ISO)に定められたOSI(open system interconnection)第5層にあたるプロトコルである。
【0004】
【発明が解決しようとする課題】
近年、宅内通信網からダイアルアップ接続によりインターネットを経由して、情報提供その他のサービスを受けることができるようになった。そして宅内通信網内の端末には、インターネット・プロトコルによるアドレスが固定的に付与されず、その端末がダイアルアップにより接続されたときにインターネット・プロトコルによるアドレスがアサインされ、その接続が終了したときには、そのアドレスはまた他の端末にアサインされるようにして利用されるものが普及することになった。
【0005】
そのようなアドレスについては、そのアドレスをキーとしてセキュリティを設定すると、かりにインターネット網の中で接続の終了および再接続が行われることがあると、その宅内通信網に無関係の端末による「なりすまし」が可能になる。すなわち宅内通信網内の端末がインターネットを介して認証サーバにアクセスする場合に、従来のセキュリティに加えて宅内通信網の外部からの侵入を防ぐためのセキュリティの強化が必要である。
【0006】
本発明は、このような背景に行われたものであって、宅内通信網からダイアルアップ接続によりインターネットを経由して、認証サーバにアクセスする通信接続に対して、インターネット網内のセキュリティを強化する中継接続方式を提供することを目的とする。本発明は、このようなセキュリティを強化するとともに、認証の強度を上げることができる中継接続方式を提供することを目的とする。本発明は、さらに情報サーバがアクセスを受け付けた認証サーバ通信網内プライベートIPアドレスからユーザ情報の取得を可能とする中継接続方式を提供することにより、一度認証を行えば、認証サーバ通信網内サーバ間で、その認証情報を共有することが可能となり、ユーザはサービス提供のたびに認証情報通信の必要がない、いわゆるSSO(Single Sign On)サービスを提供することを目的とする。本発明は、端末が認証状態を把握することを可能とする中継接続方式を提供することを目的とする。本発明は、認証状態を必要な期間維持することができる中継接続方式を提供することを目的とする。本発明は、個人未認証の場合に個人認証を促すことができる中継通信方式を提供することを目的とする。本発明は、IPレベル認証の対象と個人認証の対象を管理することができる中継接続方式を提供することを目的とする。
【0007】
【課題を解決するための手段】
本発明は、ダイアルアップによりインターネット・プロトコル(IP, internet protocol)に準拠するアドレスが付与され、端末を含む宅内通信網とグローバルアドレスによりインターネット・プロトコルに基づく通信を行うインターネット通信網との接続点に設けられた宅内GW(Gate Way)と、複数の認証サーバを含みインターネット・プロトコルに準拠するプライベートIPアドレスにより制御される認証サーバ通信網(CSN, Certified Server Network)と前記インターネット通信網との接続点に設けられた認証サーバGW(Gate Way)とを備えたインターネット中継接続方式において、前記インターネット通信網の中に前記宅内GWと前記認証サーバGWとの間に、IPsec(internet protocol security)トンネルを設定する手段を備えたことを特徴とする。
【0008】
前記IPsecトンネルはOSI(open system interconnection)第3層に設定された暗号化通信方式により構築することができる。このIPsecはOSI第3層レベルでの暗号化通信方式を利用することにより、IP上のアプリケーションであれば全てのサービスを提供することが可能になる。
【0009】
また、VPN(Virtual Private Network:仮想施設網)は主に企業の拠点間通信に用いられるが、宅内通信網と認証サーバ通信網との間にIPsecトンネルを構築することにより、認証サーバ通信網内のサーバと不特定多数の宅内通信網内の端末とのIP−VPNによるセキュアな通信を可能とする。
【0010】
さらに、IPsecトンネル確立のIPレベル認証と情報サーバアクセスの個人認証のレイヤの違う認証システムを連携することによりスムースなサービス提供を可能とする。すなわち、認証サーバGW、IPレベル認証サーバ、個人認証サーバの連携により、IPアドレスからユーザを特定し、情報サーバはアクセスしてきたIPアドレスからユーザ情報を取得することができるようになる。
【0011】
すなわち、本発明は、端末と情報サーバ間の異レイヤ間認証連携によるスムースなエンドツーエンド(end to end)通信における端末と情報サーバとの間の通信を行うためのアドレス割当技術、IPレベル認証と個人認証が連携した認証技術、認証サーバGWのNAT機能での個人認証状態の管理技術、情報サーバがアクセスしたユーザ情報の取得技術、ならびに端末に情報サーバへアクセスが可能であるかどうかの認証状態の表示技術を提供する。また、一度の認証で複数のサービスを利用できるSSOサービスをアプリケーションプロトコルに依存せず、IPレイヤレベルで実現する。
【0012】
前記認証サーバGWは、多数のプライベートIPアドレスをプールしておくNAT(network address translator)手段と、IPsecトンネルが設定されたときにそのNAT手段にプールしてあるプライベートIPアドレスを通信に関わる前記宅内通信網に属する端末に割り振る手段と、前記端末から到来する通信パケットをその通信パケット内の宛て先アドレスにしたがって対応する認証サーバ通信網内のサーバにルーティングする手段と、前記認証サーバ網内のサーバから到来する通信パケットをその通信パケット内の宛て先アドレスにしたがって前記IPsecトンネルを介して対応する端末にルーティングする手段とを含むことが望ましい。
【0013】
前記認証サーバ通信網の中に、個人認証を行う個人認証サーバおよびドメイン名の管理を行うDNS(domain name system)サーバを少なくとも一つずつ含み、前記個人認証サーバは個人認証を実行した端末のユーザ情報を前記DNSサーバに引き渡す手段を備え、前記DNSサーバはそのユーザ情報を登録する手段を備えることが望ましい。
【0014】
前記登録する手段には、ユーザ識別子(ID)、認証の有効期限、およびサービス・カテゴリの情報を登録する手段を含むことが望ましい。
【0015】
前記認証サーバ通信網(CSN)内にある一つの情報サーバが前記端末の一つからアクセスを受けたときに、前記DNSサーバに対してその端末に割り振られた前記プライベートIPアドレスをキーとして問い合わせを行う手段と、この問い合わせに対して前記個人認証サーバに登録されたその端末に関する情報をその問い合わせを行った情報サーバに渡す手段とを備えることが望ましい。
【0016】
前記個人認証サーバは、前記DNSサーバに、個人認証状態を終了した端末に関する情報を削除する要求を行う手段を含み、前記DNSサーバは、当該要求にしたがって該当する情報を削除する手段を含むことが望ましい。
【0017】
前記端末には、前記個人認証サーバからの認証の通知に対応して認証中を意味する表示をその端末の表示装置に表示する手段を含むことが望ましい。
【0018】
前記端末には前記個人認証サーバに対して認証状態の問い合わせを行う手段を備え、前記個人認証サーバにはこの問い合わせに対して認証状態を応答する手段を備えることが望ましい。
【0019】
前記個人認証サーバには、認証中にある端末について前記認証状態の問い合わせがあったときにはその問い合わせから所定時間だけその認証状態を維持する手段を含むことが望ましい。
【0020】
前記個人認証サーバには、認証中にある端末から認証終了の要求を受けたときにその認証状態を終了させる手段を備えることが望ましい。
【0021】
前記認証サーバGWには、一つの端末からHTTPによるアクセスがあったときにその端末の個人認証が未認証であるときにはその端末を認証を促すための認証ページに誘導する手段を備えることが望ましい。
【0022】
【発明の実施の形態】
本発明実施例のインターネット中継接続方式の構成を図1を参照して説明する。図1は本発明実施例のインターネット中継接続方式の全体構成図である。
【0023】
本発明は、図1に示すように、ダイアルアップによりインターネット・プロトコルに準拠するアドレスが付与され、端末3を含むインターネット・プロトコルに準拠するプライベートIPアドレスにより制御される宅内通信網30とグローバルアドレスによりインターネット・プロトコルに基づく通信を行うインターネット通信網20との接続点に設けられた宅内GW2と、複数の認証サーバを含みインターネット・プロトコルに準拠するプライベートIPアドレスにより制御される認証サーバ通信網10とインターネット通信網20との接続点に設けられた認証サーバGW1とを備えたインターネット中継接続方式である。
【0024】
ここで、本発明の特徴とするところは、インターネット通信網20の中に宅内GW2と認証サーバGW1との間に、IPsecトンネル40を設定するところにある。本発明実施例のインターネット中継接続方式の特徴を以下に列挙する。
【0025】
認証サーバGW1は、多数のプライベートIPアドレスをプールしておくNAT機能5を備え、IPsecトンネル40が設定されたときにそのNAT機能5にプールしてあるプライベートIPアドレスを通信に関わる宅内通信網30に属する端末3に割り振り、端末3から到来する通信パケットをその通信パケット内の宛て先アドレスにしたがって対応する認証サーバ通信網10内の各サーバにルーティングし、認証サーバ通信網10内の各サーバから到来する通信パケットをその通信パケット内の宛て先アドレスにしたがってIPsecトンネル40を介して対応する端末にルーティングする。
【0026】
認証サーバ通信網10の中に、個人認証を行う個人認証サーバ6およびドメイン名の管理を行うDNS(domain name system)サーバ7を少なくとも一つずつ含み、個人認証サーバ6は個人認証を実行した端末のユーザ情報をDNSサーバ7に引き渡し、DNSサーバ7はそのユーザ情報を登録する。この登録には、ユーザ識別子(ID)、認証の有効期限、およびサービス・カテゴリの情報を登録する。
【0027】
IPレベル認証により正当性が認証されると、IPsecトンネル40を確立し、その後個人認証サーバ6により個人認証を行う。個人認証サーバ6はNAT機能5により割り振られたプライベートIPアドレスであるアクセス元(発)IPアドレスをキーに認証サーバGW1にIPレベル認証のユーザを問い合わせる。個人認証サーバ6は、その問い合わせ結果と自分で保持している個人認証情報からIPレベル認証と個人認証間の整合性のチェックを行い、問題なければ個人認証の正当性を認証する。また、DNSサーバ7に対してアクセス元(発)IPアドレスをキーとしてドメインにユーザID、有効期限等のユーザ情報を適用しDNSの登録を行い、その後、ユーザからアクセスがあった情報サーバはアクセス元(発)IPアドレスをキーにDNSサーバに問い合わせを行い、その応答としてユーザ情報を含むドメイン名を取得する。
【0028】
個人認証サーバ6は、DNSサーバ7に、個人認証状態を終了した端末3に関する情報を削除する要求を行い、DNSサーバ7は、この要求にしたがって該当する情報を削除する。
【0029】
端末3には、個人認証サーバ6からの認証の通知に対応して認証中を意味する表示をその端末3の表示装置に表示する。
【0030】
端末3は個人認証サーバ6に対して認証状態の問い合わせを行い、個人認証サーバ6にはこの問い合わせに対して認証状態を応答する。
【0031】
個人認証サーバ6には、認証中にある端末3について前記認証状態の問い合わせがあったときにはその問い合わせから所定時間だけその認証状態を維持する。
【0032】
個人認証サーバ6は、認証中にある端末3から認証終了の要求を受けたときにその認証状態を終了させる。
【0033】
認証サーバGW1は、一つの端末3からHTTPによるアクセスがあったときにその端末3の個人認証が未認証であるときにはその端末3に認証を促すために、その端末3を個人認証サーバ上の認証ページに誘導する。
【0034】
図1に示すネットワーク構成例を参照して本発明のインターネット中継接続方式の特徴的なシーケンスを簡単に説明すると、端末3にプライベートIPアドレスを付与する。端末3はダイヤルアップ環境でインターネットまたはISP(internet service provider)を経由して認証サーバGW1へ接続を要求する。IPレベル認証サーバ9は宅内GW2を認証し、認証が認められると宅内GW2と認証サーバGW1との間でIPsecトンネル40を確立する。認証サーバGW1はインターネットまたはISPを経由して接続する端末3を認証サーバ通信網10でユニークに扱うためにNAT機能5を有する。NAT機能5で使用するNATエントリテーブルにおいて端末3の個人認証状態を管理する。宅内通信網30、認証サーバ通信網10内はプライベートIPアドレスにより通信を行い、端末3からの認証サーバ通信網10へアクセスが発生するとプライベートIPアドレスを端末3に割り当てる。IPレベル認証を行った後、個人認証サーバ6はユーザの個人認証を行う。個人認証サーバ6は、アクセスしたプライベートIPアドレスからIPレベル認証を行った宅内GW2の識別情報を認証サーバGW1から取得しIPレベル認証と個人認証の関係の正当性をチェックする。IPレベル認証、個人認証を行うとIPレベル認証サーバ9と個人認証サーバ6は連携しDNSサーバ7にアクセスしたユーザ情報を登録し、情報サーバ8はDNSサーバ7に問い合わせを行い、ユーザ情報を取得する。個人認証サーバ6は個人認証の状態を端末3へ通知し、端末3は個人認証サーバ6へ認証状態の問い合わせを行う。認証サーバGW1は、個人認証を行っていない場合には、個人認証サーバ6に個人認証を促す。
【0035】
以下、本発明実施例をさらに詳細に説明する。図1を参照して、本実施例は宅内通信網30内の端末3、宅内GW2、認証サーバ通信網10内の認証サーバGW1、IPレベル認証サーバ9、個人認証サーバ6、DNSサーバ7、情報サーバ8を含む。
【0036】
ユーザは端末3を操作して宅内GW2を介しダイヤルアップ接続によりインターネットまたはISP(internet service provider)を経由して認証サーバ通信網10に接続する。認証サーバGW1は、宅内GW2との間でIPsecトンネル40を確立する。認証サーバGW1はNAT機能5を有し、また端末3を認証サーバ通信網10内でユニークと扱うためのプライベートIPアドレスをプールする。IPレベル認証サーバ9は、認証サーバGW1からの認証要求に対し端末3とIPsecトンネル40の確立を行うための認証を行う。個人認証サーバ6は、IPレベル認証を行った後ユーザ個人を認証する。DNSサーバ7は、ユーザ情報を保持する。ユーザ情報は、IPレベル認証サーバ9と個人認証サーバ6が連携し認証を行うと登録し、認証が終了すると削除する。情報サーバ8は認証サーバ通信網10に接続したユーザの端末3に情報を提供する。情報サーバ8はアクセスのあった端末3にNAT機能5により割り振られたプライベートIPアドレスをDNSサーバ7に問い合わせ、ユーザ情報を取得する。
【0037】
次に、図1ないし図5を参照して本実施例の動作について詳細に説明する。図2は宅内GW2と認証サーバGW1との間に確立されたIPsecトンネルの概念図である。図3は異なるネットワーク間を転送されるパケットのアドレス付与状況を示す図である。図4は個人認証サーバ、DNSサーバ、情報サーバ相互間の動作を示す図である。図5は本発明実施例のインターネット中継接続方式の全体的な動作を示す図である。
【0038】
宅内GW2は、ユーザが操作する端末3にプライベートIPアドレスを割り振り、ダイヤルアップ接続によりISPよりグローバルIPアドレスが割り振られる。認証サーバGW1は、端末3とのIPsecトンネル通信で使用するグローバルIPアドレスと宅内の端末3を認証サーバ通信網10内でユニークに扱うためプライベートアドレスをプールする。宅内GW2はユーザの端末3からの認証サーバ通信網10内の情報サーバ8へのアクセスを検出すると、宅内GW2と認証サーバGW1間にグローバルIPアドレスを使用したIPsecトンネル40の確立を要求する。
【0039】
認証サーバGW1は宅内GW2とIPsecトンネル40の接続可否を、IPレベル認証サーバ9に問い合わせる。IPレベル認証サーバ9は、宅内GW2の認証を行い、宅内GW2と認証サーバGW1との間のIPsecトンネル40の確立可否を応答する。確立可の場合には宅内GW2と認証サーバGW1との間でグローバルIPアドレスを使用したIPsecトンネル40を確立する。
【0040】
IPsecトンネル40を確立すると、プールしてある認証サーバ通信網10内のプライベートIPアドレスを割り振る。認証サーバGW1は、NAT機能5により図のように認証サーバ通信網10内のプライベートIPアドレスを管理することでユーザの端末3を認証サーバ通信網10内でユニークとする。NAT機能5ではIPsec確立要求を受け付けた各端末毎に個人認証状態を管理する。
【0041】
NAT機能5のNATエントリ情報で管理している個人認証状態が個人認証未である場合には、個人認証サーバ6の個人認証ページに誘導することで個人認証をユーザに促す。
【0042】
その個人認証サーバ6は、認証サーバGW1と連携してIPレベル認証の識別情報と個人認証の識別情報の組み合わせ関係の正当性をチェックし、ユーザに割り振った認証サーバ通信網10内のプライベートIPアドレスをキー情報としてDNSサーバ7に個人の識別情報、有効期限、サービスカテゴリのユーザ情報を登録する。個人認証サーバ6は個人認証を正常に行ったことを認証サーバGW1へ通知し、認証サーバGW1はNAT機能5で使用するNATエントリ情報で個人認証状態を管理する。このようにして、ユーザの情報サーバ8へのアクセス可否を判定する。アクセス可であればユーザに情報サーバ8へのアクセスを許し、そうでなければユーザにアクセスを拒否したことを通知する。
【0043】
個人認証サーバ6は、個人認証を行いアクセスが許可されたことを端末3に通知する。端末3は個人認証サーバ6からの通知にしたがい、認証状態(認証中)を端末画面上に表示する。端末3は認証状態を定期的に個人認証サーバ6に問い合わせ、個人認証サーバ6がそれに応答することで端末3および個人認証サーバ6で連携して認証状態の相互確認を行う。個人認証サーバ6は端末3からの認証状態問い合わせにより、認証状態を継続し続ける。
【0044】
端末3から認証サーバ通信網10内の情報サーバ8へのパケットは、宅内GW2で暗号カプセル化しIPsecトンネル40を使用して認証サーバGW1に送信する。このとき、暗号カプセル化しているパケットは、発アドレスは端末3の宅内通信網30のプライベートアドレス、着アドレスは情報サーバ8の認証サーバ通信網10内のプライベートIPアドレスである。認証サーバGW1は、暗号カプセル化しているパケットを復号して取り出し、NAT機能5の管理情報にしたがい、発アドレスを端末3の宅内通信網30内のプライベートアドレスからユニークな認証サーバ通信網10内のプライベートIPアドレスに付け替えを行い、情報サーバ8へパケットを送信する。
【0045】
情報サーバ8から端末3へのパケットは、認証サーバGW1のNAT機能5で逆のアドレス付け替えを行い、認証サーバGW1でパケットを暗号カプセル化して宅内GW2へ送信し、宅内GW2で復号してパケットを取り出し転送する。
【0046】
情報サーバ8は、DNSサーバ7にアクセスしてきた認証サーバ通信網10内のプライベートIPアドレスをキーとしてDNSサーバ7に問い合わせることでアクセスしてきたユーザの情報を取得する。
【0047】
端末3が情報サーバ8と個人認証状態を終了するとき、端末3から個人認証サーバ6に認証中状態の終了を要求する。個人認証サーバ6は、DNSサーバ7に対し認証状態を終了するユーザの情報をDNSサーバ7から削除するため、削除要求を行う。このとき、個人認証サーバ6自身の個人認証状態をクリアする。また、個人認証サーバ6は、端末3からの認証状態問い合わせを監視し、一定期間認証状態問い合わせがないことを検出し認証状態の終了を行う。さらに、端末3が認証サーバ通信網10内で使用していたプライベートIPアドレスのNAT情報はクリアされる。
【0048】
認証サーバ通信網10内のプライベートIPアドレスを割り当てる手段として、端末3から最初のアクセスがあったときに認証サーバ通信網10内のプライベートIPアドレスを割り当てる。
【0049】
個人認証未の場合の個人認証を促す手段として、端末3がHTTP以外のプロトコルを使用している場合には、端末3に専用APLを配備し端末3の専用APLに個人認証を要求する。
【0050】
【発明の効果】
以上説明したように、本発明の第一の効果として、宅内GWと認証サーバGW間にIPsecトンネルを確立することにより、端末と情報サーバ間のセキュアな通信を可能とする。
【0051】
第二の効果は、認証サーバGWにNAT機能を具備することにより、グローバルIPアドレスが変わるダイアルアップ環境での宅内と認証サーバ通信網間のセキュアな通信を可能とする。
【0052】
第三の効果として、IPレベル認証と個人認証の二段階による認証により、認証の強度を上げることを可能とする。
【0053】
第四の効果として、認証状態の開始または終了に合わせてDNSサーバへユーザ情報登録または削除を行うことにより、情報サーバはアクセスを受け付けた認証サーバ通信網内プライベートIPアドレスからユーザ情報の取得を可能とする。これによりユーザに対して、認証サーバ通信網10内の複数のサービスを利用する際、その都度認証を行う必要がない、いわゆるSSOサービスの提供を可能とする。
【0054】
第五の効果として、端末と個人認証サーバの連携により、端末が認証状態を把握することを可能とする。
【0055】
第六の効果として、端末と個人認証サーバの連携により、認証状態を維持することを可能する。
【0056】
第七の効果として、認証サーバGWのNATエントリ情報で個人認証状態を管理することにより、個人認証未の場合に個人認証を促すことを可能とする。
【0057】
第八の効果として、認証サーバ通信網内プライベートアドレスをキー情報としたIPレベル認証と個人認証の連携により、IPレベル認証の対象と個人認証の対象を管理することを可能とする。
【図面の簡単な説明】
【図1】本発明実施例のインターネット中継接続方式の全体構成図。
【図2】宅内GWと認証サーバGWとの間に確立されたIPsecトンネルの概念図。
【図3】異なるネットワーク間を転送されるパケットのアドレス付与状況を示す図。
【図4】個人認証サーバ、DNSサーバ、情報サーバ相互間の動作を示す図。
【図5】本発明実施例のインターネット中継接続方式の全体的な動作を示す図。
【符号の説明】
1 認証サーバGW
2 宅内GW
3 端末
5 NAT機能
6 個人認証サーバ
7 DNSサーバ
8 情報サーバ
9 IPレベル認証サーバ
10 認証サーバ通信網
20 インターネット通信網
30 宅内通信網
40 IPsecトンネル[0001]
BACKGROUND OF THE INVENTION
The present invention is used for a relay connection for connecting a terminal in a dial-up environment in a home communication network and an information server in the authentication server communication network as an information providing source via the Internet. The present invention relates to a technique for enhancing communication security (IPsec, Internet protocol security) by IP (Internet protocol). The present invention relates to address translation (NAT, network address translation) between different networks.
[0002]
[Prior art]
With the spread of the Internet, businesses and services that use the Internet are accelerating, and communication security that prevents eavesdropping and “spoofing” has become extremely important. In order to perform a high level of security, authentication for confirming the legitimacy of a communication partner and encryption for preventing communication from being intercepted by others are used in various ways.
[0003]
For this purpose, SSL (secure sockets layer) is known, which performs communication while maintaining high security between a terminal and an information server via the Internet and ISP (Internet service provider). SSL is a protocol corresponding to the fifth layer of OSI (open system interconnection) defined by the International Organization for Standardization (ISO).
[0004]
[Problems to be solved by the invention]
In recent years, it has become possible to receive information provision and other services via the Internet by dial-up connection from a home communication network. The terminal in the home network is not fixedly assigned an address according to the Internet protocol. When the terminal is connected by dialup, the address according to the Internet protocol is assigned, and when the connection is terminated, Addresses that are used by being assigned to other terminals have become widespread.
[0005]
For such an address, if security is set using that address as a key, connection termination and reconnection may occur in the Internet network, and "spoofing" by terminals unrelated to the home communication network may occur. It becomes possible. That is, when a terminal in the home communication network accesses the authentication server via the Internet, it is necessary to enhance security in order to prevent intrusion from the outside of the home communication network in addition to the conventional security.
[0006]
The present invention has been made in such a background, and is a relay that enhances security in the Internet network for communication connection for accessing an authentication server from a home communication network via dial-up connection via the Internet. The purpose is to provide a connection method. It is an object of the present invention to provide a relay connection method that can enhance such security and increase the strength of authentication. The present invention further provides a relay connection method that enables acquisition of user information from the private IP address in the authentication server communication network that the information server has accepted access, so that once authentication is performed, the server in the authentication server communication network The authentication information can be shared between users, and the user aims to provide a so-called SSO (Single Sign On) service that does not require authentication information communication every time the service is provided. An object of this invention is to provide the relay connection system which enables a terminal to grasp | ascertain an authentication state. An object of this invention is to provide the relay connection system which can maintain an authentication state for the required period. It is an object of the present invention to provide a relay communication method that can prompt personal authentication when an individual has not been authenticated. An object of the present invention is to provide a relay connection method capable of managing an IP level authentication target and a personal authentication target.
[0007]
[Means for Solving the Problems]
The present invention is provided at a connection point between a home communication network including a terminal and an Internet communication network that performs communication based on the Internet protocol using a global address, which is given an address that conforms to the Internet protocol (IP) by dial-up. At the connection point between the Internet communication network and the authentication server communication network (CSN, Certified Server Network) controlled by a private IP address that includes a plurality of authentication servers and conforms to the Internet protocol. In an Internet relay connection system provided with an authentication server GW (Gate Way) provided, an IP is connected between the home GW and the authentication server GW in the Internet communication network. A means for setting up a sec (internet protocol security) tunnel is provided.
[0008]
The IPsec tunnel can be constructed by an encrypted communication method set in the third layer of OSI (open system interconnection). By using an encrypted communication method at the OSI third layer level, this IPsec can provide all services for applications on the IP.
[0009]
A VPN (Virtual Private Network) is mainly used for communication between bases of a company. By constructing an IPsec tunnel between a home communication network and an authentication server communication network, a VPN is established in the authentication server communication network. And secure communication by IP-VPN between a large number of servers and terminals in an unspecified number of in-home communication networks.
[0010]
Further, it is possible to provide a smooth service by linking an authentication system having different layers of IP level authentication for establishing an IPsec tunnel and personal authentication for information server access. That is, by cooperation of the authentication server GW, the IP level authentication server, and the personal authentication server, the user can be identified from the IP address, and the information server can acquire the user information from the accessed IP address.
[0011]
That is, the present invention relates to an address assignment technique for performing communication between a terminal and an information server in smooth end-to-end communication by inter-layer authentication cooperation between the terminal and the information server, and IP level authentication. Technology that cooperates with personal authentication, management technology of personal authentication status with NAT function of authentication server GW, acquisition technology of user information accessed by information server, and authentication whether terminal can access information server Provides state display technology. Also, an SSO service that can use a plurality of services with one authentication is realized at the IP layer level without depending on the application protocol.
[0012]
The authentication server GW includes a NAT (network address translator) unit that pools a large number of private IP addresses and a private IP address that is pooled in the NAT unit when an IPsec tunnel is set. Means for allocating to a terminal belonging to the communication network; means for routing a communication packet coming from the terminal to a server in the corresponding authentication server communication network according to a destination address in the communication packet; and a server in the authentication server network And a means for routing a communication packet arriving from a corresponding terminal via the IPsec tunnel according to a destination address in the communication packet.
[0013]
The authentication server communication network includes at least one personal authentication server for performing personal authentication and a DNS (domain name system) server for managing a domain name, and the personal authentication server is a user of a terminal that has performed personal authentication. It is desirable to provide means for delivering information to the DNS server, and the DNS server preferably includes means for registering the user information.
[0014]
Preferably, the means for registering includes means for registering user identifier (ID), authentication expiration date, and service category information.
[0015]
When one information server in the authentication server communication network (CSN) receives access from one of the terminals, it makes an inquiry to the DNS server using the private IP address assigned to the terminal as a key. It is desirable to provide means for performing and means for passing information related to the terminal registered in the personal authentication server to the information server that made the inquiry in response to the inquiry.
[0016]
The personal authentication server includes means for requesting the DNS server to delete information relating to a terminal that has completed the personal authentication state, and the DNS server includes means for deleting corresponding information in accordance with the request. desirable.
[0017]
It is desirable that the terminal includes means for displaying on the display device of the terminal a display indicating that authentication is being performed in response to the authentication notification from the personal authentication server.
[0018]
The terminal preferably includes means for inquiring an authentication status with respect to the personal authentication server, and the personal authentication server preferably includes means for responding to the inquiry with the authentication status.
[0019]
The personal authentication server preferably includes means for maintaining the authentication state for a predetermined time from the inquiry when there is an inquiry about the authentication state with respect to the terminal being authenticated.
[0020]
The personal authentication server preferably includes means for terminating the authentication state when a request for termination of authentication is received from a terminal being authenticated.
[0021]
The authentication server GW preferably includes means for guiding a terminal to an authentication page for prompting authentication when personal authentication of the terminal is unauthenticated when an access is made from one terminal by HTTP.
[0022]
DETAILED DESCRIPTION OF THE INVENTION
The configuration of the Internet relay connection system according to the embodiment of the present invention will be described with reference to FIG. FIG. 1 is an overall configuration diagram of an Internet relay connection system according to an embodiment of the present invention.
[0023]
As shown in FIG. 1, according to the present invention, an address conforming to the Internet protocol is given by dial-up, and the home communication network 30 including the terminal 3 is controlled by a private IP address conforming to the Internet protocol, and the Internet by the global address. · In-house GW 2 provided at a connection point with the Internet communication network 20 that performs communication based on the protocol, and the authentication server communication network 10 that is controlled by a private IP address that includes a plurality of authentication servers and conforms to the Internet protocol, and Internet communication This is an internet relay connection system including an authentication server GW1 provided at a connection point with the network 20.
[0024]
Here, the feature of the present invention is that an IPsec tunnel 40 is set in the Internet communication network 20 between the home GW 2 and the authentication server GW 1. The features of the Internet relay connection system of the embodiment of the present invention are listed below.
[0025]
The authentication server GW1 has a NAT function 5 that pools a large number of private IP addresses, and when the IPsec tunnel 40 is set, the private communication address 30 that is associated with the private IP address pooled in the NAT function 5 is communicated. The communication packet arriving from the terminal 3 is routed to each server in the corresponding authentication server communication network 10 according to the destination address in the communication packet, and from each server in the authentication server communication network 10 The incoming communication packet is routed to the corresponding terminal via the IPsec tunnel 40 according to the destination address in the communication packet.
[0026]
The authentication server communication network 10 includes at least one personal authentication server 6 that performs personal authentication and a DNS (domain name system) server 7 that manages domain names. The personal authentication server 6 is a terminal that has performed personal authentication. Is delivered to the DNS server 7, and the DNS server 7 registers the user information. For this registration, user identifier (ID), expiration date of authentication, and service category information are registered.
[0027]
When the validity is authenticated by the IP level authentication, the IPsec tunnel 40 is established, and then the personal authentication server 6 performs personal authentication. The personal authentication server 6 inquires of the authentication server GW1 about the user of the IP level authentication using the access source (originating) IP address which is a private IP address allocated by the NAT function 5 as a key. The personal authentication server 6 checks the consistency between the IP level authentication and the personal authentication from the inquiry result and the personal authentication information held by itself, and if there is no problem, authenticates the validity of the personal authentication. Also, the DNS server 7 is used to register the DNS by applying user information such as user ID and expiration date to the domain using the access source (originating) IP address as a key, and then the information server accessed by the user is accessed An inquiry is made to the DNS server using the original (originating) IP address as a key, and a domain name including user information is acquired as a response.
[0028]
The personal authentication server 6 requests the DNS server 7 to delete information related to the terminal 3 that has finished the personal authentication state, and the DNS server 7 deletes the corresponding information in accordance with this request.
[0029]
In response to the authentication notification from the personal authentication server 6, the terminal 3 displays a display indicating that authentication is in progress on the display device of the terminal 3.
[0030]
The terminal 3 makes an inquiry about the authentication status to the personal authentication server 6 and responds to the personal authentication server 6 with the authentication status.
[0031]
When the personal authentication server 6 is inquired about the authentication status of the terminal 3 being authenticated, the authentication status is maintained for a predetermined time from the inquiry.
[0032]
The personal authentication server 6 terminates the authentication state when receiving a request for termination of authentication from the terminal 3 being authenticated.
[0033]
The authentication server GW1 authenticates the terminal 3 on the personal authentication server in order to prompt the terminal 3 to authenticate when the personal authentication of the terminal 3 is unauthenticated when there is an HTTP access from one terminal 3. Direct to page.
[0034]
A characteristic sequence of the Internet relay connection system of the present invention will be briefly described with reference to the network configuration example shown in FIG. 1. A private IP address is assigned to the terminal 3. The terminal 3 requests connection to the authentication server GW1 via the Internet or ISP (Internet service provider) in a dial-up environment. The IP level authentication server 9 authenticates the home GW 2 and establishes an IPsec tunnel 40 between the home GW 2 and the authentication server GW 1 when the authentication is permitted. The authentication server GW1 has a NAT function 5 in order to handle the terminal 3 connected via the Internet or ISP uniquely in the authentication server communication network 10. The personal authentication state of the terminal 3 is managed in the NAT entry table used in the NAT function 5. The home communication network 30 and the authentication server communication network 10 communicate with each other using a private IP address, and when an access to the authentication server communication network 10 from the terminal 3 occurs, the private IP address is assigned to the terminal 3. After performing the IP level authentication, the personal authentication server 6 performs personal authentication of the user. The personal authentication server 6 acquires identification information of the home GW 2 that has performed IP level authentication from the accessed private IP address from the authentication server GW 1 and checks the validity of the relationship between the IP level authentication and the personal authentication. When IP level authentication and personal authentication are performed, the IP level authentication server 9 and the personal authentication server 6 cooperate to register user information for accessing the DNS server 7, and the information server 8 inquires the DNS server 7 to obtain user information. To do. The personal authentication server 6 notifies the terminal 3 of the personal authentication status, and the terminal 3 inquires of the personal authentication server 6 about the authentication status. If the personal authentication is not performed, the authentication server GW1 prompts the personal authentication server 6 for personal authentication.
[0035]
Examples of the present invention will be described in detail below. Referring to FIG. 1, in this embodiment, terminal 3 in home communication network 30, home GW2, authentication server GW1 in authentication server communication network 10, IP level authentication server 9, personal authentication server 6, DNS server 7, information Server 8 is included.
[0036]
The user operates the terminal 3 to connect to the authentication server communication network 10 via the Internet or ISP (Internet service provider) by dial-up connection via the home GW 2. The authentication server GW1 establishes an IPsec tunnel 40 with the home GW2. The authentication server GW1 has a NAT function 5 and also pools a private IP address for handling the terminal 3 as unique in the authentication server communication network 10. The IP level authentication server 9 performs authentication for establishing the IPsec tunnel 40 with the terminal 3 in response to the authentication request from the authentication server GW1. The personal authentication server 6 authenticates the individual user after performing the IP level authentication. The DNS server 7 holds user information. The user information is registered when the IP level authentication server 9 and the personal authentication server 6 cooperate to perform authentication, and is deleted when the authentication is completed. The information server 8 provides information to the user terminal 3 connected to the authentication server communication network 10. The information server 8 inquires the DNS server 7 about the private IP address allocated by the NAT function 5 to the terminal 3 that has accessed, and acquires user information.
[0037]
Next, the operation of this embodiment will be described in detail with reference to FIGS. FIG. 2 is a conceptual diagram of an IPsec tunnel established between the home GW 2 and the authentication server GW 1. FIG. 3 is a diagram showing an address assignment state of a packet transferred between different networks. FIG. 4 is a diagram showing operations among the personal authentication server, DNS server, and information server. FIG. 5 is a diagram showing the overall operation of the Internet relay connection system of the embodiment of the present invention.
[0038]
The home GW 2 assigns a private IP address to the terminal 3 operated by the user, and a global IP address is assigned from the ISP by dial-up connection. The authentication server GW1 pools a private address in order to uniquely handle the global IP address used in the IPsec tunnel communication with the terminal 3 and the home terminal 3 in the authentication server communication network 10. When the home GW 2 detects access from the user terminal 3 to the information server 8 in the authentication server communication network 10, the home GW 2 requests establishment of the IPsec tunnel 40 using the global IP address between the home GW 2 and the authentication server GW 1.
[0039]
The authentication server GW1 inquires of the IP level authentication server 9 whether or not the in-home GW2 and the IPsec tunnel 40 can be connected. The IP level authentication server 9 authenticates the home GW 2 and returns a response indicating whether the IPsec tunnel 40 is established between the home GW 2 and the authentication server GW 1. When the establishment is possible, the IPsec tunnel 40 using the global IP address is established between the home GW 2 and the authentication server GW 1.
[0040]
When the IPsec tunnel 40 is established, a private IP address in the authentication server communication network 10 that is pooled is allocated. The authentication server GW1 makes the user terminal 3 unique within the authentication server communication network 10 by managing the private IP address in the authentication server communication network 10 as shown in FIG. The NAT function 5 manages the personal authentication state for each terminal that has received an IPsec establishment request.
[0041]
When the personal authentication status managed by the NAT entry information of the NAT function 5 is not personal authentication, the user is prompted to perform personal authentication by guiding to the personal authentication page of the personal authentication server 6.
[0042]
The personal authentication server 6 cooperates with the authentication server GW1 to check the validity of the combination relationship between the identification information for IP level authentication and the identification information for personal authentication, and the private IP address in the authentication server communication network 10 allocated to the user. Is registered as key information in the DNS server 7 with personal identification information, expiration date, and service category user information. The personal authentication server 6 notifies the authentication server GW 1 that the personal authentication has been performed normally, and the authentication server GW 1 manages the personal authentication state with the NAT entry information used in the NAT function 5. In this way, it is determined whether or not the user can access the information server 8. If access is possible, the user is allowed to access the information server 8, and if not, the user is notified that access has been denied.
[0043]
The personal authentication server 6 performs personal authentication and notifies the terminal 3 that access is permitted. The terminal 3 displays the authentication state (authenticating) on the terminal screen according to the notification from the personal authentication server 6. The terminal 3 periodically inquires of the personal authentication server 6 about the authentication state, and the personal authentication server 6 responds to it, so that the terminal 3 and the personal authentication server 6 cooperate to perform mutual confirmation of the authentication state. The personal authentication server 6 continues the authentication state in response to the authentication state inquiry from the terminal 3.
[0044]
Packets from the terminal 3 to the information server 8 in the authentication server communication network 10 are encapsulated in the home GW 2 and transmitted to the authentication server GW 1 using the IPsec tunnel 40. At this time, in the packet encapsulated by encryption, the source address is the private address of the home communication network 30 of the terminal 3, and the destination address is the private IP address in the authentication server communication network 10 of the information server 8. The authentication server GW1 decrypts and takes out the encrypted packet, and in accordance with the management information of the NAT function 5, the originating address is changed from the private address in the home communication network 30 of the terminal 3 to the unique authentication server communication network 10 The private IP address is replaced and the packet is transmitted to the information server 8.
[0045]
The packet from the information server 8 to the terminal 3 is subjected to reverse address reassignment by the NAT function 5 of the authentication server GW1, and the authentication server GW1 encrypts the packet, transmits it to the home GW2, and decrypts the packet by the home GW2. Take out and transfer.
[0046]
The information server 8 acquires information on the accessed user by inquiring the DNS server 7 using the private IP address in the authentication server communication network 10 that has accessed the DNS server 7 as a key.
[0047]
When the terminal 3 ends the personal authentication state with the information server 8, the terminal 3 requests the personal authentication server 6 to end the authenticating state. The personal authentication server 6 makes a deletion request to the DNS server 7 in order to delete the information of the user who ends the authentication state from the DNS server 7. At this time, the personal authentication state of the personal authentication server 6 itself is cleared. Also, the personal authentication server 6 monitors the authentication status inquiry from the terminal 3, detects that there is no authentication status inquiry for a certain period, and terminates the authentication status. Further, the NAT information of the private IP address used by the terminal 3 in the authentication server communication network 10 is cleared.
[0048]
As means for assigning a private IP address in the authentication server communication network 10, a private IP address in the authentication server communication network 10 is assigned when there is an initial access from the terminal 3.
[0049]
If the terminal 3 uses a protocol other than HTTP as a means for prompting personal authentication when personal authentication is not performed, a dedicated APL is provided in the terminal 3 and the personal authentication is requested to the dedicated APL of the terminal 3.
[0050]
【The invention's effect】
As described above, as a first effect of the present invention, secure communication between a terminal and an information server is enabled by establishing an IPsec tunnel between a home GW and an authentication server GW.
[0051]
The second effect is that the authentication server GW includes a NAT function, thereby enabling secure communication between the home and the authentication server communication network in a dial-up environment where the global IP address changes.
[0052]
As a third effect, it is possible to increase the strength of authentication by performing authentication in two stages of IP level authentication and personal authentication.
[0053]
As a fourth effect, by registering or deleting user information in the DNS server in accordance with the start or end of the authentication state, the information server can acquire user information from the private IP address in the authentication server communication network that accepted the access. And As a result, when a plurality of services in the authentication server communication network 10 are used for a user, it is possible to provide a so-called SSO service that does not require authentication each time.
[0054]
As a fifth effect, the terminal can grasp the authentication state by cooperation of the terminal and the personal authentication server.
[0055]
As a sixth effect, the authentication state can be maintained by the cooperation of the terminal and the personal authentication server.
[0056]
As a seventh effect, by managing the personal authentication state with the NAT entry information of the authentication server GW, it is possible to prompt the personal authentication when the personal authentication is not performed.
[0057]
As an eighth effect, the IP level authentication target and the personal authentication target can be managed by cooperation of IP level authentication and personal authentication using the private address in the authentication server communication network as key information.
[Brief description of the drawings]
FIG. 1 is an overall configuration diagram of an Internet relay connection system according to an embodiment of the present invention.
FIG. 2 is a conceptual diagram of an IPsec tunnel established between a home GW and an authentication server GW.
FIG. 3 is a diagram showing an address assignment state of a packet transferred between different networks.
FIG. 4 is a diagram showing operations among a personal authentication server, a DNS server, and an information server.
FIG. 5 is a diagram showing an overall operation of an Internet relay connection system according to an embodiment of the present invention.
[Explanation of symbols]
1 Authentication server GW
2 Home GW
3 Terminal 5 NAT Function 6 Personal Authentication Server 7 DNS Server 8 Information Server 9 IP Level Authentication Server 10 Authentication Server Communication Network 20 Internet Communication Network 30 Home Communication Network 40 IPsec Tunnel

Claims (11)

ダイアルアップによりインターネット・プロトコル(IP,internet protocol)に準拠するアドレスが付与され、端末を含む宅内通信網とグローバルアドレスによりインターネット・プロトコルに基づく通信を行うインターネット通信網との接続点に設けられた宅内GW(GateWay)と、複数の認証サーバを含みインターネット・プロトコルに準拠するプライベートIPアドレスにより制御される認証サーバ通信網(CSN, CertifiedServer Network)と前記インターネット通信網との接続点に設けられた認証サーバGW(Gate Way)とを備えたインターネット中継接続方式において、
前記インターネット通信網の中に前記宅内GWと前記認証サーバGWとの間に、IPレベル認証の後にIPsec(internet protocol security)トンネルを確立する手段を備え、
前記認証サーバGWは、多数のプライベートIPアドレスをプールしておくNAT( networkaddress translator )手段と、前記トンネルが確立されたときにそのNAT手段にプールしてあるプライベートIPアドレスを通信に関わる前記宅内通信網に属する端末に割り振る手段とを備え、
前記認証サーバ網の中に、IPsec( internet protocolsecurity )トンネルの確立を行うための認証を実行するIPレベル認証を行うIP認証サーバと、個人認証を行う個人認証サーバとドメイン名の管理を行うDNS( domainname system )サーバとを含み、
前記IPレベル認証サーバは前記認証サーバGWからのプライベートアドレスに基づいて前記IPsecトンネル確立を行うための認証を行う手段を含み、前記個人認証サーバは、前記IPsecトンネルが確立した後前記認証サーバGWからの個人認証要求をうけて個人認証を実行した端末のユーザ情報を前記DNSサーバに引き渡す手段を含み、前記DNSサーバは認証されたユーザ情報を登録する手段を含む
ことを特徴とするインターネット中継接続方式。An in-house GW provided at the connection point between an in-house communication network including a terminal and an Internet communication network that performs communication based on the Internet protocol using a global address, which is assigned an address that conforms to the Internet protocol (IP) by dial-up (GateWay) and an authentication server GW provided at a connection point between an authentication server communication network (CSN, Certified Server Network) controlled by a private IP address that includes a plurality of authentication servers and conforms to the Internet protocol, and the Internet communication network In the Internet relay connection method with (Gate Way),
Means for establishing an IPsec (internet protocol security) tunnel after IP level authentication between the home GW and the authentication server GW in the Internet communication network;
The authentication server GW includes NAT (network address translator ) means for pooling a large number of private IP addresses, and the in-home communication related to communication of private IP addresses pooled in the NAT means when the tunnel is established. Means for allocating to terminals belonging to the network,
In the authentication server network, an IP authentication server that performs IP level authentication for performing authentication for establishing an IPsec ( internet protocol security ) tunnel, a personal authentication server that performs personal authentication, and a DNS ( domainname system ) server,
The IP level authentication server includes means for performing authentication for establishing the IPsec tunnel based on a private address from the authentication server GW, and the personal authentication server is configured to receive authentication from the authentication server GW after the IPsec tunnel is established. Means for handing over user information of a terminal that has executed personal authentication upon receiving the personal authentication request to the DNS server, and the DNS server includes means for registering the authenticated user information. Internet relay connection method. 前記IPsecトンネルはOSI(open systeminterconnection)第3層に設定された暗号化通信方式により構築された請求項1記載のインターネット中継接続方式。2. The Internet relay connection system according to claim 1, wherein the IPsec tunnel is constructed by an encrypted communication system set in a third layer of OSI (open system interconnection). 前記認証サーバGWは、前記端末から到来する通信パケットをその通信パケット内の宛て先アドレスにしたがって対応する認証サーバ通信網内のサーバにルーティングする手段と、前記認証サーバ通信網内のサーバから到来する通信パケットをその通信パケット内の宛て先アドレスにしたがって前記IPsecトンネルを介して対応する端末にルーティングする手段とを含む請求項2記載のインターネット中継接続方式。The authentication server GW includes means for routing communication packets arriving from the previous SL terminal to a server in the authentication server communication networks corresponding according destination address in the communication packet, coming from the server in the authentication server communication network 3. An Internet relay connection system according to claim 2, further comprising means for routing a communication packet to be transmitted to a corresponding terminal through the IPsec tunnel according to a destination address in the communication packet. 前記登録する手段には、ユーザ識別子(ID)、認証の有効期限、およびサービス・カテゴリの情報を登録する手段を含む請求項記載のインターネット中継接続方式。 Wherein the registered device, Internet relay connection method of claim 1, further comprising means for registering an expiration date, and the information of the service category of user identifiers (ID), authentication. 前記認証サーバ通信網内にある一つの情報サーバが前記端末の一つからアクセスを受けたときに、前記DNSサーバに対してその端末に割り振られた前記プライベートIPアドレスをキーとして問い合わせを行う手段と、この問い合わせに対して前記個人認証サーバに登録されたその端末に関する情報をその問い合わせを行った情報サーバに渡す手段とを備えた請求項4記載のインターネット中継接続方式。 Means for making an inquiry to the DNS server using the private IP address assigned to the terminal as a key when one information server in the authentication server communication network receives access from one of the terminals; 5. The Internet relay connection system according to claim 4, further comprising means for passing information related to the terminal registered in the personal authentication server to the information server that made the inquiry in response to the inquiry . 前記個人認証サーバは、前記DNSサーバに対し、個人認証状態を終了した端末に関する情報を削除する要求を行う手段を含み、前記DNSサーバは、当該要求にしたがって該当する情報を削除する手段を含む請求項5記載のインターネット中継接続方式。 The personal authentication server includes means for requesting the DNS server to delete information relating to a terminal that has completed the personal authentication state, and the DNS server includes means for deleting corresponding information in accordance with the request. Item 6. The Internet relay connection method according to Item 5. 前記端末には、前記個人認証サーバからの認証の通知に対応して認証中を意味する表示をその端末の表示装置に表示する手段を含む請求項記載のインターネット中継接続方式。 Wherein the terminal, internet relay connection method of claim 1, further comprising means for displaying a display means during authentication in response to authentication of the notification from the personal authentication server on the display device of the terminal. 前記端末には前記個人認証サーバに対して認証状態の問い合わせを行う手段を備え、前記個人認証サーバにはこの問い合わせに対して認証状態を応答する手段を備えた請求項記載のインターネット中継接続方式。 8. The Internet relay connection method according to claim 7 , wherein said terminal comprises means for inquiring an authentication status to said personal authentication server, and said personal authentication server comprises means for responding to the inquiry with an authentication status. . 前記個人認証サーバには、認証中にある端末について前記認証状態の問い合わせがあったときにはその問い合わせから所定時間だけその認証状態を維持する手段を含む請求項記載のインターネット中継接続方式。 9. The Internet relay connection system according to claim 8, wherein the personal authentication server includes means for maintaining the authentication state for a predetermined time from the inquiry when there is an inquiry about the authentication state for a terminal being authenticated . 前記個人認証サーバには、認証中にある端末から認証終了の要求を受けたときにその認証状態を終了させる手段を備えた請求項記載のインターネット中継接続方式。 9. The Internet relay connection system according to claim 8, wherein the personal authentication server comprises means for terminating the authentication state when a request for termination of authentication is received from a terminal being authenticated . 前記認証サーバGWには、一つの端末からHTTP( hypertexttransfer protocol) によるアクセスがあったときにその端末の個人認証が未認証であるときにはその端末を認証を促すための認証ページに誘導する手段を備えた請求項記載のインターネット中継接続方式。 The authentication server GW includes means for guiding a terminal to an authentication page for prompting authentication when personal authentication of the terminal is unauthenticated when an access is made from one terminal by HTTP ( hypertext transfer protocol). The Internet relay connection system according to claim 1 .
JP2001000062A 2001-01-04 2001-01-04 Internet relay connection method Expired - Fee Related JP3616570B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001000062A JP3616570B2 (en) 2001-01-04 2001-01-04 Internet relay connection method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001000062A JP3616570B2 (en) 2001-01-04 2001-01-04 Internet relay connection method

Publications (2)

Publication Number Publication Date
JP2002208965A JP2002208965A (en) 2002-07-26
JP3616570B2 true JP3616570B2 (en) 2005-02-02

Family

ID=18868951

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001000062A Expired - Fee Related JP3616570B2 (en) 2001-01-04 2001-01-04 Internet relay connection method

Country Status (1)

Country Link
JP (1) JP3616570B2 (en)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4159328B2 (en) * 2002-09-11 2008-10-01 Necインフロンティア株式会社 Network, IPsec setting server device, IPsec processing device, and IPsec setting method used therefor
JP2004320593A (en) 2003-04-18 2004-11-11 Sony Computer Entertainment Inc Communication management system and method
WO2004105333A1 (en) * 2003-05-22 2004-12-02 Fujitsu Limited Safe virtual private network
DE602004010519T2 (en) * 2003-07-04 2008-11-13 Nippon Telegraph And Telephone Corp. REMOTE ACCESS VPN TREATMENT PROCESS AND TREATMENT DEVICE
GB0326160D0 (en) 2003-11-08 2003-12-17 Marconi Comm Ltd Call set-up systems
JP2005341084A (en) * 2004-05-26 2005-12-08 Nec Corp Vpn system, remote terminal, and remote access communication method used for vpn system and remote terminal
JP4543322B2 (en) * 2005-03-14 2010-09-15 日本電気株式会社 Mediation server, second authentication server, operation method thereof, and communication system
JP4965499B2 (en) * 2008-04-16 2012-07-04 日本電信電話株式会社 Authentication system, authentication device, communication setting device, and authentication method
JP4698751B2 (en) * 2009-09-28 2011-06-08 日本ユニシス株式会社 Access control system, authentication server system, and access control program
US8532108B2 (en) * 2009-09-30 2013-09-10 Alcatel Lucent Layer 2 seamless site extension of enterprises in cloud computing
US8619779B2 (en) * 2009-09-30 2013-12-31 Alcatel Lucent Scalable architecture for enterprise extension in a cloud topology

Also Published As

Publication number Publication date
JP2002208965A (en) 2002-07-26

Similar Documents

Publication Publication Date Title
JP3951757B2 (en) Method of communication via untrusted access station
US7796616B2 (en) Apparatus and method for offering connections between network devices located in different home networks
US7099957B2 (en) Domain name system resolution
US7197550B2 (en) Automated configuration of a virtual private network
US7769838B2 (en) Single-modem multi-user virtual private network
US7003481B2 (en) Method and apparatus for providing network dependent application services
US7251824B2 (en) Accessing a private network
US6507908B1 (en) Secure communication with mobile hosts
US8984141B2 (en) Server for routing connection to client device
JP4727126B2 (en) Providing secure network access for short-range wireless computing devices
US20040213237A1 (en) Network authentication apparatus and network authentication system
JP2004505383A (en) System for distributed network authentication and access control
JP2004048234A (en) User authentication system and user authentication method
JP4524906B2 (en) Communication relay device, communication relay method, communication terminal device, and program storage medium
JP3616570B2 (en) Internet relay connection method
JP2002118562A (en) Lan which permits authentification rejected terminal to have access under specific conditions
US20030212774A1 (en) Method and apparatus for assigning IP address using agent in zero configuration network
JP2002123491A (en) Authentication proxy method, device and system
US20040037284A1 (en) Method for secure packet-based communication between two units via an intermedia unit
JP4555311B2 (en) Tunnel communication system, control device, and tunnel communication device
JP3935823B2 (en) HTTP session tunneling system, method thereof, and program thereof
JP4003634B2 (en) Information processing device
JP4608466B2 (en) Communication system and communication method
JP2007189752A (en) Communication method
FI112137B (en) A system and method for allocating dynamic IP addresses

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040609

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040629

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040830

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20041027

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20041105

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071112

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081112

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081112

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091112

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091112

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101112

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111112

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121112

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121112

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131112

Year of fee payment: 9

LAPS Cancellation because of no payment of annual fees