JP4152753B2 - Network authentication access control server, application authentication access control server, and integrated authentication access control system - Google Patents
Network authentication access control server, application authentication access control server, and integrated authentication access control system Download PDFInfo
- Publication number
- JP4152753B2 JP4152753B2 JP2003003108A JP2003003108A JP4152753B2 JP 4152753 B2 JP4152753 B2 JP 4152753B2 JP 2003003108 A JP2003003108 A JP 2003003108A JP 2003003108 A JP2003003108 A JP 2003003108A JP 4152753 B2 JP4152753 B2 JP 4152753B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- access control
- control server
- server
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は統合型認証アクセス制御システムに関し、特に利用者の端末からの接続要求を、リモートアクセスサーバを介して受信し、該リモートアクセスサーバと転送ノードを制御して接続パスを設定し、端末と仮想閉域網とを接続して、端末と仮想閉域網内のアプリケーションサーバとの間の通信を実現するネットワーク認証アクセス制御サーバと、仮想閉域網内に設置されて、仮想閉域網内にある複数のアプリケーションサーバに対するアクセス時の認証を実現するアプリケーション認証アクセス制御サーバを含む統合型認証アクセス制御システムに関する。
【0002】
【従来の技術】
従来、企業通信網など特定の対地のみを接続する閉域網を構築するために、仮想閉域網が導入されている。コネクションレス型通信網における仮想閉域網は、伝送路、転送ノードを共有するのみならず、論理パス、論理回線も共有して、セキュリティを確保した転送制御がなされている。また、仮想閉域網は特定の対地のみを接続するのではなく、特定の端末、または特定のユーザからのリモートアクセスを受け付けることができるようになっている。例えば、社員の自宅の端末から電話網あるいはADSL(Asynmetric Digital Subscriber Line)網等を経由して企業の仮想閉域網にアクセスし、会社のホストコンピュータに接続することができる。電話網等と仮想閉域網との間にリモートアクセスサーバが設置されており、端末は、ダイアルアップ等でリモートアクセスサーバに接続し、仮想閉域網にアクセスすることが行なわれている。
【0003】
リモートアクセスサーバと仮想閉域網とを接続する転送ノードと、リモートアクセスサーバと転送ノードとを制御する閉域網群制御サーバを備え、複数の仮想閉域網の利用者が共有している。リモートアクセスサーバと転送ノードとの間の物理回線を複数の仮想閉域網で利用して、設備の利用効率を向上させることが出願されている(特許文献1)。この特許文献1では、利用者からの接続要求に基づいて、リモートアクセスサーバは、仮想閉域網毎に仮想ルータ(以下、VR:Virtual Routerと表記)を割り当て、VRを1本の物理回線に接続する。利用者からの切断を契機に、リモートアクセスサーバは、VRを開放し、他の仮想閉域網の利用者に割り当てる。
【0004】
一方、仮想閉域網に代表される通信網への接続環境が整っていることを前提として、通信網上に接続されている複数のサーバ上のコンテンツへのアクセスを一度の認証で可能にする(以下、シングルサインオンと表記)方法として、網内に認証アクセス制御サーバを設置する方法が知られており、シングルサインオンはその処理形態によって、「リバース・プロキシ型」と「エージェント・モジュール型」とに分類される。
【0005】
リバース・プロキシ型のシングルサインオンでは、サーバへのアクセス要求は全て認証アクセス制御サーバを中継して送信され、認証アクセス制御サーバは、中継時に、内部に持つ利用者毎のアクセスリストを参照してアクセス制御を行なう。一方、エージェント・モジュール型のシングルサインオンでは、利用者は、まず認証アクセス制御サーバにログインする。認証に成功すると、認証アクセス制御サーバは、該利用者がアクセス可能なアプリケーションサーバのリストをクッキーに埋め込んで利用者端末に送信する。その後、利用者がアプリケーションサーバにアクセスした時、コンテンツサーバ内のエージェント・モジュールがクッキー内の情報をもとにアクセスの可否を決定する。アプリケーションサーバに対して、認証アクセス制御サーバで認証されていない利用者からのアクセスがあった場合は、該アプリケーションサーバ内のエージェント・モジュールがアクセス要求を認証アクセス制御サーバに転送して、認証を行なわせる。
【0006】
なお、現在、企業連合であるLiberty Allianceにおいて、エージェント・モジュール型をベースにしたシングルサインオンの方式の標準化が進められている。
【0007】
【特許文献1】
特開2002−185538号公報
【0008】
【発明が解決しようとする課題】
仮想閉域網に利用者が遠隔地からアクセスする場合は、通常、仮想閉域網に接続した後、何らかの業務を行なうために、その仮想閉域網内のサーバにアクセスすることが考えられる。この時、一旦仮想閉域網に接続した後は、既述のリバース・プロキシ型ないしはエージェント・モジュール型の認証アクセス制御サーバを利用することにより、アプリケーションサーバへのシングルサインオンが可能であるが、仮想閉域網自体へのアクセスに対しては、別に認証が必要であるため、利用者がリモートアクセスにより仮想閉域網内のアプリケーションサーバへアクセスするためには二度以上の認証が必要となり、ユーザの利便性から見て不十分であるという問題がある。
【0009】
本発明の目的は、セキュリティ強度を損なうことなく、その仮想閉域網内にあって利用者がアクセス権限を持つアプリケーションサーバに対してさらなる認証手順を踏む必要のない、ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システムを提供することにある。
【0010】
【課題を解決するための手段】
本発明のネットワーク認証アクセス制御サーバおよびアプリケーション認証アクセス制御サーバは、転送ノードとリモートアクセスサーバとともに、利用者端末がリモートアクセスサーバおよび転送ノードを介して遠隔地から仮想閉域網に接続した上で、利用者端末から発行される仮想閉域網内のアプリケーションサーバへのアクセス要求を認証する統合型認証アクセス制御システムを構成している。
【0011】
本発明のネットワーク認証アクセス制御サーバは、利用者端末から仮想閉域網への接続要求をリモートアクセスサーバを介して受信し、仮想閉域網への接続における認証に必要な情報を利用者端末から受け取る手段と、該情報を用いて利用者を認証する手段と、認証が成功すると、リモートアクセスサーバと転送ノードに対して、利用者端末と仮想閉域網との間を接続する手段と、利用者の認証状態と、認証に成功した場合にその利用者の端末を仮想閉域網に接続するために払い出したアドレスを利用者毎に管理する手段と、アプリケーション認証アクセス制御サーバから、アプリケーションサーバへのアクセス要求パケットの送信元アドレスの情報を受け取る手段と、受け取った送信元アドレスをもとに、ネットワーク認証アクセス制御サーバ内で管理している認証時の払い出しアドレスの情報を検索し、その送信元アドレスが仮想閉域網への認証成功時に払い出したアドレスか否かを判断する手段と、送信元アドレスが認証成功時に払い出したアドレスであった場合、そのアドレスを送信元としてアプリケーションサーバへのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバで認証済みである旨をアプリケーション認証アクセス制御サーバに応答する手段と、送信元アドレスが認証成功時に払い出したアドレスでなかった場合、そのアドレスを送信元としてアプリケーションサーバへのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバで認証済みではない旨をアプリケーション認証アクセス制御サーバに応答する手段とを備える。
【0012】
一方、本発明のアプリケーション認証アクセス制御サーバは、利用者からのアプリケーションサーバ群へのアクセス要求を受け取る手段と、そのアクセス要求の送信元アドレスを抽出し、ネットワーク認証アクセス制御サーバに対してその送信元アドレスの情報を送信してアクセス要求を送ってきた利用者が認証済みであるかを問い合わせる手段と、ネットワーク認証アクセス制御サーバから認証済みである旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を改めて送信してもらうことなく、証明書等認証成功を示す情報を付与して利用者端末に対して応答する手段と、ネットワーク認証アクセス制御サーバから未認証である旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を要求して認証を求める手段と、引き続いて利用者端末から認証に必要な情報を受け取り、認証に成功した場合に、証明書等認証成功を示す情報を付与して利用者端末に対して応答する手段とを備える。
【0013】
次に、このように構成された本発明の統合型認証アクセス制御システムでの認証処理の流れについて説明する。
【0014】
ネットワーク認証アクセス制御サーバは、仮想閉域網への接続要求が発行されると、利用者端末から、その仮想閉域網へのアクセスに必要となる認証情報を取得して、それに基づいて、仮想閉域網へのアクセスの認証を行なう。この認証が得られると、ネットワーク認証アクセス制御サーバは、利用者端末が当該仮想閉域網に接続されるように、転送ノードとリモートアクセスサーバに対して接続パスの設定を行なう。この後、利用者端末から当該仮想閉域網内のアプリケーションサーバに対してアクセス要求を行なうと、そのアクセス要求にはそのアプリケーションサーバにアクセスする権限を有することを示す証明書が含まれていないため、エージェント・モジュール型のシングルサインオンの方式に従い、アクセス要求はアプリケーション認証アクセス制御サーバに転送される。
【0015】
アプリケーション認証アクセス制御サーバは、受信したアプリケーションサーバへのアクセス要求のパケットから送信元アドレスを抽出し、アクセス要求元の利用者の認証状態を確認するために、ネットワーク認証アクセス制御サーバに対して先に抽出した送信元アドレスの情報を送信する。
【0016】
ネットワーク認証アクセス制御サーバは、受信した送信元アドレス情報が自サーバ内に保持する認証状態を管理するリスト内に認証済みで払い出したアドレスとして登録されているかを検索する。該送信元アドレスがリスト内に存在した場合は、ネットワーク認証アクセス制御サーバで認証済みである旨をアプリケーション認証アクセス制御サーバに応答し、リスト内にない場合は、ネットワーク認証アクセス制御サーバで未認証であることを応答する。
【0017】
アプリケーション認証アクセス制御サーバは、認証済みとの応答を受信した場合は、元々利用者端末から送られてきたアクセス要求に対して、パスワード等認証に必要な情報を改めて要求することなく、アプリケーションサーバ群へのアクセス権限を有していることを証明する証明書を付与して利用者端末に送信する。ネットワーク認証アクセス制御サーバから未認証との応答を受信した場合は、元々のアクセス要求に対して、パスワード等認証に必要な情報を利用者に要求し、認証が成功した場合に限り、アプリケーションサーバ群へのアクセス権限を有していることを証明する証明書を付与して利用者端末に送信する。
【0018】
これ以降に該利用者端末が仮想閉域網内のアプリケーションサーバ群に対してアクセスを試みた場合は、アプリケーション認証アクセス制御サーバが発行した証明書がアクセス要求に付与されていることをアプリケーションサーバが確認することで認証手続きが完了していることを判別し、自アプリケーションサーバへのアクセスを許可する。
【0019】
したがって、Liberty Allianceにて標準化作業が進められている、エージェント・モジュール型のシングルサインオンをベースとする、仮想閉域網へのリモートアクセスにおいて、利用者は仮想閉域網へのアクセス時に一度認証を行なうだけで、仮想閉域網へのリモートアクセスのみならず、仮想閉域網内の複数のアプリケーションサーバに対するセキュアなアクセスが可能になる。
【0020】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0021】
図1は本発明の一実施形態の統合型認証アクセス制御システムの構成図である。
【0022】
統合型認証アクセス制御システム1はネットワーク認証アクセス制御サーバ2とアプリケーション認証アクセス制御サーバ3と転送ノード4とリモートアクセスサーバ5で構成されている。
【0023】
この構成において、利用者7が利用者端末6から仮想閉域網8に遠隔からダイアルアップでアクセスするものとし、この仮想閉域網8内には、アプリケーションサーバ91、92があり、利用者7はこのいずれのアプリケーションサーバ91、92にもアクセス権限を有しているものとする。
【0024】
図2(a)(b)はそれぞれネットワーク認証アクセス制御サーバ2、アプリケーション認証アクセス制御サーバ3の構成図である。
【0025】
ネットワーク認証アクセス制御サーバ2は接続要求受付/応答部21と認証部22と接続パス設定/削除部23とネットワーク認証状態テーブル24とアドレス払い出し/回収部25と認証状態応答部26を有している。
【0026】
接続要求受付/応答部21はリモートアクセスサーバ5を介した利用者端末6から仮想閉域網8の接続要求を認証に必要な情報とともに受け取り、またリモートアクセスサーバ5を介して利用者端末6に認証結果とIPアドレスを返す。また、接続要求受付/応答部21は、リモートアクセスサーバ5から切断要求を受信する。認証部22は接続要求受付/応答部21で接続要求が受信されると、受け取った認証に必要な情報を用いて利用者7を認証する。接続パス設定/削除部23は認証部22における認証が成功した場合、リモートアクセスサーバ5と転送ノード4に対して、利用者端末6と仮想閉域網8の間の接続パスを設定し、また、リモートアクセスサーバ5から切断要求が送信されると、前記接続パスを削除する。ネットワーク認証状態テーブル24は、仮想閉域網毎に用意され、各利用者が仮想閉域網に接続しているか接続していないかを示す認証状態と、接続されている場合に当該利用者の端末に対して払い出されたIP(InternetProtocol)アドレスの情報を管理する。表1に、ネットワーク認証状態テーブル24の一例を示す。
【0027】
【表1】
【0028】
アドレス払い出し/回収部25は、アプリケーション認証アクセス制御サーバ3から受け取った、アプリケーションサーバ91または92へのアクセス要求パケットの送信元アドレスをもとに、ネットワーク認証状態テーブル24から認証時の払い出しアドレスの情報を検索し、送信元アドレスが仮想閉域網8への認証成功時に払い出したアドレスが否かを判断する。またアドレス払い出し/回収部25は接続要求受付/応答部21で切断要求が受信されると、利用者端末6に払い出したIPアドレスをネットワーク認証状態テーブル24から回収して利用者7を未認証状態に戻す。認証状態応答部26はアプリケーション認証アクセス制御サーバ3から、アプリケーションサーバ91または92へのアクセス要求パケットの送信元アドレスの情報を受け取り、該アドレスが認証成功時に払い出したアドレスであった場合、そのアドレスを送信元としてアプリケーションサーバ91または92へのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバ2で認証済みである旨をアプリケーション認証アクセス制御サーバ3に応答し、認証成功時に払い出したアドレスでなかった場合、そのアドレスを送信元としてアプリケーションサーバ91または92へのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバ2で認証済みではない旨をアプリケーション認証アクセス制御サーバ3に応答する。
【0029】
アプリケーション認証アクセス制御サーバ3はアクセス要求受付/応答部31と送信元アドレス抽出部32と認証状態問合せ部33とアクセス許可判断部34とを有している。
【0030】
アクセス要求受付/応答部31は転送ノード4を介した利用者7からのアプリケーションサーバ91または92へのアクセス要求を受付け、また認証の成功/不成功を転送ノード4を介して利用者7に応答する。送信元アドレス抽出部32はアクセス要求受付/応答部31で受け取られたアクセス要求の送信元アドレスを抽出する。認証状態問合せ部33は抽出された送信元アドレスをネットワーク認証アクセス制御サーバ2に送信してアクセス要求を送ってきた利用者が認証済みであるかを問い合わせる。アクセス許可判断部34は、ネットワーク認証アクセス制御サーバ2から認証済みである旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を改めて送信してもらうことなく、証明書等認証成功を示す情報を付与してアクセス要求受付/応答部31、転送ノード4を介して利用者端末6に対して応答し、ネットワーク認証アクセス制御サーバ2から未認証である旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を要求して認証を求め、引き続いて利用者端末6から認証に必要な情報を受け取り、認証に成功した場合に、証明書等認証成功を示す情報を付与してアクセス要求受付/応答部31、転送ノード4を介して利用者端末6に対して応答する。また、アクセス許可判断部34は、ネットワーク認証アクセス制御サーバ2からログアウト要求を受信すると、利用者7の認証を無効にする。
【0031】
次に、図3、図4、および図5に示すシーケンス図に従って、本実施形態のネットワーク認証アクセス制御サーバ2とアプリケーション認証アクセス制御サーバ3によって、利用者端末6からの一度のみの認証によって仮想閉域網8にリモートアクセスし、かつ、仮想閉域網8内のアプリケーションサーバ91、92に対してのシングルサインオンを実現する一連の処理について説明する。
【0032】
利用者端末6が仮想閉域網8に電話網経由でダイアルアップによるリモート接続を試みた場合、利用者端末6とリモートアクセスサーバ5との間の通信路が確立された後、仮想閉域網8への接続要求として認証に必要なユーザIDとパスワードとの対データがリモートアクセスサーバ5に送信される(ステップ101)。
【0033】
リモートアクセスサーバ5は、その接続要求をネットワーク認証アクセス制御サーバ2に送信して、認証を要求する(ステップ102)。
【0034】
ネットワーク認証アクセス制御サーバ2は、接続要求受付/応答部21で受信したユーザIDとパスワードの組で利用者を認証部22で認証し、認証に成功すると、利用者端末6に対して仮想閉域網8に接続するためのIPアドレスをアドレス払い出し/回収部25で払い出し、リモートアクセスサーバ5および転送ノード4に対して接続パスを接続パス設定/削除部23で設定する(ステップ103)。そして、認証結果と払い出したIPアドレスを接続要求受付/応答部21からリモートアクセスサーバ5を介して利用者端末6に送信する(ステップ104、105)。
【0035】
ここまでの処理で利用者端末6は、仮想閉域網8に接続されたため、利用者7は何らかの業務を行なうため、アプリケーションサーバ91に対してアクセス要求を送信するとする(ステップ106)。
【0036】
この時点では、利用者端末6は、アプリケーションサーバ91に対するアクセス権限を持っていることを示す証明書を持っていないため、アプリケーションサーバ91はアクセス要求に証明書が付いていないことを確認し(ステップ107)、アクセス要求をアプリケーション認証アクセス制御サーバ3にリダイレクトするように、利用者端末6に指示を送信する(ステップ108)。
【0037】
これに基づいて利用者端末6からアプリケーション認証アクセス制御サーバ3にアクセス要求が転送されると(ステップ109)、アプリケーション認証アクセス制御サーバ3は、受信したアクセス要求のパケットの送信元アドレスを送信元アドレス抽出部32で抽出し、そのアドレス情報を認証状態問合せ部33よりネットワーク認証アクセス制御サーバ2に送信することで、そのアクセス要求を送信してきた利用者がネットワーク認証アクセス制御サーバ2で認証済みであるかをネットワーク認証アクセス制御サーバ2に問い合わせる(ステップ110)。
【0038】
ネットワーク認証アクセス制御サーバ2では、仮想閉域網8のネットワーク認証状態テーブル24をアドレス払い出し/回収部25で検索し、アプリケーション認証アクセス制御サーバ3から受信したアドレスが、ネットワーク認証アクセス制御サーバ2で認証して払い出したアドレスであるかを判別し、その結果を認証状態応答部26からアプリケーション認証アクセス制御サーバ3に送信する(ステップ111)。
【0039】
認証状態応答が認証済みであった場合は(図4)、アプリケーション認証アクセス制御サーバ3は、利用者端末6に対して、認証が成功していることを示す証明書をアクセス許可判断部34で発行し、アクセス要求受付/応答部31より利用者端末6にアクセス応答として返信する(ステップ112)。
【0040】
これにより利用者端末6から再度アプリケーションサーバ91に対してアクセス要求を行なうと(ステップ113)、アプリケーションサーバ91はアクセス要求に証明書が付与されていることを検知して、アクセス要求に応答する(ステップ114)。
【0041】
これ以降は、利用者7がアクセス権限を有する他のアプリケーションサーバ(本実施形態ではアプリケーションサーバ92)に対しても、改めて認証手続きを求められることなく、アクセスが可能になる。
【0042】
認証状態応答が未認証であった場合は(図5)、アプリケーション認証アクセス制御サーバ3からパスワード要求を利用者端末6に送信してパスワードをアプリケーション認証アクセス制御サーバ3に送信し(ステップ115,116)、アクセス許可判断部34で認証を行ない(ステップ117)、認証応答をアクセス要求受付/応答部31から利用者端末6に返す(ステップ118)。認証が成功だった場合、利用者端末6はアプリケーションサーバ91にアクセス要求を送信し(ステップ119)、アプリケーションサーバ91は利用者端末6にアクセス応答を返す(ステップ120)。
【0043】
次に、図6に示すシーケンス図に従って、本実施形態において利用者7が利用者端末6とリモートアクセスサーバ5との間の回線を切断することで、実施済みのシングルサインオンの認証を無効にする一連の処理について説明する。
【0044】
利用者端末6とリモートアクセスサーバ5との間の回線が切断されると(ステップ121)、リモートアクセスサーバ5からネットワーク認証アクセス制御サーバ2に対して切断要求が送信され(ステップ122)、これを契機にネットワーク認証アクセス制御サーバ2は、アドレス払い出し/回収部25で、利用者端末6に払い出したIPアドレスを回収して利用者7を未認証状態に戻し、さらに、接続パス設定/削除部23でリモートアクセスサーバ5と転送ノード4に対して仮想閉域網8への接続パスを削除する。
【0045】
この後、ネットワーク認証アクセス制御サーバ2は、認証状態応答部26からアプリケーション認証アクセス制御サーバ3に対して、利用者7のログアウト要求を送信する(ステップ124)。アプリケーション認証アクセス制御サーバ3は、アクセス許可判断部34でアプリケーションサーバ群(91および92)に対する利用者7の認証を無効にする(ステップ125)。
【0046】
その後、アプリケーション認証アクセス制御サーバ3は、認証状態問合せ部33からログアウト完了通知をネットワーク認証アクセス制御サーバ2に送信し(ステップ126)、リモートアクセスサーバ5に切断完了通知を送信する(ステップ127)。
【0047】
なお、ネットワーク認証アクセス制御サーバ2およびアプリケーション認証アクセス制御サーバ3内の処理は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0048】
【発明の効果】
以上説明したように、本発明によれば、仮想閉域網へのリモートアクセスを実現する統合型認証アクセス制御システムにおいて、仮想閉域網へのアクセスのための認証で仮想閉域網内のアプリケーションサーバへのアクセスの認証を実現することで、利用者に対して仮想閉域網へのアクセス時に認証を行なうだけで、仮想閉域網内のサーバから別途認証手続きを求められることなく効率的に業務を遂行できるという効果が得られる。
【図面の簡単な説明】
【図1】本発明の一実施形態の統合型認証アクセス制御システムの構成図である。
【図2】ネットワーク認証アクセス制御サーバとアプリケーション認証アクセス制御サーバの構成図である。
【図3】図1の実施形態における処理の流れを示す図である。
【図4】図1の実施形態における処理の流れを示す図である。
【図5】図1の実施形態における処理の流れを示す図である。
【図6】図1の実施形態における処理の流れを示す図である。
【符号の説明】
1 統合型認証アクセス制御システム
2 ネットワーク認証アクセス制御サーバ
3 アプリケーション認証アクセス制御サーバ
4 転送ノード
5 リモートアクセスサーバ
6 利用者端末
7 利用者
8 仮想閉域網
91、92 アプリケーションサーバ
10 電話網
21 接続要求受付/応答部
22 認証部
23 接続パス設定/削除部
24 ネットワーク認証状態テーブル
25 アドレス払い出し/回収部
26 認証状態応答部
31 アクセス要求受付/応答部
32 送信元アドレス抽出部
33 認証状態問合せ部
34 アクセス許可判断部
101〜127 ステップ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an integrated authentication access control system, and in particular, receives a connection request from a user terminal via a remote access server, controls the remote access server and a forwarding node, sets a connection path, and A network authentication access control server that connects the virtual closed network to realize communication between the terminal and the application server in the virtual closed network, and a plurality of installed in the virtual closed network and in the virtual closed network The present invention relates to an integrated authentication access control system including an application authentication access control server that realizes authentication at the time of access to an application server.
[0002]
[Prior art]
Conventionally, a virtual closed network has been introduced in order to construct a closed network that connects only a specific ground such as a corporate communication network. A virtual closed network in a connectionless communication network not only shares a transmission path and a transfer node, but also shares a logical path and a logical line to perform transfer control that ensures security. In addition, the virtual closed network can accept remote access from a specific terminal or a specific user, instead of connecting only a specific ground. For example, a company's virtual closed network can be accessed from a terminal at the employee's home via a telephone network or an ADSL (Asynchronous Digital Subscriber Line) network, and can be connected to a company host computer. A remote access server is installed between the telephone network and the virtual closed network, and the terminal is connected to the remote access server by dial-up or the like to access the virtual closed network.
[0003]
A transfer node that connects the remote access server and the virtual closed network, and a closed network group control server that controls the remote access server and the transfer node, are shared by users of a plurality of virtual closed networks. An application has been filed in which a physical line between a remote access server and a forwarding node is used in a plurality of virtual closed networks to improve the utilization efficiency of equipment (Patent Document 1). In Patent Document 1, based on a connection request from a user, the remote access server assigns a virtual router (hereinafter referred to as VR: Virtual Router) to each virtual closed network, and connects the VR to one physical line. To do. Upon disconnection from the user, the remote access server releases the VR and assigns it to another virtual closed network user.
[0004]
On the other hand, on the premise that a connection environment to a communication network represented by a virtual closed network is prepared, it is possible to access contents on a plurality of servers connected to the communication network by one authentication ( In the following, the method of installing an authentication access control server in the network is known as a single sign-on method. Single sign-on has two types of processing: “reverse proxy type” and “agent module type”. And classified.
[0005]
In reverse proxy type single sign-on, all access requests to the server are relayed through the authentication access control server, and the authentication access control server refers to the access list for each user inside when relaying. Perform access control. On the other hand, in the agent module type single sign-on, the user first logs into the authentication access control server. If the authentication is successful, the authentication access control server embeds a list of application servers accessible by the user in a cookie and transmits the cookie to the user terminal. Thereafter, when the user accesses the application server, the agent module in the content server determines whether or not access is possible based on the information in the cookie. If there is an access to the application server from a user who is not authenticated by the authentication access control server, the agent module in the application server transfers the access request to the authentication access control server and performs authentication. Make it.
[0006]
Currently, standardization of a single sign-on system based on an agent module type is being promoted in the Liberty Alliance, which is a corporate alliance.
[0007]
[Patent Document 1]
Japanese Patent Laid-Open No. 2002-185538
[Problems to be solved by the invention]
When a user accesses a virtual closed network from a remote location, it is usually considered that after connecting to the virtual closed network, a server in the virtual closed network is accessed in order to perform some work. At this time, once connected to the virtual closed network, single sign-on to the application server is possible by using the above-mentioned reverse proxy type or agent module type authentication access control server. Since access to the closed network itself requires separate authentication, the user needs to authenticate twice or more to access the application server in the virtual closed network by remote access. There is a problem that it is insufficient from the viewpoint of sex.
[0009]
An object of the present invention is to provide a network authentication access control server and application authentication that do not require further authentication procedures for an application server that has a user access authority in the virtual closed network without sacrificing security strength. An object is to provide an access control server and an integrated authentication access control system.
[0010]
[Means for Solving the Problems]
The network authentication access control server and the application authentication access control server of the present invention are used together with a transfer node and a remote access server, after a user terminal is connected to a virtual closed network from a remote location via the remote access server and the transfer node. An integrated authentication access control system for authenticating an access request issued from a user terminal to an application server in a virtual closed network.
[0011]
The network authentication access control server of the present invention receives a connection request from a user terminal to a virtual closed network via a remote access server, and receives information necessary for authentication in connection to the virtual closed network from the user terminal. Means for authenticating the user using the information, means for connecting the user terminal and the virtual closed network to the remote access server and the forwarding node if the authentication is successful, and user authentication. Status and means for managing for each user the address issued to connect the terminal of the user to the virtual closed network when authentication is successful, and an access request packet from the application authentication access control server to the application server Means for receiving the source address information and the network authentication access control server based on the received source address. Searching for information on the address issued at the time of authentication managed in the server, and determining whether the source address is an address issued when authentication to the virtual closed network is successful, and when the source address is successful If the address is a payout address, a user who has issued an access request to the application server with the address as a transmission source responds to the application authentication access control server that the network authentication access control server has authenticated, If the sender address is not the address that was issued when authentication was successful, the application authentication access control that the user who issued the access request to the application server using that address as the sender is not authenticated by the network authentication access control server A means to respond to the server That.
[0012]
On the other hand, the application authentication access control server of the present invention extracts a means for receiving an access request from the user to the application server group and a source address of the access request, and sends the source to the network authentication access control server. If there is a response indicating that the user who sent the access request by sending the address information is authenticated and the network authentication access control server indicates that the user has been authenticated, the response to the original access request Without sending the information necessary for authentication, such as password, to the user terminal and responding to the user terminal with information indicating successful authentication, and the network authentication access control server If there is a response to that effect, it is necessary to authenticate the password for the original access request. Requesting authentication information and requesting authentication, and subsequently receiving information necessary for authentication from the user terminal, and if authentication is successful, granting information indicating successful authentication such as a certificate to the user terminal And responding means.
[0013]
Next, the flow of authentication processing in the integrated authentication access control system of the present invention configured as described above will be described.
[0014]
When a connection request to the virtual closed network is issued, the network authentication access control server acquires authentication information necessary for accessing the virtual closed network from the user terminal, and based on the authentication information, Authenticate access to. When this authentication is obtained, the network authentication access control server sets a connection path for the forwarding node and the remote access server so that the user terminal is connected to the virtual closed network. After that, when an access request is made from the user terminal to the application server in the virtual closed network, the access request does not include a certificate indicating that it has the authority to access the application server. In accordance with the agent module type single sign-on method, the access request is transferred to the application authentication access control server.
[0015]
The application authentication access control server extracts the transmission source address from the received access request packet to the application server and checks the authentication status of the access request source user first with respect to the network authentication access control server. Information on the extracted source address is transmitted.
[0016]
The network authentication access control server searches whether the received transmission source address information is registered as an authenticated and paid-out address in a list for managing the authentication status held in the server. If the source address exists in the list, it responds to the application authentication access control server that it has been authenticated by the network authentication access control server. If it is not in the list, it has not been authenticated by the network authentication access control server. Answer that there is.
[0017]
When the application authentication access control server receives a response indicating that it has been authenticated, the application server group does not request the information required for authentication such as a password in response to the access request originally sent from the user terminal. A certificate certifying that the user has the right to access is sent to the user terminal. When a response indicating unauthenticated is received from the network authentication access control server, the application server group is requested only when the user requests the information required for authentication such as password in response to the original access request and the authentication is successful. A certificate certifying that the user has the right to access is sent to the user terminal.
[0018]
After that, if the user terminal tries to access the application server group in the virtual closed network, the application server confirms that the certificate issued by the application authentication access control server is given to the access request. By doing so, it is determined that the authentication procedure has been completed, and access to the own application server is permitted.
[0019]
Therefore, in the remote access to the virtual closed network based on the agent module type single sign-on, which is being standardized by the Liberty Alliance, the user performs authentication once when accessing the virtual closed network. As a result, not only remote access to the virtual closed network but also secure access to a plurality of application servers in the virtual closed network becomes possible.
[0020]
DETAILED DESCRIPTION OF THE INVENTION
Next, embodiments of the present invention will be described with reference to the drawings.
[0021]
FIG. 1 is a configuration diagram of an integrated authentication access control system according to an embodiment of the present invention.
[0022]
The integrated authentication access control system 1 includes a network authentication
[0023]
In this configuration, it is assumed that the
[0024]
2A and 2B are configuration diagrams of the network authentication
[0025]
The network authentication
[0026]
The connection request reception /
[0027]
[Table 1]
[0028]
Based on the transmission source address of the access request packet to the
[0029]
The application authentication
[0030]
Access request acceptance /
[0031]
Next, according to the sequence diagrams shown in FIG. 3, FIG. 4, and FIG. 5, the network authentication
[0032]
When the
[0033]
The
[0034]
The network authentication
[0035]
[0036]
At this point, the
[0037]
When the access request is transferred from the
[0038]
The network authentication
[0039]
If the authentication status response has been authenticated (FIG. 4), the application authentication
[0040]
As a result, when the
[0041]
Thereafter, it is possible to access another application server (
[0042]
If the authentication status response is unauthenticated (FIG. 5), a password request is transmitted from the application authentication
[0043]
Next, according to the sequence diagram shown in FIG. 6, in the present embodiment, the
[0044]
When the line between the
[0045]
Thereafter, the network authentication
[0046]
Thereafter, the application authentication
[0047]
Note that the processing in the network authentication
[0048]
【The invention's effect】
As described above, according to the present invention, in the integrated authentication access control system that realizes remote access to the virtual closed network, authentication for accessing the virtual closed network is performed to the application server in the virtual closed network. By realizing access authentication, users can be authenticated efficiently when accessing the virtual private network, and work can be performed efficiently without requiring a separate authentication procedure from the server in the virtual private network. An effect is obtained.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of an integrated authentication access control system according to an embodiment of the present invention.
FIG. 2 is a configuration diagram of a network authentication access control server and an application authentication access control server.
FIG. 3 is a diagram showing a processing flow in the embodiment of FIG. 1;
FIG. 4 is a diagram showing a flow of processing in the embodiment of FIG. 1;
FIG. 5 is a diagram showing a processing flow in the embodiment of FIG. 1;
FIG. 6 is a diagram showing a processing flow in the embodiment of FIG. 1;
[Explanation of symbols]
1 Integrated Authentication
Claims (4)
利用者端末から前記仮想閉域網への接続要求を前記リモートアクセスサーバを介して受信し、前記仮想閉域網への接続における認証に必要な情報を前記利用者端末から受け取る手段と、
該情報を用いて利用者を認証する手段と、
認証が成功すると、前記リモートアクセスサーバと前記転送ノードに対して、前記利用者端末と前記仮想閉域網との間を接続する手段と、
利用者の認証状態と、認証に成功した場合にその利用者の端末を前記仮想閉域網に接続するために払い出したアドレスを利用者毎に管理する手段と、
前記アプリケーション認証アクセス制御サーバから、前記アプリケーションサーバへのアクセス要求パケットの送信元アドレスの情報を受け取る手段と、
受け取った送信元アドレスをもとに、前記ネットワーク認証アクセス制御サーバ内で管理している認証時の払い出しアドレスの情報を検索し、その送信元アドレスが前記仮想閉域網への認証成功時に払い出したアドレスか否かを判断する手段と、
前記送信元アドレスが認証成功時に払い出したアドレスであった場合、そのアドレスを送信元として前記アプリケーションサーバへのアクセス要求を発行してきた利用者は前記ネットワーク認証アクセス制御サーバで認証済みである旨を前記アプリケーション認証アクセス制御サーバに応答する手段と、
前記送信元アドレスが認証成功時に払い出したアドレスでなかった場合、そのアドレスを送信元として前記アプリケーションサーバへのアクセス要求を発行してきた利用者は前記ネットワーク認証アクセス制御サーバで認証済みではない旨を前記アプリケーション認証アクセス制御サーバに応答する手段とを備えるネットワーク認証アクセス制御サーバ。A connection request from a user terminal is received via a remote access server, the remote access server and a transfer node are controlled to set a connection path, the terminal and a virtual closed network are connected, and the terminal And a network authentication access control server for realizing communication between the application server in the virtual closed network,
Means for receiving a connection request from the user terminal to the virtual closed network via the remote access server, and receiving information necessary for authentication in connection to the virtual closed network from the user terminal;
Means for authenticating a user using the information;
If the authentication is successful, the means for connecting the user terminal and the virtual closed network to the remote access server and the forwarding node;
A means for managing for each user an authentication state of the user and an address issued to connect the user terminal to the virtual closed network when the authentication is successful;
Means for receiving from the application authentication access control server information on a source address of an access request packet to the application server;
Based on the received source address, search for information on the address issued at the time of authentication managed in the network authentication access control server, and the address issued from the source address when the authentication to the virtual closed network is successful Means for determining whether or not,
If the source address is an address issued when authentication is successful, the user who has issued an access request to the application server using the address as the source has been authenticated by the network authentication access control server. Means for responding to the application authentication access control server;
If the source address is not an address issued when authentication is successful, the user who has issued an access request to the application server with the address as the source is not authenticated by the network authentication access control server. A network authentication access control server comprising means for responding to the application authentication access control server.
同じ契機で前記ネットワーク認証アクセス制御サーバ内で管理している該利用者の認証状態を未認証の状態に戻す手段とをさらに備える、請求項1に記載のネットワーク認証アクセス制御サーバ。When the notification that the connection between the user terminal and the remote access server has been disconnected is received from the remote access server, the user terminal and the virtual terminal to which the user terminal was connected Means for deleting the connection path to the closed network;
The network authentication access control server according to claim 1 , further comprising means for returning the authentication state of the user managed in the network authentication access control server to an unauthenticated state at the same opportunity.
利用者からのアプリケーションサーバ群へのアクセス要求を受け取る手段と、
該アクセス要求の送信元アドレスを抽出し、ネットワーク認証アクセス制御サーバに対してその送信元アドレスの情報を送信して該アクセス要求を送ってきた利用者が認証済みであるかを問い合わせる手段と、
前記ネットワーク認証アクセス制御サーバから認証済みである旨の応答があった場合、元々のアクセス要求に対して、認証に必要な情報を改めて送信してもらうことなく、認証成功を示す情報を付与して利用者端末に対して応答する手段と、
前記ネットワーク認証アクセス制御サーバから未認証である旨の応答があった場合、元々のアクセス要求に対して、認証に必要な情報を要求して認証を求める手段と、
引き続いて前記利用者端末から認証に必要な情報を受け取り、認証に成功した場合、認証成功を示す情報を付与して前記利用者端末に対して応答する手段とを備えるアプリケーション認証アクセス制御サーバ。An application authentication access control server that is installed in a virtual closed network and realizes authentication at the time of access to a plurality of application servers in the virtual closed network by one authentication from a user,
Means for receiving a request for access to a group of application servers from a user;
Means for extracting the source address of the access request, sending information on the source address to the network authentication access control server, and inquiring whether the user who sent the access request has been authenticated;
If there is a response from the network authentication access control server indicating that the authentication has been completed, the information indicating the authentication success is added to the original access request without sending the information necessary for authentication again. Means for responding to the user terminal;
Means for requesting authentication by requesting information required for authentication in response to the original access request when there is a response indicating that the network authentication access control server is not authenticated;
An application authentication access control server comprising: means for subsequently receiving information necessary for authentication from the user terminal and providing information indicating successful authentication and responding to the user terminal when the authentication is successful.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003003108A JP4152753B2 (en) | 2003-01-09 | 2003-01-09 | Network authentication access control server, application authentication access control server, and integrated authentication access control system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003003108A JP4152753B2 (en) | 2003-01-09 | 2003-01-09 | Network authentication access control server, application authentication access control server, and integrated authentication access control system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004220075A JP2004220075A (en) | 2004-08-05 |
JP4152753B2 true JP4152753B2 (en) | 2008-09-17 |
Family
ID=32894468
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003003108A Expired - Lifetime JP4152753B2 (en) | 2003-01-09 | 2003-01-09 | Network authentication access control server, application authentication access control server, and integrated authentication access control system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4152753B2 (en) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100813791B1 (en) * | 2004-09-30 | 2008-03-13 | 주식회사 케이티 | Apparatus and Method for Integrated Authentification Management for Personal Mobility in wire/wireless Integrated Service Network |
CN1816217B (en) * | 2005-02-06 | 2010-06-02 | 华为技术有限公司 | Route setting method based on node address changing |
JP4878043B2 (en) * | 2008-08-08 | 2012-02-15 | 日本電信電話株式会社 | Access control system, connection control device, and connection control method |
JP5565027B2 (en) * | 2010-03-26 | 2014-08-06 | 富士ゼロックス株式会社 | Processing device, processing system, and processing control program |
JP6358947B2 (en) * | 2014-12-19 | 2018-07-18 | エイチ・シー・ネットワークス株式会社 | Authentication system |
-
2003
- 2003-01-09 JP JP2003003108A patent/JP4152753B2/en not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JP2004220075A (en) | 2004-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6948076B2 (en) | Communication system using home gateway and access server for preventing attacks to home network | |
EP1130875B1 (en) | A home gateway with a data backup service | |
JP4291213B2 (en) | Authentication method, authentication system, authentication proxy server, network access authentication server, program, and recording medium | |
US8788674B2 (en) | Buffering proxy for telnet access | |
CN1523811B (en) | System and method for user authentication at the level of the access network during a connection of the user to the internet | |
CN100563248C (en) | The method and system that when the user is connected to IP network, in the local management zone, is used for the leading subscriber insertion authority | |
JP5239341B2 (en) | Gateway, relay method and program | |
WO2008022589A1 (en) | A system and method for authenticating the accessing request for the home network | |
WO2007131415A1 (en) | System and method to manage home network | |
JPWO2004105333A1 (en) | Secure virtual private network | |
US20100030346A1 (en) | Control system and control method for controlling controllable device such as peripheral device, and computer program for control | |
CN109548022B (en) | Method for mobile terminal user to remotely access local network | |
KR20040102045A (en) | Information routing device having an auto-configuration feature | |
KR100763131B1 (en) | Access and Registration Method for Public Wireless LAN Service | |
JP2003316742A (en) | Anonymous communication method and device having single sign-on function | |
JP4152753B2 (en) | Network authentication access control server, application authentication access control server, and integrated authentication access control system | |
JP3953963B2 (en) | Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system | |
KR100697099B1 (en) | A method for providing message transmission service among different type messengers and method thereof | |
WO2011088695A1 (en) | Method and system for accessing network through public equipment | |
JP2012064007A (en) | Information processor, communication relay method and program | |
JP2009217722A (en) | Authentication processing system, authentication device, management device, authentication processing method, authentication processing program and management processing program | |
JP3655868B2 (en) | VoIP communication system and method, gatekeeper, authentication server and program | |
JP4149745B2 (en) | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program | |
KR101117316B1 (en) | Remote access service profile setting method and user authentication method for remote accessing UPNP devices | |
JP4878043B2 (en) | Access control system, connection control device, and connection control method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050125 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20050125 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050125 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050614 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080116 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080402 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080509 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080625 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080702 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4152753 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110711 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120711 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130711 Year of fee payment: 5 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
EXPY | Cancellation because of completion of term |