JP4152753B2 - Network authentication access control server, application authentication access control server, and integrated authentication access control system - Google Patents

Network authentication access control server, application authentication access control server, and integrated authentication access control system Download PDF

Info

Publication number
JP4152753B2
JP4152753B2 JP2003003108A JP2003003108A JP4152753B2 JP 4152753 B2 JP4152753 B2 JP 4152753B2 JP 2003003108 A JP2003003108 A JP 2003003108A JP 2003003108 A JP2003003108 A JP 2003003108A JP 4152753 B2 JP4152753 B2 JP 4152753B2
Authority
JP
Japan
Prior art keywords
authentication
access control
control server
server
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003003108A
Other languages
Japanese (ja)
Other versions
JP2004220075A (en
Inventor
潤 三好
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003003108A priority Critical patent/JP4152753B2/en
Publication of JP2004220075A publication Critical patent/JP2004220075A/en
Application granted granted Critical
Publication of JP4152753B2 publication Critical patent/JP4152753B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は統合型認証アクセス制御システムに関し、特に利用者の端末からの接続要求を、リモートアクセスサーバを介して受信し、該リモートアクセスサーバと転送ノードを制御して接続パスを設定し、端末と仮想閉域網とを接続して、端末と仮想閉域網内のアプリケーションサーバとの間の通信を実現するネットワーク認証アクセス制御サーバと、仮想閉域網内に設置されて、仮想閉域網内にある複数のアプリケーションサーバに対するアクセス時の認証を実現するアプリケーション認証アクセス制御サーバを含む統合型認証アクセス制御システムに関する。
【0002】
【従来の技術】
従来、企業通信網など特定の対地のみを接続する閉域網を構築するために、仮想閉域網が導入されている。コネクションレス型通信網における仮想閉域網は、伝送路、転送ノードを共有するのみならず、論理パス、論理回線も共有して、セキュリティを確保した転送制御がなされている。また、仮想閉域網は特定の対地のみを接続するのではなく、特定の端末、または特定のユーザからのリモートアクセスを受け付けることができるようになっている。例えば、社員の自宅の端末から電話網あるいはADSL(Asynmetric Digital Subscriber Line)網等を経由して企業の仮想閉域網にアクセスし、会社のホストコンピュータに接続することができる。電話網等と仮想閉域網との間にリモートアクセスサーバが設置されており、端末は、ダイアルアップ等でリモートアクセスサーバに接続し、仮想閉域網にアクセスすることが行なわれている。
【0003】
リモートアクセスサーバと仮想閉域網とを接続する転送ノードと、リモートアクセスサーバと転送ノードとを制御する閉域網群制御サーバを備え、複数の仮想閉域網の利用者が共有している。リモートアクセスサーバと転送ノードとの間の物理回線を複数の仮想閉域網で利用して、設備の利用効率を向上させることが出願されている(特許文献1)。この特許文献1では、利用者からの接続要求に基づいて、リモートアクセスサーバは、仮想閉域網毎に仮想ルータ(以下、VR:Virtual Routerと表記)を割り当て、VRを1本の物理回線に接続する。利用者からの切断を契機に、リモートアクセスサーバは、VRを開放し、他の仮想閉域網の利用者に割り当てる。
【0004】
一方、仮想閉域網に代表される通信網への接続環境が整っていることを前提として、通信網上に接続されている複数のサーバ上のコンテンツへのアクセスを一度の認証で可能にする(以下、シングルサインオンと表記)方法として、網内に認証アクセス制御サーバを設置する方法が知られており、シングルサインオンはその処理形態によって、「リバース・プロキシ型」と「エージェント・モジュール型」とに分類される。
【0005】
リバース・プロキシ型のシングルサインオンでは、サーバへのアクセス要求は全て認証アクセス制御サーバを中継して送信され、認証アクセス制御サーバは、中継時に、内部に持つ利用者毎のアクセスリストを参照してアクセス制御を行なう。一方、エージェント・モジュール型のシングルサインオンでは、利用者は、まず認証アクセス制御サーバにログインする。認証に成功すると、認証アクセス制御サーバは、該利用者がアクセス可能なアプリケーションサーバのリストをクッキーに埋め込んで利用者端末に送信する。その後、利用者がアプリケーションサーバにアクセスした時、コンテンツサーバ内のエージェント・モジュールがクッキー内の情報をもとにアクセスの可否を決定する。アプリケーションサーバに対して、認証アクセス制御サーバで認証されていない利用者からのアクセスがあった場合は、該アプリケーションサーバ内のエージェント・モジュールがアクセス要求を認証アクセス制御サーバに転送して、認証を行なわせる。
【0006】
なお、現在、企業連合であるLiberty Allianceにおいて、エージェント・モジュール型をベースにしたシングルサインオンの方式の標準化が進められている。
【0007】
【特許文献1】
特開2002−185538号公報
【0008】
【発明が解決しようとする課題】
仮想閉域網に利用者が遠隔地からアクセスする場合は、通常、仮想閉域網に接続した後、何らかの業務を行なうために、その仮想閉域網内のサーバにアクセスすることが考えられる。この時、一旦仮想閉域網に接続した後は、既述のリバース・プロキシ型ないしはエージェント・モジュール型の認証アクセス制御サーバを利用することにより、アプリケーションサーバへのシングルサインオンが可能であるが、仮想閉域網自体へのアクセスに対しては、別に認証が必要であるため、利用者がリモートアクセスにより仮想閉域網内のアプリケーションサーバへアクセスするためには二度以上の認証が必要となり、ユーザの利便性から見て不十分であるという問題がある。
【0009】
本発明の目的は、セキュリティ強度を損なうことなく、その仮想閉域網内にあって利用者がアクセス権限を持つアプリケーションサーバに対してさらなる認証手順を踏む必要のない、ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システムを提供することにある。
【0010】
【課題を解決するための手段】
本発明のネットワーク認証アクセス制御サーバおよびアプリケーション認証アクセス制御サーバは、転送ノードとリモートアクセスサーバとともに、利用者端末がリモートアクセスサーバおよび転送ノードを介して遠隔地から仮想閉域網に接続した上で、利用者端末から発行される仮想閉域網内のアプリケーションサーバへのアクセス要求を認証する統合型認証アクセス制御システムを構成している。
【0011】
本発明のネットワーク認証アクセス制御サーバは、利用者端末から仮想閉域網への接続要求をリモートアクセスサーバを介して受信し、仮想閉域網への接続における認証に必要な情報を利用者端末から受け取る手段と、該情報を用いて利用者を認証する手段と、認証が成功すると、リモートアクセスサーバと転送ノードに対して、利用者端末と仮想閉域網との間を接続する手段と、利用者の認証状態と、認証に成功した場合にその利用者の端末を仮想閉域網に接続するために払い出したアドレスを利用者毎に管理する手段と、アプリケーション認証アクセス制御サーバから、アプリケーションサーバへのアクセス要求パケットの送信元アドレスの情報を受け取る手段と、受け取った送信元アドレスをもとに、ネットワーク認証アクセス制御サーバ内で管理している認証時の払い出しアドレスの情報を検索し、その送信元アドレスが仮想閉域網への認証成功時に払い出したアドレスか否かを判断する手段と、送信元アドレスが認証成功時に払い出したアドレスであった場合、そのアドレスを送信元としてアプリケーションサーバへのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバで認証済みである旨をアプリケーション認証アクセス制御サーバに応答する手段と、送信元アドレスが認証成功時に払い出したアドレスでなかった場合、そのアドレスを送信元としてアプリケーションサーバへのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバで認証済みではない旨をアプリケーション認証アクセス制御サーバに応答する手段とを備える。
【0012】
一方、本発明のアプリケーション認証アクセス制御サーバは、利用者からのアプリケーションサーバ群へのアクセス要求を受け取る手段と、そのアクセス要求の送信元アドレスを抽出し、ネットワーク認証アクセス制御サーバに対してその送信元アドレスの情報を送信してアクセス要求を送ってきた利用者が認証済みであるかを問い合わせる手段と、ネットワーク認証アクセス制御サーバから認証済みである旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を改めて送信してもらうことなく、証明書等認証成功を示す情報を付与して利用者端末に対して応答する手段と、ネットワーク認証アクセス制御サーバから未認証である旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を要求して認証を求める手段と、引き続いて利用者端末から認証に必要な情報を受け取り、認証に成功した場合に、証明書等認証成功を示す情報を付与して利用者端末に対して応答する手段とを備える。
【0013】
次に、このように構成された本発明の統合型認証アクセス制御システムでの認証処理の流れについて説明する。
【0014】
ネットワーク認証アクセス制御サーバは、仮想閉域網への接続要求が発行されると、利用者端末から、その仮想閉域網へのアクセスに必要となる認証情報を取得して、それに基づいて、仮想閉域網へのアクセスの認証を行なう。この認証が得られると、ネットワーク認証アクセス制御サーバは、利用者端末が当該仮想閉域網に接続されるように、転送ノードとリモートアクセスサーバに対して接続パスの設定を行なう。この後、利用者端末から当該仮想閉域網内のアプリケーションサーバに対してアクセス要求を行なうと、そのアクセス要求にはそのアプリケーションサーバにアクセスする権限を有することを示す証明書が含まれていないため、エージェント・モジュール型のシングルサインオンの方式に従い、アクセス要求はアプリケーション認証アクセス制御サーバに転送される。
【0015】
アプリケーション認証アクセス制御サーバは、受信したアプリケーションサーバへのアクセス要求のパケットから送信元アドレスを抽出し、アクセス要求元の利用者の認証状態を確認するために、ネットワーク認証アクセス制御サーバに対して先に抽出した送信元アドレスの情報を送信する。
【0016】
ネットワーク認証アクセス制御サーバは、受信した送信元アドレス情報が自サーバ内に保持する認証状態を管理するリスト内に認証済みで払い出したアドレスとして登録されているかを検索する。該送信元アドレスがリスト内に存在した場合は、ネットワーク認証アクセス制御サーバで認証済みである旨をアプリケーション認証アクセス制御サーバに応答し、リスト内にない場合は、ネットワーク認証アクセス制御サーバで未認証であることを応答する。
【0017】
アプリケーション認証アクセス制御サーバは、認証済みとの応答を受信した場合は、元々利用者端末から送られてきたアクセス要求に対して、パスワード等認証に必要な情報を改めて要求することなく、アプリケーションサーバ群へのアクセス権限を有していることを証明する証明書を付与して利用者端末に送信する。ネットワーク認証アクセス制御サーバから未認証との応答を受信した場合は、元々のアクセス要求に対して、パスワード等認証に必要な情報を利用者に要求し、認証が成功した場合に限り、アプリケーションサーバ群へのアクセス権限を有していることを証明する証明書を付与して利用者端末に送信する。
【0018】
これ以降に該利用者端末が仮想閉域網内のアプリケーションサーバ群に対してアクセスを試みた場合は、アプリケーション認証アクセス制御サーバが発行した証明書がアクセス要求に付与されていることをアプリケーションサーバが確認することで認証手続きが完了していることを判別し、自アプリケーションサーバへのアクセスを許可する。
【0019】
したがって、Liberty Allianceにて標準化作業が進められている、エージェント・モジュール型のシングルサインオンをベースとする、仮想閉域網へのリモートアクセスにおいて、利用者は仮想閉域網へのアクセス時に一度認証を行なうだけで、仮想閉域網へのリモートアクセスのみならず、仮想閉域網内の複数のアプリケーションサーバに対するセキュアなアクセスが可能になる。
【0020】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0021】
図1は本発明の一実施形態の統合型認証アクセス制御システムの構成図である。
【0022】
統合型認証アクセス制御システム1はネットワーク認証アクセス制御サーバ2とアプリケーション認証アクセス制御サーバ3と転送ノード4とリモートアクセスサーバ5で構成されている。
【0023】
この構成において、利用者7が利用者端末6から仮想閉域網8に遠隔からダイアルアップでアクセスするものとし、この仮想閉域網8内には、アプリケーションサーバ91、92があり、利用者7はこのいずれのアプリケーションサーバ91、92にもアクセス権限を有しているものとする。
【0024】
図2(a)(b)はそれぞれネットワーク認証アクセス制御サーバ2、アプリケーション認証アクセス制御サーバ3の構成図である。
【0025】
ネットワーク認証アクセス制御サーバ2は接続要求受付/応答部21と認証部22と接続パス設定/削除部23とネットワーク認証状態テーブル24とアドレス払い出し/回収部25と認証状態応答部26を有している。
【0026】
接続要求受付/応答部21はリモートアクセスサーバ5を介した利用者端末6から仮想閉域網8の接続要求を認証に必要な情報とともに受け取り、またリモートアクセスサーバ5を介して利用者端末6に認証結果とIPアドレスを返す。また、接続要求受付/応答部21は、リモートアクセスサーバ5から切断要求を受信する。認証部22は接続要求受付/応答部21で接続要求が受信されると、受け取った認証に必要な情報を用いて利用者7を認証する。接続パス設定/削除部23は認証部22における認証が成功した場合、リモートアクセスサーバ5と転送ノード4に対して、利用者端末6と仮想閉域網8の間の接続パスを設定し、また、リモートアクセスサーバ5から切断要求が送信されると、前記接続パスを削除する。ネットワーク認証状態テーブル24は、仮想閉域網毎に用意され、各利用者が仮想閉域網に接続しているか接続していないかを示す認証状態と、接続されている場合に当該利用者の端末に対して払い出されたIP(InternetProtocol)アドレスの情報を管理する。表1に、ネットワーク認証状態テーブル24の一例を示す。
【0027】
【表1】

Figure 0004152753
【0028】
アドレス払い出し/回収部25は、アプリケーション認証アクセス制御サーバ3から受け取った、アプリケーションサーバ91または92へのアクセス要求パケットの送信元アドレスをもとに、ネットワーク認証状態テーブル24から認証時の払い出しアドレスの情報を検索し、送信元アドレスが仮想閉域網8への認証成功時に払い出したアドレスが否かを判断する。またアドレス払い出し/回収部25は接続要求受付/応答部21で切断要求が受信されると、利用者端末6に払い出したIPアドレスをネットワーク認証状態テーブル24から回収して利用者7を未認証状態に戻す。認証状態応答部26はアプリケーション認証アクセス制御サーバ3から、アプリケーションサーバ91または92へのアクセス要求パケットの送信元アドレスの情報を受け取り、該アドレスが認証成功時に払い出したアドレスであった場合、そのアドレスを送信元としてアプリケーションサーバ91または92へのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバ2で認証済みである旨をアプリケーション認証アクセス制御サーバ3に応答し、認証成功時に払い出したアドレスでなかった場合、そのアドレスを送信元としてアプリケーションサーバ91または92へのアクセス要求を発行してきた利用者はネットワーク認証アクセス制御サーバ2で認証済みではない旨をアプリケーション認証アクセス制御サーバ3に応答する。
【0029】
アプリケーション認証アクセス制御サーバ3はアクセス要求受付/応答部31と送信元アドレス抽出部32と認証状態問合せ部33とアクセス許可判断部34とを有している。
【0030】
アクセス要求受付/応答部31は転送ノード4を介した利用者7からのアプリケーションサーバ91または92へのアクセス要求を受付け、また認証の成功/不成功を転送ノード4を介して利用者7に応答する。送信元アドレス抽出部32はアクセス要求受付/応答部31で受け取られたアクセス要求の送信元アドレスを抽出する。認証状態問合せ部33は抽出された送信元アドレスをネットワーク認証アクセス制御サーバ2に送信してアクセス要求を送ってきた利用者が認証済みであるかを問い合わせる。アクセス許可判断部34は、ネットワーク認証アクセス制御サーバ2から認証済みである旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を改めて送信してもらうことなく、証明書等認証成功を示す情報を付与してアクセス要求受付/応答部31、転送ノード4を介して利用者端末6に対して応答し、ネットワーク認証アクセス制御サーバ2から未認証である旨の応答があった場合、元々のアクセス要求に対して、パスワード等認証に必要な情報を要求して認証を求め、引き続いて利用者端末6から認証に必要な情報を受け取り、認証に成功した場合に、証明書等認証成功を示す情報を付与してアクセス要求受付/応答部31、転送ノード4を介して利用者端末6に対して応答する。また、アクセス許可判断部34は、ネットワーク認証アクセス制御サーバ2からログアウト要求を受信すると、利用者7の認証を無効にする。
【0031】
次に、図3、図4、および図5に示すシーケンス図に従って、本実施形態のネットワーク認証アクセス制御サーバ2とアプリケーション認証アクセス制御サーバ3によって、利用者端末6からの一度のみの認証によって仮想閉域網8にリモートアクセスし、かつ、仮想閉域網8内のアプリケーションサーバ91、92に対してのシングルサインオンを実現する一連の処理について説明する。
【0032】
利用者端末6が仮想閉域網8に電話網経由でダイアルアップによるリモート接続を試みた場合、利用者端末6とリモートアクセスサーバ5との間の通信路が確立された後、仮想閉域網8への接続要求として認証に必要なユーザIDとパスワードとの対データがリモートアクセスサーバ5に送信される(ステップ101)。
【0033】
リモートアクセスサーバ5は、その接続要求をネットワーク認証アクセス制御サーバ2に送信して、認証を要求する(ステップ102)。
【0034】
ネットワーク認証アクセス制御サーバ2は、接続要求受付/応答部21で受信したユーザIDとパスワードの組で利用者を認証部22で認証し、認証に成功すると、利用者端末6に対して仮想閉域網8に接続するためのIPアドレスをアドレス払い出し/回収部25で払い出し、リモートアクセスサーバ5および転送ノード4に対して接続パスを接続パス設定/削除部23で設定する(ステップ103)。そして、認証結果と払い出したIPアドレスを接続要求受付/応答部21からリモートアクセスサーバ5を介して利用者端末6に送信する(ステップ104、105)。
【0035】
ここまでの処理で利用者端末6は、仮想閉域網8に接続されたため、利用者7は何らかの業務を行なうため、アプリケーションサーバ91に対してアクセス要求を送信するとする(ステップ106)。
【0036】
この時点では、利用者端末6は、アプリケーションサーバ91に対するアクセス権限を持っていることを示す証明書を持っていないため、アプリケーションサーバ91はアクセス要求に証明書が付いていないことを確認し(ステップ107)、アクセス要求をアプリケーション認証アクセス制御サーバ3にリダイレクトするように、利用者端末6に指示を送信する(ステップ108)。
【0037】
これに基づいて利用者端末6からアプリケーション認証アクセス制御サーバ3にアクセス要求が転送されると(ステップ109)、アプリケーション認証アクセス制御サーバ3は、受信したアクセス要求のパケットの送信元アドレスを送信元アドレス抽出部32で抽出し、そのアドレス情報を認証状態問合せ部33よりネットワーク認証アクセス制御サーバ2に送信することで、そのアクセス要求を送信してきた利用者がネットワーク認証アクセス制御サーバ2で認証済みであるかをネットワーク認証アクセス制御サーバ2に問い合わせる(ステップ110)。
【0038】
ネットワーク認証アクセス制御サーバ2では、仮想閉域網8のネットワーク認証状態テーブル24をアドレス払い出し/回収部25で検索し、アプリケーション認証アクセス制御サーバ3から受信したアドレスが、ネットワーク認証アクセス制御サーバ2で認証して払い出したアドレスであるかを判別し、その結果を認証状態応答部26からアプリケーション認証アクセス制御サーバ3に送信する(ステップ111)。
【0039】
認証状態応答が認証済みであった場合は(図4)、アプリケーション認証アクセス制御サーバ3は、利用者端末6に対して、認証が成功していることを示す証明書をアクセス許可判断部34で発行し、アクセス要求受付/応答部31より利用者端末6にアクセス応答として返信する(ステップ112)。
【0040】
これにより利用者端末6から再度アプリケーションサーバ91に対してアクセス要求を行なうと(ステップ113)、アプリケーションサーバ91はアクセス要求に証明書が付与されていることを検知して、アクセス要求に応答する(ステップ114)。
【0041】
これ以降は、利用者7がアクセス権限を有する他のアプリケーションサーバ(本実施形態ではアプリケーションサーバ92)に対しても、改めて認証手続きを求められることなく、アクセスが可能になる。
【0042】
認証状態応答が未認証であった場合は(図5)、アプリケーション認証アクセス制御サーバ3からパスワード要求を利用者端末6に送信してパスワードをアプリケーション認証アクセス制御サーバ3に送信し(ステップ115,116)、アクセス許可判断部34で認証を行ない(ステップ117)、認証応答をアクセス要求受付/応答部31から利用者端末6に返す(ステップ118)。認証が成功だった場合、利用者端末6はアプリケーションサーバ91にアクセス要求を送信し(ステップ119)、アプリケーションサーバ91は利用者端末6にアクセス応答を返す(ステップ120)。
【0043】
次に、図6に示すシーケンス図に従って、本実施形態において利用者7が利用者端末6とリモートアクセスサーバ5との間の回線を切断することで、実施済みのシングルサインオンの認証を無効にする一連の処理について説明する。
【0044】
利用者端末6とリモートアクセスサーバ5との間の回線が切断されると(ステップ121)、リモートアクセスサーバ5からネットワーク認証アクセス制御サーバ2に対して切断要求が送信され(ステップ122)、これを契機にネットワーク認証アクセス制御サーバ2は、アドレス払い出し/回収部25で、利用者端末6に払い出したIPアドレスを回収して利用者7を未認証状態に戻し、さらに、接続パス設定/削除部23でリモートアクセスサーバ5と転送ノード4に対して仮想閉域網8への接続パスを削除する。
【0045】
この後、ネットワーク認証アクセス制御サーバ2は、認証状態応答部26からアプリケーション認証アクセス制御サーバ3に対して、利用者7のログアウト要求を送信する(ステップ124)。アプリケーション認証アクセス制御サーバ3は、アクセス許可判断部34でアプリケーションサーバ群(91および92)に対する利用者7の認証を無効にする(ステップ125)。
【0046】
その後、アプリケーション認証アクセス制御サーバ3は、認証状態問合せ部33からログアウト完了通知をネットワーク認証アクセス制御サーバ2に送信し(ステップ126)、リモートアクセスサーバ5に切断完了通知を送信する(ステップ127)。
【0047】
なお、ネットワーク認証アクセス制御サーバ2およびアプリケーション認証アクセス制御サーバ3内の処理は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0048】
【発明の効果】
以上説明したように、本発明によれば、仮想閉域網へのリモートアクセスを実現する統合型認証アクセス制御システムにおいて、仮想閉域網へのアクセスのための認証で仮想閉域網内のアプリケーションサーバへのアクセスの認証を実現することで、利用者に対して仮想閉域網へのアクセス時に認証を行なうだけで、仮想閉域網内のサーバから別途認証手続きを求められることなく効率的に業務を遂行できるという効果が得られる。
【図面の簡単な説明】
【図1】本発明の一実施形態の統合型認証アクセス制御システムの構成図である。
【図2】ネットワーク認証アクセス制御サーバとアプリケーション認証アクセス制御サーバの構成図である。
【図3】図1の実施形態における処理の流れを示す図である。
【図4】図1の実施形態における処理の流れを示す図である。
【図5】図1の実施形態における処理の流れを示す図である。
【図6】図1の実施形態における処理の流れを示す図である。
【符号の説明】
1 統合型認証アクセス制御システム
2 ネットワーク認証アクセス制御サーバ
3 アプリケーション認証アクセス制御サーバ
4 転送ノード
5 リモートアクセスサーバ
6 利用者端末
7 利用者
8 仮想閉域網
1、92 アプリケーションサーバ
10 電話網
21 接続要求受付/応答部
22 認証部
23 接続パス設定/削除部
24 ネットワーク認証状態テーブル
25 アドレス払い出し/回収部
26 認証状態応答部
31 アクセス要求受付/応答部
32 送信元アドレス抽出部
33 認証状態問合せ部
34 アクセス許可判断部
101〜127 ステップ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an integrated authentication access control system, and in particular, receives a connection request from a user terminal via a remote access server, controls the remote access server and a forwarding node, sets a connection path, and A network authentication access control server that connects the virtual closed network to realize communication between the terminal and the application server in the virtual closed network, and a plurality of installed in the virtual closed network and in the virtual closed network The present invention relates to an integrated authentication access control system including an application authentication access control server that realizes authentication at the time of access to an application server.
[0002]
[Prior art]
Conventionally, a virtual closed network has been introduced in order to construct a closed network that connects only a specific ground such as a corporate communication network. A virtual closed network in a connectionless communication network not only shares a transmission path and a transfer node, but also shares a logical path and a logical line to perform transfer control that ensures security. In addition, the virtual closed network can accept remote access from a specific terminal or a specific user, instead of connecting only a specific ground. For example, a company's virtual closed network can be accessed from a terminal at the employee's home via a telephone network or an ADSL (Asynchronous Digital Subscriber Line) network, and can be connected to a company host computer. A remote access server is installed between the telephone network and the virtual closed network, and the terminal is connected to the remote access server by dial-up or the like to access the virtual closed network.
[0003]
A transfer node that connects the remote access server and the virtual closed network, and a closed network group control server that controls the remote access server and the transfer node, are shared by users of a plurality of virtual closed networks. An application has been filed in which a physical line between a remote access server and a forwarding node is used in a plurality of virtual closed networks to improve the utilization efficiency of equipment (Patent Document 1). In Patent Document 1, based on a connection request from a user, the remote access server assigns a virtual router (hereinafter referred to as VR: Virtual Router) to each virtual closed network, and connects the VR to one physical line. To do. Upon disconnection from the user, the remote access server releases the VR and assigns it to another virtual closed network user.
[0004]
On the other hand, on the premise that a connection environment to a communication network represented by a virtual closed network is prepared, it is possible to access contents on a plurality of servers connected to the communication network by one authentication ( In the following, the method of installing an authentication access control server in the network is known as a single sign-on method. Single sign-on has two types of processing: “reverse proxy type” and “agent module type”. And classified.
[0005]
In reverse proxy type single sign-on, all access requests to the server are relayed through the authentication access control server, and the authentication access control server refers to the access list for each user inside when relaying. Perform access control. On the other hand, in the agent module type single sign-on, the user first logs into the authentication access control server. If the authentication is successful, the authentication access control server embeds a list of application servers accessible by the user in a cookie and transmits the cookie to the user terminal. Thereafter, when the user accesses the application server, the agent module in the content server determines whether or not access is possible based on the information in the cookie. If there is an access to the application server from a user who is not authenticated by the authentication access control server, the agent module in the application server transfers the access request to the authentication access control server and performs authentication. Make it.
[0006]
Currently, standardization of a single sign-on system based on an agent module type is being promoted in the Liberty Alliance, which is a corporate alliance.
[0007]
[Patent Document 1]
Japanese Patent Laid-Open No. 2002-185538
[Problems to be solved by the invention]
When a user accesses a virtual closed network from a remote location, it is usually considered that after connecting to the virtual closed network, a server in the virtual closed network is accessed in order to perform some work. At this time, once connected to the virtual closed network, single sign-on to the application server is possible by using the above-mentioned reverse proxy type or agent module type authentication access control server. Since access to the closed network itself requires separate authentication, the user needs to authenticate twice or more to access the application server in the virtual closed network by remote access. There is a problem that it is insufficient from the viewpoint of sex.
[0009]
An object of the present invention is to provide a network authentication access control server and application authentication that do not require further authentication procedures for an application server that has a user access authority in the virtual closed network without sacrificing security strength. An object is to provide an access control server and an integrated authentication access control system.
[0010]
[Means for Solving the Problems]
The network authentication access control server and the application authentication access control server of the present invention are used together with a transfer node and a remote access server, after a user terminal is connected to a virtual closed network from a remote location via the remote access server and the transfer node. An integrated authentication access control system for authenticating an access request issued from a user terminal to an application server in a virtual closed network.
[0011]
The network authentication access control server of the present invention receives a connection request from a user terminal to a virtual closed network via a remote access server, and receives information necessary for authentication in connection to the virtual closed network from the user terminal. Means for authenticating the user using the information, means for connecting the user terminal and the virtual closed network to the remote access server and the forwarding node if the authentication is successful, and user authentication. Status and means for managing for each user the address issued to connect the terminal of the user to the virtual closed network when authentication is successful, and an access request packet from the application authentication access control server to the application server Means for receiving the source address information and the network authentication access control server based on the received source address. Searching for information on the address issued at the time of authentication managed in the server, and determining whether the source address is an address issued when authentication to the virtual closed network is successful, and when the source address is successful If the address is a payout address, a user who has issued an access request to the application server with the address as a transmission source responds to the application authentication access control server that the network authentication access control server has authenticated, If the sender address is not the address that was issued when authentication was successful, the application authentication access control that the user who issued the access request to the application server using that address as the sender is not authenticated by the network authentication access control server A means to respond to the server That.
[0012]
On the other hand, the application authentication access control server of the present invention extracts a means for receiving an access request from the user to the application server group and a source address of the access request, and sends the source to the network authentication access control server. If there is a response indicating that the user who sent the access request by sending the address information is authenticated and the network authentication access control server indicates that the user has been authenticated, the response to the original access request Without sending the information necessary for authentication, such as password, to the user terminal and responding to the user terminal with information indicating successful authentication, and the network authentication access control server If there is a response to that effect, it is necessary to authenticate the password for the original access request. Requesting authentication information and requesting authentication, and subsequently receiving information necessary for authentication from the user terminal, and if authentication is successful, granting information indicating successful authentication such as a certificate to the user terminal And responding means.
[0013]
Next, the flow of authentication processing in the integrated authentication access control system of the present invention configured as described above will be described.
[0014]
When a connection request to the virtual closed network is issued, the network authentication access control server acquires authentication information necessary for accessing the virtual closed network from the user terminal, and based on the authentication information, Authenticate access to. When this authentication is obtained, the network authentication access control server sets a connection path for the forwarding node and the remote access server so that the user terminal is connected to the virtual closed network. After that, when an access request is made from the user terminal to the application server in the virtual closed network, the access request does not include a certificate indicating that it has the authority to access the application server. In accordance with the agent module type single sign-on method, the access request is transferred to the application authentication access control server.
[0015]
The application authentication access control server extracts the transmission source address from the received access request packet to the application server and checks the authentication status of the access request source user first with respect to the network authentication access control server. Information on the extracted source address is transmitted.
[0016]
The network authentication access control server searches whether the received transmission source address information is registered as an authenticated and paid-out address in a list for managing the authentication status held in the server. If the source address exists in the list, it responds to the application authentication access control server that it has been authenticated by the network authentication access control server. If it is not in the list, it has not been authenticated by the network authentication access control server. Answer that there is.
[0017]
When the application authentication access control server receives a response indicating that it has been authenticated, the application server group does not request the information required for authentication such as a password in response to the access request originally sent from the user terminal. A certificate certifying that the user has the right to access is sent to the user terminal. When a response indicating unauthenticated is received from the network authentication access control server, the application server group is requested only when the user requests the information required for authentication such as password in response to the original access request and the authentication is successful. A certificate certifying that the user has the right to access is sent to the user terminal.
[0018]
After that, if the user terminal tries to access the application server group in the virtual closed network, the application server confirms that the certificate issued by the application authentication access control server is given to the access request. By doing so, it is determined that the authentication procedure has been completed, and access to the own application server is permitted.
[0019]
Therefore, in the remote access to the virtual closed network based on the agent module type single sign-on, which is being standardized by the Liberty Alliance, the user performs authentication once when accessing the virtual closed network. As a result, not only remote access to the virtual closed network but also secure access to a plurality of application servers in the virtual closed network becomes possible.
[0020]
DETAILED DESCRIPTION OF THE INVENTION
Next, embodiments of the present invention will be described with reference to the drawings.
[0021]
FIG. 1 is a configuration diagram of an integrated authentication access control system according to an embodiment of the present invention.
[0022]
The integrated authentication access control system 1 includes a network authentication access control server 2, an application authentication access control server 3, a forwarding node 4, and a remote access server 5.
[0023]
In this configuration, it is assumed that the user 7 remotely accesses the virtual closed network 8 from the user terminal 6. The virtual closed network 8 includes application servers 9 1 and 9 2. It is assumed that any of the application servers 9 1 and 9 2 has access authority.
[0024]
2A and 2B are configuration diagrams of the network authentication access control server 2 and the application authentication access control server 3, respectively.
[0025]
The network authentication access control server 2 includes a connection request reception / response unit 21, an authentication unit 22, a connection path setting / deletion unit 23, a network authentication status table 24, an address issue / collection unit 25, and an authentication status response unit 26. .
[0026]
The connection request reception / response unit 21 receives a connection request for the virtual closed network 8 from the user terminal 6 via the remote access server 5 together with information necessary for authentication, and authenticates to the user terminal 6 via the remote access server 5. Returns the result and IP address. Further, the connection request reception / response unit 21 receives a disconnection request from the remote access server 5. When the connection request is received by the connection request reception / response unit 21, the authentication unit 22 authenticates the user 7 using the information necessary for the received authentication. The connection path setting / deleting unit 23 sets a connection path between the user terminal 6 and the virtual closed network 8 for the remote access server 5 and the transfer node 4 when the authentication by the authentication unit 22 is successful. When a disconnection request is transmitted from the remote access server 5, the connection path is deleted. The network authentication status table 24 is prepared for each virtual closed network, and indicates the authentication status indicating whether each user is connected to the virtual closed network or not, and if connected, the user authentication terminal table 24 Information on the IP (Internet Protocol) address issued to the server is managed. Table 1 shows an example of the network authentication status table 24.
[0027]
[Table 1]
Figure 0004152753
[0028]
Based on the transmission source address of the access request packet to the application server 9 1 or 9 2 received from the application authentication access control server 3, the address issue / collection unit 25 uses the network authentication status table 24 to issue the address at the time of authentication. Information is retrieved, and it is determined whether or not the source address is an address issued when the authentication to the virtual closed network 8 is successful. Further, when the connection request acceptance / response unit 21 receives the disconnection request, the address issue / collection unit 25 collects the IP address issued to the user terminal 6 from the network authentication state table 24 and makes the user 7 unauthenticated. Return to. The authentication status response unit 26 receives the information of the transmission source address of the access request packet to the application server 9 1 or 9 2 from the application authentication access control server 3, and if the address is an address issued when the authentication is successful, The user who has issued an access request to the application server 9 1 or 9 2 with the address as the sender responds to the application authentication access control server 3 that the network authentication access control server 2 has been authenticated, and pays out when the authentication is successful. If the address is not an address, the application authentication access control server 3 indicates that the user who has issued an access request to the application server 9 1 or 9 2 using the address as the transmission source has not been authenticated by the network authentication access control server 2. According to To.
[0029]
The application authentication access control server 3 includes an access request reception / response unit 31, a transmission source address extraction unit 32, an authentication state inquiry unit 33, and an access permission determination unit 34.
[0030]
Access request acceptance / response section 31 accepts an access request to the application server 9 1 or 9 2 from the user 7 via the transfer node 4, also utilizing the success / failure of authentication via the transfer node 4's 7 Respond to. The source address extraction unit 32 extracts the source address of the access request received by the access request reception / response unit 31. The authentication status inquiry unit 33 sends the extracted source address to the network authentication access control server 2 to inquire whether the user who sent the access request has been authenticated. If there is a response from the network authentication access control server 2 indicating that authentication has been completed, the access permission determination unit 34 does not have to send again information necessary for authentication, such as a password, in response to the original access request. A response indicating that the network authentication access control server 2 is unauthenticated by responding to the user terminal 6 via the access request reception / response unit 31 and the forwarding node 4 with information indicating authentication success such as a certificate. If there is a request for information required for authentication such as a password in response to the original access request, the authentication is requested, and subsequently the information required for authentication is received from the user terminal 6, and when the authentication is successful, Information indicating success of authentication, such as a certificate, is attached, and a response is made to the user terminal 6 via the access request reception / response unit 31 and the forwarding node 4. Further, when the access permission determination unit 34 receives a logout request from the network authentication access control server 2, the access permission determination unit 34 invalidates the authentication of the user 7.
[0031]
Next, according to the sequence diagrams shown in FIG. 3, FIG. 4, and FIG. 5, the network authentication access control server 2 and the application authentication access control server 3 of the present embodiment perform virtual closure by one-time authentication from the user terminal 6. A series of processes for remotely accessing the network 8 and realizing single sign-on for the application servers 9 1 and 9 2 in the virtual closed network 8 will be described.
[0032]
When the user terminal 6 attempts a remote connection by dial-up to the virtual closed network 8 via the telephone network, after the communication path between the user terminal 6 and the remote access server 5 is established, the connection to the virtual closed network 8 is performed. Pair data of a user ID and a password necessary for authentication is transmitted to the remote access server 5 as a connection request (step 101).
[0033]
The remote access server 5 transmits the connection request to the network authentication access control server 2 to request authentication (step 102).
[0034]
The network authentication access control server 2 authenticates the user with the authentication unit 22 using the combination of the user ID and password received by the connection request reception / response unit 21, and if the authentication is successful, The address issuing / collecting unit 25 issues an IP address for connection to 8 and the connection path setting / deleting unit 23 sets a connection path for the remote access server 5 and the transfer node 4 (step 103). Then, the authentication result and the issued IP address are transmitted from the connection request reception / response unit 21 to the user terminal 6 via the remote access server 5 (steps 104 and 105).
[0035]
User terminal 6 by the processing up to here, since that is connected to a virtual private network 8, the user 7 to perform some operations, and transmits an access request to the application server 9 1 (step 106).
[0036]
At this point, the user terminal 6, because it does not have a certificate indicating that you have access to the application server 9 1, the application server 9 1 confirms that does not have a certificate to the access request (Step 107) An instruction is transmitted to the user terminal 6 so as to redirect the access request to the application authentication access control server 3 (Step 108).
[0037]
When the access request is transferred from the user terminal 6 to the application authentication access control server 3 based on this (step 109), the application authentication access control server 3 sets the source address of the received access request packet as the source address. The user who has transmitted the access request has been authenticated by the network authentication access control server 2 by extracting by the extraction unit 32 and transmitting the address information from the authentication status inquiry unit 33 to the network authentication access control server 2. Is inquired of the network authentication access control server 2 (step 110).
[0038]
The network authentication access control server 2 searches the network authentication state table 24 of the virtual closed network 8 by the address issue / collection unit 25, and the address received from the application authentication access control server 3 is authenticated by the network authentication access control server 2. The authentication status response unit 26 transmits the result to the application authentication access control server 3 (step 111).
[0039]
If the authentication status response has been authenticated (FIG. 4), the application authentication access control server 3 sends a certificate indicating that the authentication has succeeded to the user terminal 6 by the access permission determination unit 34. The access request is accepted and returned from the access request acceptance / response unit 31 to the user terminal 6 as an access response (step 112).
[0040]
As a result, when the user terminal 6 makes an access request to the application server 9 1 again (step 113), the application server 9 1 detects that a certificate has been added to the access request and responds to the access request. (Step 114).
[0041]
Thereafter, it is possible to access another application server (application server 9 2 in the present embodiment) to which the user 7 has access authority without requiring another authentication procedure.
[0042]
If the authentication status response is unauthenticated (FIG. 5), a password request is transmitted from the application authentication access control server 3 to the user terminal 6 and a password is transmitted to the application authentication access control server 3 (steps 115 and 116). The access permission determination unit 34 performs authentication (step 117), and an authentication response is returned from the access request reception / response unit 31 to the user terminal 6 (step 118). If authentication was successful, the user terminal 6 sends the access request to the application server 9 1 (step 119), the application server 9 1 returns an access response to the user terminal 6 (step 120).
[0043]
Next, according to the sequence diagram shown in FIG. 6, in the present embodiment, the user 7 disconnects the line between the user terminal 6 and the remote access server 5, thereby invalidating the performed single sign-on authentication. A series of processing will be described.
[0044]
When the line between the user terminal 6 and the remote access server 5 is disconnected (step 121), a disconnect request is transmitted from the remote access server 5 to the network authentication access control server 2 (step 122). In response, the network authentication access control server 2 uses the address issuing / collecting unit 25 to collect the IP address issued to the user terminal 6 to return the user 7 to the unauthenticated state, and further to the connection path setting / deleting unit 23. Thus, the connection path to the virtual closed network 8 is deleted from the remote access server 5 and the forwarding node 4.
[0045]
Thereafter, the network authentication access control server 2 transmits a logout request for the user 7 from the authentication status response unit 26 to the application authentication access control server 3 (step 124). The application authentication access control server 3 invalidates the authentication of the user 7 for the application server group (9 1 and 9 2 ) by the access permission determination unit 34 (step 125).
[0046]
Thereafter, the application authentication access control server 3 transmits a logout completion notification from the authentication status inquiry unit 33 to the network authentication access control server 2 (step 126), and transmits a disconnection completion notification to the remote access server 5 (step 127).
[0047]
Note that the processing in the network authentication access control server 2 and the application authentication access control server 3 is recorded on a computer-readable recording medium in addition to those realized by dedicated hardware. The program recorded on the recording medium may be read into a computer system and executed. The computer-readable recording medium refers to a recording medium such as a floppy disk, a magneto-optical disk, a CD-ROM, or a storage device such as a hard disk device built in the computer system. Furthermore, a computer-readable recording medium is a server that dynamically holds a program (transmission medium or transmission wave) for a short period of time, as in the case of transmitting a program via the Internet, and a server in that case. Some of them hold programs for a certain period of time, such as volatile memory inside computer systems.
[0048]
【The invention's effect】
As described above, according to the present invention, in the integrated authentication access control system that realizes remote access to the virtual closed network, authentication for accessing the virtual closed network is performed to the application server in the virtual closed network. By realizing access authentication, users can be authenticated efficiently when accessing the virtual private network, and work can be performed efficiently without requiring a separate authentication procedure from the server in the virtual private network. An effect is obtained.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of an integrated authentication access control system according to an embodiment of the present invention.
FIG. 2 is a configuration diagram of a network authentication access control server and an application authentication access control server.
FIG. 3 is a diagram showing a processing flow in the embodiment of FIG. 1;
FIG. 4 is a diagram showing a flow of processing in the embodiment of FIG. 1;
FIG. 5 is a diagram showing a processing flow in the embodiment of FIG. 1;
FIG. 6 is a diagram showing a processing flow in the embodiment of FIG. 1;
[Explanation of symbols]
1 Integrated Authentication Access Control System 2 Network Authentication Access Control Server 3 Application Authentication Access Control Server 4 Transfer Node 5 Remote Access Server 6 User Terminal 7 User 8 Virtual Closed Network 9 1 , 9 2 Application Server 10 Telephone Network 21 Connection Request Reception / response unit 22 Authentication unit 23 Connection path setting / deletion unit 24 Network authentication status table 25 Address issue / collection unit 26 Authentication status response unit 31 Access request reception / response unit 32 Source address extraction unit 33 Authentication status inquiry unit 34 Access Permission judgment unit 101-127 step

Claims (4)

利用者の端末からの接続要求を、リモートアクセスサーバを介して受信し、該リモートアクセスサーバと転送ノードを制御して接続パスを設定し、前記端末と仮想閉域網とを接続して、前記端末と前記仮想閉域網内のアプリケーションサーバとの間の通信を実現するネットワーク認証アクセス制御サーバであって、
利用者端末から前記仮想閉域網への接続要求を前記リモートアクセスサーバを介して受信し、前記仮想閉域網への接続における認証に必要な情報を前記利用者端末から受け取る手段と、
該情報を用いて利用者を認証する手段と、
認証が成功すると、前記リモートアクセスサーバと前記転送ノードに対して、前記利用者端末と前記仮想閉域網との間を接続する手段と、
利用者の認証状態と、認証に成功した場合にその利用者の端末を前記仮想閉域網に接続するために払い出したアドレスを利用者毎に管理する手段と、
前記アプリケーション認証アクセス制御サーバから、前記アプリケーションサーバへのアクセス要求パケットの送信元アドレスの情報を受け取る手段と、
受け取った送信元アドレスをもとに、前記ネットワーク認証アクセス制御サーバ内で管理している認証時の払い出しアドレスの情報を検索し、その送信元アドレスが前記仮想閉域網への認証成功時に払い出したアドレスか否かを判断する手段と、
前記送信元アドレスが認証成功時に払い出したアドレスであった場合、そのアドレスを送信元として前記アプリケーションサーバへのアクセス要求を発行してきた利用者は前記ネットワーク認証アクセス制御サーバで認証済みである旨を前記アプリケーション認証アクセス制御サーバに応答する手段と、
前記送信元アドレスが認証成功時に払い出したアドレスでなかった場合、そのアドレスを送信元として前記アプリケーションサーバへのアクセス要求を発行してきた利用者は前記ネットワーク認証アクセス制御サーバで認証済みではない旨を前記アプリケーション認証アクセス制御サーバに応答する手段とを備えるネットワーク認証アクセス制御サーバ。A connection request from a user terminal is received via a remote access server, the remote access server and a transfer node are controlled to set a connection path, the terminal and a virtual closed network are connected, and the terminal And a network authentication access control server for realizing communication between the application server in the virtual closed network,
Means for receiving a connection request from the user terminal to the virtual closed network via the remote access server, and receiving information necessary for authentication in connection to the virtual closed network from the user terminal;
Means for authenticating a user using the information;
If the authentication is successful, the means for connecting the user terminal and the virtual closed network to the remote access server and the forwarding node;
A means for managing for each user an authentication state of the user and an address issued to connect the user terminal to the virtual closed network when the authentication is successful;
Means for receiving from the application authentication access control server information on a source address of an access request packet to the application server;
Based on the received source address, search for information on the address issued at the time of authentication managed in the network authentication access control server, and the address issued from the source address when the authentication to the virtual closed network is successful Means for determining whether or not,
If the source address is an address issued when authentication is successful, the user who has issued an access request to the application server using the address as the source has been authenticated by the network authentication access control server. Means for responding to the application authentication access control server;
If the source address is not an address issued when authentication is successful, the user who has issued an access request to the application server with the address as the source is not authenticated by the network authentication access control server. A network authentication access control server comprising means for responding to the application authentication access control server. 前記利用者端末と前記リモートアクセスサーバとの間の接続が切断された旨の通知を前記リモートアクセスサーバから受けたことを契機に、該利用者端末と、該利用者端末が接続していた仮想閉域網との間の接続パスを削除する手段と、
同じ契機で前記ネットワーク認証アクセス制御サーバ内で管理している該利用者の認証状態を未認証の状態に戻す手段とをさらに備える、請求項1に記載のネットワーク認証アクセス制御サーバ。When the notification that the connection between the user terminal and the remote access server has been disconnected is received from the remote access server, the user terminal and the virtual terminal to which the user terminal was connected Means for deleting the connection path to the closed network;
The network authentication access control server according to claim 1 , further comprising means for returning the authentication state of the user managed in the network authentication access control server to an unauthenticated state at the same opportunity. 仮想閉域網内に設置されて、利用者からの一度の認証によって、仮想閉域網内にある複数のアプリケーションサーバに対するアクセス時の認証を実現するアプリケーション認証アクセス制御サーバであって、
利用者からのアプリケーションサーバ群へのアクセス要求を受け取る手段と、
該アクセス要求の送信元アドレスを抽出し、ネットワーク認証アクセス制御サーバに対してその送信元アドレスの情報を送信して該アクセス要求を送ってきた利用者が認証済みであるかを問い合わせる手段と、
前記ネットワーク認証アクセス制御サーバから認証済みである旨の応答があった場合、元々のアクセス要求に対して、認証に必要な情報を改めて送信してもらうことなく、認証成功を示す情報を付与して利用者端末に対して応答する手段と、
前記ネットワーク認証アクセス制御サーバから未認証である旨の応答があった場合、元々のアクセス要求に対して、認証に必要な情報を要求して認証を求める手段と、
引き続いて前記利用者端末から認証に必要な情報を受け取り、認証に成功した場合、認証成功を示す情報を付与して前記利用者端末に対して応答する手段とを備えるアプリケーション認証アクセス制御サーバ。An application authentication access control server that is installed in a virtual closed network and realizes authentication at the time of access to a plurality of application servers in the virtual closed network by one authentication from a user,
Means for receiving a request for access to a group of application servers from a user;
Means for extracting the source address of the access request, sending information on the source address to the network authentication access control server, and inquiring whether the user who sent the access request has been authenticated;
If there is a response from the network authentication access control server indicating that the authentication has been completed, the information indicating the authentication success is added to the original access request without sending the information necessary for authentication again. Means for responding to the user terminal;
Means for requesting authentication by requesting information required for authentication in response to the original access request when there is a response indicating that the network authentication access control server is not authenticated;
An application authentication access control server comprising: means for subsequently receiving information necessary for authentication from the user terminal and providing information indicating successful authentication and responding to the user terminal when the authentication is successful. 請求項1または2に記載のネットワーク認証アクセス制御サーバと、請求項に記載のアプリケーション認証アクセス制御サーバと、転送ノードと、リモートアクセスサーバとから構成される統合型認証アクセス制御システム。An integrated authentication access control system comprising the network authentication access control server according to claim 1, the application authentication access control server according to claim 3 , a forwarding node, and a remote access server.
JP2003003108A 2003-01-09 2003-01-09 Network authentication access control server, application authentication access control server, and integrated authentication access control system Expired - Lifetime JP4152753B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003003108A JP4152753B2 (en) 2003-01-09 2003-01-09 Network authentication access control server, application authentication access control server, and integrated authentication access control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003003108A JP4152753B2 (en) 2003-01-09 2003-01-09 Network authentication access control server, application authentication access control server, and integrated authentication access control system

Publications (2)

Publication Number Publication Date
JP2004220075A JP2004220075A (en) 2004-08-05
JP4152753B2 true JP4152753B2 (en) 2008-09-17

Family

ID=32894468

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003003108A Expired - Lifetime JP4152753B2 (en) 2003-01-09 2003-01-09 Network authentication access control server, application authentication access control server, and integrated authentication access control system

Country Status (1)

Country Link
JP (1) JP4152753B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100813791B1 (en) * 2004-09-30 2008-03-13 주식회사 케이티 Apparatus and Method for Integrated Authentification Management for Personal Mobility in wire/wireless Integrated Service Network
CN1816217B (en) * 2005-02-06 2010-06-02 华为技术有限公司 Route setting method based on node address changing
JP4878043B2 (en) * 2008-08-08 2012-02-15 日本電信電話株式会社 Access control system, connection control device, and connection control method
JP5565027B2 (en) * 2010-03-26 2014-08-06 富士ゼロックス株式会社 Processing device, processing system, and processing control program
JP6358947B2 (en) * 2014-12-19 2018-07-18 エイチ・シー・ネットワークス株式会社 Authentication system

Also Published As

Publication number Publication date
JP2004220075A (en) 2004-08-05

Similar Documents

Publication Publication Date Title
US6948076B2 (en) Communication system using home gateway and access server for preventing attacks to home network
EP1130875B1 (en) A home gateway with a data backup service
JP4291213B2 (en) Authentication method, authentication system, authentication proxy server, network access authentication server, program, and recording medium
US8788674B2 (en) Buffering proxy for telnet access
CN1523811B (en) System and method for user authentication at the level of the access network during a connection of the user to the internet
CN100563248C (en) The method and system that when the user is connected to IP network, in the local management zone, is used for the leading subscriber insertion authority
JP5239341B2 (en) Gateway, relay method and program
WO2008022589A1 (en) A system and method for authenticating the accessing request for the home network
WO2007131415A1 (en) System and method to manage home network
JPWO2004105333A1 (en) Secure virtual private network
US20100030346A1 (en) Control system and control method for controlling controllable device such as peripheral device, and computer program for control
CN109548022B (en) Method for mobile terminal user to remotely access local network
KR20040102045A (en) Information routing device having an auto-configuration feature
KR100763131B1 (en) Access and Registration Method for Public Wireless LAN Service
JP2003316742A (en) Anonymous communication method and device having single sign-on function
JP4152753B2 (en) Network authentication access control server, application authentication access control server, and integrated authentication access control system
JP3953963B2 (en) Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system
KR100697099B1 (en) A method for providing message transmission service among different type messengers and method thereof
WO2011088695A1 (en) Method and system for accessing network through public equipment
JP2012064007A (en) Information processor, communication relay method and program
JP2009217722A (en) Authentication processing system, authentication device, management device, authentication processing method, authentication processing program and management processing program
JP3655868B2 (en) VoIP communication system and method, gatekeeper, authentication server and program
JP4149745B2 (en) Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program
KR101117316B1 (en) Remote access service profile setting method and user authentication method for remote accessing UPNP devices
JP4878043B2 (en) Access control system, connection control device, and connection control method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050125

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20050125

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050125

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050614

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080116

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080402

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080509

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080625

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080702

R150 Certificate of patent or registration of utility model

Ref document number: 4152753

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110711

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120711

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130711

Year of fee payment: 5

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term