JP4701670B2 - アクセス制御システム、認証サーバ、アプリケーションサーバ、およびパケット転送装置 - Google Patents

アクセス制御システム、認証サーバ、アプリケーションサーバ、およびパケット転送装置 Download PDF

Info

Publication number
JP4701670B2
JP4701670B2 JP2004297122A JP2004297122A JP4701670B2 JP 4701670 B2 JP4701670 B2 JP 4701670B2 JP 2004297122 A JP2004297122 A JP 2004297122A JP 2004297122 A JP2004297122 A JP 2004297122A JP 4701670 B2 JP4701670 B2 JP 4701670B2
Authority
JP
Japan
Prior art keywords
identification information
authentication
terminal
network
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004297122A
Other languages
English (en)
Other versions
JP2006113624A (ja
JP2006113624A5 (ja
Inventor
敬亮 竹内
修二 瀬野尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2004297122A priority Critical patent/JP4701670B2/ja
Priority to US11/202,286 priority patent/US7660995B2/en
Publication of JP2006113624A publication Critical patent/JP2006113624A/ja
Publication of JP2006113624A5 publication Critical patent/JP2006113624A5/ja
Application granted granted Critical
Publication of JP4701670B2 publication Critical patent/JP4701670B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data

Description

本発明は、アクセス制御方式、システム、装置、プログラム、ならびに記録媒体に関し、特に、ネットワークを介して提供されるサービスに対するアクセス制御を行うための方式、システム、装置、プログラム、ならびに記録媒体に関する。
現在、インターネットや企業網(イントラネット)などのネットワークにおいて、様々なサービスが提供されている。ネットワーク上のサービスを利用するとき、利用者は、まず端末装置をネットワークに接続するが、その際にネットワークの運用主体による接続の許可が必要になる場合がある。このとき、ネットワークの運用主体は、接続の可否の判定のために、利用者の認証を行う。例えば、インターネットに接続するためには、ISP (Internet Service Provider)による接続の許可を受ける必要がある。このときの認証は、例えばPPP (Point-to-Point Protocol)を用いて、ISPの利用者を特定するための識別情報と、それによって特定される利用者が本人に相違ないことを確認するためのパスワードを入力することで行われる(PPPについては、非特許文献1参照)。
別の例として、企業内でイントラネットに接続する際に、接続の許可を受けることが必要になる場合がある。このときの認証には、例えばIEEE 802.1x を用いて、イントラネットの利用者を特定するための識別情報と、パスワードを入力することで行われる。一方、ネットワーク上で提供されるサービスの中には、サービスを提供する対象を特定の利用者に限定するものや、個々の利用者に異なる内容のサービスを提供するものが存在する。このようなサービスにおいては、利用者を特定して利用権限を付与するため、利用者はサービス提供者による認証を受ける必要がある。このときの認証は、ネットワーク接続が確立された後に、例えばHTTP (Hyper Text Transfer Protocol)のような、OSI参照モデルの上位レイヤに位置するプロトコルを用いて、サービス利用者を特定するための識別情報と、パスワードを入力することで行われる(HTTPについては、非特許文献2参照)。なお、上記の認証において、本人に相違ないことを確認するための情報としては、パスワード以外に、公開鍵証明書や生体情報が用いられる場合もある。
ところで、サービスの利用のための認証を行うにあたり、他人の識別情報とパスワードなど本人性を確認するための情報を盗用し、それらの本来の所有者になりすましてサービスの利用を不正に行うことが問題となる。このようななりすましによって、覚えのない利用に対する課金や、機密情報の漏洩といった問題が発生する。本人性を確認する手段として生体情報を用いれば、他人による盗用は困難になる。しかし、生体情報を用いた認証は、特殊な装置やソフトウェアを必要とするため、現在のところ、利用範囲は、入退室管理など厳格な認証を必要とする用途に限られており、ネットワーク上で広く利用されるには至っていない。
ネットワーク接続のための認証および認可と、サービス利用のための認証および認可は、一般的には異なる運用主体が行っている。このため、各々の認証に用いる識別情報は異なっており、かつ、それらの異なる識別情報が同一人物のものであるか否かの検査は行われていない。したがって、例えばインターネットへの接続は自身が正当に所持する識別情報とパスワードで行い、サービスを利用するための識別情報とパスワードは他人のものを盗用した場合でも、当該サービスの利用は可能になる。これに対して、異なる識別情報の対応関係を検査することで、ネットワーク接続を許可された利用者とサービスを受けようとする利用者が同一人物であるか否かを判定し、なりすましへの対策を強化することが考えられる。どの段階の認証においても、認証・認可を受けると、利用者からそれ以降送信されるパケットには認証に使用する識別情報は含まれず、代わりに、認可された利用に対してのみ有効な一時的な識別情報が付与され、この識別情報がパケットに含まれることが多い。例えば、インターネットなど、IP(Internet Protocol)を使用するネットワークでは、この一時的な識別情報として、ネットワーク上の位置を表すIPアドレスがしばしば用いられる。そのため、IPを使用するネットワーク上で提供されるサービスを利用するための認証を行う際、利用者から提供者に対しては、ネットワークへの接続を許可された結果として付与されたIPアドレスを送信元とするパケットによって、サービスを利用するための認証に用いる識別情報が送信される。
したがって、各々の利用者に対して、上記パケットの送信元のIPアドレスと、サービスを利用するための認証に使用する識別情報とを照合すれば、ネットワークへの接続を許可された利用者とサービスを受けようとする利用者が同一人物であるか否かを検査することができる。例えば、ネットワークサービスの利用者が使用する機器に、サービスを利用するための識別情報を下位64ビットに含むIPv6(Internet Protocol version 6)アドレスを付与する決まりとし、サービスを利用する際には、利用者から提示されたサービス利用のための識別情報とIPv6アドレスとを比較し、IPv6アドレスに利用者の識別情報が含まれるか否かを検査するという技術がある(例えば、特許文献1参照)。
特開2003−132030号公報
"The Point-to-Point Protocol (PPP)", RFC1661, IETF "Hypertext Transfer Protocol -- HTTP/1.1", RFC2616, IETF
しかし、現状のネットワークでは、IPアドレスとサービス利用のための識別情報との対応関係は、動的に変化するのが一般的である。
例えば、現在のインターネットや企業内のネットワークでは、IPアドレスとしてIPv4(Internet Protocol version 4)アドレスが用いられているが、世界的なアドレス不足が問題となっていることから、一度ある利用者に割り当てたアドレスを、不要になった後に別の利用者に割り当てるといったことが広く行われている。
そのため、特許文献1のような、IPアドレスとサービス利用のための識別情報との対応関係が不変であることを前提とする方式は、ネットワーク上での同一人物性の検査には不十分である。
本発明は、上記の課題に鑑みてなされたものであり、
ネットワーク上で提供されるサービスの利用者が、ネットワークへの接続を許可するため
の第1の認証に使用する第1の識別情報と、サービスの利用を許可するための第2の認証
に使用する第2の識別情報との対応関係を保持する手段と、
ネットワークへの接続を許可された利用者に付与される第3の識別情報と、当該利用者の
第1の識別情報との対応関係を保持する手段と、
第2の認証のためのパケットに含まれる第2の識別情報と第3の識別情報との対応関係を
検査する手段とを有する。
第2の識別情報と第3の識別情報との対応関係の検査を行う手段は、詳しくは2通りの実
現方法があり、第1の実現方法によれば、
第1の識別情報と第3の識別情報との対応関係を保持する手段に対して問合せを行い、第
2の認証のためのパケットに含まれる第3の識別情報と対応関係を有する第1の識別情報
を取得する手段と、
第1の識別情報と第2の識別情報との対応関係を保持する手段に対して問合せを行い、上
記によって取得した第1の識別情報と対応関係を有する第2の識別情報を取得する手段と

上記によって取得した第2の識別情報と、第2の認証のためのパケットに含まれる第2の
識別情報とを比較する手段により構成される。
また、第2の実現方法によれば、第2の識別情報と第3の識別情報との対応関係を検査す
る手段は、
第1の識別情報と第2の識別情報との対応関係を保持する手段に対して問合せを行い、第
2の認証のためのパケットに含まれる第2の識別情報と対応関係を有する第1の識別情報
を取得する手段と、
第1の識別情報と第3の識別情報との対応関係を保持する手段に対して問合せを行い、上
記によって取得した第1の識別情報と対応関係を有する第3の識別情報を取得する手段と

上記によって取得した第3の識別情報と、第2の認証のためのパケットに含まれる第3の
識別情報とを比較する手段により構成される。
本発明では、ネットワークへの接続が認可されたときに一時的に付与される識別情報と、サービス利用の認可を受けるための認証に使用する識別情報との対応関係の検査を行うため、インターネットのように発信者のアドレスが一定でないネットワークにおいても、他人になりすますことによるサービスの不正利用を低減することができる。
以下、本発明の実施の形態を図面を用いて説明する。
図1は、本発明の第1の実施形態におけるシステム構成を示した図である。ユーザ端末1は、CPU、メモリおよびユーザインタフェースからなる計算機である。ゲートウェイ装置2aは、パケット送受信部21a、認証クライアント部22により構成される。パケット送受信部21aは、論理回路およびメモリを有し、ネットワークから受信したパケットのヘッダを解析し、その結果に応じて、パケットの転送や、認証クライアント部22への処理の振り分けを行う。また、認証クライアント部22から処理を終えて返送されたパケットを、ネットワークに送出する。認証クライアント部22は、CPUおよびメモリを有し、ネットワーク100に接続するためのIDとパスワードを含むパケットをパケット送受信部21aから受信し、IDとパスワードを抽出して認証サーバ3に送信する。また、認証サーバ3から処理結果を受信し、その内容に基づいた応答メッセージを生成して、パケット送受信部21aを介して利用者に送信する。認証サーバ3は、CPU,メモリ、磁気ディスク装置およびインタフェースを有し、各種ソフトウェアが動作することによって、認証・認可処理部31、IPアドレス・IDデータベース32、ID・パスワードデータベース33を構成している。認証・認可処理部31は、ゲートウェイ装置の認証クライアント部から、ネットワーク100に接続しようとする利用者が入力したユーザIDとパスワードを受信し、ID・パスワードデータベース33を参照して対照表331に記録されている内容と比較して、その結果を認証クライアント部に通知する機能を有する。さらに、認証・認可処理部31は、認証クライアント部から受信した内容と、対照表331に記録されている内容とが一致していれば、ネットワーク100への接続を許可し、当該利用者のユーザ端末に対して、IPアドレスを割り当てて、そのIPアドレスをIPアドレス・IDデータベース32に登録する機能を有する。IPアドレス・IDデータベース32は、ネットワーク100の利用者を識別するユーザIDと、各々の利用者にネットワーク100への接続を許可したときに付与したIPアドレスとの対照表322と、対照表322の情報の読み出しや書き換えを行うソフトウェアにより構成されている。
図2に対照表321の内容を示す。対照表321は、ネットワーク100の利用者のユーザIDを記録する領域322と、IPアドレスを記録する領域323を有する。領域323の内容は、利用者がネットワーク100への接続を開始するたびに変化する。また、ネットワーク100への接続を行っていない利用者については、領域323は空欄となる。ID・パスワードデータベース33は、ネットワーク100の利用者を識別するユーザIDと、各々の利用者が本人に相違ないことを確認するためのパスワードとの対照表331と、対照表331の情報の読み出しや書き換えを行うソフトウェアにより構成されている。この対照表321を参照することによって、ネットワーク100へアクセスしようとするユーザが用いているIPアドレスがどのユーザに割当てられたものかを検出することができる。
図3に対照表331の内容を示す。対照表331は、ネットワーク100の利用者のユーザIDを記録する領域332と、パスワードを記録する領域333を有する。領域333の内容は、他人に知られることを防止するために、暗号化されている。Webサーバ4aは、CPU、メモリ、磁気ディスク装置およびインタフェースを有する計算機であり、各種ソフトウェアが動作することによって、Webサーバプログラム41a、認証・認可処理部42a、ID検査部43、IDデータベース44、ID・パスワードデータベース45を構成している。Webサーバプログラム41aは、受信したHTTPのパケットを解析し、必要な応答メッセージを生成して送信元に返送する。受信したHTTPのパケットが、Webサーバ4aに接続するためのIDとパスワードを含む場合には、Webサーバ4aはそのパケットを認証・認可処理部42aならびにID検査部43に渡し、これらの機能部から通知された処理結果に基づいて応答メッセージを生成する。ID検査部43は、パケット解析部431、ネットワーク接続用ID問合せ部432、Webサーバ接続用ID問合せ部433、ID比較部434により構成されている。パケット解析部431は、利用者が認証を受けるために送信したパケットの内容を解析してWebサーバ4aへの接続のために使用するIDを抽出し、ID比較部434に渡す。また、同じパケットから送信元のIPアドレスを抽出し、ネットワーク接続用ID問合せ部432に渡す。ネットワーク接続用ID問合せ部432は、パケット解析部431によって抽出されたIPアドレスを付与された利用者がネットワーク100への接続のために使用するIDを、IPアドレス・IDデータベース32に対して問い合わせ、その結果として取得したIDをWebサーバ接続用ID問合せ部433に渡す。Webサーバ接続用ID問合せ部433は、ネットワーク接続用ID問合せ部432が取得したネットワーク100への接続のためのIDを使用する利用者がWebサーバ4aへの接続のために使用するIDを、IDデータベース44に対して問い合わせ、その結果として取得したIDをWebサーバ接続用ID比較部434に渡す。Webサーバ接続用ID比較部434は、パケット解析部431から通知されたIDと、Webサーバ接続用ID問合せ部433から通知されたIDとを比較して、両者が一致しているか否かを検査し、その結果を認証・認可処理部42aに渡す。この構成により、ネットワーク100にアクセスを許されたユーザからのアクセスか否かを判定することができる。認証・認可処理部42aは、Webサーバ接続用ID比較部434におけるIDの比較の結果の通知を受信し、IDが一致していれば、Webサーバプログラム41aから受信した認証のためのHTTPパケットに含まれるIDとパスワードを抽出して、それらがID・パスワードデータベース45に登録されている内容と一致しているか否かを検査し、その結果をWebサーバプログラム41aに通知する。また、IDが一致していなければ、認証に失敗したことを示す通知をWebサーバプログラム41aに対して行う。この構成により、ネットワーク100にアクセスを許されたユーザが、当該サーバの提供するサービスを受けられるユーザか否かを判定することができる。
IDデータベース44は、ネットワーク100への接続の利用者を識別するユーザIDと、Webサーバ4aの利用者を識別するユーザIDの対照表441と、対照表441の情報の読み出しや書き換えを行うソフトウェアにより構成されている。
図4に対照表441の内容を示す。対照表441は、ネットワーク100の利用者のユーザIDを記録する領域442と、Webサーバ4aの利用者のユーザIDを記録する領域443とを有する。
ID・パスワードデータベース45は、Webサーバ4aの利用者のユーザIDと、各々の利用者が本人に相違ないことを確認するためのパスワードとの対照表451と、対照表451の情報の読み出しや書き換えを行うソフトウェアにより構成されている。
図5に対照表451の内容を示す。対照表451は、Webサーバ4aの利用者のユーザIDを記録する領域452と、パスワードを記録する領域453を有する。領域453の内容は、他人に知られることを防止するために、暗号化されている。
なお、Webサーバ4aは、図6のフローチャートに示す手順で処理を行うプログラムを計算機上で動作させることによっても実現可能であり、必ずしも図1に示す構成をとらなくても良い。
以下、図6のフローチャートについて説明する。Webサーバ4aは、自身に宛てたHTTPパケットを受信すると(ステップ101A)、まず受信パケットの内容を解析し、受信したパケットが、Webサーバ4aに接続するために用いるIDおよびパスワードを含むものであるか否かを判定する(ステップ102A)。もしWebサーバ4aへの接続に用いるIDおよびパスワードを含むパケットでない場合には、HTTPによる要求に対する応答処理を行い(ステップ108A)、その結果をHTTPパケットの送信元に返送する(ステップ111A)。一方、IDおよびパスワードを含むパケットである場合には、受信したパケットから、送信元のIPアドレス、およびWebサーバ4aへの接続に用いるIDの抽出を行う(ステップ103A)。次に、抽出されたIPアドレスを用いて、このアドレスを割り当てられた利用者がネットワーク100への接続のために用いるIDを取得する(ステップ104A)。ネットワーク100への接続のためのIDの取得に失敗した場合には、認証に失敗したことを示すHTTPの応答メッセージを生成し(ステップ110A)、HTTPパケットの送信元に返送する(ステップ111A)。ネットワーク100への接続のためのIDの取得に成功した場合には、取得したIDを使用する利用者がWebサーバ4aに接続するために用いるIDを取得する(ステップ105A)。Webサーバ4aへの接続のためのIDの取得に失敗した場合には、認証に失敗したことを示すHTTPの応答メッセージを生成し(ステップ110A)、HTTPパケットの送信元に返送する(ステップ111A)。Webサーバ4aへの接続のためのIDの取得に成功した場合には、取得したIDと、先にHTTPパケットから抽出されたIDとを比較する(ステップ106A)。比較の結果、両者のIDが一致しない場合には、認証に失敗したことを示すHTTPの応答メッセージを生成し(ステップ110A)、HTTPパケットの送信元に返送する(ステップ111A)。両者のIDが一致した場合には、HTTPパケットに含まれるIDとパスワードを用いて認証を行い(ステップ107A)、その結果に基づいて認証に成功または失敗したことを示すHTTPの応答メッセージを生成し(ステップ109A、110A)、HTTPパケットの送信元に返送する(ステップ111A)。
以下、図1に示した本発明の第1の実施形態におけるシステムの動作について、図7、図8、図9に示すシーケンス図を用いて説明する。ユーザ端末1からネットワーク100を介してWebサーバ4aに接続しようとする利用者は、まずゲートウェイ装置2に接続要求を行う(ステップ1A)。ゲートウェイ装置2aは、接続要求を受信すると、利用者に対して、ユーザIDとパスワードの入力を要求する(ステップ2A)。これに対し、利用者は、ネットワーク100への接続において有効なユーザIDとパスワードを入力する。入力されたユーザIDとパスワードはパケット化され、ユーザ端末1からゲートウェイ装置2に送信される(ステップ3A)。ゲートウェイ装置2では、パケット送受信部21がこのパケットを受信し、ユーザIDとパスワードを含むパケットであると判断して、認証クライアント部22に渡す(ステップ4A)。認証クライアント部22は、渡されたパケットからユーザIDとパスワードを抽出し、認証サーバ3に渡す(ステップ5A)。認証サーバ3は、認証・認可処理部31において、ゲートウェイ装置2aから渡されたユーザIDとパスワードを、ID・パスワードデータベース33に登録されている内容と比較し、ともに一致していれば、利用者に対してゲートウェイ装置2aを介したインターネット100への接続を許可する。このとき、認証・認可処理部31は、利用者に対して、ユーザ端末1が使用するIPアドレスを割り当てる(ステップ6A)。さらに、割り当てたIPアドレスの値と、割り当てた先の利用者のIDとを対応付けて、IPアドレス・IDデータベース32に登録する(ステップ7A、8A、9A)。ネットワーク100への接続を許可された利用者は、次に、Webサーバ4aに対して接続要求を行う(ステップ13A、14A)。Webサーバ3は、接続要求を受信すると、利用者に対して、ユーザIDとパスワードの入力を要求するWebページを送信する(ステップ15A、16A)。これに対し、利用者は、Webサーバ4aへの接続において有効なユーザIDとパスワードを入力する。このユーザIDおよびパスワードは、SSL(Secure Socket Layer)を用いて暗号化されたHTTPパケットによって、ユーザ端末1からWebサーバ4aに送信される(ステップ17A、18A)。Webサーバ4aでは、Webサーバプログラム41aがこのパケットを受信し、内容を解析した結果(ステップ19A)、認証を受けるためのユーザIDとパスワードを含むパケットであると判断して、パケット解析部431に渡す(ステップ20A)。パケット解析部431は、前記パケットを解析して送信元のIPアドレスを抽出し(ステップ21A)、ネットワーク接続用ID問合せ部432に渡す(ステップ22A)。ネットワーク接続用ID問合せ部432は、IPアドレス・IDデータベース32に対して問合せを行い(ステップ23A)、ステップ22Aにてパケット解析部431から渡されたIPアドレスに対応付けられたネットワーク100への接続のためのユーザIDを取得する(ステップ24A)。取得したユーザIDは、Webサーバ接続用ID問合せ部433に渡される(ステップ25A)。Webサーバ接続用ID問合せ部433は、IDデータベース44に対して問合せを行い(ステップ26A)、ステップ25Aにてネットワーク接続用ID問合せ部432から渡されたネットワーク100への接続のためのユーザIDに対応付けられた、Webサーバ4aへの接続のためのユーザIDを取得する(ステップ27A)。取得したユーザIDは、ID比較部434に渡される(ステップ28A)。ステップ22Aないし28Aと並行して、パケット解析部431は、ステップ20AにてWebサーバプログラム41から渡されたパケットを解析してユーザIDを抽出し(ステップ29A)、ID比較部434に渡す(ステップ30A)。ID比較部434は、ステップ28AにてWebサーバ接続用ID問合せ部434から渡されたユーザIDと、ステップ30Aにてパケット解析部431から渡されたユーザIDとを比較し(ステップ31A)、両者の値が一致しているか否かを、認証・認可処理部42aに通知する(ステップ32A)。認証・認可処理部42aは、ステップ32Aにて、前記2つのユーザIDの値が一致している旨の通知を受信すると、ユーザ端末1から受信したユーザIDとパスワードを用いて、認証処理を行う。また、認証処理の結果に応じて、Webサーバ4aによって提供されるサービスの利用認可を行い(ステップ33A)、その結果をWebサーバプログラム41aに通知する(ステップ34A)。Webサーバプログラム41aは、ステップ34Aにて認証・認可処理部42aから通知された利用認可の結果に従って、ステップ13A、14Aの接続要求に対する応答を、ユーザ端末1に返送する(ステップ35A、36A)。
図10は、本発明の第2の実施形態におけるシステム構成を示した図である。
なお、前述した第1の実施の形態と同一の構成には同一の符号を付し、その詳細な説明は省略する。ゲートウェイ装置2bは、パケット送受信部21b、認証クライアント部22、ID検査部23により構成される。パケット送受信部21bは、論理回路あるいはCPUを有し、ネットワークから受信したパケットのヘッダを解析し、その結果に応じて、パケットの転送や、認証クライアント部22やID検査部23への処理の振り分けを行う。また、認証クライアント部22やID検査部23から処理を終えて返送されたパケットを、ネットワークに送出する。
ID検査部23は、CPUおよびメモリを有し、各種ソフトウェアが動作することによって、パケット解析部231、ネットワーク接続用ID問合せ部232、IPアドレス問合せ部233、IPアドレス比較部234、応答生成部235を構成している。パケット解析部231は、利用者から受信したWebサーバ4bへの接続の際の認証を受けるためのパケットの内容を解析して送信元のIPアドレスを抽出し、IPアドレス比較部265bに渡す。また、同じパケットからWebサーバ4bへの接続のために使用するIDを抽出し、ネットワーク接続用ID問合せ部232に渡す。さらに、受信したパケットを応答生成部235に転送する。ネットワーク接続用ID問合せ部232は、パケット解析部231によって抽出されたWebサーバ4bへの接続のためのIDを使用する利用者が、ネットワーク100への接続のために使用するIDを、IDデータベース44に対して問い合わせ、その結果として取得したIDをIPアドレス問合せ部233に渡す。IPアドレス問合せ部233は、ネットワーク接続用ID問合せ部232が取得したネットワーク100への接続のためのIDを使用する利用者に付与されたIPアドレスを、IPアドレス・IDデータベース32に対して問い合わせ、その結果として取得したIPアドレスをIPアドレス比較部234に渡す。IPアドレス比較部234は、パケット解析部231から通知されたIPアドレスと、IPアドレス問合せ部233から通知されたIPアドレスとを比較して、両者が一致しているか否かを検査し、その結果をパケット転送部235に渡す。応答生成部235は、パケット解析部31から転送されたパケットを保持しておく。また、IPアドレス比較部234によるIPアドレスの比較の結果を受信し、一致している場合には、保持しているパケットをWebサーバ4bに転送する。一致していない場合には、保持しているパケットに対して認証に失敗したことを示す応答メッセージを生成し、パケットの送信元に返送する。Webサーバ4bは、CPU、メモリ、磁気ディスク装置およびインタフェースを有し、各種ソフトウェアが動作することによって、Webサーバプログラム41b、認証・認可処理部42b、ID・パスワードデータベース45を構成している。Webサーバプログラム41bは、受信したHTTPのパケットを解析し、必要な応答メッセージを生成して送信元に返送する。受信したHTTPのパケットが、Webサーバ4bに接続するためのIDとパスワードを含む場合には、そのパケットを認証・認可処理部42bに渡し、この機能部から通知された処理結果に基づいて応答メッセージを生成する。認証・認可処理部42bは、Webサーバプログラム41bから受信した認証のためのHTTPパケットに含まれるIDとパスワードを抽出して、それらがID・パスワードデータベース45に登録されている内容と一致しているか否かを検査し、その結果をWebサーバプログラム41bに通知する。IDデータベースサーバ5は、CPU、メモリ、磁気ディスク装置およびインタフェースを有し、各種ソフトウェアが動作することによって、IDデータベース44を構成している。なお、ゲートウェイ装置2bは、図11のフローチャートに示す手順で処理を行うプログラムを計算機上で動作させることによっても実現可能であり、必ずしも図10に示す構成をとらなくても良い。
以下、図11のフローチャートについて説明する。ゲートウェイ装置2bは、パケットを受信すると(ステップ101B)、まず、受信パケットの内容を解析し、受信したパケットが、ネットワーク100に接続するために用いるIDおよびパスワードを含むものであるか否かを判定する(ステップ102B)。もしネットワーク100に接続するためのIDおよびパスワードを含むパケットである場合には、ネットワーク100への接続のための認証を行い(ステップ104B)、その結果をパケットの送信元に返送する(ステップ110B)。一方、ネットワーク100に接続するためのIDおよびパスワードを含むパケットでない場合には、次に、このパケットがWebサーバ4bに接続するためのIDおよびパスワードを含むものであるか否かを判定する(ステップ103B)。もしWebサーバ4bへの接続に用いるIDおよびパスワードを含むパケットでない場合には、そのパケットをそのままWebサーバ4bに転送する(ステップ111B)。一方、Webサーバ4bへの接続に用いるIDおよびパスワードを含むパケットである場合には、受信したパケットから、送信元のIPアドレス、およびWebサーバ4bへの接続に用いるIDの抽出を行う(ステップ105B)。次に、抽出されたIDを用いて、このIDを使用する利用者がネットワーク100への接続のために用いるIDを取得する(ステップ106B)。ネットワーク100への接続のためのIDの取得に失敗した場合には、認証に失敗したことを示すHTTPの応答メッセージを生成し(ステップ109B)、HTTPパケットの送信元に返送する(ステップ112B)。ネットワーク100への接続のためのIDの取得に成功した場合には、取得したIDを使用する利用者に割り当てられているIPアドレスを取得する(ステップ107B)。IPアドレスの取得に失敗した場合には、認証に失敗したことを示すHTTPの応答メッセージを生成し(ステップ109B)、HTTPパケットの送信元に返送する(ステップ112B)。IPアドレスの取得に成功した場合には、取得したIPアドレスと、先にHTTPパケットから抽出されたIPアドレスとを比較する(ステップ108B)。比較の結果、両者のIPアドレスが一致しない場合には、認証に失敗したことを示すHTTPの応答メッセージを生成し(ステップ109B)、HTTPパケットの送信元に返送する(ステップ112B)。両者のIPアドレスが一致した場合には、HTTPパケットをWebサーバ4bに転送する(ステップ111B)。
以下、図10に示した本発明の第2の実施形態におけるシステムの動作について、図12、図13、図14に示すシーケンス図を用いて説明する。ユーザ端末1からネットワーク100を介してWebサーバ4bに接続しようとする利用者は、まずゲートウェイ装置2bに接続要求を行う(ステップ1B)。ゲートウェイ装置2bは、接続要求を受信すると、利用者に対して、ユーザIDとパスワードの入力を要求する(ステップ2B)。これに対し、利用者は、ネットワーク100への接続のみにおいて有効なユーザIDとパスワードを入力する。入力されたユーザIDとパスワードはパケット化され、ユーザ端末1からゲートウェイ装置2に送信される(ステップ3B)。ゲートウェイ装置2bでは、パケット送受信部21bがこのパケットを受信し、ユーザIDとパスワードを含むパケットであると判断して、認証クライアント部22に渡す(ステップ4B)。認証クライアント部22は、渡されたパケットからユーザIDとパスワードを抽出し、認証サーバ3に渡す(ステップ5B)。認証サーバ3の動作は、第1の実施形態における認証サーバ3と同一であるため、ここでは説明を省略する。インターネット100への接続を許可された利用者は、次に、Webサーバ4bに対して接続要求を行う(ステップ13B、14B)。Webサーバ4bは、接続要求を受信すると、利用者に対して、ユーザIDとパスワードの入力を要求するWebページを送信する(ステップ15B、16B)。これに対し、利用者は、Webサーバ4bへの接続のみにおいて有効なユーザIDとパスワードを入力する。このユーザIDおよびパスワードは、HTTPパケットによって、ユーザ端末1からゲートウェイ装置2bに送信される(ステップ17B)。ゲートウェイ装置2bでは、パケット送受信部21bがこのパケットを受信し、内容を解析した結果(ステップ18B)、Webサーバ4bでの認証を受けるためのユーザIDとパスワードを含むパケットであると判断して、パケット解析部231に渡す(ステップ19B)。パケット解析部231は、前記パケットに含まれるWebサーバ4bへの接続に用いるユーザIDを抽出し(ステップ20B)、ネットワーク接続用ID問合せ部232に渡す(ステップ21B)。ネットワーク接続用ID問合せ部232は、IDデータベース44に対して問合せを行い(ステップ22B)、ステップ21Bにてパケット解析部231から渡されたWebサーバ4bへの接続のためのユーザIDに対応付けられた、ネットワーク100への接続のためのユーザIDを取得する(ステップ23B)。取得したユーザIDは、IPアドレス問合せ部233に渡される(ステップ24B)。IPアドレス問合せ部233は、IPアドレス・IDデータベース32に対して問合せを行い(ステップ25B)、ステップ24Bにてネットワーク接続用ID問合せ部232から渡されたユーザIDに対応付けられたIPアドレスを取得する(ステップ26B)。取得したIPアドレスは、IPアドレス比較部234に渡される(ステップ27B)。ステップ21Bないし27Bと並行して、パケット解析部231は、ステップ16bにてパケット送受信部22から渡されたパケットの送信元のIPアドレスを抽出し(ステップ28B)、IPアドレス比較部234に渡す(ステップ29B)。パケット解析部231は、ステップ21Bおよび28Bにおける解析処理が終了すると、パケットを応答生成部235に転送する(ステップ30B)。応答生成部235では、転送されたパケットを保持する。IPアドレス比較部234は、ステップ27BにてIPアドレス問合せ部233から渡されたIPアドレスと、ステップ29Bにてパケット解析部231から渡されたIPアドレスとを比較し(ステップ31B)、両者の値が一致しているか否かを、応答生成部235に渡す(ステップ32B)。応答生成部235は、ステップ32Bにて、前記2つのIPアドレスの値が一致している旨の通知を受信すると、ステップ30Bにてパケット解析部231から受信したパケットを、パケット送受信部21bを介してWebサーバ4bに転送する(ステップ33B、34B)。Webサーバ4bでは、Webサーバプログラム41bがこのパケットを受信し、内容を解析した結果(ステップ35B)、認証を受けるためのユーザIDとパスワードを含むパケットであると判断して、認証・認可処理部42bに渡す(ステップ36B)。認証・認可処理部42bは、ステップ36Bにて受信したパケットに含まれるユーザIDおよびパスワードを用いて認証処理を行い、その結果に応じて、Webサーバ4bによって提供されるサービスの利用認可を行う(ステップ37B)。また、認証・認可処理の結果をWebサーバプログラム41bに通知する(ステップ38B)。Webサーバプログラム41bは、ステップ38Bにて認証・認可処理部42bから通知された利用認可の結果に従って、ステップ13B、14Bの接続要求に対する応答を、ユーザ端末1に返送する(ステップ39B、40B)。本発明の第2の実施形態は、ゲートウェイ装置が2種類のIDの対応関係を検査するため、Webサーバは既存のものを変更することなくそのまま利用できることが利点として挙げられる。
本発明は、ゲートウェイ装置やアプリケーションサーバ装置、およびこれらの装置からなる情報処理システムに適用することができ、ゲートウェイ装置とアプリケーションサーバの各々において認証が必要なシステムに適用すると好適である。
本発明の第1の実施形態における情報処理システムの構成を示すブロック図。 ネットワークへの接続のために用いるユーザIDと、ネットワークへの接続を許可された利用者に付与されるIPアドレスとの対照表。 ネットワークへの接続のために用いるユーザIDとパスワードの対照表。 ネットワークへの接続のために用いるユーザIDと、Webサーバへの接続のために用いるユーザIDとの対照表。 Webサーバへの接続のために用いるユーザIDとパスワードの対照表。 本発明の第1の実施形態におけるWebサーバの動作手順を示すフローチャート。 本発明の第1の実施形態における情報処理システムの全体の動作手順を示すシーケンス図その1。 本発明の第1の実施形態における情報処理システムの全体の動作手順を示すシーケンス図その2。 本発明の第1の実施形態における情報処理システムの全体の動作手順を示すシーケンス図その3。 本発明の第2の実施形態における情報処理システムの構成を示すブロック図。 本発明の第2の実施形態におけるゲートウェイ装置の動作手順を示すフローチャート。 本発明の第2の実施形態における情報処理システムの全体の動作手順を示すシーケンス図その1。 本発明の第2の実施形態における情報処理システムの全体の動作手順を示すシーケンス図その2。 本発明の第2の実施形態における情報処理システムの全体の動作手順を示すシーケンス図その3。
符号の説明
1…ユーザ端末
100…ネットワーク
2a…ゲートウェイ装置
21a…パケット送受信部
22…認証クライアント部
3…認証サーバ
31…認証・認可処理部
32…IPアドレス・IDデータベース
321…ユーザIDとIPアドレスの対照表
322…ユーザIDを記録する領域
323…IPアドレスを記録する領域
33…ID・パスワードデータベース
331…ユーザIDとパスワードの対照表
332…ユーザIDを記録する領域
333…パスワードを記録する領域4a…Webサーバ
41a…Webサーバプログラム
42a…認証・認可処理部
43…ID検査部
431…パケット解析部
432…ネットワーク接続用ID問合せ部
433…Webサーバ接続用ID問合せ部
434…ID比較部
44…IDデータベース
441…ネットワーク接続用IDとWebサーバ接続用IDの対照表
442…ネットワーク接続用IDを記録する領域
443…Webサーバ接続用IDを記録する領域
45…ID・パスワードデータベース
451…ユーザIDとパスワードの対照表
452…ユーザIDを記録する領域
453…パスワードを記録する領域
2b…ゲートウェイ装置
21b…パケット送受信部
23…ID検査部
231…パケット解析部
232…ネットワーク接続用ID問合せ部
233…IPアドレス問合せ部
234…IPアドレス比較部
235…応答生成部
4b…Webサーバ
41b…Webサーバプログラム
42b…認証・認可処理部
5…IDデータベース。

Claims (5)

  1. 端末に接続されるアクセス制御システムであって、
    認証サーバと、
    ネットワークを介して前記端末に接続されるアプリケーションサーバと、を備え、
    上記認証サーバは、
    上記端末から送信された、上記アプリケーションサーバが接続するネットワークへ接続するための認証に用いられる第1の識別情報を受信する受信部と、
    上記第1の識別情報による認証が成功した場合に、上記端末に対して割り当てられ、上記ネットワークで識別される第2の識別情報を上記端末に送信する送信部と、
    上記第1の識別情報と上記第2の識別情報とを対応付けて記憶する第1のメモリを有し、
    上記アプリケーションサーバは、
    上記端末から送信された上記第2の識別情報と上記アプリケーションサーバからサービスを受けるための第3の識別情報とを含む接続要求を受信する受信部と、
    上記第1の識別情報と上記第3の識別情報との対応付けを記憶する第2のメモリを有し、
    上記受信した接続要求に含まれる第2の識別情報を上記認証サーバに送信する送信部と、を有し、
    上記認証サーバは、
    上記第1のメモリから、上記アプリケーションサーバから受信した第2の識別情報に対応する第1の識別情報を読み出して、上記アプリケーションサーバに送信し、
    上記アプリケーションサーバは、
    上記第2のメモリの対応付けに基づいて取得する上記認証サーバから受信した第1の識別情報に対応する第3の識別情報と、上記接続要求に含まれる第3の識別情報が一致した場合に、上記端末に、前記接続要求に対する認証成功を通知するパケットを送信する、ことを特徴とするアクセス制御システム。
  2. 端末に接続された、アプリケーションサーバ、および認証サーバを備えたアクセス制御システムであって、
    上記認証サーバは、上記アプリケーションサーバが接続されたネットワークへのアクセスを上記端末に対して認可するための第1の認証を行う第1の認証手段を有し、
    上記アプリケーションサーバは、上記第1の認証で上記ネットワークへのアクセスが許可された上記端末に対してサービスの利用を認可するための第2の認証を行う第2の認証手段を有し、
    上記アプリケーションサーバは、上記端末が上記第1の認証に用いる第1の識別情報と、上記第2の認証に用いる第2の識別情報との対応関係に関する情報を保持する第1の情報保持手段を有し、
    上記認証サーバーは、上記第1の認証によって上記ネットワークへのアクセスが許可された端末に対して付与され、上記端末から送信されるパケットに付加される第3の識別情報と、上記端末が用いる第1の識別情報との対応関係に関する情報を保持する第2の情報保持手段を有し、
    上記アプリケーションサーバは、上記第2の情報保持手段に対して問い合わせを行い、上記第2の認証のためのパケットに含まれる第3の識別情報と対応関係を有する第1の識別情報を取得する第1の情報取得手段と、
    上記第1の情報保持手段に対して問い合わせを行い、上記第1の情報取得手段が取得した第1の識別情報と対応関係を有する第2の識別情報を取得する第2の情報取得手段と、
    上記第2の認証のためのパケットに含まれる第2の識別情報と、上記第2の情報取得手段が取得した第2の識別情報とを比較する情報比較手段と、を有する、ことを特徴とするアクセス制御システム。
  3. アプリケーションサーバとネットワークを介して接続され、端末から上記ネットワークへの認証を行う認証サーバであって、
    上記端末から送信された上記ネットワークに接続するための認証に用いられる第1の識別情報を受信する受信部と、
    上記第1の識別情報による認証が成功した場合に、上記端末に対して割り当てられる上記ネットワークにおける識別情報である第2の識別情報を送信する送信部と、
    上記第1の識別情報と上記第2の識別情報とを対応付けて記憶するメモリを有し、
    さらに、上記受信部は、上記端末から上記アプリケーションサーバに上記ネットワークを介して送信された接続要求に含まれ第2の識別情報を上記アプリケーションサーバから受信し、
    上記送信部は、上記アプリケーションサーバから受信した第2の識別情報に対応する上記第1の識別情報を上記メモリから読み出して上記アプリケーションサーバに送信することを特徴とする認証サーバ。
  4. 端末および認証サーバとネットワークを介して接続されたアプリケーションサーバであって、
    上記端末が、上記ネットワークに接続するための認証に用いられる第1の識別情報を上記認証サーバに送信したのちに、上記端末から、上記認証に応じて上記端末に割り当てられる上記ネットワークにおける識別情報である第2の識別情報と、上記アプリケーションサーバからサービスを受けるための第3の識別情報と、を受信する受信部と、
    上記第1の識別情報と上記第3の識別情報を対応付けて記憶するメモリと、
    上記接続要求に含まれる第2の識別情報を上記認証サーバに送信する送信部を有し、
    上記認証サーバで管理される上記第2の情報に対応する第1の識別情報を取得した場合、上記取得した第1の識別情報に対応づけられる第3の識別情報を上記メモリから取得し、
    上記メモリから取得した第3の識別情報と、上記端末から受信した第3の識別情報が一致した場合に、上記端末に対して認証成功を通知するパケットを送信する、ことを特徴とするアプリケーションサーバ。
  5. アプリケーションサーバ、および認証サーバに接続され、端末からのパケットをネットワークを介して転送するパケット転送装置であって、
    上記端末が上記認証サーバに上記ネットワークに接続するための認証に用いられる第1の識別情報を送信したのちに、上記認証に応じて上記端末に対して割り当てられる上記ネットワークで識別される第2の識別情報と上記アプリケーションサーバからサービスを受けるための第3の識別情報を上記端末から受信する受信部と、
    第1の識別情報と第3の識別情報を対応づけて記憶するメモリと、
    上記受信した第3の情報に対応する上記メモリに記憶された上記第1の識別情報を上記認証サーバに送信する送信部を有し、
    上記認証サーバから受信した上記第1の識別情報に対応する第2の識別情報と、上記端末受信した上記第2の識別情報が一致した場合に、上記端末から受信した上記第2の識別情報および上記第3の識別情報を上記アプリケーションサーバに送信するパケット転送装置。
JP2004297122A 2004-10-12 2004-10-12 アクセス制御システム、認証サーバ、アプリケーションサーバ、およびパケット転送装置 Expired - Fee Related JP4701670B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004297122A JP4701670B2 (ja) 2004-10-12 2004-10-12 アクセス制御システム、認証サーバ、アプリケーションサーバ、およびパケット転送装置
US11/202,286 US7660995B2 (en) 2004-10-12 2005-08-12 Access control system, authentication server, application server, and packet transmission device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004297122A JP4701670B2 (ja) 2004-10-12 2004-10-12 アクセス制御システム、認証サーバ、アプリケーションサーバ、およびパケット転送装置

Publications (3)

Publication Number Publication Date
JP2006113624A JP2006113624A (ja) 2006-04-27
JP2006113624A5 JP2006113624A5 (ja) 2007-03-29
JP4701670B2 true JP4701670B2 (ja) 2011-06-15

Family

ID=36146758

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004297122A Expired - Fee Related JP4701670B2 (ja) 2004-10-12 2004-10-12 アクセス制御システム、認証サーバ、アプリケーションサーバ、およびパケット転送装置

Country Status (2)

Country Link
US (1) US7660995B2 (ja)
JP (1) JP4701670B2 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006185194A (ja) * 2004-12-27 2006-07-13 Toshiba Corp サーバ装置、通信制御方法及びプログラム
US8904487B2 (en) * 2006-08-31 2014-12-02 Red Hat, Inc. Preventing information theft
JP4983197B2 (ja) 2006-10-19 2012-07-25 富士ゼロックス株式会社 認証システム、認証サービス提供装置、および認証サービス提供プログラム
CA2685292C (en) * 2007-04-30 2013-09-24 Sourcefire, Inc. Real-time user awareness for a computer network
US8239921B2 (en) * 2008-01-03 2012-08-07 Dlb Finance & Consultancy B.V. System and method of retrieving a service contact identifier
US20090276774A1 (en) * 2008-05-01 2009-11-05 Junji Kinoshita Access control for virtual machines in an information system
JP5151997B2 (ja) * 2009-01-08 2013-02-27 富士通株式会社 通信サーバ、無線基地局、通信システムおよび通信方法
JPWO2010103613A1 (ja) * 2009-03-10 2012-09-10 順子 杉中 ネットワークシステム及びネットワークシステムにおける認証方法
US8418227B2 (en) * 2009-08-21 2013-04-09 Verizon Patent And Licensing, Inc. Keystroke logger for Unix-based systems
US8973125B2 (en) * 2010-05-28 2015-03-03 Alcatel Lucent Application layer authentication in packet networks
CN106341233A (zh) * 2015-07-08 2017-01-18 阿里巴巴集团控股有限公司 客户端登录服务器端的鉴权方法、装置、系统及电子设备
EP3176720A1 (en) * 2015-12-02 2017-06-07 Gemalto Sa Method, device and system for authenticating to a mobile network and a server for authenticating devices to a mobile network
WO2019017835A1 (zh) * 2017-07-20 2019-01-24 华为国际有限公司 网络验证方法、相关设备及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001202437A (ja) * 2000-01-20 2001-07-27 Kyocera Communication Systems Co Ltd サービスシステム
JP2002259254A (ja) * 2001-02-27 2002-09-13 Casio Soft Co Ltd 端末認証システム、情報提供装置、端末認証方法、及びプログラム
JP2003132030A (ja) * 2001-10-24 2003-05-09 Sony Corp 情報処理装置および方法、記録媒体、並びにプログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7503065B1 (en) * 2002-04-24 2009-03-10 Sprint Spectrum L.P. Method and system for gateway-based authentication
WO2004015583A1 (en) * 2002-08-09 2004-02-19 Burlington Communications, Inc. System and method for controlling access to an electronic message recipient
US7386889B2 (en) * 2002-11-18 2008-06-10 Trusted Network Technologies, Inc. System and method for intrusion prevention in a communications network
GB2401745B (en) * 2003-05-15 2006-02-15 Desktop Guardian Ltd Method of controlling computer access
US7587588B2 (en) * 2004-08-11 2009-09-08 Avaya Inc. System and method for controlling network access

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001202437A (ja) * 2000-01-20 2001-07-27 Kyocera Communication Systems Co Ltd サービスシステム
JP2002259254A (ja) * 2001-02-27 2002-09-13 Casio Soft Co Ltd 端末認証システム、情報提供装置、端末認証方法、及びプログラム
JP2003132030A (ja) * 2001-10-24 2003-05-09 Sony Corp 情報処理装置および方法、記録媒体、並びにプログラム

Also Published As

Publication number Publication date
JP2006113624A (ja) 2006-04-27
US20060080542A1 (en) 2006-04-13
US7660995B2 (en) 2010-02-09

Similar Documents

Publication Publication Date Title
US7660995B2 (en) Access control system, authentication server, application server, and packet transmission device
CN109428947B (zh) 权限转移系统及其控制方法和存储介质
US5944794A (en) User identification data management scheme for networking computer systems using wide area network
CA2578186C (en) System and method for access control
JP5926441B2 (ja) マルチパーティシステムにおける安全な認証
JP4425859B2 (ja) アドレスに基づく認証システム、その装置およびプログラム
US7792993B1 (en) Apparatus and methods for allocating addresses in a network
JP4579546B2 (ja) 単一サインオンサービスにおけるユーザ識別子の取り扱い方法及び装置
US11277398B2 (en) System and methods for performing distributed authentication using a bridge computer system
US7895319B2 (en) Variable DNS responses based on client identity
WO2011089788A1 (ja) 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
JP2004505383A (ja) 分散ネットワーク認証およびアクセス制御用システム
JP5170648B2 (ja) 権限委譲システム、権限委譲方法および権限委譲プログラム
JP2019046059A (ja) 権限委譲システム、制御方法、およびプログラム
US8566581B2 (en) Secure inter-process communications
CN104468619B (zh) 一种实现双栈web认证的方法和认证网关
WO2011037226A1 (ja) アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
JP4738183B2 (ja) アクセス制御装置及びアクセス制御方法及びプログラム
US6611916B1 (en) Method of authenticating membership for providing access to a secure environment by authenticating membership to an associated secure environment
CN113965425B (zh) 物联网设备的接入方法、装置、设备及计算机可读存储介质
KR101803535B1 (ko) 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법
JP5715030B2 (ja) アクセス回線特定・認証システム
US20060059340A1 (en) Method and system for dynamic authentication and authorization
JP2005157845A (ja) サーバシステム、クライアントサーバシステム、及びクライアントサーバシステムへのログイン方法
JP2001236320A (ja) Wwwの端末特定方法

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20060425

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070214

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100629

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100826

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100914

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100930

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110117

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20110124

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110208

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110221

LAPS Cancellation because of no payment of annual fees