JP5614770B2 - ネットワーク認証方法及びサービス提供システム - Google Patents

ネットワーク認証方法及びサービス提供システム Download PDF

Info

Publication number
JP5614770B2
JP5614770B2 JP2010171614A JP2010171614A JP5614770B2 JP 5614770 B2 JP5614770 B2 JP 5614770B2 JP 2010171614 A JP2010171614 A JP 2010171614A JP 2010171614 A JP2010171614 A JP 2010171614A JP 5614770 B2 JP5614770 B2 JP 5614770B2
Authority
JP
Japan
Prior art keywords
network
private
address
authentication
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010171614A
Other languages
English (en)
Other versions
JP2012034170A (ja
Inventor
貴文 大矢
貴文 大矢
恵介 黒川
恵介 黒川
貴司 八木
貴司 八木
靖宏 北御門
靖宏 北御門
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone West Corp
Original Assignee
Nippon Telegraph and Telephone West Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone West Corp filed Critical Nippon Telegraph and Telephone West Corp
Priority to JP2010171614A priority Critical patent/JP5614770B2/ja
Publication of JP2012034170A publication Critical patent/JP2012034170A/ja
Application granted granted Critical
Publication of JP5614770B2 publication Critical patent/JP5614770B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

この発明は、事業者が管理するネットワークを介してアクセス網からプライベート網に接続する際に、シングルサインオンを実現する方法に関し、それにより、処理負荷を軽減させたネットワークサービス提供システムに関する。
端末が、自身の属するアクセス網から、別の通信事業者が管理する中間通信網を介して、他者の別の管理者が管理するプライベート網へ繋がるVirtualPrivateNetwork(VPN)を構築する場合、中間通信網及びプライベート網のそれぞれにおいて、別個独立にアクセスを認証するためのID及びパスワードを用いて認証を行っている。
図9は、端末が複数の事業者を介してVPNを利用するネットワークの構成例を示す。端末111aが直接に接続するアクセス網(例えば、プロバイダのネットワーク)101a,101bと、プライベート網(例えば、企業内LAN)103とが、通信事業者に管理された中間通信網102を介して繋がっている。それぞれのネットワーク101a,101b,102,103の端部には網終端装置(113,116等)が設けられ、個々のネットワークでは独立したプライベートIPアドレスが使用されている。
まず、端末111aの利用者は、前提としてアクセス網101aを提供する事業者と契約してアクセス網101aに接続する。そして、VPNサービスを利用する前に、中間通信網102を管理する事業者と、プライベート網103を管理する管理者とは、それぞれ別個に利用者IDとパスワードをそれぞれの認証サーバ(114,117)が備えるデータベース(図示せず。)に登録し、端末111aの利用者に発行する。その上で、端末111aは、アクセス網101aから中間通信網102を介して、プライベート網103に接続し、VPNを構築する。
図10は、そのVPNを構築する際のシーケンスセッション確立までの手順例を示す。まず、端末111aは、所謂RADIUSクライアントとなり、中間通信網102に繋がるアクセス網101aの第一網終端装置113aに、ID及びパスワード(図中では「UserB@VPN」と記載する)を送信して、Point−to−Point Protocol(PPP)の確立要求をする(1)。このとき送信するID及びパスワードは、中間通信網102の第一認証サーバ114に登録されたID及びパスワードである。第一網終端装置113aは、所謂RADIUSクライアントとなり、中間通信網102の第一認証サーバ114aへ、送信されたIDとパスワードを送って、認証要求をする(2)。第一認証サーバ114は、所謂RADIUSサーバとなり、認証要求されたIDとパスワードが、予めデータベースに記録されたデータと一致するか認証し、サービスを提供できるか否かの承認を行う。サービスを提供できると承認できれば、第一認証サーバ114は、第一網終端装置113aへ、端末111aが中間通信網102を利用するためのプライベートIPアドレスを払い出す(3)。プライベートIPアドレスを受信した第一網終端装置113aは、端末111aにPPPのトンネルを確立した旨の応答をする。これにより、端末111と第一網終端装置113aとの間でPPP−aが確立する。なお、RADIUSプロトコルの規格上、PPP−aが確立したら、第一網終端装置113aと第一認証サーバ114との間でリクエストとレスポンスがされる。
次に、端末111aは、PPP−aを通じて、中間通信網102にアクセスし、発呼装置115aを通じて、プライベート網103に繋がる中間通信網102の第二網終端装置116に対してPPPの確立要求をする(5)。このとき、予めプライベート網103の第二認証サーバ117のデータベースに登録されたIDとパスワードを送信する。図中では「UserA@Com」と記載する。第二網終端装置116は、プライベート網103の第二認証サーバ117にそのID及びパスワードを送信して認証要求をする(6)。第二認証サーバ117は、認証要求されたIDとパスワードが、予めデータベースに記録されたデータと一致するか認証し、プライベート網への接続を許可できるか否かの承認を行う接続を許可できると承認できれば、第二認証サーバ117は、第二網終端装置116へ、端末111aがプライベート網に接続するためのIPアドレスを払い出す(7)。第二網終端装置116は発呼装置115aを通じて端末111aにPPPのトンネルを確立した旨の応答をする。これにより、端末111aと第二網終端装置116との間でPPP−Aが確立する。
これにより、端末111aはプライベート網103に接続できるが、二回の認証行為を経て、アクセス網101aではPPPトンネルが多重化している。これは、中間通信網102とプライベート網103とで使うプライベートIPアドレスが重複する場合があり、その場合でもエラーを起こさずに通信を行うようにするためである。実際に通信されるフレームでは、この多重トンネル部分ではヘッダが二重に付与されていることになる。このような二重の認証及びトンネル化は処理の負荷が増えるため、出来るだけ一回の認証で済ますことが求められる。
上記の事例のように本来は二重に認証を必要とする状況で、一回のみの認証によりサービスを提供するシングルサインオンを実現する方式としては、例えば、特許文献1の方式が挙げられる。これは、端末がインターネットに接続しようとする際にゲートウェイで認証しておき、その認証結果を、インターネット上の認証確認サーバに転送しておけば、当該端末がインターネット上で他のサービスを利用しようとする際に、そのサービス提供サーバは、前記認証確認サーバに認証確認するだけで、認証を済ますことができ、端末の利用者はサービス提供サーバごとに認証することなく、サービスの提供を受けることができるというものである。
特開2004−133823号公報
しかしながら、特許文献1に記載の方式は、グローバルIPアドレスを使用していることが前提である。このため、網終端装置で区切られたそれぞれのネットワークを別の事業者や管理者が管理して、個々にプライベートIPアドレスが発行されており、網間の直接到達性が無い場合には特許文献1の方式を適用することができない。
また上記の通り、実際の通信では、PPPのトンネルが確立されている間の通信は、ヘッダを付与してカプセル化するので、PPP−aとPPP−Aが重なる多段トンネル区間ではヘッダが二重に付与される。これにより、ルータである第一網終端装置や端末での処理負荷が増大し、スループットが大きく低下してしまう。
さらに、一つのサービスの提供を受けるにあたり、IDとパスワードを二つ管理するのは、端末111aの利用者にとっても、プライベート網の管理者にとっても、不便を生じる。しかし、従来の方式でIDとパスワードを一つにするには、事業者が異なるネットワークを管理する第一認証サーバと第二認証サーバとの間で登録されているID及びパスワードを同期しなければならず、処理負荷が大きかった。
そこでこの発明は、網間の到達性が無い環境で、アクセス網の利用者の端末にVPNサービスを提供するにあたり、一つのID及びパスワードによって効率よく認証できるようにしてID管理の手間を省いたシングルサインオンを実現し、多重トンネルを回避して端末及び網終端装置の負荷を低下させることを目的とする。
この発明は、中間通信網を管理する事業者が、自らID及びパスワードを管理するのではなく、VPNを利用することになるプライベート網の管理者にID及びパスワードの管理を委ね、かつ、端末から二度に亘って多段トンネルを構築するのではなく、端末が発した一度の認証要求で、端末及び第一網終端装置の間のトンネルと、発呼装置及び第二網終端装置の間のトンネルを構築することで、上記の課題を解決したのである。
まず、中間通信網を管理する事業者にとって、プライベート網を使用する管理者は予め契約したものであり、社会的に信頼できる中間通信網の利用者である。そして、中間通信網の中で発呼装置と第二網終端装置との間でカプセル化して信号を通信すれば、端末に中間通信網のプライベートIPアドレスを付与する必要はなくなる。そうすると、中間通信網を管理する事業者は、信頼できるプライベート網の管理者がVPNの使用を承認し、アドレスを払い出した端末に対しては、事業者自らが個別に認証、承認を行わなくても、サービスの利用を承認できる。また、発呼装置と第二網終端装置との間でカプセル化して信号を通信すれば、中間通信網のプライベートIPアドレスがなくても、端末とプライベート網間のフレームを転送できる。さらに、中間通信網のサービス利用に対する課金は、プライベート網を使用する管理者若しくはアクセス網の管理者に、又はこれらの管理者を通じて行うことができる。
そこで、中間通信網を管理する事業者はVPNサービスの提供にあたり、それぞれのプライベート網を管理する第二認証サーバ(RADIUSサーバ)に、パスワード及びIDの管理とIPアドレスの発行を委ねる。一方で、中間通信網の第一認証サーバは自身でID及びパスワードの固定したデータベースを持たず、中間通信網のIPアドレスを払い出すこともせず、送信されてきたID及びパスワードとプライベート網への接続のために付与されるIPアドレスとを一時的に記録し中継することで、仮想的な認証サーバとして振る舞い、端末のアクセスを第一網終端装置に対して承諾する。具体的には、第一認証サーバは、ID及びパスワードを受信すると、一時データベースにID及びパスワードを記録するレコードを作成した上で、発呼装置に対して、第二網終端装置宛に発呼するように要求し、発呼装置からIPアドレスを受け取ったら、それを承認したものとして第一網終端装置に送信することで、仮想的なRADIUSサーバとして動作する。一方で、第二認証サーバはVPN接続する端末の利用者に付与するIDとパスワードを自ら備えたデータベースに登録し、払い出すIPアドレスも管理するRADIUSサーバである。これにより、端末は、中間通信網の発呼装置と第二網終端装置との間で構築したトンネルを通じて、中間通信網のIPアドレスを付与されることなく、プライベート網のIPアドレスだけでVPNサービスを利用できるようになる。
中間通信網に繋がるプライベート網が複数ある場合は、中間通信網を管理する事業者は、予めそれらのプライベート網を判別するための網識別情報を登録したデータベースを用意する。そして、端末がVPNの確立を要求する際に、VPNの構築先であるプライベート網を判別する網識別情報をID及びパスワードとともに送信させることで、発呼装置がその網識別情報により宛先を判別し、その網識別情報に対応するプライベート網に繋がる第二網終端装置へ発呼する。なお、トンネル確立後は、第一認証サーバを経由することなく、第一網終端装置と発呼装置との間で信号がやりとりされる。
また一方で、アクセス網が複数ある場合は、特に上記と変更することなく、中間通信網では要求がされた第一網終端装置のアドレスを記録することで処理できる。
また、ヘッダを二重に付与する多段トンネルではなく、端末及び第一網終端装置の間のトンネルと、発呼装置及び第二網終端装置の間のトンネルとに分かれることで、端末が処理しなければならないヘッダは多重にならずに済む。端末自体は、中間通信網でトンネル化がされていることを意識することなく、アクセス網でのトンネル化についてのみ処理すればよいため、端末の処理負荷は多重トンネルの場合より小さくなる。
端末がVPNから切断され、第一認証サーバが切断通知を受け取ると、第一認証サーバはID及びパスワードとIPアドレスとを記録した一時データベースから、その端末に関するレコードを削除する。これにより、一時データベースには、その時点でVPNサービスを提供している端末についての情報だけが残り、次に同じ端末がアクセスしてきた場合でも、履歴に関係なく処理することができ、データベースを定期的に同期させるといった処理を行う必要がなく、ID等をプライベート網で一元管理できる。
この発明により、複数の通信事業者のネットワークを介して、VPNを利用する際に、端末の利用者は一つのID及びパスワードでシングルサインオンをすることができ、従来と比べて利便性が向上する。また、VPN接続させるプライベート網の管理者も、ID、パスワードの管理が利用者当たりに一つで済み、管理の手間を省くことができる。さらに、多段トンネルではなく、一段のトンネルで済むため、カプセル化及びデカプセル化を行う端末や第二網終端装置の負荷を下げ、スループットを向上させることができる。
この発明を実施した認証後の接続形態についての概念図 この発明の一の実施形態における接続要求のフロー図 この発明の一の実施形態における接続要求のシーケンス図 この発明の一の実施形態における切断要求のフロー図 この発明の一の実施形態における切断要求のシーケンス図 この発明を実施する第一認証サーバの信号処理の形態例を示す概念図 一時データベースの例を示すテーブル 中間通信網及びプライベート網が複数接続された場合の信号処理の概念図 従来の多重トンネルによる接続形態についての概念図 従来の多重トンネルによる接続要求のシーケンス図
以下、この発明について具体的な実施形態を挙げて説明する。この発明は、複数の通信網からなる複合ネットワークにおけるネットワーク認証方法と、それを用いたサービス提供システムである。
図1は、この発明を実施した認証後の接続形態についての概念図である。
この発明にかかるサービス提供システムを実行するネットワーク環境は、それぞれがプライベートアドレスにより管理されるアクセス網101、中間通信網102、プライベート網103とからなり、アクセス網101とプライベート網103とは直接に接続されておらず、中間通信網102を間に介している。この発明にかかるシステムは、アクセス網101に接続した端末111が、中間通信網102を通じてプライベート網に接続してVirtualPrivateNetwork(VPN)の構築を提供する。
アクセス網101には、中間通信網102に通じる第一網終端装置113が備えられている。第一網終端装置113は、アクセス網101を構成するネットワークの論理的な端部に位置する。第一網終端装置113は、アクセス網101のプライベートアドレス(図中、例として示す100.0.0.0/24内のアドレス)だけでなく、中間通信網102のプライベートアドレス(図中、例として示す122.0.0.0/16内のアドレス)も有している。このアクセス網101の具体例としては、いわゆるインターネットプロバイダなどの通信事業者の管理するネットワークが挙げられる。
中間通信網102は、プライベート網103に繋がる第二網終端装置116と、アクセス網101に繋がる網終端装置を兼ねる発呼装置115と、中間通信網102へ接続する端末から送信されたID及びパスワードの認証、承諾、アカウンティングを行うRemote Authentication Dial In User Service(RADIUS)サーバである第一認証サーバ114を備える。ただし、後述するように、この第一認証サーバ114は通常のRADIUSサーバとは異なり、独自で管理するユーザーデータベースを持たない。また、発呼装置115と、アクセス網101の第一網終端装置113との間のIP接続部分121は、中間通信網102のIPアドレスで管理される。ただしこのIP接続部分121は通常のIPルーティングを行わず、発呼装置115と第一網終端装置113とはいずれも、相手から受け取ったパケットを除く全てのパケットを相手に転送する。この中間通信網102の具体例としては、拠点間を繋ぐ独自管理できるネットワークを所有する通信事業者の閉域網が挙げられる。一つのネットワークであると効率がよいが、プライベートアドレスが異なりルータを介して接続された複数のネットワークからなる場合でも実施可能である。ただし、グローバルIPアドレスにより通信するインターネットはこの中間通信網102に該当しない。
プライベート網103は、プライベート網103へ接続する端末から送信されたID及びパスワードを登録、管理するとともに、ID及びパスワードの認証、承諾及びアカウンティングを行うRADIUSサーバである第二認証サーバ117を備える。この第二認証サーバ117は、その登録したID及びパスワードを記録し、読み出し可能とするIDデータベース134を有する。また、上記の中間通信網102の第二網終端装置116は、中間通信網102のプライベートIPアドレス(図中、例として示す122.0.0.0/16内のアドレス)だけでなくプライベート網103のプライベートIPアドレス(図中、例として示す10.0.0.0/24内のアドレス)も有しており、プライベート網103の網終端装置も兼ねる。このプライベート網103の具体例としては、企業が管理する企業内ネットワークが挙げられる。
この発明にかかるシステムが、中間通信網102を通じて端末111をプライベート網103に接続してVirtualPrivateNetwork(VPN)の構築を提供するまでの手順を順に説明する。図2はその手順のフローチャートを示し、図3はその手順のシーケンスセッションを示す。ここで、サービスの提供を受ける端末111はサービスの提供を受ける個人が有するパソコンや携帯端末等であり、この端末111に、プライベート網103に接続するための、上記IDデータベース134に登録されたID及びパスワードを登録して送信可能とする。また、端末111はそれ自体が発呼装置としての機能を有する。また、図3においてPPPを実施形態としているが、本願発明はPPPに限られるものではなく、例えばIPsecでも可能である。
最初に、端末111は第一接続要求手段211により、発呼装置としての機能を発揮させて、アクセス網101内の第一網終端装置113へID及びパスワードとともに接続要求を送信する第一接続要求手段を実行する(第一接続要求ステップ311)。なお、中間通信網102が複数ある場合には、第一網終端装置113はそれが通じているそれぞれの中間通信網102ごとに存在するため、どの中間通信網102に通じる第一網終端装置113を宛先とするのかを、送信するIPアドレスか、IDに附属した網識別情報又はIDとともに送信する網識別情報により指定する。図3ではIDに附属して網識別情報を送信する形態を示しており、網識別情報を「mid」と示す。実際には中間通信網102を管理する企業名などを付すと判別しやすい。
上記の接続要求を受信した第一網終端装置113は、接続先である中間通信網102の第一認証サーバ114へ、上記ID及びパスワードとともに認証要求を送信する第一認証要求手段212を実行する(第一認証要求ステップ312)。第一網終端装置113が行う処理は、一般的なRADIUSサーバへのリクエストと同様の認証要求である。この段階では既に、第一網終端装置113が選択されており、それと直結する中間通信網102も既に選択されていることとなるので、図3では経由する中間通信網102を指定する「@mid」をIDから除外して送信している。なお、個々の通信の到達先を概念的に示すと図3のような関係にあるが、実際には、第一網終端装置113は、図2のように中間通信網102内にアクセス網101ごとに設けた発呼装置115と直結しており、上記の認証要求は、中間通信網102の網終端装置でもある発呼装置115を経由して第一認証サーバ114へ送信される。
上記の認証要求を受信した第一認証サーバ114は、上記のID及びパスワードについて、自身が管理するデータベースによって判断することはせず、動的に変化する一時データベース133に、送信されたID及びパスワード、又はそれらと接続先のプライベート網103を判別するための網識別情報とを一つのレコードとして記録する一時記憶登録手段213を実行する(一時レコード登録ステップ313)。この一時データベース133は、永続的に保持するものではなく、中間通信網102を介してこの発明にかかるシステムによりVPNの提供を受けようとする端末111及び提供を受けている端末111の情報を一時的に保持しておくものである。後述する第二認証サーバ117で認証されれば、後述する一時レコード追記ステップ323において前記のレコードにIPアドレスを追記する。また、認証が拒否されるか、当該端末111の接続が切断されたら、当該レコードを一時データベース133から削除する。
上記の認証要求を受信した第一認証サーバ114は、当該ID及びパスワードを送信してきた発呼装置115に対して、要求されたプライベート網103へ通じる第二網終端装置116への発呼要求を、上記のID及びパスワードとともに送信する発呼要求手段214を実行する(発呼要求ステップ314)。プライベート網103が一つの場合、発呼要求先は固定だが、プライベート網103が複数ある場合は、IDとともに、又はIDに附属して網識別情報を送信して発呼要求先を指示する。
上記の発呼要求を受信した発呼装置115は、プライベート網103に繋がる一つの第二網終端装置116、又は、網識別情報により指定されたプライベート網103に繋がる第二網終端装置116に、ID及びパスワードとともに、PPPを確立させる接続要求する第二接続要求手段215を実行する(第二接続要求ステップ315)。プライベート網103及びそれに繋がる第二網終端装置116が複数ある場合には、発呼装置115が有する網識別データベース131に予め登録された上記網識別情報に従ってその宛先となる第二網終端装置116を指定して送信する。例えば図3に示すように、プライベート網103を指定する網識別情報を「com」として、IDである「UserA」の後に附属させており、この「com」が示すプライベート網103に繋がる第二網終端装置116を宛先として送信する。この「com」は、実際にはプライベート網103を管理する企業名やグループ名などを付すと判別しやすい。
上記の接続要求を受信した第二網終端装置116は、プライベート網103内の第二認証サーバ117へID及びパスワードとともに認証要求を送信する第二認証要求手段216を実行する(第二認証要求ステップ316)。この第二網終端装置116に到達していることは、プライベート網103が既に指定されているので、図3の例ではプライベート網103を指定する網識別情報「@com」をIDから外し、IDそのものである「UserA」のみをパスワードとまとめて送信する。この認証要求は、一般的なRADIUSサーバへの認証要求と同様の処理である。
なお、第二網終端装置116は、中間通信網102の網終端装置であるとともに、プライベート網103の網終端装置も兼ねており、第二網終端装置116はプライベート網103のプライベートIPアドレスも付与されている。上記の認証要求はプライベート網103内のIP接続により送信する。
上記の認証要求を受信した第二認証サーバ117は、受信したID及びパスワードについて認証する認証手段217を実行する。この認証は、プライベート網103へのアクセスを認めるためのID及びパスワードを予め登録しておいたIDデータベース134を参照して、合致するか否かによって判断する。合致したら承認して、認証の許可(AccessAccept)とともに、上記端末111をプライベート網103へ接続させるためのプライベート網103におけるプライベートIPアドレスを、識別のためのIDとともに、送信元である第二網終端装置116へ払い出す(認証ステップ317)。一方、ID及びパスワードがIDデータベース134の記録と一致しない場合、又は使用中のIDと重複する場合は、第二網終端装置116へ、端末111宛の認証失敗通知を送信する(第一認証拒否ステップ351)。また、IDデータベース134自体の記録を更新し、払い出すプライベートIPアドレスを使用中として他の端末に払い出さないように設定するとともに、当該IDを接続状態として、二重接続を排除する設定に変更する。
上記のプライベートIPアドレスの払い出しを受けた第二網終端装置116は、上記発呼装置115に認証されPPPを確立する旨の応答と当該ID及びプライベートIPアドレスを通知する第二アドレス通知手段221を実行し、発呼装置115との間でトンネル接続を開始する第二トンネル接続手段222を実行する(第二トンネル確立ステップ321)。このトンネルは第二網終端装置116と発呼装置115との間で、フレームをカプセル化、デカプセル化して行うものであり、端末111まで直接にトンネル化するものではない点がこの発明の特徴である。このトンネルを確立、利用するために、第二網終端装置116は、端末111に払い出すプライベートIPアドレスと、中間通信網102における発呼装置115のアドレスとを記録管理するための転送管理テーブル135を有する。第二網終端装置116は、端末111の上記プライベートIPアドレスを送信先とするフレームを受け取ると、この転送管理テーブル135の記録を参照して、端末111に関連づけられた中間通信網102における発呼装置115のアドレスを読み出し、そのアドレスを送信先とし当該フレームをカプセル化して送信する。
なお、上記の第二網終端装置116は、第二トンネル確立ステップ321で第二トンネル部分123が確立したら、RADIUSサーバである第二認証サーバ117との間でアカウンティングの応答を行う。図3中、「321a・Accounting Request」と「321b・Accounting Response」として示す。
上記のプライベートIPアドレスの通知を受信した発呼装置115は、自分が有する転送管理テーブル132に、上記プライベートIPアドレスと、それを送信してきた上記の第二網終端装置116のアドレスとを関連づけて登録する転送テーブル登録手段223を実行する。以後、当該プライベートIPアドレスを付して送信されてきた当該端末111からのフレームを受信したら、この転送管理テーブル132を参照して宛先となる第二網終端装置116のアドレスを読み出し、当該第二網終端装置116へカプセル化して送信することで、第二網終端装置116との間でトンネル(第二トンネル部分123)接続をする第二トンネル通信手段224を実行する(第二トンネル確立ステップ321)。この転送管理テーブル132は発呼装置115内に、又はタイムラグが出来るだけ少ないように外部に設けたデータベースである。
上記のプライベートIPアドレスの通知を受信した発呼装置115は、上記の転送テーブル登録手段223及び第二トンネル通信手段224と前後して、第一認証サーバ114に認証の承諾を告げるアカウンティングと上記のID及びプライベートIPアドレスを通知するアカウンティング手段225を実行する(アカウンティングステップ322)。なお、図3中でアカウンティングステップ322の前に送信する「314a・RADIUS Event Response」は、発呼要求ステップ314で受信した発呼要求に対する発呼完了の応答である。
上記のプライベートIPアドレスの通知を受信した上記第一認証サーバ114は、上記先にID及びパスワード、又はそれらと網識別情報を登録した一時データベース133の当該IDのレコードに、受信したプライベートIPアドレスを追記する一時記録追記手段226を実行する(一時レコード追記ステップ323)。この一時データベース133に記録されているID、パスワード、プライベートIPアドレスを有する端末111が、その時点において中間通信網102へのアクセスを許可された端末であり、上記第一認証サーバ114が仮想的にRADIUSサーバとして処理している、認証した端末についての記録である。これらの記録は、後述するように、それぞれの端末111が切断されたらそれぞれの端末111ごとのレコードを抹消することになる。
上記のプライベートIPアドレスの通知を受信した上記第一認証サーバ114は、仮想的なRADIUSサーバとして、承諾した旨のアカウンティングとともに、受信したプライベートIPアドレスを、当該端末111に繋がる当該第一網終端装置113に払い出すアドレス中継手段227を実行する(アドレス通知ステップ324)。この払い出しは、当該第一網終端装置113にとっては、上記の第一認証要求ステップ312で送信した認証要求に対する承諾の通知となる。なお、実際には上記第一認証サーバ114から第一網終端装置113への通知は発呼装置115を経由する。
なお、上記第一認証サーバ114は、上記のアドレス通知ステップ324の後に、アカウンティングステップ322の応答(322a・RADIUS Accounting Response)を発呼装置115に返す。
上記のプライベートIPアドレスの払い出しを受信した上記第一網終端装置113は、上記端末111に承諾した旨のアカウンティングとともに当該プライベートIPアドレスを通知する第一アドレス通知手段228を実行し、端末111との間でトンネル接続を開始する第一トンネル接続手段229を実行する(第一トンネル確立ステップ325)。このトンネルは、第一網終端装置113と端末111との間でフレームをカプセル化、デカプセル化して行うものであり、上記の第二トンネル確立ステップ321で確立するトンネルとは連続していない。このトンネルを確立、利用するために、第一網終端装置113は、端末111に払い出すプライベートIPアドレスと、アクセス網101における端末111のアドレスとを記録管理するための転送管理テーブル136を有する。第一網終端装置113は、端末111の上記プライベートIPアドレスを送信先とするフレームを受け取ると、この転送管理テーブル136の記録を参照して、アクセス網101における端末111のアドレスを読み出し、そのアドレスを送信先とし当該フレームをカプセル化して送信する。
上記のプライベートIPアドレスの通知を受信した上記端末111は、以後、そのプライベートIPアドレスを使用して、第一網終端装置113との間でカプセル化、デカプセル化してフレームを通信するトンネル(第一トンネル部分122)を確立する第一トンネル通信手段230を実行する(第一トンネル確立ステップ325)。
なお、第一網終端装置113は、上記の第一トンネル部分122が確立した後、第一認証サーバ114へアカウンティングを送信し(324a・RADIUS Accounting Request)、応答を受信する(324b・RADIUS Accounting Response)。
こうして二つのトンネルが確立すると、端末111は二つのトンネルを経由してプライベート網103にアクセス可能となる。端末111が送信したフレームは、第一網終端装置113との間で第一トンネル部分122を経由して、すなわちカプセル化してやりとりされる。第一網終端装置113に到達したフレームは、デカプセル化された後、中間通信網102のIP接続部分121を経由して、発呼装置115に到達する。発呼装置115は転送管理テーブル132を参照して、第二トンネル部分123を経由して、すなわち、カプセル化して、第二網終端装置116へフレームを送信する。第二網終端装置116は、フレームをデカプセル化して、元のフレームでの宛先であるプライベート網103内のサーバ118や端末119等へフレームを送信する。サーバ118や端末119からの応答はこの逆の順序で送信される。このとき、第一認証サーバ114及び第二認証サーバ117は、直接的には通信を中継されない。
なお、第二認証サーバ117でID及びパスワードが正しくないと処理され、認証が拒否された場合には、上記と同様の経路で、確立失敗通知が端末111まで送信される。すなわち、第二認証サーバ117から第二網終端装置116に確立失敗通知が伝達され(第一認証拒否ステップ351)、以後、発呼装置115、第一認証サーバ114、第一網終端装置113、端末111へ順に通知が送信される(第二〜第五認証拒否ステップ352〜355)。端末111を操作するユーザーは、ID及びパスワードの誤りを確認の上、再度、第一接続要求ステップ311から接続を試みる。
端末111が上記のようなシステムを上記ステップの順序で実行し、トンネルを通して通信すると、端末111にとっては、第一網終端装置113へ向かって送信すれば、中間通信網102内での処理を設定、処理する必要なく、第一認証サーバ114、発呼装置115、及び第二網終端装置116により中間通信網102を適切に経由してプライベート網103まで通信することができる。このとき、トンネルを確立しているカプセル化は一段階であり、ルータである網終端装置や発呼装置にかかる負荷は、二重トンネルをする場合よりも小さなものとなり、より高速での通信が可能となる。
次に、端末111がプライベート網103との通信を終えて、切断する場合の手順を図4に示すフロー図及び図5に示すシーケンス図とともに説明する。まず、端末111がプライベート網103からの切断を求める切断要求を第一網終端装置113に送信する(341)。第一網終端装置113は、第一認証サーバ114とのそれぞれに、切断通知(RADIUS Accounting Request(STOP))をID及びプライベートIPアドレスとともに送信する切断通知送信手段を実行する(342)。また、第一網終端装置113はその後で、端末111へ切断要求に対する応答を送信する(341a)。端末111側の切断確認はこれで終了する。
上記切断通知を受信した上記第一認証サーバ114は、発呼装置115に対して、端末111についての第二網終端装置116との間のトンネルについて切断要求(RADIUS Disconnect Request(STOP))をID及びプライベートIPアドレス送信する第一切断要求送信手段を実行する(343)。またその後、第一認証サーバ114は、切断通知に対する応答(342a・RADIUS Accounting Response)を第一網終端装置113に送信する。
上記切断要求を受信した発呼装置115は、第二網終端装置116に切断要求を、ID及びプライベートIPアドレスとともに送信する第二切断要求送信手段を実行する(344)。この段階ではまだ、発呼装置115内の転送管理テーブル132における端末111についてのレコードは削除されておらず、発呼装置115はこのレコードを参照して、切断要求を送信する当該第二網終端装置116を指定できる。第二網終端装置116は、この切断要求に対する切断応答を発呼装置115に送信する(344a)。
上記切断要求を受信した第二網終端装置116は、第二認証サーバ117にID及びプライベートIPアドレスとともに切断通知(RADIUS Accounting Request(STOP))を送信する切断確認通知送信手段を実行する(345)。これを受けて、第二認証サーバ117は、IDデータベース134を更新し、当該端末111に払い出していたプライベートIPアドレスの状態を不使用に変更して、他の端末111に払い出せる状態とする(346)。また、当該IDが切断状態であるように変更して、当該IDによる次の接続要求を承諾可能とする。併せて、第二認証サーバ117は、切断通知に対する応答(345a・RADIUS Accounting Response)を第二網終端装置116に送信する。
第二網終端装置116からの切断応答を受け取った発呼装置115は、まず、第一認証サーバ114から先(343)に受信した切断要求に対する切断応答(343a・RADIUS Disconnect Ack)を送信する。また、転送管理テーブル132から端末111の当該プライベートIPアドレスと第二網終端装置116のアドレスについてのレコードを削除する転送テーブル削除手段を実行し(347)、第一認証サーバ114に端末111についての切断完了通知(RADIUS Accounting Request(STOP))を送信する切断完了通知送信手段を実行する(348)。
上記切断完了通知を受信した第一認証サーバ114は、切断完了通知に対する応答(RADIUS Accounting Response)を発呼装置115に送信する(348a)。そして、第一認証サーバ114は、一時データベース133から端末111についてのID、パスワード、網識別情報、プライベートIPアドレスを記録したレコードを削除する一時レコードクリア手段を実行する(一時レコード削除ステップ349)。以上で、端末111についての状態はシステムからクリアされる。このため、すなわち、端末の接続終了後は、第一認証サーバ114の一時データベースには永続的な記録が残らず、データベースの管理負荷を、現在接続している端末に限定した必要最小限のものとすることができる。なお、別途履歴を残すことは問題ない。
上記の手段はいずれも、ハードウェア内で実現される信号処理、又は、通信機器を介した信号の授受を行うソフトウェアで実現されるものである。端末及びサーバはいずれも演算装置、記憶装置、通信装置、入出力装置等を有する一般的なハードウェアで実現できる。ただし、サーバの入出力装置は通信装置を介した外部の端末の入出力装置がその機能を担ってもよい。網終端装置及び発呼装置はルータとして一般的な機能を有するハードウェアで実現できる。また、それぞれのデータベースは、それぞれのハードウェアが有する記憶装置中にソフトウェアとして実現できるものであるが、それぞれのハードウェアから独立したハードウェアに実装したソフトウェアでもよい。
次に、この発明で最も特徴的な処理を行う第一認証サーバ114の具体的な内部処理について。図6及び図7を用いて説明する。図6は第一認証サーバ114の内部及び外部との信号のやりとりを示す概念図であり、図7は一時データベース133の例を示すテーブルである。図6の(a)〜(j)が、順に、第一認証サーバ114内での信号の処理手順を示す。それぞれの処理部161〜164は、外部との通信装置との間で信号を授受するソフトウェア又は専用のハードウェアである。
上記の第一認証要求ステップ312として、通信装置からの入力として認証要求とID及びパスワード(網識別情報を含んでも良い。以下同じ)を受信する(a)と、第一網終端装置認証処理部161が一時データベース133にID及びパスワードを送信する(b)。一時データベース133では、インデックスに新たなレコードを追加し、ID及びパスワードを登録する。これは図1に記載の一時記憶登録手段213が行う処理である。図7では、IDに網識別情報(「@」以下の部分である。それぞれ、プライベート網103を管理する企業名に相当する。)を附属させている。この時点ではIPアドレスの欄は空である。
上記の一時データベース133で新規レコードを登録すると、そのID及びパスワードを発呼装置対向接続要求処理部162へ送信して(c)、発呼要求手段214を実行し、通信装置からのID及びパスワードと発呼要求の出力を行う(d)。具体的にはこれは発呼要求ステップ314にあたる。これに対する発呼装置115からの発呼完了の応答を一旦受信する(e)。これは上記の314aにあたる。
その後、上記の発呼装置115,第二網終端装置116、及び第二認証サーバ117での処理を経て、アカウンティングステップ322として、発呼装置115から第一認証サーバ114の通信装置にID及びプライベートIPアドレスと共にアカウンティングが、発呼装置対向アカウンティング処理部163に入力される(f)。発呼装置対向アカウンティング処理部163は、発呼装置115に応答し(g、322a)、一時データベース133にID及びプライベートIPアドレスを送信する(h)。一時データベース133に対して、一時記録追記手段226を実行し、図7に記載のように、当該IDに付与されたプライベートIPアドレスを、当該レコードに追記する(一時レコード追記ステップ323)。ここで、IDが網識別情報を附属されたものとしておくと、異なるプライベート網との間でID部分だけが重複しても、どのIDであるか識別可能となる。
上記の一時データベース133でレコードを追記すると、そのIPアドレスを、第一網終端装置認証処理部161に送信する(i)。第一網終端装置認証処理部161は、認証されたアドレスの払い出しとなるアドレス中継手段227を実行して、認証完了の旨とプライベートIPアドレスとを通信装置から出力する(j・アドレス通知ステップ324)。
なお、図示しないが、第二認証サーバ117での認証が失敗した場合には、上記の第三認証拒否ステップ353で確立失敗通知を受け取った際に(f・hに相当する入出力である)、一時データベース133から当該ID及びパスワードを一旦削除し、第四認証拒否ステップ354へ移行する。
その後、端末111の切断時には、ID及びプライベートIPアドレスとともに切断完了通知を、通信装置からの入力により発呼装置対向切断処理部164が受け取ったら(x・348)、一時データベース133にID及びプライベートIPアドレスを送信し(y)、当該ID及びプライベートIPアドレスについてのレコードを削除する一時レコードクリア手段を実行する(一時レコード削除ステップ349)。
上記のような、固有のデータベースを参照せず、外部から送信されたID、パスワード及びIPアドレスを動的に変化する一時データベース133で管理することが、本願発明にかかるシステム及びその方法の大きな特徴である。
次に、中間通信網102及びプライベート網103が複数ある場合に、網識別情報を用いた具体的に接続先を指定する実施形態を図8の概念図を用いて説明する。予め、それぞれの中間通信網102と、プライベート網103を識別可能な、固有の網識別情報を決定する。図中、二つの中間通信網102についてそれぞれ「mid1」「mid2」とし、四つのプライベート網103(A〜D)について、それぞれ「com1」「com2」「net1」「net2」とする。第一網終端装置113は、少なくともそれぞれが繋がる中間通信網102に固有の網識別情報(第一網終端装置Aならば「mid1」)を記録しておき、それ以外の網識別情報を付与された要求は拒否する。また、発呼装置115は、その中間通信網102に繋がる全てのプライベート網103の網識別情報を、それぞれのプライベート網103に繋がる第二網終端装置116のアドレスとともに記録している。
上記の端末111のユーザが接続要求とともに送信するIDには、到達先となるプライベート網103の網識別情報(com1〜net2)と、経由する中間通信網102の網識別情報(mid1,mid2)とを「@」で区切って付与する。IDの次にプライベート網103の網識別情報を付し、その後に中間通信網102の網識別情報を付与すると、第一網終端装置113が必要な情報を処理しやすい。接続要求を受けた第一網終端装置113は、IDの末尾を確認し、それが自身に直結する中間通信網102の網識別情報と一致しなければ要求を拒否し、一致すれば第一認証要求手段212を実行する。このとき、送信するIDからは、それ以降は不要となる@mid1又は@mid2を外しておき、発呼装置115が処理しやすいようにする。
上記の発呼装置115は、受信したIDの末尾を確認し、その網識別情報が指定しているプライベート網103に繋がる第二網終端装置116へ、当該要求を送信するようルーティングする。第二網終端装置116では、受信した要求に伴うIDの末尾を確認し、自身が接続するプライベート網103の網識別情報と一致しなければ要求を拒否し、一致すれば、@以下の網識別情報を外した上で、パスワードとともに第二認証サーバ117に送信する。第二認証サーバ117での承諾後は、以上の流れを逆にたどり、転送管理テーブルにアドレスを記録しつつ、プライベートIPアドレスを端末111まで送信する。
なお、アクセス網101が複数ある場合には、それぞれのアクセス網101が中間通信網102に接続して、同様の処理を行うことでこの発明にかかる方法及びシステムを実現できる。
また、この発明は、中間通信網102が直列した複数のネットワークからなるものでも実施可能である。すなわち、それぞれの中間通信網102について、それぞれが認証サーバ、発呼装置、網終端装置を有し、認証サーバは上記第一認証サーバ114と同様に、ID、パスワード、プライベートIPアドレスを自身で管理するのではなく他からの通信に応じて一時的に記録し、中継するものとする。
さらに、接続要求の方式としてPPPを例として記載したが、これに限らなくてもよく、例えばIPsecによっても上記と同様の手順により認証し、VPNを提供することができる。
101,101a.101b アクセス網
102 中間通信網
103 プライベート網
111,111a,111b 端末
113,113a,113b 第一網終端装置
114,114a 第一認証サーバ
115,115a,115b 発呼装置
116 第二網終端装置
117 第二認証サーバ
118 サーバ
119 端末
121 IP接続部分
122 第一トンネル部分
123 第二トンネル部分
131 網識別データベース
132 転送管理テーブル
133 一時データベース
134 IDデータベース
135 転送管理テーブル
136 転送管理テーブル
161 第一網終端装置認証処理部
162 発呼装置対向接続要求処理部
163 発呼装置対向アカウンティング処理部
164 発呼装置対向切断処理部
211 第一接続要求手段
212 第一認証要求手段
213 一時記憶登録手段
214 発呼要求手段
215 第二接続要求手段
216 第二認証要求手段
217 認証手段
221 第二アドレス通知手段
222 第二トンネル接続手段
223 転送テーブル登録手段
224 第二トンネル通信手段
225 アカウンティング手段
226 一時記録追記手段
227 アドレス中継手段
228 第一アドレス通知手段
229 第一トンネル接続手段
230 第一トンネル通信手段
311 第一接続要求ステップ
312 第一認証要求ステップ
313 一時レコード登録ステップ
314 発呼要求ステップ
315 第二接続要求ステップ
316 第二認証要求ステップ
317 認証ステップ
321 第二トンネル確立ステップ
322 アカウンティングステップ
323 一時レコード追記ステップ
324 アドレス通知ステップ
325 第一トンネル確立ステップ
349 一時レコード削除ステップ
351 第一認証拒否ステップ
352 第二認証拒否ステップ
353 第三認証拒否ステップ
354 第四認証拒否ステップ
355 第五認証拒否ステップ

Claims (6)

  1. プライベートアドレスを付与するアクセス網に端末を接続し、前記アクセス網とは別個独立にプライベートアドレスを付与する中間通信網に、前記アクセス網及び前記中間通信網とは別個独立にプライベートアドレスを付与するプライベート網と、前記アクセス網とを接続し、この中間通信網を介して前記端末が前記プライベート網との間にVirtualPrivateNetwork(VPN)を構築するネットワーク認証方法であって、
    上記端末が、アクセス網が備える中間通信網に繋がる第一網終端装置に対して、IDとパスワードを通知して接続要求する第一接続要求ステップ、
    上記第一網終端装置が、上記の端末から送信されたIDとパスワードにより、上記中間通信網が備える第一認証サーバに認証要求する第一認証要求ステップ、
    第一認証サーバが、上記のIDとパスワードとともに、発呼装置に発呼要求する第一発呼要求ステップ、
    上記発呼装置が、中間通信網が備えるプライベート網へ繋がる第二網終端装置に対して、上記のIDとパスワードを送信して接続要求する第二接続要求ステップ、
    上記第二網終端装置が、上記のIDとパスワードにより、上記プライベート網が備える第二認証サーバに認証要求する第二認証要求ステップ、
    第二認証サーバが、上記のIDとパスワードについて認証を行い、承認すれば上記プライベート網の上記プライベートアドレスを払い出す認証ステップ、
    上記第二網終端装置が、上記発呼装置に上記プライベート網の上記プライベートアドレスを送信して、当該送信された上記発呼装置が上記プライベート網の上記プライベートアドレスと上記第二網終端装置の送信元アドレスとを関連付けて上記発呼装置自身が有する転送管理テーブルに登録し、当該上記第二網終端装置との間で前記転送管理テーブルを参照するPoint−to−Point protocol(PPP)又はIPsecによる接続を確立する第二トンネル確立ステップ、
    上記発呼装置が、上記第一認証サーバに上記プライベート網の上記プライベートアドレスを送信するアカウンティングステップ、
    当該送信された上記第一認証サーバが、上記第一網終端装置へ上記プライベート網の上記プライベートアドレスを払い出す第二アドレス通知ステップ、
    当該払い出された上記第一網終端装置が、上記端末に上記プライベート網の上記プライベートアドレスを送信して、当該送信された上記端末とPPP又はIPsecによる接続を確立する第一トンネル確立ステップ、
    とを順に実行するネットワーク認証方法。
  2. 上記中間通信網に複数の上記プライベート網が接続され、上記中間通信網は、それぞれの上記プライベート網に繋がる上記第二網終端装置を備えており、
    上記第一接続要求ステップにおいて、上記端末は、送信するID及びパスワードとともに、接続先となる上記プライベート網を判別する網識別情報を送信し、
    上記第二接続要求ステップにおいて、上記発呼装置は、上記ID及びパスワードとともに受信した上記識別情報により、接続要求する宛先となる上記プライベート網に繋がる上記第二網終端装置を接続要求先として選択する、
    請求項1に記載のネットワーク認証方法。
  3. 上記網識別情報が、上記IDの一部として付与されたものであり、
    少なくとも第一接続要求ステップ、第一認証要求ステップ、第一発呼要求ステップでは、上記網識別情報が上記IDに附属して送信される請求項2に記載のネットワーク認証方法。
  4. 上記第一認証サーバが、ID、パスワード及びアドレスを一時的に記録する動的な一時データベースを有し、
    上記第一認証要求ステップの後に、上記第一認証サーバは、上記ID及びパスワードについてのレコードを、上記一時データベースに記録する一時レコード登録ステップを実行し、
    上記アカウンティングステップの前、又は後に、上記第一認証サーバは、受信した上記プライベート網の上記プライベートアドレスを、上記ID及びパスワードに対応したレコードに追記する一時レコード追記ステップを実行し、
    上記第二トンネル確立ステップの後に、上記第一認証サーバは、上記端末の切断通知を受信すると、上記一時データベースから当該上記端末についてのレコードを削除する一時レコード削除ステップを実行する、請求項1乃至3のいずれかに記載のネットワーク認証方法。
  5. 端末が接続するアクセス網と、プライベート網と、それらを繋ぐ中間通信網とからなる複合した通信網からなり、それら通信網のいずれも、別個独立のプライベートアドレスを使用する複合ネットワークにおいて、上記端末から、上記中間通信網を介して上記プライベート網へ接続してVirtualPrivateNetwork(VPN)を構築させるサービス提供システムであって、
    上記アクセス網は、上記中間通信網と繋がる第一網終端装置を備え
    上記中間通信網は、上記プライベート網と繋がる第二網終端装置と、第一認証サーバと、発呼装置とを備え、
    上記プライベート網は、利用者のID及びパスワードを登録したデータベースと、前記データベースを参照可能でプライベートアドレスを払い出し可能な第二認証サーバを備え、
    上記端末は、上記ID及びパスワードとともに上記プライベート網への接続要求を上記第一網終端装置に送信する第一接続要求手段と、上記第一網終端装置から通知された上記プライベート網の上記プライベートアドレスにより上記第一網終端装置との間でPPP又はIPsecによるトンネル接続を確立して通信を行う第一トンネル通信手段とを有し、
    上記第一網終端装置は、上記ID及びパスワードにより、上記第一認証サーバに認証要求する第一認証要求手段と、上記第一認証サーバから送信された上記プライベート網の上記プライベートアドレスを上記端末に通知する第一アドレス通知手段と、上記端末との間でPPP又はIPsecによるトンネル接続を確立して通信を行う第一トンネル接続手段と、
    上記第一認証サーバは、上記第一網終端装置から受信した上記ID及びパスワードとともに、上記発呼装置に発呼要求する発呼要求手段と、上記発呼装置から送信された上記プライベート網の上記プライベートアドレスを上記第一網終端装置に払い出すアドレス中継手段とを有し、
    上記発呼装置は、上記ID及びパスワードとともに、上記端末の上記プライベート網への接続要求を上記第二網終端装置に送信する第二接続要求手段と、上記プライベート網の上記プライベートアドレスとその送信元である上記第二網終端装置のアドレスとを関連づけて転送管理テーブルに記録する転送テーブル登録手段と、上記第二網終端装置から送信された上記プライベート網のプライベートアドレスを上記第一認証サーバへ通知するアカウンティング手段と、上記第二網終端装置から通知された上記プライベート網の上記プライベートアドレスにより上記第二網終端装置との間で上記転送管理テーブルのレコードに従ってPPP又はIPsecによるトンネル接続を確立して通信を行う第二トンネル通信手段とを有し、
    上記第二網終端装置は、上記ID及びパスワードにより、上記第二認証サーバに認証要求する第二認証要求手段と、上記第二認証サーバから払い出された上記プライベート網の上記プライベートアドレスを上記発呼装置に通知する第二アドレス通知手段と、上記発呼装置との間で上記転送管理テーブルのレコードに従ってPPP又はIPsecによるトンネル接続を確立して通信を行う第二トンネル接続手段と、
    上記第二認証サーバは、上記第二網終端装置から送信された上記ID及びパスワードを、上記データベースの記録を参照して承認し、上記端末を上記プライベート網へ接続させるための上記プライベート網のプライベートアドレスを上記第二網終端装置に払い出す認証手段を有する、
    サービス提供システム。
  6. 上記複合ネットワークは、上記中間通信網に接続された上記プライベート網を複数有し、
    上記発呼装置は、上記プライベート網を識別する網識別情報を記録した網識別データベースを有し、
    上記第一接続要求手段、上記第一認証要求手段、及び上記発呼要求手段は、上記ID及びパスワードとともに、上記端末が接続する先である上記プライベート網に対応する上記網識別情報を送信し、
    上記第二接続要求手段は、上記ID及びパスワードとともに受信した上記網識別情報により指定された上記プライベート網に繋がる上記第二網終端装置に対して接続要求を送信するものであり、
    上記第一トンネル接続手段は、上記網識別情報により指定された上記プライベート網に繋がる上記第二網終端装置との間で通信を行うものである、
    請求項5に記載のサービス提供システム。
JP2010171614A 2010-07-30 2010-07-30 ネットワーク認証方法及びサービス提供システム Active JP5614770B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010171614A JP5614770B2 (ja) 2010-07-30 2010-07-30 ネットワーク認証方法及びサービス提供システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010171614A JP5614770B2 (ja) 2010-07-30 2010-07-30 ネットワーク認証方法及びサービス提供システム

Publications (2)

Publication Number Publication Date
JP2012034170A JP2012034170A (ja) 2012-02-16
JP5614770B2 true JP5614770B2 (ja) 2014-10-29

Family

ID=45847054

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010171614A Active JP5614770B2 (ja) 2010-07-30 2010-07-30 ネットワーク認証方法及びサービス提供システム

Country Status (1)

Country Link
JP (1) JP5614770B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6383293B2 (ja) * 2015-01-09 2018-08-29 エイチ・シー・ネットワークス株式会社 認証システム
JP6615037B2 (ja) * 2016-04-01 2019-12-04 株式会社エネルギア・コミュニケーションズ ネットワークシステム及びその接続方法
JP6940892B1 (ja) * 2020-04-01 2021-09-29 ケ, ミン チーKe, Ming Chi 仮想プライベートネットワークにおける装置を接続するデバイス、その方法及びパソコンで読取り可能な記録メディア

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3750727B2 (ja) * 2000-10-30 2006-03-01 株式会社エヌ・ティ・ティ・ドコモ 専用線vpn接続システムおよび専用線vpn接続方法
JP3973961B2 (ja) * 2002-04-25 2007-09-12 東日本電信電話株式会社 無線ネットワーク接続システム、端末装置、リモートアクセスサーバ及び認証機能装置
JP2004104527A (ja) * 2002-09-10 2004-04-02 Matsushita Electric Ind Co Ltd インターネットアクセスネットワーク及びアクセススイッチ装置
JP4802263B2 (ja) * 2009-07-17 2011-10-26 株式会社日立製作所 暗号化通信システム及びゲートウェイ装置

Also Published As

Publication number Publication date
JP2012034170A (ja) 2012-02-16

Similar Documents

Publication Publication Date Title
US7249370B2 (en) Communication system and transfer device
US7020084B1 (en) Communication system, a communication method and communication terminal
CN101501663B (zh) 一种安全地部署网络设备的方法
JP6619894B2 (ja) アクセス制御
US7328268B1 (en) Maintaining a common AAA session ID for a call over a network
US7788705B2 (en) Fine grained access control for wireless networks
US20070199049A1 (en) Broadband network security and authorization method, system and architecture
JPH0281539A (ja) デジタル通信回路網およびその操作方法並びにデジタル通信回路網に用いるルータ
JP5239341B2 (ja) ゲートウェイ、中継方法及びプログラム
JPH11355272A (ja) 多重ホップ・ポイント・ツ―・ポイント・プロトコル
JP4628938B2 (ja) データ通信システム、端末装置およびvpn設定更新方法
WO2008138274A1 (fr) Procédé et dispositif correspondant et système servant à accéder à un service distant
CN108964880A (zh) 一种数据传输方法及装置
US7694015B2 (en) Connection control system, connection control equipment and connection management equipment
CN109600292A (zh) 一种lac路由器自拨号发起l2tp隧道连接的方法及系统
JP5614770B2 (ja) ネットワーク認証方法及びサービス提供システム
JP6678160B2 (ja) 通信管理システム、アクセスポイント、通信管理装置、接続制御方法、通信管理方法、及びプログラム
US20090271852A1 (en) System and Method for Distributing Enduring Credentials in an Untrusted Network Environment
WO2004068805A1 (ja) Vpn通信制御装置、vpnにおける通信制御方法、仮想専用網管理装置
JP2012070225A (ja) ネットワーク中継装置及び転送制御システム
WO2015184840A1 (zh) 响应消息的获取、响应消息的路由方法、装置及系统
JP3668731B2 (ja) 仮想プライベートネットワーク(vpn)システム及び中継ノード
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
Dayananda et al. Architecture for inter-cloud services using IPsec VPN
JP4827868B2 (ja) ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130529

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20130529

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130612

RD13 Notification of appointment of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7433

Effective date: 20130612

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130703

A072 Dismissal of procedure [no reply to invitation to correct request for examination]

Free format text: JAPANESE INTERMEDIATE CODE: A073

Effective date: 20130806

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140408

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140526

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140902

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140903

R150 Certificate of patent or registration of utility model

Ref document number: 5614770

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250