JPH11328117A - 認証システムにおけるユーザ管理方法 - Google Patents

認証システムにおけるユーザ管理方法

Info

Publication number
JPH11328117A
JPH11328117A JP10131491A JP13149198A JPH11328117A JP H11328117 A JPH11328117 A JP H11328117A JP 10131491 A JP10131491 A JP 10131491A JP 13149198 A JP13149198 A JP 13149198A JP H11328117 A JPH11328117 A JP H11328117A
Authority
JP
Japan
Prior art keywords
server
authentication
client
proxy
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP10131491A
Other languages
English (en)
Inventor
Hiromasa Murakami
弘真 村上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP10131491A priority Critical patent/JPH11328117A/ja
Publication of JPH11328117A publication Critical patent/JPH11328117A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 (修正有) 【課題】クライアントとサーバの間を中継する全てのプ
ロキシサーバの属する認証サーバへクライアントのユー
ザ情報を登録する必要がない方式を提供する。 【解決手段】ユーザ登録をクライアントに最も近い認証
サーバのみにし、それ以降の認証には認証サーバ間で証
明書を受け渡すようにする。クライアントからサーバに
接続する際には、クライアントとそれに最も近い認証サ
ーバとの間で認証を行なった後、認証サーバ間で認証を
行なってクライアントの証明書を受け渡していき、サー
バに最も近いプロキシサーバが属する認証サーバまで辿
り着いたら、経路情報をクライアントに送る。クライア
ントは、経路情報にしたがってプロキシサーバとの間で
認証を行ない、最終的にサーバまでの接続を確立する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、仮想プライベート
ネットワーク(Virtual Private NetWork:VPN)に必
要な認証を秘密鍵暗号方式を用いて実行するために用い
るユーザ情報の管理作業、およびVPNにおいてクライ
アントからサーバへ到達するために中継するプロキシ
(Proxy)サーバの設定管理作業を軽減する、管理方法
に関する。
【0002】
【従来の技術】近年、インタネットから社内イントラネ
ットへアクセスする等、公衆回線を使って安価にネット
ワークシステムを構築するニーズが高まっている。イン
タネットを介して、あたかも一つの企業内ネットワーク
に見せるシームレスな接続を提供するのがVPNであ
る。VPNでは、なりすましを防ぐためにユーザ認証を
行ってからデータの送受信を開始し、また盗聴や改竄か
ら公衆回線を流れるデータを守るために暗号化する機能
を持つ。
【0003】VPNの構成要素は、要求元のクライアン
ト、要求受付先のサーバ、該クライアントおよびサーバ
間の公衆回線上を流れるデータを暗号化/復号するプロ
キシサーバ、および、認証要求を受けてユーザの認証と
ユーザ管理を行う認証サーバに大別される。
【0004】従来の秘密鍵暗号方式による認証では、例
えば特開平09−069831号「暗号通信システム」
に示されるように、クライアントからプロキシサーバに
接続すると、プロキシサーバの属する認証サーバが持つ
ユーザ情報と、認証サーバからクライアントに配布した
証明書とを元にして、認証が行われる。そのため、クラ
イアントとサーバとの間で複数のプロキシサーバを中継
する場合、全てのプロキシサーバの属する認証サーバか
ら事前にクライアントへ証明書が配布されていなければ
いけない。
【0005】また、要求元のクライアントから目的の要
求受付先のサーバに接続するために、どのプロキシサー
バを中継しなければいけないかを、事前に全てのプロキ
シサーバへ定義しておかなければいけなかった。
【0006】
【発明が解決しようとする課題】上記従来技術では、要
求元のクライアントと要求受付先のサーバの間を中継す
る全てのプロキシサーバの属する認証サーバへ、当該ク
ライアントのユーザを登録しなければいけないことにな
る。多数のユーザが利用する、複数のプロキシサーバが
存在するネットワーク環境では、ユーザの管理だけで多
大な作業が必要になり、それぞれの認証サーバから発行
された証明書を、発行先のユーザへ配布しなければいけ
ない問題があった。また、要求元のクライアントから要
求受付先のサーバまでの経路を事前に全てのプロキシサ
ーバへ定義しておかなければならず面倒であった。
【0007】本発明は、上述の従来技術における問題点
に鑑み、クライアントとサーバの間を中継する全てのプ
ロキシサーバの属する認証サーバへ当該クライアントの
ユーザのユーザ情報を登録する必要がなく、また経路を
事前に全てのプロキシサーバへ定義しておく必要もない
ような認証システムにおけるユーザ管理方法を提供する
ことを目的とする。
【0008】
【課題を解決するための手段】上記目的を達成するた
め、請求項1に係る発明は、ネットワーク接続されたク
ライアントとサーバとの間に置かれた複数のプロキシサ
ーバと、クライアントとプロキシサーバとの間の認証を
管理する認証サーバとを備えた認証システムにおけるユ
ーザ管理方法であって、あらかじめ、前記クライアント
から前記プロキシサーバを介して前記サーバにアクセス
するユーザについて、前記クライアントに最も近い認証
サーバに登録し、該認証サーバから証明書の配布を受け
ておくとともに、あらかじめ、認証サーバ同士で認証を
行なうための証明書を、所定の認証サーバ間で受け渡し
ておくことを特徴とする。
【0009】請求項2に係る発明は、ネットワーク接続
されたクライアントとサーバとの間に置かれた複数のプ
ロキシサーバと、クライアントとプロキシサーバとの間
の認証を管理する認証サーバとを備えた認証システムに
おけるユーザ管理方法であって、あらかじめ、前記クラ
イアントから前記プロキシサーバを介して前記サーバに
アクセスするユーザについて、前記クライアントに最も
近い認証サーバに登録し、該認証サーバから証明書の配
布を受けておくステップと、あらかじめ、認証サーバ同
士で認証を行なうための証明書を、所定の認証サーバ間
で受け渡しておくステップと、前記クライアントから前
記サーバに接続するとき、前記クライアントから該クラ
イアントに最も近い認証サーバに接続して認証を行なう
ステップと、前記クライアントに最も近い認証サーバか
ら、次に中継するプロキシサーバの属する認証サーバ
へ、接続し、認証サーバ間で受け渡した証明書を用いて
認証サーバ間の認証を行なうとともに、前記クライアン
トの証明書を受け渡し、これを要求受付先のサーバに最
も近いプロキシサーバの属する認証サーバに辿り着くま
で繰り返すことにより、前記クライアントからサーバへ
接続する際に中継するプロキシサーバの経路情報を取得
するステップと、中継するプロキシサーバの経路情報を
前記クライアントに送るステップと、前記経路情報に基
づいて、前記クライアントと前記プロキシサーバとの間
の認証を行なっていくことにより、前記クライアントと
前記サーバ間の接続を確立するステップとを備えたこと
を特徴とする。
【0010】請求項3に係る発明は、請求項1または2
において、前記中継するプロキシサーバを、階層化した
認証サーバで管理することを特徴とする。
【0011】
【発明の実施の形態】以下、図面を参照して本発明の実
施の形態を説明する。
【0012】本実施の形態では、証明書の発行(ユーザ
の登録)をクライアントに最も近い認証サーバのみに
し、ユーザ情報の管理作業を軽減する。証明書を発行し
た認証サーバ以外の認証サーバとの認証は、クライアン
トに最も近い認証サーバから次に中継するプロキシサー
バの属する認証サーバへ、クライアントの証明書を認証
サーバ間で順次受け渡し、クライアントの認証に使用す
る。また、要求受付先のサーバに最も近いプロキシサー
バの属する認証サーバにたどりついた時点で、中継する
プロキシサーバの情報をクライアントへ送り、その情報
を元にクライアントと各認証サーバ間の認証を行ってい
く。
【0013】上記の方式を実現するため、本実施の形態
では、認証サーバ間で認証を行い、証明書を受け渡す機
能を持つ。また中継するプロキシサーバの定義と次に中
継するプロキシサーバが属する認証サーバの定義を認証
サーバに持たせ、中継するプロキシサーバの検索は認証
サーバが行う。さらに認証サーバは階層構造を持たせる
ことにより、次に中継するプロキシサーバが属する認証
サーバの定義の管理作業を軽減させる。
【0014】以下、本実施の形態を詳しく説明する。な
お、本実施の形態は、クライアントからサーバへの接続
に3台のプロキシサーバを中継し、それぞれのプロキシ
サーバが属する認証サーバが3台あり、認証サーバ2,
3が属する上位の認証サーバ4が存在するシステムを例
として説明する。
【0015】図1は、本実施の形態のシステム構成図で
ある。図1において、ネットワーク環境は、ネットワー
ク1,2,3,4(101,102,103,104)
で独立したネットワークである。各プロキシサーバ(1
21,122,123)とそれの属する認証サーバ(1
31,132,133)は、同一ネットワーク内にあ
る。
【0016】次に、要求元であるクライアント(11
1)について説明する。クライアント(111)は、サ
ーバ(112)に接続してデータを送受信する形態のア
プリケーションが動作するクライアントである。VPN
の設定として、サーバ(112)に接続するにはプロキ
シサーバ1(121)を中継するという情報のみがクラ
イアント(111)にあらかじめ定義されており、認証
サーバ1(131)から証明書(141)が配布済みで
ある。クライアント(111)上のアプリケーションか
らサーバ(112)への接続要求があると、クライアン
ト(111)はプロキシサーバ1(121)に接続し
て、認証サーバ1(131)との認証を行う。図5に、
クライアントのVPNとしての動作を示す。図5の手順
については後に詳述する。
【0017】次に、要求受付先であるサーバ(112)
について説明する。サーバ(112)ではアプリケーシ
ョンサーバが起動していて、クライアント(111)か
らの接続を待機している。
【0018】次に、プロキシサーバ1〜3(121〜1
23)について説明する。クライアント(111)に最
も近いのがプロキシサーバ1(121)であり、ネット
ワーク1(101)と2(102)とを中継し、クライ
アント(111)から最初に認証要求のあるプロキシサ
ーバである。サーバ(112)に最も近いプロキシサー
バがプロキシサーバ3(123)であり、ネットワーク
3(103)と4(104)とを中継し、サーバ(11
2)と平文データの送受信を行う、中継の終端となるプ
ロキシサーバである。プロキシサーバ2(122)は、
ネットワーク2(102)と3(103)とを中継する
プロキシサーバである。図6に、これらのプロキシサー
バの動作を示す。図6の手順については後に詳述する。
【0019】次に、認証サーバ1〜4(131〜13
4)について説明する。プロキシサーバ1(121),
2(122),3(123)が属する認証サーバが、そ
れぞれ認証サーバ1(131),2(132),3(1
33)となる。ここでは1台のプロキシサーバが1台の
認証サーバに属する場合を例として説明するが、複数台
のプロキシサーバが1台の認証サーバに属することも可
能である。認証サーバ1(131)は独立した1台の認
証サーバであるが、認証サーバ2(132),3(13
3)は認証サーバ4(134)が統括する認証サーバグ
ループを形成している。認証サーバ4は、この認証サー
バグループ内の認証サーバ2(132),3(133)
を統括する。
【0020】各認証サーバには、クライアント(11
1)からサーバ(112)に接続するために次に中継す
べきプロキシサーバが属する認証サーバを定義した中継
経路定義情報が登録されている。図2に、その中継経路
定義情報を示す。図2に示すように、認証サーバ1(1
31)には、サーバ(112)への接続要求が来たと
き、次に中継すべきプロキシサーバの情報を持っている
のが認証サーバ2(132)であることを示す中継経路
定義情報が登録されている。認証サーバ2(132)に
は、中継経路定義情報は登録されていない。認証サーバ
3(133)には、サーバ(112)への接続要求が来
たとき、次にサーバ(112)と直接データの送受信が
可能であることを示すEndが登録されている。認証サ
ーバ4(134)には、サーバ(112)への接続要求
が来たとき、次に中継すべきプロキシサーバの情報を持
っているのが認証サーバ3(133)であることを示す
中継経路定義情報が登録されている。
【0021】各認証サーバには、クライアント(11
1)からサーバ(112)に接続するために接続を中継
するプロキシサーバ(各認証サーバが管理するプロキシ
サーバ)を示す定義情報が登録されている。図3に、そ
の定義情報を示す。図3に示すように、認証サーバ1
(131)には、サーバ(112)への接続要求が来た
とき、この認証サーバ1(131)で管理され、その接
続要求を中継するプロキシサーバが、プロキシサーバ1
(121)であることを示す定義情報が登録されてい
る。認証サーバ2(132)には、サーバ(112)へ
の接続要求が来たとき、この認証サーバ2(132)で
管理され、その接続要求を中継するプロキシサーバが、
プロキシサーバ2(122)であることを示す定義情報
が登録されている。認証サーバ3(133)には、サー
バ(112)への接続要求が来たとき、この認証サーバ
3(133)で管理され、その接続要求を中継するプロ
キシサーバが、プロキシサーバ3(123)であること
を示す定義情報が登録されている。認証サーバ4(13
4)には、そのような定義情報は登録されていない。
【0022】各認証サーバには、認証サーバのグループ
を構成する上位の認証サーバを定義する定義情報が登録
されている。図4に、その定義情報を示す。図4に示す
ように、認証サーバ2(132)には、自認証サーバの
上位の認証サーバとして認証サーバ4(134)が登録
されている。認証サーバ3(133)には、自認証サー
バの上位の認証サーバとして認証サーバ4(134)が
登録されている。認証サーバ1(131)および4(1
34)には、上位の認証サーバが登録されていない。
【0023】クライアント(111)からサーバ(11
2)への接続は、認証サーバ1(131)が持つ証明書
(認証サーバ1(131)がクライアント(111)に
発行した証明書1(141))を中継経路定義に従って
次の認証サーバへと順次送り、各認証サーバは一時的に
証明書を保管し、クライアント(111)との認証に用
いる。認証サーバ間の認証に使用する証明書は、事前に
認証を要求する相手から配布されている必要がある。こ
の例では、認証サーバ1(131)はあらかじめ認証サ
ーバ2(132)が発行した証明書2(142)の配布
を受けており、認証サーバ2(132)はあらかじめ認
証サーバ4(134)が発行した証明書4(144)の
配布を受けており、認証サーバ3(133)はあらかじ
め認証サーバ4(134)が発行した証明書3(14
3)の配布を受けているものとする。接続を中継する次
の認証サーバが、透過でない独立した別のネットワーク
に存在する場合、認証はプロキシサーバを中継して行わ
れる。図7、図8、および図9に、認証サーバの動作を
示す。図7、図8、および図9の手順については、後に
詳述する。
【0024】上記の環境で、クライアント(111)か
らサーバ(112)に対して接続要求があるときの処理
手順を、図5〜図9のフローチャートを参照して説明す
る。
【0025】クライアント(111)からサーバ(11
2)に対して接続要求があると、クライアント(11
1)では図5の処理を開始する。まず、サーバ(11
2)へ接続するのに中継するプロキシサーバを検索し
(ステップ501)、当該プロキシサーバへ接続する
(ステップ502)。クライアント(111)は、サー
バ(112)に接続するためには、プロキシサーバ1
(121)を中継すべきことを知っているので、VPN
はプロキシサーバ1(121)へ接続し、認証を開始す
る(ステップ503)。すなわち、ステップ503で、
プロキシサーバ1(121)へ、証明書1(141)を
付けてクライアント(111)の認証要求を送信する。
【0026】プロキシサーバ1(121)は、図6の処
理で接続待ち状態になっているので、クライアント(1
11)からの証明書1(141)付きの認証要求を受信
し(ステップ601)、プロキシサーバ1(121)が
属する認証サーバ1(131)へ接続し(ステップ60
2)、クライアント(111)の認証要求を証明書1
(141)を付けて送信する(ステップ603)。
【0027】認証サーバ1(131)は、図7の処理で
接続待ち状態になっているので、プロキシサーバ1(1
21)からのクライアント認証要求を受信し(ステップ
701)、証明書1(141)と認証サーバ1(13
1)が管理するユーザ情報と比較して認証を行う(ステ
ップ702)。認証に失敗したときは、コネクションを
切断して(ステップ704)、接続待ちに戻る。認証に
成功したときは、認証要求元を判定し(ステップ70
3)、認証要求元がクライアントからのときは、図8の
ステップ801に進み、認証要求元が認証サーバからの
ときは、図9のステップ901に進む。いまはクライア
ント(111)からの認証要求であるので、図8の処理
を実行する。
【0028】まず、証明書の種別を判別する(ステップ
801)。クライアント(111)から送られてきた証
明書1(141)は、いま処理を行なっている認証サー
バ自らが発行したものであるから、ステップ802に進
む。そして、次の認証サーバの情報を中継経路定義情報
(図2)から検索する(ステップ802)。図2から分
かるように、認証サーバ1(131)には、接続先がサ
ーバ(112)である接続要求が来たとき、次の認証サ
ーバは認証サーバ2(132)である旨が登録されてい
る。そこで、検索結果として認証サーバ2(132)を
得て、ステップ803からステップ805に進み、認証
サーバ1(131)から認証サーバ2(132)へ接続
し、証明書2を付けて認証サーバ2(132)に認証要
求を送信する(ステップ805)。
【0029】認証サーバ2(132)は、図7の処理で
接続待ち状態になっているので、認証サーバ1(13
1)からの認証要求を受信し(ステップ701)、認証
サーバ1(131)から送信された証明書2(142)
と認証サーバ2(132)が管理する認証サーバ情報と
を比較して認証を行う(ステップ702)。認証に失敗
したときは、コネクションを切断して(ステップ70
4)、接続待ちに戻る。認証に成功したときは、認証要
求元を判定する(ステップ703)。いまは認証要求元
が認証サーバ1(131)からであるので、認証は成功
し、図9の処理を実行することになる。
【0030】認証サーバ2(132)における認証に成
功したので、認証サーバ1(131)における処理は、
ステップ805からステップ806を経て、ステップ8
08に進む。ここでクライアント(111)の証明書1
(141)を、次の認証サーバである認証サーバ2(1
32)に送信し(ステップ808)、中継経路受信待ち
に入る(ステップ809)。
【0031】認証サーバ2(132)における図9の処
理では、まず、クライアントの証明書1(141)を認
証サーバ1(131)から受信して一時的に保存し(ス
テップ901)、次の認証サーバを中継経路定義情報
(図2)から検索する(ステップ902)。検索した結
果、認証サーバ2(132)には、サーバ(112)に
対する次の認証サーバは登録されていないが、上位の認
証サーバが定義(図4)されているため、ステップ90
3から904を経て、ステップ905に進み、認証サー
バ4(134)へ接続し、証明書4を付けて認証サーバ
4(134)に認証要求を送信する(ステップ90
5)。
【0032】認証サーバ4(134)は、図7の処理で
接続待ち状態になっているので、認証サーバ2(13
2)からの認証要求を受信し(ステップ701)、認証
サーバ2(132)から送信された証明書4(144)
と認証サーバ4(134)が管理する認証サーバ情報と
を比較して認証を行う(ステップ702)。認証に失敗
したときは、コネクションを切断して(ステップ70
4)、接続待ちに戻る。認証に成功したときは、認証要
求元を判定する(ステップ703)。いまは認証要求元
が認証サーバ2(132)からであるので、認証は成功
し、図9の処理を実行することになる。
【0033】認証サーバ4(134)における認証に成
功したので、認証サーバ2(132)における処理は、
ステップ905からステップ906を経て、ステップ9
08に進む。ここでクライアント(111)の証明書1
(141)を、次の認証サーバである上位の認証サーバ
4(134)に送信し(ステップ908)、中継経路受
信待ちに入る(ステップ909)。
【0034】認証サーバ4(134)における図9の処
理では、まず、クライアントの証明書1(141)を認
証サーバ2(132)から受信して一時的に保存し(ス
テップ901)、次の認証サーバを中継経路定義情報
(図2)から検索する(ステップ902)。検索した結
果、認証サーバ4(134)には、次の認証サーバは認
証サーバ3(133)である旨が登録されている。そこ
で、ステップ903から905に進み、次の認証サーバ
3(133)へ接続し、証明書3を付けて認証サーバ3
(133)に認証要求を送信する(ステップ905)。
【0035】認証サーバ3(133)は、図7の処理で
接続待ち状態になっているので、認証サーバ4(13
4)からの認証要求を受信し(ステップ701)、認証
サーバ4(134)から送信された証明書3(143)
と認証サーバ3(133)が管理する認証サーバ情報と
を比較して認証を行う(ステップ702)。認証に失敗
したときは、コネクションを切断して(ステップ70
4)、接続待ちに戻る。認証に成功したときは、認証要
求元を判定する(ステップ703)。いまは認証要求元
が認証サーバ4(134)からであるので、認証は成功
し、図9の処理を実行することになる。
【0036】認証サーバ3(133)における認証に成
功したので、認証サーバ4(134)における処理は、
ステップ905からステップ906を経て、ステップ9
08に進む。ここでクライアント(111)の証明書1
(141)を、次の認証サーバである認証サーバ3(1
33)に送信し(ステップ908)、中継経路受信待ち
に入る(ステップ909)。また、認証サーバ4(13
4)では、クライアント(111)の認証を行なわない
ため、証明書1(141)を一時保存しておく必要が無
いから、証明書1は破棄する。
【0037】認証サーバ3(133)における図9の処
理では、まず、クライアントの証明書1(141)を認
証サーバ4(134)から受信して一時的に保存し(ス
テップ901)、次の認証サーバを中継経路定義情報
(図2)から検索する(ステップ902)。検索した結
果、次の認証サーバは無く、Endが検出されるから、
中継するプロキシサーバ3(123)の情報(図3)を
認証サーバ4(134)へ中継経路情報として送信し
(ステップ910)、コネクションを切断する。
【0038】認証サーバ4(134)は、図9のステッ
プ909で中継経路受信待ち状態にあるが、認証サーバ
3(133)から送られてきた中継経路情報(サーバ
(112)に接続するために最後に中継するプロキシサ
ーバがプロキシサーバ3(123)であることを示す情
報)を受信して(ステップ909)、該受信した中継経
路情報を、認証要求元である認証サーバ2(132)へ
送信し(ステップ910)、コネクションを切断する。
なお、この認証サーバ4(134)におけるステップ9
10では、中継経路情報に何も付け加えない。図3から
分かるように、認証サーバ4(134)には、中継する
プロキシサーバの登録が無いからである。
【0039】認証サーバ2(132)は、図9のステッ
プ909で中継経路受信待ち状態にあるが、認証サーバ
4(134)から送られてきた中継経路情報を受信して
(ステップ909)、該受信した中継経路情報に、中継
するプロキシサーバ2(122)の情報(図3)を付加
して、認証要求元である認証サーバ1(131)へ送信
し(ステップ910)、コネクションを切断する。結果
として、認証サーバ1(131)に送られる中継経路情
報は、「サーバ(112)に接続するためには、プロキ
シサーバ2,3の順に中継する」という情報になる。
【0040】認証サーバ1(131)は、図8のステッ
プ809で中継経路受信待ち状態にあるが、認証サーバ
2(132)から送られてきた中継経路情報を受信して
(ステップ809)、該受信した中継経路情報をプロキ
シサーバ1(121)へ送信し(ステップ810)、さ
らに認証成功を示す情報をプロキシサーバ1(121)
へ送信する(ステップ811)。そして、ステップ70
4に進み、コネクションを切断する。
【0041】プロキシサーバ1(121)は、認証サー
バ1(131)から認証成功の通知を受信すると、ステ
ップ604から605に進み、クライアント(111)
に、認証の成功と共に、中継するプロキシサーバがプロ
キシサーバ2,3であることを通知する(ステップ60
5)。また、クライアント(111)から次の中継先で
あるプロキシサーバ2への接続要求を受信すると(ステ
ップ607)、プロキシサーバ2へ接続して、データの
中継を開始する(ステップ608)。
【0042】クライアント(111)は、プロキシサー
バ1(121)からの認証成功の通知を受信すると、ス
テップ504から505に進み、次に中継するプロキシ
サーバがプロキシサーバ2(122)であるから、プロ
キシサーバ1(121)を中継して、プロキシサーバ2
(122)へ接続要求を送信し(ステップ506)、証
明書1(141)を付けてプロキシサーバ2(122)
へクライアントの認証要求を送信する(ステップ50
3)。
【0043】プロキシサーバ1(121)は、ステップ
608でデータを中継する状態にあるから、クライアン
ト(111)からのプロキシサーバ2(122)への接
続要求、および認証要求は、プロキシサーバ1(12
1)を経て、プロキシサーバ2(122)へ送られる。
【0044】プロキシサーバ2(122)は、図6の処
理で接続待ち状態になっているので、クライアント(1
11)からの証明書1(141)付きの認証要求を受信
し(ステップ601)、プロキシサーバ2(122)が
属する認証サーバ2(132)へ接続し(ステップ60
2)、クライアント(111)の認証要求を証明書1
(141)を付けて送信する(ステップ603)。
【0045】認証サーバ2(132)は、図7の処理で
接続待ち状態になっているので、プロキシサーバ2(1
22)からのクライアント認証要求を受信し(ステップ
701)、受信した証明書1(141)を用いて認証を
行う(ステップ702)。認証サーバ2(132)では
上述した処理により証明書1(141)が一時保存され
ているので認証は成功し、ステップ702から703に
進む。また、認証要求元はクライアントであるので、図
8の処理に進む(ステップ703)。図8において、証
明書種別の判定(ステップ801)では、受け取った証
明書1(141)は認証サーバ2(132)が管理する
証明書ではないため、中継経路定義の検索は行わず、認
証が成功した時点でプロキシサーバ2(122)へ認証
の成功を送信する(ステップ811)。認証終了後は、
認証サーバ2(132)は証明書1(141)を破棄す
る。
【0046】プロキシサーバ2(122)は、認証サー
バ2(132)から認証成功の通知を受信すると、ステ
ップ604から605に進み、クライアント(111)
に、認証の成功を通知する(ステップ605)。また、
クライアント(111)から次の中継先であるプロキシ
サーバ3への接続要求を受信すると(ステップ60
7)、プロキシサーバ3へ接続して、データの中継を開
始する(ステップ608)。
【0047】クライアント(111)は、プロキシサー
バ2(122)からの認証成功の通知を受信すると、ス
テップ504から505に進み、次に中継するプロキシ
サーバがプロキシサーバ3(123)であるから、プロ
キシサーバ1(121),2(122)を中継して、プ
ロキシサーバ3(123)へ接続要求を送信し(ステッ
プ506)、証明書1(141)を付けてプロキシサー
バ3(123)へクライアントの認証要求を送信する
(ステップ503)。
【0048】プロキシサーバ1(121),2(12
2)は、それぞれステップ608でデータを中継する状
態にあるから、クライアント(111)からのプロキシ
サーバ3(123)への接続要求、および認証要求は、
プロキシサーバ1(121),2(122)を経て、プ
ロキシサーバ3(123)へ送られる。
【0049】プロキシサーバ3(123)は、図6の処
理で接続待ち状態になっているので、クライアント(1
11)からの証明書1(141)付きの認証要求を受信
し(ステップ601)、プロキシサーバ3(123)が
属する認証サーバ3(133)へ接続し(ステップ60
2)、クライアント(111)の認証要求を証明書1
(141)を付けて送信する(ステップ603)。
【0050】認証サーバ3(133)は、図7の処理で
接続待ち状態になっているので、プロキシサーバ3(1
23)からのクライアント認証要求を受信し(ステップ
701)、受信した証明書1(141)を用いて認証を
行う(ステップ702)。認証サーバ3(133)では
上述した処理により証明書1(141)が一時保存され
ているので認証は成功し、ステップ702から703に
進む。また、認証要求元はクライアントであるので、図
8の処理に進む(ステップ703)。図8において、証
明書種別の判定(ステップ801)では、受け取った証
明書1(141)は認証サーバ3(133)が管理する
証明書ではないため、中継経路定義の検索は行わず、認
証が成功した時点でプロキシサーバ3(123)へ認証
の成功を送信する(ステップ811)。認証終了後は、
認証サーバ3(133)は証明書1(141)を破棄す
る。
【0051】プロキシサーバ3(123)は、認証サー
バ3(133)から認証成功の通知を受信すると、ステ
ップ604から605に進み、クライアント(111)
に、認証の成功を通知する(ステップ605)。また、
クライアント(111)から次の接続先であるサーバ
(112)への接続要求を受信すると(ステップ60
7)、サーバ(112)へ接続して、データの中継を開
始する(ステップ608)。
【0052】クライアント(111)は、プロキシサー
バ3(123)からの認証成功の通知を受信すると、ス
テップ504から505に進み、次に中継するプロキシ
サーバは無いから、サーバへの接続要求を送信する(ス
テップ507)。このときプロキシサーバ1(12
1),2(122),3(123)は、何れもステップ
608でデータを中継する状態にある。クライアント
(111)は、サーバ(112)との通信を開始する
(ステップ508)。通信が終了したら(ステップ50
9)、コネクションを切断する(ステップ510)。こ
れにより、各プロキシサーバのコネクションも次々に切
断される(ステップ609)。
【0053】クライアントの認証や、認証サーバ間の認
証が失敗した場合は、失敗した時点で順次コネクション
を切断し、クライアントアプリケーションにサーバへの
接続失敗を通知する。
【0054】
【発明の効果】以上説明したように、本発明によれば、
全ての中継するプロキシサーバが属する認証サーバから
証明書を事前に配布しておく必要がなく、ユーザの管理
が容易にできる。また、認証サーバを階層化して認証サ
ーバグループを形成することにより、認証サーバグルー
プの中で最初に認証要求を受信する下位の認証サーバ全
てに設定しなければいけない中継経路を、上位の1台の
認証サーバで管理することができる。
【図面の簡単な説明】
【図1】本発明の実施の形態を示すシステム構成図。
【図2】各認証サーバに定義する、接続先サーバに対し
て次に中継するプロキシサーバの情報を持っている認証
サーバを定義する説明図。
【図3】各認証サーバに定義する、接続先サーバへの接
続を中継するプロキシサーバを定義する説明図。
【図4】各認証サーバに定義する、認証サーバのグルー
プを構成するために上位の認証サーバを定義する説明
図。
【図5】クライアントのVPNとしての動作を示すフロ
ーチャート図。
【図6】プロキシサーバの動作を示すフローチャート
図。
【図7】認証サーバの動作を示すメインフローチャート
図。
【図8】認証サーバがクライアントとの認証処理を示す
サブフローチャート図。
【図9】認証サーバが認証サーバ間の認証処理を示すサ
ブフローチャート図。
【符号の説明】
101,102,103,104…それぞれ独立した
(透過でない)ネットワーク1,2,3,4。 111…クライアントアプリケーションが動作する計算
機。 112…サーバアプリケーションが動作してクライアン
トからの接続を待機する計算機。 121,122,123…ネットワーク間を中継する計
算機。 131,132,133,134…クライアントのユー
ザ認証と認証サーバ間の認証を行う計算機。 141…認証サーバ1からクライアントへ配布した証明
書。 142…認証サーバ2から認証サーバ1へ配布した証明
書。 143…認証サーバ3から認証サーバ4へ配布した証明
書。 144…認証サーバ4から認証サーバ2へ配布した証明
書。

Claims (3)

    【特許請求の範囲】
  1. 【請求項1】ネットワーク接続されたクライアントとサ
    ーバとの間に置かれた複数のプロキシサーバと、クライ
    アントとプロキシサーバとの間の認証を管理する認証サ
    ーバとを備えた認証システムにおけるユーザ管理方法で
    あって、 あらかじめ、前記クライアントから前記プロキシサーバ
    を介して前記サーバにアクセスするユーザについて、前
    記クライアントに最も近い認証サーバに登録し、該認証
    サーバから証明書の配布を受けておくとともに、 あらかじめ、認証サーバ同士で認証を行なうための証明
    書を、所定の認証サーバ間で受け渡しておくことを特徴
    とする認証システムにおけるユーザ管理方法。
  2. 【請求項2】ネットワーク接続されたクライアントとサ
    ーバとの間に置かれた複数のプロキシサーバと、クライ
    アントとプロキシサーバとの間の認証を管理する認証サ
    ーバとを備えた認証システムにおけるユーザ管理方法で
    あって、 あらかじめ、前記クライアントから前記プロキシサーバ
    を介して前記サーバにアクセスするユーザについて、前
    記クライアントに最も近い認証サーバに登録し、該認証
    サーバから証明書の配布を受けておくステップと、 あらかじめ、認証サーバ同士で認証を行なうための証明
    書を、所定の認証サーバ間で受け渡しておくステップ
    と、 前記クライアントから前記サーバに接続するとき、前記
    クライアントから該クライアントに最も近い認証サーバ
    に接続して認証を行なうステップと、 前記クライアントに最も近い認証サーバから、次に中継
    するプロキシサーバの属する認証サーバへ、接続し、認
    証サーバ間で受け渡した証明書を用いて認証サーバ間の
    認証を行なうとともに、前記クライアントの証明書を受
    け渡し、これを要求受付先のサーバに最も近いプロキシ
    サーバの属する認証サーバに辿り着くまで繰り返すこと
    により、前記クライアントからサーバへ接続する際に中
    継するプロキシサーバの経路情報を取得するステップ
    と、 中継するプロキシサーバの経路情報を前記クライアント
    に送るステップと、 前記経路情報に基づいて、前記クライアントと前記プロ
    キシサーバとの間の認証を行なっていくことにより、前
    記クライアントと前記サーバ間の接続を確立するステッ
    プとを備えたことを特徴とする認証システムにおけるユ
    ーザ管理方法。
  3. 【請求項3】前記中継するプロキシサーバを、階層化し
    た認証サーバで管理することを特徴とする請求項1また
    は2の何れか1つに記載の認証システムにおけるユーザ
    管理方法。
JP10131491A 1998-05-14 1998-05-14 認証システムにおけるユーザ管理方法 Pending JPH11328117A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP10131491A JPH11328117A (ja) 1998-05-14 1998-05-14 認証システムにおけるユーザ管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10131491A JPH11328117A (ja) 1998-05-14 1998-05-14 認証システムにおけるユーザ管理方法

Publications (1)

Publication Number Publication Date
JPH11328117A true JPH11328117A (ja) 1999-11-30

Family

ID=15059247

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10131491A Pending JPH11328117A (ja) 1998-05-14 1998-05-14 認証システムにおけるユーザ管理方法

Country Status (1)

Country Link
JP (1) JPH11328117A (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001057750A1 (fr) * 2000-02-02 2001-08-09 Sony Corporation Systeme d'authentification
JP2001265736A (ja) * 2000-03-23 2001-09-28 Canon Inc ユーザ認証方法
JP2001331449A (ja) * 2000-03-13 2001-11-30 Yafoo Japan Corp アクセス認証システム、記憶媒体、プログラム及びアクセス認証方法
SG100752A1 (en) * 2000-08-30 2003-12-26 Hitachi Ltd Certificate validity authentication method and apparatus
US7103768B2 (en) 2001-06-20 2006-09-05 International Business Machines Corporation Information providing method, information providing system and program
WO2007056925A1 (fr) * 2005-11-15 2007-05-24 Huawei Technologies Co., Ltd. Procede et materiel de controle de session dans un reseau ims
JP2008152596A (ja) * 2006-12-19 2008-07-03 Fuji Xerox Co Ltd 認証プログラム、認証サーバおよびシングルサインオン認証システム
JP2012048284A (ja) * 2010-08-24 2012-03-08 Nec Corp メッセージ交換システム、メッセージ交換方法およびメッセージ交換プログラム

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001057750A1 (fr) * 2000-02-02 2001-08-09 Sony Corporation Systeme d'authentification
JP2001331449A (ja) * 2000-03-13 2001-11-30 Yafoo Japan Corp アクセス認証システム、記憶媒体、プログラム及びアクセス認証方法
JP2001265736A (ja) * 2000-03-23 2001-09-28 Canon Inc ユーザ認証方法
SG100752A1 (en) * 2000-08-30 2003-12-26 Hitachi Ltd Certificate validity authentication method and apparatus
US7080251B2 (en) 2000-08-30 2006-07-18 Hitachi, Ltd. Certificate validity authentication method and apparatus
US7409551B2 (en) 2000-08-30 2008-08-05 Hitachi, Ltd. Certificate validity authentication method and apparatus
US7103768B2 (en) 2001-06-20 2006-09-05 International Business Machines Corporation Information providing method, information providing system and program
WO2007056925A1 (fr) * 2005-11-15 2007-05-24 Huawei Technologies Co., Ltd. Procede et materiel de controle de session dans un reseau ims
JP2008152596A (ja) * 2006-12-19 2008-07-03 Fuji Xerox Co Ltd 認証プログラム、認証サーバおよびシングルサインオン認証システム
JP2012048284A (ja) * 2010-08-24 2012-03-08 Nec Corp メッセージ交換システム、メッセージ交換方法およびメッセージ交換プログラム

Similar Documents

Publication Publication Date Title
JP5143125B2 (ja) ドメイン間情報通信のための認証方法、システム、およびその装置
JP3263878B2 (ja) 暗号通信システム
JP4823717B2 (ja) 暗号通信システム、端末状態管理サーバ、暗号通信方法、および端末状態管理方法
US6859527B1 (en) Communications arrangement and method using service system to facilitate the establishment of end-to-end communication over a network
JP4023240B2 (ja) ユーザ認証システム
US6931016B1 (en) Virtual private network management system
JP3354433B2 (ja) ネットワーク通信システム
US20020041605A1 (en) Communication initiation method employing an authorisation server
US20040161110A1 (en) Server apparatus, key management apparatus, and encrypted communication method
US20010044898A1 (en) Configurable connectivity unit and method and system for configuring such a unit
JP5239341B2 (ja) ゲートウェイ、中継方法及びプログラム
US7496949B2 (en) Network system, proxy server, session management method, and program
US7260841B2 (en) System and method for maintaining access to content in an encrypted network environment
AU7951598A (en) Method and arrangement relating to communications systems
JP2000349747A (ja) 公開鍵管理方法
US8055780B2 (en) Method of managing information and information processing apparatus
US8903890B2 (en) System, apparatus and method for realizing web service
US20040010713A1 (en) EAP telecommunication protocol extension
CN101815294A (zh) P2p网络的接入认证方法、设备和系统
US7694015B2 (en) Connection control system, connection control equipment and connection management equipment
JP3296514B2 (ja) 暗号通信端末
US20040172475A1 (en) System and method for multi-site load-balancing of encrypted traffic
JP2009118267A (ja) 通信ネットワークシステム、通信ネットワーク制御方法、通信制御装置、通信制御プログラム、サービス制御装置およびサービス制御プログラム
JPH11328117A (ja) 認証システムにおけるユーザ管理方法
US7526560B1 (en) Method and apparatus for sharing a secure connection between a client and multiple server nodes