JPH11355266A - Device and method for user authentication - Google Patents
Device and method for user authenticationInfo
- Publication number
- JPH11355266A JPH11355266A JP10157079A JP15707998A JPH11355266A JP H11355266 A JPH11355266 A JP H11355266A JP 10157079 A JP10157079 A JP 10157079A JP 15707998 A JP15707998 A JP 15707998A JP H11355266 A JPH11355266 A JP H11355266A
- Authority
- JP
- Japan
- Prior art keywords
- user
- authentication
- authentication information
- user authentication
- authenticated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、ユーザ認証装置お
よびユーザ認証方法、特に公衆回線網に接続された端末
から、ルーターを介して接続されたザ インターネット
等他のネットワークにアクセスするときに、ユーザの認
証を行うユーザ認証装置およびユーザ認証方法に関す
る。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a user authentication apparatus and a user authentication method, and more particularly to a user authentication method for accessing a network such as the Internet connected via a router from a terminal connected to a public network. The present invention relates to a user authentication device and a user authentication method for performing authentication of a user.
【0002】[0002]
【従来の技術】近年、ネットワーク技術やLSIテクノ
ロジーの革新を背景に、ネットワーク相互間を接続した
広汎なネットワークシステムが構築できるようになり、
ユーザはより広域の通信が行えるようになった。しか
し、その一方でネットワーク経由でコンピュータに無制
限にアクセスしてくるユーザは阻止する必要がある。そ
のため、特にオープン・ネットワークでは、ユーザがマ
シンやサービスに対して利用を許可された当人であるこ
とを認証する認証システムが重要視される。2. Description of the Related Art In recent years, on the background of innovations in network technology and LSI technology, it has become possible to construct an extensive network system connecting networks.
Users can now communicate over a wider area. However, on the other hand, users who have unlimited access to the computer via the network need to be blocked. For this reason, especially in an open network, an authentication system that authenticates a user as a person who is permitted to use a machine or a service is regarded as important.
【0003】従来のこの種のユーザ認証システムの典型
的な一例を図9に示す。図9において、公衆網NETに
複数の端末TEが接続されたネットワークが、ネットワ
ークアクセスサーバNAS1を介して接続された他のネ
ットワーク(図示省略)に結合される。データベースD
Bは、端末TEを利用するユーザのユーザ名とパスワー
ドから成る認証情報を格納しており、認証サーバATS
1は、ネットワークアクセスサーバNAS1からの認証
要求によりデータベースDBを参照してユーザの認証を
行う。ネットワークアクセスサーバNAS1はルーター
の一種であり、モデムを内蔵する。FIG. 9 shows a typical example of this type of conventional user authentication system. In FIG. 9, a network in which a plurality of terminals TE are connected to a public network NET is coupled to another network (not shown) connected via a network access server NAS1. Database D
B stores authentication information including a user name and a password of a user who uses the terminal TE.
1 authenticates a user by referring to the database DB in response to an authentication request from the network access server NAS1. The network access server NAS1 is a type of a router and has a built-in modem.
【0004】ユーザが端末TEからユーザ名とパスワー
ドを入力して他のネットワークにアクセスしようとする
と、ネットワークアクセスサーバNAS1は認証サーバ
ATS1に認証要求を行い、認証サーバATS1は、入
力されたユーザ名とパスワードがデータベースDBに格
納されているか否かを調べることによりユーザの認証を
行う。この結果、許されたユーザのみが所望のネットワ
ークにアクセスできる。When a user attempts to access another network by inputting a user name and a password from the terminal TE, the network access server NAS1 makes an authentication request to the authentication server ATS1, and the authentication server ATS1 sends the input user name and The user is authenticated by checking whether the password is stored in the database DB. As a result, only authorized users can access the desired network.
【0005】このシステムにおいては、ユーザ数および
ネットワークアクセスサーバNAS1が増加した場合、
ネットワークアクセスサーバNAS1−認証サーバAT
S1間の認証要求/応答が増加し、認証サーバATS1
自身の負荷も増加する。そのため、ユーザ数が増加した
場合にユーザ認証のレスポンスの低下等の問題が発生す
る。この問題は図10に示すように認証サーバATS1
を複数台設置するシステム構成をとることにより、各認
証サーバATS1に認証要求の負荷を分散するようにし
て解決を図っている。In this system, when the number of users and the network access server NAS1 increase,
Network access server NAS1-authentication server AT
The authentication request / response between S1 increases, and the authentication server ATS1
Its own load also increases. Therefore, when the number of users increases, a problem such as a decrease in response to user authentication occurs. This problem is caused by the authentication server ATS1 as shown in FIG.
By adopting a system configuration in which a plurality of authentication servers are installed, the load of the authentication request is distributed to each authentication server ATS1 to solve the problem.
【0006】また、移動体無線通信の分野ではあるが、
認証結果を利用する技術として、ユーザの認証結果をユ
ーザの識別子とともに代理認証装置に記憶し、認証要求
がある場合に代理認証装置に記憶された認証結果を用い
てユーザの認証を行うユーザ認証方式が特開平10−1
3956号公報に記載されている。In the field of mobile radio communication,
As a technology that uses the authentication result, a user authentication method that stores the user authentication result together with the user identifier in a proxy authentication device, and when there is an authentication request, authenticates the user using the authentication result stored in the proxy authentication device. Is disclosed in JP-A-10-1
No. 3956.
【0007】この方式は、図11に示すように、無線端
末40が移動して、基地局例えば30−11から基地局
30−12への切り替えを行う際のユーザ認証について
のものであり、基地局30−11等を管理する基地局管
サーバ20に代理認証装置50を設けたものである。一
度認証を受けた無線端末4が他の基地局30−12に接
続して、再認証を受けようとするときは、無線端末40
は前回受け取った認証パスを基地局30−12に送信
し、認証済みであることを通知する。基地局30−12
は、この認証パスを基地局管理サーバ20に転送し、代
理認証装置50に認証結果があれば「認証OK」を基地局
30−12に送信し、認証結果がなければ認証サーバ1
0に認証要求を転送する。As shown in FIG. 11, this system is for user authentication when the radio terminal 40 moves and switches from a base station, for example, 30-11 to a base station 30-12. The proxy authentication device 50 is provided in the base station management server 20 that manages the stations 30-11 and the like. When the wireless terminal 4 that has been once authenticated connects to another base station 30-12 and intends to receive re-authentication, the wireless terminal 40
Transmits the previously received certification path to the base station 30-12, and notifies that it has been certified. Base station 30-12
Transfers the authentication path to the base station management server 20, and sends "authentication OK" to the base station 30-12 if the proxy authentication device 50 has the authentication result.
Transfer the authentication request to 0.
【0008】[0008]
【発明が解決しようとする課題】しかしながら、上述し
た従来技術(図10)では、システム構成が複雑にな
り、またユーザ認証情報のデータベース管理も煩雑にな
るという問題点がある。However, the above-mentioned prior art (FIG. 10) has a problem that the system configuration becomes complicated and the database management of the user authentication information becomes complicated.
【0009】また、図11に示した従来技術では、無線
端末4の側で、前回受け取った認証パスを保持する必要
があり、無線端末4は一度認証されたか否かを意識しな
ければならず煩雑であるという問題点がある。In the prior art shown in FIG. 11, it is necessary for the wireless terminal 4 to hold the previously received certification path, and the wireless terminal 4 must be conscious of whether or not it has been authenticated once. There is a problem that it is complicated.
【0010】本発明の目的は、認証サーバの負荷を低減
するユーザ認証装置およびユーザ認証方法を提供するこ
とにある。An object of the present invention is to provide a user authentication device and a user authentication method that reduce the load on an authentication server.
【0011】本発明の他の目的は、ネットワークアクセ
スサーバと認証サーバ間のトラヒックを低減するユーザ
認証装置およびユーザ認証方法を提供することにある。It is another object of the present invention to provide a user authentication device and a user authentication method for reducing traffic between a network access server and an authentication server.
【0012】さらに、本発明の他の目的は、システム構
成とデータベース管理を簡略化するとともに、端末側の
負担を軽減し、運用コストを削減したユーザ認証装置お
よびユーザ認証方法を提供することにある。Still another object of the present invention is to provide a user authentication apparatus and a user authentication method which simplify the system configuration and database management, reduce the load on the terminal side, and reduce the operation cost. .
【0013】[0013]
【課題を解決するための手段】本発明のユーザ認証装置
は、公衆回線網に接続された端末からルーターを介して
接続された他のネットワークにアクセスするときにユー
ザの認証を行うユーザ認証装置において、認証済みユー
ザ認証情報を前記ルーターに記憶しておき、該認証済み
ユーザ認証情報を用いて前記ユーザの認証を行うことを
特徴とする。A user authentication apparatus according to the present invention is a user authentication apparatus for authenticating a user when a terminal connected to a public line network accesses another network connected via a router. Authenticated user authentication information is stored in the router, and the user is authenticated using the authenticated user authentication information.
【0014】本発明の好ましい実施の形態としてのユー
ザ認証装置は、前記ルーター配下の端末を使用するユー
ザの認証情報を格納するデータベースと、該データベー
スをアクセスして前記ユーザの認証を行う認証サーバ
と、前記認証済みユーザ認証情報を保持する認証情報保
持手段および前記ユーザの認証は先ず前記保持するユー
ザ認証情報を用いて行うNAS内認証手段を含み前記ル
ーターとして機能するネットワークアクセスサーバとを
有し、前記認証サーバによるユーザの認証は、前記認証
情報保持手段に該当する認証済みユーザ認証情報が保持
されていないときにのみ行うことを特徴とする。A user authentication device according to a preferred embodiment of the present invention includes a database storing authentication information of a user who uses a terminal under the router, an authentication server accessing the database and authenticating the user. An authentication information holding unit that holds the authenticated user authentication information, and a network access server that functions as the router including an authentication unit in a NAS that performs authentication of the user by using the held user authentication information. The authentication of the user by the authentication server is performed only when the authenticated user authentication information corresponding to the authentication information holding unit is not held.
【0015】本発明の好ましい実施の形態としてのユー
ザ認証装置は、前記認証サーバは、データベースに格納
するユーザ認証情報が変更されるとその通知を行う認証
情報変更通知手段を有し、また、前記ネットワークアク
セスサーバは、前記通知を受けると前記保持する認証済
みユーザ認証情報のうちから該当するものを削除するユ
ーザ情報削除手段を有することを特徴とする。[0015] In a user authentication apparatus according to a preferred embodiment of the present invention, the authentication server has authentication information change notifying means for notifying that user authentication information stored in a database has been changed, The network access server includes a user information deleting unit that deletes a corresponding one of the held authenticated user authentication information upon receiving the notification.
【0016】本発明の好ましい実施の形態としてのユー
ザ認証装置は、前記認証情報保持手段は、所定期間内に
認証要求を受けなかった認証済みユーザ認証情報を破棄
することを特徴とする。In a user authentication apparatus according to a preferred embodiment of the present invention, the authentication information holding means discards authenticated user authentication information for which no authentication request has been received within a predetermined period.
【0017】本発明の好ましい実施の形態としてのユー
ザ認証装置は、前記認証情報保持手段は、保持する認証
済みユーザ認証情報が所定件数に達するとそれ以上の認
証済みユーザ認証情報は破棄することを特徴とする。In a user authentication apparatus according to a preferred embodiment of the present invention, the authentication information holding means is configured to discard any further authenticated user authentication information when the number of authenticated user authentication information held reaches a predetermined number. Features.
【0018】また、本発明のユーザ認証方法は、公衆回
線網に接続された端末から、ルーターを介して接続され
た他のネットワークにアクセスするときにユーザの認証
を行うユーザ認証方法において、前記ルーター配下の端
末を使用するユーザの認証情報をデータベースに格納す
る手順と、該データベースをアクセスしてユーザの認証
を行う手順と、認証済みユーザ認証情報を前記ルーター
に保持する手順と、前記ユーザの認証は先ず前記ルータ
ーに保持する認証済みユーザ認証情報を用いて行う手順
と、該保持する認証済みユーザ認証情報に該当するもの
が無いときにのみ前記データベースアクセスによるユー
ザの認証を行う手順とを含むことを特徴とする。Further, the user authentication method according to the present invention is a user authentication method for performing user authentication when a terminal connected to a public line network accesses another network connected via a router. Storing the authentication information of the user using the terminal under his / her control in a database, accessing the database and authenticating the user, storing authenticated user authentication information in the router, and authenticating the user. First includes a step of using the authenticated user authentication information held in the router, and a step of authenticating the user by the database access only when there is no corresponding authenticated user authentication information to be held. It is characterized by.
【0019】[0019]
【発明の実施の形態】次に、本発明の実施の形態につい
て説明する。Next, an embodiment of the present invention will be described.
【0020】本発明のユーザ認証装置は、公衆回線網に
接続された端末からルーターを介して接続された他のネ
ットワークにアクセスするときにユーザの認証を行うユ
ーザ認証装置において、認証済みユーザ認証情報を前記
ルーターに記憶しておき、該認証済みユーザ認証情報を
用いて前記ユーザの認証を行うことを特徴とする。A user authentication apparatus according to the present invention is a user authentication apparatus for authenticating a user when a terminal connected to a public line network accesses another network connected via a router. Is stored in the router, and the user is authenticated using the authenticated user authentication information.
【0021】また、本発明のユーザ認証方法は、公衆回
線網に接続された端末から、ルーターを介して接続され
た他のネットワークにアクセスするときにユーザの認証
を行うユーザ認証方法において、前記ルーター配下の端
末を使用するユーザの認証情報をデータベースに格納す
る手順と、該データベースをアクセスしてユーザの認証
を行う手順と、認証済みユーザ認証情報を前記ルーター
に保持する手順と、前記ユーザの認証は先ず前記ルータ
ーに保持する認証済みユーザ認証情報を用いて行う手順
と、該保持する認証済みユーザ認証情報に該当するもの
が無いときにのみ前記データベースアクセスによるユー
ザの認証を行う手順とを含むことを特徴とする。The user authentication method according to the present invention is a user authentication method for performing user authentication when a terminal connected to a public network accesses another network connected via a router. Storing the authentication information of the user using the terminal under his / her control in a database, accessing the database and authenticating the user, storing authenticated user authentication information in the router, and authenticating the user. First includes a step of using the authenticated user authentication information held in the router, and a step of authenticating the user by the database access only when there is no corresponding authenticated user authentication information to be held. It is characterized by.
【0022】以下、本発明の実施例について図面を参照
して説明する。Hereinafter, embodiments of the present invention will be described with reference to the drawings.
【0023】図1は、本発明の一実施例を示す。図1に
おいて、公衆網NETに複数の端末TEが接続されたネ
ットワークが、ネットワークアクセスサーバNASを介
して、ザ インターネット等他のネットワーク(図示省
略)に接続される。ネットワークサーバNASには認証
サーバATSが接続され、認証サーバATSはデータベ
ースDBをアクセスできる。データベースDBは、端末
TEを利用するユーザのユーザ名とパスワードから成る
認証情報を格納しており、認証サーバATSは、ネット
ワークアクセスサーバNASからの認証要求によりデー
タベースDBを参照してユーザの認証を行う。FIG. 1 shows an embodiment of the present invention. In FIG. 1, a network in which a plurality of terminals TE are connected to a public network NET is connected to another network (not shown) such as the Internet via a network access server NAS. An authentication server ATS is connected to the network server NAS, and the authentication server ATS can access a database DB. The database DB stores authentication information including a user name and a password of a user using the terminal TE, and the authentication server ATS performs user authentication by referring to the database DB in response to an authentication request from the network access server NAS. .
【0024】認証サーバATSには、データベースDB
が格納するユーザの認証情報が変更されると、ネットワ
ークアクセスサーバNASに対して認証情報変更通知を
行う認証情報変更通知手段1を設けている。The authentication server ATS has a database DB
Is provided with an authentication information change notifying means 1 for notifying the network access server NAS of an authentication information change when the authentication information of the user stored by the user is changed.
【0025】また、ネットワークアクセスサーバNAS
には、認証情報保持手段2,NAS内認証手段3および
ユーザ情報削除手段4を設けている。認証情報保持手段
2は、ネットワークアクセスサーバNASが、認証サー
バATSからユーザを認証した旨の認証応答を受信した
場合に、このユーザ名とパスワードをネットワークアク
セスサーバNAS内に認証済みユーザ認証情報として保
持する。また、NAS内認証手段3は、接続した端末T
Eから送られてくるユーザ名とパスワードにより、ネッ
トワークアクセスサーバNAS内の認証済ユーザ情報を
検索する。ユーザ名が認証済ユーザ情報内に存在した場
合、端末TEから送られてきたパスワードと認証済ユー
ザ情報内のパスワードを比較し、一致した場合、ユーザ
を認証した意味の結果である「認証」の結果を得、端末
に対して認証応答を送信する。一致していなかった場
合、ユーザの認証を拒否した意味の結果である「認証拒
否」の結果を得、端末に対して認証拒否応答を送信す
る。ユーザ名とパスワードが認証済ユーザ情報内に存在
しなかった場合には、NASはユーザ情報が存在しない
意味の結果である「ユーザ名無し」の結果を得、認証サ
ーバATSに対して認証要求を送信する。さらに、ユー
ザ情報削除手段4は、認証サーバATSから認証情報変
更通知で通知されたユーザ名に対応した情報を、認証情
報保持手段2に保持している認証済ユーザ情報から削除
する。Also, the network access server NAS
Is provided with an authentication information holding means 2, an intra-NAS authentication means 3, and a user information deletion means 4. When the network access server NAS receives an authentication response indicating that the user has been authenticated from the authentication server ATS, the authentication information holding unit 2 holds the user name and password as authenticated user authentication information in the network access server NAS. I do. The authentication means 3 in the NAS is connected to the connected terminal T.
Based on the user name and the password sent from E, authenticated user information in the network access server NAS is searched. If the user name exists in the authenticated user information, the password sent from the terminal TE is compared with the password in the authenticated user information, and if they match, the result of "authentication" is the result of authenticating the user. Obtain the result and send an authentication response to the terminal. If they do not match, a result of “authentication rejection”, which is a result of rejecting user authentication, is obtained, and an authentication rejection response is transmitted to the terminal. If the user name and the password do not exist in the authenticated user information, the NAS obtains the result of "no user name", which means that the user information does not exist, and sends an authentication request to the authentication server ATS. I do. Further, the user information deletion unit 4 deletes information corresponding to the user name notified from the authentication server ATS in the authentication information change notification from the authenticated user information stored in the authentication information storage unit 2.
【0026】次に、本実施例の動作について図2〜図8
を参照して説明する。図2は、本実施例のフローチャー
トである。先ず、ユーザが他のネットワークにアクセス
するときは、端末TEがネットワークアクセスサーバN
ASにダイヤルアップ接続をすると、端末TEとネット
ワークアクセスサーバNAS間の認証プロトコルによ
り、端末TEからネットワークアクセスサーバNASへ
ユーザ名およびパスワードを含む認証要求を送出する。
ネットワークアクセスサーバNASがこれを受信すると
(S1)、NAS内認証手段3により、認証情報保持手
段2が保持する認証済ユーザ情報の検索を行う(S
2)。その結果、「認証」の場合は端末TEに認証応答
を通知し(S3)、「認証拒否」の場合は端末TEに認
証拒否応答を通知し(S4)、「ユーザ名無し」の場合
は認証サーバATSに認証要求を送出する(S5)。Next, the operation of this embodiment will be described with reference to FIGS.
This will be described with reference to FIG. FIG. 2 is a flowchart of the present embodiment. First, when the user accesses another network, the terminal TE connects to the network access server N.
When a dial-up connection is made to the AS, an authentication request including a user name and a password is sent from the terminal TE to the network access server NAS by an authentication protocol between the terminal TE and the network access server NAS.
When the network access server NAS receives this (S1), the in-NAS authentication means 3 searches for the authenticated user information held by the authentication information holding means 2 (S1).
2). As a result, in the case of “authentication”, an authentication response is notified to the terminal TE (S3), in the case of “authentication rejected”, an authentication rejection response is notified to the terminal TE (S4), and in the case of “no user name”, the authentication server is An authentication request is sent to the ATS (S5).
【0027】図3は、図2のS2におけるNAS内認証
の詳細を示すフローチャートである。先ず、認証情報保
持手段2が保持する認証済みユーザ情報から、受信して
いる(S2)ユーザ名を検索し(S9)、存在すれば
(S10)、次に上記認証済みユーザ情報から、受信し
ている(S2)パスワードを検索する(S11)。そし
て、パスワードも一致すれば(S12)「認証」とし
(S13,図2のS2)、パスワードが不一致なら(S
12)「認証拒否」(S14,図2のS2)とする。ま
た、S10においてユーザ名が存在しなければ「ユーザ
名無し」(S15,図2のS2)とする。FIG. 3 is a flowchart showing the details of the intra-NAS authentication in S2 of FIG. First, the received user name is searched from the authenticated user information held by the authentication information holding means 2 (S2) (S9). If the user name exists (S10), the received user name is searched from the authenticated user information. (S2), and retrieves the password (S11). If the passwords also match (S12), the authentication is made (S13, S2 in FIG. 2), and if the passwords do not match (S12).
12) Assume “authentication rejected” (S14, S2 in FIG. 2). If there is no user name in S10, it is determined that there is no user name (S15, S2 in FIG. 2).
【0028】図4,図5,図6は、それぞれ「認証」、
「認証拒否」、「ユーザ名無し」の場合の具体例を示
す。図4においては、端末TEからのユーザ名「us0
002」、「パスワードps0002」と認証済みユー
ザ情報のユーザ名「us0002」、「パスワードps
0002」が一致し、図5においては、ユーザ名「us
0002」は一致するが、パスワード「ps0002」
と「xyzabc」は不一致、図6においては、ユーザ
名「us0002」に該当するユーザ名が認証済みユー
ザ情報に存在しないことがわかる。FIGS. 4, 5, and 6 show “authentication”,
A specific example in the case of “authentication denied” and “no user name” is shown. In FIG. 4, the user name “us0” from the terminal TE
002 "," password ps0002 "and the user name" us0002 "of the authenticated user information," password ps0002 "
0002 ", and in FIG. 5, the user name" us
0002 "matches, but the password" ps0002 "
And "xyzabc" do not match. In FIG. 6, it can be seen that the user name corresponding to the user name "us0002" does not exist in the authenticated user information.
【0029】再び図2において、認証要求送出(S5)
に対する認証サーバATSからの応答を受信すると(S
6)、その応答が認証応答なら(S7)、認証サーバA
TSからの認証情報を認証情報保持手段2に認証済みユ
ーザ情報として保持して(S8)、端末TEへ認証応答
を通知し(S3)、応答が認証拒否応答なら(S7)、
端末TEへ認証応答拒否を通知する(S4)。Referring again to FIG. 2, an authentication request is sent (S5).
Receives a response from the authentication server ATS to (S
6) If the response is an authentication response (S7), the authentication server A
The authentication information from the TS is held in the authentication information holding means 2 as authenticated user information (S8), and an authentication response is notified to the terminal TE (S3). If the response is an authentication rejection response (S7),
It notifies the terminal TE of the rejection of the authentication response (S4).
【0030】図7は、認証要求(図2のS5および図
6)を受けた認証サーバATSが、データベースDBを
アクセスして、端末TEから受信していた(図2のS
1)ユーザ名「us0002」およびパスワード「ps
0002」を見つけて、ネットワークアクセスサーバN
AS、そして端末TEへ認証応答を送信するとともに、
ユーザ名「us0002」およびパスワード「ps00
02」を認証情報保持手段2に認証済みユーザ情報とし
て保持する様子を示す。FIG. 7 shows that the authentication server ATS that has received the authentication request (S5 and FIG. 6 in FIG. 2) accesses the database DB and receives it from the terminal TE (S5 in FIG. 2).
1) User name "us0002" and password "ps"
0002 "and find the network access server N
AS, and sends an authentication response to the terminal TE,
User name "us0002" and password "ps00"
02 is stored in the authentication information holding unit 2 as authenticated user information.
【0031】次に、データベースDB内の認証情報が変
更された場合には、図8に示すように、認証サーバAT
Sは、認証情報変更通知手段1により、ネットワークア
クセスサーバNASに認証情報変更通知を送出する。認
証情報変更通知を受信したネットワークアクセスサーバ
NASは、ユーザ情報削除手段4により、通知されたユ
ーザ名に対応する認証済みユーザ情報を認証情報保持手
段2から削除する。図8では、データベースDB内の認
証情報中、ユーザ名「us0007」のパスワードが
「ps0007」から「777777」に変更されたた
め、認証情報保持手段2中の対応する認証済みユーザ情
報であるユーザ名「us0002」および変更前のパス
ワード「ps0007」を削除した様子が示されてい
る。Next, when the authentication information in the database DB is changed, as shown in FIG.
In S, the authentication information change notification unit 1 sends an authentication information change notification to the network access server NAS. The network access server NAS that has received the authentication information change notification deletes the authenticated user information corresponding to the notified user name from the authentication information holding unit 2 by the user information deletion unit 4. In FIG. 8, since the password of the user name “us0007” has been changed from “ps0007” to “777777” in the authentication information in the database DB, the user name “user name” that is the corresponding authenticated user information in the authentication information holding unit 2 "us0002" and the password "ps0007" before the change are deleted.
【0032】なお、以上に説明した実施例では、データ
ベースDB内の認証情報が変更になった場合、認証サー
バATSは認証情報変更通知手段により、変更になった
ユーザ名をネットワークアクセスサーバNASに通知
し、これを受信したネットワークアクセスサーバNAS
はユーザ情報削除手段4により、保持している認証済み
ユーザ情報から、通知されたユーザの情報を削除する
が、認証サーバATSからの認証情報変更通知で、変更
になったユーザの変更情報をネットワークアクセスサー
バNASへ通知し、これを受け取ったネットワークアク
セスサーバNASが、保持している認証済みユーザ認証
情報の指定されたユーザ情報を、認証情報変更通知で通
知された内容に更新するようにしてもよい。そのような
実施例においては、図8において、認証済みユーザ情報
であるユーザ名「us0002」およびパスワード「p
s0007」は削除されることはなく、パスワードが
「777777」に変更されることとなる。In the embodiment described above, when the authentication information in the database DB is changed, the authentication server ATS notifies the network access server NAS of the changed user name by the authentication information change notifying means. And the network access server NAS receiving this
Deletes the notified user information from the retained authenticated user information by the user information deleting means 4, and, based on the authentication information change notification from the authentication server ATS, transmits the changed user change information to the network. Notifying the access server NAS, the network access server NAS receiving this may update the specified user information of the held authenticated user authentication information to the content notified by the authentication information change notification. Good. In such an embodiment, in FIG. 8, the user name “us0002” and the password “p
“s0007” is not deleted, and the password is changed to “777777”.
【0033】また、先の実施例ではネットワークアクセ
スサーバNASにおける認証済みユーザ情報の保持の条
件に関して限定していなかったが、ネットワークアクセ
スサーバNASのメモリの状態、処理速度への影響等を
考慮して、一定期間情報を保持し、その期間内に認証要
求を受け取らなかった場合には認証済みユーザ情報は破
棄する、もしくは、一定件数の情報を保持したら、それ
以降の認証済みユーザ情報を保持する前に古い認証済み
ユーザ情報を順に破棄するなどして、処理能力の低下を
回避するような実施例も考えられる。In the above embodiment, the conditions for holding the authenticated user information in the network access server NAS are not limited. However, the condition of the memory of the network access server NAS, the influence on the processing speed, and the like are taken into consideration. If the information is retained for a certain period of time and the authentication request is not received within that period, the authenticated user information is discarded, or if a certain number of information is retained, before the subsequent authenticated user information is retained An example is also conceivable in which the oldest authenticated user information is discarded in order to avoid a decrease in processing capacity.
【0034】[0034]
【発明の効果】本発明によれば、端末がネットワークア
クセスサーバへ認証要求を送信した場合、ネットワーク
アクセスサーバ内の認証済みユーザ情報に保持されてい
るユーザに関しては、ネットワークアクセスサーバ内で
認証されるため、認証要求を認証サーバに送信する必要
が無くなり、認証サーバの負荷が低減される。また、ネ
ットワークアクセスサーバと認証サーバ間のトラヒック
も低減される。According to the present invention, when the terminal transmits an authentication request to the network access server, the user held in the authenticated user information in the network access server is authenticated in the network access server. Therefore, it is not necessary to transmit the authentication request to the authentication server, and the load on the authentication server is reduced. Also, traffic between the network access server and the authentication server is reduced.
【0035】また、認証サーバの負荷が低減されるた
め、認証サーバをシステムで多数設置する必要がなく、
さらに、端末側では一度認証されたか否かの意識も不要
であるため、システム構成が簡略化され、データベース
管理も簡略化され運用コストが削減される。Since the load on the authentication server is reduced, there is no need to install many authentication servers in the system.
Furthermore, since the terminal does not need to be aware of whether or not the user has been authenticated once, the system configuration is simplified, database management is simplified, and operation costs are reduced.
【図1】本発明の一実施例を示すブロック図FIG. 1 is a block diagram showing an embodiment of the present invention.
【図2】図1に示した実施例のフローチャートFIG. 2 is a flowchart of the embodiment shown in FIG. 1;
【図3】図2のS2におけるNAS内認証の詳細フロー
チャートFIG. 3 is a detailed flowchart of authentication in the NAS in S2 of FIG. 2;
【図4】図2のS2におけるNAS内認証の結果が「認
証」である場合の具体例を示す図FIG. 4 is a diagram showing a specific example when the result of intra-NAS authentication in S2 in FIG. 2 is “authentication”;
【図5】図2のS2におけるNAS内認証の結果が「認
証拒否」である場合の具体例を示す図FIG. 5 is a diagram showing a specific example in a case where the result of intra-NAS authentication in S2 of FIG. 2 is “authentication rejection”;
【図6】図2のS2におけるNAS内認証の結果が「ユ
ーザ名無し」である場合の具体例を示す図FIG. 6 is a diagram showing a specific example in a case where the result of intra-NAS authentication in S2 of FIG. 2 is “no user name”;
【図7】図2のS5により認証要求送出をした場合の様
子を示す図FIG. 7 is a diagram showing a state when an authentication request is transmitted in S5 of FIG. 2;
【図8】図1のデータベース中の認証情報が変更された
場合の様子を示す図FIG. 8 is a diagram showing a state in which authentication information in the database of FIG. 1 has been changed;
【図9】従来の第1の例を示すブロック図FIG. 9 is a block diagram showing a first conventional example.
【図10】従来の第2の例を示すブロック図FIG. 10 is a block diagram showing a second conventional example.
【図11】本発明と関連する公知技術を示すブロック図FIG. 11 is a block diagram showing a known technique related to the present invention.
ATS,ATS1,10 認証サーバ NAS,NAS1 ネットワークアクセスサーバ NET 公衆網 TE 端末 DB データベース 1 認証情報変更通知手段 2 認証情報保持手段 3 NAS内認証手段 4 ユーザ情報削除手段 20 基地局管理サーバ 30−11,30−12,30−1N 基地局 40 無線端末 50 代理認証装置 ATS, ATS1, 10 Authentication server NAS, NAS1 Network access server NET Public network TE terminal DB database 1 Authentication information change notification unit 2 Authentication information holding unit 3 NAS authentication unit 4 User information deletion unit 20 Base station management server 30-11, 30-12, 30-1N Base station 40 Wireless terminal 50 Proxy authentication device
Claims (9)
を介して接続された他のネットワークにアクセスすると
きにユーザの認証を行うユーザ認証装置において、認証
済みユーザ認証情報を前記ルーターに記憶しておき、該
認証済みユーザ認証情報を用いて前記ユーザの認証を行
うことを特徴とするユーザ認証装置。A user authentication apparatus for authenticating a user when a terminal connected to a public line network accesses another network connected via a router, wherein authenticated user authentication information is stored in the router. A user authentication device, wherein the user is authenticated using the authenticated user authentication information.
の認証情報を格納するデータベースと、該データベース
をアクセスして前記ユーザの認証を行う認証サーバと、
前記認証済みユーザ認証情報を保持する認証情報保持手
段および前記ユーザの認証は先ず前記保持するユーザ認
証情報を用いて行うNAS内認証手段を含み前記ルータ
ーとして機能するネットワークアクセスサーバとを有
し、前記認証サーバによるユーザの認証は、前記認証情
報保持手段に該当する認証済みユーザ認証情報が保持さ
れていないときにのみ行うことを特徴とする請求項1記
載のユーザ認証装置。2. A database for storing authentication information of a user who uses a terminal under the router, an authentication server for accessing the database and authenticating the user,
An authentication information holding unit for holding the authenticated user authentication information, and a network access server functioning as the router including an authentication unit in a NAS for performing authentication of the user by using the held user authentication information, 2. The user authentication apparatus according to claim 1, wherein the authentication of the user by the authentication server is performed only when the authenticated user authentication information corresponding to the authentication information holding unit is not held.
るユーザ認証情報が変更されるとその通知を行う認証情
報変更通知手段を有し、また、前記ネットワークアクセ
スサーバは、前記通知を受けると前記保持する認証済み
ユーザ認証情報のうちから該当するものを削除するユー
ザ情報削除手段を有することを特徴とする請求項2記載
のユーザ認証装置。3. The authentication server has authentication information change notification means for notifying that user authentication information stored in a database has been changed, and the network access server holds the held information upon receiving the notification. 3. The user authentication apparatus according to claim 2, further comprising a user information deletion unit that deletes a corresponding one of the authenticated user authentication information to be executed.
知を受けると前記保持するユーザ認証情報のうちから該
当するものを変更するユーザ情報変更手段を設けたこと
を特徴とする請求項3記載のユーザ認証装置。4. The apparatus according to claim 3, further comprising a user information changing unit for changing a corresponding one of the held user authentication information upon receipt of said notification, in place of said user information deleting unit. User authentication device.
証要求を受けなかった認証済みユーザ認証情報を破棄す
ることを特徴とする請求項2〜請求項4のいずれかに記
載のユーザ認証装置。5. The user authentication according to claim 2, wherein said authentication information holding means discards authenticated user authentication information for which no authentication request has been received within a predetermined period. apparatus.
みユーザ認証情報が所定件数に達するとそれ以上の認証
済みユーザ認証情報は破棄することを特徴とする請求項
2〜請求項4のいずれかに記載のユーザ認証装置。6. The authentication information holding means according to claim 2, wherein when the number of stored authenticated user authentication information reaches a predetermined number, the authentication information holding means discards any further authenticated user authentication information. A user authentication device according to any one of the above.
とする請求項6記載のユーザ認証装置。7. The user authentication apparatus according to claim 6, wherein the discarding is performed in the order of retention.
ーを介して接続された他のネットワークにアクセスする
ときにユーザの認証を行うユーザ認証方法において、前
記ルーター配下の端末を使用するユーザの認証情報をデ
ータベースに格納する手順と、該データベースをアクセ
スしてユーザの認証を行う手順と、認証済みユーザ認証
情報を前記ルーターに保持する手順と、前記ユーザの認
証は先ず前記ルーターに保持する認証済みユーザ認証情
報を用いて行う手順と、該保持する認証済みユーザ認証
情報に該当するものが無いときにのみ前記データベース
アクセスによるユーザの認証を行う手順とを含むことを
特徴とするユーザ認証方法。8. A user authentication method for authenticating a user from a terminal connected to a public line network when accessing another network connected via a router, wherein a user who uses a terminal under the router is authenticated. A step of storing authentication information in a database, a step of accessing the database to authenticate a user, a step of storing authenticated user authentication information in the router, and a step of storing the authenticated user authentication information in the router. A user authentication method, comprising: performing a procedure using authenticated user authentication information; and performing a user authentication by accessing the database only when there is no corresponding stored user authentication information.
報が変更されると前記保持する認証済みユーザ認証情報
のうちの該当するものを削除または変更する手順を含む
ことを特徴とする請求項8記載のユーザ認証方法。9. The method according to claim 8, further comprising the step of deleting or changing a corresponding one of the stored authenticated user authentication information when the user authentication information stored in the database is changed. User authentication method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10157079A JPH11355266A (en) | 1998-06-05 | 1998-06-05 | Device and method for user authentication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10157079A JPH11355266A (en) | 1998-06-05 | 1998-06-05 | Device and method for user authentication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH11355266A true JPH11355266A (en) | 1999-12-24 |
Family
ID=15641796
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10157079A Pending JPH11355266A (en) | 1998-06-05 | 1998-06-05 | Device and method for user authentication |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH11355266A (en) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020038186A (en) * | 2000-11-16 | 2002-05-23 | 조정남 | An apparatus for relaying subscriber information in next generation mobile communication network |
| JP2006072493A (en) * | 2004-08-31 | 2006-03-16 | Ntt Docomo Inc | Relay device and authentication method |
| WO2006082732A1 (en) * | 2005-02-04 | 2006-08-10 | Nec Corporation | Access control unit |
| JP2007511831A (en) * | 2003-11-14 | 2007-05-10 | ネッツ カンパニー リミテッド | Extranet access control apparatus and method |
| JP2007172588A (en) * | 2005-11-22 | 2007-07-05 | Ricoh Co Ltd | Authentication ticket processing apparatus |
| JP2008010016A (en) * | 2007-09-10 | 2008-01-17 | Fujitsu Fsas Inc | Data authentication device |
| EP1892914A2 (en) | 2006-08-22 | 2008-02-27 | Fujitsu Ltd. | Network system, authentication method, information processing apparatus and access processing method accompanied by outbound authentication |
| JP2008129956A (en) * | 2006-11-22 | 2008-06-05 | Konica Minolta Business Technologies Inc | Authentication system and authenticating method in image forming apparatus |
| US7698733B2 (en) | 2001-01-31 | 2010-04-13 | Sony Computer Entertainment Inc. | Computer system and usage method thereof |
| JP2011095792A (en) * | 2009-10-27 | 2011-05-12 | Sharp Corp | Multi-function peripheral control system |
| JP2011100411A (en) * | 2009-11-09 | 2011-05-19 | Nec Corp | Authentication proxy server apparatus, authentication proxy method and program |
| US8458771B2 (en) | 2006-07-28 | 2013-06-04 | Ricoh Company, Ltd. | Image forming apparatus, authentication method, and recording medium |
| JP2014203085A (en) * | 2013-04-01 | 2014-10-27 | 株式会社リコー | Image forming apparatus, image forming system, and program |
| US8898746B2 (en) | 1997-06-11 | 2014-11-25 | Prism Technologies Llc | Method for managing access to protected computer resources |
| WO2016143027A1 (en) * | 2015-03-09 | 2016-09-15 | 富士通株式会社 | Information processing device, cooperative device authentication program, and cooperative device authentication method |
| JP2018005926A (en) * | 2017-08-14 | 2018-01-11 | 株式会社リコー | Information processing apparatus, information processing method, recording medium, program, and system |
| JP2018112811A (en) * | 2017-01-10 | 2018-07-19 | 京セラドキュメントソリューションズ株式会社 | Authentication system and authentication method |
| WO2020085141A1 (en) * | 2018-10-22 | 2020-04-30 | 株式会社ソニー・インタラクティブエンタテインメント | Information processing system, input device, user authentication method, server device, and biometric authentication device |
| US10827095B2 (en) | 2007-03-23 | 2020-11-03 | Ricoh Company, Ltd. | Image forming apparatus management system, image forming apparatus, managing apparatus, terminal apparatus, image forming apparatus managing method, and image forming program |
-
1998
- 1998-06-05 JP JP10157079A patent/JPH11355266A/en active Pending
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9413768B1 (en) | 1997-06-11 | 2016-08-09 | Prism Technologies Llc | Method for managing access to protected computer resources |
| US9369469B2 (en) | 1997-06-11 | 2016-06-14 | Prism Technologies, L.L.C. | Method for managing access to protected computer resources |
| US8898746B2 (en) | 1997-06-11 | 2014-11-25 | Prism Technologies Llc | Method for managing access to protected computer resources |
| US9544314B2 (en) | 1997-06-11 | 2017-01-10 | Prism Technologies Llc | Method for managing access to protected computer resources |
| KR20020038186A (en) * | 2000-11-16 | 2002-05-23 | 조정남 | An apparatus for relaying subscriber information in next generation mobile communication network |
| US7698733B2 (en) | 2001-01-31 | 2010-04-13 | Sony Computer Entertainment Inc. | Computer system and usage method thereof |
| JP2007511831A (en) * | 2003-11-14 | 2007-05-10 | ネッツ カンパニー リミテッド | Extranet access control apparatus and method |
| JP2006072493A (en) * | 2004-08-31 | 2006-03-16 | Ntt Docomo Inc | Relay device and authentication method |
| US8099509B2 (en) | 2005-02-04 | 2012-01-17 | Nec Corporation | Access control unit |
| JP4788711B2 (en) * | 2005-02-04 | 2011-10-05 | 日本電気株式会社 | Workflow execution system, workflow execution method, and program |
| WO2006082732A1 (en) * | 2005-02-04 | 2006-08-10 | Nec Corporation | Access control unit |
| JP2007172588A (en) * | 2005-11-22 | 2007-07-05 | Ricoh Co Ltd | Authentication ticket processing apparatus |
| US8458771B2 (en) | 2006-07-28 | 2013-06-04 | Ricoh Company, Ltd. | Image forming apparatus, authentication method, and recording medium |
| EP1892914A2 (en) | 2006-08-22 | 2008-02-27 | Fujitsu Ltd. | Network system, authentication method, information processing apparatus and access processing method accompanied by outbound authentication |
| JP2008129956A (en) * | 2006-11-22 | 2008-06-05 | Konica Minolta Business Technologies Inc | Authentication system and authenticating method in image forming apparatus |
| US11463604B2 (en) | 2007-03-23 | 2022-10-04 | Ricoh Company, Ltd. | Image forming apparatus management system, image forming apparatus, managing apparatus, terminal apparatus, image forming apparatus managing method, and image forming program |
| US11849093B2 (en) | 2007-03-23 | 2023-12-19 | Ricoh Company, Ltd. | Image forming apparatus management system, image forming apparatus, managing apparatus, terminal apparatus, image forming apparatus managing method, and image forming program |
| US10827095B2 (en) | 2007-03-23 | 2020-11-03 | Ricoh Company, Ltd. | Image forming apparatus management system, image forming apparatus, managing apparatus, terminal apparatus, image forming apparatus managing method, and image forming program |
| JP2008010016A (en) * | 2007-09-10 | 2008-01-17 | Fujitsu Fsas Inc | Data authentication device |
| JP2011095792A (en) * | 2009-10-27 | 2011-05-12 | Sharp Corp | Multi-function peripheral control system |
| JP2011100411A (en) * | 2009-11-09 | 2011-05-19 | Nec Corp | Authentication proxy server apparatus, authentication proxy method and program |
| JP2014203085A (en) * | 2013-04-01 | 2014-10-27 | 株式会社リコー | Image forming apparatus, image forming system, and program |
| US10491589B2 (en) | 2015-03-09 | 2019-11-26 | Fujitsu Client Computing Limited | Information processing apparatus and device coordination authentication method |
| JPWO2016143027A1 (en) * | 2015-03-09 | 2017-11-24 | 富士通株式会社 | Information processing apparatus, device cooperation authentication program, and device cooperation authentication method |
| WO2016143027A1 (en) * | 2015-03-09 | 2016-09-15 | 富士通株式会社 | Information processing device, cooperative device authentication program, and cooperative device authentication method |
| JP2018112811A (en) * | 2017-01-10 | 2018-07-19 | 京セラドキュメントソリューションズ株式会社 | Authentication system and authentication method |
| JP2018005926A (en) * | 2017-08-14 | 2018-01-11 | 株式会社リコー | Information processing apparatus, information processing method, recording medium, program, and system |
| WO2020085141A1 (en) * | 2018-10-22 | 2020-04-30 | 株式会社ソニー・インタラクティブエンタテインメント | Information processing system, input device, user authentication method, server device, and biometric authentication device |
| JPWO2020085141A1 (en) * | 2018-10-22 | 2021-09-02 | 株式会社ソニー・インタラクティブエンタテインメント | Information processing system and server equipment |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH11355266A (en) | Device and method for user authentication | |
| JP4287615B2 (en) | Biometric certified VLAN | |
| US8411562B2 (en) | Network system and method for providing an ad-hoc access environment | |
| US7640004B2 (en) | Wireless LAN system, wireless terminal, wireless base station, communication configuration method for wireless terminal, and program thereof | |
| JP3869392B2 (en) | User authentication method in public wireless LAN service system and recording medium storing program for causing computer to execute the method | |
| CN100390773C (en) | Authentication in a communication system | |
| US9350704B2 (en) | Provisioning network access through a firewall | |
| US9537862B2 (en) | Relayed network access control systems and methods | |
| US20040255154A1 (en) | Multiple tiered network security system, method and apparatus | |
| US20030084287A1 (en) | System and method for upper layer roaming authentication | |
| US20090265775A1 (en) | Proximity Based Authentication Using Tokens | |
| US20030087629A1 (en) | Method and system for managing data traffic in wireless networks | |
| US8611859B2 (en) | System and method for providing secure network access in fixed mobile converged telecommunications networks | |
| KR20160114620A (en) | Methods, devices and systems for dynamic network access administration | |
| US9270652B2 (en) | Wireless communication authentication | |
| WO2013116913A1 (en) | Method for activating users, method for authenticating users, method for controlling user traffic, method for controlling user access on a 3g-traffic rerouting wi-fi network and system for rerouting 3g traffic | |
| WO2006002601A1 (en) | A method for wireless lan users set-up session connection | |
| EP1690189B1 (en) | On demand session provisioning of ip flows | |
| US20050071682A1 (en) | Layer 2 switch device with verification management table | |
| JP2014504391A (en) | Cross-access login controller | |
| KR100763131B1 (en) | Access and Registration Method for Public Wireless LAN Service | |
| KR100919329B1 (en) | Methods of authenticating electronic devices in mobile networks | |
| JP2012531822A (en) | System and method for obtaining network credentials | |
| JP2002261761A (en) | Internet roaming method | |
| US9143482B1 (en) | Tokenized authentication across wireless communication networks |