JP2000132474A - Dynamic ciphered communication system, authentication server for dynamic ciphered communication, and gateway device - Google Patents
Dynamic ciphered communication system, authentication server for dynamic ciphered communication, and gateway deviceInfo
- Publication number
- JP2000132474A JP2000132474A JP10302751A JP30275198A JP2000132474A JP 2000132474 A JP2000132474 A JP 2000132474A JP 10302751 A JP10302751 A JP 10302751A JP 30275198 A JP30275198 A JP 30275198A JP 2000132474 A JP2000132474 A JP 2000132474A
- Authority
- JP
- Japan
- Prior art keywords
- user
- communication
- gateway device
- encrypted communication
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明はネットワーク間接
続網を介して特定のネットワークに接続しようとするユ
ーザによる暗号化通信のためのシステムに関し、特に、
ユーザが動的に場所を移動して種々の場所に存在するリ
モートアクセスサーバ(RAS)から特定のネットワー
クに接続しようとする場合に、暗号化通信を可能にする
暗号化通信システムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a system for encrypted communication by a user who wants to connect to a specific network via a network.
The present invention relates to an encrypted communication system that enables encrypted communication when a user dynamically moves from one place to another and accesses a specific network from a remote access server (RAS) located in various places.
【0002】[0002]
【従来の技術】最近の通信技術の発達に伴って、企業内
部のネットワーク化が急速に進展した。また通信のため
の社会的基盤整備にともなって、そうした企業単位のネ
ットワークを接続するネットワーク間接続が普及した。
その典型的なものがいわゆるインターネットである。2. Description of the Related Art With the recent development of communication technology, networking within a company has rapidly progressed. In addition, with the development of social infrastructure for communication, inter-network connections for connecting such enterprise-based networks have become widespread.
A typical example is the so-called Internet.
【0003】通常は、ある企業の社員はその企業のネッ
トワークに常時接続されたコンピュータを用いるが、社
員が出張などで企業ネットワーク外に出ることも起こ
る。最近の事情では、そうした場合にも当該社員がその
属する企業のネットワークにアクセスしなければならな
い場合が多い。そうしたときには、当該社員は通常は次
のようにしてその属する企業ネットワークに接続する。Normally, employees of a company use computers that are constantly connected to the network of the company. However, employees sometimes go out of the company network due to business trips or the like. In recent circumstances, even in such a case, the employee often needs to access the network of the company to which the employee belongs. In such a case, the employee usually connects to the company network to which the employee belongs as follows.
【0004】図7を参照してたとえば、いずれもインタ
ーネット20に接続されているA社ネットワーク24、
B社ネットワーク28、C社ネットワーク32への接続
要求をユーザ52、54、56、…から受付けるための
リモートアクセスサーバ50がゲートウェイ150およ
びルータ34を介してインターネット20に接続されて
いる。A社ネットワーク24、B社ネットワーク28、
C社ネットワーク32はそれぞれゲートウェイ22、ゲ
ートウェイ26、ゲートウェイ30を介してインターネ
ット20に接続されているものとする。Referring to FIG. 7, for example, a company A network 24 connected to the Internet 20,
A remote access server 50 for accepting connection requests to the company B network 28 and the company C network 32 from the users 52, 54, 56,... Is connected to the Internet 20 via the gateway 150 and the router 34. Company A network 24, Company B network 28,
It is assumed that the company C network 32 is connected to the Internet 20 via the gateway 22, the gateway 26, and the gateway 30, respectively.
【0005】リモートアクセスサーバ50を介してたと
えばユーザ52がインターネット20に接続する場合、
ユーザ52はまず公衆電話回線、ISDN(サービス総
合ディジタル網)等の公衆通信網58を介してリモート
アクセスサーバ50にアクセスし認証を行う。このとき
のユーザ52およびリモートアクセスサーバ50の間の
通信にはPPP(Point to Point Pr
otocol)と呼ばれる通信プロトコル等が用いられ
る。PPPプロトコルによる通信62では、リモートア
クセスサーバ50とユーザ52とが通信を始めるために
必要な情報(通信アドレス等)が送受信される。When a user 52 connects to the Internet 20 via a remote access server 50, for example,
The user 52 first accesses the remote access server 50 via a public communication network 58 such as a public telephone line or ISDN (Integrated Services Digital Network) to perform authentication. At this time, communication between the user 52 and the remote access server 50 is performed by using PPP (Point to Point Pr).
For example, a communication protocol called “autocol” is used. In the communication 62 according to the PPP protocol, information (communication address and the like) necessary for the remote access server 50 and the user 52 to start communication is transmitted and received.
【0006】リモートアクセスサーバ50はユーザ52
が正規のユーザであるか否かを認証しなければならな
い。一般にリモートアクセスサーバは数多く存在するた
め、各リモートアクセスサーバが認証に必要なユーザ情
報(以下「認証情報」と呼ぶ。)を持つことはなく、認
証サーバ152という、認証情報を一括管理しているサ
ーバに認証依頼を行う。このとき使用される通信プロト
コルはRADIUS(Remote Authenti
cation Dial In User Servi
ce)等が用いられる。The remote access server 50 has a user 52
Must authenticate whether is a legitimate user. Generally, since there are many remote access servers, each remote access server does not have user information necessary for authentication (hereinafter, referred to as “authentication information”), and collectively manages authentication information called an authentication server 152. Request authentication to the server. The communication protocol used at this time is RADIUS (Remote Authentication).
Cation Dial In User Service
ce) is used.
【0007】認証サーバ152はさらに、ユーザが認証
された場合、そのユーザに与えるネットワークアドレス
を、リモートアクセスサーバ50の管理するネットワー
クアドレス群38の中から割振り、その情報をリモート
アクセスサーバ50に通知する。リモートアクセスサー
バ50の管理するネットワークアドレス群38内のネッ
トワークアドレスには制限があるため、ユーザが接続し
てくるたびに、そのときあいている(他のユーザに利用
されていない)ネットワークアドレスの一つがそのユー
ザに割振られる。したがって各ユーザから見ると、リモ
ートアクセスサーバにアクセスするたびに、自分が使用
するネットワークアドレスは変わる。[0007] When the user is authenticated, the authentication server 152 further allocates a network address to be given to the user from a network address group 38 managed by the remote access server 50 and notifies the remote access server 50 of the information. . Since network addresses in the network address group 38 managed by the remote access server 50 are limited, each time a user connects, one of the available network addresses (not used by other users) is added. One is assigned to the user. Therefore, from the viewpoint of each user, the network address used by the user changes every time the user accesses the remote access server.
【0008】一方、前述したようにインターネットの普
及により、ユーザが自らの属する企業のネットワークに
外部からアクセスする機会は増えている。しかし、外部
から当該企業のネットワークに誰でも自由にアクセスで
きるようにしたり、途中の通信経路で自由に通信内容が
見られるようにすると、不正なネットワークを許したり
通信内容が人に知られたりすることになって危険であ
る。そこで、正当な利用者によるアクセスは支障なくで
きるが不正なアクセスからはネットワークを保護するた
めに、正当な利用者と当該ネットワーク(ネットワーク
アドレス群)との間で暗号化通信を行い、それによって
通信の安全を確保したいという要求が高まっている。On the other hand, as described above, with the spread of the Internet, opportunities for users to access a network of a company to which the user belongs from the outside are increasing. However, if anyone is allowed to freely access the company's network from the outside, or if the contents of communication can be freely viewed on the way of communication, unauthorized networks will be allowed or the contents of communication will be known to people. This is dangerous. Therefore, access by a legitimate user can be performed without hindrance, but in order to protect the network from unauthorized access, encrypted communication is performed between the legitimate user and the network (network address group), and communication is thereby performed. There is a growing demand for ensuring the safety of people.
【0009】暗号化通信を行うための方法として、暗号
化ゲートウェイを使用するのが一般的である。図7に示
される例でも、ゲートウェイ22、26、30、150
などはそうした暗号化ゲートウェイとすることができ
る。暗号化ゲートウェイを使用し、かつ処理速度を優先
する場合、通信を行うための両者のネットワークアドレ
スを事前に暗号化ゲートウェイに登録しておく必要があ
る。[0009] As a method for performing encrypted communication, it is common to use an encryption gateway. Also in the example shown in FIG. 7, the gateways 22, 26, 30, 150
Can be such an encryption gateway. When the encryption gateway is used and the processing speed is prioritized, it is necessary to register the network addresses of both for performing communication in the encryption gateway in advance.
【0010】[0010]
【発明が解決しようとする課題】しかし、このように暗
号化ゲートウェイを使用した場合、以下のような問題が
生ずる。図7に示される例でユーザ52がA社の社員で
あり、リモートアクセスサーバ50を介してA社ネット
ワーク24に暗号通信によってアクセスしようとする場
合を考える。これに先立ち、リモートアクセスサーバ5
0の管理するネットワークアドレス群38とA社ネット
ワーク24のネットワークアドレス群とをゲートウェイ
150に登録し暗号通信の設定を行っておく必要があ
る。ユーザ52がリモートアクセスサーバ50にアクセ
スすると認証サーバ152によって認証が行われリモー
トアクセスサーバ50の管理するネットワークアドレス
群38の中から使用されていない1つのネットワークア
ドレスがユーザ52に対して割振られる。このネットワ
ークアドレスは事前にゲートウェイ150に登録されて
いるので、A社ネットワーク24との間の暗号化通信が
できる。However, when the encryption gateway is used as described above, the following problems occur. In the example shown in FIG. 7, it is assumed that the user 52 is an employee of company A and tries to access the company A network 24 via the remote access server 50 by encrypted communication. Prior to this, the remote access server 5
It is necessary to register the network address group 38 managed by O.0 and the network address group of the company A network 24 in the gateway 150 and to set the encryption communication. When the user 52 accesses the remote access server 50, authentication is performed by the authentication server 152, and one unused network address from the network address group 38 managed by the remote access server 50 is allocated to the user 52. Since this network address is registered in the gateway 150 in advance, encrypted communication with the company A network 24 can be performed.
【0011】しかし、ユーザ54がたとえばB社の社員
であるものとする。この場合にも、ユーザ54がリモー
トアクセスサーバ50にアクセスすると認証サーバ15
2により認証が行われ、その結果リモートアクセスサー
バ50の管理するネットワークアドレス群38の内の一
つのネットワークアドレスがユーザ54に割振られる。
このネットワークアドレスもまたゲートウェイ150に
A社ネットワーク24との暗号化通信が許されるものと
して登録されたものである。したがって、B社の社員で
あるユーザ54もA社ネットワーク24と暗号化通信が
できることになってしまう。これは大きな問題である。However, it is assumed that the user 54 is, for example, an employee of the company B. Also in this case, when the user 54 accesses the remote access server 50, the authentication server 15
2, the authentication is performed. As a result, one network address in the network address group 38 managed by the remote access server 50 is allocated to the user 54.
This network address is also registered in the gateway 150 as one that allows encrypted communication with the company A network 24. Therefore, the user 54 who is an employee of the company B can perform encrypted communication with the network 24 of the company A. This is a big problem.
【0012】こうした問題を避けるために、次のような
方策が考えられる。リモートアクセスサーバ50の管理
するネットワークアドレス群38を、A社用、B社用、
C社用に分割する。分割したA社用のネットワークアド
レス群と、A社のネットワークアドレス群とをゲートウ
ェイ150に登録する。B社用、C社用のネットワーク
アドレスについても同じようにゲートウェイ150に登
録する。ユーザ52(A社の社員とする)がリモートア
クセスサーバ50に接続してきた場合、認証サーバ15
2はA社用に割当てたネットワークアドレス群の中から
使用されていない1つのネットワークアドレスをユーザ
52に割振る。ユーザ54(B社の社員とする)がアク
セスして来た場合、認証サーバ152はB社用のネット
ワークアドレスのうちから使用されていないものを1つ
ユーザ54に割振る。このようにして、A社の社員には
A社用の、B社の社員にはB社用のネットワークアドレ
スを割振るようにすることで上記した問題を避けること
ができる。In order to avoid such a problem, the following measures can be considered. The network address group 38 managed by the remote access server 50 is set for company A, company B,
Divide for company C. The divided network address group for company A and the network address group for company A are registered in gateway 150. Similarly, the network addresses for company B and company C are registered in the gateway 150. When a user 52 (employee of Company A) connects to the remote access server 50, the authentication server 15
2 assigns one unused network address to the user 52 from the group of network addresses assigned to Company A. When the user 54 (supposed to be an employee of Company B) accesses, the authentication server 152 allocates one unused network address among the network addresses for Company B to the user 54. In this way, the above problem can be avoided by allocating the network address for the company A to the employee of the company A and the company B for the employee of the company B.
【0013】ところがこの場合、仮にA社用のネットワ
ークアドレスが全て使用中であるところにA社の社員か
らアクセス要求があると、B社用のネットワークアドレ
スの中に使用されていないものがあったとしてもそれを
このA社の社員に割振ることはできない。そのため、リ
モートアクセスサーバ50の管理するネットワークアド
レス群38を有効に利用できないという問題が生ずる。However, in this case, if an employee of Company A requests an access while all of the network addresses for Company A are in use, some of the network addresses for Company B are not used. However, it cannot be allocated to the employees of Company A. Therefore, there arises a problem that the network address group 38 managed by the remote access server 50 cannot be used effectively.
【0014】結局、暗号化ゲートウェイでは通信を行う
もののネットワークアドレスを事前に指定して暗号設定
を行わなければならないが、動的に場所を移動してどの
リモートアクセスサーバからアクセスするか事前には分
からないユーザについては固定的なネットワークアドレ
スは割振られないので、事前に暗号化ゲートウェイに設
定を行うことが不可能であり、そのためこうした問題点
が生じている。After all, in the encryption gateway, although communication is performed, the network address must be specified in advance and the encryption setting must be performed. However, the location is dynamically moved and the remote access server from which to access is not known in advance. Since a fixed network address is not assigned to a non-user, it is impossible to set the encryption gateway in advance, thus causing such a problem.
【0015】さらにまた、仮に全てのユーザに対して同
じ暗号化方式を用いる場合、使用される暗号化方式の暗
号強度が低ければ通信の安全が十分確保できないし、逆
に暗号強度が高ければそれだけ暗号化ゲートウェイにか
かる負荷が増大する。したがって、暗号化通信の強度と
暗号化ゲートウェイとの負荷を考慮して最適な暗号化方
式を定めることが難しいという問題がある。また、上述
したような問題を解決する手法を案出して暗号化通信を
行った場合、課金情報をどのようにして管理するかにつ
いての問題がある。Furthermore, if the same encryption method is used for all users, communication security cannot be sufficiently ensured if the encryption strength of the encryption method used is low. Conversely, if the encryption strength is high, that is the case. The load on the encryption gateway increases. Therefore, there is a problem that it is difficult to determine an optimal encryption method in consideration of the strength of the encrypted communication and the load on the encryption gateway. Further, in the case of performing the encrypted communication by devising a method for solving the above-described problem, there is a problem in how to manage the billing information.
【0016】それゆえに本発明の目的は、ユーザのネッ
トワークアドレスが動的に割振られる場合にも、リモー
トアクセスサーバが管理するネットワークアドレスを有
効に利用しながら暗号化通信を行うことができる動的暗
号化通信システム、そのための動的暗号化通信のための
認証サーバおよびゲートウェイ装置を提供することであ
る。Accordingly, an object of the present invention is to provide a dynamic encryption system capable of performing encrypted communication while effectively utilizing a network address managed by a remote access server even when a network address of a user is dynamically allocated. It is an object of the present invention to provide an encrypted communication system, an authentication server and a gateway device for dynamic encrypted communication therefor.
【0017】この発明の他の目的は、ユーザのネットワ
ークアドレスが動的に割振られる場合にも、リモートア
クセスサーバが管理するネットワークアドレスを有効に
利用しながら暗号化通信を行うことができ、かつ暗号通
信の安全性とシステムの負荷とを最適にする安全な動的
暗号化通信システム、そのための動的暗号化通信のため
の認証サーバおよびゲートウェイ装置を提供することで
ある。Another object of the present invention is to enable encrypted communication while effectively utilizing a network address managed by a remote access server even when a network address of a user is dynamically allocated. An object of the present invention is to provide a secure dynamic encryption communication system that optimizes communication security and system load, and an authentication server and a gateway device for the dynamic encryption communication therefor.
【0018】この発明のさらに他の目的は、ユーザのネ
ットワークアドレスが動的に割振られる場合にも、リモ
ートアクセスサーバが管理するネットワークアドレスを
有効に利用しながら暗号化通信とその課金管理とを行う
ことができ、かつ暗号通信の安全性とシステムの負荷と
を最適にする安全な動的暗号化通信システムおよびその
ための動的暗号化通信のための認証サーバを提供するこ
とである。Still another object of the present invention is to perform encrypted communication and charge management while effectively utilizing a network address managed by a remote access server even when a network address of a user is dynamically allocated. It is an object of the present invention to provide a secure dynamic encryption communication system capable of optimizing the security of the encrypted communication and the load on the system, and an authentication server for the dynamic encrypted communication therefor.
【0019】[0019]
【課題を解決するための手段】請求項1に記載の発明に
かかる動的暗号化通信システムは、ネットワーク間接続
網を介して他ネットワークにアクセスする要求をユーザ
から受け付けるリモートアクセスサーバと、ユーザ情報
を管理し、リモートアクセスサーバからの問合せに応じ
て、ユーザ認証を行い、認証された各ユーザに対してネ
ットワークアドレスを動的に付与してリモートアクセス
サーバに通知するための認証サーバと、リモートアクセ
スサーバと、ネットワーク間接続網との間に接続され、
リモートアクセスサーバからネットワーク間接続網への
通信を中継するゲートウェイ装置とを含み、認証サーバ
は、各ユーザに付与されたネットワークアドレスごと
に、接続が許可されるネットワークとの間での暗号化通
信をゲートウェイ装置に要求する手段を含み、ゲートウ
ェイ装置は、認証サーバからの暗号化通信の要求に応答
して、ユーザに付与されたネットワークアドレスと、当
該ユーザに接続が許可されるネットワークアドレスとの
間での暗号化通信を行うための手段を含む。According to the first aspect of the present invention, there is provided a dynamic encryption communication system, comprising: a remote access server for receiving a request to access another network via a network between networks from a user; And an authentication server for performing user authentication in response to an inquiry from the remote access server, dynamically assigning a network address to each authenticated user and notifying the remote access server, and a remote access server. Connected between the server and the internetwork,
A gateway device for relaying communication from the remote access server to the inter-network, and the authentication server performs, for each network address given to each user, encrypted communication with a network to which connection is permitted. In response to a request for encrypted communication from the authentication server, the gateway device transmits a request between the network address given to the user and the network address permitted to connect to the user. Means for performing encrypted communication.
【0020】上記構成によれば、ユーザがリモートアク
セスサーバに対してアクセス要求を発すると、当該リモ
ートアクセスサーバから認証サーバに対して認証の問合
せが行われる。認証された場合にはさらに認証サーバ
は、ユーザに付与されたネットワークアドレスごとに、
接続が許可されるネットワークとの間での暗号化通信を
ゲートウェイ装置に対して要求し、ゲートウェイ装置が
この要求に応じて当該ユーザに付与されたネットワーク
アドレスと、そのユーザに対して暗号化通信が可能なネ
ットワークアドレスとの間での暗号化通信を行う。認証
されたユーザに付与されたネットワークアドレスと、当
該ユーザが暗号化可能なネットワークアドレスとの間で
の暗号化通信のみが可能になるため、他の設定が行われ
ているユーザは、自己が暗号化通信可能として設定され
ているネットワークアドレス以外とは暗号化通信を行う
ことができない。またユーザに付与されるネットワーク
アドレスは、リモートアクセスサーバの管理するアドレ
スのうち、使用されていない任意のものとすればよく、
予め接続先のネットワーク数に応じてアドレス群を分割
しておく必要がない。そのため、リモートアクセスサー
バの管理するネットワークアドレスを有効に利用するこ
とができる。According to the above configuration, when the user issues an access request to the remote access server, the remote access server makes an inquiry about authentication to the authentication server. If authenticated, the authentication server further performs, for each network address assigned to the user,
The gateway device requests the gateway device for encrypted communication with the network to which connection is permitted, and the gateway device responds to the request with the network address assigned to the user and the encrypted communication to the user. Perform encrypted communication with possible network addresses. Only encrypted communication can be performed between the network address given to the authenticated user and the network address that can be encrypted by the user. Encrypted communication cannot be performed with a network address other than the network address set to enable encrypted communication. Further, the network address given to the user may be any address that is not used among the addresses managed by the remote access server,
It is not necessary to divide the address group in advance according to the number of networks to be connected. Therefore, the network address managed by the remote access server can be effectively used.
【0021】請求項2に記載の発明にかかる動的暗号化
通信システムは、請求項1に記載の発明の構成に加え
て、認証サーバは、ユーザと、ユーザの接続が許可され
るネットワークアドレスとの組合わせに対して使用され
る暗号化方式を特定する情報を持ち、当該情報をゲート
ウェイ装置に通知し、ゲートウェイ装置は、認証サーバ
から通知された暗号化方式によって当該ユーザによる通
信の暗号化を行う。According to a second aspect of the present invention, in the dynamic encryption communication system according to the first aspect of the present invention, in addition to the configuration of the first aspect, the authentication server includes a user, a network address to which the user is permitted to connect, and Has information specifying the encryption method used for the combination of the above, and notifies the gateway apparatus of the information, and the gateway apparatus encrypts communication of the user by the encryption method notified from the authentication server. Do.
【0022】ユーザごとに使用される暗号化方式を変え
ることができるので、たとえば企業の役員のようにその
扱う情報が重要である場合には暗号化強度の高い暗号化
方式を設定して、通信の安全を確保することができる。
また、比較的その役割が重要でない社員については暗号
化強度の比較的低い暗号化方式を設定しておくことで、
暗号化通信を行うゲートウェイ装置などにかかる負荷を
抑えることができる。Since the encryption method used can be changed for each user, for example, when information to be handled is important, such as a company officer, an encryption method with a high encryption strength is set and communication is performed. Safety can be ensured.
In addition, for employees whose role is relatively unimportant, by setting an encryption method with a relatively low encryption strength,
The load on a gateway device or the like that performs encrypted communication can be reduced.
【0023】請求項3に記載の発明にかかる動的暗号化
通信システムは、請求項1または2に記載の発明の構成
に加えてさらに、ゲートウェイ装置は、暗号化通信のロ
グを記録するための手段を含む。認証サーバはさらに、
ゲートウェイ装置からログを収集するための手段を含
む。According to a third aspect of the present invention, in the dynamic encryption communication system, in addition to the configuration of the first or second aspect, the gateway device further includes a log of the encrypted communication. Including means. The authentication server further
Including means for collecting logs from the gateway device.
【0024】ゲートウェイ装置で暗号化通信のログをと
り、それを認証サーバで収集することにより、暗号化通
信に関する課金を容易に管理することができる。[0024] By taking a log of the encrypted communication by the gateway device and collecting the log by the authentication server, the billing for the encrypted communication can be easily managed.
【0025】請求項4に記載の発明にかかる動的暗号化
通信のための認証サーバは、暗号化通信をサポートする
ゲートウェイ装置との間で通信可能な認証サーバであっ
て、ユーザ認証に必要な情報および各ユーザが暗号化通
信するネットワークアドレスを特定する情報とを記憶す
るための記憶手段と、リモートアクセスサーバからの要
求に応じて、当該リモートアクセスサーバが管理するネ
ットワークアドレスのうちの一つを、リモートアクセス
サーバへの接続を要求しているユーザに対して動的に付
与するための手段と、ユーザに付与されたネットワーク
アドレスと、ユーザが暗号化通信するものとして設定さ
れているネットワークアドレスとをゲートウェイ装置に
通知するための暗号化通知手段とを含む。The authentication server for dynamic encrypted communication according to the invention of claim 4 is an authentication server capable of communicating with a gateway device supporting encrypted communication, and is required for user authentication. A storage unit for storing information and information for specifying a network address with which each user performs encrypted communication; and, in response to a request from the remote access server, one of the network addresses managed by the remote access server. Means for dynamically assigning a user requesting connection to a remote access server, a network address assigned to the user, and a network address set by the user for encrypted communication. And an encryption notifying unit for notifying the gateway device of the password.
【0026】上記構成によれば、リモートアクセスサー
バから認証サーバに対してあるユーザの認証の問合せが
行われ、認証された場合には、ユーザに付与されたネッ
トワークアドレスごとに、接続が許可されるネットワー
クとの間での暗号化通信をゲートウェイ装置に対して要
求する。ゲートウェイ装置はこの要求に応じて当該ユー
ザに付与されたネットワークアドレスと、そのユーザに
対して暗号化通信が可能なネットワークアドレスとの間
での暗号化通信を行うことができる。認証されたユーザ
に付与されたネットワークアドレスと、当該ユーザが暗
号化可能なネットワークアドレスとの間での暗号化通信
のみが可能になるため、他の設定が行われているユーザ
は、自己が暗号化通信可能として設定されているネット
ワークアドレス以外とは暗号化通信を行うことができな
い。またユーザに付与されるネットワークアドレスは、
リモートアクセスサーバの管理するアドレスのうち、使
用されていない任意のものとすればよく、予め接続先の
ネットワーク数に応じてアドレス群を分割しておく必要
がない。そのため、リモートアクセスサーバの管理する
ネットワークアドレスを有効に利用することができる。According to the above configuration, the remote access server makes an inquiry to the authentication server for authentication of a certain user, and when the authentication is successful, connection is permitted for each network address assigned to the user. Requests encrypted communication with the network from the gateway device. The gateway device can perform encrypted communication between the network address given to the user in response to the request and a network address that allows encrypted communication to the user. Only encrypted communication can be performed between the network address given to the authenticated user and the network address that can be encrypted by the user. Encrypted communication cannot be performed with a network address other than the network address set to enable encrypted communication. The network address given to the user is
Any address which is not used among addresses managed by the remote access server may be used, and there is no need to divide the address group in advance according to the number of networks to which the connection is made. Therefore, the network address managed by the remote access server can be effectively used.
【0027】請求項5に記載の発明にかかる動的暗号化
通信のための認証サーバは、請求項4に記載の発明の構
成に加えて、ゲートウェイ装置は、指定された暗号化方
式で暗号化通信を行うための手段を含んでおり、記憶手
段はさらに、ユーザと、各ユーザが暗号化通信するネッ
トワークアドレスとの間での通信に用いられる暗号化方
式を特定するための情報を記憶し、認証サーバはさら
に、暗号化方式をゲートウェイ装置に通知するための手
段を含む。According to a fifth aspect of the present invention, in the authentication server for dynamic encrypted communication, in addition to the configuration of the fourth aspect of the invention, the gateway device is configured to perform encryption using a designated encryption method. Communication means, wherein the storage means further stores information for specifying an encryption method used for communication between the user and a network address with which each user performs encrypted communication, The authentication server further includes means for notifying the gateway device of the encryption method.
【0028】認証されたユーザごとに使用される暗号化
方式を設定することができるので、たとえば企業の役員
のようにその扱う情報が重要である場合には暗号化強度
の高い暗号化方式を選択することにより通信の安全を確
保することができる。また、比較的その役割が重要でな
い社員については暗号化強度の比較的低い暗号化方式を
選択することにより、暗号化通信を行うゲートウェイサ
ーバなどにかかる負荷を抑えることができる。Since an encryption method to be used can be set for each authenticated user, an encryption method having a high encryption strength is selected when the information to be handled is important, for example, a company officer. By doing so, communication security can be ensured. Further, for an employee whose role is relatively unimportant, by selecting an encryption method with a relatively low encryption strength, the load on a gateway server or the like that performs encrypted communication can be suppressed.
【0029】請求項6に記載の発明にかかる動的暗号化
通信のための認証サーバは、請求項4または5に記載の
発明の構成に加えてさらに、ゲートウェイ装置は、暗号
化通信のログを記録するための手段を含み、認証サーバ
はさらに、ゲートウェイ装置からログを収集するための
手段を含む。According to a sixth aspect of the present invention, in the authentication server for dynamic encrypted communication, in addition to the configuration of the fourth or fifth aspect of the invention, the gateway device further includes a log of the encrypted communication. Including means for recording, the authentication server further includes means for collecting logs from the gateway device.
【0030】ゲートウェイ装置で暗号化通信のログをと
り、それを認証サーバで収集することにより、暗号化通
信に関する課金を容易に管理することができる。[0030] By taking a log of the encrypted communication at the gateway device and collecting it at the authentication server, the billing for the encrypted communication can be easily managed.
【0031】請求項7に記載の発明にかかるゲートウェ
イ装置は、リモートアクセスサーバと、ネットワーク間
接続網との間に接続されるゲートウェイ装置であって、
リモートアクセスサーバと通信可能な認証サーバから暗
号化通信の要求を受信するための手段と、この要求に応
答して、認証サーバからの通知に含まれるネットワーク
アドレス間の通信を暗号化するための暗号化通信手段と
を含む。A gateway device according to a seventh aspect of the present invention is a gateway device connected between a remote access server and an inter-network.
Means for receiving a request for encrypted communication from an authentication server capable of communicating with the remote access server, and a cipher for encrypting communication between network addresses included in a notification from the authentication server in response to the request; Communication means.
【0032】上記構成によれば、認証されたユーザに付
与されたネットワークアドレスごとに、接続が許可され
るネットワークとの間での暗号化通信を可能とすること
を要求する通知がゲートウェイ装置に対しておこなわれ
る。ゲートウェイ装置はこの要求に応じて、その通知に
含まれるネットワークアドレス間での暗号化通信を行う
ような設定を行うことができる。認証サーバで暗号化通
信が可能とされたネットワークアドレス間での暗号化通
信のみが可能になるため、認証サーバで他の設定が行わ
れているユーザは、認証サーバに設定されているネット
ワークアドレス以外とは暗号化通信を行うことができな
い。また認証サーバでユーザに付与されるネットワーク
アドレスは、リモートアクセスサーバの管理するアドレ
スのうちの使用されていない任意のものとすればよく、
予め接続先のネットワーク数に応じてアドレス群を分割
しておく必要がない。そのため、リモートアクセスサー
バの管理するネットワークアドレスを有効に利用するこ
とができる。According to the above configuration, for each network address given to the authenticated user, a notification requesting that the encrypted communication with the network to which connection is permitted is enabled is sent to the gateway device. It is done. In response to this request, the gateway device can make settings for performing encrypted communication between the network addresses included in the notification. Since only encrypted communication can be performed between network addresses for which encrypted communication has been enabled on the authentication server, users with other settings on the authentication server must use networks other than the network address set on the authentication server. Cannot perform encrypted communication. The network address given to the user by the authentication server may be any unused address managed by the remote access server,
It is not necessary to divide the address group in advance according to the number of networks to be connected. Therefore, the network address managed by the remote access server can be effectively used.
【0033】請求項8に記載の発明にかかるゲートウェ
イ装置は、請求項7に記載の発明の構成に加えて、暗号
化通信の要求は、通信の暗号化方式を特定するための情
報をさらに含み、ゲートウェイ装置はさらに、暗号化方
式を特定するための情報に基づいて、暗号化通信手段で
行われる暗号化通信の方式を選択する。In the gateway device according to the present invention, in addition to the configuration of the invention described in the seventh aspect, the request for encrypted communication further includes information for specifying a communication encryption method. The gateway device further selects a scheme of the encrypted communication performed by the encrypted communication unit based on the information for specifying the encryption scheme.
【0034】認証サーバからの要求にしたがって、ゲー
トウェイ装置では認証サーバから通知されたネットワー
クアドレスごとに暗号化方式を変えることができる。そ
のため、暗号化強度の高い方式と低い方式とを適宜組合
わせることで、通信の安全性を確保しながら、ゲートウ
ェイ装置などにかかる負荷を抑えることができる。In response to a request from the authentication server, the gateway device can change the encryption method for each network address notified from the authentication server. Therefore, by appropriately combining a method with a high encryption strength and a method with a low encryption strength, it is possible to suppress the load on the gateway device and the like while ensuring communication security.
【0035】[0035]
【発明の実施の形態】図1を参照して、本発明の実施の
形態にかかる動的暗号化通信システムは、図7に示され
る認証サーバ152に替えて、ユーザごとの認証情報に
加えて各ユーザに対して暗号化通信を許可するネットワ
ークアドレス群を特定する情報を含む認証情報データベ
ース72を保持する認証サーバ40を含む。認証サーバ
40は認証サーバ152と同様に、リモートアクセスサ
ーバ50からの要求に応じてユーザ認証を行うととも
に、当該ユーザに対して、リモートアクセスサーバ50
の管理するネットワークアドレス群38の中の使用され
ていない1つのネットワークアドレスを割振る機能を有
する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Referring to FIG. 1, a dynamic encryption communication system according to an embodiment of the present invention replaces authentication server 152 shown in FIG. 7 in addition to authentication information for each user. It includes an authentication server 40 that holds an authentication information database 72 that includes information for specifying a group of network addresses for which each user is permitted to perform encrypted communication. The authentication server 40 authenticates the user in response to a request from the remote access server 50, similarly to the authentication server 152, and provides the remote access server 50
Has a function of allocating one unused network address in the network address group 38 managed by the group.
【0036】このシステムはさらに、認証サーバ40か
ら暗号化通信の要求通知を受け、これに応答して、認証
サーバ40から通知されるあるユーザに割振られたネッ
トワークアドレスと、そのネットワークアドレスと暗号
化通信を行うことが許可されたネットワークアドレス群
とを設定してこれらの間での暗号化通信を許可して認証
サーバ40に通知するためのゲートウェイ36を含む。
この実施の形態ではゲートウェイ36はまた、こうして
登録されたネットワークアドレスの間での暗号化通信を
行う。またゲートウェイ36は、ゲートウェイ36を介
して行われた暗号化通信の通信ログ70を記録する機能
を持つ。通信ログ70をとる機能自体には、従来の一般
的な手法を適用することができる。こうして記録された
通信ログ70は、後述するように認証サーバ40 によ
って定期的に収集され、ユーザごとの課金情報の計算に
利用される。The system further receives a request for encrypted communication from the authentication server 40. In response to this, the network address allocated to a user notified by the authentication server 40, the network address and the encryption It includes a gateway 36 for setting a group of network addresses permitted to perform communication, permitting encrypted communication between them, and notifying the authentication server 40.
In this embodiment, the gateway 36 also performs encrypted communication between the thus registered network addresses. Further, the gateway 36 has a function of recording a communication log 70 of the encrypted communication performed through the gateway 36. A conventional general method can be applied to the function itself for taking the communication log 70. The communication log 70 recorded in this manner is periodically collected by the authentication server 40 as described later, and is used for calculating billing information for each user.
【0037】図1に示されるシステムにおいて、図7に
示される従来のシステムの構成要素と同一または類似の
要素には同一の参照番号を付してある。それらの機能お
よび名称も同一である。したがってここではそれらにつ
いての詳細な説明は繰返さない。In the system shown in FIG. 1, the same or similar elements as those of the conventional system shown in FIG. 7 are denoted by the same reference numerals. Their functions and names are also the same. Therefore, detailed description thereof will not be repeated here.
【0038】図2を参照して、認証情報データベース7
2の構成としては種々考えられるが、この例ではユーザ
名と、ユーザの認証情報(ユーザ識別子(ユーザID)
およびパスワードなど)と、その所属企業(したがって
当該ユーザが暗号化通信を許可されるネットワークを特
定する情報)と、当該ユーザと相手ネットワークアドレ
ス(群)との間の暗号化通信で用いられる暗号化方式を
特定する情報とが含まれる。暗号化方式をどのユーザで
も同一とするのであれば暗号化方式を特定する情報は不
要である。Referring to FIG. 2, authentication information database 7
Various configurations are conceivable as the configuration 2; in this example, the user name and the user authentication information (user identifier (user ID)
And password), the company to which it belongs (and thus the information identifying the network to which the user is allowed to perform encrypted communication), and the encryption used in the encrypted communication between the user and the other network address (es). And information for specifying the method. If the encryption method is the same for all users, information for specifying the encryption method is unnecessary.
【0039】以下、図1に示されるゲートウェイ36、
認証サーバ40およびリモートアクセスサーバ50の機
能を明確にするために、これらが実行する処理について
図3〜図6のフローチャートを参照しながら説明する。
システム全体の動作についてはさらに後に述べる。な
お、以下の説明ではユーザの認証および暗号化通信の設
定のための処理についてのみ詳しく述べることとして、
それ以外の処理については詳細な説明は行わないが、通
信をサポートするための一般的な処理が各部で実行され
ていることは当業者には明確であろう。また以下の説明
および図3〜図6のフローチャートでは便宜上ユーザの
認証および暗号化通信の設定のための処理が一連のステ
ップで実現されるように記載するが、実際にはこれらの
通信は他の通信と多重化されて行われており、したがっ
て各サーバおよびゲートウェイが実行する処理がこのよ
うなシーケンスに従っている訳ではない。The gateway 36 shown in FIG.
In order to clarify the functions of the authentication server 40 and the remote access server 50, the processing executed by these will be described with reference to the flowcharts of FIGS.
The operation of the entire system will be described later. In the following description, only processing for user authentication and setting of encrypted communication will be described in detail.
The other processes will not be described in detail, but it will be apparent to those skilled in the art that general processes for supporting communication are performed in each unit. In the following description and the flowcharts of FIGS. 3 to 6, processing for user authentication and setting of encrypted communication is described as being realized in a series of steps for the sake of convenience. It is performed in a multiplexed manner with the communication, so that the processing executed by each server and gateway does not follow such a sequence.
【0040】また、実際に通信を行うに先立ち、ゲート
ウェイ22、26、30にはいずれも、リモートアクセ
スサーバ50の管理するネットワークアドレス群38の
全てと各自のネットワークアドレス群との間での暗号化
通信を行うようにアドレスの登録と暗号化通信の設定と
を行っておくものとする。またゲートウェイ36につい
ては、事前には暗号化通信が可能となるような設定は何
も行わない。Prior to actual communication, each of the gateways 22, 26 and 30 performs encryption between all of the network address groups 38 managed by the remote access server 50 and their own network address groups. It is assumed that an address is registered and encrypted communication is set so as to perform communication. No settings are made in advance for the gateway 36 to enable encrypted communication.
【0041】図3を参照して、リモートアクセスサーバ
50は以下の処理を行う。まずステップ80で他からの
通信を受信する。これがユーザからの接続要求か否かを
判定する(ステップ82)。ユーザからの接続要求でな
ければステップ90で、受信したメッセージに応じた処
理を実行し、ステップ80に制御を戻す。ユーザからの
接続要求であれば、認証サーバ40に対して当該ユーザ
の認証を問合せる(ステップ84)。認証サーバ40は
これに対して図4を参照して説明するような処理をした
後、ユーザ認証が行われた場合には、当該ユーザに割振
られたネットワークアドレスなどの通信に必要な情報を
リモートアクセスサーバ50に通知して来る。リモート
アクセスサーバ50はこの認証サーバ40からの情報を
受信して(ステップ86)、その情報をユーザに送信
(ステップ88)した後、制御をステップ80に戻す。Referring to FIG. 3, remote access server 50 performs the following processing. First, in step 80, communication from another is received. It is determined whether or not this is a connection request from the user (step 82). If it is not a connection request from the user, in step 90, a process corresponding to the received message is executed, and control is returned to step 80. If the request is a connection request from a user, the authentication server 40 is queried for authentication of the user (step 84). When the user is authenticated after performing the processing described with reference to FIG. 4, the authentication server 40 transmits information necessary for communication such as the network address allocated to the user to the remote server. The access server 50 is notified. The remote access server 50 receives the information from the authentication server 40 (Step 86), transmits the information to the user (Step 88), and returns the control to Step 80.
【0042】一方認証サーバ40はユーザの認証時には
図4を参照して次のような動作を行う。まずいずれかの
リモートアクセスサーバまたはゲートウェイ36から通
信を受信する(ステップ100)。受信した内容がリモ
ートアクセスサーバからの認証要求か否かを判定する
(ステップ102)。認証要求でなければステップ11
2で受信内容に応じた処理を行い再び制御をステップ1
00に戻す。On the other hand, the authentication server 40 performs the following operation at the time of user authentication with reference to FIG. First, communication is received from any remote access server or gateway 36 (step 100). It is determined whether the received content is an authentication request from the remote access server (step 102). If not an authentication request, step 11
In step 2, processing is performed according to the received content, and control is performed again in step 1.
Return to 00.
【0043】ステップ102の判定の結果、受信内容が
例えばリモートアクセスサーバ50からの認証要求であ
れば、ステップ104で認証情報データベース72を参
照してユーザ認証を行う。認証が失敗すればステップ1
16で認証が失敗したことをリモートアクセスサーバに
通知し制御をステップ100に戻す。If the result of determination in step 102 is that the received content is, for example, an authentication request from the remote access server 50, user authentication is performed with reference to the authentication information database 72 in step 104. Step 1 if authentication fails
At 16, the remote access server is notified that the authentication has failed, and the control returns to step 100.
【0044】認証が成功すればステップ106でリモー
トアクセスサーバ50の管理するネットワークアドレス
群38の中から使用されていないネットワークアドレス
を1つ選択する。そして認証情報データベース72から
当該ユーザについてどの暗号化方式を用いるかに関する
情報を抽出して、このユーザと、当該ユーザの所属する
組織のネットワークとの間での暗号化通信を可能にした
い旨の通知をゲートウェイ36に対して行う(ステップ
108)。If the authentication is successful, at step 106, one unused network address is selected from the network address group 38 managed by the remote access server 50. Then, information about which encryption method is to be used for the user is extracted from the authentication information database 72, and a notification that the user wants to enable encrypted communication between the user and the network of the organization to which the user belongs is extracted. Is performed on the gateway 36 (step 108).
【0045】ゲートウェイ36はこの通知に対して後述
するような処理を行い、暗号通信可能の通知を認証サー
バ40に対して行ってくる。認証サーバ40はこのゲー
トウェイ36からの通知を受け(ステップ110)、リ
モートアクセスサーバに対してユーザの通信に必要な情
報を全て通知する。図3のステップ86でリモートアク
セスサーバ50が受信する情報はこの情報である。この
後認証サーバ40は制御をステップ100に戻し、次の
受信内容に応じた処理を実行する。The gateway 36 performs a process described later on the notification, and sends a notification that the encrypted communication is possible to the authentication server 40. Upon receiving the notification from the gateway 36 (step 110), the authentication server 40 notifies the remote access server of all information necessary for user communication. The information received by the remote access server 50 in step 86 of FIG. 3 is this information. After that, the authentication server 40 returns the control to step 100, and executes a process according to the next received content.
【0046】さらにまたこの認証サーバ40は、ゲート
ウェイ36が記録したログを定期的に収集する機能を持
つ。図5にその簡単なフローチャートを示す。図5に示
す例では、当該サーバを構成するコンピュータのオペレ
ーティングシステムが提供するタイマ機能などを用い
て、定時になるとゲートウェイ36から通信ログ70を
収集するプロセスが起動される(ステップ120)。こ
の処理では、認証サーバ40と関連付けがされている全
てのゲートウェイ36の通信ログ70が収集される。こ
の情報は以後、認証サーバ40によって暗号化通信のた
めの課金情報の管理に用いられる。Further, the authentication server 40 has a function of periodically collecting logs recorded by the gateway 36. FIG. 5 shows a simple flowchart. In the example shown in FIG. 5, a process of collecting the communication log 70 from the gateway 36 is started at a regular time by using a timer function provided by an operating system of a computer constituting the server (step 120). In this process, the communication logs 70 of all the gateways 36 associated with the authentication server 40 are collected. This information is thereafter used by the authentication server 40 for managing the accounting information for the encrypted communication.
【0047】図6を参照して、ゲートウェイ36では以
下の処理を行う。まずステップ130でゲートウェイ3
6に向けられた通信を受信する。受信内容が認証サーバ
40からの通知(図4のステップ108で認証サーバ4
0によって発されたもの)か否かを判定する(ステップ
132)。この通知が認証サーバ40からのものでなけ
ればステップ142で受信内容に応じた処理を行い、制
御をステップ130に戻す。Referring to FIG. 6, gateway 36 performs the following processing. First, in step 130, the gateway 3
6 is received. The received content is a notification from the authentication server 40 (the authentication server 4 in step 108 of FIG. 4).
0 is issued) (step 132). If the notification is not from the authentication server 40, a process according to the received content is performed in step 142, and the control returns to step 130.
【0048】認証サーバ40からの通知であればステッ
プ134に制御が進み、認証サーバ40から通知された
ネットワークアドレスと、当該ユーザの所属するネット
ワーク(当該ユーザが暗号化通信を許可されたネットワ
ーク)のネットワークアドレス(群)との暗号化通信を
可能となるように設定する。そして暗号化通信が可能と
なったことについての通知を認証サーバ40に対して行
う(ステップ136)。その後制御はステップ130に
戻り、上述の処理を繰返す。If the notification is from the authentication server 40, the control advances to step 134, where the network address notified from the authentication server 40 and the network to which the user belongs (the network to which the user is permitted to perform the encrypted communication) are displayed. It is set so that encrypted communication with the network address (group) can be performed. Then, a notification that the encrypted communication is possible is sent to the authentication server 40 (step 136). Thereafter, control returns to step 130, and the above-described processing is repeated.
【0049】個々の機能について説明したので、全体の
動作の流れについて説明する。図1を参照して、既に述
べたようにゲートウェイ22、26、30については、
リモートアクセスサーバ50の管理するネットワークア
ドレス群38と各々のネットワークのアドレス群との間
で暗号化通信を可能とする設定が行われているものとす
る。またゲートウェイ36には、暗号化通信についての
設定は何も事前には行われていない。Now that the individual functions have been described, the overall operation flow will be described. With reference to FIG. 1, as already mentioned, for the gateways 22, 26, 30
It is assumed that settings are made to enable encrypted communication between the network address group 38 managed by the remote access server 50 and the address group of each network. No settings are made in advance for the encrypted communication in the gateway 36.
【0050】たとえばユーザ52がPPPプロトコルに
よる通信62を介してリモートアクセスサーバ50に対
してアクセスしたとする。リモートアクセスサーバ50
はRADIUSによる通信60で認証サーバ40に対し
てユーザ52についての認証を求める。認証サーバ40
はこの要求に応じて認証情報データベース72に格納さ
れたユーザ52についての認証情報に基づいて認証を行
う。認証されない場合はその旨の通知がリモートアクセ
スサーバ50に対して行われる。認証された場合、リモ
ートアクセスサーバ50の管理するネットワークアドレ
ス群38の中の、使用されていない1つのネットワーク
アドレスがユーザ52に対して割振られる。その後ユー
ザ52に対する暗号化通信のための処理が以下のように
行われる。For example, assume that the user 52 accesses the remote access server 50 via the communication 62 using the PPP protocol. Remote access server 50
Requests the authentication server 40 to authenticate the user 52 through the communication 60 by RADIUS. Authentication server 40
Performs authentication based on the authentication information for the user 52 stored in the authentication information database 72 in response to this request. If not authenticated, a notification to that effect is sent to the remote access server 50. When the user is authenticated, one unused network address in the network address group 38 managed by the remote access server 50 is allocated to the user 52. Thereafter, processing for encrypted communication with the user 52 is performed as follows.
【0051】認証サーバ40は、認証情報データベース
72のユーザ52に関する情報に基づき、ユーザ52が
暗号化通信を行なえるネットワークアドレス(群)を調
べ、ユーザ52に割振られたネットワークアドレスと、
ユーザ52が暗号化通信を行なえる所属企業のネットワ
ーク(例えばA社ネットワーク24)との暗号化通信を
可能にしたい旨の通知をゲートウェイ36に対して行
う。The authentication server 40 checks a network address (group) at which the user 52 can perform the encrypted communication based on the information on the user 52 in the authentication information database 72, and finds out the network address assigned to the user 52,
A notification to the effect that the user 52 wants to be able to perform encrypted communication with a network of a company to which the user 52 can perform encrypted communication (for example, the company A network 24) is sent to the gateway 36.
【0052】ゲートウェイ36はこの通知に応答して、
通知されたネットワークアドレスのみが、通知された企
業のネットワーク(この例ではA社ネットワーク24)
と暗号化通信が可能である旨の設定を行う。このとき、
使用される暗号化方式は認証情報データベース72に記
録されているものとされる。ゲートウェイ36はこの後
認証サーバ40に対して暗号化通信可能の通知を行う。
認証サーバ40 はこの通知に応答して、リモートアク
セスサーバ50に対してユーザ52の通信のために必要
な情報を全て通知する。リモートアクセスサーバ50は
この情報をユーザ52に対して通知する。The gateway 36 responds to this notification by
Only the notified network address is the notified company network (in this example, company A network 24).
Is set to enable encrypted communication. At this time,
It is assumed that the encryption method used is recorded in the authentication information database 72. Thereafter, the gateway 36 notifies the authentication server 40 that the encrypted communication is possible.
In response to the notification, the authentication server 40 notifies the remote access server 50 of all information necessary for the communication of the user 52. The remote access server 50 notifies this information to the user 52.
【0053】以後、ユーザ52とA社ネットワーク24
との間の通信は、リモートアクセスサーバ50、ゲート
ウェイ36、ルータ34、インターネット20、および
ゲートウェイ22という経路を経て行われる。またこの
とき、ゲートウェイ36は認証サーバ40からの通知に
基づいた暗号化方式で通信を暗号化する。ゲートウェイ
22にはもともとリモートアクセスサーバ50の管理す
るネットワークアドレス群38との間の暗号化通信が可
能である旨の設定が行われているから、ユーザ52とA
社ネットワーク24との間の暗号化通信を中継すること
ができる。Thereafter, the user 52 and the company A network 24
Is performed via a route of the remote access server 50, the gateway 36, the router 34, the Internet 20, and the gateway 22. At this time, the gateway 36 encrypts the communication by an encryption method based on the notification from the authentication server 40. Since the gateway 22 is originally set to enable encrypted communication with the network address group 38 managed by the remote access server 50, the user 52 and the A
Encrypted communication with the company network 24 can be relayed.
【0054】この方式をとると、たとえばB社ネットワ
ーク28との間での暗号化通信のみが可能である旨の設
定が認証情報データベース72に行われているユーザ5
4が、暗号化通信によってA社ネットワーク24と通信
することはできない。なぜならこのユーザ54に対して
もユーザ52と同じ手順で暗号化通信が可能なネットワ
ークアドレス群がゲートウェイ36によって設定される
が、それはA社ネットワーク24ではなくB社ネットワ
ーク28であって、A社ネットワーク24とは暗号化通
信はできないためである。According to this method, for example, the user 5 who has set in the authentication information database 72 such that only encrypted communication with the company B network 28 is possible is performed.
4 cannot communicate with the company A network 24 by encrypted communication. This is because, for the user 54, a network address group capable of performing encrypted communication in the same procedure as the user 52 is set by the gateway 36, but it is not the company A network 24 but the company B network 28. 24 is because encrypted communication cannot be performed.
【0055】またこのような方式とした場合、リモート
アクセスサーバ50の管理するネットワークアドレス群
38を予めA社用、B社用、C社用などと区分しておく
必要がない。新たにユーザから接続要求が発せられるた
びに、リモートアクセスサーバ50の管理するネットワ
ークアドレス群38の中の、使用されていない1つをそ
のユーザの所属にかかわらずそのユーザに割振ればよ
い。そのため、リモートアクセスサーバ50の管理する
ネットワークアドレス群38をすべて有効に使用するこ
とができるという効果がある。Further, in the case of such a method, it is not necessary to classify the network address group 38 managed by the remote access server 50 into a company A, a company B, a company C, or the like in advance. Each time a new connection request is issued from a user, an unused one of the network address groups 38 managed by the remote access server 50 may be allocated to the user regardless of the user's affiliation. Therefore, there is an effect that all the network address groups 38 managed by the remote access server 50 can be used effectively.
【0056】今回開示された実施の形態はすべての点で
例示であって制限的なものではないと考えられるべきで
ある。本発明の範囲は上記した説明ではなくて特許請求
の範囲によって示され、特許請求の範囲と均等の意味お
よび範囲内でのすべての変更が含まれることが意図され
る。The embodiments disclosed this time are to be considered in all respects as illustrative and not restrictive. The scope of the present invention is defined by the terms of the claims, rather than the description above, and is intended to include any modifications within the scope and meaning equivalent to the terms of the claims.
【図1】本願発明の実施の形態にかかる暗号化通信シス
テムを示すブロック図である。FIG. 1 is a block diagram showing an encryption communication system according to an embodiment of the present invention.
【図2】本願発明の実施の形態にかかる認証サーバが保
持する認証情報の一例を模式的に示す図である。FIG. 2 is a diagram schematically illustrating an example of authentication information held by an authentication server according to the embodiment of the present invention.
【図3】本願発明の実施の形態にかかるシステムのリモ
ートアクセスサーバで行われる処理のフローチャートで
ある。FIG. 3 is a flowchart of a process performed by a remote access server of the system according to the embodiment of the present invention.
【図4】本願発明の実施の形態にかかるシステムの認証
サーバで行われる処理のフローチャートである。FIG. 4 is a flowchart of a process performed by an authentication server of the system according to the embodiment of the present invention.
【図5】本願発明の実施の形態にかかるシステムの認証
サーバで行われる、ログ収集のフローチャートである。FIG. 5 is a flowchart of log collection performed by the authentication server of the system according to the embodiment of the present invention.
【図6】本願発明の実施の形態にかかるシステムのゲー
トウェイで行われる処理のフローチャートである。FIG. 6 is a flowchart of a process performed by a gateway of the system according to the embodiment of the present invention.
【図7】従来の暗号化通信システムを示すブロック図で
ある。FIG. 7 is a block diagram showing a conventional encrypted communication system.
22、26、30、36、150 ゲートウェイ 24、28、32 ネットワーク 40、152 認証サーバ 50 リモートアクセスサーバ 52、54、56 ユーザ 70 通信ログ 72 認証情報データベース 22, 26, 30, 36, 150 Gateway 24, 28, 32 Network 40, 152 Authentication server 50 Remote access server 52, 54, 56 User 70 Communication log 72 Authentication information database
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B089 GA11 GA31 HA01 HA03 HA10 HB03 JB23 KA15 KA17 KB03 KB06 KB12 KB13 KH30 5J104 AA01 AA07 DA03 KA01 MA01 PA07 5K030 GA15 HD03 HD09 KA01 KA07 LA07 LD17 LD20 LE17 MC08 5K033 AA08 BA13 CB08 DA05 DB12 DB14 DB19 ──────────────────────────────────────────────────続 き Continued on the front page F-term (reference) DB12 DB14 DB19
Claims (8)
ワークにアクセスする要求をユーザから受け付けるリモ
ートアクセスサーバと、 ユーザ情報を管理し、前記リモートアクセスサーバから
の問合せに応じて、ユーザ認証を行い、認証された各前
記ユーザに対してネットワークアドレスを動的に付与し
て前記リモートアクセスサーバに通知するための認証サ
ーバと、 前記リモートアクセスサーバと、前記ネットワーク間接
続網との間に接続され、前記リモートアクセスサーバか
ら前記ネットワーク間接続網への通信を中継するゲート
ウェイ装置とを含み、 前記認証サーバは、各ユーザに付与されたネットワーク
アドレスごとに、接続が許可されるネットワークとの間
での暗号化通信を前記ゲートウェイ装置に要求する手段
を含み、 前記ゲートウェイ装置は、前記認証サーバからの暗号化
通信の要求に応答して、ユーザに付与されたネットワー
クアドレスと、当該ユーザに接続が許可されるネットワ
ークアドレスとの間での暗号化通信を行うための手段を
含む、動的暗号化通信システム。A remote access server that receives a request from a user to access another network via an inter-network, manages user information, performs user authentication in response to an inquiry from the remote access server, and performs authentication. An authentication server for dynamically assigning a network address to each of said users to notify the remote access server, and an authentication server connected between the remote access server and the internetwork; A gateway device that relays communication from the access server to the inter-network connection network, wherein the authentication server performs, for each network address assigned to each user, encrypted communication with a network to which connection is permitted. Requesting from the gateway device, The gateway device, in response to a request for encrypted communication from the authentication server, performs encrypted communication between the network address given to the user and a network address permitted to connect to the user. A dynamic encryption communication system including means.
ザの接続が許可されるネットワークアドレスとの組合わ
せに対して使用される暗号化方式を特定する情報を持
ち、当該情報を前記ゲートウェイ装置に通知し、 前記ゲートウェイ装置は、前記認証サーバから通知され
た暗号化方式によって当該ユーザによる通信の暗号化を
行う、請求項1に記載の動的暗号化通信システム。2. The authentication server has information for specifying an encryption method used for a combination of a user and a network address to which the user is permitted to connect, and transmits the information to the gateway device. The dynamic encryption communication system according to claim 1, wherein the gateway device performs communication, and the gateway device encrypts communication by the user according to the encryption method notified from the authentication server.
ログを記録するための手段を含み、 前記認証サーバはさらに、前記ゲートウェイ装置から前
記ログを収集するための手段を含む、請求項1または2
に記載の動的暗号化通信システム。3. The gateway device includes a unit for recording a log of encrypted communication, and the authentication server further includes a unit for collecting the log from the gateway device.
3. The dynamic encryption communication system according to claim 1.
装置との間で通信可能な認証サーバであって、 ユーザ認証に必要な情報および各ユーザが暗号化通信す
るネットワークアドレスを特定する情報とを記憶するた
めの記憶手段と、 リモートアクセスサーバからの要求に応じて、当該リモ
ートアクセスサーバが管理するネットワークアドレスの
うちの一つを、前記リモートアクセスサーバへの接続を
要求しているユーザに対して動的に付与するための手段
と、 前記ユーザに付与されたネットワークアドレスと、前記
ユーザが暗号化通信するものとして設定されているネッ
トワークアドレスとを前記ゲートウェイ装置に通知する
ための暗号化通知手段とを含む、動的暗号化通信のため
の認証サーバ。4. An authentication server that can communicate with a gateway device that supports encrypted communication, and stores information necessary for user authentication and information specifying a network address for each user to perform encrypted communication. Storage means for storing, in response to a request from the remote access server, one of the network addresses managed by the remote access server to a user requesting connection to the remote access server. And an encryption notifying unit for notifying the gateway device of a network address assigned to the user and a network address set by the user to perform encrypted communication. Authentication server for dynamic encrypted communication.
号化方式で暗号化通信を行うための手段を含んでおり、 前記記憶手段はさらに、ユーザと、各ユーザが暗号化通
信するネットワークアドレスとの間での通信に用いられ
る暗号化方式を特定するための情報を記憶し、 前記認証サーバはさらに、前記暗号化方式を前記ゲート
ウェイ装置に通知するための手段を含む、請求項4に記
載の動的暗号化通信のための認証サーバ。5. The gateway device includes means for performing encrypted communication using a designated encryption method. The storage means further stores a user and a network address with which each user performs encrypted communication. The method according to claim 4, wherein information for specifying an encryption method used for communication between the devices is stored, and the authentication server further includes means for notifying the gateway device of the encryption method. Server for dynamic encrypted communication.
ログを記録するための手段を含み、 前記認証サーバはさらに、前記ゲートウェイ装置から前
記ログを収集するための手段を含む、請求項4または5
に記載の動的暗号化通信のための認証サーバ。6. The gateway device includes a unit for recording a log of encrypted communication, and the authentication server further includes a unit for collecting the log from the gateway device.
An authentication server for dynamic encrypted communication according to item 1.
ク間接続網との間に接続されるゲートウェイ装置であっ
て、 前記リモートアクセスサーバと通信可能な認証サーバか
ら暗号化通信の要求を受信するための手段と、 前記要求に応答して、前記認証サーバからの通知に含ま
れるネットワークアドレス間の通信を暗号化するための
暗号化通信手段を含む、ゲートウェイ装置。7. A gateway device connected between a remote access server and an internetwork, wherein the gateway device receives a request for encrypted communication from an authentication server capable of communicating with the remote access server. A gateway device including, in response to the request, encryption communication means for encrypting communication between network addresses included in the notification from the authentication server.
方式を特定するための情報をさらに含み、 前記ゲートウェイ装置はさらに、前記暗号化方式を特定
するための前記情報に基づいて、前記暗号化通信手段で
行われる暗号化通信の方式を選択する、請求項7に記載
のゲートウェイ装置。8. The request for encrypted communication further includes information for specifying an encryption method of communication, and the gateway device further includes: the information for specifying the encryption method based on the information for specifying the encryption method. The gateway device according to claim 7, wherein a method of encrypted communication performed by the encrypted communication means is selected.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10302751A JP2000132474A (en) | 1998-10-23 | 1998-10-23 | Dynamic ciphered communication system, authentication server for dynamic ciphered communication, and gateway device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10302751A JP2000132474A (en) | 1998-10-23 | 1998-10-23 | Dynamic ciphered communication system, authentication server for dynamic ciphered communication, and gateway device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000132474A true JP2000132474A (en) | 2000-05-12 |
Family
ID=17912720
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10302751A Withdrawn JP2000132474A (en) | 1998-10-23 | 1998-10-23 | Dynamic ciphered communication system, authentication server for dynamic ciphered communication, and gateway device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000132474A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006203871A (en) * | 2004-12-21 | 2006-08-03 | Ricoh Co Ltd | Communication apparatus, communication method, communication program, and recording medium |
| JP2015153099A (en) * | 2014-02-13 | 2015-08-24 | 株式会社リコー | Information processing system, information processing method, and program |
| JP2017513304A (en) * | 2014-03-05 | 2017-05-25 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | Access node device for forwarding data packets |
-
1998
- 1998-10-23 JP JP10302751A patent/JP2000132474A/en not_active Withdrawn
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006203871A (en) * | 2004-12-21 | 2006-08-03 | Ricoh Co Ltd | Communication apparatus, communication method, communication program, and recording medium |
| JP2015153099A (en) * | 2014-02-13 | 2015-08-24 | 株式会社リコー | Information processing system, information processing method, and program |
| JP2017513304A (en) * | 2014-03-05 | 2017-05-25 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | Access node device for forwarding data packets |
| US10187296B2 (en) | 2014-03-05 | 2019-01-22 | Huawei Technologies Co., Ltd. | Access node device for forwarding data packets |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7805606B2 (en) | Computer system for authenticating a computing device | |
| US7698388B2 (en) | Secure access to remote resources over a network | |
| CN108337677B (en) | Network authentication method and device | |
| US5898780A (en) | Method and apparatus for authorizing remote internet access | |
| US9197639B2 (en) | Method for sharing data of device in M2M communication and system therefor | |
| JP2004072766A (en) | System for providing access control platform service to private network | |
| US10206090B2 (en) | Method and device for searching for available device in M2M environment | |
| JPH103420A (en) | Access control system and method | |
| CN107005582A (en) | Public point is accessed using the voucher being stored in different directories | |
| JP2003131923A (en) | Virtual private volume method and system | |
| JP4252063B2 (en) | User location system | |
| JP2013503514A (en) | Service access method, system and apparatus based on WLAN access authentication | |
| CN1795656B (en) | Method for safely initializing user and confidential data | |
| JP4835569B2 (en) | Virtual network system and virtual network connection device | |
| JPH1028144A (en) | System for constituting network with access control function | |
| US9232078B1 (en) | Method and system for data usage accounting across multiple communication networks | |
| US7966653B2 (en) | Method and data processing system for determining user specific usage of a network | |
| JP2000132474A (en) | Dynamic ciphered communication system, authentication server for dynamic ciphered communication, and gateway device | |
| JP2001282667A (en) | Authentication server-client system | |
| JP3953963B2 (en) | Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system | |
| JP2005108153A (en) | Information service system for vehicle | |
| JP4078289B2 (en) | Authentication system | |
| JP2002183008A (en) | Authentication device, firewall, terminal, server, authenticating method, and storage medium | |
| JP2003087332A (en) | Relay connection system, network level authentication server, gateway, information server and program | |
| JP4078288B2 (en) | Authentication system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20060110 |