JP3645844B2 - Relay connection method, network level authentication server, gateway device, information server, and program - Google Patents
Relay connection method, network level authentication server, gateway device, information server, and program Download PDFInfo
- Publication number
- JP3645844B2 JP3645844B2 JP2001277173A JP2001277173A JP3645844B2 JP 3645844 B2 JP3645844 B2 JP 3645844B2 JP 2001277173 A JP2001277173 A JP 2001277173A JP 2001277173 A JP2001277173 A JP 2001277173A JP 3645844 B2 JP3645844 B2 JP 3645844B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- network address
- communication path
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明はネットワークのセキュリティ管理に利用する。特に、プライベートネットワークに利用するに適する。
【0002】
【従来の技術】
プライベートなネットワークアドレスにより制御される私設通信網であり、ネットワークレベル認証および個人認証の双方を行った利用者のみが利用可能な認証通信網では、従来、利用者のネットワークレベルの認証を行い、ネットワークレベルでの認証通信路を設定し、個人認証の完了していない利用者からのアクセス要求があった場合には、この認証通信路を用いて、利用者の個人認証を行い、その上で、利用者による認証通信網の利用を許可する。この従来例を図14を参照して説明する。図14は従来の中継接続方式を説明するための図である。以下、図中では、ネットワークをNW、ゲートウェイをGWとして図示する。
【0003】
図14に示す例では、ゲートウェイ装置(GW装置と図示)3は、利用者端末1からの通信開始要求を受け付けると、ネットワークレベル認証サーバ(NWレベル認証サーバと図示)6に対してその旨をネットワークレベル認証要求として伝達し、ネットワークレベル認証を行う。
【0004】
具体的には、ネットワークレベル認証サーバ6には、あらかじめ正当な利用者のネットワークレベルの認証情報が登録されており、ゲートウェイ装置3から伝達されたネットワークレベル認証要求から正当な利用者であるか否かを判定する。この判定の結果、正当な利用者であることが判定されると、ネットワークレベル認証サーバ6は、ゲートウェイ装置3に対してその旨を通知する。
【0005】
ネットワークレベル認証が完了すると、ゲートウェイ装置3と利用者端末1との間の公衆通信網2に、認証通信路5が形成される。
【0006】
ゲートウェイ装置3にて、利用者端末1より、認証通信路5を介して認証通信網内部の利用を検出した際に、その利用者の個人レベル認証状態が、未認証の場合には、ゲートウェイ装置3は利用者端末1に対し、個人レベル認証を行うように促す。
【0007】
そこで、個人レベル認証を行うために、利用者端末1は認証通信路5を介してゲートウェイ装置3に、個人認証情報を送信する。これを受信したゲートウェイ装置3では、個人認証情報を含む個人レベル認証要求を個人レベル認証サーバ7に転送する。個人レベル認証サーバ7は、個人レベル認証要求を受け取ると個人レベル認証を行う。
【0008】
具体的には、個人レベル認証サーバ7には、あらかじめ利用者の利用者識別子情報を含む個人レベル認証情報が登録されており、ゲートウェイ装置3から転送された個人レベル認証要求に含まれる利用者識別子を含む個人レベル認証情報から正当な利用者からの正当なアクセス要求であるか否かを判定する。この判定の結果、正当な利用者が正当なアクセス要求を行っていることが判定されると、個人レベル認証サーバ7は、ゲートウェイ装置3に対してその旨を通知する。これにより、ネットワークレベル認証および個人レベル認証が完了する。
【0009】
このような認証通信網4と、公衆通信網2との間のゲートウェイ装置3では、ネットワークレベル認証および個人レベル認証が完了すると、ネットワークレベルの識別情報(公衆通信網におけるアドレスであるネットワークアドレス)と個人レベルの識別情報(利用者識別子)をそれぞれ保持し、認証通信網4内部で使用するプライベートネットワークアドレスを割当て、公衆通信網2と認証通信網4との間でのネットワークアドレス変換を行う。
【0010】
情報サーバA、B、Cでは、アクセスしてきた利用者のプライベートネットワークアドレスを元にゲートウェイ装置3に対して、利用者の個人認証の状態を問い合わせる。ゲートウェイ装置3は、プライベートネットワークアドレスに基づき利用者識別子を検索して個人認証の状態として、利用者識別子を返送する。情報サーバA、B、Cでは、正当に個人認証された利用者からのアクセスを受け入れる。
【0011】
【発明が解決しようとする課題】
このような従来の中継接続方式では、以下のような問題が発生する。利用者端末1より、利用者aが、認証通信網4内部の情報サーバAを利用した後に、同一の利用者端末1から、利用者bが認証通信網4内部の情報サーバAを利用するときには、情報サーバAは、既に利用者aにより、利用者aに割当てられたプライベートネットワークアドレスにより認証を済ませており、同一のプライベートネットワークアドレスを利用している利用者bが情報サーバAを利用するときには、改めて認証を行うことはない。したがって、情報サーバ側から利用者の個人認証の状態の特定を正常に行うことは困難である。
【0012】
また、認証通信網内部へアクセスする認証通信路設定後に、個人レベル認証を実行するため、ゲートウェイ装置は、認証通信路上での情報サーバへのアクセスを監視し、アクセスを検出した際に、認証通信路上で実行される様々なアプリケーションから個人レベル認証サーバへ接続するよう誘導する必要があり、そのために、アプリケーション毎の対応が必要となる。したがって、ゲートウェイ装置の処理負荷が大きくなってしまう。
【0013】
さらに、個人レベル認証に誘導し、個人認証を行っている間に受信するパケットをゲートウェイ装置内部に保持し、個人レベル認証完了時に保持しているパケットを認証通信網内部に転送する必要がある。したがって、これもゲートウェイ装置の処理負荷を増大させる要因になる。
【0014】
本発明は、このような背景に行われたものであって、情報サーバ側から利用者を特定することができる中継接続方式を提供することを目的とする。本発明は、認証通信網内における認証状態の不一致または重複を回避することができる中継接続方式を提供することを目的とする。本発明は、ネットワークレベル認証および個人レベル認証の手順を簡単化することができる中継接続方式を提供することを目的とする。本発明は、ゲートウェイ装置の処理負荷を軽減させることができる中継接続方式を提供することを目的とする。
【0015】
【課題を解決するための手段】
本発明は、ネットワークレベルおよび個人レベルでの認証の双方を行った利用者が利用可能でありプライベートネットワークアドレスにより制御され利用者に情報を提供する情報サーバを含む私設通信網としての認証通信網と、この認証通信網にアクセスする利用者端末に接続された公衆通信網と前記認証通信網とを接続するゲートウェイ装置とを備えた中継接続方式である。
【0016】
ここで、本発明の特徴とするところは、ネットワークレベルの認証情報に個人レベルの認証情報を付加した認証情報を保持するネットワークレベル認証サーバが設けられ、前記ネットワークレベル認証サーバは、前記認証情報と併せて個人レベルのアクセス制御情報も付加して保持する手段と、前記ゲートウェイ装置から認証要求として受信した被認証情報を検証しその認証結果に前記アクセス制御情報を付加して前記ゲートウェイ装置に返送する手段とを備え、前記ゲートウェイ装置は、ネットワークレベルの被認証情報に個人レベルの被認証情報を付加した被認証情報および利用者識別子と、この被認証情報の有効期限情報とを前記利用者端末から受信し、前記有効期限情報を検証して前記被認証情報の有効性を確認する手段と、前記利用者識別子および前記被認証情報を用いて前記ネットワークレベル認証サーバに対して前記認証要求を送信する手段と、認証の完了時に認証通信網内部で使用するプライベートネットワークアドレスを前記利用者端末の利用者に割当て、このプライベートネットワークアドレスと、前記ネットワークレベル認証サーバから前記認証結果として返送されたネットワークレベルの認証情報および個人レベルの認証情報としてのネットワークアドレスおよび利用者識別子をそれぞれ保持するとともにこれらに対応して前記ネットワークレベル認証サーバから前記認証情報とともに返送された前記個人レベルのアクセス制御情報を保持する手段と、認証の完了時に、前記利用者との間に相互に秘密情報を共有し、この秘密情報を利用した暗号通信路である認証通信路を前記利用者端末との間に生成する手段と、前記利用者からの認証通信網内へのアクセスについては前記認証通信路に限定して許容するとともに前記公衆通信網におけるネットワークアドレスと前記認証通信網内部で利用するプライベートアドレスとの間でアドレス変換を行う手段と、前記利用者からの前記認証通信網へのアクセス時に前記利用者のネットワークアドレスから該当する前記アクセス制御情報を検索しこのアクセス制御情報にしたがって前記利用者の前記情報サーバに対するアクセスを制御する手段とを備えたところにある。
【0017】
これにより、ネットワークレベル認証と個人レベル認証とを一つの対にして同時に行うため、情報サーバ側から利用者の特定を行うことができる。また、認証状態の不一致または重複を回避することができる。また、これにより、ネットワークレベル認証および個人レベル認証の手順を簡単化することができる。また、ゲートウェイ装置の処理負荷を軽減させることができる。
【0018】
前記情報サーバは、前記利用者からアクセスがあるときには前記利用者のプライベートネットワークアドレスを用いて前記ゲートウェイ装置に当該利用者の個人認証状態を問い合わせることにより前記利用者識別子を取得する手段を備えることが望ましい。
【0019】
これにより、認証状態の情報がネットワークレベル認証サーバにより一元的に管理されているため、情報サーバ側から利用者を特定できるとともに、認証通信網内における認証状態の不一致または重複を回避することができる。
【0020】
また、前記ゲートウェイ装置は、前記情報サーバが個人レベルの認証状態を解放するまで当該利用者に割当てた認証通信網内のプライベートネットワークアドレスの再割当てを行わない手段を備えることが望ましい。
【0021】
これにより、一人の利用者に対する一つの認証状態に対して複数のプライベートネットワークアドレスが重複することを回避することができるので、認証通信網内における認証状態の不一致を回避することができる。
【0022】
また、前記ゲートウェイ装置は、利用者からの要求に応じて、もしくは、利用者から前記認証通信路を利用した前記認証通信網内部への一定時間以上の無通信を検出した時点で、前記認証通信路を削除する手段を備えることもできる。
【0023】
これにより、利用者の都合によりこれまでの認証通信路を削除し、新たな認証手順の実行に備えることができる。
【0024】
また、前記ゲートウェイ装置は、前記認証通信路の削除を行う際に、当該認証通信路の利用者の利用していた前記情報サーバに対して、当該認証通信路の削除と個人レベルの認証状態の解放とを通知する手段を備え、前記情報サーバは、前記ゲートウェイ装置からの前記通知により、該当する利用者の個人レベルの認証状態を解放する手段を備えることもできる。
【0025】
これにより、ゲートウェイ装置で個人レベルの認証状態を解放した場合の認証通信網内における認証状態の不一致または重複を回避することができる。
【0026】
このようにして、本発明によれば、情報サーバ側から利用者を特定することができる。認証通信網内における認証状態の不一致を回避することができる。ネットワークレベル認証および個人レベル認証の手順を簡単化することができる。ゲートウェイ装置の処理負荷を軽減させることができる。
【0027】
また、前記ゲートウェイ装置は、前記利用者からの前記認証通信路の設定要求を受信した際に、前記ネットワークレベル認証サーバに対してこの設定要求に含まれる利用者識別子および被認証情報および前記利用者のネットワークアドレスを前記認証要求に設定して前記ネットワークレベル認証サーバに送信する手段を備え、前記ネットワークレベル認証サーバは、前記認証要求を受信して前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を保持する手段と、前記認証要求を受信して当該ネットワークレベル認証サーバにより保持されている通信中の前記認証通信路の情報を検索して前記認証要求中に設定されている前記利用者識別子およびまたは前記ネットワークアドレスにしたがって既に前記認証通信路が設定されているか否かを検出する手段と、同一の前記利用者識別子もしくは前記ネットワークアドレスにより既に前記認証通信路が設定されているときには当該認証通信路を設定している前記ゲートウェイ装置に対して重複する前記認証通信路の削除要求を送信する手段とを備え、前記ゲートウェイ装置は、前記認証通信路の削除要求を受信して該当する認証通信路を検索する手段と、この検索する手段の検索結果により前記該当する認証通信路が検索されたときにはその認証通信路を削除して当該削除完了の応答を前記ネットワークレベル認証サーバに通知する手段とを備え、前記ネットワークレベル認証サーバは、同一の前記利用者識別子もしくは前記ネットワークアドレスにより既に前記認証通信路が設定されていないとき、もしくは、前記削除完了の応答を受信したときには前記認証要求に設定されている前記利用者識別子および前記被認証情報を検証してこの認証の結果に該当利用者のアドレス制御情報を付加して応答する手段を備え、前記ゲートウェイ装置は、このアドレス制御情報が付加された応答を受信して前記認証通信路を設定する手段と、当該認証通信路設定の通知を前記ネットワークレベル認証サーバに送信する手段とを備え、前記ネットワークレベル認証サーバは、前記認証通信路設定の通知を受信して設定済みの認証通信路情報として前記認証通信路を設定した前記ゲートウェイ装置の識別情報および前記利用者識別子および前記ネットワークアドレスをそれぞれ自己内部に保持する手段を備え、前記ゲートウェイ装置は、前記利用者からの要求に応じて、もしくは、前記利用者から前記認証通信路を利用した前記認証通信網内部への一定時間以上の無通信を検出したときに前記認証通信路を削除する手段と、自己内部に保持している該当認証通信路に関する情報を破棄する手段と、該当認証通信路の削除を前記ネットワークレベル認証サーバに通知する手段とを備え、前記ネットワークレベル認証サーバは、この削除の通知を受信して該当する認証通信路に関する情報を破棄する手段を備えることもできる。
【0028】
このようにして、前記ネットワークレベル認証サーバにて、全ての前記ゲートウェイ装置で設定している前記認証通信路のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子を保持することにより、ネットワークアドレスおよび利用者識別子の重複をチェックすることができる。
【0029】
また、前記ゲートウェイ装置は、認証完了後に前記認証通信路を確立した利用者の前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を保持する手段と、前記認証通信路の設定要求を受信したときに現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子を検索する手段と、この検索する手段の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが同一であるときには前記自己が設定している既存の前記認証通信路を削除して前記設定要求に基づく前記認証通信路を設定する手段と、前記検索する手段の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが一致しないときには他の前記ゲートウェイ装置に前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を通知する手段と、この通知を他のゲートウェイ装置から受信したときには自己が保持している前記認証通信路設定中の利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子が前記通知に含まれる前記ネットワークアドレスおよびまたは前記利用者識別子と同一であるか否かを検索する手段と、この検索する手段の検索結果が同一でないときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する手段と、前記検索する手段の検索結果が同一であるときには自己が保持する重複する前記認証通信路を削除するとともに自己が保持している重複する前記認証通信路に関する情報を破棄する手段と、前記通知の送信元に重複する前記認証通信路の該当利用者有りおよび削除完了の旨を応答する手段と、自己が前記通知の送信元であり前記応答を受信したときには新規の前記認証通信路を設定する手段とを備えることもできる。
【0030】
このようにして、前記ゲートウェイ装置が自己が設定した前記認証通信路に関する前記利用者のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子を保持することにより、ネットワークアドレスおよびまたは利用者識別子の重複をチェックすることができる。
【0031】
あるいは、前記ゲートウェイ装置は、認証完了後に前記認証通信路を確立した利用者の前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を保持する手段と、前記認証通信路の設定要求を受信したときに現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子を検索する手段と、この検索する手段の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが同一であるときには前記自己が設定している既存の前記認証通信路を削除して前記設定要求に基づく前記認証通信路を設定する手段と、前記検索する手段の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが一致しないときには他の前記ゲートウェイ装置に前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を通知する手段と、この通知を他のゲートウェイ装置から受信したときには自己が保持している前記認証通信路設定中の利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子が前記通知に含まれる前記ネットワークアドレスおよびまたは前記利用者識別子と同一であるか否かを検索する手段と、この検索する手段の検索結果が同一でないときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する手段と、前記検索する手段の検索結果が同一であるときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する手段と、自己が前記通知の送信元でありこの応答を受信したときにはこの応答の送信元の前記ゲートウェイ装置に対して当該ゲートウェイ装置が保持する重複する前記認証通信路を削除するとともに当該ゲートウェイ装置が保持している重複する前記認証通信路に関する情報を削除する要求を行う手段と、自己が前記応答の送信元でありこの要求を受信したときには自己が保持する重複する前記認証通信路を削除するとともに自己が保持している重複する前記認証通信路に関する情報を破棄する手段と、前記要求の送信元に重複する前記認証通信路の該当利用者有りおよび削除完了の旨を応答する手段と、自己が前記要求の送信元であり前記応答を受信したときには新規の前記認証通信路を設定する手段とを備えてもよい。
【0032】
また、前記ゲートウェイ装置は、認証完了後に前記認証通信路を確立した利用者の前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を保持する手段と、この保持する手段に保持した前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子の情報を他の前記ゲートウェイ装置に通知する手段と、この通知を他の前記ゲートウェイ装置から受けたときには当該認証通信路を設定している前記ゲートウェイ装置の情報および前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子の情報を保持する手段と、前記認証通信路の設定要求を受信したときには現在自己が保持している全ての前記ゲートウェイ装置で設定されている前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子を検索しいずれかが同一のときにはその認証通信路を設定している前記ゲートウェイ装置を確認する手段と、当該認証通信路を設定している前記ゲートウェイ装置が自己であるときには該当する前記認証通信路を削除するとともに新規に要求された前記認証通信路を設定する手段と、当該認証通信路を設定している前記ゲートウェイ装置が他の前記ゲートウェイ装置であるときには該当する前記ゲートウェイ装置に対して前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を設定して前記認証通信路の削除要求を送信する手段と、自己がこの削除要求を受信したときには、要求中の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と一致する前記認証通信路を検索してこれを削除し削除完了の旨を前記削除要求元の前記ゲートウェイ装置に応答する手段と、自己が前記削除要求元でありこの削除完了応答を受信したときには、新規に要求のあった前記認証通信路を設定する手段とを備えることもできる。
【0033】
このようにして、全ての前記ゲートウェイ装置が全てのゲートウェイ装置によって設定されている前記認証通信路の前記利用者のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子をそれぞれ保持することによりネットワークアドレスおよびまたは利用者識別子の重複をチェックすることができる。
【0034】
また、個人認証の実施がアプリケーションレベルに限定された情報サーバが設けられている場合には、前記ゲートウェイ装置と当該情報サーバとの間にアクセス制御サーバを設けておき、このアクセス制御サーバは、利用者のプライベートアドレスを用いて前記ゲートウェイ装置にこの利用者の個人認証状態を問い合わせることによりこの利用者の利用者識別子を取得する手段と、前記情報サーバに前記アプリケーションレベルでの個人認証情報としての利用者識別子を送信する手段とを備えることが望ましい。
【0035】
この際に、前記アクセス制御サーバは、前記個人認証情報を元に前記利用者に対応するアプリケーションを認識する手段と、この認識する手段により認識したアプリケーションにしたがって前記情報サーバに対してこのアプリケーションレベルでのアクセス制御を行う手段とを備えることが望ましい。
【0036】
これにより、アプリケーションレベルでのみ、個人認証を実施可能な情報サーバに対しても本発明の中継接続方式によるシングルサインオンサービスを提供することができる。
【0037】
本発明の第二の観点は、本発明の中継接続方式に適用され、ネットワークレベルの認証情報に個人レベルの認証情報を付加した認証情報を保持する手段と、前記認証情報と併せて個人レベルのアクセス制御情報も付加して保持する手段と、前記ゲートウェイ装置から認証要求として受信した被認証情報を検証しその認証結果に前記アクセス制御情報を付加して前記ゲートウェイ装置に返送する手段とを備えたことを特徴とするネットワークレベル認証サーバである。
【0038】
前記ゲートウェイ装置が利用者からの前記認証通信路の設定要求を受信した際にこの設定要求に含まれる利用者識別子および被認証情報および前記利用者のネットワークアドレスを設定した前記認証要求を受信して前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を保持する手段と、前記認証要求を受信して保持されている通信中の前記認証通信路の情報を検索して前記認証要求中に設定されている前記利用者識別子およびまたは前記ネットワークアドレスにしたがって既に前記認証通信路が設定されているか否かを検出する手段と、同一の前記利用者識別子もしくは前記ネットワークアドレスにより既に前記認証通信路が設定されているときには当該認証通信路を設定している前記ゲートウェイ装置に対して重複する前記認証通信路の削除要求を送信する手段と、同一の前記利用者識別子もしくは前記ネットワークアドレスにより既に前記認証通信路が設定されていないとき、もしくは、前記削除完了の応答を受信したときには前記認証要求に設定されている前記利用者識別子および前記被認証情報を検証してこの認証の結果に該当利用者のアドレス制御情報を付加して前記認証要求または前記削除完了の応答を送信したゲートウェイ装置に応答する手段と、前記ゲートウェイ装置からの前記認証通信路設定の通知を受信して設定済みの認証通信路情報として前記認証通信路を設定した前記ゲートウェイ装置の識別情報および前記利用者識別子および前記ネットワークアドレスをそれぞれ自己内部に保持する手段と、前記ゲートウェイ装置からの前記認証通信路の削除の通知を受信して該当する認証通信路に関する情報を破棄する手段とを備えることが望ましい。
【0039】
本発明の第三の観点は、本発明の中継接続方式に適用され、ネットワークレベルの被認証情報に個人レベルの被認証情報を付加した被認証情報および利用者識別子とこの被認証情報の有効期限情報とを前記利用者端末から受信して前記有効期限を検証して前記被認証情報の有効性を確認する手段と、前記利用者識別子および前記被認証情報を用いて前記ネットワークレベル認証サーバに対して前記認証要求を送信する手段と、認証の完了時に認証通信網内部で使用するプライベートネットワークアドレスを前記利用者に割当てこのプライベートネットワークアドレスと前記ネットワークレベル認証サーバから前記認証結果として返送されたネットワークレベルの認証情報および個人レベルの認証情報としての前記利用者の公衆通信網におけるアドレスであるネットワークアドレスおよび利用者識別子をそれぞれ保持するとともにこれらに対応して前記ネットワークレベル認証サーバから前記認証結果とともに返送された前記個人レベルのアクセス制御情報を保持する手段と、認証の完了時に、前記利用者との間に相互に秘密情報を共有してこの秘密情報を利用した暗号通信路である認証通信路を前記利用者端末との間に生成する手段と、前記利用者からの認証通信網内へのアクセスについては前記認証通信路に限定して許容するとともに前記公衆通信網におけるネットワークアドレスと前記認証通信網内部で利用するプライベートアドレスとの間でアドレス変換を行う手段と、前記利用者からの前記認証通信網へのアクセス時に前記利用者のネットワークアドレスから該当する前記アクセス制御情報を検索しこのアクセス制御情報にしたがって前記利用者の前記情報サーバに対するアクセスを制御する手段とを備えたことを特徴とするゲートウェイ装置である。
【0040】
さらに、認証完了後に前記認証通信路を確立した利用者のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子を保持する手段と、前記認証通信路の設定要求を受信したときに現在自己が設定している前記認証通信路を利用している利用者のネットワークアドレスおよびまたはこのネットワークアドレスに対応する利用者識別子を検索する手段と、この検索する手段の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが同一であるときには前記自己が設定している既存の前記認証通信路を削除して前記設定要求に基づく前記認証通信路を設定する手段と、前記検索する手段の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが一致しないときには他の前記ゲートウェイ装置に前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を通知する手段と、この通知を他のゲートウェイ装置から受信したときには自己が保持している前記認証通信路設定中の利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子が前記通知に含まれる前記ネットワークアドレスおよびまたは前記利用者識別子と同一であるか否かを検索する手段と、この検索する手段の検索結果が同一でないときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する手段と、前記検索する手段の検索結果が同一であるときには自己が保持する重複する前記認証通信路を削除するとともに自己が保持している重複する前記認証通信路に関する情報を破棄する手段と、前記通知の送信元に重複する前記認証通信路の該当利用者有りおよび削除完了の旨を応答する手段と、自己が前記通知の送信元であり前記応答を受信したときには新規の前記認証通信路を設定する手段とを備えることが望ましい。
【0041】
あるいは、認証完了後に前記認証通信路を確立した利用者のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子を保持する手段と、前記認証通信路の設定要求を受信したときに現在自己が設定している前記認証通信路を利用している利用者のネットワークアドレスおよびまたはこのネットワークアドレスに対応する利用者識別子を検索する手段と、この検索する手段の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが同一であるときには前記自己が設定している既存の前記認証通信路を削除して前記設定要求に基づく前記認証通信路を設定する手段と、前記検索する手段の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが一致しないときには他の前記ゲートウェイ装置に前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を通知する手段と、この通知を他のゲートウェイ装置から受信したときには自己が保持している前記認証通信路設定中の利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子が前記通知に含まれる前記ネットワークアドレスおよびまたは前記利用者識別子と同一であるか否かを検索する手段と、この検索する手段の検索結果が同一でないときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する手段と、前記検索する手段の検索結果が同一であるときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する手段と、自己が前記通知の送信元でありこの応答を受信したときにはこの応答の送信元の前記ゲートウェイ装置に対して当該ゲートウェイ装置が保持する重複する前記認証通信路を削除するとともに当該ゲートウェイ装置が保持している重複する前記認証通信路に関する情報を削除する要求を行う手段と、自己が前記応答の送信元でありこの要求を受信したときには自己が保持する重複する前記認証通信路を削除するとともに自己が保持している重複する前記認証通信路に関する情報を破棄する手段と、前記要求の送信元に重複する前記認証通信路の該当利用者有りおよび削除完了の旨を応答する手段と、自己が前記要求の送信元であり前記応答を受信したときには新規の前記認証通信路を設定する手段とを備えることもできる。
【0042】
あるいは、認証完了後に前記認証通信路を確立した利用者のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子を保持する手段と、この保持する手段に保持した前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子の情報を他の前記ゲートウェイ装置に通知する手段と、この通知を他の前記ゲートウェイ装置から受けたときには当該認証通信路を設定している前記ゲートウェイ装置の情報および前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子の情報を保持する手段と、前記認証通信路の設定要求を受信したときには現在自己が保持している全ての前記ゲートウェイ装置で設定されている前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子を検索しいずれかが同一のときにはその認証通信路を設定している前記ゲートウェイ装置を確認する手段と、当該認証通信路を設定している前記ゲートウェイ装置が自己であるときには該当する前記認証通信路を削除するとともに新規に要求された前記認証通信路を設定する手段と、当該認証通信路を設定している前記ゲートウェイ装置が他の前記ゲートウェイ装置であるときには該当する前記ゲートウェイ装置に対して前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を設定して前記認証通信路の削除要求を送信する手段と、自己がこの削除要求を受信したときには、要求中の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と一致する前記認証通信路を検索してこれを削除し削除完了の旨を前記削除要求元の前記ゲートウェイ装置に応答する手段と、自己が前記削除要求元でありこの削除完了応答を受信したときには、新規に要求のあった前記認証通信路を設定する手段とを備えることもできる。
【0043】
本発明の第四の観点は、本発明の中継接続方式に適用され、前記利用者からアクセスがあるときには前記利用者のプライベートネットワークアドレスを用いて前記ゲートウェイ装置に当該利用者の個人認証状態を問い合わせることにより前記利用者識別子を取得する手段を備えたことを特徴とする情報サーバである。
【0044】
本発明の第五の観点は、本発明の中継接続方式に適用され、前記ゲートウェイ装置と個人認証の実施がアプリケーションレベルに限定された情報サーバとの間に設けられ、利用者のプライベートアドレスを用いて前記ゲートウェイ装置にこの利用者の個人認証状態を問い合わせることによりこの利用者の利用者識別子を取得する手段と、前記情報サーバに前記アプリケーションレベルでの個人認証情報としての利用者識別子を送信する手段とを備えたことを特徴とするアクセス制御サーバである。
【0045】
前記個人認証情報を元に前記利用者に対応するアプリケーションを認識する手段と、この認識する手段により認識したアプリケーションにしたがって前記情報サーバに対してこのアプリケーションレベルでのアクセス制御を行う手段とを備えることが望ましい。
【0046】
本発明の第六の観点は、情報処理装置にインストールすることにより、その情報処理装置に、本発明の中継接続方式に適用される前記ネットワークレベル認証サーバに相応する機能として、ネットワークレベルの認証情報に個人レベルの認証情報を付加した認証情報を保持する機能と、前記認証情報と併せて個人レベルのアクセス制御情報も付加して保持する機能と、前記ゲートウェイ装置から認証要求として受信した被認証情報を検証しその認証結果に前記アクセス制御情報を付加して前記ゲートウェイ装置に返送する機能とを実現させることを特徴とするプログラムである。
【0047】
さらに、このプログラムは、前記ゲートウェイ装置が利用者からの前記認証通信路の設定要求を受信した際にこの設定要求に含まれる利用者識別子および被認証情報および前記利用者のネットワークアドレスを設定した前記認証要求を受信して前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を保持する機能と、前記認証要求を受信して保持されている通信中の前記認証通信路の情報を検索して前記認証要求中に設定されている前記利用者識別子およびまたは前記ネットワークアドレスにしたがって既に前記認証通信路が設定されているか否かを検出する機能と、同一の前記利用者識別子もしくは前記ネットワークアドレスにより既に前記認証通信路が設定されているときには当該認証通信路を設定している前記ゲートウェイ装置に対して重複する前記認証通信路の削除要求を送信する機能と、同一の前記利用者識別子もしくは前記ネットワークアドレスにより既に前記認証通信路が設定されていないとき、もしくは、前記削除完了の応答を受信したときには前記認証要求に設定されている前記利用者識別子および前記被認証情報を検証してこの認証の結果に該当利用者のアドレス制御情報を付加して前記認証要求または前記削除完了の応答を送信したゲートウェイ装置に応答する機能と、前記ゲートウェイ装置からの前記認証通信路設定の通知を受信して設定済みの認証通信路情報として前記認証通信路を設定した前記ゲートウェイ装置の識別情報および前記利用者識別子および前記ネットワークアドレスをそれぞれ自己内部に保持する機能と、前記ゲートウェイ装置からの前記認証通信路の削除の通知を受信して該当する認証通信路に関する情報を破棄する機能とを実現させることが望ましい。
【0048】
あるいは、情報処理装置にインストールすることにより、その情報処理装置に、本発明の中継接続方式に適用される前記ゲートウェイ装置に相応する機能として、ネットワークレベルの被認証情報に個人レベルの被認証情報を付加した被認証情報および利用者識別子とこの被認証情報の有効期限情報とを前記利用者端末から受信して前記有効期限を検証して前記被認証情報の有効性を確認する機能と、前記利用者識別子および前記被認証情報を用いて前記ネットワークレベル認証サーバに対して前記認証要求を送信する機能と、認証の完了時に認証通信網内部で使用するプライベートネットワークアドレスを前記利用者に割当てこのプライベートネットワークアドレスと前記ネットワークレベル認証サーバから前記認証結果として返送されたネットワークレベルの認証情報および個人レベルの認証情報としての前記利用者の公衆通信網におけるアドレスであるネットワークアドレスおよび利用者識別子をそれぞれ保持するとともにこれらに対応して前記ネットワークレベル認証サーバから前記認証結果とともに返送された前記個人レベルのアクセス制御情報を保持する機能と、認証の完了時に、前記利用者との間に相互に秘密情報を共有し、この秘密情報を利用した暗号通信路である認証通信路を前記利用者端末との間に生成する機能と、前記利用者からの認証通信網内へのアクセスについては前記認証通信路に限定して許容するとともに前記公衆通信網におけるネットワークアドレスと前記認証通信網内部で利用するプライベートアドレスとの間でアドレス変換を行う機能と、前記利用者からの前記認証通信網へのアクセス時に前記利用者のネットワークアドレスから該当する前記アクセス制御情報を検索しこのアクセス制御情報にしたがって前記利用者の前記情報サーバに対するアクセスを制御する機能とを実現させることを特徴とするプログラムである。
【0049】
さらに、このプログラムは、認証完了後に前記認証通信路を確立した利用者のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子を保持する機能と、前記認証通信路の設定要求を受信したときに現在自己が設定している前記認証通信路を利用している利用者のネットワークアドレスおよびまたはこのネットワークアドレスに対応する利用者識別子を検索する機能と、この検索する機能の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが同一であるときには前記自己が設定している既存の前記認証通信路を削除して前記設定要求に基づく前記認証通信路を設定する機能と、前記検索する機能の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが一致しないときには他の前記ゲートウェイ装置に前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を通知する機能と、この通知を他のゲートウェイ装置から受信したときには自己が保持している前記認証通信路設定中の利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子が前記通知に含まれる前記ネットワークアドレスおよびまたは前記利用者識別子と同一であるか否かを検索する機能と、この検索する機能の検索結果が同一でないときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する機能と、前記検索する機能の検索結果が同一であるときには自己が保持する重複する前記認証通信路を削除するとともに自己が保持している重複する前記認証通信路に関する情報を破棄する機能と、前記通知の送信元に重複する前記認証通信路の該当利用者有りおよび削除完了の旨を応答する機能と、自己が前記通知の送信元であり前記応答を受信したときには新規の前記認証通信路を設定する機能とを実現させることが望ましい。
【0050】
あるいは、認証完了後に前記認証通信路を確立した利用者のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子を保持する機能と、前記認証通信路の設定要求を受信したときに現在自己が設定している前記認証通信路を利用している利用者のネットワークアドレスおよびまたはこのネットワークアドレスに対応する利用者識別子を検索する機能と、この検索する機能の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが同一であるときには前記自己が設定している既存の前記認証通信路を削除して前記設定要求に基づく前記認証通信路を設定する機能と、前記検索する機能の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが一致しないときには他の前記ゲートウェイ装置に前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を通知する機能と、この通知を他のゲートウェイ装置から受信したときには自己が保持している前記認証通信路設定中の利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子が前記通知に含まれる前記ネットワークアドレスおよびまたは前記利用者識別子と同一であるか否かを検索する機能と、この検索する機能の検索結果が同一でないときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する機能と、前記検索する機能の検索結果が同一であるときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する機能と、自己が前記通知の送信元でありこの応答を受信したときにはこの応答の送信元の前記ゲートウェイ装置に対して当該ゲートウェイ装置が保持する重複する前記認証通信路を削除するとともに当該ゲートウェイ装置が保持している重複する前記認証通信路に関する情報を削除する要求を行う機能と、自己が前記応答の送信元でありこの要求を受信したときには自己が保持する重複する前記認証通信路を削除するとともに自己が保持している重複する前記認証通信路に関する情報を破棄する機能と、前記要求の送信元に重複する前記認証通信路の該当利用者有りおよび削除完了の旨を応答する機能と、自己が前記要求の送信元であり前記応答を受信したときには新規の前記認証通信路を設定する機能とを実現させることもできる。
【0051】
あるいは、認証完了後に前記認証通信路を確立した利用者のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子を保持する機能と、この保持する機能に保持した前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子の情報を他の前記ゲートウェイ装置に通知する機能と、この通知を他の前記ゲートウェイ装置から受けたときには当該認証通信路を設定している前記ゲートウェイ装置の情報および前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子の情報を保持する機能と、前記認証通信路の設定要求を受信したときには現在自己が保持している全ての前記ゲートウェイ装置で設定されている前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子を検索しいずれかが同一のときにはその認証通信路を設定している前記ゲートウェイ装置を確認する機能と、当該認証通信路を設定している前記ゲートウェイ装置が自己であるときには該当する前記認証通信路を削除するとともに新規に要求された前記認証通信路を設定する機能と、当該認証通信路を設定している前記ゲートウェイ装置が他の前記ゲートウェイ装置であるときには該当する前記ゲートウェイ装置に対して前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を設定して前記認証通信路の削除要求を送信する機能と、自己がこの削除要求を受信したときには、要求中の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と一致する前記認証通信路を検索してこれを削除し削除完了の旨を前記削除要求元の前記ゲートウェイ装置に応答する機能と、自己が前記削除要求元でありこの削除完了応答を受信したときには、新規に要求のあった前記認証通信路を設定する機能とを実現させることもできる。
【0052】
あるいは、情報処理装置にインストールすることにより、その情報処理装置に、本発明の中継接続方式に適用される前記情報サーバに相応する機能として、前記利用者からアクセスがあるときには前記利用者のプライベートネットワークアドレスを用いて前記ゲートウェイ装置に当該利用者の個人認証状態を問い合わせることにより前記利用者識別子を取得する機能を実現させることを特徴とするプログラムである。
【0053】
あるいは、情報処理装置にインストールすることにより、その情報処理装置に、本発明の中継接続方式に適用される前記アクセス制御サーバに相応する機能として、利用者のプライベートアドレスを用いて前記ゲートウェイ装置にこの利用者の個人認証状態を問い合わせることによりこの利用者の利用者識別子を取得する機能と、前記情報サーバに前記アプリケーションレベルでの個人認証情報としての利用者識別子を送信する機能とを実現させることを特徴とするプログラムである。
【0054】
さらに、このプログラムは、前記個人認証情報を元に前記利用者に対応するアプリケーションを認識する機能と、この認識する機能により認識したアプリケーションにしたがって前記情報サーバに対してこのアプリケーションレベルでのアクセス制御を行う機能とを実現させることが望ましい。
【0055】
本発明の第七の観点は、本発明のプログラムが記録された前記情報処理装置読取可能な記録媒体である。本発明のプログラムを記録した本発明の記録媒体を用いて本発明のプログラムを前記情報処理装置にインストールすることができる。また、本発明のプログラムを保持するサーバからネットワークを介して前記情報処理装置が本発明のプログラムをダウンロードすることによっても前記情報処理装置は本発明のプログラムをインストールすることができる。
【0056】
【発明の実施の形態】
本発明実施例の中継接続方式を図1および図12を参照して説明する。図1は本発明実施例の中継接続方式の全体構成図である。図12は本発明第六実施例の中継接続方式の全体構成図である。
【0057】
本発明は、ネットワークレベルおよび個人レベルでの認証の双方を行った利用者が利用可能でありプライベートネットワークアドレスにより制御され利用者に情報を提供する情報サーバA、B、Cを含む私設通信網としての認証通信網4と、この認証通信網4にアクセスする利用者端末1に接続された公衆通信網2と認証通信網4とを接続するゲートウェイ装置3とを備えた中継接続方式である。
【0058】
ここで、本発明の特徴とするところは、ネットワークレベルの認証情報に個人レベルの認証情報を付加した認証情報を保持するネットワークレベル認証サーバ6が設けられ、ネットワークレベル認証サーバ6は、前記認証情報と併せて個人レベルのアクセス制御情報も付加して保持し、ゲートウェイ装置3から認証要求として受信した被認証情報を検証しその認証結果に前記アクセス制御情報を付加してゲートウェイ装置3に返送し、ゲートウェイ装置3は、ネットワークレベルの被認証情報に個人レベルの被認証情報を付加した被認証情報および利用者識別子と、この被認証情報の有効期限情報とを利用者端末1から受信し、この被認証情報の有効期限情報により、この被認証情報の有効性を検証後、この利用者識別子および被認証情報を用いてネットワークレベル認証サーバ6に対して前記認証要求を送信し、認証の完了時に認証通信網4内部で使用するプライベートネットワークアドレスを利用者端末1の利用者に割当て、このプライベートネットワークアドレスと、ネットワークレベル認証サーバ6から前記認証結果として返送されたネットワークレベルの認証情報および個人レベルの認証情報としての前記利用者のネットワークアドレスおよび利用者識別子をそれぞれ保持するとともにこれらに対応してネットワークレベル認証サーバ6から前記認証結果とともに返送された前記個人レベルのアクセス制御情報を保持し、認証の完了時に、前記利用者との間に相互に秘密情報を共有し、この秘密情報を利用した暗号通信路である認証通信路5を利用者端末1との間に生成し、前記利用者からの認証通信網4内へのアクセスについては認証通信路5に限定して許容するとともに公衆通信網2におけるネットワークアドレスと認証通信網4内部で利用するプライベートアドレスとの間でアドレス変換を行い、前記利用者からの認証通信網4へのアクセス時に前記利用者のネットワークアドレスから前記アクセス制御情報を取得しこのアクセス制御情報にしたがって前記利用者の情報サーバA、B、Cに対するアクセスを制御するところにある。
【0059】
本発明実施例の中継接続方式を実現するためには、情報処理装置であるコンピュータ装置にインストールすることにより、そのコンピュータ装置に、本発明の中継接続方式に適用されるネットワークレベル認証サーバ6、ゲートウェイ装置3、情報サーバA、B、C、D、E、アクセス制御サーバ8に相応する機能を実現させるプログラムを用いて、前記コンピュータ装置を本発明のネットワークレベル認証サーバ6、ゲートウェイ装置3、情報サーバA、B、C、D、E、アクセス制御サーバ8に相応する装置として本発明の中継接続方式を実現することができる。なお、前記プログラムを前記コンピュータ装置が読み取り可能な記録媒体に記録しておき、この記録媒体によって前記コンピュータ装置に前記プログラムをインストールしたり、あるいは、前記プログラムを保持するサーバからネットワークを介して前記コンピュータ装置が前記プログラムをダウンロードしてインストールすることができる。
【0060】
以下では、本発明実施例をさらに詳細に説明する。
【0061】
(第一実施例)
本発明第一実施例の中継接続方式の構成を図1を参照して説明する。利用者端末1は、公衆通信網2に接続する。認証通信網4は、プライベートネットワークアドレスにより制御される私設通信網で、ゲートウェイ装置3、ネットワークレベル認証サーバ6を含む。また、認証通信網4は、内部に情報サーバA、B、Cを含む情報サーバ通信網#1、#2を含む。ネットワークレベルおよび個人レベルでの認証の双方を行った利用者に対しては、ゲートウェイ装置3と利用者端末1との間に認証通信路5が設定される。ゲートウェイ装置3では、認証通信路5を利用しての通信に対し、公衆通信網2から、認証通信網4内部のプライベートネットワークアドレスへのアドレス変換、各情報サーバ通信網#1、#2に対してのアクセス制御を行う。
【0062】
次に、本発明第一実施例の中継接続方式の動作を図2〜図6を参照して説明する。図2は利用者端末1が利用者の認証通信網4内へのアクセスを検出してから認証通信路5が形成されるまでの動作を示すシーケンス図である。図3は利用者端末1の利用者がアプリケーションの利用を開始し通信を継続している過程の動作を示すシーケンス図である。図4は利用者端末1からの通信が一定時間途絶えた場合の動作を示すシーケンス図である。図5および図6は利用者aの情報サーバAの利用後に利用者bが情報サーバAを利用する場合の動作を示すシーケンス図である。
【0063】
図1および図2〜図6のシーケンス図を参照して本発明第一実施例の中継接続方式の全体動作について詳細に説明する。まず、認証通信網4を利用する利用者について、ネットワークレベルの認証情報に、個人レベルの認証情報を付加した認証情報、また、その利用者の個人レベルのアクセス制御情報を、認証通信網4内のネットワークレベル認証サーバ6にあらかじめ登録する。ゲートウェイ装置3には、個人レベルのアクセス制御情報に応じたアクセス可能な情報サーバ通信網#1、#2のリストをあらかじめ設定する。
【0064】
図2に示すように、前記利用者が認証通信網4内部の情報サーバAにアクセスを要求すると利用者端末1は、ゲートウェイ装置3に対して通信開始要求を行う。次に、通信開始要求を受けたゲートウェイ装置3は、内部で認証用の情報を生成してその応答に設定する。
【0065】
利用者端末1では、その間に、前記利用者からの個人レベルの認証情報の入力を受け付ける。その後、入力された個人レベルの認証情報とネットワークレベルの認証情報およびゲートウェイ装置3から受信した認証用の情報を合わせて一つの被認証情報を生成し、当該利用者の利用者識別子と当該利用者の被認証情報の有効期限情報とを合わせて認証要求信号を作成し、ゲートウェイ装置3に対して認証要求を送信する。
【0066】
ゲートウェイ装置3は、受信した前記利用者の被認証情報の有効期限情報により、この被認証情報の有効性を検証した後、利用者識別子および被認証情報を認証要求としてネットワークレベル認証サーバ6に送信する。
【0067】
ネットワークレベル認証サーバ6では認証要求として受信した各情報を元に、ネットワークレベル認証サーバ6内部に保持している認証情報の再計算を行って認証を行う。認証後、認証結果とともに、利用者のアクセス制御種別をゲートウェイ装置3に対して通知する。
【0068】
ゲートウェイ装置3では、認証正常であった前記利用者に対し、認証サーバ通信網4内部で使用するプライベートネットワークアドレスを割当て、利用者識別子および前記利用者の公衆通信網2でのネットワークアドレス情報および認証通信網4を利用する際に認証通信網4内部で使用するプライベートネットワークアドレス情報およびアクセス制御種別を内部で保持する。また、認証正常であった前記利用者と、共有の秘密情報を交換する。これにより、利用者端末1とゲートウェイ装置3との間に共有の秘密情報を用いて暗号化された認証通信路5が設定される。
【0069】
認証通信路5の設定中の動作を図3に示す。前記利用者が、認証通信網4内の情報サーバAを使用する際は、ゲートウェイ装置3は、公衆通信網2と認証通信網4との間で、ネットワークアドレスの変換を行うNAT(network address translate)として動作する。
【0070】
また、通信中の利用者をネットワークレベルで管理し、通信の継続により、前記情報をゲートウェイ装置3内部に通信中保持して認証状態を維持する。
【0071】
また、ゲートウェイ装置3では、前記利用者の行き先のアドレスを見て、保持しているアクセス制御種別にしたがったアクセス制御を行う。ゲートウェイ装置3は、アクセス制御種別ごとに、アクセス可能な情報サーバ通信網#1、#2のリストを持つ。前記利用者が、情報サーバ通信網#1にのみアクセス可能なアクセス制御種別で登録されている場合には、ゲートウェイ装置3にて、ネットワークレベルでアクセス制御を行うため、前記利用者は、登録時の契約にしたがった、情報サーバ通信網#1に属する情報サーバA、もしくは情報サーバBにのみアクセス可能となる。
【0072】
情報サーバAでは、前記利用者からのアクセスが発生した際に、その通信の発信者のアドレス情報であるゲートウェイ装置3の割当てたプライベートネットワークアドレスを元に、ゲートウェイ装置3に対し、当該利用者の利用者識別子を問い合わせる。
【0073】
ゲートウェイ装置3では、情報サーバAからの利用者識別子の問い合わせに対し、プライベートネットワークアドレスから、利用者識別子を検索し、利用者識別子を返送する。
【0074】
情報サーバAでは、前記利用者からのアクセス中、ゲートウェイ装置3から取得したプライベートネットワークアドレスおよび利用者識別子を保持し、当該利用者のプライベートネットワークアドレスを利用した通信が行われている間、当該利用者の個人レベルの認証状態を認証済みとして保持する。
【0075】
通信切断時の動作を図4に示す。ゲートウェイ装置3では、利用者端末1からの認証通信路5の切断要求を受信すると該当する利用者の認証状態を解放する。
【0076】
情報サーバAでは、認証通信路の切断を認識できないため、前記利用者からの通信の状況を監視し、一定時間以上の無通信を検出した時点で、前記プライベートネットワークアドレスと利用者識別子との対情報を削除して個人レベル認証状態を解放する。
【0077】
そのため、ゲートウェイ装置3では、情報サーバAにて、無通信の監視時間が満了し、個人レベルの認証状態が解放されるまで、前記利用者に割当てた認証通信網4内のプライベートネットワークアドレスの再割当てを行わないよう、認証通信路5の切断後、情報サーバAで無通信の監視時間が満了するまでプライベートネットワークアドレスの割当てを抑制する。
【0078】
図5に同一の利用者端末1もしくは同一のネットワークアドレスにより複数の利用者aおよびbからアクセスがあった場合の動作を示す。利用者端末1では、利用者aが利用していた同一端末上で、異なる利用者bの認証通信網4へのアクセスを検出した場合には元の認証通信路5を削除する。ゲートウェイ装置3では元の利用者aの認証通信路5に関する情報を解放する。
【0079】
利用者端末1は、解放処理完了後、新規に利用する利用者bにより認証通信路5設定のための処理を行い、認証通信路5を改めて設定する。
【0080】
図6に、利用者端末1に対して認証通信路5を設定している状態で、同一の利用者端末1もしくは同一のネットワークアドレスにより認証通信路5の設定要求を受けた場合の処理を示す。
【0081】
ゲートウェイ装置3では、認証通信路5を設定している利用者端末1と同一のネットワークアドレスにより利用者端末1から認証通信網4へのアクセスを検出した場合には元の認証通信路5に関する情報を解放し、新規に利用する利用者bにより認証通信路5設定のための認証処理を受け入れて、認証通信路5を改めて設定する。
【0082】
(第二実施例)
本発明第二実施例を図7を参照して説明する。図7は利用者端末1からの認証通信路切断要求にしたがって認証通信路5を切断する動作を示すシーケンス図である。
【0083】
前述の第一実施例では、情報サーバA、B、Cとゲートウェイ装置3で個人認証状態をあわせるために無通信時間の検出を用いたが、第二実施例では、情報サーバAにて、アプリケーションレベルでの情報サーバAの使用状態を監視している場合に、情報サーバAでは、利用者が、情報サーバA上のアプリケーションを使用している間のみ、認証状態を保持し、アプリケーションの使用完了を検出した時点で、個人レベルの認証状態を解放する。
【0084】
図7に示すように、アプリケーションレベルの利用状態が利用中の状態で、前記利用者から、認証通信路5の切断要求を受信した場合には、ゲートウェイ装置3より、当該利用者の利用している情報サーバAに対し、認証通信路5の切断による解放を通知することで、ゲートウェイ装置3および情報サーバAともに個人認証状態を解放することができる。
【0085】
ゲートウェイ装置3では、個人認証状態を解放するのに伴って、該当する利用者のネットワークレベル認証状態も解放される。したがって、ゲートウェイ装置3では、認証状態を維持している間は保持されていた該当する利用者のネットワークアドレスおよび利用者識別子が削除される。さらに、該当する利用者のアクセス制御情報も削除される。このようにすることで、ゲートウェイ装置3では、認証通信路5の切断後、即座にプライベートネットワークアドレスの再割当てが可能である。
【0086】
(第三実施例)
本発明第三実施例を図8を参照して説明する。図8は本発明第三実施例のネットワークアドレスおよび利用者識別子の重複チェック手順を示すシーケンス図である。本発明第三実施例は、ネットワークレベル認証サーバ6が全てのゲートウェイ装置3により設定されている認証通信路5の利用者のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子を保持することにより、ネットワークアドレスおよび利用者識別子の重複をチェックする手順を示す実施例である。
【0087】
図8に示すように、ゲートウェイ装置3は、利用者からの認証通信路5の設定要求を受信した際に、ネットワークレベル認証サーバ6に対してこの設定要求に含まれる利用者識別子および被認証情報および利用者のネットワークアドレスを認証要求に設定してネットワークレベル認証サーバ6に送信する。
【0088】
ネットワークレベル認証サーバ6は、この認証要求を受信して前記利用者のネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を保持し、当該ネットワークレベル認証サーバ6により保持されている通信中の認証通信路5の情報を検索して前記認証要求中に設定されている前記利用者識別子および前記ネットワークアドレスにしたがって既に認証通信路5が設定されているか否かを検出し、同一の前記利用者識別子もしくは前記ネットワークアドレスにより既に認証通信路5が設定されているときには当該認証通信路5を設定しているゲートウェイ装置3に対して重複する認証通信路5の削除要求を送信する。
【0089】
ゲートウェイ装置3は、認証通信路5の削除要求を受信して該当する認証通信路5を検索し、この検索結果により該当する認証通信路5が検索されたときにはその認証通信路5を削除して当該削除完了の応答をネットワークレベル認証サーバ6に通知する。
【0090】
この通知を受け取ったネットワークレベル認証サーバ6は、同一の前記利用者識別子もしくは前記ネットワークアドレスにより既に認証通信路5が設定されていないとき、もしくは、前記削除完了の応答を受信したときには前記認証要求に設定されている前記利用者識別子および前記被認証情報を検証してこの認証の結果に該当利用者のアドレス制御情報を付加して応答する。
【0091】
ゲートウェイ装置3は、このアドレス制御情報が付加された応答を受信して認証通信路5を設定し、当該認証通信路設定の通知をネットワークレベル認証サーバ6に送信する。
【0092】
ネットワークレベル認証サーバ6は、前記認証通信路設定の通知を受信して設定済みの認証通信路情報として認証通信路5を設定したゲートウェイ装置3の識別情報および前記利用者識別子および前記ネットワークアドレスをそれぞれ自己内部に保持する。
【0093】
ゲートウェイ装置3は、前記利用者からの要求に応じて、もしくは、前記利用者から認証通信路5を利用した認証通信網4内部への一定時間以上の無通信を検出したときに認証通信路5を削除し、自己内部に保持している該当認証通信路5に関する情報を破棄し、該当認証通信路5の削除をネットワークレベル認証サーバ6に通知する。
【0094】
ネットワークレベル認証サーバ6は、この削除の通知を受信して該当する認証通信路5に関する情報を破棄する。
【0095】
(第四実施例)
本発明第四実施例を図9および図10を参照して説明する。図9および図10は本発明第四実施例のネットワークアドレスおよび利用者識別子の重複チェック手順を示すシーケンス図である。本発明第四実施例は、各ゲートウェイ装置3が自己が設定した認証通信路5の利用者のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子を保持することにより、ネットワークアドレスおよび利用者識別子の重複をチェックする手順を示す実施例である。
【0096】
図9に示すように、ゲートウェイ装置3は、認証完了後に認証通信路5を確立した利用者のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子を保持し、認証通信路5の設定要求を受信したときに現在自己が設定している認証通信路5を利用している利用者のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子を検索し、この検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している認証通信路5を利用している利用者の前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子とが同一であるときには前記自己が設定している既存の認証通信路5を削除して前記設定要求に基づく認証通信路5を設定する。あるいは、前記検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している認証通信路5を利用している利用者の前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子とが一致しないときには他のゲートウェイ装置3に前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を通知する。
【0097】
ゲートウェイ装置3がこの通知を他のゲートウェイ装置3から受信したときには自己が保持している認証通信路5設定中の利用者のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子が前記通知に含まれる前記ネットワークアドレスおよび前記利用者識別子と同一であるか否かを検索し、この検索結果が同一でないときにはその旨を前記通知の送信元のゲートウェイ装置3に応答する。あるいは、前記検索結果が同一であるときには自己が保持する重複する認証通信路5を削除するとともに自己が保持している重複する認証通信路5に関する情報を破棄し、前記通知の送信元に重複する認証通信路5の該当利用者有りおよび削除完了の旨を応答する。
【0098】
自己が前記通知の送信元であり前記応答を受信したゲートウェイ装置3は、新規の認証通信路5を設定する。
【0099】
あるいは、図10に示すように、ゲートウェイ装置3は、前記検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子とが一致しないときには他のゲートウェイ装置3に前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を通知し、この通知を受け取ったゲートウェイ装置3は、自己が保持している認証通信路5設定中の利用者の前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子が前記通知に含まれる前記ネットワークアドレスおよび前記利用者識別子と同一であるか否かを検索し、この検索結果が同一でないときにはその旨を前記通知の送信元のゲートウェイ装置3に応答し、前記検索結果が同一であるときにはその旨を前記通知の送信元のゲートウェイ装置3に応答する。
【0100】
自己が前記通知の送信元でありこの応答を受信したゲートウェイ装置3は、この応答の送信元のゲートウェイ装置3に対して当該ゲートウェイ装置3が保持する重複する認証通信路5を削除するとともに当該ゲートウェイ装置3が保持している重複する認証通信路5に関する情報を削除する要求を行う。
【0101】
自己が前記応答の送信元でありこの要求を受信したゲートウェイ装置3は、自己が保持する重複する認証通信路5を削除するとともに自己が保持している重複する認証通信路5に関する情報を破棄し、前記要求の送信元に重複する認証通信路5の該当利用者有りおよび削除完了の旨を応答する。
【0102】
自己が前記要求の送信元であり前記応答を受信したゲートウェイ装置3は、新規の認証通信路5を設定する。
【0103】
(第五実施例)
本発明第五実施例を図11を参照して説明する。図11は本発明第五実施例のネットワークアドレスおよび利用者識別子の重複チェック手順を示すシーケンス図である。本発明第五実施例は、全てのゲートウェイ装置3が設定した認証通信路5の利用者のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子をそれぞれ保持することにより、ネットワークアドレスおよび利用者識別子の重複をチェックする手順を示す実施例である。
【0104】
図11に示すように、ゲートウェイ装置3は、認証完了後に認証通信路5を確立した利用者のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子を保持し、この保持した前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子の情報を他のゲートウェイ装置3に通知する。
【0105】
この通知を他のゲートウェイ装置3から受けたときには当該認証通信路5を設定しているゲートウェイ装置3の情報および前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子の情報を保持する。
【0106】
認証通信路5の設定要求を受信したゲートウェイ装置3は、現在自己が保持している全てのゲートウェイ装置3で設定されている認証通信路5を利用している利用者の前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を検索しいずれかが同一のときにはその認証通信路5を設定しているゲートウェイ装置3を確認する。
【0107】
当該認証通信路5を設定しているゲートウェイ装置3が自己であるときには該当する認証通信路5を削除するとともに新規に要求された認証通信路5を設定する。
【0108】
当該認証通信路5を設定しているゲートウェイ装置3が他のゲートウェイ装置3であるときには該当するゲートウェイ装置3に対して前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を設定して認証通信路3の削除要求を送信する。
【0109】
自己がこの削除要求を受信したゲーウェイ装置3は、要求中の前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子と一致する認証通信路5を検索してこれを削除し削除完了の旨を前記削除要求元の前記ゲートウェイ装置3に応答する。
【0110】
自己が前記削除要求元でありこの削除完了応答を受信したゲートウェイ装置3は、新規に要求のあった認証通信路5を設定する。
【0111】
(第六実施例)
本発明第六実施例を図12および図13を参照して説明する。図12は第六実施例の中継接続方式の全体構成図である。図13は第六実施例のアクセス制御サーバの動作を説明するためのシーケンス図である。
【0112】
第六実施例は、個人認証の実施がアプリケーションレベルに限定された情報サーバD、Eが設けられている例である。この場合には、ゲートウェイ装置3と当該情報サーバD、Eとの間にアクセス制御サーバ8を設けておき、このアクセス制御サーバ8は、利用者のプライベートアドレスを用いてゲートウェイ装置3にこの利用者の個人認証状態を問い合わせることによりこの利用者の利用者識別子を取得し、情報サーバD、Eに前記アプリケーションレベルでの個人認証情報としての利用者識別子を送信する。この際に、アクセス制御サーバ8は、前記個人認証情報を元に前記利用者に対応するアプリケーションを認識し、この認識したアプリケーションにしたがって情報サーバD、Eに対してこのアプリケーションレベルでのアクセス制御を行う。
【0113】
これにより、アプリケーションレベルでのみ、個人認証を実施可能な情報サーバD、Eに対しても本発明の中継接続方式によるシングルサインオンサービスを提供することができる。
【0114】
(実施例まとめ)
本発明実施例の中継接続方式を用いることにより、ネットワークレベル認証と個人レベル認証を同時に実行し、ゲートウェイ装置3で認証状態を一括して管理することにより、ネットワークレベル認証と個人レベル認証の認証状態の不一致または重複を回避することができる。また、これにより、認証手順を簡単化することができる。
【0115】
また、情報サーバA、B、Cにて、個人レベル認証の状態を保持している間は、ゲートウェイ装置3にて対応する利用者に割り当てたプライベートネットワークアドレスを割当てないことで認証通信網4内部での認証状態の不一致または重複を防ぐことができる。また、情報サーバA、B、C側で利用者aまたはb を特定することができる。
【0116】
また、ネットワークレベルで、個人レベルのアクセス制御を実行することができる。
【0117】
認証通信網4を利用する利用者に対してネットワークレベルの認証通信路5設定時に個人レベル認証を行うため、個人レベル認証の実行を画一化できるため、認証手順を簡単化することができる。
【0118】
認証通信路5設定時に、個人レベル認証を行うため、ゲートウェイ装置3を介して、認証通信網4内部へアクセスする通信は、個人レベル認証の完了した通信となるため、認証状態の不一致または重複を回避することができる。
【0119】
情報サーバA、B、Cにて、個人認証を保持している間は、対応するプライベートネットワークアドレスの割当てを行わないため、情報サーバA、B、Cとゲートウェイ装置3との間の認証状態の不一致または重複を回避することができる。
【0120】
ゲートウェイ装置3にて、認証通信網4内部にアクセスする通信を監視し、個人レベル認証の完了していない利用者に対し、使用するアプリケーションに応じて個人レベル認証に誘導するなどのアプリケーションに対応した個人レベル認証への誘導処理を行う必要が無くなり、ゲートウェイ装置3の処理負荷を軽減させることができる。
【0121】
ゲートウェイ装置3にて、個人レベル認証を、認証通信路5設定以前に行うため、個人レベル認証への誘導を検出した際に受信した通信パケットをゲートウェイ装置3内に保留し、個人レベル認証完了後に、認証通信網4内部に転送するという処理を行う必要が無くなり、ゲートウェイ装置3の処理負荷を軽減させることができる。
【0122】
【発明の効果】
以上説明したように、本発明によれば、情報サーバ側から利用者を特定することができる。認証通信網内における認証状態の不一致を回避することができる。ネットワークレベル認証および個人レベル認証の手順を簡単化することができる。本発明は、ゲートウェイ装置の処理負荷を軽減させることができる。
【図面の簡単な説明】
【図1】本発明実施例の中継接続方式の全体構成図。
【図2】利用者端末が利用者の認証通信網内へのアクセスを検出してから認証通信路が形成されるまでの動作を示すシーケンス図。
【図3】利用者端末の利用者がアプリケーションの利用を開始し通信を継続している過程の動作を示すシーケンス図。
【図4】利用者端末からの認証通信路切断要求にしたがって認証通信路を切断し、情報サーバAで、利用者の無通信により個人レベルの認証状態を解放する動作を示すシーケンス図。
【図5】利用者aの情報サーバAの利用後に利用者bが情報サーバAを利用する場合の動作を示すシーケンス図。
【図6】利用者aの情報サーバAの利用後に利用者bが情報サーバAを利用する場合の動作を示すシーケンス図。
【図7】利用者端末からの認証通信路切断要求にしたがって認証通信路を切断し、利用者の利用した情報サーバに対し、個人レベルの認証状態の解放通知により個人認証を解放する動作を示すシーケンス図。
【図8】本発明第三実施例のネットワークアドレスおよび利用者識別子の重複チェック手順を示すシーケンス図。
【図9】本発明第四実施例のネットワークアドレスおよび利用者識別子の重複チェック手順を示すシーケンス図。
【図10】本発明第四実施例のネットワークアドレスおよび利用者識別子の重複チェック手順を示すシーケンス図。
【図11】本発明第五実施例のネットワークアドレスおよび利用者識別子の重複チェック手順を示すシーケンス図。
【図12】本発明第六実施例の中継接続方式の全体構成図。
【図13】本発明第六実施例のアクセス制御サーバの動作を説明するためのシーケンス図。
【図14】従来の中継接続方式を説明するための図。
【符号の説明】
1 利用者端末
2 公衆通信網
3 ゲートウェイ装置
4 認証通信網
5 認証通信路
6 ネットワークレベル認証サーバ
7 個人レベル認証サーバ
8 アクセス制御サーバ
A、B、C、D、E 情報サーバ
a、b 利用者
#1、#2 情報サーバ通信網[0001]
BACKGROUND OF THE INVENTION
The present invention is used for network security management. Especially suitable for use in private networks.
[0002]
[Prior art]
In an authentication communication network that is a private communication network controlled by a private network address and can only be used by users who have performed both network level authentication and individual authentication, the network level authentication of the user has been performed conventionally. If there is an access request from a user who has not completed personal authentication by setting an authentication communication channel at the level, personal authentication of the user is performed using this authentication communication channel. Allow users to use the authentication communication network. This conventional example will be described with reference to FIG. FIG. 14 is a diagram for explaining a conventional relay connection method. Hereinafter, in the figure, the network is shown as NW and the gateway as GW.
[0003]
In the example illustrated in FIG. 14, when the gateway device (shown as a GW device) 3 receives a communication start request from the
[0004]
Specifically, the network
[0005]
When the network level authentication is completed, an
[0006]
When the gateway device 3 detects use within the authentication communication network from the
[0007]
Therefore, in order to perform personal level authentication, the
[0008]
Specifically, personal level authentication information including user identifier information of the user is registered in advance in the personal level authentication server 7, and the user identifier included in the personal level authentication request transferred from the gateway device 3. It is determined whether or not the access request is a legitimate access request from a legitimate user from the personal level authentication information including As a result of this determination, if it is determined that a legitimate user is making a legitimate access request, the personal level authentication server 7 notifies the gateway device 3 to that effect. Thereby, network level authentication and personal level authentication are completed.
[0009]
In the gateway device 3 between the
[0010]
In the information servers A, B, and C, the gateway device 3 is inquired of the personal authentication status of the user based on the private network address of the accessing user. The gateway device 3 searches for the user identifier based on the private network address, and returns the user identifier as a personal authentication state. Information servers A, B, and C accept access from users who have been properly personally authenticated.
[0011]
[Problems to be solved by the invention]
In such a conventional relay connection method, the following problems occur. When user a uses information server A inside
[0012]
In addition, the gateway device monitors the access to the information server on the authentication communication path and performs the authentication communication when the access is detected in order to execute the personal level authentication after setting the authentication communication path to access the inside of the authentication communication network. It is necessary to guide the connection to the personal level authentication server from various applications executed on the road, and accordingly, it is necessary to deal with each application. Therefore, the processing load of the gateway device increases.
[0013]
Further, it is necessary to guide to the personal level authentication, hold the packet received during the personal authentication inside the gateway device, and transfer the packet held when the personal level authentication is completed to the inside of the authentication communication network. Accordingly, this also increases the processing load of the gateway device.
[0014]
The present invention has been made in such a background, and an object thereof is to provide a relay connection method capable of specifying a user from the information server side. An object of the present invention is to provide a relay connection method capable of avoiding inconsistency or duplication of authentication states in an authentication communication network. An object of the present invention is to provide a relay connection method that can simplify the procedures of network level authentication and individual level authentication. An object of this invention is to provide the relay connection system which can reduce the processing load of a gateway apparatus.
[0015]
[Means for Solving the Problems]
The present invention relates to an authentication communication network as a private communication network including an information server that can be used by a user who has performed authentication at both the network level and the individual level and is controlled by a private network address and provides information to the user. The relay connection system includes a public communication network connected to a user terminal that accesses the authentication communication network and a gateway device that connects the authentication communication network.
[0016]
Here, a feature of the present invention is that a network level authentication server is provided that holds authentication information obtained by adding personal level authentication information to network level authentication information, and the network level authentication server includes the authentication information and the authentication information. At the same time, means for adding and holding personal level access control information, and verifying the authenticated information received as an authentication request from the gateway device, adding the access control information to the authentication result and returning it to the gateway device And the gateway device sends authentication information and user identifier obtained by adding authentication information at the personal level to authentication information at the network level and expiration date information of the authentication information from the user terminal. Means for receiving and verifying the validity period information to verify the validity of the authentication target information; Means for transmitting the authentication request to the network level authentication server using a user identifier and the authentication target information, and a private network address used inside the authentication communication network when the authentication is completed to the user of the user terminal And assigning the private network address, the network level authentication information returned as the authentication result from the network level authentication server, and the network address and user identifier as personal level authentication information, respectively, and correspondingly The secret information is shared between the means for holding the personal level access control information returned together with the authentication information from the network level authentication server and the user when the authentication is completed. On the encrypted communication path used A means for generating an authentication communication path between the user terminal and an access from the user to the authentication communication network within the authentication communication path. And a private address used inside the authentication communication network, and the access control information corresponding to the user's network address is searched when the user accesses the authentication communication network. And means for controlling access to the information server by the user according to the access control information.
[0017]
Thereby, since the network level authentication and the personal level authentication are simultaneously performed as a pair, the user can be specified from the information server side. Also, it is possible to avoid mismatching or duplication of authentication status. This also simplifies the procedures for network level authentication and personal level authentication. In addition, the processing load on the gateway device can be reduced.
[0018]
The information server includes means for acquiring the user identifier by inquiring of the gateway device about the personal authentication status of the user using the user's private network address when there is an access from the user. desirable.
[0019]
As a result, since the authentication status information is centrally managed by the network level authentication server, it is possible to identify the user from the information server side and to avoid the mismatch or duplication of the authentication status in the authentication communication network. .
[0020]
The gateway device preferably includes means for not reassigning the private network address in the authentication communication network assigned to the user until the information server releases the personal level authentication state.
[0021]
Thereby, it is possible to avoid duplication of a plurality of private network addresses with respect to one authentication state for one user, and thus it is possible to avoid a mismatch of authentication states in the authentication communication network.
[0022]
The gateway device detects the authentication communication in response to a request from a user or when no communication is detected from the user to the authentication communication network using the authentication communication path for a predetermined time or more. Means for deleting the road may be provided.
[0023]
As a result, the authentication communication path so far can be deleted for the convenience of the user to prepare for execution of a new authentication procedure.
[0024]
In addition, when the gateway apparatus deletes the authentication communication path, the gateway apparatus deletes the authentication communication path and the personal level authentication state with respect to the information server used by the user of the authentication communication path. The information server may further include means for releasing the authentication status at the personal level of the corresponding user based on the notification from the gateway device.
[0025]
As a result, it is possible to avoid mismatching or duplication of authentication states in the authentication communication network when the gateway device releases the authentication level at the individual level.
[0026]
Thus, according to the present invention, the user can be specified from the information server side. It is possible to avoid inconsistency of authentication states in the authentication communication network. Network level authentication and personal level authentication procedures can be simplified. The processing load on the gateway device can be reduced.
[0027]
In addition, when the gateway device receives the setting request for the authentication communication path from the user, the gateway device includes a user identifier, authentication target information, and the user included in the setting request to the network level authentication server. Means for setting the network address in the authentication request and transmitting it to the network level authentication server, wherein the network level authentication server receives the authentication request and receives the network address and the user corresponding to the network address. Means for holding an identifier; and the user identifier set in the authentication request by searching for information of the authentication communication path during communication held by the network level authentication server upon receiving the authentication request And / or said authentication already according to said network address Means for detecting whether or not a communication path is set, and when the authentication communication path is already set by the same user identifier or network address, the gateway apparatus setting the authentication communication path Means for transmitting duplicate authentication communication path deletion requests, and the gateway device receives the authentication communication path deletion request and searches for the corresponding authentication communication path, and this search means. Means for deleting the authentication communication path and notifying the network level authentication server of the deletion completion response when the corresponding authentication communication path is searched based on the search result, and the network level authentication servers are the same. When the authentication communication path is not already set by the user identifier or the network address of Alternatively, when the deletion completion response is received, the user identifier and the authentication target information set in the authentication request are verified, and the address control information of the corresponding user is added to the authentication result to respond. Means for receiving the response to which the address control information is added and setting the authentication communication path; and means for transmitting a notification of the authentication communication path setting to the network level authentication server. The network level authentication server receives the notification of the authentication channel setting and sets the authentication channel as the set authentication channel information, the user device identifier, and the identification information of the gateway device Each having a network address stored therein, and the gateway device receives a request from the user. Or a means for deleting the authentication communication path when it detects no communication within the authentication communication network using the authentication communication path from the user for a predetermined time or more, Means for discarding the information on the corresponding authentication communication path, and means for notifying the network level authentication server of the deletion of the corresponding authentication communication path, the network level authentication server receiving the notification of the deletion and corresponding It is also possible to provide means for discarding information relating to the authentication communication path to be performed.
[0028]
In this way, the network level authentication server retains the network address of the authentication communication path set in all the gateway devices and the user identifier corresponding to this network address, so that the network address and the use Duplicate identifiers can be checked.
[0029]
Further, the gateway device has received the network communication address of the user who has established the authentication communication path after the completion of authentication and the user identifier corresponding to the network address, and the setting request for the authentication communication path Depending on the search result of the means for searching for the network address and / or the user identifier corresponding to the network address of the user who is currently using the authentication communication path set by himself / herself The network address of the user included in the setting request and / or the user identifier corresponding to the network address and the network address of the user using the authentication communication path currently set by the user and / or the network identifier The user identification corresponding to the network address And the means for deleting the existing authentication communication path set by the self and setting the authentication communication path based on the setting request, and the setting request based on the search result of the searching means. Corresponding to the network address of the user and / or the user identifier corresponding to the network address and the network address of the user who is currently using the authentication communication path set by the user and / or the network address Means for notifying the other gateway device of the network address and the user identifier corresponding to the network address when the user identifier does not match, and is held by itself when the notification is received from another gateway device. Of the user who is setting up the authentication channel A means for searching whether the network address and / or the user identifier corresponding to the network address are the same as the network address and / or the user identifier included in the notification, and a search result of the searching means If the search results of the means for searching and the search means of the search means are the same, the duplicate authentication communication path held by the self is deleted and the self Means for discarding the information about the duplicated authentication channel that is held; means for responding to the sender of the notification that there is a corresponding user in the authentication channel and the completion of deletion; And a means for setting a new authentication communication path when the response is received. You can also.
[0030]
In this way, the gateway device retains the network address of the user related to the authentication communication path set by the gateway device and the user identifier corresponding to the network address, thereby preventing duplication of the network address and / or the user identifier. Can be checked.
[0031]
Alternatively, the gateway device has received the network communication address of the user who has established the authentication communication path after the completion of authentication and the user identifier corresponding to the network address, and the setting request for the authentication communication path Depending on the search result of the means for searching for the network address and / or the user identifier corresponding to the network address of the user who is currently using the authentication communication path set by himself / herself The network address of the user included in the setting request and / or the user identifier corresponding to the network address and the network address of the user using the authentication communication path currently set by the user and / or the network identifier The user corresponding to the network address Means for deleting the existing authentication communication path set by the self and setting the authentication communication path based on the setting request when the bespoke is the same, and the setting based on a search result of the searching means The network address of the user included in the request and / or the user identifier corresponding to the network address and the network address of the user who is currently using the authentication channel set by the user and / or the network address Means for notifying the other gateway device of the network address and the user identifier corresponding to the network address when the user identifier corresponding to the network identifier does not match, and when receiving this notification from the other gateway device Used during authentication channel setting Means for searching whether or not the network address and / or the user identifier corresponding to the network address are the same as the network address and / or the user identifier included in the notification, and a search for the searching means When the results are not the same, the means for responding to the gateway device that is the source of the notification and the response to the gateway device that is the source of the notification when the search results of the means for searching are the same And when the self is the sender of the notification and receives the response, the gateway apparatus that deletes the duplicate authentication communication path held by the gateway apparatus is deleted from the gateway apparatus that is the sender of the response. It is necessary to delete the information related to the duplicated authentication communication path that is held. Information on the duplicate authentication communication path held by itself and the duplicate authentication communication path held by itself when the request is received and this request is received. A means for discarding, a means for responding that there is a corresponding user in the authentication communication channel that overlaps with the transmission source of the request, and that the deletion has been completed; Means for setting the authentication communication path.
[0032]
Further, the gateway device has means for holding the network address of the user who has established the authentication channel after completion of authentication and the user identifier corresponding to the network address, and the network address held in the means for holding And means for notifying information of the user identifier corresponding to the network address to the other gateway device, and of the gateway device setting the authentication communication path when the notification is received from the other gateway device. Means for holding the information and the network address and the user identifier information corresponding to the network address, and all the gateway devices currently held by itself when receiving the authentication channel setting request The authentication channel Searching for the network address of the user in use and / or the user identifier corresponding to the network address, and when either is the same, means for confirming the gateway device setting the authentication communication path; When the gateway device that has set the authentication communication path is itself, the authentication communication path is deleted and the authentication communication path that is newly requested is set, and the authentication communication path is set. Means for setting the network address and the user identifier corresponding to the network address to the gateway device when the gateway device is another gateway device, and transmitting a request for deleting the authentication communication path; When self receives this delete request, A network address and / or a means for searching for the authentication communication path that matches the user identifier corresponding to the network address, deleting the authentication communication path, and responding to the gateway device of the deletion request source, And a means for setting the authentication communication path that is newly requested when the deletion request source is received and this deletion completion response is received.
[0033]
In this way, all the gateway devices hold the network address of the user of the authentication communication path set by all the gateway devices and the user identifier corresponding to this network address, respectively, and the network address and Alternatively, it is possible to check for duplicate user identifiers.
[0034]
When an information server whose personal authentication is limited to the application level is provided, an access control server is provided between the gateway device and the information server. Means for acquiring the user identifier of the user by inquiring the gateway device of the user's personal authentication status using the private address of the user, and using the information server as personal authentication information at the application level And means for transmitting the person identifier.
[0035]
At this time, the access control server recognizes the application corresponding to the user based on the personal authentication information and the information server at the application level according to the application recognized by the recognition means. It is desirable to provide means for performing access control.
[0036]
As a result, the single sign-on service using the relay connection method of the present invention can be provided even to an information server capable of performing personal authentication only at the application level.
[0037]
The second aspect of the present invention is applied to the relay connection method of the present invention. The second aspect of the present invention is a means for holding authentication information obtained by adding personal level authentication information to network level authentication information. Means for adding and holding access control information, and means for verifying the authenticated information received as an authentication request from the gateway device, adding the access control information to the authentication result, and returning it to the gateway device This is a network level authentication server.
[0038]
When the gateway device receives the authentication communication path setting request from the user, the gateway device receives the authentication request in which the user identifier and the authentication target information included in the setting request and the network address of the user are set. Means for holding the network address and the user identifier corresponding to the network address; and searching for information on the authentication communication path during communication that has been received and held and set in the authentication request Means for detecting whether or not the authentication communication path is already set according to the user identifier and / or the network address, and the authentication communication path is already set by the same user identifier or the network address. The gateway device that sets the authentication communication path when being Means for transmitting a request for deleting the duplicated authentication channel, and when the authentication channel is not already set by the same user identifier or network address, or the deletion completion response has been received Sometimes the user identifier and the authentication target information set in the authentication request are verified, the address control information of the corresponding user is added to the authentication result, and the authentication request or the deletion completion response is transmitted. Means for responding to the gateway device; identification information of the gateway device that has received the notification of the authentication channel setting from the gateway device and sets the authentication channel as the set authentication channel information and the user identifier And means for holding each of the network addresses therein, and the gateway device It is desirable to provide a means for discarding information about authentication communication path appropriate to receive the authentication of the communication path deletion notification al.
[0039]
The third aspect of the present invention is applied to the relay connection method of the present invention, and is the authentication information and user identifier obtained by adding the authentication information at the personal level to the authentication information at the network level and the expiration date of the authentication information. Means for receiving the information from the user terminal and verifying the validity period to confirm the validity of the authentication target information, and using the user identifier and the authentication target information to the network level authentication server. Means for transmitting the authentication request, and assigning a private network address to be used inside the authentication communication network to the user when the authentication is completed. The private network address and the network level returned as the authentication result from the network level authentication server. Authentication information and personal level authentication information in the user's public communication network A network address and a user identifier that are addresses, respectively, and correspondingly holding the personal level access control information returned together with the authentication result from the network level authentication server, and upon completion of authentication, Means for sharing secret information with the user and generating an authentication communication path, which is an encrypted communication path using the secret information, with the user terminal; and authentication communication from the user Means for permitting access to the network limited to the authentication communication path and performing address conversion between a network address in the public communication network and a private address used in the authentication communication network; and the user Corresponding to the network address of the user when accessing the authentication communication network from Access a gateway apparatus characterized by comprising a means for controlling access to said information server of the user according to the access control information searched control information.
[0040]
Further, means for holding a network address of a user who has established the authentication communication path after completion of authentication and a user identifier corresponding to the network address, and is set by the current self when receiving the setting request for the authentication communication path. Means for searching for the network address of the user who uses the authentication communication path and / or the user identifier corresponding to the network address, and the search result of the means for searching for the user included in the setting request The network address and / or the user identifier corresponding to the network address and the user's network address and / or the user identifier corresponding to the network address of the user who is currently using the authentication communication path set by the user Set by the self when Means for deleting the existing authentication communication path and setting the authentication communication path based on the setting request, and the network address of the user included in the setting request according to a search result of the searching means and / or When the user identifier corresponding to the network address does not match the network address of the user who is currently using the authentication communication path set by the user and / or the user identifier corresponding to the network address Means for notifying the gateway device of the network address and the user identifier corresponding to the network address, and when the notification is received from another gateway device, the authentication communication path setting that is held by itself The network address and / or The means for searching whether the user identifier corresponding to the network address is the same as the network address and / or the user identifier included in the notification and when the search results of the searching means are not the same When the search result of the means for searching and the means for searching is the same, the duplicate authentication communication path held by the self is deleted and the duplicate is held by the self Means for discarding information about the authentication communication path; means for responding that there is a corresponding user in the authentication communication path overlapping with the transmission source of the notification; and that the deletion is completed; It is desirable to provide a means for setting a new authentication communication path when a response is received.
[0041]
Alternatively, a means for holding a network address of a user who has established the authentication communication path after completion of authentication and a user identifier corresponding to the network address, and the current self setting when receiving the setting request for the authentication communication path. Means for searching for the network address of the user who uses the authentication communication path and / or the user identifier corresponding to the network address, and the search result of the means for searching for the user included in the setting request The network address and / or the user identifier corresponding to the network address and the user's network address and / or the user identifier corresponding to the network address of the user who is currently using the authentication communication path set by the user Is the same as Means for deleting the existing authentication communication path and setting the authentication communication path based on the setting request, and the network address of the user included in the setting request according to a search result of the searching means, and / or When the user identifier corresponding to the network address does not match the network address of the user who is currently using the authentication communication path set by the user and / or the user identifier corresponding to the network address Means for notifying the other gateway device of the network address and the user identifier corresponding to the network address, and when the notification is received from the other gateway device, the authentication communication path being set by itself is being set. The network address of the user and / or Means for searching whether the user identifier corresponding to the network address is the same as the network address and / or the user identifier included in the notification, and when the search results of the searching means are not the same Means for responding to the gateway device that is the source of the notification, and means for responding to the gateway device that is the source of the notification when the search results of the means for searching are the same; When this response is received as a notification transmission source, the duplicate authentication communication path held by the gateway device is deleted from the gateway device that is the transmission source of the response, and the gateway device holds the duplicate Means for making a request to delete the information on the authentication channel, and the self is the source of the response Yes, when the request is received, the duplicate authentication communication path held by itself is deleted and the information about the duplicate authentication communication path held by itself is discarded, and the request is duplicated in the transmission source of the request It is also possible to provide means for responding that there is a corresponding user on the authentication channel and completion of deletion, and means for setting the new authentication channel when the requester is the sender of the request and receives the response. .
[0042]
Alternatively, means for holding a network address of a user who has established the authentication communication path after completion of authentication and a user identifier corresponding to the network address, and corresponding to the network address and network address held in the means for holding Means for notifying information of the user identifier to the other gateway device, information of the gateway device that has set the authentication communication path when the notification is received from the other gateway device, the network address, and this Means for holding information of the user identifier corresponding to a network address, and the authentication communication path set in all the gateway devices currently held by itself when receiving the setting request for the authentication communication path. The network of the user who is using When the user identifier corresponding to the work address and / or the network address is searched and either of them is the same, a means for confirming the gateway device setting the authentication communication path and the authentication communication path are set. When the gateway device is self, the corresponding authentication communication path is deleted and the newly requested authentication communication path is set, and the gateway device setting the authentication communication path is another gateway. A device that sets the network address and the user identifier corresponding to the network address to the gateway device when it is a device, and transmits the request for deleting the authentication communication path; The requested network address and Means for searching for the authentication communication path that matches the user identifier corresponding to the network address, deleting the authentication communication path, and responding to the gateway device of the deletion request source that the deletion is completed; It is also possible to provide a means for setting the authentication communication path that has been newly requested when the original and deletion completion response is received.
[0043]
The fourth aspect of the present invention is applied to the relay connection method of the present invention, and when there is an access from the user, the gateway device is inquired of the personal authentication status of the user by using the user's private network address. Accordingly, there is provided an information server comprising means for acquiring the user identifier.
[0044]
A fifth aspect of the present invention is applied to the relay connection method of the present invention, and is provided between the gateway device and an information server whose implementation of personal authentication is limited to an application level, and uses a user's private address. Means for obtaining the user identifier of the user by inquiring the personal authentication status of the user to the gateway device, and means for transmitting the user identifier as personal authentication information at the application level to the information server. And an access control server.
[0045]
Means for recognizing an application corresponding to the user based on the personal authentication information, and means for performing access control at the application level for the information server according to the application recognized by the recognizing means. Is desirable.
[0046]
A sixth aspect of the present invention provides network level authentication information as a function corresponding to the network level authentication server applied to the relay connection method of the present invention by installing the information processing apparatus in the information processing apparatus. A function for holding authentication information with personal level authentication information added thereto, a function for holding personal level access control information in addition to the authentication information, and information to be authenticated received as an authentication request from the gateway device And a function of adding the access control information to the authentication result and returning it to the gateway device.
[0047]
Further, the program sets the user identifier and the authenticated information included in the setting request and the network address of the user when the gateway device receives the setting request for the authentication channel from the user. A function for receiving the authentication request and holding the network address and the user identifier corresponding to the network address, and searching for information on the authentication communication path during communication that is received and held by the authentication request. A function for detecting whether or not the authentication communication path is already set according to the user identifier and / or network address set in the authentication request, and already with the same user identifier or network address When the authentication channel is set, the authentication channel is set. A function of transmitting a duplicate request for deleting the authentication communication path to the gateway device, and when the authentication communication path is not already set by the same user identifier or the network address, or the deletion is completed When the response is received, the user identifier and the authentication target information set in the authentication request are verified, the address control information of the corresponding user is added to the authentication result, and the authentication request or the deletion is completed. And the identification information of the gateway device that has set the authentication communication path as the set authentication communication path information by receiving the notification of the authentication communication path setting from the gateway apparatus. And a device for holding the user identifier and the network address, respectively. If, possible to realize the above function discards information about authentication communication path to receive notification of deletion of the authentication communication path appropriate from the gateway device is desirable.
[0048]
Alternatively, by installing it in the information processing apparatus, the personal level authenticated information is added to the network level authenticated information as a function corresponding to the gateway apparatus applied to the relay connection method of the present invention. A function of receiving the added authenticated information and user identifier and the expiration date information of the authenticated information from the user terminal and verifying the expiration date to confirm the validity of the authenticated information; A function of transmitting the authentication request to the network level authentication server using a user identifier and the authentication target information, and assigning a private network address used in the authentication communication network to the user when the authentication is completed. Returned as the authentication result from the address and the network level authentication server A network address and a user identifier which are addresses in the public communication network of the user as network level authentication information and personal level authentication information, respectively, and correspondingly, the authentication result from the network level authentication server The authentication communication that is the encryption communication path using the secret information shared with the user when the authentication is completed and the function of holding the personal level access control information returned together with the user A function of generating a route with the user terminal, and access from the user to the authentication communication network is permitted only in the authentication communication channel and a network address and the authentication in the public communication network A function to perform address conversion with a private address used inside the communication network, Realizing a function of retrieving the corresponding access control information from the network address of the user when the user accesses the authentication communication network, and controlling the user's access to the information server according to the access control information It is a program characterized by making it carry out.
[0049]
Further, the program stores a network address of a user who has established the authentication channel after completion of authentication and a user identifier corresponding to the network address, and when receiving a request for setting the authentication channel, Included in the setting request by the function of searching for the network address of the user who uses the authentication communication path set by the user and / or the user identifier corresponding to the network address, and the search result of the searching function The network address and / or the user identifier corresponding to the network address and the network address and / or the network address of the user who is currently using the authentication channel set by the user. When the user identifier is the same Is a function of deleting the existing authentication communication path set by the self and setting the authentication communication path based on the setting request, and a user included in the setting request according to a search result of the function to be searched. The network address and / or the user identifier corresponding to the network address and the user's network address and / or the user identifier corresponding to the network address of the user who is currently using the authentication communication path set by the user If the network address and the user identifier corresponding to the network address are notified to the other gateway device, and the authentication held by itself when the notification is received from the other gateway device The network address of the user who is setting the communication path The search result of the search function is the same as the function for searching whether the user identifier corresponding to the network address and / or the network address is the same as the network address and / or the user identifier included in the notification. If the search result of the search function is the same as the function of responding to the gateway device that is the source of the notification when it is not, the redundant authentication communication path held by itself is deleted and held by itself. A function of discarding the information related to the authentication channel that is duplicated, a function of responding to the sender of the notification that there is a corresponding user in the authentication channel and the completion of deletion, and the transmission of the notification by itself It is desirable to realize a function of setting the new authentication communication path when the response is received.
[0050]
Alternatively, the function of holding the network address of the user who has established the authentication communication path after completion of authentication and the user identifier corresponding to the network address, and the current self-setting when receiving the setting request for the authentication communication path A function of searching for a network address of a user who uses the authentication communication channel and / or a user identifier corresponding to the network address, and a search result of the search function of the user included in the setting request The network address and / or the user identifier corresponding to the network address and the user's network address and / or the user identifier corresponding to the network address of the user who is currently using the authentication communication path set by the user Is the same as A function of deleting the existing authentication communication path and setting the authentication communication path based on the setting request, and the network address of the user included in the setting request according to a search result of the function to search and / or When the user identifier corresponding to the network address does not match the network address of the user who is currently using the authentication communication path set by the user and / or the user identifier corresponding to the network address The function of notifying the other gateway device of the network address and the user identifier corresponding to the network address, and the authentication communication path being set by itself when the notification is received from the other gateway device The network address of the user and / or A function for searching whether the user identifier corresponding to the network address is the same as the network address and / or the user identifier included in the notification, and a search result of the search function is not the same A function that responds to the gateway device that is the source of the notification, and a function that responds to the gateway device that is the source of the notification when the search result of the function that searches is the same, When this response is received as a notification transmission source, the duplicate authentication communication path held by the gateway device is deleted from the gateway device that is the transmission source of the response, and the gateway device holds the duplicate A function of requesting deletion of information on the authentication communication path, and a self-transmission source Yes, when this request is received, the function deletes the duplicated authentication communication path held by itself and discards the information related to the duplicate authentication communication path held by itself, and duplicates the request transmission source. It is also possible to realize a function of responding that there is a corresponding user on the authentication channel and completion of deletion, and a function of setting a new authentication channel when the requester is the sender of the request and receiving the response. it can.
[0051]
Alternatively, the network address of the user who has established the authentication communication path after the completion of authentication and the user identifier corresponding to the network address, and the network address held in the held function and the network address A function for notifying information of the user identifier to the other gateway device, and information on the gateway device that has set the authentication communication path and the network address when this notification is received from the other gateway device; A function for holding the information of the user identifier corresponding to the network address, and the authentication communication path set in all the gateway devices currently held by itself when the setting request for the authentication communication path is received. The network of the user who is using When the user identifier corresponding to the work address and / or the network address is searched and either of them is the same, the function of confirming the gateway device setting the authentication communication path and the authentication communication path are set. When the gateway device is self, the corresponding authentication communication path is deleted and the newly requested authentication communication path is set, and the gateway device setting the authentication communication path is another gateway. A function of transmitting the authentication communication path deletion request by setting the network address and the user identifier corresponding to the network address to the corresponding gateway device when the device is a device, and the self receiving the deletion request The requested network address and Searches for the authentication communication path that matches the user identifier corresponding to the network address, deletes the authentication communication path, and responds to the deletion request source gateway device that the deletion has been completed, When the original and the deletion completion response is received, a function for setting the authentication communication path that is newly requested can be realized.
[0052]
Alternatively, when installed in the information processing apparatus, when the user accesses the information processing apparatus as a function corresponding to the information server applied to the relay connection method of the present invention, the user's private network A program for realizing the function of acquiring the user identifier by inquiring of the gateway device about the personal authentication status of the user using an address.
[0053]
Alternatively, by installing it in the information processing apparatus, the gateway apparatus can use this private address as a function corresponding to the access control server applied to the relay connection method of the present invention. Realizing a function of acquiring a user identifier of the user by inquiring the user's personal authentication status and a function of transmitting a user identifier as personal authentication information at the application level to the information server; It is a featured program.
[0054]
Further, the program recognizes an application corresponding to the user based on the personal authentication information, and performs access control at the application level for the information server according to the application recognized by the recognition function. It is desirable to realize the function to be performed.
[0055]
A seventh aspect of the present invention is the information processing apparatus-readable recording medium on which the program of the present invention is recorded. The program of the present invention can be installed in the information processing apparatus using the recording medium of the present invention in which the program of the present invention is recorded. The information processing apparatus can also install the program of the present invention when the information processing apparatus downloads the program of the present invention from a server holding the program of the present invention via a network.
[0056]
DETAILED DESCRIPTION OF THE INVENTION
A relay connection system according to an embodiment of the present invention will be described with reference to FIGS. FIG. 1 is an overall configuration diagram of a relay connection system according to an embodiment of the present invention. FIG. 12 is an overall configuration diagram of the relay connection system of the sixth embodiment of the present invention.
[0057]
The present invention is a private communication network including information servers A, B, and C that can be used by a user who has performed authentication at both the network level and the individual level and is controlled by a private network address and provides information to the user. And a gateway device 3 for connecting the
[0058]
Here, a feature of the present invention is that a network
[0059]
In order to realize the relay connection system of the embodiment of the present invention, the network
[0060]
In the following, embodiments of the present invention will be described in more detail.
[0061]
(First Example)
The configuration of the relay connection system of the first embodiment of the present invention will be described with reference to FIG. The
[0062]
Next, the operation of the relay connection system according to the first embodiment of the present invention will be described with reference to FIGS. FIG. 2 is a sequence diagram showing an operation from when the
[0063]
The overall operation of the relay connection system according to the first embodiment of the present invention will be described in detail with reference to the sequence diagrams of FIGS. 1 and 2 to 6. First, for a user who uses the
[0064]
As shown in FIG. 2, when the user requests access to the information server A inside the
[0065]
In the meantime, the
[0066]
The gateway device 3 verifies the validity of the authenticated information based on the received expiration date information of the authenticated information of the user, and then transmits the user identifier and the authenticated information to the network
[0067]
The network
[0068]
The gateway device 3 assigns a private network address used inside the authentication
[0069]
The operation during setting of the
[0070]
In addition, the user in communication is managed at the network level, and the information is held in the gateway device 3 during communication by maintaining communication to maintain the authentication state.
[0071]
Further, the gateway device 3 performs access control according to the access control type held by looking at the destination address of the user. The gateway device 3 has a list of accessible information server
[0072]
In the information server A, when access from the user occurs, based on the private network address assigned by the gateway device 3 which is the address information of the caller of the communication, the information server A sends the user's information to the gateway device 3. Queries the user identifier.
[0073]
In response to the inquiry about the user identifier from the information server A, the gateway device 3 searches for the user identifier from the private network address and returns the user identifier.
[0074]
The information server A holds the private network address and the user identifier acquired from the gateway device 3 during the access from the user, and uses the user while the communication using the user's private network address is performed. The authentication status of the person at the personal level is retained as authenticated.
[0075]
FIG. 4 shows the operation when the communication is disconnected. When the gateway device 3 receives the disconnection request for the
[0076]
Since the information server A cannot recognize the disconnection of the authentication communication path, the status of communication from the user is monitored, and when no communication is detected for a predetermined time or more, the pair of the private network address and the user identifier is detected. Delete the information and release the personal level authentication status.
[0077]
For this reason, in the gateway device 3, the information server A re-establishes the private network address in the
[0078]
FIG. 5 shows the operation when there are accesses from a plurality of users a and b from the
[0079]
After the completion of the release process, the
[0080]
FIG. 6 shows a process in the case where an
[0081]
In the gateway device 3, when access to the
[0082]
(Second embodiment)
A second embodiment of the present invention will be described with reference to FIG. FIG. 7 is a sequence diagram showing an operation of disconnecting the
[0083]
In the first embodiment described above, detection of no-communication time is used in order to match the personal authentication state between the information servers A, B, and C and the gateway device 3. When the usage status of the information server A is monitored at the level, the information server A holds the authentication status only while the user is using the application on the information server A, and the usage of the application is completed. When the password is detected, the personal level authentication state is released.
[0084]
As shown in FIG. 7, when a disconnection request for the
[0085]
In the gateway device 3, as the personal authentication state is released, the network level authentication state of the corresponding user is also released. Therefore, the gateway device 3 deletes the network address and user identifier of the corresponding user held while the authentication state is maintained. Furthermore, the access control information of the corresponding user is also deleted. In this way, the gateway device 3 can reassign the private network address immediately after the
[0086]
(Third embodiment)
A third embodiment of the present invention will be described with reference to FIG. FIG. 8 is a sequence diagram showing a duplication check procedure for a network address and a user identifier according to the third embodiment of the present invention. In the third embodiment of the present invention, the network
[0087]
As shown in FIG. 8, when the gateway apparatus 3 receives a setting request for the
[0088]
The network
[0089]
The gateway device 3 receives the request for deleting the
[0090]
The network
[0091]
The gateway device 3 receives the response to which the address control information is added, sets the
[0092]
The network
[0093]
In response to a request from the user, or when the gateway device 3 detects no communication from the user to the inside of the
[0094]
The network
[0095]
(Fourth embodiment)
A fourth embodiment of the present invention will be described with reference to FIGS. 9 and 10 are sequence diagrams showing the duplication check procedure for the network address and the user identifier according to the fourth embodiment of the present invention. In the fourth embodiment of the present invention, each gateway device 3 holds the network address of the user of the
[0096]
As shown in FIG. 9, the gateway device 3 holds the network address of the user who has established the
[0097]
When the gateway apparatus 3 receives this notification from the other gateway apparatus 3, the network address of the user who is setting the
[0098]
The gateway apparatus 3 that is the transmission source of the notification and that has received the response sets a new
[0099]
Alternatively, as shown in FIG. 10, the gateway device 3 uses the search result to set the network address of the user included in the setting request and the user identifier corresponding to the network address and the current self setting. When the network address of the user who uses the authentication communication path and the user identifier corresponding to the network address do not match, the other gateway device 3 sends the network address and the user identifier corresponding to the network address. The gateway device 3 that has received this notification includes the network address of the user who is holding the
[0100]
The gateway apparatus 3 that is the sender of the notification and has received this response deletes the redundant
[0101]
The gateway device 3 that is the sender of the response and that has received this request deletes the duplicate
[0102]
The gateway apparatus 3 that is the transmission source of the request and that has received the response sets a new
[0103]
(Fifth embodiment)
A fifth embodiment of the present invention will be described with reference to FIG. FIG. 11 is a sequence diagram showing a duplication check procedure for a network address and a user identifier according to the fifth embodiment of the present invention. In the fifth embodiment of the present invention, the network address and the user identifier of the user of the
[0104]
As shown in FIG. 11, the gateway device 3 holds the network address of the user who has established the
[0105]
When this notification is received from another gateway device 3, the information of the gateway device 3 that has set the
[0106]
The gateway device 3 that has received the setting request for the
[0107]
When the gateway apparatus 3 that sets the
[0108]
When the gateway device 3 that sets the
[0109]
The gateway apparatus 3 that has received this deletion request searches the
[0110]
The gateway apparatus 3 that is the deletion request source and receives this deletion completion response sets the
[0111]
(Sixth embodiment)
A sixth embodiment of the present invention will be described with reference to FIGS. FIG. 12 is an overall configuration diagram of the relay connection system of the sixth embodiment. FIG. 13 is a sequence diagram for explaining the operation of the access control server of the sixth embodiment.
[0112]
The sixth embodiment is an example in which information servers D and E whose implementation of personal authentication is limited to the application level are provided. In this case, an access control server 8 is provided between the gateway device 3 and the information servers D and E, and the access control server 8 uses the user's private address to connect the user to the gateway device 3. The user identifier of this user is acquired by inquiring the personal authentication status of the user, and the user identifier as personal authentication information at the application level is transmitted to the information servers D and E. At this time, the access control server 8 recognizes an application corresponding to the user based on the personal authentication information, and performs access control at the application level for the information servers D and E according to the recognized application. Do.
[0113]
As a result, the single sign-on service using the relay connection method of the present invention can be provided to the information servers D and E capable of performing personal authentication only at the application level.
[0114]
(Example summary)
By using the relay connection method of the embodiment of the present invention, network level authentication and personal level authentication are executed simultaneously, and the authentication status is collectively managed by the gateway device 3, so that the authentication status of network level authentication and personal level authentication Inconsistency or duplication can be avoided. Thereby, the authentication procedure can be simplified.
[0115]
In addition, while the information server A, B, C holds the personal level authentication state, the private network address assigned to the corresponding user by the gateway device 3 is not assigned, so that the inside of the
[0116]
Also, access control at the individual level can be executed at the network level.
[0117]
Since the personal level authentication is performed for the user who uses the
[0118]
Since personal level authentication is performed when the
[0119]
Since the corresponding private network address is not assigned while the personal authentication is held in the information servers A, B, and C, the authentication state between the information servers A, B, and C and the gateway device 3 is not changed. Mismatches or duplicates can be avoided.
[0120]
Corresponding to applications such as the gateway device 3 monitoring communications accessing the inside of the
[0121]
Since the gateway device 3 performs the personal level authentication before setting the
[0122]
【The invention's effect】
As described above, according to the present invention, a user can be specified from the information server side. It is possible to avoid inconsistency of authentication states in the authentication communication network. Network level authentication and personal level authentication procedures can be simplified. The present invention can reduce the processing load of the gateway device.
[Brief description of the drawings]
FIG. 1 is an overall configuration diagram of a relay connection system according to an embodiment of the present invention.
FIG. 2 is a sequence diagram showing an operation from when a user terminal detects access to a user's authentication communication network to when an authentication communication path is formed.
FIG. 3 is a sequence diagram showing an operation in a process in which a user of a user terminal starts using an application and continues communication.
FIG. 4 is a sequence diagram showing an operation of disconnecting an authentication communication path in accordance with an authentication communication path disconnection request from a user terminal and releasing an individual-level authentication state by the information server A without user communication.
FIG. 5 is a sequence diagram showing an operation when a user b uses the information server A after using the information server A of the user a.
FIG. 6 is a sequence diagram showing an operation when a user b uses the information server A after using the information server A of the user a.
FIG. 7 shows an operation of disconnecting an authentication communication path in accordance with an authentication communication path disconnection request from a user terminal and releasing personal authentication to the information server used by the user by a notification of release of the authentication level at the individual level. Sequence Diagram.
FIG. 8 is a sequence diagram showing a duplication check procedure for a network address and a user identifier according to the third embodiment of the present invention.
FIG. 9 is a sequence diagram showing a duplication check procedure for a network address and a user identifier according to the fourth embodiment of the present invention.
FIG. 10 is a sequence diagram illustrating a duplication check procedure for a network address and a user identifier according to the fourth embodiment of the present invention.
FIG. 11 is a sequence diagram illustrating a duplication check procedure for a network address and a user identifier according to a fifth embodiment of the present invention.
FIG. 12 is an overall configuration diagram of a relay connection system according to a sixth embodiment of the present invention.
FIG. 13 is a sequence diagram for explaining the operation of the access control server according to the sixth embodiment of the present invention.
FIG. 14 is a diagram for explaining a conventional relay connection method;
[Explanation of symbols]
1 User terminal
2 Public communication network
3 Gateway device
4 Authentication communication network
5 authentication channels
6 Network level authentication server
7 Personal level authentication server
8 Access control server
A, B, C, D, E Information server
a, b User
# 1, # 2 Information server communication network
Claims (30)
この認証通信網にアクセスする利用者端末に接続された公衆通信網と前記認証通信網とを接続するゲートウェイ装置と
を備えた中継接続方式において、
ネットワークレベルの認証情報に個人レベルの認証情報を付加した認証情報を保持するネットワークレベル認証サーバが設けられ、
前記ネットワークレベル認証サーバは、
前記認証情報と併せて個人レベルのアクセス制御情報も付加して保持する手段と、
前記ゲートウェイ装置から認証要求として受信した被認証情報を検証しその認証結果に前記アクセス制御情報を付加して前記ゲートウェイ装置に返送する手段と
を備え、
前記ゲートウェイ装置は、
ネットワークレベルの被認証情報に個人レベルの被認証情報を付加した被認証情報および利用者識別子とこの被認証情報の有効期限情報とを前記利用者端末から受信して前記有効期限を検証して前記被認証情報の有効性を確認する手段と、前記利用者識別子および前記被認証情報を用いて前記ネットワークレベル認証サーバに対して前記認証要求を送信する手段と、
認証の完了時に認証通信網内部で使用するプライベートネットワークアドレスを前記利用者端末の利用者に割当てこのプライベートネットワークアドレスと前記ネットワークレベル認証サーバから前記認証結果として返送されたネットワークレベルの認証情報および個人レベルの認証情報としての前記利用者の公衆通信網におけるアドレスであるネットワークアドレスおよび利用者識別子をそれぞれ保持するとともにこれらに対応して前記ネットワークレベル認証サーバから前記認証結果とともに返送された前記個人レベルのアクセス制御情報を保持する手段と、
認証の完了時に、前記利用者との間に相互に秘密情報を共有してこの秘密情報を利用した暗号通信路である認証通信路を前記利用者端末との間に生成する手段と、
前記利用者からの認証通信網内へのアクセスについては前記認証通信路に限定して許容するとともに前記公衆通信網におけるネットワークアドレスと前記認証通信網内部で利用するプライベートアドレスとの間でアドレス変換を行う手段と、
前記利用者からの前記認証通信網へのアクセス時に前記利用者のネットワークアドレスから該当する前記アクセス制御情報を検索しこのアクセス制御情報にしたがって前記利用者の前記情報サーバに対するアクセスを制御する手段と
を備えたことを特徴とする中継接続方式。An authentication communication network as a private communication network including an information server that can be used by a user who has performed both network level and individual level authentication, and is controlled by a private network address and provides information to the user;
In a relay connection system including a public communication network connected to a user terminal that accesses the authentication communication network and a gateway device that connects the authentication communication network,
A network level authentication server for holding authentication information obtained by adding individual level authentication information to network level authentication information;
The network level authentication server is:
Means for adding and holding personal level access control information together with the authentication information;
Means for verifying the information to be authenticated received as an authentication request from the gateway device, adding the access control information to the authentication result and returning it to the gateway device;
The gateway device is
The authentication information and the user identifier obtained by adding the authentication information at the personal level to the authentication information at the network level and the expiration date information of the authentication information are received from the user terminal, and the expiration date is verified. Means for confirming the validity of the authenticated information; means for transmitting the authentication request to the network level authentication server using the user identifier and the authenticated information;
A private network address used in the authentication communication network when the authentication is completed is assigned to the user of the user terminal, and the private network address, network level authentication information returned from the network level authentication server as the authentication result, and an individual level The network level and the user identifier, which are addresses in the user's public communication network, as the authentication information of the user, respectively, and correspondingly, the personal level returned from the network level authentication server together with the authentication result Means for holding access control information;
Means for generating, with the user terminal, an authentication communication path that is an encryption communication path using the secret information by sharing the secret information with the user when the authentication is completed;
Access to the authentication communication network from the user is permitted only in the authentication communication path, and address conversion is performed between a network address in the public communication network and a private address used in the authentication communication network. Means to do,
Means for retrieving the corresponding access control information from the network address of the user when the user accesses the authentication communication network, and controlling access to the information server by the user according to the access control information; A relay connection system characterized by comprising.
前記情報サーバは、前記ゲートウェイ装置からの前記通知により該当する利用者の個人レベルの認証状態を解放する手段を備えた請求項1記載の中継接続方式。When the gateway device deletes the authentication communication path, the gateway device deletes the authentication communication path and releases the authentication state at the individual level to the information server used by the user of the authentication communication path. With a means of notification,
The relay connection method according to claim 1, wherein the information server includes means for releasing an authentication state at a personal level of a corresponding user based on the notification from the gateway device.
前記ネットワークレベル認証サーバは、
前記認証要求を受信して前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を保持する手段と、
前記認証要求を受信して当該ネットワークレベル認証サーバにより保持されている通信中の前記認証通信路の情報を検索して前記認証要求中に設定されている前記利用者識別子およびまたは前記ネットワークアドレスにしたがって既に前記認証通信路が設定されているか否かを検出する手段と、
同一の前記利用者識別子もしくは前記ネットワークアドレスにより既に前記認証通信路が設定されているときには当該認証通信路を設定している前記ゲートウェイ装置に対して重複する前記認証通信路の削除要求を送信する手段と
を備え、
前記ゲートウェイ装置は、
前記認証通信路の削除要求を受信して該当する認証通信路を検索する手段と、この検索する手段の検索結果により前記該当する認証通信路が検索されたときにはその認証通信路を削除して当該削除完了の応答を前記ネットワークレベル認証サーバに通知する手段と
を備え、
前記ネットワークレベル認証サーバは、同一の前記利用者識別子もしくは前記ネットワークアドレスにより既に前記認証通信路が設定されていないとき、もしくは、前記削除完了の応答を受信したときには前記認証要求に設定されている前記利用者識別子および前記被認証情報を検証してこの認証の結果に該当利用者のアドレス制御情報を付加して応答する手段を備え、
前記ゲートウェイ装置は、
このアドレス制御情報が付加された応答を受信して前記認証通信路を設定する手段と、
当該認証通信路設定の通知を前記ネットワークレベル認証サーバに送信する手段と
を備え、
前記ネットワークレベル認証サーバは、前記認証通信路設定の通知を受信して設定済みの認証通信路情報として前記認証通信路を設定した前記ゲートウェイ装置の識別情報および前記利用者識別子および前記ネットワークアドレスをそれぞれ自己内部に保持する手段を備え、
前記ゲートウェイ装置は、
前記利用者からの要求に応じて、もしくは、前記利用者から前記認証通信路を利用した前記認証通信網内部への一定時間以上の無通信を検出したときに前記認証通信路を削除する手段と、
自己内部に保持している該当認証通信路に関する情報を破棄する手段と、
該当認証通信路の削除を前記ネットワークレベル認証サーバに通知する手段と
を備え、
前記ネットワークレベル認証サーバは、この削除の通知を受信して該当する認証通信路に関する情報を破棄する手段を備えた
ことを特徴とする請求項1記載の中継接続方式。When the gateway device receives the setting request for the authentication communication path from the user, the gateway device includes the user identifier and the information to be authenticated and the network address of the user included in the setting request to the network level authentication server. Means for setting to the authentication request and transmitting to the network level authentication server,
The network level authentication server is:
Means for receiving the authentication request and holding the network address and the user identifier corresponding to the network address;
According to the user identifier and / or the network address set in the authentication request by searching the authentication channel information during communication held by the network level authentication server by receiving the authentication request. Means for detecting whether the authentication channel has already been set;
Means for transmitting duplicate authentication communication path deletion requests to the gateway device that sets the authentication communication path when the authentication communication path is already set by the same user identifier or the network address And
The gateway device is
Means for receiving a request for deleting the authentication communication path and searching for the corresponding authentication communication path; and when the corresponding authentication communication path is searched according to a search result of the searching means, deleting the authentication communication path and Means for notifying the network level authentication server of a deletion completion response,
The network level authentication server is set in the authentication request when the authentication communication path is not already set by the same user identifier or the network address, or when the deletion completion response is received. A means for verifying the user identifier and the information to be authenticated and adding the address control information of the corresponding user to the authentication result and responding;
The gateway device is
Means for receiving the response to which the address control information is added and setting the authentication communication path;
Means for transmitting a notification of the authentication channel setting to the network level authentication server,
The network level authentication server receives the notification of the authentication channel setting and sets the identification information, the user identifier, and the network address of the gateway device that has set the authentication channel as the set authentication channel information. With means to hold inside,
The gateway device is
Means for deleting the authentication communication path in response to a request from the user or when detecting no communication within the authentication communication network using the authentication communication path from the user for a predetermined time or more; ,
A means of discarding information about the relevant authentication channel held inside itself;
Means for notifying the network level authentication server of the deletion of the relevant authentication channel,
2. The relay connection system according to claim 1, wherein the network level authentication server comprises means for receiving the deletion notification and discarding information regarding the corresponding authentication communication path.
前記認証通信路の設定要求を受信したときに現在自己が設定している前記認証通信路を利用している利用者のネットワークアドレスおよびまたはこのネットワークアドレスに対応する利用者識別子を検索する手段と、
この検索する手段の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが同一であるときには前記自己が設定している既存の前記認証通信路を削除して前記設定要求に基づく前記認証通信路を設定する手段と、
前記検索する手段の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが一致しないときには他の前記ゲートウェイ装置に前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を通知する手段と、
この通知を他のゲートウェイ装置から受信したときには自己が保持している前記認証通信路設定中の利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子が前記通知に含まれる前記ネットワークアドレスおよびまたは前記利用者識別子と同一であるか否かを検索する手段と、
この検索する手段の検索結果が同一でないときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する手段と、
前記検索する手段の検索結果が同一であるときには自己が保持する重複する前記認証通信路を削除するとともに自己が保持している重複する前記認証通信路に関する情報を破棄する手段と、
前記通知の送信元に重複する前記認証通信路の該当利用者有りおよび削除完了の旨を応答する手段と、
自己が前記通知の送信元であり前記応答を受信したときには新規の前記認証通信路を設定する手段と
を備えた請求項1記載の中継接続方式。The gateway device holds a network address of a user who has established the authentication communication path after completion of authentication and a user identifier corresponding to the network address;
Means for retrieving a network address of a user who is currently using the authentication communication path set by the user himself / herself when receiving the setting request for the authentication communication path and / or a user identifier corresponding to the network address;
Utilization of the network address of the user included in the setting request and / or the user identifier corresponding to the network address and the authentication communication path currently set by the user based on the search result of the searching means When the network address of the user and / or the user identifier corresponding to the network address are the same, the authentication communication path based on the setting request is deleted by deleting the existing authentication communication path set by the self Means for setting
Usage using the authentication communication path currently set by the user and the network address of the user included in the setting request and / or the user identifier corresponding to the network address according to the search result of the searching means Means for notifying the network address and the user identifier corresponding to the network address to another gateway device when the network address of the person and / or the user identifier corresponding to the network address do not match,
When the notification is received from another gateway device, the network includes the network address of the user who is holding the authentication communication path and the user identifier corresponding to the network address held by the notification is included in the notification Means for searching for an address and / or whether it is the same as the user identifier;
Means for responding to the gateway device that is the transmission source of the notification when the search results of the means for searching are not identical;
Means for deleting the redundant authentication communication channel held by the self when the search results of the means for searching are the same and discarding the information regarding the duplicate authentication communication channel held by the self;
A means for responding that there is a corresponding user in the authentication communication path that overlaps with the sender of the notification and that the deletion has been completed;
2. The relay connection method according to claim 1, further comprising means for setting a new authentication communication path when it is the sender of the notification and receives the response.
前記認証通信路の設定要求を受信したときに現在自己が設定している前記認証通信路を利用している利用者のネットワークアドレスおよびまたはこのネットワークアドレスに対応する利用者識別子を検索する手段と、
この検索する手段の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが同一であるときには前記自己が設定している既存の前記認証通信路を削除して前記設定要求に基づく前記認証通信路を設定する手段と、
前記検索する手段の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが一致しないときには他の前記ゲートウェイ装置に前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を通知する手段と、
この通知を他のゲートウェイ装置から受信したときには自己が保持している前記認証通信路設定中の利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子が前記通知に含まれる前記ネットワークアドレスおよびまたは前記利用者識別子と同一であるか否かを検索する手段と、
この検索する手段の検索結果が同一でないときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する手段と、
前記検索する手段の検索結果が同一であるときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する手段と、
自己が前記通知の送信元でありこの応答を受信したときにはこの応答の送信元の前記ゲートウェイ装置に対して当該ゲートウェイ装置が保持する重複する前記認証通信路を削除するとともに当該ゲートウェイ装置が保持している重複する前記認証通信路に関する情報を削除する要求を行う手段と、
自己が前記応答の送信元でありこの要求を受信したときには自己が保持する重複する前記認証通信路を削除するとともに自己が保持している重複する前記認証通信路に関する情報を破棄する手段と、
前記要求の送信元に重複する前記認証通信路の該当利用者有りおよび削除完了の旨を応答する手段と、
自己が前記要求の送信元であり前記応答を受信したときには新規の前記認証通信路を設定する手段と
を備えた請求項1記載の中継接続方式。The gateway device holds a network address of a user who has established the authentication communication path after completion of authentication and a user identifier corresponding to the network address;
Means for retrieving a network address of a user who is currently using the authentication communication path set by the user himself / herself when receiving the setting request for the authentication communication path and / or a user identifier corresponding to the network address;
Utilization of the network address of the user included in the setting request and / or the user identifier corresponding to the network address and the authentication communication path currently set by the user based on the search result of the searching means When the network address of the user and / or the user identifier corresponding to the network address are the same, the authentication communication path based on the setting request is deleted by deleting the existing authentication communication path set by the self Means for setting
Usage using the authentication communication path currently set by the user and the network address of the user included in the setting request and / or the user identifier corresponding to the network address according to the search result of the searching means Means for notifying the network address and the user identifier corresponding to the network address to another gateway device when the network address of the person and / or the user identifier corresponding to the network address do not match,
When the notification is received from another gateway device, the network includes the network address of the user who is holding the authentication communication path and the user identifier corresponding to the network address held by the notification is included in the notification Means for searching for an address and / or whether it is the same as the user identifier;
Means for responding to the gateway device that is the transmission source of the notification when the search results of the means for searching are not identical;
Means for responding to the gateway device that is the transmission source of the notification when the search results of the means for searching are the same;
When self is the sender of the notification and receives this response, the gateway apparatus that deletes the duplicate authentication communication path held by the gateway apparatus is deleted from the gateway apparatus that is the sender of the response Means for making a request to delete the information related to the authentication channel that overlaps;
Means for deleting the redundant authentication communication channel held by itself when the self is the sender of the response and receiving this request, and discarding the information related to the redundant authentication communication channel held by itself;
A means for responding that there is a corresponding user in the authentication communication channel that overlaps the transmission source of the request and that the deletion is completed;
2. The relay connection method according to claim 1, further comprising means for setting a new authentication communication path when the self is the transmission source of the request and receives the response.
認証完了後に前記認証通信路を確立した利用者のネットワークアドレスおよびこのネットワークアドレスに対応する利用者識別子を保持する手段と、
この保持する手段に保持した前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子の情報を他の前記ゲートウェイ装置に通知する手段と、
この通知を他の前記ゲートウェイ装置から受けたときには当該認証通信路を設定している前記ゲートウェイ装置の情報および前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子の情報を保持する手段と、
前記認証通信路の設定要求を受信したときには現在自己が保持している全ての前記ゲートウェイ装置で設定されている前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子を検索しいずれかが同一のときにはその認証通信路を設定している前記ゲートウェイ装置を確認する手段と、
当該認証通信路を設定している前記ゲートウェイ装置が自己であるときには該当する前記認証通信路を削除するとともに新規に要求された前記認証通信路を設定する手段と、
当該認証通信路を設定している前記ゲートウェイ装置が他の前記ゲートウェイ装置であるときには該当する前記ゲートウェイ装置に対して前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を設定して前記認証通信路の削除要求を送信する手段と、
自己がこの削除要求を受信したときには、要求中の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と一致する前記認証通信路を検索してこれを削除し削除完了の旨を前記削除要求元の前記ゲートウェイ装置に応答する手段と、
自己が前記削除要求元でありこの削除完了応答を受信したときには、新規に要求のあった前記認証通信路を設定する手段と
を備えた請求項1記載の中継接続方式。The gateway device is
Means for holding a network address of a user who has established the authentication communication path after completion of authentication and a user identifier corresponding to the network address;
Means for notifying the other gateway device of the network address held in the holding means and the information of the user identifier corresponding to the network address;
Means for holding the information of the gateway device that sets the authentication communication path and the network address and the information of the user identifier corresponding to the network address when the notification is received from another gateway device;
When the authentication communication path setting request is received, it corresponds to the network address of the user who uses the authentication communication path set in all the gateway devices currently held by the self and / or this network address. Searching for the user identifier, and when either is the same, means for confirming the gateway device that has set the authentication communication path;
Means for deleting the corresponding authentication communication path and setting the newly requested authentication communication path when the gateway device setting the authentication communication path is self;
When the gateway device setting the authentication communication path is another gateway device, the authentication communication is performed by setting the network address and the user identifier corresponding to the network address for the corresponding gateway device. Means for sending a road deletion request;
When the self receives this deletion request, it searches for the authentication communication path that matches the requested network identifier and / or the user identifier corresponding to this network address, deletes it, and deletes the fact that the deletion is complete. Means for responding to the requesting gateway device;
2. The relay connection method according to claim 1, further comprising means for setting the authentication communication path that is newly requested when the deletion request source is received by itself.
前記ゲートウェイ装置と当該情報サーバとの間にアクセス制御サーバが設けられ、
このアクセス制御サーバは、
利用者のプライベートアドレスを用いて前記ゲートウェイ装置にこの利用者の個人認証状態を問い合わせることによりこの利用者の利用者識別子を取得する手段と、
前記情報サーバに前記アプリケーションレベルでの個人認証情報としての利用者識別子を送信する手段と
を備えた請求項1記載の中継接続方式。There is an information server where the implementation of personal authentication is limited to the application level,
An access control server is provided between the gateway device and the information server,
This access control server
Means for obtaining the user identifier of the user by inquiring the personal authentication status of the user to the gateway device using the private address of the user;
The relay connection method according to claim 1, further comprising means for transmitting a user identifier as personal authentication information at the application level to the information server.
前記個人認証情報を元に前記利用者に対応するアプリケーションを認識する手段と、
この認識する手段により認識したアプリケーションにしたがって前記情報サーバに対してこのアプリケーションレベルでのアクセス制御を行う手段と
を備えた請求項10記載の中継接続方式。The access control server
Means for recognizing an application corresponding to the user based on the personal authentication information;
11. The relay connection method according to claim 10, further comprising means for performing access control at the application level for the information server according to the application recognized by the recognition means.
ネットワークレベルの認証情報に個人レベルの認証情報を付加した認証情報を保持する手段と、
前記認証情報と併せて個人レベルのアクセス制御情報も付加して保持する手段と、
前記ゲートウェイ装置から認証要求として受信した被認証情報を検証しその認証結果に前記アクセス制御情報を付加して前記ゲートウェイ装置に返送する手段と
を備えたことを特徴とするネットワークレベル認証サーバ。Applied to the relay connection method according to any one of claims 1 to 11,
Means for holding authentication information obtained by adding personal level authentication information to network level authentication information;
Means for adding and holding personal level access control information together with the authentication information;
A network level authentication server comprising: means for verifying authentication target information received as an authentication request from the gateway device, adding the access control information to the authentication result and returning the information to the gateway device.
前記認証要求を受信して保持されている通信中の前記認証通信路の情報を検索して前記認証要求中に設定されている前記利用者識別子およびまたは前記ネットワークアドレスにしたがって既に前記認証通信路が設定されているか否かを検出する手段と、
同一の前記利用者識別子もしくは前記ネットワークアドレスにより既に前記認証通信路が設定されているときには当該認証通信路を設定している前記ゲートウェイ装置に対して重複する前記認証通信路の削除要求を送信する手段と、
同一の前記利用者識別子もしくは前記ネットワークアドレスにより既に前記認証通信路が設定されていないとき、もしくは、前記削除完了の応答を受信したときには前記認証要求に設定されている前記利用者識別子および前記被認証情報を検証してこの認証の結果に該当利用者のアドレス制御情報を付加して前記認証要求または前記削除完了の応答を送信したゲートウェイ装置に応答する手段と、
前記ゲートウェイ装置からの前記認証通信路設定の通知を受信して設定済みの認証通信路情報として前記認証通信路を設定した前記ゲートウェイ装置の識別情報および前記利用者識別子および前記ネットワークアドレスをそれぞれ自己内部に保持する手段と、
前記ゲートウェイ装置からの前記認証通信路の削除の通知を受信して該当する認証通信路に関する情報を破棄する手段と
を備えた請求項12記載のネットワークレベル認証サーバ。When the gateway device receives the authentication communication path setting request from the user, the gateway device receives the authentication request in which the user identifier and the authentication target information included in the setting request and the network address of the user are set. Means for holding the network address and the user identifier corresponding to the network address;
The authentication communication path is already found in accordance with the user identifier and / or the network address set in the authentication request by searching for information on the authentication communication path in communication that is received and held by the authentication request. Means for detecting whether it is set, and
Means for transmitting duplicate authentication communication path deletion requests to the gateway device that sets the authentication communication path when the authentication communication path is already set by the same user identifier or the network address When,
When the authentication communication path is not already set by the same user identifier or the network address, or when the deletion completion response is received, the user identifier and the authentication target set in the authentication request Means for verifying information and adding the address control information of the corresponding user to the result of this authentication and responding to the gateway device that sent the authentication request or the deletion completion response;
Receiving the authentication channel setting notification from the gateway device, the identification information of the gateway device that has set the authentication channel as the set authentication channel information, the user identifier, and the network address Means for holding
13. The network level authentication server according to claim 12, further comprising means for receiving a notification of deletion of the authentication communication path from the gateway device and discarding information regarding the corresponding authentication communication path.
ネットワークレベルの被認証情報に個人レベルの被認証情報を付加した被認証情報および利用者識別子とこの被認証情報の有効期限情報とを前記利用者端末から受信して前記有効期限を検証して前記被認証情報の有効性を確認する手段と、前記利用者識別子および前記被認証情報を用いて前記ネットワークレベル認証サーバに対して前記認証要求を送信する手段と、
認証の完了時に認証通信網内部で使用するプライベートネットワークアドレスを前記利用者に割当てこのプライベートネットワークアドレスと前記ネットワークレベル認証サーバから前記認証結果として返送されたネットワークレベルの認証情報および個人レベルの認証情報としての前記利用者の公衆通信網におけるアドレスであるネットワークアドレスおよび利用者識別子をそれぞれ保持するとともにこれらに対応して前記ネットワークレベル認証サーバから前記認証結果とともに返送された前記個人レベルのアクセス制御情報を保持する手段と、
認証の完了時に、前記利用者との間に相互に秘密情報を共有してこの秘密情報を利用した暗号通信路である認証通信路を前記利用者端末との間に生成する手段と、
前記利用者からの認証通信網内へのアクセスについては前記認証通信路に限定して許容するとともに前記公衆通信網におけるネットワークアドレスと前記認証通信網内部で利用するプライベートアドレスとの間でアドレス変換を行う手段と、
前記利用者からの前記認証通信網へのアクセス時に前記利用者のネットワークアドレスから該当する前記アクセス制御情報を検索しこのアクセス制御情報にしたがって前記利用者の前記情報サーバに対するアクセスを制御する手段と
を備えたことを特徴とするゲートウェイ装置。Applied to the relay connection method according to any one of claims 1 to 11,
The authentication information and the user identifier obtained by adding the authentication information at the personal level to the authentication information at the network level and the expiration date information of the authentication information are received from the user terminal, and the expiration date is verified. Means for confirming the validity of the authenticated information; means for transmitting the authentication request to the network level authentication server using the user identifier and the authenticated information;
A private network address to be used inside the authentication communication network is assigned to the user when the authentication is completed. Respectively holding a network address and a user identifier which are addresses of the user's public communication network, and correspondingly holding the personal level access control information returned together with the authentication result from the network level authentication server. Means to
Means for generating, with the user terminal, an authentication communication path that is an encryption communication path using the secret information by sharing the secret information with the user when the authentication is completed;
Access to the authentication communication network from the user is permitted only in the authentication communication path, and address conversion is performed between a network address in the public communication network and a private address used in the authentication communication network. Means to do,
Means for retrieving the corresponding access control information from the network address of the user when the user accesses the authentication communication network, and controlling access to the information server by the user according to the access control information; A gateway device comprising:
前記認証通信路の設定要求を受信したときに現在自己が設定している前記認証通信路を利用している利用者のネットワークアドレスおよびまたはこのネットワークアドレスに対応する利用者識別子を検索する手段と、
この検索する手段の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが同一であるときには前記自己が設定している既存の前記認証通信路を削除して前記設定要求に基づく前記認証通信路を設定する手段と、
前記検索する手段の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが一致しないときには他の前記ゲートウェイ装置に前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を通知する手段と、
この通知を他のゲートウェイ装置から受信したときには自己が保持している前記認証通信路設定中の利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子が前記通知に含まれる前記ネットワークアドレスおよびまたは前記利用者識別子と同一であるか否かを検索する手段と、
この検索する手段の検索結果が同一でないときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する手段と、
前記検索する手段の検索結果が同一であるときには自己が保持する重複する前記認証通信路を削除するとともに自己が保持している重複する前記認証通信路に関する情報を破棄する手段と、
前記通知の送信元に重複する前記認証通信路の該当利用者有りおよび削除完了の旨を応答する手段と、
自己が前記通知の送信元であり前記応答を受信したときには新規の前記認証通信路を設定する手段と
を備えた請求項14記載のゲートウェイ装置。Means for holding a network address of a user who has established the authentication communication path after completion of authentication and a user identifier corresponding to the network address;
Means for retrieving a network address of a user who is currently using the authentication communication path set by the user himself / herself when receiving the setting request for the authentication communication path and / or a user identifier corresponding to the network address;
Utilization of the network address of the user included in the setting request and / or the user identifier corresponding to the network address and the authentication communication path currently set by the user based on the search result of the searching means When the network address of the user and / or the user identifier corresponding to the network address are the same, the authentication communication path based on the setting request is deleted by deleting the existing authentication communication path set by the self Means for setting
Usage using the authentication communication path currently set by the user and the network address of the user included in the setting request and / or the user identifier corresponding to the network address according to the search result of the searching means Means for notifying the network address and the user identifier corresponding to the network address to another gateway device when the network address of the person and / or the user identifier corresponding to the network address do not match,
When the notification is received from another gateway device, the network includes the network address of the user who is holding the authentication communication path and the user identifier corresponding to the network address held by the notification is included in the notification Means for searching for an address and / or whether it is the same as the user identifier;
Means for responding to the gateway device that is the transmission source of the notification when the search results of the means for searching are not identical;
Means for deleting the redundant authentication communication channel held by the self when the search results of the means for searching are the same and discarding the information regarding the duplicate authentication communication channel held by the self;
A means for responding that there is a corresponding user in the authentication communication path that overlaps with the sender of the notification and that the deletion has been completed;
The gateway device according to claim 14, further comprising: a unit that sets a new authentication communication channel when the device itself is the source of the notification and receives the response.
前記認証通信路の設定要求を受信したときに現在自己が設定している前記認証通信路を利用している利用者のネットワークアドレスおよびまたはこのネットワークアドレスに対応する利用者識別子を検索する手段と、
この検索する手段の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが同一であるときには前記自己が設定している既存の前記認証通信路を削除して前記設定要求に基づく前記認証通信路を設定する手段と、
前記検索する手段の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが一致しないときには他の前記ゲートウェイ装置に前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を通知する手段と、
この通知を他のゲートウェイ装置から受信したときには自己が保持している前記認証通信路設定中の利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子が前記通知に含まれる前記ネットワークアドレスおよびまたは前記利用者識別子と同一であるか否かを検索する手段と、
この検索する手段の検索結果が同一でないときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する手段と、
前記検索する手段の検索結果が同一であるときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する手段と、
自己が前記通知の送信元でありこの応答を受信したときにはこの応答の送信元の前記ゲートウェイ装置に対して当該ゲートウェイ装置が保持する重複する前記認証通信路を削除するとともに当該ゲートウェイ装置が保持している重複する前記認証通信路に関する情報を削除する要求を行う手段と、
自己が前記応答の送信元でありこの要求を受信したときには自己が保持する重複する前記認証通信路を削除するとともに自己が保持している重複する前記認証通信路に関する情報を破棄する手段と、
前記要求の送信元に重複する前記認証通信路の該当利用者有りおよび削除完了の旨を応答する手段と、
自己が前記要求の送信元であり前記応答を受信したときには新規の前記認証通信路を設定する手段と
を備えた請求項14記載のゲートウェイ装置。Means for holding a network address of a user who has established the authentication communication path after completion of authentication and a user identifier corresponding to the network address;
Means for retrieving a network address of a user who is currently using the authentication communication path set by the user himself / herself when receiving the setting request for the authentication communication path and / or a user identifier corresponding to the network address;
Utilization of the network address of the user included in the setting request and / or the user identifier corresponding to the network address and the authentication communication path currently set by the user based on the search result of the searching means When the network address of the user and / or the user identifier corresponding to the network address are the same, the authentication communication path based on the setting request is deleted by deleting the existing authentication communication path set by the self Means for setting
Usage using the authentication communication path currently set by the user and the network address of the user included in the setting request and / or the user identifier corresponding to the network address according to the search result of the searching means Means for notifying the network address and the user identifier corresponding to the network address to another gateway device when the network address of the person and / or the user identifier corresponding to the network address do not match,
When the notification is received from another gateway device, the network includes the network address of the user who is holding the authentication communication path and the user identifier corresponding to the network address held by the notification is included in the notification Means for searching for an address and / or whether it is the same as the user identifier;
Means for responding to the gateway device that is the transmission source of the notification when the search results of the means for searching are not identical;
Means for responding to the gateway device that is the transmission source of the notification when the search results of the means for searching are the same;
When self is the sender of the notification and receives this response, the gateway apparatus that deletes the duplicate authentication communication path held by the gateway apparatus is deleted from the gateway apparatus that is the sender of the response Means for making a request to delete the information related to the authentication channel that overlaps;
Means for deleting the redundant authentication communication channel held by itself when the self is the sender of the response and receiving this request, and discarding the information related to the redundant authentication communication channel held by itself;
A means for responding that there is a corresponding user in the authentication communication channel that overlaps the transmission source of the request and that the deletion is completed;
15. The gateway device according to claim 14, further comprising means for setting a new authentication communication path when the self is the transmission source of the request and receives the response.
この保持する手段に保持した前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子の情報を他の前記ゲートウェイ装置に通知する手段と、
この通知を他の前記ゲートウェイ装置から受けたときには当該認証通信路を設定している前記ゲートウェイ装置の情報および前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子の情報を保持する手段と、
前記認証通信路の設定要求を受信したときには現在自己が保持している全ての前記ゲートウェイ装置で設定されている前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子を検索しいずれかが同一のときにはその認証通信路を設定している前記ゲートウェイ装置を確認する手段と、
当該認証通信路を設定している前記ゲートウェイ装置が自己であるときには該当する前記認証通信路を削除するとともに新規に要求された前記認証通信路を設定する手段と、
当該認証通信路を設定している前記ゲートウェイ装置が他の前記ゲートウェイ装置であるときには該当する前記ゲートウェイ装置に対して前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を設定して前記認証通信路の削除要求を送信する手段と、
自己がこの削除要求を受信したときには、要求中の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と一致する前記認証通信路を検索してこれを削除し削除完了の旨を前記削除要求元の前記ゲートウェイ装置に応答する手段と、
自己が前記削除要求元でありこの削除完了応答を受信したときには、新規に要求のあった前記認証通信路を設定する手段と
を備えた請求項14記載のゲートウェイ装置。Means for holding a network address of a user who has established the authentication communication path after completion of authentication and a user identifier corresponding to the network address;
Means for notifying the other gateway device of the network address held in the holding means and the information of the user identifier corresponding to the network address;
Means for holding the information of the gateway device that sets the authentication communication path and the network address and the information of the user identifier corresponding to the network address when the notification is received from another gateway device;
When the authentication communication path setting request is received, it corresponds to the network address of the user who uses the authentication communication path set in all the gateway devices currently held by the self and / or this network address. Searching for the user identifier, and when either is the same, means for confirming the gateway device that has set the authentication communication path;
Means for deleting the corresponding authentication communication path and setting the newly requested authentication communication path when the gateway device setting the authentication communication path is self;
When the gateway device setting the authentication communication path is another gateway device, the authentication communication is performed by setting the network address and the user identifier corresponding to the network address for the corresponding gateway device. Means for sending a road deletion request;
When the self receives this deletion request, it searches for the authentication communication path that matches the requested network identifier and / or the user identifier corresponding to this network address, deletes it, and deletes the fact that the deletion is complete. Means for responding to the requesting gateway device;
15. The gateway apparatus according to claim 14, further comprising means for setting the authentication communication path that is newly requested when the self is the deletion request source and receives the deletion completion response.
前記利用者からアクセスがあるときには前記利用者のプライベートネットワークアドレスを用いて前記ゲートウェイ装置に当該利用者の個人認証状態を問い合わせることにより前記利用者識別子を取得する手段を備えたことを特徴とする情報サーバ。Applied to the relay connection method according to any one of claims 1 to 11,
Information comprising: means for acquiring the user identifier by inquiring of the user's personal authentication status to the gateway device using the user's private network address when there is an access from the user server.
前記ゲートウェイ装置と個人認証の実施がアプリケーションレベルに限定された情報サーバとの間に設けられ、
利用者のプライベートアドレスを用いて前記ゲートウェイ装置にこの利用者の個人認証状態を問い合わせることによりこの利用者の利用者識別子を取得する手段と、
前記情報サーバに前記アプリケーションレベルでの個人認証情報としての利用者識別子を送信する手段と
を備えたことを特徴とするアクセス制御サーバ。Applied to the relay connection method according to any one of claims 1 to 11,
Provided between the gateway device and an information server whose implementation of personal authentication is limited to the application level,
Means for obtaining the user identifier of the user by inquiring the personal authentication status of the user to the gateway device using the private address of the user;
An access control server comprising means for transmitting a user identifier as personal authentication information at the application level to the information server.
この認識する手段により認識したアプリケーションにしたがって前記情報サーバに対してこのアプリケーションレベルでのアクセス制御を行う手段と
を備えた請求項19記載のアクセス制御サーバ。Means for recognizing an application corresponding to the user based on the personal authentication information;
20. The access control server according to claim 19, further comprising means for performing access control at the application level for the information server in accordance with the application recognized by the recognition means.
ネットワークレベルの認証情報に個人レベルの認証情報を付加した認証情報を保持する機能と、
前記認証情報と併せて個人レベルのアクセス制御情報も付加して保持する機能と、
前記ゲートウェイ装置から認証要求として受信した被認証情報を検証しその認証結果に前記アクセス制御情報を付加して前記ゲートウェイ装置に返送する機能と
を実現させることを特徴とするプログラム。By installing the information processing apparatus, the function corresponding to the network level authentication server applied to the relay connection method according to any one of claims 1 to 11,
A function for holding authentication information obtained by adding personal level authentication information to network level authentication information;
A function of adding and holding personal level access control information together with the authentication information;
A program that realizes a function of verifying authentication target information received as an authentication request from the gateway device, adding the access control information to the authentication result, and returning it to the gateway device.
前記認証要求を受信して保持されている通信中の前記認証通信路の情報を検索して前記認証要求中に設定されている前記利用者識別子およびまたは前記ネットワークアドレスにしたがって既に前記認証通信路が設定されているか否かを検出する機能と、
同一の前記利用者識別子もしくは前記ネットワークアドレスにより既に前記認証通信路が設定されているときには当該認証通信路を設定している前記ゲートウェイ装置に対して重複する前記認証通信路の削除要求を送信する機能と、
同一の前記利用者識別子もしくは前記ネットワークアドレスにより既に前記認証通信路が設定されていないとき、もしくは、前記削除完了の応答を受信したときには前記認証要求に設定されている前記利用者識別子および前記被認証情報を検証してこの認証の結果に該当利用者のアドレス制御情報を付加して前記認証要求または前記削除完了の応答を送信したゲートウェイ装置に応答する機能と、
前記ゲートウェイ装置からの前記認証通信路設定の通知を受信して設定済みの認証通信路情報として前記認証通信路を設定した前記ゲートウェイ装置の識別情報および前記利用者識別子および前記ネットワークアドレスをそれぞれ自己内部に保持する機能と、
前記ゲートウェイ装置からの前記認証通信路の削除の通知を受信して該当する認証通信路に関する情報を破棄する機能と
を実現させる請求項21記載のプログラム。When the gateway device receives the authentication communication path setting request from the user, the gateway device receives the authentication request in which the user identifier and the authentication target information included in the setting request and the network address of the user are set. A function for holding the network address and the user identifier corresponding to the network address;
The authentication communication path is already found in accordance with the user identifier and / or the network address set in the authentication request by searching for information on the authentication communication path in communication that is received and held by the authentication request. A function to detect whether it is set,
A function of transmitting duplicate authentication communication path deletion requests to the gateway device that has set the authentication communication path when the authentication communication path has already been set by the same user identifier or the network address When,
When the authentication communication path is not already set by the same user identifier or the network address, or when the deletion completion response is received, the user identifier and the authentication target set in the authentication request A function of verifying information and adding the address control information of the corresponding user to the result of this authentication and responding to the gateway device that has transmitted the authentication request or the deletion completion response;
Receiving the authentication channel setting notification from the gateway device, the identification information of the gateway device that has set the authentication channel as the set authentication channel information, the user identifier, and the network address And the function to keep
The program according to claim 21, wherein a function of receiving a notification of deletion of the authentication communication path from the gateway device and discarding information regarding the corresponding authentication communication path is realized.
ネットワークレベルの被認証情報に個人レベルの被認証情報を付加した被認証情報および利用者識別子とこの被認証情報の有効期限情報とを前記利用者端末から受信して前記有効期限を検証して前記被認証情報の有効性を確認する機能と、前記利用者識別子および前記被認証情報を用いて前記ネットワークレベル認証サーバに対して前記認証要求を送信する機能と、
認証の完了時に認証通信網内部で使用するプライベートネットワークアドレスを前記利用者に割当てこのプライベートネットワークアドレスと前記ネットワークレベル認証サーバから前記認証結果として返送されたネットワークレベルの認証情報および個人レベルの認証情報としての前記利用者の公衆通信網におけるアドレスであるネットワークアドレスおよび利用者識別子をそれぞれ保持するとともにこれらに対応して前記ネットワークレベル認証サーバから前記認証結果とともに返送された前記個人レベルのアクセス制御情報を保持する機能と、
認証の完了時に、前記利用者との間に相互に秘密情報を共有し、この秘密情報を利用した暗号通信路である認証通信路を前記利用者端末との間に生成する機能と、
前記利用者からの認証通信網内へのアクセスについては前記認証通信路に限定して許容するとともに前記公衆通信網におけるネットワークアドレスと前記認証通信網内部で利用するプライベートアドレスとの間でアドレス変換を行う機能と、
前記利用者からの前記認証通信網へのアクセス時に前記利用者のネットワークアドレスから該当する前記アクセス制御情報を検索しこのアクセス制御情報にしたがって前記利用者の前記情報サーバに対するアクセスを制御する機能と
を実現させることを特徴とするプログラム。As a function corresponding to the gateway device applied to the relay connection method according to any one of claims 1 to 11, the information processing device is installed in the information processing device.
The authentication information and the user identifier obtained by adding the authentication information at the personal level to the authentication information at the network level and the expiration date information of the authentication information are received from the user terminal, and the expiration date is verified. A function for confirming the validity of the authenticated information; a function for transmitting the authentication request to the network level authentication server using the user identifier and the authenticated information;
A private network address used inside the authentication communication network is assigned to the user upon completion of authentication, and the private network address and network level authentication information and personal level authentication information returned as the authentication result from the network level authentication server Respectively holding a network address and a user identifier, which are addresses in the public communication network of the user, and correspondingly holding the personal level access control information returned together with the authentication result from the network level authentication server Function to
A function of sharing secret information with the user when the authentication is completed, and generating an authentication communication path that is an encrypted communication path using the secret information with the user terminal;
Access to the authentication communication network from the user is permitted only in the authentication communication path, and address conversion is performed between a network address in the public communication network and a private address used in the authentication communication network. Functions to do,
A function of retrieving the corresponding access control information from the network address of the user when the user accesses the authentication communication network, and controlling access to the information server by the user according to the access control information; A program characterized by being realized.
前記認証通信路の設定要求を受信したときに現在自己が設定している前記認証通信路を利用している利用者のネットワークアドレスおよびまたはこのネットワークアドレスに対応する利用者識別子を検索する機能と、
この検索する機能の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが同一であるときには前記自己が設定している既存の前記認証通信路を削除して前記設定要求に基づく前記認証通信路を設定する機能と、
前記検索する機能の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが一致しないときには他の前記ゲートウェイ装置に前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を通知する機能と、
この通知を他のゲートウェイ装置から受信したときには自己が保持している前記認証通信路設定中の利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子が前記通知に含まれる前記ネットワークアドレスおよびまたは前記利用者識別子と同一であるか否かを検索する機能と、
この検索する機能の検索結果が同一でないときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する機能と、
前記検索する機能の検索結果が同一であるときには自己が保持する重複する前記認証通信路を削除するとともに自己が保持している重複する前記認証通信路に関する情報を破棄する機能と、
前記通知の送信元に重複する前記認証通信路の該当利用者有りおよび削除完了の旨を応答する機能と、
自己が前記通知の送信元であり前記応答を受信したときには新規の前記認証通信路を設定する機能と
を実現させる請求項23記載のプログラム。A function of holding a network address of a user who has established the authentication communication path after completion of authentication and a user identifier corresponding to the network address;
A function of searching for a network address of a user who is currently using the authentication communication path set by the user himself / herself when receiving the setting request for the authentication communication path and / or a user identifier corresponding to the network address;
Utilization of the network address of the user included in the setting request and / or the user identifier corresponding to the network address and the authentication communication path currently set by the user based on the search result of the function to be searched When the network address of the user and / or the user identifier corresponding to the network address are the same, the authentication communication path based on the setting request is deleted by deleting the existing authentication communication path set by the self A function to set
Utilization using the authentication communication path currently set by the user and the network address of the user included in the setting request or the user identifier corresponding to the network address according to the search result of the function to be searched A function for notifying the network address and the user identifier corresponding to the network address to another gateway device when the network address of the person and / or the user identifier corresponding to the network address do not match,
When the notification is received from another gateway device, the network includes the network address of the user who is holding the authentication communication path and the user identifier corresponding to the network address held by the notification is included in the notification A function for searching whether the address and / or the user identifier are the same;
A function of responding to the gateway device that is the transmission source of the notification when the search results of the function to search are not the same;
When the search results of the function to be searched are the same, the function of deleting the duplicate authentication communication path held by the self and discarding the information related to the duplicate authentication communication path held by the self,
A function of responding that there is a corresponding user in the authentication communication path that overlaps with the sender of the notification and that the deletion has been completed;
24. The program according to claim 23, wherein the program realizes a function of setting a new authentication communication path when the self is the sender of the notification and receives the response.
前記認証通信路の設定要求を受信したときに現在自己が設定している前記認証通信路を利用している利用者のネットワークアドレスおよびまたはこのネットワークアドレスに対応する利用者識別子を検索する機能と、
この検索する機能の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが同一であるときには前記自己が設定している既存の前記認証通信路を削除して前記設定要求に基づく前記認証通信路を設定する機能と、
前記検索する機能の検索結果により前記設定要求に含まれる利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と現在自己が設定している前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子とが一致しないときには他の前記ゲートウェイ装置に前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を通知する機能と、
この通知を他のゲートウェイ装置から受信したときには自己が保持している前記認証通信路設定中の利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子が前記通知に含まれる前記ネットワークアドレスおよびまたは前記利用者識別子と同一であるか否かを検索する機能と、
この検索する機能の検索結果が同一でないときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する機能と、
前記検索する機能の検索結果が同一であるときにはその旨を前記通知の送信元の前記ゲートウェイ装置に応答する機能と、
自己が前記通知の送信元でありこの応答を受信したときにはこの応答の送信元の前記ゲートウェイ装置に対して当該ゲートウェイ装置が保持する重複する前記認証通信路を削除するとともに当該ゲートウェイ装置が保持している重複する前記認証通信路に関する情報を削除する要求を行う機能と、
自己が前記応答の送信元でありこの要求を受信したときには自己が保持する重複する前記認証通信路を削除するとともに自己が保持している重複する前記認証通信路に関する情報を破棄する機能と、
前記要求の送信元に重複する前記認証通信路の該当利用者有りおよび削除完了の旨を応答する機能と、
自己が前記要求の送信元であり前記応答を受信したときには新規の前記認証通信路を設定する機能と
を実現させる請求項23記載のプログラム。A function of holding a network address of a user who has established the authentication communication path after completion of authentication and a user identifier corresponding to the network address;
A function of searching for a network address of a user who is currently using the authentication communication path set by the user himself / herself when receiving the setting request for the authentication communication path and / or a user identifier corresponding to the network address;
Utilization of the network address of the user included in the setting request and / or the user identifier corresponding to the network address and the authentication communication path currently set by the user based on the search result of the function to be searched When the network address of the user and / or the user identifier corresponding to the network address are the same, the authentication communication path based on the setting request is deleted by deleting the existing authentication communication path set by the self A function to set
Utilization using the authentication communication path currently set by the user and the network address of the user included in the setting request or the user identifier corresponding to the network address according to the search result of the function to be searched A function for notifying the network address and the user identifier corresponding to the network address to another gateway device when the network address of the person and / or the user identifier corresponding to the network address do not match,
When the notification is received from another gateway device, the network includes the network address of the user who is holding the authentication communication path and the user identifier corresponding to the network address held by the notification is included in the notification A function for searching whether the address and / or the user identifier are the same;
A function of responding to the gateway device that is the transmission source of the notification when the search results of the function to search are not the same;
A function of responding to the gateway device that is the transmission source of the notification when the search results of the function to search are the same;
When self is the sender of the notification and receives this response, the gateway apparatus that deletes the duplicate authentication communication path held by the gateway apparatus is deleted from the gateway apparatus that is the sender of the response A function of making a request to delete information related to the authentication channel that is duplicated;
When the self is the sender of the response and receives this request, the function deletes the duplicate authentication communication path held by the self and discards the information related to the duplicate authentication communication path held by the self,
A function of responding that there is a corresponding user in the authentication communication path that overlaps the transmission source of the request and that the deletion is completed;
24. The program according to claim 23, wherein the program realizes a function of setting a new authentication communication path when the self is the transmission source of the request and receives the response.
この保持する機能に保持した前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子の情報を他の前記ゲートウェイ装置に通知する機能と、
この通知を他の前記ゲートウェイ装置から受けたときには当該認証通信路を設定している前記ゲートウェイ装置の情報および前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子の情報を保持する機能と、
前記認証通信路の設定要求を受信したときには現在自己が保持している全ての前記ゲートウェイ装置で設定されている前記認証通信路を利用している利用者の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子を検索しいずれかが同一のときにはその認証通信路を設定している前記ゲートウェイ装置を確認する機能と、
当該認証通信路を設定している前記ゲートウェイ装置が自己であるときには該当する前記認証通信路を削除するとともに新規に要求された前記認証通信路を設定する機能と、
当該認証通信路を設定している前記ゲートウェイ装置が他の前記ゲートウェイ装置であるときには該当する前記ゲートウェイ装置に対して前記ネットワークアドレスおよびこのネットワークアドレスに対応する前記利用者識別子を設定して前記認証通信路の削除要求を送信する機能と、
自己がこの削除要求を受信したときには、要求中の前記ネットワークアドレスおよびまたはこのネットワークアドレスに対応する前記利用者識別子と一致する前記認証通信路を検索してこれを削除し削除完了の旨を前記削除要求元の前記ゲートウェイ装置に応答する機能と、
自己が前記削除要求元でありこの削除完了応答を受信したときには、新規に要求のあった前記認証通信路を設定する機能と
を実現させる請求項23記載のプログラム。A function of holding a network address of a user who has established the authentication communication path after completion of authentication and a user identifier corresponding to the network address;
A function of notifying other gateway devices of the network address held in the held function and the information of the user identifier corresponding to the network address;
When receiving this notification from the other gateway device, the function to hold the information of the gateway device that has set the authentication communication path and the network address and the information of the user identifier corresponding to the network address;
When the authentication communication path setting request is received, it corresponds to the network address of the user who uses the authentication communication path set in all the gateway devices currently held by the self and / or this network address. A function of checking the gateway device that sets the authentication communication path when searching for the user identifier and when either is the same;
A function of deleting the corresponding authentication communication path and setting the newly requested authentication communication path when the gateway device setting the authentication communication path is self;
When the gateway device setting the authentication communication path is another gateway device, the authentication communication is performed by setting the network address and the user identifier corresponding to the network address for the corresponding gateway device. A function to send a road deletion request,
When the self receives this deletion request, it searches for the authentication communication path that matches the requested network identifier and / or the user identifier corresponding to this network address, deletes it, and deletes the fact that the deletion is complete. A function to respond to the requesting gateway device;
24. The program according to claim 23, wherein when the self is the deletion request source and receives the deletion completion response, the function of setting the authentication communication path that has been newly requested is realized.
前記利用者からアクセスがあるときには前記利用者のプライベートネットワークアドレスを用いて前記ゲートウェイ装置に当該利用者の個人認証状態を問い合わせることにより前記利用者識別子を取得する機能を実現させることを特徴とするプログラム。As a function corresponding to the information server applied to the relay connection method according to any one of claims 1 to 11, by installing in the information processing device,
A program for realizing the function of acquiring the user identifier by inquiring the gateway device about the personal authentication status of the user by using the private network address of the user when there is an access from the user. .
利用者のプライベートアドレスを用いて前記ゲートウェイ装置にこの利用者の個人認証状態を問い合わせることによりこの利用者の利用者識別子を取得する機能と、
前記情報サーバに前記アプリケーションレベルでの個人認証情報としての利用者識別子を送信する機能と
を実現させることを特徴とするプログラム。As a function corresponding to the access control server applied to the relay connection method according to any one of claims 1 to 11, the information processing device is installed in the information processing device.
A function for acquiring the user identifier of the user by inquiring the personal authentication status of the user to the gateway device using the private address of the user;
A program for causing the information server to realize a function of transmitting a user identifier as personal authentication information at the application level.
この認識する機能により認識したアプリケーションにしたがって前記情報サーバに対してこのアプリケーションレベルでのアクセス制御を行う機能と
を実現させる請求項28記載のプログラム。A function for recognizing an application corresponding to the user based on the personal authentication information;
29. The program according to claim 28, wherein a function for performing access control at the application level for the information server is realized in accordance with an application recognized by the recognition function.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001277173A JP3645844B2 (en) | 2001-09-12 | 2001-09-12 | Relay connection method, network level authentication server, gateway device, information server, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001277173A JP3645844B2 (en) | 2001-09-12 | 2001-09-12 | Relay connection method, network level authentication server, gateway device, information server, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003087332A JP2003087332A (en) | 2003-03-20 |
| JP3645844B2 true JP3645844B2 (en) | 2005-05-11 |
Family
ID=19101744
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001277173A Expired - Fee Related JP3645844B2 (en) | 2001-09-12 | 2001-09-12 | Relay connection method, network level authentication server, gateway device, information server, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3645844B2 (en) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4271478B2 (en) | 2003-04-08 | 2009-06-03 | パナソニック株式会社 | Relay device and server |
| WO2004105333A1 (en) * | 2003-05-22 | 2004-12-02 | Fujitsu Limited | Safe virtual private network |
| JP6099153B2 (en) * | 2014-09-08 | 2017-03-22 | Necプラットフォームズ株式会社 | Authentication system, home gateway, authentication terminal, connection control method and program |
| KR101868564B1 (en) * | 2016-05-20 | 2018-07-23 | (주)드림시큐리티 | Apparatus for authenticating user in association with user-identification-registration and local-authentication and method for using the same |
-
2001
- 2001-09-12 JP JP2001277173A patent/JP3645844B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003087332A (en) | 2003-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4291213B2 (en) | Authentication method, authentication system, authentication proxy server, network access authentication server, program, and recording medium | |
| JP5507462B2 (en) | Authentication method that does not duplicate credentials for multiple users belonging to different organizations | |
| US7735129B2 (en) | Firewall device | |
| TW595184B (en) | Wide area network, access authentication system using the network, connection device for bridging, terminal equipment in connection with connector and access authentication method | |
| JP3006504B2 (en) | Authentication method of wireless terminal in wireless network and wireless network | |
| JP2018529245A (en) | Authorization processing method and device | |
| US9270652B2 (en) | Wireless communication authentication | |
| US7496949B2 (en) | Network system, proxy server, session management method, and program | |
| WO2005006204A1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| CN109548022B (en) | Method for mobile terminal user to remotely access local network | |
| JP5002337B2 (en) | Communication system for authenticating or relaying network access, relay device, authentication device, and communication method | |
| US20100030346A1 (en) | Control system and control method for controlling controllable device such as peripheral device, and computer program for control | |
| US20080065778A1 (en) | Method of managing information and information processing apparatus | |
| WO2005074188A1 (en) | A method of obtaining the user identification for the network application entity | |
| US7694015B2 (en) | Connection control system, connection control equipment and connection management equipment | |
| KR20030053280A (en) | Access and Registration Method for Public Wireless LAN Service | |
| JP4906581B2 (en) | Authentication system | |
| JP3645844B2 (en) | Relay connection method, network level authentication server, gateway device, information server, and program | |
| JP2009217722A (en) | Authentication processing system, authentication device, management device, authentication processing method, authentication processing program and management processing program | |
| KR101628534B1 (en) | VIRTUAL 802.1x METHOD AND DEVICE FOR NETWORK ACCESS CONTROL | |
| KR100577390B1 (en) | Network Device and Network System for Authentication and Method Therefor | |
| JP3953963B2 (en) | Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system | |
| JP4152753B2 (en) | Network authentication access control server, application authentication access control server, and integrated authentication access control system | |
| CN116996587B (en) | Distributed sdp tunnel control method and device | |
| JP2003324457A (en) | Access control apparatus, method, program and recording medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040727 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040927 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050118 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050204 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080210 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090210 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100210 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100210 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110210 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110210 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120210 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120210 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130210 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130210 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140210 Year of fee payment: 9 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |