Nothing Special   »   [go: up one dir, main page]

JP3953963B2 - Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system - Google Patents

Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system Download PDF

Info

Publication number
JP3953963B2
JP3953963B2 JP2003030674A JP2003030674A JP3953963B2 JP 3953963 B2 JP3953963 B2 JP 3953963B2 JP 2003030674 A JP2003030674 A JP 2003030674A JP 2003030674 A JP2003030674 A JP 2003030674A JP 3953963 B2 JP3953963 B2 JP 3953963B2
Authority
JP
Japan
Prior art keywords
authentication
network
terminal
access control
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003030674A
Other languages
Japanese (ja)
Other versions
JP2004240819A (en
Inventor
潤 三好
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003030674A priority Critical patent/JP3953963B2/en
Publication of JP2004240819A publication Critical patent/JP2004240819A/en
Application granted granted Critical
Publication of JP3953963B2 publication Critical patent/JP3953963B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、分散型認証アクセス制御システムに関し、特にコネクションレス型通信網上に構築された仮想閉域網に対して、遠隔の私設網からアクセス(以下、リモートアクセス)するための認証を行ない、その私設網内の端末の仮想閉域網への接続の認証を行なう分散型認証アクセス制御システムに関する。
【0002】
【従来の技術】
従来、企業通信網など特定の対地のみを接続する閉域網を構築するために、仮想閉域網が導入されている。コネクションレス型通信網における仮想閉域網は、伝送路、転送ノードを共有するのみならず、論理パス、論理回線も共有して、セキュリティを確保した転送制御がなされている。
【0003】
また、仮想閉域網は特定の対地のみを接続するのではなく、特定の端末、またはルータ等の通信装置からのリモートアクセスを受け付けることができるようになっている。例えば、社員の自宅の端末や、事務所のルータから公衆の電話網あるいはADSL(Asymmetric Digital Subscriber Line)網等を経由して企業の仮想閉域網にアクセスし、会社のホストコンピュータに接続することができる。電話網等と仮想閉域網との間にリモートアクセスサーバが設置されており、端末やルータは、ダイアルアップ等でリモートアクセスサーバに接続し、仮想閉域網にアクセスすることが行なわれている。
【0004】
リモートアクセスサーバと仮想閉域網とを接続する転送ノードと、リモートアクセスサーバと転送ノードとを制御する閉域網群制御サーバを備え、複数の仮想閉域網の利用者が共用している。リモートアクセスサーバと転送ノードとの間の物理回線を複数の仮想閉域網で利用して、設備の利用効率を向上させることが提案されている(特許文献1)。この特許文献1では、利用者からの接続要求に基づいて、リモートアクセスサーバは、仮想閉域網毎に仮想ルータ(以下、VR:Virtual Routerと表記)を割り当て、VRを1本の物理回線に接続する。利用者からの切断を契機に、リモートアクセスサーバは、VRを開放し、他の仮想閉域網の利用者に割り当てる。
【0005】
一方、仮想閉域網に代表される通信網への接続環境が整っていることを前提として、通信網上に接続されている複数のサーバ上のコンテンツへのアクセスを一度の認証で可能にする(以下、シングルサインオンと表記)方法として、網内に認証アクセス制御サーバを設置する方法が知られており、この方法はその処理形態によって、「リバース・プロキシ型」と「エージェント・モジュール型」とに分類される。
【0006】
リバース・プロキシ型のシングルサインオンでは、サーバへのアクセス要求は全て認証アクセス制御サーバを中継して送信され、認証アクセス制御サーバは、中継時に、内部に持つ利用者毎のアクセスリストを参照してアクセス制御を行なう。
【0007】
一方、エージェント・モジュール型のシングルサインオンでは、利用者は、まず認証アクセス制御サーバにログインする。認証に成功すると、認証アクセス制御サーバは、当該利用者がアクセス可能なアプリケーションサーバのリストをクッキーに埋め込んで利用者端末に送信する。その後、利用者がアプリケーションサーバにアクセスした時、コンテンツサーバ内のエージェント・モジュールがクッキー内の情報をもとにアクセスの可否を決定する。アプリケーションサーバに対して、認証アクセス制御サーバで認証されていない利用者からのアクセスがあった場合は、当該アプリケーションサーバ内のエージェント・モジュールがアクセス要求を認証アクセス制御サーバに転送して、認証を行なわせる。
【0008】
なお、現在、企業連合であるLiberty Allianceにおいて、エージェント・モジュール型をベースにしたシングルサインオンの方式の標準化が進められている。
【0009】
【特許文献1】
特開2002−185538号公報
【特許文献2】
特願2003−003108号
【0010】
【発明が解決しようとする課題】
仮想閉域網に遠隔からアクセスする場合は、通常、仮想閉域網に接続した後、何らかの業務を行なうために、その仮想閉域網内のサーバにアクセスすることが考えられる。このため、本出願人は、遠隔の端末から仮想閉域網に対する接続認証をもって、当該仮想閉域網内の特定のアプリケーションサーバ群に対するアクセス時の認証を兼ねられるようにし、利用者が仮想閉域網への接続時に一度のみ認証手続きを行なうことで仮想閉域網内のアプリケーションサーバへのアクセスを可能とする技術を提案している(特許文献2)。
【0011】
しかし、端末から直接仮想閉域網に接続するのではなく、既設の私設網からルータを介して仮想閉域網に接続する場合は、仮想閉域網への接続時に行なわれる認証は、当該私設網内で共通のルータとしての認証であり、私設網内の個々の端末の利用者の認証とはなっていないため、ルータの仮想閉域網への接続時の認証のみで私設網内の個々の端末から仮想閉域網内のアプリケーションサーバへのアクセスの認証を兼ねることはセキュリティ上問題がある。
【0012】
本発明の目的は、遠隔の私設網からルータを介して仮想閉域網に接続する場合に、私設網内の各端末の利用者のセキュリティを損なうことなく、私設網内の端末から一度の認証手続きのみで仮想閉域網内のアプリケーションサーバへのアクセスを可能にする認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバおよび分散型認証アクセス制御システムを提供することにある。
【0013】
【課題を解決するための手段】
本発明の分散型認証アクセス制御システムは認証機能付きパケット通信装置とネットワーク認証アクセス制御サーバと転送ノードとリモートアクセスサーバとアプリケーション認証アクセス制御サーバとで構成され、遠隔の私設網内の端末が、認証機能付きパケット通信装置とリモートアクセスサーバおよび転送ノードを介して仮想閉域網に接続した上で、私設網内の端末から発行される仮想閉域網内のアプリケーションサーバへのアクセス要求を認証する。
【0014】
本発明の認証機能付きパケット通信装置は、(1)端末が私設網に接続された時にその端末からの接続要求を受けて端末利用者の認証を行なう手段と、(2)(1)の認証に成功した場合にその端末にアドレスを付与する手段と、(3)(2)で付与したアドレスを管理する手段と、(4)私設網内の端末に付与したアドレスとして既に記録されているアドレスを持つ端末からの接続要求に対しては、その端末の利用者に対して改めて認証を求めないようにする手段と、(5)アドレスを付与済みの端末から仮想閉域網宛ての通信要求を受けて、リモートアクセスサーバに対して接続要求を送信する手段と、(6)リモートアクセスサーバへの接続要求時に、その時点までに認証機能付きパケット通信装置から私設網内の端末に付与済みのアドレスの情報をネットワーク認証アクセス制御サーバに通知する手段と、(7)仮想閉域網との間の接続パスが存在している間に新たに私設網内の端末の認証に成功した場合に、その端末に付与したアドレスをネットワーク認証アクセス制御サーバに通知する手段とを有する。
【0015】
認証機能付きパケット通信装置は、(8)私設網内の利用者からの切断要求、もしくは自装置から自律的に発する切断要求を契機として、リモートアクセスサーバに対して、該認証機能付きパケット通信装置から私設網内の端末に付与した全アドレスの情報を含んだ切断要求を送信する手段と、(9)アドレスを付与した端末が私設網から切り離された場合に、当該端末用に付与したアドレスを無効にするとともに、ネットワーク認証アクセス制御サーバに対して当該アドレスを持つ端末の認証を無効にするように通知する手段とを任意に有する。
【0016】
また、ネットワーク認証アクセス制御サーバは、(1)私設網内の認証機能付きパケット通信装置の、仮想閉域網への接続認証の認証状態と、認証機能付きパケット通信装置に払い出したアドレスを管理する手段と、(2)私設網内の端末の、認証機能付きパケット通信装置への接続の認証状態を、認証機能付きパケット通信装置から通知された、認証成功時にその端末に付与されたアドレスの情報をもって管理する手段と、(3)私設網内の端末に付与されたアドレス宛ての経路を転送ノードに設定する手段と、(4)仮想閉域網内のアプリケーションサーバにアクセス要求を行なった端末の送信元アドレスの情報をアプリケーション認証アクセス制御サーバ経由で受信し、認証機能付きパケット通信装置から通知されているアドレスと一致するかどうかで当該利用者の認証状態を判断し、アプリケーション認証アクセス制御サーバに認証状態を応答する手段とを有する。
【0017】
また、ネットワーク認証アクセス制御サーバは、(5)端末が私設網から切断された場合に、認証機能付きパケット通信装置から切断された端末に付与されていたアドレスの情報を受信し、その端末の認証機能付きパケット通信装置への接続の認証を無効にする手段と、(6)同じ契機で、アプリケーション認証アクセス制御サーバに対して、当該端末に付与されていたアドレスの情報を通知する手段と、(7)同じ契機で、転送ノードに設定済みであった、当該端末に付与されていたアドレス宛ての経路を削除する手段と、(8)私設網内の認証機能付きパケット通信装置とリモートアクセスサーバとの間の接続が切断されたことをリモートアクセスサーバから通知を受けたことを契機に、その認証機能付きパケット通信装置とそれが接続していた仮想閉域網との間の接続パスを削除する手段と、(9)(8)と同じ契機で、ネットワーク認証アクセス制御サーバ内で管理している、該認証機能付きパケット通信装置の認証を無効にする手段と、(10)(8)と同じ契機で、該認証機能付きパケット通信装置に接続されている全ての端末に対する認証を無効にする手段と、(11)(8)と同じ契機で、アプリケーション認証アクセス制御サーバに対して、該認証機能付きパケット通信装置に接続されている端末の利用者の認証を無効にするために該認証機能付きパケット通信装置が付与した全てのアドレスの情報を通知する手段と、(12)(8)と同じ契機で、転送ノードに設定済みであった、私設網内の端末に払い出し済みのアドレス宛ての経路を削除する手段とを任意に有する。
【0018】
さらに、アプリケーション認証アクセス制御サーバは、(1)端末の利用者からのアプリケーションサーバ群へのアクセス要求を受信した際に、アクセス要求を送信してきた端末からのパケットの送信元アドレスを抽出し、該送信元アドレスをネットワーク認証アクセス制御サーバに送ることで該利用者の認証状態を問い合わせる手段と、(2)ネットワーク認証アクセス制御サーバから認証済みの応答を受けた場合に、該利用者端末に対して利用者の認証に必要な情報を要求することなく、アプリケーションサーバ群へのアクセスを許可する手段と、(3)ネットワーク認証アクセス制御サーバから未認証の応答を受けた場合に、当該利用者端末に対して利用者の認証に必要な情報を要求し、認証に成功した場合に限りアプリケーションサーバ群へのアクセスを許可する手段とを有し、さらに(4)ネットワーク認証アクセス制御サーバからの指示に従って特定の利用者に対する認証を無効にする手段を任意に有する。
【0019】
次に、このように構成された本発明の分散型認証アクセス制御システムにおける認証処理の流れについて説明する。
【0020】
認証機能付きパケット通信装置は、私設網に新たに端末が接続されると、端末の利用者に対して認証を要求し、認証に成功すると、その端末に対してアドレスを付与する。その後、アドレスを付与された端末が仮想閉域網宛ての通信を要求すると、認証機能付きパケット通信装置はそれを受けて、公衆網とリモートアクセスサーバを介してネットワーク認証アクセス制御サーバに対して接続要求を行なう。ネットワーク認証アクセス制御サーバは、利用者端末からその仮想閉域網へのアクセスに必要となる認証情報を取得して、それに基づいて、仮想閉域網へのアクセスの認証を行なう。
【0021】
この認証が得られると、ネットワーク認証アクセス制御サーバは、利用者端末が当該仮想閉域網に接続されるよう、転送ノードとリモートアクセスサーバに対して接続パスの設定を行なう。
【0022】
また、認証機能付きパケット通信装置からネットワーク認証アクセス制御サーバに接続要求を行なった後に私設網内の端末の新規接続があった場合は、その端末に付与したアドレスを認証機能付きパケット通信装置からネットワーク認証アクセス制御サーバに通知する。端末の切断があった場合には、その端末に付与されていたアドレスの情報をネットワーク認証アクセス制御サーバに通知する。ネットワーク認証アクセス制御サーバは、新規接続の通知を受けると、当該アドレスを持つ端末の認証は完了しているものとして新たに管理し、切断の通知を受けると、当該アドレスを持つ端末の認証を無効にする。
【0023】
この後、私設網内の端末から仮想閉域網内のアプリケーションサーバに対してアクセス要求を行なうと、そのアクセス要求にはそのアプリケーションサーバにアクセスする権限を有することを示す証明書が含まれていないため、エージェント・モジュール型のシングルサインオンの方式に従い、アクセス要求はアプリケーション認証アクセス制御サーバに転送される。
【0024】
アプリケーション認証アクセス制御サーバは、受信したアプリケーションサーバへのアクセス要求のパケットから送信元アドレスを抽出し、アクセス要求元の端末の利用者の認証状態を確認するために、ネットワーク認証アクセス制御サーバに対して先に抽出した送信元アドレスの情報を送信する。
【0025】
ネットワーク認証アクセス制御サーバは、受信した送信元アドレス情報が自サーバ内に保持する認証状態を管理するリスト内で認証済みであるアドレスとして登録されているかを検索する。該送信元アドレスがリスト内に存在した場合は、ネットワーク認証アクセス制御サーバで認証済みである旨をアプリケーション認証アクセス制御サーバに応答し、リスト内にない場合は、ネットワーク認証アクセス制御サーバで未認証であることを応答する。
【0026】
アプリケーション認証アクセス制御サーバは、認証済みとの応答を受信した場合は、元々利用者端末から送られてきたアクセス要求に対して、パスワード等認証に必要な情報を改めて要求することなく、アプリケーションサーバ群へのアクセス権限を有していることを証明する証明書を付与して利用者端末に送信する。ネットワーク認証アクセス制御サーバから未認証との応答を受信した場合は、元々のアクセス要求に対して、パスワード等認証に必要な情報を利用者に要求し、認証が成功した場合に限り、アプリケーションサーバ群へのアクセス権限を有していることを証明する証明書を付与して利用者端末に送信する。
【0027】
これ以降に当該利用者端末が仮想閉域網内のアプリケーションサーバ群に対してアクセスを試みた場合は、アプリケーション認証アクセス制御サーバが発行した証明書がアクセス要求に付与されていることをアプリケーションサーバが確認することで認証手続きが完了していることを判別し、自アプリケーションサーバへのアクセスを許可する。
【0028】
このようにして、私設網内の端末の利用者はただ一度の認証手続きを実行するだけで、仮想閉域網へのリモートアクセスのみならず、仮想閉域網内の複数のアプリケーションサーバに対するセキュアなアクセスが可能になる。
【0029】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0030】
図1は本発明の一実施形態の分散型認証アクセス制御システムの構成図である。
【0031】
分散型認証アクセス制御システム1は認証機能付きパケット通信装置2とネットワーク認証アクセス制御サーバ3とアプリケーション認証アクセス制御サーバ4と転送ノード5とリモートアクセスサーバ6から構成されている。
【0032】
アプリケーション認証アクセス制御サーバ4はアプリケーションサーバ8a,8bとともに仮想閉域網7を構成している。また、認証機能付きパケット通信装置2は端末10a,10b,10cとともに私設網9を構成している。私設網9内の端末10a,10b,10cからそれぞれ利用者11a,11b,11cが仮想閉域網7内のアプリケーションサーバ8a,8bへの試みるものとする。ここで、利用者11a,11b,11cは、アプリケーションサーバ8a,8bのいずれにもアクセス権限を有しているものとする。
【0033】
図2(1)、図2(2)、図2(3)はそれぞれ認証機能付きパケット通信装置2、ネットワーク認証アクセス制御サーバ3、アプリケーション認証アクセス制御サーバ4の構成図である。
【0034】
認証機能付きパケット通信装置2は接続要求受付/応答部21と認証部22と接続/切断要求部23とアドレス割当テーブル24とアドレス検索/払い出し/回収部25から構成されている。
【0035】
接続要求受付/応答部21は端末10a〜10cが私設網9に接続された時にその端末からの接続要求を、また切断要求を受け取り、端末10a〜10cに認証結果等を返す。アドレス割当テーブル24は表1に示すように、認証機能付きパケット通信装置2の配下にこれに接続されている端末10a,10b,10cの物理識別子(本例ではMAC(Media Access Control)アドレスとする)と、それぞれの端末10a,10b,10cに付与されたIP(Internet Protocol)アドレスを管理している。
【0036】
【表1】

Figure 0003953963
【0037】
認証部22は端末からの接続要求を受け端末利用者の認証を行ない、認証に成功すると、その端末にアドレスを付与し、アドレス割当テーブル24に登録する。接続要求受付/応答部21はアドレス割当テーブル24で既にアドレスが付与されている端末からの接続要求に対しては、その端末の利用者に対して改め認証を認証部22に求めない。接続/切断要求部23は、接続要求受付/応答部21を介して、私設網9内の端末から仮想閉域網7宛ての通信要求を受けて、リモートアクセスサーバ6に対して接続要求を送信するとともに、その時点までに端末に付与済みのアドレスの情報をリモートアクセスサーバ6を介してネットワーク認証アクセス制御サーバ3に通知する。また、接続/切断要求部23は仮想閉域網7との間の接続パスが存在している間に新たに私設網9内の端末の認証に成功した場合に、アドレス割当テーブル24で管理されている、その端末に付与されたアドレスをネットワーク認証アクセス制御サーバ3にリモートアクセスサーバ6を介して通知する。また、接続/切断要求部23は、接続要求受付/応答部21を介した、私設網9内の利用者からの切断要求、もしくは自装置から自律的に発する切断要求を契機として、リモートアクセスサーバ6に対して、認証機能付きパケット通信装置2から私設網9内の端末に付与した全アドレスの情報を含んだ切断要求を送信する。さらに、接続/切断要求部23は、アドレスが付与されている端末が私設網9から切り離された場合に、ネットワーク認証アクセス制御サーバ3に対して該アドレスを持つ端末の認証を無効にするようにリモートアクセスサーバ6を介して通知する。アドレス検索/払い出し/回収部25はアドレス割当テーブル24の検索、認証部22での利用者の認証が成功した場合、アドレス割当テーブル24への、端末に付与したアドレスの登録、アドレスが付与された端末が私設網9から切り離された場合の、その端末に付与されたアドレスのアドレス割当テーブル24からの回収(抹消)を行なう。
【0038】
ネットワーク認証アクセス制御サーバ3は認証要求受付/応答部31と認証部32と接続パス設定/削除部33とネットワーク認証状態テーブル34とアドレス払い出し/回収部35と認証状態応答部36で構成されている。
【0039】
ネットワーク認証状態テーブル34は、表2に示すように、仮想閉域網毎に用意され、リモートアクセスサーバ6経由でネットワーク認証アクセス制御サーバ3に接続要求する端末あるいは認証機能付きパケット通信装置(ここでは認証機能付きパケット通信装置2)が仮想閉域網7に接続しているか接続していないかを示す認証状態と、接続されている場合に当該端末あるいは認証機能付きパケット通信装置2に対して払い出されたIPアドレスの情報と、接続要求したのが認証機能付きパケット通信装置であった場合にその認証機能付きパケット通信装置が配下の端末に対して付与したIPアドレスの情報を管理する。
【0040】
【表2】
Figure 0003953963
【0041】
接続要求受付/応答部31はリモートアクセスサーバ6を介して認証機能付きパケット通信装置2から仮想閉域網7の接続要求を認証に必要な情報とともに受け取り、またリモートアクセスサーバ6を介して認証機能付きパケット通信装置2に認証結果とIPアドレスを返す。また、接続要求受付/応答部31は、リモートアクセスサーバ6から切断要求を受信する。認証部32は接続要求受付/応答部31で接続要求が受信されると、受け取った認証に必要な情報を用いて利用者を認証する。接続パス設定/削除部33は認証部32における認証が成功した場合、私設網9内の端末に付与されたアドレス宛ての経路を転送ノード5に設定する。認証状態応答部36は仮想閉域網7内のアプリケーションサーバにアクセス要求を行なった端末の送信元アドレスの情報をアプリケーション認証アクセス制御サーバ4経由で受信し、認証機能付きパケット通信装置2から通知されている、ネットワーク認証状態テーブル34内のアドレスと一致するかどうかで当該利用者の認証状態を判断し、アプリケーション認証アクセス制御サーバ4に認証状態を応答する。アドレス払い出し/回収部35は端末が私設網9から切断された場合に、認証機能付きパケット通信装置2から、切断された端末に付与されていたアドレスを認証要求受付/応答部31を介して受信し、ネットワーク認証状態テーブル34における、その端末の認証機能付きパケット通信装置2への接続の認証を無効にする。このとき、認証状態応答部36はアプリケーション認証アクセス制御サーバ4に対して、当該端末に付与されていたアドレスの情報を通知し、接続パス設定/削除部33は、転送ノード5に設定済みであった、当該端末に付与されていたアドレス宛ての経路を削除する。認証要求受付/応答部31が私設網9内の認証機能付きパケット通信装置2とリモートアクセスサーバ6との間の接続が切断されたことをリモートアクセスサーバ6から通知を受けたことを契機に、接続パス設定/削除部33はその認証機能付きパケット通信装置2とそれが接続していた仮想閉域網7との間の接続パスを削除し、アドレス払い出し/回収部35は、ネットワーク認証状態テーブル34で管理している、当該認証機能付きパケット通信装置の認証を回収(無効)にするとともに、当該認証機能付きパケット通信装置に接続されている全ての端末に対する認証を無効にし、認証状態応答部36はアプリケーション認証アクセス制御サーバ4に対して、当該認証機能付きパケット通信装置に接続されている端末の利用者の認証を無効にするために当該認証機能付きパケット通信装置2が付与した全てのアドレスの情報を通知し、接続パス設定/削除部33は転送ノード5に設定済みであった、私設網9内の端末に払い出し済みのアドレス宛ての経路を削除する。
【0042】
アプリケーション認証アクセス制御サーバ4はアクセス要求受付/応答部41と送信元アドレス抽出部42と認証状態問合せ部43とアクセス許可判断部44から構成される。
【0043】
アクセス要求受付/応答部41は、端末の利用者からのアプリケーションサーバ群へのアクセス要求を転送ノード5を介して受信し、また未認証の端末に対してパスワード等の利用者の認証に必要な情報を要求する。送信元アドレス抽出部42は、アクセス要求受付/応答部41でアクセス要求が受信されると、アクセス要求を送信してきた端末からのパケットの送信元アドレスを抽出する。認証状態問合せ部43は抽出された送信元アドレスをネットワーク認証アクセス制御サーバ3に送ることで当該利用者の認証状態を問合わせ、ネットワーク認証アクセス制御サーバ3から認証状態を示す応答を受信する。アクセス許可判断部44はネットワーク認証アクセス制御サーバ3から認証済みの応答を受けた場合、当該利用者端末に対してパスワード等利用者の認証に必要な情報を要求することなく、アクセス要求受付/応答部41を介してアプリケーションサーバ群へのアクセスを許可し、ネットワーク認証アクセス制御サーバ3から未認証の応答を受けた場合、アクセス要求受付/応答部41を介して当該利用者端末に対してパスワード等利用者の認証に必要な情報を要求し、認証に成功した場合に限りアプリケーションサーバ群へのアクセスを許可する。また、アクセス許可判断部44はネットワーク認証アクセス制御サーバ3からの指示に従って特定の利用者に対する認証を無効にする。
【0044】
次に、図3、図4、および図5に示すシーケンス図に従って、認証機能付きパケット通信装置2とネットワーク認証アクセス制御サーバ3とアプリケーション認証アクセス制御サーバ4によって、私設網9内の端末10a,10b,10cを使用する利用者11a,11b,11cからの一度のみの認証手続きによって仮想閉域網7にアクセスし、かつ、仮想閉域網7内のアプリケーションサーバ8a,8bに対してのシングルサインオンを実現する一連の処理について説明する。
【0045】
端末10aが私設網9への接続要求を試みると(ステップ101)、まず端末10aと認証機能付きパケット通信装置2の認証部22の間で利用者認証が行なわれる(ステップ102)。この認証に成功した場合、認証機能付きパケット通信装置2のアドレス検索/払い出し/回収部25は、端末10aに対して、私設網9内での通信を行なうためのIPアドレスを付与し、端末10aのMACアドレスとここで付与したIPアドレスの組をアドレス割当テーブル24に格納する(ステップ103)。この後、別の端末10bからも私設網9への接続要求があった場合は、端末10aの時と同様に認証手続きを行なってIPアドレスを付与し、端末10bのMACアドレスと端末10bに付与したIPアドレスの組をアドレス割当テーブル24に追加する(ステップ104〜106)。
【0046】
この状態で端末10aが仮想閉域網7内のアプリケーションサーバ(例えばアプリケーションサーバ8a)に対してアクセス要求を行なうと(ステップ107)、それを受けて認証機能付きパケット通信装置2の接続/切断要求部23は電話網経由でリモートアクセスサーバ6に対して仮想閉域網7への接続要求を行ない、仮想閉域網7への接続認証に必要な情報(ここではIDとパスワードとする)を送信する(ステップ108)。リモートアクセスサーバ6は、受信したIDとパスワードをネットワーク認証アクセス制御サーバ3に転送し、認証を依頼する(ステップ109)。ネットワーク認証アクセス制御サーバ3の認証部32は、受信したIDとパスワードの情報をもとに認証機能付きパケット通信装置2の認証を行ない、認証成功であれば、アドレス払い出し/回収部35は認証機能付きパケット通信装置2に対して、仮想閉域網7との通信用のIPアドレスを払い出し、ネットワーク認証状態テーブル34に記録する。そして、認証要求受付/応答部31と接続パス設定/削除部33はリモートアクセスサーバ6と転送ノード5に対して、仮想閉域網7への接続パスを設定する(ステップ110)。そして、認証要求受付/応答部31は認証結果と、払い出したIPアドレスを認証機能付きパケット通信装置2に送信する(ステップ111,112)。これを受けて認証機能付きパケット通信装置2の接続要求受付/応答部21は、アドレス割当テーブル24に登録済みの私設網内端末(ここでは端末10aと10b)のIPアドレスをネットワーク認証アクセス制御サーバ3に送信する(ステップ113)。ネットワーク認証アクセス制御サーバ3のアドレス払い出し/回収部35は、受信した端末10aと10bのIPアドレスをネットワーク認証状態テーブル34に登録し、接続パス設定/削除部33は転送ノード5に対して端末10aおよび10b宛ての経路を設定し(ステップ114)、認証要求受付/応答部31は認証機能付きパケット通信装置2に対して登録完了を通知する(ステップ115)。
【0047】
ここまでの処理で認証機能付きパケット通信装置2と、その配下に接続されている端末10aおよび10bは仮想閉域網7に接続されたため、利用者11aおよび11bは何らかの業務を行なうため、アプリケーションサーバ(ここではアプリケーションサーバ8a)に対してアクセス要求を送信するとする(ステップ116)。ここでは端末10aを例にとって説明する。ステップ116の時点では、端末10aはアプリケーションサーバ8aに対するアクセス権限を持っていることを示す証明書を持っていないため、アプリケーションサーバ8aはアクセス要求に証明書が付いていないことを確認し(ステップ117)、アクセス要求をアプリケーション認証アクセス制御サーバ4にリダイレクトするよう、端末10aに指示を送信する(ステップ118)。
【0048】
これに基づいて端末10aからアプリケーション認証アクセス制御サーバ4にアクセス要求が転送されると(ステップ119)、アプリケーション認証アクセス制御サーバ4の送信元アドレス抽出部42は、受信したアクセス要求のパケットの送信元アドレスを抽出し、認証状態問合せ部43よりそのアドレス情報をネットワーク認証アクセス制御サーバ3に送信することで、そのアクセス要求を送信してきた利用者(利用者11a)がネットワーク認証アクセス制御サーバ3で認証済みであるかを問い合わせる(ステップ120)。
【0049】
ネットワーク認証アクセス制御サーバ3のアドレス払い出し/回収部35は、仮想閉域網7のネットワーク認証状態テーブル34を検索し、アプリケーション認証アクセス制御サーバ4から受信したアドレスが認証済みとして登録されているか否かを判別し、その結果を認証要求受付/応答部31からアプリケーション認証アクセス制御サーバ4に送信する(ステップ121)。認証済みであった場合は、アプリケーション認証アクセス制御サーバ4のアクセス許可判断部44は、端末10aに対して、認証が成功していることを示す証明書を発行し、端末10aに対するアクセス応答としてアクセス要求受付/応答部41から返信する(ステップ122)。
【0050】
これにより端末10aから再度アプリケーションサーバ8aに対してアクセス要求を行なうと(ステップ123)、アプリケーションサーバ8aはアクセス要求に証明書が付いていることを検知して、アクセス要求に応答する(ステップ124)。
【0051】
これ以降は、利用者11aがアクセス権限を有する他のアプリケーションサーバ(本実施形態ではアプリケーションサーバ8b)に対しても、改めて認証手続きを求められることなく、アクセスが可能になる。
【0052】
また、端末10bの利用者11bに対しても、ステップ113〜121に相当する手順を実施することにより、仮想閉域網7内で利用者11bがアクセス権限を持つアプリケーションサーバ群に対して、改めて認証手続きを求められることなくアクセスが可能になる。
【0053】
次に、図5により、認証機能付きパケット通信装置2が仮想閉域網7に接続された後に私設網9内に新たに端末(ここでは端末10c)が接続された場合の処理の流れについて説明する。端末10cが新たに私設網9に接続を試みる(ステップ125)と、端末10a,10bの時と同様に利用者認証が実施され(ステップ126)、認証成功の場合IPアドレスが付与される(ステップ127)。認証機能付きパケット通信装置2は、既に仮想閉域網7への接続は完了していることから、この時点でネットワーク認証アクセス制御サーバ3に対して、端末10cの接続を通知し、付与したIPアドレスを送信する(ステップ128)。ネットワーク認証アクセス制御サーバ3では、認証機能付きパケット通信装置2が端末10cに付与したIPアドレスを、ネットワーク認証状態テーブル34に登録し、転送ノード5に対して端末10c宛ての経路を設定する(ステップ129)。そして、端末10cの登録完了を認証機能付きパケット通信装置2に通知する(ステップ130)。これにより、後は端末10cについてステップ113〜121に相当する手順を踏むことにより、端末10cの利用者11cは、仮想閉域網7内のアプリケーションサーバ群に対して、改めて認証手続きを求められることなくアクセスが可能になる。
【0054】
次に、図6、7に示すシーケンス図に従って、認証を無効化する一連の処理について説明する。
【0055】
まず、認証機能付きパケット通信装置2と仮想閉域網7との間の接続が保たれたまま、端末10cが私設網9から切断された場合について説明する。端末10cからのアドレス解放通知の受信またはアドレス使用期間更新要求の断絶により認証機能付きパケット通信装置2が端末10cの私設網9からの切断を検知すると(ステップ131)、アドレス検索/払い出し/回収部25はアドレス割当テーブル24から端末10cに付与していたIPアドレスを回収し、アドレス割当テーブル24内のそのエントリを無効化する(ステップ132)。次いで、接続/切断要求部23はネットワーク認証アクセス制御サーバ3に対して、端末10cに付与していたIPアドレスを送信し、切断を通知する(ステップ133)。これを受けてネットワーク認証アクセス制御サーバ3の認証状態応答部36は、アプリケーション認証アクセス制御サーバ4に対して、利用者11cのログアウト要求を送信する(ステップ134)。アプリケーション認証アクセス制御サーバ4のアクセス許可判断部44は、アプリケーションサーバ群(本実施形態では、アプリケーションサーバ8aと8b)に対する利用者11cの認証を無効にし(ステップ135)、ログアウト完了通知を認証状態問合せ部43よりネットワーク認証アクセス制御サーバ3に送信する(ステップ136)。ネットワーク認証アクセス制御サーバ3のアドレス払い出し/回収部35は、これを受けて、ネットワーク認証状態テーブル34から端末10cのIPアドレスの登録を抹消し、転送ノード5に対して端末10c宛ての経路の削除を行ない(ステップ137)、認証要求受付/応答部31より認証機能付きパケット通信装置2に対して端末10cの切断完了通知を送信する(ステップ138)。
【0056】
さらに、図7によって、認証機能付きパケット通信装置2とリモートアクセスサーバ6との接続回線が切断された場合の処理について説明する。リモートアクセスサーバ6は、認証機能付きパケット通信装置2との間の回線の切断を検知すると(ステップ139)、ネットワーク認証アクセス制御サーバ3に対して、認証機能付きパケット通信装置2の切断を通知する(ステップ140)。これを受けて、ネットワーク認証アクセス制御サーバ3の認証状態応答部36は、アプリケーション認証アクセス制御サーバ4に対して、利用者11aのログアウト要求を送信する(ステップ141)。アプリケーション認証アクセス制御サーバ4のアクセス許可判断部44は、アプリケーションサーバ群(本実施形態では、アプリケーションサーバ8aと8b)に対する利用者11aの認証を無効にし(ステップ142)、ログアウト完了通知をアクセス要求受付/応答部41よりネットワーク認証アクセス制御サーバ3に送信する(ステップ143)。また、端末10bの利用者11bに対しても同様にログアウト処理をアプリケーション認証アクセス制御サーバ4に依頼する(ステップ144〜146)。
【0057】
そして、ネットワーク認証アクセス制御サーバ3のアドレス払い出し/回収部35は、認証機能付きパケット通信装置2に払い出していたIPアドレスを回収してネットワーク認証状態テーブル34から認証機能付きパケット通信装置2に関わるエントリを削除し、接続パス設定/削除部33によってリモートアクセスサーバ6と転送ノード5に対して、認証機能付きパケット通信装置2およびその配下の端末(この例では端末10aと10b)宛ての経路を削除し(ステップ147)、認証要求受付/応答部31よりリモートアクセスサーバ6に対して切断完了通知を送信する(ステップ148)。
【0058】
なお、認証機能付きパケット通信装置2、ネットワーク認証アクセス制御サーバ3、アプリケーション認証アクセス制御サーバ4は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0059】
【発明の効果】
以上説明したように、本発明によれば、私設網から仮想閉域網へのリモートアクセスを実現する分散型認証アクセス制御システムにおいて、私設網内の端末の認証機能付きパケット通信装置へのアクセスのための認証で仮想閉域網内のアプリケーションサーバへのアクセスの認証を実現することで、私設網内の端末の利用者に対して一度のみの認証手続きを行なうだけで、セキュリティを保ちつつ効率的に業務を遂行できるという効果がある。
【図面の簡単な説明】
【図1】本発明の一実施形態の分散型認証アクセス制御システムの構成図である。
【図2】図1中の認証機能付きパケット通信装置2、ネットワーク認証アクセス制御サーバ3、アプリケーション認証アクセス制御サーバ4の構成図である。
【図3】利用者端末10a〜10bからの一度のみの認証手続きによって仮想閉域網7にアクセスし、かつ仮想閉域網7内のアプリケーションサーバ8a,8bに対してのシングルサインオンを実現する一連の処理を示すシーケンス図である。
【図4】利用者端末10a〜10bからの一度のみの認証手続きによって仮想閉域網7にアクセスし、かつ仮想閉域網7内のアプリケーションサーバ8a,8bに対してのシングルサインオンを実現する一連の処理を示すシーケンス図である。
【図5】利用者端末10a〜10bからの一度のみの認証手続きによって仮想閉域網7にアクセスし、かつ仮想閉域網7内のアプリケーションサーバ8a,8bに対してのシングルサインオンを実現する一連の処理を示すシーケンス図である。
【図6】認証を無効化する一連の処理を示すシーケンス図である。
【図7】認証を無効化する一連の処理を示すシーケンス図である。
【符号の説明】
1 分散型認証アクセス制御システム
2 認証機能付きパケット通信装置
3 ネットワーク認証アクセス制御サーバ
4 アプリケーション認証アクセス制御サーバ
5 転送ノード
6 リモートアクセスサーバ
7 仮想閉域網
8a,8b アプリケーションサーバ
9 私設網
10a,10b,10c 端末
11a,11b,11c 利用者
21 接続要求受付/応答部
22 認証部
23 接続/切断要求部
24 アドレス割当テーブル
25 アドレス検索/払い出し/回収部
31 認証要求受付/応答部
32 認証部
33 接続パス設定/削除部
34 ネットワーク認証状態テーブル
35 アドレス払い出し/回収部
36 認証状態応答部
41 アクセス要求受付/応答部
42 送信元アドレス抽出部
43 認証状態問合せ部
44 アクセス許可判断部
101〜148 ステップ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a distributed authentication access control system, and in particular, performs authentication for access from a remote private network (hereinafter referred to as remote access) to a virtual closed network constructed on a connectionless communication network. The present invention relates to a distributed authentication access control system for authenticating connection of a terminal in a private network to a virtual closed network.
[0002]
[Prior art]
Conventionally, a virtual closed network has been introduced in order to construct a closed network that connects only a specific ground such as a corporate communication network. A virtual closed network in a connectionless communication network not only shares a transmission path and a transfer node, but also shares a logical path and a logical line to perform transfer control that ensures security.
[0003]
Further, the virtual closed network does not connect only a specific ground, but can receive remote access from a specific terminal or a communication device such as a router. For example, an employee's home terminal or office router can access a company's virtual closed network via a public telephone network or an ADSL (Asymmetric Digital Subscriber Line) network and connect to a company's host computer. it can. A remote access server is installed between a telephone network or the like and a virtual closed network, and terminals and routers are connected to the remote access server by dial-up or the like to access the virtual closed network.
[0004]
A transfer node that connects the remote access server and the virtual closed network, and a closed network group control server that controls the remote access server and the transfer node, are shared by users of a plurality of virtual closed networks. It has been proposed to use a physical line between a remote access server and a forwarding node in a plurality of virtual closed networks to improve the utilization efficiency of equipment (Patent Document 1). In this Patent Document 1, based on a connection request from a user, the remote access server assigns a virtual router (hereinafter referred to as VR: Virtual Router) to each virtual closed network, and connects the VR to one physical line. To do. Upon disconnection from the user, the remote access server releases the VR and assigns it to another virtual closed network user.
[0005]
On the other hand, on the premise that a connection environment to a communication network represented by a virtual closed network is prepared, it is possible to access contents on a plurality of servers connected to the communication network by one authentication ( Hereinafter, a method of installing an authentication access control server in the network is known as a single sign-on method. This method is classified as “reverse proxy type” or “agent module type” depending on the processing mode. are categorized.
[0006]
In reverse proxy type single sign-on, all access requests to the server are relayed through the authentication access control server, and the authentication access control server refers to the access list for each user inside when relaying. Perform access control.
[0007]
On the other hand, in the agent module type single sign-on, the user first logs into the authentication access control server. If the authentication is successful, the authentication access control server embeds a list of application servers accessible by the user in a cookie and transmits the cookie to the user terminal. Thereafter, when the user accesses the application server, the agent module in the content server determines whether or not access is possible based on the information in the cookie. If there is an access to the application server from a user who is not authenticated by the authentication access control server, the agent module in the application server transfers the access request to the authentication access control server for authentication. Make it.
[0008]
Currently, standardization of a single sign-on system based on an agent module type is being promoted in the Liberty Alliance, which is a corporate alliance.
[0009]
[Patent Document 1]
JP 2002-185538 A
[Patent Document 2]
Japanese Patent Application No. 2003-003108
[0010]
[Problems to be solved by the invention]
When accessing a virtual closed network from a remote location, it is usually considered to access a server in the virtual closed network in order to perform some work after connecting to the virtual closed network. For this reason, the applicant of the present invention allows the remote terminal to authenticate the connection to the virtual closed network so that it can also serve as authentication at the time of access to a specific application server group in the virtual closed network, and the user can access the virtual closed network. A technique that enables access to an application server in a virtual closed network by performing an authentication procedure only once at the time of connection is proposed (Patent Document 2).
[0011]
However, when connecting to a virtual private network via a router from an existing private network instead of connecting directly from the terminal to the virtual private network, the authentication performed when connecting to the virtual private network is performed within the private network. Since it is an authentication as a common router and is not an authentication of users of individual terminals in the private network, virtual authentication is performed from individual terminals in the private network only by authentication when connecting the router to the virtual closed network. There is a security problem to double authentication for access to the application server in the closed network.
[0012]
An object of the present invention is to perform a one-time authentication procedure from a terminal in a private network without compromising the security of the user of each terminal in the private network when connecting to a virtual closed network through a router from a remote private network. Packet communication device with authentication function and network authentication access control server that enables access to application server in virtual closed network , And providing a distributed authentication access control system.
[0013]
[Means for Solving the Problems]
The distributed authentication access control system of the present invention comprises a packet communication device with an authentication function, a network authentication access control server, a forwarding node, a remote access server, and an application authentication access control server, and a terminal in a remote private network is authenticated. The access request to the application server in the virtual private network issued from the terminal in the private network is authenticated after connecting to the virtual private network through the packet communication device with function, the remote access server and the forwarding node.
[0014]
The packet communication device with an authentication function according to the present invention comprises (1) means for receiving a connection request from a terminal when the terminal is connected to a private network, and (2) authentication of (1). Means for assigning an address to the terminal if successful, (3) means for managing the address assigned in (2), and (4) an address already recorded as an address assigned to the terminal in the private network In response to a connection request from a terminal having a terminal, (5) a communication request addressed to the virtual closed network is received from a terminal to which an address has been assigned, and a means for preventing the user of the terminal from requesting authentication again. Means for transmitting a connection request to the remote access server, and (6) at the time of the connection request to the remote access server, from the packet communication device with an authentication function to the terminal in the private network up to that point. And (7) when a new authentication of a terminal in the private network succeeds while a connection path between the virtual closed network exists and Means for notifying the network authentication access control server of the address assigned to the terminal.
[0015]
The packet communication device with authentication function is (8) a packet communication device with authentication function for a remote access server triggered by a disconnection request from a user in a private network or a disconnection request issued autonomously from the own device. Means for transmitting a disconnection request including information on all addresses assigned to the terminal in the private network, and (9) when the terminal to which the address is assigned is disconnected from the private network, the address assigned for the terminal And a means for notifying the network authentication access control server to invalidate the authentication of the terminal having the address.
[0016]
Further, the network authentication access control server (1) means for managing the authentication status of the connection authentication to the virtual closed network of the packet communication device with authentication function in the private network and the address issued to the packet communication device with authentication function (2) With the information of the address given to the terminal when authentication is successful, the authentication status of the connection of the terminal in the private network to the packet communication device with authentication function notified from the packet communication device with authentication function Means for managing; (3) means for setting a route addressed to an address assigned to a terminal in a private network to a forwarding node; and (4) a source of a terminal that makes an access request to an application server in a virtual closed network. The address information is received via the application authentication access control server, and the address information is the same as the address notified from the packet communication device with an authentication function. Whether in determining the authentication status of the user to, and means for responding the authentication status to the application authentication access control server.
[0017]
The network authentication access control server also receives (5) address information given to the disconnected terminal from the packet communication device with an authentication function when the terminal is disconnected from the private network, and authenticates the terminal. (6) means for notifying the application authentication access control server of the address information given to the terminal at the same time, (6) 7) At the same time, means for deleting the route addressed to the address assigned to the terminal that has been set in the forwarding node; (8) a packet communication device with an authentication function and a remote access server in the private network; When the remote access server receives a notification that the connection has been disconnected, the packet communication device with the authentication function and the connection Means for deleting the connection path to the virtual closed network, and authentication of the packet communication device with authentication function managed in the network authentication access control server at the same opportunity as (9) and (8) Means for disabling, means for disabling authentication for all terminals connected to the packet communication device with authentication function at the same opportunity as (10) and (8), and the same opportunity as (11) and (8) Thus, for the application authentication access control server, information on all addresses given by the packet communication device with authentication function to invalidate the user authentication of the terminal connected to the packet communication device with authentication function. And a means for deleting the route addressed to the address already assigned to the terminal in the private network, which has been set in the forwarding node, at the same opportunity as (12) and (8) A.
[0018]
Further, the application authentication access control server (1), upon receiving an access request to the application server group from a user of the terminal, extracts a source address of a packet from the terminal that has transmitted the access request, Means for inquiring about the authentication status of the user by sending a source address to the network authentication access control server; and (2) when receiving an authenticated response from the network authentication access control server, Means for permitting access to the application server group without requesting information necessary for user authentication; and (3) when an unauthenticated response is received from the network authentication access control server, Requests information required for user authentication to the application, and only if the authentication is successful. And means for permitting access to the bus group, and (4) having means for disabling the authentication for a particular user in accordance with an instruction from the network authentication access control server arbitrarily.
[0019]
Next, the flow of authentication processing in the distributed authentication access control system of the present invention configured as described above will be described.
[0020]
When a terminal is newly connected to the private network, the packet communication device with an authentication function requests authentication of the user of the terminal, and when the authentication is successful, gives an address to the terminal. After that, when the terminal to which the address is assigned requests communication addressed to the virtual closed network, the packet communication device with authentication function receives it and requests connection to the network authentication access control server via the public network and the remote access server. To do. The network authentication access control server acquires authentication information necessary for access to the virtual closed network from the user terminal, and authenticates access to the virtual closed network based on the acquired authentication information.
[0021]
When this authentication is obtained, the network authentication access control server sets a connection path for the transfer node and the remote access server so that the user terminal is connected to the virtual closed network.
[0022]
Also, if there is a new connection of a terminal in the private network after making a connection request from the packet communication apparatus with authentication function to the network authentication access control server, the address assigned to the terminal is transferred from the packet communication apparatus with authentication function to the network. Notify the authentication access control server. When the terminal is disconnected, the network authentication access control server is notified of the address information assigned to the terminal. When the network authentication access control server receives a notification of a new connection, it newly manages that the terminal having the address is completed, and when it receives a disconnection notification, it invalidates the authentication of the terminal having the address. To.
[0023]
After that, when an access request is made from a terminal in the private network to the application server in the virtual closed network, the access request does not include a certificate indicating that it has authority to access the application server. According to the agent module type single sign-on method, the access request is transferred to the application authentication access control server.
[0024]
The application authentication access control server extracts the source address from the received access request packet to the application server, and checks the authentication status of the user of the access request source terminal with respect to the network authentication access control server. The information of the source address extracted earlier is transmitted.
[0025]
The network authentication access control server searches whether the received transmission source address information is registered as an authenticated address in a list for managing the authentication state held in the server. If the source address exists in the list, it responds to the application authentication access control server that it has been authenticated by the network authentication access control server. If it is not in the list, it has not been authenticated by the network authentication access control server. Answer that there is.
[0026]
When the application authentication access control server receives a response indicating that it has been authenticated, the application server group does not request the information required for authentication such as a password in response to the access request originally sent from the user terminal. A certificate certifying that the user has the right to access is sent to the user terminal. When a response indicating unauthenticated is received from the network authentication access control server, the application server group is requested only when the user requests the information required for authentication such as password in response to the original access request and the authentication is successful. A certificate certifying that the user has the right to access is sent to the user terminal.
[0027]
After that, if the user terminal tries to access the application server group in the virtual closed network, the application server confirms that the certificate issued by the application authentication access control server is attached to the access request. By doing so, it is determined that the authentication procedure has been completed, and access to the own application server is permitted.
[0028]
In this way, a user of a terminal in a private network can perform not only remote access to the virtual closed network but also secure access to a plurality of application servers in the virtual closed network by performing a single authentication procedure. It becomes possible.
[0029]
DETAILED DESCRIPTION OF THE INVENTION
Next, embodiments of the present invention will be described with reference to the drawings.
[0030]
FIG. 1 is a configuration diagram of a distributed authentication access control system according to an embodiment of the present invention.
[0031]
The distributed authentication access control system 1 includes a packet communication device 2 with an authentication function, a network authentication access control server 3, an application authentication access control server 4, a forwarding node 5, and a remote access server 6.
[0032]
The application authentication access control server 4 constitutes a virtual closed network 7 together with the application servers 8a and 8b. The packet communication device 2 with an authentication function constitutes a private network 9 together with the terminals 10a, 10b, and 10c. Assume that the users 11a, 11b, and 11c try the application servers 8a and 8b in the virtual closed network 7 from the terminals 10a, 10b, and 10c in the private network 9, respectively. Here, it is assumed that the users 11a, 11b, and 11c have access authority to any of the application servers 8a and 8b.
[0033]
2 (1), FIG. 2 (2), and FIG. 2 (3) are configuration diagrams of the packet communication device 2 with an authentication function, the network authentication access control server 3, and the application authentication access control server 4, respectively.
[0034]
The packet communication device with authentication function 2 includes a connection request reception / response unit 21, an authentication unit 22, a connection / disconnection request unit 23, an address assignment table 24, and an address search / payout / collection unit 25.
[0035]
The connection request reception / response unit 21 receives a connection request from a terminal when the terminals 10a to 10c are connected to the private network 9, and also receives a disconnection request, and returns an authentication result or the like to the terminals 10a to 10c. As shown in Table 1, the address assignment table 24 has physical identifiers (in this example, MAC (Media Access Control) addresses) of the terminals 10a, 10b, and 10c connected to the packet communication device 2 with an authentication function. ) And IP (Internet Protocol) addresses assigned to the terminals 10a, 10b, and 10c.
[0036]
[Table 1]
Figure 0003953963
[0037]
Upon receiving a connection request from the terminal, the authentication unit 22 authenticates the terminal user. If the authentication is successful, the authentication unit 22 assigns an address to the terminal and registers it in the address assignment table 24. In response to a connection request from a terminal to which an address has already been assigned in the address assignment table 24, the connection request reception / response unit 21 does not ask the authentication unit 22 for a new authentication for the user of the terminal. The connection / disconnection request unit 23 receives a communication request addressed to the virtual closed network 7 from a terminal in the private network 9 via the connection request reception / response unit 21 and transmits a connection request to the remote access server 6. At the same time, the network authentication access control server 3 is notified via the remote access server 6 of the address information already given to the terminal. The connection / disconnection request unit 23 is managed by the address assignment table 24 when a new authentication of a terminal in the private network 9 succeeds while a connection path to the virtual closed network 7 exists. The address assigned to the terminal is notified to the network authentication access control server 3 via the remote access server 6. In addition, the connection / disconnection request unit 23 is triggered by a disconnection request from a user in the private network 9 via the connection request reception / response unit 21 or a disconnection request issued autonomously from the own device. 6, a disconnection request including information on all addresses assigned to the terminals in the private network 9 is transmitted from the packet communication device 2 with an authentication function. Further, when the terminal to which the address is assigned is disconnected from the private network 9, the connection / disconnection request unit 23 invalidates the authentication of the terminal having the address with respect to the network authentication access control server 3. Notification is made via the remote access server 6. When the address search / payout / collection unit 25 succeeds in searching the address assignment table 24 and authenticating the user in the authentication unit 22, the address assignment / registration is registered in the address assignment table 24 and the address is given. When the terminal is disconnected from the private network 9, the address assigned to the terminal is collected (deleted) from the address assignment table 24.
[0038]
The network authentication access control server 3 includes an authentication request reception / response unit 31, an authentication unit 32, a connection path setting / deletion unit 33, a network authentication state table 34, an address issue / collection unit 35, and an authentication state response unit 36. .
[0039]
As shown in Table 2, the network authentication status table 34 is prepared for each virtual closed network, and is a terminal that makes a connection request to the network authentication access control server 3 via the remote access server 6 or a packet communication device with an authentication function (here, authentication). An authentication state indicating whether or not the function-equipped packet communication apparatus 2) is connected to the virtual closed network 7, and if it is connected, is paid out to the terminal or the packet communication apparatus 2 with the authentication function The IP address information and the IP address information given to the subordinate terminal by the packet communication device with an authentication function when the connection request is made to the packet communication device with the authentication function are managed.
[0040]
[Table 2]
Figure 0003953963
[0041]
The connection request reception / response unit 31 receives a connection request for the virtual closed network 7 from the packet communication device 2 with an authentication function via the remote access server 6 together with information necessary for authentication, and also has an authentication function via the remote access server 6. An authentication result and an IP address are returned to the packet communication apparatus 2. Further, the connection request reception / response unit 31 receives a disconnection request from the remote access server 6. When the connection request is received by the connection request reception / response unit 31, the authentication unit 32 authenticates the user by using the information necessary for the received authentication. The connection path setting / deleting unit 33 sets a route addressed to an address given to a terminal in the private network 9 in the forwarding node 5 when the authentication in the authenticating unit 32 is successful. The authentication status response unit 36 receives the information of the source address of the terminal that has requested access to the application server in the virtual closed network 7 via the application authentication access control server 4 and is notified from the packet communication device 2 with an authentication function. The authentication status of the user is determined based on whether the address matches the address in the network authentication status table 34, and the authentication status is returned to the application authentication access control server 4. When the terminal is disconnected from the private network 9, the address issue / collection unit 35 receives the address assigned to the disconnected terminal from the authentication function packet communication device 2 via the authentication request reception / response unit 31. Then, the authentication of the connection to the packet communication apparatus 2 with the authentication function of the terminal in the network authentication state table 34 is invalidated. At this time, the authentication status response unit 36 notifies the application authentication access control server 4 of the address information assigned to the terminal, and the connection path setting / deleting unit 33 has been set in the forwarding node 5. In addition, the route addressed to the address assigned to the terminal is deleted. When the authentication request reception / response unit 31 receives a notification from the remote access server 6 that the connection between the packet communication device 2 with an authentication function in the private network 9 and the remote access server 6 has been disconnected, The connection path setting / deleting unit 33 deletes the connection path between the packet communication device 2 with the authentication function and the virtual closed network 7 to which it is connected, and the address issuing / collecting unit 35 is connected to the network authentication state table 34. The authentication of the packet communication device with the authentication function managed in step (3) is collected (invalidated), and the authentication for all the terminals connected to the packet communication device with the authentication function is invalidated. Does not authenticate the user of the terminal connected to the packet communication apparatus with the authentication function to the application authentication access control server 4. Information of all addresses given by the packet communication apparatus with authentication function 2 is notified, and the connection path setting / deleting unit 33 pays out to the terminal in the private network 9 that has been set in the forwarding node 5 Delete the route to the already-addressed address.
[0042]
The application authentication access control server 4 includes an access request reception / response unit 41, a transmission source address extraction unit 42, an authentication state inquiry unit 43, and an access permission determination unit 44.
[0043]
The access request reception / response unit 41 receives a request for access to the application server group from the user of the terminal via the transfer node 5, and is necessary for authentication of a user such as a password for an unauthenticated terminal. Request information. When the access request reception / response unit 41 receives the access request, the transmission source address extraction unit 42 extracts the transmission source address of the packet from the terminal that has transmitted the access request. The authentication status inquiry unit 43 sends the extracted source address to the network authentication access control server 3 to inquire about the authentication status of the user, and receives a response indicating the authentication status from the network authentication access control server 3. When receiving an authenticated response from the network authentication access control server 3, the access permission determination unit 44 accepts / responds to an access request without requesting the user terminal for information necessary for user authentication such as a password. When access to the application server group is permitted via the unit 41 and an unauthenticated response is received from the network authentication access control server 3, a password or the like is given to the user terminal via the access request reception / response unit 41 Requests information required for user authentication and permits access to the application server group only when the authentication is successful. Further, the access permission determination unit 44 invalidates authentication for a specific user in accordance with an instruction from the network authentication access control server 3.
[0044]
Next, according to the sequence diagrams shown in FIGS. 3, 4 and 5, the packet communication device with authentication function 2, the network authentication access control server 3, and the application authentication access control server 4 use the terminals 10a and 10b in the private network 9. , 10c, the virtual closed network 7 is accessed by a one-time authentication procedure from the users 11a, 11b, and 11c, and single sign-on for the application servers 8a and 8b in the virtual closed network 7 is realized. A series of processing will be described.
[0045]
When the terminal 10a attempts a connection request to the private network 9 (step 101), user authentication is first performed between the terminal 10a and the authentication unit 22 of the packet communication device 2 with an authentication function (step 102). If this authentication is successful, the address search / payout / collection unit 25 of the packet communication apparatus 2 with the authentication function gives the terminal 10a an IP address for communication within the private network 9, and the terminal 10a A set of the MAC address and the IP address assigned here is stored in the address assignment table 24 (step 103). After this, if another terminal 10b also requests connection to the private network 9, the authentication procedure is performed in the same manner as for the terminal 10a to give an IP address, and the MAC address of the terminal 10b and the terminal 10b are given. The set of IP addresses thus added is added to the address assignment table 24 (steps 104 to 106).
[0046]
In this state, when the terminal 10a makes an access request to an application server (for example, the application server 8a) in the virtual closed network 7 (step 107), the connection / disconnection request unit of the packet communication apparatus 2 with an authentication function is received in response to the request. 23 issues a connection request to the virtual closed network 7 to the remote access server 6 via the telephone network, and transmits information (here, ID and password) necessary for connection authentication to the virtual closed network 7 (steps). 108). The remote access server 6 transfers the received ID and password to the network authentication access control server 3 and requests authentication (step 109). The authentication unit 32 of the network authentication access control server 3 authenticates the packet communication device 2 with an authentication function based on the received ID and password information. If the authentication is successful, the address issue / collection unit 35 performs the authentication function. An IP address for communication with the virtual closed network 7 is issued to the attached packet communication apparatus 2 and recorded in the network authentication state table 34. Then, the authentication request reception / response unit 31 and the connection path setting / deleting unit 33 set a connection path to the virtual closed network 7 for the remote access server 6 and the forwarding node 5 (step 110). Then, the authentication request reception / response unit 31 transmits the authentication result and the issued IP address to the packet communication device with authentication function 2 (steps 111 and 112). In response to this, the connection request acceptance / response unit 21 of the packet communication device 2 with the authentication function uses the IP address of the private network terminal (here, the terminals 10a and 10b) registered in the address assignment table 24 as the network authentication access control server. 3 (step 113). The address issuing / collecting unit 35 of the network authentication access control server 3 registers the received IP addresses of the terminals 10 a and 10 b in the network authentication state table 34, and the connection path setting / deleting unit 33 sends the terminal 10 a to the forwarding node 5. And 10b are set (step 114), and the authentication request reception / response unit 31 notifies the packet communication device 2 with an authentication function of the completion of registration (step 115).
[0047]
Since the packet communication device 2 with the authentication function and the terminals 10a and 10b connected under the processing are connected to the virtual closed network 7 by the processing so far, the users 11a and 11b perform some work, so that the application server ( Here, it is assumed that an access request is transmitted to the application server 8a) (step 116). Here, the terminal 10a will be described as an example. At the time of step 116, since the terminal 10a does not have a certificate indicating that it has an access right to the application server 8a, the application server 8a confirms that the certificate is not attached to the access request (step 117). ), An instruction is transmitted to the terminal 10a to redirect the access request to the application authentication access control server 4 (step 118).
[0048]
Based on this, when the access request is transferred from the terminal 10a to the application authentication access control server 4 (step 119), the transmission source address extraction unit 42 of the application authentication access control server 4 transmits the transmission source of the received access request packet. The address is extracted, and the address information is transmitted from the authentication status inquiry unit 43 to the network authentication access control server 3 so that the user (user 11a) who has transmitted the access request is authenticated by the network authentication access control server 3. An inquiry is made as to whether it has been completed (step 120).
[0049]
The address issuing / collecting unit 35 of the network authentication access control server 3 searches the network authentication status table 34 of the virtual closed network 7 and determines whether the address received from the application authentication access control server 4 is registered as authenticated. Then, the result is transmitted from the authentication request acceptance / response unit 31 to the application authentication access control server 4 (step 121). If it has been authenticated, the access permission determination unit 44 of the application authentication access control server 4 issues a certificate indicating that the authentication is successful to the terminal 10a, and accesses it as an access response to the terminal 10a. It returns from the request reception / response unit 41 (step 122).
[0050]
As a result, when the terminal 10a makes an access request to the application server 8a again (step 123), the application server 8a detects that the access request has a certificate and responds to the access request (step 124). .
[0051]
After this, it becomes possible to access another application server (application server 8b in the present embodiment) to which the user 11a has access authority without requiring another authentication procedure.
[0052]
Further, by executing the procedure corresponding to steps 113 to 121 for the user 11b of the terminal 10b, authentication is again performed for the application server group to which the user 11b has access authority in the virtual closed network 7. Access is possible without requiring procedures.
[0053]
Next, referring to FIG. 5, the flow of processing when a terminal (here, the terminal 10c) is newly connected in the private network 9 after the packet communication device with authentication function 2 is connected to the virtual closed network 7 will be described. . When the terminal 10c newly tries to connect to the private network 9 (step 125), user authentication is performed in the same manner as the terminals 10a and 10b (step 126), and an IP address is assigned if authentication is successful (step 126). 127). Since the packet communication device 2 with the authentication function has already completed the connection to the virtual closed network 7, at this point of time, the network authentication access control server 3 is notified of the connection of the terminal 10c, and the assigned IP address Is transmitted (step 128). In the network authentication access control server 3, the IP address assigned to the terminal 10 c by the packet communication device 2 with the authentication function is registered in the network authentication state table 34, and a route addressed to the terminal 10 c is set for the forwarding node 5 (step) 129). Then, the registration completion of the terminal 10c is notified to the packet communication device 2 with the authentication function (step 130). As a result, the user 11c of the terminal 10c is not required to perform an authentication procedure for the application server group in the virtual closed network 7 again by following the procedure corresponding to steps 113 to 121 for the terminal 10c. Access is possible.
[0054]
Next, a series of processing for invalidating authentication will be described with reference to the sequence diagrams shown in FIGS.
[0055]
First, the case where the terminal 10c is disconnected from the private network 9 while the connection between the packet communication device 2 with the authentication function and the virtual closed network 7 is maintained will be described. When the packet communication device 2 with an authentication function detects disconnection of the terminal 10c from the private network 9 due to reception of an address release notification from the terminal 10c or disconnection of an address use period update request (step 131), an address search / payout / collection unit 25 collects the IP address assigned to the terminal 10c from the address assignment table 24 and invalidates the entry in the address assignment table 24 (step 132). Next, the connection / disconnection request unit 23 transmits the IP address assigned to the terminal 10c to the network authentication access control server 3 to notify the disconnection (step 133). In response to this, the authentication status response unit 36 of the network authentication access control server 3 transmits a logout request of the user 11c to the application authentication access control server 4 (step 134). The access permission determination unit 44 of the application authentication access control server 4 invalidates the authentication of the user 11c with respect to the application server group (in this embodiment, the application servers 8a and 8b) (step 135), and sends a logout completion notification to the authentication status query. The data is transmitted from the unit 43 to the network authentication access control server 3 (step 136). In response to this, the address issuing / collecting unit 35 of the network authentication access control server 3 deletes the registration of the IP address of the terminal 10c from the network authentication state table 34, and deletes the route addressed to the terminal 10c with respect to the forwarding node 5. (Step 137), the authentication request acceptance / response unit 31 transmits a disconnection completion notice of the terminal 10c to the packet communication device 2 with an authentication function (Step 138).
[0056]
Furthermore, the processing when the connection line between the packet communication device with authentication function 2 and the remote access server 6 is disconnected will be described with reference to FIG. When the remote access server 6 detects disconnection of the line with the packet communication device 2 with authentication function (step 139), the remote access server 6 notifies the network authentication access control server 3 of disconnection of the packet communication device 2 with authentication function. (Step 140). In response to this, the authentication status response unit 36 of the network authentication access control server 3 transmits a logout request of the user 11a to the application authentication access control server 4 (step 141). The access permission determination unit 44 of the application authentication access control server 4 invalidates the authentication of the user 11a with respect to the application server group (in this embodiment, the application servers 8a and 8b) (step 142), and accepts a logout completion notification as an access request. / The response unit 41 transmits to the network authentication access control server 3 (step 143). Similarly, the application authentication access control server 4 is requested to log out the user 11b of the terminal 10b (steps 144 to 146).
[0057]
Then, the address issuing / collecting unit 35 of the network authentication access control server 3 collects the IP address that has been issued to the packet communication device 2 with the authentication function, and the entry related to the packet communication device 2 with the authentication function from the network authentication state table 34. The connection path setting / deleting unit 33 deletes the route addressed to the packet communication device 2 with the authentication function and its subordinate terminals (in this example, the terminals 10a and 10b) from the remote access server 6 and the forwarding node 5. Then, a disconnection completion notice is transmitted from the authentication request reception / response unit 31 to the remote access server 6 (step 148).
[0058]
Note that the packet communication device with authentication function 2, the network authentication access control server 3, and the application authentication access control server 4 are computer-readable programs for realizing their functions, in addition to those realized by dedicated hardware. The program may be recorded on a recording medium, read into the computer system, and executed by the computer system. The computer-readable recording medium refers to a recording medium such as a floppy disk, a magneto-optical disk, a CD-ROM, or a storage device such as a hard disk device built in the computer system. Furthermore, a computer-readable recording medium is a server that dynamically holds a program (transmission medium or transmission wave) for a short period of time, as in the case of transmitting a program via the Internet, and a server in that case. Some of them hold programs for a certain period of time, such as volatile memory inside computer systems.
[0059]
【The invention's effect】
As described above, according to the present invention, in a distributed authentication access control system that realizes remote access from a private network to a virtual closed network, a terminal in the private network can access a packet communication device with an authentication function. By authenticating access to the application server in the virtual closed network with this authentication, it is possible to efficiently operate while maintaining security by performing only one authentication procedure for the terminal user in the private network. There is an effect that can be carried out.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of a distributed authentication access control system according to an embodiment of the present invention.
2 is a configuration diagram of a packet communication device with an authentication function 2, a network authentication access control server 3, and an application authentication access control server 4 in FIG.
FIG. 3 shows a series of steps for accessing the virtual closed network 7 by a one-time authentication procedure from the user terminals 10a to 10b and realizing single sign-on for the application servers 8a and 8b in the virtual closed network 7. It is a sequence diagram which shows a process.
FIG. 4 is a series of steps for accessing the virtual closed network 7 by a one-time authentication procedure from the user terminals 10a to 10b and realizing single sign-on for the application servers 8a and 8b in the virtual closed network 7. It is a sequence diagram which shows a process.
FIG. 5 is a series of steps for accessing the virtual closed network 7 by a one-time authentication procedure from the user terminals 10a to 10b and realizing single sign-on for the application servers 8a and 8b in the virtual closed network 7. It is a sequence diagram which shows a process.
FIG. 6 is a sequence diagram showing a series of processes for invalidating authentication.
FIG. 7 is a sequence diagram showing a series of processes for invalidating authentication.
[Explanation of symbols]
1 Distributed authentication access control system
2 Packet communication device with authentication function
3 Network authentication access control server
4 Application authentication access control server
5 Forwarding node
6 Remote access server
7 Virtual closed network
8a, 8b Application server
9 Private network
10a, 10b, 10c terminal
11a, 11b, 11c users
21 Connection request reception / response section
22 Authentication Department
23 Connection / disconnection request section
24 Address assignment table
25 Address Search / Payout / Recovery Department
31 Authentication request acceptance / response section
32 Authentication Department
33 Connection path setting / deleting section
34 Network authentication status table
35 Address issue / collection department
36 Authentication status response part
41 Access request reception / response section
42 Source address extraction unit
43 Authentication status inquiry section
44 Access permission judgment part
101-148 steps

Claims (6)

私設網内における公衆網への出口に設置され、該私設網内の利用者からの要求に基づき、前記公衆網を経由してリモートアクセスサーバに対して接続要求を送信することで、前記私設網と遠隔にある仮想閉域網とを接続し、前記私設網内にある端末から前記仮想閉域網内に設置されるアプリケーションサーバとの間の通信を実現する認証機能付きパケット通信装置であって、
前記私設網内の端末からの接続要求を受けて、端末利用者の認証を行なう手段と、
認証に成功した場合にその端末にアドレスを付与する手段と、
前記私設網内の端末に付与したアドレスを管理する手段と、
前記私設網内の端末に付与したアドレスとして既に記録されているアドレスを持つ端末からの接続要求に対しては、その端末の利用者に対して改めて認証を求めないようにする手段と、
前記私設網内の端末から前記仮想閉域網宛ての通信要求を受けて、前記リモートアクセスサーバに対して接続要求を送信する手段と、
前記リモートアクセスサーバへの接続要求時に、その時点までに該認証機能付きパケット通信装置から前記私設網内の端末に付与済みのアドレスの情報をネットワーク認証アクセス制御サーバに通知する手段と、
前記仮想閉域網との間の接続パスが存在している間に新たに前記私設網内の端末の認証が成功した場合に、当該端末に付与したアドレスを前記ネットワーク認証アクセス制御サーバに通知する手段と
を有する認証機能付きパケット通信装置。The private network is installed at the exit to the public network in the private network, and transmits a connection request to the remote access server via the public network based on a request from a user in the private network. A packet communication device with an authentication function that realizes communication between a terminal in the private network and an application server installed in the virtual closed network.
Means for receiving a connection request from a terminal in the private network and authenticating a terminal user;
Means for assigning an address to the terminal if the authentication is successful;
Means for managing addresses assigned to terminals in the private network;
In response to a connection request from a terminal having an address that is already recorded as an address assigned to a terminal in the private network, a means for preventing the user of the terminal from requesting authentication again;
Means for receiving a communication request addressed to the virtual closed network from a terminal in the private network and transmitting a connection request to the remote access server;
Means for notifying the network authentication access control server of information on addresses already assigned to the terminals in the private network from the packet communication device with authentication function up to that time when requesting connection to the remote access server;
Means for notifying the network authentication access control server of the address assigned to the terminal when authentication of the terminal in the private network is newly succeeded while a connection path to the virtual closed network exists And a packet communication device with an authentication function. 前記私設網内の利用者からの切断要求、もしくは自装置から自律的に発する切断要求を契機として、前記リモートアクセスサーバに対して、該認証機能付きパケット通信装置から前記私設網内の端末に付与した全アドレスの情報を含んだ切断要求を送信する手段と、
アドレスを付与した端末が私設網から切り離された場合に、当該端末用に付与したアドレスを無効にするとともに、前記ネットワーク認証アクセス制御サーバに対して当該アドレスを持つ端末の認証を無効にするように通知する手段と
をさらに有する、請求項1に記載の認証機能付きパケット通信装置。Granted from the packet communication device with authentication function to the terminal in the private network to the remote access server, triggered by a disconnection request from a user in the private network or a disconnection request issued autonomously from the own device Means for transmitting a disconnection request including information on all addresses,
When the terminal to which the address is assigned is disconnected from the private network, the address assigned for the terminal is invalidated and the authentication of the terminal having the address is invalidated to the network authentication access control server The packet communication device with an authentication function according to claim 1, further comprising means for notifying. 私設網内に設置された認証機能付きパケット通信装置から仮想閉域網への接続要求を、リモートアクセスサーバを介して受信し、該リモートアクセスサーバと転送ノードを制御して該私設網と該仮想閉域網との間の接続パスを設定し、前記私設網内の端末と前記仮想閉域網内のアプリケーションサーバとの間の通信を実現するネットワーク認証アクセス制御サーバであって、
前記私設網内の認証機能付きパケット通信装置の、前記仮想閉域網への接続認証の認証状態と、前記認証機能付きパケット通信装置に払い出したアドレスを管理する手段と、
前記私設網内の端末の、前記認証機能付きパケット通信装置への接続の認証状態を、前記認証機能付きパケット通信装置から通知された、認証成功時に当該端末に付与されたアドレスの情報をもって管理する手段と、
前記私設網内の端末に付与されたアドレス宛ての経路を転送ノードに設定する手段と、
前記仮想閉域網内のアプリケーションサーバにアクセス要求を行なった端末の送信元アドレスの情報をアプリケーション認証アクセス制御サーバ経由で受信し、前記認証機能付きパケット通信装置から通知されているアドレスと一致するかどうかで当該利用者の認証状態を判断し、前記アプリケーション認証アクセス制御サーバに認証状態を応答する手段と、
を有するネットワーク認証アクセス制御サーバ。A connection request to the virtual closed network from the packet communication device with an authentication function installed in the private network is received via the remote access server, and the remote access server and the forwarding node are controlled to control the private network and the virtual closed network. A network authentication access control server that establishes a connection path between networks and realizes communication between a terminal in the private network and an application server in the virtual closed network,
Means for managing the authentication status of connection authentication to the virtual closed network of the packet communication device with an authentication function in the private network, and the address paid out to the packet communication device with the authentication function;
The authentication status of the connection of the terminal in the private network to the packet communication device with authentication function is managed from the information of the address given to the terminal when the authentication is successful, notified from the packet communication device with authentication function Means,
Means for setting a route addressed to an address assigned to a terminal in the private network in a forwarding node;
Whether or not the information of the source address of the terminal that has made an access request to the application server in the virtual closed network is received via the application authentication access control server and matches the address notified from the packet communication device with authentication function Means for determining the authentication status of the user and responding the authentication status to the application authentication access control server;
A network authentication access control server. 端末が前記私設網から切断された場合に、前記認証機能付きパケット通信装置から切断された端末に付与されていたアドレスの情報を受信し、その端末の前記認証機能付きパケット通信装置への接続の認証を無効にする手段と、
同じ契機で、前記アプリケーション認証アクセス制御サーバに対して、当該端末に付与されていたアドレスの情報を通知する手段と、
同じ契機で、転送ノードに設定済みであった、当該端末に付与されていたアドレス宛ての経路を削除する手段と、
前記私設網内の認証機能付きパケット通信装置と前記リモートアクセスサーバとの間の接続が切断されたことを前記リモートアクセスサーバから通知を受けたことを契機に、該認証機能付きパケット通信装置とそれが接続していた仮想閉域網との間の接続パスを削除する手段と、
同じ契機で、前記ネットワーク認証アクセス制御サーバ内で管理している、該認証機能付きパケット通信装置の認証を無効にする手段と、
同じ契機で、該認証機能付きパケット通信装置に接続されている全ての端末に対する認証を無効にする手段と、
同じ契機で、前記アプリケーション認証アクセス制御サーバに対して、該認証機能付きパケット通信装置が付与した全てのアドレスの情報を通知する手段と、
同じ契機で、前記転送ノードに設定済みであった、前記私設網内の端末に払い出し済みのアドレス宛ての経路を削除する手段と、
をさらに有する、請求項3に記載のネットワーク認証アクセス制御サーバ。When the terminal is disconnected from the private network, the terminal receives information on the address assigned to the disconnected terminal from the packet communication apparatus with authentication function, and connects the terminal to the packet communication apparatus with authentication function. Means to disable authentication,
At the same opportunity, means for notifying the application authentication access control server of the address information given to the terminal,
At the same time, a means for deleting the route addressed to the address that has been set in the forwarding node and addressed to the terminal,
Upon receiving notification from the remote access server that the connection between the packet communication device with authentication function in the private network and the remote access server has been disconnected, the packet communication device with authentication function and Means for deleting a connection path with the virtual closed network to which
At the same time, means for invalidating the authentication of the packet communication device with an authentication function managed in the network authentication access control server,
At the same opportunity, means for invalidating authentication for all terminals connected to the packet communication device with authentication function;
At the same opportunity, means for notifying the application authentication access control server of all address information given by the packet communication device with the authentication function,
At the same time, means for deleting the route addressed to the address that has been set up in the forwarding node and that has been paid out to the terminal in the private network;
The network authentication access control server according to claim 3, further comprising: 請求項1または2に記載の認証機能付きパケット通信装置と、請求項3または4に記載のネットワーク認証アクセス制御サーバと、仮想閉域網内に設置されて、利用者からの一度の認証によって、仮想閉域網内にある複数のアプリケーションサーバに対するアクセス時の認証を実現するアプリケーション認証アクセス制御サーバと、転送ノード、および、リモートアクセスサーバとから構成され、A packet communication device with an authentication function according to claim 1, a network authentication access control server according to claim 3 or 4, and a virtual communication network that is installed in a virtual closed network and is authenticated once by a user. It consists of an application authentication access control server that realizes authentication when accessing multiple application servers in a closed network, a forwarding node, and a remote access server,
前記アプリケーション認証アクセス制御サーバは、  The application authentication access control server is
端末の利用者からのアプリケーションサーバ群へのアクセス要求を受信した際に、アクセス要求を送信してきた利用者端末からのパケットの送信元アドレスを抽出し、該送信元アドレスをネットワーク認証アクセス制御サーバに送ることで該利用者の認証状態を問い合わせる手段と、  When a terminal user receives an access request to the application server group, the source address of the packet from the user terminal that has transmitted the access request is extracted, and the source address is stored in the network authentication access control server. Means for inquiring the user's authentication status by sending;
前記ネットワーク認証アクセス制御サーバから認証済みの応答を受けた場合に、該利用者端末に対して利用者の認証に必要な情報を要求することなく、アプリケーションサーバ群へのアクセスを許可する手段と、  Means for permitting access to the application server group without requesting information required for user authentication to the user terminal when an authenticated response is received from the network authentication access control server;
前記ネットワーク認証アクセス制御サーバから未認証の応答を受けた場合に、該利用者端末に対して利用者の認証に必要な情報を要求し、認証に成功した場合に限りアプリケーションサーバ群へのアクセスを許可する手段と、  When an unauthenticated response is received from the network authentication access control server, the user terminal is requested for information necessary for user authentication, and access to the application server group is performed only when the authentication is successful. Means to allow,
を有する分散型認証アクセス制御システム。  A distributed authentication access control system. 前記アプリケーション認証アクセス制御サーバは、前記ネットワーク認証アクセス制御サーバからの指示に従って特定の利用者に対する認証を無効にする手段をさらに有する、請求項5記載の分散型認証アクセス制御システム。6. The distributed authentication access control system according to claim 5, wherein the application authentication access control server further includes means for invalidating authentication for a specific user in accordance with an instruction from the network authentication access control server.
JP2003030674A 2003-02-07 2003-02-07 Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system Expired - Fee Related JP3953963B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003030674A JP3953963B2 (en) 2003-02-07 2003-02-07 Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003030674A JP3953963B2 (en) 2003-02-07 2003-02-07 Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system

Publications (2)

Publication Number Publication Date
JP2004240819A JP2004240819A (en) 2004-08-26
JP3953963B2 true JP3953963B2 (en) 2007-08-08

Family

ID=32957495

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003030674A Expired - Fee Related JP3953963B2 (en) 2003-02-07 2003-02-07 Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system

Country Status (1)

Country Link
JP (1) JP3953963B2 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101160839B (en) * 2005-03-11 2013-01-16 富士通株式会社 Access control method, access control system and packet communication apparatus
JP4575836B2 (en) * 2005-05-16 2010-11-04 株式会社ナカヨ通信機 Relay server
JP5374090B2 (en) 2008-08-13 2013-12-25 株式会社日立製作所 Authentication cooperation system, terminal device, storage medium, authentication cooperation method, and authentication cooperation program
WO2011089712A1 (en) * 2010-01-22 2011-07-28 富士通株式会社 Authentication method, authentication system, and authentication program
JP6027069B2 (en) * 2014-09-18 2016-11-16 富士フイルム株式会社 VPN access control system, its operating method and program, and VPN router and server
JP6868066B2 (en) * 2019-09-02 2021-05-12 ビッグローブ株式会社 Authentication system, authentication method and program

Also Published As

Publication number Publication date
JP2004240819A (en) 2004-08-26

Similar Documents

Publication Publication Date Title
JP3869392B2 (en) User authentication method in public wireless LAN service system and recording medium storing program for causing computer to execute the method
CN102104592B (en) Session migration between network policy servers
JP4023240B2 (en) User authentication system
JP5239341B2 (en) Gateway, relay method and program
US20050160477A1 (en) Communication system using home gateway and access server for preventing attacks to home network
WO2007131415A1 (en) System and method to manage home network
JP2005339093A (en) Authentication method, authentication system, authentication proxy server, network access authenticating server, program, and storage medium
JPWO2004105333A1 (en) Secure virtual private network
WO2008022589A1 (en) A system and method for authenticating the accessing request for the home network
WO2020083288A1 (en) Safety defense method and apparatus for dns server, and communication device and storage medium
CN112019434B (en) WEB centralized management method and device for networking equipment
WO2010003354A1 (en) An authentication server and a control method for the mobile communication terminal accessing the virtual private network
US20100030346A1 (en) Control system and control method for controlling controllable device such as peripheral device, and computer program for control
WO2006058493A1 (en) A method and system for realizing the domain authentication and network authority authentication
WO2008034355A1 (en) The method, device and system for network service authenticating
KR100763131B1 (en) Access and Registration Method for Public Wireless LAN Service
WO2010000157A1 (en) Configuration method, device and system for access device
WO2007138663A1 (en) Network access control method, network access control system, authentication device, access control device, proxy request device, and access request device
WO2005076563A1 (en) A method for the direct communication between the operation maintenance client-side and the remote devices
JP3953963B2 (en) Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system
JP3863441B2 (en) Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program
JP2013517718A (en) Method and system for accessing a network in a public facility
JP4152753B2 (en) Network authentication access control server, application authentication access control server, and integrated authentication access control system
JP4149745B2 (en) Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program
JP2003273868A (en) Authentication access control server device, gateway device, authentication access control method, gateway control method, authentication access control program and recording medium with the program stored, and gateway control program and recording medium with the program stored

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050125

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050617

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070131

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070323

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070418

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070425

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100511

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110511

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120511

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees