JP4149745B2 - Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program - Google Patents
Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program Download PDFInfo
- Publication number
- JP4149745B2 JP4149745B2 JP2002177944A JP2002177944A JP4149745B2 JP 4149745 B2 JP4149745 B2 JP 4149745B2 JP 2002177944 A JP2002177944 A JP 2002177944A JP 2002177944 A JP2002177944 A JP 2002177944A JP 4149745 B2 JP4149745 B2 JP 4149745B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- content
- access
- access control
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、コネクションレス型通信網上に構築された仮想閉域網に遠隔地からリモートアクセスするための認証を行ない、利用者端末の仮想閉域網への接続を実現すると同時に、仮想閉域網内にあって当該利用者がアクセス権限を有している複数のサーバ上のコンテンツへのアクセスに対する認証について一括して行う認証アクセス制御サーバ装置と、その認証アクセス制御サーバ装置で実行される認証アクセス制御方法と、その認証アクセス制御方法の実現に用いられる認証アクセス制御プログラムと、その認証アクセス制御プログラムを記録したコンピュータ読み取り可能な記録媒体とに関する。
【0002】
【従来の技術】
従来、企業通信網など特定の対地のみを接続する閉域網を構築するために、仮想閉域網が導入されている。コネクションレス型通信網における仮想閉域網は、伝送路、転送ノードを共有するのみならず、論理パス、論理回線も共有して、セキュリティを確保した転送制御がなされている。
【0003】
また、仮想閉域網は特定の対地のみを接続するのではなく、特定の端末、または特定の利用者からのリモートアクセスを受け付けることができるようになっている。例えば、社員の自宅の端末から電話網あるいはADSL網等を経由して企業の仮想閉域網にアクセスし、会社のホストコンピュータに接続することができる。電話網等と仮想閉域網との間にリモートアクセスサーバが設置されており、端末は、ダイアルアップ等でリモートアクセスサーバに接続し、仮想閉域網にアクセスすることが行なわれている。
【0004】
リモートアクセスサーバと仮想閉域網とを接続する転送ノードと、リモートアクセスサーバと転送ノードとを制御する閉域網群制御サーバとを備え、複数の仮想閉域網の利用者が共用している。
【0005】
本出願人は、先に出願した特願2000-380838(公開されていない)で、リモートアクセスサーバと転送ノードとの間の物理回線を複数の仮想閉域網が利用可能にすることで、設備の利用効率を向上させるという発明を出願した。
【0006】
この先願発明では、利用者からの接続要求に基づいて、リモートアクセスサーバは、仮想閉域網毎に仮想ルータ(以下、VR:Virtual Routerと表記)を割り当て、VRを1本の物理回線に接続するようにしている。そして、利用者からの切断を契機に、リモートアクセスサーバは、VRを開放し、他の仮想閉域網の利用者に割り当てるようにしている。
【0007】
一方、本出願人は、先に出願した特願2002-71277(公開されていない)で、仮想閉域網に代表される通信網への接続環境が整っていることを前提として、通信網上に接続されている複数のサーバ上のコンテンツへのアクセスを一度の認証で可能にする(以下、シングルサインオンと表記)方法として、網内に認証アクセス制御サーバ装置とゲートウェイ装置とを設置するという発明を出願した。
【0008】
この先願発明では、図11に示すように、従来のリバース・プロキシ型の認証アクセス制御サーバからゲートウェイ機能を切り出すことで、アドレスとポート番号に加えて、コンテンツを識別する情報(URL等)に基づくパケットフィルタリングのハードウェア処理が可能な専用のゲートウェイ装置と、認証制御を行う認証アクセス制御サーバ装置とに分離し、ゲートウェイ装置の通過を許可するエントリが設定されていないサーバ宛てのアクセス要求のみを認証アクセス制御サーバ装置に転送することで、認証アクセス制御サーバ装置への負荷の集中を回避できることを特徴としている。
【0009】
【発明が解決しようとする課題】
仮想閉域網に利用者が遠隔地からアクセスする場合は、通常、仮想閉域網に接続した後、何らかの業務を行うために、その仮想閉域網内のサーバにアクセスすることが考えられる。
【0010】
このとき、一旦仮想閉域網に接続した後は、先願発明である特願2002-71277を適用することにより、仮想閉域網内のサーバ上のコンテンツへのシングルサインオンが可能であるが、仮想閉域網自体へのアクセスに対しては、別に認証が必要であるため、利用者がリモートアクセスにより仮想閉域網内のサーバへアクセスするためには二度以上の認証が必要となり、シングルサインオンとしては不十分であるという問題がでる。
【0011】
本発明は、このような問題に鑑みてなされたものであり、仮想閉域網へのリモートアクセスにおいて、仮想閉域網へのアクセス時に一度認証を行うだけで、セキュリティ強度を損なうことなく、その仮想閉域網内にあって利用者がアクセス権限を持つサーバ上のコンテンツに対してさらなる認証手順を踏む必要のないシステムを実現することをその目的とする。
【0012】
【課題を解決するための手段】
本発明の認証アクセス制御サーバ装置は、認証アクセス制御サーバ装置とゲートウェイと転送ノードとリモートアクセスサーバとで構成されて、利用者端末がリモートアクセスサーバおよび転送ノードを介して遠隔地から仮想閉域網に接続した上で、利用者端末から発行される仮想閉域網内のコンテンツへのアクセス要求を認証する認証アクセス制御システムで用いられる。
【0013】
本発明の認証アクセス制御サーバ装置は、自装置と仮想閉域網に対応付けて設けられるゲートウェイ装置とで構成され、利用者端末から発行される仮想閉域網内のコンテンツへのアクセス要求を認証するシステムで用いられるときに、本発明を実現するために、(1)ゲートウェイ装置にコンテンツへのアクセス要求の許可を示すエントリ情報が設定されていないことで、そのアクセス要求がゲートウェイ装置から転送されてくる場合に、そのアクセス要求を受け取る受取手段と、(2)利用者端末から、仮想閉域網への接続要求がある場合に、利用者端末からその接続に必要となる認証情報を取得して、それに基づいて、仮想閉域網への接続要求を認証する第1の認証手段と、(3)第1の認証手段にて仮想閉域網への接続要求の認証が成功した場合に、その認証でもってアクセス要求の認証を行ったものと見なされるコンテンツ群配下のコンテンツの内の、認証機能を持たないサーバの保有するコンテンツを特定する第1の特定手段と、(4)仮想閉域網接続要求元の利用者端末から第1の特定手段の特定したコンテンツへのアクセス許可を示すエントリ情報を、ゲートウェイ装置に設定する第1の設定手段と、(5)利用者端末から、第1の認証手段による認証でもってアクセス要求の認証を行ったものと見なされないコンテンツ群に属するいずれかのコンテンツへの初回のアクセス要求がある場合に、利用者端末からそのアクセスに必要となるシングルサインオン用の認証情報を取得して、それに基づいて、そのコンテンツ群へのアクセス要求を認証する第2の認証手段と、(6)第2の認証手段にてコンテンツ群へのアクセス要求の認証が成功した場合に、そのコンテンツ群配下のコンテンツの内の、認証機能を持たないサーバの保有するコンテンツを特定する第2の特定手段と、(7)コンテンツアクセス要求元の利用者端末から第2の特定手段の特定したコンテンツへのアクセス許可を示すエントリ情報を、ゲートウェイ装置に設定する第2の設定手段と、(8)利用者端末からアクセス要求のあるコンテンツを保有するサーバが認証機能を持つ場合に、利用者から予め入手したそのコンテンツについての利用者の認証情報を用いて、そのサーバとアクセス認証を行う第3の認証手段と、(9)第3の認証手段にてコンテンツへのアクセス要求の認証が成功した場合に、コンテンツアクセス要求元の利用者端末からそのコンテンツへのアクセス許可を示すエントリ情報を、ゲートウェイ装置に設定する第3の設定手段とを備えるように構成する。
【0014】
この構成を採るときに、本発明の認証アクセス制御サーバ装置は、さらに、規定の状態になる場合に、ゲートウェイに設定したエントリ情報を無効化する手段を備えることがある。
【0015】
この本発明の認証アクセス制御サーバ装置が動作することで実現される認証アクセス制御方法については、具体的にはコンピュータプログラムで実現できるものであり、このコンピュータプログラムは、半導体メモリなどのような適当な記録媒体に記録して提供することができる。
【0016】
次に、このように構成される本発明の認証処理の流れの一例について説明する。
【0017】
このように構成される本発明の認証アクセス制御サーバ装置は、仮想閉域網への接続要求が発行されると、利用者端末から、その仮想閉域網への接続に必要となる認証情報を取得して、それに基づいて、仮想閉域網への接続の認証を行う。
【0018】
この認証が得られると、本発明の認証アクセス制御サーバ装置は、その認証と認証が兼用されるコンテンツ群を特定して、認証機能を持たないコンテンツサーバの保有する、そのコンテンツ群配下のコンテンツについて認証が得られたものと見なして、ゲートウェイに対して、そのコンテンツへのアクセス要求の許可を示すエントリ情報を設定する。
【0019】
これ以降、エントリ情報が設定されていることで、認証機能を持たないコンテンツサーバに保有される上記認証兼用のコンテンツ群配下のコンテンツへのアクセス要求(認証を行った利用者からのアクセス要求)については、ゲートウェイから転送されてくることはない。
【0020】
一方、利用者端末からコンテンツへのアクセス要求が発行されるときにあって、そのコンテンツにかかるエントリ情報がゲートウェイに設定されていない場合には、そのアクセス要求が本発明の認証アクセス制御サーバ装置に転送され、これを受けて、本発明の認証アクセス制御サーバ装置は、そのアクセス要求のコンテンツの属するコンテンツ群への初回のアクセス要求(利用者からの初回のアクセス要求)であるのか否かを判断して、初回のアクセス要求であることを判断するときには、利用者端末から、そのコンテンツ群の認証に必要な情報(利用者及びコンテンツ群毎に定義される情報)を取得する。
【0021】
続いて、本発明の認証アクセス制御サーバ装置は、この取得した認証に必要な情報を使ってアクセス要求コンテンツの属するコンテンツ群について認証を実行し、これにより、認証機能を持たないコンテンツサーバに保有されるそのコンテンツ群配下のコンテンツについて認証を得て、ゲートウェイに対して、そのコンテンツへのアクセス要求の許可を示すエントリ情報を設定する。
【0022】
これ以降、エントリ情報が設定されていることで、認証機能を持たないコンテンツサーバに保有されるそのコンテンツ群配下のコンテンツへのアクセス要求(認証を行った利用者からのアクセス要求)については、ゲートウェイから転送されてくることはなくなる。
【0023】
本発明の認証アクセス制御サーバ装置は、この初回のアクセス要求が認証機能を持たないコンテンツサーバに保有されるコンテンツへのアクセス要求である場合には、このエントリ情報の設定により、この初回アクセス要求におけるゲートウェイに対してのエントリ情報の設定を終了する。
【0024】
一方、本発明の認証アクセス制御サーバ装置は、この初回のアクセス要求が認証機能を持つコンテンツサーバに保有されるコンテンツへのアクセス要求である場合には、コンテンツ群についての認証が得られると、そのコンテンツサーバからの要求に応答して、そのコンテンツの認証に必要な情報(利用者及びコンテンツ毎に定義される情報であって、認証アクセス制御サーバ装置の内部で保持している)を指定して、そのコンテンツサーバに対して認証依頼を行うことでそのコンテンツについて認証を得て、ゲートウェイに対して、そのコンテンツへのアクセス要求の許可を示すエントリ情報を設定する。
【0025】
これ以降、エントリ情報が設定されていることで、そのコンテンツへのアクセス要求(認証を行った利用者からのアクセス要求)については、ゲートウェイから転送されてくることはなくなる。
【0026】
そして、初回のアクセス要求の後に発行される同一コンテンツ群配下の別のコンテンツに対するアクセス要求が転送されてくる場合には、そのコンテンツ群についての認証は既に終了しているので、そのコンテンツを保有するコンテンツサーバからの要求に応答して、そのコンテンツの認証に必要な情報(利用者及びコンテンツ毎に定義される情報であって、認証アクセス制御サーバ装置の内部で保持している)を指定して、そのコンテンツサーバに対して認証依頼を行うことでそのコンテンツについて認証を得て、ゲートウェイに対して、そのコンテンツへのアクセス要求の許可を示すエントリ情報を設定する。
【0027】
これ以降、エントリ情報が設定されていることで、そのコンテンツへのアクセス要求(認証を行った利用者からのアクセス要求)については、ゲートウェイから転送されてくることはなくなる。
【0028】
このような形でゲートウェイにエントリ情報を設定していくことで、コンテンツへのアクセス要求が本発明の認証アクセス制御サーバ装置に転送されなくなってくるが、利用者端末とコンテンツサーバとの接続関係をそのまま放置しておくことはセキュリティ上好ましいことではない。
【0029】
そこで、本発明の認証アクセス制御サーバ装置は、利用者端末が仮想閉域網から切り離された場合には、ゲートウェイに設定したその利用者端末にかかる全てのエントリ情報を無効化するように処理する。
【0030】
また、本発明の認証アクセス制御サーバ装置は、認証したコンテンツ群に対応付けて利用者端末にプログラムを送信するようにして、そのプログラムからの応答が一定時間なくなる場合には、ゲートウェイに設定したその利用者端末にかかるそのコンテンツ群配下のコンテンツについての全てのエントリ情報を無効化するように処理することがある。
【0031】
また、本発明の認証アクセス制御サーバ装置は、認証したコンテンツ群に対応付けて利用者端末にプログラムを送信するようにして、そのプログラムから認証の無効化指示が発行される場合には、ゲートウェイに設定したその利用者端末にかかるそのコンテンツ群配下のコンテンツについての全てのエントリ情報を無効化するように処理することがある。
【0032】
また、本発明の認証アクセス制御サーバ装置は、利用者端末からのアクセス要求に応答して認証したコンテンツ群についての認証から一定時間経過する場合には、ゲートウェイに設定したその利用者端末にかかるそのコンテンツ群配下のコンテンツについての全てのエントリ情報を無効化するように処理することがある。
【0033】
ここで、この無効化処理を実行するために、本発明の認証アクセス制御サーバ装置は、どのようなエントリ情報をゲートウェイに設定したのかについて記録するように処理している。
【0034】
このようにして、本発明では、仮想閉域網へのリモートアクセスを実現する場合に、認証機能とゲートウェイ機能とを分離して、ゲートウェイ機能を使って通過の許可されているコンテンツへのアクセス要求のみを通過させ、それ以外のアクセス要求については認証機能を使って認証を行ってゲートウェイ機能に通過許可を設定するという処理を行う認証機構を用意することで、仮想閉域網内のサーバ上のコンテンツに対してシングルサインオンの認証を実現するという構成を採るときにあって、仮想閉域網への接続のための認証でもって、仮想閉域網内のサーバ上のコンテンツへのアクセスの認証を兼ねるようにするという構成を採ることから、利用者は仮想閉域網内のサーバから別途認証手順を求められることなく効率的に業務を遂行できるという効果が得られる。
【0035】
【発明の実施の形態】
以下、実施の形態に従って本発明を詳細に説明する。
【0036】
図1に、本発明を実現するシステム構成の一実施形態例を図示する。
【0037】
この図に示すように、本発明を実現する認証アクセス制御システム1は、本発明により構成される認証アクセス制御サーバ装置2、ゲートウェイ3、転送ノード4、リモートアクセスサーバ5から構成されており、ゲートウェイ3はIPアドレス、ポート番号およびコンテンツのURL(Uniform Resource Locator)に基づくパケットフィルタリング機能を有している。
【0038】
この構成を採るときに、利用者7が利用者端末6から仮想閉域網8に遠隔からダイアルアップでアクセスするものとし、この仮想閉域網8内には、コンテンツサーバ9,10上にあって利用者7がアクセス権限を持つ2つのコンテンツ群11,12があり、この2つのコンテンツ群11,12へのアクセスには別々の認証を必要とし、仮想閉域網8への接続の認証でコンテンツ群11へのアクセスの認証を兼ねるものとする。
【0039】
また、コンテンツ群11はコンテンツ13,15からなり、コンテンツ群12はコンテンツ14,16からなるものとし、コンテンツサーバ9は認証機能を持ち、コンテンツサーバ10は認証機能を持たないものとする。
【0040】
認証アクセス制御サーバ装置2は、本発明に特徴的な認証処理を実行するために、仮想閉域網アクセス認証テーブル20と、コンテンツ群アクセス認証テーブル21と、コンテンツアクセス認証テーブル22とを備える。
【0041】
図2に、仮想閉域網アクセス認証テーブル20の一実施形態例を図示し、図3に、コンテンツ群アクセス認証テーブル21の一実施形態例を図示し、図4に、コンテンツアクセス認証テーブル22の一実施形態例を図示する。
【0042】
この仮想閉域網アクセス認証テーブル20は、各利用者が各仮想閉域網にリモートアクセスするにあたって必要とされる認証情報を管理するものである。
【0043】
具体的には、図2に示すように、各利用者識別番号に対応付けて、各仮想閉域網について、アクセス権を有しているのか否かということと、アクセス権を有している場合には、そのアクセスに必要な認証情報(ユーザIDとパスワードとの対データ)を管理する。
【0044】
例えば、利用者識別番号“001”の利用者7は、仮想閉域網xについてはアクセス権を有して、その認証情報はこういう値であり、一方、仮想閉域網yについてはアクセス権を有していないといったような情報を管理するのである。
【0045】
一方、コンテンツ群アクセス認証テーブル21は、仮想閉域網内で利用者毎に規定され、利用者が仮想閉域網内の各コンテンツ群にアクセスするにあたって必要とされる認証情報と、そのコンテンツ群について仮想閉域網へのログインの際の認証でもって認証が兼ねられているのか否かを示す情報と、そのコンテンツ群へのアクセスについて認証済みであるのか否かを示す情報とを管理する。
【0046】
具体的には、図3に示すように、利用者毎に、各コンテンツ群に対応付けて、そのコンテンツ群へのアクセスに必要な認証情報(ユーザIDとパスワードとの対データ)と、そのコンテンツ群について仮想閉域網へのログインの際の認証でもって認証が兼ねられているのか否かを示す情報と、そのコンテンツ群へのアクセスについて既に認証済みであるのか否かを示す情報とを管理する。
【0047】
例えば、利用者識別番号“001”の利用者7が、コンテンツ群11にアクセスするときに必要とされる認証情報はこういう値であり、コンテンツ群11へのアクセスについては仮想閉域網ログインの際の認証で兼ねられており、コンテンツ群11へのアクセスの認証については未だ行われていないといったような情報を管理するのである。
【0048】
一方、コンテンツアクセス認証テーブル22は、コンテンツ毎に規定され、そのコンテンツの所属するコンテンツ群の識別情報と、そのコンテンツを保有するコンテンツサーバの識別情報と、そのコンテンツにアクセスするためにコンテンツサーバで認証が求められるのか否かということと、認証が求められる場合には、その認証に必要な情報(ユーザIDとパスワードとの対データ)とを管理する。
【0049】
具体的には、図4に示すように、各コンテンツに対応付けて、そのコンテンツの所属するコンテンツ群名と、そのコンテンツを保有するコンテンツサーバ名と、そのコンテンツを保有するコンテンツサーバで認証が必要であるのか否かということと、認証が必要な場合には、その認証に必要となる認証情報(ユーザIDとパスワードとの対データ)を管理する。
【0050】
例えば、コンテンツ13については、コンテンツ群11に属し、コンテンツサーバ9で保有され、コンテンツサーバ9では認証が要求されていて、利用者識別番号“001”の利用者7についてのその認証情報はこういう値であるといったような情報を管理するのである。
【0051】
本発明では、上述したように、仮想閉域網にアクセスするための閉域網群制御サーバに対して、仮想閉域網内のサーバ上のコンテンツについてシングルサインオンを実現する機能を付加することで、本発明により構成される認証アクセス制御サーバ装置2を構築して、仮想閉域網へのアクセスを許可されると同時に、それらのコンテンツに対するアクセス許可を得ることができるようにすることを特徴とする。
【0052】
本発明の認証アクセス制御サーバ装置2の実行する認証処理について簡単に説明するならば、本発明の認証アクセス制御サーバ装置2は、リモートアクセスサーバ5を介して、利用者端末6からの仮想閉域網アクセス要求を受信すると、先ず最初に、その仮想閉域網8へのアクセスの認証に必要な情報を利用者端末6に要求する。
【0053】
その要求に応答して送られてくる認証情報を受信すると、続いて、仮想閉域網アクセス認証テーブル20に登録される認証情報と照合することで認証を行い、その認証に成功すると、リモートアクセスサーバ5と転送ノード4に対して、利用者端末6から仮想閉域網8への接続パスを確立する。
【0054】
さらに、利用者7が仮想閉域網8へのログインと同時に認証することを許可しているコンテンツ群をコンテンツ群アクセス認証テーブル21から検索し、そのコンテンツ群配下のコンテンツについては仮想閉域網アクセスの認証をもって認証したこととし、認証機能を持たないコンテンツサーバの保有するそのコンテンツについて、ゲートウェイ3に対して、そのコンテンツへのアクセスを許可するエントリ情報を設定する。
【0055】
この後、利用者7がコンテンツサーバでの認証が求められるコンテンツへのアクセスを試みた場合には、コンテンツアクセス認証テーブル22を検索して認証情報を取得して、それを指定してコンテンツサーバに認証を依頼することで認証を得て、ゲートウェイ3に対して、そのコンテンツへのアクセスを許可するエントリ情報を設定する。
【0056】
そして、仮想閉域網ログインと同時の認証を許可されていないコンテンツ群については、利用者が仮想閉域網ログインした後、そのコンテンツ群内のコンテンツへの初回のアクセス要求を契機として、利用者端末6から認証情報を得て、コンテンツ群アクセス認証テーブル21に登録される認証情報と照合することで認証を行い、認証機能を持たないコンテンツサーバの保有するそのコンテンツについて、ゲートウェイ3に対して、そのコンテンツへのアクセスを許可するエントリ情報を設定する。
【0057】
次に、図5及び図6に示す処理の流れに従って、本発明の認証アクセス制御サーバ装置2の実行する認証処理について詳細に説明する。
【0058】
(1)利用者7が仮想閉域網8にアクセスを試みた場合の処理
図5及び図6に、利用者7がダイアルアップで仮想閉域網8にアクセスを試みた場合の処理を図示する。
【0059】
利用者端末6から仮想閉域網8に電話網経由でダイアルアップによるリモート接続を試みた場合、利用者端末6とリモートアクセスサーバ5との間の通信路が確立した後、仮想閉域網8へのアクセス要求として、認証に必要なユーザIDとパスワードとの対データがリモートアクセスサーバ5に送信される(ステップ101)。
【0060】
リモートアクセスサーバ5は、そのアクセス要求を認証アクセス制御サーバ装置2に送信して、認証を要求する(ステップ102)。
【0061】
認証アクセス制御サーバ装置2は、仮想閉域網アクセス認証テーブル20を参照することで、受信したアクセス要求を認証し(ステップ103)、その認証結果をリモートアクセスサーバ5を介して利用者端末6に送信する(ステップ104、105)。
【0062】
認証アクセス制御サーバ装置2は、認証に成功だった場合は、コンテンツ群アクセス認証テーブル21を参照することで、利用者7がアクセス権を持つコンテンツ群のうち、仮想閉域網8へのログインと同時の認証を許可するコンテンツ群(本実施形態例ではコンテンツ群11)を特定し、利用者端末6を送信元とし、コンテンツサーバ9,10上にあってコンテンツ群11に属する、コンテンツサーバでの認証を必要としないコンテンツ(本実施形態例ではコンテンツ15)を送信先とするパケットを通過させるようにと、ゲートウェイ3に対してエントリ情報を設定する(ステップ106)。
【0063】
さらに、認証アクセス制御サーバ装置2は、利用者端末6に対して、利用者7によるコンテンツの閲覧が終了したのか否かについて判断するために、Java アプレット(Java は登録商標)を送信する(ステップ107)。
【0064】
この後、ゲートウェイ3に設定した該当のエントリ情報に従って、コンテンツ群11に属する、コンテンツサーバでの認証を必要としない全てのコンテンツ(本実施形態例ではコンテンツ15)については、認証アクセス制御サーバ装置2を介さないコンテンツファイルアクセスが可能になる(ステップ108、109)。
【0065】
利用者端末6から、コンテンツ群11に属する、コンテンツサーバでの認証を必要とするコンテンツ(本実施形態例ではコンテンツ13)へのアクセス要求が行なわれた場合、ゲートウェイ3に該当のエントリ情報が設定されていないことから、アクセス要求は認証アクセス制御サーバ装置2に転送される(ステップ110)。
【0066】
認証アクセス制御サーバ装置2は、コンテンツアクセス認証テーブル22を検索することでアクセス要求のコンテンツの属するコンテンツ群を特定し、それをキーにしてコンテンツ群アクセス認証テーブル21を検索することで、コンテンツ13の属するコンテンツ群11に対する認証を終了していることを判断して、直ちにアクセス要求をコンテンツサーバ9(コンテンツ13を保有するコンテンツサーバ)に送信する(ステップ111)。
【0067】
このアクセス要求に対して、コンテンツサーバ9からコンテンツ13へのアクセスに対するパスワードの要求(ステップ112)が発行され、認証アクセス制御サーバ装置2は、これに応答して、コンテンツアクセス認証テーブル22を検索して、該当するユーザIDとパスワードとの対データを取得してコンテンツサーバ9に送信する(ステップ113)。
【0068】
さらに、認証アクセス制御サーバ装置2は、ゲートウェイ3に対して、利用者端末6を送信元とし、コンテンツ13を送信先とするパケットを通過させるようにと、エントリ情報を設定する(ステップ114)。
【0069】
コンテンツサーバ9は、認証アクセス制御サーバ装置2から受信したユーザIDとパスワードとにより認証を行ない(ステップ115)、要求されているコンテンツを送信する(ステップ116、117)。
【0070】
この後、ゲートウェイ3に設定した該当のエントリ情報に従って、利用者端末6からのコンテンツ13宛てのコンテンツファイルアクセス要求については、認証アクセス制御サーバ装置2を経由せずに、直接コンテンツサーバ9との間でやり取りが行なわれる(ステップ118、119)。
【0071】
なお、仮想閉域網8へのログインと同時の認証が許可されていないコンテンツ群12に対しては、コンテンツ群12に属するコンテンツ(本実施形態例ではコンテンツ14,16)への初回アクセス時にパスワード投入を求められるが、その後は、上記のステップ106〜119に該当する処理が行なわれることから、利用者7はコンテンツ群12内のコンテンツに対して改めてパスワードを求められることはない。
【0072】
次に、図7ないし図9に示す処理フローに従って、以上に説明した認証アクセス制御サーバ装置2の実行する認証処理についてまとめる。
【0073】
認証アクセス制御サーバ装置2は、利用者端末6の発行する仮想閉域網へのリモート接続要求に応答して、リモートアクセスサーバ5から認証に必要なユーザIDとパスワードとの対データが送信されてくると、図7の処理フローに示すように、先ず最初に、ステップ10で、それを受信し、続くステップ11で、図2に示すデータ構造を持つ仮想閉域網アクセス認証テーブル20に登録される認証情報を参照して、その仮想閉域網へのアクセス要求の認証を行う。
【0074】
続いて、ステップ12で、この認証に成功したのか否かを判断して、認証に成功しなかったことを判断するときには、ステップ13に進んで、リモートアクセスサーバ5に認証不可を返信して、処理を終了する。
【0075】
一方、ステップ12で、認証に成功したことを判断するときには、ステップ14に進んで、図3に示すデータ構造を持つコンテンツ群アクセス認証テーブル21を参照して、利用者7がアクセス権を持ち、かつ、アクセス要求先の仮想閉域網との同時認証を許可するコンテンツ群を特定する。
【0076】
続いて、ステップ15で、そのコンテンツ群アクセス認証テーブル21に、特定したコンテンツ群について認証済みを記録する。すなわち、仮想閉域網へのアクセス要求の認証でもって認証が行われたと見なして、コンテンツ群アクセス認証テーブル21に、特定したコンテンツ群について認証済みを記録するのである。
【0077】
続いて、ステップ16で、図4に示すデータ構造を持つコンテンツアクセス認証テーブル22を参照して、特定したコンテンツ群の中から、認証機能を持たないコンテンツサーバに保有されるコンテンツを特定する。
【0078】
続いて、ステップ17で、ゲートウェイ3に対して、その特定したコンテンツへのアクセス要求の通過許可を示すエントリ情報を設定し、続くステップ18で、アクセス要求発行元の利用者端末6にJava アプレットを送信して、処理を終了する。
【0079】
このようにして、認証アクセス制御サーバ装置2は、利用者端末6の発行する仮想閉域網へのリモート接続要求に応答して、仮想閉域網へのアクセス要求の認証でもって認証が兼ねられるコンテンツ群を特定して、認証機能を持たないコンテンツサーバに保有されるそのコンテンツ群配下のコンテンツへのアクセス要求がゲートウェイ3から転送されてこないようにと、ゲートウェイ3に対して、その特定したコンテンツへのアクセス要求の通過許可を示すエントリ情報を設定するように処理するのである。
【0080】
一方、認証アクセス制御サーバ装置2は、通過許可を示すエントリ情報が設定されていないことでゲートウェイ3からアクセス要求が転送されてくると、図8及び図9の処理フローに示すように、先ず最初に、ステップ20で、図4に示すデータ構造を持つコンテンツアクセス認証テーブル22を参照して、アクセス要求コンテンツの所属するコンテンツ群を特定する。
【0081】
続いて、ステップ21で、図3に示すデータ構造を持つコンテンツ群アクセス認証テーブル21を参照して、その特定したコンテンツ群について認証が済んでいるのか否かをチェックする。
【0082】
続いて、ステップ22で、このチェックにより認証済みであることが得られたのか否かを判断して、認証済みでないことを判断するときには、ステップ23に進んで、利用者7からシングルサインオン用のパスワードを取得する。
【0083】
続いて、ステップ24で、図3に示すデータ構造を持つコンテンツ群アクセス認証テーブル21に登録される認証情報を参照し、取得したシングルサインオン用のパスワードに基づいて、特定したコンテンツ群について認証を行い、コンテンツ群アクセス認証テーブル21に認証済みを記録する。
【0084】
続いて、ステップ25で、図4に示すデータ構造を持つコンテンツアクセス認証テーブル22を参照して、特定したコンテンツ群の中から、認証機能を持たないコンテンツサーバに保有されるコンテンツを特定する。
【0085】
続いて、ステップ26で、ゲートウェイ3に対して、その特定したコンテンツへのアクセス要求の通過許可を示すエントリ情報を設定し、続くステップ27で、アクセス要求発行元の利用者端末6にJava アプレットを送信する。
【0086】
このステップ26でのエントリ情報の設定処理により、これ以降、シングルサインオンで認証を行った認証機能を持たないコンテンツサーバに保有されるコンテンツへのアクセス要求については、ゲートウェイ3から転送されてくることはない。
【0087】
続いて、ステップ28で、ゲートウェイ3から転送されてきたアクセス要求についての処理を行うべく、アクセス要求コンテンツを保有するコンテンツサーバに対して、アクセス要求を転送する。
【0088】
続いて、ステップ29で、アクセス要求コンテンツを保有するコンテンツサーバは認証機能を持っているのか否かを判断して、認証機能を持っていないことを判断するときには、ステップ30に進んで、ステップ28の転送処理に応答してコンテンツサーバから転送されてくるコンテンツを受信して利用者端末6に転送して、処理を終了する。
【0089】
この後、ゲートウェイ3にエントリ情報が設定されていることで、アクセス要求発行元の利用者端末6と、そのアクセス要求で指定されるコンテンツを保有する認証機能を持たないコンテンツサーバとの間のやり取り(そのコンテンツについてのやり取り)については、認証アクセス制御サーバ装置2に転送されてくることはない。
【0090】
一方、ステップ29で、アクセス要求コンテンツを保有するコンテンツサーバが認証機能を持っていることを判断するときには、ステップ31に進んで、ステップ28の転送処理に応答してコンテンツサーバから要求されるパスワードの転送要求を受け取り、続くステップ32で、図4に示すデータ構造を持つコンテンツアクセス認証テーブル22に登録されるユーザIDとパスワードとの対データを返信することで、そのコンテンツサーバの認証を得る。
【0091】
続いて、ステップ33で、ゲートウェイ3に対して、アクセス要求コンテンツへのアクセス要求の通過許可を示すエントリ情報を設定し、続くステップ34で、アクセス要求コンテンツを保有する認証機能を持つコンテンツサーバから転送されてくるコンテンツを受信して利用者端末6に転送して、処理を終了する。
【0092】
この後、ゲートウェイ3にエントリ情報が設定されていることで、アクセス要求発行元の利用者端末6と、そのアクセス要求で指定されるコンテンツを保有する認証機能を持つコンテンツサーバとの間のやり取り(そのコンテンツについてのやり取り)について、認証アクセス制御サーバ装置2に転送されていることはない。
【0093】
一方、ステップ22で、アクセス要求コンテンツの所属するコンテンツ群について認証が済んでいることを判断するときには、ステップ35に進んで、アクセス要求コンテンツを保有するコンテンツサーバに対して、アクセス要求を転送してから、上述したステップ31〜ステップ34の処理を行って、処理を終了する。
【0094】
すなわち、ステップ22で、アクセス要求コンテンツの所属するコンテンツ群について認証が済んでいることを判断するということは、図7の処理フローの処理に従ってコンテンツ群について認証が済んでいたり、図8の処理フローのステップ24の処理に従ってコンテンツ群について認証が済んでいることを意味し、従って、アクセス要求コンテンツを保有するコンテンツサーバが認証機能を持っていて、なおかつ、ゲートウェイ3にそのアクセス要求コンテンツに係るエントリ情報が設定されていないことを意味するので、ステップ35に進んで、アクセス要求コンテンツを保有する認証機能を持つコンテンツサーバに対して、アクセス要求を転送してから、上述したステップ31〜ステップ34の処理を行って、処理を終了するのである。
【0095】
このようにして、認証アクセス制御サーバ装置2は、ゲートウェイ3からアクセス要求が転送されてくると、アクセス要求コンテンツの所属するコンテンツ群が認証済みでない場合には、利用者端末6から取得した認証情報を使ってシングルサインオンを行うことで、認証機能を持たないコンテンツサーバに保有されるそのコンテンツ群配下のコンテンツへのアクセス要求がゲートウェイ3から転送されてこないようにと、ゲートウェイ3に対して、その特定したコンテンツへのアクセス要求の通過許可を示すエントリ情報を設定するように処理することになる。
【0096】
そして、認証機能を持つコンテンツサーバに保有されるコンテンツについては、そのコンテンツへのアクセス要求時に、そのコンテンツサーバに対して認証を依頼することで認証を得て、そのコンテンツへのアクセス要求がゲートウェイ3から転送されてこないようにと、ゲートウェイ3に対して、そのコンテンツへのアクセス要求の通過許可を示すエントリ情報を設定するように処理することになる。
【0097】
(2)利用者端末6を仮想閉域網8から切り離す場合の処理
仮想閉域網8に接続されていた利用者端末6を仮想閉域網8から切り離すために、利用者7が利用者端末6を電話網から切断した場合、リモートアクセスサーバ5から認証アクセス制御サーバ装置2に対して、利用者端末6が切断された旨の信号が送信される。
【0098】
認証アクセス制御サーバ装置2は、その信号に基づき、利用者7が持つ仮想閉域網8内の全てのコンテンツ群に対する認証を無効化し、ゲートウェイ3上の該当する通過許可のエントリ情報を消去する。
【0099】
(3)利用者のブラウザ終了による認証の無効化処理
認証アクセス制御サーバ装置2は、利用者7のコンテンツ群11(あるいはコンテンツ群12)に対する認証を行なった後、利用者端末6に送信した常駐プログラム(ここではJava アプレット)との間で、一定時間毎に通信を行う。
【0100】
認証アクセス制御サーバ装置2は、利用者端末6のJava アプレットからの応答がなくなった場合、利用者7によるコンテンツ群11(コンテンツ群12)のコンテンツの閲覧が終了したものと判断して、ゲートウェイ3に対して先に設定した、利用者端末6を送信元としコンテンツ群11(コンテンツ群12)に属するコンテンツを送信先とする通過許可のエントリ情報を全て削除する。
【0101】
これにより認証は無効化され、利用者端末6からコンテンツ群11(コンテンツ群12)に属するコンテンツ宛てのアクセス要求については、再び認証アクセス制御サーバ装置2を経由して認証を求められることになる。
【0102】
(4)利用者のログアウト処理による認証の無効化処理
利用者7のコンテンツ群11(あるいはコンテンツ群12)に対する認証を行なった後に利用者端末6に送信する常駐プログラム(ここではJava アプレット)によって、利用者端末6上のブラウザに、図10に示すように、認証の強制失効を指示するログアウトボタン31,32を表示させる。
【0103】
このログアウトボタン31,32の表示を受けて、利用者端末6は、利用者7がログアウトボタン31(ログアウトボタン32)をクリックすることを契機にして、認証アクセス制御サーバ装置2に対して、コンテンツ群11(コンテンツ群12)に対する認証の強制失効を指示するパケットを送信する。
【0104】
認証アクセス制御サーバ装置2は、そのパケットを受信すると、ゲートウェイ3に対して先に設定した、利用者端末6を送信元としコンテンツ群11(コンテンツ群12)に属するコンテンツを送信先とする通過許可のエントリ情報を全て削除する。
【0105】
これにより認証は無効化され、利用者端末6からコンテンツ群11(コンテンツ群12)に属するコンテンツ宛てのアクセス要求については、再び認証アクセス制御サーバ装置2を経由して認証を求められることになる。
【0106】
(5)認証後一定時間経過による認証の無効化処理
認証アクセス制御サーバ装置2は、利用者7のコンテンツ群11(あるいはコンテンツ群12)に対する認証を行なった時刻を記録しておき、一定時間が経過すると、ゲートウェイ3に対して先に設定した、利用者端末6を送信元としコンテンツ群11(コンテンツ群12)に属するコンテンツを送信先とする通過許可のエントリ情報を全て削除する。
【0107】
これにより認証は無効化され、利用者端末6からコンテンツ群11(コンテンツ群12)に属するコンテンツ宛てのアクセス要求については、再び認証アクセス制御サーバ装置2を経由して認証を求められることになる。
【0108】
【発明の効果】
以上説明したように、本発明では、仮想閉域網へのリモートアクセスを実現する場合に、認証機能とゲートウェイ機能とを分離して、ゲートウェイ機能を使って通過の許可されているコンテンツへのアクセス要求のみを通過させ、それ以外のアクセス要求については認証機能を使って認証を行ってゲートウェイ機能に通過許可を設定するという処理を行う認証機構を用意することで、仮想閉域網内のサーバ上のコンテンツに対してシングルサインオンの認証を実現するという構成を採るときにあって、仮想閉域網への接続のための認証でもって、仮想閉域網内のサーバ上のコンテンツへのアクセスの認証を兼ねるようにするという構成を採ることから、利用者は仮想閉域網内のサーバから別途認証手順を求められることなく効率的に業務を遂行できるという効果が得られる。
【図面の簡単な説明】
【図1】本発明を実現するシステム構成の一実施形態例である。
【図2】仮想閉域網アクセス認証テーブルの一実施形態例である。
【図3】コンテンツ群アクセス認証テーブルの一実施形態例である。
【図4】コンテンツアクセス認証テーブルの一実施形態例である。
【図5】実施形態例における処理の流れを示す図である。
【図6】実施形態例における処理の流れを示す図である。
【図7】本発明で実行する処理フローの一実施形態例である。
【図8】本発明で実行する処理フローの一実施形態例である。
【図9】本発明で実行する処理フローの一実施形態例である。
【図10】利用者端末上のブラウザの画面イメージを説明する図である。
【図11】先願発明における認証アクセス制御システムを説明する図である。
【符号の説明】
1 認証アクセス制御システム
2 認証アクセス制御サーバ装置
3 ゲートウェイ
4 転送ノード
5 リモートアクセスサーバ
6 利用者端末
7 利用者
8 仮想閉域網
9 コンテンツサーバ
10 コンテンツサーバ
11 コンテンツ群
12 コンテンツ群
13 コンテンツ
14 コンテンツ
15 コンテンツ
16 コンテンツ
20 仮想閉域網アクセス認証テーブル
21 コンテンツ群アクセス認証テーブル
22 コンテンツアクセス認証テーブル[0001]
BACKGROUND OF THE INVENTION
The present invention performs authentication for remote access to a virtual closed network constructed on a connectionless communication network from a remote location, realizes connection of a user terminal to the virtual closed network, and at the same time, within the virtual closed network An authentication access control server apparatus that collectively performs authentication for access to contents on a plurality of servers to which the user has access authority, and the authentication access control server apparatus Executed in Authentication access control method, authentication access control program used to realize the authentication access control method, and authentication access control program recorded Computer readable And a recording medium.
[0002]
[Prior art]
Conventionally, a virtual closed network has been introduced in order to construct a closed network that connects only a specific ground such as a corporate communication network. A virtual closed network in a connectionless communication network not only shares a transmission path and a transfer node, but also shares a logical path and a logical line to perform transfer control that ensures security.
[0003]
Further, the virtual closed network can accept remote access from a specific terminal or a specific user, instead of connecting only a specific ground. For example, it is possible to access a company's virtual closed network from a terminal at the employee's home via a telephone network or an ADSL network, and connect to a company host computer. A remote access server is installed between the telephone network and the virtual closed network, and the terminal is connected to the remote access server by dial-up or the like to access the virtual closed network.
[0004]
A transfer node that connects the remote access server and the virtual closed network, and a closed network group control server that controls the remote access server and the transfer node, are shared by users of a plurality of virtual closed networks.
[0005]
The present applicant, in Japanese Patent Application No. 2000-380838 (not published) filed earlier, makes the physical line between the remote access server and the forwarding node available to a plurality of virtual closed networks, thereby We applied for an invention to improve utilization efficiency.
[0006]
In the prior invention, based on a connection request from a user, the remote access server assigns a virtual router (hereinafter referred to as VR: Virtual Router) to each virtual closed network, and connects the VR to one physical line. I am doing so. Then, triggered by disconnection from the user, the remote access server releases the VR and assigns it to a user of another virtual closed network.
[0007]
On the other hand, the present applicant, on the assumption that the connection environment to the communication network represented by the virtual closed network is prepared in Japanese Patent Application No. 2002-71277 (not published) filed earlier, An invention in which an authentication access control server device and a gateway device are installed in a network as a method for enabling access to contents on a plurality of connected servers by a single authentication (hereinafter referred to as single sign-on). Filed.
[0008]
In the prior invention, as shown in FIG. 11, the gateway function is cut out from the conventional reverse proxy type authentication access control server, so that it is based on the information (URL etc.) for identifying the content in addition to the address and the port number. Separated into a dedicated gateway device that can perform hardware processing of packet filtering and an authentication access control server device that performs authentication control, and authenticates only access requests addressed to servers that do not have an entry that allows passage through the gateway device. By transferring to the access control server device, load concentration on the authentication access control server device can be avoided.
[0009]
[Problems to be solved by the invention]
When a user accesses a virtual closed network from a remote location, it is usually considered that after connecting to the virtual closed network, a server in the virtual closed network is accessed in order to perform some work.
[0010]
At this time, once connected to the virtual closed network, single sign-on to the content on the server in the virtual closed network is possible by applying Japanese Patent Application No. 2002-71277 which is a prior invention. For access to the closed network itself, separate authentication is required. Therefore, in order for a user to access a server in the virtual closed network by remote access, two or more authentications are required. The problem is that it is insufficient.
[0011]
The present invention has been made in view of such problems, and in remote access to a virtual closed network, authentication is performed only once at the time of access to the virtual closed network without sacrificing security strength. It is an object of the present invention to realize a system that is in the network and does not require further authentication procedures for content on a server to which a user has access authority.
[0012]
[Means for Solving the Problems]
The authentication access control server device of the present invention is composed of an authentication access control server device, a gateway, a transfer node, and a remote access server, and a user terminal moves from a remote place to a virtual closed network via the remote access server and the transfer node. It is used in an authentication access control system that authenticates an access request to content in a virtual closed network issued from a user terminal after connection.
[0013]
The authentication access control server device of the present invention is a system configured to authenticate an access request to content in a virtual private network issued from a user terminal, which is composed of the device itself and a gateway device provided in association with the virtual private network In order to realize the present invention, (1) the entry information indicating permission of the access request to the content is not set in the gateway device, so that the access request is transferred from the gateway device. A receiving means for receiving the access request, and (2) if there is a connection request to the virtual closed network from the user terminal, obtaining authentication information necessary for the connection from the user terminal, And (3) the first authentication unit authenticates the connection request to the virtual closed network based on the first authentication unit that authenticates the connection request to the virtual closed network. A first specifying means for specifying content held by a server having no authentication function among the contents under the content group considered to have authenticated the access request by the authentication; (4 A first setting means for setting entry information indicating access permission to the content specified by the first specifying means from the user terminal of the virtual closed network connection request source, and (5) from the user terminal Any of the content groups that are not considered to have authenticated the access request by the authentication by the first authentication means content A first sign-on authentication information required for the access is obtained from the user terminal when there is an initial access request to the user, and the access request to the content group is authenticated based on the authentication information. When the authentication means and (6) the second authentication means succeeds in authenticating the access request to the content group, the content held by the server having no authentication function is specified among the contents under the content group And (7) second setting means for setting entry information indicating permission to access the content specified by the second specifying means from the user terminal of the content access request source in the gateway device; (8) When the server that holds the content requested to be accessed from the user terminal has an authentication function, the content obtained in advance from the user A third authentication unit that performs access authentication with the server using the user's authentication information, and (9) content access when the third authentication unit successfully authenticates the access request to the content. Third entry means for setting entry information indicating access permission to the content from the requesting user terminal to the gateway device is provided.
[0014]
When adopting this configuration, the authentication access control server apparatus of the present invention may further include means for invalidating the entry information set in the gateway in a specified state.
[0015]
The authentication access control method realized by the operation of the authentication access control server apparatus of the present invention can be specifically realized by a computer program, and this computer program is an appropriate program such as a semiconductor memory. It can be provided by being recorded on a recording medium.
[0016]
Next, an example of the authentication processing flow of the present invention configured as described above will be described.
[0017]
When the connection request to the virtual closed network is issued, the authentication access control server device of the present invention configured as described above is sent from the user terminal to the virtual closed network. Connection Authentication information required for the Connection Authenticate.
[0018]
When this authentication is obtained, the authentication access control server device of the present invention specifies the content group that is used for both authentication and authentication, and the content under the content group owned by the content server that does not have the authentication function. Assuming that authentication has been obtained, entry information indicating permission of an access request to the content is set for the gateway.
[0019]
From this point on, when entry information is set, an access request (access request from an authenticated user) to the content under the above-mentioned content group for authentication that is held in a content server that does not have an authentication function Is never transferred from the gateway.
[0020]
On the other hand, when the access request to the content is issued from the user terminal and the entry information related to the content is not set in the gateway, the access request is sent to the authentication access control server device of the present invention. In response to this, the authentication access control server apparatus of the present invention determines whether or not it is the first access request (first access request from the user) to the content group to which the content of the access request belongs. Then, when determining that it is the first access request, information necessary for authentication of the content group (information defined for each user and content group) is acquired from the user terminal.
[0021]
Subsequently, the authentication access control server apparatus of the present invention performs authentication for the content group to which the access request content belongs using the information necessary for the acquired authentication, and is thereby held in the content server having no authentication function. Authenticate the content under the content group, and set entry information indicating permission to access the content to the gateway.
[0022]
From now on, the entry information is set so that the access request to the content under the content group held in the content server without the authentication function (access request from the authenticated user) is the gateway. Will not be transferred from.
[0023]
When the initial access request is an access request to content held in a content server that does not have an authentication function, the authentication access control server device of the present invention sets the entry information so that the initial access request Finish setting entry information for the gateway.
[0024]
On the other hand, if the first access request is an access request to content held in a content server having an authentication function, the authentication access control server device of the present invention is In response to a request from the content server, specify information required for authentication of the content (information defined for each user and content, and held in the authentication access control server device) Authenticate the content by making an authentication request to the content server, and set entry information indicating permission of an access request to the content to the gateway.
[0025]
Since entry information has been set thereafter, access requests to the contents (access requests from authenticated users) are not transferred from the gateway.
[0026]
Then, when an access request for another content under the same content group issued after the first access request is transferred, the authentication for the content group has already been completed, so the content is held. In response to a request from the content server, specify information required for authentication of the content (information defined for each user and content, and held in the authentication access control server device) Authenticate the content by making an authentication request to the content server, and set entry information indicating permission of an access request to the content to the gateway.
[0027]
Since entry information has been set thereafter, access requests to the contents (access requests from authenticated users) are not transferred from the gateway.
[0028]
By setting the entry information in the gateway in this way, the access request to the content is not transferred to the authentication access control server device of the present invention, but the connection relationship between the user terminal and the content server is changed. It is not preferable for security to leave it as it is.
[0029]
Therefore, when the user terminal is disconnected from the virtual closed network, the authentication access control server apparatus of the present invention performs processing so as to invalidate all entry information related to the user terminal set in the gateway.
[0030]
In addition, the authentication access control server device of the present invention transmits a program to the user terminal in association with the authenticated content group, and when there is no response from the program for a certain period of time, There is a case where processing is performed so as to invalidate all entry information regarding the content under the content group related to the user terminal.
[0031]
In addition, the authentication access control server device of the present invention transmits a program to the user terminal in association with the authenticated content group, and when an authentication invalidation instruction is issued from the program, the authentication access control server device sends a program to the gateway. Processing may be performed so as to invalidate all entry information regarding the content under the content group related to the set user terminal.
[0032]
In addition, the authentication access control server device of the present invention, when a certain period of time elapses from the authentication of the content group authenticated in response to the access request from the user terminal, is applied to the user terminal set in the gateway There is a case where processing is performed so as to invalidate all the entry information about the content under the content group.
[0033]
Here, in order to execute this invalidation processing, the authentication access control server apparatus of the present invention performs processing so as to record what entry information is set in the gateway.
[0034]
Thus, in the present invention, when realizing remote access to the virtual closed network, the authentication function and the gateway function are separated, and only the access request to the content permitted to pass using the gateway function is made. By providing an authentication mechanism that performs the process of allowing the access function to pass, and authenticating using the authentication function and setting the pass permission to the gateway function, the content on the server in the virtual closed network can be When adopting the configuration to realize single sign-on authentication for the virtual closed network Connection Because it is configured to also authenticate access to the content on the server in the virtual closed network with the authentication for the user, the user must be asked for a separate authentication procedure from the server in the virtual closed network It is possible to achieve the effect that the work can be performed efficiently.
[0035]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, the present invention will be described in detail according to embodiments.
[0036]
FIG. 1 illustrates an embodiment of a system configuration for realizing the present invention.
[0037]
As shown in this figure, an authentication access control system 1 that implements the present invention comprises an authentication access
[0038]
When this configuration is adopted, it is assumed that the user 7 remotely accesses the virtual closed network 8 from the user terminal 6, and the virtual closed network 8 is located on the
[0039]
Further, it is assumed that the content group 11 includes
[0040]
The authentication access
[0041]
FIG. 2 illustrates an embodiment of the virtual closed network access authentication table 20, FIG. 3 illustrates an embodiment of the content group access authentication table 21, and FIG. An example embodiment is illustrated.
[0042]
The virtual closed network access authentication table 20 manages authentication information required for each user to remotely access each virtual closed network.
[0043]
Specifically, as shown in FIG. 2, whether or not each virtual closed network has an access right in association with each user identification number, and when it has an access right Manages authentication information (user ID and password pair data) necessary for the access.
[0044]
For example, the user 7 with the user identification number “001” has an access right for the virtual closed network x and the authentication information is such a value, while the user 7 has an access right for the virtual closed network y. Information such as not being managed.
[0045]
On the other hand, the content group access authentication table 21 is defined for each user in the virtual closed network, authentication information required for the user to access each content group in the virtual closed network, and virtual content for the content group. Information indicating whether or not the authentication is also performed by the authentication at the time of login to the closed network and information indicating whether or not the access to the content group has been authenticated are managed.
[0046]
Specifically, as shown in FIG. 3, for each user, authentication information (user ID and password pair data) necessary for accessing the content group in association with each content group, and the content Manages information indicating whether authentication is also performed by authentication when logging in to the virtual closed network for the group, and information indicating whether access to the content group has already been authenticated .
[0047]
For example, the authentication information required when the user 7 with the user identification number “001” accesses the content group 11 is such a value, and the access to the content group 11 is performed when logging in the virtual closed network. Information that is also used for authentication and that has not yet been authenticated for access to the content group 11 is managed.
[0048]
On the other hand, the content access authentication table 22 is specified for each content, and is authenticated by the content server to access the content, the identification information of the content group to which the content belongs, the identification information of the content server that owns the content. Whether authentication is required or not, and when authentication is required, information necessary for the authentication (data paired with a user ID and a password) is managed.
[0049]
Specifically, as shown in FIG. 4, authentication is required in association with each content, the name of the content group to which the content belongs, the name of the content server that owns the content, and the content server that owns the content If authentication is necessary, authentication information (user ID and password pair data) necessary for the authentication is managed.
[0050]
For example, the content 13 belongs to the content group 11, is held by the content server 9, the authentication is requested by the content server 9, and the authentication information for the user 7 with the user identification number “001” is such a value. Information such as is managed.
[0051]
In the present invention, as described above, the function for realizing single sign-on for the content on the server in the virtual closed network is added to the closed network group control server for accessing the virtual closed network. The authentication access
[0052]
The authentication processing executed by the authentication access
[0053]
When the authentication information sent in response to the request is received, authentication is performed by comparing with authentication information registered in the virtual closed network access authentication table 20, and when the authentication is successful, the
[0054]
Further, a content group that the user 7 is permitted to authenticate at the same time as the login to the virtual closed network 8 is searched from the content group access authentication table 21, and virtual subnetwork access authentication is performed for the contents under the content group. For the content held by the content server having no authentication function, entry information for permitting access to the content is set for the
[0055]
Thereafter, when the user 7 tries to access content that requires authentication on the content server, the user 7 searches the content access authentication table 22 to obtain authentication information, and designates it to the content server. Authentication is obtained by requesting authentication, and entry information for permitting access to the content is set for the
[0056]
For a content group that is not permitted to be authenticated at the same time as the virtual closed network login, the user terminal 6 is triggered by the first access request to the content in the content group after the user logs in the virtual closed network. Authentication information is obtained from the content group, and authentication is performed by comparing with the authentication information registered in the content group access authentication table 21, and the content held by the content server having no authentication function is sent to the
[0057]
Next, the authentication process executed by the authentication access
[0058]
(1) Processing when the user 7 tries to access the virtual closed network 8
FIG. 5 and FIG. 6 illustrate processing when the user 7 tries to access the virtual closed network 8 by dial-up.
[0059]
When a remote connection is attempted by dial-up from the user terminal 6 to the virtual closed network 8 via the telephone network, access to the virtual closed network 8 is established after the communication path between the user terminal 6 and the
[0060]
The
[0061]
The authentication access
[0062]
The authentication access
[0063]
Further, the authentication access
[0064]
Thereafter, according to the corresponding entry information set in the
[0065]
When the user terminal 6 makes an access request for content (content 13 in the present embodiment) that belongs to the content group 11 and requires authentication on the content server, the corresponding entry information is set in the
[0066]
The authentication access
[0067]
In response to this access request, a password request for access to the content 13 is issued from the content server 9 (step 112), and the authentication access
[0068]
Further, the authentication access
[0069]
The content server 9 performs authentication using the user ID and password received from the authentication access control server device 2 (step 115), and transmits the requested content (
[0070]
Thereafter, according to the corresponding entry information set in the
[0071]
For the content group 12 that is not permitted to be authenticated at the same time as the login to the virtual closed network 8, a password is input when the content belonging to the content group 12 (
[0072]
Next, the authentication processing executed by the authentication access
[0073]
In response to the remote connection request to the virtual closed network issued by the user terminal 6, the authentication access
[0074]
Subsequently, in step 12, it is determined whether or not this authentication is successful. When it is determined that the authentication has not been successful, the process proceeds to step 13 to send back the authentication impossible to the
[0075]
On the other hand, when it is determined in step 12 that the authentication has succeeded, the process proceeds to step 14 where the user 7 has an access right with reference to the content group access authentication table 21 having the data structure shown in FIG. In addition, a content group that permits simultaneous authentication with the access-destination virtual closed network is specified.
[0076]
Subsequently, in
[0077]
Subsequently, in
[0078]
Subsequently, in step 17, entry information indicating permission to pass the access request to the specified content is set for the
[0079]
In this way, the authentication access
[0080]
On the other hand, when the access request is transferred from the
[0081]
Subsequently, in
[0082]
Subsequently, in
[0083]
Subsequently, in step 24, the authentication information registered in the content group access authentication table 21 having the data structure shown in FIG. 3 is referred to, and the identified content group is authenticated based on the acquired password for single sign-on. And “authenticated” is recorded in the content group access authentication table 21.
[0084]
Subsequently, in step 25, referring to the content access authentication table 22 having the data structure shown in FIG. 4, the content held in the content server having no authentication function is specified from the specified content group.
[0085]
Subsequently, in step 26, entry information indicating permission to pass the access request to the specified content is set for the
[0086]
Through the entry information setting process in step 26, requests for access to content held in content servers that do not have an authentication function authenticated by single sign-on are transferred from the
[0087]
Subsequently, in
[0088]
Subsequently, in
[0089]
Thereafter, the entry information is set in the
[0090]
On the other hand, when it is determined in
[0091]
Subsequently, in step 33, entry information indicating permission to pass the access request to the access request content is set in the
[0092]
Thereafter, the entry information is set in the
[0093]
On the other hand, when it is determined in
[0094]
That is, in
[0095]
In this way, when the access request is transferred from the
[0096]
The content held by the content server having the authentication function is authenticated by requesting the content server to authenticate when the access to the content is requested, and the access request to the content is sent to the
[0097]
(2) Processing when disconnecting the user terminal 6 from the virtual closed network 8
When the user 7 disconnects the user terminal 6 from the telephone network in order to disconnect the user terminal 6 connected to the virtual closed network 8 from the virtual closed network 8, the authentication access
[0098]
Based on the signal, the authentication access
[0099]
(3) Authentication invalidation processing by closing the user's browser
The authentication access
[0100]
When there is no response from the Java applet of the user terminal 6, the authentication access
[0101]
As a result, the authentication is invalidated, and the access request addressed to the content belonging to the content group 11 (content group 12) from the user terminal 6 is again requested to authenticate via the authentication access
[0102]
(4) Authentication invalidation processing by user logout processing
As shown in FIG. 10, a resident program (here, a Java applet) transmitted to the user terminal 6 after authenticating the content group 11 (or the content group 12) of the user 7 is displayed on the browser on the user terminal 6. The
[0103]
Upon receiving the display of the
[0104]
Upon receipt of the packet, the authentication access
[0105]
As a result, the authentication is invalidated, and the access request addressed to the content belonging to the content group 11 (content group 12) from the user terminal 6 is again requested to authenticate via the authentication access
[0106]
(5) Invalidation processing after a certain period of time after authentication
The authentication access
[0107]
As a result, the authentication is invalidated, and the access request addressed to the content belonging to the content group 11 (content group 12) from the user terminal 6 is again requested to authenticate via the authentication access
[0108]
【The invention's effect】
As described above, in the present invention, when remote access to a virtual closed network is realized, the authentication function and the gateway function are separated, and the access request to the content permitted to pass using the gateway function is made. Content on the server in the virtual closed network by providing an authentication mechanism that performs the process of allowing only the access to pass, and authenticating using the authentication function for other access requests and setting the pass permission to the gateway function To implement single sign-on authentication for a virtual closed network. Connection Because it is configured to also authenticate access to the content on the server in the virtual closed network with the authentication for the user, the user must be asked for a separate authentication procedure from the server in the virtual closed network It is possible to achieve the effect that the work can be performed efficiently.
[Brief description of the drawings]
FIG. 1 is an example of a system configuration for realizing the present invention.
FIG. 2 is an example embodiment of a virtual closed network access authentication table.
FIG. 3 is an example of an embodiment of a content group access authentication table.
FIG. 4 is an example of an embodiment of a content access authentication table.
FIG. 5 is a diagram showing a flow of processing in the embodiment.
FIG. 6 is a diagram showing a flow of processing in the embodiment.
FIG. 7 is an example of a processing flow executed in the present invention.
FIG. 8 is an example of a processing flow executed in the present invention.
FIG. 9 is an example of a processing flow executed in the present invention.
FIG. 10 is a diagram illustrating a screen image of a browser on a user terminal.
FIG. 11 is a diagram illustrating an authentication access control system according to the invention of the prior application.
[Explanation of symbols]
1 Authentication access control system
2 Authentication access control server device
3 Gateway
4 Forwarding node
5 Remote access server
6 User terminals
7 users
8 Virtual closed network
9 Content server
10 Content server
11 Content group
12 content groups
13 content
14 content
15 content
16 content
20 Virtual closed network access authentication table
21 Content group access authentication table
22 Content access authentication table
Claims (8)
上記ゲートウェイ装置にコンテンツへのアクセス要求の許可を示すエントリ情報が設定されていないことで、そのアクセス要求が上記ゲートウェイ装置から転送されてくる場合に、そのアクセス要求を受け取る受取手段と、
利用者端末から、仮想閉域網への接続要求がある場合に、利用者端末からその接続に必要となる認証情報を取得して、それに基づいて、仮想閉域網への接続要求を認証する認証手段と、
上記認証手段にて仮想閉域網への接続要求の認証が成功した場合に、その認証でもってアクセス要求の認証を行ったものと見なされるコンテンツ群配下のコンテンツの内の、認証機能を持たないサーバの保有するコンテンツを特定する特定手段と、
仮想閉域網接続要求元の利用者端末から上記特定手段の特定したコンテンツへのアクセス許可を示すエントリ情報を、上記ゲートウェイ装置に設定する設定手段とを備えることを、
特徴とする認証アクセス制御サーバ装置。An authentication access control server configured by an authentication access control server device and a gateway device provided in association with a virtual closed network, and used in a system for authenticating an access request to content in a virtual closed network issued from a user terminal A device,
Receiving means for receiving the access request when the access request is transferred from the gateway device because entry information indicating permission of the access request to the content is not set in the gateway device;
Authentication means for acquiring authentication information necessary for the connection from the user terminal when there is a connection request to the virtual closed network from the user terminal, and authenticating the connection request to the virtual closed network based on the authentication information When,
A server that does not have an authentication function among the contents under the content group that is considered to have authenticated the access request by the authentication when the authentication means succeeds in authenticating the connection request to the virtual closed network. A means of identifying the content held by
Comprising setting means for setting entry information indicating access permission to the content specified by the specifying means from the user terminal of the virtual closed network connection request source in the gateway device,
A featured authentication access control server device.
さらに、利用者端末から、上記認証手段による認証でもってアクセス要求の認証を行ったものと見なされないコンテンツ群に属するいずれかのコンテンツへの初回のアクセス要求がある場合に、利用者端末からそのアクセスに必要となるシングルサインオン用の認証情報を取得して、それに基づいて、そのコンテンツ群へのアクセス要求を認証する第2の認証手段と、
上記第2の認証手段にてコンテンツ群へのアクセス要求の認証が成功した場合に、そのコンテンツ群配下のコンテンツの内の、認証機能を持たないサーバの保有するコンテンツを特定する第2の特定手段と、
コンテンツアクセス要求元の利用者端末から上記第2の特定手段の特定したコンテンツへのアクセス許可を示すエントリ情報を、上記ゲートウェイ装置に設定する第2の設定手段と、
利用者端末からアクセス要求のあるコンテンツを保有するサーバが認証機能を持つ場合に、利用者から予め入手したそのコンテンツについての利用者の認証情報を用いて、そのサーバとアクセス認証を行う第3の認証手段と、
上記第3の認証手段にてコンテンツへのアクセス要求の認証が成功した場合に、コンテンツアクセス要求元の利用者端末からそのコンテンツへのアクセス許可を示すエントリ情報を、上記ゲートウェイ装置に設定する第3の設定手段とを備えることを、
特徴とする認証アクセス制御サーバ装置。The authentication access control server device according to claim 1,
Furthermore, when there is an initial access request from a user terminal to any content belonging to a content group that is not considered to have been authenticated by the authentication means, the user terminal Second authentication means for acquiring authentication information for single sign-on necessary for access and authenticating an access request to the content group based on the authentication information;
When the second authentication means succeeds in authenticating the access request to the content group, the second specifying means for specifying the content held by the server having no authentication function among the contents under the content group When,
Second setting means for setting, in the gateway device, entry information indicating permission to access the content specified by the second specifying means from the user terminal of the content access request source;
When the server holding the content requested to be accessed from the user terminal has an authentication function, the third authentication is performed for access authentication with the server using the user authentication information about the content obtained in advance from the user. Authentication means;
When the third authentication unit succeeds in authenticating the access request to the content, the entry information indicating permission to access the content from the user terminal of the content access request source is set in the gateway device. Having the setting means of
A featured authentication access control server device.
規定の状態になる場合に、上記ゲートウェイに設定したエントリ情報を無効化する無効化手段を備えることを、
特徴とする認証アクセス制御サーバ装置。In the authentication access control server device according to claim 1 or 2,
Including an invalidating means for invalidating the entry information set in the gateway in a specified state;
A featured authentication access control server device.
上記受取手段が、上記ゲートウェイ装置にコンテンツへのアクセス要求の許可を示すエントリ情報が設定されていないことで、そのアクセス要求が上記ゲートウェイ装置から転送されてくる場合に、そのアクセス要求を受け取り、
上記認証手段が、利用者端末から、仮想閉域網への接続要求がある場合に、利用者端末からその接続に必要となる認証情報を取得して、それに基づいて、仮想閉域網への接続要求を認証し、
上記特定手段が、上記認証手段にて仮想閉域網への接続要求の認証が成功した場合に、その認証でもってアクセス要求の認証を行ったものと見なされるコンテンツ群配下のコンテンツの内の、認証機能を持たないサーバの保有するコンテンツを特定し、
上記設定手段が、仮想閉域網接続要求元の利用者端末から上記特定手段の特定したコンテンツへのアクセス許可を示すエントリ情報を、上記ゲートウェイ装置に設定することを、
特徴とする認証アクセス制御方法。Content in a virtual private network that is issued from a user terminal, comprising an authentication access control server device comprising a receiving means, an authentication means, a specifying means and a setting means, and a gateway device provided in association with the virtual private network An authentication access control method executed in a system for authenticating an access request to
The receiving means receives the access request when the access request is transferred from the gateway device because entry information indicating permission of the access request to the content is not set in the gateway device,
When the authentication means receives a connection request from the user terminal to the virtual private network, the authentication information necessary for the connection is obtained from the user terminal, and based on this, a connection request to the virtual private network is obtained. Authenticate
When the authentication unit succeeds in authenticating the connection request to the virtual closed network by the authentication unit, the authentication unit authenticates the content under the content group considered to have authenticated the access request by the authentication. Identify the content held by a server that has no function,
The setting means setting entry information indicating access permission to the content specified by the specifying means from the user terminal of the virtual closed network connection request source to the gateway device;
A featured authentication access control method.
上記認証アクセス制御サーバ装置が、さらに、第2の認証手段と第2の特定手段と第2の設定手段と第3の認証手段と第3の設定手段とを備えて、
上記第2の認証手段が、利用者端末から、上記認証手段による認証でもってアクセス要求の認証を行ったものと見なされないコンテンツ群に属するいずれかのコンテンツへの初回のアクセス要求がある場合に、利用者端末からそのアクセスに必要となるシングルサインオン用の認証情報を取得して、それに基づいて、そのコンテンツ群へのアクセス要求を認証し、
上記第2の特定手段が、上記第2の認証手段にてコンテンツ群へのアクセス要求の認証が成功した場合に、そのコンテンツ群配下のコンテンツの内の、認証機能を持たないサーバの保有するコンテンツを特定し、
上記第2の設定手段が、コンテンツアクセス要求元の利用者端末から上記第2の特定手段の特定したコンテンツへのアクセス許可を示すエントリ情報を、上記ゲートウェイ装置に設定し、
上記第3の認証手段が、利用者端末からアクセス要求のあるコンテンツを保有するサーバが認証機能を持つ場合に、利用者から予め入手したそのコンテンツについての利用者の認証情報を用いて、そのサーバとアクセス認証を行い、
上記第3の設定手段が、上記第3の認証手段にてコンテンツへのアクセス要求の認証が成功した場合に、コンテンツアクセス要求元の利用者端末からそのコンテンツへのアクセス許可を示すエントリ情報を、上記ゲートウェイ装置に設定することを、
特徴とする認証アクセス制御方法。The authentication access control method according to claim 4,
The authentication access control server device further includes second authentication means, second identification means, second setting means, third authentication means, and third setting means,
When the second authentication unit receives an initial access request from a user terminal to any content belonging to a content group that is not considered to have been authenticated by the authentication unit. , Obtain authentication information for single sign-on necessary for the access from the user terminal, and authenticate the access request to the content group based on the authentication information,
When the second specifying means succeeds in authenticating the access request to the content group by the second authenticating means, the content held by the server having no authentication function among the contents under the content group Identify
The second setting means sets entry information indicating permission to access the content specified by the second specifying means from the user terminal of the content access request source to the gateway device;
When the third authentication means has an authentication function for the server that holds the content requested to be accessed from the user terminal, the server uses the user authentication information about the content obtained in advance from the user. And access authentication,
When the third setting means succeeds in authenticating the access request to the content by the third authentication means, the entry information indicating permission to access the content from the user terminal that is the content access request source, Setting the gateway device above
A featured authentication access control method.
上記認証アクセス制御サーバ装置が、さらに、無効化手段を備えて、
上記無効化手段が、規定の状態になる場合に、上記ゲートウェイに設定したエントリ情報を無効化することを、
特徴とする認証アクセス制御方法。In the authentication access control method according to claim 4 or 5,
The authentication access control server device further includes invalidation means,
When the invalidation means is in a specified state, invalidating the entry information set in the gateway,
A featured authentication access control method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002177944A JP4149745B2 (en) | 2002-06-19 | 2002-06-19 | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002177944A JP4149745B2 (en) | 2002-06-19 | 2002-06-19 | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004021761A JP2004021761A (en) | 2004-01-22 |
| JP4149745B2 true JP4149745B2 (en) | 2008-09-17 |
Family
ID=31175806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002177944A Expired - Fee Related JP4149745B2 (en) | 2002-06-19 | 2002-06-19 | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4149745B2 (en) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4728026B2 (en) * | 2005-03-29 | 2011-07-20 | 株式会社野村総合研究所 | Load balancing system and load balancing method |
| JP2009086960A (en) * | 2007-09-28 | 2009-04-23 | Nippon Digital Kenkyusho:Kk | Method for setting url filter, client device, terminal device, client/server system, and program for setting url filter |
| JP4937171B2 (en) * | 2008-03-26 | 2012-05-23 | みずほ情報総研株式会社 | Data disclosure system, access control setting method, and access control setting program |
| JP5750972B2 (en) * | 2011-03-25 | 2015-07-22 | 富士ゼロックス株式会社 | Information processing apparatus, program, and information processing system |
| JP6115292B2 (en) * | 2013-05-01 | 2017-04-19 | 富士通株式会社 | Biometric authentication system, biometric authentication method, and biometric authentication device |
| US9308737B1 (en) * | 2014-10-16 | 2016-04-12 | Funai Electric Co., Ltd. | Agitating member for ink cartridge |
-
2002
- 2002-06-19 JP JP2002177944A patent/JP4149745B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004021761A (en) | 2004-01-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4867663B2 (en) | Network communication system | |
| KR100847596B1 (en) | Network system, gateway, data communication method and program providing medium | |
| US9253031B2 (en) | System, method and computer program product for identifying, configuring and accessing a device on a network | |
| US6934848B1 (en) | Technique for handling subsequent user identification and password requests within a certificate-based host session | |
| US9219750B2 (en) | Communication access control device, communication access control method, and computer readable recording medium | |
| CN105827624B (en) | an authentication system | |
| EP1442580B1 (en) | Method and system for providing secure access to resources on private networks | |
| JP5239341B2 (en) | Gateway, relay method and program | |
| US20130117821A1 (en) | Method and system for providing secure access to private networks | |
| JP2005339093A (en) | Authentication method, authentication system, authentication proxy server, network access authentication server, program, and recording medium | |
| JP2004536359A (en) | System and method for authenticating a user to a web server | |
| JP2005516533A (en) | Single sign-on on the Internet using public key cryptography | |
| CN111245791B (en) | Single sign-on method for realizing management and IT service through reverse proxy | |
| JP2728033B2 (en) | Security method in computer network | |
| WO2009129753A1 (en) | A method and apparatus for enhancing the security of the network identity authentication | |
| CN112929388B (en) | Network identity cross-device application fast authentication method and system, user agent device | |
| JP2002189646A (en) | Relay device | |
| JP3863441B2 (en) | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program | |
| JP4149745B2 (en) | Authentication access control server device, authentication access control method, authentication access control program, and computer-readable recording medium recording the program | |
| CN1783780B (en) | Implementation method and device for domain authentication and network authority authentication | |
| JP4390429B2 (en) | Single sign-on system, program thereof and method thereof | |
| JP3766338B2 (en) | Authentication access control system, authentication access control server apparatus, authentication access control method, authentication access control program, and recording medium recording the program | |
| JP3953963B2 (en) | Packet communication device with authentication function, network authentication access control server, and distributed authentication access control system | |
| CN100563162C (en) | A Method for Realizing Network Access Control | |
| JP4152753B2 (en) | Network authentication access control server, application authentication access control server, and integrated authentication access control system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040728 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061010 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061208 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20061208 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080226 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080317 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080422 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080520 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080624 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080626 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110704 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110704 Year of fee payment: 3 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: R3D02 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120704 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |