JP4291213B2 - Authentication method, authentication system, authentication proxy server, network access authentication server, program, and recording medium - Google Patents
Authentication method, authentication system, authentication proxy server, network access authentication server, program, and recording medium Download PDFInfo
- Publication number
- JP4291213B2 JP4291213B2 JP2004155673A JP2004155673A JP4291213B2 JP 4291213 B2 JP4291213 B2 JP 4291213B2 JP 2004155673 A JP2004155673 A JP 2004155673A JP 2004155673 A JP2004155673 A JP 2004155673A JP 4291213 B2 JP4291213 B2 JP 4291213B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- server
- user
- network access
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 98
- 230000008569 process Effects 0.000 claims description 52
- 230000004044 response Effects 0.000 claims description 52
- 238000012790 confirmation Methods 0.000 claims description 34
- 238000012795 verification Methods 0.000 claims description 15
- 230000008901 benefit Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 description 32
- 238000005516 engineering process Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Description
本発明はユーザ端末がネットワークを介してサービスサーバからサービス提供を受けるネットワーク構成でのシングルサインオン認証技術に関し、特にセキュリティの強化を目的とした認証技術に関するものである。 The present invention relates to a single sign-on authentication technique in a network configuration in which a user terminal receives a service provided from a service server via a network, and more particularly to an authentication technique for the purpose of strengthening security.
仮想閉域網(VPN)内において複数のWebサーバに対して、一度の認証手続きでアクセスを可能とするシングルサインオン技術が存在する。 There is a single sign-on technology that enables access to a plurality of Web servers in a virtual closed network (VPN) by a single authentication procedure.
(1)このシングルサインオン技術には、リバース・プロキシ型とエージェント・モジュール型があり、前者はWebサーバ宛のアクセストラヒックを全て専用のシングルサインオンサーバで受け、ユーザ毎に規定されたアクセスリストに照らし合わせて、パケット転送の可否を取捨選択する方法であり、シングルサインオンサーバヘの処理負荷の集中の点で、大規模な網への適用には不向きである。後者は各Webサーバでユーザ認証の認証状態を判断して、未認証の場合にはユーザからのアクセス要求をシングルサインオンサーバへ転送して、認証を受けさせるものである。認証が成功すると証明書が発行され、各Webサーバは受信したアクセス要求の中の証明書が添付されていることをもって、そのユーザが認証済みであることを判断してアクセスが許可される。以上述べた動作は、Webサーバが設備されているネットワークにユーザ端末が既に接続されていることを前提にしており、VPNに遠隔から接続するときの様に、VPNへの接続自体に認証が求められる場合には、ユーザは2度の手続きが必要となり、パケット管理が複雑化する問題がある。 (1) The single sign-on technology includes a reverse proxy type and an agent module type. The former receives all access traffic addressed to the Web server by a dedicated single sign-on server, and an access list defined for each user. In view of the above, it is a method of selecting whether or not packet transfer is possible, and is unsuitable for application to a large-scale network in terms of concentration of processing load on the single sign-on server. In the latter, the authentication status of user authentication is determined by each Web server, and if it is not authenticated, the access request from the user is transferred to the single sign-on server to be authenticated. If the authentication is successful, a certificate is issued, and each Web server determines that the user has been authenticated, and is allowed access by attaching the certificate in the received access request. The operations described above are based on the assumption that the user terminal is already connected to the network where the Web server is installed, and authentication is required for the connection to the VPN itself as when connecting to the VPN remotely. In such a case, the user needs two procedures, and there is a problem that packet management becomes complicated.
(2)リモートアクセスユーザの端末から、電話網、インターネット経由でVPNに接続してVPN内のWebサーバにアクセスする場合のシングルサインオン技術の実施例は、非特許文献1にあるので、それを図13により説明する。リモートアクセスユーザの端末からの認証に必要な情報、例えばIDとパスワードは、リモートアクセスサーバ(RAS)あるいはIPsec(Security Architecture for the Internet Protocol)ゲートウェイを経由して、ネットワークアクセス認証サーバに送られる。該ネットワークアクセス認証サーバでは内部に保持するユーザ認証用情報に照らして、ユーザ認証を行い、接続要求を行った端末に対してはVPN接続用のIPアドレスを払い出し、ネットワーク認証状態テーブルで管理する。次に該ユーザがVPN内のあるWebサーバ(サービスサーバ)にアクセスを試みると、その時点では該端末が証明書を保持していないため、該端末からのアクセス要求はWebサーバ(サービスサーバ)により認証代行サーバにリダイレクトされる。該認証代行サーバでは、端末から送信された認証要求パケットから送信元IPアドレスを抽出し、ネットワークアクセス認証サーバに送信する。ネットワークアクセス認証サーバではネットワーク認証状態テーブルを参照し、受信したIPアドレスが先にVPN接続の認証時に払い出したIPアドレスであるかを検索し、結果を認証代行サーバに送る。認証代行サーバでは、先に送ったIPアドレスが払い出し済のIPアドレスに該当していた場合には、証明書を発行する。以上によりユーザは、VPN接続時の一度の認証手続きにより、VPN接続とVPN内Webサーバへのシングルサインオンを実現している。
(2) An example of single sign-on technology for accessing a Web server in a VPN by connecting to a VPN via a telephone network or the Internet from a terminal of a remote access user is in Non-Patent
(3)リモートアクセス拠点にLANを構成してそれに接続されている端末からVPNにリモートアクセスする場合のシングルサインオン技術を以下に説明する。この場合はユーザルータを介して同時に複数の端末での接続が可能であり、(2)で述べた接続形態を当てはめると、ネットワークアクセス認証サーバから付与されるのはユーザルータの公衆網側アドレスのみとなり、認証代行サーバに届くアクセス要求パケットの送信元アドレスとなる端末のアドレスは、端末毎に1対1に対応されていないため、(2)と同様の手順では認証状態が判別できない。このための実施例は非特許文献1にあるので、それを図14により以下に説明する。具体的にはリモートアクセス拠点内にユーザルータとローカル認証サーバを配置し、リモートアクセス拠点内の端末に対するユーザ認証とアドレスの払い出し結果を、ネットワークアクセス認証サーバに通知することで認証状態を管理する。ここでユーザルータはLAN内端末へのアドレス払い出しとともに、払い出したアドレスをネットワークアクセス認証サーバに通知する機能を持つ。またローカル認証サーバはユーザルータからの依頼によりIDとパスワードでユーザを認証する。以上により、LAN内の端末に対してもアドレス情報がネットワークアクセス認証サーバに蓄積されることになり、端末からのVPN内Webサーバにアクセス要求が行われた場合には、(2)で示したリモートアクセスユーザの端末から、電話網、インターネット経由でVPNに接続してVPN内のWebサーバにアクセスする場合と同様の処理により、Webサーバにシングルサインオンが可能となる。
(3) A single sign-on technique in the case where a remote access base is configured with a LAN and a terminal connected to the LAN remotely accesses the VPN will be described below. In this case, it is possible to connect with a plurality of terminals simultaneously via the user router. When the connection mode described in (2) is applied, only the public network side address of the user router is given from the network access authentication server. Thus, since the address of the terminal that is the transmission source address of the access request packet that reaches the authentication proxy server does not correspond one-to-one for each terminal, the authentication state cannot be determined by the same procedure as in (2). An example for this is in
いずれも本発明の目的とする認証連携を記載したものではない。 Neither of them describes the authentication collaboration that is the object of the present invention.
従来の技術では、ネットワークアクセス認証サーバでの認証(NWアクセス認証)が完了していれば、ユーザの端末からサービスサーバにアクセスを試みたとき、サービスサーバで該当ユーザの認証が済んでいればサービスを開始する。反対にサービスサーバで認証が未認証の場合には、認証代行サーバがユーザ端末経由での認証要求を受信し、認証代行サーバでの認証(IDP認証)が既に成功あるいは認証が成功すれば、認証代行サーバは認証結果情報(アサーション)を生成してサービスサーバヘ認証結果情報の検証を依頼し、サービスサーバでの認証結果情報の検証が済めば、NWアクセス認証の状況に関わらず、サービス提供可能となる。いずれの場合でも、NWアクセス認証、IDP認証のいずれかの認証が成功していれば、サービス提供を可能としている。なお、NWはネットワークを意味する。 In the conventional technology, if the authentication (NW access authentication) with the network access authentication server has been completed, when the user's terminal tries to access the service server, the service server is authenticated if the corresponding user has been authenticated. To start. On the other hand, if the authentication is unauthenticated by the service server, the authentication proxy server receives an authentication request via the user terminal, and if authentication (IDP authentication) at the authentication proxy server has already succeeded or authentication has succeeded, the authentication The proxy server generates authentication result information (assertion) and requests the service server to verify the authentication result information. If the verification result information is verified on the service server, the service can be provided regardless of the NW access authentication status. It becomes. In any case, if either NW access authentication or IDP authentication is successful, the service can be provided. NW means a network.
本発明では、インターネット等のオープンなネットワークを対象に、以下の課題の解決並びにセキュリティをより強固にしたシングルサインオンを実現することを目的とする。
(1)課題:NWユーザIDとIDPユーザIDが1:1であるため、ホームゲートウェイ内の個人(端末)まで識別した認証(1:n)ができない。
(2)課題:NWユーザIDとIDPユーザIDが1:1であるため、1ユーザが複数のNWユーザIDをもつ形態(n:1)に対応できない。
(3)機能向上:IDP認証とNWアクセス認証を併用して、双方の認証を確認した場合のみ証明書を発行することによりセキュリティをより強固にする。
An object of the present invention is to solve the following problems and realize single sign-on with stronger security for an open network such as the Internet.
(1) Problem: Since the NW user ID and the IDP user ID are 1: 1, authentication (1: n) that identifies individuals (terminals) in the home gateway cannot be performed.
(2) Problem: Since the NW user ID and the IDP user ID are 1: 1, it is not possible to cope with a form (n: 1) in which one user has a plurality of NW user IDs.
(3) Function improvement: IDP authentication and NW access authentication are used together, and security is further strengthened by issuing a certificate only when both authentications are confirmed.
本発明は上記課題を解決するため、ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証方法であって、
前記認証代行サーバが、前記サービスサーバから前記ユーザ端末を経由して認証要求を受けるステップと、前記認証代行サーバが、前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記ネットワークアクセス認証サーバに対して、前記ユーザ端末のIPアドレスまたは前記ユーザ端末のユーザの前記ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDをキーとしてネットワークアクセス認証状態の確認を依頼するステップと、前記ネットワークアクセス認証サーバが、前記認証代行サーバからの依頼を受けて、ネットワークアクセス認証サーバにおける認証状態を示す認証状態情報と、前記認証代行サーバからの依頼におけるキーであるIPアドレスに対応するネットワークユーザIDまたは前記認証代行サーバからの依頼におけるキーであるネットワークユーザIDに対応するIPアドレスを、前記認証代行サーバに対して送るステップと、前記認証代行サーバが、前記ネットワークアクセス認証サーバから受けた認証状態情報と前記ネットワークアクセス認証サーバにIPアドレスをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたネットワークユーザIDまたは前記ネットワークアクセス認証サーバにネットワークユーザIDをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたネットワークIPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送るステップと、を有し、前記サービスサーバでの該認証応答の検証終了後にサービスが開始されることを特徴とする。
In order to solve the above problems, the present invention provides a network access authentication server that authenticates network access of a user terminal, a service server that provides a service to the user terminal, and authentication of the user terminal for providing a service of the service server An authentication method in an authentication system formed by connecting an authentication agent server acting as an agent over a network,
The authentication proxy server receives an authentication request from the service server via the user terminal, and the authentication proxy server performs the network access authentication after the authentication process between the user terminal and the authentication proxy server is completed. Requesting the server to check the network access authentication state using the IP address of the user terminal or the network user ID of the user of the user terminal as a user ID in the network access authentication server; and the network access authentication server receives the request from the authentication agent server, and the authentication state information indicating the authentication status in the network access authentication server, the network user ID corresponding to the IP address is a key in the request from the authentication agent server or The I P address that corresponds to the network user ID is a key in the request from the serial authentication agent server, and sending to the authentication proxy server, wherein the authentication agent server, authentication state received from the network access authentication server Information and network access authentication server requesting confirmation using IP address as key and network user ID received from network access authentication server or network access authentication server requesting confirmation using network user ID as key and network access Verifying the network IP address received from the authentication server and, if valid, sending an authentication response including authentication result information to the service server via the user terminal, Recognition of Service after verification end of the response, characterized in that is started.
また、ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証方法であって、ユーザによる前記ユーザ端末からのサービス要求に対して前記サービスサーバが前記ユーザの認証を確認できた場合には前記ユーザに対してサービスを提供するステップと、前記ユーザの認証が確認できない場合には前記サービスサーバから前記ユーザ端末にリダイレクト先アドレスを含んだ認証要求を送るステップと、前記ユーザ端末から前記認証代行サーバに発IPアドレスを含んだ認証要求を送るステップと、前記認証代行サーバが前記ユーザを確認したときには認証結果情報を生成して前記ユーザ端末へ該認証結果情報とリダイヤル先アドレスを含んだ認証応答を送るステップと、前記ユーザ端末から前記サービスサーバへ該認証結果情報を含んだ認証応答を送るステップと、前記サービスサーバで該認証結果情報を検証するステップと、該認証結果情報が無効の場合には前記ユーザヘサービス提供不可を通知するステップと、該認証結果情報が有効の場合には前記サービスサーバが前記ユーザに対してサービスを提供するステップと、前記認証代行サーバが前記ユーザを未確認のときに前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、ネットワークアクセス認証サーバに対して、該IPアドレスをキーとしてネットワークアクセス認証状態の確認を依頼するステップと、前記ネットワークアクセス認証サーバが該IPアドレスに対応する、前記ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDをネットワークアクセスセッション情報管理テーブルより検索するステップと、対応するネットワークユーザIDを取得できたときに、前記ネットワークアクセス認証サーバから前記認証代行サーバへ、ネットワークアクセス認証サーバにおける認証状態を示す認証状態情報と該ネットワークユーザIDとを送るステップと、前記認証代行サーバが、取得した該ネットワークユーザIDに対応する、前記認証代行サーバにおけるユーザIDであるIDPユーザIDをユーザ管理テーブルより検索するステップと、取得した該IDPユーザIDと前記ユーザ端末と前記認証代行サーバ間での認証時に取得した該IDPユーザIDを比較するステップと、前記比較により、両者が一致したときに、前記ユーザ端末に対して、認証結果情報を含んだ認証応答を送るステップと、前記ユーザ端末から前記サービスサーバに該認証結果情報を含んだ認証応答を送るステップと、を有し、前記サービスサーバでの該認証応答の検証終了後にサービスが開始されることを特徴とする。 A network access authentication server that authenticates network access of the user terminal; a service server that provides a service to the user terminal; and an authentication agent server that performs authentication of the user terminal for providing the service of the service server. An authentication method in an authentication system that is connected via an authentication method, wherein if the service server can confirm the authentication of the user in response to a service request from the user terminal by a user, a service is provided to the user. Providing an authentication request including a redirect destination address from the service server to the user terminal when the user authentication cannot be confirmed, and including an originating IP address from the user terminal to the authentication proxy server. Before sending authentication request When the authentication proxy server confirms the user, it generates authentication result information and sends an authentication response including the authentication result information and a redial destination address to the user terminal; and the authentication result from the user terminal to the service server Sending an authentication response including information; verifying the authentication result information at the service server; notifying the user that service cannot be provided if the authentication result information is invalid; and the authentication result When the information is valid, the service server provides a service to the user, and after the authentication processing between the user terminal and the authentication proxy server is completed when the authentication proxy server has not confirmed the user. Network access authentication server using the IP address as a key A step of requesting confirmation of the state, a step of searching the network access session information management table for a network user ID which is a user ID in the network access authentication server corresponding to the IP address of the network access authentication server, and When the network user ID can be acquired, sending the authentication status information indicating the authentication status in the network access authentication server and the network user ID from the network access authentication server to the authentication proxy server; A step of searching an IDP user ID corresponding to the acquired network user ID, which is a user ID in the authentication proxy server, from a user management table; and the acquired IDP user ID and the A step of comparing the IDP user ID acquired at the time of authentication between the user terminal and the authentication proxy server, and an authentication response including authentication result information to the user terminal when the two match by the comparison Transmitting an authentication response including the authentication result information from the user terminal to the service server, and the service is started after the verification of the authentication response in the service server is completed. It shall be the feature.
また、ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証方法であって、ユーザによる前記ユーザ端末からのサービス要求に対して前記サービスサーバが前記ユーザの認証を確認できた場合には前記ユーザに対してサービスを提供するステップと、前記ユーザの認証が確認できない場合には前記サービスサーバから前記ユーザ端末にリダイレクト先アドレスを含んだ認証要求を送るステップと、前記ユーザ端末から前記認証代行サーバに発IPアドレスを含んだ認証要求を送るステップと、前記認証代行サーバが前記ユーザを確認したときには認証結果情報を生成して前記ユーザ端末へ該認証結果情報とリダイヤル先アドレスを含んだ認証応答を送るステップと、前記ユーザ端末から前記サービスサーバへ該認証結果情報を含んだ認証応答を送るステップと、前記サービスサーバで該認証結果情報を検証するステップと、該認証結果情報が無効の場合には前記ユーザヘサービス提供不可を通知するステップと、該認証結果情報が有効の場合には前記サービスサーバが前記ユーザに対してサービスを提供するステップと、前記認証代行サーバが前記ユーザを未確認のときに、前記認証代行サーバが認証時に取得したIDPユーザIDに対応するネットワークユーザIDをIDPユーザ管理テーブルより検索するステップと、該ネットワークユーザIDを取得したときに、前記ネットワークアクセス認証サーバヘ該ネットワークユーザIDをキーとしてネットワークアクセス認証状態の確認を依頼するステップと、前記ネットワークアクセス認証サーバが該ネットワークユーザIDに対応するIPアドレスをネットワークアクセスセッション情報管理テーブルより検索するステップと、対応するIPアドレスを取得したときに、前記ネットワークアクセス認証サーバから前記認証代行サーバヘ、ネットワークアクセス認証サーバにおける認証状態を示す認証状態情報と該IPアドレスを送るステップと、前記認証代行サーバが、取得したIPアドレスと、認証要求での発IPアドレスを比較するステップと、前記比較により、両者が一致したときに、前記ユーザ端末に対して、認証結果情報を含んだ認証応答を送るステップと、前記ユーザ端末から前記サービスサーバに該認証結果情報を含んだ認証応答を送るステップと、有し、前記サービスサーバでの該認証応答の検証終了後にサービスが開始されることを特徴とする。 A network access authentication server that authenticates network access of the user terminal; a service server that provides a service to the user terminal; and an authentication agent server that performs authentication of the user terminal for providing the service of the service server. An authentication method in an authentication system that is connected via an authentication system, wherein if the service server can confirm the authentication of the user in response to a service request from the user terminal by the user, Providing an authentication request including a redirect destination address from the service server to the user terminal when the user authentication cannot be confirmed, and including an originating IP address from the user terminal to the authentication proxy server. Before sending authentication request When the authentication proxy server confirms the user, it generates authentication result information and sends an authentication response including the authentication result information and a redial destination address to the user terminal; and the authentication result from the user terminal to the service server Sending an authentication response including information; verifying the authentication result information at the service server; notifying the user that service cannot be provided if the authentication result information is invalid; and the authentication result When the information is valid, the service server provides a service to the user, and the authentication proxy server corresponds to the IDP user ID acquired by the authentication proxy server when the user has not been confirmed. A network user ID to be searched from the IDP user management table; Requesting the network access authentication server to check the network access authentication state using the network user ID as a key, and the network access authentication server to access the IP address corresponding to the network user ID when the network user ID is acquired. A step of searching from the session information management table, and a step of sending the authentication status information indicating the authentication status in the network access authentication server and the IP address from the network access authentication server to the authentication proxy server when the corresponding IP address is acquired The authentication proxy server compares the acquired IP address with the originating IP address in the authentication request, and when the comparison results in a match, An authentication response including authentication result information; and a step of transmitting an authentication response including the authentication result information from the user terminal to the service server, and after the verification of the authentication response at the service server is completed. The service is started.
また、前記認証方法において、1つの認証代行サーバの配下に複数のネットワークアクセス認証サーバが接続される認証システムにおける認証方法であって、前記認証代行サーバが、前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記認証代行サーバから前記ネットワークアクセス認証サーバヘネットワークアクセス認証状態を確認するときに、前記認証代行サーバが保有する前記ユーザが属するネットワークアクセス認証サーバを識別する識別子により該当するネットワークアクセス認証サーバを特定するステップと、前記認証代行サーバから前記ネットワークアクセス認証サーバに、ネットワークアクセス認証状態の確認を依頼するステップと、を有することを特徴とする。 The authentication method is an authentication method in an authentication system in which a plurality of network access authentication servers are connected under one authentication proxy server, wherein the authentication proxy server is between the user terminal and the authentication proxy server. When the network access authentication state is confirmed from the authentication proxy server to the network access authentication server after the authentication process is completed, the corresponding network is identified by an identifier for identifying the network access authentication server to which the user belonging to the authentication proxy server belongs. A step of specifying an access authentication server; and a step of requesting the network access authentication server to check the network access authentication state from the authentication proxy server.
また、前記認証方法において、前記認証代行サーバから前記ネットワークアクセス認証サーバヘアクセスするとき、前記認証代行サーバが前記ユーザ端末のIPアドレスから該当する認証サーバを引くテーブルを用意するステップと、該テーブルを用いてそのIPアドレスから該当するネットワークアクセス認証サーバを特定するステップと、認証処理において、ネットワークアクセスサーバによる認証と認証代行サーバにおける認証とを連携して行う、または、ネットワークアクセスサーバによる認証と認証代行サーバにおける認証とを連携して行う代わりにネットワークアクセス認証単独の認証のみを行うステップと、を有することを特徴とする。 In the authentication method, when accessing the network access authentication server from the authentication proxy server, the authentication proxy server prepares a table for subtracting the corresponding authentication server from the IP address of the user terminal; and And using the IP address to identify the corresponding network access authentication server and in the authentication process, the authentication by the network access server and the authentication by the authentication proxy server are performed in cooperation, or the network access server by the authentication and authentication proxy Instead of performing authentication in the server in cooperation, performing only network access authentication alone.
また、IPアドレスを回線毎に固定的に割り当てるエッジルータと、ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証方法であって、前記認証代行サーバが、前記サービスサーバから前記ユーザ端末を経由して認証要求を受けるステップと、前記認証代行サーバが、前記ユーザ端末と認証代行サーバ間でのIDP認証において、前記ユーザ端末に対して認証を行うと共に、IDPユーザIDのエントリーごとにユーザアカウント情報として前記認証代行サーバ内に格納してある前記エッジルータが回線毎に固定的に割り当てたIPアドレスを利用して発IPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送るステップと、を有し、前記サービスサーバでの該認証応答の検証終了後にサービスが開始されることを特徴とする。 The network and edge routers to assign fixedly a I P address for each line, and the service server for providing a service to a user terminal, an authentication proxy server to proxy authentication of the user terminal for servicing of the service server An authentication method in an authentication system connected via the authentication server , wherein the authentication proxy server receives an authentication request from the service server via the user terminal, and the authentication proxy server is connected to the user terminal. In IDP authentication between authentication proxy servers, the user terminal is authenticated and the edge router stored in the authentication proxy server as user account information for each IDP user ID entry is fixed for each line. It verifies the source IP address to the assigned IP address to take advantage , If valid, the authentication result inclusive authentication response information, said via user terminals have a, and sending to the service server, the service is started after verifying the completion of authentication response in said service server characterized in that that.
また、ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムであって、前記認証代行サーバが、前記サービスサーバから前記ユーザ端末を経由して認証要求を受ける手段と、前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記ネットワークアクセス認証サーバに対して、前記ユーザ端末のIPアドレスまたは前記ユーザ端末のユーザの前記ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDをキーとしてネットワークアクセス認証状態の確認を依頼する手段と、前記ネットワークアクセス認証サーバから受けた前記認証状態情報と前記ネットワークアクセス認証サーバにIPアドレスをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたネットワークユーザIDまたは前記ネットワークアクセス認証サーバにネットワークユーザIDをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたIPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送る手段と、を備え、前記ネットワークアクセス認証サーバが、前記認証代行サーバからの依頼を受けて、ネットワークアクセス認証サーバにおける認証状態を示す認証状態情報と、前記認証代行サーバからの依頼におけるキーであるIPアドレスに対応するネットワークユーザIDまたは前記前記認証代行サーバからの依頼におけるキーであるネットワークユーザIDに対応するIPアドレスを、前記認証代行サーバに対して送る手段を、備え、前記サービスサーバでの前記認証応答の検証終了後にサービスが開始されることを特徴とする。 A network access authentication server that authenticates network access of the user terminal; a service server that provides a service to the user terminal; and an authentication agent server that performs authentication of the user terminal for providing the service of the service server. An authentication system connected via the authentication server, wherein the authentication proxy server receives an authentication request from the service server via the user terminal, and an authentication process between the user terminal and the authentication proxy server After completion, the network access authentication server is requested to confirm the network access authentication state using the IP address of the user terminal or the network user ID of the user of the user terminal as a user ID in the network access authentication server. means , Network users to the network user ID or the network access authentication server has received the on the authentication state information received from the network access authentication server and the network access authentication server to request a check of the IP address as a key from the network access authentication server The IP address received from the network access authentication server is verified by requesting confirmation using the ID as a key , and if valid, an authentication response including authentication result information is sent to the service server via the user terminal. and means, wherein the network access authentication server, receiving a request from the authentication agent server, and the authentication state information indicating the authentication status in the network access authentication server, a key in the request from the authentication agent server I The I P address that corresponds to the network user ID is a key in the request from the network user ID or the said authentication agent server corresponding to the address, means for sending to the authentication proxy server, it comprises, at said service server The service is started after the verification of the authentication response is completed.
また、ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証代行サーバであって、前記サービスサーバから前記ユーザ端末を経由して認証要求を受ける手段と、前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記ネットワークアクセス認証サーバに対して、前記ユーザ端末のIPアドレスまたは前記ユーザ端末のユーザの前記ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDをキーとしてネットワークアクセス認証状態の確認を依頼する手段と、前記ネットワークアクセス認証サーバから受けた前記認証状態情報と前記ネットワークアクセス認証サーバにIPアドレスをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたネットワークユーザIDまたは前記ネットワークアクセス認証サーバにネットワークユーザIDをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたIPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送る手段と、を備えることを特徴とする。 A network access authentication server that authenticates network access of the user terminal; a service server that provides a service to the user terminal; and an authentication agent server that performs authentication of the user terminal for providing the service of the service server. An authentication proxy server in an authentication system connected via a means for receiving an authentication request from the service server via the user terminal, and after completion of the authentication process between the user terminal and the authentication proxy server Means for requesting the network access authentication server to confirm the network access authentication state using the IP address of the user terminal or the network user ID which is the user ID of the user of the user terminal in the network access authentication server as a key. , Network users to the network user ID or the network access authentication server has received the on the authentication state information received from the network access authentication server and the network access authentication server to request a check of the IP address as a key from the network access authentication server The IP address received from the network access authentication server is verified by requesting confirmation using the ID as a key , and if valid, an authentication response including authentication result information is sent to the service server via the user terminal. And means.
また、ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証代行サーバであって、認証代行サーバにおけるユーザIDであるIDPユーザID、ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDを含むユーザアカウントを持つ手段と、前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記ネットワークアクセス認証サーバヘ、前記ユーザ端末からの認証要求パケットの中の発IPアドレスをキーとして、該ネットワークアクセス認証状態の確認を依頼する手段と、前記ネットワークアクセス認証サーバより、ネットワークアクセス認証状態を含み認証済みの場合はネットワークユーザIDも含むネットワークアクセス認証状態確認結果を受信する手段と、ネットワークアクセス認証状態が確認できないときにはユーザヘサービス提供不可を通知する手段と、受信により取得したネットワークユーザIDに対応するIDPユーザIDを前記ユーザアカウントを持つ手段より検索する手段と、IDPユーザIDが取得できたか否かの判断を行う手段と、取得できないときは前記ユーザヘサービス提供不可を通知する手段と、取得したIDPユーザIDと、前記ユーザ端末と前記認証代行サーバ間での認証時に取得したIDPユーザIDとを比較する手段と、該IDPユーザIDの比較で一致するか否かの判断を行う手段と、一致しなければユーザヘサービス提供不可を通知する手段と、一致すれば認証結果情報を生成する手段と、を備えることを特徴とする。 A network access authentication server that authenticates network access of the user terminal; a service server that provides a service to the user terminal; and an authentication agent server that performs authentication of the user terminal for providing the service of the service server. An authentication proxy server in an authentication system connected via a means having a user account including an IDP user ID that is a user ID in the authentication proxy server and a network user ID that is a user ID in a network access authentication server; After completion of the authentication process between the user terminal and the authentication proxy server, the network access authentication server confirms the network access authentication state with the originating IP address in the authentication request packet from the user terminal as a key. A means for requesting, a means for receiving a network access authentication status confirmation result including a network user ID from the network access authentication server if the network access authentication status has been authenticated, and a user if the network access authentication status cannot be confirmed. Means for notifying service provision; means for searching for an IDP user ID corresponding to the network user ID acquired by reception from means having the user account; means for determining whether an IDP user ID has been acquired; Means for notifying the user that service cannot be provided when it cannot be acquired, means for comparing the acquired IDP user ID with the IDP user ID acquired during authentication between the user terminal and the authentication proxy server, One comparison of IDP user ID Means for judging whether to be a means for notifying the user f service unavailable If they do not match, and means to generate an authentication result information if they match, characterized in that it comprises a.
また、ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証代行サーバであって、認証代行サーバにおけるユーザIDであるIDPユーザID、ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDを含むユーザアカウントを持つ手段と、前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記認証時に取得したIDPユーザIDに対応するネットワークユーザIDを前記ユーザアカウントを持つ手段より検索する手段と、ネットワークユーザIDが取得できたか否かを判断する手段と、取得できなかった場合にはユーザヘサービス提供不可を通知する手段と、取得できたときには前記認証代行サーバは、前記ネットワークアクセス認証サーバヘ、該ネットワークユーザIDをキーとして該ネットワークアクセス認証状態の確認を依頼する手段と、前記認証代行サーバは前記ネットワークアクセス認証サーバより、ネットワーク認証状態を含み認証済みの場合にはIPアドレスも含むネットワークアクセス認証状態確認結果を受信する手段と、ネットワーク認証状態が済みか否かを判断する手段と、未認証の場合にはユーザヘサービス提供不可を通知する手段と、認証済みの場合には、ネットワークアクセス認証サーバより取得したIPアドレスと、認証要求パケットの発IPアドレスとを比較する手段と、IPアドレスの比較で一致するか否かの判断を行う手段と、一致しなければユーザヘサービス提供不可を通知する手段と、一致すれば認証結果情報を生成する手段と、を備えることを特徴とする。 A network access authentication server that authenticates network access of the user terminal; a service server that provides a service to the user terminal; and an authentication agent server that performs authentication of the user terminal for providing the service of the service server. An authentication proxy server in an authentication system connected via a means having a user account including an IDP user ID that is a user ID in the authentication proxy server and a network user ID that is a user ID in a network access authentication server; Means for retrieving a network user ID corresponding to the IDP user ID acquired at the time of authentication from the means having the user account after the end of the authentication process between the user terminal and the authentication proxy server; A means for judging whether or not it has been obtained, a means for notifying the user that service cannot be provided if it has not been obtained, and if it has been obtained, the authentication proxy server sends the network user ID to the network access authentication server. Means for requesting confirmation of the network access authentication status as a key, and the authentication proxy server receives from the network access authentication server a network access authentication status confirmation result including the network authentication status and, if authenticated, the IP address. Means for determining whether or not the network authentication status has been completed, means for notifying the user that the service cannot be provided if not authenticated, and IP address acquired from the network access authentication server if authenticated. Address and source IP address of the authentication request packet A means for comparing, a means for determining whether or not the IP addresses match, a means for notifying the user that the service cannot be provided if they do not match, and a means for generating authentication result information if they match. It is characterized by providing.
また、前記認証代行サーバにおいて、ユーザが属するネットワークアクセス認証サーバを識別する識別子を保有する手段と、前記識別子により、確認を依頼するネットワークアクセス認証サーバを決定する手段と、を備えることを特徴とする。 The authentication proxy server includes means for holding an identifier for identifying a network access authentication server to which a user belongs, and means for determining a network access authentication server to request confirmation based on the identifier. .
また、IPアドレスを回線毎に固定的に割り当てるエッジルータと、ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証代行サーバであって、前記サービスサーバから前記ユーザ端末を経由して認証要求を受ける手段と、前記ユーザ端末とのIDP認証において、前記ユーザ端末に対して認証を行うと共に、IDPユーザIDのエントリーごとにユーザアカウント情報として前記認証代行サーバ内に格納してある前記エッジルータが回線毎に固定的に割り当てたIPアドレスを利用して発IPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送る手段と、を備えることを特徴とする。 In addition, the network includes an edge router that assigns a fixed IP address for each line, a service server that provides a service to a user terminal, and an authentication proxy server that performs authentication of the user terminal to provide the service of the service server. An authentication proxy server in an authentication system connected via the authentication server , and authenticating the user terminal in IDP authentication with the user terminal and means for receiving an authentication request from the service server via the user terminal performs, the authentication agent the edge router that is stored in the server is fixedly assigned IP address validation of the origination IP address to take advantage of every line as user account information for each entry in the IDP user ID If it is valid, an authentication response including authentication result information is sent to the user terminal. And means for sending to the service server via .
また、前記認証代行サーバからIPアドレスまたはネットワークユーザIDをキーとして、ネットワークアクセス認証状態の確認の依頼を受けるネットワークアクセス認証サーバであって、前記認証代行サーバからの依頼を受けて、ネットワークアクセス認証サーバにおける認証状態情報と、前記IPアドレスまたは前記ネットワークユーザIDに対応するネットワークユーザIDまたはIPアドレスを、前記認証代行サーバに対して送る手段と、を備えることを特徴とする。 A network access authentication server that receives a request for confirmation of a network access authentication state from the authentication proxy server using an IP address or a network user ID as a key, the network access authentication server receiving a request from the authentication proxy server And means for sending the authentication status information and a network user ID or IP address corresponding to the IP address or the network user ID to the authentication proxy server.
また、前記認証代行サーバからIPアドレスをキーとして、ネットワークアクセス認証状態の確認の依頼を受けるネットワークアクセス認証サーバであって、IPアドレスをキーとしたネットワークアクセス認証状態の確認依頼を受信する手段と、該IPアドレスに対応するネットワークユーザIDをネットワークアクセスセッション情報管理テーブルから検索する手段と、対応するネットワークユーザIDが取得できたか否かを判断する手段と、取得できなかった場合には前記認証代行サーバヘネットワークアクセス認証状態結果(認証不成功)を返信する手段と、取得できた場合には前記ネットワークアクセス認証サーバから認証代行サーバヘ、ネットワークアクセス認証状態確認結果(認証状態が認証済み、ネットワークユーザID)を送る手段と、を備えることを特徴とする。 A network access authentication server that receives a request for confirmation of a network access authentication state using the IP address as a key from the authentication proxy server, and means for receiving a network access authentication state confirmation request using the IP address as a key; Means for retrieving a network user ID corresponding to the IP address from the network access session information management table; means for determining whether or not the corresponding network user ID has been acquired; and if not, the authentication proxy server A means for returning a network access authentication status result (authentication unsuccessful), and a network access authentication status confirmation result (authentication status is authenticated, network user ID) from the network access authentication server to the authentication proxy server if acquisition is possible. Characterized in that it comprises means for sending, a.
また、前記認証代行サーバからネットワークユーザIDをキーとして、ネットワークアクセス認証状態の確認の依頼を受けるネットワークアクセス認証サーバであって、ネットワークユーザIDをキーとしたネットワークアクセス認証状態の確認依頼を受信する手段と、ネットワークユーザIDに対応するIPアドレスをネットワークアクセスセッション情報管理テーブルから検索する手段と、対応するIPアドレスが取得できたか否かを判断する手段と、取得できなかった場合には前記認証代行サーバヘ前記ネットワークアクセス認証状態結果(認証不成功)を返信する手段と、取得できた場合には前記ネットワークアクセス認証サーバから前記認証代行サーバヘ、ネットワークアクセス認証状態確認結果(認証状態が認証済み、IPアドレス)を送る手段と、を備えることを特徴とする。 A network access authentication server that receives a network access authentication status confirmation request from the authentication proxy server using a network user ID as a key, and that receives a network access authentication status confirmation request using the network user ID as a key A means for retrieving an IP address corresponding to the network user ID from the network access session information management table; a means for determining whether or not the corresponding IP address has been acquired; A means for returning the network access authentication status result (authentication unsuccessful), and, if acquired, from the network access authentication server to the authentication proxy server, a network access authentication status confirmation result (authentication status authenticated, IP address Characterized in that it comprises means for sending a scan), the.
また、前記各ステップをコンピュータに実行させるためのプログラムであり、前記各手段としてコンピュータを機能させるためのプログラムであり、前記プログラムを記録したコンピュータ読取可能な記録媒体である。 Further, the present invention is a program for causing a computer to execute each step, a program for causing a computer to function as each means, and a computer-readable recording medium on which the program is recorded.
(1)ユーザ端末からの認証要求によりネットワークアクセス認証サーバで認証を行うだけで、サービスサーバヘのサービス要求時は、ユーザはそれ以降のIDP認証あるいはサービスサーバでの認証処理を意識する必要がなく、一度の認証手続きでサービスを享受可能となる。
(2)IDP認証とNWアクセス認証との併用により、セキュリティの向上と個人まで認識した認証が可能となる。すなわち、ホームゲートウェイ内の個々のユーザ(ユーザ端末)まで識別した認証が可能となる。また1ユーザが複数のNWユーザIDを持つことが可能となる。
(3)サービスサーバに対しては然るべきネットワークからアクセスしていることを保証し、特定のネットワークのみに特別なサービスを提供可能となる。
(4)サービスプロバイダにおいて課金情報の取得を不要とすることを目的として、認証代行サーバからの認証結果情報の発行履歴を、発行先サービス(URL)と発行ユーザのIDとを対応付けて、それを課金情報として利用することも可能となる。
(5)1つの認証代行サーバの配下に複数のネットワークアクセス認証サーバが接続される場合でも、認証代行サーバにおいて、認証サーバの識別子、あるいはIPアドレスから認証サーバを引くテーブルにより、該当ネットワークアクセス認証サーバを特定することが可能である。
(1) The network access authentication server only authenticates in response to an authentication request from the user terminal, and the user does not need to be aware of subsequent IDP authentication or authentication processing at the service server when a service request is made to the service server. The service can be enjoyed with a single authentication procedure.
(2) By using IDP authentication and NW access authentication in combination, it is possible to improve security and authenticate even individuals. That is, it is possible to perform authentication that identifies individual users (user terminals) in the home gateway. Further, one user can have a plurality of NW user IDs.
(3) The service server is guaranteed to be accessed from an appropriate network, and a special service can be provided only to a specific network.
(4) For the purpose of making it unnecessary for the service provider to acquire accounting information, the issuance history of authentication result information from the authentication proxy server is associated with the issuance destination service (URL) and the issuance user ID. Can be used as billing information.
(5) Even when a plurality of network access authentication servers are connected under one authentication proxy server, the corresponding network access authentication server is determined by a table in which the authentication server is subtracted from the identifier or IP address of the authentication server. Can be specified.
以下に本発明の実施の形態を、図面を参照して説明する。 Embodiments of the present invention will be described below with reference to the drawings.
図1によりユーザ端末100、ホームゲートウェイ110、ネットワークアクセス認証サーバ120、認証代行サーバ130、サービスサーバ140、アクセスサーバ150で構成されるシステムの構成において、認証代行サーバ130によるIDP認証(認証代行サーバでの認証)とネットワークアクセス認証サーバ120によるNWアクセス認証(ネットワークアクセス認証サーバでの認証)とを併用する場合の処理手順を、以下に段階毎に分けて説明する。なお、ネットワークをNWと略記する場合がある。
In the system configuration including the
図1に示すように、ホームゲートウェイ110には複数のユーザ端末(図1ではユーザAとユーザBの端末)を接続することができるが、ホームゲートウェイ110を設けずにユーザ端末100が直接アクセスサーバ150に接続するようにしてもよい。また、ホームゲートウェイ110は家庭用に用いるものでなくてもよく、一般に、ユーザ端末100とネットワークとを接続するためのゲートウェイであればよい。アクセスサーバ150はユーザ端末100/ホームゲートウェイ110にIPアドレスを動的に割り当てる。ネットワークアクセス認証サーバ120は、RADIUS(Remote Authentication Dial-In User Servce)サーバであり、ネットワークアクセス認証サーバにおけるユーザIDであるNWユーザID(図の例ではNW X)とそれに割り当てられた動的割当IPアドレスを含むNWアクセスセッション情報をNWアクセスセッション情報管理テーブル121に格納する。また、認証代行サーバ130は認証代行サーバにおけるユーザIDであるIDPユーザID(図の例ではユーザA、ユーザB)とそれに対応するパスワード(図の例ではPWD)とネットワークアクセス認証サーバにおけるユーザIDであるNWユーザID(図の例ではNW X)とを含むユーザアカウントをIDPユーザ管理テーブル131に格納し、一つのNWユーザIDに対して複数のIDPユーザIDを管理することができる。したがって、ネットワークアクセス認証サーバ120は同じホームゲートウェイ110に接続されたユーザAとユーザBの端末を識別することはできないが、認証代行サーバ130はユーザAとユーザBの端末を識別できる。
As shown in FIG. 1, a plurality of user terminals (user A and user B terminals in FIG. 1) can be connected to the
まず、図1を用いて、処理手順の概要を説明する。
(1):[1]ユーザ端末100はホームゲートウェイ110とアクセスサーバ150を介してネットワークアクセス認証サーバ120に接続し、ネットワークアクセス認証サーバ120はユーザ端末100/ホームゲートウェイ110に対してNWユーザIDとパスワードでNWアクセス認証を行う。ネットワークアクセス認証サーバ120はNWユーザID(NW X)とアクセスサーバ150が動的に割り当てたIPアドレス(動的割当IPアドレス)をNWアクセスセッション情報管理テーブル121に格納する。
(2):[2]ユーザ端末100はサービスサーバ140に対してシングルサインオンによるサービスを要求する。
(3):[3]サービスサーバ(SP)140はリダイレクト先URL(認証代行サーバ130のURL)を含む認証要求をユーザ端末100送り、ユーザ端末100は認証代行サーバ(IDP)130へ認証要求を返す。
(4):[4]認証代行サーバ130はユーザ端末100に対してHTTPSによる認証(IDPユーザID/パスワードまたは電子証明書による認証)を行い、認証代行サーバ130はユーザ端末100/ホームゲートウェイ110の発IPアドレスも取得する(発IPアドレスは[3]で取得してもよい)。
(5):[5]認証代行サーバ130はネットワークアクセス認証サーバ120に対して、ユーザに対応するNWユーザIDをキーに割り当て中のIPアドレスを問い合わせ、IPアドレスを取得する。なお、逆に、発IPアドレスをキーにしてNWユーザIDを取得してもよい。
(6):[6]認証代行サーバ130はIDP認証(パスワード認証等)だけでなく、[4]で取得した発IPアドレスと[5]で取得したIPアドレスを比較し、発IPアドレス検証を行う。
(7):[7]サービスサーバ140は、認証代理サーバ130からの認証結果情報(アサーション)をユーザ端末100/ホームゲートウェイ110経由で取得し、認証結果情報の検証を行い、有効ならば、ユーザ端末100(図1の場合はユーザBの端末)に対してサービスを提供する。
First, the outline of the processing procedure will be described with reference to FIG.
(1): [1] The
(2): [2] The
(3): [3] The service server (SP) 140 sends an authentication request including the redirect URL (URL of the authentication proxy server 130) to the
(4): [4] The
(5): [5] The
(6): [6] The
(7): [7] The
これにより、正当なルートでアクセスしていることが確認可能となり、より強固になりすましを防止することが可能となる。パスワード(PWD)が漏洩しても発IPアドレス検証でなりすましを検出することが可能である。また、認証代行サーバ130では個人を識別した認証が可能である。さらに、サービスプロバイダ140は特定のネットワークからアクセスするユーザにのみサービスを提供することが可能である。
As a result, it is possible to confirm that access is being made through a legitimate route, and it becomes possible to prevent impersonation by improvisation. Even if the password (PWD) is leaked, spoofing can be detected by verifying the originating IP address. The
以下、この処理手順を詳細に説明するが、最初にユーザ端末100/ホームゲートウェイ110からサービスサーバ140にサービス要求を行って、サービスの提供を受けようとするとき、既にサービスサーバ140あるいは認証代行サーバ130で認証状態が確認されている場合の手順を図6によりステップに分けて詳細に説明する。なお、ステップ1等を図においてはS1等と略記する。また、図においてはホームゲートウェイをHGWと略記することがある。
(1):ステップ1:ユーザ端末100/ホームゲートウェイ110からサービスサーバ140に対して、サービス提供URLを含んだサービス要求を送る。
(2):ステップ2:サービスサーバ140では該ユーザの認証状態を確認する。認証済みならば、ステップ9に遷移してユーザヘのサービス提供が開始される。認証済みでないならば、ステップ3に遷移する。
(3):ステップ3:サービスサーバ140からユーザ端末100/ホームゲートウェイ110に対してリダイレクトURLを含んだ認証要求を送る。
(4):ステップ4:ユーザ端末100/ホームゲートウェイ110では認証代行サーバ130に対して発IPアドレスを含んだ認証要求を返す。
(5):ステップ5:認証代行サーバ130では、認証要求を受信し、該当ユーザの認証状態を確認する。該当ユーザの認証状態が認証済みであるので(ここでの説明の条件下において)、認証結果情報(アサーション)を生成して、ステップ6に進む。
(6):ステップ6:認証代行サーバ130からユーザ端末100/ホームゲートウェイ110に対して、認証応答(認証結果情報、リダイレクト先URL)を送る。
(7):ステップ7:ユーザ端末100/ホームゲートウェイ110はサービスサーバに対して、該認証応答(認証結果情報)を返す。
(8):ステップ8:サービスサーバ140では認証結果情報の検証を行い、有効ならばステップ9へ、有効でないならばユーザへサービス提供不可の通知を行う。
(9):ステップ9:サービスサーバはユーザ端末100/ホームゲートウェイ110に対してサービス提供を開始する。
Hereinafter, this processing procedure will be described in detail. When a service request is first made from the
(1): Step 1: A service request including a service providing URL is sent from the
(2): Step 2: The
(3): Step 3: An authentication request including a redirect URL is sent from the
(4): Step 4: The
(5): Step 5: The
(6): Step 6: An authentication response (authentication result information, redirect destination URL) is sent from the
(7): Step 7: The
(8): Step 8: The
(9): Step 9: The service server starts providing the service to the
次に同図1によりユーザ端末100、ホームゲートウェイ110、ネットワークアクセス認証サーバ120、認証代行サーバ130、サービスサーバ140、アクセスサーバ150で構成されるシステムの構成において、同図6により説明した前記処理ステップの中で下記の状況下の場合を詳細に説明する。すなわち、サービスサーバ140及び認証代行サーバ130での認証が未認証の場合であり、ステップ5において、認証代行サーバ130で認証代行サーバの認証が未認証である状況以降の手順を以下に説明する
(1):ステップ10:ユーザ端末100/ホームゲートウェイ110と認証代行サーバ130間で、ID、パスワード(PWD)等によるIDP認証が行われる。
(2):ステップ11:認証代行サーバ130において認証が成功の場合は、ネットワーク認証状態を検証するため、認証代行サーバ130からネットワークアクセス認証サーバ120ヘ、認証要求パケットの発IPアドレス(ソースIPアドレス)をキーとしてネットワークアクセス認証状態の確認を依頼する。なお、逆に、NWユーザIDをキーにIPアドレスを取得する方法もある。
(3):ステップ12:ネットワークアクセス認証サーバ120では、NWアクセスセッション情報管理テーブル121よりIPアドレス(図1の動的割当IPアドレス)に対応するNWユーザID(図1のNW X)を検索する。対応するNWユーザIDが取得できた場合には、ステップ13に進む。
(4):ステップ13:ネットワークアクセス認証サーバ120は認証代行サーバ130に対してネットワーク認証状態の認証済みとNWユーザIDを含んだネットワークアクセス認証状態確認結果を送る。
(5):ステップ14:認証代行サーバ130においては、取得したNWユーザID(図1ではNW X)に対応するIDPユーザIDをIDPユーザ管理テーブル131より検索し、IDPユーザID(図1ではユーザA、ユーザB)を取得できた場合には、その取得したIDPユーザIDと、IDP認証時に取得したIDPユーザIDを比較する。この比較で、一致するものが存在する場合には、認証結果情報(アサーション)を生成する。
(6):ステップ6:認証代行サーバ130からユーザ端末100/ホームゲートウェイ110に対して、認証応答(認証結果情報、リダイレクト先URL)を送る。
(7):ステップ7:ユーザ端末100/ホームゲートウェイ110はサービスサーバ140に対して、該認証応答(認証結果情報)を返す。
(8):ステップ8:サービスサーバ140では認証結果情報の検証を行い、有効ならばステップ9へ、有効でないならばユーザヘサービス提供不可の通知を行う。
(9):ステップ9:サービスサーバ140はユーザ端末100/ホームゲートウェイ110に対してサービス提供を開始する。
Next, in the system configuration including the
(2): Step 11: If authentication is successful in the
(3): Step 12: The network
(4): Step 13: The network
(5): Step 14: The
(6): Step 6: An authentication response (authentication result information, redirect destination URL) is sent from the
(7): Step 7: The
(8): Step 8: The
(9): Step 9: The
以上により、IDP認証とNWアクセス認証とを連携させた認証処理が完了する。 Thus, the authentication process in which IDP authentication and NW access authentication are linked is completed.
前記において、図6のステップ5からステップ6に遷移するまでの認証代行サーバ130の処理内容を図7で詳細に説明する。
(1):ステップ21:認証代行サーバ130は、サービスサーバ140よりユーザ端末100を経由してきた認証要求を受信する。
(2):ステップ22:認証要求の中から送信元IPアドレス(発IPアドレス)を取得する。
(3):ステップ23:セッション情報を参照して、該当ユーザの認証状態を確認する。セッション情報とはセッションを管理する情報であり、本実施形態ではサービスサーバ140がユーザが新規アクセスするごとに払い出したCookie情報をキーとして管理する情報であり、セッションIDや認証状態を含む。
(4):ステップ24:認証状態が確認済みか否かを判断する。認証済みの場合には、ステップ28に進む。認証済みでない場合にはステップ25に進む。以下ステップ25へ進む場合を先に説明する。
(5):ステップ25:ID/パスワード、公開鍵証明書、バイオメトリクス、あるいはワンタイムパスワードなどによるIDP認証を実施する。
(6):ステップ26:IDP認証が成功か否かを判断する。成功の場合はステップ27へ、不成功の場合はステップ30へ進む。
(7):ステップ27:NWアクセス認証状態の検証を行う。この処理は図8により詳細に説明する。
(8):ステップ28:NWアクセス認証状態の検証が正常を受けて、認証結果情報(アサーション)を生成する。
(9):ステップ29:認証代行サーバ130はユーザ端末100へ、サービスサーバ140ヘの認証結果情報(アサーション)の送出を依頼する。
(10):ステップ30:本ステップはステップ26での認証が不成功の場合に実施するステップで、ユーザヘサービスサーバ提供不可を通知する。
The processing contents of the
(1): Step 21: The
(2): Step 22: Obtain a source IP address (source IP address) from the authentication request.
(3): Step 23: Referring to the session information, the authentication status of the corresponding user is confirmed. The session information is information for managing a session. In the present embodiment, the session information is information that is managed by the
(4): Step 24: It is determined whether or not the authentication state has been confirmed. If authenticated, the process proceeds to step 28. If not authenticated, the process proceeds to step 25. The case of proceeding to step 25 will be described first.
(5): Step 25: Implement IDP authentication using ID / password, public key certificate, biometrics, one-time password, or the like.
(6): Step 26: It is determined whether or not the IDP authentication is successful. If successful, the process proceeds to step 27. If unsuccessful, the process proceeds to step 30.
(7): Step 27: The NW access authentication state is verified. This process will be described in detail with reference to FIG.
(8): Step 28: When the verification of the NW access authentication state is received normally, authentication result information (assertion) is generated.
(9): Step 29: The
(10): Step 30: This step is performed when the authentication in
さらに図7のステップ27でのNWアクセス認証状態の検証に関する処理内容を図8(1)、図8(2)により詳細に説明する。前者の図では、IPアドレスをキーとして、認証代行サーバからネットワークアクセス認証サーバヘ認証要求する場合で、後者の図では、NWユーザIDをキーにする場合である。
Further, details of the processing related to the verification of the NW access authentication state in
最初に図8(1)によりIPアドレスをキーとした場合の処理方法を詳細に説明する。
(1):ステップ31:認証代行サーバ130はネットワークアクセス認証サーバ120ヘ、認証要求パケットの中の発IPアドレスをキーとして、ネットワークアクセス認証状態の確認を依頼する。
(2):ステップ32:ネットワークアクセス認証サーバ120より、ネットワークアクセス認証状態確認結果(ネットワーク認証状態と、認証済みの場合にはNWユーザIDが含まれる)を受信する。
(3):ステップ33:ネットワーク認証状態が認証済みの場合には、ステップ34に進み、未認証の場合には、図7のステップ30に進む。
(4):ステップ34:取得したNWユーザIDに対応するIDPユーザIDをIDPユーザ管理テーブル131より検索する。
(5):ステップ35:IDPユーザIDが取得できたか否かの判断を行う。取得できた場合には、ステップ36に進み、取得出来なかった場合には図7のステップ30に進む。
(6):ステップ36:これにより認証代行サーバ130が取得しIDPユーザIDと、IDP認証時に取得したIDPユーザIDとを比較する。
(7):ステップ37:IDPユーザIDの比較で一致するものがあるか否かの判断を行う。一致するものがあれば図7のステップ28に進む。一致しなければ、同図のステップ30に進む。
First, the processing method when the IP address is used as a key will be described in detail with reference to FIG.
(1): Step 31: The
(2): Step 32: Receive a network access authentication status confirmation result (network authentication status and NW user ID if authenticated) from the network
(3): Step 33: If the network authentication state has been authenticated, the process proceeds to step 34, and if not, the process proceeds to step 30 in FIG.
(4): Step 34: The IDP user management table 131 is searched for an IDP user ID corresponding to the acquired NW user ID.
(5): Step 35: It is determined whether or not the IDP user ID has been acquired. If it can be obtained, the process proceeds to step 36, and if it cannot be obtained, the process proceeds to step 30 in FIG.
(6): Step 36: The IDP user ID acquired by the
(7): Step 37: It is determined whether there is a matching IDP user ID. If there is a match, the process proceeds to step 28 in FIG. If not, the process proceeds to step 30 in FIG.
次に、NWアクセス認証状態の検証に関する処理方法でNWユーザIDをキーとする場合の処理を図8(2)により詳細に説明する。
(1):ステップ41:認証代行サーバは、IDP認証時に取得したIDPユーザIDに対応するNWユーザIDをIDPユーザ管理テーブルより検索する。
(2):ステップ42:NWユーザIDが取得できたか否かを判断する。取得できた場合には、ステップ43に進み、取得できなかった場合には図7のステップ30に進む。
(3):ステップ43:認証代行サーバ130は、ネットワークアクセス認証サーバ120ヘ、NWユーザIDをキーとしてNWアクセス認証状態の確認を依頼する。
(4):ステップ44:認証代行サーバ130はネットワークアクセス認証サーバ120より、NWアクセス認証状態確認結果(NW認証状態と、認証済みの場合にはIPアドレスが含まれる)を受信する。
(5):ステップ45:NW認証状態が済みか否かを判断する。済みの場合にはステップ46に進み、未承認の場合には図7のステップ30に進む。
(6):ステップ46:ネットワークアクセス認証サーバ120より取得したIPアドレスと、認証要求パケットの発IPアドレスとを比較する。
(7):ステップ47:IPアドレスの比較で一致するものがあるか否かの判断を行う。一致するものがあれば図7のステップ28に遷移し、一致しなければ、同図のステップ30に遷移する。
Next, the processing when the NW user ID is used as a key in the processing method related to the verification of the NW access authentication state will be described in detail with reference to FIG.
(1): Step 41: The authentication agent server searches the IDP user management table for the NW user ID corresponding to the IDP user ID acquired at the time of IDP authentication.
(2): Step 42: It is determined whether or not the NW user ID has been acquired. If it can be obtained, the process proceeds to step 43, and if it cannot be obtained, the process proceeds to step 30 in FIG.
(3): Step 43: The
(4): Step 44: The
(5): Step 45: It is determined whether or not the NW authentication state has been completed. If completed, the process proceeds to step 46, and if not approved, the process proceeds to step 30 in FIG.
(6): Step 46: The IP address acquired from the network
(7): Step 47: Judge whether there is a match in the comparison of IP addresses. If there is a match, the process proceeds to step 28 in FIG. 7, and if not, the process proceeds to step 30 in FIG.
さらに、前記の図8(1)のIDP処理での、IPアドレスをキーとしたNWアクセス認証状態の検証において、同図のステップ32におけるネットワークアクセス認証サーバ120の処理を図9(1)により詳細に説明する。すなわち、
(1):ステップ51:ネットワークアクセス認証サーバ120は、IPアドレスをキーとしたネットワークアクセス認証状態の確認依頼を受信する。
(2):ステップ52:IPアドレスに対応するNWユーザIDをNWアクセスセッション情報管理テーブル121から検索する
(3):ステップ53:対応するNWユーザIDが取得できたか否かを判断する。取得できた場合にはステップ55へ、取得できなかった場合にはステップ54に進む。
(4):ステップ55:ネットワークアクセス認証サーバ120から認証代行サーバ130ヘ、ネットワークアクセス認証状態確認結果(認証状態が認証済み、NWユーザID)を送る。
(5):ステップ54:ネットワークアクセス認証サーバ120から認証代行サーバ130ヘ、ネットワークアクセス認証状態確認結果(認証状態が未認証)を送る。
Further, in the verification of the NW access authentication state using the IP address as a key in the IDP process of FIG. 8 (1), the process of the network
(1): Step 51: The network
(2): Step 52: NW user ID corresponding to the IP address is searched from the NW access session information management table 121 (3): Step 53: It is determined whether or not the corresponding NW user ID has been acquired. If it can be obtained, the process proceeds to step 55.
(4): Step 55: The network
(5): Step 54: A network access authentication status confirmation result (authentication status is unauthenticated) is sent from the network
次に、前記の図8(2)のIDP処理での、NWユーザIDをキーとしたNWアクセス認証状態の検証において、同図のステップ44におけるネットワークアクセス認証サーバ120の処理を図9(2)により詳細に説明する。すなわち、
(1):ステップ61:ネットワークアクセス認証サーバ120は、NWユーザIDをキーとしたネットワークアクセス認証状態の確認依頼を受信する。
(2):ステップ62:NWユーザIDに対応するIPアドレスをNWアクセスセッション情報管理テーブル121から検索する。
(3):ステップ63:対応するIPアドレスが取得できたか否かを判断する。取得できた場合にはステップ65へ、取得できなかった場合にはステップ64に進む。
(4):ステップ65:ネットワークアクセス認証サーバ120から認証代行サーバ130へ、ネットワークアクセス認証状態確認結果(認証状態が認証済み、IPアドレス)を送る。
(5):ステップ64:ネットワークアクセス認証サーバ120から認証代行サーバ130ヘ、ネットワークアクセス認証状態確認結果(認証状態が未認証)を送る。
Next, in the verification of the NW access authentication state using the NW user ID as a key in the IDP processing of FIG. 8 (2), the processing of the network
(1): Step 61: The network
(2): Step 62: The IP address corresponding to the NW user ID is searched from the NW access session information management table 121.
(3): Step 63: It is determined whether or not the corresponding IP address has been acquired. If it can be obtained, the process proceeds to step 65. If it cannot be obtained, the process proceeds to step 64.
(4): Step 65: Send the network access authentication status confirmation result (authentication status is authenticated, IP address) from the network
(5): Step 64: The network
ユーザ端末100、ホームゲートウェイ110からの、ネットワーク接続並びに認証要求に対するNWアクセス認証の処理は図5により詳細に説明する。
(1):ステップ70:ユーザ端末100/ホームゲートウェイ110はアクセスサーバ150に対して、認証情報としてID、パスワード等によりネットワークヘの接続・認証要求を行う。
(2):ステップ71:アクセスサーバ150はネットワークアクセス認証サーバ120に対して認証要求を行う。
(3):ステップ72:ネットワークアクセス認証サーバ120では、ユーザ認証を行う。認証成功の場合はステップ73に遷移し、不成功の場合には図12によりアクセスサーバ150ヘ認証不可を返信して、ネットワークアクセス認証サーバ120の処理を終了する。
(4):ステップ73:ネットワークアクセス認証サーバ120はアクセスサーバ150ヘ認証応答(認証結果)を送る。
(5):ステップ74:アクセスサーバ150はユーザ端末100/ホームゲートウェイ110に接続・認証応答(認証結果、IPアドレス)を送る。
(6):ステップ75:アクセスサーバ150はネットワークアクセス認証サーバ120に対して払い出したIPアドレスを通知する。
(7):ステップ76:ネットワークアクセス認証サーバ120は、前記IPアドレスを受信し、NWアクセスセッション情報管理テーブル121の該当NWユーザID(図1ではNW X)に対してIPアドレス(図1では動的割り当てIPアドレス)を登録する。
NW access authentication processing for network connection and authentication request from the
(1): Step 70: The
(2): Step 71: The
(3): Step 72: The network
(4): Step 73: The network
(5): Step 74: The
(6): Step 75: The
(7): Step 76: The network
図2により1つの認証代行サーバの配下に複数のネットワークアクセス認証サーバが接続されているシステムの構成における認証の手順を説明する。図6で示したIDP認証とNWアクセス認証とを連携する処理手順と異なる部分のみを以下で詳細に説明する。
(1):基本となる事前処理:IDPユーザIDをエントリーする毎に、ネットワークアクセス認証サーバ120X、120Yの識別子を付与する。
(2):サービスサーバ(図示していない)からユーザ端末100X、100Yを経由して認証代行サーバ130に送られた認証要求を契機に、ユーザ端末100X、100Yと認証代行サーバ130間で、ID、パスワードあるいは電子証明書等によるIDP認証が行われ、成功した場合にはIDPユーザIDを取得する。
(3):認証代行サーバ130は、前記の識別子により該当するネットワークアクセス認証サーバ120X、120Yに、認証要求パケットのソースIPアドレスをキーとしてネットワークアクセス認証状態の検証を依頼する。
(4):以降の手順は、図8(1)もしくは図8(2)のステップ31からステップ37と同じとし、さらに図7により認証代行サーバ130が認証結果情報(アサーション)を生成し(ステップ28)、ユーザ端末100X、100Yヘサービスサーバヘの認証結果情報(アサーション)の送出を依頼して(ステップ29)、認証連携の処理を可能にする。
An authentication procedure in a system configuration in which a plurality of network access authentication servers are connected under one authentication proxy server will be described with reference to FIG. Only portions different from the processing procedure for linking IDP authentication and NW access authentication shown in FIG. 6 will be described in detail below.
(1): Basic pre-processing: Each time an IDP user ID is entered, the identifiers of the network
(2): The ID between the
(3): The
(4): The subsequent procedure is the same as step 31 to step 37 in FIG. 8 (1) or FIG. 8 (2), and the
前記処理において、IDP認証が成功した後に、図7により認証結果情報(アサーション)を生成して(ステップ28)、認証代行サーバはユーザ端末ヘサービスサーバへの認証結果情報(アサーション)の送出を依頼して(ステップ29)、認証処理を行う手順も可能になる。 In the above process, after successful IDP authentication, authentication result information (assertion) is generated according to FIG. 7 (step 28), and the authentication proxy server requests the user terminal to send authentication result information (assertion) to the service server. Thus (step 29), a procedure for performing the authentication process is also possible.
図2に、1つの認証代行サーバ130の下に複数のネットワークアクセス認証サーバが存在する場合のシステムを示す。ユーザAのユーザ端末100X/ホームゲートウェイ110XはISP X経由でインターネット、VPN等に接続する。ISP Xのネットワークアクセス認証サーバ120Xは、RADIUSサーバであり、NWアクセスセッション情報をNWアクセスセッション情報管理テーブル121Xに格納し、NWユーザID(図2ではNW X)とパスワード(図2ではPWD)を含むNWアクセスアカウントをNWアクセスアカウント管理テーブル122Xに格納する。ネットワークアクセス認証サーバ120XはユーザAのユーザ端末100Xに対してパスワードベースでネットワークアクセス認証を行い、IPアドレスを動的に割り当てる。また、ユーザBのユーザ端末100Y/ホームゲートウェイ110YはISP Y経由でインターネット、VPN等に接続する。ISP Yのネットワークアクセス認証サーバ120Yは、RADIUSサーバであり、NWアクセスセッション情報をNWアクセスセッション情報管理テーブル121Yに格納し、NWユーザID(図2ではNW Y)とパスワード(図2ではPWD)を含むNWアクセスアカウントをNWアクセスアカウント管理テーブル122Yに格納する。ネットワークアクセス認証サーバ120YはユーザBのユーザ端末100Yに対してパスワードベースでネットワークアクセス認証を行い、IPアドレスを動的に割り当てる。認証代行サーバ130はポータルユーザアカウントをIDPユーザ管理テーブル132に格納する。ポータルユーザアカウントには、各ユーザがどのネットワークアクセス認証サーバ(RADIUSサーバ)に属するかを識別する情報(図2ではRADIUS−X、RADIUS−Y)を含む。なお、その他の点については図1と同様であり、図2においてもサービスプロバイダ(図示していない)が存在する。
FIG. 2 shows a system when a plurality of network access authentication servers exist under one
図2の実施形態の場合は、一つの認証代行サーバの配下に複数のネットワークアクセス認証サーバが存在する場合に、認証代行サーバにおいて対応するネットワークアクセス認証サーバ(RADIUSサーバ)を識別することができる。したがって、異なるネットワークアクセス認証サーバ上に同名のNWユーザIDの存在が可能とである。 In the case of the embodiment of FIG. 2, when there are a plurality of network access authentication servers under one authentication proxy server, the corresponding network access authentication server (RADIUS server) can be identified in the authentication proxy server. Therefore, the NW user ID having the same name can exist on different network access authentication servers.
図2により、1つの認証代行サーバ130の配下に複数のネットワークアクセス認証サーバ120X、120Yが接続されているシステムの構成における認証の手順で、サービスサーバからユーザ端末100X、100Yを経由して認証代行サーバ130に送られた認証要求を契機に、以下の手順によっても認証処理、並びにサービス提供が可能である。以下に手順を詳細に説明する。すなわち、
(1):基本となる事前処理:認証代行サーバ130では、ユーザ端末100X、100Yの発IPアドレスからネットワークアクセス認証サーバ120X、120Yを引くテーブルを用意する。図2では、IDPユーザ管理テーブル132のRADIUS−X、RADIUS−YがユーザA、ユーザBがどのネットワークアクセス認証サーバに属するのかを識別する情報である。
(2):ユーザ端末からの発IPアドレスにより前記テーブルを用いて、該当ネットワークアクセス認証サーバを特定し、認証代行サーバ130から該当ネットワークアクセス認証サーバへ認証要求を行う。
(3):これを受けたステップは、図9(1)で説明したネットワークアクセス認証サーバ120でのステップ51からステップ54ないしは55までと同じ処理となる。
(4):認証代行サーバ130ではNWユーザIDを取得したことにより、認証結果情報(アサーション)を生成する。
(5):これを受けたステップは、図7のステップ29によりIDP認証処理が完結する。
Referring to FIG. 2, in the authentication procedure in the system configuration in which a plurality of network
(1): Basic pre-processing: The
(2): The network access authentication server is specified by using the table from the IP address from the user terminal, and an authentication request is made from the
(3): The step that receives this is the same processing from step 51 to step 54 or 55 in the network
(4): The
(5): Upon receiving this, the IDP authentication process is completed in step 29 of FIG.
また、前記処理において、認証代行サーバ130において、ユーザ端末100X、100Yの発IPアドレスからネットワークアクセス認証サーバを引くテーブルを用意して、ユーザ端末からの発IPアドレスにより該当するネットワークアクセス認証サーバヘ認証要求を行う前記の処理手順において、(4)の処理の代わりに、以下のステップを実施してIDP認証と連携させることも可能である。すなわち、
(1):認証代行サーバ130ではNWユーザIDを取得する。
(2):認証代行サーバ130は、ユーザ端末100X、100YからのID、パスワードによりIDP認証を行い、それにより得られたNWユーザIDと、それぞれのユーザに対応するネットワークアクセス認証サーバ120X、120Yからの認証応答のNWユーザIDとを比較して、それが一致した時に、認証結果情報(アサーション)を生成して、図7のステップ29により、NWユーザ認証とIDP認証の連携が可能となる。本実施形態ではNWユーザ認証とIDP認証を連携して行っているが、NWユーザ認証だけで十分なセキュリティを確保できる場合は、NWユーザ認証単独の認証のみを行うようにしてもよい。
In the above process, the
(1): The
(2): The
図3に、サービスオーダー時に投入されるIPアドレスを補助的に利用した認証を行う場合のシステムを示す。図3はユーザアカウント情報としてサービスオーダー時に投入されるIPアドレスを補助的に利用したパスワードベースのユーザ認証の例である。ホームゲートウェイ110には複数のユーザ端末(図3ではユーザA、ユーザBの端末)が接続されることがある。ユーザ端末100/ホームゲートウェイ110はエッジルータ160を介して認証代行サーバ130に接続する。図3の実施形態においてはIPアドレスは回線毎に固定的に割り当てられている。エッジルータ160に備えられたIPアドレス割当テーブルには、NWユーザID(図3ではNW X)のVLANIDと固定割当IPアドレスが格納される。認証代行サーバ130に備えられたIDPユーザ管理テーブル133には、割当済IPアドレスが格納される。認証代行サーバ130は、ユーザ端末100に対してHTTP上でパスワード認証を行い、また、IDPユーザ管理テーブル133に格納された割当済IPアドレスを用いて発IPアドレスの検証も行う。なお、その他の点については図1と同様であり、図3の実施形態においてもサービスプロバイダ(図示していない)が存在する。
FIG. 3 shows a system in the case of performing authentication using an IP address input at the time of service order as an auxiliary. FIG. 3 shows an example of password-based user authentication in which the IP address input at the time of service order is used as user account information. A plurality of user terminals (the terminals of user A and user B in FIG. 3) may be connected to the
図3により、ユーザ端末100がホームゲートウェイ110、エッジルータ160を介して認証代行サーバ130に接続されるシステムの構成における、シングルサインオンの処理を説明する。
(1):サービスオーダー時に投入されるIPアドレスをユーザアカウント情報として登録する。
(2):エッジルータ160においてIPアドレスは回線毎に固定的に割り当てられる。
(3):ユーザ端末100と認証代行サーバ130間での、ID、パスワード等によるIDP認証においては、発IPアドレスの検証にはユーザアカウント情報のIPアドレスを補助的に利用する。認証代行サーバ130がIDPユーザIDのエントリー毎にIPアドレスを記憶しているので、ID/パスワード認証と発IPアドレス検証の二重チェックが可能となる。
A single sign-on process in a system configuration in which the
(1): The IP address input at the time of service order is registered as user account information.
(2): In the
(3): In IDP authentication using an ID, password, etc. between the
認証結果情報(アサーション)発行履歴を課金に利用する実施例を図4により説明する。
(1):[1]:ユーザ端末100とネットワークアクセス認証サーバ120間で、ネットワークアクセス認証が行われ、認証が成功すると、ネットワークアクセス認証サーバ120のNWアクセスセッション情報管理テーブル123の該当NWユーザID(図4ではNW A)に対してIPアドレス(図4では動的割当IPアドレス)を登録する。
(2):[2]ユーザ端末100からサービスサーバ140ヘサービス要求が送られる。
(3):[3]サービスサーバ140では、当該ユーザの認証状態を確認できた場合は[8]に遷移する(サービス提供開始)。認証確認ができない場合は、サービスサーバ140からユーザ端末100を経由して認証代行サーバ130に認証要求を行う。
(4):[4]認証代行サーバ130はネットワークアクセス認証サーバ120に対して、認証要求のIPアドレスをキーにNWアクセスユーザIDを問合せる。
(5):[5]認証代行サーバ130は取得したNWアクセスユーザIDに対応するIDPユーザIDが存在すれば、認証が済みとする。
(6):[6]認証代行サーバ130では認証結果情報(アサーション)発行履歴を「発行先サービス(URL)」と「発行ユーザ(IDPユーザID)」とを対応付けて管理(サービスサーバ別かつユーザ別)する。これをサービス提供時の課金に利用すると、サービスプロバイダでは課金情報の取得が不要になる。
(7):[7]認証代行サーバ130での認証結果情報(アサーション)をユーザ端末100を経由してサービスサーバ140ヘ送る。
(8):[8]サービスサーバ140は認証結果情報を受信することにより、ユーザ端末100に対してサービス提供を行う。
An embodiment in which authentication result information (assertion) issuance history is used for charging will be described with reference to FIG.
(1): [1]: When network access authentication is performed between the
(2): [2] A service request is sent from the
(3): [3] The
(4): [4] The
(5): [5] If there is an IDP user ID corresponding to the acquired NW access user ID, the
(6): [6] The
(7): [7] The authentication result information (assertion) in the
(8): [8] The
図4の実施形態により、各サービスプロバイダ(SP)は通信回線業者のアクセス網を経由して正規のアクセス認証を経たユーザのアクセスであることを確認した上でサービスを認可することが可能である。したがって、サービスプロバイダにて課金情報の取得が不要となる。 According to the embodiment of FIG. 4, each service provider (SP) can authorize a service after confirming that it is a user access that has undergone regular access authentication via an access network of a communication carrier. . Accordingly, it is not necessary for the service provider to acquire billing information.
以上の処理は図10の処理フローでも説明でき、前記処理手順において、IDP認証が不成功のとき、NWアクセス認証状態を検証して認証済みでないときは、同図によりユーザヘサービス提供不可を通知する処理となる。図10において、ステップ77〜ステップ85はこれまで説明してきたものと同様である。ステップ86において、ユーザ端末へサービスサーバへの認証結果情報(アサーション)の送出を依頼する。ステップ87において、アサーション発行履歴テーブルへ履歴を記録する。
The above processing can also be explained in the processing flow of FIG. 10. In the above processing procedure, when IDP authentication is unsuccessful, if the NW access authentication state is verified and authentication has not been completed, the service cannot be provided to the user by the same figure. It becomes processing to do. In FIG. 10, step 77 to step 85 are the same as those described so far. In
さらに同図10により認証結果情報(アサーション)発行履歴テーブルヘ履歴を記録する処理に関わるテーブル内容は図11により説明する。
(1):認証結果情報(アサーション)発行毎に認証結果情報(アサーション)発行履歴管理テーブルにログを記録する。アサーション発行履歴テーブルには、IDPユーザID、サービスサーバ識別子、サービス識別子、日時が記録される。また、サービス料金管理テーブルには、サービスサーバ識別子、サービス識別子、サービス料金が格納されている。
(2):各ユーザ毎に課金情報を集計する際には、サービス料金管理テーブルから各サービスの料金を取得し、認証結果情報(アサーション)発行履歴管理テーブルを元にユーザ毎のサービス利用料を算出する。
Further, the table contents related to the process of recording the history in the authentication result information (assertion) issuance history table will be described with reference to FIG.
(1): Every time authentication result information (assertion) is issued, a log is recorded in the authentication result information (assertion) issue history management table. In the assertion issue history table, an IDP user ID, a service server identifier, a service identifier, and a date and time are recorded. The service fee management table stores a service server identifier, a service identifier, and a service fee.
(2): When accounting information is collected for each user, the charge for each service is acquired from the service charge management table, and the service usage fee for each user is calculated based on the authentication result information (assertion) issuance history management table. calculate.
なお、アクセス終了に伴う切断処理は従来の動作と変わらないので図示しない。 Note that the disconnection process associated with the end of access is not shown because it is not different from the conventional operation.
また、各実施形態では、NWアクセス認証の具体的方法として、ID・パスワード認証方法を用いたが、その他の後置の方法、例えば、電子証明書を用いた方法、発番号認証(ダイアルアップ接続時におけるユーザ端末の電話番号や、常時接続時におけるアクセスサーバのユーザ端末向け物理ポートなどに基づく認証)などの方法を用いてもよい。 In each embodiment, the ID / password authentication method is used as a specific method of NW access authentication. However, other postfix methods such as a method using an electronic certificate, calling number authentication (dial-up connection) Or the like based on the telephone number of the user terminal or the physical port for the user terminal of the access server at the time of constant connection).
以上のフローチャートに基づいて、コンピュータプログラムを作成することができ、また、そのプログラムを記録媒体に記録することも、ネットワークを通じて提供することも可能である。 A computer program can be created based on the above flowchart, and the program can be recorded on a recording medium or provided through a network.
以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。 As mentioned above, the invention made by the present inventor has been specifically described based on the embodiment. However, the invention is not limited to the embodiment, and various modifications can be made without departing from the scope of the invention. Of course.
100…ユーザ端末、110…ホームゲートウェイ、120…ネットワークアクセス認証サーバ、130…認証代行サーバ、140…サービスサーバ、150…アクセスサーバ、160…エッジルータ
DESCRIPTION OF
Claims (15)
前記認証代行サーバが、前記サービスサーバから前記ユーザ端末を経由して認証要求を受けるステップと、
前記認証代行サーバが、前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記ネットワークアクセス認証サーバに対して、前記ユーザ端末のIPアドレスまたは前記ユーザ端末のユーザの前記ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDをキーとしてネットワークアクセス認証状態の確認を依頼するステップと、
前記ネットワークアクセス認証サーバが、前記認証代行サーバからの依頼を受けて、ネットワークアクセス認証サーバにおける認証状態を示す認証状態情報と、前記認証代行サーバからの依頼におけるキーであるIPアドレスに対応するネットワークユーザIDまたは前記認証代行サーバからの依頼におけるキーであるネットワークユーザIDに対応するIPアドレスを、前記認証代行サーバに対して送るステップと、
前記認証代行サーバが、前記ネットワークアクセス認証サーバから受けた認証状態情報と前記ネットワークアクセス認証サーバにIPアドレスをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたネットワークユーザIDまたは前記ネットワークアクセス認証サーバにネットワークユーザIDをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたネットワークIPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送るステップと、
を有し、前記サービスサーバでの該認証応答の検証終了後にサービスが開始されることを特徴とする認証方法。 A network access authentication server that authenticates network access of the user terminal, a service server that provides a service to the user terminal, and an authentication proxy server that performs authentication of the user terminal for providing the service of the service server via the network An authentication method in an authentication system formed by connecting
The authentication proxy server receiving an authentication request from the service server via the user terminal;
After the authentication proxy server completes the authentication process between the user terminal and the authentication proxy server, the IP address of the user terminal or the network access authentication server of the user of the user terminal with respect to the network access authentication server Requesting confirmation of the network access authentication status using the network user ID, which is a user ID, as a key;
When the network access authentication server receives a request from the authentication proxy server , the network user corresponds to authentication status information indicating an authentication status in the network access authentication server and an IP address that is a key in the request from the authentication proxy server the I P address that corresponds to the network user ID is a key in the request from the ID or the authentication agent server, and sending to the authentication proxy server,
The authentication agent server receives the authentication status information received from the network access authentication server and the network user ID received from the network access authentication server by requesting the network access authentication server to check with the IP address as a key or the network access authentication The server is requested to confirm the network user ID as a key, and the network IP address received from the network access authentication server is verified. If valid, an authentication response including authentication result information is sent via the user terminal. Sending to the service server;
And a service is started after verification of the authentication response at the service server is completed.
ユーザによる前記ユーザ端末からのサービス要求に対して前記サービスサーバが前記ユーザの認証を確認できた場合には前記ユーザに対してサービスを提供するステップと、
前記ユーザの認証が確認できない場合には前記サービスサーバから前記ユーザ端末にリダイレクト先アドレスを含んだ認証要求を送るステップと、
前記ユーザ端末から前記認証代行サーバに発IPアドレスを含んだ認証要求を送るステップと、
前記認証代行サーバが前記ユーザを確認したときには認証結果情報を生成して前記ユーザ端末へ該認証結果情報とリダイヤル先アドレスを含んだ認証応答を送るステップと、
前記ユーザ端末から前記サービスサーバへ該認証結果情報を含んだ認証応答を送るステップと、
前記サービスサーバで該認証結果情報を検証するステップと、
該認証結果情報が無効の場合には前記ユーザヘサービス提供不可を通知するステップと、
該認証結果情報が有効の場合には前記サービスサーバが前記ユーザに対してサービスを提供するステップと、
前記認証代行サーバが前記ユーザを未確認のときに前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、ネットワークアクセス認証サーバに対して、該IPアドレスをキーとしてネットワークアクセス認証状態の確認を依頼するステップと、
前記ネットワークアクセス認証サーバが該IPアドレスに対応する、前記ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDをネットワークアクセスセッション情報管理テーブルより検索するステップと、
対応するネットワークユーザIDを取得できたときに、前記ネットワークアクセス認証サーバから前記認証代行サーバへ、ネットワークアクセス認証サーバにおける認証状態を示す認証状態情報と該ネットワークユーザIDとを送るステップと、
前記認証代行サーバが、取得した該ネットワークユーザIDに対応する、前記認証代行サーバにおけるユーザIDであるIDPユーザIDをユーザ管理テーブルより検索するステップと、
取得した該IDPユーザIDと前記ユーザ端末と前記認証代行サーバ間での認証時に取得した該IDPユーザIDを比較するステップと、
前記比較により、両者が一致したときに、前記ユーザ端末に対して、認証結果情報を含んだ認証応答を送るステップと、
前記ユーザ端末から前記サービスサーバに該認証結果情報を含んだ認証応答を送るステップと、
を有し、前記サービスサーバでの該認証応答の検証終了後にサービスが開始されることを特徴とする認証方法。 A network access authentication server that authenticates network access of the user terminal, a service server that provides a service to the user terminal, and an authentication proxy server that performs authentication of the user terminal for providing the service of the service server via the network An authentication method in an authentication system formed by connecting
Providing a service to the user when the service server can confirm the authentication of the user in response to a service request from the user terminal by the user;
If the authentication of the user cannot be confirmed, sending an authentication request including a redirect address from the service server to the user terminal;
Sending an authentication request including an originating IP address from the user terminal to the authentication proxy server;
Generating authentication result information when the authentication proxy server confirms the user and sending an authentication response including the authentication result information and a redial destination address to the user terminal;
Sending an authentication response including the authentication result information from the user terminal to the service server;
Verifying the authentication result information with the service server;
Notifying the user that the service cannot be provided when the authentication result information is invalid;
When the authentication result information is valid, the service server provides a service to the user;
When the authentication proxy server has not verified the user, after the authentication process between the user terminal and the authentication proxy server is completed, the network access authentication server is requested to confirm the network access authentication status using the IP address as a key. And steps to
Searching the network access session information management table for a network user ID, which is a user ID in the network access authentication server, corresponding to the IP address of the network access authentication server;
Sending the authentication status information indicating the authentication status in the network access authentication server and the network user ID from the network access authentication server to the authentication proxy server when the corresponding network user ID can be acquired;
The authentication proxy server searches the user management table for an IDP user ID, which is a user ID in the authentication proxy server, corresponding to the acquired network user ID;
Comparing the acquired IDP user ID with the IDP user ID acquired at the time of authentication between the user terminal and the authentication proxy server;
A step of sending an authentication response including authentication result information to the user terminal when both match by the comparison;
Sending an authentication response including the authentication result information from the user terminal to the service server;
And a service is started after verification of the authentication response at the service server is completed.
ユーザによる前記ユーザ端末からのサービス要求に対して前記サービスサーバが前記ユーザの認証を確認できた場合には前記ユーザに対してサービスを提供するステップと、
前記ユーザの認証が確認できない場合には前記サービスサーバから前記ユーザ端末にリダイレクト先アドレスを含んだ認証要求を送るステップと、
前記ユーザ端末から前記認証代行サーバに発IPアドレスを含んだ認証要求を送るステップと、
前記認証代行サーバが前記ユーザを確認したときには認証結果情報を生成して前記ユーザ端末へ該認証結果情報とリダイヤル先アドレスを含んだ認証応答を送るステップと、
前記ユーザ端末から前記サービスサーバへ該認証結果情報を含んだ認証応答を送るステップと、
前記サービスサーバで該認証結果情報を検証するステップと、
該認証結果情報が無効の場合には前記ユーザヘサービス提供不可を通知するステップと、
該認証結果情報が有効の場合には前記サービスサーバが前記ユーザに対してサービスを提供するステップと、
前記認証代行サーバが前記ユーザを未確認のときに、前記認証代行サーバが認証時に取得したIDPユーザIDに対応するネットワークユーザIDをIDPユーザ管理テーブルより検索するステップと、
該ネットワークユーザIDを取得したときに、前記ネットワークアクセス認証サーバヘ該ネットワークユーザIDをキーとしてネットワークアクセス認証状態の確認を依頼するステップと、
前記ネットワークアクセス認証サーバが該ネットワークユーザIDに対応するIPアドレスをネットワークアクセスセッション情報管理テーブルより検索するステップと、
対応するIPアドレスを取得したときに、前記ネットワークアクセス認証サーバから前記認証代行サーバヘ、ネットワークアクセス認証サーバにおける認証状態を示す認証状態情報と該IPアドレスを送るステップと、
前記認証代行サーバが、取得したIPアドレスと、認証要求での発IPアドレスを比較するステップと、
前記比較により、両者が一致したときに、前記ユーザ端末に対して、認証結果情報を含んだ認証応答を送るステップと、
前記ユーザ端末から前記サービスサーバに該認証結果情報を含んだ認証応答を送るステップと、
を有し、前記サービスサーバでの該認証応答の検証終了後にサービスが開始されることを特徴とする認証方法。 A network access authentication server that authenticates network access of the user terminal, a service server that provides a service to the user terminal, and an authentication proxy server that performs authentication of the user terminal for providing the service of the service server via the network An authentication method in an authentication system formed by connecting
Providing a service to the user when the service server can confirm the authentication of the user in response to a service request from the user terminal by the user;
If the authentication of the user cannot be confirmed, sending an authentication request including a redirect address from the service server to the user terminal;
Sending an authentication request including an originating IP address from the user terminal to the authentication proxy server;
Generating authentication result information when the authentication proxy server confirms the user and sending an authentication response including the authentication result information and a redial destination address to the user terminal;
Sending an authentication response including the authentication result information from the user terminal to the service server;
Verifying the authentication result information with the service server;
Notifying the user that the service cannot be provided when the authentication result information is invalid;
When the authentication result information is valid, the service server provides a service to the user;
A step of searching the IDP user management table for a network user ID corresponding to the IDP user ID acquired by the authentication proxy server when the authentication proxy server has not confirmed the user;
Requesting the network access authentication server to confirm the network access authentication state using the network user ID as a key when the network user ID is acquired;
The network access authentication server searching an IP address corresponding to the network user ID from a network access session information management table;
Sending an authentication status information indicating an authentication status in the network access authentication server and the IP address from the network access authentication server to the authentication proxy server when the corresponding IP address is acquired;
The authentication proxy server compares the acquired IP address with the originating IP address in the authentication request;
A step of sending an authentication response including authentication result information to the user terminal when both match by the comparison;
Sending an authentication response including the authentication result information from the user terminal to the service server;
And a service is started after verification of the authentication response at the service server is completed.
1つの認証代行サーバの配下に複数のネットワークアクセス認証サーバが接続される認証システムにおける認証方法であって、
前記認証代行サーバが、前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記認証代行サーバから前記ネットワークアクセス認証サーバヘネットワークアクセス認証状態を確認するときに、前記認証代行サーバが保有する前記ユーザが属するネットワークアクセス認証サーバを識別する識別子により該当するネットワークアクセス認証サーバを特定するステップと、
前記認証代行サーバから前記ネットワークアクセス認証サーバに、ネットワークアクセス認証状態の確認を依頼するステップと、
を有することを特徴とする認証方法。 The authentication method according to any one of claims 1 to 3,
An authentication method in an authentication system in which a plurality of network access authentication servers are connected to one authentication proxy server,
When the authentication proxy server confirms the network access authentication status from the authentication proxy server to the network access authentication server after the end of the authentication process between the user terminal and the authentication proxy server, the authentication proxy server holds Identifying a corresponding network access authentication server by an identifier identifying the network access authentication server to which the user belongs;
Requesting the network access authentication server to check the network access authentication state from the authentication proxy server;
An authentication method characterized by comprising:
前記認証代行サーバから前記ネットワークアクセス認証サーバヘアクセスするとき、前記認証代行サーバが前記ユーザ端末のIPアドレスから該当する認証サーバを引くテーブルを用意するステップと、
該テーブルを用いてそのIPアドレスから該当するネットワークアクセス認証サーバを特定するステップと、
認証処理において、ネットワークアクセスサーバによる認証と認証代行サーバにおける認証とを連携して行う、または、ネットワークアクセスサーバによる認証と認証代行サーバにおける認証とを連携して行う代わりにネットワークアクセス認証単独の認証のみを行うステップと、
を有することを特徴とする認証方法。 The authentication method according to claim 4,
Preparing a table for subtracting a corresponding authentication server from an IP address of the user terminal when the authentication proxy server accesses the network access authentication server from the authentication proxy server;
Identifying a corresponding network access authentication server from the IP address using the table;
In the authentication process, authentication by the network access server and authentication by the authentication proxy server are performed in cooperation, or instead of performing authentication by the network access server and authentication by the authentication proxy server in combination, only network access authentication is performed. The steps of
An authentication method characterized by comprising:
前記認証代行サーバが、前記サービスサーバから前記ユーザ端末を経由して認証要求を受けるステップと、
前記認証代行サーバが、前記ユーザ端末と認証代行サーバ間でのIDP認証において、前記ユーザ端末に対して認証を行うと共に、IDPユーザIDのエントリーごとにユーザアカウント情報として前記認証代行サーバ内に格納してある前記エッジルータが回線毎に固定的に割り当てたIPアドレスを利用して発IPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送るステップと、
を有し、前記サービスサーバでの該認証応答の検証終了後にサービスが開始されることを特徴とする認証方法。 An edge router that assigns a fixed IP address for each line, a service server that provides a service to a user terminal, and an authentication proxy server that performs authentication of the user terminal for providing the service of the service server via a network An authentication method in an authentication system formed by connecting
The authentication proxy server receiving an authentication request from the service server via the user terminal;
In the IDP authentication between the user terminal and the authentication proxy server, the authentication proxy server authenticates the user terminal, and stores the IDP user ID entry as user account information in the authentication proxy server. verifies the originating IP address the edge routers Te is to take advantage of the IP address fixedly assigned for each line, if valid, the authentication result inclusive authentication response information, via said user terminal Sending to the service server ;
It has a, authentication method characterized by the service is started after verifying the completion of authentication response in said service server.
前記認証代行サーバが、
前記サービスサーバから前記ユーザ端末を経由して認証要求を受ける手段と、
前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記ネットワークアクセス認証サーバに対して、前記ユーザ端末のIPアドレスまたは前記ユーザ端末のユーザの前記ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDをキーとしてネットワークアクセス認証状態の確認を依頼する手段と、
前記ネットワークアクセス認証サーバから受けた前記認証状態情報と前記ネットワークアクセス認証サーバにIPアドレスをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたネットワークユーザIDまたは前記ネットワークアクセス認証サーバにネットワークユーザIDをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたIPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送る手段と、
を備え、
前記ネットワークアクセス認証サーバが、前記認証代行サーバからの依頼を受けて、ネットワークアクセス認証サーバにおける認証状態を示す認証状態情報と、前記認証代行サーバからの依頼におけるキーであるIPアドレスに対応するネットワークユーザIDまたは前記前記認証代行サーバからの依頼におけるキーであるネットワークユーザIDに対応するIPアドレスを、前記認証代行サーバに対して送る手段を、
備え、前記サービスサーバでの前記認証応答の検証終了後にサービスが開始されることを特徴とする認証システム。 A network access authentication server that authenticates network access of the user terminal, a service server that provides a service to the user terminal, and an authentication proxy server that performs authentication of the user terminal for providing the service of the service server via the network Authentication system,
The authentication proxy server is
Means for receiving an authentication request from the service server via the user terminal;
After the authentication process between the user terminal and the authentication proxy server is completed, the network user who is the IP address of the user terminal or a user ID in the network access authentication server of the user terminal user with respect to the network access authentication server Means for requesting confirmation of the network access authentication status using the ID as a key;
The authentication status information received from the network access authentication server and the network access ID received from the network access authentication server by requesting the network access authentication server to confirm using the IP address as a key or the network user ID to the network access authentication server Means for verifying the IP address received from the network access authentication server by requesting confirmation using the key , and if valid, means for sending an authentication response including authentication result information to the service server via the user terminal When,
With
When the network access authentication server receives a request from the authentication proxy server , the network user corresponds to authentication status information indicating an authentication status in the network access authentication server and an IP address that is a key in the request from the authentication proxy server the ID or I P address that corresponds to the network user ID is a key in the request from said authentication agent server, it means for sending to the authentication proxy server,
And a service is started after the verification of the authentication response in the service server is completed.
前記サービスサーバから前記ユーザ端末を経由して認証要求を受ける手段と、
前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記ネットワークアクセス認証サーバに対して、前記ユーザ端末のIPアドレスまたは前記ユーザ端末のユーザの前記ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDをキーとしてネットワークアクセス認証状態の確認を依頼する手段と、
前記ネットワークアクセス認証サーバから受けた前記認証状態情報と前記ネットワークアクセス認証サーバにIPアドレスをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたネットワークユーザIDまたは前記ネットワークアクセス認証サーバにネットワークユーザIDをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたIPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送る手段と、
を備えることを特徴とする認証代行サーバ。 A network access authentication server that authenticates network access of the user terminal, a service server that provides a service to the user terminal, and an authentication proxy server that performs authentication of the user terminal for providing the service of the service server via the network An authentication proxy server in an authentication system formed by connecting
Means for receiving an authentication request from the service server via the user terminal;
After the authentication process between the user terminal and the authentication proxy server is completed, the network user who is the IP address of the user terminal or a user ID in the network access authentication server of the user terminal user with respect to the network access authentication server Means for requesting confirmation of the network access authentication status using the ID as a key;
The authentication status information received from the network access authentication server and the network access ID received from the network access authentication server by requesting the network access authentication server to confirm using the IP address as a key or the network user ID to the network access authentication server Means for verifying the IP address received from the network access authentication server by requesting confirmation using the key , and if valid, means for sending an authentication response including authentication result information to the service server via the user terminal When,
An authentication proxy server comprising:
認証代行サーバにおけるユーザIDであるIDPユーザID、ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDを含むユーザアカウントを持つ手段と、
前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記ネットワークアクセス認証サーバヘ、前記ユーザ端末からの認証要求パケットの中の発IPアドレスをキーとして、該ネットワークアクセス認証状態の確認を依頼する手段と、
前記ネットワークアクセス認証サーバより、ネットワークアクセス認証状態を含み認証済みの場合はネットワークユーザIDも含むネットワークアクセス認証状態確認結果を受信する手段と、
ネットワークアクセス認証状態が確認できないときにはユーザヘサービス提供不可を通知する手段と、
受信により取得したネットワークユーザIDに対応するIDPユーザIDを前記ユーザアカウントを持つ手段より検索する手段と、
IDPユーザIDが取得できたか否かの判断を行う手段と、
取得できないときは前記ユーザヘサービス提供不可を通知する手段と、
取得したIDPユーザIDと、前記ユーザ端末と前記認証代行サーバ間での認証時に取得したIDPユーザIDとを比較する手段と、
該IDPユーザIDの比較で一致するか否かの判断を行う手段と、
一致しなければユーザヘサービス提供不可を通知する手段と、
一致すれば認証結果情報を生成する手段と、
を備えることを特徴とする認証代行サーバ。 A network access authentication server that authenticates network access of the user terminal, a service server that provides a service to the user terminal, and an authentication proxy server that performs authentication of the user terminal for providing the service of the service server via the network An authentication proxy server in an authentication system formed by connecting
Means having a user account including an IDP user ID that is a user ID in the authentication proxy server and a network user ID that is a user ID in the network access authentication server;
After the authentication process between the user terminal and the authentication proxy server is completed, the network access authentication server is requested to confirm the network access authentication state using the originating IP address in the authentication request packet from the user terminal as a key. Means,
Means for receiving, from the network access authentication server, a network access authentication status confirmation result including a network user ID if the network access authentication status has been authenticated;
A means for notifying the user that the service cannot be provided when the network access authentication status cannot be confirmed;
Means for searching an IDP user ID corresponding to the network user ID obtained by reception from means having the user account;
Means for determining whether or not an IDP user ID has been acquired;
Means for notifying the user that service cannot be provided when it cannot be obtained;
Means for comparing the acquired IDP user ID with the IDP user ID acquired at the time of authentication between the user terminal and the authentication proxy server;
Means for determining whether or not the IDP user IDs match in the comparison;
A means for notifying the user that the service cannot be provided if they do not match;
And it means to generate an authentication result information if they match,
An authentication proxy server comprising:
認証代行サーバにおけるユーザIDであるIDPユーザID、ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDを含むユーザアカウントを持つ手段と、
前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記認証時に取得したIDPユーザIDに対応するネットワークユーザIDを前記ユーザアカウントを持つ手段より検索する手段と、
ネットワークユーザIDが取得できたか否かを判断する手段と、
取得できなかった場合にはユーザヘサービス提供不可を通知する手段と、
取得できたときには前記認証代行サーバは、前記ネットワークアクセス認証サーバヘ、該ネットワークユーザIDをキーとして該ネットワークアクセス認証状態の確認を依頼する手段と、
前記認証代行サーバは前記ネットワークアクセス認証サーバより、ネットワーク認証状態を含み認証済みの場合にはIPアドレスも含むネットワークアクセス認証状態確認結果を受信する手段と、
ネットワーク認証状態が済みか否かを判断する手段と、
未認証の場合にはユーザヘサービス提供不可を通知する手段と、
認証済みの場合には、ネットワークアクセス認証サーバより取得したIPアドレスと、認証要求パケットの発IPアドレスとを比較する手段と、
IPアドレスの比較で一致するか否かの判断を行う手段と、
一致しなければユーザヘサービス提供不可を通知する手段と、
一致すれば認証結果情報を生成する手段と、
を備えることを特徴とする認証代行サーバ。 A network access authentication server that authenticates network access of the user terminal, a service server that provides a service to the user terminal, and an authentication proxy server that performs authentication of the user terminal for providing the service of the service server via the network An authentication proxy server in an authentication system formed by connecting
Means having a user account including an IDP user ID that is a user ID in the authentication proxy server and a network user ID that is a user ID in the network access authentication server;
Means for searching a network user ID corresponding to the IDP user ID acquired at the time of authentication from the means having the user account after the end of the authentication process between the user terminal and the authentication proxy server;
Means for determining whether the network user ID has been acquired;
A means for notifying the user that the service cannot be provided if it cannot be obtained;
Means for requesting the network access authentication server to confirm the network access authentication state using the network user ID as a key when the authentication proxy server is able to acquire the network access authentication server;
Means for receiving a network access authentication status confirmation result including an IP address if the authentication surrogate server includes the network authentication status and has been authenticated from the network access authentication server;
Means for determining whether the network authentication status has been completed;
A means of notifying the user that the service cannot be provided if not authenticated,
If authenticated, means for comparing the IP address obtained from the network access authentication server with the originating IP address of the authentication request packet;
Means for determining whether or not the IP addresses match,
A means for notifying the user that the service cannot be provided if they do not match;
Means for generating authentication result information if they match,
An authentication proxy server comprising:
ユーザが属するネットワークアクセス認証サーバを識別する識別子を保有する手段と、
前記識別子により、確認を依頼するネットワークアクセス認証サーバを決定する手段と、
を備えることを特徴とする認証代行サーバ。 In the authentication proxy server according to any one of claims 8 to 10,
Means for holding an identifier for identifying a network access authentication server to which the user belongs;
Means for determining a network access authentication server to request confirmation by the identifier;
An authentication proxy server comprising:
前記サービスサーバから前記ユーザ端末を経由して認証要求を受ける手段と、
前記ユーザ端末とのIDP認証において、前記ユーザ端末に対して認証を行うと共に、IDPユーザIDのエントリーごとにユーザアカウント情報として前記認証代行サーバ内に格納してある前記エッジルータが回線毎に固定的に割り当てたIPアドレスを利用して発IPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送る手段と、
を備えることを特徴とする認証代行サーバ。 An edge router that assigns a fixed IP address for each line, a service server that provides a service to a user terminal, and an authentication proxy server that performs authentication of the user terminal for providing the service of the service server via a network An authentication proxy server in a connected authentication system ,
Means for receiving an authentication request from the service server via the user terminal;
In IDP authentication with the user terminal , the user terminal is authenticated, and the edge router stored in the authentication proxy server as user account information for each IDP user ID entry is fixed for each line. to take advantage of the IP address assigned to validate the source IP address, if effective, means for sending an authentication result authentication response including the information, to the service server through the user terminal,
An authentication proxy server comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004155673A JP4291213B2 (en) | 2004-05-26 | 2004-05-26 | Authentication method, authentication system, authentication proxy server, network access authentication server, program, and recording medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004155673A JP4291213B2 (en) | 2004-05-26 | 2004-05-26 | Authentication method, authentication system, authentication proxy server, network access authentication server, program, and recording medium |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005339093A JP2005339093A (en) | 2005-12-08 |
| JP4291213B2 true JP4291213B2 (en) | 2009-07-08 |
Family
ID=35492610
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004155673A Expired - Lifetime JP4291213B2 (en) | 2004-05-26 | 2004-05-26 | Authentication method, authentication system, authentication proxy server, network access authentication server, program, and recording medium |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4291213B2 (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102420836A (en) * | 2012-01-12 | 2012-04-18 | 中国电子科技集团公司第十五研究所 | Sign-on method and sign-on management system for service information system |
| US11411954B1 (en) | 2021-12-27 | 2022-08-09 | Coretech LT, UAB | Access control policy for proxy services |
Families Citing this family (75)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8713623B2 (en) | 2001-09-20 | 2014-04-29 | Time Warner Cable Enterprises, LLC | Technique for effectively providing program material in a cable television system |
| US8266429B2 (en) | 2004-07-20 | 2012-09-11 | Time Warner Cable, Inc. | Technique for securely communicating and storing programming material in a trusted domain |
| US8312267B2 (en) | 2004-07-20 | 2012-11-13 | Time Warner Cable Inc. | Technique for securely communicating programming content |
| US9723267B2 (en) | 2004-12-15 | 2017-08-01 | Time Warner Cable Enterprises Llc | Method and apparatus for wideband distribution of content |
| US20070022459A1 (en) | 2005-07-20 | 2007-01-25 | Gaebel Thomas M Jr | Method and apparatus for boundary-based network operation |
| JP4672593B2 (en) * | 2006-05-02 | 2011-04-20 | 日本電信電話株式会社 | ID-linked authentication system and ID-linked authentication method |
| US9386327B2 (en) | 2006-05-24 | 2016-07-05 | Time Warner Cable Enterprises Llc | Secondary content insertion apparatus and methods |
| US8280982B2 (en) | 2006-05-24 | 2012-10-02 | Time Warner Cable Inc. | Personal content server apparatus and methods |
| JP4551367B2 (en) * | 2006-07-07 | 2010-09-29 | 日本電信電話株式会社 | Service system and service system control method |
| JP4551369B2 (en) * | 2006-07-07 | 2010-09-29 | 日本電信電話株式会社 | Service system and service system control method |
| JP4551368B2 (en) * | 2006-07-07 | 2010-09-29 | 日本電信電話株式会社 | Service system and service system control method |
| JP4611946B2 (en) * | 2006-08-10 | 2011-01-12 | 日本電信電話株式会社 | User line authentication system, user line authentication method, and user line authentication program |
| JP2008097207A (en) * | 2006-10-10 | 2008-04-24 | Chugoku Electric Power Co Inc:The | Authentication system, authentication method, and program |
| JP4573820B2 (en) * | 2006-10-10 | 2010-11-04 | 中国電力株式会社 | Authentication system and authentication method |
| US8520850B2 (en) | 2006-10-20 | 2013-08-27 | Time Warner Cable Enterprises Llc | Downloadable security and protection methods and apparatus |
| US8732854B2 (en) | 2006-11-01 | 2014-05-20 | Time Warner Cable Enterprises Llc | Methods and apparatus for premises content distribution |
| JP4643596B2 (en) | 2007-01-11 | 2011-03-02 | 株式会社東芝 | Apparatus, method, program, terminal apparatus for authenticating terminal apparatus, and apparatus for relaying communication of terminal apparatus |
| US8621540B2 (en) | 2007-01-24 | 2013-12-31 | Time Warner Cable Enterprises Llc | Apparatus and methods for provisioning in a download-enabled system |
| EP2120392B8 (en) * | 2007-02-07 | 2016-03-30 | Nippon Telegraph and Telephone Corporation | Certificate authenticating method, certificate issuing device, and authentication device |
| US8181206B2 (en) | 2007-02-28 | 2012-05-15 | Time Warner Cable Inc. | Personal content server apparatus and methods |
| JP5016950B2 (en) * | 2007-03-05 | 2012-09-05 | アラクサラネットワークス株式会社 | Authentication system and information relay device |
| JP5239341B2 (en) * | 2008-01-08 | 2013-07-17 | 日本電気株式会社 | Gateway, relay method and program |
| US9503691B2 (en) | 2008-02-19 | 2016-11-22 | Time Warner Cable Enterprises Llc | Methods and apparatus for enhanced advertising and promotional delivery in a network |
| JP5273770B2 (en) * | 2008-03-04 | 2013-08-28 | 日本電信電話株式会社 | VPN multiple attribution system and authentication control method |
| JP2009282561A (en) * | 2008-05-19 | 2009-12-03 | Kddi Corp | User authentication system, user authentication method and program |
| JP5081085B2 (en) * | 2008-07-15 | 2012-11-21 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Service cooperation method, service providing apparatus, and program |
| US9357247B2 (en) | 2008-11-24 | 2016-05-31 | Time Warner Cable Enterprises Llc | Apparatus and methods for content delivery and message exchange across multiple content delivery networks |
| JP5459583B2 (en) * | 2009-03-25 | 2014-04-02 | 日本電気株式会社 | Authentication method, authentication system thereof, and authentication processing program thereof |
| US9215423B2 (en) | 2009-03-30 | 2015-12-15 | Time Warner Cable Enterprises Llc | Recommendation engine apparatus and methods |
| US11076189B2 (en) | 2009-03-30 | 2021-07-27 | Time Warner Cable Enterprises Llc | Personal media channel apparatus and methods |
| US8370509B2 (en) * | 2009-04-09 | 2013-02-05 | Alcatel Lucent | Identity management services provided by network operator |
| US9866609B2 (en) | 2009-06-08 | 2018-01-09 | Time Warner Cable Enterprises Llc | Methods and apparatus for premises content distribution |
| US9602864B2 (en) | 2009-06-08 | 2017-03-21 | Time Warner Cable Enterprises Llc | Media bridge apparatus and methods |
| US9237381B2 (en) | 2009-08-06 | 2016-01-12 | Time Warner Cable Enterprises Llc | Methods and apparatus for local channel insertion in an all-digital content distribution network |
| US8396055B2 (en) | 2009-10-20 | 2013-03-12 | Time Warner Cable Inc. | Methods and apparatus for enabling media functionality in a content-based network |
| US10264029B2 (en) | 2009-10-30 | 2019-04-16 | Time Warner Cable Enterprises Llc | Methods and apparatus for packetized content delivery over a content delivery network |
| US9635421B2 (en) | 2009-11-11 | 2017-04-25 | Time Warner Cable Enterprises Llc | Methods and apparatus for audience data collection and analysis in a content delivery network |
| US9519728B2 (en) | 2009-12-04 | 2016-12-13 | Time Warner Cable Enterprises Llc | Apparatus and methods for monitoring and optimizing delivery of content in a network |
| US9342661B2 (en) | 2010-03-02 | 2016-05-17 | Time Warner Cable Enterprises Llc | Apparatus and methods for rights-managed content and data delivery |
| US9300445B2 (en) | 2010-05-27 | 2016-03-29 | Time Warner Cable Enterprise LLC | Digital domain content processing and distribution apparatus and methods |
| US9906838B2 (en) * | 2010-07-12 | 2018-02-27 | Time Warner Cable Enterprises Llc | Apparatus and methods for content delivery and message exchange across multiple content delivery networks |
| US8997136B2 (en) | 2010-07-22 | 2015-03-31 | Time Warner Cable Enterprises Llc | Apparatus and methods for packetized content delivery over a bandwidth-efficient network |
| JP5485063B2 (en) * | 2010-07-30 | 2014-05-07 | セコム株式会社 | Authentication system |
| US9185341B2 (en) | 2010-09-03 | 2015-11-10 | Time Warner Cable Enterprises Llc | Digital domain content processing and distribution apparatus and methods |
| US8930979B2 (en) | 2010-11-11 | 2015-01-06 | Time Warner Cable Enterprises Llc | Apparatus and methods for identifying and characterizing latency in a content delivery network |
| US10148623B2 (en) | 2010-11-12 | 2018-12-04 | Time Warner Cable Enterprises Llc | Apparatus and methods ensuring data privacy in a content distribution network |
| US9467723B2 (en) | 2012-04-04 | 2016-10-11 | Time Warner Cable Enterprises Llc | Apparatus and methods for automated highlight reel creation in a content delivery network |
| JP5645891B2 (en) * | 2012-07-30 | 2014-12-24 | ビッグローブ株式会社 | Software providing system, portal server, providing server, authentication method, providing method, and program |
| US20140082645A1 (en) | 2012-09-14 | 2014-03-20 | Peter Stern | Apparatus and methods for providing enhanced or interactive features |
| US9565472B2 (en) | 2012-12-10 | 2017-02-07 | Time Warner Cable Enterprises Llc | Apparatus and methods for content transfer protection |
| US20140282786A1 (en) | 2013-03-12 | 2014-09-18 | Time Warner Cable Enterprises Llc | Methods and apparatus for providing and uploading content to personalized network storage |
| US10368255B2 (en) | 2017-07-25 | 2019-07-30 | Time Warner Cable Enterprises Llc | Methods and apparatus for client-based dynamic control of connections to co-existing radio access networks |
| US9066153B2 (en) | 2013-03-15 | 2015-06-23 | Time Warner Cable Enterprises Llc | Apparatus and methods for multicast delivery of content in a content delivery network |
| US9313568B2 (en) | 2013-07-23 | 2016-04-12 | Chicago Custom Acoustics, Inc. | Custom earphone with dome in the canal |
| US9621940B2 (en) | 2014-05-29 | 2017-04-11 | Time Warner Cable Enterprises Llc | Apparatus and methods for recording, accessing, and delivering packetized content |
| US11540148B2 (en) | 2014-06-11 | 2022-12-27 | Time Warner Cable Enterprises Llc | Methods and apparatus for access point location |
| US9935833B2 (en) | 2014-11-05 | 2018-04-03 | Time Warner Cable Enterprises Llc | Methods and apparatus for determining an optimized wireless interface installation configuration |
| JP6358947B2 (en) * | 2014-12-19 | 2018-07-18 | エイチ・シー・ネットワークス株式会社 | Authentication system |
| US10116676B2 (en) | 2015-02-13 | 2018-10-30 | Time Warner Cable Enterprises Llc | Apparatus and methods for data collection, analysis and service modification based on online activity |
| JP6633886B2 (en) * | 2015-10-23 | 2020-01-22 | ビッグローブ株式会社 | Authentication system, authentication method and program |
| US9986578B2 (en) | 2015-12-04 | 2018-05-29 | Time Warner Cable Enterprises Llc | Apparatus and methods for selective data network access |
| US9918345B2 (en) | 2016-01-20 | 2018-03-13 | Time Warner Cable Enterprises Llc | Apparatus and method for wireless network services in moving vehicles |
| US10404758B2 (en) | 2016-02-26 | 2019-09-03 | Time Warner Cable Enterprises Llc | Apparatus and methods for centralized message exchange in a user premises device |
| US10492034B2 (en) | 2016-03-07 | 2019-11-26 | Time Warner Cable Enterprises Llc | Apparatus and methods for dynamic open-access networks |
| US10164858B2 (en) | 2016-06-15 | 2018-12-25 | Time Warner Cable Enterprises Llc | Apparatus and methods for monitoring and diagnosing a wireless network |
| JP6266049B1 (en) * | 2016-07-25 | 2018-01-24 | 三井情報株式会社 | Information processing system, information processing method, information processing apparatus, and program |
| US10645547B2 (en) | 2017-06-02 | 2020-05-05 | Charter Communications Operating, Llc | Apparatus and methods for providing wireless service in a venue |
| US10638361B2 (en) | 2017-06-06 | 2020-04-28 | Charter Communications Operating, Llc | Methods and apparatus for dynamic control of connections to co-existing radio access networks |
| JP6584460B2 (en) * | 2017-08-29 | 2019-10-02 | ビッグローブ株式会社 | Authentication system, authentication method and program |
| JP7100561B2 (en) * | 2018-10-30 | 2022-07-13 | ウイングアーク1st株式会社 | Authentication system, authentication server and authentication method |
| JP7629151B2 (en) * | 2018-12-12 | 2025-02-13 | 久利寿 帝都 | Information communication method and information communication system |
| JP6868066B2 (en) * | 2019-09-02 | 2021-05-12 | ビッグローブ株式会社 | Authentication system, authentication method and program |
| CN112492597B (en) * | 2020-12-14 | 2023-03-24 | 中国联合网络通信集团有限公司 | Authentication method and device |
| JP7288925B2 (en) * | 2021-04-22 | 2023-06-08 | 株式会社フライトシステムコンサルティング | Information processing systems, portable reading terminals, and software products |
| EP4525495A1 (en) * | 2022-05-09 | 2025-03-19 | Beijing Xiaomi Mobile Software Co., Ltd. | Authentication method and device, medium and chip |
-
2004
- 2004-05-26 JP JP2004155673A patent/JP4291213B2/en not_active Expired - Lifetime
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102420836A (en) * | 2012-01-12 | 2012-04-18 | 中国电子科技集团公司第十五研究所 | Sign-on method and sign-on management system for service information system |
| US11411954B1 (en) | 2021-12-27 | 2022-08-09 | Coretech LT, UAB | Access control policy for proxy services |
| US12063216B2 (en) | 2021-12-27 | 2024-08-13 | Oxylabs, Uab | Access control policy for proxy services |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005339093A (en) | 2005-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4291213B2 (en) | Authentication method, authentication system, authentication proxy server, network access authentication server, program, and recording medium | |
| US7665129B2 (en) | Method and system for managing access authorization for a user in a local administrative domain when the user connects to an IP network | |
| KR101025403B1 (en) | Method and system for authenticating a user in network access while the user is connected to the Internet | |
| JP4394682B2 (en) | Apparatus and method for single sign-on authentication via untrusted access network | |
| US8108903B2 (en) | Arrangement and a method relating to IP network access | |
| CN107404485B (en) | Self-verification cloud connection method and system thereof | |
| US20090132682A1 (en) | System and Method for Secure Configuration of Network Attached Devices | |
| CN105007579A (en) | Wireless local area network access authentication method and terminal | |
| JP2004505383A (en) | System for distributed network authentication and access control | |
| KR20070032805A (en) | System and method for managing user authentication and authorization to realize single-sign-on for accessing multiple networks | |
| WO2004107650A1 (en) | A system and method of network authentication, authorization and accounting | |
| CN103179554B (en) | Wireless broadband network connection control method, device and the network equipment | |
| CN101867476A (en) | 3G virtual private dialing network user safety authentication method and device thereof | |
| US20040010713A1 (en) | EAP telecommunication protocol extension | |
| US20060183463A1 (en) | Method for authenticated connection setup | |
| WO2013056619A1 (en) | Method, idp, sp and system for identity federation | |
| WO2013040957A1 (en) | Single sign-on method and system, and information processing method and system | |
| WO2018045798A1 (en) | Network authentication method and related device | |
| CN108200039B (en) | Non-perception authentication and authorization system and method based on dynamic establishment of temporary account password | |
| US8336082B2 (en) | Method for realizing the synchronous authentication among the different authentication control devices | |
| CN115996381A (en) | Network security management and control method, system, device and medium for wireless private network | |
| WO2011063658A1 (en) | Method and system for unified security authentication | |
| JP2009217722A (en) | Authentication processing system, authentication device, management device, authentication processing method, authentication processing program and management processing program | |
| WO2011023228A1 (en) | Identity management system | |
| JP4377120B2 (en) | Service provision system based on remote access authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081029 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081209 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090209 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090331 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090402 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4291213 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120410 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130410 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140410 Year of fee payment: 5 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |