[go: up one dir, main page]

JP2008160709A - 計算機システム - Google Patents

計算機システム Download PDF

Info

Publication number
JP2008160709A
JP2008160709A JP2006349859A JP2006349859A JP2008160709A JP 2008160709 A JP2008160709 A JP 2008160709A JP 2006349859 A JP2006349859 A JP 2006349859A JP 2006349859 A JP2006349859 A JP 2006349859A JP 2008160709 A JP2008160709 A JP 2008160709A
Authority
JP
Japan
Prior art keywords
network
user
terminal device
server
aaa server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006349859A
Other languages
English (en)
Inventor
Keiko Okubo
敬子 大久保
Morihito Miyagi
盛仁 宮城
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2006349859A priority Critical patent/JP2008160709A/ja
Priority to US12/000,138 priority patent/US20080155678A1/en
Publication of JP2008160709A publication Critical patent/JP2008160709A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ISPによって提供されるネットワークに接続された端末装置の通信に、当該端末装置が属する企業の接続ポリシーを適用する。
【解決手段】インターネットと、第1ネットワークと、複数の第2ネットワークと、を備える計算機システムであって、前記第1ネットワークは、アクセスポイントと、第1通信装置と、DHCPサーバと、第1認証サーバと、を含み、前記第2ネットワークは、第2端末装置を含み、前記第1認証サーバは、第1端末装置からアクセス要求を受信すると、当該第1端末装置に対応する第2ネットワークを特定し、前記特定された第2ネットワークに含まれる第2端末装置の通信の制御に使用されるアクセス制御情報を、前記第1通信装置に送信し、前記第1通信装置は、前記第1認証サーバから受信したアクセス制御情報に基づいて、前記第1端末装置の通信を制御する。
【選択図】図1

Description

本発明は、ISPによって提供されるネットワークに接続される端末装置の通信を制御する技術に関する。
従来、端末装置の通信を制御する技術が知られている。例えば、端末装置の機能が制限されることによって、企業イントラネットと端末装置との間では、VPN通信以外のすべての通信が禁止される。そのため、端末装置は、企業イントラネット以外のリソースへアクセスする場合にも、企業イントラネットを経由してアクセスする。これによって、端末装置と企業イントラネット以外のリソースとの通信に対しても、企業の接続ポリシーが適用される。
なお、非特許文献1には、802.1X認証シーケンスの一つであるEAP−TLS(Extensible Authentication Protocol−Transport Layer Security)を用いての認証処理が記載されている。
IETF RFC3748
しかし、前述した従来技術では、端末装置の通信を制限するため、出先などでのWeb利用も制限されてしまう。そのため、端末装置の利便性が低下してしまう。
例えば、端末装置が、国際会議の会場内の無線LAN(Local Area Network)を利用して配布資料をサーバからダウンロードする場合を考える。この場合であっても、端末装置は、当該端末装置が属する企業のイントラネットとVPN接続を行う必要がある。その後、社内イントラネットのリソースが、サーバから配布資料を取得し、取得した配布資料を端末装置に送信する。このため、配布資料の取得に多くの時間を要する可能性がある。
本発明は、前述した問題点に鑑みてなされたものであって、ISPによって提供されるネットワークに接続された端末装置の通信に、当該端末装置が属する企業の接続ポリシーを適用する計算機システムを提供することを目的とする。
本発明の代表的な形態は、インターネットと、前記インターネットに接続される第1ネットワークと、前記インターネットに接続される複数の第2ネットワークと、を備える計算機システムであって、前記第1ネットワークは、第1端末装置に無線又は有線で接続されるアクセスポイントと、前記アクセスポイントに接続され、前記第1端末装置の通信を制御する第1通信装置と、前記第1端末装置にIPアドレスを割り当てるDHCPサーバと、前記第1端末装置に対する認証を行う第1認証サーバと、を含み、前記第2ネットワークは、第2端末装置を含み、前記第1認証サーバは、前記第1端末装置からアクセス要求を受信すると、当該第1端末装置に対応する第2ネットワークを特定し、前記特定された第2ネットワークに含まれる第2端末装置の通信の制御に使用されるアクセス制御情報を、前記第1通信装置に送信し、前記第1通信装置は、前記第1認証サーバから受信したアクセス制御情報に基づいて、前記第1端末装置の通信を制御する。
本発明の代表的な形態によれば、ISPによって提供されるネットワークに接続された端末装置の通信に、当該端末装置が属する企業の接続ポリシーを適用できる。
本発明の実施の形態を図面を参照して説明する。
(第1の実施の形態)
図1は、本発明の第1の実施の形態の計算機システムの構成のブロック図である。
計算機システムは、企業H網11、ISP(Internet Service Provider)A網12、インターネット13及び外部リソース14を備える。
ISPA網12は、ISP(Internet Service Provider)の「A」によって提供されるネットワークである。なお、ISPは、ユーザ端末装置(ユーザPC)116にインターネットへの接続サービスを提供する業者である。また、ISPは、公衆無線LAN事業者(Wireless ISP:W−ISP)をも含む。
ISPA網12は、一つ以上のAPA115に接続される。APA115は、有線又は無線でユーザPC116に接続される中継局(AP:access point)である。ユーザPC116は、CPU、メモリ及びインタフェースを備え、ユーザによって操作される計算機である。
ISPA網12は、ポリシーエンフォーサ114、DHCPサーバA113、AAA(Authentication Authorization Accounting)サーバA112及びルータA111を備える。なお、当該ブロック図では、ポリシーエンフォーサ114、DHCPサーバA113、AAAサーバA112及びルータA111は、ISPA網12に一つずつ備わっているが、複数備わっていてもよい。
ポリシーエンフォーサ114は、ユーザPC116の通信に対して、接続ポリシー制御を行う。なお、ポリシーエンフォーサ114については、図2で詳細を説明する。
DHCPサーバA113は、CPU、メモリ及びインタフェースを備える計算機である。また、DHCPサーバA113は、IPアドレスなどを含む必要な情報を、ユーザPC116に自動的に割り当てる。
AAAサーバA112は、ユーザPC116に対する認証を行う。なお、AAAサーバA112については、図4で詳細を説明する。
ルータA111は、インターネット13に接続される。また、ルータA111は、パケットを受信し、受信したパケットを転送する。
企業H網11は、企業Hに備わる内部ネットワークである。また、企業H網11は、ルータH17、VPN(Virtual Private Network)サーバ110、AAAサーバH18、ユーザPC116及びサービス提供サーバ19を備える。
ルータH17は、インターネット13に接続される。また、ルータH17は、パケットを受信し、受信したパケットを転送する。
AAAサーバH18は、CPU、メモリ及びインタフェースを備える計算機である。また、AAAサーバH18は、ユーザPC116に対する認証を行う。更に、AAAサーバH18は、ユーザPC116の通信に適用される接続ポリシーを管理する。
VPNサーバ110は、CPU、メモリ及びインタフェースを備える計算機である。また、VPNサーバ110は、パケットのヘッダの変換及びパケットの暗号化を行う。これによって、VPNサーバ110は、VPNを利用した通信を提供する。
ユーザPC116は、CPU、メモリ及びインタフェースを備え、ユーザによって操作される計算機である。例えば、ユーザPC116は、移動可能な計算機である。企業H網11内に備わるユーザPC116は、ユーザに持ち運ばれることによって、APA115に接続されてもよい。本実施の形態では、ユーザPC116がAPA115に接続されている場合であっても、企業H網11内に備わる場合であっても、ユーザPCの通信には同一の接続ポリシーが適用される。
サービス提供サーバ19は、CPU、メモリ及びインタフェースを備える計算機である。また、サービス提供サーバ19は、ユーザPC116に各種アプリケーションを提供する。例えば、サービス提供サーバ19は、Webサーバ又はメールサーバなどである。
外部リソース14は、プロセッサ、メモリ及びインタフェースを備える計算機である。また、外部リソース14は、WEBサービスをユーザPC116に提供する。
図2は、本発明の第1の実施の形態のISPA網12に備わるポリシーエンフォーサ114の構成のブロック図である。
ポリシーエンフォーサ114は、CPU21、メモリ22、接続ポリシー設定テーブル26及び外部インタフェース27を備える。
外部インタフェース27は、外部の装置と接続されるインタフェースである。例えば、外部インタフェース27は、APA115、DHCPサーバA113、AAAサーバA112及びルータA111などに接続される。
CPU21は、メモリ22に記憶されるプログラムを実行することによって、各種処理を行う。メモリ22は、CPU21によって実行されるプログラム及びCPU21によって必要とされる情報などを記憶する。具体的には、メモリ22は、ポリシー設定テーブル制御プログラム23、ポリシー制御プログラム24及びルーティングプログラム25を記憶する。
ポリシー設定テーブル制御プログラム23は、接続ポリシー設定テーブル26を更新する。ポリシー制御プログラム24は、ユーザPC116の通信に接続ポリシーを適用する。
ルーティングプログラム25は、パケットを受信し、受信したパケットを転送する。
接続ポリシー設定テーブル26は、ユーザPC116の通信に適用される接続ポリシーを管理する。なお、接続ポリシー設定テーブル26については、図3で詳細を説明する。
図3は、本発明の第1の実施の形態のポリシーエンフォーサ114に備わる接続ポリシー設定テーブル26の構成図である。
接続ポリシー設定テーブル26に含まれる一つのレコードは、一つの接続ポリシーを示す。また、接続ポリシー設定テーブル26は、送信元IPアドレス31、送信先IPアドレス32、その他の条件33及び動作34を含む。
送信元IPアドレス31は、当該レコードに対応する接続ポリシーが適用されるパケットの送信元のIPアドレスである。送信先IPアドレス32は、当該レコードに対応する接続ポリシーが適用されるパケットの送信先のIPアドレスである。
その他の条件33は、当該レコードに対応する接続ポリシーが適用されるパケットの条件を示す。例えば、その他の条件33には、当該レコードに対応する接続ポリシーが適用されるパケットのプロトコルの種類、送信先URL、送信元URL、送信元ポート番号及び送信先ポート番号のうちの少なくとも一つが格納される。
動作34は、当該レコードに対応する接続ポリシーの内容を示す。例えば、動作34には、転送又は廃棄が格納される。
図4は、本発明の第1の実施の形態のISPA網12に備わるAAAサーバA112の構成のブロック図である。
AAAサーバA112は、CPU41、メモリ42、ユーザデータテーブル45、法人契約企業リスト46及び外部インタフェース47を備える。
外部インタフェース47は、外部の装置と接続されるインタフェースである。例えば、外部インタフェース47は、ポリシーエンフォーサ114、DHCPサーバA113及びルータA111などに接続される。
CPU41は、メモリ42に記憶されるプログラムを実行することによって、各種処理を行う。メモリ42は、CPU41によって実行されるプログラム及びCPU41によって必要とされる情報などを記憶する。具体的には、メモリ42は、認証処理プログラム43及び通知プログラム44を記憶する。
認証処理プログラム43は、ユーザPC116に対する認証を行う。通知プログラム44は、各種情報を、ポリシーエンフォーサ114、DHCPサーバA113及びルータA111などに通知する。
ユーザデータテーブル45は、ISPの「A」のユーザに関する情報を管理する。なお、ユーザデータテーブル45については、図5で詳細を説明する。法人契約企業リスト46は、ISPの「A」と法人契約を結ぶ企業に関する情報を管理する。なお、法人契約企業リスト46については、図6で詳細を説明する。
図5は、本発明の第1の実施の形態のAAAサーバA112に備わるユーザデータテーブル45の構成図である。
ユーザデータテーブル45は、ユーザID51、パスワード52、企業名53及び課金情報54を含む。
ユーザID51は、ISPの「A」のユーザの一意な識別子である。パスワード52は、当該レコードのユーザID51によって識別されるユーザに設定されたパスワードである。企業名53は、当該レコードのユーザID51によって識別されるユーザが所属する企業の一意な識別子である。課金情報54は、当該レコードのユーザID51によって識別されるユーザに課された金額である。
図6は、本発明の第1の実施の形態のAAAサーバA112に備わる法人契約企業リスト46の構成図である。
法人契約企業リスト46は、企業名61、AAAサーバアドレス62、公開鍵63及び課金情報64を含む。
企業名61は、ISPの「A」と法人契約を結ぶ企業の一意な識別子である。AAAサーバアドレス62は、当該レコードの企業名61によって識別される企業の内部ネットワークに備わるAAAサーバH18のIPアドレスである。公開鍵63は、当該レコードの企業名61によって識別される企業の内部ネットワークに備わるAAAサーバH18の公開鍵である。課金情報64は、当該レコードの企業名61によって識別される企業に課された金額である。
図7は、本発明の第1の実施の形態の計算機システムのユーザアクセス処理のシーケンス図である。
本シーケンス図は、ユーザPC116の認証に成功した場合である。
また、企業Hは、ISPの「A」と法人契約を結んでいる。そのため、AAAサーバA112に備わるユーザデータテーブル45には、企業Hに属するユーザに関する情報が格納されている。また、AAAサーバA112に備わる法人契約企業リスト46には、企業Hに関する情報が格納されている。
まず、ユーザPC116は、APA115及びポリシーエンフォーサ114を介してAAAサーバA112に、接続要求を送信する(701)。AAAサーバA112は、接続要求を受信する。すると、AAAサーバA112は、ポリシーエンフォーサ114及びAPA115を介して、接続要求の送信元であるユーザPC116に、認証情報要求を送信する(702)。
ユーザPC116は、認証情報要求を受信する。すると、ユーザPC116は、APA115及びポリシーエンフォーサ114を介してAAAサーバA112に、ユーザID及びパスワードを含む認証情報を送信する(703)。
AAAサーバA112は、ユーザID及びパスワードを含む認証情報を受信する。このとき、AAAサーバA112は、ユーザPC116のMACアドレスを取得する。次に、AAAサーバA112は、受信したユーザIDとユーザデータテーブル45のユーザID51とが一致するレコードを、ユーザデータテーブル45から選択する。次に、AAAサーバA112は、選択したレコードからパスワード52及び企業名53を抽出する。
次に、AAAサーバA112は、受信したパスワードと抽出したパスワード52とが一致するか否かを判定することによって、ユーザPC116に対する認証を行う(704)。
受信したパスワードと抽出したパスワード52とが一致しない場合、AAAサーバA112は、認証失敗と判断する。この場合、AAAサーバA112は、認証失敗を、APA115及びユーザPC116に通知する。
一方、受信したパスワードと抽出したパスワード52とが一致した場合、AAAサーバA112は、認証成功と判断する。この場合、AAAサーバA112は、抽出した企業名53に値が格納されているか否かを判定する。
抽出した企業名53に値が格納されていない場合、受信したユーザIDによって識別されるユーザが法人ユーザでない。そこで、AAAサーバA112は、認証成功を、APA115及びユーザPC116に通知する。
一方、抽出した企業名53に値が格納されている場合、受信したユーザIDによって識別されるユーザが属する企業が当該ISPの「A」と法人契約を結んでいる。そこで、AAAサーバA112は、取得したユーザPC116のMACアドレスを、DHCPサーバA113に送信する(705)。
DHCPサーバA113は、MACアドレスを受信する。すると、DHCPサーバA113は、当該受信したMACアドレスを持つユーザPC116に配布予定のIPアドレスを、AAAサーバA112に送信する(706)。なお、DHCPサーバA113は、当該受信したMACアドレスと配布予定のIPアドレスとの対応を記憶する。
AAAサーバA112は、ユーザPC116に配布予定のIPアドレスを受信する。すると、AAAサーバA112は、抽出した企業名53と法人契約企業リスト46の企業名61とが一致するレコードを、法人契約企業リスト46から選択する。次に、AAAサーバA112は、選択したレコードから、AAAサーバアドレス62及び公開鍵63を抽出する。
次に、AAAサーバA112は、抽出したAAAサーバアドレス62宛てに、接続ポリシー要求を送信する。これによって、AAAサーバA112は、接続ポリシー要求を、企業H網11に備わるAAAサーバH18に送信する(707)。
AAAサーバH18は、接続ポリシー要求を受信する。すると、AAAサーバH18は、ユーザPC116の通信に適用される接続ポリシーを、ISPA網12に備わるAAAサーバA112に送信する(708)。
なお、接続ポリシーは、ユーザごとに設定されていてもよいし、企業ごとに設定されてもよい。接続ポリシーがユーザごとに設定されている場合、接続ポリシー要求は、ユーザIDを含む。そして、AAAサーバH18は、受信した接続ポリシー要求に備わるユーザIDに対応する接続ポリシーを、AAAサーバA112に送信する(708)。
なお、接続ポリシー要求の送受信及び接続ポリシーの送受信は、安全に行われる必要がある。例えば、AAAサーバA112及びAAAサーバH18は、接続ポリシー要求及び接続ポリシーを公開鍵暗号方式で暗号化してから送受信する(709)。
具体的には、AAAサーバA112は、抽出した公開鍵63を使って接続ポリシー要求を暗号化する。次に、AAAサーバA112は、暗号化された接続ポリシー要求をAAAサーバH18へ送信する。AAAサーバH18は、暗号化された接続ポリシー要求を受信する。すると、AAAサーバH18は、当該AAAサーバH18の秘密鍵を用いて、受信した接続ポリシー要求を復号化する。
一方、AAAサーバH18は、AAAサーバA112の公開鍵を用いて、ユーザPC116の通信に適用される接続ポリシーを暗号化する。次に、AAAサーバH18は、暗号化された接続ポリシーをAAAサーバA112に送信する。AAAサーバA112は、暗号化された接続ポリシーを受信する。すると、AAAサーバA112は、当該AAAサーバA112の秘密鍵を用いて、受信した接続ポリシーを復号化する。
なお、AAAサーバA112及びAAAサーバH18は、接続ポリシー要求及び接続ポリシーを、公開鍵暗号方式でなく、秘密鍵暗号方式で暗号化してから送受信してもよい。
AAAサーバA112は、ユーザPC116の通信に適用される接続ポリシーを受信する。すると、AAAサーバA112は、受信した接続ポリシー及びステップ706で受信したIPアドレスを、ポリシーエンフォーサ114に送信する(710)。
ポリシーエンフォーサ114は、接続ポリシー及びIPアドレスを受信する。すると、ポリシーエンフォーサ114は、受信した接続ポリシー及びIPアドレスに基づいて、接続ポリシー設定テーブル26を更新する(711)。
例えば、ポリシーエンフォーサ114は、接続ポリシー設定テーブル26に新たな二つのレコードを作成する。次に、ポリシーエンフォーサ114は、作成された一方のレコードの送信元IPアドレス31に、受信したIPアドレスを格納する。次に、ポリシーエンフォーサ114は、作成されたもう一方のレコードの送信先IPアドレス32に、受信したIPアドレスを格納する。更に、ポリシーエンフォーサ114は、作成された二つのレコードの動作34に、受信した接続ポリシーに対応する処理の内容を格納する。
一方、AAAサーバA112は、APA115及びユーザPC116に認証成功を通知する(712)。なお、従量制課金の場合には、AAAサーバA112は、課金に必要な情報の収集を開始する(713)。
APA115は、認証成功の通知を受ける。すると、APA115は、ユーザPC116に対するポートを開放する(714)。
ユーザPC116は、認証成功の通知を受ける。すると、ユーザPC116は、IPアドレス割当要求を、DHCPサーバA113に送信する(715)。
DHCPサーバA113は、IPアドレス割当要求を受信する。すると、DHCPサーバA113は、IPアドレス割当要求の送信元であるユーザPC116のMACアドレスを取得する。次に、DHCPサーバA113は、取得したMACアドレスを持つユーザPC116に配布予定のIPアドレスを特定する。次に、DHCPサーバA113は、特定したIPアドレスを、ユーザPC116に割り当てる(716)。
これによって、ユーザPC116は、インターネット13への接続が可能になる。
ここでは、その後にVPN通信が行われる場合を説明する。
ユーザPC116は、企業H網11に備わるVPNサーバ110に接続要求を送信する(717)。その後、企業H網11に備わるAAAサーバH18は、ユーザPC116に対する認証処理を行う(718)。
認証が失敗の場合、AAAサーバH18は、認証失敗を、ユーザPC116に通知する。この場合、ユーザPC116は、企業H網11にアクセスできない。
一方、認証が成功の場合、ユーザPC116とVPNサーバ110との間にVPNトンネルが構築される(719)。そして、ユーザPC116は、構築されたVPNトンネルを用いて、サービス提供サーバ19にアクセスする(720)。
VPN通信終了時には、ユーザPC116は、VPNサーバ110との間で切断処理を行う(721)。次に、ユーザPC116は、AAAサーバA112との間で切断処理を行う(722)。
なお、従量制課金の場合には、AAAサーバA112は、課金に必要な情報の収集を終了する(723)。
次に、DHCPサーバA113は、ユーザPC116に割り当てられたIPアドレスを解放する(724)。次に、AAAサーバA112は、ユーザPC116の通信終了をAPA115及びポリシーエンフォーサ114に通知する(725及び727)。
APA115は、ユーザPC116の通信終了の通知を受ける。すると、APA115は、当該ユーザPC116に対するポートを閉鎖する(726)。
一方、ポリシーエンフォーサ114は、ユーザPC116の通信終了の通知を受ける。すると、ポリシーエンフォーサ114は、接続ポリシー設定テーブル26を更新する(728)。
具体的には、ポリシーエンフォーサ114は、通信を終了するユーザPC116に割り当てられたIPアドレスと接続ポリシー設定テーブル26の送信元IPアドレス31とが一致するレコードを、接続ポリシー設定テーブル26から削除する。次に、ポリシーエンフォーサ114は、通信を終了するユーザPC116に割り当てられたIPアドレスと接続ポリシー設定テーブル26の送信先IPアドレス32とが一致するレコードを、接続ポリシー設定テーブル26から削除する。
そして、計算機システムは、ユーザアクセス処理を終了する。
図8は、本発明の第1の実施の形態のポリシーエンフォーサ114のパケット処理のフローチャートである。
ポリシーエンフォーサ114は、パケットを受信すると(81)、パケット処理を開始する。
まず、ポリシーエンフォーサ114は、受信したパケットがポリシー制御の対象であるか否かを判定する(82)。具体的には、ポリシーエンフォーサ114は、受信したパケットの送信元IPアドレスと接続ポリシー設定テーブル26の送信元IPアドレス31とが一致するレコードを、接続ポリシー設定テーブル26から選択する。なお、ポリシーエンフォーサ114は、送信元IPアドレス31に値が格納されていないレコードも、受信したパケットの送信元IPアドレスと接続ポリシー設定テーブル26の送信元IPアドレス31とが一致するレコードとして選択する。
次に、ポリシーエンフォーサ114は、受信したパケットの送信先IPアドレスと接続ポリシー設定テーブル26の送信先IPアドレス32とが一致するレコードを、選択したレコードの中から選択する。なお、ポリシーエンフォーサ114は、送信先IPアドレス32に値が格納されていないレコードも、受信したパケットの送信先IPアドレスと接続ポリシー設定テーブル26の送信先IPアドレス32とが一致するレコードとして選択する。
次に、ポリシーエンフォーサ114は、受信したパケットが接続ポリシー設定テーブル26のその他の条件33を満たすレコードを、選択したレコードの中から選択する。ポリシーエンフォーサ114は、当該レコードを選択できたか否かを判定する。
当該レコードを選択できなかった場合、ポリシーエンフォーサ114は、受信したパケットがポリシー制御の対象でないと判定する。この場合、ポリシーエンフォーサ114は、受信したパケットを転送する。そして、ポリシーエンフォーサ114は、当該パケット処理を終了する。
一方、当該レコードを選択できた場合、ポリシーエンフォーサ114は、受信したパケットがポリシー制御の対象であると判定する。そこで、ポリシーエンフォーサ114は、選択したレコードから、動作34を抽出する。次に、ポリシーエンフォーサ114は、受信したパケットに、抽出した動作34に対応する処理を行う(83)。
例えば、動作34に「転送」が格納されている場合、ポリシーエンフォーサ114は、受信したパケットを転送する。一方、動作34に「廃棄」が格納されている場合、ポリシーエンフォーサ114は、受信したパケットを廃棄する。
そして、ポリシーエンフォーサ114は、当該パケット処理を終了する。
以上のように、ポリシーエンフォーサ114は、ユーザPC116から送信されたパケット及びユーザPC116へ送信されるパケットのうち、接続ポリシーを満たすパケットのみを転送する。更に、ポリシーエンフォーサ114は、企業H網11に備わるユーザPC116の通信へ適用される接続ポリシーを、APA115に接続されるユーザPC116の通信に対しても適用できる。
本実施の形態によれば、ISPと法人契約を結ぶ企業に属するユーザPC116の通信に対して、当該企業の接続ポリシーを適用できる。また、ISPが接続ポリシー制御を行うので、ユーザPC116と企業網との間のVPNによる通信量を削減できる。
(第2の実施の形態)
第2の実施の形態では、ユーザPC116に対してVPN通信のみが許可される。
図9は、本発明の第2の実施の形態の計算機システムの構成のブロック図である。
計算機システムは、企業H網11、ISPA網12、インターネット13及び外部リソース14を備える。
企業H網11、インターネット13及び外部リソース14は、第1の実施の形態の計算機システムに備わるものと同一である。また、企業H網11は、ポリシーエンフォーサ114の代わりに、ルータZ91を備える点を除き、第1の実施の形態の計算機システムに備わるものと同一である。同一の構成には同一の番号を付すことによって、説明を省略する。
ルータZ91は、APA115に接続される。また、ルータZ91は、パケットを受信し、受信したパケットを転送する。更に、ルータZ91は、ユーザPC116の通信に対する接続ポリシー制御を行う。なお、ルータZ91については、図11で詳細を説明する。
図10は、本発明の第2の実施の形態のAAAサーバA112に備わる法人契約企業リスト46の構成図である。
法人契約企業リスト46は、企業名61、VPNサーバアドレス65、制御内容66及び課金情報64を含む。
企業名61は、ISPの「A」と法人契約を結ぶ企業の一意な識別子である。VPNサーバアドレス65は、当該レコードの企業名61によって識別される企業の内部ネットワークに備わるVPNサーバ110のIPアドレスである。
制御内容66は、当該レコードの企業名61によって識別される企業に属するユーザPC116の通信に対する制御の内容を示す。なお、本実施の形態では、VPN通信のみが許可される。よって、制御内容66は、VPN通信以外のパケットの破棄を示す。
課金情報64は、当該レコードの企業名61によって識別される企業に課された金額である。
図11は、本発明の第2の実施の形態のISPA網12に備わるルータZ91の構成のブロック図である。
ルータZ91は、CPU121、メモリ122、フィルタリング設定テーブル126及び外部インタフェース127を備える。
外部インタフェース127は、外部の装置と接続されるインタフェースである。例えば、外部インタフェース127は、APA115、DHCPサーバA113、AAAサーバA112及びルータA111などに接続される。
CPU121は、メモリ122に記憶されるプログラムを実行することによって、各種処理を行う。メモリ122は、CPU121によって実行されるプログラム及びCPU121によって必要とされる情報などを記憶する。具体的には、メモリ122は、フィルタリングプログラム123、フィルタリング設定テーブル制御プログラム124及びルーティングプログラム125を記憶する。
フィルタリングプログラム123は、フィルタリング設定テーブル126を参照して、受信したパケットをフィルタリングする。フィルタリング設定テーブル制御プログラム124は、フィルタリング設定テーブル126を更新する。ルーティングプログラム125は、パケットを受信し、受信したパケットを転送する。
フィルタリング設定テーブル126は、フィルタリングの対象となるパケットに関する情報を示す。なお、フィルタリング設定テーブル126については、図12で詳細を説明する。
図12は、本発明の第2の実施の形態のルータZ91に備わるフィルタリング設定テーブル126の構成図である。
フィルタリング設定テーブル126は、送信元IPアドレス131、送信先IPアドレス132及び動作133を含む。
送信元IPアドレス131及び送信先IPアドレス132は、パケットに対して当該レコードの動作133を実行するか否かを判定するための条件である。動作133は、当該レコードに該当するパケットに対する処理の内容である。
例えば、レコード1261の送信元IPアドレス131には、ユーザPC116に割り当てられたIPアドレスが格納されている。また、レコード1261の送信先IPアドレス132には、企業H網11に備わるVPNサーバ110のIPアドレスが格納されている。また、レコード1261の動作133は、当該レコード1261に該当するパケットの廃棄を示す。そのため、ルータZ91は、ユーザPC116を送信元とするパケットのうち、VPNサーバ110を送信先としないパケットを廃棄する。
また、レコード1262の送信元IPアドレス131には、企業H網11に備わるVPNサーバ110のIPアドレスが格納されている。また、レコード1262の送信先IPアドレス132には、ユーザPC116に割り当てられたIPアドレスが格納されている。また、レコード1262の動作133は、当該レコード1262に該当するパケットの廃棄を示す。そのため、ルータZ91は、ユーザPC116を送信先とするパケットのうち、VPNサーバ110を送信元としないパケットを廃棄する。
図13は、本発明の第2の実施の形態の計算機システムのユーザアクセス処理のシーケンス図である。
本シーケンス図は、ユーザPC116の認証に成功した場合である。
また、企業Hは、ISPの「A」と法人契約を結んでいる。そのため、AAAサーバA112に備わるユーザデータテーブル45には、企業Hに属するユーザに関する情報が格納されている。また、AAAサーバA112に備わる法人契約企業リスト46には、企業Hに関する情報が格納されている。
まず、ステップ701〜706が実行される。なお、ステップ701〜706は、第1の実施の形態の計算機システムのユーザアクセス処理(図7)に含まれるものと同一なので説明を省略する。
ステップ706が終了すると、AAAサーバA112は、ステップ704で抽出した企業名53と法人契約企業リスト46の企業名61とが一致するレコードを、法人契約企業リスト46から選択する。次に、AAAサーバA112は、選択したレコードから、VPNサーバアドレス65及び制御内容66を抽出する。
次に、AAAサーバA112は、抽出したVPNサーバアドレス65、抽出した制御内容66及びステップ706で受信したIPアドレスを、ルータZ91に送信する(141)。
ルータZ91は、VPNサーバアドレス65、制御内容66及びIPアドレスを受信する。次に、ルータZ91は、受信したVPNサーバアドレス65、制御内容66及びIPアドレスに基づいて、フィルタリング設定テーブル126を更新する(142)。
例えば、ルータZ91は、フィルタリング設定テーブル126に新たなレコードを作成する。次に、ルータZ91は、作成した新たなレコードの送信元IPアドレス131に、受信したVPNサーバアドレス65を格納する。次に、ルータZ91は、作成した新たなレコードの送信先IPアドレス132に、受信したIPアドレスを格納する。次に、ルータZ91は、作成した新たなレコードの動作133に、受信した制御内容66を格納する。
更に、ルータZ91は、フィルタリング設定テーブル126に新たなレコードを作成する。次に、ルータZ91は、作成した新たなレコードの送信元IPアドレス131に、受信したIPアドレスを格納する。次に、ルータZ91は、作成した新たなレコードの送信先IPアドレス132に、受信したVPNサーバアドレス65を格納する。次に、ルータZ91は、作成した新たなレコードの動作133に、受信した制御内容66を格納する。
その後、ルータZ91は、更新したフィルタリング設定テーブル126に基づいて、フィルタリングを行う。そのため、ルータZ91は、法人契約を結ぶ企業に属するユーザPC116の通信のうち、ユーザPC116と外部リソース14との通信を遮断する。つまり、ルータZ91は、法人契約を結ぶ企業に属するユーザPC116の通信のうち、VPN通信のみを通過させる。
その後、ステップ712〜726が実行される。なお、ステップ712〜726は、第1の実施の形態の計算機システムのユーザアクセス処理に含まれるものと同一なので説明を省略する。
ステップ726が終了すると、AAAサーバA112は、ユーザPC116の通信終了をルータZ91に通知する(143)。
ルータZ91は、ユーザPC116の通信終了の通知を受ける。すると、ルータZ91は、フィルタリング設定テーブル126を更新する。これによって、ルータZ91は、フィルタリングを終了する(144)。
具体的には、ルータZ91は、通信を終了するユーザPC116に割り当てられたIPアドレスとフィルタリング設定テーブル126の送信元IPアドレス131とが一致するレコードを、フィルタリング設定テーブル126から削除する。次に、ルータZ91は、通信を終了するユーザPC116に割り当てられたIPアドレスとフィルタリング設定テーブル126の送信先IPアドレス132とが一致するレコードを、フィルタリング設定テーブル126から削除する。
そして、計算機システムは、ユーザアクセス処理を終了する。
図14は、本発明の第2の実施の形態のAAAサーバA112の認証処理のフローチャートである。
AAAサーバA112は、ユーザPC116から接続要求を受信すると(1501)、当該認証処理を開始する。
まず、AAAサーバA112は、接続要求の送信元であるユーザPC116に、認証情報要求を送信する(1502)。ユーザPC116は、認証情報要求を受信すると、ユーザID及びパスワードを含む認証情報を送信する。
AAAサーバA112は、ユーザID及びパスワードを含む認証情報を受信する(1503)。このとき、AAAサーバA112は、ユーザPC116のMACアドレスを取得する。
次に、AAAサーバA112は、受信したユーザIDとユーザデータテーブル45のユーザID51とが一致するレコードを、ユーザデータテーブル45から選択する。次に、AAAサーバA112は、選択したレコードからパスワード52及び企業名53を抽出する。
次に、AAAサーバA112は、受信したパスワードと抽出したパスワード52とが一致するか否かを判定することによって、ユーザPC116に対する認証を行う(1504)。
受信したパスワードと抽出したパスワード52とが一致しない場合、AAAサーバA112は、認証失敗と判断する(1505)。この場合、AAAサーバA112は、認証失敗を、APA115及びユーザPC116に通知する(1513)。
一方、受信したパスワードと抽出したパスワード52とが一致した場合、AAAサーバA112は、認証成功と判断する(1505)。この場合、AAAサーバA112は、抽出した企業名53に値が格納されているか否かを判定する。これによって、AAAサーバA112は、受信したユーザIDによって識別されるユーザが属する企業が当該ISPの「A」と法人契約しているか否かを判定する(1506)。
抽出した企業名53に値が格納されていない場合、受信したユーザIDによって識別されるユーザが属する企業が当該ISPの「A」と法人契約を結んでいない。そこで、AAAサーバA112は、そのままステップ1510に進む。そして、AAAサーバA112は、認証成功を、APA115及びユーザPC116に通知する。
一方、抽出した企業名53に値が格納されている場合、受信したユーザIDによって識別されるユーザが属する企業が当該ISPの「A」と法人契約を結んでいる。そこで、AAAサーバA112は、取得したユーザPC116のMACアドレスを、DHCPサーバA113に送信する(1507)。
次に、AAAサーバA112は、ユーザPC116に配布予定のIPアドレスをDHCPサーバA113から受信する(1508)。すると、AAAサーバA112は、抽出した企業名53と法人契約企業リスト46の企業名61とが一致するレコードを、法人契約企業リスト46から選択する。次に、AAAサーバA112は、選択したレコードから、VPNサーバアドレス65及び制御内容66を抽出する。
次に、AAAサーバA112は、抽出したVPNサーバアドレス65、抽出した制御内容66及び受信したIPアドレスを、ルータZ91に送信する(1509)。
次に、AAAサーバA112は、APA115及びユーザPC116に認証成功を通知する(1510)。更に、従量制課金の場合には、AAAサーバA112は、課金に必要な情報の収集を開始する(1511)。
そして、AAAサーバA112は、当該認証処理を終了する。
本実施の形態では、AAAサーバA112に備わる法人契約企業リスト46の制御内容66には、企業の接続ポリシーが予め登録されているが、予め登録されていなくてもよい。この場合、AAAサーバA112は、第1の実施の形態と同様に、企業H網11に備わるAAAサーバH18から、接続ポリシーを取得する。
また、本実施の形態では、企業ごとに接続ポリシーが設定されているが、ユーザごとに接続ポリシーが設定されていてもよい。この場合、AAAサーバA112に備わるユーザデータテーブル45に、接続ポリシーが登録される。
(第3の実施の形態)
第3の実施の形態では、ISPの「A」と法人契約を結ぶ企業ごとに、ユーザPC116に割り当てられるIPアドレスが予め決められている。
本発明の第3の実施の形態の計算機システムの構成は、第2の実施の形態の計算機システム(図9)と同一なので、説明を省略する。但し、DHCPサーバA113は、IPアドレス予約テーブル161を備える。IPアドレス予約テーブル161は、企業に属するユーザPC116に割り当てられるIPアドレスを管理する。
図15は、本発明の第3の実施の形態のDHCPサーバA113に記憶されるIPアドレス予約テーブル161の構成図である。
IPアドレス予約テーブル161は、企業名162及びIPアドレス163を含む。
企業名162は、ISPの「A」と法人契約を結ぶ企業の一意な識別子である。IPアドレス163は、当該レコードの企業名61によって識別される企業に属するユーザPC116に割り当てられるIPアドレスである。
DHCPサーバA113は、ユーザPC116からIPアドレス割当要求を受信すると、当該ユーザPC116が属する企業に対応するIPアドレスをユーザPC116に割り当てる。
このように、本実施の形態では、ISPの「A」と法人契約を結ぶ企業ごとに、ユーザPC116に割り当てられるIPアドレスが予め決められている。そのため、ルータZ91に備わるフィルタリング設定テーブル126には、情報が予め登録されていてもよい。
図16は、本発明の第3の実施の形態のルータZ91に備わるフィルタリング設定テーブル126の構成図である。
フィルタリング設定テーブル126は、送信元IPアドレス131、送信先IPアドレス132及び動作133を含む。
送信元IPアドレス131及び送信先IPアドレス132は、パケットに対して当該レコードの動作133を実行するか否かを判定するための条件である。動作133は、当該レコードに該当するパケットに対する処理の内容である。
なお、送信元IPアドレス131又は送信先IPアドレス132には、企業に属するユーザPC116に割り当てられる予定のIPアドレスが格納される。
例えば、レコード1263の送信元IPアドレス131には、企業Hに属するユーザPC116に割り当てられる予定のIPアドレスが格納されている。また、レコード1263の送信先IPアドレス132には、企業H網11に備わるVPNサーバ110のIPアドレスが格納されている。また、レコード1263の動作133は、当該レコード1263に該当するパケットの廃棄を示す。そのため、ルータZ91は、企業Hに属するユーザPC116を送信元とするパケットのうち、VPNサーバ110を送信先としないパケットを廃棄する。
また、レコード1264の送信元IPアドレス131には、企業H網11に備わるVPNサーバ110のIPアドレスが格納されている。また、レコード1264の送信先IPアドレス132には、企業Hに属するユーザPC116に割り当てられる予定のIPアドレスが格納されている。また、レコード1264の動作133は、当該レコード1264に該当するパケットの廃棄を示す。そのため、ルータZ91は、企業Hに属するユーザPC116を送信先とするパケットのうち、VPNサーバ110を送信元としないパケットを廃棄する。
このため、第3の形態の計算機システムの処理では、ステップ141及び142が省略される。第3の実施の計算機システムのそれ以外の処理は、第2の実施の形態の処理(図13)と同一なので、説明を省略する。
(第4の実施の形態)
第2及び第3の実施の形態では、ISPの「A」と法人契約を結ぶ企業に属するユーザPC116に対してはVPN通信のみが許可された。しかしこの場合、すべての通信をVPN経由で行うので非効率である。そこで、第4の実施の形態では、ISPの「A」と法人契約を結ぶ企業に属するユーザPC116に対して、VPN通信以外の通信も許可される。但し、ISPの「A」と法人契約を結ぶ企業に属するユーザPC116の通信には、当該ユーザPC116が属する企業の接続ポリシーが適用された上で、インターネットへのアクセスが許可される。
図17は、本発明の第4の実施の形態の計算機システムの構成のブロック図である。
本発明の第4の実施の形態の計算機システムの構成は、ISPA網12がプロキシサーバA181を備えることを除き、第2の実施の形態の計算機システム(図9)と同一である。同一の構成には同一の番号を付すことによって、説明を省略する。
プロキシサーバA181は、CPU、メモリ、インタフェース及び接続ポリシー設定テーブル26を備える計算機である。また、プロキシサーバA181は、ユーザPC116から外部リソース14へのアクセスを一元管理する。これによって、プロキシサーバA181は、ユーザPC116に高度なセキュリティを提供する。
接続ポリシー設定テーブル26は、ユーザPC116の通信に適用される接続ポリシーを管理する。なお、接続ポリシー設定テーブル26については、図19で詳細を説明する。
また、外部リソース14は、WEBサーバ182を備える。WEBサーバ182は、CPU、メモリ及びインタフェースを備える計算機である。また、WEBサーバ182は、ユーザPC116から要求された情報を、当該ユーザPC116に送信する。
図18は、本発明の第4の実施の形態のルータZ91に備わるフィルタリング設定テーブル126の構成図である。
フィルタリング設定テーブル126は、送信元IPアドレス131、送信先IPアドレス132及び動作133を含む。
送信元IPアドレス131及び送信先IPアドレス132は、パケットに対して当該レコードの動作133を実行するか否かを判定するための条件である。動作133は、当該レコードに該当するパケットに対する処理の内容である。
なお、送信元IPアドレス131又は送信先IPアドレス132には、企業に属するユーザPC116に割り当てられているIPアドレスが格納される。
例えば、レコード1265の送信元IPアドレス131には、ユーザPC116に割り当てられているIPアドレスが格納されている。また、レコード1265の送信先IPアドレス132には、企業H網11に備わるVPNサーバ110のIPアドレスが格納されている。また、レコード1265の動作133は、当該レコード1265に該当するパケットの転送先を示す。そのため、ルータZ91は、企業Hに属するユーザPC116を送信元とするパケットのうち、VPNサーバ110を送信先とするパケットを、当該VPNサーバ110に転送する。一方、ルータZ91は、企業Hに属するユーザPC116を送信元とするパケットのうち、VPNサーバ110を送信先としないパケットを、プロキシサーバA181へ転送する。
また、レコード1266の送信元IPアドレス131には、企業H網11に備わるVPNサーバ110のIPアドレス及びISPA網12に備わるプロキシサーバA181のIPアドレスが格納されている。また、レコード1266の送信先IPアドレス132には、企業Hに属するユーザPC116に割り当てられているIPアドレスが格納されている。また、レコード1266の動作133は、当該レコード1266に該当するパケットの処理内容を示す。そのため、ルータZ91は、企業Hに属するユーザPC116を送信先とするパケットのうち、VPNサーバ110又はプロキシサーバA181を送信元とするパケットを、当該ユーザPC116に送信する。一方、ルータZ91は、企業Hに属するユーザPC116を送信先とするパケットのうち、VPNサーバ110又はプロキシサーバA181を送信元としないパケットを廃棄する。
図19は、本発明の第4の実施の形態のポリシーエンフォーサ114に備わる接続ポリシー設定テーブル26の構成図である。
接続ポリシー設定テーブル26に含まれる一つのレコードは、一つの接続ポリシーを示す。また、接続ポリシー設定テーブル26は、送信元IPアドレス31、送信先IPアドレス32、プロトコル35、送信元ポート番号36、送信先ポート番号37、送信元URL38、送信先URL39及び動作34を含む。
送信元IPアドレス31は、当該レコードに対応する接続ポリシーが適用されるパケットの送信元のIPアドレスである。送信先IPアドレス32は、当該レコードに対応する接続ポリシーが適用されるパケットの送信元のIPアドレスである。
プロトコル35は、当該レコードに対応する接続ポリシーが適用されるパケットのプロトコルである。送信元ポート番号36は、当該レコードに対応する接続ポリシーが適用されるパケットの送信元のポート番号である。送信先ポート番号37は、当該レコードに対応する接続ポリシーが適用されるパケットの送信先のポート番号である。送信元URL38は、当該レコードに対応する接続ポリシーが適用されるパケットの送信先のURLである。送信先URL39は、当該レコードに対応する接続ポリシーが適用されるパケットの送信先のURLである。
動作34は、当該レコードに対応する接続ポリシーの処理の内容を示す。例えば、動作34には、転送又は廃棄が格納される。
例えば、レコード268の送信元IPアドレス31には、ユーザPC116に割り当てられているIPアドレスが格納されている。また、レコード268のプロトコル35には、HTTP及びHTTPSが格納されている。
そのため、プロキシサーバA181は、企業Hに属するユーザPC116を送信元とするパケットのうち、HTTP又はHTTPSをプロトコルとするパケットを、当該パケットの送信先に転送する。一方、プロキシサーバA181は、企業Hに属するユーザPC116を送信元とするパケットのうち、HTTP及びHTTPS以外をプロトコルとするパケットを廃棄する。
つまり、ISPA網12は、ユーザPC116に対するアクセス制御の一部又は全部を行う。本実施の形態のユーザPC116には、VPNサーバ110への接続及びWebプロトコルを用いた外部リソースへの接続が許可される。
図20は、本発明の第4の実施の形態の計算機システムのユーザアクセス処理のシーケンス図である。
本シーケンス図は、ユーザPC116の認証に成功した場合である。
また、企業Hは、ISPの「A」と法人契約を結んでいる。そのため、AAAサーバA112に備わるユーザデータテーブル45には、企業Hに属するユーザに関する情報が格納されている。また、AAAサーバA112に備わる法人契約企業リスト46には、企業Hに関する情報が格納されている。
まず、ステップ701〜706、ステップ141及びステップ142が実行される。なお、ステップ701〜706、ステップ141及びステップ142は、第2の実施の形態の計算機システムのユーザアクセス処理(図13)に含まれるものと同一なので説明を省略する。
ステップ142が終了すると、AAAサーバA112は、ステップ141で抽出した制御内容66及びステップ706で受信したIPアドレスをプロキシサーバA181に送信する(211)。
プロキシサーバA181は、制御内容66及びIPアドレスを受信する。すると、プロキシサーバA181は、受信した制御内容66及びIPアドレスに基づいて、接続ポリシー設定テーブル26を更新する(212)。
例えば、プロキシサーバA181は、接続ポリシー設定テーブル26に新たなレコードを追加する。次に、プロキシサーバA181は、追加した新たなレコードの送信元IPアドレス31に、受信したIPアドレスを格納する。次に、プロキシサーバA181は、追加した新たなレコードのプロトコル35に、「HTTP」及び「HTTPS」を格納する。次に、プロキシサーバA181は、追加した新たなレコードの動作34に、受信した制御内容66に対応する情報を格納する。
更に、プロキシサーバA181は、接続ポリシー設定テーブル26に新たなレコードを追加する。次に、プロキシサーバA181は、追加した新たなレコードの送信先IPアドレス32に、受信したIPアドレスを格納する。次に、プロキシサーバA181は、追加した新たなレコードのプロトコル35に、「HTTP」及び「HTTPS」を格納する。次に、プロキシサーバA181は、追加した新たなレコードの動作34に、受信した制御内容66に対応する情報を格納する。
その後、ステップ712〜716が実行される。なお、ステップ712〜716は、第2の実施の形態の計算機システムのユーザアクセス処理(図13)に含まれるものと同一なので説明を省略する。
次に、ユーザPC116は、プロキシサーバA181を介して、外部リソース14に備わるWEBサーバ182へアクセスする(213及び214)。なぜなら、ルータZ91は、ユーザPC116を送信元とするパケットのうち、VPNサーバ110を送信先としないパケットを、プロキシサーバA181へ転送するからである。
その後、ユーザPC116の通信終了時には、ステップ722〜726、ステップ143及びステップ144が実行される。なお、ステップ722〜726、ステップ143及びステップ144は、第2の実施の形態の計算機システムのユーザアクセス処理(図13)に含まれるものと同一なので説明を省略する。
ステップ144が終了すると、AAAサーバA112は、ユーザPC116の通信終了をプロキシサーバA181に通知する(215)。
プロキシサーバA181は、ユーザPC116の通信終了の通知を受ける。すると、プロキシサーバA181は、接続ポリシー設定テーブル26を更新する(216)。
具体的には、プロキシサーバA181は、通信を終了するユーザPC116に割り当てられたIPアドレスと接続ポリシー設定テーブル26の送信元IPアドレス31とが一致するレコードを、接続ポリシー設定テーブル26から削除する。次に、プロキシサーバA181は、通信を終了するユーザPC116に割り当てられたIPアドレスと接続ポリシー設定テーブル26の送信先IPアドレス32とが一致するレコードを、接続ポリシー設定テーブル26から削除する。
そして、計算機システムは、ユーザアクセス処理を終了する。
なお、ユーザPC116は、VPN通信及び外部リソース14への通信を同時に行ってもよい。この場合、ユーザPC116がすべての通信を終了すると、ステップ722〜726、ステップ143、ステップ144、ステップ215及びステップ216が実行される。
本実施の形態では、プロキシサーバA181は、プロトコルの種類に基づいて、通信を制御したが、URL又はポート番号などに基づいて、通信を制御してもよい。
また、APA115に接続されるユーザPC116の通信に適用される接続ポリシーと、企業H網11に備わるユーザPC116の通信に適用される接続ポリシーと、は同一であってもよいし、異なっていてもよい。
本実施の形態では、AAAサーバA112に備わる法人契約企業リスト46の制御内容66に、接続ポリシーが予め登録されている。しかし、AAAサーバA112に備わる法人契約企業リスト46に、接続ポリシーが予め登録されていなくてもよい。この場合、AAAサーバA112は、第1の実施の形態と同様に、企業H網11に備わるAAAサーバH18から、接続ポリシーを取得する。
(第5の実施の形態)
第1〜第4の実施の形態では、ユーザPC116は、当該ユーザPC116が属す企業と法人契約を結ぶISP網に接続された。一方、本実施の形態では、ユーザPC116が、当該ユーザPC116が属す企業と法人契約を結んでいないISP網に接続される場合を説明する。
図21は、本発明の第5の実施の形態の計算機システムの構成のブロック図である。
第5の実施の形態の計算機システムは、企業H網11、ISPA網12、ISPB網221、インターネット13及び外部リソース14を備える。なお、企業H網11、ISPA網12、インターネット13及び外部リソース14は、第4の実施の形態の計算機システムに備わるものと同一である。同一の構成には、同一の番号を付すことによって、説明を省略する。
但し、ISPA網12に備わるAAAサーバA112は、更に、ローミング契約ISPリスト261及び法人契約企業ローミング条件リスト271を備える。
ローミング契約ISPリスト261は、ISPが法人対応機能を備えるか否かを示す。なお、ローミング契約ISPリスト261については、図22で詳細を説明する。
法人契約企業ローミング条件リスト271は、ローミングを許可するための条件を示す。なお、法人契約企業ローミング条件リスト271については、図23で詳細を説明する。
ISPB網221は、ISP(Internet Service Provider)の「B」によって提供されるネットワークである。なお、本実施の形態では、企業Hは、ISPの「A」と法人契約を結んでいるものとする。また、ISPの「A」とISPの「B」とが、ローミング契約を結んでいるものとする。
ISPB網221は、一つ以上のAPB227に接続される。APB227は、有線又は無線でユーザ端末装置(ユーザPC)116に接続される中継局(AP:access point)である。
ISPB網221は、ルータB222、AAAサーバB223、DHCPサーバB224、プロキシサーバB225及びルータY226を備える。なお、当該ブロック図では、ルータB222、AAAサーバB223、DHCPサーバB224、プロキシサーバB225及びルータY226は、ISPB網221に一つずつ備わっているが、複数備わっていてもよい。
ルータY226は、APB227に接続される。また、ルータY226は、パケットを受信し、受信したパケットを転送する。更に、ルータY226は、ユーザPC116の通信に対する接続ポリシー制御を行う。なお、ルータY226の構成は、ルータZ91(図11)と同一なので、説明を省略する。
DHCPサーバB224は、CPU、メモリ及びインタフェースを備える計算機である。また、DHCPサーバB224は、インターネット13に接続するユーザPC116に、IPアドレスなどを含む必要な情報を自動的に割り当てる。
AAAサーバB223は、ユーザPC116に対する認証を行う。なお、AAAサーバB223の構成は、AAAサーバA112(図4)と同一なので、説明を省略する。
ルータB222は、インターネット13に接続される。また、ルータB222は、パケットを受信し、受信したパケットを転送する。
プロキシサーバB225は、CPU、メモリ、インタフェース及び接続ポリシー設定テーブル26(図19)を備える計算機である。また、プロキシサーバB225は、ユーザPC116から外部リソース14へのアクセスを一元管理する。これによって、プロキシサーバB225は、ユーザPC116に高度なセキュリティを提供する。
接続ポリシー設定テーブル26は、ユーザPC116の通信に適用される接続ポリシーを管理する。
図22は、本発明の第5の実施の形態のAAAサーバA112に備わるローミング契約ISPリスト261の構成図である。
ローミング契約ISPリスト261は、ISP名262、ネットワークアドレス263及び法人対応機能264を含む。
ISP名262は、ISPの一意な識別子である。ネットワークアドレス263は、当該レコードのISP名262によって識別されるISPによって提供されるネットワークのアドレスである。
法人対応機能264は、当該レコードのISP名262によって識別されるISPが法人対応機能を備えるか否かを示す。具体的には、法人対応機能264は、VPN以外廃棄265及びポリシー制御267を含む。
VPN以外廃棄265は、当該レコードのISP名262によって識別されるISPがVPN通信のみを許可という接続ポリシー制御を実行可能であるか否かを示す。例えば、当該ISPがVPN通信のみを許可という接続ポリシー制御を実行可能である場合、VPN以外廃棄265には「○」が格納される。
ポリシー制御267は、当該レコードのISP名262によって識別されるISPがすべての接続ポリシー制御を実行可能であるか否かを示す。当該ISPがすべての接続ポリシー制御を実行可能である場合、ポリシー制御267には「○」が格納される。
図23は、本発明の第5の実施の形態のAAAサーバA112に備わる法人契約企業ローミング条件リスト271の構成図である。
法人契約企業ローミング条件リスト271は、企業名272及びローミング許可273を含む。
企業名272は、ISPの「A」と法人契約を結ぶ企業の一意な識別子である。ローミング許可273は、当該レコードの企業名272によって識別される企業がローミングによる通信を許可しているか否か示す。具体的には、ローミング許可273は、法人対応機能なし274、ポリシー制御275及びVPN以外廃棄276を含む。
法人対応機能なし274は、法人対応機能を備えていないISPを用いたローミングを、当該レコードの企業名272によって識別される企業が許可しているか否かを示す。例えば、法人対応機能を備えていないISPを用いたローミングを企業が許可している場合、法人対応機能なし274には、「○」が格納される。
ポリシー制御275は、すべての接続ポリシー制御を実行可能なISPを用いたローミングを、当該レコードの企業名272によって識別される企業が許可しているか否かを示す。例えば、すべての接続ポリシー制御を実行可能なISPを用いたローミングを企業が許可している場合、ポリシー制御275には、「○」が格納される。
VPN以外廃棄276は、VPN通信のみを許可という接続ポリシー制御を実行可能なISPを用いたローミングを、当該レコードの企業名272によって識別される企業が許可しているか否かを示す。例えば、VPN通信のみを許可という接続ポリシー制御を実行可能なISPを用いたローミングを企業が許可している場合、VPN以外廃棄276には、「○」が格納される。
図24は、本発明の第5の実施の形態の計算機システムのユーザアクセス処理のシーケンス図である。
本シーケンス図は、ユーザPC116の認証に成功した場合である。
また、企業Hは、ISPの「A」と法人契約を結んでいる。そのため、AAAサーバA112に備わるユーザデータテーブル45には、企業Hに属するユーザに関する情報が格納されている。また、AAAサーバA112に備わる法人契約企業リスト46には、企業Hに関する情報が格納されている。
まず、ユーザPC116は、APB227及びルータY226を介してAAAサーバB223に、接続要求を送信する(701)。AAAサーバB223は、接続要求を受信する。すると、AAAサーバB223は、APB227及びルータY226を介して接続要求の送信元であるユーザPC116に、認証情報要求を送信する(702)。
ユーザPC116は、認証情報要求を受信する。すると、ユーザPC116は、APB227及びルータY226を介してAAAサーバB223に、ユーザID及びパスワードを送信する。ここでは、ユーザPC116は、ユーザIDの「H−1@ISPA」及びパスワードを含む認証情報を、AAAサーバB223に送信する(231)。なお、ユーザIDの「H−1@ISPA」は、ISPの「A」によって付与されたユーザIDに、当該ISPの「A」の識別子が付加されたものである。
AAAサーバB223は、ユーザID及びパスワードを受信する。このとき、AAAサーバB223は、ユーザPC116のMACアドレスを取得する。
次に、AAAサーバB223は、受信したユーザIDに基づいて、当該受信したユーザIDによって識別されるユーザが属する企業と契約しているISPを特定する。ここでは、AAAサーバB223は、当該受信したユーザIDによって識別されるユーザが属する企業の契約先として、ISPの「A」を特定する。
そこで、AAAサーバB223は、受信したユーザID及びパスワードを、ISPA網12に備わるAAAサーバA112に送信する。そして、AAAサーバB223は、ISPA網12に備わるAAAサーバA112に認証を依頼する(232)。
ISPA網12に備わるAAAサーバA112は、ユーザID及びパスワードを受信し、認証の依頼を受けると、認証処理を行う(233)。具体的には、AAAサーバA112は、受信したユーザIDとユーザデータテーブル45のユーザID51とが一致するレコードを、ユーザデータテーブル45から選択する。次に、AAAサーバA112は、選択したレコードからパスワード52及び企業名53を抽出する。
次に、AAAサーバA112は、受信したパスワードと抽出したパスワード52とが一致するか否かを判定することによって、ユーザPC116に対する認証を行う(704)。
受信したパスワードと抽出したパスワード52とが一致しない場合、AAAサーバA112は、認証失敗と判断する。
一方、受信したパスワードと抽出したパスワード52とが一致した場合、AAAサーバA112は、認証成功と判断する。この場合、AAAサーバA112は、抽出した企業名53と法人契約企業リスト46の企業名61とが一致するレコードを、法人契約企業リスト46から選択する。次に、AAAサーバA112は、選択したレコードから、VPNサーバアドレス65及び制御内容66を抽出する。
次に、AAAサーバA112は、ISPB網221に備わるAAAサーバB223に認証成功を通知する。更に、AAAサーバA112は、ISPB網221に備わるAAAサーバB223に、抽出したVPNサーバアドレス65及び制御内容66を送信する(234)。
その後の処理は、第4の実施の形態の計算機システム(図20)の処理と同様なので、説明を省略する。但し、本実施の形態では、ISPB網221に備わるルータB222、AAAサーバB223、DHCPサーバB224、プロキシサーバB225及びルータY226が、処理を行う。
また、ユーザPC116の通信終了時には、AAAサーバB223は、当該ユーザPC116の課金情報を、ISPA網12に備わるAAAサーバA112へ通知する(235)。AAAサーバA112は、通知された課金情報に基づいて、課金処理を行う(236)。
そして、計算機システムは、ユーザアクセス処理を終了する。
図25は、本発明の第5の実施の形態のISPB網221に備わるAAAサーバB223の認証処理のフローチャートである。
AAAサーバB223は、ユーザPC116から接続要求を受信すると(1501)、当該認証処理を開始する。
まず、AAAサーバB223は、接続要求の送信元であるユーザPC116に、認証情報要求を送信する(1502)。ユーザPC116は、認証情報要求を受信すると、ユーザPC116は、ユーザID及びパスワードを含む認証情報を送信する。
AAAサーバB223は、ユーザID及びパスワードを含む認証情報を受信する(1503)。このとき、AAAサーバB223は、ユーザPC116のMACアドレスを取得する。
次に、AAAサーバB223は、受信したユーザIDに基づいて、当該受信したユーザIDによって識別されるユーザがローミングを利用しようとしているか否かを判定する。
当該ユーザがローミングを利用しようとしていない場合、AAAサーバB223は、受信したユーザIDとユーザデータテーブル45のユーザID51とが一致するレコードを、ユーザデータテーブル45から選択する。次に、AAAサーバB223は、選択したレコードからパスワード52及び企業名53を抽出する。
次に、AAAサーバB223は、受信したパスワードと抽出したパスワード52とが一致するか否かを判定することによって、ユーザPC116に対する認証を行う(1504)。
受信したパスワードと抽出したパスワード52とが一致しない場合、AAAサーバB223は、認証失敗と判断する(1505)。この場合、AAAサーバB223は、認証失敗を、APB227及びユーザPC116に通知する(1513)。そして、AAAサーバB223は、当該認証処理を終了する。
一方、受信したパスワードと抽出したパスワード52とが一致した場合、AAAサーバB223は、認証成功と判断する(1505)。この場合、AAAサーバB223は、抽出した企業名53に値が格納されているか否かを判定する。これによって、AAAサーバB223は、受信したユーザIDによって識別されるユーザが属する企業が当該ISPの「B」と法人契約しているか否かを判定する(1506)。
抽出した企業名53に値が格納されていない場合、受信したユーザIDによって識別されるユーザが属する企業が当該ISPの「B」と法人契約を結んでいない。そこで、AAAサーバB223は、そのままステップ1510に進む。そして、AAAサーバB223は、認証成功を、APB227及びユーザPC116に通知する。
一方、抽出した企業名53に値が格納されている場合、受信したユーザIDによって識別されるユーザが属する企業が当該ISPの「B」と法人契約を結んでいる。そこで、AAAサーバB223は、取得したユーザPC116のMACアドレスを、DHCPサーバB224に送信する(1507)。
次に、AAAサーバB223は、ユーザPC116に配布予定のIPアドレスをDHCPサーバB224から受信する(1508)。すると、AAAサーバB223は、抽出した企業名53と法人契約企業リスト46の企業名61とが一致するレコードを、法人契約企業リスト46から選択する。次に、AAAサーバB223は、選択したレコードから、VPNサーバアドレス65及び制御内容66を抽出する。
次に、AAAサーバB223は、抽出したVPNサーバアドレス65、抽出した制御内容66及び受信したIPアドレスを、ルータZ226に送信する(1509)。
次に、AAAサーバB223は、抽出した制御内容66及び受信したIPアドレスを、プロキシサーバB225に送信する(248)。
次に、AAAサーバB223は、APB227及びユーザPC116に認証成功を通知する(1510)。更に、従量制課金の場合には、AAAサーバB223は、課金に必要な情報の収集を開始する(1511)。
そして、AAAサーバB223は、当該認証処理を終了する。
一方、当該ユーザがローミングを利用しようとしている場合、AAAサーバB223は、受信したユーザIDに基づいて、当該受信したユーザIDによって識別されるユーザが属する企業と契約しているISPを特定する。
次に、AAAサーバB223は、受信したユーザID及びパスワードを、特定したISPに備わるAAAサーバに送信する。そして、AAAサーバB223は、特定したISPに備わるAAAサーバに認証を依頼する(242)。
次に、AAAサーバB223は、認証結果を受信するまで待機する。そして、認証結果を受信すると(243)、AAAサーバB223は、当該受信した認証結果が認証成功を示すか否かを判定する(244)。
認証結果が認証失敗を示す場合、AAAサーバB223は、認証失敗を、APB227及びユーザPC116に通知する(247)。そして、AAAサーバB223は、当該認証処理を終了する。
認証結果が認証成功を示す場合、AAAサーバB223は、受信したユーザIDによって識別されるユーザが属する企業がISPと法人契約しているか否かを判定する。具体的には、AAAサーバB223は、認証結果と共に、VPNサーバアドレス及び制御内容を受信したか否かを判定する。
VPNサーバアドレス及び制御内容を受信していない場合、当該ユーザが属する企業がISPと法人契約していない。この場合、AAAサーバB223は、ステップ1510に進む。
一方、VPNサーバアドレス及び制御内容を受信した場合(246)、当該ユーザが属する企業がISPと法人契約している。この場合、AAAサーバB223は、ステップ1507に進む。
図26は、本発明の第5の実施の形態のISPA網12に備わるAAAサーバA112の認証処理のフローチャートである。
AAAサーバA112は、他のISPに備わるAAAサーバ(認証の依頼元のAAAサーバ)から認証の依頼を受ける(251)。このとき、AAAサーバA112は、認証の依頼元のAAAサーバから、ユーザID及びパスワードを受信する。
AAAサーバA112は、受信したユーザIDとユーザデータテーブル45のユーザID51とが一致するレコードを、ユーザデータテーブル45から選択する。次に、AAAサーバA112は、選択したレコードからパスワード52及び企業名53を抽出する。
次に、AAAサーバA112は、受信したパスワードと抽出したパスワード52とが一致するか否かを判定することによって、ユーザPC116に対する認証を行う(252)。
受信したパスワードと抽出したパスワード52とが一致しない場合、AAAサーバA112は、認証失敗と判断する(253)。この場合、AAAサーバA112は、認証失敗を、認証の依頼元のAAAサーバに通知する(259)。そして、AAAサーバA112は、当該認証処理を終了する。
一方、受信したパスワードと抽出したパスワード52とが一致した場合、AAAサーバA112は、認証成功と判断する(253)。この場合、AAAサーバA112は、抽出した企業名53に値が格納されているか否かを判定する。これによって、AAAサーバA112は、受信したユーザIDによって識別されるユーザが属する企業が当該ISPの「A」と法人契約しているか否かを判定する(254)。
抽出した企業名53に値が格納されていない場合、受信したユーザIDによって識別されるユーザが属する企業が当該ISPの「A」と法人契約を結んでいない。そこで、AAAサーバA112は、認証成功を、認証の依頼元のAAAサーバに通知する(258)。そして、AAAサーバA112は、当該認証処理を終了する。
一方、抽出した企業名53に値が格納されている場合、受信したユーザIDによって識別されるユーザが属する企業が当該ISPの「A」と法人契約を結んでいる。そこで、AAAサーバA112は、認証の依頼元のAAAサーバを備えるISPが、受信したユーザIDによって識別されるユーザが属する企業のローミング条件を満たすか否かを判定する(255)。
具体的には、AAAサーバA112は、抽出した企業名53と法人契約企業ローミング条件リスト271の企業名272とが一致するレコードを、法人契約企業ローミング条件リスト271から選択する。次に、AAAサーバA112は、選択したレコードから、法人対応機能なし274、ポリシー制御275及びVPN以外廃棄276を抽出する。
次に、AAAサーバA112は、認証の依頼元のAAAサーバを備えるISPの識別子とローミング契約ISPリスト261のISP名262とが一致するレコードを、ローミング契約ISPリスト261から選択する。次に、AAAサーバA112は、選択したレコードから、VPN以外廃棄265及びポリシー制御267を抽出する。
次に、AAAサーバA112は、抽出した法人対応機能なし274に「○」が格納されているか否かを判定する。
抽出した法人対応機能なし274に「○」が格納されている場合、AAAサーバA112は、認証の依頼元のAAAサーバを備えるISPがローミング条件を満たすと判定する。そこで、AAAサーバA112は、ステップ256に進む。
一方、抽出した法人対応機能なし274に「×」が格納されている場合、AAAサーバA112は、抽出したVPN以外廃棄265及び抽出したVPN以外廃棄276の双方に「○」が格納されているか否かを判定する。
VPN以外廃棄265及びVPN以外廃棄276の双方に「○」が格納されている場合、AAAサーバA112は、認証の依頼元のAAAサーバを備えるISPがローミング条件を満たすと判定する。そこで、AAAサーバA112は、ステップ256に進む。
一方、VPN以外廃棄265及びVPN以外廃棄276の少なくとも一方に「×」が格納されている場合、AAAサーバA112は、抽出したポリシー制御275及び抽出したポリシー制御267の双方に「○」が格納されているか否かを判定する。
ポリシー制御275及びポリシー制御267の双方に「○」が格納されている場合、AAAサーバA112は、認証の依頼元のAAAサーバを備えるISPがローミング条件を満たすと判定する。そこで、AAAサーバA112は、ステップ256に進む。
一方、ポリシー制御275及びポリシー制御267の少なく一方に「×」が格納されている場合、AAAサーバA112は、認証の依頼元のAAAサーバを備えるISPがローミング条件を満たさないと判定する。そこで、AAAサーバA112は、認証失敗を、認証の依頼元のAAAサーバに通知する(259)。そして、AAAサーバA112は、当該認証処理を終了する。
一方、認証の依頼元のAAAサーバを備えるISPがローミング条件を満たす場合、AAAサーバA112は、抽出した企業名53と法人契約企業リスト46の企業名61とが一致するレコードを、法人契約企業リスト46から選択する。次に、AAAサーバA112は、選択したレコードから、VPNサーバアドレス65及び制御内容66を抽出する。
次に、AAAサーバA112は、認証成功を、認証の依頼元のAAAサーバに通知する。このとき、AAAサーバA112は、抽出したVPNサーバアドレス65及び抽出した制御内容66を、認証の依頼元のAAAサーバに送信する(256)。そして、AAAサーバA112は、当該認証処理を終了する。
以上のように、本実施の形態によれば、ローミング時であっても、企業の接続ポリシーがユーザPC116の通信に適用される。
(第6の実施の形態)
第5の実施の形態では、ISPA網12に備わるAAAサーバA112に企業Hの接続ポリシーが事前に登録されていた。一方、第6の実施の形態では、ISPA網12に備わるAAAサーバA112は、認証処理時に、企業H網に備わるAAAサーバH18から接続ポリシーを取得する。
本発明の第6の実施の形態の計算機システムの構成は、第5の実施の形態の計算機システム(図21)と同一なので、説明を省略する。
図27は、本発明の第6の実施の形態の計算機システムのユーザアクセス処理の一部のシーケンス図である。
まず、ステップ701、ステップ702及びステップ231〜233が実行される。なお、ステップ701、ステップ702及びステップ231〜233は、第5の実施の形態の計算機システムのユーザアクセス処理(図24)に含まれるものと同一なので説明を省略する。
次に、ISPA網12に備わるAAAサーバA112は、企業H網11に備わるAAAサーバH18に、接続ポリシー要求を送信する(281)。
AAAサーバH18は、接続ポリシー要求を受信する。すると、AAAサーバH18は、ユーザPC116の通信に適用される接続ポリシーを、ISPA網12に備わるAAAサーバA112に送信する(282)。
AAAサーバA112は、AAAサーバH18から接続ポリシーを受信する。次に、AAAサーバA112は、受信した接続ポリシーを、認証成功の通知と共にISPB網221に備わるAAAサーバB223に送信する(283)。そして、ステップ705以降の処理が実行される。なお、ステップ705以降の処理は、第5の実施の形態の計算機システムのユーザアクセス処理(図24)に含まれるものと同一なので説明を省略する。
(第7の実施の形態)
第5及び第6の実施の形態では、ISP同士が相互にローミング契約を結ぶ。一方、第7の実施の形態では、ローミング仲介サーバ291が、ローミングを仲介する。
第7の実施の形態の計算機システムの構成は、ローミング仲介サーバ291を備えることを除き、第5の実施の形態の計算機システム(図21)と同一である。なお、ローミング仲介サーバ291は、ローミング仲介を提供する業者によって運用される。ローミング仲介サーバ291は、インターネット13に接続される。また、ローミング仲介サーバ291は、CPU、メモリ、インタフェース及びローミング契約ISPリスト261(図22)を備える計算機である。
図28は、本発明の第7の実施の形態の計算機システムのユーザアクセス処理の一部のシーケンス図である。
まず、テップ701及びステップ702が実行される。なお、ステップ701及びステップ702は、第5の実施の形態の計算機システムのユーザアクセス処理(図24)に含まれるものと同一なので説明を省略する。
次に、ユーザPC116は、APB227及びルータY226を介してAAAサーバB223に、ユーザID及びパスワードを含む認証情報を送信する(2902)。
AAAサーバB223は、ユーザID及びパスワードを含む認証情報を受信する。このとき、AAAサーバB223は、ユーザPC116のMACアドレスを取得する。
次に、AAAサーバB223は、ローミング仲介サーバ291に認証を依頼する(2903)。このとき、AAAサーバB223は、受信したユーザID及びパスワードをローミング仲介サーバ291に送信する。
ローミング仲介サーバ291は、ユーザID及びパスワードを受信する。次に、ローミング仲介サーバ291は、受信したユーザIDに基づいて、当該受信したユーザIDによって識別されるユーザが属する企業と契約しているISPを特定する。ここでは、ローミング仲介サーバ291は、当該受信したユーザIDによって識別されるユーザが属する企業の契約先として、ISPの「A」を特定する。
ローミング仲介サーバ291は、当該特定したISPの「A」と当該ローミング仲介業者とが契約を結んでいるか否かを判定する(2904)。
ローミング仲介業者と当該特定されたISPの「A」とが契約を結んでいない場合、ローミング仲介サーバ291は、認証失敗をAAAサーバB223に通知する(2905)。
一方、ローミング仲介業者と当該特定されたISPの「A」とが契約を結んでいる場合、ローミング仲介サーバ291は、ISPA網12に備わるAAAサーバA112に認証を依頼する(2906)。このとき、ローミング仲介サーバ291は、受信したユーザID及びパスワードを、ISPA網12に備わるAAAサーバA112に送信する。
AAAサーバA112は、ユーザID及びパスワードを受信する。次に、AAAサーバA1112は、受信したユーザIDとユーザデータテーブル45のユーザID51とが一致するレコードを、ユーザデータテーブル45から選択する。次に、AAAサーバA112は、選択したレコードからパスワード52及び企業名53を抽出する。
次に、AAAサーバA112は、受信したパスワードと抽出したパスワード52とが一致するか否かを判定することによって、ユーザPC116に対する認証を行う(2907)。
受信したパスワードと抽出したパスワード52とが一致しない場合、AAAサーバA112は、認証失敗と判断する。この場合、AAAサーバA112は、認証失敗を、ローミング仲介サーバ291に通知する(2913)。
一方、受信したパスワードと抽出したパスワード52とが一致した場合、AAAサーバA112は、認証成功と判断する。この場合、AAAサーバA112は、抽出した企業名53に値が格納されているか否かを判定する。これによって、AAAサーバA112は、受信したユーザIDによって識別されるユーザが属する企業が当該ISPの「A」と法人契約しているか否かを判定する(2908)。
抽出した企業名53に値が格納されていない場合、受信したユーザIDによって識別されるユーザが属する企業が当該ISPの「A」と法人契約を結んでいない。そこで、AAAサーバA112は、認証成功を、ローミング仲介サーバ291に通知する。
一方、抽出した企業名53に値が格納されている場合、受信したユーザIDによって識別されるユーザが属する企業が当該ISPの「A」と法人契約を結んでいる。そこで、AAAサーバA112は、ISPの「B」に備わる法人対応機能を、ローミング仲介サーバ291に問い合わせる(2909)。
ローミング仲介サーバ291は、問い合わせを受けると、ローミング契約ISPリスト261から、ISPの「B」に備わる法人対応機能を特定する。次に、ローミング仲介サーバ291は、特定した法人対応機能を、AAAサーバA112に通知する(2910)。
次に、ローミング仲介サーバ291は、ISPの「B」が、受信したユーザIDによって識別されるユーザが属する企業のローミング条件を満たすか否かを判定する(2911)。
ISPの「B」がローミング条件を満たさない場合、AAAサーバA112は、認証失敗を、ローミング仲介サーバに通知する(2913)。
一方、ISPの「B」がローミング条件を満たす場合、AAAサーバA112は、抽出した企業名53と法人契約企業リスト46の企業名61とが一致するレコードを、法人契約企業リスト46から選択する。次に、AAAサーバA112は、選択したレコードから、VPNサーバアドレス65及び制御内容66を抽出する。
次に、AAAサーバA112は、認証成功を、ローミング仲介サーバ291に通知する。このとき、AAAサーバA112は、抽出したVPNサーバアドレス65及び抽出した制御内容66を、ローミング仲介サーバ291に送信する(2912)。
ローミング仲介サーバ291は、認証結果の通知を受けると、通知された認証結果を、認証の依頼元のAAAサーバB223に通知する。なお、VPNサーバアドレス65及び制御内容66を受信している場合、ローミング仲介サーバ291は、受信したVPNサーバアドレス65及び制御内容66を認証の依頼元のAAAサーバB223に送信する(2913)。
その後、ステップ705以降の処理が実行される。なお、ステップ705以降の処理は、第5の実施の形態の計算機システムのユーザアクセス処理(図24)に含まれるものと同一なので説明を省略する。但し、AAAサーバB223は、ユーザPC116の課金情報を、AAAサーバA112でなく、ローミング仲介サーバ291へ通知する。すると、ローミング仲介サーバ291は、AAAサーバB223から通知された課金情報を、AAAサーバA112へ通知する。
(第8の実施の形態)
第8の実施の形態では、ユーザごとでなく、企業ごとにユーザIDが付与される。
なお、第8の実施の形態は、第1〜第7の実施の形態のいずれにも適用できる。
図29は、本発明の第8の実施の形態のAAAサーバA112に記憶されるユーザデータテーブル45の構成図である。
ユーザデータテーブル45は、ユーザID51、パスワード52、企業名53、課金情報54、VPNサーバアドレス55、制御内容56、最大同時接続数57及び接続数58を含む。
ユーザID51は、ISPのユーザの一意な識別子である。パスワード52は、当該レコードのユーザID51によって識別されるユーザに設定されたパスワードである。企業名53は、当該レコードのユーザID51が付与された企業の一意な識別子である。課金情報54は、当該レコードのユーザID51によって識別されるユーザに課された金額である。
VPNサーバアドレス55は、当該レコードの企業名53によって識別される企業の内部ネットワークに備わるVPNサーバ110のIPアドレスである。制御内容56は、当該レコードの企業名53によって識別される企業に属するユーザPC116の通信に対する制御の内容を示す。
最大同時接続数57は、当該レコードのユーザID51を用いて同時に接続可能なユーザPC116の台数である。接続数58は、当該レコードのユーザID51を用いて接続中のユーザPC116の台数である。
本実施の形態では、AAAサーバA112は、認証処理(704)において、受信したユーザIDとユーザデータテーブル45のユーザID51とが一致するレコードを、ユーザデータテーブル45から選択する。次に、AAAサーバA112は、選択したレコードの最大同時接続数57と接続数58とを比較する。最大同時接続数57が接続数58より小さい場合、AAAサーバA112は、ユーザPC116の接続を許可する。そして、AAAサーバA112は、選択したレコードの接続数58に「1」を加算する。
一方、最大同時接続数57と接続数58とが同一の場合、AAAサーバA112は、ユーザPC116の接続を許可しない。
また、ユーザPC116の通信が終了すると、AAAサーバA112は、接続数58から「1」を減算する。
第8の実施の形態によると、企業が管理するユーザIDの数を減らすことができる。
なお、ユーザIDは、企業ごとでなく、企業の部署ごと又は役職ごとに付与されてもよい。この場合、部署ごと又は役職ごとに異なる接続ポリシーが設定できる。
(第9の実施の形態)
第1〜第8の実施の形態では、ISP網に備わるAAAサーバが、認証を行った。一方、第9の実施の形態では、企業に備わるAAAサーバが、認証を行う。
図30は、本発明の第9の実施の形態の計算機システムのユーザアクセス処理の一部のシーケンス図である。
本シーケンス図は、ユーザPC116の認証に成功した場合である。
また、企業Hは、ISPの「A」とローミング契約を結んでいる。
まず、ステップ701及び702が実行される。なお、ステップ701及び702は、第1の実施の形態の計算機システムのユーザアクセス処理(図7)に含まれるものと同一なので説明を省略する。
次に、ユーザPC116は、ISPA網12に備わるAAAサーバA112に、ユーザID及びパスワードを含む認証情報を送信する(311)。なお、ユーザPC116からAAAサーバA112に送信されるユーザIDには、企業Hの識別子が付加される。
AAAサーバA112は、ユーザID及びパスワードを受信する。このとき、AAAサーバB223は、ユーザPC116のMACアドレスを取得する。
次に、AAAサーバA112は、受信したユーザIDに基づいて、当該受信したユーザIDによって識別されるユーザが属する企業Hを特定する。
次に、AAAサーバA112は、特定した企業Hに備わるAAAサーバH18に認証を依頼する(312)。このとき、AAAサーバA112は、受信したユーザID及びパスワードを、特定した企業Hに備わるAAAサーバH18に送信する。
AAAサーバH18は、認証の依頼を受けると、ユーザPC116に対する認証を行う(313)。そして、AAAサーバH18は、認証の結果を、AAAサーバA112に通知する。なお、認証の結果が認証成功の場合、AAAサーバH18は、ユーザPC116の通信に適用される接続ポリシーをAAAサーバA112に送信する。
その後、ステップ705以降の処理が実行される。なお、ステップ705以降の処理は、第1の実施の形態の計算機システムのユーザアクセス処理(図7)に含まれるものと同一なので説明を省略する。
(第10の実施の形態)
第1〜第9の実施の形態では、ユーザID及びパスワードを用いて認証を行った。一方、第10の実施の形態では、電子証明書を用いて認証を行う。
第10の実施の形態では、802.1X認証シーケンスの一つであるEAP−TLS(Extensible Authentication Protocol−Transport Layer Security)を用いて認証を行う。なお、EAP−TLSについては、非特許文献1に開示されている。
図31は、本発明の第10の実施の形態の計算機システムの認証処理のシーケンス図である。
AAAサーバA112は、ユーザ証明書を発行する。そして、発行されたユーザ証明書は、ユーザPC116又は外部記憶媒体に記憶されている。また、ユーザPC116には、AAAサーバA112のサーバ証明書が予めインストールされている。
まず、ユーザPC116とAPA115との間で、802.11アソシエーションが行われる(3201)。これによって、EAPOL(EAP over LAN)が開始される(3202)。
次に、APA115は、ユーザPC116にIDを要求する(3203)。すると、ユーザPC116は、APA115を介してAAAサーバA112に、IDを送信する(3204及び3205)。
次に、AAAサーバA112は、APA115を介してユーザPC116に、TLSの開始を通知する(3206及び3207)。すると、TLSネゴシエーションシーケンスが開始される(3208)。
次に、TLSネゴシエーションシーケンスの中で、AAAサーバA112とユーザPC116とは、互いの証明書を交換する(3209及び3210)。つまり、AAAサーバA112は、ユーザPC116にサーバ証明書を送信する。一方、ユーザPC116は、AAAサーバA112にユーザ証明書を送信する。そして、交換された証明書に基づいて、認証が行われる。
その後、ステップ705〜709、ステップ710及びステップ711が実行される。なお、ステップ705〜709、ステップ710及びステップ711は、第1の実施の形態の計算機システムのユーザアクセス処理(図7)に含まれるものと同一なので説明を省略する。
その後、AAAサーバA112は、APA115にRADIUSアクセスアクセプトを送信する(3211)。すると、APA115は、ユーザPC116にEAPサクセスを通知する(3212)。EAP−TLSでは、TLSネゴシエーションシーケンスの中で暗号化キー(EAPOL−Key)が作成される。そこで、APA115は、作成された暗号化キーをユーザPC116に送信する(3213)。
以上のように、第10の実施の形態の計算機システムでは、電子証明書を用いた認証が行われる。
本発明の第1の実施の形態の計算機システムの構成のブロック図である。 本発明の第1の実施の形態のISPA網に備わるポリシーエンフォーサの構成のブロック図である。 本発明の第1の実施の形態のポリシーエンフォーサに備わる接続ポリシー設定テーブル26の構成図である。 本発明の第1の実施の形態のISPA網に備わるAAAサーバAの構成のブロック図である。 本発明の第1の実施の形態のAAAサーバAに備わるユーザデータテーブルの構成図である。 本発明の第1の実施の形態のAAAサーバAに備わる法人契約企業リストの構成図である。 本発明の第1の実施の形態の計算機システムのユーザアクセス処理のシーケンス図である。 本発明の第1の実施の形態のポリシーエンフォーサのパケット処理のフローチャートである。 本発明の第2の実施の形態の計算機システムの構成のブロック図である。 本発明の第2の実施の形態のAAAサーバAに備わる法人契約企業リストの構成図である。 本発明の第2の実施の形態のISPA網に備わるルータZの構成のブロック図である。 本発明の第2の実施の形態のルータZに備わるフィルタリング設定テーブルの構成図である。 本発明の第2の実施の形態の計算機システムのユーザアクセス処理のシーケンス図である。 本発明の第2の実施の形態のAAAサーバAの認証処理のフローチャートである。 本発明の第3の実施の形態のDHCPサーバAに記憶されるIPアドレス予約テーブルの構成図である。 本発明の第3の実施の形態のルータZに備わるフィルタリング設定テーブルの構成図である。 本発明の第4の実施の形態の計算機システムの構成のブロック図である。 本発明の第4の実施の形態のルータZに備わるフィルタリング設定テーブルの構成図である。 本発明の第4の実施の形態のポリシーエンフォーサに備わる接続ポリシー設定テーブルの構成図である。 本発明の第4の実施の形態の計算機システムのユーザアクセス処理のシーケンス図である。 本発明の第5の実施の形態の計算機システムの構成のブロック図である。 本発明の第5の実施の形態のAAAサーバAに備わるローミング契約ISPリストの構成図である。 本発明の第5の実施の形態のAAAサーバAに備わる法人契約企業ローミング条件リストの構成図である。 本発明の第5の実施の形態の計算機システムのユーザアクセス処理のシーケンス図である。 本発明の第5の実施の形態のISPB網に備わるAAAサーバBの認証処理のフローチャートである。 本発明の第5の実施の形態のISPA網に備わるAAAサーバAの認証処理のフローチャートである。 本発明の第6の実施の形態の計算機システムのユーザアクセス処理の一部のシーケンス図である。 本発明の第7の実施の形態の計算機システムのユーザアクセス処理の一部のシーケンス図である。 本発明の第8の実施の形態のAAAサーバAに記憶されるユーザデータテーブルの構成図である。 本発明の第9の実施の形態の計算機システムのユーザアクセス処理の一部のシーケンス図である。 本発明の第10の実施の形態の計算機システムの認証処理のシーケンス図である。
符号の説明
11 企業H網
12 ISPA網
13 インターネット
14 外部リソース
17 ルータH
18 AAAサーバH
19 サービス提供サーバ
21 CPU
22 メモリ
23 ポリシー設定テーブル制御プログラム
24 ポリシー制御プログラム
25 ルーティングプログラム
26 接続ポリシー設定テーブル
27 外部インタフェース
41 CPU
42 メモリ
43 認証処理プログラム
44 通知プログラム
45 ユーザデータテーブル
46 法人契約企業リスト
47 外部インタフェース
91 ルータZ
110 VPNサーバ
111 ルータA
112 AAAサーバA
113 DHCPサーバA
114 ポリシーエンフォーサ
115 APA
116 ユーザPC
121 CPU
122 メモリ
123 フィルタリングプログラム
124 フィルタリング設定テーブル制御プログラム
125 ルーティングプログラム
126 フィルタリング設定テーブル
127 外部インタフェース

Claims (12)

  1. インターネットと、前記インターネットに接続される第1ネットワークと、前記インターネットに接続される複数の第2ネットワークと、を備える計算機システムであって、
    前記第1ネットワークは、第1端末装置に無線又は有線で接続されるアクセスポイントと、前記アクセスポイントに接続され、前記第1端末装置の通信を制御する第1通信装置と、前記第1端末装置にIPアドレスを割り当てるDHCPサーバと、前記第1端末装置を認証する第1認証サーバと、を含み、
    前記第2ネットワークは、第2端末装置を含み、
    前記第1認証サーバは、
    前記第1端末装置からアクセス要求を受信すると、当該第1端末装置に対応する第2ネットワークを特定し、
    前記特定された第2ネットワークに含まれる第2端末装置の通信の制御に使用されるアクセス制御情報を、前記第1通信装置に送信し、
    前記第1通信装置は、前記第1認証サーバから受信したアクセス制御情報に基づいて、前記第1端末装置の通信を制御することを特徴とする計算機システム。
  2. 前記第1ネットワークは、ISPによって提供されるネットワークであり、
    前記第2ネットワークは、企業に構築されたネットワークであり、
    当該第1端末装置に対応する前記第2ネットワークは、前記第1端末装置からのアクセスが許可された第2ネットワークであることを特徴とする請求項1に記載の計算機システム。
  3. 前記第2ネットワークは、更に、VPN通信を提供するVPNサーバを含み、
    前記第1通信装置は、前記第1端末装置と前記VPNサーバとの通信を許可するように、前記第1端末装置の通信を制御することを特徴とする請求項1に記載の計算機システム。
  4. 前記第2ネットワークは、更に、前記第2端末装置を認証する第2認証サーバを含み、
    前記第1認証サーバは、前記特定された第2ネットワークに含まれる第2認証サーバから、前記特定された第2ネットワークに含まれる第2端末装置の通信の制御に使用されるアクセス制御情報を取得することを特徴とする請求項1に記載の計算機システム。
  5. 前記第2ネットワークは、更に、VPN通信を提供するVPNサーバを含み、
    前記第1認証サーバは、前記VPNサーバによって提供されるVPN通信を用いて、前記特定された第2ネットワークに含まれる第2認証サーバから、前記特定された第2ネットワークに含まれる第2端末装置の通信の制御に使用されるアクセス制御情報を取得することを特徴とする請求項4に記載の計算機システム。
  6. 前記第1認証サーバは、
    前記第1端末装置からアクセス要求を受信すると、前記第1通信装置によって通信が制御されている第1端末装置の数を特定し、
    前記特定された第1端末装置の数が閾値以上の場合には、当該アクセス要求の送信元である第1端末装置からのアクセスを許可しないことを特徴とする請求項1に記載の計算機システム。
  7. インターネットと、前記インターネットに接続される第1ネットワークと、前記インターネットに接続される複数の第2ネットワークと、前記インターネットに接続される第3ネットワークと、を備える計算機システムであって、
    前記第1ネットワークは、第1端末装置に無線又は有線で接続されるアクセスポイントと、前記アクセスポイントに接続され、前記第1端末装置の通信を制御する第1通信装置と、前記第1端末装置にIPアドレスを割り当てるDHCPサーバと、前記第1端末装置を認証する第1認証サーバと、を含み、
    前記第2ネットワークは、第2端末装置を含み、
    前記第3ネットワークは、第3認証サーバを含み、
    前記第1認証サーバは、
    前記第1端末装置からアクセス要求を受信すると、当該第1端末装置に対応する第2ネットワークを特定し、
    前記特定された第2ネットワークに含まれる第2端末装置の通信の制御に使用されるアクセス制御情報を、前記第3認証サーバから取得し、
    前記取得されたアクセス制御情報を、前記第1通信装置に送信し、
    前記第1通信装置は、前記第1認証サーバから受信したアクセス制御情報に基づいて、前記第1端末装置の通信を制御することを特徴とする計算機システム。
  8. 前記第2ネットワークは、企業に構築されたネットワークであり、
    前記第3ネットワークは、前記企業が契約しているISPによって提供されるネットワークであり、
    前記第1ネットワークは、前記第3ネットワークを提供するISPとローミング契約を結ぶISPによって提供されるネットワークであり、
    当該第1端末装置に対応する前記第2ネットワークは、前記第1端末装置からのアクセスが許可された第2ネットワークであることを特徴とすることを特徴とする請求項7に記載の計算機システム。
  9. 前記第2ネットワークは、更に、VPN通信を提供するVPNサーバを含み、
    前記第1通信装置は、前記第1端末装置と前記VPNサーバとの通信を許可するように、前記第1端末装置の通信を制御することを特徴とする請求項7に記載の計算機システム。
  10. 前記第2ネットワークは、更に、前記第2端末装置を認証する第2認証サーバを含み、
    前記第3認証サーバは、第2ネットワークに含まれる第2端末装置の通信の制御に使用されるアクセス制御情報を予め記憶していることを特徴とする請求項7に記載の計算機システム。
  11. 前記第2ネットワークは、更に、前記第2端末装置を認証する第2認証サーバを含み、
    前記第3認証サーバは、前記特定された第2ネットワークに含まれる第2認証サーバから、前記特定された第2ネットワークに含まれる第2端末装置の通信の制御に使用されるアクセス制御情報を取得することを特徴とする請求項10に記載の計算機システム。
  12. 前記第1認証サーバは、
    前記第1端末装置からアクセス要求を受信すると、前記第1通信装置によって通信が制御されている第1端末装置の数を特定し、
    前記特定された第1端末装置の数が閾値以上の場合には、当該アクセス要求の送信元である第1端末装置からのアクセスを許可しないことを特徴とする請求項7に記載の計算機システム。
JP2006349859A 2006-12-26 2006-12-26 計算機システム Pending JP2008160709A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006349859A JP2008160709A (ja) 2006-12-26 2006-12-26 計算機システム
US12/000,138 US20080155678A1 (en) 2006-12-26 2007-12-10 Computer system for controlling communication to/from terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006349859A JP2008160709A (ja) 2006-12-26 2006-12-26 計算機システム

Publications (1)

Publication Number Publication Date
JP2008160709A true JP2008160709A (ja) 2008-07-10

Family

ID=39544907

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006349859A Pending JP2008160709A (ja) 2006-12-26 2006-12-26 計算機システム

Country Status (2)

Country Link
US (1) US20080155678A1 (ja)
JP (1) JP2008160709A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011035639A (ja) * 2009-07-31 2011-02-17 Nec Personal Products Co Ltd 通信システム、vpn装置、nicおよびプログラム
JP2019121029A (ja) * 2017-12-28 2019-07-22 Phcホールディングス株式会社 情報管理システム、および、端末認証方法

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7836497B2 (en) * 2006-12-22 2010-11-16 Telefonaktiebolaget L M Ericsson (Publ) Apparatus and method for resilient IP security/internet key exchange security gateway
US8661524B2 (en) * 2007-12-14 2014-02-25 Novell, Inc. Selective desktop control of virtual private networks (VPN's) in a multiuser environment
JPWO2011048768A1 (ja) * 2009-10-21 2013-03-07 パナソニック株式会社 通信システム、通信端末並びに通信ノード
EP2555133A4 (en) * 2010-03-30 2016-10-26 Nec Corp THIN CLIENT SERVER, ACCESS CONTROL METHOD, AND ACCESS CONTROL METHODS THEREIN
US9985799B2 (en) * 2014-09-05 2018-05-29 Alcatel-Lucent Usa Inc. Collaborative software-defined networking (SDN) based virtual private network (VPN)
US9935937B1 (en) * 2014-11-05 2018-04-03 Amazon Technologies, Inc. Implementing network security policies using TPM-based credentials
EP3672194A1 (en) * 2018-12-17 2020-06-24 Telia Company AB Solution for receiving network service
US12078509B1 (en) 2023-04-25 2024-09-03 T-Mobile Usa, Inc. Location clustering and routing for 5G drive testing

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003273897A (ja) * 2002-03-12 2003-09-26 Toshiba It Solution Corp ネットワークサービス利用許可システム及びその利用許可方法
JP2006115059A (ja) * 2004-10-13 2006-04-27 Nippon Telegr & Teleph Corp <Ntt> フィルタリング方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003273897A (ja) * 2002-03-12 2003-09-26 Toshiba It Solution Corp ネットワークサービス利用許可システム及びその利用許可方法
JP2006115059A (ja) * 2004-10-13 2006-04-27 Nippon Telegr & Teleph Corp <Ntt> フィルタリング方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011035639A (ja) * 2009-07-31 2011-02-17 Nec Personal Products Co Ltd 通信システム、vpn装置、nicおよびプログラム
JP2019121029A (ja) * 2017-12-28 2019-07-22 Phcホールディングス株式会社 情報管理システム、および、端末認証方法

Also Published As

Publication number Publication date
US20080155678A1 (en) 2008-06-26

Similar Documents

Publication Publication Date Title
US8335490B2 (en) Roaming Wi-Fi access in fixed network architectures
JP4299102B2 (ja) 無線ネットワークのハンドオフ暗号鍵
US7945777B2 (en) Identification information protection method in WLAN inter-working
KR100967749B1 (ko) 어드레스 관리방법, 어드레스 관리시스템, 이동 단말 및 홈 도메인 서버
JP3951757B2 (ja) 信頼されないアクセス局を介した通信方法
US7788705B2 (en) Fine grained access control for wireless networks
CN101682569B (zh) 用于在固定网络架构中漫游Wi-Fi接入的PANA
US9112909B2 (en) User and device authentication in broadband networks
US20080155678A1 (en) Computer system for controlling communication to/from terminal
JP2006085719A (ja) 設定情報配布装置、認証設定転送装置、方法、プログラム、媒体及び設定情報受信プログラム
JP2006524017A (ja) 公的認証サーバで無線lanアクセスを制御するidマッピング機構
CN1910877A (zh) 移动无线通信系统、移动无线终端装置、虚拟专用网中继装置以及连接认证服务器
JP2006086907A (ja) 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム
JP2008199324A (ja) 通信制御課金システム、通信制御課金方法、および通信制御課金プログラム
CN100454860C (zh) 连接控制系统、连接控制装置及连接管理装置
CN101568069A (zh) 为外来移动终端提供组播业务的方法及装置
CN108600207A (zh) 基于802.1x与savi的网络认证与访问方法
WO2011026341A1 (zh) 一种移动ip业务的接入方法和系统
KR100707805B1 (ko) 사용자 및 인증자별로 제어할 수 있는 인증 시스템
US20240259804A1 (en) Methods and entities for end-to-end security in communication sessions
KR20040043735A (ko) 다이어미터 기반 aaa 인증서버와 분리된 과금서버의연동처리 방법
JP4584776B2 (ja) ゲートウェイ装置およびプログラム
KR102558364B1 (ko) 5g lan 서비스 제공 방법
JP2009124711A (ja) ローカルネットワーク相互接続における移動端末に対してネットワークに基づくトンネルを設定する方法
JP2015041970A (ja) 通信システム、通信方法、および、通信プログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081023

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081111

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090310