ユーザーがIPネットワークに接続する時、ローカル管理ドメインにおいてユーザーに対するアクセス認証を管理するための方法及びシステム
アクセスネットワーク(1、2)を用いてIP伝送ネットワーク(5)にアクセスを試みる間にユーザーの認証を制御するために、ユーザー端末(11、12、13)は、ユーザーをアクセスサプライヤに認証させるためのデータを含むアクセス要求をアクセスサプライヤ(6、7、8)に発信し、そして前記要求は、アクセスサプライヤの遠隔認証サーバー(15)にアドレスがとられることを考慮して、アクセスネットワーク(1、2)のアクセスサーバー(9)に送信される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネット又はIP上の電話への接続等、IP(インターネットプロトコル)伝送に基づくサービスの提供に関する。
【0002】
本発明は特に、ラディウス(ユーザーサービスにおける遠隔認証ダイアル)プロトコルに基づくアーキテクチャに適用され、ユーザーのアクセス権限と、所定の管理ドメイン費を前記ユーザーに請求するのに必要な課金とを管理するためにIPネットワークで広く用いられている。これに関連して、管理ドメインは、単独のネットワーク管理者によって管理されるネットワーク装置の全てを一箇所に集める。これらのアーキテクチャはまた、ローミング状態で、即ちユーザーが依存する管理ドメインとは異なるドメインに属し、その時アクセス権限の管理が管理ドメイン間で実行されているネットワーク接続で、ユーザーに対してネットワークへのアクセスを管理するのに用いられる。
【背景技術】
【0003】
ADSL(非対称型デジタル加入者回線)、WLAN(無線ローカルエリアネットワーク)、及びWAP(ワイヤレスアプリケーションプロトコル)等の技術を用いてIPサービスへのアクセスを可能にするアーキテクチャに関連して、少なくとも2つの管理ドメインが、アクセス認証の管理に関与する。それらは、ローカル管理ドメイン、即ちユーザーが接続するドメインと、遠隔管理ドメイン、即ちIPネットワークにアクセスするプロバイダのドメイン若しくはユーザーがアクセスを所望するサービスのドメインとである。これらのアーキテクチャにおいて、ローカル管理ドメインは特に、ユーザーとサービスプロバイダの管理ドメインとの間で中継としての役割を果たす。
【0004】
ラディウスプロトコルは、特にクライアント/サーバーモデルの後に設計されるが、IPネットワークのユーザーのアクセス権限を管理することができる。上述のアーキテクチャにおいて、ユーザーはまず、アクセス要求上で提供される情報を収集すること、及びラディウスサーバーを有するアクセスネットワークの認証サーバーにアクセス要求メッセージ(Access−Request)の前記情報を送信することを管理するラディウスクライアントを有するローカルネットワークアクセスサーバーに接続する。認証サーバーは、それがアクセス承認メッセージ形式(Access−Accept)のアクセス認証、又は拒否理由を含むアクセス拒否メッセージ形式(Access−Reject)のアクセス拒否を有し、かつそれに応じて提供する情報に従ってユーザーを認証することによってアクセス要求の処理を確実にする。アクセス認証メッセージは、ユーザーに最終サービスを提供するためにアクセスサーバーに必要な全ての情報と、特にアクセス設定上の情報とを含む。
【0005】
上述のメッセージに加えて、ラディウスプロトコルはまた、予測不可能なチャレンジ値を認証サーバーがアクセスサーバーに送信できるようにするアクセスチャレンジメッセージ(Access−Challenge)を提供する。そのようなメッセージを受信すると、アクセスサーバーは、チャレンジ値に所定のアルゴリズムを適用することによって得られる応答値をそれに提供するようユーザーに問合せる。この応答を受信すると、アクセスサーバーは、応答値を含む新規アクセス要求メッセージを認証サーバーに送信する。この新規アクセス要求メッセージは、認証サーバーによって処理され、ユーザーによって提供される応答値に依存して、アクセス承認又は拒否メッセージを送信することによってそれに応答する。認証サーバーはまた、アクセスチャレンジメッセージで応答することができる。
【0006】
アクセスサーバーによって呼出されるアクセスネットワークの認証サーバーがユーザーによって送信されるアクセス要求を処理するのに必要な情報を有していない場合、それは、ラディウスプロキシサーバーの機能を果たすことによって適切な認証サーバーにアドレスをとることができ、アクセスサーバーと他の認証サーバーとの間でメッセージを単に再送信する。故に、それは、複数の認証サーバーに対してそれを通過するラディウスメッセージを案内する役割を実行することができる。それはまた、その性質を変更する必要なく、これらのメッセージをフィルタリングし、かつ(属性を追加、削除、又は変更することによって)そのコンテンツを変更する機能を実行することができる。
【発明の開示】
【発明が解決しようとする課題】
【0007】
故に、ラディウスプロトコルで規定されるようなラディウスプロキシサーバーの役割は、かなり限定されている。しかし、そのようなサーバーは、シグナリング上での厳格な検査を実行し、かつローカル認証をできる限りアクティブにする必要があるかもしれない。特に、そのようなプロキシサーバーは、遠隔認証サーバーとは無関係に、ラディウスクライアントからチャレンジ/応答交換を、アクセス要求メッセージ受信時に開始することができない。
【0008】
多様な用途において、ユーザーを遠隔だけでなくローカルでも認証でき、特にインターネット等のパブリックネットワークへのアクセスに加えて、ローカルレベルで追加のサービスをユーザーに提供できることがやはり望ましい。
【課題を解決するための手段】
【0009】
本発明は、これらの不都合を解消することを目的とする。本発明の目的は、アクセスネットワークを用いてIP伝送ネットワークにアクセスを試みる間にユーザーの認証を管理するための方法であって、IPサービス又はアクセスプロバイダの遠隔認証サーバーに送信されるように、前記アクセスネットワーク及び前記IP伝送ネットワークのアクセスサーバーを用いて送信される、前記IPサービス又はアクセスプロバイダでのユーザー認証のためのデータを含むアクセス要求を、前記IPサービス又はアクセスプロバイダに、ユーザー端末が送信する段階と、前記アクセス要求を受信すると、前記アクセスサーバーは、前記アクセスネットワークのプロキシサーバーにラディウスプロトコルに従ってラディウス要求を送信する段階と、前記ラディウス要求を受信すると、前記プロキシサーバーは、前記遠隔認証サーバーにアクセス認証要求を送信する段階と、前記遠隔認証サーバーは、前記アクセス要求に含まれる認証データに基づき、ユーザー認証手続を実行し、それに応じて、前記ユーザー認証手続の結果を含む応答メッセージを前記プロキシサーバーに送信する段階と、を具備する方法によって達成できる。
【0010】
本発明によると、前記方法は、前記プロキシサーバーは、前記アクセスサーバーから受信しかつ前記ユーザー端末によって送信される前記アクセス要求に対応する前記ラディウス要求毎に、前記アクセス要求を送信する前記ユーザーのローカル認証がローカルネットワークレベルで実行されなければならないか否かを判断する段階と、前記ユーザーの前記ローカル認証が実行されなければならない場合、前記プロキシサーバーは、前記ユーザー端末に再送信される認証データ要求を前記アクセスサーバーに送信し、前記アクセスサーバーを用いて前記ユーザー端末から応答メッセージを受信し、かつ前記応答メッセージに含まれる前記認証データに基づき、前記ユーザーの前記ローカル認証のための手続を実行する段階と、をさらに具備する。
【0011】
本発明の好ましい実施形態によると、前記ユーザー端末へ前記プロキシサーバーによって送信される前記認証データ要求は、ローカルユーザー認証が実行されなければならない場合、乱数を含むチャレンジメッセージである。
【0012】
利点として、前記チャレンジメッセージは、ユーザー端末が、それがローカルユーザー認証に関係するか否かを判断できるようにする指示子を含む。
【0013】
本発明の好ましい実施形態によると、前記遠隔認証サーバーによる前記ユーザーの前記遠隔認証は、 前記遠隔認証サーバーが、乱数を含むチャレンジメッセージ前記ユーザーに送信する段階と、前記プロキシサーバーが、前記ユーザーに前記遠隔認証サーバーによって送信される前記チャレンジメッセージを再送信し、かつ応答メッセージにおいて、前記遠隔認証サーバーでのユーザー認証のためのデータを受信する段階と、前記プロキシサーバーが、前記ユーザー端末によって送信される前記応答メッセージを前記遠隔認証サーバーに再送信する段階と、前記プロキシサーバーが、前記ユーザー認証の結果を含むメッセージを前記遠隔認証サーバーから受信する段階と、を具備する。
【0014】
本発明の好ましい実施形態によると、前記プロキシサーバーは、前記ユーザーの前記ローカル及び遠隔認証の結果に基づき前記ユーザーに割当てるアクセス権限を決定する。
【0015】
本発明はまた、IP伝送ネットワークを用いてIPサービス又はアクセスプロバイダにユーザー端末によってアクセスを試みる間にユーザーの認証を管理するためのシステムであって、前記ユーザー端末が接続されるアクセスネットワークと、前記アクセスネットワークと前記IP伝送ネットワークとの間で、接続をそれぞれ確実にするIPゲートウェイと、前記ユーザー端末による要求に応じて、ラディウスプロトコルに従ってラディウスアクセス要求を送信するように設計される、各前記アクセスネットワークのための少なくとも1つのアクセスサーバーと、認証サーバーによって受信されるアクセス要求に含まれる認証データに基づき前記ユーザーを認証するように設計される各前記IPサービス又はアクセスプロバイダのための少なくとも1つの遠隔認証サーバーと、前記アクセス要求で示される前記IPサービス又はアクセスプロバイダの遠隔認証サーバーへ、ユーザー要求に応じて前記アクセスサーバーの1つによって送信される各前記ラディウスアクセス要求を再送信し、かつ前記遠隔認証サーバー(15)によって提供される認証応答を前記アクセスサーバーに再送信するように設計され、前記IP伝送ネットワークに接続されるプロキシサーバーと、を具備するシステムに関する。
【0016】
本発明によると、前記プロキシサーバーは、前記アクセス要求を送信する前記ユーザーのローカル認証が、前記ローカルネットワークレベルで実行されなければならないか否かを、前記ユーザー要求に応じて前記アクセスサーバーから受信する各前記ラディウスアクセス要求毎に判断するための手段と、前記認証データを要求するメッセージを、ローカルに認証されなければならない前記ユーザー端末に、前記アクセスサーバーを用いて送信し、かつ前記要求された認証データを含む応答メッセージを、前記ユーザー端末に応答して受信するための手段と、前記応答メッセージに含まれる認証情報に基づき、ローカルユーザー認証手続を実行するための手段と、を具備する。
【0017】
本発明の好ましい実施形態によると、前記プロキシサーバーはまた、前記認証サーバーによって提供されるローカルユーザー認証結果と前記ユーザーの認証応答とに基づき、全認証結果を判断し、かつ前記アクセスサーバーへ前記全認証結果を再送信するための手段を具備する。
【0018】
本発明の好ましい実施形態によると、各アクセスサーバーは、ラディウスクライアントを含み、前記プロキシサーバーは、前記ラディウスプロトコルに従ってメッセージを交換するために、クライアント及びラディウスサーバーを含む。
【0019】
本発明の好ましい実施形態によると、前記ユーザーをローカルに認証するために前記プロキシサーバーによって送信される前記認証データ要求メッセージは、チャレンジメッセージであり、前記プロキシサーバーは、前記チャレンジメッセージに挿入される乱数を生成するための手段と、前記ユーザー端末から受信した前記チャレンジメッセージへの応答を確認するための手段とを具備する。
【0020】
本発明の好ましい実施形態によると、前記プロキシサーバーは、前記ユーザーの前記ローカル及び遠隔認証の結果に基づき前記ユーザーに割当てるアクセス権限を決定するための手段を具備する。
【0021】
本発明はまた、IPゲートウェイによってアクセスネットワークに接続されるIP伝送ネットワークを用いてIPサービス又はアクセスプロバイダにアクセスするために前記アクセスネットワークに接続されるユーザー端末を分析するためのプロキシサーバーであって、前記プロキシサーバーは、IP伝送ネットワークに接続され、アクセス要求で示される前記IPサービス又はアクセスプロバイダの遠隔認証サーバーへ、前記ユーザー端末の要求に応じてアクセスサーバーによって送信されるラディウスプロトコルに従って、各ラディウスアクセス要求を再送信するための手段と、前記遠隔認証サーバーによって提供される認証応答を前記アクセスサーバーに再送信するための手段と、を具備するプロキシサーバーに関する。
【0022】
本発明によると、前記プロキシサーバーはまた、前記アクセス要求を送信する前記ユーザーのローカル認証がローカルネットワークレベルで実行されなければならないか否かを、ユーザーの要求に応じてアクセスサーバーから受信されるラディウスアクセス要求毎に判断するための手段と、認証データを要求するメッセージを、ローカルに認証しなければならない前記ユーザー端末へ、前記アクセスサーバーを用いて送信し、かつそれに応じて、前記要求された認証データを含む応答メッセージを前記ユーザー端末から受信するための手段と、前記応答メッセージに含まれる認証情報に基づきローカルユーザー認証手続を実行する手段と、を具備する。
【0023】
本発明はまた、IPゲートウェイによってアクセスネットワークに接続されるIP伝送ネットワークを用いてIPサービス又はアクセスプロバイダにアクセスするために前記アクセスネットワークに接続されるユーザー端末に権限を与えるように設計されるプロキシサーバーによって実行されることを目的としたコンピュータプログラムであって、前記プロキシサーバーは、前記IP伝送ネットワークに接続され、前記プログラムは、アクセス要求で示される前記IPサービス又はアクセスプロバイダの遠隔認証サーバーへ、前記ユーザー端末の要求に応じてアクセスサーバーによって送信されるラディウスプロトコルに従って各ラディウスアクセス要求を再送信するための命令と、前記遠隔認証サーバーによって提供される認証応答を前記アクセスサーバーに再送信するための命令と、を具備するコンピュータプログラムに関する。
【0024】
本発明によると、前記プログラムはまた、前記アクセス要求を送信する前記ユーザーのローカル認証がローカルネットワークレベル(1、2)で実行されなければならないか否かを、前記ユーザーの要求に応じて前記アクセスサーバー(9)から受信されるラディウスアクセス要求毎に判断するための命令と、認証データを要求するメッセージを、ローカルに認証しなければならない前記ユーザー端末へ、前記アクセスサーバーを用いて送信し、かつそれに応じて、前記要求された認証データを含む応答メッセージを前記ユーザー端末から受信するための命令と、前記応答メッセージに含まれる認証情報に基づきローカルユーザー認証手続を実行するための命令と、を具備する。
【発明を実施するための最良の形態】
【0025】
本発明の好ましい実施形態は、添付図面を参照して、限定されない実施例を通じて以下に説明される。
【0026】
図1に示されるシステムは、ユーザー端末11、12、13が接続されるアクセスネットワーク1、2を含む。これらのアクセスネットワーク1、2は、アクセスネットワークに適応する各IPゲートウェイ3、4を用いてIP伝送ネットワーク5へのアクセスを備える端末を提供する。IP伝送ネットワーク5は、ユーザーがインターネットアクセスプロバイダ6、7又はIPサービスプロバイダ8へアクセスできるようにする。
【0027】
本発明によると、このシステムはまた、IPネットワークへのアクセスを所望するユーザーが接続を必要とするローカルネットワーク1、2へそれぞれ接続されるアクセスサーバー9と、IP伝送ネットワーク5に接続される認証プロキシサーバー10とを含み、各アクセスサーバー9は、端末11、12、13によって送信されるアクセス要求を認証プロキシサーバー10へ送信する。
【0028】
各アクセスサーバー9は、対応するローカルネットワーク1、2上のユーザーによって送信されるサービス又はアクセスプロバイダ6、7、8へアクセスする全要求を受信するように、かつユーザー端末によって要求で示されるサービス又はアクセスプロバイダ6、7、8へIP伝送ネットワークを介してゲートウェイ3、4を用いてこれらの要求を案内するように設計され、各サービス又はアクセスプロバイダは、認証サーバー15を有する。
【0029】
ユーザー端末11、12、13がローカルネットワークにアクセスしようとする時、例えばインターネットナビゲーションソフトウェアは、アクセスサーバー9の機能を果たすウェブサーバーに自動的にリダイレクトされ、図2A及び2Bに示されるアクセス認証手続を実行する。
【0030】
この手続は、ラディウスプロトコルに適合する。故に、アクセスサーバー9は、ラディウスメッセージを受信できるようにするために、及びそれらに応答するためにラディウスクライアントを組込む。プロキシサーバー10はまた、ラディウススタンダードで説明されるようなプロキシの全機能を有する。
【0031】
認証手続の以下の説明を通して、使用されるラディウス要求又はメッセージ識別子が一例として仮定される。ラディウススタンダードにおいて、“type”という用語は、メッセージの種類を意味する。
【0032】
第1ステップ21で、アクセスサーバー9は、128に相当する識別子を具備するラディウスアクセス要求41を、ローカル管理ドメインに設置される認証プロキシサーバー10に送信する。ステップ22でそのようなメッセージを受信すると、プロキシサーバー10は、ユーザーがローカルに認証されなければならないか否かを決定する(ステップ23)ためにこのメッセージのコンテンツを記憶及び分析する。
【0033】
故に、例えばローカル認証は、アクセス要求が特定のローカルネットワークから到来する場合、即ち要求に含まれるユーザー識別情報に基づいて、開始されうる。
【0034】
ユーザーがローカルに識別されなければならない場合、プロキシサーバー10は、128に相当する識別子を具備する、ラディウスアクセスチャレンジタイプのラディウスアクセスチャレンジメッセージ44を、ステップ24でアクセスサーバー9に送信する。例えばこのメッセージはまた、プロキシサーバー10によって、又は認証センターにしうる別個の装置によって不規則に生成される予測不可能値と、メッセージの発信源、即ちローカル管理ドメインを特定する属性とを含む。このために、“Vendor-Specific”属性、即ちラディウスプロトコルによって規定される“State”又は“Reply-Message”属性を使用することができる。
【0035】
次のステップ25で、アクセスサーバー9は、チャレンジメッセージ44を受信し、メッセージの発信源を特定する属性を用いるメッセージの送信側を識別し、それにより、ローカル認証要求に対する応答をそれに提供するようユーザーに問合せる。この応答は、ユーザーに特有の秘密鍵を含む所定の暗号アルゴリズムを、チャレンジメッセージに含まれるランダム値に適用することによって得られる応答値を含むことができ、プロキシサーバーは、応答値がランダム値とユーザーの秘密鍵とに対応するか否かを判断するための手段を有する。
【0036】
次のステップ26で、アクセスサーバーは、45に相当する識別子を含むラディウスアクセス要求タイプのローカル認証要求に対する応答を含む新規アクセス要求46をプロキシサーバー10に送信する。
【0037】
次のステップ27で、プロキシサーバー10は、ユーザーによって提供されるローカル認証に対する応答をアクセスサーバーから受信し、それを確認し、そしてそれを記憶する。次のステップ28で応答が無効(ローカル認証が失敗)の場合、プロキシサーバーは、ステップ24から開始する手続を反復することによって他の認証の試みを行うことができる。ローカルユーザー認証が所定回数の試みの後に成功しない場合、プロキシサーバー10は、ローカル管理規定に依存して、アクセスサーバー9を用いてラディウスアクセス拒否メッセージをユーザーに送信し、即ちユーザーがアクセスを所望するサービス又はアクセスプロバイダによって実施される遠隔認証サーバー15によってユーザーが認証されうるようにステップ30で手続を継続する。
【0038】
ステップ23で、ユーザーがローカルに認証される必要がない場合、手続はまた、ステップ30で継続される。このステップで、サーバー15がラディウスサーバーである場合、プロキシサーバー10は、31に相当する識別子を含むラディウスアクセス要求タイプのアクセス要求50を、ユーザーが認証を所望する遠隔認証サーバー15に送信する。このメッセージは、ステップ22でプロキシサーバー10によって記憶されるアクセス要求41に含まれる情報からなる。
【0039】
次のステップ31で、遠隔認証サーバー15は、ユーザーによって要求されるサービスにアクセスする権限を決定するためにこのメッセージを受信及び分析する。
【0040】
次のステップ32で、認証サーバーは、受信したメッセージ50に含まれる認証情報に依存して、承認、拒否、又はチャレンジメッセージにしうる応答メッセージ52を送信する。故に、ラディウスプロトコルに従って、メッセージ52は、Access−Accept、Access−Reject、又はAccess−Challengeタイプにでき、受信したメッセージ50の識別子に対応する31に相当する識別子を含む。
【0041】
手続の次のステップは、2つの条件、即ちユーザーのローカル認証が以前に要求されたか否か、及びローカル認証が要求された場合、それが成功又は失敗したか否かに依存する(ステップ33)。
【0042】
認証が以前に要求されなかった場合、メッセージ52を受信するプロキシサーバー10は、ステップ34でこのメッセージを処理し、アクセスサーバー9にメッセージ54を送信する。このメッセージ54は、アクセスサーバーによってステップ21で送信されるメッセージ41への応答に対応する。例えばこれらのメッセージは、識別子128を具備する(図2Bのケースa)。故に、遠隔認証サーバー15によって送信されるメッセージ52が承認メッセージ(Radius Access−Accept)である場合、プロキシサーバー10は、承認メッセージ(Radius Access−Accept)をアクセスサーバー9に送信する。遠隔認証サーバー15によって送信されるメッセージ52が拒否メッセージ(Radius Access−Reject)である場合、プロキシサーバー10は、プロキシサーバーのローカル規則に依存して、拒否メッセージ(Radius Access−Reject)又は承認メッセージをアクセスサーバー9に送信する。遠隔認証サーバー15によるユーザー認証が失敗した場合、即ちそれがさらに認証情報を必要とするか又は動的認証機構を適用したい場合、メッセージ52はまた、チャレンジメッセージにすることができる。この場合、アクセスサーバーに送信されるメッセージ54は、チャレンジメッセージ(Radius Access−Challenge)である。
【0043】
ステップ35でメッセージ54を受信すると、アクセスサーバーは、メッセージのコンテンツを分析し、それが承認又は拒否メッセージである場合、認証手続が終了し、アクセスサーバーは、プロキシサーバーの応答に従って、ローカルネットワーク1、2及びIPネットワーク5へのユーザーアクセスを設定する。メッセージ54がチャレンジメッセージである場合、アクセスサーバーは、遠隔管理ドメインの認証要求に対する応答を提供するようにステップ36でユーザーに問合せる。次のステップ37で、アクセスサーバーは、ユーザー応答を含むアクセス要求57を構成し、プロキシサーバー10にそれを送信する。このアクセス要求は、10に相当する識別子を備えるラディウスアクセス要求メッセージである(図2Bのケースb)。
【0044】
次のステップ38で、プロキシサーバーは、メッセージ57を受信し、24に相当する識別子を備えるアクセス要求タイプのラディウスメッセージの形式で、要求メッセージ58において遠隔認証サーバー15にそれを再送信する(図2Bのケースc)。次のステップ39で、サーバー15は、メッセージ58のコンテンツを受信及び分析し、次のステップ40で、コンテンツがサーバー15によって実行される認証の成功に依存する応答メッセージ60を送信する。このメッセージは、識別子24を保持する(図2Bのケースd)。故に、メッセージ60は、承認メッセージ(Radius Access−Accept)、拒否メッセージ(Radius Access−Reject)、又は新規チャレンジメッセージ(Radius Access−Challenge)にすることができる。
【0045】
認証手続はその後、ステップ34から開始して反復され、プロキシサーバー10は、受信したメッセージ60を処理し、メッセージ54の形式でアクセスサーバーに再送信する。24に相当する受信したメッセージ60の識別子は、アクセスサーバーによって送信されるその57に対応するように10に置換される(図2Bのケースe)。
【0046】
アクセスサーバー9に送信されるメッセージ54が承認又は拒否メッセージであり、遠隔認証サーバー15によって実行される認証の結果を含む(ローカル認証がない)場合、認証手続は、ステップ35で終了する。対照的に、メッセージ54が新規チャレンジメッセージである場合、手続は、ステップ36で継続される。
【0047】
ステップ33で、ローカル認証が要求及び成功した場合、ステップ34〜40を含む手続がまた実行されるが、メッセージは、異なる識別番号を含んでいる(メッセージは、図2Bのケースa1からe1に対応する)。故に、識別子31を含むメッセージ52は、識別子45とローカル識別の結果とを含むメッセージ54に、プロキシサーバーによってステップ34で変換される。ステップ37で、メッセージ57の識別子45は、20になる。次のステップ38で、メッセージ58の識別子20は、48になる。ステップ40で、識別子48は、不変である。次のステップ34で、メッセージの識別子48は、20になる。
【0048】
アクセスサーバー9に送信されるメッセージ54が、ローカル(Successful)及び遠隔認証の結果を特定する属性を含む承認又は拒否タイプである場合、認証手続は、ステップ35で終了する。対照的に、メッセージ54が新規チャレンジメッセージである場合、手続は、ステップ36で継続される。
【0049】
認証手続の終了で、遠隔認証が成功だった場合、メッセージ54は、認証メッセージであり、それが失敗した場合、このメッセージは、ローカル管理規定に依存して承認又は拒否メッセージにすることができる。
【0050】
ステップ33で、ローカル認証が要求及び失敗した場合、異なる識別番号を含むメッセージ(図2Bのケースa2からe2に対応するメッセージ)で、ステップ34から40からなる手続はまた実行される。故に、識別子31を含むメッセージ52は、識別子45とローカル識別の結果とを含むメッセージ54に、プロキシサーバーによってステップ34で変換される。ステップ37で、メッセージ57の識別子45は、30になる。次のステップ38で、メッセージ58の識別子30は、96になる。ステップ40で、識別子96は、不変である。次のステップ34で、メッセージの識別子96は、30になる。
【0051】
アクセスサーバー9に送信されるメッセージ54が、ローカル(failure)及び遠隔認証の結果を特定する属性を含む承認又は拒否タイプである場合、認証手続は、ステップ35で終了する。対照的に、メッセージ54が新規チャレンジメッセージである場合、手続は、ステップ36で継続される。
【0052】
認証手続の終了で、アクセスサーバー9に送信されるメッセージ54は、ローカル管理規定に依存して(ローカル及び遠隔認証が失敗でも)承認タイプ又は拒否タイプにすることができる。
【0053】
認証手続の結果に依存して、アクセスサーバー9はその後、ユーザーアクセスを適切に設定し、ユーザーが許容される接続タイプをユーザーに知らせることができる。
【0054】
これらの条件により、ローカル及び遠隔ユーザー認証手続は、全体的に独立している。故に、各管理ドメインは、認証手続を課すか、又は課さないか完全に自由である。
【0055】
本発明の実施形態において、プロトコルで規定されるラディウスメッセージに関する2つの“Vendor Specific”属性が使用される。“Local_Challenge”と呼ばれるこれら2つの属性のうち最初の属性は、アクセスサーバー9へプロキシサーバー10によって送信されるチャレンジメッセージに含まれる。この属性は、それがメッセージの発信源であるか否かをアクセスサーバーに示すのに用いられる。この属性が存在するか否かに依存して、アクセスサーバーは、チャレンジメッセージに対する適切な応答を得るのにローカル又は遠隔認証が必要か否かをユーザーに指定する。
【0056】
“Auth_Status”と呼ばれる第2の属性は、ユーザー認証手続を終了するために、及びローカル及び遠隔認証結果をアクセスサーバーに示すためにプロキシサーバーによって送信される承認メッセージに含まれる。
【0057】
この手続は、WLANタイプのオープンローカルネットワーク、例えばWi−Fiを用いてインターネットにアクセスするのに最適であり、アクセスは、その所有者によって制御される。このローカルネットワークは、例えばローカルネットワークがプラン、役立つアドレスのリスト、及びその他にアクセス可能な場所で、情報提供サービス等のローカルサービスを提供することができる。インターネットにアクセスするために、このローカルネットワークに接続するユーザーはまた、それらのアクセスプロバイダからアクセスを要求しなければならない。
【0058】
端末を備えるユーザーがローカルWLANネットワークのサービスエリアの領域にあって、ナビゲーションソフトウェアを起動する時、それは、ローカルアクセスネットワーク9のウェブサーバーに自動的にリダイレクトされる。ウェブサーバーのウェルカム画面において、ユーザーは、ローカルネットワークにアクセスするための識別子及びパスワードを持っている場合、入力するように問合される。ユーザーがインターネットにアクセスしたい場合、リストからアクセスプロバイダを選択し、その後選択されたアクセスプロバイダに対応するアクセス識別子及びアクセスパスワードを入力しなければならない。
【0059】
ユーザーによって入力される情報は、ローカルネットワークのプロキシサーバー10へアクセスサーバー9によって送信される。
【0060】
ユーザーがローカルネットワークにアクセスするための識別子及びパスワードを入力した場合、ローカルネットワークのプロキシサーバー10は、ローカル識別手続を開始し、この認証の結果を記憶する。そしてそれは、ユーザーによって選択されるアクセスプロバイダの認証サーバー15からユーザーの認証のための手続を開始する。
【0061】
ローカル及び遠隔認証の結果に従って、プロキシサーバーは、ローカル及び遠隔認証が両方とも失敗した場合に承認メッセージ又は拒否メッセージを送信する。後者の場合、アクセスサーバーは、ユーザーがローカル又は遠隔サービスにアクセスするのを承認しない。
【0062】
ユーザーがローカルのみに、又はアクセスプロバイダのみによって認証された場合、アクセスサーバーは、対応するサービスのみへのアクセスをユーザーに与える。両方の認証が成功だった場合、アクセスサーバーは、ローカル及び遠隔サービスの両方へのアクセスをユーザーに提供する。
【0063】
同様に、ユーザーがローカル認証を要求しなかった場合、遠隔認証のみ実行され、これが成功する場合、アクセスサーバーは、インターネットへのユーザーアクセスを設定する。
【0064】
ローカルネットワークにおいてユーザーに割当てられるサービス品質QoSはまた、ローカル認証の結果に従ってアクセスサーバー9によって調整することができる。
【図面の簡単な説明】
【0065】
【図1】図1は、本発明による、IP伝送に基づきサービスを提供するためのシステムのアーキテクチャを図式的に示す図である。
【図2A】図2Aは、本発明の方法に従って、図1に示されるシステムで実行されるステップ順序を示す図である。
【図2B】図2Bは、本発明の方法に従って、図1に示されるシステムで実行されるステップ順序を示す図である。
【符号の説明】
【0066】
1 ローカルアクセスネットワーク
3 ゲートウェイ
5 IP伝送ネットワーク
9 アクセスサーバー
10 認証サーバー
【技術分野】
【0001】
本発明は、インターネット又はIP上の電話への接続等、IP(インターネットプロトコル)伝送に基づくサービスの提供に関する。
【0002】
本発明は特に、ラディウス(ユーザーサービスにおける遠隔認証ダイアル)プロトコルに基づくアーキテクチャに適用され、ユーザーのアクセス権限と、所定の管理ドメイン費を前記ユーザーに請求するのに必要な課金とを管理するためにIPネットワークで広く用いられている。これに関連して、管理ドメインは、単独のネットワーク管理者によって管理されるネットワーク装置の全てを一箇所に集める。これらのアーキテクチャはまた、ローミング状態で、即ちユーザーが依存する管理ドメインとは異なるドメインに属し、その時アクセス権限の管理が管理ドメイン間で実行されているネットワーク接続で、ユーザーに対してネットワークへのアクセスを管理するのに用いられる。
【背景技術】
【0003】
ADSL(非対称型デジタル加入者回線)、WLAN(無線ローカルエリアネットワーク)、及びWAP(ワイヤレスアプリケーションプロトコル)等の技術を用いてIPサービスへのアクセスを可能にするアーキテクチャに関連して、少なくとも2つの管理ドメインが、アクセス認証の管理に関与する。それらは、ローカル管理ドメイン、即ちユーザーが接続するドメインと、遠隔管理ドメイン、即ちIPネットワークにアクセスするプロバイダのドメイン若しくはユーザーがアクセスを所望するサービスのドメインとである。これらのアーキテクチャにおいて、ローカル管理ドメインは特に、ユーザーとサービスプロバイダの管理ドメインとの間で中継としての役割を果たす。
【0004】
ラディウスプロトコルは、特にクライアント/サーバーモデルの後に設計されるが、IPネットワークのユーザーのアクセス権限を管理することができる。上述のアーキテクチャにおいて、ユーザーはまず、アクセス要求上で提供される情報を収集すること、及びラディウスサーバーを有するアクセスネットワークの認証サーバーにアクセス要求メッセージ(Access−Request)の前記情報を送信することを管理するラディウスクライアントを有するローカルネットワークアクセスサーバーに接続する。認証サーバーは、それがアクセス承認メッセージ形式(Access−Accept)のアクセス認証、又は拒否理由を含むアクセス拒否メッセージ形式(Access−Reject)のアクセス拒否を有し、かつそれに応じて提供する情報に従ってユーザーを認証することによってアクセス要求の処理を確実にする。アクセス認証メッセージは、ユーザーに最終サービスを提供するためにアクセスサーバーに必要な全ての情報と、特にアクセス設定上の情報とを含む。
【0005】
上述のメッセージに加えて、ラディウスプロトコルはまた、予測不可能なチャレンジ値を認証サーバーがアクセスサーバーに送信できるようにするアクセスチャレンジメッセージ(Access−Challenge)を提供する。そのようなメッセージを受信すると、アクセスサーバーは、チャレンジ値に所定のアルゴリズムを適用することによって得られる応答値をそれに提供するようユーザーに問合せる。この応答を受信すると、アクセスサーバーは、応答値を含む新規アクセス要求メッセージを認証サーバーに送信する。この新規アクセス要求メッセージは、認証サーバーによって処理され、ユーザーによって提供される応答値に依存して、アクセス承認又は拒否メッセージを送信することによってそれに応答する。認証サーバーはまた、アクセスチャレンジメッセージで応答することができる。
【0006】
アクセスサーバーによって呼出されるアクセスネットワークの認証サーバーがユーザーによって送信されるアクセス要求を処理するのに必要な情報を有していない場合、それは、ラディウスプロキシサーバーの機能を果たすことによって適切な認証サーバーにアドレスをとることができ、アクセスサーバーと他の認証サーバーとの間でメッセージを単に再送信する。故に、それは、複数の認証サーバーに対してそれを通過するラディウスメッセージを案内する役割を実行することができる。それはまた、その性質を変更する必要なく、これらのメッセージをフィルタリングし、かつ(属性を追加、削除、又は変更することによって)そのコンテンツを変更する機能を実行することができる。
【発明の開示】
【発明が解決しようとする課題】
【0007】
故に、ラディウスプロトコルで規定されるようなラディウスプロキシサーバーの役割は、かなり限定されている。しかし、そのようなサーバーは、シグナリング上での厳格な検査を実行し、かつローカル認証をできる限りアクティブにする必要があるかもしれない。特に、そのようなプロキシサーバーは、遠隔認証サーバーとは無関係に、ラディウスクライアントからチャレンジ/応答交換を、アクセス要求メッセージ受信時に開始することができない。
【0008】
多様な用途において、ユーザーを遠隔だけでなくローカルでも認証でき、特にインターネット等のパブリックネットワークへのアクセスに加えて、ローカルレベルで追加のサービスをユーザーに提供できることがやはり望ましい。
【課題を解決するための手段】
【0009】
本発明は、これらの不都合を解消することを目的とする。本発明の目的は、アクセスネットワークを用いてIP伝送ネットワークにアクセスを試みる間にユーザーの認証を管理するための方法であって、IPサービス又はアクセスプロバイダの遠隔認証サーバーに送信されるように、前記アクセスネットワーク及び前記IP伝送ネットワークのアクセスサーバーを用いて送信される、前記IPサービス又はアクセスプロバイダでのユーザー認証のためのデータを含むアクセス要求を、前記IPサービス又はアクセスプロバイダに、ユーザー端末が送信する段階と、前記アクセス要求を受信すると、前記アクセスサーバーは、前記アクセスネットワークのプロキシサーバーにラディウスプロトコルに従ってラディウス要求を送信する段階と、前記ラディウス要求を受信すると、前記プロキシサーバーは、前記遠隔認証サーバーにアクセス認証要求を送信する段階と、前記遠隔認証サーバーは、前記アクセス要求に含まれる認証データに基づき、ユーザー認証手続を実行し、それに応じて、前記ユーザー認証手続の結果を含む応答メッセージを前記プロキシサーバーに送信する段階と、を具備する方法によって達成できる。
【0010】
本発明によると、前記方法は、前記プロキシサーバーは、前記アクセスサーバーから受信しかつ前記ユーザー端末によって送信される前記アクセス要求に対応する前記ラディウス要求毎に、前記アクセス要求を送信する前記ユーザーのローカル認証がローカルネットワークレベルで実行されなければならないか否かを判断する段階と、前記ユーザーの前記ローカル認証が実行されなければならない場合、前記プロキシサーバーは、前記ユーザー端末に再送信される認証データ要求を前記アクセスサーバーに送信し、前記アクセスサーバーを用いて前記ユーザー端末から応答メッセージを受信し、かつ前記応答メッセージに含まれる前記認証データに基づき、前記ユーザーの前記ローカル認証のための手続を実行する段階と、をさらに具備する。
【0011】
本発明の好ましい実施形態によると、前記ユーザー端末へ前記プロキシサーバーによって送信される前記認証データ要求は、ローカルユーザー認証が実行されなければならない場合、乱数を含むチャレンジメッセージである。
【0012】
利点として、前記チャレンジメッセージは、ユーザー端末が、それがローカルユーザー認証に関係するか否かを判断できるようにする指示子を含む。
【0013】
本発明の好ましい実施形態によると、前記遠隔認証サーバーによる前記ユーザーの前記遠隔認証は、 前記遠隔認証サーバーが、乱数を含むチャレンジメッセージ前記ユーザーに送信する段階と、前記プロキシサーバーが、前記ユーザーに前記遠隔認証サーバーによって送信される前記チャレンジメッセージを再送信し、かつ応答メッセージにおいて、前記遠隔認証サーバーでのユーザー認証のためのデータを受信する段階と、前記プロキシサーバーが、前記ユーザー端末によって送信される前記応答メッセージを前記遠隔認証サーバーに再送信する段階と、前記プロキシサーバーが、前記ユーザー認証の結果を含むメッセージを前記遠隔認証サーバーから受信する段階と、を具備する。
【0014】
本発明の好ましい実施形態によると、前記プロキシサーバーは、前記ユーザーの前記ローカル及び遠隔認証の結果に基づき前記ユーザーに割当てるアクセス権限を決定する。
【0015】
本発明はまた、IP伝送ネットワークを用いてIPサービス又はアクセスプロバイダにユーザー端末によってアクセスを試みる間にユーザーの認証を管理するためのシステムであって、前記ユーザー端末が接続されるアクセスネットワークと、前記アクセスネットワークと前記IP伝送ネットワークとの間で、接続をそれぞれ確実にするIPゲートウェイと、前記ユーザー端末による要求に応じて、ラディウスプロトコルに従ってラディウスアクセス要求を送信するように設計される、各前記アクセスネットワークのための少なくとも1つのアクセスサーバーと、認証サーバーによって受信されるアクセス要求に含まれる認証データに基づき前記ユーザーを認証するように設計される各前記IPサービス又はアクセスプロバイダのための少なくとも1つの遠隔認証サーバーと、前記アクセス要求で示される前記IPサービス又はアクセスプロバイダの遠隔認証サーバーへ、ユーザー要求に応じて前記アクセスサーバーの1つによって送信される各前記ラディウスアクセス要求を再送信し、かつ前記遠隔認証サーバー(15)によって提供される認証応答を前記アクセスサーバーに再送信するように設計され、前記IP伝送ネットワークに接続されるプロキシサーバーと、を具備するシステムに関する。
【0016】
本発明によると、前記プロキシサーバーは、前記アクセス要求を送信する前記ユーザーのローカル認証が、前記ローカルネットワークレベルで実行されなければならないか否かを、前記ユーザー要求に応じて前記アクセスサーバーから受信する各前記ラディウスアクセス要求毎に判断するための手段と、前記認証データを要求するメッセージを、ローカルに認証されなければならない前記ユーザー端末に、前記アクセスサーバーを用いて送信し、かつ前記要求された認証データを含む応答メッセージを、前記ユーザー端末に応答して受信するための手段と、前記応答メッセージに含まれる認証情報に基づき、ローカルユーザー認証手続を実行するための手段と、を具備する。
【0017】
本発明の好ましい実施形態によると、前記プロキシサーバーはまた、前記認証サーバーによって提供されるローカルユーザー認証結果と前記ユーザーの認証応答とに基づき、全認証結果を判断し、かつ前記アクセスサーバーへ前記全認証結果を再送信するための手段を具備する。
【0018】
本発明の好ましい実施形態によると、各アクセスサーバーは、ラディウスクライアントを含み、前記プロキシサーバーは、前記ラディウスプロトコルに従ってメッセージを交換するために、クライアント及びラディウスサーバーを含む。
【0019】
本発明の好ましい実施形態によると、前記ユーザーをローカルに認証するために前記プロキシサーバーによって送信される前記認証データ要求メッセージは、チャレンジメッセージであり、前記プロキシサーバーは、前記チャレンジメッセージに挿入される乱数を生成するための手段と、前記ユーザー端末から受信した前記チャレンジメッセージへの応答を確認するための手段とを具備する。
【0020】
本発明の好ましい実施形態によると、前記プロキシサーバーは、前記ユーザーの前記ローカル及び遠隔認証の結果に基づき前記ユーザーに割当てるアクセス権限を決定するための手段を具備する。
【0021】
本発明はまた、IPゲートウェイによってアクセスネットワークに接続されるIP伝送ネットワークを用いてIPサービス又はアクセスプロバイダにアクセスするために前記アクセスネットワークに接続されるユーザー端末を分析するためのプロキシサーバーであって、前記プロキシサーバーは、IP伝送ネットワークに接続され、アクセス要求で示される前記IPサービス又はアクセスプロバイダの遠隔認証サーバーへ、前記ユーザー端末の要求に応じてアクセスサーバーによって送信されるラディウスプロトコルに従って、各ラディウスアクセス要求を再送信するための手段と、前記遠隔認証サーバーによって提供される認証応答を前記アクセスサーバーに再送信するための手段と、を具備するプロキシサーバーに関する。
【0022】
本発明によると、前記プロキシサーバーはまた、前記アクセス要求を送信する前記ユーザーのローカル認証がローカルネットワークレベルで実行されなければならないか否かを、ユーザーの要求に応じてアクセスサーバーから受信されるラディウスアクセス要求毎に判断するための手段と、認証データを要求するメッセージを、ローカルに認証しなければならない前記ユーザー端末へ、前記アクセスサーバーを用いて送信し、かつそれに応じて、前記要求された認証データを含む応答メッセージを前記ユーザー端末から受信するための手段と、前記応答メッセージに含まれる認証情報に基づきローカルユーザー認証手続を実行する手段と、を具備する。
【0023】
本発明はまた、IPゲートウェイによってアクセスネットワークに接続されるIP伝送ネットワークを用いてIPサービス又はアクセスプロバイダにアクセスするために前記アクセスネットワークに接続されるユーザー端末に権限を与えるように設計されるプロキシサーバーによって実行されることを目的としたコンピュータプログラムであって、前記プロキシサーバーは、前記IP伝送ネットワークに接続され、前記プログラムは、アクセス要求で示される前記IPサービス又はアクセスプロバイダの遠隔認証サーバーへ、前記ユーザー端末の要求に応じてアクセスサーバーによって送信されるラディウスプロトコルに従って各ラディウスアクセス要求を再送信するための命令と、前記遠隔認証サーバーによって提供される認証応答を前記アクセスサーバーに再送信するための命令と、を具備するコンピュータプログラムに関する。
【0024】
本発明によると、前記プログラムはまた、前記アクセス要求を送信する前記ユーザーのローカル認証がローカルネットワークレベル(1、2)で実行されなければならないか否かを、前記ユーザーの要求に応じて前記アクセスサーバー(9)から受信されるラディウスアクセス要求毎に判断するための命令と、認証データを要求するメッセージを、ローカルに認証しなければならない前記ユーザー端末へ、前記アクセスサーバーを用いて送信し、かつそれに応じて、前記要求された認証データを含む応答メッセージを前記ユーザー端末から受信するための命令と、前記応答メッセージに含まれる認証情報に基づきローカルユーザー認証手続を実行するための命令と、を具備する。
【発明を実施するための最良の形態】
【0025】
本発明の好ましい実施形態は、添付図面を参照して、限定されない実施例を通じて以下に説明される。
【0026】
図1に示されるシステムは、ユーザー端末11、12、13が接続されるアクセスネットワーク1、2を含む。これらのアクセスネットワーク1、2は、アクセスネットワークに適応する各IPゲートウェイ3、4を用いてIP伝送ネットワーク5へのアクセスを備える端末を提供する。IP伝送ネットワーク5は、ユーザーがインターネットアクセスプロバイダ6、7又はIPサービスプロバイダ8へアクセスできるようにする。
【0027】
本発明によると、このシステムはまた、IPネットワークへのアクセスを所望するユーザーが接続を必要とするローカルネットワーク1、2へそれぞれ接続されるアクセスサーバー9と、IP伝送ネットワーク5に接続される認証プロキシサーバー10とを含み、各アクセスサーバー9は、端末11、12、13によって送信されるアクセス要求を認証プロキシサーバー10へ送信する。
【0028】
各アクセスサーバー9は、対応するローカルネットワーク1、2上のユーザーによって送信されるサービス又はアクセスプロバイダ6、7、8へアクセスする全要求を受信するように、かつユーザー端末によって要求で示されるサービス又はアクセスプロバイダ6、7、8へIP伝送ネットワークを介してゲートウェイ3、4を用いてこれらの要求を案内するように設計され、各サービス又はアクセスプロバイダは、認証サーバー15を有する。
【0029】
ユーザー端末11、12、13がローカルネットワークにアクセスしようとする時、例えばインターネットナビゲーションソフトウェアは、アクセスサーバー9の機能を果たすウェブサーバーに自動的にリダイレクトされ、図2A及び2Bに示されるアクセス認証手続を実行する。
【0030】
この手続は、ラディウスプロトコルに適合する。故に、アクセスサーバー9は、ラディウスメッセージを受信できるようにするために、及びそれらに応答するためにラディウスクライアントを組込む。プロキシサーバー10はまた、ラディウススタンダードで説明されるようなプロキシの全機能を有する。
【0031】
認証手続の以下の説明を通して、使用されるラディウス要求又はメッセージ識別子が一例として仮定される。ラディウススタンダードにおいて、“type”という用語は、メッセージの種類を意味する。
【0032】
第1ステップ21で、アクセスサーバー9は、128に相当する識別子を具備するラディウスアクセス要求41を、ローカル管理ドメインに設置される認証プロキシサーバー10に送信する。ステップ22でそのようなメッセージを受信すると、プロキシサーバー10は、ユーザーがローカルに認証されなければならないか否かを決定する(ステップ23)ためにこのメッセージのコンテンツを記憶及び分析する。
【0033】
故に、例えばローカル認証は、アクセス要求が特定のローカルネットワークから到来する場合、即ち要求に含まれるユーザー識別情報に基づいて、開始されうる。
【0034】
ユーザーがローカルに識別されなければならない場合、プロキシサーバー10は、128に相当する識別子を具備する、ラディウスアクセスチャレンジタイプのラディウスアクセスチャレンジメッセージ44を、ステップ24でアクセスサーバー9に送信する。例えばこのメッセージはまた、プロキシサーバー10によって、又は認証センターにしうる別個の装置によって不規則に生成される予測不可能値と、メッセージの発信源、即ちローカル管理ドメインを特定する属性とを含む。このために、“Vendor-Specific”属性、即ちラディウスプロトコルによって規定される“State”又は“Reply-Message”属性を使用することができる。
【0035】
次のステップ25で、アクセスサーバー9は、チャレンジメッセージ44を受信し、メッセージの発信源を特定する属性を用いるメッセージの送信側を識別し、それにより、ローカル認証要求に対する応答をそれに提供するようユーザーに問合せる。この応答は、ユーザーに特有の秘密鍵を含む所定の暗号アルゴリズムを、チャレンジメッセージに含まれるランダム値に適用することによって得られる応答値を含むことができ、プロキシサーバーは、応答値がランダム値とユーザーの秘密鍵とに対応するか否かを判断するための手段を有する。
【0036】
次のステップ26で、アクセスサーバーは、45に相当する識別子を含むラディウスアクセス要求タイプのローカル認証要求に対する応答を含む新規アクセス要求46をプロキシサーバー10に送信する。
【0037】
次のステップ27で、プロキシサーバー10は、ユーザーによって提供されるローカル認証に対する応答をアクセスサーバーから受信し、それを確認し、そしてそれを記憶する。次のステップ28で応答が無効(ローカル認証が失敗)の場合、プロキシサーバーは、ステップ24から開始する手続を反復することによって他の認証の試みを行うことができる。ローカルユーザー認証が所定回数の試みの後に成功しない場合、プロキシサーバー10は、ローカル管理規定に依存して、アクセスサーバー9を用いてラディウスアクセス拒否メッセージをユーザーに送信し、即ちユーザーがアクセスを所望するサービス又はアクセスプロバイダによって実施される遠隔認証サーバー15によってユーザーが認証されうるようにステップ30で手続を継続する。
【0038】
ステップ23で、ユーザーがローカルに認証される必要がない場合、手続はまた、ステップ30で継続される。このステップで、サーバー15がラディウスサーバーである場合、プロキシサーバー10は、31に相当する識別子を含むラディウスアクセス要求タイプのアクセス要求50を、ユーザーが認証を所望する遠隔認証サーバー15に送信する。このメッセージは、ステップ22でプロキシサーバー10によって記憶されるアクセス要求41に含まれる情報からなる。
【0039】
次のステップ31で、遠隔認証サーバー15は、ユーザーによって要求されるサービスにアクセスする権限を決定するためにこのメッセージを受信及び分析する。
【0040】
次のステップ32で、認証サーバーは、受信したメッセージ50に含まれる認証情報に依存して、承認、拒否、又はチャレンジメッセージにしうる応答メッセージ52を送信する。故に、ラディウスプロトコルに従って、メッセージ52は、Access−Accept、Access−Reject、又はAccess−Challengeタイプにでき、受信したメッセージ50の識別子に対応する31に相当する識別子を含む。
【0041】
手続の次のステップは、2つの条件、即ちユーザーのローカル認証が以前に要求されたか否か、及びローカル認証が要求された場合、それが成功又は失敗したか否かに依存する(ステップ33)。
【0042】
認証が以前に要求されなかった場合、メッセージ52を受信するプロキシサーバー10は、ステップ34でこのメッセージを処理し、アクセスサーバー9にメッセージ54を送信する。このメッセージ54は、アクセスサーバーによってステップ21で送信されるメッセージ41への応答に対応する。例えばこれらのメッセージは、識別子128を具備する(図2Bのケースa)。故に、遠隔認証サーバー15によって送信されるメッセージ52が承認メッセージ(Radius Access−Accept)である場合、プロキシサーバー10は、承認メッセージ(Radius Access−Accept)をアクセスサーバー9に送信する。遠隔認証サーバー15によって送信されるメッセージ52が拒否メッセージ(Radius Access−Reject)である場合、プロキシサーバー10は、プロキシサーバーのローカル規則に依存して、拒否メッセージ(Radius Access−Reject)又は承認メッセージをアクセスサーバー9に送信する。遠隔認証サーバー15によるユーザー認証が失敗した場合、即ちそれがさらに認証情報を必要とするか又は動的認証機構を適用したい場合、メッセージ52はまた、チャレンジメッセージにすることができる。この場合、アクセスサーバーに送信されるメッセージ54は、チャレンジメッセージ(Radius Access−Challenge)である。
【0043】
ステップ35でメッセージ54を受信すると、アクセスサーバーは、メッセージのコンテンツを分析し、それが承認又は拒否メッセージである場合、認証手続が終了し、アクセスサーバーは、プロキシサーバーの応答に従って、ローカルネットワーク1、2及びIPネットワーク5へのユーザーアクセスを設定する。メッセージ54がチャレンジメッセージである場合、アクセスサーバーは、遠隔管理ドメインの認証要求に対する応答を提供するようにステップ36でユーザーに問合せる。次のステップ37で、アクセスサーバーは、ユーザー応答を含むアクセス要求57を構成し、プロキシサーバー10にそれを送信する。このアクセス要求は、10に相当する識別子を備えるラディウスアクセス要求メッセージである(図2Bのケースb)。
【0044】
次のステップ38で、プロキシサーバーは、メッセージ57を受信し、24に相当する識別子を備えるアクセス要求タイプのラディウスメッセージの形式で、要求メッセージ58において遠隔認証サーバー15にそれを再送信する(図2Bのケースc)。次のステップ39で、サーバー15は、メッセージ58のコンテンツを受信及び分析し、次のステップ40で、コンテンツがサーバー15によって実行される認証の成功に依存する応答メッセージ60を送信する。このメッセージは、識別子24を保持する(図2Bのケースd)。故に、メッセージ60は、承認メッセージ(Radius Access−Accept)、拒否メッセージ(Radius Access−Reject)、又は新規チャレンジメッセージ(Radius Access−Challenge)にすることができる。
【0045】
認証手続はその後、ステップ34から開始して反復され、プロキシサーバー10は、受信したメッセージ60を処理し、メッセージ54の形式でアクセスサーバーに再送信する。24に相当する受信したメッセージ60の識別子は、アクセスサーバーによって送信されるその57に対応するように10に置換される(図2Bのケースe)。
【0046】
アクセスサーバー9に送信されるメッセージ54が承認又は拒否メッセージであり、遠隔認証サーバー15によって実行される認証の結果を含む(ローカル認証がない)場合、認証手続は、ステップ35で終了する。対照的に、メッセージ54が新規チャレンジメッセージである場合、手続は、ステップ36で継続される。
【0047】
ステップ33で、ローカル認証が要求及び成功した場合、ステップ34〜40を含む手続がまた実行されるが、メッセージは、異なる識別番号を含んでいる(メッセージは、図2Bのケースa1からe1に対応する)。故に、識別子31を含むメッセージ52は、識別子45とローカル識別の結果とを含むメッセージ54に、プロキシサーバーによってステップ34で変換される。ステップ37で、メッセージ57の識別子45は、20になる。次のステップ38で、メッセージ58の識別子20は、48になる。ステップ40で、識別子48は、不変である。次のステップ34で、メッセージの識別子48は、20になる。
【0048】
アクセスサーバー9に送信されるメッセージ54が、ローカル(Successful)及び遠隔認証の結果を特定する属性を含む承認又は拒否タイプである場合、認証手続は、ステップ35で終了する。対照的に、メッセージ54が新規チャレンジメッセージである場合、手続は、ステップ36で継続される。
【0049】
認証手続の終了で、遠隔認証が成功だった場合、メッセージ54は、認証メッセージであり、それが失敗した場合、このメッセージは、ローカル管理規定に依存して承認又は拒否メッセージにすることができる。
【0050】
ステップ33で、ローカル認証が要求及び失敗した場合、異なる識別番号を含むメッセージ(図2Bのケースa2からe2に対応するメッセージ)で、ステップ34から40からなる手続はまた実行される。故に、識別子31を含むメッセージ52は、識別子45とローカル識別の結果とを含むメッセージ54に、プロキシサーバーによってステップ34で変換される。ステップ37で、メッセージ57の識別子45は、30になる。次のステップ38で、メッセージ58の識別子30は、96になる。ステップ40で、識別子96は、不変である。次のステップ34で、メッセージの識別子96は、30になる。
【0051】
アクセスサーバー9に送信されるメッセージ54が、ローカル(failure)及び遠隔認証の結果を特定する属性を含む承認又は拒否タイプである場合、認証手続は、ステップ35で終了する。対照的に、メッセージ54が新規チャレンジメッセージである場合、手続は、ステップ36で継続される。
【0052】
認証手続の終了で、アクセスサーバー9に送信されるメッセージ54は、ローカル管理規定に依存して(ローカル及び遠隔認証が失敗でも)承認タイプ又は拒否タイプにすることができる。
【0053】
認証手続の結果に依存して、アクセスサーバー9はその後、ユーザーアクセスを適切に設定し、ユーザーが許容される接続タイプをユーザーに知らせることができる。
【0054】
これらの条件により、ローカル及び遠隔ユーザー認証手続は、全体的に独立している。故に、各管理ドメインは、認証手続を課すか、又は課さないか完全に自由である。
【0055】
本発明の実施形態において、プロトコルで規定されるラディウスメッセージに関する2つの“Vendor Specific”属性が使用される。“Local_Challenge”と呼ばれるこれら2つの属性のうち最初の属性は、アクセスサーバー9へプロキシサーバー10によって送信されるチャレンジメッセージに含まれる。この属性は、それがメッセージの発信源であるか否かをアクセスサーバーに示すのに用いられる。この属性が存在するか否かに依存して、アクセスサーバーは、チャレンジメッセージに対する適切な応答を得るのにローカル又は遠隔認証が必要か否かをユーザーに指定する。
【0056】
“Auth_Status”と呼ばれる第2の属性は、ユーザー認証手続を終了するために、及びローカル及び遠隔認証結果をアクセスサーバーに示すためにプロキシサーバーによって送信される承認メッセージに含まれる。
【0057】
この手続は、WLANタイプのオープンローカルネットワーク、例えばWi−Fiを用いてインターネットにアクセスするのに最適であり、アクセスは、その所有者によって制御される。このローカルネットワークは、例えばローカルネットワークがプラン、役立つアドレスのリスト、及びその他にアクセス可能な場所で、情報提供サービス等のローカルサービスを提供することができる。インターネットにアクセスするために、このローカルネットワークに接続するユーザーはまた、それらのアクセスプロバイダからアクセスを要求しなければならない。
【0058】
端末を備えるユーザーがローカルWLANネットワークのサービスエリアの領域にあって、ナビゲーションソフトウェアを起動する時、それは、ローカルアクセスネットワーク9のウェブサーバーに自動的にリダイレクトされる。ウェブサーバーのウェルカム画面において、ユーザーは、ローカルネットワークにアクセスするための識別子及びパスワードを持っている場合、入力するように問合される。ユーザーがインターネットにアクセスしたい場合、リストからアクセスプロバイダを選択し、その後選択されたアクセスプロバイダに対応するアクセス識別子及びアクセスパスワードを入力しなければならない。
【0059】
ユーザーによって入力される情報は、ローカルネットワークのプロキシサーバー10へアクセスサーバー9によって送信される。
【0060】
ユーザーがローカルネットワークにアクセスするための識別子及びパスワードを入力した場合、ローカルネットワークのプロキシサーバー10は、ローカル識別手続を開始し、この認証の結果を記憶する。そしてそれは、ユーザーによって選択されるアクセスプロバイダの認証サーバー15からユーザーの認証のための手続を開始する。
【0061】
ローカル及び遠隔認証の結果に従って、プロキシサーバーは、ローカル及び遠隔認証が両方とも失敗した場合に承認メッセージ又は拒否メッセージを送信する。後者の場合、アクセスサーバーは、ユーザーがローカル又は遠隔サービスにアクセスするのを承認しない。
【0062】
ユーザーがローカルのみに、又はアクセスプロバイダのみによって認証された場合、アクセスサーバーは、対応するサービスのみへのアクセスをユーザーに与える。両方の認証が成功だった場合、アクセスサーバーは、ローカル及び遠隔サービスの両方へのアクセスをユーザーに提供する。
【0063】
同様に、ユーザーがローカル認証を要求しなかった場合、遠隔認証のみ実行され、これが成功する場合、アクセスサーバーは、インターネットへのユーザーアクセスを設定する。
【0064】
ローカルネットワークにおいてユーザーに割当てられるサービス品質QoSはまた、ローカル認証の結果に従ってアクセスサーバー9によって調整することができる。
【図面の簡単な説明】
【0065】
【図1】図1は、本発明による、IP伝送に基づきサービスを提供するためのシステムのアーキテクチャを図式的に示す図である。
【図2A】図2Aは、本発明の方法に従って、図1に示されるシステムで実行されるステップ順序を示す図である。
【図2B】図2Bは、本発明の方法に従って、図1に示されるシステムで実行されるステップ順序を示す図である。
【符号の説明】
【0066】
1 ローカルアクセスネットワーク
3 ゲートウェイ
5 IP伝送ネットワーク
9 アクセスサーバー
10 認証サーバー
【特許請求の範囲】
【請求項1】
アクセスネットワーク(1、2)を用いてIP伝送ネットワーク(5)にアクセスを試みる間にユーザーの認証を管理するための方法であって、
IPサービス又はアクセスプロバイダ(6、7、8)の遠隔認証サーバー(15)に送信されるように、前記アクセスネットワーク(1、2)及び前記IP伝送ネットワーク(5)のアクセスサーバー(9)を用いて送信される、前記IPサービス又はアクセスプロバイダでのユーザー認証のためのデータを含むアクセス要求を、前記IPサービス又はアクセスプロバイダに、ユーザー端末(11、12、13)が送信する段階と、
前記アクセス要求を受信すると、前記アクセスサーバー(9)は、前記アクセスネットワーク(1、2)のプロキシサーバー(10)にラディウスプロトコルに従ってラディウス要求を送信する段階と、
前記ラディウス要求を受信すると、前記プロキシサーバーは、前記遠隔認証サーバー(15)にアクセス認証要求を送信する段階と、
前記遠隔認証サーバー(15)は、前記アクセス要求に含まれる認証データに基づき、ユーザー認証手続を実行し、それに応じて、前記ユーザー認証手続の結果を含む応答メッセージを前記プロキシサーバーに送信する段階と、を具備し、
前記プロキシサーバーは、前記アクセスサーバー(9)から受信しかつ前記ユーザー端末によって送信される前記アクセス要求に対応する前記ラディウス要求毎に、前記アクセス要求を送信する前記ユーザーのローカル認証がローカルネットワークレベル(1、2)で実行されなければならないか否かを判断する段階と、
前記ユーザーの前記ローカル認証が実行されなければならない場合、前記プロキシサーバーは、前記ユーザー端末に再送信される認証データ要求を前記アクセスサーバー(9)に送信し、前記アクセスサーバーを用いて前記ユーザー端末から応答メッセージを受信し、かつ前記応答メッセージに含まれる前記認証データに基づき、前記ユーザーの前記ローカル認証のための手続を実行する段階と
をさらに具備することを特徴とする方法。
【請求項2】
前記ユーザー端末(11、12、13)へ前記プロキシサーバー(10)によって送信される前記認証データ要求は、ローカルユーザー認証が実行されなければならない場合、乱数を含むチャレンジメッセージであることを特徴とする請求項1に記載の方法。
【請求項3】
前記チャレンジメッセージは、ユーザー端末が、それがローカルユーザー認証に関係するか否かを判断できるようにする指示子を含むことを特徴とする請求項2に記載の方法。
【請求項4】
前記遠隔認証サーバー(15)による前記ユーザーの前記遠隔認証は、
前記遠隔認証サーバーが、乱数を含むチャレンジメッセージ前記ユーザーに送信する段階と、
前記プロキシサーバー(10)が、前記ユーザーに前記遠隔認証サーバーによって送信される前記チャレンジメッセージを再送信し、かつ応答メッセージにおいて、前記遠隔認証サーバーでのユーザー認証のためのデータを受信する段階と、
前記プロキシサーバー(10)が、前記ユーザー端末によって送信される前記応答メッセージを前記遠隔認証サーバーに再送信する段階と、
前記プロキシサーバー(10)が、前記ユーザー認証の結果を含むメッセージを前記遠隔認証サーバーから受信する段階と
を具備することを特徴とする請求項1から3のうち1項に記載の方法。
【請求項5】
前記プロキシサーバーは、前記ユーザーの前記ローカル及び遠隔認証の結果に基づき前記ユーザーに割当てるアクセス権限を決定することを特徴とする請求項1から4のうち1項に記載の方法。
【請求項6】
IP伝送ネットワーク(5)を用いてIPサービス又はアクセスプロバイダ(6、7、8)にユーザー端末によってアクセスを試みる間にユーザーの認証を管理するためのシステムであって、
前記ユーザー端末が接続されるアクセスネットワーク(1、2)と、
前記アクセスネットワーク(1、2)と前記IP伝送ネットワーク(5)との間で、接続をそれぞれ確実にするIPゲートウェイ(3、4)と、
前記ユーザー端末による要求に応じて、ラディウスプロトコルに従ってラディウスアクセス要求を送信するように設計される、各前記アクセスネットワークのための少なくとも1つのアクセスサーバー(9)と、
認証サーバーによって受信されるアクセス要求(50、58)に含まれる認証データに基づき前記ユーザーを認証するように設計される各前記IPサービス又はアクセスプロバイダ(6、7、8)のための少なくとも1つの遠隔認証サーバー(15)と、
前記アクセス要求で示される前記IPサービス又はアクセスプロバイダの遠隔認証サーバー(15)へ、ユーザー要求に応じて前記アクセスサーバー(9)の1つによって送信される各前記ラディウスアクセス要求を再送信し、かつ前記遠隔認証サーバー(15)によって提供される前記認証応答を前記アクセスサーバーに再送信するように設計され、前記IP伝送ネットワークに接続されるプロキシサーバー(10)と、を具備し、
前記プロキシサーバーは、
前記アクセス要求を送信する前記ユーザーのローカル認証が、ローカルネットワークレベル(1、2)で実行されなければならないか否かを、前記ユーザー要求に応じて前記アクセスサーバー(9)から受信する各前記ラディウスアクセス要求毎に判断するための手段と、
前記認証データを要求するメッセージを、ローカルに認証されなければならない前記ユーザー端末に、前記アクセスサーバーを用いて送信し、かつ前記要求された認証データを含む応答メッセージを、前記ユーザー端末に応答して受信するための手段と、
前記応答メッセージに含まれる認証情報に基づき、ローカルユーザー認証手続を実行するための手段と
を具備することを特徴とするシステム。
【請求項7】
前記プロキシサーバー(10)はまた、前記認証サーバー(15)によって提供されるローカルユーザー認証結果と前記ユーザーの認証応答とに基づき、全認証結果を判断し、かつ前記アクセスサーバー(9)へ前記全認証結果を再送信するための手段を具備することを特徴とする請求項6に記載のシステム。
【請求項8】
各アクセスサーバー(9)は、ラディウスクライアントを含み、前記プロキシサーバーは、前記ラディウスプロトコルに従ってメッセージを交換するために、クライアント及びラディウスサーバーを含むことを特徴とする請求項6又は7に記載のシステム。
【請求項9】
前記ユーザーをローカルに認証するために前記プロキシサーバー(10)によって送信される前記認証データ要求メッセージは、チャレンジメッセージであり、前記プロキシサーバーは、前記チャレンジメッセージに挿入される乱数を生成するための手段と、前記ユーザー端末から受信した前記チャレンジメッセージへの応答を確認するための手段とを具備することを特徴とする請求項6から8のうち1項に記載のシステム。
【請求項10】
前記プロキシサーバー(10)は、前記ユーザーの前記ローカル及び遠隔認証の結果に基づき前記ユーザーに割当てるアクセス権限を決定するための手段を具備することを特徴とする請求項6から9のうち1項に記載のシステム。
【請求項11】
IPゲートウェイ(3、4)によってアクセスネットワークに接続されるIP伝送ネットワーク(5)を用いてIPサービス又はアクセスプロバイダ(6、7、8)にアクセスするために前記アクセスネットワーク(1、2)に接続されるユーザー端末を分析するためのプロキシサーバー(10)であって、
前記プロキシサーバーは、IP伝送ネットワークに接続され、
アクセス要求で示される前記IPサービス又はアクセスプロバイダの遠隔認証サーバー(15)へ、前記ユーザー端末の要求に応じてアクセスサーバー(9)によって送信されるラディウスプロトコルに従って、各ラディウスアクセス要求(50、58)を再送信するための手段と、
前記遠隔認証サーバー(15)によって提供される認証応答を前記アクセスサーバーに再送信するための手段と、を具備し、
前記アクセス要求を送信する前記ユーザーのローカル認証がローカルネットワークレベル(1、2)で実行されなければならないか否かを、ユーザーの要求に応じてアクセスサーバー(9)から受信されるラディウスアクセス要求毎に判断するための手段と、
認証データを要求するメッセージを、ローカルに認証しなければならない前記ユーザー端末へ、前記アクセスサーバーを用いて送信し、かつそれに応じて、前記要求された認証データを含む応答メッセージを前記ユーザー端末から受信するための手段と、
前記応答メッセージに含まれる認証情報に基づきローカルユーザー認証手続を実行する手段と
をさらに具備することを特徴とするプロキシサーバー。
【請求項12】
IPゲートウェイ(3、4)によってアクセスネットワークに接続されるIP伝送ネットワーク(5)を用いてIPサービス又はアクセスプロバイダ(6、7、8)にアクセスするために前記アクセスネットワーク(1、2)に接続されるユーザー端末に権限を与えるように設計されるプロキシサーバー(10)によって実行されることを目的としたコンピュータプログラムであって、
前記プロキシサーバーは、前記IP伝送ネットワークに接続され、前記プログラムは、
アクセス要求で示される前記IPサービス又はアクセスプロバイダの遠隔認証サーバー(15)へ、前記ユーザー端末の要求に応じてアクセスサーバー(9)によって送信されるラディウスプロトコルに従って各ラディウスアクセス要求(50、58)を再送信するための命令と、
前記遠隔認証サーバー(15)によって提供される認証応答を前記アクセスサーバーに再送信するための命令と、を具備し、
前記アクセス要求を送信する前記ユーザーのローカル認証がローカルネットワークレベル(1、2)で実行されなければならないか否かを、前記ユーザーの要求に応じて前記アクセスサーバー(9)から受信されるラディウスアクセス要求毎に判断するための命令と、
認証データを要求するメッセージを、ローカルに認証しなければならない前記ユーザー端末へ、前記アクセスサーバーを用いて送信し、かつそれに応じて、前記要求された認証データを含む応答メッセージを前記ユーザー端末から受信するための命令と、
前記応答メッセージに含まれる認証情報に基づきローカルユーザー認証手続を実行するための命令と
をさらに具備することを特徴とするプログラム。
【請求項1】
アクセスネットワーク(1、2)を用いてIP伝送ネットワーク(5)にアクセスを試みる間にユーザーの認証を管理するための方法であって、
IPサービス又はアクセスプロバイダ(6、7、8)の遠隔認証サーバー(15)に送信されるように、前記アクセスネットワーク(1、2)及び前記IP伝送ネットワーク(5)のアクセスサーバー(9)を用いて送信される、前記IPサービス又はアクセスプロバイダでのユーザー認証のためのデータを含むアクセス要求を、前記IPサービス又はアクセスプロバイダに、ユーザー端末(11、12、13)が送信する段階と、
前記アクセス要求を受信すると、前記アクセスサーバー(9)は、前記アクセスネットワーク(1、2)のプロキシサーバー(10)にラディウスプロトコルに従ってラディウス要求を送信する段階と、
前記ラディウス要求を受信すると、前記プロキシサーバーは、前記遠隔認証サーバー(15)にアクセス認証要求を送信する段階と、
前記遠隔認証サーバー(15)は、前記アクセス要求に含まれる認証データに基づき、ユーザー認証手続を実行し、それに応じて、前記ユーザー認証手続の結果を含む応答メッセージを前記プロキシサーバーに送信する段階と、を具備し、
前記プロキシサーバーは、前記アクセスサーバー(9)から受信しかつ前記ユーザー端末によって送信される前記アクセス要求に対応する前記ラディウス要求毎に、前記アクセス要求を送信する前記ユーザーのローカル認証がローカルネットワークレベル(1、2)で実行されなければならないか否かを判断する段階と、
前記ユーザーの前記ローカル認証が実行されなければならない場合、前記プロキシサーバーは、前記ユーザー端末に再送信される認証データ要求を前記アクセスサーバー(9)に送信し、前記アクセスサーバーを用いて前記ユーザー端末から応答メッセージを受信し、かつ前記応答メッセージに含まれる前記認証データに基づき、前記ユーザーの前記ローカル認証のための手続を実行する段階と
をさらに具備することを特徴とする方法。
【請求項2】
前記ユーザー端末(11、12、13)へ前記プロキシサーバー(10)によって送信される前記認証データ要求は、ローカルユーザー認証が実行されなければならない場合、乱数を含むチャレンジメッセージであることを特徴とする請求項1に記載の方法。
【請求項3】
前記チャレンジメッセージは、ユーザー端末が、それがローカルユーザー認証に関係するか否かを判断できるようにする指示子を含むことを特徴とする請求項2に記載の方法。
【請求項4】
前記遠隔認証サーバー(15)による前記ユーザーの前記遠隔認証は、
前記遠隔認証サーバーが、乱数を含むチャレンジメッセージ前記ユーザーに送信する段階と、
前記プロキシサーバー(10)が、前記ユーザーに前記遠隔認証サーバーによって送信される前記チャレンジメッセージを再送信し、かつ応答メッセージにおいて、前記遠隔認証サーバーでのユーザー認証のためのデータを受信する段階と、
前記プロキシサーバー(10)が、前記ユーザー端末によって送信される前記応答メッセージを前記遠隔認証サーバーに再送信する段階と、
前記プロキシサーバー(10)が、前記ユーザー認証の結果を含むメッセージを前記遠隔認証サーバーから受信する段階と
を具備することを特徴とする請求項1から3のうち1項に記載の方法。
【請求項5】
前記プロキシサーバーは、前記ユーザーの前記ローカル及び遠隔認証の結果に基づき前記ユーザーに割当てるアクセス権限を決定することを特徴とする請求項1から4のうち1項に記載の方法。
【請求項6】
IP伝送ネットワーク(5)を用いてIPサービス又はアクセスプロバイダ(6、7、8)にユーザー端末によってアクセスを試みる間にユーザーの認証を管理するためのシステムであって、
前記ユーザー端末が接続されるアクセスネットワーク(1、2)と、
前記アクセスネットワーク(1、2)と前記IP伝送ネットワーク(5)との間で、接続をそれぞれ確実にするIPゲートウェイ(3、4)と、
前記ユーザー端末による要求に応じて、ラディウスプロトコルに従ってラディウスアクセス要求を送信するように設計される、各前記アクセスネットワークのための少なくとも1つのアクセスサーバー(9)と、
認証サーバーによって受信されるアクセス要求(50、58)に含まれる認証データに基づき前記ユーザーを認証するように設計される各前記IPサービス又はアクセスプロバイダ(6、7、8)のための少なくとも1つの遠隔認証サーバー(15)と、
前記アクセス要求で示される前記IPサービス又はアクセスプロバイダの遠隔認証サーバー(15)へ、ユーザー要求に応じて前記アクセスサーバー(9)の1つによって送信される各前記ラディウスアクセス要求を再送信し、かつ前記遠隔認証サーバー(15)によって提供される前記認証応答を前記アクセスサーバーに再送信するように設計され、前記IP伝送ネットワークに接続されるプロキシサーバー(10)と、を具備し、
前記プロキシサーバーは、
前記アクセス要求を送信する前記ユーザーのローカル認証が、ローカルネットワークレベル(1、2)で実行されなければならないか否かを、前記ユーザー要求に応じて前記アクセスサーバー(9)から受信する各前記ラディウスアクセス要求毎に判断するための手段と、
前記認証データを要求するメッセージを、ローカルに認証されなければならない前記ユーザー端末に、前記アクセスサーバーを用いて送信し、かつ前記要求された認証データを含む応答メッセージを、前記ユーザー端末に応答して受信するための手段と、
前記応答メッセージに含まれる認証情報に基づき、ローカルユーザー認証手続を実行するための手段と
を具備することを特徴とするシステム。
【請求項7】
前記プロキシサーバー(10)はまた、前記認証サーバー(15)によって提供されるローカルユーザー認証結果と前記ユーザーの認証応答とに基づき、全認証結果を判断し、かつ前記アクセスサーバー(9)へ前記全認証結果を再送信するための手段を具備することを特徴とする請求項6に記載のシステム。
【請求項8】
各アクセスサーバー(9)は、ラディウスクライアントを含み、前記プロキシサーバーは、前記ラディウスプロトコルに従ってメッセージを交換するために、クライアント及びラディウスサーバーを含むことを特徴とする請求項6又は7に記載のシステム。
【請求項9】
前記ユーザーをローカルに認証するために前記プロキシサーバー(10)によって送信される前記認証データ要求メッセージは、チャレンジメッセージであり、前記プロキシサーバーは、前記チャレンジメッセージに挿入される乱数を生成するための手段と、前記ユーザー端末から受信した前記チャレンジメッセージへの応答を確認するための手段とを具備することを特徴とする請求項6から8のうち1項に記載のシステム。
【請求項10】
前記プロキシサーバー(10)は、前記ユーザーの前記ローカル及び遠隔認証の結果に基づき前記ユーザーに割当てるアクセス権限を決定するための手段を具備することを特徴とする請求項6から9のうち1項に記載のシステム。
【請求項11】
IPゲートウェイ(3、4)によってアクセスネットワークに接続されるIP伝送ネットワーク(5)を用いてIPサービス又はアクセスプロバイダ(6、7、8)にアクセスするために前記アクセスネットワーク(1、2)に接続されるユーザー端末を分析するためのプロキシサーバー(10)であって、
前記プロキシサーバーは、IP伝送ネットワークに接続され、
アクセス要求で示される前記IPサービス又はアクセスプロバイダの遠隔認証サーバー(15)へ、前記ユーザー端末の要求に応じてアクセスサーバー(9)によって送信されるラディウスプロトコルに従って、各ラディウスアクセス要求(50、58)を再送信するための手段と、
前記遠隔認証サーバー(15)によって提供される認証応答を前記アクセスサーバーに再送信するための手段と、を具備し、
前記アクセス要求を送信する前記ユーザーのローカル認証がローカルネットワークレベル(1、2)で実行されなければならないか否かを、ユーザーの要求に応じてアクセスサーバー(9)から受信されるラディウスアクセス要求毎に判断するための手段と、
認証データを要求するメッセージを、ローカルに認証しなければならない前記ユーザー端末へ、前記アクセスサーバーを用いて送信し、かつそれに応じて、前記要求された認証データを含む応答メッセージを前記ユーザー端末から受信するための手段と、
前記応答メッセージに含まれる認証情報に基づきローカルユーザー認証手続を実行する手段と
をさらに具備することを特徴とするプロキシサーバー。
【請求項12】
IPゲートウェイ(3、4)によってアクセスネットワークに接続されるIP伝送ネットワーク(5)を用いてIPサービス又はアクセスプロバイダ(6、7、8)にアクセスするために前記アクセスネットワーク(1、2)に接続されるユーザー端末に権限を与えるように設計されるプロキシサーバー(10)によって実行されることを目的としたコンピュータプログラムであって、
前記プロキシサーバーは、前記IP伝送ネットワークに接続され、前記プログラムは、
アクセス要求で示される前記IPサービス又はアクセスプロバイダの遠隔認証サーバー(15)へ、前記ユーザー端末の要求に応じてアクセスサーバー(9)によって送信されるラディウスプロトコルに従って各ラディウスアクセス要求(50、58)を再送信するための命令と、
前記遠隔認証サーバー(15)によって提供される認証応答を前記アクセスサーバーに再送信するための命令と、を具備し、
前記アクセス要求を送信する前記ユーザーのローカル認証がローカルネットワークレベル(1、2)で実行されなければならないか否かを、前記ユーザーの要求に応じて前記アクセスサーバー(9)から受信されるラディウスアクセス要求毎に判断するための命令と、
認証データを要求するメッセージを、ローカルに認証しなければならない前記ユーザー端末へ、前記アクセスサーバーを用いて送信し、かつそれに応じて、前記要求された認証データを含む応答メッセージを前記ユーザー端末から受信するための命令と、
前記応答メッセージに含まれる認証情報に基づきローカルユーザー認証手続を実行するための命令と
をさらに具備することを特徴とするプログラム。
【図1】
【図2A】
【図2B】
【図2A】
【図2B】
【公表番号】特表2007−522556(P2007−522556A)
【公表日】平成19年8月9日(2007.8.9)
【国際特許分類】
【出願番号】特願2006−551876(P2006−551876)
【出願日】平成17年2月1日(2005.2.1)
【国際出願番号】PCT/FR2005/000206
【国際公開番号】WO2005/086454
【国際公開日】平成17年9月15日(2005.9.15)
【出願人】(591034154)フランス テレコム (290)
【Fターム(参考)】
【公表日】平成19年8月9日(2007.8.9)
【国際特許分類】
【出願日】平成17年2月1日(2005.2.1)
【国際出願番号】PCT/FR2005/000206
【国際公開番号】WO2005/086454
【国際公開日】平成17年9月15日(2005.9.15)
【出願人】(591034154)フランス テレコム (290)
【Fターム(参考)】
[ Back to top ]