JP4332071B2 - Client terminal, gateway device, and network system including these - Google Patents
Client terminal, gateway device, and network system including these Download PDFInfo
- Publication number
- JP4332071B2 JP4332071B2 JP2004166173A JP2004166173A JP4332071B2 JP 4332071 B2 JP4332071 B2 JP 4332071B2 JP 2004166173 A JP2004166173 A JP 2004166173A JP 2004166173 A JP2004166173 A JP 2004166173A JP 4332071 B2 JP4332071 B2 JP 4332071B2
- Authority
- JP
- Japan
- Prior art keywords
- ticket
- client terminal
- address
- user
- gateway device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ユーザ認証により与えられるアクセス権限によるアクセス制御に関し、複数のネットワークへのアクセス制御に関する。 The present invention relates to access control based on access authority given by user authentication, and relates to access control to a plurality of networks.
従来、ネットワーク内に複数のサーバを持ち、各サーバでのユーザに対するアクセス制限が異なっている場合でも、統合した一台の認証サーバによってユーザ認証を1回行うだけで、複数のサーバにユーザ認証無しでアクセスできるようにし、各サーバの管理負担とユーザの操作負担を軽減した技術がある(例えば、特許文献1)。
しかしながら、このような従来のネットワークシステムにおいては、アクセス制限が異なるサーバでのユーザ認証に関するものであり、アドレス体系が異なる別のネットワークヘアクセスするときには、再度ユーザ認証を受ける必要がある。
そこで、本発明は、上述の問題に鑑み発明されたもので、1回のユーザ認証で複数のネットワークにアクセスすることができるクライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステムを提供することを目的とする。
However, such a conventional network system relates to user authentication in a server with different access restrictions. When accessing another network with a different address system, it is necessary to receive user authentication again.
Accordingly, the present invention has been invented in view of the above-described problems, and provides a client terminal, a gateway device, and a network system including these that can access a plurality of networks with one user authentication. Objective.
上述の目的を達成する本発明は、クライアント端末が接続しないネットワークにあって他のネットワークに相互接続されるゲートウエイ装置において、アクセス要求が出力されたクライアント端末のアドレスとこのクライアント端末に接続されるゲートウエイ装置にて生成されたチケットのアドレスとの一致を検証し、前記チケットの認証子を秘密鍵又は公開鍵にて検証する検証処理部と、この検証処理部の正常検証にて少なくとも相互に関連するユーザ識別子とアドレスを新たな秘密鍵にて暗号処理を行うことにより認証子を生成し、この認証子と少なくともユーザ識別子とアドレスとによりチケットを生成するチケット生成部と、を有することを特徴とする。 The present invention that achieves the above-described object is provided in a gateway device connected to another network in a network to which the client terminal is not connected, and the address of the client terminal from which the access request is output and the gateway connected to the client terminal. A verification processing unit that verifies a match with the address of the ticket generated by the apparatus and verifies the authenticator of the ticket with a secret key or a public key, and at least mutually correlates with normal verification of the verification processing unit It has a ticket generation unit that generates an authenticator by performing encryption processing of a user identifier and an address with a new secret key, and generates a ticket with the authenticator and at least the user identifier and the address. .
本発明によれば、接続されたネットワークを介してアクセスしてくるクライアント端末は、このネットワークで発行されたチケット及びアドレスで認証されることになるので、他のネットワークでのユーザによる認証情報の入力及びそれに伴う認証処理は省くことができ、1回のユーザ認証のみで複数のネットワークにおけるアクセスが可能となる。 According to the present invention, a client terminal that accesses through a connected network is authenticated by a ticket and an address issued in this network, so that authentication information can be input by a user in another network. In addition, the authentication process associated therewith can be omitted, and access in a plurality of networks is possible with only one user authentication.
以下、本発明のクライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステムを、図面を参照しつつ説明する。
〔第1実施形態〕
図1〜図12は本発明の第1実施形態のネットワークシステムを示す図である。
図1に示すように、本実施形態のネットワークシステムは、それぞれアドレス体系が異なる複数のネットワーク1〜4からなり、各ネットワーク1〜4は、それぞれ他のネットワークあるいはクライアント端末5との接続を制御するゲートウエイ装置11a〜11gと、クライアント端末5にサービスを提供するサーバ装置12a〜12fとを備えている。
Hereinafter, a client terminal, a gateway device, and a network system including these will be described with reference to the drawings.
[First embodiment]
1 to 12 are diagrams showing a network system according to a first embodiment of the present invention.
As shown in FIG. 1, the network system of the present embodiment includes a plurality of networks 1 to 4 each having a different address system, and each network 1 to 4 controls connection with another network or client terminal 5.
各ゲートウエイ装置11(11a〜11g)は、図2に示すように、回線に接続されてこの回線を通して他のネットワークのゲートウエイ装置11やクライアント端末5との通信を制御する通信インタフエース部111と、クライアント端末5からのアクセス要求を受け、認証正常なユーザにはアドレスを払い出してユーザ認証子とアドレスの割り付けを行うとともにアクセスを許可するためのチケットを発行し、払い出されたアドレスからのパケットのみを通過させるよう制御するアクセス制御部112と、アクセス制御部112からの要求によりユーザ認証及びチケット検証を行う認証処理部113と、チケットを生成するチケット生成部114と、認証処理部113がユーザ認証及びチケット検証を行うためのデータ、アドレス払い出しめためのデータ、チケット生成部114がチケットを生成するためのデータなどを蓄積しておくデータベース部115とを備えている。なお、ここで認証処理部113は、ユーザ認証及びチケット検証を行う装置であるが、図3、図9にて後述する個別のゲートウエイ装置では、説明の都合上認証と検証とを分けて述べる。
As shown in FIG. 2, each gateway apparatus 11 (11a to 11g) is connected to a line, and through this line, a
また、図1にあってサーバ装置12(12a〜12f)は、WWW(World Wide Web)やFTP(File Transfer Protocol)やコンテンツの配信などのサービスを提供するものである。
図1に示すネットワークシステムでは、ネットワーク経由でアクセス要求してくるユーザに対してユーザによる認証情報の入力を省略し、チケットによるユーザの検証を行うため、直接接続されたネットワーク相互のゲートウエイ装置11で、ネットワーク1〜4毎に固有の共有秘密鍵を交換して保有することになる。したがって、ゲートウエイ装置11b、11cは、ネットワーク1及び2の鍵を共有し、ゲートウエイ装置11d、11fは、ネットワーク2及び3の鍵を共有し、ゲートウエイ装置11e、11gは、ネットワーク2及び4の鍵を共有する。ネットワーク1〜4に固有の公開鍵を用いる場合は、この公開鍵を共有することになる。
In FIG. 1, the server apparatus 12 (12a to 12f) provides services such as WWW (World Wide Web), FTP (File Transfer Protocol), and content distribution.
In the network system shown in FIG. 1, in order to perform the verification of the user by the ticket without inputting the authentication information by the user for the user who requests access via the network, the
以上は、図1に示すネットワークシステム及び図2に示すゲートウエイ装置の概要に基づく説明である。
次に、図1に示すクライアント端末5とネットワーク1との関係につきゲートウエイ装置11aについて述べる。図3は、図1に示すネットワークシステムにおいてゲートウエイ装置11aをその機能と共に図示したものであり、図4は、図3のゲートウエイ装置11aの処理フローチャートである。図1に示すネットワークシステムにおいて、ユーザによって操作されるクライアント端末5が、ユーザの操作により例えばサーバ装置12aのサービスを要求する場合について説明する。
The above is an explanation based on the outline of the network system shown in FIG. 1 and the gateway device shown in FIG.
Next, the
まず、ユーザの操作によりクライアント端末5は、ゲートウエイ装置11aにアクセス要求を送信する。ここで、ゲートウエイ装置11aのアクセス制御部112は、図3に示すようにクライアント端末5からのアクセス要求を通信インタフェース部111を介して受信するとき、ユーザ認証を行うため、ユーザ識別情報やパスワードなどのユーザ認証情報をクライアント端末5に要求する(図4ステップ4―1)。
クライアント端末5は、ゲートウエイ装置11aの要求により、ユーザに対しユーザ識別情報やパスワードの入力を要求し、ユーザによって入力されたユーザ識別情報やパスワードをユーザ認証情報としてアクセス制御部112に送信し、また記憶媒体(図示省略)に記憶しているユーザ認証情報をアクセス制御部112に送信する。このとき、ユーザ認証情報には、ユーザの公開鍵等を含むようにしてもよい。
First, the client terminal 5 transmits an access request to the
The client terminal 5 requests the user to input user identification information and a password in response to a request from the
次いで、クライアント端末5からユーザ認証情報が送信されたゲートウエイ装置11aにあって、アクセス制御部112では、ユーザ認証情報を受信すると、受信したユーザ認証情報を認証処理部113xに送信してユーザ認証を依頼する。このユーザ認証が依頼された認証処理部113xは、ユーザ認証情報を受信すると、このユーザ認証情報のうちのユーザ識別情報によりデータベース部115に登録されているユーザ情報を検索し、ユーザ識別情報と一致するユーザ情報が登録されている場合には、次にそのユーザ情報のパスワードと受信したユーザ認証情報のうちのパスワードを比較し、これらパスワードが一致していれば「認証正常」を返し、それ以外の場合は、「認証異常」をアクセス制御部112に返す(図4のステップ4―2)。
Next, in the
アクセス制御部112は、認証処理部113xから「認証異常」が返された場合(図4のステップ4―3)、クライアント端末5からのアクセスを拒否する(図4のステップ4―7)。一方、アクセス制御部112は、認証処理部113xから「認証正常」が返されると、ネットワーク1内で唯一のユーザ識別子を割り当て、データベース部115に蓄積しているアドレスデータから空いているアドレスを検索し払い出してユーザに割り当て(図4のステップ4―4)、ユーザ識別子とアドレスを関連付けて記憶しておく。なお、ここではユーザ識別子は、予めユーザに対応させて登録していたものを使用したり、ユーザ名を利用したりしてもよい。
When an “authentication error” is returned from the authentication processing unit 113x (step 4-3 in FIG. 4), the
次いで、アクセス制御部112は、割り当てたユーザ識別子とアドレスをチケット生成部114に送信してチケットの生成を依頼する。このとき、チケット生成の依頼に当たって、ユーザ(クライアント端末5)が使用する帯域の情報や、ユーザの公開鍵情報を一緒にチケット生成部114に送信してもよい。
チケット生成部114は、アクセス制御部112からチケット生成依頼を受信すると、受信した情報(ユーザ識別子やアドレスなど)にチケット発行のタイムスタンプとしての現在時刻や、チケットの有効期限などの情報を加え、この情報にサーバ装置12a、12b間で事前に共有する共有秘密鍵(ネットワーク1に固有の共有秘密鍵)とハッシュ関数とを用いて認証子を生成する(図4のステップ4―5)。すなわち、図5のチケットの構成例にて示すように、ユーザ識別子及びアドレス(図5ではクライアント端末5の公開鍵情報を含む)からなる受信した情報にチケットのタイムスタンプやチケットの有効期限などを加えた情報、更にはハッシュ関数を経たハッシュ値を共有秘密鍵にて暗号処理した認証子を加え、チケットとしてアクセス制御部112に送信する。なお、このチケットの認証子としては、ネットワーク1固有の公開鍵ペアを用いて生成したデジタル署名を使ってもよい。図5に示すようなチケットの認証子の生成に当たっては、図6に示すようにチケットの認証子以外の部分につきハッシュ関数ブロック1141にて簡略したハッシュ値を求め、共有秘密鍵あるいは公開鍵ペアの公開鍵からなる暗号処理ブロック1142にて、認証子を得る出力ブロック1143を得る。
Next, the
When the
図3にて、アクセス制御部112は、チケット生成部114からチケットを受信すると、受信したチケットを「認証正常」の情報とともにクライアント端末5に送信する(図4のステップ4―6)。このとき、ユーザ認証情報にユーザの公開鍵が含まれている場合には、この公開鍵でチケットを暗号化してクライアント端末5に送信するようにしてもよい。
図1に戻り、クライアント端末5は、「認証正常」の情報と共にチケットを受信すると、受信したチケットに含まれているアドレスを自端末のアドレスとして登録し、ユーザがサービスを要求しているサーバ装置12aに対し、チケットを含んだサービス要求を送信する。
In FIG. 3, when the
Returning to FIG. 1, when the client terminal 5 receives the ticket together with the “authentication normal” information, the client device 5 registers the address included in the received ticket as the address of its own terminal, and the server device from which the user requests the service A service request including a ticket is transmitted to 12a.
一方、サーバ装置12aは、図7にて示すフローチャートのように、サービス要求を受信すると(ステップ3―1)、受信したサービス要求の送信元アドレスと受信したチケットのアドレスが一致するか否かを検証し(ステップ3―2)、アドレスが一致していれば(ステップ3―3)、受信したチケットの認証子をネットワーク1固有の共有秘密鍵とハッシュ関数を用いて検証する(ステップ3―4)。ここでいう認証子の検証処理は、後述するゲートウエイ装置の検証と同じであるが、図8に示すように、チケットについて認証子を共通秘密鍵又は公開鍵ペアによる復号処理ブロックY2にて復号してハッシュ値を求め、他方チケットの認証子以外の部分についてハッシュ関数ブロックY1からハッシュ値を求め、これらハッシュ値をブロックY3にて比較し一致を見ることにより、認証子の検証を行う。なお、認証子としてネットワーク1固有の公開鍵ペアを用いて生成したデジタル署名を使っている場合は、認証子をネットワーク1固有の公開鍵を用いて検証する。また、チケットにタイムスタンプ及び有効期限が含まれている場合には、このチケットが有効期限内であるかを検証する。
On the other hand, as shown in the flowchart of FIG. 7, when the
全ての検証結果が正常であれば(図7のステップ3―5)、サーバ装置12aは、チケットが改ざんされることなく、正しいユーザからの要求であると判断し、クライアント端末5に要求されたサービスを提供する(図7のステップ3―6)。
このようにして、ユーザは、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワーク1内のサーバ装置12a、12bへ、認証処理(ユーザによるユーザ識別子、パスワードの入力など)を行うことなくサービスの提供を受けることができる。
次に、図1に戻り、ネットワーク1でのユーザ認証を行ったユーザが、アドレス体系の異なる別のネットワーク2にネットワーク1を介してアクセスする場合を、図9のゲートウエイ装置11c構成及び図10のフローチャートをも参照して説明する。クライアント端末5はユーザの操作によりネットワーク2内のサーバ装置12cのサービスを要求するとき、ゲートウエイ装置11cにアクセス要求を送信することになる。
If all the verification results are normal (step 3-5 in FIG. 7), the
In this way, the user can provide services to the
Next, returning to FIG. 1, a case where a user who has performed user authentication in the network 1 accesses another network 2 having a different address system via the network 1 will be described with reference to the configuration of the
図9にて示すゲートウエイ装置11cのアクセス制御部112は、接続されているネットワーク1を介してクライアント端末5からアクセス要求を受信すると、ユーザの認証を行うため、ユーザ識別情報とパスワードなどのユーザ認証情報をクライアント端末5に要求する(図10のステップ2―1)。
クライアント端末5は、ゲートウエイ装置11cの要求により、ネットワーク1で取得したチケットをユーザ認証情報としてゲートウエイ装置11cに送信する。
ゲートウエイ装置11cのアクセス制御部112は、ネットワーク1を介してのユーザ認証情報を受信すると、検証処理部113Yに検証を依頼する。この検証処理部113Yでは、ユーザ認証情報からチケットを取り出し、ユーザ認証情報の送信元アドレスとチケットのアドレスが一致するか検証し(図10のステップ2―2)、アドレスが一致していれば(図10のステップ2―3)、受信したチケットの認証子を、ネットワーク1との間で共有するネットワ−ク1固有の共有秘密鍵とハッシュ関数を用いて検証する(図10のステップ2―4)。
When the
In response to a request from the
When receiving the user authentication information via the network 1, the
なお、認証子としてネットワーク1固有の公開鍵ペアを用いて生成したデジタル署名を使っている場合は、認証子をネットワーク1固有の公開鍵を用いて検証する。この検証は、前に説明した図8に示すとおりである。また、チケットにタイムスタンプ及び有効期限が含まれている場合には、該チケットが有効期限内であるかを検証する。
全ての検証結果が正常であれば(図10のステップ2―5)、アクセス制御部112は、チケットが改ざんされておらず、正しいユーザからの要求であると判断し、上述のネットワーク1でのゲートウエイ装置11aと同様に、ユーザ識別子とアドレスを割り当て(図10のステップ2―6)、割り当てたユーザ識別子とアドレスをチケット生成部114に送信してこのゲートウエイ装置11cでのチケットの生成を依頼する。
If a digital signature generated using a public key pair unique to the network 1 is used as the authenticator, the authenticator is verified using the public key unique to the network 1. This verification is as shown in FIG. 8 described above. If the ticket includes a time stamp and an expiration date, it is verified whether the ticket is within the expiration date.
If all the verification results are normal (step 2-5 in FIG. 10), the
このとき、チケットに含む情報として、受信したチケットに設定されているユーザ(クライアント端末5)が使用する帯域の情報や、ユーザの公開鍵情報を一緒にチケット生成部114に送信してもよい。
なお、ユーザ識別子は、予めユーザ対応に登録していたものを使用し、あるいはユーザ名や受信したチケット内のユーザ識別子を利用してもよい。
チケット生成部114は、上述のゲートウエイ装置11aと同様に、アクセス制御部112からチケット生成要求を受信すると、受信した情報(ユーザ識別子やアドレスなど)にタイムスタンプとしての現在時刻や有効期限などを加え、この情報に基づきサーバ装置12c、12dとの間で事前に共有する共有秘密鍵(ネットワーク2固有の共有秘密鍵)とハッシュ関数とを用いて認証子を生成し、この認証子に上述の受信した情報、タイムスタンプ、有効期限などを加えたものをチケットとしてアクセス制御部112に送信する(図10のステップ2―7)。なお、認証子としては、ネットワーク2固有の公開鍵ペアを用いて生成したデジタル署名を使ってもよい。かかる機能は、ゲートウエイ装置11aでの図3、図4に示す場合と同じである。
At this time, as information included in the ticket, information on a band used by the user (client terminal 5) set in the received ticket and user public key information may be transmitted to the
As the user identifier, a user identifier registered in advance for the user may be used, or a user name or a user identifier in the received ticket may be used.
When the
アクセス制御部112は、チケット生成部114からチケットを受信すると、この受信したチケットを「認証正常」の情報とともにネットワーク1を介してクライアント端末5に送信する(図10のステップ2―8)。このとき、ユーザ認証情報にユーザの公開鍵が含まれていた場合、この公開鍵でチケットを暗号処理してクライアント端末5に送信するようにしてもよい。
クライアント端末5は、「認証正常」の情報とチケットを受信すると、受信したチケットに含まれているアドレスをネットワーク2に接続する際のアドレスとして登録し、ユーザがサービスを要求してきたサーバ装置12cに対し、チケットを含んだサービス要求を送信する。
When the
When the client terminal 5 receives the “authentication normal” information and the ticket, the client terminal 5 registers the address included in the received ticket as an address when connecting to the network 2, and registers it with the
サーバ装置12cは、サービス要求を受信すると、図7、図8のサーバ装置12aの場合でも説明したように受信したサービス要求の送信元アドレスと、受信したチケットのアドレスが一致するかを検証し、アドレスが一致していれば、受信したチケットの認証子を、ネットワーク2固有の共有秘密鍵を用いて検証する。なお、認証子としてネットワーク2固有の公開鍵ペアを用いて生成したデジタル署名を使っている場合は、認証子をネットワーク2固有の公開鍵を用いて検証する。また、チケットにタイムスタンプ及び有効期限が含まれている場合には、このチケットが有効期限内であるかを検証する。
Upon receiving the service request, the
全ての検証結果が正常であれば、サーバ装置12cは、チケットが改ざんされておらず、正しいユーザからの要求であると判断し、クライアント端末5に要求されたサービスを提供する。
このようにして、ユーザは、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワークシステム1内のサーバ装置12a、12bだけでなく、ネットワークシステム2内のサーバ装置12c、12dへも、認証処理(ユーザによるユーザ識別子、パスワードの入力など)無しにサービスの提供を受けることができる。
If all the verification results are normal, the
In this way, the user can authenticate the user not only to the
同様にして、ネットワークシステム3、4にも、ネットワークシステム2で取得したチケットを使って、認証処理無しにアクセスすることができる。
図11、図12は、生成されあるいは検証されるチケットを用いてこれまでの全体の説明をまとめた図である。ネットワーク1にてクライアント端末5からのユーザ認証情報に基づき図3のゲートウエイ装置11aのチケット生成部114では、図11最上段のチケットが生成される。ネットワーク1のサーバ装置12aへのアクセスの場合には、この生成されたチケットを用い図11の2段目にて示すようにアドレスの検証を行い、かつ認証子の検証を行う。また、ネットワーク2のゲートウエイ装置11cでは、最上段のチケットをユーザ認証情報として、図11の3段目に示すようにアドレスと認証子との検証を行う。この検証をきっかけとして、図12の最上段にて示すゲートウエイ装置11cでのチケットの生成が行われる。ネットワーク2のサーバ装置12cのアクセスでは、図12の2段目に示すように最上段のチケットに付きアドレスの検証と認証子の検証が行われる。このように、ユーザ認証情報は、最初のチケット生成のみであり、その後は、チケットの生成に際してもチケットの検証に基づき行われる。
Similarly, the
FIGS. 11 and 12 are diagrams summarizing the entire description so far using a ticket to be generated or verified. Based on the user authentication information from the client terminal 5 in the network 1, the
なお、本実施形態においては、ユーザによるサーバ装置へのアクセス要求で自動的にゲートウエイ装置にアクセス要求を行い、その後サーバ装置へサービス要求を送信する場合を説明したが、ユーザの操作によりゲートウエイ装置にアクセス要求し、アクセスが許可された後、ユーザの操作によりサーバ装置ヘサービス要求を送信する場合も、同様に処理され得る。
以上のようにして、接続されたネットワークを介してアクセスしてくるクライアント端末は、このネットワークで発行されたチケット及びアドレスで認証されるので、ユーザによる認証情報の入力無しで検証され、アクセスを許可されることになる。
〔第2実施形態〕
次に、図13、図14は本発明の第2実施形態のネットワークシステムを示す図である。なお、本実施形態は、上述第1実施形態と略同様に構成されているので、図1、図2をも用いてこの実施形態の特徴部分のみ説明する。
In this embodiment, a case has been described in which an access request is automatically made to the gateway device by a user access request to the server device, and then a service request is transmitted to the server device. The same processing can be performed when a service request is transmitted to the server device by a user operation after an access request is made and access is permitted.
As described above, since the client terminal that accesses through the connected network is authenticated by the ticket and address issued in this network, it is verified without the input of authentication information by the user and access is permitted. Will be.
[Second Embodiment]
Next, FIGS. 13 and 14 are diagrams showing a network system according to a second embodiment of the present invention. Since the present embodiment is configured in substantially the same manner as the first embodiment described above, only the features of this embodiment will be described with reference to FIGS.
この第2実施形態においては、クライアント端末5が、IPsec(security architecture for Internet Protocol)(IPネットワーク間の通信セキュリティを保障するセキュリティサービス)によりネットワーク1〜4にリモートアクセスする場合を示す。
また、ネットワーク1〜4は、上述の第1実施形態と同様に、直接接続されたネットワーク相互のゲートウエイ装置11で、ネットワーク1〜4毎に固有の共有秘密鍵を交換して保有している。
In the second embodiment, a case where the client terminal 5 remotely accesses the networks 1 to 4 by IPsec (security architecture for Internet Protocol) (security service for ensuring communication security between IP networks) is shown.
Similarly to the above-described first embodiment, the networks 1 to 4 are directly connected to each other's
図13は、例えばクライアント端末5とゲートウエイ装置11aとサーバ装置12a、12bとの間にあって、クライアント端末5のアクセス時のシーケンス図である。
図13において、クライアント端末5は、ゲートウエイ装置11aにIPsecによるリモートアクセスで接続しようとするとき、IKE(Internet Key Exchange)プロトコルに従いゲートウエイ装置11aとの間でフェーズ1(phase1)(IKEプロトコルにて実行される二つのサービスの一つでセキュアな認証チャネルの確立を行う)の処理を行い、フェーズ2(Phase2)で使用する暗号化方式の決定や暗号鍵の生成を行う(S11;ステップ11の表示を指す、以下同様)。
FIG. 13 is a sequence diagram when the client terminal 5 is accessed, for example, between the client terminal 5, the
In FIG. 13, when the client terminal 5 tries to connect to the
フェーズ1の処理が終了すると、ゲートウエイ装置11aのアクセス制御部112は、Xauth(Extended Authentication withinIKE)プロトコルに従い、クライアント端末5にユーザ名とパスワードを要求する(S12)。
クライアント端末5は、ゲートウエイ装置11aからの要求に対しユーザ名“Joe@client”とパスワード“foobar”を送信する(S13)。ここで、ユーザ名の“@client”は本実施形態の方式によりチケットの取得を要求することを示すものである。
ゲートウエイ装置11aのアクセス制御部112は、ユーザ名に“@client”が付いた応答を受信すると、ユーザ名“Joe”とパスワードによるユーザ認証が認証処理部113で行われる。ユーザ認証が正常であれば、上述の第1実施形態と同様に、ユーザ識別子とアドレスを割り当て、割り当てたユーザ識別子とアドレスなどをチケット生成部114に送信してチケットの生成を依頼する。なお、ユーザ識別子は、予めユーザ対応に登録していたものを使用したり、ユーザ名を利用したりしてもよい。
When the processing of phase 1 is completed, the
In response to the request from the
When the
チケット生成部114は、秘密鍵を生成し、生成した秘密鍵のハッシュ値を求め、アクセス制御部112から受信した情報を元に、タイムスタンプや有効期限や秘密鍵のハッシュ値を加え、サーバ装置12a、12bとの間で事前に共有する共有秘密鍵(ネットワーク1に固有の共有秘密鍵)とハッシュ関数を用いて認証子を生成し、この認証子に上述の受信した情報、タイムスタンプ、有効期限、生成した秘密鍵のハッシュ値などを加えたものをチケットとして、生成した秘密鍵とともにアクセス制御部112に送信する。なお、認証子としては、ネットワーク1固有の公開鍵ペアを用いて生成したデジタル署名を使ってもよい。
The
アクセス制御部112は、チケット生成部114で生成されたチケットと秘密鍵をBASE64(データ符号化方式の一つである)などでテキストデータに変換して(BASE64TOKEN)をクライアント端末5に送信する(S14)。
また、生成した秘密鍵をユーザ識別子やアドレスとともにサーバ装置12a、12bに、予め確立されているセキュアな通信路を用いて送信する(S15)。また、隣接するネットワークのゲートウエイ装置11にも予め確立されているセキュアな通信路を用いて秘密鍵を送信する。
The
Further, the generated secret key is transmitted to the
サーバ装置12a、12b及び隣接するネットワークのゲートウエイ装置11では、秘密鍵を受信すると、一緒に送信されてきたユーザ識別子やアドレスと関連付けて秘密鍵を記憶しておく。
チケットと秘密鍵を受信したクライアント端末5は、受信したテキストデータのチケットと秘密鍵を復号し、復号したチケットを確認し、チケット内の秘密鍵のハッシュ値により秘密鍵を確認し、チケットと秘密鍵を保存し、応答を返す(S16)。クライアント端末5からの応答を受信すると、アクセス制御部112は、「認証正常」をクライアント端末5に送信する(S17)。
When the
The client terminal 5 that has received the ticket and the private key decrypts the ticket and the private key of the received text data, confirms the decrypted ticket, confirms the private key by the hash value of the private key in the ticket, and obtains the ticket and the private key. The key is saved and a response is returned (S16). When receiving the response from the client terminal 5, the
「認証正常」を受信したクライアント端末5は、肯定応答ACKをゲートウエイ装置11aに返す(S18)。その後、Mode Config(ISAKMP(Internet Security Association and Key management Protocol)(鍵のマネージメント機能やセキュリティのネゴシエーション機能の提供サービス)のconfiguration method (組合せ技術)でMode Configと略称する)により、クライアント端末5にアドレスの付与を行う(S19)が、このとき、ゲートウエイ装置11aのアクセス制御部112は、チケットに設定したアドレスを付与するようにする。クライアント端末5は、付与されたアドレスを自装置のアドレスとして登録する。その後、IKEプロトコルのフェーズ2の処理により、IPsecで使用する暗号化方式や暗号鍵などを決める(S20)。
The client terminal 5 that has received “authentication normal” returns an acknowledgment ACK to the
このようにして確立したIPsecによる暗号通信により、上述の第1実施形態と同様にしてクライアント端末5は、サーバ装置12aにアクセスを行う(チケットを含んだサービス要求を送信する)(S21)。
サーバ装置12aでは、受信したサービス要求の送信元アドレスと、受信したチケットのアドレスが一致するかを検証し、アドレスが一致していれば、受信したチケットの認証子を、ネットワーク1固有の共有秘密鍵とハッシュ関数を用いて検証する。なお、認証子としてネットワーク1固有の公開鍵ペアを用いて生成したデジタル署名を使っている場合は、認証子をネットワーク1固有の公開鍵を用いて検証する。このとき、より厳密にユーザの認証を行う場合は、クライアント端末5で、チケットのハッシュ値をチケットと同時に受信した秘密鍵(ゲートウエイ装置11aで生成された秘密鍵)で暗号化した署名をチケットとともにサービス要求に含んで送信する。サーバ装置12aでは、上述の方法でチケットとアドレスの検証をするとともに、チケット内のユーザ識別子やアドレスにより、このユーザに対応した秘密鍵(ゲートウエイ装置11aから受信した秘密鍵)を選択し、その秘密鍵とハッシュ関数により署名を検証してユーザ認証をする。
The client terminal 5 accesses the
The
このようにして、ユーザは、IPsecによるリモートアクセスにおいても、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワークシステム1内のサーバ装置12a、12bへ、認証処理(ユーザによるユーザ識別子、パスワードの入力など)無しにサービスの提供を受けることができる。
また、Xauthプロトコルのシーケンス内でチケットのやり取りを行っているので、特別なチケットをやり取りする手順を追加する必要がなく、本実施形態の方式を用いないクライアント端末とも接続することができる。
In this way, even in remote access by IPsec, the user can perform authentication processing (such as input of a user identifier and password by the user) to the
Further, since tickets are exchanged within the sequence of the Xauth protocol, it is not necessary to add a special procedure for exchanging tickets, and it is possible to connect to a client terminal that does not use the method of this embodiment.
次に、ネットワーク1でのユーザ認証を行ったユーザが、アドレス体系の異なる別のネットワークシステム2にネットワーク1を介してアクセスする場合を説明する。
図14は、クライアント端末5がネットワーク1を介してネットワーク2のゲートウエイ装置11cへIPsecによるリモートアクセスで接続する場合のシーケンス図である。
図14に示すように、ネットワークシステム1でユーザ認証を済ませたクライアント端末5が、ゲートウエイ装置11cにIPsecによるリモートアクセスで接続しようとするとき、IKEプロトコルに従いゲートウエイ装置11cとの間でフェーズ1の処理を行い、フェーズ2で使用する暗号化方式の決定や暗号鍵の生成を行う(S31)。フェーズ1の処理が終了すると、ゲートウエイ装置11cのアクセス制御部112は、Xauthプロトコルに従い、クライアント端末5にユーザ名とパスワードを要求する(S32)。
クライアント端末5は、ゲートウエイ装置11cからの要求に対しユーザ名“Joe@client”とパスワードとして、ネットワーク1で取得したBASE64などでテキストデータ(BASE64TOKEN)に変換したチケットを送信する(S33)。ここで、ユーザ名の“@client”は、本実施形態の方式によりチケットの取得を要求することを示すものである。
Next, a case where a user who has performed user authentication on the network 1 accesses another network system 2 having a different address system via the network 1 will be described.
FIG. 14 is a sequence diagram when the client terminal 5 is connected to the
As shown in FIG. 14, when the client terminal 5 that has completed user authentication in the network system 1 tries to connect to the
In response to the request from the
なお、より厳密にユーザの認証を行う場合は、クライアント端末5で、ネットワークシステム1で取得したチケットのハッシュ値を、ネットワークシステム1で取得した秘密鍵で暗号化した署名をチケットともにBASE64などでテキストデータに変換して、パスワードとして送信するようにする。
ゲートウエイ装置11cのアクセス制御部112は、ネットワークシステム1を介したアクセスでユーザ名に“@client”が付いた応答を受信すると、パスワードにチケットが入っていると判断し、受信したテキストデータのチケットを復号し、上述の第1実施形態と同様にして復号したチケットを検証する。なお、チケットともに署名を受信した場合、復号したチケット内のユーザ識別子やアドレスにより、このユーザに対応した秘密鍵を選択し、その秘密鍵とハッシュ関数により署名を検証してユーザの認証を行う。
In addition, when authenticating the user more strictly, the client terminal 5 uses the BASE64 or the like as a text with the signature obtained by encrypting the hash value of the ticket acquired by the network system 1 with the private key acquired by the network system 1. Convert it to data and send it as a password.
When the
チケットと署名の検証が正常であれば、アクセス制御部112は、上述の第1実施形態と同様に、ユーザ識別子とアドレスを割り当て、割り当てたユーザ識別子とアドレスなどをチケット生成部114に送信してチケットの生成を依頼する。
なお、ユーザ識別子は、予めユーザ対応に登録していたものを使用したり、ユーザ名や受信したチケット内のユーザ識別子を利用したりしてもよい。
チケット生成部114は、秘密鍵を生成し、生成した秘密鍵のハッシュ値を求め、受信した情報を元に、タイムスタンプや有効期限や秘密鍵のハッシュ値を加え、サーバ装置12c、12dとの間で事前に共有する共有秘密鍵(ネットワーク2に固有の共有秘密鍵)とハッシュ関数を用いて認証子を生成し、この認証子に上述の受信した情報、タイムスタンプ、有効期限、生成した秘密鍵のハッシュ値などを加えた情報を加えたものをチケットとして生成した秘密鍵とともにアクセス制御部112に送信する。
If the verification of the ticket and signature is normal, the
As the user identifier, a user identifier registered in advance for the user may be used, or a user name or a user identifier in the received ticket may be used.
The
なお、認証子としては、ネットワークシステム2固有の公開鍵ペアを用いて生成したデジタル署名を使ってもよい。
アクセス制御部112は、チケット生成部114で生成されたチケットと秘密鍵をBASE64などでテキストデータ(BASE64TOKEN2)に変更してクライアント端末5に送信する(S34)。
また、生成した秘密鍵をユーザ識別子やアドレスとともにサーバ装置12c、12dに予め確立されているセキュアな通信路を用いて送信する(S35)。さらに、隣接するネットワークのゲートウエイ装置にも予め確立されているセキュアな通信路を用いて秘密鍵を送信する。
Note that a digital signature generated using a public key pair unique to the network system 2 may be used as the authenticator.
The
Further, the generated secret key is transmitted together with the user identifier and address to the
サーバ装置12c、12d及び隣接するネットワークのゲートウエイ装置では、秘密鍵を受信すると、一緒に送信されてきたユーザ識別子やアドレスと関連付けて秘密鍵を記憶しておく。チケットと秘密鍵を受信したクライアント端末5は、受信したテキストデータのチケットと秘密鍵を復号し、復号したチケットを確認し、チケット内の秘密鍵のハッシュ値により秘密鍵を確認し、チケットと秘密鍵を保存し、応答を返す(S36)。
クライアント端末5からの応答を受信すると、アクセス制御部112は、「認証正常」をクライアント端末5に送信する(S37)。
When the
When receiving the response from the client terminal 5, the
「認証正常」を受信したクライアント端末5は、応答をゲートウエイ装置11cに返す(S38)。その後、Mode Configにより、クライアント端末5にアドレスの付与を行う(S39)が、このとき、ゲートウエイ装置11cのアクセス制御部112は、チケットに設定したアドレスを付与するようにする。
クライアント端末5は、付与されたアドレスをネットワーク2にアクセスするときのアドレスとして登録する。その後、IKEプロトコルのフェーズ2の処理により、IPsecで使用する暗号化方式や暗号鍵などを決める(S40)。
The client terminal 5 that has received “authentication normal” returns a response to the
The client terminal 5 registers the assigned address as an address when accessing the network 2. Thereafter, the encryption method and encryption key used in IPsec are determined by the processing of phase 2 of the IKE protocol (S40).
このようにして確立したIPsecによる暗号通信により、上述の第1実施形態と同様にしてクライアント端末5は、サーバ装置12cにアクセスを行う(チケットを含んだサービス要求を送信する)(S41)。
サーバ装置12cでは、受信したサービス要求の送信元アドレスと、受信したチケットのアドレスが一致するかを検証し、アドレスが一致していれば、受信したチケットの認証子を、ネットワーク2固有の共有秘密鍵とハッシュ関数を用いて検証する。
なお、認証子としてネットワークシステム2固有の公開鍵ペアを用いて生成したデジタル署名を使っている場合は、認証子をネットワーク2固有の公開鍵を用いて検証する。
The client terminal 5 accesses the
The
If a digital signature generated using a public key pair unique to the network system 2 is used as an authenticator, the authenticator is verified using a public key unique to the network 2.
このとき、より厳密にユーザの認証を行う場合は、クライアント端末5で、チケットのハッシュ値をチケットと同時に受信した秘密鍵(ゲートウエイ装置11cで生成された秘密鍵)で暗号化した署名をチケットとともにサービス要求に含んで送信する。
サーバ装置12cでは、上述の方法でチケットとアドレスの検証をするとともに、チケット内のユーザ識別子やアドレスにより、ユーザに対応した秘密鍵(ゲ←トウェイ装置11cから受信した秘密鍵)を選択し、その秘密鍵とハッシュ関数により署名を検証してユーザ認証をするようにする。
At this time, when authenticating the user more strictly, the client terminal 5 encrypts a signature obtained by encrypting the hash value of the ticket with the secret key (secret key generated by the
The
このようにして、ユーザは、IPsecによるリモートアクセスにおいても、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワーク1内のサーバ装置12a、12bだけでなく、ネットワーク2内のサーバ装置12c、12dへも、認証処理(ユーザによるユーザ識別子、パスワードの入力など)無しにサービスの提供を受けることができる。
また、Xauthプロトコルのシーケンス内でチケットのやり取りを行っているので、特別なチケットをやり取りする手順を追加する必要がなく、本実施形態の方式を用いないクライアント端末とも接続することができる。
In this way, even in remote access by IPsec, the user can perform not only the
Further, since tickets are exchanged within the sequence of the Xauth protocol, it is not necessary to add a special procedure for exchanging tickets, and it is possible to connect to a client terminal that does not use the method of this embodiment.
なお、本実施形態においては、ユーザによるサーバ装置へのアクセス要求で自動的にゲートウエイ装置にアクセス要求を行し、その後サーバ装置へサービス要求を送信する場合を説明したが、ユーザの操作によりゲレトウェイ装置にアクセス要求し、アクセスが許可された後、ユーザの操作によりサーバ装置へサービス要求を送信する場合も、同様に処理される。
〔第3実施形態〕
次に、図15〜図18は本発明の第3実施形態のネットワークシステムを示す図である。なお、本実施形態は、上述第1実施形態と略同様に構成されているので、図1、図2を流用して特徴部分のみ説明する。
In the present embodiment, a case has been described in which an access request is automatically made to the gateway device by a user access request to the server device, and then a service request is transmitted to the server device. However, the gateway device is operated by a user operation. The same processing is performed when a service request is transmitted to the server device by the user's operation after the access request is made and access is permitted.
[Third Embodiment]
Next, FIGS. 15 to 18 are diagrams showing a network system according to a third embodiment of the present invention. Since this embodiment is configured in substantially the same manner as the first embodiment described above, only the features will be described with reference to FIGS. 1 and 2.
本実施形態においては、クライアント端末5が、IPsecによりネットワーク1〜4にリモートアクセスする場合で、チケットとしてITU−T(International Telecommunication Union Telecommunication Standardization Sector)(国際電気通信連合電気通信標準化部門)勧告X.509の電子証明書を使用する場合である。
図15において、クライアント端末5は、ゲートウエイ装置11aにIPsecによるリモートアクセスで接続しようとするとき、IKEプロトコルに従いゲートウエイ装置11aとの間でフェーズ1の処理を行い、フェーズ2で使用する暗号化方式の決定や暗号鍵の生成を行う(S51)。このフェーズ1の処理が終了すると、ゲートウエイ装置11aのアクセス制御部112は、Xauthプロトコルに従い、クライアント端末5にユーザ名とパスワードを要求する(S52)。
In the present embodiment, when the client terminal 5 remotely accesses the networks 1 to 4 by IPsec, an ITU-T (International Telecommunication Union Telecommunication Standardization Sector) recommendation X. This is a case where an electronic certificate of 509 is used.
In FIG. 15, when the client terminal 5 tries to connect to the
クライアント端末5は、ゲートウエイ装置11aからの要求に対しユーザ名“Joe@client”とパスワード“foobar”を送信する(S53)。ここで、ユーザ名の“@client”は、本実施形態の方式によりチケットの取得を要求することを示すものである。
ゲートウエイ装置11aのアクセス制御部112は、ユーザ名に“@client”が付いた応答を受信すると、ユーザ名“Joe”とパスワードによるユーザ認証が認証処理部113で行われる。認証が正常であれば、クライアント端末5に公開鍵を要求する(S54)。クライアント端末5は、ゲートウエイ装置11aから公開鍵を要求されると、予め記憶している公開鍵、あるいは生成した公開鍵を、ゲートウエイ装置11aに返送する(S55)。
In response to the request from the
When the
ゲートウエイ装置11aのアクセス制御部112は、クライアント端末5から公開鍵を受信すると、上述の第1実施形態と同様に、ユーザ識別子とアドレスを割り当て、割り当てたユーザ識別子とアドレスとクライアント端末から受信した公開鍵などをチケット生成部114に送信してX.509の電子証明書の生成を依頼する。なお、ユーザ識別子は、予めユーザ対応に登録していたものを使用したり、ユーザ名を利用したりしてもよい。
チケット生成部114は、受信した情報を元に、証明書の有効期限やアドレスやユーザ識別子や公開鍵などを設定した電子証明書を作成しアクセス制御部112に送信する。
When receiving the public key from the client terminal 5, the
Based on the received information, the
アクセス制御部112は、チケット生成部114で生成された電子証明書をBASE64などでテキストデータに変更して(BASE64CERT)をクライアント端末5に送信する(S56)。
電子証明書を受信したクライアント端末5は、受信したテキストデータの電子証明書を復号し、復号した電子証明書を確認して保存し、応答を返す(S57)。クライアント端末5からの応答を受信すると、アクセス制御部112は、「認証正常」をクライアント端末5に送信する(S58)。「認証正常」を受信したクライアント端末5は、応答をゲートウエイ装置11aに返す(S59)。
The
The client terminal 5 that has received the electronic certificate decrypts the electronic certificate of the received text data, confirms and stores the decrypted electronic certificate, and returns a response (S57). When receiving the response from the client terminal 5, the
その後、Mode Configにより、クライアント端末5にアドレスの付与を行う(S60)が、このとき、ゲートウエイ装置11aのアクセス制御部112は、電子証明書に設定したアドレスを付与するようにする。
クライアント端末5は、付与されたアドレスを自装置のアドレスとして登録する。その後、IKEプロトコルのフェーズ2の処理により、IPsecで使用する暗号化方式や暗号鍵などを決める(S61)。
フェーズ2の処理が終了すると、クライアント端末5は、電子証明書の登録を行う(S62)。
Thereafter, an address is given to the client terminal 5 by Mode Config (S60). At this time, the
The client terminal 5 registers the assigned address as its own device address. Thereafter, the encryption method and encryption key used in IPsec are determined by the processing of phase 2 of the IKE protocol (S61).
When the processing of phase 2 is completed, the client terminal 5 registers an electronic certificate (S62).
このようにして確立したIPsecによる暗号通信により、クライアント端末5は、電子証明書によるSSL(Secure Sockets Layer)(認証と暗号化の機能を有するWWWにて安全にやり取りする標準プロトコル)アクセスで、サーバ装置12aにアクセスを行う(S63)。
サーバ装置12aでは、受信した電子証明書を検証して、アドレスや有効期限が正しければ、クライアント端末5にサービスを提供する。
図16は、このようにして確立したIPsecによる暗号通信がSSL接続中から切断されたときのシーケンスを示す図である。
The encrypted communication by IPsec established in this manner allows the client terminal 5 to access the server by SSL (Secure Sockets Layer) (standard protocol for secure exchange over the WWW having an authentication and encryption function) access using an electronic certificate. The
The
FIG. 16 is a diagram showing a sequence when the encrypted communication by IPsec established as described above is disconnected from the SSL connection.
図16において、SSLによりサーバ装置12aに接続中(S71)のクライアント端末5が、通信を終了し、ゲートウエイ装置11aとのIPsecによる接続を切断する(S72)と、クライアント端末5では、生成した公開鍵を削除するとともに登録した電子証明書を削除する(S73)。
ゲートウエイ装置11aでは、切断された通信で使用していた電子証明書を失効した電子証明書のリスト(CRL:Certificate Revocation List)に加え、ネットワーク1内のサーバ装置12a、12b及び隣接するネットワークのゲートウエイ装置に送信する(S74)。
In FIG. 16, when the client terminal 5 being connected to the
In the
サーバ装置12a、12b及び隣接するネットワークでは、CRLを受信すると、CRLを登録する(S75)。
このようにして、ユーザは、IPsecによるリモートアクセスにおいても、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワークシステム1内のサーバ装置12a、12bへ、認証処理(ユーザによるユーザ識別子、パスワードの入力など)無しにサービスの提供を受けることができる。
また、Xauthプロトコルのシーケンス内でチケットのやり取りを行っているので、特別なチケットをやり取りする手順を追加する必要がなく、本実施形態の方式を用いないクライアント端末とも接続することができる。
When the
In this way, even in remote access by IPsec, the user can perform authentication processing (such as input of a user identifier and password by the user) to the
Further, since tickets are exchanged within the sequence of the Xauth protocol, it is not necessary to add a special procedure for exchanging tickets, and it is possible to connect to a client terminal that does not use the method of this embodiment.
次に、ネットワークシステム1でのユーザ認証を行ったユーザが、アドレス体系の異なる別のネットワークシステム2にネットワークシステム1を介してアクセスする場合を説明する。
図17は、クライアント端末5がネットワーク1を介してネットワーク2のゲートウエイ装置11cへIPsecによるリモートアクセスで接続する場合のシーケンス図である。
図17に示すように、ネットワークシステム1でユーザ認証を済ませたクライアント端末5が、ゲートウエイ装置11cにIPsecによる暗号化通信で接続しようとするとき、IKEプロトコルに従いゲートウエイ装置11cとの間でフェーズ1の処理を行い、フェーズ2で使用する暗号化方式の決定や暗号鍵の生成を行う(S81)。このフェーズ1の処理において、ネットワーク1で発行された証明書を用いて認証を行ってもよい。
Next, a case where a user who has performed user authentication in the network system 1 accesses another network system 2 having a different address system via the network system 1 will be described.
FIG. 17 is a sequence diagram when the client terminal 5 is connected to the
As shown in FIG. 17, when the client terminal 5 that has completed user authentication in the network system 1 tries to connect to the
フェーズ1の処理が終了すると、ゲートウエイ装置11cのアクセス制御部112は、Xauthプロトコルに従い、クライアント端末5にユーザ名とパスワードを要求する(S82)。
クライアント端末5は、ゲートウエイ装置11cからの要求に対しユーザ名”Joe@client”とパスワードとしてネットワーク1で取得した電子証明書をBASE64などでテキストデータに変更して(BASE64CERT)を送信する(S83)。ここで、ユーザ名の”@client”は、本実施形態の方式によりチケットの取得を要求することを示すものである。
When the phase 1 processing is completed, the
In response to the request from the
ゲートウエイ装置11cのアクセス制御部112は、ネットワーク1を介したアクセスでユーザ名に”@client”が付いた応答を受信すると、パスワードに電子証明書が入っていると判断し、受信したテキストデータの電子証明書を復号し、復号した電子証明書を検証し、アドレスや有効期限が正しいかも検証する。
電子証明書の検証が正常であれば、アクセス制御部112は、クライアント端末5に公開鍵を要求する(S84)。
クライアント端末5は、ゲートウエイ装置11cから公開鍵を要求されると、予め記憶している公開鍵を、あるいは生成した企開鍵を、ゲートウエイ装置11cに返送する(S85)。
When the
If the verification of the electronic certificate is normal, the
When the client terminal 5 is requested for the public key from the
ゲートウエイ装置11cのアクセス制御部112は、クライアント端末5から公開鍵を受信すると、上述の第1実施形態と同様に、ユーザ識別子とアドレスを割り当て、割り当てたユーザ識別子とアドレスと受信した電子証明書に設定された公開鍵などをチケット生成部114に送信してX.509の電子証明書の生成を依頼する。なお、ユーザ識別子は、予めユーザ対応に登録していたものを使用したり、ユーザ名や受信した証明書内のユーザ識別子を利用したりしてもよい。
チケット生成部114は、受信した情報を元に、証明書の有効期限やアドレスやユーザ識別子や公開鍵などを設定した電子証明書を生成し、生成した電子証明書をアクセス制御部112に送信する。
When receiving the public key from the client terminal 5, the
The
アクセス制御部112は、チケット生成部114で生成された電子証明書をBASE64などでテキストデータに変更した(BASE64CERT2)をクライアント端末5に送信する(S86)。電子証明書を受信したクライアント端末5は、受信したテキストデータの電子証明書を復号し、復号した電子証明書を確認して保存し、応答を返す(S87)。
クライアント端末5からの応答を受信すると、アクセス制御部112は、「認証正常」をクライアント端末5に送信する(S88)。
「認証正常」を受信したクライアント端末5は、応答をゲートウエイ装置11cに返す(S89)。
The
When receiving the response from the client terminal 5, the
The client terminal 5 that has received “authentication normal” returns a response to the
その後、Mode Configにより、クライアント端末5にアドレスの付与を行う(S90)が、このとき、ゲートウエイ装置11cのアクセス制御部は、電子証明書に設定したアドレスを付与するようにする。
クライアント端末5は、付与されたアドレスをネットワーク2にアクセスするときのアドレスとして登録する。
その後、IKEプロトコルのフェーズ2の処理により、IPsecで使用する暗号化方式や暗号鍵などを決める(S91)。
Thereafter, an address is assigned to the client terminal 5 by Mode Config (S90). At this time, the access control unit of the
The client terminal 5 registers the assigned address as an address when accessing the network 2.
Thereafter, the encryption method and encryption key used in IPsec are determined by the processing of phase 2 of the IKE protocol (S91).
フェーズ2の処理が終了すると、クライアント端末5は、電子証明書の登録を行う(S92)。
このようにして確立したIPsecによる暗号通信により、クライアント端末5は、電子証明書によるSSLアクセスで、サーバ装置12cにアクセスを行う(S93)。
サーバ装置12cでは、受信した電子証明書を検証し、アドレスや有効期限が正しければ、クライアント端末5にサービスを提供する。
図18は、このようにして確立したネットワーク1を介したIPsecによる暗号通信が切断されたときのシーケンスを示す図である。
When the processing in phase 2 is completed, the client terminal 5 registers an electronic certificate (S92).
The client terminal 5 accesses the
The
FIG. 18 is a diagram showing a sequence when the encrypted communication by IPsec via the network 1 thus established is disconnected.
図18において、SSLによりサーバ装置12cに接続中(S101)のクライアント端未5が、通信を終了し、ゲートウエイ装置11cとのIPsecによる接続を切断する(S102)と、クライアント端末5では、ネットワークシステム2にアクセス時に生成した公開鍵を削除するとともに、登録したネットワークシステム2の電子証明書を削除する(S103)。
ゲートウエイ装置11cでは、切断された通信で使用していた電子証明書を失効した電子証明書のリスト(CRL:Certificate Revocation List)に加え、ネットワーク2内のサーバ装置12c、12d及び隣接するネットワークのゲートウエイ装置に送信する(S104)。
In FIG. 18, when the client terminal 5 that is currently connected to the
In the
サーバ装置12c、12d及び隣接するネットワークでは、CRLを受信すると、CRLを登録する(S105)。
このよう.にして、ユーザは、IPsecによるリモートアクセスにおいても、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワーク1内のサーバ装置12a、12bだけでなく、ネットワーク2内のサーバ装置12c、12dへも、認証処理(ユーザによるユーザ識別子、パスワードの入力など)無しにサービスの提供を受けることができる。
When the
like this. Thus, even in remote access by IPsec, the user is authenticated not only to the
また、Xauthプロトコルのシーケンス内でチケットのやり取りを行っているので、特別なチケットをやり取りする手順を追加する必要がなく、本実施形態の方式を用いないクライアント端末とも接続することができる。
なお、本実施形態においては、ユーザによるサーバ装置へのアクセス要求で自動的にゲートウエイ装置にアクセス要求を行い、その後サーバ装置ヘアクセスする場合を説明したが、ユーザの操作によりゲートウエイ装置にアクセス要求し、アクセスが許可された後、ユーザの操作によりサーバ装置ヘアクセスする場合も、同様に処理される。
Further, since tickets are exchanged within the sequence of the Xauth protocol, it is not necessary to add a special procedure for exchanging tickets, and it is possible to connect to a client terminal that does not use the method of this embodiment.
In the present embodiment, a case has been described in which an access request is automatically made to the gateway device by a user access request to the server device, and then the server device is accessed, but an access request is made to the gateway device by a user operation. The same processing is performed when the server device is accessed by a user operation after the access is permitted.
また、本実施形態においては、CRLをゲートウエイ装置がサーバ装置及び他のネットワークシステムのゲートウエイ装置に送信するようにしたが、ゲートウエイ装置側でCRLを登録し、OCSP(Online Certificate Status Protocol)等のオンラインでの証明書の検証を行うプロトコルにも対応するように、サーバ装置または他のネットワークシステムのゲートウエイ装置からのオンライン参照に対応するようにしてもよい。
また、本実施の形態のように、ゲートウエイ装置がCRLをサーバ装置及び他のネットワークシステムのゲートウエイ装置に送信するとともに、上述するように、ゲートウエイ装置がCRLを登録し、OCSPに対応するように、サーバ装置または他のネットワークシステムのゲートウエイ装置からのオンライン参照に対応するようにしてもよい。
In this embodiment, the gateway device transmits the CRL to the server device and the gateway device of another network system. However, the CRL is registered on the gateway device side and online such as OCSP (Online Certificate Status Protocol). It is also possible to support online reference from a server device or a gateway device of another network system so as to correspond to a protocol for verifying a certificate in the network.
Further, as in this embodiment, the gateway device transmits the CRL to the server device and the gateway device of the other network system, and as described above, the gateway device registers the CRL and corresponds to the OCSP. You may make it respond | correspond to the online reference from the gateway apparatus of a server apparatus or another network system.
Claims (11)
ネットワークに接続されたクライアント端末から送信されるユーザ識別情報によりデ
ータベース部に登録されているユーザ情報を検索してユーザ認証する認証処理部と、
前記ユーザ認証が正常な場合に、前記ネットワーク内で唯一のユーザ識別子を割り当て
ると共に空きアドレスを払い出し、前記ユーザ識別子と前記アドレスとを関連付けて記録
し、チケット生成部で生成したチケットを前記クライアント端末に送信するアクセス制御
部と、
前記ユーザ識別子と前記アドレスとを入力として、ハッシュ関数と前記ネットワークに
固有の共有秘密鍵、又は公開鍵ペアを用いて暗号処理して認証子を生成し、前記ユーザ識
別子と前記アドレスに前記認証子を加えた前記チケットを生成するチケット生成部と、
を有することを特徴とするクライアント端末間のゲートウエイ装置。 A gateway device of a network to which a client terminal is directly connected,
An authentication processing unit for performing user authentication by searching user information registered in the database unit by user identification information transmitted from a client terminal connected to the network;
When the user authentication is normal, a unique user identifier is allocated in the network and a free address is issued, the user identifier and the address are recorded in association with each other, and the ticket generated by the ticket generation unit is stored in the client terminal. An access control unit to transmit;
Using the user identifier and the address as input, a cryptographic function is generated using a hash function and a shared secret key unique to the network or a public key pair to generate an authenticator, and the authenticator is added to the user identifier and the address. A ticket generation unit for generating the ticket to which
A gateway device between client terminals.
アクセス要求が出力されたクライアント端末のアドレスと前記クライアント端末が接続
されるクライアント端末間のゲートウエイ装置にて生成されたチケットのアドレスとの一
致を検証し、前記チケットの認証子を前記クライアント端末が接続された一方のネットワ
ークと共有する共有秘密鍵とハッシュ関数を用いて検証する検証処理部と、
前記検証が正常な場合に、自身のネットワーク内で唯一のユーザ識別子を割り当てると
共に空きアドレスを払い出し、前記ユーザ識別子と前記アドレスとを関連付けて記録し、
チケット生成部で生成したチケットを前記クライアント端末に送信するアクセス制御部と、
前記ユーザ識別子と前記アドレスとを入力として、ハッシュ関数と自身のネットワーク
に固有の共有秘密鍵、又は公開鍵ペアを用いて暗号処理して認証子を生成し、前記ユーザ
識別子と前記アドレスに前記認証子を加えた前記チケットを生成するチケット生成部と、
を有することを特徴とするネットワーク間のゲートウエイ装置。 A gateway device for connecting two networks having different address systems,
The client terminal verifies the match between the address of the client terminal to which the access request is output and the address of the ticket generated in the gateway device between the client terminals to which the client terminal is connected, and the client terminal connects the authenticator of the ticket A verification processing unit that verifies using a shared secret key and a hash function shared with one of the networks
If the verification is normal, assign a unique user identifier in its own network and issue a free address, record the user identifier and the address in association with each other,
An access control unit that transmits the ticket generated by the ticket generation unit to the client terminal;
Using the user identifier and the address as input, a cryptographic function is generated using a hash function and a shared secret key or public key pair unique to the network, and an authenticator is generated, and the authentication is performed on the user identifier and the address. A ticket generation unit for generating the ticket with the child added thereto;
A gateway device between networks characterized by comprising:
前記ゲートウエイ装置に送信したユーザ認証情報が正常な場合に前記ゲートウエイ装置
が生成するユーザ識別子とネットワークで唯一のアドレスをハッシュ関数と前記ネットワ
ークに固有の共有秘密鍵、又は公開鍵ペアを用いて暗号処理した認証子を、前記ユーザ識
別子と前記アドレスとに付加したチケットを入力とし、
前記チケットに含まれる前記アドレスをサービス要求する際の自身のアドレスとして登録して、チケットを含んだサービス要求を送信することを特徴とするクライアント端末。 A client terminal connected to a gateway device,
When the user authentication information transmitted to the gateway device is normal, the user identifier generated by the gateway device and a unique address in the network are encrypted using a hash function and a shared secret key or public key pair unique to the network As an input, a ticket obtained by adding the authenticator to the user identifier and the address,
A client terminal, wherein the address included in the ticket is registered as its own address when a service request is made, and a service request including the ticket is transmitted.
前記クライアント端末から送られるユーザ認証情報によりユーザ認証を行い、前記ユー
ザ認証が正常なユーザに対しては自身のネットワーク内で唯一のユーザ識別子を割り当て
ると共に空きアドレスを前記アドレスとして払い出し、前記ユーザ識別子と前記アドレス
をハッシュ関数と自身のネットワークに固有の共有秘密鍵、又は公開鍵ペアを用いて暗号
処理して認証子を生成し、前記ユーザ識別子と前記アドレスに前記認証子を加えたチケッ
トを、前記クライアント端末に送信するクライアント端末間のゲートウエイ装置と、
前記チケット及び前記アドレスを前記自身のネットワークの秘密鍵または公開鍵で検証
し、検証が正常なユーザに対してアクセスを許可するサーバ装置と、
を備えることを特徴とするネットワークシステム。 A client terminal that registers the address contained in the ticket as the address of its own terminal;
User authentication is performed based on user authentication information sent from the client terminal, and a user having a normal user authentication is assigned a unique user identifier in its own network, and a free address is issued as the address. The address is cryptographically processed using a hash function and a shared secret key unique to the network, or a public key pair to generate an authenticator, and a ticket obtained by adding the authenticator to the user identifier and the address, A gateway device between client terminals for transmission to the client terminal;
A server device that verifies the ticket and the address with a secret key or a public key of the own network, and permits access to a user whose verification is normal;
A network system comprising:
うことを特徴とする請求項9に記載のネットワークシステム。 The network system according to claim 9, wherein the gateway device performs processing in response to a remote access request using IPsec.
項9に記載のネットワークシステム。 The network system according to claim 9, wherein the ticket includes a time stamp and an expiration date.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004166173A JP4332071B2 (en) | 2004-06-03 | 2004-06-03 | Client terminal, gateway device, and network system including these |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004166173A JP4332071B2 (en) | 2004-06-03 | 2004-06-03 | Client terminal, gateway device, and network system including these |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005348164A JP2005348164A (en) | 2005-12-15 |
| JP4332071B2 true JP4332071B2 (en) | 2009-09-16 |
Family
ID=35500107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004166173A Expired - Fee Related JP4332071B2 (en) | 2004-06-03 | 2004-06-03 | Client terminal, gateway device, and network system including these |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4332071B2 (en) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4992378B2 (en) * | 2006-10-19 | 2012-08-08 | 富士通株式会社 | Portable terminal device, gateway device, program, and system |
| JP4823015B2 (en) * | 2006-10-26 | 2011-11-24 | 富士通株式会社 | Remote control program, portable terminal device and gateway device |
| JP2008191727A (en) * | 2007-01-31 | 2008-08-21 | Dreamboat Co Ltd | Data transmission apparatus, data reception apparatus, authentication method, reception method and program |
| US8881253B2 (en) * | 2007-03-28 | 2014-11-04 | Symantec Corporation | Method and apparatus for accepting a digital identity of a user based on transitive trust among parties |
| JP5023804B2 (en) * | 2007-05-16 | 2012-09-12 | コニカミノルタホールディングス株式会社 | Authentication method and authentication system |
| WO2009004687A1 (en) * | 2007-06-29 | 2009-01-08 | Fujitsu Limited | Authentication device and connection management device |
| JP2011175591A (en) * | 2010-02-25 | 2011-09-08 | Kddi R & D Laboratories Inc | Network authentication system, network authentication method, and program |
| JP2011175590A (en) * | 2010-02-25 | 2011-09-08 | Kddi R & D Laboratories Inc | Network authentication system, network authentication method, and program |
| JP5206720B2 (en) * | 2010-03-29 | 2013-06-12 | ブラザー工業株式会社 | VPN router, communication system and communication program |
| CN102595409B (en) * | 2012-03-21 | 2015-03-25 | 华为技术有限公司 | Method, equipment and system for acquiring encryption information based on wireless access |
| US9544145B2 (en) | 2012-10-29 | 2017-01-10 | Mitsubishi Electric Corporation | Device, method, and medium for facility management verification |
| JP6179434B2 (en) * | 2014-03-20 | 2017-08-16 | 富士ゼロックス株式会社 | Information processing apparatus, information processing system, and information processing program |
| JP6053205B2 (en) * | 2015-02-25 | 2016-12-27 | 日本電信電話株式会社 | Information distribution system, method and processing program |
| JP6163222B1 (en) * | 2016-03-18 | 2017-07-12 | ヤフー株式会社 | Transfer device, transfer method, transfer program, content request processing device, content request processing method, content request processing program, and access processing system |
| CN112383557B (en) * | 2020-11-17 | 2023-06-20 | 北京明朝万达科技股份有限公司 | Safety access gateway and industrial equipment communication management method |
-
2004
- 2004-06-03 JP JP2004166173A patent/JP4332071B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005348164A (en) | 2005-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10567370B2 (en) | Certificate authority | |
| US8824674B2 (en) | Information distribution system and program for the same | |
| JP4632315B2 (en) | Method and system for single sign-on operation providing grid access and network access | |
| JP4617763B2 (en) | Device authentication system, device authentication server, terminal device, device authentication method, and device authentication program | |
| JP4304362B2 (en) | PKI-compliant certificate confirmation processing method and apparatus, and PKI-compliant certificate confirmation processing program | |
| WO2010067812A1 (en) | Self-authentication communication equipment and equipment authentication system | |
| US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| JP5602165B2 (en) | Method and apparatus for protecting network communications | |
| JP4332071B2 (en) | Client terminal, gateway device, and network system including these | |
| KR101452708B1 (en) | CE device management server, method for issuing DRM key using CE device management server, and computer readable medium | |
| JP6667371B2 (en) | Communication system, communication device, communication method, and program | |
| US20220116230A1 (en) | Method for securely providing a personalized electronic identity on a terminal | |
| US7451307B2 (en) | Communication apparatus, communication system, communication apparatus control method and implementation program thereof | |
| JP6571890B1 (en) | Electronic signature system, certificate issuing system, certificate issuing method and program | |
| JP2001186122A (en) | Authentication system and authentication method | |
| WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| JP6465426B1 (en) | Electronic signature system, certificate issuing system, key management system, and electronic certificate issuing method | |
| JP7021376B2 (en) | Communication equipment, communication methods, and computer programs | |
| JP2021040278A (en) | Key management system, signing device, method for managing key, and program | |
| JP5202646B2 (en) | Self-authenticating communication device and device authentication system | |
| JP2008109569A (en) | Relay apparatus, communication system, relay method, and program | |
| WO2020017643A1 (en) | Electronic signature system, certificate issuance system, key management system, certificate issuance method, and program | |
| JP6495157B2 (en) | Communication system and communication method | |
| JP2005318399A (en) | Data communication control system, communication management server, and communication control server | |
| JP2017041179A (en) | Management apparatus, information processing apparatus, information distribution system, information distribution method, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060711 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20060711 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080507 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080513 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080710 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090203 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090213 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090609 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090619 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120626 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130626 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140626 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |