JP2006352223A - Network connection system - Google Patents

Network connection system Download PDF

Info

Publication number
JP2006352223A
JP2006352223A JP2005172118A JP2005172118A JP2006352223A JP 2006352223 A JP2006352223 A JP 2006352223A JP 2005172118 A JP2005172118 A JP 2005172118A JP 2005172118 A JP2005172118 A JP 2005172118A JP 2006352223 A JP2006352223 A JP 2006352223A
Authority
JP
Japan
Prior art keywords
authentication
communication device
user
authentication infrastructure
router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005172118A
Other languages
Japanese (ja)
Other versions
JP4109273B2 (en
Inventor
Takaaki Takeuchi
敬亮 竹内
Takeshi Akutsu
毅 圷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005172118A priority Critical patent/JP4109273B2/en
Publication of JP2006352223A publication Critical patent/JP2006352223A/en
Application granted granted Critical
Publication of JP4109273B2 publication Critical patent/JP4109273B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To obtain a network connection system in which the user of a terminal connected with a LAN can utilize an authentication base on the Internet without altering the terminal, and the users can be authenticated individually at the authentication base or the connection end. <P>SOLUTION: As a user succeeds in internal authentication when a terminal is connected with an LAN, authentication at an authentication base is performed by proxy. If authentication is successful, identification information of the terminal and identification information of the user at the authentication base are held while being corresponded. When an outward data packet is received from the interior of the LAN, corresponding user identification information is acquired from a source terminal and connection request to a correspondent node is performed by proxy. After connection is permitted, the data packet is forwarded to a destination. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、ネットワーク接続システム、ネットワーク装置およびプログラムに関し、特に利用者の認証を行う機能を有するネットワークに対して、複数の端末機器を接続するためのシステム、装置およびプログラムに関する。   The present invention relates to a network connection system, a network device, and a program, and more particularly, to a system, device, and program for connecting a plurality of terminal devices to a network having a function of authenticating a user.

近年、ネットワークにおける情報漏洩やコンピュータへの不正なアクセスなど、情報セキュリティに対する脅威が大きな問題となっている。これらの脅威に対し、従来では利用者自身が対策を行ってきたが、脅威の種類が増加し、また対策に高度な技術が求められるようになり、利用者自身による十分な対策は困難になりつつある。   In recent years, threats to information security, such as information leakage in networks and unauthorized access to computers, have become major problems. Conventionally, users have taken countermeasures against these threats, but the types of threats have increased, and advanced techniques have been required for countermeasures, making it difficult for users to take sufficient countermeasures. It's getting on.

これに対し、誰もが安全な通信を行うことができるよう、非特許文献1のような、ネットワークが安全な通信の確立を代行する機能を有する技術の開発が進められている。この技術は、ネットワーク上の認証基盤が、通信を行う二者を認証して各々の本人性を確認し、かつ各々の属性が相手の通信を許可する条件を満たしていると判断される場合にのみ、両者の通信を確立する、というものである。   On the other hand, the development of a technology having a function of a network acting as a proxy for establishing secure communication, such as Non-Patent Document 1, is being promoted so that anyone can perform secure communication. This technology is used when the authentication infrastructure on the network authenticates the two parties that communicate with each other, confirms their identity, and determines that each attribute satisfies the conditions for permitting communication with the other party. Only to establish communication between them.

ところで、上記の認証基盤を利用するためのクライアント機能(以下、認証基盤クライアント機能)を個別の端末が具備する場合、認証基盤クライアント機能を有するプログラムを端末に導入する作業、および利用者が所望のアプリケーションプログラムを用いて認証が必要なサービスを利用するときに認証基盤クライアント機能が正しく動作することを検証する作業が必要になる。   By the way, when an individual terminal has a client function for using the above authentication infrastructure (hereinafter referred to as an authentication infrastructure client function), an operation for introducing a program having the authentication infrastructure client function into the terminal and a user desired When using a service that requires authentication using an application program, it is necessary to verify that the authentication infrastructure client function operates correctly.

一方、LAN (Local Area Network)が利用できる環境であれば、LAN内部のコンピュータをインターネットに接続するためのゲートウェイ装置やルータ装置が、認証基盤クライアント機能を具備する方法も考えられる。例えば、家庭で用いられている既存のルータ装置は、インターネットに宛てて送信されたパケットを捕捉し、これを契機としてISP(Internet Service Provider)からインターネットへの接続の許可を得るための認証を、利用者に代わって受ける機能を有する。これらの既存の装置では、認証のための通信プロトコルとしてPPP (Point-to-Point Protocol)を、また認証情報として装置内に設定された利用者の識別情報およびパスワードを用いているが、これらを認証基盤に準拠した通信プロトコルおよび認証情報に変更すれば、認証基盤クライアント機能を実現することができる。   On the other hand, in an environment where a LAN (Local Area Network) can be used, a method in which a gateway device or router device for connecting a computer in the LAN to the Internet has an authentication infrastructure client function is also conceivable. For example, an existing router device used in a home captures a packet transmitted to the Internet, and uses this as an opportunity to perform authentication for obtaining permission to connect to the Internet from an ISP (Internet Service Provider) Has the function to receive on behalf of the user. In these existing devices, PPP (Point-to-Point Protocol) is used as a communication protocol for authentication, and user identification information and a password set in the device are used as authentication information. If the communication protocol and authentication information conform to the authentication infrastructure are changed, the authentication infrastructure client function can be realized.

この方式を用いれば、認証基盤クライアント機能の導入や動作検証に関わる作業が不要となり、端末装置に変更を加えることなく、認証基盤を利用することが可能になる。
また、特許文献1および特許文献2には、シングルサインオンシステムが開示されている。 If this method is used, the work related to the introduction of the authentication infrastructure client function and the operation verification becomes unnecessary, and the authentication infrastructure can be used without changing the terminal device.
Patent Documents 1 and 2 disclose a single sign-on system.

特開2000−259566号公報Japanese Patent Laid-Open No. 2000-259566 特開2005−011098号公報JP 2005-011098 A 鍛、外4名、”セキュアサービスプラットフォームにおけるセキュア通信確立モデル”情報処理学会研究報告、2005-CSEC-28、Vol.2005、No.33 PP151〜156Forging, 4 others, "Secure communication platform establishment model in secure service platform" Information Processing Society of Japan Research Report, 2005-CSEC-28, Vol.2005, No.33 PP151-156

しかし、ルータ装置などが認証基盤クライアント機能を具備するシステムでは、認証基盤はルータ装置を認証することになり、ルータ装置の配下にあるアクセス元の個々の利用者を認証することができない。このことを悪用すると、ルータ装置の配下にあるLANに許可なく接続し、ルータ装置を介して認証基盤による認証を受けることが可能になり、情報セキュリティの観点からは大きな問題となる。   However, in a system in which a router device or the like has an authentication infrastructure client function, the authentication infrastructure authenticates the router device and cannot authenticate individual users of access sources under the router device. If this is abused, it becomes possible to connect to the LAN under the router device without permission and to be authenticated by the authentication infrastructure via the router device, which is a big problem from the viewpoint of information security.

これに対し、アプリケーションレベルゲートウェイ(ALG)と呼ばれる装置を用いれば、配下の利用者の内部認証を行った上で、インターネットに接続し、認証基盤による認証を受けることが可能になる。特許文献1または特許文献2にて開示されているシングルサインオンシステムも、本方式を利用して実現している。   On the other hand, if a device called an application level gateway (ALG) is used, it is possible to connect to the Internet and receive authentication based on an authentication infrastructure after performing internal authentication of subordinate users. The single sign-on system disclosed in Patent Document 1 or Patent Document 2 is also realized using this method.

しかし、ALGは特定のアプリケーションのパケットのみを一旦捕捉して外部のアプリケーションサーバ装置に転送するため、利用者が用いるアプリケーションの数だけALGを用意する必要がある。また、ALGが対応していないアプリケーションを利用して外部と通信を行う際には、利用者の内部認証を行うことができない。   However, since ALG captures only a packet of a specific application and transfers it to an external application server device, it is necessary to prepare ALGs for the number of applications used by the user. Further, when communicating with the outside using an application not supported by ALG, internal authentication of the user cannot be performed.

ある利用者が端末をLANに接続した際のLAN内部での認証に成功したことを通知する内部認証パケットの受信を契機として、内部認証パケットに含まれる利用者の識別情報を基に、利用者が認証基盤に対して提示する認証情報を取得することにより、利用者が認証基盤による認証を受けるためのメッセージを、利用者の代理で認証基盤に送信し、認証基盤による認証に成功した場合に限り、内部認証パケットを受信した際に得られる、利用者が利用している端末機器の識別情報と、利用者が認証基盤に対して用いる利用者識別情報とを、対応付けて保持する。   Based on the identification information of the user included in the internal authentication packet, triggered by the reception of the internal authentication packet notifying that the internal authentication was successful when a user connected the terminal to the LAN. When the authentication information presented to the authentication infrastructure is acquired, a message is sent to the authentication infrastructure on behalf of the user, and the user is authenticated by the authentication infrastructure. As long as the internal authentication packet is received, identification information of the terminal device used by the user and user identification information used by the user for the authentication infrastructure are stored in association with each other.

LAN内部の端末機器から外部の端末機器に向けて送信されるデータパケットの受信を契機として、データパケットを受信した際に得られる端末機器の識別情報から、認証基盤による認証に成功した際に対応付けられた利用者識別情報を取得することにより、利用者から通信相手への接続要求を、利用者の代理で認証基盤に送信し、接続が許可された後に、データパケットを宛先に転送する。   Corresponding to the successful authentication using the authentication infrastructure from the identification information of the terminal device obtained when receiving the data packet triggered by the reception of the data packet transmitted from the terminal device inside the LAN to the external terminal device By acquiring the attached user identification information, a connection request from the user to the communication partner is transmitted to the authentication infrastructure on behalf of the user, and after the connection is permitted, the data packet is transferred to the destination.

また、外部の端末機器からLAN内部の端末機器に向けた接続要求パケットの受信を契機として、接続要求パケットの宛先に指定された利用者識別情報が、認証基盤による認証に成功して端末機器の識別情報と対応付けた形で保持されているか否かを確認し、利用者識別情報が保持されている場合には、接続要求パケットの送信元に対して、接続を許可するパケットを、LAN内部の端末機器の代理で送信する。一方、利用者識別情報が保持されていない場合には、接続要求パケットの送信元に対して、接続を拒否するパケットを、LAN内部の端末機器の代理で送信する。   In addition, when the connection request packet is received from the external terminal device to the terminal device inside the LAN, the user identification information specified as the destination of the connection request packet is successfully authenticated by the authentication infrastructure, and the terminal device It is confirmed whether or not it is held in a form associated with the identification information. If the user identification information is held, a packet for permitting connection to the connection request packet transmission source Send on behalf of the terminal device. On the other hand, if the user identification information is not held, a packet rejecting the connection is transmitted to the transmission source of the connection request packet on behalf of the terminal device in the LAN.

本発明によれば、利用者は、既存の端末がLAN内部での認証を受ける機能を有していれば、それに変更を加えることなく、またアプリケーションの種類に依存せずに認証基盤を利用することができる。また、認証基盤または接続先は、ルータ装置の配下にある利用者を個別に認証することが可能になる。   According to the present invention, if an existing terminal has a function of receiving authentication within the LAN, the user uses the authentication infrastructure without making any changes to the terminal and without depending on the type of application. be able to. Further, the authentication infrastructure or connection destination can individually authenticate users under the router device.

以下、本発明の実施の形態について実施例を用いて図面を参照して説明する。
(実施例1)
図1は実施例1のシステム構成を示すブロック図である。図1において、ネットワーク1は、不特定多数の利用者が利用することができる通信網である。ネットワーク1には、通信機器としてルータ2a、端末7およびアプリケーションサーバ6が接続されている。また、ネットワーク1には、ネットワーク1の利用者の認証を行う認証基盤5が接続されている。ルータ2aには、端末3および内部認証サーバ4aが接続され、これらの機器によって特定の利用者のみに利用を許可するLAN10aを構成している。内部認証サーバ4aは、ID・パスワードデータベース40を保持している。 Hereinafter, embodiments of the present invention will be described with reference to the drawings using examples.
Example 1
FIG. 1 is a block diagram illustrating a system configuration of the first embodiment. In FIG. 1, a network 1 is a communication network that can be used by an unspecified number of users. A router 2a, a terminal 7, and an application server 6 are connected to the network 1 as communication devices. The network 1 is connected to an authentication infrastructure 5 for authenticating the user of the network 1. A terminal 3 and an internal authentication server 4a are connected to the router 2a, and these devices constitute a LAN 10a that permits use only by a specific user. The internal authentication server 4 a holds an ID / password database 40.

図2はルータの制御ブロック図である。図2において、ルータ2aは、LANポート20、WANポート21、ポート制御部22、IP処理部23、認証基盤クライアント部24a、ログイン済みユーザデータベース25a、公開鍵暗号処理部26a、ユーザIDデータベース27aにより構成される。   FIG. 2 is a control block diagram of the router. In FIG. 2, the router 2a includes a LAN port 20, a WAN port 21, a port control unit 22, an IP processing unit 23, an authentication infrastructure client unit 24a, a logged-in user database 25a, a public key encryption processing unit 26a, and a user ID database 27a. Composed.

LANポート20は、1個以上の物理インタフェースにより構成され、各々の物理インタフェースには端末等の通信機器を接続することができる。WANポート21は、物理インタフェースであり、ネットワーク1に接続されている。ポート制御部22は、LANポート20およびWANポート21から入力されたパケットをIP処理部23に転送し、IP処理部23からのパケットをLANポート20あるいはWANポート21に振り分けて送出する機能部分であり、パケットが入力されたLANポートの情報を取得する。   The LAN port 20 includes one or more physical interfaces, and communication devices such as terminals can be connected to each physical interface. The WAN port 21 is a physical interface and is connected to the network 1. The port control unit 22 is a functional part that transfers packets input from the LAN port 20 and the WAN port 21 to the IP processing unit 23, distributes the packets from the IP processing unit 23 to the LAN port 20 or the WAN port 21, and transmits them. Yes, information on the LAN port to which the packet is input is acquired.

IP処理部23は、CPU等の演算部、メモリ等の記憶部およびそれらの上で動作するソフトウェアにより構成され、ルーティング処理部230、データパケット暗号化・復号処理部231、セキュリティポリシーデータベース(SPD)232、セキュリティアソシエーションデータベース(SAD)233、パケット保持部234を有する。ルーティング処理部230は、LANポートまたはWANポートから受信したバケットの宛先のIPアドレスを参照し、当該パケットを次の転送先に送信する。データパケット暗号化・復号処理部231は、IPsec(Security Architecture for the Internet Protocol)に従って、LAN10aの端末から受信してネットワーク1に送信されるパケットの暗号化を行う。また、ネットワーク1から受信してLAN10aの端末に送信されるパケットの復号を行う。   The IP processing unit 23 includes an arithmetic unit such as a CPU, a storage unit such as a memory, and software that operates on the arithmetic unit, a routing processing unit 230, a data packet encryption / decryption processing unit 231, a security policy database (SPD). 232, a security association database (SAD) 233, and a packet holding unit 234. The routing processing unit 230 refers to the IP address of the bucket destination received from the LAN port or WAN port, and transmits the packet to the next transfer destination. The data packet encryption / decryption processing unit 231 encrypts a packet received from the terminal of the LAN 10a and transmitted to the network 1 according to IPsec (Security Architecture for the Internet Protocol). In addition, a packet received from the network 1 and transmitted to the terminal of the LAN 10a is decoded.

SPD232は、セキュリティポリシー、すなわち、IPパケットに対して、IPsecを適用、バイパス(IPsecを適用せずにパケットを転送)、またはパケット破棄のうち、どの処理を行うかを記述したデータベースである。SPD232では、パケットを分類するための情報として、パケットの始点IPアドレス、終点IPアドレス、トランスポート層プロトコル、送信元ポート番号および宛先ポート番号を用い、各々の分類に対して適用すべき処理が記載されている。   The SPD 232 is a database that describes which processing is to be performed among security policies, that is, applying, bypassing (forwarding packets without applying IPsec), or discarding packets to IP packets. The SPD 232 uses the packet start point IP address, end point IP address, transport layer protocol, source port number, and destination port number as information for classifying the packet, and describes the process to be applied to each class. Has been.

SAD233は、セキュリティアソシエーション(SA)と呼ばれる、2つの通信機器の間で設定されたIPsecによる通信に必要な一連のパラメータを記述したデータベースである。SAは、終点IPアドレス、セキュリティプロトコル、およびセキュリティパラメータインデックス(SPI)と呼ばれる識別番号によって一意に識別される。また、SAのパラメータとしては、カプセル化モード、暗号鍵、認証アルゴリズム、認証鍵、有効期間、などが挙げられる。   The SAD 233 is a database that describes a series of parameters required for IPsec communication set between two communication devices, called a security association (SA). The SA is uniquely identified by an identification number called an end point IP address, a security protocol, and a security parameter index (SPI). The SA parameters include an encapsulation mode, an encryption key, an authentication algorithm, an authentication key, a validity period, and the like.

パケット保持部234は、メモリ等の記憶部により構成され、受信したパケットを一時的に保持する。
認証基盤クライアント部24aは、CPU等の演算部、メモリ等の記憶部およびそれらの上で動作するソフトウェアにより構成され、認証基盤5に対してログインやログアウトを行うためのメッセージの生成、認証基盤5を介して通信相手に自身との接続を要求するメッセージの生成、および認証基盤5を介して通信相手から受信した自身への接続を要求するメッセージの解析とそれに対する応答メッセージの生成を行う。また、認証基盤クライアント部24aは、上記メッセージの生成や解析のため、ログイン済みユーザデータベース25a、公開鍵暗号処理部26aおよびユーザIDデータベース27aと通信を行う。 The packet holding unit 234 includes a storage unit such as a memory, and temporarily holds the received packet.
The authentication infrastructure client unit 24a includes a calculation unit such as a CPU, a storage unit such as a memory, and software that operates on them, and generates a message for logging in and logging out of the authentication infrastructure 5, and the authentication infrastructure 5 A message requesting a communication partner to connect to the communication partner via the communication partner, and a message requesting connection to the communication partner received from the communication partner via the authentication infrastructure 5 and a response message to the corresponding message are generated. The authentication infrastructure client unit 24a communicates with the logged-in user database 25a, the public key encryption processing unit 26a, and the user ID database 27a for the generation and analysis of the message.

ログイン済みユーザデータベース25aは、メモリ等の記憶部により構成され、認証基盤5に対するログインに成功したユーザが接続されているLANポート20の物理インタフェースの識別番号(以下、LANポート番号)と、認証基盤5において当該ユーザを一意に識別するために用いられるSIP−URIとの対照表250aと、対照表250aの読み出しや書き換えを行うソフトウェアにより構成されている。   The logged-in user database 25a is configured by a storage unit such as a memory, and the identification number (hereinafter, LAN port number) of the physical interface of the LAN port 20 to which the user who has successfully logged in to the authentication infrastructure 5 is connected. 5, the comparison table 250a with the SIP-URI used for uniquely identifying the user, and software for reading and rewriting the comparison table 250a.

図3はこの対照表の内容を説明する図である。図3において、対照表250aは、LANポート番号を記録する領域251aと、LAN10aの利用者が認証基盤5に対して使用するSIP−URIを記録する領域252と、認証基盤5へのログインの有効期限を記録する領域253を有する。   FIG. 3 is a diagram for explaining the contents of this comparison table. In FIG. 3, the comparison table 250 a includes an area 251 a for recording the LAN port number, an area 252 for recording an SIP-URI used by the user of the LAN 10 a for the authentication infrastructure 5, and the login validity to the authentication infrastructure 5. An area 253 for recording a time limit is provided.

図2に戻って、公開鍵暗号処理部26aは、公開鍵暗号方式による暗号化の演算処理を行う論理回路およびメモリにより構成され秘密鍵を用いて電子書名を生成する電子署名生成処理部260と、LANを使用する利用者の公開鍵証明書および公開鍵、秘密鍵の対を保持するためのメモリ等の記憶部により構成される公開鍵証明書・公開鍵・秘密鍵保管部261とを有する。   Returning to FIG. 2, the public key encryption processing unit 26 a includes an electronic signature generation processing unit 260 configured by a logic circuit and a memory that performs encryption calculation processing by a public key encryption method, and generates an electronic book name using a secret key. A public key certificate / public key / private key storage unit 261 configured by a storage unit such as a memory for holding a pair of public key certificate and public key / private key of a user who uses the LAN .

ユーザIDデータベース27aは、メモリ等の記憶部により構成され、LAN10aの内部で個々のユーザを一意に識別するために用いられる利用者識別情報と、認証基盤5において個々のユーザを一意に識別するために用いられるSIP−URIとの対照表270と、対照表270の読み出しや書き換えを行うソフトウェアにより構成されている。   The user ID database 27a is configured by a storage unit such as a memory, and is used for uniquely identifying individual users in the authentication infrastructure 5 and user identification information used for uniquely identifying individual users within the LAN 10a. The comparison table 270 with the SIP-URI used in the above and software for reading and rewriting the comparison table 270.

図4はこの対照表を説明する図である。図4において、対照表270は、LAN10aの内部で使用される利用者識別情報を記録する領域271と、LAN10aの利用者が認証基盤5に対して使用するSIP−URIを記録する領域272を有する。   FIG. 4 is a diagram for explaining this comparison table. 4, the comparison table 270 has an area 271 for recording user identification information used inside the LAN 10a and an area 272 for recording an SIP-URI used by the user of the LAN 10a for the authentication infrastructure 5. .

図1に戻って、端末3は、CPU、メモリ、磁気ディスク装置および入出力装置を有する計算機であり、アプリケーションサーバ6または端末7と通信を行うためのアプリケーションソフトウェアが動作する。   Returning to FIG. 1, the terminal 3 is a computer having a CPU, a memory, a magnetic disk device, and an input / output device, and application software for communicating with the application server 6 or the terminal 7 operates.

内部認証サーバ4aは、CPU、メモリ、磁気ディスク装置およびインタフェースを有する計算機であり、各種ソフトウェアが動作することによって、ID・パスワードデータベース40を構成している。   The internal authentication server 4a is a computer having a CPU, a memory, a magnetic disk device, and an interface, and constitutes an ID / password database 40 by operating various software.

ID・パスワードデータベース40は、LAN10aで用いられる利用者識別情報と、各々の利用者が本人に相違ないことを確認するためのパスワードの対照表400(図1には図示せず)と、対照表400の情報の読み出しや書き換えを行うソフトウェアにより構成されている。   The ID / password database 40 includes user identification information used in the LAN 10a, a password comparison table 400 (not shown in FIG. 1) for confirming that each user is the same as the user, and a comparison table. It is configured by software that reads and rewrites 400 information.

図5はこの対照表の内容を説明する図である。図5において、対照表400は、LAN10aで用いられる利用者識別情報を記録する領域401と、パスワードを記録する領域402とを有し、領域402の内容は、他人に知られることを防止するために、暗号化されている。   FIG. 5 is a diagram for explaining the contents of this comparison table. In FIG. 5, the comparison table 400 includes an area 401 for recording user identification information used in the LAN 10a and an area 402 for recording a password. The contents of the area 402 are prevented from being known to others. It is encrypted.

再び図1に戻って、認証基盤5は、ネットワーク1に接続され、1台以上の計算機によって構成されている。認証基盤5の詳細な機能については後述する。
アプリケーションサーバ6は、CPU,メモリ、磁気ディスクおよび入出力装置からなる計算機であり、各種ソフトウェアが動作することにより、認証基盤5に対してログインおよびログアウトを行うためのメッセージの生成、認証基盤5を介して通信相手に自身との接続を要求するメッセージの生成および認証基盤5を介して通信相手から受信した自身への接続を要求するメッセージの解析とそれに対する応答メッセージの生成を行う認証基盤クライアントの機能を実現している。また、認証基盤5の利用者に対してサービスを提供するためのアプリケーションソフトウェアが動作する。 Returning to FIG. 1 again, the authentication infrastructure 5 is connected to the network 1 and is composed of one or more computers. Detailed functions of the authentication infrastructure 5 will be described later.
The application server 6 is a computer including a CPU, a memory, a magnetic disk, and an input / output device. When various types of software operate, the application server 6 generates messages for logging in and out of the authentication infrastructure 5, and the authentication infrastructure 5 Of an authentication infrastructure client that generates a message for requesting connection to the communication partner via the communication partner, analyzes a message for requesting connection to the communication partner via the authentication infrastructure 5, and generates a response message for the message. The function is realized. In addition, application software for providing a service to the user of the authentication infrastructure 5 operates.

端末7は、CPU,メモリ、磁気ディスクおよび入出力装置からなる計算機であり、各種ソフトウェアが動作することにより、アプリケーションサーバ6と同様の認証基盤クライアントの機能を実現している。また、端末3と通信を行うためのアプリケーションソフトウェアが動作する。   The terminal 7 is a computer including a CPU, a memory, a magnetic disk, and an input / output device, and realizes the same authentication infrastructure client function as the application server 6 by operating various software. In addition, application software for communicating with the terminal 3 operates.

LAN10aは、1台の端末は同時に1人の利用者しか利用できないこととし、また端末は集線装置を介さずに直接ルータ2aに接続し、かつ端末がルータ2aに接続されたときには必ず認証を受けるよう運用する。これにより、ルータ2aでは、パケットが入力されたLANポートから、そのパケットを送信した利用者を特定することができる。   The LAN 10a assumes that only one user can use one terminal at the same time, and the terminal is directly connected to the router 2a without going through the line concentrator, and is always authenticated when the terminal is connected to the router 2a. Operate like this. Thereby, in the router 2a, the user who transmitted the packet can be specified from the LAN port to which the packet is input.

ここで、認証基盤5を利用した通信の手順を、端末7がアプリケーションサーバ6に接続して通信を行う場合を例にとって説明する。
端末7の利用者は、まず認証基盤5にログインする。具体的には、端末7が、認証基盤5に対して、利用者の公開鍵証明書および電子署名を含むSIPメッセージを送信する。認証基盤5は、端末7から受信した公開鍵証明書および電子署名が、ログインを試みている利用者の本人のものであるか否かを検証する。 Here, a communication procedure using the authentication infrastructure 5 will be described by taking as an example a case where the terminal 7 connects to the application server 6 to perform communication.
The user of the terminal 7 first logs into the authentication infrastructure 5. Specifically, the terminal 7 transmits a SIP message including the user's public key certificate and electronic signature to the authentication infrastructure 5. The authentication infrastructure 5 verifies whether the public key certificate and electronic signature received from the terminal 7 belong to the user who is attempting to log in.

認証基盤5にて本人性が確認できた利用者は、ログインに成功し、他の認証基盤5の利用者との通信が可能な状態になる。なお、アプリケーションサーバ6においても、同様に認証基盤5へのログインを行っておく。   A user whose identity has been confirmed by the authentication infrastructure 5 is successfully logged in and can communicate with other authentication infrastructure 5 users. Similarly, the application server 6 logs in to the authentication infrastructure 5 in advance.

次に、端末7は、アプリケーションサーバ6に対して接続を要求するSIPメッセージを、認証基盤5に送信する。認証基盤5は、接続要求メッセージを受信すると、アプリケーションサーバ6がログインしているか否かを判定し、さらに必要に応じて接続条件を満たしているか否かの判定を行う。認証基盤5は、通信を許可してよいと判断される場合には、接続要求メッセージをアプリケーションサーバ6に転送する。アプリケーションサーバ6は、接続要求メッセージを受信すると、端末7に対して接続を許可または拒否することを通知する応答メッセージを、認証基盤5に送信する。認証基盤5は、応答メッセージを受信すると、端末7に転送する。端末7は、接続を許可する内容の応答メッセージを受信すると、アプリケーションサーバ6との、認証基盤5を介さない通信を開始する。   Next, the terminal 7 transmits an SIP message requesting connection to the application server 6 to the authentication infrastructure 5. Upon receiving the connection request message, the authentication infrastructure 5 determines whether or not the application server 6 is logged in, and further determines whether or not the connection condition is satisfied as necessary. If it is determined that the communication can be permitted, the authentication infrastructure 5 transfers a connection request message to the application server 6. Upon receiving the connection request message, the application server 6 transmits a response message notifying the terminal 7 that the connection is permitted or rejected to the authentication infrastructure 5. When receiving the response message, the authentication infrastructure 5 transfers the response message to the terminal 7. When the terminal 7 receives the response message indicating that the connection is permitted, the terminal 7 starts communication with the application server 6 without using the authentication infrastructure 5.

なお、上記の接続要求メッセージおよび接続を許可する内容の応答メッセージには、IPsecを用いた暗号化通信に必要なパラメータが含まれており、これらのメッセージの交換によって、端末7とアプリケーションサーバ6は、暗号化通信のパラメータを共有する。   Note that the connection request message and the response message that allows connection include parameters necessary for encrypted communication using IPsec. By exchanging these messages, the terminal 7 and the application server 6 Share parameters for encrypted communication.

次に、図1のシステムの動作を図6ないし図8を用いて説明する。ここで、図6は端末3をルータ2aに接続したときの通信および動作を説明するシーケンス図である。なお、端末とルータとの接続に先立って、端末のユーザはユーザ登録を実施する。このときユーザIDとパスワードが内部認証サーバのID・パスワードDBに登録される。   Next, the operation of the system of FIG. 1 will be described with reference to FIGS. Here, FIG. 6 is a sequence diagram for explaining communication and operation when the terminal 3 is connected to the router 2a. Prior to connection between the terminal and the router, the user of the terminal performs user registration. At this time, the user ID and password are registered in the ID / password DB of the internal authentication server.

図6において、端末3とルータ2aの物理的な接続が確立されると、IEEE 802.1xで定められた手順に従って、ルータ2aが端末3の使用者を認証する。具体的には、まず、ルータ2aが端末3に対して、LAN10a内で用いられる利用者識別情報の入力を要求するパケット101を送信し、これに対し、端末3の利用者が自身の利用者識別情報(ユーザID)を入力する。入力された利用者識別情報は、ルータ2aを経由して、内部認証サーバ4aに伝送される(パケット102,103)。   In FIG. 6, when the physical connection between the terminal 3 and the router 2a is established, the router 2a authenticates the user of the terminal 3 in accordance with the procedure defined by IEEE 802.1x. Specifically, first, the router 2a transmits a packet 101 for requesting input of user identification information used in the LAN 10a to the terminal 3, and the user of the terminal 3 responds to the user's own user. Input identification information (user ID). The input user identification information is transmitted to the internal authentication server 4a via the router 2a (packets 102 and 103).

内部認証サーバ4aは、利用者識別情報を受信すると、チャレンジと呼ばれる乱数を、ルータ2aを経由して端末3に送信する(パケット104,105)。チャレンジを受け取った端末3の利用者は、自身のパスワードを入力する。端末3は、内部認証サーバ4aから受け取ったチャレンジと、利用者から入力されたパスワードを用いて、所定の計算方法に従ってレスポンスと呼ばれる値を計算し、それをルータ2a経由で内部認証サーバ4aに送信する(パケット106,107)。   When receiving the user identification information, the internal authentication server 4a transmits a random number called a challenge to the terminal 3 via the router 2a (packets 104, 105). The user of the terminal 3 that has received the challenge inputs his / her password. The terminal 3 calculates a value called a response according to a predetermined calculation method using the challenge received from the internal authentication server 4a and the password input by the user, and transmits it to the internal authentication server 4a via the router 2a. (Packets 106 and 107).

内部認証サーバ4aでは、事前に登録されたID・パスワードデータベース40を参照して、先に受け取った利用者識別情報に対応するパスワードを取得し、これと端末3に送信したチャレンジからレスポンスを計算する。次いで、計算したレスポンスと端末3から受信したレスポンスとを比較し、両者が一致していれば、パケット103にて通知された識別情報を使用する利用者本人に相違ないと判定し、接続を許可する旨を通知するパケット108を、ルータ2aに送信する。   The internal authentication server 4a refers to the ID / password database 40 registered in advance, acquires a password corresponding to the previously received user identification information, and calculates a response from the challenge transmitted to the terminal 3 . Next, the calculated response and the response received from the terminal 3 are compared, and if they match, it is determined that there is no difference between the user who uses the identification information notified in the packet 103 and the connection is permitted. A packet 108 for notifying that it is to be transmitted is transmitted to the router 2a.

ルータ2aは、内部認証サーバ4aからパケット108を受信すると、それを端末3に転送する(パケット109)とともに、端末3の利用者に代わって、認証基盤5に対してログインを行う。まず、ルータ2aの内部の認証基盤クライアント部24aが、パケット108に含まれる利用者識別情報を取得し、それに対応するSIP−URIを、ユーザIDデータベース27aから取得する。次に、認証基盤クライアント部24aは、取得したSIP−URIを用いて、ログインを要求する内容のSIPメッセージを生成し、当該利用者の公開鍵証明書、および電子署名の生成を、公開鍵暗号処理部26aに対して要求する。公開鍵暗号処理部26aは、指定されたSIP−URIに対応する公開鍵証明書と秘密鍵を取り出し、電子署名を生成したのち、公開鍵証明書および電子署名を認証基盤クライアント部24aに渡す。認証基盤クライアント部24aは、公開鍵暗号処理部26aから公開鍵証明書と電子署名を取得すると、それらを先に生成したログイン要求に付加したSIPメッセージ110を、認証基盤5に送信する。   Upon receiving the packet 108 from the internal authentication server 4a, the router 2a transfers it to the terminal 3 (packet 109) and logs in to the authentication infrastructure 5 on behalf of the user of the terminal 3. First, the authentication infrastructure client unit 24a inside the router 2a acquires the user identification information included in the packet 108, and acquires the corresponding SIP-URI from the user ID database 27a. Next, using the acquired SIP-URI, the authentication infrastructure client unit 24a generates a SIP message with a content requesting login, and generates a public key certificate and an electronic signature of the user by using public key encryption. Request to the processing unit 26a. The public key encryption processing unit 26a extracts a public key certificate and a private key corresponding to the designated SIP-URI, generates an electronic signature, and then passes the public key certificate and the electronic signature to the authentication infrastructure client unit 24a. When the authentication infrastructure client unit 24a acquires the public key certificate and the electronic signature from the public key encryption processing unit 26a, the authentication infrastructure client unit 24a transmits the SIP message 110 added to the previously generated login request to the authentication infrastructure 5.

認証基盤5は、ログインを要求するSIPパケット110を受信すると、メッセージに含まれる電子署名と公開鍵証明書の検証を行う。電子署名および公開鍵証明書の正当性が確認できた場合には、ログインを要求するSIPメッセージ110に対する応答として、ログインに成功したことを通知するSIPメッセージ111を、ルータ2aに返送する。
ルータ2aは、SIPメッセージ111を受信すると、端末3が接続されているLANポートの番号と、端末3の利用者のSIP−URIとを対応付けて、ログイン済みユーザデータベース25aに登録する。 Upon receiving the SIP packet 110 requesting login, the authentication infrastructure 5 verifies the electronic signature and public key certificate included in the message. When the validity of the electronic signature and the public key certificate can be confirmed, a SIP message 111 notifying that the login is successful is returned to the router 2a as a response to the SIP message 110 requesting login.
Upon receiving the SIP message 111, the router 2a associates the number of the LAN port to which the terminal 3 is connected with the SIP-URI of the user of the terminal 3, and registers it in the logged-in user database 25a.

図7は端末がアプリケーションサーバに接続を要求するときの動作を表すシーケンス図である。図7において、端末3で動作するアプリケーションソフトウェアが、アプリケーションサーバ6を宛先とするデータパケット112を、ルータ2aに対して送信する。   FIG. 7 is a sequence diagram showing an operation when the terminal requests connection to the application server. In FIG. 7, the application software operating on the terminal 3 transmits a data packet 112 destined for the application server 6 to the router 2a.

データパケット112を受信したルータ2aは、データパケット112をパケット保持部234に保持した上で、SPD232を検索し、データパケット112に対するIPsecの適用の要否を判定する。データパケット112にIPsecを適用する必要がある場合には、次にSAD233を検索し、データパケット112に対するSAを求める。この場合、必要なSAが存在しないので、ルータは、端末3の利用者に代わって、アプリケーションサーバ6に対して、接続を要求する。   The router 2 a that has received the data packet 112 holds the data packet 112 in the packet holding unit 234, searches the SPD 232, and determines whether it is necessary to apply IPsec to the data packet 112. When it is necessary to apply IPsec to the data packet 112, the SAD 233 is searched next and the SA for the data packet 112 is obtained. In this case, since the necessary SA does not exist, the router requests connection to the application server 6 on behalf of the user of the terminal 3.

具体的には、まず、認証基盤クライアント部24aが、ログイン済みユーザデータベース25aを検索し、データパケット112を受信したLANポートの番号に対応するSIP−URIを取得する。次いで、取得したSIP−URIを用いて、アプリケーションサーバ6への接続を要求するSIPメッセージ113を生成し、認証基盤5に送信する。なお、SIPメッセージ113には、ルータ2aがIPsec用いてアプリケーションサーバ6にパケットを送信するときに使用するSAの情報が含まれる。   Specifically, first, the authentication infrastructure client unit 24a searches the logged-in user database 25a, and acquires the SIP-URI corresponding to the LAN port number that received the data packet 112. Next, a SIP message 113 for requesting connection to the application server 6 is generated using the acquired SIP-URI and transmitted to the authentication infrastructure 5. The SIP message 113 includes SA information used when the router 2a transmits a packet to the application server 6 using IPsec.

認証基盤5では、ルータ2aから受信したSIPメッセージ113の送信元と宛先のSIP−URIを参照して、両者の接続の可否を判定し、接続可能と判定されれば、アプリケーションサーバ6に転送する(SIPメッセージ114)。   The authentication infrastructure 5 refers to the SIP-URI of the transmission source and the destination of the SIP message 113 received from the router 2a, determines whether or not they can be connected, and forwards them to the application server 6 if determined to be connectable. (SIP message 114).

アプリケーションサーバ6は、SIPメッセージ114を受信すると、接続の可否を判定する。この場合、アプリケーションサーバ6は接続を許可し、ルータ2aに対して接続を許可することを通知するSIPメッセージ115を、認証基盤5に送信する。なお、SIPメッセージ115には、アプリケーションサーバ6がIPsec用いてルータ2aにパケットを送信するときに使用するSAの情報が含まれる。
認証基盤5は、アプリケーションサーバ6からSIPメッセージ115を受信すると、それをルータ2aに転送する(SIPメッセージ116)。 Upon receiving the SIP message 114, the application server 6 determines whether or not connection is possible. In this case, the application server 6 permits the connection and transmits a SIP message 115 for notifying the router 2a that the connection is permitted to the authentication infrastructure 5. The SIP message 115 includes SA information used when the application server 6 transmits a packet to the router 2a using IPsec.
When the authentication infrastructure 5 receives the SIP message 115 from the application server 6, it transfers it to the router 2a (SIP message 116).

ルータ2aは、認証基盤5からSIPメッセージ116を受信すると、アプリケーションサーバ6にパケットを暗号化して送信するときに使用するSA、およびアプリケーションサーバ6から暗号化されたパケットを受信するときに使用するSAを、SAD233に登録する。SAD233への登録が完了すると、ルータ2aは、SIPのACK(応答確認)メッセージ117を認証基盤に送信する。
認証基盤5は、ルータ2aからSIPメッセージ117を受信すると、それをアプリケーションサーバ6に転送する(SIPメッセージ118)。 When the router 2 a receives the SIP message 116 from the authentication infrastructure 5, the SA used when encrypting and transmitting the packet to the application server 6 and the SA used when receiving the encrypted packet from the application server 6. Is registered in the SAD 233. When registration with the SAD 233 is completed, the router 2a transmits a SIP ACK (response confirmation) message 117 to the authentication infrastructure.
Upon receiving the SIP message 117 from the router 2a, the authentication infrastructure 5 transfers it to the application server 6 (SIP message 118).

ルータ2aは、SIPメッセージ117を送信した後、パケット保持部234に保持されていたデータパケット112を暗号化してアプリケーションサーバ6に転送する(データパケット119)。このデータパケット119は、認証基盤5を経由せずに、アプリケーションサーバ6に直接伝送される。   After transmitting the SIP message 117, the router 2a encrypts the data packet 112 held in the packet holding unit 234 and transfers it to the application server 6 (data packet 119). The data packet 119 is directly transmitted to the application server 6 without going through the authentication infrastructure 5.

図8はルータが発信端末からルータ配下の着信端末への接続要求を受信したときの動作を表すシーケンス図である。図8において、端末7は、ルータ2aへの接続を要求するSIPメッセージ120を、認証基盤5に送信する。なお、SIPメッセージ120には、端末7がIPsec用いてルータ2aにパケットを送信するときに使用するSAの情報が含まれる。   FIG. 8 is a sequence diagram showing the operation when the router receives a connection request from the calling terminal to the receiving terminal under the router. In FIG. 8, the terminal 7 transmits an SIP message 120 requesting connection to the router 2a to the authentication infrastructure 5. The SIP message 120 includes SA information used when the terminal 7 transmits a packet to the router 2a using IPsec.

認証基盤5では、端末7から受信したSIPメッセージ120の送信元と宛先のSIP−URIを参照して、両者の接続の可否を判定し、接続可能と判定されれば、ルータ2aに転送する(SIPメッセージ121)。   The authentication infrastructure 5 refers to the SIP-URI of the transmission source and the destination of the SIP message 120 received from the terminal 7 and determines whether or not the connection is possible. If it is determined that the connection is possible, the authentication infrastructure 5 forwards it to the router 2a ( SIP message 121).

ルータ2aは、SIPメッセージ121を受信すると、SPD232を検索し、受信したSIPメッセージ121のパケットが、IPsecの適用対象となっていないことを確認する。次いで、ルータ2aは、SIPメッセージ121の宛先のSIP−URIを参照し、該当するSIP−URIがログイン済みユーザデータベース25aに登録されているか否かを確認する。所定のSIP−URIがログイン済みデータベース25aに登録されていることが確認できると、認証基盤クライアント部24aは、端末7に対して接続を許可する旨を通知するSIPメッセージ122を生成し、認証基盤5に送信する。なお、SIPメッセージ122には、ルータ2aがIPsec用いて端末7にパケットを送信するときに使用するSAの情報が含まれる。
認証基盤5は、ルータ2aからSIPメッセージ122を受信すると、それを端末7に転送する(SIPメッセージ123)。 When the router 2 a receives the SIP message 121, the router 2 a searches the SPD 232 and confirms that the packet of the received SIP message 121 is not an IPsec application target. Next, the router 2a refers to the SIP-URI of the destination of the SIP message 121, and confirms whether or not the corresponding SIP-URI is registered in the logged-in user database 25a. When it can be confirmed that the predetermined SIP-URI is registered in the logged-in database 25a, the authentication infrastructure client unit 24a generates a SIP message 122 for notifying the terminal 7 that the connection is permitted, and the authentication infrastructure Send to 5. The SIP message 122 includes SA information used when the router 2a transmits a packet to the terminal 7 using IPsec.
Upon receiving the SIP message 122 from the router 2a, the authentication infrastructure 5 transfers it to the terminal 7 (SIP message 123).

ルータ2aは、認証基盤5にSIPメッセージ122を送信した後、端末7にパケットを暗号化して送信するときに使用するSA、および端末7から暗号化されたパケットを受信するときに使用するSAを、SAD233に登録する。   The router 2a transmits the SIP message 122 to the authentication infrastructure 5, and then uses the SA used when encrypting and transmitting the packet to the terminal 7 and the SA used when receiving the encrypted packet from the terminal 7. , Register with SAD233.

端末7は、SIPメッセージ123を受信すると、SIPのACKメッセージ124を認証基盤に送信する。
認証基盤5は、ルータ2aからSIPメッセージ124を受信すると、それをルータ2aに転送する(SIPメッセージ125)。 Upon receiving the SIP message 123, the terminal 7 transmits a SIP ACK message 124 to the authentication infrastructure.
Upon receiving the SIP message 124 from the router 2a, the authentication infrastructure 5 transfers it to the router 2a (SIP message 125).

端末7は、SIPメッセージ124を送信した後、暗号化されたデータパケット126を送信する。このデータパケット126は、認証基盤5を経由せずに、ルータ2aに直接伝送される。   The terminal 7 transmits the encrypted data packet 126 after transmitting the SIP message 124. The data packet 126 is directly transmitted to the router 2a without passing through the authentication infrastructure 5.

ルータ2aは、データパケット126を受信すると、SAD233を検索して、データパケット126に対するSAを求め、そのSAに従ってデータパケット126を復号する。次いで、ルータ2aは、SPD232を検索して、データパケット126に対するセキュリティポリシーを求め、実際にデータパケット126に対して適用されていたセキュリティポリシーがSPD232に登録されているものと一致することを確認する。セキュリティポリシーが一致することが確認できれば、ルータ2aは、データパケット126を復号したパケット127を、端末3に送信する。   When receiving the data packet 126, the router 2a searches the SAD 233 to obtain the SA for the data packet 126, and decodes the data packet 126 according to the SA. Next, the router 2 a searches the SPD 232 to obtain a security policy for the data packet 126, and confirms that the security policy actually applied to the data packet 126 matches that registered in the SPD 232. . If it can be confirmed that the security policies match, the router 2 a transmits a packet 127 obtained by decoding the data packet 126 to the terminal 3.

以下、ルータの動作フローについて図9ないし図16を用いて説明する。ここで、図9は、端末がルータに対して物理的な接続を確立したときの動作を表すフローチャートである。   Hereinafter, the operation flow of the router will be described with reference to FIGS. Here, FIG. 9 is a flowchart showing the operation when the terminal establishes a physical connection to the router.

待ち受け状態(S1000)にあるルータ2aは、端末3との間で、物理的な接続が確立されると、端末3に対して、内部認証に必要な情報を要求するパケットを送信し(S1001)、端末3からの認証情報を含むパケットを待ち受ける。ルータ2aは端末3から認証情報を含むパケットを受信すると(S1002)、そのパケットを内部認証サーバ4aに転送し(S1003)、内部認証サーバ4aからの応答を待ち受ける。ルータ2aは内部認証サーバからの応答を受信し(S1004)、応答内容を判定する(S1005)。ステップ1005で、その内容が接続を拒否する内容である場合には、その応答を端末3に転送し(S1021)、次のパケットの到着を待ち受ける状態(S1000)に戻る。   When a physical connection is established with the terminal 3, the router 2a in the standby state (S1000) transmits a packet requesting information necessary for internal authentication to the terminal 3 (S1001). Then, a packet including authentication information from the terminal 3 is awaited. When receiving the packet including the authentication information from the terminal 3 (S1002), the router 2a transfers the packet to the internal authentication server 4a (S1003) and waits for a response from the internal authentication server 4a. The router 2a receives the response from the internal authentication server (S1004), and determines the response content (S1005). If it is determined in step 1005 that the content rejects the connection, the response is transferred to the terminal 3 (S1021), and the process returns to a state of waiting for the arrival of the next packet (S1000).

ルータ2aは、ステップ1005で、内部認証サーバからの応答が、さらに認証情報を要求する内容である場合には、その応答を端末3に転送し(S1031)、端末3からの新たな認証情報を含むパケットを待ち受ける。ルータ2aは、ステップ1005で、内部認証サーバからの応答が端末3の接続を許可する内容である場合には、端末3が接続されたLANポートから他のポートへのパケット転送を有効化し(S1006)、端末3に応答メッセージを転送する(S1007)。   In step 1005, when the response from the internal authentication server is a content requesting further authentication information, the router 2a transfers the response to the terminal 3 (S1031), and the new authentication information from the terminal 3 is sent. Wait for the containing packet. In step 1005, when the response from the internal authentication server permits the connection of the terminal 3, the router 2a validates the packet transfer from the LAN port to which the terminal 3 is connected to another port (S1006). ), The response message is transferred to the terminal 3 (S1007).

次いで、ルータ2aは、ユーザIDデータベース27aを検索し(S1008)、内部認証パケットから取得したLAN内部での利用者識別情報に対する、SIP−URIを求める(S1009)。ステップ1009で、SIP−URIが登録されていない場合には、その時点でログイン処理を中止し、次のパケットの到着を待ち受ける状態(S1000)に戻る。ステップ1009でSIP−URIが登録されている場合には、ルータ2aは公開鍵暗号処理部26aにて、所定のSIP−URIに対応する公開鍵証明書を検索するとともに、電子署名を生成する(S1010)。   Next, the router 2a searches the user ID database 27a (S1008), and obtains the SIP-URI for the user identification information inside the LAN acquired from the internal authentication packet (S1009). If the SIP-URI is not registered in step 1009, the login process is stopped at that time, and the process returns to the state of waiting for the arrival of the next packet (S1000). If the SIP-URI is registered in step 1009, the router 2a uses the public key encryption processing unit 26a to search for a public key certificate corresponding to a predetermined SIP-URI and generate an electronic signature ( S1010).

ルータ2aは、公開鍵証明書検索・電子署名の生成を判定し(S1011)、所定の公開鍵証明書が存在しない、もしくは電子署名の生成に失敗した場合には、その時点でログイン処理を中止し、次のパケットの到着を待ち受ける状態(S1000)に戻る。ステップ1011で所定の公開鍵証明書が存在し、かつ電子署名の生成も正常に完了した場合には、ルータ2aは認証基盤5に対してログインを要求するメッセージを送信し(S1012)、認証基盤5からの応答メッセージを待ち受ける。   The router 2a determines whether to search for a public key certificate and generate an electronic signature (S1011). If the predetermined public key certificate does not exist or fails to generate an electronic signature, the login process is stopped at that time. Then, the process returns to the state of waiting for the arrival of the next packet (S1000). If the predetermined public key certificate exists in step 1011 and the generation of the electronic signature is completed normally, the router 2a transmits a message requesting login to the authentication infrastructure 5 (S1012), and the authentication infrastructure Wait for a response message from 5.

ルータ2aは、認証基盤5からの応答を受信し(S1013)、ログインに成功したか判定する(S1014)。認証基盤5からの応答が、ログインに失敗したことを示すものである場合には、ルータ2aはその時点でログイン処理を中止し、次のパケットの到着を待ち受ける状態(S1000)に戻る。   The router 2a receives the response from the authentication infrastructure 5 (S1013), and determines whether the login is successful (S1014). If the response from the authentication infrastructure 5 indicates that the login has failed, the router 2a stops the login process at that time and returns to a state of waiting for the arrival of the next packet (S1000).

ルータ2aは、ステップ1014で認証基盤5からの応答が、ログインに成功したことを示すものである場合には、ログイン済みユーザデータベース25aを更新し(S1015)、次のパケットの到着を待ち受ける状態(S1000)に戻る。   If the response from the authentication infrastructure 5 in step 1014 indicates that the login is successful, the router 2a updates the logged-in user database 25a (S1015), and waits for the arrival of the next packet ( Return to S1000).

図10はルータが配下の端末からデータパケットを受信したときの動作を表すフローチャートである。図10において、待ち受け状態(S1000)にあるルータ2aは、配下の端末3からデータパケットを受信すると、まずSPD232を検索し、受信したパケットに該当するセキュリティポリシーを取得する(S1101)。ルータ2aは、セキュリティポリシーを参照する(S1102)。   FIG. 10 is a flowchart showing an operation when the router receives a data packet from a subordinate terminal. In FIG. 10, when receiving the data packet from the subordinate terminal 3 in the standby state (S1000), the router 2a first searches the SPD 232 and acquires the security policy corresponding to the received packet (S1101). The router 2a refers to the security policy (S1102).

ステップ1102でセキュリティポリシーがパケット破棄である場合には、ルータ2aは、受信したデータパケットを破棄し(S1121)、次のパケットの到着を待ち受ける状態(S1000)に戻る。ステップ1102でセキュリティポリシーがバイパスである場合には、ルータ2aは、受信したデータパケットをそのまま宛先に転送する(S1112)。   If it is determined in step 1102 that the security policy is packet discard, the router 2a discards the received data packet (S1121) and returns to a state of waiting for the arrival of the next packet (S1000). If the security policy is bypass in step 1102, the router 2a transfers the received data packet to the destination as it is (S1112).

ステップ1102でセキュリティポリシーがIPsec適用である場合には、ルータ2aは、SAD233を検索し、受信したデータパケットに適用すべきSAを求める(S1103)。ルータ2aはSAの存在を判定する(S1104)。ステップ1104で適用すべきSAが存在する場合には、ルータ2aは、図13を用いて後述する丸数字3から丸数字6のステップを経た後、データパケットを暗号化し(S1111)、宛先に転送(S1112)した後、次のパケットの到着を待ち受ける状態(S1000)に戻る。   If the security policy is IPsec application in step 1102, the router 2a searches the SAD 233 and obtains the SA to be applied to the received data packet (S1103). The router 2a determines the presence of SA (S1104). If there is an SA to be applied in step 1104, the router 2a encrypts the data packet after passing through steps 3 to 6 described later with reference to FIG. 13 (S1111) and forwards it to the destination. After (S1112), the process returns to the state of waiting for the arrival of the next packet (S1000).

ステップ1104で適用すべきSAが存在しない場合には、ルータ2aは、ログイン済みユーザデータベース25aを検索し、データパケットの送信元の端末の利用者が使用するSIP−URIを求める(S1105)。ルータ2aはSIP−URIの存在を判定する(S1106)。ステップ1106で所定のSIP−URIが存在しない場合には、ルータ2aは、受信したデータパケットを破棄し(S1121)、次のパケットの到着を待ち受ける状態(S1000)に戻る。   If there is no SA to be applied in step 1104, the router 2a searches the logged-in user database 25a and obtains the SIP-URI used by the user of the terminal that has transmitted the data packet (S1105). The router 2a determines the presence of the SIP-URI (S1106). If the predetermined SIP-URI does not exist in step 1106, the router 2a discards the received data packet (S1121) and returns to the state waiting for the arrival of the next packet (S1000).

ステップ1106で所定のSIP−URIが存在する場合には、ルータ2aは、そのSIP−URIを送信元に設定した接続要求のSIPメッセージを認証基盤5に送信し(S1107)、認証基盤5からの応答メッセージを待ち受ける。ルータ2aは認証基盤5からの応答を受信したとき(S1108)、接続が許可されたか判定する(S1109)。ステップ1109で、接続を拒否する内容のものである場合には、ルータ2aは、受信したデータパケットを破棄し(S1121)、次のパケットの到着を待ち受ける状態(S1000)に戻る。   If a predetermined SIP-URI exists in step 1106, the router 2a transmits a connection request SIP message in which the SIP-URI is set as the transmission source to the authentication infrastructure 5 (S1107). Wait for a response message. When the router 2a receives the response from the authentication infrastructure 5 (S1108), it determines whether the connection is permitted (S1109). If it is determined that the connection is rejected in step 1109, the router 2a discards the received data packet (S1121), and returns to a state of waiting for the arrival of the next packet (S1000).

ステップ1109で、認証基盤5からの応答が、接続を許可する内容のものである場合には、ルータ2aは、接続要求およびその応答のSIPメッセージによって交換されたSAを、SAD233に設定する(S1110)。次いで、ルータ2aは、そのSAを適用してデータパケットを暗号化し(S1111)、宛先に転送(S1112)した後、次のパケットを待ち受ける状態(S1000)に戻る。   In step 1109, when the response from the authentication infrastructure 5 has a content permitting connection, the router 2a sets the SA exchanged by the SIP message of the connection request and the response in the SAD 233 (S1110). ). Next, the router 2a encrypts the data packet by applying the SA (S1111), transfers it to the destination (S1112), and then returns to the state of waiting for the next packet (S1000).

図11は、認証基盤から接続要求のSIPメッセージを受信したときのルータの動作を表すフローチャートである。図11において、待ち受け状態(S1000)にあるルータ2aは、接続を要求するSIPメッセージを認証基盤5から受信すると、ログイン済みユーザデータベース25aを検索し(S1201)、受信したSIPメッセージの宛先に指定されているSIP−URIが登録されているか否かを調べる(S1202)。ステップ1202で所定のSIP−URIが登録されていない場合には、ルータ2aは、認証基盤5にログインしていないLAN内の利用者への接続要求と判断し、接続要求の送信元に対して接続を拒否する応答メッセージを生成して(S1211)、認証基盤5に送信し(S1205)、次のパケットの到着を待ち受ける状態(S1000)に戻る。   FIG. 11 is a flowchart showing the operation of the router when a connection request SIP message is received from the authentication infrastructure. In FIG. 11, when the router 2a in the standby state (S1000) receives the SIP message requesting connection from the authentication infrastructure 5, the router 2a searches the logged-in user database 25a (S1201) and is designated as the destination of the received SIP message. It is checked whether or not a registered SIP-URI is registered (S1202). If the predetermined SIP-URI is not registered in step 1202, the router 2a determines that it is a connection request to a user in the LAN that has not logged in to the authentication infrastructure 5, and sends a connection request to the transmission source of the connection request. A response message for rejecting the connection is generated (S1211), transmitted to the authentication infrastructure 5 (S1205), and the process returns to the state of waiting for the arrival of the next packet (S1000).

ステップ1202で所定のSIP−URIが登録されている場合には、ルータ2aは、受信したSIPメッセージに含まれるSAおよび応答メッセージに含めるSAを、SAD233に設定する(S1203)。次いで、ルータ2aは、接続要求の送信元に対して接続を許可する内容の応答メッセージを生成して(S1204)、認証基盤5に送信し(S1205)、次のパケットの到着を待ち受ける状態(S1000)に戻る。   If the predetermined SIP-URI is registered in step 1202, the router 2a sets the SA included in the received SIP message and the SA included in the response message in the SAD 233 (S1203). Next, the router 2a generates a response message that allows connection to the connection request source (S1204), transmits it to the authentication infrastructure 5 (S1205), and waits for the arrival of the next packet (S1000). Return to).

図12は、ネットワークからIPsecが適用されたデータパケットを受信したときのルータの動作を表すフローチャートである。図12において、待ち受け状態(S1000)にあるルータ2aは、データパケットをネットワーク1から受信すると、まずSAD233を検索し(S1301)、受信したデータパケットに適用されているSAが登録されているか否かを調べる(S1302)。ステップ1302で、該当するSAが存在しない場合には、ルータ2aは、受信したデータパケットを破棄し(S1311)、次のパケットの到着を待ち受ける状態(S1000)に戻る。   FIG. 12 is a flowchart showing the operation of the router when a data packet to which IPsec is applied is received from the network. In FIG. 12, when the router 2a in the standby state (S1000) receives a data packet from the network 1, it first searches the SAD 233 (S1301), and whether or not the SA applied to the received data packet is registered. (S1302). In step 1302, if the corresponding SA does not exist, the router 2a discards the received data packet (S1311), and returns to the state of waiting for the arrival of the next packet (S1000).

ステップ1302でSAが存在する場合には、ルータ2aはそのSAに従ってデータパケットの復号処理を行う(S1303)。次いで、ルータ2aは、SPD232を検索して、受信したパケットに該当するセキュリティポリシーを求め(S1304)、受信したパケットに実際に適用されていたIPsecのポリシーと一致しているかを比較する(S1305)。ステップ1305でIPsecのポリシーが一致していない場合には、ルータ2aは、データパケットを破棄し(S1311)、次のパケットの到着を待ち受ける状態(S1000)に戻る。   If an SA exists in step 1302, the router 2a performs a data packet decoding process according to the SA (S1303). Next, the router 2a searches the SPD 232 to obtain a security policy corresponding to the received packet (S1304), and compares it with the IPsec policy actually applied to the received packet (S1305). . If the IPsec policy does not match in step 1305, the router 2a discards the data packet (S1311) and returns to a state of waiting for the arrival of the next packet (S1000).

ステップ1305でIPsecのポリシーが一致している場合には、ルータ2aは、データパケットを宛先に転送し(S1306)、次のパケットの到着を待ち受ける状態(S1000)に戻る。   If the IPsec policies match in step 1305, the router 2a transfers the data packet to the destination (S1306), and returns to the state of waiting for the arrival of the next packet (S1000).

図13はSAを適用して暗号化または復号化する際に実施するソフト有効期間を判定するルータの動作を表すフローチャートである。なお、図13は、図10との関係で、暗号化する際として説明するが、復号化する際にも同様に適用できる。   FIG. 13 is a flowchart showing the operation of the router for determining the software validity period that is performed when encryption or decryption is performed by applying SA. Note that FIG. 13 is described as the case of encryption in relation to FIG. 10, but the same applies to the case of decryption.

SAを適用するルータ2aは、適用に先立ってIPsec SAのソフト有効期限が満了したか判定する(S1401)。ステップ1401でNoならば図10のデータパケット暗号化のステップ1111に遷移する。   The router 2a to which the SA is applied determines whether the IPsec SA soft expiration date has expired prior to the application (S1401). If No in step 1401, the process proceeds to data packet encryption step 1111 in FIG.

ステップ1401でYesならば、ルータ2aは、通信相手に対して再接続を要求するSIPメッセージを認証基盤5に送信し(S1402)、認証基盤5からの応答メッセージを待ち受ける。ルータ2aは、認証基盤5からの応答メッセージを受信し(S1403)、再接続が許可されたか判定する(S1404)。ステップ1404で認証基盤5からの応答が、接続を拒否する内容のものである場合には、ルータ2aは、受信したデータパケットを破棄し、次のパケットの到着を待ち受ける状態(S1000)に戻る。   If Yes in step 1401, the router 2a transmits a SIP message requesting reconnection to the communication partner to the authentication infrastructure 5 (S1402), and waits for a response message from the authentication infrastructure 5. The router 2a receives the response message from the authentication infrastructure 5 (S1403), and determines whether reconnection is permitted (S1404). If the response from the authentication infrastructure 5 is such that the connection is rejected in step 1404, the router 2a discards the received data packet and returns to the state of waiting for the arrival of the next packet (S1000).

ステップ1404で認証基盤5からの応答が、接続を許可する内容のものである場合には、ルータ2aは、再接続要求およびその応答のメッセージによって交換されたSAをSAD233に設定する(S1405)。図10に戻って、そのSAを適用してデータパケットを暗号化し(S1111)、宛先に転送(S1112)した後、次のパケットを待ち受ける状態(S1000)に戻る。   If the response from the authentication infrastructure 5 is a content permitting connection in step 1404, the router 2a sets the SA exchanged by the reconnection request and the response message in the SAD 233 (S1405). Returning to FIG. 10, the SA is applied to encrypt the data packet (S1111), transfer it to the destination (S1112), and then return to the state of waiting for the next packet (S1000).

図14はIPsec SAのハード有効期間が満了した際のルータの動作を説明するフローチャートである。図14において、ルータ2aは待ち受け状態に遷移する前に、一旦ハード有効期間を監視する。満了を検出すると(S1411)、ルータ2aは、通信相手に対して通信終了を要求するSIPメッセージを認証基盤5に送信し(S1412)、認証基盤5からの応答メッセージを待ち受ける。認証基盤5からの応答メッセージを受信すると(S1413)、ルータ2aは、該当するSAをSAD233から削除し(S1414)、次のパケットの到着を待ち受ける状態(S1000)に戻る。   FIG. 14 is a flowchart for explaining the operation of the router when the IPsec SA hard lifetime expires. In FIG. 14, the router 2a once monitors the hardware valid period before transitioning to the standby state. When the expiration is detected (S1411), the router 2a transmits a SIP message requesting the communication end to the communication partner to the authentication infrastructure 5 (S1412), and waits for a response message from the authentication infrastructure 5. When receiving the response message from the authentication infrastructure 5 (S1413), the router 2a deletes the corresponding SA from the SAD 233 (S1414), and returns to the state of waiting for the arrival of the next packet (S1000).

図15は、認証基盤へのログインの有効期間が満了したときのルータの動作を表すフローチャートである。図15において、ルータ2aは待ち受け状態に遷移する前に、一旦認証基盤へのログインの有効期間を監視する。満了を検出すると(S1500)、ルータ2aは、公開鍵暗号処理部26aにて、所定のSIP−URIに対応する公開鍵証明書を検索するとともに、電子署名を生成する(S1501)。ルータ2aは、検索および電子署名の生成が正常に完了したか確認する(S1502)。ステップ1502で、所定の公開鍵証明書が存在しない、もしくは電子署名の生成に失敗した場合には、ルータ2aは、ログイン済みユーザデータベース25aから、該当する利用者のエントリを削除し(S1511)、次のパケットの到着を待ち受ける状態(S1000)に戻る。   FIG. 15 is a flowchart showing the operation of the router when the valid period of login to the authentication infrastructure has expired. In FIG. 15, the router 2a once monitors the valid period of login to the authentication infrastructure before transitioning to the standby state. When the expiration is detected (S1500), the router 2a searches the public key encryption processing unit 26a for a public key certificate corresponding to a predetermined SIP-URI and generates an electronic signature (S1501). The router 2a confirms whether the search and the generation of the electronic signature are normally completed (S1502). In step 1502, if the predetermined public key certificate does not exist or the generation of the electronic signature fails, the router 2a deletes the corresponding user entry from the logged-in user database 25a (S1511). The process returns to the state of waiting for the arrival of the next packet (S1000).

ステップ1502で、所定の公開鍵証明書が存在し、かつ電子署名の生成も正常に完了した場合には、ルータ2aは、認証基盤5に対して再ログインを要求するメッセージを送信し(S1503)、認証基盤5からの応答メッセージを待ち受ける。ルータ2aは、認証基盤5からの応答メッセージを受信し(S1504)、再ログインに成功したか確認する(S1505)。ステップ1505で、認証基盤5からの応答が、再ログインに失敗したことを示すものである場合には、ルータ2aは、ログイン済みユーザデータベース25aから、該当する利用者のエントリを削除し(S1511)、次のパケットの到着を待ち受ける状態(S1000)に戻る。   In step 1502, if the predetermined public key certificate exists and the generation of the electronic signature is completed normally, the router 2a transmits a message requesting re-login to the authentication infrastructure 5 (S1503). Then, a response message from the authentication infrastructure 5 is awaited. The router 2a receives the response message from the authentication infrastructure 5 (S1504), and confirms whether re-login is successful (S1505). In step 1505, if the response from the authentication infrastructure 5 indicates that re-login has failed, the router 2a deletes the corresponding user entry from the logged-in user database 25a (S1511). The process returns to the state waiting for the arrival of the next packet (S1000).

ステップ1505で、認証基盤5からの応答が、ログインに成功したことを示すものである場合には、ルータ2aは、ログイン済みユーザデータベース25aの、該当する利用者のエントリを更新し(S1506)、次のパケットの到着を待ち受ける状態(S1000)に戻る。   In step 1505, if the response from the authentication infrastructure 5 indicates that the login is successful, the router 2a updates the entry of the corresponding user in the logged-in user database 25a (S1506), The process returns to the state of waiting for the arrival of the next packet (S1000).

図16は、端末との物理リンクが切断されたときのルータの動作を表すフローチャートである。図16において、待ち受け状態(S1000)にあるルータ2aは、接続している端末との物理リンクが切断されると、ログイン済みユーザデータベース25aを検索し、物理リンクが切断されたLANポートに接続していた利用者のSIP−URIを求める(S1601)。ログイン済みユーザデータベース25aに該当するエントリが存在するかどうか確認し(S1602)、存在しない場合には、ルータ2aは、次のパケットの到着を待ち受ける状態(S1000)に戻る。   FIG. 16 is a flowchart showing the operation of the router when the physical link with the terminal is disconnected. In FIG. 16, when the physical link with the connected terminal is disconnected, the router 2a in the standby state (S1000) searches the logged-in user database 25a and connects to the LAN port where the physical link is disconnected. The SIP-URI of the user who has been present is obtained (S1601). It is confirmed whether or not an entry corresponding to the logged-in user database 25a exists (S1602). If there is no entry, the router 2a returns to a state of waiting for the arrival of the next packet (S1000).

ステップ1602で、ログイン済みユーザデータベース25aに該当するエントリが存在する場合には、ルータ2aは、認証基盤5に対してログアウトを要求するSIPメッセージを送信し(S1603)、認証基盤5からの応答メッセージを待ち受ける。認証基盤5からの応答を受信すると(S1604)、ルータ2aは、ログイン済みユーザデータベース25aから、該当するエントリを削除し(S1605)、次のパケットの到着を待ち受ける状態(S1000)に戻る。   If there is an entry corresponding to the logged-in user database 25a in step 1602, the router 2a transmits a SIP message requesting logout to the authentication infrastructure 5 (S1603), and a response message from the authentication infrastructure 5 Await. When receiving the response from the authentication infrastructure 5 (S1604), the router 2a deletes the corresponding entry from the logged-in user database 25a (S1605), and returns to the state of waiting for the arrival of the next packet (S1000).

なお、ルータ2aのうち、LANポート20、WANポート21、ポート制御部22を除いた部分の機能は、CPUおよびメモリにより構成し、その上で図9ないし図16のフローチャートに示す手順を実行するプログラムを動作させることによっても実現可能であり、必ずしも図2に示す構成をとらなくても良い。
(実施例2)
図17は実施例2のシステム構成を示すブロック図である。なお、前述した実施例1と同一の構成には同一の符号を付し、その詳細な説明は省略する。
ルータ2bには、端末3およびユーザIDデータベースサーバ27bが、LANスイッチ8を介して接続されている。また、内部認証サーバ4bおよびハードウェアセキュリティモジュール(HSM)26bが、ルータ2bに直接接続されている。これらの機器によって、LAN10bが構成されている。 The functions of the router 2a excluding the LAN port 20, the WAN port 21, and the port control unit 22 are constituted by a CPU and a memory, and the procedure shown in the flowcharts of FIGS. This can be realized by operating the program, and the configuration shown in FIG. 2 is not necessarily required.
(Example 2)
FIG. 17 is a block diagram illustrating a system configuration of the second embodiment. In addition, the same code | symbol is attached | subjected to the structure same as Example 1 mentioned above, and the detailed description is abbreviate | omitted.
A terminal 3 and a user ID database server 27b are connected to the router 2b via the LAN switch 8. An internal authentication server 4b and a hardware security module (HSM) 26b are directly connected to the router 2b. The LAN 10b is configured by these devices.

図18はルータの制御ブロック図である。図2において、ルータ2bは、LANポート20、WANポート21、ポート制御部22、IP処理部23、認証基盤クライアント部24b、ログイン済みユーザデータベース25b、により構成される。   FIG. 18 is a control block diagram of the router. In FIG. 2, the router 2b includes a LAN port 20, a WAN port 21, a port control unit 22, an IP processing unit 23, an authentication infrastructure client unit 24b, and a logged-in user database 25b.

認証基盤クライアント部24bは、認証基盤5に対してログインおよびログアウトを行うためのメッセージの生成、認証基盤5を介して通信相手に自身との接続を要求するメッセージの生成、および認証基盤5を介して通信相手から受信した自身への接続を要求するメッセージの解析とそれに対する応答メッセージの生成を行う。また、認証基盤クライアント部24bは、上述したメッセージの生成や解析のため、ログイン済みユーザデータベース25b、HSM26b、ならびにユーザIDデータベースサーバ27bと通信を行う機能を有する。   The authentication infrastructure client unit 24 b generates a message for logging in and out of the authentication infrastructure 5, generates a message for requesting a communication partner to connect to the communication partner via the authentication infrastructure 5, and passes through the authentication infrastructure 5. It analyzes the message that requests connection to itself received from the communication partner and generates a response message. The authentication infrastructure client unit 24b has a function of communicating with the logged-in user database 25b, the HSM 26b, and the user ID database server 27b in order to generate and analyze the above-described message.

ログイン済みユーザデータベース25bは、認証基盤5に対するログインに成功したユーザが収容されている仮想LAN(VLAN)の識別情報と、当該ユーザが認証基盤5に対して使用するSIP−URIとの対照表250bと、対照表250bの読み出しや書き換えを行うソフトウェアによって構成されている。   The logged-in user database 25b is a comparison table 250b between the identification information of the virtual LAN (VLAN) in which a user who has successfully logged in to the authentication infrastructure 5 is accommodated and the SIP-URI used by the user for the authentication infrastructure 5. And the software for reading and rewriting the comparison table 250b.

図19は対照表の内容を説明する図である。図19において、対照表250bは、VLAN識別情報を記録する領域251bと、LAN10bの利用者が認証基盤5に対して使用するSIP−URIを記録する領域252と、認証基盤5へのログインの有効期限を記録する領域253を有する。   FIG. 19 is a diagram for explaining the contents of the comparison table. 19, the comparison table 250b includes an area 251b for recording VLAN identification information, an area 252 for recording a SIP-URI used by the user of the LAN 10b for the authentication infrastructure 5, and the validity of login to the authentication infrastructure 5. An area 253 for recording a time limit is provided.

図17に戻って、HSM26bは、実施例1における公開鍵暗号処理部26aと同一の内部構成および機能を有する、ルータとは独立した装置である。
ユーザIDデータベースサーバ27bは、CPU、メモリおよび入出力装置からなる計算機であり、実施例1におけるユーザIDデータベース27aと同一の機能を有する。 Returning to FIG. 17, the HSM 26 b is a device independent of the router having the same internal configuration and function as the public key encryption processing unit 26 a in the first embodiment.
The user ID database server 27b is a computer including a CPU, a memory, and an input / output device, and has the same function as the user ID database 27a in the first embodiment.

内部認証サーバ4bは、実施例1における内部認証サーバ4aの機能に加え、認証に成功した各利用者に対して個別のVLANを割り当てる機能を有する。
LANスイッチ8は、MACアドレスを参照してパケットの転送を行う装置で、端末機器を接続するポートを複数備える。さらに、LANスイッチ8は、ポートに端末機器が接続されたときに、内部認証サーバ4bと連携して、接続された機器の利用者を認証し、認証に成功した場合には、当該端末機器を、内部認証サーバ4bによって割り当てられたVLANに収容する機能を有する。 In addition to the function of the internal authentication server 4a in the first embodiment, the internal authentication server 4b has a function of assigning an individual VLAN to each user who has succeeded in authentication.
The LAN switch 8 is a device that transfers a packet by referring to a MAC address, and includes a plurality of ports for connecting terminal devices. Further, when a terminal device is connected to the port, the LAN switch 8 cooperates with the internal authentication server 4b to authenticate the user of the connected device. And has a function of accommodating the VLAN allocated by the internal authentication server 4b.

LAN10bは、1台の端末は同時に1人の利用者しか利用できないこととし、また端末は必ずLANスイッチ8に接続し、かつ端末がLANスイッチ8に接続されたときには必ず認証を受けるよう運用する。これにより、ルータ2bでは、LANポートから入力されたパケットに付加されているVLAN識別情報から、そのパケットを送信した利用者を特定することができる。   The LAN 10b is operated so that one terminal can use only one user at a time, and the terminal is always connected to the LAN switch 8, and authentication is always performed when the terminal is connected to the LAN switch 8. Thereby, in the router 2b, the user who transmitted the packet can be specified from the VLAN identification information added to the packet input from the LAN port.

図20は、端末がLANスイッチに接続されたときの各部位の動作を表すシーケンス図である。図20において、端末3とLANスイッチ8の物理的な接続が確立されると、IEEE 802.1xで定められた手順に従って、LANスイッチ8が端末3の使用者を認証する。具体的には、まず、LANスイッチが端末3に対して、LAN10b内で用いられる利用者識別情報の入力を要求するパケットを送信し(パケット151)、これに対し、端末3の利用者が自身の利用者識別情報を入力する。入力された利用者識別情報は、LANスイッチ8およびルータ2bを経由して、内部認証サーバ4bに伝送される(パケット152、153、154)。   FIG. 20 is a sequence diagram showing the operation of each part when the terminal is connected to the LAN switch. In FIG. 20, when the physical connection between the terminal 3 and the LAN switch 8 is established, the LAN switch 8 authenticates the user of the terminal 3 in accordance with a procedure defined in IEEE 802.1x. Specifically, first, the LAN switch transmits a packet requesting input of user identification information used in the LAN 10b to the terminal 3 (packet 151). Enter the user identification information. The input user identification information is transmitted to the internal authentication server 4b via the LAN switch 8 and the router 2b (packets 152, 153, 154).

内部認証サーバ4bは、利用者識別情報を受信すると、チャレンジと呼ばれる乱数を、ルータ2bおよびLANスイッチ8を経由して端末3に送信する(パケット155、156、157)。   When receiving the user identification information, the internal authentication server 4b transmits a random number called a challenge to the terminal 3 via the router 2b and the LAN switch 8 (packets 155, 156, 157).

チャレンジを受け取った端末3の利用者は、自身のパスワードを入力する。端末3は、内部認証サーバ4bから受け取ったチャレンジと、利用者から入力されたパスワードを用いて、所定の計算方法に従ってレスポンスと呼ばれる値を計算し、それをLANスイッチ8およびルータ2b経由で内部認証サーバ4bに送信する(パケット158、159、160)。   The user of the terminal 3 that has received the challenge inputs his / her password. The terminal 3 calculates a value called a response according to a predetermined calculation method using the challenge received from the internal authentication server 4b and the password input from the user, and uses the internal authentication via the LAN switch 8 and the router 2b. It transmits to the server 4b (packets 158, 159, 160).

内部認証サーバ4bでは、事前に登録されたID・パスワードデータベース40を参照して、先に受け取った利用者識別情報に対応するパスワードを取得し、これと端末3に送信したチャレンジからレスポンスを計算する。   The internal authentication server 4b refers to the ID / password database 40 registered in advance, obtains a password corresponding to the previously received user identification information, and calculates a response from the challenge transmitted to the terminal 3 .

次いで、計算したレスポンスと端末3から受信したレスポンスとを比較し、両者が一致していれば、パケット154にて通知された識別情報を使用する利用者本人に相違ないと判定し、接続を許可する旨を通知するパケット161を、ルータ2bに送信する。このパケット161には、内部認証サーバ4bが割り当てたVLANの識別情報が含まれる。   Next, the calculated response and the response received from the terminal 3 are compared, and if they match, it is determined that there is no difference between the user who uses the identification information notified in the packet 154 and the connection is permitted. A packet 161 for notifying the transmission is transmitted to the router 2b. The packet 161 includes VLAN identification information assigned by the internal authentication server 4b.

ルータ2bは、内部認証サーバ4bからパケット161を受信すると、それをLANスイッチ8を経由して端末3に転送(パケット162、163)するとともに、認証基盤5に対して、ログインを行う。   When the router 2b receives the packet 161 from the internal authentication server 4b, the router 2b transfers it to the terminal 3 via the LAN switch 8 (packets 162, 163) and logs in to the authentication infrastructure 5.

まず、ルータ2bの内部の認証基盤クライアント部24bが、パケット161に含まれる利用者識別情報を取得し、それに対応するSIP−URIを、ユーザIDデータベースサーバ27bから取得する(パケット164、165)。
次に、認証基盤クライアント部24bは、取得したSIP−URIを用いて、ログインを要求するSIPメッセージを生成し、当該利用者の公開鍵証明書、および電子署名の生成を、HSM26bに対して要求する(パケット166)。 First, the authentication infrastructure client unit 24b inside the router 2b acquires the user identification information included in the packet 161, and acquires the corresponding SIP-URI from the user ID database server 27b (packets 164 and 165).
Next, using the acquired SIP-URI, the authentication infrastructure client unit 24b generates a SIP message requesting login, and requests the HSM 26b to generate the public key certificate and electronic signature of the user. (Packet 166).

HSM26bは、指定されたSIP−URIに対応する公開鍵証明書と秘密鍵を取り出し、電子署名を生成したのち、公開鍵証明書および電子署名をルータ2bの認証基盤クライアント部24bに渡す(パケット167)。
認証基盤クライアント部24bは、HSM26bから公開鍵証明書と電子署名を取得すると、それらをログイン要求のSIPメッセージに付加して、認証基盤5に送信する(パケット168)。 The HSM 26b extracts the public key certificate and private key corresponding to the designated SIP-URI, generates an electronic signature, and then passes the public key certificate and electronic signature to the authentication infrastructure client unit 24b of the router 2b (packet 167 ).
Upon obtaining the public key certificate and the electronic signature from the HSM 26b, the authentication infrastructure client unit 24b adds them to the login request SIP message and transmits them to the authentication infrastructure 5 (packet 168).

ルータ2bは、認証基盤5から、ログインに成功したことを通知するSIPメッセージ(パケット169)を受信すると、端末3が収容されているVLANの識別情報と、端末3の利用者のSIP−URIとを対応付けて、ログイン済みユーザデータベース25bに登録する。   When the router 2b receives an SIP message (packet 169) notifying that the login has been successful from the authentication infrastructure 5, the identification information of the VLAN in which the terminal 3 is accommodated, the SIP-URI of the user of the terminal 3, and Are registered in the logged-in user database 25b.

認証基盤5へのログインに成功した端末3の利用者が、アプリケーションサーバ6や端末7と通信を行うときの動作シーケンスは、図7および図8に示す実施例1と同じである。ただし、ログイン済みユーザデータベースの検索のときに、ルータのLANポート番号の代わりに、VLAN識別情報を用いる点が異なる。   The operation sequence when the user of the terminal 3 who has successfully logged in to the authentication infrastructure 5 communicates with the application server 6 and the terminal 7 is the same as that of the first embodiment shown in FIGS. However, the difference is that VLAN identification information is used instead of the LAN port number of the router when searching the logged-in user database.

ルータ2bの動作フローに関しては、実施例1におけるルータ2aと比較して、SIP−URIの検索や、公開鍵証明書および電子署名を要求する対象が異なるが、動作フロー自体は、図9ないし図16と同一である。   The operation flow of the router 2b is different from that of the router 2a according to the first embodiment in terms of SIP-URI search, public key certificate, and electronic signature request. 16 is the same.

本実施例では、端末を直接ルータに接続するのではなく、LANスイッチを介して接続し、またLANの利用者全員の情報が記録されたデータベースおよび公開鍵証明書を、ルータの外部で保持することにより、実施例1と比較して、より多数の利用者が存在する場合に対応することが可能である。   In this embodiment, the terminal is not connected directly to the router, but is connected via a LAN switch, and a database in which information of all LAN users is recorded and a public key certificate are held outside the router. Thus, it is possible to cope with a case where a larger number of users exist as compared with the first embodiment.

システム構成を示すブロック図である。It is a block diagram which shows a system configuration. ルータの制御ブロック図である。It is a control block diagram of a router. 対照表の内容を説明する図である。It is a figure explaining the content of the comparison table. 対照表を説明する図である。It is a figure explaining a comparison table. 対照表の内容を説明する図である。It is a figure explaining the content of the comparison table. 端末3をルータ2aに接続したときの通信および動作を説明するシーケンス図である。It is a sequence diagram explaining communication and operation | movement when the terminal 3 is connected to the router 2a. 端末がアプリケーションサーバに接続を要求するときの動作を表すシーケンス図である。It is a sequence diagram showing operation | movement when a terminal requests | requires a connection to an application server. ルータが発信端末からルータ配下の着信端末への接続要求を受信したときの動作を表すシーケンス図である。It is a sequence diagram showing an operation when a router receives a connection request from a calling terminal to a receiving terminal under the router. 端末がルータに対して物理的な接続を確立したときの動作を表すフローチャートである。It is a flowchart showing operation | movement when a terminal establishes a physical connection with respect to a router. ルータが配下の端末からデータパケットを受信したときの動作を表すフローチャートである。It is a flowchart showing operation | movement when a router receives a data packet from a subordinate terminal. 認証基盤から接続要求のSIPメッセージを受信したときのルータの動作を表すフローチャートである。It is a flowchart showing operation | movement of a router when the SIP message of a connection request | requirement is received from an authentication infrastructure. ネットワークからIPsecが適用されたデータパケットを受信したときのルータの動作を表すフローチャートである。からデータパケットを受信したときのルータの動作手順を示すフローチャート。It is a flowchart showing operation | movement of a router when the data packet to which IPsec was applied from the network is received. The flowchart which shows the operation | movement procedure of a router when a data packet is received from. SAを適用して暗号化または復号化する際に実施するソフト有効期間を判定するルータの動作を表すフローチャートである。It is a flowchart showing the operation | movement of the router which determines the software effective period implemented when applying or encrypting applying SA. IPsec SAのハード有効期間が満了した際のルータの動作を説明するフローチャートである。It is a flowchart explaining the operation | movement of a router when the hardware effective period of IPsec SA expires. 認証基盤へのログインの有効期間が満了したときのルータの動作を表すフローチャートである。It is a flowchart showing operation | movement of a router when the effective period of the login to an authentication infrastructure expires. 端末との物理リンクが切断されたときのルータの動作を表すフローチャートである。It is a flowchart showing operation | movement of a router when the physical link with a terminal is cut | disconnected. システム構成を示すブロック図である。It is a block diagram which shows a system configuration. ルータの制御ブロック図である。It is a control block diagram of a router. 対照表の内容を説明する図である。It is a figure explaining the content of the comparison table. 端末がLANスイッチに接続されたときの各部位の動作を表すシーケンス図である。It is a sequence diagram showing operation | movement of each site | part when a terminal is connected to a LAN switch.

符号の説明Explanation of symbols

1…ネットワーク、2…ルータ、3…端末、4…内部認証サーバ、5…認証基盤、6…アプリケーションサーバ、7…端末、8…LANスイッチ、10…LAN、20…LANポート、21…WANポート、22…ポート制御部、23…IP処理部、24…認証基盤クライアント部、25…ログイン済みユーザデータベース、26a…公開鍵暗号処理部、26b…HSM、27a…ユーザIDデータベース、27b…ユーザIDデータベースサーバ、230…ルーティング処理部、231…パケット暗号化・復号処理部、232…SPD、233…SAD、234…パケット保持部、250a…LANポート番号とSIP−URIとの対照表、250b…VLAN識別情報とSIP−URIとの対照表、260…電子署名生成処理部、261…公開鍵証明書・公開鍵・秘密鍵保管部、270…LAN内部で用いられる利用者識別情報とSIP−URIとの対照表、400…LAN内部で用いられる利用者識別情報とパスワードとの対照表。
DESCRIPTION OF SYMBOLS 1 ... Network, 2 ... Router, 3 ... Terminal, 4 ... Internal authentication server, 5 ... Authentication infrastructure, 6 ... Application server, 7 ... Terminal, 8 ... LAN switch, 10 ... LAN, 20 ... LAN port, 21 ... WAN port , 22 ... Port control unit, 23 ... IP processing unit, 24 ... Authentication infrastructure client unit, 25 ... Login user database, 26a ... Public key encryption processing unit, 26b ... HSM, 27a ... User ID database, 27b ... User ID database Server 230: Routing processing unit 231 Packet encryption / decryption processing unit 232 SPD 233 SAD 234 Packet holding unit 250a LAN port number and SIP-URI comparison table 250b VLAN identification Information and SIP-URI comparison table, 260... Electronic signature generation processing unit, 261 Public key certificate / public key / private key storage unit 270... Comparison table between user identification information used in the LAN and SIP-URI 400... Comparison table between user identification information used in the LAN and password .

Claims (9)

ネットワークに接続された第1の通信装置とネットワーク接続装置と認証基盤とから構成されたネットワーク接続システムであって、
前記ネットワーク接続装置は、第2の通信装置が接続され、該第2の通信装置に代わって前記認証基盤との間で前記第2の通信装置の利用者の認証を行い、前記第1の通信装置と前記第2の通信装置の通信を仲介することを特徴とするネットワーク接続システム。 A network connection system composed of a first communication device connected to a network, a network connection device and an authentication infrastructure,
The network connection device is connected to a second communication device, authenticates a user of the second communication device with the authentication infrastructure on behalf of the second communication device, and performs the first communication. A network connection system that mediates communication between a device and the second communication device. 請求項1に記載のネットワーク接続システムであって、
前記ネットワーク接続装置が、前記第1の通信装置から前記認証基盤を介して前記第2の通信装置宛の接続要求を受け取ったとき、前記第2の通信装置の利用者が前記認証基盤において認証されていることを確認して、前記認証基盤を介して前記第1の通信装置宛の接続許可を送信することを特徴とするネットワーク接続システム。 The network connection system according to claim 1,
When the network connection device receives a connection request addressed to the second communication device from the first communication device via the authentication infrastructure, a user of the second communication device is authenticated in the authentication infrastructure. A network connection system for transmitting a connection permission addressed to the first communication device via the authentication infrastructure. 請求項1または請求項2に記載のネットワーク接続システムであって、
前記第1の通信装置と前記第2の通信装置の通信データは、前記第1の通信装置と前記ネットワーク接続装置との間で暗号化されていることを特徴とするネットワーク接続システム。 The network connection system according to claim 1 or 2,
The network connection system, wherein communication data of the first communication device and the second communication device is encrypted between the first communication device and the network connection device. 第2の通信装置を接続され、ネットワークを介して認証基盤と第1の通信装置と接続され、前記第2の通信装置と前記第1の通信装置の通信を仲介するネットワーク接続装置であって、
前記第2の通信装置の利用者の内部認証を行う内部認証部と、パケットのルーティング処理と暗号化/復号化を行うIP処理部と、前記認証基盤との通信を行う認証基盤クライアント部と、電子署名を生成する公開鍵暗号処理部とを含み、
前記内部認証部が前記第2の通信装置の利用者を認証したとき、該利用者の電子署名を添付したログイン要求を前記認証基盤に送信することを特徴とするネットワーク接続装置。 A network connection device connected to the second communication device, connected to the authentication infrastructure and the first communication device via a network, and mediating communication between the second communication device and the first communication device;
An internal authentication unit that performs internal authentication of a user of the second communication device, an IP processing unit that performs packet routing processing and encryption / decryption, an authentication infrastructure client unit that communicates with the authentication infrastructure, A public key encryption processing unit for generating an electronic signature,
When the internal authentication unit authenticates the user of the second communication device, the network connection device transmits a login request attached with the electronic signature of the user to the authentication infrastructure. 請求項4に記載のネットワーク接続装置であって、
前記第1の通信装置から前記認証基盤を介して前記第2の通信装置宛の接続要求を受け取ったとき、前記第2の通信装置の利用者が前記認証基盤において認証されていることを確認して、前記認証基盤を介して前記第1の通信装置宛の接続許可を送信することを特徴とするネットワーク接続装置。 The network connection device according to claim 4,
When a connection request addressed to the second communication device is received from the first communication device via the authentication infrastructure, it is confirmed that the user of the second communication device is authenticated in the authentication infrastructure. And transmitting a connection permission addressed to the first communication device via the authentication infrastructure. 請求項5に記載のネットワーク接続装置であって、
前記第1の通信装置から暗号化されたデータを受信したとき、復号化して前記第2の通信装置に転送することを特徴とするネットワーク接続装置。 The network connection device according to claim 5,
When receiving encrypted data from the first communication device, the network connection device decrypts the encrypted data and transfers it to the second communication device. 請求項5に記載のネットワーク接続装置であって、
前記第2の通信装置からデータを受信したとき、暗号化して前記第1の通信装置に転送することを特徴とするネットワーク接続装置。 The network connection device according to claim 5,
When data is received from the second communication device, the network connection device encrypts and transfers the data to the first communication device. コンピュータを、通信装置の利用者の内部認証を行う内部認証手段と、パケットのルーティング処理と暗号化/復号化を行うIP処理手段と、認証基盤との通信を行う認証基盤クライアント手段と、電子署名を生成する公開鍵暗号処理部手段と、前記内部認証手段が前記通信装置の利用者を認証したとき、該利用者の電子署名を添付したログイン要求を前記認証基盤に送信する送信手段として機能させるためのプログラム。   An internal authentication means for performing internal authentication of a user of the communication device; an IP processing means for performing packet routing processing and encryption / decryption; an authentication infrastructure client means for communicating with the authentication infrastructure; and an electronic signature When the internal authentication unit authenticates the user of the communication apparatus, the public key encryption processing unit that generates the authentication function functions as a transmission unit that transmits a login request attached with the electronic signature of the user to the authentication infrastructure. Program for. 請求項8に記載のプログラムであって、前記コンピュータを、
前記認証基盤クライアント手段が他の通信装置から認証基盤を介して前記通信装置宛の接続要求を受け取ったとき、前記通信装置の利用者が認証されていることを確認する確認手段と、前記認証基盤を介して前記他の通信装置宛の接続許可を送信する送信手段として、さらに機能させるためのプログラム。
The program according to claim 8, wherein the computer is
Confirmation means for confirming that a user of the communication apparatus is authenticated when the authentication infrastructure client means receives a connection request addressed to the communication apparatus from another communication apparatus via the authentication infrastructure; and the authentication infrastructure A program for further functioning as a transmission means for transmitting a connection permission addressed to the other communication device via the network.
JP2005172118A 2005-06-13 2005-06-13 Network connection system, network connection device and program Expired - Fee Related JP4109273B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005172118A JP4109273B2 (en) 2005-06-13 2005-06-13 Network connection system, network connection device and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005172118A JP4109273B2 (en) 2005-06-13 2005-06-13 Network connection system, network connection device and program

Publications (2)

Publication Number Publication Date
JP2006352223A true JP2006352223A (en) 2006-12-28
JP4109273B2 JP4109273B2 (en) 2008-07-02

Family

ID=37647635

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005172118A Expired - Fee Related JP4109273B2 (en) 2005-06-13 2005-06-13 Network connection system, network connection device and program

Country Status (1)

Country Link
JP (1) JP4109273B2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009239427A (en) * 2008-03-26 2009-10-15 Nec Fielding Ltd Apparatus and method for authenticating connection of authentication switch
JP2010122763A (en) * 2008-11-17 2010-06-03 Toshiba Corp Switching apparatus, authentication server, authentication system, authentication method, and program
WO2012176506A1 (en) * 2011-06-23 2012-12-27 株式会社日立システムズ Single sign-on system, single sign-on method, and authentication server linking program
KR101878713B1 (en) * 2017-03-29 2018-07-16 주식회사 와이스퀘어 Method and System For Connecting User Equipment with Network
WO2020085141A1 (en) * 2018-10-22 2020-04-30 株式会社ソニー・インタラクティブエンタテインメント Information processing system, input device, user authentication method, server device, and biometric authentication device
JP2021052362A (en) * 2019-09-26 2021-04-01 富士通株式会社 Communication relay program, relay device, and communication relay method

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009239427A (en) * 2008-03-26 2009-10-15 Nec Fielding Ltd Apparatus and method for authenticating connection of authentication switch
JP2010122763A (en) * 2008-11-17 2010-06-03 Toshiba Corp Switching apparatus, authentication server, authentication system, authentication method, and program
WO2012176506A1 (en) * 2011-06-23 2012-12-27 株式会社日立システムズ Single sign-on system, single sign-on method, and authentication server linking program
JP2013008140A (en) * 2011-06-23 2013-01-10 Hitachi Systems Ltd Single sign-on system, single sign-on method and authentication server cooperation program
KR101878713B1 (en) * 2017-03-29 2018-07-16 주식회사 와이스퀘어 Method and System For Connecting User Equipment with Network
WO2020085141A1 (en) * 2018-10-22 2020-04-30 株式会社ソニー・インタラクティブエンタテインメント Information processing system, input device, user authentication method, server device, and biometric authentication device
JPWO2020085141A1 (en) * 2018-10-22 2021-09-02 株式会社ソニー・インタラクティブエンタテインメント Information processing system and server equipment
JP7220722B2 (en) 2018-10-22 2023-02-10 株式会社ソニー・インタラクティブエンタテインメント Information processing system and information processing device
JP2021052362A (en) * 2019-09-26 2021-04-01 富士通株式会社 Communication relay program, relay device, and communication relay method
JP7372527B2 (en) 2019-09-26 2023-11-01 富士通株式会社 Communication relay program, relay device, and communication relay method

Also Published As

Publication number Publication date
JP4109273B2 (en) 2008-07-02

Similar Documents

Publication Publication Date Title
US11936786B2 (en) Secure enrolment of security device for communication with security server
JP4707992B2 (en) Encrypted communication system
JP3912609B2 (en) Remote access VPN mediation method and mediation device
EP1635502B1 (en) Session control server and communication system
JP4000111B2 (en) Communication apparatus and communication method
RU2409853C2 (en) Management of access control in wireless networks
KR101202671B1 (en) Remote access system and method for enabling a user to remotely access a terminal equipment from a subscriber terminal
Housley et al. Guidance for authentication, authorization, and accounting (AAA) key management
JPWO2005101217A1 (en) Address translation method, access control method, and apparatus using those methods
JP2002314549A (en) User authentication system and user authentication method used for the same
WO2004034645A1 (en) Identification information protection method in wlan interconnection
JP2007503637A (en) Method, system, authentication server, and gateway for providing credentials
US8788821B2 (en) Method and apparatus for securing communication between a mobile node and a network
WO2009074082A1 (en) Access controlling method?system and device
JP2008508573A (en) Improvements related to secure communications
JP4109273B2 (en) Network connection system, network connection device and program
JP2014510480A (en) Network communication system and method
US20220232000A1 (en) Secure communication system
CN101771722B (en) System and method for WAPI terminal to access Web application site
US20220368688A1 (en) Secure communication system
JP2003132028A (en) Access control system, access control server, electronic device, remote electronic device and access control method
JP4261146B2 (en) User authentication network communication system, program, and method
WO2024020585A1 (en) A secure communication system
EP4241531A1 (en) A secure communication system
CN115913568A (en) Authorization authentication method and device, gateway, medium and computer equipment

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070904

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070925

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071120

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080311

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080403

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110411

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120411

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120411

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130411

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130411

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140411

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees