JP2004112037A - 認証プロトコル処理方法、計算機端末、認証プロトコル処理プログラム、および記録媒体 - Google Patents

認証プロトコル処理方法、計算機端末、認証プロトコル処理プログラム、および記録媒体 Download PDF

Info

Publication number
JP2004112037A
JP2004112037A JP2002268247A JP2002268247A JP2004112037A JP 2004112037 A JP2004112037 A JP 2004112037A JP 2002268247 A JP2002268247 A JP 2002268247A JP 2002268247 A JP2002268247 A JP 2002268247A JP 2004112037 A JP2004112037 A JP 2004112037A
Authority
JP
Japan
Prior art keywords
authentication protocol
authentication
protocol
new
existing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002268247A
Other languages
English (en)
Other versions
JP3656194B2 (ja
Inventor
Takao Yamashita
山下 高生
Satoshi Ono
小野 諭
Hidetaka Ishimoto
石本 英隆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002268247A priority Critical patent/JP3656194B2/ja
Publication of JP2004112037A publication Critical patent/JP2004112037A/ja
Application granted granted Critical
Publication of JP3656194B2 publication Critical patent/JP3656194B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Communication Control (AREA)

Abstract

【課題】計算機端末に未実装の装置の認証プロトコルを起動・制御するためのネットワーク接続用新規APを不要にする。
【解決手段】オペレーティングシステム主要部1は認証プロトコル制御部22を有する。該認証プロトコル制御部22は、一つまたは複数の認証プロトコルを実行するために必要な認証プロトコル間の依存関係を管理し、認証プロトコルを実行するために必要な認証プロトコル間の依存関係に基づいた順序に従い、認証プロトコルの開始を行い、認証プロトコルの終了の指示に対して、認証プロトコル間の依存関係に基づいた順序の逆順序に従い、認証プロトコルの終了を行う。
【選択図】   図1

Description

【0001】
【発明の属する技術分野】
本発明は、計算機端末をネットワークに接続する際の認証プロトコルの計算機端末における処理方法に関する。
【0002】
【従来の技術】
近年のインターネットなどにおけるネットワーク技術の発達、商用ネットワークサービスの普及やセキュリティーの重要性拡大にともない、計算機端末をネットワークに接続する際の認証技術が重要となってきている。このような場合、新たな通信プロトコルや認証プロトコルを計算機端末に追加しなければならない状況が発生する。例えば、計算機端末をネットワークに接続するためにPPP(Point−to−Point Protocol)が用いられ、企業のイントラネットにアクセスするために、L2TPが用いられ、PPPのみ計算機端末に実装されている場合には、新たにL2TPを実装しなければならない。また、Ethernetを提供する情報コンセントを入り口とし、ADSL(Asymmetric Digital Subscriber Line)経由でインターネット接続するような環境において、情報コンセントの認証方法としてIEEE 802.1Xが用いられており、インターネット接続には、PPPoE経由でPPPが用いられ、計算機端末にはPPPのみ実装されている場合には、計算機端末にPPPoEおよびIEEE 802.1Xを新たに実装しなければならない。
【0003】
既存技術による認証プロトコル処理方法について、図9を用いて説明する。従来技術を用いた場合、オペレーティングシステム主要部2が、プロトコル1,2,3,…,K,I,L,L+1,…,M,M+1,…,Nのうちいくつかをもっており、このうち、いくつかのプロトコルで認証プロトコルP,P,…,P,Pm+1,…,Pを実行しなければならない場合で、かつP,P,P,…,Pは計算機端末のオペレーティングシステム主要部2に未実装であり、Pm+1,Pm+2…,Pは実装済みであり、かつ既存の認証プロトコルを起動・制御するための外部アプリケーションであるネットワーク接続用既存AP11がユーザプロセス1に存在する場合を考える。既存技術を用いた場合、以下の2つの方法が考えられる。
(A)ネットワーク接続用既存AP11と、認証プロトコルP,P,…,Pを起動・制御するためのネットワーク接続用新規AP12を作成し、ユーザが2つのAPを操作する形態。
(B)ネットワーク接続用新規AP12を作成し、これによって、認証プロトコルP,P,…,P,Pm+1,…,P全ての起動・終了・パラメータ設定などの制御を行う形態。
【0004】
【発明が解決しようとする課題】
上述した従来の方法は次のような問題点がある。
(1)新規認証プロトコルP,P,…,Pを起動・制御するためにネットワーク接続用新規APという起動アプリケーションが必要となる。
(2)ネットワーク接続用既存および新規APをユーザが使用する形態(A)では、ユーザが新規および既存認証プロトコルの依存関係に基づいて両APを操作しなければならない。
(3)新規APから既存および新規認証プロトコルの起動・終了などの制御を行う形態(B)では、新規および既存認証プロトコルの依存関係に基づいた認証プロトコルの開始・終了の管理・制御を行う新規APに作成しなければならない。
(4)外部アプリケーションが認証プロトコルの状態を把握・制御しなければならず、複雑な認証プロトコル構成になったとき、外部アプリケーションの作成が困難になる。
(5)新規認証プロトコル追加時に、既存・新規認証プロトコル間の依存関係の制御を追加の度に作りなおさなければならない。
【0005】
本発明の目的は、これらの問題点を解決する認証プロトコル処理方法、計算機端末、認証プロトコル処理プログラム、および記録媒体を提供することにある。
【0006】
【課題を解決するための手段】
本発明は、ネットワークへのアクセス手段としての物理または仮想インターフェイスと、階層化された複数の通信プロトコルと、これら通信プロトコルを処理する通信プロトコルモジュールと、既に実装されている認証プロトコルである既存認証プロトコルと、前記既存認証プロトコル、新規に実装される認証プロトコルである新規認証プロトコルをそれぞれ処理する既存認証プロトコルモジュール、新規認証プロトコルモジュールを有する計算機端末における認証プロトコル処理方法であって、
前記既存認証プロトコルモジュールから開始された認証プロトコル開始パケット、または前記既存認証プロトコルモジュールからの認証開始通知を、前記既存認証プロトコルモジュールより下位で1つまたは複数の通信プロトコルを処理する新規通信プロトコルモジュールの1つまたは複数で検出したことを新規認証プロトコルの開始契機とし、
1つまたは複数の新規認証プロトコルを実行するために必要な、新規認証プロトコル間の依存関係を管理し、
前記依存関係に基づいた順序に従って前記新規認証プロトコルの開始・実行を行ない、
前記新規認証プロトコルの開始契機として認証プロトコル開始パケットを用いた場合には、新規認証プロトコルの実行を完了できるまでの間、前記認証プロトコル開始パケットを格納しておき、新規認証プロトコルの実行完了後に前記認証プロトコル開始パケットを新規通信プロトコルの下位の通信プロトコルに伝達し、
既存認証プロトコルの終了パケットまたは認証終了通知を新規通信プロトコルモジュールの1つまたは複数で検出したことを契機として、依存関係に基づいた順序の逆順に新規認証プロトコルの終了を行う。
【0007】
発明が解決しようとする課題の問題点(1),(2)に対しては、新規認証プロトコル起動の契機を、既存認証プロトコルの開始パケットまたは既存認証プロトコルからの認証開始通知によって判断することおよび新規認証プロトコルに必要なパラメータのみを外部アプリケーションから設定することによって解決する。問題点(3),(4),(5)に対しては、問題点(1),(2)の解決手段に加え、既存および認証プロトコルの依存関係をプロトコルスタックの順序から、より下位の層の認証プロトコルをより早く起動するように判断すること、新規認証プロトコルの依存関係の制御をすべての新規認証プロトコルを管理する認証プロトコル制御部を設けることによって解決する。
【0008】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0009】
[第1の実施形態]
図1は本発明の第1の実施形態のシステム構成図である。ユーザプロセス1はネットワーク接続用既存AP11と新規認証プロトコルパラメータ設定AP13を含む。オペレーティングシステム主要部2は通信プロトコル1〜Nと既存認証プロトコルPm+1〜Pと新規認証プロトコルP〜Pと物理または仮想インタフェース21と認証プロトコル制御部22を含む。
【0010】
次に、本実施形態の動作を説明する。
(1)ネットワークへの接続(図2)
1.ユーザが新規認証プロトコルパラメータ設定AP13を使用して、新規認証プロトコルP〜Pを実行するために必要なパラメータ設定を行っておく。ここで、「必要なパラメータ」とは、新規認証プロトコルP〜Pに固有のパラメータである。例えば、新規認証プロトコルがPPPの場合、必要なパラメータは、ユーザ名とパスワードになり、新規認証プロトコルがEAP‐TLS(RFC2716)を用いたIEEE802.1×の場合、ユーザIDとユーザ用×.509証明書および秘密鍵となる。
2.このとき、認証プロトコル制御部22は、新規通信プロトコルIの通信プロトコルモジュールに対して、既存認証プロトコルPm+1〜Pのうち、最初に起動される認証プロトコルの開始パケット、または既存認証プロトコルPm+1〜Pからの認証開始通知を検出するように設定する(ステップ103)。
3.ユーザがネットワーク接続用既存AP11を操作し、既存認証プロトコルPm+1〜Pを開始する。
4.既存認証プロトコルPm+1〜Pのうち、最初に起動されるべき認証プロトコルが開始され、その開始パケットまたは認証開始通知が下位の通信プロトコルに伝達されていく。
5.新規通信プロトコルIを処理する通信プロトコルモジュールが、既存認証プロトコルの開始パケットまたは認証開始通知を検出し、認証プロトコル制御部22に通知する(ステップ104)。このとき、開始パケットで検出を行った場合は、通信プロトコルIの通信プロトコルモジュールは、この開始パケットを他の通信プロトコルに伝達せず、格納しておく。
6.認証プロトコル制御部22は、新規認証プロトコルP〜Pの依存関係に基づいた順序で、新規認証プロトコルを開始する(ステップ101,102,105〜109)。ここで「新規認証プロトコルの依存関係に基づいた順序」は「起動順序」と、結果的に同じものとなる。「新規認証プロトコルの依存関係に基づいた順序」を、例をあげて説明すると、EthernetのポートにIEEE802.1×を用いており、そこからPPPoEを使用してネットワークに接続する場合、PPPoEで通信するためには、まず、IEEE802.1×を用いてEthernetのポートの使用許可を取得しなければならない。この場合には、PPPoEはIEEE802.1×に依存していることになる。
7.新規認証プロトコルの処理に失敗した場合には、それまでに処理した新規認証プロトコルを依存関係の逆順に終了していき、新規通信プロトコルモジュールIの上位の通信プロトコルモジュールに、ネットワーク利用不可を通知する(ステップ107,111〜114)。
8.新規認証プロトコルの開始を、既存認証プロトコルの開始パケットで検出した場合は、新規認証プロトコルの実行を完了したのち、認証プロトコル制御部22は、通信プロトコルIの通信プロトコルモジュールに、それまで格納していた開始パケットの送信を指示し(ステップ110)、通信プロトコルIの通信プロトコルモジュールは、下位の通信プロトコルに対して、開始パケットを伝達する。
【0011】
本実施形態では、既存認証プロトコルモジュールと新規認証プロトコルモジュールは独立して動作しており、既存認証プロトコルモジュールは、起動を指示された段階で、認証プロトコルの処理を始め、開始パケットを送出する。もし開始パケットを格納して、認証終了後に下位の通信プロトコルに伝達するということをしなければ、既存認証プロトコルモジュールは、開始パケットの送出または認証に失敗したと判断する可能性がある。よって、上記のような処理をしている。(2)ネットワークからの切断(図3)
1.認証プロトコル制御部22は、新規通信プロトコルIの通信プロトコルモジュールに対して、既存認証プロトコルPm+1〜Pのうち、最後に終了させるべき認証プロトコルの認証終了パケットまたは既存認証プロトコルモジュールからの認証終了通知を検出するように設定する(ステップ203)。
2.新規通信プロトコルIを処理する通信プロトコルモジュールが、既存認証プロトコルの認証終了パケット、または既存認証プロトコルモジュールからの認証終了通知を検出し、認証プロトコル制御部22に通知する(ステップ204)。
3.認証プロトコル制御部22は、新規認証プロトコルの依存関係に基づいた逆順序で、新規認証プロトコルを終了する(ステップ201,202,205,207〜209)。
4.上位認証プロトコル(Pm+1からP)に通信プロトコルモジュールを通じてネットワーク利用不可を通知する(ステップ210)。
【0012】
[第2の実施形態]
図4は本発明の第2の実施形態のシステム構成図である。本実施形態では、外部アプリケーションとして、ネットワーク接続用新規AP12を用いる。本実施形態の動作をネットワークへの接続とネットワークからの切断に分けて説明する。
(1)ネットワークへの接続
1.ユーザが新規ネットワーク接続用AP12を使用して、新規認証プロトコルP〜Pを実行するために必要なパラメータ設定を行っておく。
2.このとき、認証プロトコル制御部22は、新規通信プロトコルIの通信プロトコルモジュールに対して、既存認証プロトコルPm+1〜Pのうち、最初に起動される認証プロトコルの開始パケット、または、既存認証プロトコルモジュールからの認証開始通知を検出するように設定する。
3.ユーザがネットワーク接続用新規AP12を操作し、既存認証プロトコルPm+1〜Pを開始する。
4.既存認証プロトコルPm+1〜Pのうち、最初に起動されるべき認証プロトコルの開始パケット、または、認証開始通知が下位の通信プロトコルに伝達されていく。
5.新規通信プロトコルIを処理する通信プロトコルモジュールが、既存認証プロトコルの開始パケット、または、既存認証プロトコルモジュールからの認証開始通知を検出し、認証プロトコル制御部22に通知する。このとき、開始パケットを検出した場合には、通信プロトコルIの通信プロトコルモジュールは、この開始パケットを他の通信プロトコルに伝達せず、格納しておく。
6.認証プロトコル制御部22は、新規認証プロトコルの依存関係に基づいた順序で、新規認証プロトコルを開始する。
7.新規認証プロトコルの処理に失敗した場合には、それまでに処理した新規認証プロトコルを依存関係の逆順に終了していき、上位の通信プロトコルモジュールにネットワーク利用不可を通知する。
8.新規認証プロトコルの開始を、既存認証プロトコルの開始パケットで検出した場合は、新規認証プロトコルの処理を完了したのち、認証プロトコル制御部22は、通信プロトコルIの通信プロトコルモジュールに、それまで格納していた開始パケットの送信を指示し、通信プロトコルIの通信プロトコルモジュールは、下位の通信プロトコルに対して、開始パケットを伝達する。
上記の認証プロトコル制御部22の動作は、第1の実施形態のネットワークへの接続と同じであり、図2に示す通りである。
(2)ネットワークからの切断(図5)
1.既存認証プロトコルPm+1〜Pが終了したときに、ネットワーク接続用新規AP12は、その終了通知を受けとった後、認証プロトコル制御部22に対して新規認証プロトコルの終了を指示する。
2.認証プロトコル制御部22は、新規認証プロトコルP〜Pの依存関係に基づいた逆順序で、新規認証プロトコルP〜Pを終了する(ステップ301,302,304,305,306,307)。
3.上位認証プロトコルにネットワーク利用不可を通知する(ステップ308)。
【0013】
[第3の実施形態]
第1および第2の実施形態において認証プロトコル制御部22が新規認証プロトコルP〜Pを実行する際には、外部から与えられたパラメータをもとに単純に認証プロトコルを実行する例について説明した。本実施形態では、既存認証プロトコルPm+1〜Pが使用する通信プロトコルのパラメータによって、新規認証プロトコルP〜Pのパラメータを動的に使い分ける例について説明する。通信プロトコルP〜Pのパラメータとしては、IEEE 802.1Qなどの仮想ネットワークの情報を用いる例を示す。本実施形態では、図6に示すように、プロトコルKが仮想ネットワークVN1、VN2、およびVN3を提供している。そして、仮想ネットワークVN1、VN2、およびVN3について、通信ポート1、2、および3をそれぞれ上位層に対して提供している。その上位にある通信プロトコルは、各通信ポート1、2、および3を、より上位の通信プロトコルに対しても提供し、既存認証プロトコルPm+1〜Pが各通信ポートを使い分けることができるようにする。
(1)ネットワークへの接続
第1および第2の実施形態のネットワークへの接続の手順において6.を以下のように変更する。すなわち、既存認証プロトコルPm+1〜PがVN1、VN2、VN3用のネットワークポートを使用するかによって、新規認証プロトコルP〜Pで使用するパラメータを変更する。これらのパラメータの組合せは、ネットワーク接続用新規AP12または新規認証プロトコルパラメータ設定AP13から新規認証プロトコル処理モジュールに渡される。新規認証プロトコルモジュールに渡されるパラメータとしては、ユーザ名、パスワード、X.509証明書と秘密鍵のペアなどを用いる。
例として、ユーザ名およびパスワードを使い分ける場合には、表1のようなテーブルを管理しておき、既存認証プロトコルPm+1〜Pが通信ポート1、2、3を使うかによって、ユーザ名とパスワードのペアとして、UID1とPW1、UID2とPW2、UID3とPW3を使用する。
【0014】
【表1】
Figure 2004112037
【0015】
(2)ネットワークからの切断
第1、第2の実施形態と同じである。
【0016】
[第4の実施形態]
図7は本実施形態のシステム構成図である。本実施形態は全ての認証プロトコルP〜Pが認証プロトコル制御部22によって管理される例である。ユーザプロセス1はネットワーク接続用AP14を含み、オペレーティングシステム主要部2は物理または仮想インターフェース20、認証プロトコル制御部22、認証プロトコルP〜P、および通信プロトコル1〜Nを含む。
(1)認証プロトコルの追加・削除
認証プロトコルが追加される時には、まず、追加された認証プロトコルの情報が認証プロトコル制御部22に通知される。また、追加された認証プロトコルより先に実行しなければならない認証プロトコルと後に実行しなければならない認証プロトコルの情報が認証プロトコル制御部22に渡される。追加された認証プロトコルモジュールに対する、起動・終了・中断などの制御は、認証プロトコル制御部22から指示される。
(2)使用認証プロトコルおよび認証プロトコルのパラメータの通知
ネットワーク接続用AP14からは、使用する認証プロトコルの種類とそれぞれの認証プロトコルに必要なパラメータ(ユーザID、パスワード、X.509証明書と秘密鍵ペアなど)が認証プロトコル制御部22に登録される。
(3)ネットワークへの接続
ネットワークへの接続は、ネットワーク接続用AP14から指示され、以下のように動作する。
1.ユーザがネットワーク接続用AP14を使用して、使用する認証プロトコルの種類、認証プロトコルを実行するために必要なパラメータ設定を行っておく。
2.ユーザがネットワーク接続用AP14を操作し、認証プロトコルを開始する。
3.認証プロトコル制御部22は、認証プロトコルの依存関係に基づいた順序で、認証プロトコルを開始する。
4.認証プロトコルの処理に失敗した場合には、それまでに処理した認証プロトコルを依存関係の逆順に終了していき、上位の通信プロトコル処理モジュールに、ネットワーク利用不可を通知する。
(4)ネットワークからの切断
1.ユーザがネットワーク接続用AP14を使用して、認証プロトコル終了の指示を認証プロトコル制御部22に通知する。
2.認証プロトコル制御部22は、認証プロトコルの依存関係に基づいた逆順序で、新規認証プロトコルを終了する。
【0017】
[第5の実施形態]
本実施形態では、外部アプリケーションとして、ネットワーク接続用既存APと新規認証パラメータ設定APを用いる。本実施形態は、図2に示すように、ネットワーク接続既存AP11と、新規認証プロトコルパラメータ設定AP13と、通信プロトコルモジュール1〜Nと、既存認証プロトコルモジュールPm+1〜Pと、新規認証プロトコルモジュールP〜Pと、認証プロトコル制御部22で構成される。
【0018】
本実施形態の動作を、認証プロトコルの追加・削除、使用認証プロトコルおよびパラメータの通知、ネットワークへの接続およびネットワークからの切断に分けて説明する。
【0019】
(1)認証プロトコルの追加・削除
認証プロトコルが追加される時には、まず、追加された認証プロトコルの情報が認証プロトコル制御部22に通知される。また、追加された認証プロトコルより先に実行されなければならない認証プロトコルと後に実行されなければならない認証プロトコルの情報が認証プロトコル制御部22に渡される。追加された認証プロトコルモジュールに対する、起動・終了・中断などの制御は、認証プロトコル制御部22から指示される。
【0020】
(2)使用認証プロトコルおよび認証プロトコルパラメータの通知
新規認証プロトコルパラメータ設定AP13からは、使用する認証プロトコルの種類とそれぞれの認証プロトコルに必要なパラメータ(ユーザID、パスワード、X509証明書と秘密鍵ペアなど)が認証プロトコル制御部22に登録される。
【0021】
(3)ネットワークへの接続
ネットワークへの接続は以下の順序で行う。
1.ユーザが新規認証プロトコルパラメータ設定AP13を使用して、新規認証プロトコルP〜Pを実行するために必要なパラメータ設定を行っておく。ここで、新規認証プロトコルパラメータ設定AP13を通して指定された情報は、(2)で説明したように認証プロトコル制御部22に登録される。
2.このとき、認証プロトコル制御部22は、新規通信プロトコルIの通信プロトコルモジュールに対して、既存認証プロトコルからPm+1〜Pのうち、最初に起動される認証プロトコルの開始パケット、または既存認証プロトコルの認証開始通知を検出するように設定する。
3.ユーザがネットワーク接続用既存AP11を操作し、既存認証プロトコルPm+1〜Pを開始する。
4.既存認証プロトコルPm+1〜Pのうち、もっとも最初に起動されるべき認証プロトコルが開始され、その開始パケットまたは認証開始通知が下位の通信プロトコルに伝達されていく。
5.新規通信プロトコルIを処理する通信プロトコルモジュールが、既存認証プロトコルPm+1〜Pの開始パケットまたは認証開始通知を検出し、認証プロトコル制御部22に通知する。このとき、開始パケットで検出を行なった場合は、通信プロトコルIの通知プロトコルモジュールは、この開始パケットを他の通信プロトコルに伝達せず、格納しておく。
6.認証プロトコル制御部22は、新規認証プロトコルの依存関係に基づいた順序で、新規認証プロトコルを開始する。
7.新規認証プロトコルの処理に失敗した場合には、それまでに処理した新規認証プロトコルを依存関係の逆順に終了していき、上位の通信プロトコル処理モジュールに、ネットワーク利用不可を通知する。
8.新規認証プロトコルの開始を、既存認証プロトコルの開始パケットで検出した場合は、新規認証プロトコルの実行を完了したのち、認証プロトコル制御部22は、通信プロトコルIの通信プロトコルモジュールに、それまで格納していた開始パケットの送信を指示し、通信プロトコルIの通信プロトコルモジュールは、下位の通信プロトコルに対して、開始パケットを伝達する。
【0022】
認証プロトコル制御部22の上記の動作を図2に示す。
【0023】
(4)ネットワークからの切断
第1・第2の実施形態と同じである。認証プロトコル制御部22の上記の動作を図3に示す。
【0024】
〔第6の実施形態〕
本実施形態では、認証プロトコルが使用する通信プロトコルのパラメータによって、他の認証プロトコルのパラメータを動的に使い分ける例について説明する。通信プロトコルのパラメータとしては、IEEE802.1Qなどの仮想ネットワークの情報を用いる例を示す。本実施形態では、図8に示すように、プロトコルKが仮想ネットワークVN1、VN2、およびVN3を提供している。そして、仮想ネットワークVN1、VN2、およびVN3について、通信ポート1、2、および3をそれぞれ上位層に対して提供している。その上位にある通信プロトコルは、各通信ポート1、2および3を、より上位の通信プロトコルに対しても提供し、認証プロトコルが各通信ポートを使い分けることができるようにする。本実施形態では、認証プロトコルPが通信プロトコルK+1を使用し、認証プロトコルPが通信プロトコルKを使用し、認証プロトコルPの使用する通信プロトコルK+1の通信パラメータである仮想ネットワークの違いによって、認証プロトコルPの認証パラメータを変更する例を示す。
【0025】
(1)認証プロトコルの追加・削除
認証プロトコルが追加される時には、まず、追加された認証プロトコルの情報が認証プロトコル制御部22に通知される。また、追加された認証プロトコルより先に実行しなければならない認証プロトコルと後に実行しなければならない認証プロトコルの情報が認証プロトコル制御部22に渡される。追加された認証プロトコルモジュールに対する、起動・終了・中断などの制御は、認証プロトコル制御部22から指示される。
【0026】
(2)使用認証プロトコルおよび認証プロトコルのパラメータの通知
ネットワーク接続用AP14からは、使用する認証プロトコルの種類とそれぞれの認証プロトコルに必要なパラメータ(ユーザID、パスワード、X509証明書と秘密鍵ペアなど)が認証プロトコル制御部22に登録される。
【0027】
(3)ネットワークへの接続
第1および第2の実施形態のネットワークへの接続の手順において6.を以下のように変更する。すなわち、認証プロトコルPmが通信プロトコルK+1のパラメータとしてVN1、VN2、VN3用のネットワークポートを使用するかによって、認証プロトコルKで使用するパラメータを変更する。これらのパラメータの組合せは、ネットワーク接続用APから認証プロトコル制御部22に渡される。認証プロトコルに渡されるパラメータとしては、ユーザ名、パスワード、X509証明書と秘密鍵のペアなどを用いる。例として、ユーザ名およびパスワードを使い分ける場合には、表1のようなテーブルを管理しておき、認証プロトコルが通信ポート1、2、3を使うかによって、ユーザ名とパスワードのペアとして、UID1とPW1、UID2とPW2、UID3とPW3を使用する。
【0028】
(4)ネットワークからの切断
第1、第2実施形態と同じである。
【0029】
なお、以上説明した認証プロトコル処理方法は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0030】
【発明の効果】
以上説明したように、本発明は下記のような効果がある。
(1)新規認証プロトコルを起動・制御するためにネットワーク接続用新規APという起動アプリケーションが不要となる。
(2)ネットワーク接続用既存および新規APをユーザが使用する形態では、ユーザが新規および既存認証プロトコルの依存関係に基づいて両APを操作する必要がない。
(3)新規APから既存および新規認証プロトコルの起動・終了などの制御を行う形態では、新規および既存認証プロトコルの依存関係に基づいた認証プロトコルの開始・終了の管理・制御を新規APに作成する必要がない。
(4)外部アプリケーションが認証プロトコルの状態を把握・制御する必要がない。
(5)新規認証プロトコル追加時に、既存・新規認証プロトコル間の依存関係の制御を追加の度に作り出す必要がない。
【図面の簡単な説明】
【図1】本発明の第1の実施形態のシステム構成図である。
【図2】ネットワークへの接続における認証プロトコル制御部の動作を示すフローチャートである。
【図3】新規認証プロトコルの終了判断を既存認証プロトコルの認証終了パケットによって行う場合の認証プロトコル制御部の動作を示すフローチャートである。
【図4】本発明の第2の実施形態のシステム構成図である。
【図5】新規認証プロトコルの終了判断を既存認証プロトコルから外部アプリケーションへの認証終了通知によって行う場合の認証プロトコル制御部の動作を示すフローチャートである。
【図6】本発明の第3の実施形態で、既存認証プロトコルが使用する仮想ネットワークのパラメータに応じた新規認証プロトコルの動作の動的な変更を行うシステムの構成図である。
【図7】本発明の第5の実施形態で、すべての認証プロトコルが認証プロトコル制御部によって管理されるシステムの構成図である。
【図8】本発明の第6の実施形態で、すべての認証プロトコルが認証プロトコル制御部によって管理され、ある認証プロトコルのパラメータを他の認証プロトコルのパラメータによって決めるシステムの構成図である。
【図9】従来の新規認証プロトコル処理を行なうシステムの構成図である。
【符号の説明】
1  ユーザプロセス
2  オペレーティングシステム主要部
11  ネットワーク接続用既存AP
12  ネットワーク接続用新規AP
13  新規認証プロトコルパラメータ設定AP
14  ネットワーク接続用AP
21  物理または仮想インタフェース
22  認証プロトコル制御部
〜P  新規認証プロトコル
m+1〜P  既存認証プロトコル

Claims (10)

  1. ネットワークへのアクセス手段としての物理または仮想インターフェイスと、階層化された複数の通信プロトコルと、これら通信プロトコルを処理する通信プロトコルモジュールと、既に実装されている認証プロトコルである既存認証プロトコルと、前記既存認証プロトコル、新規に実装される認証プロトコルである新規認証プロトコルをそれぞれ処理する既存認証プロトコルモジュール、新規認証プロトコルモジュールを有する計算機端末における認証プロトコル処理方法であって、
    前記既存認証プロトコルモジュールから開始された認証プロトコル開始パケット、または前記既存認証プロトコルモジュールからの認証開始通知を、前記既存認証プロトコルより下位で1つまたは複数の通信プロトコルを処理する新規通信プロトコルモジュールの1つまたは複数で検出したことを新規認証プロトコルの開始契機とし、
    1つまたは複数の新規認証プロトコルを実行するために必要な、新規認証プロトコル間の依存関係を管理し、
    前記依存関係に基づいた順序に従って前記新規認証プロトコルの開始・実行を行ない、
    前記新規認証プロトコルの開始契機として認証プロトコル開始パケットを用いた場合には、新規認証プロトコルの実行を完了できるまでの間、前記認証プロトコル開始パケットを格納しておき、新規認証プロトコルの実行完了後に前記認証プロトコル開始パケットを新規通信プロトコルの下位の通信プロトコルに伝達し、
    既存認証プロトコルの終了パケットまたは認証終了通知を前記新規通信プロトコルモジュールの1つまたは複数で検出したことを契機として、前記依存関係に基づいた順序の逆順に前記新規認証プロトコルの終了を行う認証プロトコル処理方法。
  2. 前記既存認証プロトコルを起動するアプリケーションが判断する認証終了を契機として前記新規認証プロトコルの終了を行う、請求項1に記載の認証プロトコル処理方法。
  3. 前記既存認証プロトコルのパラメータおよび既存認証プロトコルが使用する通信プロトコルのパラメータの1つまたは複数をもとに、前記新規認証プロトコルの実行に使用するパラメータを判断し、前記新規認証プロトコルを実行する、請求項1または2に記載の認証プロトコル処理方法。
  4. 前記既存認証プロトコルをPPP、前記新規認証プロトコルをIEEE 802.1X、前記新規通信プロトコルモジュールを、PPPoEを処理するモジュールとする、請求項1から3のいずれか1項に記載の認証プロトコル処理方法。
  5. ネットワークへのアクセス手段としての物理または仮想インターフェイスと、階層化された複数の通信プロトコルと、これら通信プロトコルを処理する通信プロトコルモジュールと、既に実装されている認証プロトコルである既存認証プロトコルと、前記既存認証プロトコル、新規に実装される認証プロトコルである新規認証プロトコルをそれぞれ処理する既存認証プロトコルモジュール、新規認証プロトコルモジュールを有する計算機端末における認証プロトコル処理方法であって、
    1つまたは複数の認証プロトコルを実行するために必要な、認証プロトコル間の依存関係を管理し、
    前記依存関係に基づいた順序に従い、前記認証プロトコルの開始を行い、認証プロトコルの終了の指示に対して、認証プロトコル間の依存関係に基づいた順序の逆順序に従い、前記認証プロトコルの終了を行う認証プロトコル処理方法。
  6. 複数の認証プロトコルを実行する際に、ある認証プロトコルのパラメータおよび認証プロトコルが使用する通信プロトコルのパラメータの1つまたは複数をもとに、他の認証プロトコルの実行に使用するパラメータを判断し、前記認証プロトコルを実行する、請求項5に記載の認証プロトコル処理方法。
  7. ネットワークへのアクセス手段としての物理または仮想インターフェイスと、階層化された複数の通信プロトコルと、これら通信プロトコルを処理する通信プロトコルモジュールと、既に実装されている認証プロトコルである既存認証プロトコルと、前記既存認証プロトコル、新規に実装される認証プロトコルである新規認証プロトコルをそれぞれ処理する既存認証プロトコルモジュール、新規認証プロトコルモジュールを有する計算機端末において、
    前記既存認証プロトコルより下位で1つまたは複数の通信プロトコルを処理する1つまたは複数の新規通信プロトコルモジュールと、
    前記新規通信プロトコルモジュールに対して前記既存認証プロトコルモジュールのうち最初に起動される認証プロトコルの開始パケット、または前記既存認証プロトコルモジュールからの認証開始通知を検出するように設定し、1つまたは複数の新規認証プロトコルを実行するために必要な、新規認証プロトコル間の依存関係を管理し、前記依存関係に基づいた順序に従って前記新規認証プロトコルの開始・実行を行ない、前記新規認証プロトコルの開始契機として認証プロトコル開始パケットを用いた場合には、新規認証プロトコルの実行完了後に、新規通信プロトコルの通信プロトコルモジュールに対して、それが新規認証プロトコルの実行を完了できるまでの間、格納していた前記認証プロトコル開始パケットの下位の通信プロトコルへの伝達を指示し、既存認証プロトコルの終了パケットまたは認証終了通知を前記新規通信プロトコルモジュールの1つまたは複数で検出したことを契機とし、前記依存関係に基づいた順序の逆順に前記新規認証プロトコルの終了を行う認証プロトコル制御部を有することを特徴とする計算機端末。
  8. ネットワークへのアクセス手段としての物理または仮想インターフェイスと、階層化された複数の通信プロトコルと、これら通信プロトコルを処理する通信プロトコルモジュールと、既に実装されている認証プロトコルである既存認証プロトコルと、前記既存認証プロトコル、新規に実装される認証プロトコルである新規認証プロトコルをそれぞれ処理する既存認証プロトコルモジュール、新規認証プロトコルモジュールを有する計算機端末において、
    複数の認証プロトコルモジュールを管理する認証プロトコル制御部と、該認証プロトコル制御部と認証プロトコルモジュールとの間にあって、認証プロトコルモジュールの追加・削除、認証プロトコルモジュールの認証パラメータの設定・開始・中断・終了・他の認証プロトコルとの依存関係の指定を行うインタフェースを有し、
    前記認証プロトコル制御部は、1つまたは複数の認証プロトコルを実行するために必要な認証プロトコル間の依存関係を管理し、前記依存関係に基づいた順序に従い、前記認証プロトコルの開始を行い、認証プロトコルの終了の指示に対して、前記依存関係に基づいた順序の逆順序に従い、前記認証プロトコルの終了を行うことを特徴とする計算機端末。
  9. 請求項1から6のいずれか1項に記載の認証プロトコル処理方法をコンピュータに実行させるためのプログラム。
  10. 請求項9に記載のプログラムを記録した、コンピュータ読取り可能な記録媒体。
JP2002268247A 2002-09-13 2002-09-13 認証プロトコル処理方法、計算機端末、認証プロトコル処理プログラム、および記録媒体 Expired - Lifetime JP3656194B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002268247A JP3656194B2 (ja) 2002-09-13 2002-09-13 認証プロトコル処理方法、計算機端末、認証プロトコル処理プログラム、および記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002268247A JP3656194B2 (ja) 2002-09-13 2002-09-13 認証プロトコル処理方法、計算機端末、認証プロトコル処理プログラム、および記録媒体

Publications (2)

Publication Number Publication Date
JP2004112037A true JP2004112037A (ja) 2004-04-08
JP3656194B2 JP3656194B2 (ja) 2005-06-08

Family

ID=32266518

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002268247A Expired - Lifetime JP3656194B2 (ja) 2002-09-13 2002-09-13 認証プロトコル処理方法、計算機端末、認証プロトコル処理プログラム、および記録媒体

Country Status (1)

Country Link
JP (1) JP3656194B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006186773A (ja) * 2004-12-28 2006-07-13 Kddi Corp プロトコル生成装置および方法ならびにプログラム
JP2009044632A (ja) * 2007-08-10 2009-02-26 Toshiba Corp 認証装置およびネットワーク認証システム、ならびに端末装置を認証するための方法およびプログラム
JP2010016819A (ja) * 2008-06-30 2010-01-21 Intel Corp 多機能装置内の機能的な依存性の順序付け
JP2010049631A (ja) * 2008-08-25 2010-03-04 Fujitsu Ltd ワークフロー開発プログラム、ワークフロー開発装置、およびワークフロー開発方法
JP2017152054A (ja) * 2013-03-14 2017-08-31 アマゾン テクノロジーズ インコーポレイテッド サービスとしての装置の提供
JP2021131897A (ja) * 2020-06-29 2021-09-09 バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド スケジューリング方法、装置、設備、記憶設備、及びプログラム

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006186773A (ja) * 2004-12-28 2006-07-13 Kddi Corp プロトコル生成装置および方法ならびにプログラム
JP2009044632A (ja) * 2007-08-10 2009-02-26 Toshiba Corp 認証装置およびネットワーク認証システム、ならびに端末装置を認証するための方法およびプログラム
JP2010016819A (ja) * 2008-06-30 2010-01-21 Intel Corp 多機能装置内の機能的な依存性の順序付け
JP2010049631A (ja) * 2008-08-25 2010-03-04 Fujitsu Ltd ワークフロー開発プログラム、ワークフロー開発装置、およびワークフロー開発方法
JP2017152054A (ja) * 2013-03-14 2017-08-31 アマゾン テクノロジーズ インコーポレイテッド サービスとしての装置の提供
US10326762B2 (en) 2013-03-14 2019-06-18 Amazon Technologies, Inc. Providing devices as a service
US10362032B2 (en) 2013-03-14 2019-07-23 Amazon Technologies, Inc. Providing devices as a service
JP2021131897A (ja) * 2020-06-29 2021-09-09 バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド スケジューリング方法、装置、設備、記憶設備、及びプログラム
JP7174107B2 (ja) 2020-06-29 2022-11-17 バイドゥ オンライン ネットワーク テクノロジー(ペキン) カンパニー リミテッド スケジューリング方法、装置、設備、記憶設備、及びプログラム

Also Published As

Publication number Publication date
JP3656194B2 (ja) 2005-06-08

Similar Documents

Publication Publication Date Title
US8032117B2 (en) Dynamic passing of wireless configuration parameters
US7930374B2 (en) Configuring network settings using portable storage media
JP4714111B2 (ja) 管理計算機、計算機システム及びスイッチ
US6748543B1 (en) Validating connections to a network system
US7263192B2 (en) Establishing an encrypted session
US7710903B2 (en) System and method for floating port configuration
JP3844762B2 (ja) Eponにおける認証方法及び認証装置
TWI360781B (en) Method for configuring a computer device using loa
US8892602B2 (en) Secure configuration of authentication servers
JP2005223899A (ja) ネットワーク・デバイス構成のためのxmlスキーマ
KR20060047551A (ko) 네트워크 검역을 제공하기 위한 방법 및 시스템
JP2006229836A (ja) 通信装置
JP2006523412A (ja) 公共のホット・スポットにおけるクライアント端末の自動設定
JP2005025739A (ja) セキュリティプロトコルの自動ネゴシエーションのためのシステムおよび方法
WO2018196587A1 (zh) 融合网络中的用户认证方法及装置
WO2014166206A1 (zh) 安全网络接入处理方法及装置
CN113595847A (zh) 远程接入方法、系统、设备和介质
US20060248335A1 (en) Configuring interfaces of a switch using templates
CN102271120A (zh) 一种增强安全性的可信网络接入认证方法
JP3656194B2 (ja) 認証プロトコル処理方法、計算機端末、認証プロトコル処理プログラム、および記録媒体
JP4764600B2 (ja) 無線インタフェース可能な通信装置、及び該通信装置を関連付けするための方法
US20090262738A1 (en) Method for promptly redialing a broadband access server
JP2008289040A (ja) 端末pcの接続先制御方法及びシステム
JP2003158538A (ja) ゲートウェイ装置及び該装置を用いたアクセス方法
TWI823450B (zh) 基站管理系統和方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050120

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050126

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20050223

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050223

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050223

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080318

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090318

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090318

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100318

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110318

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110318

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120318

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130318

Year of fee payment: 8