JP2004318582A - ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラム - Google Patents
ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラム Download PDFInfo
- Publication number
- JP2004318582A JP2004318582A JP2003112871A JP2003112871A JP2004318582A JP 2004318582 A JP2004318582 A JP 2004318582A JP 2003112871 A JP2003112871 A JP 2003112871A JP 2003112871 A JP2003112871 A JP 2003112871A JP 2004318582 A JP2004318582 A JP 2004318582A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication terminal
- authentication
- edge router
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】簡易な認証により、通信の自由度及び接続環境のモビリティーを確保しながら、ユーザあるいは端末を特定したセキュアな閉域網接続を提供する。
【解決手段】PC20−1は、エッジルータ40から受信したIPアドレスの上位ビットと、MACアドレスを基に生成した下位ビットとからIPアドレスを生成する。続いて、自身に装着されたハードウェアキー10内のデジタル証明書を用いて認証サーバ51との間で認証を行う。認証が成功した場合、認証サーバ51は、DDNSサーバ52へPC20−1のIPアドレスをホスト名に対応させて登録するとともに、エッジルータ40へこのIPアドレスからの通信パケットを転送するように指示する。PC20−1は、着信先との通信中も定期的に認証サーバ51との間で認証を行う。
【選択図】 図1
【解決手段】PC20−1は、エッジルータ40から受信したIPアドレスの上位ビットと、MACアドレスを基に生成した下位ビットとからIPアドレスを生成する。続いて、自身に装着されたハードウェアキー10内のデジタル証明書を用いて認証サーバ51との間で認証を行う。認証が成功した場合、認証サーバ51は、DDNSサーバ52へPC20−1のIPアドレスをホスト名に対応させて登録するとともに、エッジルータ40へこのIPアドレスからの通信パケットを転送するように指示する。PC20−1は、着信先との通信中も定期的に認証サーバ51との間で認証を行う。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
この発明は、ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラムに関する。
【0002】
【従来の技術】
近年、いつでもどこでも簡単にコンピュータを利用できる環境を整備したユビキタス社会への移行が進みつつある。そして、このユビキタス社会に対して、閉域網サービスで提供されるような高セキュアな通信が求められている。
一方、非特許文献1には、無線LAN(Local Area Network)を用い、公衆の無線アクセスポイントを介してインターネットなどにアクセスする公衆型無線アクセスサービスについて記載されている。しかし、この公衆型無線アクセスサービスでは、利用者の端末と無線アクセスポイント間の無線部分の認証だけを行い、最終的な接続先までを含めた認証を行うことはできない。
また、非特許文献2には、IPv6を用いた閉域網サービスの実験について記載されている。これは、エッジルータのアクセスコントロール機能により、IPv6アドレスの上位64ビットのフィルタによりアクセス回線を特定する仕組みを用いている。しかし、この方法では、端末やユーザの割り出しは不可能であり、アクセス回線を公衆に解放した場合、サービス未加入者の接続を排除できない。
また、非特許文献3には、ウェブサイトに対して共通のインターネット認証を提供するオンラインサービスであるシングルサインオン方式について記載されている。このシングルサインオン方式は、ユーザの認証後にセッションキーを払い出す方法であり、セッションキーを理解できるプロトコルやサーバに通信が限定され、広範囲で自由度の高い通信ができない。
【0003】
【非特許文献1】
「NTT東日本BUSINESS」、2002年7月、No.628、P.21−23
【非特許文献2】
「NTT東日本BUSINESS」、2003年2月、No.635、p.19−20
【非特許文献3】
「Microsoft .NET Passport 技術概要」、2001年9月、p.1−24
【0004】
【発明が解決しようとする課題】
本発明は、上記事情を考慮してなされたものであり、その目的は、簡易な認証により、通信の自由度及び接続環境のモビリティーを確保しながら、ユーザあるいは端末を特定したセキュアな閉域網接続を実現することのできるネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラムを提供することにある。
【0005】
【課題を解決するための手段】
この発明は、上記の課題を解決すべくなされたもので、請求項1に記載の発明は、通信端末を認証する認証装置と、通信パケットの転送を制御するエッジルータを含んで構成されるネットワークとからなるネットワークアクセスシステムであって、前記認証装置は、ホスト毎の認証情報を記憶する記憶手段と、通信端末から認証情報及びホストの識別情報を受信し、前記記憶手段内の認証情報により認証を行う認証手段と、認証が成功した場合に、前記通信端末を収容するエッジルータへこの通信端末からの通信パケットの転送を指示する転送指示手段と、認証が成功した時に起動するタイマと、前記タイマが満了した場合、あるいは、前記通信端末が切断を行った場合に、前記エッジルータへ前記通信端末からの通信パケットの転送を制限するよう指示する転送制限指示手段とを備え、前記エッジルータは、通信を許可する通信端末の識別情報のリストであるアクセスコントロールリストを記憶する記憶手段と、前記認証装置からの指示に応じて、前記通信端末の識別情報を前記アクセスコントロールリストに登録あるいは削除する登録制御手段と、新たに接続された通信端末に対して、アドレスを生成するための情報を通知する通知手段と、前記アクセスコントロールリスト内に登録されていない通信端末からの通信パケットを受信したときには、前記認証装置宛である場合にこの通信パケットを転送し、その他宛の場合にはこの通信パケットを破棄するとともに、前記アクセスコントロールリスト内に登録されている通信端末からの通信パケットを受信したときには、当該通信パケットを転送する通信制御手段とを備える、ことを特徴とするネットワークアクセスシステムである。
【0006】
請求項2に記載の発明は、請求項1に記載のネットワークアクセスシステムであって、さらに、ホストの識別情報とアドレス情報とを相互に変換するドメインネームシステム装置とからなり、前記認証装置は、前記通信端末のアドレス情報及びホストの識別情報を前記ドメインネームシステム装置へ送信し、登録を要求する登録要求手段をさらに備え、前記ドメインネームシステム装置は、ホストの識別情報に対応させて通信端末のアドレス情報を記憶する記憶手段と、前記認証装置から通信端末のアドレス情報及びホストの識別情報を受信し、受信したホストの識別情報に対応させて前記記憶手段に受信したアドレス情報を書き込む書込手段とを備える、ことを特徴とする。
【0007】
請求項3に記載の発明は、請求項1または請求項2に記載のネットワークアクセスシステムであって、さらに、通信装置が通信可能な接続先のリストであるポリシーリストを管理するアクセス制御装置とからなり、前記転送指示手段は、前記アクセス制御装置へ認証された前記通信端末からの通信パケットの転送を指示し、前記アクセス制御装置は、ポリシーリストを記憶する記憶手段と、前記認証装置から通信パケットの転送の指示を受信し、認証された前記通信端末を収容するエッジルータ、及び、この通信装置が通信可能な接続先を収容するエッジルータへ、この通信端末からの通信パケットの転送を指示する指示手段とを備える、ことを特徴とする。
【0008】
請求項4に記載の発明は、請求項3に記載のネットワークアクセスシステムであって、前記アクセス制御装置は、前記通信端末からの指示を受け、前記ポリシーリストを書き替える更新手段をさらに備える、ことを特徴とする。
【0009】
請求項5に記載の発明は、ホスト毎の認証情報を記憶する記憶手段と、通信端末から認証情報及びホストの識別情報を受信し、前記記憶手段内の認証情報により認証を行う認証手段と、認証が成功した場合に、前記通信端末を収容するエッジルータへこの通信端末からの通信パケットの転送を指示する転送指示手段と、認証が成功した時に起動するタイマと、前記タイマが満了した場合、あるいは、前記通信端末が切断を行った場合に、前記エッジルータへ前記通信端末からの通信パケットの転送を制限するよう指示する転送制限指示手段と、を備えることを特徴とする認証装置である。
【0010】
請求項6に記載の発明は、請求項5に記載の認証装置であって、さらに、前記通信端末のアドレス情報及びホストの識別情報を前記ドメインネームシステム装置へ送信し、登録を要求する登録要求手段、を備えることを特徴とする。
【0011】
請求項7に記載の発明は、通信を許可する通信端末の識別情報のリストであるアクセスコントロールリストを記憶する記憶手段と、認証装置からの指示に応じて、通信端末の識別情報を前記アクセスコントロールリストに登録あるいは削除する登録制御手段と、新たに接続された通信端末に対して、アドレスを生成するための情報を通知する通知手段と、前記アクセスコントロールリスト内に登録されていない通信端末からの通信パケットを受信したときには、前記認証装置宛である場合にこの通信パケットを転送し、その他宛の場合にはこの通信パケットを破棄するとともに、前記アクセスコントロールリスト内に登録されている通信端末からの通信パケットを受信したときには、当該通信パケットを転送する通信制御手段と、を備えることを特徴とするエッジルータである。
【0012】
請求項8に記載の発明は、請求項7に記載のエッジルータであって、前記アクセスコントロールリスト内の通信端末の識別情報は、該通信端末のIPアドレス情報であることを特徴とする。
【0013】
請求項9に記載の発明は、通信装置が通信可能な接続先のリストであるポリシーリストを記憶する記憶手段と、認証装置から通信パケットの転送の指示を受信し、前記認証装置が認証した通信端末を収容するエッジルータ、及び、この通信装置が通信可能な接続先を収容するエッジルータへ、この通信端末からの通信パケットの転送を指示する指示手段と、を備えることを特徴とするアクセス制御装置である。
【0014】
請求項10に記載の発明は、通信端末を認証する認証装置と、通信パケットの転送を制御するエッジルータを含んで構成されるネットワークとからなるネットワークアクセスシステムに用いられるネットワークアクセス方法であって、前記エッジルータが、通信を許可する通信端末の識別情報のリストであるアクセスコントロールリストを記憶する記憶手段を用意し、前記アクセスコントロールリスト内に登録されていない通信端末から通信パケットを受信したときには、前記認証装置宛である場合にこの通信パケットを転送し、その他宛の場合にはこの通信パケットを破棄するとともに、前記アクセスコントロールリスト内に登録されている通信端末から通信パケットを受信したときには、当該通信パケットを転送しながら、新たに接続された通信端末に対して、アドレスを生成するための情報を通知し、前記認証装置が、ホスト毎の認証情報を記憶する記憶手段を用意し、前記エッジルータが送信したアドレスを生成するための情報を用いてアドレスを生成した通信端末から認証情報及びホストの識別情報を受信し、前記記憶手段内の認証情報により認証を行い、認証が成功した場合に、前記通信端末を収容するエッジルータへこの通信端末からの通信パケットの転送を指示するとともにタイマを起動し、前記エッジルータが、前記認証装置からの指示に応じて、認証された前記通信端末の識別情報を前記アクセスコントロールリストに登録し、前記認証装置が、前記タイマが満了した場合、あるいは、前記通信端末が切断を行った場合に、前記エッジルータへ前記通信端末からの通信パケットの転送を制限するよう指示し、前記エッジルータが、前記認証装置からの指示に応じて、前記通信端末の識別情報を前記アクセスコントロールリストから削除する、ことを特徴とするネットワークアクセス方法である。
【0015】
請求項11に記載の発明は、通信端末を認証する認証装置に用いられるコンピュータプログラムであって、ホスト毎の認証情報を記憶手段に記憶するステップと、通信端末から認証情報及びホストの識別情報を受信し、前記記憶手段内の認証情報により認証を行うステップと、認証が成功した場合に、前記通信端末を収容するエッジルータへこの通信端末からの通信パケットの転送を指示するステップと、認証が成功した時にタイマを起動するステップと、前記タイマが満了した場合、あるいは、前記通信端末が切断を行った場合に、前記エッジルータへ前記通信端末からの通信パケットの転送を制限するよう指示するステップと、をコンピュータに実行させることを特徴とするコンピュータプログラムである。
【0016】
請求項12に記載の発明は、通信パケットの転送を制御するエッジルータに用いられるコンピュータプログラムであって、通信を許可する通信端末の識別情報のリストであるアクセスコントロールリストを記憶手段に記憶するステップと、認証装置からの指示に応じて、通信端末の識別情報を前記アクセスコントロールリストに登録あるいは削除するステップと、新たに接続された通信端末に対して、アドレスを生成するための情報を通知するステップと、前記アクセスコントロールリスト内に登録されていない通信端末からの通信パケットを受信したときには、前記認証装置宛である場合にこの通信パケットを転送し、その他宛の場合にはこの通信パケットを破棄するとともに、前記アクセスコントロールリスト内に登録されている通信端末からの通信パケットを受信したときには、当該通信パケットを転送するステップと、をコンピュータに実行させることを特徴とするコンピュータプログラムである。
【0017】
請求項13に記載の発明は、通信装置が通信可能な接続先のリストであるポリシーリストを管理するアクセス制御装置に用いられるコンピュータプログラムであって、ポリシーリストを記憶手段に記憶するステップと、認証装置から通信パケットの転送の指示を受信し、前記認証装置が認証した通信端末を収容するエッジルータ、及び、この通信装置が通信可能な接続先を収容するエッジルータへ、この通信端末からの通信パケットの転送を指示するステップと、をコンピュータに実行させることを特徴とするコンピュータプログラムである。
【0018】
【発明の実施の形態】
以下、図面を参照し、この発明の実施の形態について説明する。図1は、この発明の一実施の形態によるネットワークアクセスシステムを用いた閉域網接続システムの構成を示すブロック図である。
【0019】
通信事業者は、IPv6を用いたセキュアな閉域網であるネットワークNを構築し、自身の提供する閉域網接続サービスに加入したユーザにハードウェアキー(以下、「HWキー」)10を配布する。そして、HWキー10を装着したユーザの通信端末20から接続の要求を受けると、このHWキー10内の認証情報を用いてユーザ(ホスト)の認証を行う。認証後、あらかじめネットワークN側に設定された接続制御に係る情報に従って、ネットワークNを介した他の通信端末20や、インターネットなどの公衆ネットワークであるネットワークMとの接続を提供する。
また、アクセスポイント設置者は、通信事業者の提供する閉域網接続のホストサービスに加入しており、ユーザの可搬の通信端末20へ閉域網接続サービスのアクセスポイントを提供する。
【0020】
サービス共通CA(Certificate Authority:認証局)70は、通信事業者や第三者機関などが設置する認証局であり、閉域網接続サービスに加入したユーザ(ホスト)の公開鍵及び秘密鍵を生成するとともに、デジタル証明書を発行する。この、デジタル証明書と秘密鍵は、通信事業者が取り出し不可能かつ書き換えや複製が不可能な形式によりHWキー10に格納され、ユーザに配布される。また、ネットワークNや他の通信ネットワークなどを介してPKI(Public Key Infrastructure:公開鍵暗号基盤)認証のために必要な情報を提供する機能を有する。
【0021】
ユーザは、HWキー10、通信端末20、スイッチ(以下、「SW」)30、回線終端装置31を保有する。
HWキー10は、例えば、LANカードやUSBポートに装着可能なハードウェアなどであり、内部に備えるメモリ内にユーザ(ホスト)のデジタル証明書及び秘密鍵を記憶している。
【0022】
通信端末20は、例えば、パーソナルコンピュータ(以下、「PC」)20−1、冷蔵庫20−2、オーディオ20−3や、PDA(Personal Digital Assistants:情報携帯端末)、携帯電話、各種家電製品などであり、可搬でありうる。通信端末20は、TCP/IPを実装し、10BASE−T/100BASE−Tや無線LAN(Local Area Network)などによりハブやLANスイッチ、ルータなどのSW30と接続される。そして、エッジルータ40から広告されたネットワーク(回線)を識別するための上位64ビット(プレフィクス)と、自身の備えるLANカードなどに割り当てられたMACアドレスから生成した下位64ビット(インタフェースID)とから128ビットのIPv6アドレス(以下、単に「IPアドレス」と記載)を生成する機能を有する。また、自身に装着したHWキー10が備えるメモリ内のデジタル証明書及び秘密鍵を用いて、通信開始時及び通信中定期的に認証サーバ51との間でPKI認証を行う機能を有する。さらに、自身が内部に記憶するホストID(HOST−ID)及び生成したIPアドレスを認証サーバ51へ通知し、認証および接続を要求する機能を有する。ここでは、IPアドレスを生成する機能、PKI認証を行う機能、ならびに、認証および接続を要求する機能は、認証用ソフトウェアにより実行されるとする。
なお、通信端末20は、HWキー10を装着する代わりに、ユーザのデジタル証明書及び秘密鍵を書き換えができないように記憶しているメモリを備えたイン・キー(InKey)11を予め内部に具備することでもよい。
【0023】
回線終端装置31は、FTTH(Fiber to the home)やxDSL(Digital Subscriber Line)などのエッジルータ40とのアクセスインタフェースと、SW30とのインタフェースを相互に変換する機能を有する。具体的には、例えば、100BASE−FXと100BASE−TXの相互変換を行う機能を有するメディアコンバータ(M/C)や、電話信号とxDSL信号を分離する周波数フィルタであるスプリッタなどである。
【0024】
アクセスポイント設置者は、無線アクセスポイント装置32、ルータ33、回線終端装置34を保有する。
無線アクセスポイント装置32は、無線LANなど通信端末20と通信するための無線通信インタフェースと、10BASE−T/100BASE−Tなどのルータ33とのインタフェースを相互変換する。
回線終端装置34は、回線終端装置31と同様の機能を有し、エッジルータ40とのアクセスインタフェースとルータ33とのインタフェースを相互に変換する機能を有する。
【0025】
通信事業者は、エッジルータ40、41、42と、認証サーバ51、DDNS(Dynamic Domain Name System)サーバ52及びゲートウェイ(GW)53を備えるポータルサイト50と、アクセス制御サーバ61及びサービスサーバ62を備えるセグメント60とを保有する。
エッジルータ40は、ネットワークNを構成し、ユーザのネットワークに近接するルータである。エッジルータ40は、ブロードバンド回線などにより回線終端装置31、34と接続され、IPアドレスの上位64ビットを通信端末20へ広告(advertise)する。また、ネットワークNへの接続を許可するホスト(通信端末20)のIPアドレスのリストであるアクセスコントロールリスト(以下、「ACL」と記述)を記憶する。そして、このACLを参照し、通信端末20から受信した通信パケットの発IPアドレスが、自身が配布した以外の上位64ビット(プレフィクス)を持つ場合や、ACLに登録されていないIPアドレスである場合には、当該通信パケットを破棄する機能を有する。ACLは、認証サーバ51またはアクセス制御サーバ61の指示により書き替えられる。
エッジルータ41は、ポータルサイト50に近接するルータであり、専用線やブロードバンド回線によりポータルサイト50と接続される。
エッジルータ42は、セグメント60に近接するルータであり、専用線やブロードバンド回線によりセグメント60と接続される。
【0026】
認証サーバ51は、ネットワークNを介して接続される通信端末20との間で、通信開始時及び通信中定期的にPKI認証を行う。そして、認証したホスト(通信端末20)のIPアドレスの変更をDDNSサーバ52へ指示するとともに、エッジルータ40のACLに認証した通信端末20のIPアドレスを接続可能なアドレス(通信パケットの転送を行う対象のIPアドレス)として登録するよう指示する機能を有する。さらに、PKI認証が成功する度にリセットされるタイマを保有し、このタイマが満了した場合には、エッジルータ40のACLに、対応する通信端末20のIPアドレスを接続不可アドレス(通信パケットの制限を行う対象のIPアドレス)として通知する機能を有する。なお、認証サーバ51は、予めデジタル証明書の発行者(isuure)と、ホストIDとの対応を記憶している。
【0027】
DDNSサーバ52は、ホストID(ドメイン名)とIPアドレスの対応を示すDNS登録データを記憶している。そして、問い合わせを受け、ホストIDとIPアドレスとを相互に変換した結果を返送する機能を有する。また、認証サーバ51からの指示を受け、DNS登録データ内のIPアドレスを書き替える機能を有する。
GW53は、ネットワークNを終端し、ネットワークMとの相互接続を行う機能を備える。
【0028】
アクセス制御サーバ61は、通信端末20(ホスト)が認証後にアクセス可能となる回線や端末などの接続先のリストであるポリシーリストを記憶している。そして、認証サーバ51からの指示を受け、認証された通信端末20が収容されているエッジルータ40と、ポリシーリストを参照して得られる通信端末20(ホスト)が通信可能な接続先の回線や他の通信端末20などが収容されているエッジルータ40へ、当該通信端末20のIPアドレスを接続可能なIPアドレスとしてACLに登録するよう指示する機能を有する。
サービスサーバ62は、アクセス制御サーバ61内のポリシーリストを操作するためのGUIなどの登録インタフェースを通信端末20へ提供する機能を持つ。
【0029】
図2は、未認証の通信端末のアクセス可能範囲を示す図である。
認証サーバ51により認証されていない通信端末20(「未認証の通信端末20」と記載)は、ポータルサイト50とのみ通信が可能である。他の接続先との通信を行おうとした場合、この未認証の通信端末20に最も近いエッジルータ40のACLにより接続が拒否され、通信パケットは破棄される(「破棄」状態)。
同図においてエッジルータ40は、未認証の通信端末20と通信事業者のポータルサイト50内の認証サーバ51、あるいは、DDNSサーバ52との間の通信パケットを転送し、通信可能としている。一方、未認証の通信端末20とアクセス制御サーバ61、あるいは、認証済みの通信端末20との間の通信パケットを破棄し、通信を不可としている。
【0030】
図3を用いて、着信先を制限しない場合の接続手順を説明する。ここでは、ユーザの自宅や移動先からの最初のネットワークNへのアクセスを想定する。
まず、ユーザAは、ホストID「A1.net」を持つ自身のPC20−1(以下、「PC20−1a」)にHWキー10を装着する。そして、PC20−1aにインストールされた認証用ソフトウェアを起動し、接続ボタンを押す(ステップ100)。すると、PC20−1aは、IPv6が一般的に備えるプラグ・アンド・プレイ機能に用いられるRA(IPv6 router advertisement)により、エッジルータ40からIPアドレスの上位64ビット(プレフィクス)を取得し、MACアドレスから自身が生成したIPアドレスの下位64ビット(インタフェースID)と組み合わせてIPアドレスを生成する(ステップS105)。
【0031】
続いて、SSL(Secure Socket Layer)やTLS(Transport Layer Security)などのプロトコルを用い、PC20−1aと認証サーバ51との間でHWキー10内に記憶されているデジタル証明書及び秘密鍵に基づくPKI認証を行う(ステップS110)。PKI認証が完了すると、PC20−1aは、認証サーバ51に対して、自身のホストIDとIPアドレスの情報を含む「認証および接続要求メッセージ」を送出する(ステップS115)。
【0032】
次に、PC20−1aのロケーション変更が行われる。すなわち、認証サーバ51は、ステップS110で認証したデジタル証明書のissureに対応したホストIDを内部から読出し、受信したホストIDと一致していれば、DDNSサーバ52へこのホストID及びIPアドレスを転送し、DDNS登録を行う(ステップS120)。DDNSサーバ52は、認証サーバ51から受信したPC20−1aのIPアドレスと、DDNSサーバ52内のDNS登録データに登録されている受信したホストIDに対応したIPアドレスを比較する。両IPアドレスが同じであれば何もせずに、異なる場合にはDNS登録データ内のIPアドレスを受信したIPアドレスへと書き換えて、処理結果を認証サーバ51に返す。
【0033】
DDNSサーバ52からOKを示す処理結果を受信した認証サーバ51は、全てのエッジルータ40に対してPC20−1aのIPアドレスを通知し、PC20−1aが発信元のIPパケットの扱いを「破棄」から「転送」にするためのACLの変更を指示する(ステップS125)。エッジルータ40は、受信したIPアドレスをACLに登録し、認証サーバ51に処理結果を返送する。全てのACLの変更の処理が正常に完了していれば、認証サーバ51はPC20−1aへ「認証および接続完了メッセージ」を送出するのと同時に(ステップS130)、このPC20−1aのタイマをスタートする(ステップS135)。
【0034】
「認証および接続完了メッセージ」を受信したPC20−1aは、ホストID「B1.net」を接続先として指定し、このホストID「B1.net」で識別される認証済みのPC20−1(これを、「PC20−1b」とする)との通信を開始する(ステップS140)。なお、この通信において、ホストIDとIPアドレスとの変換はDDNSサーバ52により行われる。
また、PC20−1aとPC20−1b間の通信と並行して、PC20−1aと認証サーバ51は、タイマが満了する前に、ステップS110及びステップS115と同じ手順により認証を行う(ステップS145、ステップS150)。認証サーバ51がPC20−1aを認証した場合には、認証完了メッセージを返送すると同時に(ステップS155)、このPC20−1aの認証タイマをリスタートする(ステップS160)。これは、PC20−1aが回線から離脱した際に、別の通信端末20がIPアドレスを詐称してなりすましの通信を行うことを防止するためであり、ステップS145〜ステップS160の手順は切断まで定期的に繰り返される。
【0035】
なお、認証タイマが満了した場合、あるいは、PC20−1aが能動的に「切断メッセージ」を送出した場合は接続が切断され、認証サーバ51は、エッジルータ40に対して、PC20−1aのIPアドレスを通知し、このIPアドレス発の通信パケットの扱いを認証前の「破棄」状態に戻すようにACLの変更を指示する。
【0036】
また、図3の手順において、移動する可能性のない通信端末20からネットワークNへの接続を行う場合には、予めホストID及びIPアドレスの組をDDNSサーバ52へ登録しておくことにより、ステップS120のDDNSサーバ52へのIPアドレスの登録の手順は不要となる。
【0037】
次に、図4を用いて、着信先を制限する場合の接続手順を説明する。ここでは、ユーザの自宅や移動先におけるPC20−1aからの最初のネットワークNへのアクセスを想定する。
ステップS200〜ステップS220は、図3におけるステップS100〜ステップS120の手順と同様である。
【0038】
OKを示すDDNS登録の処理結果をDDNSサーバ52から受信した認証サーバ51は、PC20−1aの接続条件、すなわち、ポリシーリストを保持しているアクセス制御サーバ61に対して網参加情報を送信し、エッジルータ40のACLの変更を指示する(ステップS225)。この網参加情報には、PC20−1aのホストID、IPアドレス、「接続」を指示する指示コードが含まれる。
【0039】
アクセス制御サーバ61は、「接続」を示す指示コードを受信すると、内部に登録されているポリシーリストを参照し、接続を許可している他の通信端末20や回線が収容されているエッジルータ40に対してACLの変更を指示するとともに(ステップS230)、PC20−1aが収容されているエッジルータ40へACLの変更を指示する(ステップS235)。これらのACLの変更の指示は、PC20−1aが発信元のIPパケットの扱いを「破棄」から「転送」状態へ変更する指示であり、PC20−1aのIPアドレスが通知される。
【0040】
アクセス制御サーバ61は、ACLの変更を指示したエッジルータ40から処理結果を受信すると、認証サーバ51へ処理結果を返送する(ステップS240)。この処理結果がOKであった場合の手順であるステップS245〜ステップS275の処理は、図3のステップS130〜ステップS160の処理と同様である。
【0041】
図5は、詳細な認証手順を示す。同図は、図4のRAによるアドレス配布(ステップS205)からPC20−1aへの「認証および接続完了メッセージ」の送出(ステップS245)までの手順に相当し、TLSが用いられる例である。<ステップS400>
PC20−1aは、RAによりIPアドレスを生成する。
<ステップS405>
続いて、PC20−1a及び認証サーバ51間で、TCP(Transmission Control Protocol)の3way handshakeにより、コネクションのセットアップを行う。
【0042】
<ステップS410>
(1)Client Hello
認証サーバ51とのコネクションが確立されると、PC20−1aは、通信の開始を認証サーバ51へ通知する。このとき、自身が利用可能な、暗号化と圧縮のアルゴリズムの一覧を送信する。
【0043】
<ステップS415>
(2) Server Hello
認証サーバ51は、PC20−1aから受信した暗号化と圧縮のアルゴリズムの一覧の中から、使用する暗号化と圧縮のアルゴリズムを決定して、PC20−1aに通知する。
(3) Certificate
続いて、認証サーバ51は、自身のデジタル証明書を、ルートCA(サービス共通CA70)までのデジタル証明書のリスト(証明書チェーン)を含めて送信する。なお、証明書チェーンとは、信頼されるデジタル証明書の階層であって、「チェーン」の究極的な信頼レベルまで遡って「連鎖」されるか認証されることができるものである。
(4) Server Key Exchange
認証サーバ51は、一時的なRSA(Rivest−Shamir−Adleman)鍵かDH(Diffie−Hellman)鍵を生成し、認証サーバ51の署名をつけて送信する。このメッセージは、認証サーバ51がデジタル証明書を持たないか、(3)のCertificateで送信した認証サーバ51のデジタル証明書に、鍵交換可能な公開鍵(RSAおよびDH)が含まれない場合の代替として使用する。
(5) Certificate Request
認証サーバ51が信頼するルートCAの一覧を付与し、PC20−1aへデジタル証明書の提示を要求する。これは、PC20−1aの認証を行う場合に使用する。
(6) Server Hello Done
PC20−1aに対して、(2)から(5)までの一連のメッセージが完了したことを通知する。
【0044】
<ステップS420>
(7) Certificate
PC20−1aは、ユーザA(ホスト)のデジタル証明書を認証サーバ51へ送付する。このとき、(3)と同様に証明書チェーンも送信する。
(8) Client Key Exchange
PC20−1aは、暗号化に使用するセッション鍵を生成するための情報(プリマスタシークレット)を生成し、暗号化して認証サーバ51に送信する。このプリマスタシークレットの暗号化には、認証サーバ51のデジタル証明書に含まれる公開鍵を使用する。
(9) Certificate Verify
PC20−1aは、今までに受信したHelloメッセージから署名(Certificate Verify)を生成し、認証サーバ51へ送信する。署名(Certificate Verify)を受信した認証サーバ51は、PC20−1aから受け取ったデジタル証明書(Certificate)を用いて、署名の検証を行う。検証が成功すると、そのデジタル証明書が間違いなくユーザAのものであることが確認できる。
【0045】
<ステップS425>
(10) Change Cipher Spec
続いてPC20−1aは、プリマスタシークレットからマスタシークレットを生成し、さらにマスタシークレットからセッション鍵(共通鍵)を生成する。次に、使用する暗号アルゴリズムの準備が整ったことを認証サーバ51に通知する。
(11) Finished
PC20−1aは、鍵交換と認証処理が成功したことを認証サーバ51に通知する。このとき、交換したセッション鍵を用いてメッセージを暗号化し、送信する。
【0046】
<ステップS430>
(12) Change Cipher Spec
認証サーバ51は、PC20−1aから受信した暗号化されたプリマスタシークレットを、自身の秘密鍵を使い復号する。次に復号したプリマスタシークレットからマスタシークレットを生成し、さらにマスタシークレットからセッション鍵(共通鍵)を生成する。このセッション健は、PC20−1aが生成したセッション鍵と同じ鍵になる。次に、使用する暗号アルゴリズムの準備が整ったことをPC20−1aに通知する。
(13) Finished
認証サーバ51は、鍵交換と認証処理が成功したことをPC20−1aに通知する。そして、交換したセッション鍵を使い、メッセージを暗号化して送信する。
以降は、暗号化された状態でデータの送受信を行う。
【0047】
<ステップS435>
PC20−1aは、認証サーバ51へHTTPなどにより、ホストID及びIPアドレスを通知し、接続を要求する。
<ステップS440>
認証サーバ51は、PC20−1aから受信したホストID及びIPアドレスをDDNSサーバ52へ通知し、DNS登録データの変更を指示する。
【0048】
<ステップS445、ステップS450>
認証サーバ51は、DDNSサーバ52からDNS登録データ変更の応答を受信すると、アクセス制御サーバ61へPC20−1aのホストID及びIPアドレスを通知し、ACLの変更を指示する。
<ステップS455>
アクセス制御サーバ61は、SNMP(Simple Network Management Protocol)を用いて、ACLの変更をエッジルータ40へ指示する。
<ステップS460、ステップS465、ステップS470>
アクセス制御サーバ61は、エッジルータ40からACLの変更の応答(Ack.)を受信すると、認証サーバ51へ応答(Ack.)を返送する。認証サーバ51は、PC20−1aへ応答(Ack.)を返送する。
【0049】
続いて、アクセス制御サーバ61内のポリシーリストの具体的な設定の例について以下に説明する。
ユーザがポリシーリストの表示や変更を行う際には、通信端末20からサービスサーバ62へアクセスする。サービスサーバ62は、通信端末20から受信した回線や通信端末、CUG(詳細は後述)の識別情報などに対応するポリシーリストをアクセス制御サーバ61から読み出す。そして、読み出したポリシーリストを表示するとともに、このポリシーリストを変更するためのフィールドやボタンなどを備えた画面情報を生成して返送する。サービスサーバ62は、通信端末20からユーザが入力したポリシーリストの変更の情報を受信した場合、この情報に従ってアクセス制御サーバ61内のポリシーリストを更新する。なお、ポリシーリストを操作可能なユーザは、このポリシーリストに対応したセキュアIDの通過ポリシーにより規定される。
【0050】
図6は、アクセス制御サーバ61内に登録されるポリシーリストの表示例を示す。このポリシーリストは、エッジルータ40−回線終端装置31あるいは回線終端装置34間などの回線単位、ホストID単位、IPアドレス単位、さらに、IPsec(IP Security)やHTML(hypertext markup language)などのプロトコル単位で、ユーザが設定することが可能である。
【0051】
同図においては、「COP00078320」で識別され、ニックネームが「○×自宅」である回線のポリシーリストが示されている。このポリシーリストの管理者はホストID「yoshi.sec.flet.net」で識別され、設定可能なリスト数は10、かつ、予め登録されたユーザ(管理者)のみにこのポリシーリストを操作する権限があることを示すセキュアIDの通過ポリシーが設定されている。
そして、ニックネーム「ポータルサイト」で識別され、IPアドレスが「2001:0C90:1/48」である接続先、及び、ニックネーム「開発部19Fの回線」で識別され、IPアドレスが「2001:0C90:80:1234/64」である接続先には無期限に、ニックネーム「設備部のホスト回線」で識別され、IPアドレスが「2001:0C90:80:8001/64」である接続先には、2003年12月31日0時00分まで接続可能であることを示している。また、ニックネーム「○×セキュア」で識別され、ホストID「yoshi.sec.flet.net」である接続先、ニックネーム「△□セキュア」で識別され、ホストID「tomo.sec.flet.net」である接続先、及び、ニックネーム「IPsec通信」で識別され、IPSecプロトコルを用いた通信は、無期限に接続可能であることを示している。
なお、デフォルトでは、認証された通信端末20であればポリシーリストの操作が可能である旨のセキュアIDの通過ポリシーと、ポータルサイト50への接続が無期限である旨が設定される。
【0052】
図7は、CUG(Closed User Group)の登録の手順を示す図である。CUGとは、同一のポリシーリストを使用するホスト、通信端末20、あるいは、回線などをグループ化したものであり、それぞれのポリシーリストに対して操作を行う煩雑さを解消するものである。
【0053】
図において、ユーザAが管理しているCUGにユーザBが管理する回線を加える場合(▲1▼)、ユーザBは通信端末20からサービスサーバ62へアクセスし、ユーザAの管理しているCUGへの参加を申請(登録)する(▲2▼)。この申請は、サービスサーバ62により、アクセス制御サーバ61へ登録される。
また、ユーザAは、通信端末20からサービスサーバ62へアクセスし、ユーザBの管理している回線を自身の管理するCUGへ新規に登録する(▲3▼)。サービスサーバ62は、アクセス制御サーバ61内に、ユーザAの管理するCUGへユーザBの管理している回線を登録する。そして、サービスサーバ62は、ユーザA及びユーザBからのこれらの申請(登録)の有無をアクセス制御サーバ61から参照し、登録があればCUGが「利用中」であると認識する(▲4▼)。これにより、ユーザAの管理するCUGのポリシーリストの登録内容を、ユーザBの管理する回線のポリシーリストへ反映させる。
【0054】
図8は、アクセス制御サーバ61内に登録されるCUGのポリシーリストの表示例を示す。このポリシーリストは、「000001」で識別され、ニックネームが「IP−SECな仲間」であるCUGのポリシーリストであり、管理者はホストID「yoshi.sec.flet.net」で識別され、設定可能なリスト数は5であることが示されている。そして、ニックネーム「開発部19Fの回線」で識別され、IPアドレスが「2001:0C90:80:1234/64」である接続先、及び、ニックネーム「研開センタ8FのB」で識別され、IPアドレスが「2001:0C90:80:5555/64」である接続先には無期限に接続可能であることを示している。また、ニックネーム「○×セキュア」で識別され、ホストID「yoshi.sec.flet.net」である接続先には2003年12月31日0時00分まで、ニックネーム「△□セキュア」で識別され、ホストID「tomo.sec.flet.net」である接続先には無期限に接続可能であり、ニックネーム「○×自宅」で識別され、IPアドレスが「2001:0C90:81:5963/64」である接続先は、参加回線登録待ちであることを示している。
【0055】
上記実施の形態によれば、PKI認証の結果と、エッジルータのACL制御をリアルタイムに連携させて、ユーザの身元特定性を担保することができる。また、IPv6を用いることによりアドレスを端末個々に割り振ることができるため、エッジルータでIPアドレスベースのACL制御が可能になる。これにより、セッションを使わない方式で、通信対地やプロトコルを限定せずに、通信事業者が身元を把握したユーザ間での通信が可能となる。また、レイヤ3以上で認証制御を行っているため、ユーザのネットワーク環境を限定せずに、閉域網サービスを提供することができる。
また、認証時にDDNSサーバへホストIDに対応するIPアドレスの変更を行うことにより、ユーザはHWキーを携帯していれば、移動した先で移動前と同じホストIDを用いて閉域網に接続することが可能となり、自宅あるいはアクセスポイントなどの接続場所に依存せずに、どこらからでも同じサービスを享受することができる。
また、アクセス制御サーバに接続可能な接続先を登録し、この接続先に基づきエッジルータに接続制限を指示することができる。これにより、ユーザが自宅にファイアウォールなどの特別なセキュリティー製品を置かなくても、簡易にセキュアな通信が可能となる。
また、CUGによる複数の対地の接続制限を行うことができるため、多対地の接続制限の管理を容易に行うことが可能となる。
【0056】
なお、上述の通信端末20、エッジルータ40、41、42、認証サーバ51、DDNSサーバ52、アクセス制御サーバ61、及び、サービスサーバ62は、内部にコンピュータシステムを有している。そして、上述した動作の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータシステムが読み出して実行することによって、上記処理が行われる。ここでいうコンピュータシステムとは、OSや周辺機器等のハードウアを含むものである。
【0057】
また、「コンピュータ読み取り可能な記録媒体」とは、ROMの他に、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のシステムやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0058】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0059】
【発明の効果】
この発明によれば、認証の結果と、エッジルータの接続制御をリアルタイムに連携させて、ユーザの身元特定性を担保することができる。また、IPアドレスを端末個々に割り振ることができるため、エッジルータでIPアドレスベースの接続制御を行うことが可能になる。これにより、セッションを使わない方式により、通信対地やプロトコルを限定せずに、通信事業者が身元を把握したユーザ間での通信が可能となるとともに、ユーザのネットワーク環境を限定せずに、閉域網サービスを提供することができる。
また、認証時にドメインネームシステムサーバへホストに対応したアドレスの変更を行うことにより、ユーザはHWキーを携帯していれば、移動した先で移動前と同じホストとして閉域網に接続することが可能となり、自宅あるいはアクセスポイントなどの接続場所に依存せずに、どこらからでも同じサービスを享受することができる。
また、アクセス制御サーバに接続可能な接続先を登録し、この接続先に基づきエッジルータに接続制限を指示することができる。これにより、ユーザが自宅にファイアウォールなどの特別なセキュリティー製品を置かなくても、簡易にセキュアな通信が可能となる。
【図面の簡単な説明】
【図1】この発明の一実施の形態によるネットワークアクセスシステムを用いた閉域網接続システムの構成を示す図である。
【図2】同実施の形態による未認証の通信端末のアクセス可能範囲を示す図である
【図3】同実施の形態による着信先を制限しない場合の接続手順を示す図である。
【図4】同実施の形態による着信先を制限する場合の接続手順を示す図である。
【図5】同実施の形態による詳細な認証手順を示す図である。
【図6】同実施の形態によるポリシーリストの表示例を示す図である。
【図7】同実施の形態によるCUGの登録手順を示す図である。
【図8】同実施の形態によるCUGのポリシーリストの表示例を示す図である。
【符号の説明】
10…ハードウェア(HW)キー
20…通信端末
20−1、20−1a、20−1b…パーソナルコンピュータ(PC)
30…スイッチ(SW)
31、34…回線終端装置
32…無線アクセスポイント装置
33…ルータ
40、41、42…エッジルータ
50…ポータルサイト
51…認証サーバ
52…DDNS(Dynamic Domain Name System)サーバ
60…セグメント
61…アクセス制御サーバ
62…サービスサーバ
70…サービス共通CA(認証局)
【発明の属する技術分野】
この発明は、ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラムに関する。
【0002】
【従来の技術】
近年、いつでもどこでも簡単にコンピュータを利用できる環境を整備したユビキタス社会への移行が進みつつある。そして、このユビキタス社会に対して、閉域網サービスで提供されるような高セキュアな通信が求められている。
一方、非特許文献1には、無線LAN(Local Area Network)を用い、公衆の無線アクセスポイントを介してインターネットなどにアクセスする公衆型無線アクセスサービスについて記載されている。しかし、この公衆型無線アクセスサービスでは、利用者の端末と無線アクセスポイント間の無線部分の認証だけを行い、最終的な接続先までを含めた認証を行うことはできない。
また、非特許文献2には、IPv6を用いた閉域網サービスの実験について記載されている。これは、エッジルータのアクセスコントロール機能により、IPv6アドレスの上位64ビットのフィルタによりアクセス回線を特定する仕組みを用いている。しかし、この方法では、端末やユーザの割り出しは不可能であり、アクセス回線を公衆に解放した場合、サービス未加入者の接続を排除できない。
また、非特許文献3には、ウェブサイトに対して共通のインターネット認証を提供するオンラインサービスであるシングルサインオン方式について記載されている。このシングルサインオン方式は、ユーザの認証後にセッションキーを払い出す方法であり、セッションキーを理解できるプロトコルやサーバに通信が限定され、広範囲で自由度の高い通信ができない。
【0003】
【非特許文献1】
「NTT東日本BUSINESS」、2002年7月、No.628、P.21−23
【非特許文献2】
「NTT東日本BUSINESS」、2003年2月、No.635、p.19−20
【非特許文献3】
「Microsoft .NET Passport 技術概要」、2001年9月、p.1−24
【0004】
【発明が解決しようとする課題】
本発明は、上記事情を考慮してなされたものであり、その目的は、簡易な認証により、通信の自由度及び接続環境のモビリティーを確保しながら、ユーザあるいは端末を特定したセキュアな閉域網接続を実現することのできるネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラムを提供することにある。
【0005】
【課題を解決するための手段】
この発明は、上記の課題を解決すべくなされたもので、請求項1に記載の発明は、通信端末を認証する認証装置と、通信パケットの転送を制御するエッジルータを含んで構成されるネットワークとからなるネットワークアクセスシステムであって、前記認証装置は、ホスト毎の認証情報を記憶する記憶手段と、通信端末から認証情報及びホストの識別情報を受信し、前記記憶手段内の認証情報により認証を行う認証手段と、認証が成功した場合に、前記通信端末を収容するエッジルータへこの通信端末からの通信パケットの転送を指示する転送指示手段と、認証が成功した時に起動するタイマと、前記タイマが満了した場合、あるいは、前記通信端末が切断を行った場合に、前記エッジルータへ前記通信端末からの通信パケットの転送を制限するよう指示する転送制限指示手段とを備え、前記エッジルータは、通信を許可する通信端末の識別情報のリストであるアクセスコントロールリストを記憶する記憶手段と、前記認証装置からの指示に応じて、前記通信端末の識別情報を前記アクセスコントロールリストに登録あるいは削除する登録制御手段と、新たに接続された通信端末に対して、アドレスを生成するための情報を通知する通知手段と、前記アクセスコントロールリスト内に登録されていない通信端末からの通信パケットを受信したときには、前記認証装置宛である場合にこの通信パケットを転送し、その他宛の場合にはこの通信パケットを破棄するとともに、前記アクセスコントロールリスト内に登録されている通信端末からの通信パケットを受信したときには、当該通信パケットを転送する通信制御手段とを備える、ことを特徴とするネットワークアクセスシステムである。
【0006】
請求項2に記載の発明は、請求項1に記載のネットワークアクセスシステムであって、さらに、ホストの識別情報とアドレス情報とを相互に変換するドメインネームシステム装置とからなり、前記認証装置は、前記通信端末のアドレス情報及びホストの識別情報を前記ドメインネームシステム装置へ送信し、登録を要求する登録要求手段をさらに備え、前記ドメインネームシステム装置は、ホストの識別情報に対応させて通信端末のアドレス情報を記憶する記憶手段と、前記認証装置から通信端末のアドレス情報及びホストの識別情報を受信し、受信したホストの識別情報に対応させて前記記憶手段に受信したアドレス情報を書き込む書込手段とを備える、ことを特徴とする。
【0007】
請求項3に記載の発明は、請求項1または請求項2に記載のネットワークアクセスシステムであって、さらに、通信装置が通信可能な接続先のリストであるポリシーリストを管理するアクセス制御装置とからなり、前記転送指示手段は、前記アクセス制御装置へ認証された前記通信端末からの通信パケットの転送を指示し、前記アクセス制御装置は、ポリシーリストを記憶する記憶手段と、前記認証装置から通信パケットの転送の指示を受信し、認証された前記通信端末を収容するエッジルータ、及び、この通信装置が通信可能な接続先を収容するエッジルータへ、この通信端末からの通信パケットの転送を指示する指示手段とを備える、ことを特徴とする。
【0008】
請求項4に記載の発明は、請求項3に記載のネットワークアクセスシステムであって、前記アクセス制御装置は、前記通信端末からの指示を受け、前記ポリシーリストを書き替える更新手段をさらに備える、ことを特徴とする。
【0009】
請求項5に記載の発明は、ホスト毎の認証情報を記憶する記憶手段と、通信端末から認証情報及びホストの識別情報を受信し、前記記憶手段内の認証情報により認証を行う認証手段と、認証が成功した場合に、前記通信端末を収容するエッジルータへこの通信端末からの通信パケットの転送を指示する転送指示手段と、認証が成功した時に起動するタイマと、前記タイマが満了した場合、あるいは、前記通信端末が切断を行った場合に、前記エッジルータへ前記通信端末からの通信パケットの転送を制限するよう指示する転送制限指示手段と、を備えることを特徴とする認証装置である。
【0010】
請求項6に記載の発明は、請求項5に記載の認証装置であって、さらに、前記通信端末のアドレス情報及びホストの識別情報を前記ドメインネームシステム装置へ送信し、登録を要求する登録要求手段、を備えることを特徴とする。
【0011】
請求項7に記載の発明は、通信を許可する通信端末の識別情報のリストであるアクセスコントロールリストを記憶する記憶手段と、認証装置からの指示に応じて、通信端末の識別情報を前記アクセスコントロールリストに登録あるいは削除する登録制御手段と、新たに接続された通信端末に対して、アドレスを生成するための情報を通知する通知手段と、前記アクセスコントロールリスト内に登録されていない通信端末からの通信パケットを受信したときには、前記認証装置宛である場合にこの通信パケットを転送し、その他宛の場合にはこの通信パケットを破棄するとともに、前記アクセスコントロールリスト内に登録されている通信端末からの通信パケットを受信したときには、当該通信パケットを転送する通信制御手段と、を備えることを特徴とするエッジルータである。
【0012】
請求項8に記載の発明は、請求項7に記載のエッジルータであって、前記アクセスコントロールリスト内の通信端末の識別情報は、該通信端末のIPアドレス情報であることを特徴とする。
【0013】
請求項9に記載の発明は、通信装置が通信可能な接続先のリストであるポリシーリストを記憶する記憶手段と、認証装置から通信パケットの転送の指示を受信し、前記認証装置が認証した通信端末を収容するエッジルータ、及び、この通信装置が通信可能な接続先を収容するエッジルータへ、この通信端末からの通信パケットの転送を指示する指示手段と、を備えることを特徴とするアクセス制御装置である。
【0014】
請求項10に記載の発明は、通信端末を認証する認証装置と、通信パケットの転送を制御するエッジルータを含んで構成されるネットワークとからなるネットワークアクセスシステムに用いられるネットワークアクセス方法であって、前記エッジルータが、通信を許可する通信端末の識別情報のリストであるアクセスコントロールリストを記憶する記憶手段を用意し、前記アクセスコントロールリスト内に登録されていない通信端末から通信パケットを受信したときには、前記認証装置宛である場合にこの通信パケットを転送し、その他宛の場合にはこの通信パケットを破棄するとともに、前記アクセスコントロールリスト内に登録されている通信端末から通信パケットを受信したときには、当該通信パケットを転送しながら、新たに接続された通信端末に対して、アドレスを生成するための情報を通知し、前記認証装置が、ホスト毎の認証情報を記憶する記憶手段を用意し、前記エッジルータが送信したアドレスを生成するための情報を用いてアドレスを生成した通信端末から認証情報及びホストの識別情報を受信し、前記記憶手段内の認証情報により認証を行い、認証が成功した場合に、前記通信端末を収容するエッジルータへこの通信端末からの通信パケットの転送を指示するとともにタイマを起動し、前記エッジルータが、前記認証装置からの指示に応じて、認証された前記通信端末の識別情報を前記アクセスコントロールリストに登録し、前記認証装置が、前記タイマが満了した場合、あるいは、前記通信端末が切断を行った場合に、前記エッジルータへ前記通信端末からの通信パケットの転送を制限するよう指示し、前記エッジルータが、前記認証装置からの指示に応じて、前記通信端末の識別情報を前記アクセスコントロールリストから削除する、ことを特徴とするネットワークアクセス方法である。
【0015】
請求項11に記載の発明は、通信端末を認証する認証装置に用いられるコンピュータプログラムであって、ホスト毎の認証情報を記憶手段に記憶するステップと、通信端末から認証情報及びホストの識別情報を受信し、前記記憶手段内の認証情報により認証を行うステップと、認証が成功した場合に、前記通信端末を収容するエッジルータへこの通信端末からの通信パケットの転送を指示するステップと、認証が成功した時にタイマを起動するステップと、前記タイマが満了した場合、あるいは、前記通信端末が切断を行った場合に、前記エッジルータへ前記通信端末からの通信パケットの転送を制限するよう指示するステップと、をコンピュータに実行させることを特徴とするコンピュータプログラムである。
【0016】
請求項12に記載の発明は、通信パケットの転送を制御するエッジルータに用いられるコンピュータプログラムであって、通信を許可する通信端末の識別情報のリストであるアクセスコントロールリストを記憶手段に記憶するステップと、認証装置からの指示に応じて、通信端末の識別情報を前記アクセスコントロールリストに登録あるいは削除するステップと、新たに接続された通信端末に対して、アドレスを生成するための情報を通知するステップと、前記アクセスコントロールリスト内に登録されていない通信端末からの通信パケットを受信したときには、前記認証装置宛である場合にこの通信パケットを転送し、その他宛の場合にはこの通信パケットを破棄するとともに、前記アクセスコントロールリスト内に登録されている通信端末からの通信パケットを受信したときには、当該通信パケットを転送するステップと、をコンピュータに実行させることを特徴とするコンピュータプログラムである。
【0017】
請求項13に記載の発明は、通信装置が通信可能な接続先のリストであるポリシーリストを管理するアクセス制御装置に用いられるコンピュータプログラムであって、ポリシーリストを記憶手段に記憶するステップと、認証装置から通信パケットの転送の指示を受信し、前記認証装置が認証した通信端末を収容するエッジルータ、及び、この通信装置が通信可能な接続先を収容するエッジルータへ、この通信端末からの通信パケットの転送を指示するステップと、をコンピュータに実行させることを特徴とするコンピュータプログラムである。
【0018】
【発明の実施の形態】
以下、図面を参照し、この発明の実施の形態について説明する。図1は、この発明の一実施の形態によるネットワークアクセスシステムを用いた閉域網接続システムの構成を示すブロック図である。
【0019】
通信事業者は、IPv6を用いたセキュアな閉域網であるネットワークNを構築し、自身の提供する閉域網接続サービスに加入したユーザにハードウェアキー(以下、「HWキー」)10を配布する。そして、HWキー10を装着したユーザの通信端末20から接続の要求を受けると、このHWキー10内の認証情報を用いてユーザ(ホスト)の認証を行う。認証後、あらかじめネットワークN側に設定された接続制御に係る情報に従って、ネットワークNを介した他の通信端末20や、インターネットなどの公衆ネットワークであるネットワークMとの接続を提供する。
また、アクセスポイント設置者は、通信事業者の提供する閉域網接続のホストサービスに加入しており、ユーザの可搬の通信端末20へ閉域網接続サービスのアクセスポイントを提供する。
【0020】
サービス共通CA(Certificate Authority:認証局)70は、通信事業者や第三者機関などが設置する認証局であり、閉域網接続サービスに加入したユーザ(ホスト)の公開鍵及び秘密鍵を生成するとともに、デジタル証明書を発行する。この、デジタル証明書と秘密鍵は、通信事業者が取り出し不可能かつ書き換えや複製が不可能な形式によりHWキー10に格納され、ユーザに配布される。また、ネットワークNや他の通信ネットワークなどを介してPKI(Public Key Infrastructure:公開鍵暗号基盤)認証のために必要な情報を提供する機能を有する。
【0021】
ユーザは、HWキー10、通信端末20、スイッチ(以下、「SW」)30、回線終端装置31を保有する。
HWキー10は、例えば、LANカードやUSBポートに装着可能なハードウェアなどであり、内部に備えるメモリ内にユーザ(ホスト)のデジタル証明書及び秘密鍵を記憶している。
【0022】
通信端末20は、例えば、パーソナルコンピュータ(以下、「PC」)20−1、冷蔵庫20−2、オーディオ20−3や、PDA(Personal Digital Assistants:情報携帯端末)、携帯電話、各種家電製品などであり、可搬でありうる。通信端末20は、TCP/IPを実装し、10BASE−T/100BASE−Tや無線LAN(Local Area Network)などによりハブやLANスイッチ、ルータなどのSW30と接続される。そして、エッジルータ40から広告されたネットワーク(回線)を識別するための上位64ビット(プレフィクス)と、自身の備えるLANカードなどに割り当てられたMACアドレスから生成した下位64ビット(インタフェースID)とから128ビットのIPv6アドレス(以下、単に「IPアドレス」と記載)を生成する機能を有する。また、自身に装着したHWキー10が備えるメモリ内のデジタル証明書及び秘密鍵を用いて、通信開始時及び通信中定期的に認証サーバ51との間でPKI認証を行う機能を有する。さらに、自身が内部に記憶するホストID(HOST−ID)及び生成したIPアドレスを認証サーバ51へ通知し、認証および接続を要求する機能を有する。ここでは、IPアドレスを生成する機能、PKI認証を行う機能、ならびに、認証および接続を要求する機能は、認証用ソフトウェアにより実行されるとする。
なお、通信端末20は、HWキー10を装着する代わりに、ユーザのデジタル証明書及び秘密鍵を書き換えができないように記憶しているメモリを備えたイン・キー(InKey)11を予め内部に具備することでもよい。
【0023】
回線終端装置31は、FTTH(Fiber to the home)やxDSL(Digital Subscriber Line)などのエッジルータ40とのアクセスインタフェースと、SW30とのインタフェースを相互に変換する機能を有する。具体的には、例えば、100BASE−FXと100BASE−TXの相互変換を行う機能を有するメディアコンバータ(M/C)や、電話信号とxDSL信号を分離する周波数フィルタであるスプリッタなどである。
【0024】
アクセスポイント設置者は、無線アクセスポイント装置32、ルータ33、回線終端装置34を保有する。
無線アクセスポイント装置32は、無線LANなど通信端末20と通信するための無線通信インタフェースと、10BASE−T/100BASE−Tなどのルータ33とのインタフェースを相互変換する。
回線終端装置34は、回線終端装置31と同様の機能を有し、エッジルータ40とのアクセスインタフェースとルータ33とのインタフェースを相互に変換する機能を有する。
【0025】
通信事業者は、エッジルータ40、41、42と、認証サーバ51、DDNS(Dynamic Domain Name System)サーバ52及びゲートウェイ(GW)53を備えるポータルサイト50と、アクセス制御サーバ61及びサービスサーバ62を備えるセグメント60とを保有する。
エッジルータ40は、ネットワークNを構成し、ユーザのネットワークに近接するルータである。エッジルータ40は、ブロードバンド回線などにより回線終端装置31、34と接続され、IPアドレスの上位64ビットを通信端末20へ広告(advertise)する。また、ネットワークNへの接続を許可するホスト(通信端末20)のIPアドレスのリストであるアクセスコントロールリスト(以下、「ACL」と記述)を記憶する。そして、このACLを参照し、通信端末20から受信した通信パケットの発IPアドレスが、自身が配布した以外の上位64ビット(プレフィクス)を持つ場合や、ACLに登録されていないIPアドレスである場合には、当該通信パケットを破棄する機能を有する。ACLは、認証サーバ51またはアクセス制御サーバ61の指示により書き替えられる。
エッジルータ41は、ポータルサイト50に近接するルータであり、専用線やブロードバンド回線によりポータルサイト50と接続される。
エッジルータ42は、セグメント60に近接するルータであり、専用線やブロードバンド回線によりセグメント60と接続される。
【0026】
認証サーバ51は、ネットワークNを介して接続される通信端末20との間で、通信開始時及び通信中定期的にPKI認証を行う。そして、認証したホスト(通信端末20)のIPアドレスの変更をDDNSサーバ52へ指示するとともに、エッジルータ40のACLに認証した通信端末20のIPアドレスを接続可能なアドレス(通信パケットの転送を行う対象のIPアドレス)として登録するよう指示する機能を有する。さらに、PKI認証が成功する度にリセットされるタイマを保有し、このタイマが満了した場合には、エッジルータ40のACLに、対応する通信端末20のIPアドレスを接続不可アドレス(通信パケットの制限を行う対象のIPアドレス)として通知する機能を有する。なお、認証サーバ51は、予めデジタル証明書の発行者(isuure)と、ホストIDとの対応を記憶している。
【0027】
DDNSサーバ52は、ホストID(ドメイン名)とIPアドレスの対応を示すDNS登録データを記憶している。そして、問い合わせを受け、ホストIDとIPアドレスとを相互に変換した結果を返送する機能を有する。また、認証サーバ51からの指示を受け、DNS登録データ内のIPアドレスを書き替える機能を有する。
GW53は、ネットワークNを終端し、ネットワークMとの相互接続を行う機能を備える。
【0028】
アクセス制御サーバ61は、通信端末20(ホスト)が認証後にアクセス可能となる回線や端末などの接続先のリストであるポリシーリストを記憶している。そして、認証サーバ51からの指示を受け、認証された通信端末20が収容されているエッジルータ40と、ポリシーリストを参照して得られる通信端末20(ホスト)が通信可能な接続先の回線や他の通信端末20などが収容されているエッジルータ40へ、当該通信端末20のIPアドレスを接続可能なIPアドレスとしてACLに登録するよう指示する機能を有する。
サービスサーバ62は、アクセス制御サーバ61内のポリシーリストを操作するためのGUIなどの登録インタフェースを通信端末20へ提供する機能を持つ。
【0029】
図2は、未認証の通信端末のアクセス可能範囲を示す図である。
認証サーバ51により認証されていない通信端末20(「未認証の通信端末20」と記載)は、ポータルサイト50とのみ通信が可能である。他の接続先との通信を行おうとした場合、この未認証の通信端末20に最も近いエッジルータ40のACLにより接続が拒否され、通信パケットは破棄される(「破棄」状態)。
同図においてエッジルータ40は、未認証の通信端末20と通信事業者のポータルサイト50内の認証サーバ51、あるいは、DDNSサーバ52との間の通信パケットを転送し、通信可能としている。一方、未認証の通信端末20とアクセス制御サーバ61、あるいは、認証済みの通信端末20との間の通信パケットを破棄し、通信を不可としている。
【0030】
図3を用いて、着信先を制限しない場合の接続手順を説明する。ここでは、ユーザの自宅や移動先からの最初のネットワークNへのアクセスを想定する。
まず、ユーザAは、ホストID「A1.net」を持つ自身のPC20−1(以下、「PC20−1a」)にHWキー10を装着する。そして、PC20−1aにインストールされた認証用ソフトウェアを起動し、接続ボタンを押す(ステップ100)。すると、PC20−1aは、IPv6が一般的に備えるプラグ・アンド・プレイ機能に用いられるRA(IPv6 router advertisement)により、エッジルータ40からIPアドレスの上位64ビット(プレフィクス)を取得し、MACアドレスから自身が生成したIPアドレスの下位64ビット(インタフェースID)と組み合わせてIPアドレスを生成する(ステップS105)。
【0031】
続いて、SSL(Secure Socket Layer)やTLS(Transport Layer Security)などのプロトコルを用い、PC20−1aと認証サーバ51との間でHWキー10内に記憶されているデジタル証明書及び秘密鍵に基づくPKI認証を行う(ステップS110)。PKI認証が完了すると、PC20−1aは、認証サーバ51に対して、自身のホストIDとIPアドレスの情報を含む「認証および接続要求メッセージ」を送出する(ステップS115)。
【0032】
次に、PC20−1aのロケーション変更が行われる。すなわち、認証サーバ51は、ステップS110で認証したデジタル証明書のissureに対応したホストIDを内部から読出し、受信したホストIDと一致していれば、DDNSサーバ52へこのホストID及びIPアドレスを転送し、DDNS登録を行う(ステップS120)。DDNSサーバ52は、認証サーバ51から受信したPC20−1aのIPアドレスと、DDNSサーバ52内のDNS登録データに登録されている受信したホストIDに対応したIPアドレスを比較する。両IPアドレスが同じであれば何もせずに、異なる場合にはDNS登録データ内のIPアドレスを受信したIPアドレスへと書き換えて、処理結果を認証サーバ51に返す。
【0033】
DDNSサーバ52からOKを示す処理結果を受信した認証サーバ51は、全てのエッジルータ40に対してPC20−1aのIPアドレスを通知し、PC20−1aが発信元のIPパケットの扱いを「破棄」から「転送」にするためのACLの変更を指示する(ステップS125)。エッジルータ40は、受信したIPアドレスをACLに登録し、認証サーバ51に処理結果を返送する。全てのACLの変更の処理が正常に完了していれば、認証サーバ51はPC20−1aへ「認証および接続完了メッセージ」を送出するのと同時に(ステップS130)、このPC20−1aのタイマをスタートする(ステップS135)。
【0034】
「認証および接続完了メッセージ」を受信したPC20−1aは、ホストID「B1.net」を接続先として指定し、このホストID「B1.net」で識別される認証済みのPC20−1(これを、「PC20−1b」とする)との通信を開始する(ステップS140)。なお、この通信において、ホストIDとIPアドレスとの変換はDDNSサーバ52により行われる。
また、PC20−1aとPC20−1b間の通信と並行して、PC20−1aと認証サーバ51は、タイマが満了する前に、ステップS110及びステップS115と同じ手順により認証を行う(ステップS145、ステップS150)。認証サーバ51がPC20−1aを認証した場合には、認証完了メッセージを返送すると同時に(ステップS155)、このPC20−1aの認証タイマをリスタートする(ステップS160)。これは、PC20−1aが回線から離脱した際に、別の通信端末20がIPアドレスを詐称してなりすましの通信を行うことを防止するためであり、ステップS145〜ステップS160の手順は切断まで定期的に繰り返される。
【0035】
なお、認証タイマが満了した場合、あるいは、PC20−1aが能動的に「切断メッセージ」を送出した場合は接続が切断され、認証サーバ51は、エッジルータ40に対して、PC20−1aのIPアドレスを通知し、このIPアドレス発の通信パケットの扱いを認証前の「破棄」状態に戻すようにACLの変更を指示する。
【0036】
また、図3の手順において、移動する可能性のない通信端末20からネットワークNへの接続を行う場合には、予めホストID及びIPアドレスの組をDDNSサーバ52へ登録しておくことにより、ステップS120のDDNSサーバ52へのIPアドレスの登録の手順は不要となる。
【0037】
次に、図4を用いて、着信先を制限する場合の接続手順を説明する。ここでは、ユーザの自宅や移動先におけるPC20−1aからの最初のネットワークNへのアクセスを想定する。
ステップS200〜ステップS220は、図3におけるステップS100〜ステップS120の手順と同様である。
【0038】
OKを示すDDNS登録の処理結果をDDNSサーバ52から受信した認証サーバ51は、PC20−1aの接続条件、すなわち、ポリシーリストを保持しているアクセス制御サーバ61に対して網参加情報を送信し、エッジルータ40のACLの変更を指示する(ステップS225)。この網参加情報には、PC20−1aのホストID、IPアドレス、「接続」を指示する指示コードが含まれる。
【0039】
アクセス制御サーバ61は、「接続」を示す指示コードを受信すると、内部に登録されているポリシーリストを参照し、接続を許可している他の通信端末20や回線が収容されているエッジルータ40に対してACLの変更を指示するとともに(ステップS230)、PC20−1aが収容されているエッジルータ40へACLの変更を指示する(ステップS235)。これらのACLの変更の指示は、PC20−1aが発信元のIPパケットの扱いを「破棄」から「転送」状態へ変更する指示であり、PC20−1aのIPアドレスが通知される。
【0040】
アクセス制御サーバ61は、ACLの変更を指示したエッジルータ40から処理結果を受信すると、認証サーバ51へ処理結果を返送する(ステップS240)。この処理結果がOKであった場合の手順であるステップS245〜ステップS275の処理は、図3のステップS130〜ステップS160の処理と同様である。
【0041】
図5は、詳細な認証手順を示す。同図は、図4のRAによるアドレス配布(ステップS205)からPC20−1aへの「認証および接続完了メッセージ」の送出(ステップS245)までの手順に相当し、TLSが用いられる例である。<ステップS400>
PC20−1aは、RAによりIPアドレスを生成する。
<ステップS405>
続いて、PC20−1a及び認証サーバ51間で、TCP(Transmission Control Protocol)の3way handshakeにより、コネクションのセットアップを行う。
【0042】
<ステップS410>
(1)Client Hello
認証サーバ51とのコネクションが確立されると、PC20−1aは、通信の開始を認証サーバ51へ通知する。このとき、自身が利用可能な、暗号化と圧縮のアルゴリズムの一覧を送信する。
【0043】
<ステップS415>
(2) Server Hello
認証サーバ51は、PC20−1aから受信した暗号化と圧縮のアルゴリズムの一覧の中から、使用する暗号化と圧縮のアルゴリズムを決定して、PC20−1aに通知する。
(3) Certificate
続いて、認証サーバ51は、自身のデジタル証明書を、ルートCA(サービス共通CA70)までのデジタル証明書のリスト(証明書チェーン)を含めて送信する。なお、証明書チェーンとは、信頼されるデジタル証明書の階層であって、「チェーン」の究極的な信頼レベルまで遡って「連鎖」されるか認証されることができるものである。
(4) Server Key Exchange
認証サーバ51は、一時的なRSA(Rivest−Shamir−Adleman)鍵かDH(Diffie−Hellman)鍵を生成し、認証サーバ51の署名をつけて送信する。このメッセージは、認証サーバ51がデジタル証明書を持たないか、(3)のCertificateで送信した認証サーバ51のデジタル証明書に、鍵交換可能な公開鍵(RSAおよびDH)が含まれない場合の代替として使用する。
(5) Certificate Request
認証サーバ51が信頼するルートCAの一覧を付与し、PC20−1aへデジタル証明書の提示を要求する。これは、PC20−1aの認証を行う場合に使用する。
(6) Server Hello Done
PC20−1aに対して、(2)から(5)までの一連のメッセージが完了したことを通知する。
【0044】
<ステップS420>
(7) Certificate
PC20−1aは、ユーザA(ホスト)のデジタル証明書を認証サーバ51へ送付する。このとき、(3)と同様に証明書チェーンも送信する。
(8) Client Key Exchange
PC20−1aは、暗号化に使用するセッション鍵を生成するための情報(プリマスタシークレット)を生成し、暗号化して認証サーバ51に送信する。このプリマスタシークレットの暗号化には、認証サーバ51のデジタル証明書に含まれる公開鍵を使用する。
(9) Certificate Verify
PC20−1aは、今までに受信したHelloメッセージから署名(Certificate Verify)を生成し、認証サーバ51へ送信する。署名(Certificate Verify)を受信した認証サーバ51は、PC20−1aから受け取ったデジタル証明書(Certificate)を用いて、署名の検証を行う。検証が成功すると、そのデジタル証明書が間違いなくユーザAのものであることが確認できる。
【0045】
<ステップS425>
(10) Change Cipher Spec
続いてPC20−1aは、プリマスタシークレットからマスタシークレットを生成し、さらにマスタシークレットからセッション鍵(共通鍵)を生成する。次に、使用する暗号アルゴリズムの準備が整ったことを認証サーバ51に通知する。
(11) Finished
PC20−1aは、鍵交換と認証処理が成功したことを認証サーバ51に通知する。このとき、交換したセッション鍵を用いてメッセージを暗号化し、送信する。
【0046】
<ステップS430>
(12) Change Cipher Spec
認証サーバ51は、PC20−1aから受信した暗号化されたプリマスタシークレットを、自身の秘密鍵を使い復号する。次に復号したプリマスタシークレットからマスタシークレットを生成し、さらにマスタシークレットからセッション鍵(共通鍵)を生成する。このセッション健は、PC20−1aが生成したセッション鍵と同じ鍵になる。次に、使用する暗号アルゴリズムの準備が整ったことをPC20−1aに通知する。
(13) Finished
認証サーバ51は、鍵交換と認証処理が成功したことをPC20−1aに通知する。そして、交換したセッション鍵を使い、メッセージを暗号化して送信する。
以降は、暗号化された状態でデータの送受信を行う。
【0047】
<ステップS435>
PC20−1aは、認証サーバ51へHTTPなどにより、ホストID及びIPアドレスを通知し、接続を要求する。
<ステップS440>
認証サーバ51は、PC20−1aから受信したホストID及びIPアドレスをDDNSサーバ52へ通知し、DNS登録データの変更を指示する。
【0048】
<ステップS445、ステップS450>
認証サーバ51は、DDNSサーバ52からDNS登録データ変更の応答を受信すると、アクセス制御サーバ61へPC20−1aのホストID及びIPアドレスを通知し、ACLの変更を指示する。
<ステップS455>
アクセス制御サーバ61は、SNMP(Simple Network Management Protocol)を用いて、ACLの変更をエッジルータ40へ指示する。
<ステップS460、ステップS465、ステップS470>
アクセス制御サーバ61は、エッジルータ40からACLの変更の応答(Ack.)を受信すると、認証サーバ51へ応答(Ack.)を返送する。認証サーバ51は、PC20−1aへ応答(Ack.)を返送する。
【0049】
続いて、アクセス制御サーバ61内のポリシーリストの具体的な設定の例について以下に説明する。
ユーザがポリシーリストの表示や変更を行う際には、通信端末20からサービスサーバ62へアクセスする。サービスサーバ62は、通信端末20から受信した回線や通信端末、CUG(詳細は後述)の識別情報などに対応するポリシーリストをアクセス制御サーバ61から読み出す。そして、読み出したポリシーリストを表示するとともに、このポリシーリストを変更するためのフィールドやボタンなどを備えた画面情報を生成して返送する。サービスサーバ62は、通信端末20からユーザが入力したポリシーリストの変更の情報を受信した場合、この情報に従ってアクセス制御サーバ61内のポリシーリストを更新する。なお、ポリシーリストを操作可能なユーザは、このポリシーリストに対応したセキュアIDの通過ポリシーにより規定される。
【0050】
図6は、アクセス制御サーバ61内に登録されるポリシーリストの表示例を示す。このポリシーリストは、エッジルータ40−回線終端装置31あるいは回線終端装置34間などの回線単位、ホストID単位、IPアドレス単位、さらに、IPsec(IP Security)やHTML(hypertext markup language)などのプロトコル単位で、ユーザが設定することが可能である。
【0051】
同図においては、「COP00078320」で識別され、ニックネームが「○×自宅」である回線のポリシーリストが示されている。このポリシーリストの管理者はホストID「yoshi.sec.flet.net」で識別され、設定可能なリスト数は10、かつ、予め登録されたユーザ(管理者)のみにこのポリシーリストを操作する権限があることを示すセキュアIDの通過ポリシーが設定されている。
そして、ニックネーム「ポータルサイト」で識別され、IPアドレスが「2001:0C90:1/48」である接続先、及び、ニックネーム「開発部19Fの回線」で識別され、IPアドレスが「2001:0C90:80:1234/64」である接続先には無期限に、ニックネーム「設備部のホスト回線」で識別され、IPアドレスが「2001:0C90:80:8001/64」である接続先には、2003年12月31日0時00分まで接続可能であることを示している。また、ニックネーム「○×セキュア」で識別され、ホストID「yoshi.sec.flet.net」である接続先、ニックネーム「△□セキュア」で識別され、ホストID「tomo.sec.flet.net」である接続先、及び、ニックネーム「IPsec通信」で識別され、IPSecプロトコルを用いた通信は、無期限に接続可能であることを示している。
なお、デフォルトでは、認証された通信端末20であればポリシーリストの操作が可能である旨のセキュアIDの通過ポリシーと、ポータルサイト50への接続が無期限である旨が設定される。
【0052】
図7は、CUG(Closed User Group)の登録の手順を示す図である。CUGとは、同一のポリシーリストを使用するホスト、通信端末20、あるいは、回線などをグループ化したものであり、それぞれのポリシーリストに対して操作を行う煩雑さを解消するものである。
【0053】
図において、ユーザAが管理しているCUGにユーザBが管理する回線を加える場合(▲1▼)、ユーザBは通信端末20からサービスサーバ62へアクセスし、ユーザAの管理しているCUGへの参加を申請(登録)する(▲2▼)。この申請は、サービスサーバ62により、アクセス制御サーバ61へ登録される。
また、ユーザAは、通信端末20からサービスサーバ62へアクセスし、ユーザBの管理している回線を自身の管理するCUGへ新規に登録する(▲3▼)。サービスサーバ62は、アクセス制御サーバ61内に、ユーザAの管理するCUGへユーザBの管理している回線を登録する。そして、サービスサーバ62は、ユーザA及びユーザBからのこれらの申請(登録)の有無をアクセス制御サーバ61から参照し、登録があればCUGが「利用中」であると認識する(▲4▼)。これにより、ユーザAの管理するCUGのポリシーリストの登録内容を、ユーザBの管理する回線のポリシーリストへ反映させる。
【0054】
図8は、アクセス制御サーバ61内に登録されるCUGのポリシーリストの表示例を示す。このポリシーリストは、「000001」で識別され、ニックネームが「IP−SECな仲間」であるCUGのポリシーリストであり、管理者はホストID「yoshi.sec.flet.net」で識別され、設定可能なリスト数は5であることが示されている。そして、ニックネーム「開発部19Fの回線」で識別され、IPアドレスが「2001:0C90:80:1234/64」である接続先、及び、ニックネーム「研開センタ8FのB」で識別され、IPアドレスが「2001:0C90:80:5555/64」である接続先には無期限に接続可能であることを示している。また、ニックネーム「○×セキュア」で識別され、ホストID「yoshi.sec.flet.net」である接続先には2003年12月31日0時00分まで、ニックネーム「△□セキュア」で識別され、ホストID「tomo.sec.flet.net」である接続先には無期限に接続可能であり、ニックネーム「○×自宅」で識別され、IPアドレスが「2001:0C90:81:5963/64」である接続先は、参加回線登録待ちであることを示している。
【0055】
上記実施の形態によれば、PKI認証の結果と、エッジルータのACL制御をリアルタイムに連携させて、ユーザの身元特定性を担保することができる。また、IPv6を用いることによりアドレスを端末個々に割り振ることができるため、エッジルータでIPアドレスベースのACL制御が可能になる。これにより、セッションを使わない方式で、通信対地やプロトコルを限定せずに、通信事業者が身元を把握したユーザ間での通信が可能となる。また、レイヤ3以上で認証制御を行っているため、ユーザのネットワーク環境を限定せずに、閉域網サービスを提供することができる。
また、認証時にDDNSサーバへホストIDに対応するIPアドレスの変更を行うことにより、ユーザはHWキーを携帯していれば、移動した先で移動前と同じホストIDを用いて閉域網に接続することが可能となり、自宅あるいはアクセスポイントなどの接続場所に依存せずに、どこらからでも同じサービスを享受することができる。
また、アクセス制御サーバに接続可能な接続先を登録し、この接続先に基づきエッジルータに接続制限を指示することができる。これにより、ユーザが自宅にファイアウォールなどの特別なセキュリティー製品を置かなくても、簡易にセキュアな通信が可能となる。
また、CUGによる複数の対地の接続制限を行うことができるため、多対地の接続制限の管理を容易に行うことが可能となる。
【0056】
なお、上述の通信端末20、エッジルータ40、41、42、認証サーバ51、DDNSサーバ52、アクセス制御サーバ61、及び、サービスサーバ62は、内部にコンピュータシステムを有している。そして、上述した動作の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータシステムが読み出して実行することによって、上記処理が行われる。ここでいうコンピュータシステムとは、OSや周辺機器等のハードウアを含むものである。
【0057】
また、「コンピュータ読み取り可能な記録媒体」とは、ROMの他に、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のシステムやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0058】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0059】
【発明の効果】
この発明によれば、認証の結果と、エッジルータの接続制御をリアルタイムに連携させて、ユーザの身元特定性を担保することができる。また、IPアドレスを端末個々に割り振ることができるため、エッジルータでIPアドレスベースの接続制御を行うことが可能になる。これにより、セッションを使わない方式により、通信対地やプロトコルを限定せずに、通信事業者が身元を把握したユーザ間での通信が可能となるとともに、ユーザのネットワーク環境を限定せずに、閉域網サービスを提供することができる。
また、認証時にドメインネームシステムサーバへホストに対応したアドレスの変更を行うことにより、ユーザはHWキーを携帯していれば、移動した先で移動前と同じホストとして閉域網に接続することが可能となり、自宅あるいはアクセスポイントなどの接続場所に依存せずに、どこらからでも同じサービスを享受することができる。
また、アクセス制御サーバに接続可能な接続先を登録し、この接続先に基づきエッジルータに接続制限を指示することができる。これにより、ユーザが自宅にファイアウォールなどの特別なセキュリティー製品を置かなくても、簡易にセキュアな通信が可能となる。
【図面の簡単な説明】
【図1】この発明の一実施の形態によるネットワークアクセスシステムを用いた閉域網接続システムの構成を示す図である。
【図2】同実施の形態による未認証の通信端末のアクセス可能範囲を示す図である
【図3】同実施の形態による着信先を制限しない場合の接続手順を示す図である。
【図4】同実施の形態による着信先を制限する場合の接続手順を示す図である。
【図5】同実施の形態による詳細な認証手順を示す図である。
【図6】同実施の形態によるポリシーリストの表示例を示す図である。
【図7】同実施の形態によるCUGの登録手順を示す図である。
【図8】同実施の形態によるCUGのポリシーリストの表示例を示す図である。
【符号の説明】
10…ハードウェア(HW)キー
20…通信端末
20−1、20−1a、20−1b…パーソナルコンピュータ(PC)
30…スイッチ(SW)
31、34…回線終端装置
32…無線アクセスポイント装置
33…ルータ
40、41、42…エッジルータ
50…ポータルサイト
51…認証サーバ
52…DDNS(Dynamic Domain Name System)サーバ
60…セグメント
61…アクセス制御サーバ
62…サービスサーバ
70…サービス共通CA(認証局)
Claims (13)
- 通信端末を認証する認証装置と、通信パケットの転送を制御するエッジルータを含んで構成されるネットワークとからなるネットワークアクセスシステムであって、
前記認証装置は、
ホスト毎の認証情報を記憶する記憶手段と、
通信端末から認証情報及びホストの識別情報を受信し、前記記憶手段内の認証情報により認証を行う認証手段と、
認証が成功した場合に、前記通信端末を収容するエッジルータへこの通信端末からの通信パケットの転送を指示する転送指示手段と、
認証が成功した時に起動するタイマと、
前記タイマが満了した場合、あるいは、前記通信端末が切断を行った場合に、前記エッジルータへ前記通信端末からの通信パケットの転送を制限するよう指示する転送制限指示手段とを備え、
前記エッジルータは、
通信を許可する通信端末の識別情報のリストであるアクセスコントロールリストを記憶する記憶手段と、
前記認証装置からの指示に応じて、前記通信端末の識別情報を前記アクセスコントロールリストに登録あるいは削除する登録制御手段と、
新たに接続された通信端末に対して、アドレスを生成するための情報を通知する通知手段と、
前記アクセスコントロールリスト内に登録されていない通信端末からの通信パケットを受信したときには、前記認証装置宛である場合にこの通信パケットを転送し、その他宛の場合にはこの通信パケットを破棄するとともに、前記アクセスコントロールリスト内に登録されている通信端末からの通信パケットを受信したときには、当該通信パケットを転送する通信制御手段とを備える、
ことを特徴とするネットワークアクセスシステム。 - さらに、ホストの識別情報とアドレス情報とを相互に変換するドメインネームシステム装置とからなり、
前記認証装置は、
前記通信端末のアドレス情報及びホストの識別情報を前記ドメインネームシステム装置へ送信し、登録を要求する登録要求手段をさらに備え、
前記ドメインネームシステム装置は、
ホストの識別情報に対応させて通信端末のアドレス情報を記憶する記憶手段と、
前記認証装置から通信端末のアドレス情報及びホストの識別情報を受信し、受信したホストの識別情報に対応させて前記記憶手段に受信したアドレス情報を書き込む書込手段とを備える、
ことを特徴とする請求項1に記載のネットワークアクセスシステム。 - さらに、通信装置が通信可能な接続先のリストであるポリシーリストを管理するアクセス制御装置とからなり、
前記転送指示手段は、前記アクセス制御装置へ認証された前記通信端末からの通信パケットの転送を指示し、
前記アクセス制御装置は、
ポリシーリストを記憶する記憶手段と、
前記認証装置から通信パケットの転送の指示を受信し、認証された前記通信端末を収容するエッジルータ、及び、この通信装置が通信可能な接続先を収容するエッジルータへ、この通信端末からの通信パケットの転送を指示する指示手段とを備える、
ことを特徴とする請求項1または請求項2に記載のネットワークアクセスシステム。 - 前記アクセス制御装置は、前記通信端末からの指示を受け、前記ポリシーリストを書き替える更新手段をさらに備える、
ことを特徴とする請求項3に記載のネットワークアクセスシステム。 - ホスト毎の認証情報を記憶する記憶手段と、
通信端末から認証情報及びホストの識別情報を受信し、前記記憶手段内の認証情報により認証を行う認証手段と、
認証が成功した場合に、前記通信端末を収容するエッジルータへこの通信端末からの通信パケットの転送を指示する転送指示手段と、
認証が成功した時に起動するタイマと、
前記タイマが満了した場合、あるいは、前記通信端末が切断を行った場合に、前記エッジルータへ前記通信端末からの通信パケットの転送を制限するよう指示する転送制限指示手段と、
を備えることを特徴とする認証装置。 - さらに、前記通信端末のアドレス情報及びホストの識別情報を前記ドメインネームシステム装置へ送信し、登録を要求する登録要求手段、
を備えることを特徴とする請求項5に記載の認証装置。 - 通信を許可する通信端末の識別情報のリストであるアクセスコントロールリストを記憶する記憶手段と、
認証装置からの指示に応じて、通信端末の識別情報を前記アクセスコントロールリストに登録あるいは削除する登録制御手段と、
新たに接続された通信端末に対して、アドレスを生成するための情報を通知する通知手段と、
前記アクセスコントロールリスト内に登録されていない通信端末からの通信パケットを受信したときには、前記認証装置宛である場合にこの通信パケットを転送し、その他宛の場合にはこの通信パケットを破棄するとともに、前記アクセスコントロールリスト内に登録されている通信端末からの通信パケットを受信したときには、当該通信パケットを転送する通信制御手段と、
を備えることを特徴とするエッジルータ。 - 前記アクセスコントロールリスト内の通信端末の識別情報は、該通信端末のIPアドレス情報であることを特徴とする請求項7に記載のエッジルータ。
- 通信装置が通信可能な接続先のリストであるポリシーリストを記憶する記憶手段と、
認証装置から通信パケットの転送の指示を受信し、前記認証装置が認証した通信端末を収容するエッジルータ、及び、この通信装置が通信可能な接続先を収容するエッジルータへ、この通信端末からの通信パケットの転送を指示する指示手段と、
を備えることを特徴とするアクセス制御装置。 - 通信端末を認証する認証装置と、通信パケットの転送を制御するエッジルータを含んで構成されるネットワークとからなるネットワークアクセスシステムに用いられるネットワークアクセス方法であって、
前記エッジルータが、
通信を許可する通信端末の識別情報のリストであるアクセスコントロールリストを記憶する記憶手段を用意し、
前記アクセスコントロールリスト内に登録されていない通信端末から通信パケットを受信したときには、前記認証装置宛である場合にこの通信パケットを転送し、その他宛の場合にはこの通信パケットを破棄するとともに、前記アクセスコントロールリスト内に登録されている通信端末から通信パケットを受信したときには、当該通信パケットを転送しながら、
新たに接続された通信端末に対して、アドレスを生成するための情報を通知し、
前記認証装置が、
ホスト毎の認証情報を記憶する記憶手段を用意し、
前記エッジルータが送信したアドレスを生成するための情報を用いてアドレスを生成した通信端末から認証情報及びホストの識別情報を受信し、前記記憶手段内の認証情報により認証を行い、
認証が成功した場合に、前記通信端末を収容するエッジルータへこの通信端末からの通信パケットの転送を指示するとともにタイマを起動し、
前記エッジルータが、
前記認証装置からの指示に応じて、認証された前記通信端末の識別情報を前記アクセスコントロールリストに登録し、
前記認証装置が、
前記タイマが満了した場合、あるいは、前記通信端末が切断を行った場合に、前記エッジルータへ前記通信端末からの通信パケットの転送を制限するよう指示し、
前記エッジルータが、
前記認証装置からの指示に応じて、前記通信端末の識別情報を前記アクセスコントロールリストから削除する、
ことを特徴とするネットワークアクセス方法。 - 通信端末を認証する認証装置に用いられるコンピュータプログラムであって、
ホスト毎の認証情報を記憶手段に記憶するステップと、
通信端末から認証情報及びホストの識別情報を受信し、前記記憶手段内の認証情報により認証を行うステップと、
認証が成功した場合に、前記通信端末を収容するエッジルータへこの通信端末からの通信パケットの転送を指示するステップと、
認証が成功した時にタイマを起動するステップと、
前記タイマが満了した場合、あるいは、前記通信端末が切断を行った場合に、前記エッジルータへ前記通信端末からの通信パケットの転送を制限するよう指示するステップと、
をコンピュータに実行させることを特徴とするコンピュータプログラム。 - 通信パケットの転送を制御するエッジルータに用いられるコンピュータプログラムであって、
通信を許可する通信端末の識別情報のリストであるアクセスコントロールリストを記憶手段に記憶するステップと、
認証装置からの指示に応じて、通信端末の識別情報を前記アクセスコントロールリストに登録あるいは削除するステップと、
新たに接続された通信端末に対して、アドレスを生成するための情報を通知するステップと、
前記アクセスコントロールリスト内に登録されていない通信端末からの通信パケットを受信したときには、前記認証装置宛である場合にこの通信パケットを転送し、その他宛の場合にはこの通信パケットを破棄するとともに、前記アクセスコントロールリスト内に登録されている通信端末からの通信パケットを受信したときには、当該通信パケットを転送するステップと、
をコンピュータに実行させることを特徴とするコンピュータプログラム。 - 通信装置が通信可能な接続先のリストであるポリシーリストを管理するアクセス制御装置に用いられるコンピュータプログラムであって、
ポリシーリストを記憶手段に記憶するステップと、
認証装置から通信パケットの転送の指示を受信し、前記認証装置が認証した通信端末を収容するエッジルータ、及び、この通信装置が通信可能な接続先を収容するエッジルータへ、この通信端末からの通信パケットの転送を指示するステップと、
をコンピュータに実行させることを特徴とするコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003112871A JP2004318582A (ja) | 2003-04-17 | 2003-04-17 | ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003112871A JP2004318582A (ja) | 2003-04-17 | 2003-04-17 | ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004318582A true JP2004318582A (ja) | 2004-11-11 |
Family
ID=33472962
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003112871A Pending JP2004318582A (ja) | 2003-04-17 | 2003-04-17 | ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004318582A (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006064764A1 (ja) * | 2004-12-16 | 2006-06-22 | Sega Corporation | ペナルティ機能を有するゲーム機器管理装置、ゲーム装置およびその動作プログラム、並びにペナルティ設定サーバ |
| CN101883106A (zh) * | 2010-06-30 | 2010-11-10 | 赛尔网络有限公司 | 基于数字证书的网络接入认证方法和网络接入认证服务器 |
| WO2011081104A1 (ja) * | 2010-01-04 | 2011-07-07 | 日本電気株式会社 | 通信システム、認証装置、制御サーバ、通信方法およびプログラム |
| WO2012086816A1 (ja) * | 2010-12-24 | 2012-06-28 | 日本電気株式会社 | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム |
| CN103329489A (zh) * | 2011-01-20 | 2013-09-25 | 日本电气株式会社 | 通信系统、控制设备、策略管理设备、通信方法和程序 |
| JP2016532984A (ja) * | 2013-09-17 | 2016-10-20 | アマゾン テクノロジーズ インコーポレイテッド | ネットワーク接続自動化 |
| US9491036B2 (en) | 2010-03-18 | 2016-11-08 | Qualcomm Incorporated | Method and apparatus for facilitating prefix allocation and advertisement or delegation |
| US11140150B2 (en) | 2016-06-24 | 2021-10-05 | AO Kaspersky Lab | System and method for secure online authentication |
-
2003
- 2003-04-17 JP JP2003112871A patent/JP2004318582A/ja active Pending
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006064764A1 (ja) * | 2004-12-16 | 2006-06-22 | Sega Corporation | ペナルティ機能を有するゲーム機器管理装置、ゲーム装置およびその動作プログラム、並びにペナルティ設定サーバ |
| US8713087B2 (en) | 2010-01-04 | 2014-04-29 | Nec Corporation | Communication system, authentication device, control server, communication method, and program |
| WO2011081104A1 (ja) * | 2010-01-04 | 2011-07-07 | 日本電気株式会社 | 通信システム、認証装置、制御サーバ、通信方法およびプログラム |
| JPWO2011081104A1 (ja) * | 2010-01-04 | 2013-05-09 | 日本電気株式会社 | 通信システム、認証装置、制御サーバ、通信方法およびプログラム |
| US9491036B2 (en) | 2010-03-18 | 2016-11-08 | Qualcomm Incorporated | Method and apparatus for facilitating prefix allocation and advertisement or delegation |
| CN101883106A (zh) * | 2010-06-30 | 2010-11-10 | 赛尔网络有限公司 | 基于数字证书的网络接入认证方法和网络接入认证服务器 |
| US9178910B2 (en) | 2010-12-24 | 2015-11-03 | Nec Corporation | Communication system, control apparatus, policy management apparatus, communication method, and program |
| CN103283190A (zh) * | 2010-12-24 | 2013-09-04 | 日本电气株式会社 | 通信系统、控制装置、策略管理装置、通信方法和程序 |
| JP5862577B2 (ja) * | 2010-12-24 | 2016-02-16 | 日本電気株式会社 | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム |
| WO2012086816A1 (ja) * | 2010-12-24 | 2012-06-28 | 日本電気株式会社 | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム |
| CN103329489A (zh) * | 2011-01-20 | 2013-09-25 | 日本电气株式会社 | 通信系统、控制设备、策略管理设备、通信方法和程序 |
| CN103329489B (zh) * | 2011-01-20 | 2016-04-27 | 日本电气株式会社 | 通信系统、控制设备、策略管理设备、通信方法和程序 |
| US9363182B2 (en) | 2011-01-20 | 2016-06-07 | Nec Corporation | Communication system, control device, policy management device, communication method, and program |
| US9692732B2 (en) | 2011-11-29 | 2017-06-27 | Amazon Technologies, Inc. | Network connection automation |
| JP2016532984A (ja) * | 2013-09-17 | 2016-10-20 | アマゾン テクノロジーズ インコーポレイテッド | ネットワーク接続自動化 |
| JP2018116708A (ja) * | 2013-09-17 | 2018-07-26 | アマゾン テクノロジーズ インコーポレイテッド | ネットワーク接続自動化 |
| US11122022B2 (en) | 2013-09-17 | 2021-09-14 | Amazon Technologies, Inc. | Network connection automation |
| US11843589B2 (en) | 2013-09-17 | 2023-12-12 | Amazon Technologies, Inc. | Network connection automation |
| US11140150B2 (en) | 2016-06-24 | 2021-10-05 | AO Kaspersky Lab | System and method for secure online authentication |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7234058B1 (en) | Method and apparatus for generating pairwise cryptographic transforms based on group keys | |
| JP4823717B2 (ja) | 暗号通信システム、端末状態管理サーバ、暗号通信方法、および端末状態管理方法 | |
| KR101076848B1 (ko) | 사설망 자원으로의 연결을 설정하는 방법 및 컴퓨터 판독가능 기록 매체 | |
| Housley et al. | Guidance for authentication, authorization, and accounting (AAA) key management | |
| JP3863852B2 (ja) | 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体 | |
| US20070192842A1 (en) | Secure extended authentication bypass | |
| US20060155984A1 (en) | Apparatus, method and computer software products for controlling a home terminal | |
| JP5239341B2 (ja) | ゲートウェイ、中継方法及びプログラム | |
| JP4962117B2 (ja) | 暗号通信処理方法及び暗号通信処理装置 | |
| JP2004254027A (ja) | サーバ装置、鍵管理装置、暗号通信方法及びプログラム | |
| US7055170B1 (en) | Security mechanism and architecture for collaborative software systems using tuple space | |
| JP5536628B2 (ja) | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント | |
| US20180115520A1 (en) | Dark virtual private networks and secure services | |
| CN110191052B (zh) | 一种跨协议网络传输方法及系统 | |
| US7965701B1 (en) | Method and system for secure communications with IP telephony appliance | |
| WO2020020007A1 (zh) | 网络接入方法、装置、终端、基站和可读存储介质 | |
| US20080267395A1 (en) | Apparatus and method for encrypted communication processing | |
| JP2014510480A (ja) | ネットワーク通信システムおよび方法 | |
| WO2009082950A1 (fr) | Procédé, dispositif et système de distribution de clés | |
| JP2001251297A (ja) | 情報処理装置、該情報処理装置を具備する暗号通信システム及び暗号通信方法 | |
| JP2004318582A (ja) | ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラム | |
| CN107135226B (zh) | 基于socks5的传输层代理通信方法 | |
| JP2011054182A (ja) | ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体 | |
| JP2006019824A (ja) | セキュア通信システム、管理装置および通信端末 | |
| Faisal et al. | Graphene: a secure cloud communication architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20061002 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061024 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061225 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070724 |