JP2005149337A - Gateway device - Google Patents
Gateway device Download PDFInfo
- Publication number
- JP2005149337A JP2005149337A JP2003388709A JP2003388709A JP2005149337A JP 2005149337 A JP2005149337 A JP 2005149337A JP 2003388709 A JP2003388709 A JP 2003388709A JP 2003388709 A JP2003388709 A JP 2003388709A JP 2005149337 A JP2005149337 A JP 2005149337A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- virtual network
- information
- communication terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、利用者が利用する端末とネットワークを介して通信可能に接続され、かつ他のネットワークとも通信可能に接続されたゲートウエイ装置に関するものである。 The present invention relates to a gateway device that is communicably connected to a terminal used by a user via a network and is communicably connected to another network.
近年、企業内で使用する企業ネットワークにおいては、企業ネットワークの管理コストを軽減するために、ユーザなどを認証するための認証サーバを企業ネットワークと接続せずに、ゲートウエイ装置を介して外部のネットワークと接続して、ユーザ認証を外部の企業に委託するような認証システムの研究開発が進められている。 In recent years, in a corporate network used in a company, in order to reduce the management cost of the corporate network, an authentication server for authenticating a user or the like is not connected to the corporate network and is connected to an external network via a gateway device. Research and development of an authentication system that connects and entrusts user authentication to an external company is underway.
例えば、図24に示すように、企業ネットワークと外部のネットワークとを接続する従来の認証システムは、ネットワーク923およびネットワーク913を接続するNAT(Network Adress Translator)を搭載したゲートウエイ装置920と、ネットワーク923に接続された通信端末921aおよび通信端末921bと、ネットワーク913に接続された認証代行サーバ912およびサーバ910とを備えた構成を有している。
For example, as shown in FIG. 24, a conventional authentication system that connects a corporate network and an external network includes a
上述の従来の認証システムとしては、ユーザが通信端末921aを介してサーバ910aへログインするとき、ユーザIDおよびパスワードを含む接続情報をゲートウエイ装置920を介して認証代行サーバ912に送信し、認証代行サーバ912が、送信された接続情報を認証し、認証が成功だったとき、ユーザに認証が成功したことを通信端末921aに通知して、サーバ910aまたはサーバ910bのログインが可能になるものが知られている(例えば特許文献1参照)。
しかしながら、上述のシステムでは、ユーザの認証結果に応じてサーバ910のログインが可能にすることができるが、ネットワーク923が複数の仮想ネットワークによって構成されていたとき、ユーザの認証結果に応じて仮想ネットワークと通信端末とを接続させるための制御ができないという課題が残されていた。
本発明は、従来の課題を解決するためになされたもので、ユーザの認証結果に応じて特定の仮想ネットワークとユーザが利用する通信端末とを接続させるための制御ができるゲートウエイ装置を提供することを目的とする。
However, in the above-described system, the server 910 can be logged in according to the user authentication result. However, when the
The present invention has been made in order to solve the conventional problems, and provides a gateway device capable of controlling to connect a specific virtual network and a communication terminal used by a user according to a user authentication result. With the goal.
請求項1に記載のゲートウエイ装置は、ユーザが利用する通信端末と第1のネットワークを介して通信可能に接続され、かつ前記ユーザを認証する認証サーバと第2のネットワークを介して通信可能に接続されたゲートウエイ装置において、前記第1のネットワークを構成する複数の仮想ネットワークのうち何れか1つと前記ユーザが利用する通信端末とを接続させる仮想ネットワーク接続手段と、前記ユーザを認証するための認証情報を前記通信端末から受信する認証情報受信手段と、前記認証情報受信手段によって受信された認証情報に応じて前記認証サーバに認証の要求を行う認証要求手段と、前記認証サーバから前記認証の要求に対する応答を表す認証応答情報を受信する認証応答手段とを備え、前記認証応答手段によって受信された認証応答情報が前記認証の成功を示していたとき、前記仮想ネットワーク接続手段は、前記ユーザと対応する仮想ネットワークを識別するための仮想ネットワーク識別情報に従って前記仮想ネットワークと前記ユーザが利用する通信端末とを接続させる構成を有している。
この構成により、認証応答情報が認証の成功を示していたとき、ユーザと対応する仮想ネットワークを識別するための仮想ネットワーク識別情報に従って、仮想ネットワークとユーザが利用する通信端末とを接続させるため、ユーザの認証結果に応じて特定の仮想ネットワークとユーザが利用する通信端末とを接続させるための制御ができる。
The gateway device according to claim 1 is communicably connected to a communication terminal used by a user via a first network, and is communicably connected to an authentication server for authenticating the user via a second network. In the gateway apparatus, virtual network connection means for connecting any one of a plurality of virtual networks constituting the first network and a communication terminal used by the user, and authentication information for authenticating the user Authentication information receiving means for receiving the authentication information from the communication terminal, authentication request means for requesting authentication to the authentication server in accordance with the authentication information received by the authentication information receiving means, and An authentication response means for receiving authentication response information representing a response, and received by the authentication response means When authentication response information indicates that the authentication is successful, the virtual network connection means includes the virtual network and a communication terminal used by the user according to virtual network identification information for identifying a virtual network corresponding to the user. Are connected.
With this configuration, when the authentication response information indicates successful authentication, the user connects the virtual network and the communication terminal used by the user according to the virtual network identification information for identifying the virtual network corresponding to the user. Control for connecting a specific virtual network and a communication terminal used by the user can be performed according to the authentication result.
請求項2に記載のゲートウエイ装置は、前記通信端末の仲介を行う仲介装置および前記通信端末と前記第1のネットワークを介して通信可能に接続され、前記認証情報受信手段は、前記第1のネットワークを構成する前記複数の仮想ネットワークのうち何れか1つと前記ユーザが利用する通信端末とを接続する前記仲介装置から前記認証情報を受信し、前記認証応答手段によって受信された認証応答情報が前記認証の成功を示していたとき、前記仮想ネットワーク接続手段は、前記ユーザと対応する仮想ネットワークと前記ユーザが利用する通信端末とを前記仲介装置に接続させる構成を有している。
この構成により、仲介装置が第1のネットワークを構築するためのロケーション毎に設置可能となるため、ユーザがネットワークに接続するための利便性を高めることができる。
The gateway device according to claim 2 is connected to the mediation device that mediates the communication terminal and the communication terminal so as to be communicable with each other via the first network, and the authentication information receiving unit is configured to communicate with the first network. The authentication information is received from the intermediary device that connects any one of the plurality of virtual networks constituting the communication terminal used by the user, and the authentication response information received by the authentication response means is the authentication The virtual network connection means has a configuration for connecting the virtual network corresponding to the user and the communication terminal used by the user to the mediation device.
With this configuration, since the intermediary device can be installed for each location for constructing the first network, the convenience for the user to connect to the network can be enhanced.
請求項3に記載のゲートウエイ装置は、前記ユーザが利用可能な前記仲介装置を表す利用可能装置情報を格納する利用可能装置情報格納手段を備え、前記仮想ネットワーク接続手段は、前記ユーザが前記仲介装置を利用可能か否かを前記利用可能装置情報に従って判断し、接続可能と判断したとき前記仮想ネットワークと前記ユーザが利用する通信端末とを前記仲介装置に接続させる構成を有している。
この構成により、ユーザが仲介装置を利用可能か否かを利用可能装置情報に従って判断し、接続可能と判断したとき仮想ネットワークとユーザが利用する通信端末とを仲介装置に接続させるため、ユーザに対して仲介装置の利用を制限することができる。
The gateway device according to claim 3, further comprising: available device information storage means for storing available device information representing the mediation device that can be used by the user, wherein the virtual network connection means is configured so that the user can use the mediation device. Is determined according to the available device information, and when it is determined that connection is possible, the virtual network and a communication terminal used by the user are connected to the mediation device.
With this configuration, whether the user can use the mediation device is determined according to the available device information, and when it is determined that the connection is possible, the virtual network and the communication terminal used by the user are connected to the mediation device. Thus, the use of the mediation device can be restricted.
請求項4に記載のゲートウエイ装置は、前記ユーザが利用可能な利用時間を表す利用時間情報を格納する利用時間情報格納手段を備え、前記仮想ネットワーク接続手段は、前記ユーザが前記仮想ネットワークに接続可能か否かを前記利用時間情報に従って判断し、接続可能と判断したとき前記仮想ネットワークと前記ユーザが利用する通信端末とを接続させる構成を有している。
この構成により、ユーザが仮想ネットワークに接続可能か否かを利用時間情報に従って判断し、接続可能と判断したとき仮想ネットワークとユーザが利用する通信端末とを接続させるため、ユーザに対して仮想ネットワークを利用する利用時間を制限することができる。
The gateway device according to claim 4, further comprising usage time information storage means for storing usage time information indicating a usage time that can be used by the user, wherein the virtual network connection means allows the user to connect to the virtual network. Whether or not it is determined according to the use time information, and when it is determined that connection is possible, the virtual network and the communication terminal used by the user are connected.
With this configuration, whether or not the user can connect to the virtual network is determined according to the usage time information, and when it is determined that the user can connect, the virtual network is connected to the communication terminal used by the user. Use time can be limited.
請求項5に記載のゲートウエイ装置は、前記仮想ネットワーク識別情報を格納する仮想ネットワーク識別情報格納手段を備え、前記仮想ネットワーク接続手段は、前記仮想ネットワーク識別情報が示す仮想ネットワークと前記ユーザが利用する通信端末とを接続させる構成を有している。
この構成により、仮想ネットワーク識別情報が示す仮想ネットワークとユーザが利用する通信端末とを接続させるため、ゲートウエイ装置が、ユーザと対応する仮想ネットワークを選択して接続させることができる。
6. The gateway device according to claim 5, further comprising virtual network identification information storage means for storing the virtual network identification information, wherein the virtual network connection means is a communication used by the virtual network indicated by the virtual network identification information and the user. It has the structure which connects with a terminal.
With this configuration, since the virtual network indicated by the virtual network identification information is connected to the communication terminal used by the user, the gateway device can select and connect the virtual network corresponding to the user.
請求項6に記載のゲートウエイ装置は、前記認証情報には、前記仮想ネットワークを識別するための仮想ネットワーク識別情報が含まれ、前記仮想ネットワーク接続手段は、前記認証情報に含まれる仮想ネットワーク識別情報が示す仮想ネットワークと前記ユーザが利用する通信端末とを接続させる構成を有している。
この構成により、認証情報に含まれる仮想ネットワーク識別情報が示す仮想ネットワークとユーザが利用する通信端末とを接続させるため、ユーザが、ユーザと対応する仮想ネットワークを選択して接続させることができる。
The gateway device according to claim 6, wherein the authentication information includes virtual network identification information for identifying the virtual network, and the virtual network connection means includes the virtual network identification information included in the authentication information. And a communication terminal used by the user.
With this configuration, since the virtual network indicated by the virtual network identification information included in the authentication information and the communication terminal used by the user are connected, the user can select and connect the virtual network corresponding to the user.
請求項7に記載のゲートウエイ装置は、前記複数の仮想ネットワークのうち前記ユーザが利用可能な前記仮想ネットワークだけに接続することを許可するための許可情報を格納する許可情報格納手段を備え、前記仮想ネットワーク接続手段は、前記仮想ネットワーク識別情報が示す仮想ネットワークに前記ユーザが接続可能か否かを前記許可情報に従って判断し、接続可能と判断したとき前記仮想ネットワークと前記ユーザが利用する通信端末とを接続させる構成を有している。
この構成により、仮想ネットワーク識別情報が示す仮想ネットワークにユーザが接続可能か否かを許可情報に従って判断し、接続可能と判断したとき仮想ネットワークとユーザが利用する通信端末とを接続させるため、ユーザが利用できる仮想ネットワークを制限することができる。
The gateway device according to claim 7, further comprising permission information storage means for storing permission information for permitting connection to only the virtual network available to the user among the plurality of virtual networks. Network connection means determines whether or not the user can connect to the virtual network indicated by the virtual network identification information according to the permission information, and determines that the virtual network and the communication terminal used by the user when connecting is determined. It has the structure to connect.
With this configuration, whether or not the user can connect to the virtual network indicated by the virtual network identification information is determined according to the permission information, and when the connection is determined to be possible, the user connects the virtual network and the communication terminal used by the user. The virtual network that can be used can be limited.
請求項8に記載のゲートウエイ装置は、前記認証情報には、前記ユーザを証明するための証明書が含まれ、前記仮想ネットワーク接続手段は、前記仮想ネットワーク識別情報が示す仮想ネットワークと前記証明書に示されるユーザが利用する通信端末とを接続させる構成を有している。
この構成により、仮想ネットワーク識別情報が示す仮想ネットワークと証明書に示されるユーザが利用する通信端末とを接続させるため、ユーザを識別するための情報などを偽って仮想ネットワークを不正に利用することを防止できる。
The gateway apparatus according to claim 8, wherein the authentication information includes a certificate for proving the user, and the virtual network connection unit includes the virtual network and the certificate indicated by the virtual network identification information. And a communication terminal used by the user shown.
With this configuration, in order to connect the virtual network indicated by the virtual network identification information to the communication terminal used by the user indicated by the certificate, the virtual network is illegally used by falsely providing information for identifying the user. Can be prevented.
請求項9に記載のゲートウエイ装置は、前記証明書には、前記複数の仮想ネットワークのうち前記ユーザが利用可能な前記仮想ネットワークだけに接続することを許可するための許可情報が含まれ、前記仮想ネットワーク接続手段は、前記証明書に示されるユーザが前記仮想ネットワーク識別情報が示す仮想ネットワークに接続可能か否かを前記許可情報に従って判断し、接続可能と判断したとき前記仮想ネットワークと前記証明書に示されるユーザが利用する通信端末とを接続させる構成を有している。
この構成により、証明書に示されるユーザが仮想ネットワーク識別情報が示す仮想ネットワークに接続可能か否かを許可情報に従って判断し、接続可能と判断したとき仮想ネットワークと証明書に示されるユーザが利用する通信端末とを接続させるため、証明書に従ってユーザが利用できる仮想ネットワークを制限することができる。
The gateway device according to claim 9, wherein the certificate includes permission information for permitting connection to only the virtual network that can be used by the user among the plurality of virtual networks. The network connection means determines whether or not the user indicated in the certificate can connect to the virtual network indicated by the virtual network identification information according to the permission information, and determines that the user can connect to the virtual network and the certificate. And a communication terminal used by the user shown.
With this configuration, the user indicated in the certificate determines whether or not the user can connect to the virtual network indicated by the virtual network identification information according to the permission information, and uses the virtual network and the user indicated in the certificate when determining that connection is possible. Since the communication terminal is connected, the virtual networks that can be used by the user can be restricted according to the certificate.
請求項10に記載のゲートウエイ装置は、前記ユーザの利用可能な前記仮想ネットワークを問い合わせるための問い合わせ情報を前記通信端末から受信する問い合わせ情報受信手段と、前記問い合わせ情報受信手段によって受信された問い合わせ情報に応じて前記許可情報格納手段から前記ユーザと対応するための仮想ネットワーク識別情報を前記ユーザが利用する通信端末に返答する仮想ネットワーク識別情報返答手段とを備えた構成を有している。
この構成により、ユーザからの問い合わせに応じて仮想ネットワーク識別情報を返答するため、予めユーザが仮想ネットワーク識別情報を知らなくても、接続可能な仮想ネットワーク識別情報をユーザに通知でき、接続可能な仮想ネットワーク識別情報が複数あるときには、ユーザが望む仮想ネットワークと接続することができる。
The gateway device according to
With this configuration, the virtual network identification information is returned in response to an inquiry from the user. Therefore, even if the user does not know the virtual network identification information in advance, the connectable virtual network identification information can be notified to the user. When there are a plurality of pieces of network identification information, it is possible to connect to a virtual network desired by the user.
請求項11に記載のゲートウエイ装置は、前記複数の仮想ネットワークのうち前記ユーザが利用可能な前記仮想ネットワークだけに接続することを許可するための許可情報を格納する許可情報格納手段を備え、前記仲介装置は、前記第1のネットワークによって構成される全ての仮想ネットワークを表す情報を前記ユーザの利用する通信端末に通知し、前記ユーザの利用する通信端末は、通知された情報に基づいて前記仮想ネットワークの優先度を与えた仮想ネットワークリストを作成し、前記認証情報受信手段が前記仮想ネットワークリストを含む認証情報を受信したとき、前記仮想ネットワーク接続手段は、前記仮想ネットワークリストに基づいて優先度の高い仮想ネットワークから順に前記ユーザが接続可能か否かを前記許可情報に従って判断し、接続可能と判断したとき前記仮想ネットワークと前記ユーザが利用する通信端末とを接続させる構成を有している。
この構成により、仮想ネットワークの優先度が与えられた仮想ネットワークリストに基づいて優先度の高い仮想ネットワークから順にユーザが接続可能か否かを許可情報に従って判断するため、ユーザが望む優先度の高い順に仮想ネットワークと接続することができる
12. The gateway device according to claim 11, further comprising permission information storage means for storing permission information for permitting connection to only the virtual network that can be used by the user among the plurality of virtual networks. The apparatus notifies the communication terminal used by the user of information representing all virtual networks configured by the first network, and the communication terminal used by the user uses the virtual network based on the notified information. When the authentication information receiving unit receives authentication information including the virtual network list, the virtual network connection unit has a higher priority based on the virtual network list. Whether or not the user can connect in order from the virtual network is determined according to the permission information. Determining Te, the said virtual network when it is determined to be connectable users has a structure for connecting a communication terminal to use.
With this configuration, it is determined according to the permission information whether the user can connect in order from the virtual network with the highest priority based on the virtual network list to which the priority of the virtual network is given. Can connect to virtual network
本発明は、ユーザの認証結果に応じて特定の仮想ネットワークとユーザが利用する通信端末とを接続させるための制御ができるゲートウエイ装置を提供するものである。 The present invention provides a gateway device capable of controlling to connect a specific virtual network and a communication terminal used by a user according to a user authentication result.
以下、図面を参照して本発明の実施の形態について詳細に説明する。
図1は、本発明の第1の実施の形態に係る認証システムのシステム構成図である。
図1に示すように、認証システム1000は、ユーザが利用する通信端末11aから通信端末11dと、情報を中継するゲートウエイ装置100とが、社内ネットワーク10を介して通信可能に接続され、かつゲートウエイ装置100と、ユーザを認証する認証サーバ21とが認証ネットワーク20を介して通信可能に接続された構成を有している。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
FIG. 1 is a system configuration diagram of an authentication system according to the first embodiment of the present invention.
As shown in FIG. 1, an
なお、通信端末11a〜11dは、無線の通信が可能な携帯端末、若しくは、パソコンなどでもよい。図1には、通信端末11を4つ図示しているが個数は限定されない。社内ネットワーク10または認証ネットワーク20は、有線、無線を問わない。社内ネットワーク10は、LANなどであり、会社内で用いられるネットワークに限定されるものではない。また、社内ネットワーク10は、複数の仮想ネットワークによって構成され、仮想ネットワークは、例えば、VLAN(Virtual Local Area Network)31、およびVLAN32を含む。以下、仮想ネットワークをVLANとして説明する。
Note that the communication terminals 11a to 11d may be mobile terminals capable of wireless communication, personal computers, or the like. Although four communication terminals 11 are shown in FIG. 1, the number is not limited. The in-
また、ユーザa、ユーザb、ユーザc、またはユーザdは、如何なる通信端末11を利用してもよい。しかし、本実施の形態においては、説明の便宜を図るため、ユーザaが通信端末11aを利用し、ユーザbが通信端末11bを利用し、ユーザcが通信端末11cを利用し、ユーザdが通信端末11dを利用するものとする。 Further, the user a, the user b, the user c, or the user d may use any communication terminal 11. However, in this embodiment, for convenience of explanation, the user a uses the communication terminal 11a, the user b uses the communication terminal 11b, the user c uses the communication terminal 11c, and the user d communicates. It is assumed that the terminal 11d is used.
通信端末11を利用するユーザがVLANにログインするとき、通信端末11は、ユーザを認証するための認証情報をゲートウエイ装置100に送信するようになっている。ゲートウエイ装置100は、通信端末11から送信された認証情報を受信し、受信した認証情報に応じて認証サーバ21に認証の要求を行うようになっている。
When a user using the communication terminal 11 logs in to the VLAN, the communication terminal 11 transmits authentication information for authenticating the user to the
ゲートウエイ装置100が認証の要求を行ったとき、認証サーバ21は、認証情報に基づいてユーザの認証を行い、この認証の結果を表す情報であって認証の要求に対する応答を表す認証応答情報をゲートウエイ装置100に送信するようになっている。
When the
ゲートウエイ装置100は、認証サーバ21から送信された認証応答情報を受信し、受信した認証応答情報が認証の成功を示していたとき、VLAN31およびVLAN32のうち1つとユーザが利用する通信端末11とを接続するようになっている。管理端末12は、認証失敗情報などを表示する。
The
図2は、本発明の第1の実施の形態に係るゲートウエイ装置のブロック構成図である。図2に示すように、ゲートウエイ装置100は、データベース110、通信インタフェース120、制御手段130、ログ情報格納手段140、通信インタフェース150を含むように構成される。
FIG. 2 is a block diagram of the gateway device according to the first embodiment of the present invention. As shown in FIG. 2, the
データベース110(利用時間情報格納手段、仮想ネットワーク識別情報格納手段)は、ユーザが接続するVLANを識別するための仮想ネットワーク識別情報、およびユーザが利用可能な利用時間を表す利用時間情報を格納するようになっている。ここで、データベース110が格納する情報の一例を表1に示す。以下、仮想ネットワーク識別情報をVLAN番号として説明する。
The database 110 (usage time information storage means, virtual network identification information storage means) stores virtual network identification information for identifying the VLAN to which the user is connected and usage time information representing the usage time available to the user. It has become. An example of information stored in the
表1に示したように、例えば、ユーザaは、管理職の社員であり、VLAN31を利用可能であり、利用時間には制限がない。また、ユーザbは、派遣社員であり、VLAN32を利用可能であり、9時から18時まで利用可能である。ユーザcは、組合員の社員であり、VLAN31を利用可能であり、9時から22時まで利用可能である。また、ユーザdは、来訪者であり、VLAN32を利用可能であり、9時から18時まで利用可能である。
As shown in Table 1, for example, the user a is an employee of a managerial position, can use the
通信インタフェース120は、社内ネットワーク10と通信するようになっており、認証情報送受信手段121および仮想ネットワーク接続手段(HUB)122を含むように構成される。
The
認証情報送受信手段121は、例えば、EAP−TLS(PPP Extensible Authentication Protocol―Transport Layer Security)などの認証に関する認証プロトコルに準拠して通信端末11と通信するようになっている。また、認証情報送受信手段121は、EAP−TLSに準拠したパケットを用いて、ユーザを認証するための認証情報を通信端末11から受信するようになっている。仮想ネットワーク接続手段(HUB)122は、VLAN用のHUBで構成されていてもよく、複数のVLANのうち1つのVLANと通信端末11とを接続するようになっている。
The authentication information transmission / reception means 121 communicates with the communication terminal 11 in conformity with an authentication protocol related to authentication such as EAP-TLS (PPP Extensible Authentication Protocol-Transport Layer Security). Further, the authentication information transmitting / receiving
制御手段130は、プログラムを処理するCPU(Central Processing Unit)、およびプログラムを記憶するメモリなどを含むように構成される。また、制御手段130は、認証情報解析手段131、認証要求手段132、認証応答手段133、ユーザ認可手段134、および認証失敗情報送信手段135を有している。なお、これらの手段はプログラムのモジュールでもよい。
The control means 130 is configured to include a CPU (Central Processing Unit) that processes a program, a memory that stores the program, and the like. The
認証情報解析手段131は、認証情報送受信手段121が受信した認証プロトコルに準拠した認証情報を含む情報を解析するようになっている。例えば、認証情報解析手段131は、EAP−TLSに準拠したパケットに含まれるユーザ識別子などの認証情報を解析するようになっている。
The authentication
認証要求手段132は、認証情報解析手段131が解析した認証情報に応じて認証サーバ21に認証の要求を行うようになっている。例えば、認証要求手段132は、認証情報を含むパケットを認証サーバ21に送信することにより、認証の要求を行うようになっている。
The
認証応答手段133は、認証の結果を表す情報であって、認証の要求に対する応答を表す認証応答情報を認証サーバ21から通信インタフェース150を介して受信するようになっている。例えば、認証応答手段133は、Radius(Remote Authentication Dial-In User Service)に準拠したAccess-Acceptパケット、Access-Challengeパケット、またはAccess-Rejectパケットを受信するようにしてもよい。なお、認証要求となるAccess-Requestパケットに対応するパケットは認証応答となるAccess-Challegeパケットであり、Access-AcceptパケットおよびAccess-Rejectパケットは認証結果を知らせるためのパケットである。
The authentication response means 133 is information representing the result of authentication, and receives authentication response information representing a response to the authentication request from the
ユーザ認可手段134は、認証応答手段133によって受信された認証応答情報が認証の成功を示していたとき、認証情報に含まれていたユーザ識別子と対応するVLAN番号をデータベース110から取得し、取得したVLAN番号と対応するVLANと通信端末11とをHUB122に接続させるようになっている。
The
また、ユーザ認可手段134は、ユーザ識別子と対応する利用時間情報をデータベース110から取得し、取得した利用時間情報に従ってVLANに接続可能か判断するようにしてもよい。接続可能と判断したときには、ユーザ認可手段134が、VLAN番号と対応するVLANと通信端末11とをHUB122に接続させるようになっている。
Further, the
例えば、ユーザaを認証する場合、ユーザ認可手段134は、ユーザaと対応する「31」を表すVLAN番号、および利用時間情報をデータベース110から取得し、取得した利用時間情報が無制限を表しているため接続可能と判断し、VLAN31と通信端末11aとをHUB122に接続させるようになっている。
For example, when authenticating the user a, the
また、ユーザ認可手段134は、認証応答情報が認証の失敗を示していたとき、認証失敗の旨を表す認証失敗情報をログ情報格納手段140に出力するようになっている。認証失敗情報送信手段135は、ユーザ認可手段134によって出力された認証失敗情報を管理端末12に表示するようになっている。
Further, when the authentication response information indicates a failure of authentication, the
ログ情報格納手段140は、社内ネットワーク10および認証ネットワーク20から通信インタフェース120および通信インタフェース150を介して送受信された情報を格納し、格納した情報を不図示のディスプレイなどに表示するようになっている。また、ログ情報格納手段140は、ユーザ認可手段134によって出力された認証失敗情報を格納するようにしてもよい。
The log
通信インタフェース150は、認証ネットワーク20と通信するようになっており、認証情報送受信手段151を含むように構成される。認証情報送受信手段151は、例えば、Radiusを含む認証に関するプロトコルに準拠して認証サーバ21と通信するようになっている。
The
認証情報送受信手段151は、認証情報送受信手段121によって受信された認証情報を含むAccess-Requestパケットに応じて認証サーバ21に認証の要求を行うようになっている。また、認証情報送受信手段151は、認証の要求に対する応答を表す認証応答情報を認証サーバ21から受信し、受信した認証応答情報を認証応答手段133に出力するようになっている。例えば、認証情報送受信手段151は、Radiusに準拠したAccess-AcceptパケットまたはAccess-Rejectパケットを受信するようになっている。
The authentication information transmission /
以下、本発明の第1の実施の形態に係るゲートウエイ装置の動作について、図面を参照して説明する。図3は、本発明の第1の実施の形態に係るゲートウエイ装置の動作の流れを示すフローチャートである。 Hereinafter, the operation of the gateway apparatus according to the first embodiment of the present invention will be described with reference to the drawings. FIG. 3 is a flowchart showing an operation flow of the gateway device according to the first embodiment of the present invention.
まず、通信端末11から送信された認証情報は、認証情報送受信手段121によって受信される(S101)。次に、利用時間情報は、認証情報解析手段131が認証情報を解析した後に、データベース110から取得され、取得された利用時間情報に基づいてVLANに接続可能か否かが、ユーザ認可手段134によって判断される(S102)。
First, the authentication information transmitted from the communication terminal 11 is received by the authentication information transmitting / receiving unit 121 (S101). Next, the usage time information is acquired from the
接続可能と判断されたとき、認証情報解析手段131が解析した認証情報に応じて認証サーバ21に対する認証の要求が、認証要求手段132によって行われる(S103)。その後、認証応答情報は、認証応答手段133によって認証サーバ21から受信される(S104)。
When it is determined that connection is possible, an authentication request to the
認証が成功したか否かが、認証応答手段133によって受信された認証応答情報に基づいて判断される(S105)。認証が成功したとき、ユーザと対応するVLAN番号が、ユーザ認可手段134によってデータベース110から取得され、通信端末11は、取得されたVLAN番号と対応するVLANに接続される(S106)。
Whether or not the authentication is successful is determined based on the authentication response information received by the authentication response means 133 (S105). When the authentication is successful, the VLAN number corresponding to the user is acquired from the
以上説明したように、本発明の第1の実施の形態に係るゲートウエイ装置は、認証応答情報が認証の成功を示していたとき、ユーザと対応するVLANを識別するための仮想ネットワーク識別情報に従って、VLAN31またはVLAN32とユーザが利用する通信端末11とを接続させるため、ユーザの認証結果に応じて特定のVLANとユーザが利用する通信端末11とを接続させるための制御ができる。
また、ユーザがVLANに接続可能か否かを利用時間情報に従って判断し、接続可能と判断したときVLAN31またはVLAN32とユーザが利用する通信端末11とを接続させるため、ユーザに対してVLANを利用する利用時間を制限することができる。
さらに、仮想ネットワーク識別情報が示すVLANとユーザが利用する通信端末11とを接続させるため、ゲートウエイ装置100が、ユーザと対応するVLANを選択して接続させることができる。
As described above, the gateway device according to the first embodiment of the present invention, when the authentication response information indicates successful authentication, according to the virtual network identification information for identifying the VLAN corresponding to the user, Since the
Further, it is determined whether or not the user can connect to the VLAN according to the usage time information, and when it is determined that the connection is possible, the
Further, since the VLAN indicated by the virtual network identification information is connected to the communication terminal 11 used by the user, the
図4は、本発明の第2の実施の形態に係る認証システムのシステム構成図である。
図4に示すように、認証システム2000は、ユーザが利用する通信端末41aから通信端末41dと、情報を中継するゲートウエイ装置200と、通信端末41a〜41dの仲介を行う認証クライアント13a、b(仲介装置)が、社内ネットワーク10を介して通信可能に接続され、かつゲートウエイ装置200と、ユーザを認証する認証サーバ21とが認証ネットワーク20を介して通信可能に接続された構成を有している。
FIG. 4 is a system configuration diagram of an authentication system according to the second embodiment of the present invention.
As shown in FIG. 4, the
なお、本発明の第2の実施の形態に係る認証システムを構成する要素のうち、本発明の第1の実施の形態に係る認証システムを構成する要素と同一の要素には同一の符号を付し、それぞれの説明を省略する。 Of the elements constituting the authentication system according to the second embodiment of the present invention, the same elements as those constituting the authentication system according to the first embodiment of the present invention are denoted by the same reference numerals. Each description is omitted.
また、ユーザa、ユーザb、ユーザc、またはユーザdは、如何なる通信端末41を利用してもよい。しかし、本実施の形態においては、説明の便宜を図るため、ユーザaが通信端末41aを利用し、ユーザbが通信端末41bを利用し、ユーザcが通信端末41cを利用し、ユーザdが通信端末41dを利用するものとする。
Further, the user a, the user b, the user c, or the user d may use any
例えば、通信端末41を利用するユーザがVLANにログインするとき、通信端末41は、ユーザを認証するための認証情報を認証クライアント13を介してゲートウエイ装置200に送信するようになっている。
For example, when a user using the
認証クライアント13は、通信端末41から送信された認証情報をゲートウエイ装置200に中継するようになっており、社内ネットワーク10を構成するVLAN31およびVLAN32のうち、ゲートウエイ装置200から送信されたVLAN番号と対応するVLANと通信端末41とを接続するようになっている。また、認証クライアント13は、社内ネットワーク10を構築するためのロケーション毎に設置されるものであり、例えば、ビルの各階に設置されるようにしてもよい。
The
図5は、本発明の第2の実施の形態に係る認証システムのシーケンスのイメージ図である。通信端末41と認証クライアント13との間は、EAP−TLS(PPP Extensible Authentication Protocol―Transport Layer Security)に準拠した認証が行われる。また、認証クライアント13から認証サーバ21までの間は、Radiusに準拠した認証が行われる。認証クライアント13は、EAP−TLSに準拠したパケットとRadiusに準拠したパケットとの変換を相互に行うようになっている。
FIG. 5 is an image diagram of a sequence of the authentication system according to the second embodiment of the present invention. Authentication in accordance with EAP-TLS (PPP Extensible Authentication Protocol-Transport Layer Security) is performed between the
ゲートウエイ装置200は、認証クライアント13から送信された認証情報を含むAccess-Requestパケットを認証サーバ21に中継し、認証サーバ21から送信された認証応答情報を含むAccess-Acceptパケットを、認証クライアント13に中継するようになっている。
The
なお、認証サーバ21からAccess-Acceptパケットを受信したとき、ゲートウエイ装置200は、認証情報に含まれていたユーザ識別子と対応するVLAN番号をAccess-Acceptパケットに含め、このAccess-Acceptパケットを、Access-Requestパケットを送信した認証クライアント13に送信することにより、VLANと通信端末41とを接続させるようになっている。
When receiving the Access-Accept packet from the
図6は、本発明の第2の実施の形態に係るゲートウエイ装置のブロック構成図である。図6に示すように、ゲートウエイ装置200は、データベース210、通信インタフェース220、制御手段230、ログ情報格納手段140、および通信インタフェース150を含むように構成される。なお、本シーケンスのイメージは一例であり、本発明は他の認証に関するプロトコルを用いてもよい。
FIG. 6 is a block diagram of a gateway device according to the second embodiment of the present invention. As shown in FIG. 6, the
なお、本発明の第2の実施の形態に係るゲートウエイ装置を構成する要素のうち、本発明の第1の実施の形態に係るゲートウエイ装置を構成する要素と同一の要素には同一の符号を付し、それぞれの説明を省略する。 Of the elements constituting the gateway apparatus according to the second embodiment of the present invention, the same elements as those constituting the gateway apparatus according to the first embodiment of the present invention are denoted by the same reference numerals. Each description is omitted.
データベース210(利用可能装置情報格納手段、利用時間情報格納手段、仮想ネットワーク識別情報格納手段)は、ユーザが接続するVLANを識別するためのVLAN番号、ユーザが利用可能な利用時間を表す利用時間情報、およびユーザが利用可能な認証クライアント13を表す利用可能装置情報を格納するようになっている。ここで、データベース210が格納する情報の一例を表2に示す。
The database 210 (usable device information storage means, usage time information storage means, virtual network identification information storage means) is a VLAN number for identifying a VLAN to which a user is connected, and usage time information indicating a usage time available to the user. , And available device information representing the
表2に示したように、例えば、ユーザaは、管理職の社員であり、VLAN31を利用可能であり、利用時間には制限がなく、認証クライアント13aおよび認証クライアント13bを利用可能である。また、ユーザbは、派遣社員であり、VLAN32を利用可能であり、9時から22時まで利用可能であり、9時から18時まで認証クライアント13aおよび認証クライアント13bを利用可能であり、18時から22時まで認証クライアント13bのみ利用可能である。ユーザcは、組合員の社員であり、VLAN31を利用可能であり、9時から22時まで利用可能であり、認証クライアント13aおよび認証クライアント13bを利用可能である。また、ユーザdは、来訪者であり、VLAN32を利用可能であり、9時から18時まで利用可能であり、認証クライアント13bのみ利用可能である。
As shown in Table 2, for example, the user a is an employee of a managerial position, can use the
通信インタフェース220は、社内ネットワーク10と通信するようになっており、認証情報送受信手段121を含むように構成される。
The
制御手段230は、プログラムを処理するCPU(Central Processing Unit)、およびプログラムを記憶するメモリなどを含むように構成される。また、制御手段230は、認証情報解析手段131、認証要求手段132、認証応答手段133、ユーザ認可手段234、および認証失敗情報送信手段135を有している。なお、これらの手段はプログラムのモジュールでもよい。
The
ユーザ認可手段234(仮想ネットワーク接続手段)は、認証応答手段133によって受信された認証応答情報が認証の成功を示していたとき、認証情報に含まれていたユーザ識別子と対応するVLAN番号をデータベース210から取得し、取得したVLAN番号に従ってVLANと通信端末41とを認証クライアント13に接続させるようになっている。例えば、ユーザ認可手段234は、取得したVLAN番号をAccess-Acceptパケットに含め、このAccess-Acceptパケットを認証クライアント13に送信することにより、VLANと通信端末41とを接続させるようになっている。
When the authentication response information received by the
例えば、ユーザaから認証クライアント13aを経由してAccess-Requestパケットが送信された後、認証サーバ21からAccess-Acceptパケットが受信されたとき、ユーザ認可手段234は、ユーザaと対応する「31」を表すVLAN番号および認証クライアント13a並びに認証クライアント13bを表す利用可能装置情報をデータベース210から取得し、取得した利用可能装置情報に従って認証クライアント13aが利用できるため、取得した「31」を表すVLAN番号をAccess-Acceptパケットに含め、Access-Requestパケットを認証クライアント13aに送信するようになっている。
For example, when an Access-Request packet is received from the
また、ユーザ認可手段234は、ユーザ識別子と対応する利用時間情報をデータベース210から取得し、取得した利用時間情報に従ってVLANに接続可能か否かを判断するようにしてもよい。接続可能と判断したときには、ユーザ認可手段234が、VLAN番号と対応するVLANと通信端末41とを認証クライアント13に接続させるようになっている。
Further, the
例えば、時刻19時にユーザbから認証クライアント13aを経由してAccess-Requestパケットが送信された後、認証サーバ21からAccess-Acceptパケットが受信されたとき、ユーザ認可手段234は、ユーザbと対応する「32」を表すVLAN番号、「18時〜22時」を表す利用時間情報、および認証クライアント13bを表す利用可能装置情報をデータベース210から取得し、取得した利用可能装置情報に従って認証クライアント13bが利用できるため、接続を許可しないようになっている。
For example, when an Access-Request packet is received from the
また、ユーザ認可手段234は、認証応答情報が認証の失敗を示していたとき、認証失敗の旨を表す認証失敗情報をログ情報格納手段140に出力するようになっている。
Further, the
以下、本発明の第2の実施の形態に係るゲートウエイ装置の動作について、図面を参照して説明する。図7は、本発明の第2の実施の形態に係るゲートウエイ装置の動作の流れを示すフローチャートである。 The operation of the gateway device according to the second embodiment of the present invention will be described below with reference to the drawings. FIG. 7 is a flowchart showing an operation flow of the gateway device according to the second embodiment of the present invention.
なお、本発明の第2の実施の形態に係るゲートウエイ装置の動作のうち、本発明の第1の実施の形態に係るゲートウエイ装置の動作と同一のものについては、同一の符号を付す。 Of the operations of the gateway device according to the second embodiment of the present invention, the same operations as those of the gateway device according to the first embodiment of the present invention are denoted by the same reference numerals.
まず、通信端末41から送信された認証情報は、認証情報送受信手段121によって受信される(S101)。次に、利用時間情報は、認証情報解析手段131が認証情報を解析した後に、ユーザ認可手段234によってデータベース210から取得され、取得された利用時間情報に従ってVLANに接続可能か否かが、ユーザ認可手段234によって判断される(S102)。
First, the authentication information transmitted from the
接続可能と判断されたとき、さらに、データベース210から取得され、取得された利用可能装置情報に従って、ユーザがAccess-Requestパケットを送信した認証クライアント13を利用可能か否かが、ユーザ認可手段234によって判断される(S201)。
When it is determined that the connection is possible, the
認証クライアント13を利用可能と判断されたとき、認証情報解析手段131が解析した認証情報に応じて認証サーバ21に対する認証の要求が、認証要求手段132によって行われる(S103)。その後、認証応答情報は、認証応答手段133によって認証サーバ21から受信される(S104)。
When it is determined that the
認証が成功したか否かが、認証応答手段133によって受信された認証応答情報に基づいて判断される(S105)。認証が成功したとき、ユーザと対応するVLAN番号が、ユーザ認可手段234によってデータベース210から取得され、通信端末41は、取得されたVLAN番号と対応するVLANに接続される(S106)。
Whether or not the authentication is successful is determined based on the authentication response information received by the authentication response means 133 (S105). When the authentication is successful, the VLAN number corresponding to the user is acquired from the
以上説明したように、本発明の第2の実施の形態に係るゲートウエイ装置は、認証クライアント13が社内ネットワーク10を構築するためのロケーション毎に設置可能となるため、ユーザがネットワークに接続するための利便性を高めることができる。
また、ユーザが認証クライアント13を利用可能か否かを利用可能装置情報に従って判断し、接続可能と判断したときVLAN31またはVLAN32とユーザが利用する通信端末41とを認証クライアント13に接続させるため、ユーザに対して認証クライアント13の利用を制限することができる。
As described above, the gateway device according to the second embodiment of the present invention can be installed at each location where the
In addition, it is determined whether or not the user can use the
図8は、本発明の第3の実施の形態に係る認証システムのシステム構成図である。図8に示すように、認証システム3000は、ユーザが利用する通信端末51aから通信端末51dと、情報を中継するゲートウエイ装置300と、通信端末51の仲介を行う認証クライアント53a、b(仲介装置)が、社内ネットワーク10を介して通信可能に接続され、かつゲートウエイ装置300とユーザを認証する認証サーバ21とが認証ネットワーク20を介して通信可能に接続された構成を有している。
FIG. 8 is a system configuration diagram of an authentication system according to the third embodiment of the present invention. As shown in FIG. 8, the
なお、本発明の第3の実施の形態に係る認証システムを構成する要素のうち、本発明の第2の実施の形態に係る認証システムを構成する要素と同一の要素には同一の符号を付し、それぞれの説明を省略する。 Of the elements constituting the authentication system according to the third embodiment of the present invention, the same elements as those constituting the authentication system according to the second embodiment of the present invention are denoted by the same reference numerals. Each description is omitted.
また、ユーザa、ユーザb、ユーザc、またはユーザdは、如何なる通信端末51を利用してもよい。しかし、本実施の形態においては、説明の便宜を図るため、ユーザaが通信端末51aを利用し、ユーザbが通信端末51bを利用し、ユーザcが通信端末51cを利用し、ユーザdが通信端末51dを利用するものとする。
The user a, the user b, the user c, or the user d may use any
例えば、通信端末51を利用するユーザがVLANにログインするとき、通信端末51は、ユーザを認証するための認証情報を認証クライアント53を介してゲートウエイ装置300に送信するようになっている。なお、認証情報には、VLAN(Virtual Local Area Network)31およびVLAN32のうち何れか1つのVLANを識別するためのVLAN番号が含まれる。
For example, when a user using the
認証クライアント53は、通信端末51から送信された認証情報をゲートウエイ装置300に中継するようになっており、社内ネットワーク10を構成するVLAN31およびVLAN32のうち、ゲートウエイ装置300から送信されたVLAN番号と対応するVLANと通信端末51とを接続するようになっている。また、認証クライアント53は、社内ネットワーク10を構築するためのロケーション毎に設置されるものであり、例えば、ビルの各階に設置されるようにしてもよい。
The
図9は、本発明の第3の実施の形態に係る認証システムのシーケンスのイメージ図である。通信端末51と認証クライアント53との間は、EAP−TLS(PPP Extensible Authentication Protocol―Transport Layer Security)に準拠した認証が行われる。
また、認証クライアント53から認証サーバ21までの間は、EAP−TLSをサポートするRadiusに準拠した認証が行われる。認証クライアント53は、EAP−TLSに準拠したパケットとRadiusに準拠したパケットとの変換を相互に行うようになっている。
FIG. 9 is an image diagram of a sequence of the authentication system according to the third embodiment of the present invention. Between the
Further, between the
さらに、認証クライアント53は、VLAN番号を含む認証情報であって、この認証情報を含むEAP−Responseパケットを通信端末51から受信し、受信したEAP−ResponseパケットをRadiusに準拠したAccess-Requestパケットに変換し、変換したAccess-Requestパケットをゲートウエイ装置300に送信するようになっている。なお、認証クライアント53は、EAP−Responseパケットに含まれるVLAN番号をAccess-Requestパケットに引き継いでゲートウエイ装置300に送信するようになっている。
Further, the
ゲートウエイ装置300は、認証クライアント53から送信されたAccess-Requestパケットを認証サーバ21に中継し、認証サーバ21から送信された認証応答情報を含むAccess-Acceptパケットを認証クライアント53に中継するようになっている。
なお、ゲートウエイ装置300は、認証クライアント53から送信されたAccess-Requestパケットを受信し、受信したAccess-Requestパケットに含まれるVLAN番号を取り除いて、認証サーバ21に中継するようになっている。
The
The
なお、ゲートウエイ装置300は、Access-Acceptパケットを受信したとき、Access-Requestパケットに含まれていたVLAN番号をAccess-Acceptパケットに含め、このAccess-Acceptパケットを、Access-Requestパケットを送信した認証クライアント53に送信することにより、VLANと通信端末51とを接続させるようになっている。
When the
図10は、本発明の第3の実施の形態に係るゲートウエイ装置のブロック構成図である。図10に示すように、ゲートウエイ装置300は、データベース310、通信インタフェース220、制御手段330、ログ情報格納手段140、および通信インタフェース150を含むように構成される。
FIG. 10 is a block diagram of a gateway device according to the third embodiment of the present invention. As shown in FIG. 10, the
なお、本発明の第3の実施の形態に係るゲートウエイ装置を構成する要素のうち、本発明の第2の実施の形態に係るゲートウエイ装置を構成する要素と同一の要素には同一の符号を付し、それぞれの説明を省略する。 Of the elements constituting the gateway device according to the third embodiment of the present invention, the same elements as those constituting the gateway device according to the second embodiment of the present invention are denoted by the same reference numerals. Each description is omitted.
データベース310(利用可能装置情報格納手段、利用時間情報格納手段、許可情報格納手段)は、ユーザが接続するVLANを識別するためのVLAN番号であって、複数のVLANのうち利用可能なVLANだけに、VLANの接続を許可する許可情報、ユーザが利用可能な利用時間を表す利用時間情報、およびユーザが利用可能な認証クライアント53を表す利用可能装置情報を格納するようになっている。ここで、データベース310が格納する情報の一例を表3に示す。
The database 310 (usable device information storage means, usage time information storage means, permission information storage means) is a VLAN number for identifying a VLAN to which a user is connected, and only a usable VLAN among a plurality of VLANs. , Permission information for permitting the connection of the VLAN, usage time information indicating the usage time available to the user, and usable device information indicating the
表3に示したように、例えば、ユーザaは、管理職の社員であり、VLAN31およびVLAN32だけを利用可能であり、利用時間には制限がなく、認証クライアント53aおよび認証クライアント53bを利用可能である。また、ユーザbは、派遣社員であり、VLAN32だけを利用可能であり、9時から22時まで利用可能であり、9時から18時まで認証クライアント53aおよび認証クライアント53bを利用可能であり、18時から22時まで認証クライアント53bのみ利用可能である。ユーザcは、組合員の社員であり、VLAN31およびVLAN32だけを利用可能であり、9時から22時まで利用可能であり、認証クライアント53aおよび認証クライアント53bを利用可能である。また、ユーザdは、来訪者であり、VLAN32だけを利用可能であり、9時から18時まで利用可能であり、認証クライアント53bのみが利用可能である。
As shown in Table 3, for example, the user a is a managerial employee, can use only the
制御手段330は、プログラムを処理するCPU(Central Processing Unit)、およびプログラムを記憶するメモリなどを含むように構成される。また、制御手段330は、認証情報解析手段131、認証要求手段132、認証応答手段133、ユーザ認可手段334、および認証失敗情報送信手段135を有している。なお、これらの手段はプログラムのモジュールでもよい。
The control means 330 is configured to include a CPU (Central Processing Unit) that processes the program, a memory that stores the program, and the like. The
ユーザ認可手段334は、VLAN番号を含む認証情報が認証クライアント53を介して送信されたとき、認証情報に含まれるVLAN番号を記憶し、記憶したVLAN番号を認証情報から取り除き、VLAN番号が取り除かれた認証情報を認証情報送受信手段151に出力するようになっている。その後、ユーザ認可手段334は、認証応答手段133によって受信された認証応答情報が認証の成功を示していたとき、記憶したVLAN番号と対応するVLANと通信端末51とを認証クライアント53に接続させるようになっている。
When the authentication information including the VLAN number is transmitted via the
例えば、VLAN番号「32」を含むAccess-Requestパケットが、ユーザbから認証クライアント53aを介して送信されたとき、ユーザ認可手段334は、Access-Requestパケットに含まれるVLAN番号「32」を記憶し、Access-RequestパケットからVLAN番号「32」を取り除くようになっている。その後、ユーザ認可手段334は、認証応答手段133がAccess-Acceptパケットを受信したとき、VLAN番号「32」をAccess-Acceptパケットに含め、このAccess-Acceptパケットを認証クライアント53bに送信することにより、通信端末51bとを認証クライアント53aに接続させるようになっている。
For example, when an Access-Request packet including the VLAN number “32” is transmitted from the user b via the authentication client 53a, the
また、ユーザ認可手段334は、認証情報が認証クライアント53を介して送信されたとき、認証情報に含まれていたユーザ識別子と対応する許可情報をデータベース310から取得し、取得した許可情報に従って、認証情報に含まれるVLAN番号と対応するVLANに接続可能か否かを判断するようにしてもよい。接続可能と判断したとき、ユーザ認可手段334は、認証情報に含まれるVLAN番号に従ってVLANと通信端末51とを認証クライアント53に接続させるようになっている。
Further, when the authentication information is transmitted via the
例えば、VLAN番号「31」を含むAccess-Requestパケットが、ユーザbから認証クライアント53aを介して送信されたとき、ユーザ認可手段334は、VLAN32だけ利用可能を表す許可情報をデータベース310から取得し、取得した許可情報がVLAN32を表しているため、接続を許可しないようになっている。
For example, when an Access-Request packet including the VLAN number “31” is transmitted from the user b via the authentication client 53a, the
また、ユーザ認可手段334は、ユーザ識別子と対応する利用時間情報をデータベース310から取得し、取得した利用時間情報に従ってVLANに接続可能か否かを判断するようにしてもよい。接続可能と判断したときには、ユーザ認可手段334が、VLAN番号に従ってVLANと通信端末51とを認証クライアント53に接続させるようになっている。
Further, the
さらに、ユーザ認可手段334は、ユーザ識別子と対応する利用可能装置情報をデータベース310から取得し、取得した利用可能装置情報に従って、ユーザがAccess-Requestパケットを送信した認証クライアント53を利用可能か否かを判断するようにしてもよい。利用可能と判断したときには、ユーザ認可手段334が、VLAN番号に従ってVLANと通信端末51とを認証クライアント53に接続させるようになっている。
Further, the
また、ユーザ認可手段334は、認証応答情報が認証の失敗を示していたとき、認証失敗の旨を表す認証失敗情報をログ情報格納手段140に出力するようになっている。
Further, the
以下、本発明の第3の実施の形態に係るゲートウエイ装置の動作について、図面を参照して説明する。図11は、本発明の第3の実施の形態に係るゲートウエイ装置の動作の流れを示すフローチャートである。 The operation of the gateway device according to the third embodiment of the present invention will be described below with reference to the drawings. FIG. 11 is a flowchart showing an operation flow of the gateway device according to the third embodiment of the present invention.
なお、本発明の第3の実施の形態に係るゲートウエイ装置の動作のうち、本発明の第2の実施の形態に係るゲートウエイ装置の動作と同一のものについては、同一の符号を付す。 Note that, among the operations of the gateway device according to the third embodiment of the present invention, the same operations as those of the gateway device according to the second embodiment of the present invention are denoted by the same reference numerals.
まず、通信端末51から送信されたVLAN番号を含む認証情報は、認証情報送受信手段121によって受信される(S101)。次に、ユーザ識別子と対応する利用時間情報は、ユーザ認可手段334によってデータベース310から取得され、取得された利用時間情報に従ってVLANに接続可能か否かが、ユーザ認可手段334によって判断される(S301)。
First, authentication information including a VLAN number transmitted from the
接続可能と判断されたとき、さらに、ユーザ識別子と対応する利用可能装置情報がデータベース310から取得され、取得された利用可能装置情報に従って、ユーザが認証情報を送信した認証クライアント53を利用可能か否かが、ユーザ認可手段334によって判断され、認証クライアント53を利用可能と判断されたとき、認証情報に含まれるVLAN番号が、ユーザ認可手段334によって記憶され、認証情報に含まれるVLAN番号が取り除かれる(S302)。
When it is determined that connection is possible, the available device information corresponding to the user identifier is further acquired from the
認証クライアント53を利用可能と判断されたとき、認証サーバ21に対する認証の要求が、認証要求手段132によって認証情報解析手段131が解析した認証情報に応じて行われる(S103)。その後、認証応答情報は、認証応答手段133によって認証サーバ21から受信される(S104)。
When it is determined that the
認証が成功したか否かが、認証応答手段133によって受信された認証応答情報に基づいて判断される(S105)。認証が成功したとき、通信端末51は、ユーザ認可手段334によって記憶されたVLAN番号と対応するVLANに接続される(S303)。
Whether or not the authentication is successful is determined based on the authentication response information received by the authentication response means 133 (S105). When the authentication is successful, the
以上説明したように、本発明の第3の実施の形態に係るゲートウエイ装置は、認証情報に含まれる仮想ネットワーク識別情報が示すVLANとユーザが利用する通信端末51とを接続させるため、ユーザが、ユーザと対応するVLANを選択して接続させることができる。
また、仮想ネットワーク識別情報が示すVLANにユーザが接続可能か否かを許可情報に従って判断し、接続可能と判断したときVLAN31またはVLAN32とユーザが利用する通信端末53とを接続させるため、ユーザが利用できるVLANを制限することができる。
As described above, the gateway device according to the third embodiment of the present invention connects the VLAN indicated by the virtual network identification information included in the authentication information and the
Further, it is determined whether or not the user can connect to the VLAN indicated by the virtual network identification information according to the permission information, and when it is determined that the connection is possible, the
図12は、本発明の第4の実施の形態に係る認証システムのシステム構成図である。図12に示すように、認証システム4000は、ユーザが利用する通信端末61aから通信端末61dと、情報を中継するゲートウエイ装置400と、通信端末61の仲介を行う認証クライアント63a、b(仲介装置)が、社内ネットワーク10を介して通信可能に接続され、かつゲートウエイ装置400と、ユーザを認証する認証サーバ21と、ユーザを証明するための証明書を発行する証明書発行サーバ22が認証ネットワーク20を介して接続された構成を有している。
FIG. 12 is a system configuration diagram of an authentication system according to the fourth embodiment of the present invention. As shown in FIG. 12, the
なお、本発明の第4の実施の形態に係る認証システムを構成する要素のうち、本発明の第2の実施の形態に係る認証システムを構成する要素と同一の要素には同一の符号を付し、それぞれの説明を省略する。 Of the elements constituting the authentication system according to the fourth embodiment of the present invention, the same elements as those constituting the authentication system according to the second embodiment of the present invention are denoted by the same reference numerals. Each description is omitted.
また、ユーザa、ユーザb、ユーザc、またはユーザdは、如何なる通信端末61を利用してもよい。しかし、本実施の形態においては、説明の便宜を図るため、ユーザaが通信端末61aを利用し、ユーザbが通信端末61bを利用し、ユーザcが通信端末61cを利用し、ユーザdが通信端末61dを利用するものとする。
Further, the user a, the user b, the user c, or the user d may use any
証明書発行サーバ22は、各ユーザと対応する証明書を予め発行し、各ユーザは、証明書発行サーバ22によって発行された証明書を自己が利用する通信端末61に予め格納するようにしてもよい。しかし、ユーザは、証明書を自己で管理するのが望ましい。なお、証明書は、X.509証明書などの電子証明書を含み、ユーザ識別子に代えて用いられる。
The
例えば、通信端末61を利用するユーザがVLANにログインするとき、通信端末61は、ユーザを認証するための認証情報を認証クライアント63を介してゲートウエイ装置400に送信するようになっている。
For example, when a user using the
認証クライアント63は、社内ネットワーク10を構成するVLAN31およびVLAN32のうち、ゲートウエイ装置400から送信されたVLAN番号と対応するVLANと通信端末61とを接続するようになっている。また、認証クライアント63は、社内ネットワーク10を構築するためのロケーション毎に設置されるものであり、例えば、ビルの各階に設置されるようにしてもよい。
The
図13は、本発明の第4の実施の形態に係る認証システムのシーケンスのイメージ図である。通信端末61と認証クライアント63との間は、EAP−TLS(PPP Extensible Authentication Protocol―Transport Layer Security)に準拠した認証が行われる。また、認証クライアント63から認証サーバ21までの間は、EAP−TLSをサポートするRadiusに準拠した認証が行われる。
FIG. 13 is an image diagram of a sequence of the authentication system according to the fourth embodiment of the present invention. Authentication in accordance with EAP-TLS (PPP Extensible Authentication Protocol-Transport Layer Security) is performed between the
また、認証クライアント63は、EAP−TLSに準拠したパケットとRadiusに準拠したパケットとの変換を相互に行うようになっている。なお、認証クライアント63は、証明書を含む認証情報であって、この認証情報を含むEAP-Requestパケットを通信端末61から受信し、受信したEAP−ResponseパケットをRadiusに準拠したAccess-Requestパケットに変換し、変換したAccess-Requestパケットをゲートウエイ装置400に送信するようになっている。また、認証クライアント63は、EAP−Responseパケットに含まれる証明書をAccess-Requestパケットに引き継いでゲートウエイ装置400に送信するようになっている。
In addition, the
ゲートウエイ装置400は、認証クライアント63から送信されたAccess-Requestパケットを認証サーバ21に中継し、認証サーバ21から送信された認証応答情報を含むAccess-Acceptパケットを認証クライアント63に中継するようになっている。
The
なお、Access-Acceptパケットを受信したとき、ゲートウエイ装置400は、Access-Requestパケットに含まれていた証明書を有するユーザと対応するVLAN番号をAccess-Acceptパケットに含め、このAccess-Acceptパケットを認証クライアント63に送信することにより、VLANと通信端末61とを接続させるようになっている。
When the Access-Accept packet is received, the
図14は、本発明の第4の実施の形態に係るゲートウエイ装置のブロック構成図である。図14に示すように、ゲートウエイ装置400は、データベース210、通信インタフェース220、制御手段430、ログ情報格納手段140、および通信インタフェース150を含むように構成される。
FIG. 14 is a block diagram of a gateway device according to the fourth embodiment of the present invention. As shown in FIG. 14, the
なお、本発明の第4の実施の形態に係るゲートウエイ装置を構成する要素のうち、本発明の第2の実施の形態に係るゲートウエイ装置を構成する要素と同一の要素には同一の符号を付し、それぞれの説明を省略する。 Of the elements constituting the gateway device according to the fourth embodiment of the present invention, the same elements as those constituting the gateway device according to the second embodiment of the present invention are denoted by the same reference numerals. Each description is omitted.
制御手段430は、プログラムを処理するCPU(Central Processing Unit)、およびプログラムを記憶するメモリなどを含むように構成される。また、制御手段430は、認証情報解析手段131、認証要求手段132、認証応答手段133、ユーザ認可手段434、および認証失敗情報送信手段135を有している。なお、これらの手段はプログラムのモジュールでもよい。
The control means 430 is configured to include a CPU (Central Processing Unit) that processes a program, a memory that stores the program, and the like. The
ユーザ認可手段434は、証明書を含む認証情報が認証クライアント63を介して送信されたとき、認証情報に含まれる証明書をユーザ識別子に変換するなどして記憶するようになっている。その後、ユーザ認可手段434は、認証応答手段133によって受信された認証応答情報が認証の成功を示していたとき、記憶したユーザ識別子と対応するVLAN番号をデータベース210から取得し、取得したVLAN番号と対応するVLANと通信端末61とを認証クライアント63に接続させるようになっている。
When the authentication information including the certificate is transmitted via the
例えば、ユーザ認可手段434は、取得したVLAN番号をAccess-Acceptパケットに含め、このAccess-Acceptパケットを認証クライアント63に送信することにより、VLANと通信端末61とを接続させるようになっている。
For example, the
また、ユーザ認可手段434は、記憶したユーザ識別子と対応する利用時間情報をデータベース210から取得し、取得した利用時間情報に従ってVLANに接続可能か否かを判断するようにしてもよい。接続可能と判断したときには、ユーザ認可手段434が、VLAN番号と対応するVLANと通信端末61とを認証クライアント63に接続させるようになっている。
Further, the
さらに、ユーザ認可手段434は、記憶したユーザ識別子と対応する利用可能装置情報をデータベース210から取得し、取得した利用可能装置情報に従って、ユーザがAccess-Requestパケットを送信した認証クライアント63を利用可能か否かを判断するようにしてもよい。接続可能と判断したときには、ユーザ認可手段434が、VLAN番号に従ってVLANと通信端末61とを認証クライアント63に接続させるようになっている。
Further, the
さらに、証明書には、複数のVLANのうちユーザが利用可能なVLANだけに接続することを許可するための許可情報が含まれ、ユーザ認可手段434は、証明書に含まれる許可情報に従って、データベース210から取得したVLAN番号と対応するVLANに接続可能か否かを許可情報に従って判断するようにしてもよい。接続可能と判断したときには、ユーザ認可手段434が、VLAN番号と対応するVLANと通信端末61とを認証クライアント63に接続させるようになっている。
Further, the certificate includes permission information for permitting connection to only a VLAN that can be used by the user among a plurality of VLANs, and the
例えば、VLAN31だけを許可する許可情報が含まれる証明書が、ユーザbから認証クライアント63aを介して送信されたとき、ユーザ認可手段434は、データベース210から取得したVLAN番号がVLAN32を表しているため、接続を許可しないようになっている。
For example, when a certificate including permission information for permitting only the
以下、本発明の第4の実施の形態に係るゲートウエイ装置の動作について、図面を参照して説明する。図15は、本発明の第4の実施の形態に係るゲートウエイ装置の動作の流れを示すフローチャートである。 The operation of the gateway device according to the fourth embodiment of the present invention will be described below with reference to the drawings. FIG. 15 is a flowchart showing an operation flow of the gateway device according to the fourth embodiment of the present invention.
なお、本発明の第4の実施の形態に係るゲートウエイ装置の動作のうち、本発明の第2の実施の形態に係るゲートウエイ装置の動作と同一のものについては、同一の符号を付す。 Note that, among the operations of the gateway device according to the fourth embodiment of the present invention, the same operations as those of the gateway device according to the second embodiment of the present invention are denoted by the same reference numerals.
まず、通信端末61から送信された認証情報は、認証情報送受信手段121によって受信される(S101)。次に、利用時間情報は、認証情報解析手段131が認証情報を解析した後に、ユーザ認可手段434によってデータベース210から取得され、取得された利用時間情報に従ってVLANに接続可能か否かが、ユーザ認可手段434によって判断される(S102)。
First, the authentication information transmitted from the
接続可能と判断されたとき、さらに、利用可能装置情報がデータベース210から取得され、取得された利用可能装置情報に従って、ユーザがAccess-Requestパケットを送信した認証クライアント13を利用可能か否かが、ユーザ認可手段434によって判断される(S201)。
When it is determined that the connection is possible, the available device information is acquired from the
認証クライアント63が利用可能と判断されたとき、ユーザ認可手段434によって証明書と対応するユーザ識別子が記憶され、認証情報解析手段131が解析した認証情報に応じて認証サーバ21に対する認証の要求が、認証要求手段132によって行われる(S103)。その後、認証応答情報は、認証応答手段133によって認証サーバ21から受信される(S104)。
When it is determined that the
認証が成功したか否かが、認証応答手段133によって受信された認証応答情報に基づいて判断される(S105)。認証が成功したとき、記憶されたユーザ識別子と対応するVLAN番号が、ユーザ認可手段434によってデータベース210から取得され、通信端末61は、取得されたVLAN番号と対応するVLANに接続される(S106)。
Whether or not the authentication is successful is determined based on the authentication response information received by the authentication response means 133 (S105). When the authentication is successful, the VLAN number corresponding to the stored user identifier is acquired from the
以上説明したように、本発明の第4の実施の形態に係るゲートウエイ装置は、仮想ネットワーク識別情報が示すVLANと証明書に示されるユーザが利用する通信端末61とを接続させるため、ユーザを識別するための情報などを偽ってVLANを不正に利用することを防止できる。
また、証明書に示されるユーザが仮想ネットワーク識別情報が示すVLANに接続可能か否かを許可情報に従って判断し、接続可能と判断したときVLANと、証明書に示されるユーザが利用する通信端末61とを接続させるため、証明書に従ってユーザが利用できるVLANを制限することができる。
As described above, the gateway device according to the fourth embodiment of the present invention identifies the user in order to connect the VLAN indicated by the virtual network identification information and the
Further, it is determined according to the permission information whether the user indicated by the certificate can connect to the VLAN indicated by the virtual network identification information, and when it is determined that the connection is possible, the VLAN and the
図16は、本発明の第5の実施の形態に係る認証システムのシステム構成図である。図16に示すように、認証システム5000は、ユーザが利用する通信端末71aから通信端末71dと、情報を中継するゲートウエイ装置500と、通信端末71の仲介を行う認証クライアント53a、b(仲介装置)が、社内ネットワーク10を介して通信可能に接続され、かつゲートウエイ装置500と、ユーザを認証する認証サーバ21とが認証ネットワーク20を介して通信可能に接続された構成を有している。
FIG. 16 is a system configuration diagram of an authentication system according to the fifth embodiment of the present invention. As shown in FIG. 16, the
なお、本発明の第5の実施の形態に係る認証システムを構成する要素のうち、本発明の第3の実施の形態に係る認証システムを構成する要素と同一の要素には同一の符号を付し、それぞれの説明を省略する。 Of the elements constituting the authentication system according to the fifth embodiment of the present invention, the same elements as those constituting the authentication system according to the third embodiment of the present invention are denoted by the same reference numerals. Each description is omitted.
また、ユーザa、ユーザb、ユーザc、またはユーザdは、如何なる通信端末71を利用してもよい。しかし、本実施の形態においては、説明の便宜を図るため、ユーザaが通信端末71aを利用し、ユーザbが通信端末71bを利用し、ユーザcが通信端末71cを利用し、ユーザdが通信端末71dを利用するものとする。
Further, the user a, the user b, the user c, or the user d may use any
例えば、通信端末71を利用するユーザがVLANにログインするとき、通信端末71は、ユーザを認証するための認証情報を認証クライアント53を介してゲートウエイ装置500に送信するようになっている。なお、認証情報には、VLAN(Virtual Local Area Network)31およびVLAN32うち何れか1つのVLANを識別するためのVLAN番号が含まれる。
For example, when a user using the
図17は、本発明の第5の実施の形態に係る認証システムのシーケンスのイメージ図である。ユーザが利用する通信端末71は、自分が利用可能なVLANを問い合わせるための問い合わせ情報を含むEAP−Responseパケットを認証クライアント53を介してゲートウエイ装置500に送信するようになっている。
FIG. 17 is an image diagram of a sequence of the authentication system according to the fifth embodiment of the present invention. The
ゲートウエイ装置500は、問い合わせ情報を受信したとき、ユーザと対応するVLAN番号が含まれるAccess-Challengeパケットを、認証クライアント53を介して通信端末71に返答するようになっている。通信端末71は、返答されたVLAN番号を認証情報に追加し、追加された認証情報を含むEAP−Responseパケットを認証クライアント53を介してゲートウエイ装置500に送信するようになっている。なお、返答されたVLAN番号が複数存在する場合、通信端末71は、複数のVLAN番号のうち1つを選択し、選択したVLAN番号を認証情報に追加するようになっている。
When the
ゲートウエイ装置500は、認証クライアント53から送信されたAccess-Requestパケットを認証サーバ21に中継し、認証サーバ21から送信された認証応答情報を含むAccess-Acceptパケットを認証クライアント53に中継するようになっている。また、ゲートウエイ装置500は、Access-Acceptパケットを受信したとき、Access-Requestパケットに含まれていたVLAN番号をAccess-Acceptパケットに含め、このAccess-Acceptパケットを、Access-Requestパケットを送信した認証クライアント53に送信することにより、VLANと通信端末71とを接続させるようになっている。
The
図18は、本発明の第5の実施の形態に係るゲートウエイ装置のブロック構成図である。図18に示すように、ゲートウエイ装置500は、データベース310、通信インタフェース220、制御手段530、ログ情報格納手段140、および通信インタフェース150を含むように構成される。
FIG. 18 is a block diagram of a gateway apparatus according to the fifth embodiment of the present invention. As shown in FIG. 18, the
なお、本発明の第5の実施の形態に係るゲートウエイ装置を構成する要素のうち、本発明の第3の実施の形態に係るゲートウエイ装置を構成する要素と同一の要素には同一の符号を付し、それぞれの説明を省略する。 Of the elements constituting the gateway device according to the fifth embodiment of the present invention, the same elements as those constituting the gateway device according to the third embodiment of the present invention are denoted by the same reference numerals. Each description is omitted.
制御手段530は、プログラムを処理するCPU(Central Processing Unit)、およびプログラムを記憶するメモリなどを含むように構成される。また、制御手段330は、認証情報解析手段131、認証要求手段132、認証応答手段133、ユーザ認可手段334、認証失敗情報送信手段135、問い合わせ情報受信手段536、および仮想ネットワーク識別情報返答手段537を有している。なお、これらの手段はプログラムのモジュールでもよい。
The control means 530 is configured to include a CPU (Central Processing Unit) that processes the program, a memory that stores the program, and the like. The
問い合わせ情報受信手段536は、ユーザの利用可能なVLANを問い合わせるための問い合わせ情報を通信端末71から受信するようになっている。例えば、問い合わせ情報受信手段536は、認証情報解析手段131がRadiusなどに準拠したパケットを解析した後、パケットに含まれる問い合わせ情報を受信するようにしてもよい。
The inquiry
仮想ネットワーク識別情報返答手段537は、問い合わせ情報受信手段536によって受信された問い合わせ情報に応じてデータベース310からユーザと対応するためのVLAN番号を、ユーザが利用する通信端末71に返答するようになっている。
The virtual network identification information response means 537 returns a VLAN number for responding to the user from the
例えば、問い合わせ情報受信手段536がユーザcから送信された問い合わせ情報を受信したとき、仮想ネットワーク識別情報返答手段537は、データベース310が格納する表3に示した情報からVLAN31、VLAN32を示す許可情報を取得し、取得した情報を通信端末71cに返答するようになっている。VLAN31、VLAN32を示す許可情報を受信した通信端末71cは、複数のVLAN番号のうち1つを選択し、選択したVLAN番号を認証情報に追加して、認証情報をゲートウエイ装置500に送信するようになっている。
For example, when the inquiry
以下、本発明の第5の実施の形態に係るゲートウエイ装置の動作について、図面を参照して説明する。図19は、本発明の第5の実施の形態に係るゲートウエイ装置の動作の流れを示すフローチャートである。 The operation of the gateway device according to the fifth embodiment of the present invention will be described below with reference to the drawings. FIG. 19 is a flowchart showing an operation flow of the gateway apparatus according to the fifth embodiment of the present invention.
なお、本発明の第5の実施の形態に係るゲートウエイ装置の動作のうち、本発明の第3の実施の形態に係るゲートウエイ装置の動作と同一のものについては、同一の符号を付す。 Note that, among the operations of the gateway device according to the fifth embodiment of the present invention, the same operations as those of the gateway device according to the third embodiment of the present invention are denoted by the same reference numerals.
まず、ユーザの利用可能なVLANを問い合わせるための問い合わせ情報であって、通信端末71から送信された問い合わせ情報は、問い合わせ情報受信手段536によって受信される(S501)。次に、ユーザと対応する許可情報が、仮想ネットワーク識別情報返答手段537によってデータベース310から取得され(S502)、ユーザが利用する通信端末71に返答される(S503)。なお、S502の後に、S301およびS302の動作を実行してもよい。
First, the inquiry information for inquiring the user's available VLAN and transmitted from the
その後、通信端末71から送信されたVLAN番号を含む認証情報は、認証情報送受信手段121によって受信される(S101)。次に、ユーザ識別子と対応する利用時間情報は、ユーザ認可手段334によってデータベース310から取得され、取得された利用時間情報に従ってVLANに接続可能か否かが、ユーザ認可手段334によって判断される(S301)。
Thereafter, the authentication information including the VLAN number transmitted from the
接続可能と判断されたとき、さらに、ユーザ識別子と対応する利用可能装置情報がデータベース310から取得され、取得された利用可能装置情報に従って、ユーザが認証情報を送信した認証クライアント53を利用可能か否かが、ユーザ認可手段334によって判断され、認証クライアント53を利用可能と判断されたとき、認証情報に含まれるVLAN番号が、ユーザ認可手段334によって記憶され、認証情報に含まれるVLAN番号が取り除かれる(S302)。
When it is determined that connection is possible, the available device information corresponding to the user identifier is further acquired from the
認証クライアント53を利用可能と判断されたとき、認証サーバ21に対する認証の要求が、認証要求手段132によって認証情報解析手段131が解析した認証情報に応じて行われる(S103)。その後、認証応答情報は、認証応答手段133によって認証サーバ21から受信される(S104)。
When it is determined that the
認証が成功したか否かが、認証応答手段133によって受信された認証応答情報に基づいて判断される(S105)。認証が成功したとき、通信端末71は、ユーザ認可手段334によって記憶されたVLAN番号と対応するVLANに接続される(S303)。
Whether or not the authentication is successful is determined based on the authentication response information received by the authentication response means 133 (S105). When the authentication is successful, the
以上説明したように、本発明の第5の実施の形態に係るゲートウエイ装置は、ユーザからの問い合わせに応じてVLAN番号を返答するため、予めユーザがVLAN番号を知らなくても、接続可能なVLAN番号をユーザに通知でき、接続可能なVLAN番号が複数あるときには、ユーザが望むVLANと接続することができる。 As described above, since the gateway device according to the fifth embodiment of the present invention returns a VLAN number in response to an inquiry from the user, it can be connected even if the user does not know the VLAN number in advance. The number can be notified to the user, and when there are a plurality of connectable VLAN numbers, the user can connect to the desired VLAN.
図20は、本発明の第6の実施の形態に係る認証システムのシステム構成図である。図20に示すように、認証システム6000は、ユーザが利用する通信端末81aから通信端末81dと、情報を中継するゲートウエイ装置600と、通信端末81の仲介を行う認証クライアント73a、b(仲介装置)が、社内ネットワーク10を介して通信可能に接続され、かつゲートウエイ装置600と、ユーザを認証する認証サーバ21とが認証ネットワーク20を介して通信可能に接続された構成を有している。
FIG. 20 is a system configuration diagram of an authentication system according to the sixth embodiment of the present invention. As shown in FIG. 20, the
なお、本発明の第6の実施の形態に係る認証システムを構成する要素のうち、本発明の第3の実施の形態に係る認証システムを構成する要素と同一の要素には同一の符号を付し、それぞれの説明を省略する。 Of the elements constituting the authentication system according to the sixth embodiment of the present invention, the same elements as those constituting the authentication system according to the third embodiment of the present invention are denoted by the same reference numerals. Each description is omitted.
また、ユーザa、ユーザb、ユーザc、またはユーザdは、如何なる通信端末81を利用してもよい。しかし、本実施の形態においては、説明の便宜を図るため、ユーザaが通信端末81aを利用し、ユーザbが通信端末81bを利用し、ユーザcが通信端末81cを利用し、ユーザdが通信端末81dを利用するものとする。
The user a, the user b, the user c, or the user d may use any
例えば、通信端末81を利用するユーザがVLANにログインするとき、通信端末81は、ユーザを認証するための認証情報を認証クライアント73を介してゲートウエイ装置600に送信するようになっている。なお、認証情報には、VLAN(Virtual Local Area Network)31、VLAN32、およびVLAN33うち何れか1つのVLANを識別するためのVLAN番号が含まれる。
For example, when a user using the
図21は、本発明の第6の実施の形態に係る認証システムのシーケンスのイメージ図である。認証クライアント73には、社内ネットワーク10によって構成される全てのVLANを表す情報が予め登録され、認証クライアント73は、全てのVLANを表す情報を含むEAP−Requestパケットを、ユーザの利用する通信端末81に通知するようになっている。
FIG. 21 is an image diagram of a sequence of the authentication system according to the sixth embodiment of the present invention. Information representing all VLANs configured by the in-
ユーザの利用する通信端末81は、通知された情報に基づいてVLANの優先度を与えた仮想ネットワークリストを作成し、作成した仮想ネットワークリストを認証情報に追加し、追加した認証情報を含むEAP−Responseパケットを認証クライアント73を介してゲートウエイ装置600に送信するようになっている。例えば、仮想ネットワークリストは、ユーザが利用したい順番にVLAN番号が記述されている。
The
ゲートウエイ装置600は、認証情報を含むAccess-Requestパケットを受信したとき、仮想ネットワークリストに基づいて優先度の高いVLANから順にユーザが接続可能か否かを許可情報に従って判断し、接続可能と判断したとき認証クライアント73から送信されたAccess-Requestパケットを認証サーバ21に中継し、認証サーバ21から送信された認証応答情報を含むAccess-Acceptパケットを認証クライアント73に中継するようになっている。
When receiving the Access-Request packet including the authentication information, the
また、ゲートウエイ装置600は、Access-Acceptパケットを受信したとき、Access-Requestパケットに含まれていたVLAN番号をAccess-Acceptパケットに含め、このAccess-Acceptパケットを、Access-Requestパケットを送信した認証クライアント73に送信することにより、接続可能と判断したVLANと通信端末81とを接続させるようになっている。
Further, when the
図22は、本発明の第6の実施の形態に係るゲートウエイ装置のブロック構成図である。図22に示すように、ゲートウエイ装置600は、データベース310、通信インタフェース220、制御手段630、ログ情報格納手段140、および通信インタフェース150を含むように構成される。
FIG. 22 is a block diagram of a gateway apparatus according to the sixth embodiment of the present invention. As shown in FIG. 22, the
なお、本発明の第6の実施の形態に係るゲートウエイ装置を構成する要素のうち、本発明の第3の実施の形態に係るゲートウエイ装置を構成する要素と同一の要素には同一の符号を付し、それぞれの説明を省略する。 Of the elements constituting the gateway device according to the sixth embodiment of the present invention, the same elements as those constituting the gateway device according to the third embodiment of the present invention are denoted by the same reference numerals. Each description is omitted.
制御手段630は、プログラムを処理するCPU(Central Processing Unit)、およびプログラムを記憶するメモリなどを含むように構成される。また、制御手段630は、認証情報解析手段131、認証要求手段132、認証応答手段133、ユーザ認可手段634、および認証失敗情報送信手段135を有している。なお、これらの手段はプログラムのモジュールでもよい。
ユーザ認可手段634は、VLAN番号を含む認証情報が認証クライアント73を介して送信されたとき、認証情報に含まれる仮想ネットワークリストに基づいて優先度の高い仮想ネットワークから順にユーザが接続可能か否かを許可情報に従って判断するようになっている。
When the authentication information including the VLAN number is transmitted via the
例えば、ユーザ認可手段634は、仮想ネットワークリストに基づいて優先度の高い仮想ネットワークから順にVLAN番号を抽出するようになっている。さらに、ユーザ認可手段634は、データベース310が格納する表3に示した情報からVLAN31、VLAN32を示す許可情報を取得し、取得した許可情報に従って、抽出したVLAN番号が接続可能か否かを判断するようになっている。接続不能であった場合、仮想ネットワークリストに基づいて次の優先度の高い仮想ネットワークから順にVLAN番号を抽出し、抽出したVLAN番号が接続可能か否かを判断することを繰り返すようになっている。
For example, the
より詳細には、仮想ネットワークリストがユーザが利用したい順番にVLAN番号が記述され、ユーザcから送信された「VLAN33」、「VLAN32」、「VLAN31」の順に記述された仮想ネットワークリストであった場合、ユーザ認可手段634は、接続が許可されていないVLAN33の次に優先度の高いVLAN32を抽出し、抽出したVLAN番号を記憶し、仮想ネットワークリストを認証情報から取り除き、仮想ネットワークリストが取り除かれた認証情報を認証情報送受信手段151に出力するようになっている。
More specifically, when the virtual network list is a virtual network list in which VLAN numbers are described in the order that the user wants to use, and is described in the order of “VLAN33”, “VLAN32”, and “VLAN31” transmitted from user c The
その後、ユーザ認可手段634は、認証応答手段133によって受信された認証応答情報が認証の成功を示していたとき、記憶したVLAN番号と対応するVLANと通信端末81とを認証クライアント73に接続させるようになっている。
Thereafter, when the authentication response information received by the
以下、本発明の第6の実施の形態に係るゲートウエイ装置の動作について、図面を参照して説明する。図23は、本発明の第6の実施の形態に係るゲートウエイ装置の動作の流れを示すフローチャートである。 The operation of the gateway device according to the sixth embodiment of the present invention will be described below with reference to the drawings. FIG. 23 is a flowchart showing an operation flow of the gateway apparatus according to the sixth embodiment of the present invention.
なお、本発明の第6の実施の形態に係るゲートウエイ装置の動作のうち、本発明の第3の実施の形態に係るゲートウエイ装置の動作と同一のものについては、同一の符号を付す。 Of the operations of the gateway device according to the sixth embodiment of the present invention, the same operations as those of the gateway device according to the third embodiment of the present invention are denoted by the same reference numerals.
まず、通信端末81から送信された仮想ネットワークリストを含む認証情報は、認証情報送受信手段121によって受信される(S601)。次に、ユーザ識別子と対応する利用時間情報は、ユーザ認可手段634によってデータベース310から取得され、取得された利用時間情報に従ってVLANに接続可能か否かが、ユーザ認可手段634によって判断される(S301)。
First, the authentication information including the virtual network list transmitted from the
接続可能と判断されたとき、さらに、ユーザ識別子と対応する利用可能装置情報がデータベース310から取得され、取得された利用可能装置情報に従って、ユーザが認証情報を送信した認証クライアント73を利用可能か否かが、ユーザ認可手段634によって判断される(S302)。
When it is determined that connection is possible, the available device information corresponding to the user identifier is further acquired from the
認証クライアント73を利用可能と判断されたとき、認証情報に含まれる仮想ネットワークリストに基づいて優先度の高い仮想ネットワークから順にVLAN番号が、ユーザ認可手段634によって抽出され(S602)、抽出されたVLAN番号が接続可能か否かが、ユーザ認可手段634によって判断され、抽出されたVLAN番号が接続可能と判断された場合、ユーザ認可手段634によって記憶され、認証情報に含まれる仮想ネットワークリストが取り除かれる(S603)。なお、仮想ネットワークリストに記述されているVLAN番号が全て接続不能であった場合、動作は終了する。
When it is determined that the
VLAN番号が接続可能と判断された場合、認証サーバ21に対する認証の要求が、認証要求手段132によって認証情報解析手段131が解析した認証情報に応じて行われる(S103)。その後、認証応答情報は、認証応答手段133によって認証サーバ21から受信される(S104)。
When it is determined that the VLAN number is connectable, an authentication request to the
認証が成功したか否かが、認証応答手段133によって受信された認証応答情報に基づいて判断される(S105)。認証が成功したとき、通信端末81は、ユーザ認可手段634によって記憶されたVLAN番号と対応するVLANに接続される(S303)。
Whether or not the authentication is successful is determined based on the authentication response information received by the authentication response means 133 (S105). When the authentication is successful, the
以上説明したように、本発明の第6の実施の形態に係るゲートウエイ装置は、VLANの優先度が与えられた仮想ネットワークリストに基づいて優先度の高いVLANから順にユーザが接続可能か否かを許可情報に従って判断するため、ユーザが望む優先度の高い順にVLANと接続することができる。また、ユーザは、予めユーザがVLAN番号を知らなくても、接続可能なVLANに接続できる。 As described above, the gateway device according to the sixth embodiment of the present invention determines whether a user can connect in order from the VLAN with the highest priority based on the virtual network list to which the priority of the VLAN is given. Since the determination is made according to the permission information, it is possible to connect to the VLAN in the order of the priority desired by the user. Further, the user can connect to a connectable VLAN without the user knowing the VLAN number in advance.
10:社内ネットワーク
11(11a〜11d),41(41a〜41d),51(51a〜51d),61(61a〜61d),71(71a〜71d),81(81a〜81d),921(921a,921b):通信端末
12:管理端末
13,53,63,73:認証クライアント
20:認証ネットワーク
21:認証サーバ
22:証明書発行サーバ
31,32,33:VLAN
100,200,300,400,920:ゲートウエイ装置
110,210,310:データベース
120,150,220:通信インタフェース
121,151:認証情報送受信手段
122:仮想ネットワーク接続手段(HUB)
130,230,330,430,530,630:制御手段
131:認証情報解析手段
132:認証要求手段
133:認証応答手段
134,234,334,434,634:ユーザ認可手段
135:認証失敗情報送信手段
140:ログ情報格納手段
536:問い合わせ情報受信手段
537:仮想ネットワーク識別情報返答手段
910a,910b:サーバ
912:認証代行サーバ
913,923:ネットワーク
1000,2000,3000,4000,5000,6000:認証システム
a〜d:ユーザ
10: In-house network 11 (11a-11d), 41 (41a-41d), 51 (51a-51d), 61 (61a-61d), 71 (71a-71d), 81 (81a-81d), 921 (921a, 921b): Communication terminal 12:
100, 200, 300, 400, 920:
130, 230, 330, 430, 530, 630: Control means 131: Authentication information analysis means 132: Authentication request means 133: Authentication response means 134, 234, 334, 434, 634: User authorization means 135: Authentication failure information transmission means 140: Log information storage means 536: Inquiry information reception means 537: Virtual network identification information response means 910a, 910b: Server 912:
Claims (11)
前記第1のネットワークを構成する複数の仮想ネットワークのうち何れか1つと前記ユーザが利用する通信端末とを接続させる仮想ネットワーク接続手段と、
前記ユーザを認証するための認証情報を前記通信端末から受信する認証情報受信手段と、
前記認証情報受信手段によって受信された認証情報に応じて前記認証サーバに認証の要求を行う認証要求手段と、
前記認証サーバから前記認証の要求に対する応答を表す認証応答情報を受信する認証応答手段とを備え、
前記認証応答手段によって受信された認証応答情報が前記認証の成功を示していたとき、
前記仮想ネットワーク接続手段は、前記ユーザと対応する仮想ネットワークを識別するための仮想ネットワーク識別情報に従って前記仮想ネットワークと前記ユーザが利用する通信端末とを接続させることを特徴とするゲートウエイ装置。 In the gateway device connected to be able to communicate with the communication terminal used by the user via the first network, and connected to be able to communicate with the authentication server for authenticating the user via the second network,
Virtual network connection means for connecting any one of a plurality of virtual networks constituting the first network to a communication terminal used by the user;
Authentication information receiving means for receiving authentication information for authenticating the user from the communication terminal;
Authentication request means for requesting authentication to the authentication server in accordance with authentication information received by the authentication information receiving means;
Authentication response means for receiving authentication response information representing a response to the authentication request from the authentication server,
When the authentication response information received by the authentication response means indicates the success of the authentication,
The gateway device characterized in that the virtual network connection means connects the virtual network and a communication terminal used by the user according to virtual network identification information for identifying a virtual network corresponding to the user.
前記認証情報受信手段は、前記第1のネットワークを構成する前記複数の仮想ネットワークのうち何れか1つと前記ユーザが利用する通信端末とを接続する前記仲介装置から前記認証情報を受信し、
前記認証応答手段によって受信された認証応答情報が前記認証の成功を示していたとき、前記仮想ネットワーク接続手段は、前記ユーザと対応する仮想ネットワークと前記ユーザが利用する通信端末とを前記仲介装置に接続させることを特徴とする請求項1に記載のゲートウエイ装置。 The gateway device is connected so as to be able to communicate with the mediation device that mediates the communication terminal and the communication terminal via the first network,
The authentication information receiving means receives the authentication information from the intermediary device that connects any one of the plurality of virtual networks constituting the first network and a communication terminal used by the user,
When the authentication response information received by the authentication response means indicates that the authentication is successful, the virtual network connection means sends a virtual network corresponding to the user and a communication terminal used by the user to the mediation device. The gateway device according to claim 1, wherein the gateway device is connected.
前記仮想ネットワーク接続手段は、前記ユーザが前記仲介装置を利用可能か否かを前記利用可能装置情報に従って判断し、接続可能と判断したとき前記仮想ネットワークと前記ユーザが利用する通信端末とを前記仲介装置に接続させることを特徴とする請求項2に記載のゲートウエイ装置。 The gateway device comprises available device information storage means for storing available device information representing the mediation device available to the user,
The virtual network connection means determines whether or not the user can use the mediation device according to the available device information, and determines that the user can connect the virtual network and the communication terminal used by the user when the mediation is performed. The gateway device according to claim 2, wherein the gateway device is connected to the device.
前記仮想ネットワーク接続手段は、前記ユーザが前記仮想ネットワークに接続可能か否かを前記利用時間情報に従って判断し、接続可能と判断したとき前記仮想ネットワークと前記ユーザが利用する通信端末とを接続させることを特徴とする請求項1から3のいずれか1項に記載のゲートウエイ装置。 The gateway device includes usage time information storage means for storing usage time information indicating a usage time available for the user,
The virtual network connection means determines whether or not the user can connect to the virtual network according to the usage time information, and connects the virtual network and a communication terminal used by the user when determining that connection is possible. The gateway device according to any one of claims 1 to 3, wherein
前記仮想ネットワーク接続手段は、前記仮想ネットワーク識別情報が示す仮想ネットワークと前記ユーザが利用する通信端末とを接続させることを特徴とする請求項1から4のいずれか1項に記載のゲートウエイ装置。 The gateway device comprises virtual network identification information storage means for storing the virtual network identification information,
5. The gateway device according to claim 1, wherein the virtual network connection unit connects a virtual network indicated by the virtual network identification information and a communication terminal used by the user. 6.
前記仮想ネットワーク接続手段は、前記認証情報に含まれる仮想ネットワーク識別情報が示す仮想ネットワークと前記ユーザが利用する通信端末とを接続させることを特徴とする請求項1から4のいずれか1項に記載のゲートウエイ装置。 The authentication information includes virtual network identification information for identifying the virtual network,
The virtual network connection unit connects a virtual network indicated by virtual network identification information included in the authentication information and a communication terminal used by the user. Gateway equipment.
前記仮想ネットワーク接続手段は、前記仮想ネットワーク識別情報が示す仮想ネットワークに前記ユーザが接続可能か否かを前記許可情報に従って判断し、接続可能と判断したとき前記仮想ネットワークと前記ユーザが利用する通信端末とを接続させることを特徴とする請求項6に記載のゲートウエイ装置。 The gateway device comprises permission information storage means for storing permission information for permitting connection to only the virtual network available to the user among the plurality of virtual networks,
The virtual network connection means determines whether or not the user can connect to the virtual network indicated by the virtual network identification information according to the permission information, and the communication terminal used by the virtual network and the user when determining that the connection is possible The gateway device according to claim 6, wherein the gateway device is connected.
前記仮想ネットワーク接続手段は、前記仮想ネットワーク識別情報が示す仮想ネットワークと前記証明書に示されるユーザが利用する通信端末とを接続させることを特徴とする請求項1から5のいずれか1項に記載のゲートウエイ装置。 The authentication information includes a certificate for proving the user,
The said virtual network connection means connects the virtual network which the said virtual network identification information shows, and the communication terminal which the user shown by the said certificate uses, The any one of Claim 1 to 5 characterized by the above-mentioned. Gateway equipment.
前記仮想ネットワーク接続手段は、前記証明書に示されるユーザが前記仮想ネットワーク識別情報が示す仮想ネットワークに接続可能か否かを前記許可情報に従って判断し、接続可能と判断したとき前記仮想ネットワークと前記証明書に示されるユーザが利用する通信端末とを接続させることを特徴とする請求項8に記載のゲートウエイ装置。 The certificate includes permission information for permitting connection to only the virtual network available to the user among the plurality of virtual networks,
The virtual network connection means determines whether the user indicated by the certificate can connect to the virtual network indicated by the virtual network identification information according to the permission information, and when determining that the user can connect, the virtual network and the certificate 9. The gateway device according to claim 8, wherein the gateway device is connected to a communication terminal used by a user indicated in the document.
前記問い合わせ情報受信手段によって受信された問い合わせ情報に応じて前記許可情報格納手段から前記ユーザと対応するための仮想ネットワーク識別情報を前記ユーザが利用する通信端末に返答する仮想ネットワーク識別情報返答手段とを備えたことを特徴とする請求項7に記載のゲートウエイ装置。 The gateway device receives inquiry information for inquiring about the virtual network available to the user from the communication terminal;
Virtual network identification information response means for returning virtual network identification information for corresponding to the user from the permission information storage means to the communication terminal used by the user in response to the inquiry information received by the inquiry information receiving means. 8. The gateway device according to claim 7, further comprising:
前記仲介装置は、前記第1のネットワークによって構成される全ての仮想ネットワークを表す情報を前記ユーザの利用する通信端末に通知し、
前記ユーザの利用する通信端末は、通知された情報に基づいて前記仮想ネットワークの優先度を与えた仮想ネットワークリストを作成し、
前記認証情報受信手段が前記仮想ネットワークリストを含む認証情報を受信したとき、前記仮想ネットワーク接続手段は、前記仮想ネットワークリストに基づいて優先度の高い仮想ネットワークから順に前記ユーザが接続可能か否かを前記許可情報に従って判断し、接続可能と判断したとき前記仮想ネットワークと前記ユーザが利用する通信端末とを接続させることを特徴とする請求項2から4のいずれか1項に記載のゲートウエイ装置。 The gateway device comprises permission information storage means for storing permission information for permitting connection to only the virtual network available to the user among the plurality of virtual networks,
The intermediary device notifies the communication terminal used by the user of information representing all virtual networks configured by the first network,
The communication terminal used by the user creates a virtual network list giving priority of the virtual network based on the notified information,
When the authentication information receiving unit receives the authentication information including the virtual network list, the virtual network connection unit determines whether or not the user can connect in order from the virtual network with the highest priority based on the virtual network list. 5. The gateway device according to claim 2, wherein the gateway device is determined according to the permission information and connects the virtual network and a communication terminal used by the user when it is determined that connection is possible.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003388709A JP2005149337A (en) | 2003-11-19 | 2003-11-19 | Gateway device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003388709A JP2005149337A (en) | 2003-11-19 | 2003-11-19 | Gateway device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005149337A true JP2005149337A (en) | 2005-06-09 |
Family
ID=34695659
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003388709A Pending JP2005149337A (en) | 2003-11-19 | 2003-11-19 | Gateway device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005149337A (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007074297A (en) * | 2005-09-06 | 2007-03-22 | Fujitsu Ltd | Method for setting security of wireless communication network, security setting program, wireless communication network system, and client apparatus |
| US20070234419A1 (en) * | 2006-03-28 | 2007-10-04 | Canon Kabushiki Kaisha | Image forming apparatus, control method thereof, system, program, and storage medium |
| JP2008199497A (en) * | 2007-02-15 | 2008-08-28 | Nippon Telegr & Teleph Corp <Ntt> | Gateway device and authentication processing method |
| JP2009535708A (en) * | 2006-04-28 | 2009-10-01 | マイクロソフト コーポレーション | Providing guest user access to network resources over the corporate network |
| US8402162B2 (en) | 2006-08-24 | 2013-03-19 | Konica Minolta Business Technologies, Inc. | Network system that can easily remotely access other networks |
| JP2017521971A (en) * | 2014-05-08 | 2017-08-03 | 華為技術有限公司Huawei Technologies Co.,Ltd. | Certificate acquisition method and device |
-
2003
- 2003-11-19 JP JP2003388709A patent/JP2005149337A/en active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007074297A (en) * | 2005-09-06 | 2007-03-22 | Fujitsu Ltd | Method for setting security of wireless communication network, security setting program, wireless communication network system, and client apparatus |
| US8374339B2 (en) | 2005-09-06 | 2013-02-12 | Fujitsu Limited | Security setting method of wireless communication network, wireless communication network system, client device and recording medium |
| US20070234419A1 (en) * | 2006-03-28 | 2007-10-04 | Canon Kabushiki Kaisha | Image forming apparatus, control method thereof, system, program, and storage medium |
| JP2007293813A (en) * | 2006-03-28 | 2007-11-08 | Canon Inc | Image forming apparatus, control method thereof, system, program, and storage medium |
| JP2009535708A (en) * | 2006-04-28 | 2009-10-01 | マイクロソフト コーポレーション | Providing guest user access to network resources over the corporate network |
| US8776187B2 (en) | 2006-04-28 | 2014-07-08 | Microsoft Corporation | Providing guest users network access based on information read from a credit card or other object |
| US8402162B2 (en) | 2006-08-24 | 2013-03-19 | Konica Minolta Business Technologies, Inc. | Network system that can easily remotely access other networks |
| JP2008199497A (en) * | 2007-02-15 | 2008-08-28 | Nippon Telegr & Teleph Corp <Ntt> | Gateway device and authentication processing method |
| JP4630296B2 (en) * | 2007-02-15 | 2011-02-09 | 日本電信電話株式会社 | Gateway device and authentication processing method |
| JP2017521971A (en) * | 2014-05-08 | 2017-08-03 | 華為技術有限公司Huawei Technologies Co.,Ltd. | Certificate acquisition method and device |
| US10367647B2 (en) | 2014-05-08 | 2019-07-30 | Huawei Technologies Co., Ltd. | Certificate acquiring method and device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3742056B2 (en) | Wireless network access authentication technology | |
| US7633953B2 (en) | Method, system and device for service selection via a wireless local area network | |
| US7437145B2 (en) | Wireless control apparatus, system, control method, and program | |
| JP5309496B2 (en) | Authentication system and authentication method | |
| CN1774907A (en) | Techniques for offering seamless accesses in enterprise hot spots for both guest users and local users | |
| JP2002314549A (en) | User authentication system and user authentication method used for the same | |
| WO2003061205A1 (en) | Shor-distance wireless communication system using mobile terminal and wireless communication device therefor | |
| CN1981496A (en) | Connection method, communication system, device, and program | |
| US10742765B2 (en) | Device system, server, and data processing method | |
| JP2006217196A (en) | Method and system for authenticating radio lan | |
| JP2008299588A (en) | Communication system for authentication or relaying network access, repeater system, authentication device and communication method | |
| CN107797778A (en) | Information processing system and equipment, image forming apparatus and its control method and medium | |
| JP6334940B2 (en) | COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM | |
| JP2005149337A (en) | Gateway device | |
| EP1826969A1 (en) | Network connection service providing device | |
| JP5211579B2 (en) | Authentication system and authentication method using SIP | |
| WO2009113157A1 (en) | Authentication device, authentication method, and data utilizing method | |
| JP2014112784A (en) | Image forming apparatus, radio communication system, control method and program | |
| KR20070065390A (en) | Method for registering a mobile communication terminal in a local area network | |
| CN106954214B (en) | Electronic device and control method thereof | |
| JP2011077691A (en) | Device, method and program for relaying radio communication | |
| JP2004320731A (en) | Network apparatus and system for authentication, and network apparatus authentication method using the apparatus | |
| JP4009273B2 (en) | Communication method | |
| JP5141096B2 (en) | Automatic file encryption apparatus using acquired network connection information, method and program thereof | |
| JP4735113B2 (en) | User terminal identification method |