JP2005244964A - Session information management method and session information management apparatus - Google Patents
Session information management method and session information management apparatus Download PDFInfo
- Publication number
- JP2005244964A JP2005244964A JP2005026924A JP2005026924A JP2005244964A JP 2005244964 A JP2005244964 A JP 2005244964A JP 2005026924 A JP2005026924 A JP 2005026924A JP 2005026924 A JP2005026924 A JP 2005026924A JP 2005244964 A JP2005244964 A JP 2005244964A
- Authority
- JP
- Japan
- Prior art keywords
- session
- information
- session information
- client
- setting request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
この発明は、クライアントとサーバとを接続する仮想私設網におけるセッション情報管理を行うセッション情報管理方法およびセッション情報管理装置に関する。 The present invention relates to a session information management method and session information management apparatus for managing session information in a virtual private network connecting a client and a server.
従来より、通信端末装置(クライアント)が電話網を介して最寄りのインターネット接続点に接続(いわゆるダイアルアップ接続)し、さらに、インターネットを介してサーバ側のネットワーク(例えば企業LAN(Local Area Network))に接続する場合において、インターネット上を安全に通過するために仮想私設網(Virtual Private Network:VPN)を構築するいわゆるダイアルアップVPNが知られている。仮想私設網とは、暗号技術や、認証技術、トンネリング技術などを利用して、インターネット上においても専用線と同様の安全性および利便性を有する通信を実現する技術である。このような仮想私設網機能を実現するネットワークコンポーネントをセキュリティゲートウェイ(Security GateWay:SGW)という。 Conventionally, a communication terminal device (client) is connected to the nearest Internet connection point via a telephone network (so-called dial-up connection), and further connected to a server side network (for example, a corporate LAN (Local Area Network)) via the Internet. When connecting, a so-called dial-up VPN is known that constructs a virtual private network (VPN) to pass safely over the Internet. A virtual private network is a technology that realizes communication having the same safety and convenience as a dedicated line on the Internet by using encryption technology, authentication technology, tunneling technology, and the like. A network component that realizes such a virtual private network function is called a security gateway (Security GateWay: SGW).
仮想私設網においては、通常はIP(Internet Protocol)アドレスを用いて通信相手を識別する。ところで、IPアドレスは、クライアント毎に固定されている場合もあるが、クライアントがダイヤルアップ接続を行っている場合には、接続を行う度に異なっている場合がある。具体的には、ダイヤルアップクライアントに割り当てるためのIPアドレスを一定数確保しているインターネット接続点に電話網を介して接続要求を行うことによって、ダイヤルアップクライアントは利用可能なIPアドレスが適宜割り当てられるようになっている。
従って、ダイアルアップVPNにおいては、仮想私設網を終端するクライアントがダイアルアップ接続を行っている場合には、仮想私設網の他端となるセキュリティゲートウェイはIPアドレスからクライアントを識別することができないことになる。
In a virtual private network, the communication partner is usually identified using an IP (Internet Protocol) address. By the way, the IP address may be fixed for each client, but when the client is making a dial-up connection, the IP address may be different every time the connection is made. Specifically, by making a connection request via the telephone network to an Internet connection point that secures a certain number of IP addresses to be assigned to the dial-up client, the dial-up client is appropriately assigned an available IP address. It is like that.
Therefore, in the dial-up VPN, when the client that terminates the virtual private network performs dial-up connection, the security gateway that is the other end of the virtual private network cannot identify the client from the IP address.
そこで、セキュリティゲートウェイはIPよりも上位層のプロトコルでクライアントの認証を行う必要があり、一般的にはユーザIDおよびパスワードを組み合わせた情報や、デジタル署名などの情報を用いて認証を行っている。このような認証を行った後、クライアントおよびセキュリティゲートウェイ間の通信を行うために、IPアドレス等の情報や仮想私設網におけるセキュリティポリシなどのネゴシエーションを行う。クライアントおよびセキュリティゲートウェイは、ネゴシエーションにおける情報を双方でセッション情報として保存する。
このようにしてクライアントがセキュリティゲートウェイに接続することによって、企業LAN内にいるのと同様の環境で、企業内各種サーバに接続し、所望のサービスを利用することが可能となっている。
Therefore, the security gateway needs to authenticate the client with a protocol higher than IP, and generally performs authentication using information such as a combination of a user ID and a password, or information such as a digital signature. After performing such authentication, in order to perform communication between the client and the security gateway, negotiation such as information such as an IP address and a security policy in a virtual private network is performed. Both the client and the security gateway store the information in the negotiation as session information.
By connecting the client to the security gateway in this way, it is possible to connect to various servers in the company and use desired services in the same environment as in the corporate LAN.
このような仮想私設網のセッション設定から解放までは、
(1)クライアントからインターネット接続点へ接続
(2)クライアント・セキュリティゲートウェイ間にセッション設定
(3)クライアント・サーバ間通信
(4)クライアント・サーバ間セッション断
(5)クライアント・セキュリティゲートウェイ間セッション断
(6)クライアントからインターネット接続点へのコネクション断
という手順が踏まれるのが通常である。
しかしながら、クライアント・インターネット接続点間の接続が切断されてしまい、クライアントが正常な手順を踏まない状態で終了してしまう場合も生じることがある。例えば、クライアントの電源が遮断されてしまった場合や、インターネット接続点の故障、無線網を介してインターネット接続点に接続しているクライアントが圏外に移動してしまった場合などが考えられる。なお、以下の説明において、クライアント・インターネット接続点間が接続されている状態を「生きているセッション」といい、クライアント・インターネット接続点間の接続が切断されている状態を「死んだセッション」というものとする。
From session setup to release of such a virtual private network,
(1) Connection from client to Internet connection point (2) Session setting between client and security gateway (3) Communication between client and server (4) Session disconnection between client and server (5) Session disconnection between client and security gateway (6 ) The usual procedure is to disconnect the client from the Internet connection point.
However, the connection between the client and the Internet connection point may be cut off, and the client may end without following normal procedures. For example, the case where the client power is cut off, the failure of the Internet connection point, or the case where the client connected to the Internet connection point via the wireless network has moved out of the service area can be considered. In the following explanation, the state where the connection point between the client and the Internet is connected is called a “live session”, and the state where the connection between the client and the Internet connection point is disconnected is called a “dead session”. Shall.
このように、正常な手順を踏まずに終了すると、セッションに関して以下のような問題が生じる。
クライアントは電話網を介してインターネットに接続しているので、クライアント・インターネット接続点間の接続状態(セッションの生死)を直ちに検出することができるが、これに対してセキュリティゲートウェイはインターネットに接続しているのでクライアント・インターネット接続点間の接続状態を直接検出することはできない。
サーバからクライアントへパケットを送信するシーケンスの途中にクライアント・インターネット接続点間の接続が切断された場合は、パケットはクライアントへ到達しないので、セキュリティゲートウェイはクライアント・インターネット接続点間の接続が切断された状態をパケットの不達によって間接的に検出する。
As described above, when the normal procedure is terminated, the following problems occur with respect to the session.
Since the client is connected to the Internet via the telephone network, the connection state between the client and the Internet connection point (session life or death) can be detected immediately, whereas the security gateway is connected to the Internet. Therefore, it is impossible to directly detect the connection state between the client and the Internet connection point.
If the connection between the client and the Internet connection point is cut off during the sequence of sending the packet from the server to the client, the packet does not reach the client, so the security gateway has lost the connection between the client and the Internet connection point The condition is detected indirectly by packet failure.
しかしながら、パケットの不達を検出できないような場合、例えば、サーバがクライアントから要求待ちであるような場合や、クライアント・サーバ間のセッションが確立していないような場合、あるいは、セッションが確立していても使用されていない場合には、セキュリティゲートウェイはクライアント・インターネット接続点間の接続が切断された状態を直接的にも間接的にも検出することができない。
このようにセキュリティゲートウェイがクライアント・インターネット接続点間の接続を検出できないために、「死んだセッション」をセキュリティゲートウェイが保存したままになると、セキュリティゲートウェイではセッション資源が枯渇しまうという問題が生じる。
あるいは、電話網側の回線状況などが原因で、インターネット接続点への接続が切断されたクライアントが再度インターネット接続点に接続した場合は、以前に使用していたものとは異なるIPアドレスが割り当てられるので、クライアントがセキュリティゲートウェイに仮想私設網セッション設定を再要求した場合には、以前のセッション情報が保存されているために新しいセッションの設定を拒絶してしまうという問題も生じる。セキュリティゲートウェイでは、同一ユーザIDのクライアントが同時に複数のセッションを設定することはセキュリティ上の理由で制限しているからである。
このような問題を解決するためには、一定時間利用されないセッションをセキュリティゲートウェイが自動的に削除するように設定することも可能であるが、このような場合はクライアント側が長時間通信を行わない場合にはセッションを削除されてしまうという不都合があり、クライアントには不便になっていまう。
However, when packet non-delivery cannot be detected, for example, when a server is waiting for a request from a client, when a session between a client and a server is not established, or when a session is established. However, if it is not used, the security gateway cannot directly or indirectly detect the state where the connection between the client and the Internet connection point is broken.
As described above, since the security gateway cannot detect the connection between the client and the Internet connection point, if the security gateway keeps storing the “dead session”, there is a problem that the session resource is exhausted in the security gateway.
Or, if a client that has been disconnected from the Internet connection point is connected to the Internet connection point again due to the line status of the telephone network, etc., an IP address different from that used before is assigned. Therefore, when the client re-requests the virtual private network session setting from the security gateway, there is a problem that the setting of the new session is rejected because the previous session information is stored. This is because the security gateway restricts a client having the same user ID from setting a plurality of sessions at the same time for security reasons.
In order to solve such problems, it is possible to set the security gateway to automatically delete sessions that are not used for a certain period of time, but in such a case the client side does not communicate for a long time Has the inconvenience of deleting the session, which is inconvenient for the client.
そこで、従来は一定周期毎にサーバからクライアントに状態確認のパケット(キープアライブパケット)を送り、クライアントはキープアライブパケットを受け取るとただちに正常である旨の応答を行うようにして、サーバは規定時間以内に応答が帰ってこなかった場合にクライアントがセッションを停止したと判断してセッション情報を削除する、という対応がなされていた。
しかしながら、クライアントが接続している電話網が、送受信データ量に対して課金される、いわゆるパケット交換方式の電話網である場合、このようなキープアライブパケットを用いると、一定周期毎にパケットの交換が行われ、個々のキープアライブパケットに対して課金が行われてしまうので、クライアント側ユーザの通信コストがかさんでしまうという問題があった。
あるいは、電話網やインターネットの一時的な輻輳などによりパケットの伝達遅延が生じてしまった場合には、キープアライブパケットに対する応答が規定時間内に戻らないので、セッションは生きているにもかかわらずセッション情報が削除されてしまい、安定した通信を行うことができないという問題もあった。このように、従来のセッション管理方法においては、安定的な通信を確保しながら低コストでセッション資源の枯渇を防止することは困難であった。
Therefore, conventionally, the server sends a status confirmation packet (keep-alive packet) to the client at regular intervals, and when the client receives the keep-alive packet, it sends a response indicating that it is normal, and the server is within the specified time. If no response is returned, the client determines that the session has been stopped and deletes the session information.
However, when the telephone network to which the client is connected is a so-called packet switching type telephone network that charges for the amount of transmitted and received data, using such a keep-alive packet, packet switching is performed at regular intervals. There is a problem that the communication cost of the client-side user is increased because charging is performed for each keep-alive packet.
Alternatively, if packet transmission delay occurs due to temporary congestion of the telephone network or the Internet, the response to the keep-alive packet does not return within the specified time, so the session is alive even though it is alive. There was also a problem that information was deleted and stable communication could not be performed. As described above, in the conventional session management method, it is difficult to prevent the depletion of session resources at low cost while ensuring stable communication.
本発明は、上述した課題を解決するためになされたものであり、安定的な通信を確保しながら低コストでセッション資源の枯渇を防止することができるセッション情報管理方法およびセッション情報管理装置を提供することを目的としている。 The present invention has been made to solve the above-described problems, and provides a session information management method and a session information management apparatus capable of preventing session resource depletion at low cost while ensuring stable communication. The purpose is to do.
上述した課題を解決するために、請求項1に記載の発明は、異なる通信網に接続されたクライアントとサーバとを接続する仮想私設網におけるセッション情報管理方法であって、
クライアントは、当該クライアントが接続された通信網より割り当てられた通信アドレスを有し、
前記クライアントの認証情報および通信アドレス情報を含んだセッション設定要求をうけるセッション設定要求段階と、
前記セッション設定要求が所定の条件を満たす場合には、当該セッション設定要求に含まれている認証情報および通信アドレス情報を対応付けてセッション情報として記憶するセッション情報記憶段階と、
前記セッション設定要求に基づいて生成されるべきセッション情報が前記サーバ側において設定可能な総セッション数をこえた場合には、当該セッション設定要求に含まれている認証情報に対応する前記記憶したセッション情報を選択する選択段階と、
前記選択されたセッション情報に含まれている通信アドレスに対して前記仮想私設網における接続状況の確認を行う接続状況確認段階と、
前記接続状況の確認に対して接続状況が正常である旨の応答が得られない場合には、当該状況確認に対応する前記セッション情報を削除するセッション情報削除段階と
を備えることを特徴とする。
In order to solve the above-described problem, the invention described in
The client has a communication address assigned by the communication network to which the client is connected,
A session setting request step for receiving a session setting request including authentication information and communication address information of the client;
When the session setting request satisfies a predetermined condition, a session information storage step of storing authentication information and communication address information included in the session setting request in association with each other as session information;
When the session information to be generated based on the session setting request exceeds the total number of sessions that can be set on the server side, the stored session information corresponding to the authentication information included in the session setting request A selection stage to select
A connection status confirmation stage for confirming a connection status in the virtual private network with respect to the communication address included in the selected session information;
A session information deleting step of deleting the session information corresponding to the status confirmation when a response indicating that the connection status is normal is not obtained in response to the connection status confirmation.
また、請求項2に記載の発明は、異なる通信網に接続されたクライアントとサーバとを接続する仮想私設網におけるセッション情報の管理を行うセッション情報管理装置であって、
クライアントは、当該クライアントが接続された通信網より割り当てられた通信アドレスを有し、
前記クライアントの認証情報および通信アドレス情報を含んだセッション設定要求を受信する受信手段と、
前記受信されたセッション設定要求が所定の条件を満たす場合には、当該セッション設定要求に含まれている認証情報および通信アドレス情報を対応付けてセッション情報として記憶するセッション情報記憶手段と、
前記セッション設定要求に基づいて生成されるべきセッション情報が前記サーバ側において設定可能な総セッション数をこえた場合には、当該セッション設定要求に含まれている認証情報に対応する前記記憶したセッション情報を選択する選択手段と、
前記選択されたセッション情報に含まれている通信アドレスに対して前記仮想私設網における接続状況の確認を行う接続状況確認手段と、
前記接続状況の確認に対して接続状況が正常である旨の応答が得られない場合には、当該状況確認に対応する前記セッション情報を削除するセッション情報削除手段と
を備えることを特徴とする。
The invention according to
The client has a communication address assigned by the communication network to which the client is connected,
Receiving means for receiving a session setting request including authentication information and communication address information of the client;
When the received session setting request satisfies a predetermined condition, session information storage means for storing authentication information and communication address information included in the session setting request in association with each other as session information;
When the session information to be generated based on the session setting request exceeds the total number of sessions that can be set on the server side, the stored session information corresponding to the authentication information included in the session setting request A selection means for selecting
Connection status confirmation means for confirming a connection status in the virtual private network with respect to a communication address included in the selected session information;
Session information deleting means for deleting the session information corresponding to the status confirmation when a response indicating that the connection status is normal cannot be obtained in response to the connection status confirmation.
本発明によれば、クライアントとサーバとを接続する仮想私設網において、安定的な通信を確保しながら低コストでセッション資源の枯渇を防止することが可能となる。 According to the present invention, in a virtual private network connecting a client and a server, it is possible to prevent the depletion of session resources at low cost while ensuring stable communication.
以下、図面を参照しながら本発明の実施の形態について説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[1.実施形態の構成]
[1−1.全体構成]
図1は実施形態の全体構成を示す図である。図1に示すように、本実施形態では、企業LAN100に対して、セキュリティゲートウェイ110を終端としてインターネット200に設定された仮想私設網210および移動通信網300を介して移動端末411、412、413、420(特定を要さない場合は移動端末400と記す)が接続できるようにようになっている。
[1. Configuration of Embodiment]
[1-1. overall structure]
FIG. 1 is a diagram showing an overall configuration of the embodiment. As shown in FIG. 1, in this embodiment,
本実施形態では、移動通信網300にはPDC移動パケット通信システム(Personal Digital Cellular - Packet:PDC−P)を用いており、移動通信網300は、基地局(Base Station:BS)310、パケット用基地局変復調装置(Packet Modulation/Demodulation Equipment:P−MDE)320、加入者交換機(Mobile Local Switch:MLS)330、パケット加入者系処理装置(Packet Processing Module:PPM)340、移動通信サービス制御装置(Mobile Service Control - Point:M−SCP)350、パケットゲートウェイ(PacketGateWay:PGW)360を備えている。
基地局310は、パケット通信機能を有するパケット用基地局変復調装置320に接続されており、移動端末400への高速なパケットエアインターフェイスを提供する。
パケット加入者系処理装置340は、基地局310を介して移動端末400と対向し、パケットを送受信するものであり、無線区間のパケットの組立・分解、認証、秘匿、課金などを行う。本実施形態では、企業LAN100から移動端末400への下りパケットに対する課金ポイントとして機能し、移動端末400から下りパケットに対する応答を示すACK(Acknowledge)を受信した時点で課金を行う。
移動通信サービス制御装置350は、移動端末400の存在するエリアや加入者のサービス情報を記憶する網内データベースを備え、パケットゲートウェイ360は、インターネット200など他網から移動端末400へのパケット着信時に移動通信サービス制御装置350が有する位置情報へアクセスして、移動端末400の存在するエリアを管理しているパケット加入者系処理装置340へルーチングする。
In the present embodiment, a PDC mobile packet communication system (Personal Digital Cellular-Packet: PDC-P) is used for the
The
The packet
The mobile communication
パケットゲートウェイ360は、インターネット接続点としての機能とともに、移動端末400から企業LAN100への上りパケットへの課金ポイントとしての機能を有している。パケットゲートウェイ360は、IPアドレスプール361を備えており、移動端末400から接続要求があった時点で利用可能なIPアドレスの中から任意の一つを選択的に割り当てる。
移動端末400は、仮想私設網210を介して企業LAN100へ接続する場合にはインターネット接続点であるパケットゲートウェイ360へ接続を行い、接続を行う度にIPアドレスの割り当てを受けることによって、企業LAN100へパケットを送信することができるようになる。パケットゲートウェイ360は、インターフェイス200にパケットが送信された時点で課金を行う。
The
When the mobile terminal 400 connects to the corporate LAN 100 via the virtual
本実施形態においては、移動端末411、412、413(特定を要さない場合は移動端末410と記す)は、企業LAN100に対する正当な権限を有するユーザが使用する通信端末装置であり、移動端末420は、企業LAN100に対して正当なアクセス権限を有さない者(いわゆるハッカー)が使用する通信端末装置である。
正当権限を有する移動端末410それぞれのユーザには企業LAN100における固有のユーザIDが割り当てられている。本実施形態では、移動端末411のユーザには“Client1”というユーザIDが割り当てられ、移動端末412のユーザには“Client2”というユーザIDが割り当てられ、移動端末413のユーザには“Client3”というユーザIDが割り当てられており、これらのユーザIDは、後に詳しく説明するように、企業LAN100内において各移動端末410のユーザを識別する情報として管理されている。
なお、移動端末420のユーザであるハッカーにはユーザIDは割り当てられておらず、正当権限者からユーザIDおよびパスワードなどの認証情報を不正に入手して企業LAN100に対して接続を試みる。
本実施形態では、ユーザID、パスワード、IPアドレスなどの情報を用いて、企業LAN100と移動端末400とのセッションが設定されると、後に詳しく説明するようにセキュリティゲートウェイ110および移動端末400はセッション情報をそれぞれ保存して、仮想私設網210上における通信を安定的に行うとともに第三者の不正なアクセスを防止するようになっている。
In this embodiment, the
A unique user ID in the corporate LAN 100 is assigned to each user of the
Note that a user ID is not assigned to a hacker who is a user of the
In the present embodiment, when a session between the corporate LAN 100 and the mobile terminal 400 is set using information such as a user ID, a password, and an IP address, the
[1−2.セキュリティゲートウェイの構成]
次に、セキュリティゲートウェイ110についてより詳細に説明する。図2は、セキュリティゲートウェイ110の機能構成を示すブロック図である。
セキュリティゲートウェイ110は、インターネット200とインターフェイスであるインターネット接続部111、認証を制御する認証制御部112、ユーザIDやパスワードなどのユーザ認証情報を記憶するユーザ情報記憶部113、不正なアクセスを拒否するための情報を記憶するアクセス拒否情報記憶部114、セッションに関する各種制御を行うセッション制御部115、セッション情報を記憶するセッション情報記憶部116、および、企業LAN100内のインターフェイスであるLAN接続部117を備えている。
[1-2. Security Gateway Configuration]
Next, the
The
ここで、図3を参照しながら、セッション情報116、ユーザ情報記憶部113、およびアクセス拒否情報記憶部114に記憶される情報について説明しておく。
セッション情報記憶部116には、それぞれ異なるセッション番号毎にクライアントのIPアドレスおよびユーザIDを対応付けたセッション情報が記憶されている。セッション番号が付される規則については、後に説明する。
ユーザ情報記憶部113には、企業LAN100へのアクセス権限を有する各ユーザに割り当てられたユーザID毎に各ユーザが設定したパスワードを対応付けたユーザ情報が記憶されている。
また、アクセス拒否情報記憶部114には、不正なアクセスと判定されたユーザID毎に、不正なアクセスを行った際に用いられたIPアドレスが対応付けられたアクセス拒否情報が記憶されている。アクセス拒否情報が示すユーザIDは、ハッカーが正当なユーザから不正に入手したユーザIDであって、ユーザID自体はユーザ情報記憶部113に記憶された正当な情報である。本実施形態ではユーザIDやパスワードを不正に入手した場合であっても、IPアドレスを用いて正当なセッション設定要求であるか否かを判定できるようになっている。
Here, the information stored in the
The session
The user
In addition, the access denial
[2.実施形態の動作]
次に、本実施形態の動作として、図4〜図6に示すフローチャートを参照しながらセキュリティゲートウェイの動作を説明した後に、図7〜図9に示すシーケンスを参照しなが全体の具体的動作を説明する。
[2. Operation of the embodiment]
Next, as the operation of the present embodiment, the operation of the security gateway will be described with reference to the flowcharts shown in FIGS. 4 to 6, and then the entire specific operation will be described with reference to the sequences shown in FIGS. 7 to 9. explain.
[2−1.セキュリティゲートウェイの動作]
[2−1−1.セッション設定要求時の動作]
図4は、セキュリティゲートウェイ110のセッション設定要求時における動作を示すフローチャートである。
セキュリティゲートウェイ110は、セッション設定要求を受けると(S1)、まず当該セッション要求についての認証を行う(S2)。ここでは、認証制御部112は、先に説明したユーザ情報記憶部113およびアクセス拒否情報記憶部114に記憶された情報(図3参照)に基づいては正当なユーザからの要求か否かを判定する。
ステップS2の認証において、正当なユーザからのセッション設定要求ではないと判定した場合は(S2;NG)、ステップS1において受けたセッション設定要求を拒絶する(S3)。
[2-1. Security Gateway Operation]
[2-1-1. Operation when requesting session settings]
FIG. 4 is a flowchart showing the operation of the
Upon receiving the session setting request (S1), the
If it is determined in step S2 that the request is not a valid session setting request from a valid user (S2; NG), the session setting request received in step S1 is rejected (S3).
一方、ステップS2の認証において、正当なユーザからのセッション設定要求であると判定した場合は(S2;OK)、次に、同時接続セッション数のチェックを行う(S4)。同時接続セッション数のチェックとは、同一のユーザIDを有するクライアントが同時にセッション設定を行うことを制限するための処理である。具体的には、セッション要求を行ったクライアントが示すユーザIDと同一のユーザIDに対応したセッション情報が当該チェック時においてセッション情報記憶部116に記憶されている場合には、同時接続セッション数をこえていると判定する。
ステップS4において、同時接続セッション数をこえていないと判定した場合は(S4;OK)、当該セッション設定要求に対するセッション設定処理を行う(S5)。セッション設定処理は、サーバ側セキュリティゲートウェイ110のセッション資源の枯渇を解消するための処理であり、より詳しくは、図5および図7を参照しながら後に説明する。
一方、ステップS4において、同時接続セッション数をこえていると判定した場合は(S4;NG)、不正接続防止処理を行う(S6)。不正接続防止処理は、すでにセッション情報が記憶されているユーザIDと同一のユーザIDを示すセッション設定要求が、正当なユーザからのものであるか否かを判定する処理であり、より詳しくは、図6〜図9を参照しながら後に説明する。
On the other hand, if it is determined in the authentication in step S2 that the request is a session setting request from a valid user (S2; OK), then the number of simultaneous connection sessions is checked (S4). Checking the number of simultaneous connection sessions is a process for restricting simultaneous setting of sessions by clients having the same user ID. Specifically, if the session information corresponding to the same user ID as the user ID indicated by the client that made the session request is stored in the session
If it is determined in step S4 that the number of simultaneously connected sessions has not been exceeded (S4; OK), a session setting process for the session setting request is performed (S5). The session setting process is a process for eliminating the depletion of session resources of the server-
On the other hand, if it is determined in step S4 that the number of simultaneous connection sessions has been exceeded (S4; NG), unauthorized connection prevention processing is performed (S6). The unauthorized connection prevention process is a process for determining whether or not the session setting request indicating the same user ID as the user ID for which session information has already been stored is from a legitimate user. This will be described later with reference to FIGS.
[2−1−2.セッション設定処理]
次に、図5に示すフローチャートを参照しながら、セッション設定処理(図4:S5)について説明する。
セッション設定処理では、セキュリティゲートウェイ110はまず総セッション数制限チェックを行う(S51)。セッション情報記憶部116に記憶することが可能な総セッション数には予め制限が設けられており、この制限をこえてセッション設定要求があった場合にはサーバ側のセッション資源が枯渇する。そこで、セッション制御部115は、セッション設定要求時においてセッション情報記憶部116に記憶されているセッション数が当該制限の範囲内であるか否かを判定する。
[2-1-2. Session setting process]
Next, the session setting process (FIG. 4: S5) will be described with reference to the flowchart shown in FIG.
In the session setting process, the
ステップS51のチェックにおいて、セッション数が当該制限の範囲内であると判定した場合は(S51;OK)、セッション制御部115は、セッション設定要求に対するセッション設定を行う(S52)。
一方、ステップS51のチェックにおいて、セッション数が当該制限の範囲内ではないと判定した場合は(S51;NG)、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報の中から、削除すべき候補セッションを選択する(S53)。記憶されているセッション情報の中には、上述したような「死んでいるセッション」が含まれいる可能性があり、このような「死んでいるセッション」を削除することによってセッション資源の枯渇を解消することができる。
If it is determined in step S51 that the number of sessions is within the limit (S51; OK), the
On the other hand, when it is determined in the check in step S51 that the number of sessions is not within the limit range (S51; NG), the
本実施形態では、次に説明する2種類のアルゴリズムのいずれかを用いて、削除してよい可能性の高いセッションを選択する。
(1)FIFO(First In First Out)
最も古く作成されたセッションを削除するアルゴリズムである。このアルゴリズムを用いて削除セッションの候補を選択する場合には、例えば、セッション制御部115は、セッションを作成した順番にセッション番号が付されるようにセッション情報を生成し、セッション情報記憶部116に記憶されているセッション情報の中から最も小さなセッション番号を有するものを、削除セッション候補として選択する。このような場合は、新規にセッション情報を生成する際に、その時点で最も大きなセッション番号が付されるようにすればよい。
(2)LRU(Last Recently Used)
最も古く使用されたセッションを削除するアルゴリズムである。このアルゴリズムを用いて削除セッションの候補を選択する場合には、例えば、セッション制御部115は、セッションを使用した順番にセッション番号が付されるようにセッション情報を生成し、セッション情報記憶部116に記憶されているセッション情報の中から最も小さなセッション番号を有するものを、削除セッション候補として選択する。この場合は、通信が行われる毎にその時点で最も大きなセッション番号が再度付されようにすればよい。
In the present embodiment, a session that is highly likely to be deleted is selected using one of the following two types of algorithms.
(1) FIFO (First In First Out)
This algorithm deletes the oldest session created. When selecting a deletion session candidate using this algorithm, for example, the
(2) LRU (Last Recently Used)
An algorithm that deletes the oldest used session. In the case of selecting a deletion session candidate using this algorithm, for example, the
ステップS53において削除候補セッションの選択を行うと、セッション制御部115は、選択された削除候補セッションに対応するクライアントに対して状況確認メッセージを送信し(S54)、当該クライアントから正常な応答があったか否かを判定する(S55)。ここでは、所定期間内にクライアントから応答がない場合や、予め規定された応答とは異なる応答あるいは何らかの異常を示す応答(異常応答)があった場合に、クライアントからの応答がないと判定される。
ステップS55の判定において、クライアントからの応答があったと判定した場合は(S55;あり)、ステップS53において選択されたセッションを削除候補の最後に置き換え(S56)、ステップS53に移行して再度削除候補セッション選択を行う。例えば、最も小さなセッション番号の付されたセッション情報を削除候補として選択している場合であれば、当該セッション情報中のセッション番号をその時点で最も大きなセッション番号に更新することによって、削除候補の最後に置き換える。
一方、ステップS55の判定において、クライアントからの応答がなかったと判定した場合は(S55;なし)、ステップS53において選択した当該セッションを削除して、セッション要求に対するセッションを設定する(S57)。
When the deletion candidate session is selected in step S53, the
If it is determined in step S55 that there is a response from the client (S55; yes), the session selected in step S53 is replaced with the end of the deletion candidate (S56), and the process proceeds to step S53 and again the deletion candidate. Perform session selection. For example, if the session information with the smallest session number is selected as a deletion candidate, the last session number of the deletion candidate is updated by updating the session number in the session information to the largest session number at that time. Replace with
On the other hand, if it is determined in step S55 that there is no response from the client (S55; none), the session selected in step S53 is deleted, and a session for the session request is set (S57).
[2−1−3.不正接続防止処理]
次に、図6に示すフローチャートを参照しながら、不正接続防止処理(図4:S6)について説明する。
不正接続防止処理では、セキュリティゲートウェイ110は旧セッションのIPアドレスに対して状況確認メッセージを送信し(S61)、当該状況確認メッセージに対する応答が有るか否かを判定する(S62)。セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報から、セッション設定要求を行っているクライアントのユーザIDと同一のユーザIDに対応して記憶されているIPアドレスを旧セッションのIPアドレスとして抽出し、当該IPアドレスを宛先とした状況確認メッセージパケットを送信する。なお、状況確認メッセージには、同一のユーザIDを示すセッション設定要求があった旨を警告するメッセージが含まれている。
[2-1-3. Unauthorized connection prevention process]
Next, the unauthorized connection prevention process (FIG. 4: S6) will be described with reference to the flowchart shown in FIG.
In the unauthorized connection prevention process, the
ステップS62の判定において、状況確認メッセージに対する応答がなかった場合は(S62;なし)、セッション制御部115は、状況確認を行ったIPアドレスが割り当てられた移動端末400とパケットゲートウェイ360(インターネット接続点)との接続が切断され、当該IPアドレスに対応した旧セッションが死んでしまったと判定し、旧セッションを削除してセッション設定要求に対して新セッションを設定する(S63)。
より具体的には、状況確認を行ったIPアドレスに対応したセッションが死んでいる場合に、同一ユーザIDを示す新たなセッション要求がある場合とは、何らかの理由で移動端末400とパケットゲートウェイ360との接続が切断された後に、再度接続し直したために移動端末400に対して新たなIPアドレスが割り当てられた可能性が高い。そこで、セッション制御部115は、このような場合にはセッション接続要求は正当なユーザからのものであると判定する。また、同時セッション数制限を解消するために旧セッションをセッション情報記憶部から削除する。
これに対して、ステップS62の判定において、状況確認メッセージに対する応答があった場合は(S62;あり)、状況確認を行ったIPアドレスに対応したセッションは生きている、すなわち、当該IPアドレスの割り当てられた移動端末400と企業LAN100は接続された状態にあるにもかかわらず、第三者が不正に接続しようとしていると判定し、セッション設定を拒絶する(S64)。
If there is no response to the status confirmation message in the determination in step S62 (S62; none), the
More specifically, when a session corresponding to the IP address whose status has been confirmed is dead, there is a new session request indicating the same user ID. For some reason, the mobile terminal 400, the
On the other hand, if it is determined in step S62 that there is a response to the status confirmation message (S62; present), the session corresponding to the IP address for which the status has been confirmed is alive, that is, the assignment of the IP address Although the mobile terminal 400 and the corporate LAN 100 are connected, it is determined that a third party is trying to connect illegally, and session setting is rejected (S64).
[2−2.実施形態の具体的動作]
[2−2−1.総セッション数制限をこえた場合]
まず、図7を参照しながら、総セッション数制限が2であるセキュリティゲートウェイ110に対して、3以上の移動端末400がそれぞれセッション設定要求を行うことによって、総セッション数制限の範囲をこえた場合の動作について説明する。
図7においては、図1に示す移動端末411がユーザID“Client1”として、移動端末412がユーザID“Client2”として、移動端末413がユーザID“Client3”として、それぞれセッション設定要求を行う。なお、図7においては、各移動端末400似対して割り当てられたIPアドレスに関する情報は省略している。
[2-2. Specific operation of the embodiment]
[2-2-1. When the total number of sessions exceeds the limit]
First, referring to FIG. 7, when three or more mobile terminals 400 each make a session setting request to the
In FIG. 7, the
移動端末411がユーザID“Client1”としてセキュリティゲートウェイ110へのセッション設定要求を行う(S101)。このとき、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報を参照して総セッション数制限の範囲内であると判定し、新たにセッション情報を生成する。この新たなセッション情報には、この時点で最も大きなセッション番号#1が付される。
新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末411に対してセッション設定の応答を行い(S102)、移動端末411と企業LAN100との仮想私設網210を介した通信を行うことができるようになる。
The
When new session information is generated, the
次に、移動端末412がユーザID“Client2”としてセキュリティゲートウェイ110へのセッション設定要求を行う(S103)。このとき、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報を参照して総セッション数制限の範囲内であると判定し、新たにセッション情報を生成する。この新たなセッション情報には、この時点で最も大きなセッション番号#2が付される。
新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末412に対してセッション設定の応答を行い(S104)、移動端末412と企業LAN100との仮想私設網210を介した通信を行うことができるようになる。
Next, the
When new session information is generated, the
セキュリティゲートウェイ110における総セッション数制限は2であるから、この時点でセッション資源が枯渇しており、その後に移動端末413がユーザID“Client3”としてセキュリティゲートウェイ110へのセッション設定要求を行うと(S105)、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報を参照して総セッション数制限の範囲をこえたと判定する。
そこで、セッション制御部115は、この時点で最も小さなセッション番号#1の付されたセッション情報を「死んでいる」可能性の高い削除候補セッションとして選択し、セッション番号#1に対応して記憶されているユーザID“Client1”を示す移動端末411に対して状況確認メッセージを送信する(S106)。
移動端末411が状況確認メッセージに対して正常な応答を行うと(S107)、セッション制御部115は、選択されたセッション情報のセッション番号#1をこの時点で最も大きなセッション番号#3に更新する。セッション番号#1がセッション番号#3に更新されることによって、“Client1”に対応するセッション情報は削除候補の最後に置き換えられ、この時点で最も小さなセッション番号は#2となる。
Since the total number of sessions in the
Therefore, the
When the
ところで、移動端末412は、セッション設定後に圏外へ移動しており(S108)、パケットゲートウェイ360との接続が切断されている。従って、セッション番号#2の付されたセッションは「死んだ」状態になっている。
しかしながら、セキュリティゲートウェイ110においては、移動端末412とパケットゲートウェイ360との接続が切断されていることは検出していないので、セッション制御部115はセッション番号#2の付されたセッション情報を削除候補として選択し、セッション番号#2に対応して記憶されているユーザID“Client2”を示す移動端末412に対して状況確認メッセージを送信する(S109)。
移動端末412とパケットゲートウェイ360との接続が切断されているので、この状況確認メッセージは移動端末412に到達せず、セキュリティゲートウェイ110に対しては何ら応答がなされない、あるいは異常な応答がなされることになる(S110)。セッション制御部115はセッション番号#2の付されたセッションは「死んでいる」と判定してセッション情報を削除し、移動端末413がユーザID“Client3”として行ったセッション設定要求に対するセッション情報を生成する。この新たなセッション情報には、この時点で最も大きなセッション番号#4が付される。
新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末413に対してセッション設定の応答を行い(S111)、移動端末413と企業LAN100との仮想私設網210を介した通信を行うことができるようになる。
By the way, the
However, since the
Since the connection between the
When new session information is generated, the
このように、セキュリティゲートウェイ110は、総セッション数制限の範囲をこえた時点で「死んでいる」可能性の高い削除候補セッションを選択し、順次セッションが生きているか否かの状況確認を行い、「死んでいる」セッションを削除していくので、削除ミスの可能性を極めて小さくすることができる。
また、キープアライブパケットを使用しなくても「死んでいる」セッションを削除できるので、キープアライブパケットに対する課金がなくなり、移動端末400の通信コストを削減することができる。
In this way, the
Further, since a “dead” session can be deleted without using a keep alive packet, there is no charge for the keep alive packet, and the communication cost of the mobile terminal 400 can be reduced.
[2−2−2.同一ユーザが再度セッション設定要求した場合]
次に、図8を参照しながら、移動端末411がセッション設定後にいったんパケットゲートウェイ360との接続を切断し、再接続後にセッション設定要求を行うことによって、同一ユーザが再度セッション設定要求した場合の動作について説明する。
図8に示す例においては、移動端末411が最初にパケットゲートウェイ360に接続したときに割り当てられるIPアドレスは“123.456.78.9”であり、切断後に再接続したときに割り当てられるIPアドレスは“223.456.78.9”である。
[2-2-2. When the same user requests session setting again]
Next, referring to FIG. 8, when the
In the example illustrated in FIG. 8, the IP address assigned when the
移動端末411のユーザインターフェイスからユーザIDおよびパスワードが入力されると(S201)、移動端末411は、ユーザID“Client1”としてセキュリティゲートウェイ110へのセッション設定要求を行う(S202)。このとき、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報を参照して同時接続セッション数の範囲内であると判定し、新たにセッション情報を生成する。この新たなセッション情報には、この時点で最も大きなセッション番号#1が付される。
新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末411に対してセッション設定の応答を行い(S203)、移動端末411と企業LAN100との仮想私設網210を介した通信を行うことができるようになる。
When the user ID and password are input from the user interface of the mobile terminal 411 (S201), the
When new session information is generated, the
その後移動端末411とパケットゲートウェイ360との接続が切断されると、セッション番号#1の付されたセッションは「死んだ」状態となるがセキュリティゲートウェイ110は移動端末412とパケットゲートウェイ360との接続が切断されている状態は検出しないので、セッション番号#1の付されたセッション情報はそのままセッション情報記憶部116に保存される。
そして、移動端末411がパケットゲートウェイ360に再接続し、IPアドレス“223.456.78.9”が割り当てられる(S205)。ここで、移動端末411のユーザインターフェイスからユーザIDおよびパスワードが入力されると(S206)、移動端末411は、ユーザID“Client1 ”としてセキュリティゲートウェイ110へのセッション設定要求を行う(S207)。このとき、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報を参照して同時接続セッション制限数をオーバーしたことを検出し、当該セッション情報に対応したIPアドレス“123.456.78.9”を宛先とした状況確認メッセージを送信する(S208)。
After that, when the connection between the
Then, the
移動端末411とパケットゲートウェイ360との接続が切断されたときに移動端末411に対するIPアドレス“123.456.78.9”の割り当ては解放されているので、IPアドレス“123.456.78.9”を宛先とした状況確認メッセージに対する応答は行われない(S209)。そこで、セッション制御部115は、状況確認を行ったセッション情報を削除し、ステップS207におけるセッション設定要求に対する新たなセッション情報(図中セッション番号#n)を生成する。新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末411に対してセッション設定の応答を行い(S210)、移動端末411と企業LAN100との仮想私設網210を介した通信は、IPアドレス“123.456.78.9”から“223.456.78.9”に引き継がれて、継続して行うことが可能となる。
Since the assignment of the IP address “123.456.78.9” to the
このように、移動端末411がセッション設定後にいったんパケットゲートウェイ360との接続を切断し、再接続後にセッション設定要求を行うような場合には、セッション資源の枯渇を待たずに「死んでいる」セッションを早期に削除することができるので、セッション状態をより正確に管理することができるようになる。
As described above, when the
[2−2−3.不正接続を防止する場合]
次に、図9を参照しながら、移動端末411がユーザID“Client1”としてセッション設定後、ハッカーが移動端末420からユーザID“Client1”としてセッション設定要求した場合の動作について説明する。
図9に示す例においては、移動端末411がパケットゲートウェイ360に接続したときに割り当てられるIPアドレスは“123.456.78.9”であり、移動端末420がパケットゲートウェイ360に接続したときに割り当てられるIPアドレスは“987.654.32.1”である。
[2-2-3. To prevent unauthorized connections]
Next, referring to FIG. 9, an operation when the
In the example shown in FIG. 9, the IP address assigned when the
移動端末411のユーザインターフェイスからユーザIDおよびパスワードが入力されると(S301)、移動端末411は、ユーザID“Client1”としてセキュリティゲートウェイ110へのセッション設定要求を行う(S302)。このとき、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報を参照して同時接続セッション数の範囲内であると判定し、新たにセッション情報を生成する。この新たなセッション情報には、この時点で最も大きなセッション番号#1が付される。
新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末411に対してセッション設定の応答を行い(S303)、移動端末411と企業LAN100との仮想私設網210を介した通信を行うことができるようになる。
When the user ID and password are input from the user interface of the mobile terminal 411 (S301), the
When new session information is generated, the
次に、ハッカーが不正に入手したユーザID“Client1”およびパスワードを用いて、移動端末420からユーザID“Client1”としてセキュリティゲートウェイ110へのセッション設定要求を行う(S304)。このとき、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報を参照して同時接続セッション制限数をオーバーしたことを検出し、当該セッション情報に対応したIPアドレス“123.456.78.9”を宛先とした状況確認メッセージを送信する(S305)。このメッセージはIPアドレス“123.456.78.9”が割り当てられたままになっている移動端末411に到達するので、移動端末411は、状況確認メッセージに対する正常な応答を行う(S306)とともに、ユーザインターフェイスに警告メッセージを表示させる(S307)。
応答を受けたセキュリティゲートウェイ110は、ステップS304でうけたセッション設定要求を拒絶して(S308)、拒絶したセッション設定要求が示すユーザID“Client1”とIPアドレス987.654.32.1”とを対応付けてアクセス拒否情報として登録する。
Next, using the user ID “Client1” and the password obtained illegally by the hacker, the
Upon receiving the response, the
その後、移動端末420から再度セッション設定要求があった場合には(S309)、セキュリティゲートウェイ110はアクセス拒否情報を参照することによって、ユーザID“Client1”を示すセッション設定要求であっても、IPアドレス987.654.32.1”であればハッカーからの要求であると判定してセッション設定を拒絶することができる(S310)。
また、移動端末411のユーザは、ユーザインターフェイスに表示される警告メッセージなどによりハッカーの存在を認識し、パスワードの変更などの対処を行う。
Thereafter, when a session setting request is received again from the mobile terminal 420 (S309), the
Further, the user of the
このように、悪意の第三者(ハッカー)が正当なユーザの認証情報を不正に入手してセッション設定要求を行う場合には、すでに記憶されているセッション情報の中から同一の認証情報を有するIPアドレスに対して状況確認メッセージを送信することによって、ハッカーによる不正な接続を防止できるようになる。 Thus, when a malicious third party (hacker) illegally obtains authentication information of a legitimate user and makes a session setting request, it has the same authentication information from the already stored session information. By sending a status confirmation message to the IP address, unauthorized connection by a hacker can be prevented.
[3.変形例]
本発明は、上述した実施形態に限定されるものではなく、以下のような各種の変形が可能である。
[3. Modified example]
The present invention is not limited to the above-described embodiments, and various modifications as described below are possible.
上記実施形態においては、クライアント側の端末装置を移動端末400を例として説明したが、インターネット接続点と通信網を介して接続可能であればどのようなものでもよい。同様に、上記実施形態では、サーバ側のネットワークを企業LAN100を例として説明したが、インターネットとの接続が可能であればどのようなものでもよく、行政サービス用のネットワークや家庭内のインターネット対応機器で構成したネットワークなどでもかまわない。
また、通信網もPDCパケット通信網300に限らず、送受信データ量に対して課金されるものであれば他の通信網であってもよい。インターネット接続点についても、パケットゲートウェイ360に限らず他のプロバイダであってもよいのはもちろんである。
In the above embodiment, the terminal device on the client side has been described by taking the mobile terminal 400 as an example. Similarly, in the above embodiment, the network on the server side has been described by taking the corporate LAN 100 as an example. However, any network can be used as long as it can be connected to the Internet. It does not matter if it is a network configured with.
Further, the communication network is not limited to the PDC
上記実施形態では、セッション設定要求に含まれる認証情報として、ユーザIDおよびパスワードを例として説明したが、これに限らず、デジタル署名など他の情報であってもよい。また、アドレス情報についても、IPアドレスに限らず、クライアントの端末と特定する他の情報であってもよい。 In the above-described embodiment, the user ID and the password have been described as examples of the authentication information included in the session setting request. Also, the address information is not limited to the IP address, but may be other information that identifies the client terminal.
上記実施形態では、削除候補セッション情報を選択するための所定の規則としては、FIFOあるいはLRUすなわち、選択される優先順位は生成されてからの経過時間が長いあるいは最後に使用されてからの経過時間が長いセッション情報である程高いものを例として説明しているが、これに限らず、セッションが「死んでいる」可能性が高いものを選択できれば他の規則であってもかまわない。また、生成されてからの経過時間が長いあるいは最後に使用されてからの経過時間を示す情報として、上記実施形態ではセッション番号を用いて説明しているが、これに限らず、時刻そのものをセッション情報に含ませるようにしてもよいし、他のパラメータを用いてもかまわない。 In the above embodiment, the predetermined rule for selecting the deletion candidate session information is FIFO or LRU, that is, the selected priority is long in the elapsed time from the generation or the elapsed time since the last use. However, the present invention is not limited to this, and other rules may be used as long as the possibility that the session is “dead” can be selected. In addition, in the above embodiment, the session number is used as the information indicating the elapsed time since the last generation or the time since the last use. However, the present invention is not limited to this. Information may be included, or other parameters may be used.
100…企業LAN、
110…セキュリティゲートウェイ、
200…インターネット、
210…仮想私設網
300…移動通信網、
310…基地局、
320…パケット用基地局変復調装置、
330…加入者交換機、
340…パケット加入者系処理装置、
350…移動通信サービス制御装置、
360…パケットゲートウェイ、
361…IPアドレスプール、
411、412、413、420…移動端末。
100 ... Corporate LAN,
110: Security gateway,
200 ... Internet,
210 ... Virtual
310 ... base station,
320 ... Packet base station modulation / demodulation device,
330 ... Subscriber exchange,
340 ... Packet subscriber processing unit,
350 ... mobile communication service control device,
360 ... packet gateway,
361 ... IP address pool,
411, 412, 413, 420 ... mobile terminals.
Claims (2)
クライアントは、当該クライアントが接続された通信網より割り当てられた通信アドレスを有し、
前記クライアントの認証情報および通信アドレス情報を含んだセッション設定要求をうけるセッション設定要求段階と、
前記セッション設定要求が所定の条件を満たす場合には、当該セッション設定要求に含まれている認証情報および通信アドレス情報を対応付けてセッション情報として記憶するセッション情報記憶段階と、
前記セッション設定要求に基づいて生成されるべきセッション情報が前記サーバ側において設定可能な総セッション数をこえた場合には、当該セッション設定要求に含まれている認証情報に対応する前記記憶したセッション情報を選択する選択段階と、
前記選択されたセッション情報に含まれている通信アドレスに対して前記仮想私設網における接続状況の確認を行う接続状況確認段階と、
前記接続状況の確認に対して接続状況が正常である旨の応答が得られない場合には、当該状況確認に対応する前記セッション情報を削除するセッション情報削除段階と
を備えることを特徴とするセッション情報管理方法。 A session information management method in a virtual private network for connecting a client and a server connected to different communication networks,
The client has a communication address assigned by the communication network to which the client is connected,
A session setting request step for receiving a session setting request including authentication information and communication address information of the client;
When the session setting request satisfies a predetermined condition, a session information storage step of storing authentication information and communication address information included in the session setting request in association with each other as session information;
When the session information to be generated based on the session setting request exceeds the total number of sessions that can be set on the server side, the stored session information corresponding to the authentication information included in the session setting request A selection stage to select
A connection status confirmation stage for confirming a connection status in the virtual private network with respect to the communication address included in the selected session information;
A session information deleting step for deleting the session information corresponding to the status confirmation when a response indicating that the connection status is normal cannot be obtained in response to the confirmation of the connection status. Information management method.
クライアントは、当該クライアントが接続された通信網より割り当てられた通信アドレスを有し、
前記クライアントの認証情報および通信アドレス情報を含んだセッション設定要求を受信する受信手段と、
前記受信されたセッション設定要求が所定の条件を満たす場合には、当該セッション設定要求に含まれている認証情報および通信アドレス情報を対応付けてセッション情報として記憶するセッション情報記憶手段と、
前記セッション設定要求に基づいて生成されるべきセッション情報が前記サーバ側において設定可能な総セッション数をこえた場合には、当該セッション設定要求に含まれている認証情報に対応する前記記憶したセッション情報を選択する選択手段と、
前記選択されたセッション情報に含まれている通信アドレスに対して前記仮想私設網における接続状況の確認を行う接続状況確認手段と、
前記接続状況の確認に対して接続状況が正常である旨の応答が得られない場合には、当該状況確認に対応する前記セッション情報を削除するセッション情報削除手段と
を備えることを特徴とするセッション情報管理装置。 A session information management device that manages session information in a virtual private network that connects a client and a server connected to different communication networks,
The client has a communication address assigned by the communication network to which the client is connected,
Receiving means for receiving a session setting request including authentication information and communication address information of the client;
When the received session setting request satisfies a predetermined condition, session information storage means for storing authentication information and communication address information included in the session setting request in association with each other as session information;
When the session information to be generated based on the session setting request exceeds the total number of sessions that can be set on the server side, the stored session information corresponding to the authentication information included in the session setting request A selection means for selecting
Connection status confirmation means for confirming a connection status in the virtual private network with respect to a communication address included in the selected session information;
A session information deleting means for deleting the session information corresponding to the status confirmation when a response indicating that the connection status is normal cannot be obtained in response to the confirmation of the connection status. Information management device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005026924A JP3987539B2 (en) | 2005-02-02 | 2005-02-02 | Session information management method and session information management apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005026924A JP3987539B2 (en) | 2005-02-02 | 2005-02-02 | Session information management method and session information management apparatus |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP24201399A Division JP3668648B2 (en) | 1999-08-27 | 1999-08-27 | Session information management method and session information management apparatus |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005244964A true JP2005244964A (en) | 2005-09-08 |
| JP3987539B2 JP3987539B2 (en) | 2007-10-10 |
Family
ID=35026131
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005026924A Expired - Fee Related JP3987539B2 (en) | 2005-02-02 | 2005-02-02 | Session information management method and session information management apparatus |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3987539B2 (en) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007086149A1 (en) * | 2006-01-27 | 2007-08-02 | Fujitsu Limited | Base station, wireless communication system, and pilot pattern deciding method |
| JP2007251617A (en) * | 2006-03-16 | 2007-09-27 | Fujitsu Ltd | Router device and communication control method |
| JP2008160868A (en) * | 2008-01-16 | 2008-07-10 | Hitachi Communication Technologies Ltd | Packet transfer device |
| JP2009514486A (en) * | 2005-10-31 | 2009-04-02 | クゥアルコム・インコーポレイテッド | Method and apparatus for detecting the presence of a terminal in a data session |
| EP2063619A1 (en) | 2007-11-21 | 2009-05-27 | NEC Corporation | Subscriber accommodating apparatus, transfer control method, communication system and program product |
| JPWO2007086149A1 (en) * | 2006-01-27 | 2009-06-18 | 富士通株式会社 | Base station and radio communication system |
| US9288277B2 (en) | 2011-08-01 | 2016-03-15 | Fujitsu Limited | Communication device, method for communication and relay system |
| CN109213599A (en) * | 2018-09-03 | 2019-01-15 | 郑州云海信息技术有限公司 | A kind of BMC service management, device, terminal and storage medium |
| US10719830B1 (en) * | 2016-12-29 | 2020-07-21 | Wells Fargo Bank, N.A. | Secondary financial session monitoring across multiple access channels |
| CN113766013A (en) * | 2021-08-20 | 2021-12-07 | 苏州浪潮智能科技有限公司 | Session creation method, device, equipment and storage medium |
| US11425202B2 (en) | 2017-07-20 | 2022-08-23 | Huawei International Pte. Ltd. | Session processing method and device |
-
2005
- 2005-02-02 JP JP2005026924A patent/JP3987539B2/en not_active Expired - Fee Related
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009514486A (en) * | 2005-10-31 | 2009-04-02 | クゥアルコム・インコーポレイテッド | Method and apparatus for detecting the presence of a terminal in a data session |
| JP4688888B2 (en) * | 2006-01-27 | 2011-05-25 | 富士通株式会社 | Base station and radio communication system |
| WO2007086131A1 (en) * | 2006-01-27 | 2007-08-02 | Fujitsu Limited | Base station, wireless communication system, and pilot pattern deciding method |
| JPWO2007086149A1 (en) * | 2006-01-27 | 2009-06-18 | 富士通株式会社 | Base station and radio communication system |
| WO2007086149A1 (en) * | 2006-01-27 | 2007-08-02 | Fujitsu Limited | Base station, wireless communication system, and pilot pattern deciding method |
| JP2007251617A (en) * | 2006-03-16 | 2007-09-27 | Fujitsu Ltd | Router device and communication control method |
| JP4621158B2 (en) * | 2006-03-16 | 2011-01-26 | 富士通株式会社 | Router device and communication control method |
| US8416940B2 (en) | 2007-11-21 | 2013-04-09 | Nec Corporation | Subscriber accommodating apparatus, transfer control method, communication system, and program product |
| EP2063619A1 (en) | 2007-11-21 | 2009-05-27 | NEC Corporation | Subscriber accommodating apparatus, transfer control method, communication system and program product |
| JP4621259B2 (en) * | 2008-01-16 | 2011-01-26 | 株式会社日立製作所 | Packet transfer control method |
| JP2008160868A (en) * | 2008-01-16 | 2008-07-10 | Hitachi Communication Technologies Ltd | Packet transfer device |
| US9288277B2 (en) | 2011-08-01 | 2016-03-15 | Fujitsu Limited | Communication device, method for communication and relay system |
| US10719830B1 (en) * | 2016-12-29 | 2020-07-21 | Wells Fargo Bank, N.A. | Secondary financial session monitoring across multiple access channels |
| US11030625B1 (en) * | 2016-12-29 | 2021-06-08 | Wells Fargo Bank, N.A. | Secondary financial session monitoring across multiple access channels |
| US11538041B1 (en) * | 2016-12-29 | 2022-12-27 | Wells Fargo Bank, N.A. | Secondary financial session monitoring across multiple access channels |
| US11425202B2 (en) | 2017-07-20 | 2022-08-23 | Huawei International Pte. Ltd. | Session processing method and device |
| CN109213599A (en) * | 2018-09-03 | 2019-01-15 | 郑州云海信息技术有限公司 | A kind of BMC service management, device, terminal and storage medium |
| CN113766013A (en) * | 2021-08-20 | 2021-12-07 | 苏州浪潮智能科技有限公司 | Session creation method, device, equipment and storage medium |
| CN113766013B (en) * | 2021-08-20 | 2023-08-18 | 苏州浪潮智能科技有限公司 | Session creation method, device, equipment and storage medium |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3987539B2 (en) | 2007-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3987539B2 (en) | Session information management method and session information management apparatus | |
| EP1735985B1 (en) | A method, network element and system for providing security of a user session | |
| US7127524B1 (en) | System and method for providing access to a network with selective network address translation | |
| JP4586071B2 (en) | Provision of user policy to terminals | |
| US7480933B2 (en) | Method and apparatus for ensuring address information of a wireless terminal device in communications network | |
| US7565547B2 (en) | Trust inheritance in network authentication | |
| JP4376711B2 (en) | Access management method and apparatus | |
| WO2006002601A1 (en) | A method for wireless lan users set-up session connection | |
| JP2018514956A (en) | Apparatus and method for using certificate data to route data | |
| EP2547133B1 (en) | Method and equipment for authenticating subscriber terminal | |
| JP4832516B2 (en) | Network access control method, network access control system, authentication processing device, access control device, proxy request device, and access request device | |
| US8688077B2 (en) | Communication system and method for providing a mobile communications service | |
| EP1422909A2 (en) | Service control network system | |
| JP3668648B2 (en) | Session information management method and session information management apparatus | |
| US8312530B2 (en) | System and method for providing security in a network environment using accounting information | |
| JP2006185194A (en) | Server device, communication control method, and program | |
| JP3816933B2 (en) | Session information management method and session information management apparatus | |
| JP2007049503A (en) | Packet communication service system, packet communication service method, edge side gateway device, and center side gateway device | |
| WO2005111826A1 (en) | Communication system | |
| KR100454687B1 (en) | A method for inter-working of the aaa server and separated accounting server based on diameter | |
| JP2005167580A (en) | Access control method and apparatus in wireless lan system | |
| JP2006140694A (en) | Information processing apparatus, user management system, and program | |
| CN116074125B (en) | End-to-end password middle station zero trust security gateway system | |
| JP2003258916A (en) | System and method for communication control, relay gateway processor, and managing server | |
| KR101099082B1 (en) | System for controlling server access and method thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061212 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070213 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070710 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070712 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100720 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110720 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110720 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120720 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120720 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130720 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |