JP2005348164A - クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム - Google Patents
クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム Download PDFInfo
- Publication number
- JP2005348164A JP2005348164A JP2004166173A JP2004166173A JP2005348164A JP 2005348164 A JP2005348164 A JP 2005348164A JP 2004166173 A JP2004166173 A JP 2004166173A JP 2004166173 A JP2004166173 A JP 2004166173A JP 2005348164 A JP2005348164 A JP 2005348164A
- Authority
- JP
- Japan
- Prior art keywords
- client terminal
- ticket
- network
- user
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 ネットワークシステムに関し、1回のユーザ認証で複数のネットワークにアクセスすることができるネットワークシステムを得る。
【解決手段】 ゲートウエイ装置11aは、クライアント端末5の要求によりユーザ認証を行い、正常であればアドレスとサーバ装置12a、12bにアクセスするためのチケットを払い出す。ゲートウエイ装置11c.は、ネットワークシステム1を介してクライアント端末からのアクセス要求を受け、ユーザ認証情報としてネットワーク1で払い出されたチケットを受信すると、予め交換しているネットワーク1の秘密鍵でチケットを検証し、検証結果が正常であれば、アドレスとサーバ装置12c、12dにアクセスするためのチケットを払い出す。
【選択図】 図1
Description
そこで、本発明は、上述の問題に鑑み発明されたもので、1回のユーザ認証で複数のネットワークにアクセスすることができるクライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステムを提供することを目的とする。
〔第1実施形態〕
図1〜図12は本発明の第1実施形態のネットワークシステムを示す図である。
図1に示すように、本実施形態のネットワークシステムは、それぞれアドレス体系が異なる複数のネットワーク1〜4からなり、各ネットワーク1〜4は、それぞれ他のネットワークあるいはクライアント端末5との接続を制御するゲートウエイ装置11a〜11gと、クライアント端末5にサービスを提供するサーバ装置12a〜12fとを備えている。
図1に示すネットワークシステムでは、ネットワーク経由でアクセス要求してくるユーザに対してユーザによる認証情報の入力を省略し、チケットによるユーザの検証を行うため、直接接続されたネットワーク相互のゲートウエイ装置11で、ネットワーク1〜4毎に固有の共有秘密鍵を交換して保有することになる。したがって、ゲートウエイ装置11b、11cは、ネットワーク1及び2の鍵を共有し、ゲートウエイ装置11d、11fは、ネットワーク2及び3の鍵を共有し、ゲートウエイ装置11e、11gは、ネットワーク2及び4の鍵を共有する。ネットワーク1〜4に固有の公開鍵を用いる場合は、この公開鍵を共有することになる。
次に、図1に示すクライアント端末5とネットワーク1との関係につきゲートウエイ装置11aについて述べる。図3は、図1に示すネットワークシステムにおいてゲートウエイ装置11aをその機能と共に図示したものであり、図4は、図3のゲートウエイ装置11aの処理フローチャートである。図1に示すネットワークシステムにおいて、ユーザによって操作されるクライアント端末5が、ユーザの操作により例えばサーバ装置12aのサービスを要求する場合について説明する。
クライアント端末5は、ゲートウエイ装置11aの要求により、ユーザに対しユーザ識別情報やパスワードの入力を要求し、ユーザによって入力されたユーザ識別情報やパスワードをユーザ認証情報としてアクセス制御部112に送信し、また記憶媒体(図示省略)に記憶しているユーザ認証情報をアクセス制御部112に送信する。このとき、ユーザ認証情報には、ユーザの公開鍵等を含むようにしてもよい。
チケット生成部114は、アクセス制御部112からチケット生成依頼を受信すると、受信した情報(ユーザ識別子やアドレスなど)にチケット発行のタイムスタンプとしての現在時刻や、チケットの有効期限などの情報を加え、この情報にサーバ装置12a、12b間で事前に共有する共有秘密鍵(ネットワーク1に固有の共有秘密鍵)とハッシュ関数とを用いて認証子を生成する(図4のステップ4―5)。すなわち、図5のチケットの構成例にて示すように、ユーザ識別子及びアドレス(図5ではクライアント端末5の公開鍵情報を含む)からなる受信した情報にチケットのタイムスタンプやチケットの有効期限などを加えた情報、更にはハッシュ関数を経たハッシュ値を共有秘密鍵にて暗号処理した認証子を加え、チケットとしてアクセス制御部112に送信する。なお、このチケットの認証子としては、ネットワーク1固有の公開鍵ペアを用いて生成したデジタル署名を使ってもよい。図5に示すようなチケットの認証子の生成に当たっては、図6に示すようにチケットの認証子以外の部分につきハッシュ関数ブロック1141にて簡略したハッシュ値を求め、共有秘密鍵あるいは公開鍵ペアの公開鍵からなる暗号処理ブロック1142にて、認証子を得る出力ブロック1143を得る。
図1に戻り、クライアント端末5は、「認証正常」の情報と共にチケットを受信すると、受信したチケットに含まれているアドレスを自端末のアドレスとして登録し、ユーザがサービスを要求しているサーバ装置12aに対し、チケットを含んだサービス要求を送信する。
このようにして、ユーザは、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワーク1内のサーバ装置12a、12bへ、認証処理(ユーザによるユーザ識別子、パスワードの入力など)を行うことなくサービスの提供を受けることができる。
次に、図1に戻り、ネットワーク1でのユーザ認証を行ったユーザが、アドレス体系の異なる別のネットワーク2にネットワーク1を介してアクセスする場合を、図9のゲートウエイ装置11c構成及び図10のフローチャートをも参照して説明する。クライアント端末5はユーザの操作によりネットワーク2内のサーバ装置12cのサービスを要求するとき、ゲートウエイ装置11cにアクセス要求を送信することになる。
クライアント端末5は、ゲートウエイ装置11cの要求により、ネットワーク1で取得したチケットをユーザ認証情報としてゲートウエイ装置11cに送信する。
ゲートウエイ装置11cのアクセス制御部112は、ネットワーク1を介してのユーザ認証情報を受信すると、検証処理部113Yに検証を依頼する。この検証処理部113Yでは、ユーザ認証情報からチケットを取り出し、ユーザ認証情報の送信元アドレスとチケットのアドレスが一致するか検証し(図10のステップ2―2)、アドレスが一致していれば(図10のステップ2―3)、受信したチケットの認証子を、ネットワーク1との間で共有するネットワ−ク1固有の共有秘密鍵とハッシュ関数を用いて検証する(図10のステップ2―4)。
全ての検証結果が正常であれば(図10のステップ2―5)、アクセス制御部112は、チケットが改ざんされておらず、正しいユーザからの要求であると判断し、上述のネットワーク1でのゲートウエイ装置11aと同様に、ユーザ識別子とアドレスを割り当て(図10のステップ2―6)、割り当てたユーザ識別子とアドレスをチケット生成部114に送信してこのゲートウエイ装置11cでのチケットの生成を依頼する。
なお、ユーザ識別子は、予めユーザ対応に登録していたものを使用し、あるいはユーザ名や受信したチケット内のユーザ識別子を利用してもよい。
チケット生成部114は、上述のゲートウエイ装置11aと同様に、アクセス制御部112からチケット生成要求を受信すると、受信した情報(ユーザ識別子やアドレスなど)にタイムスタンプとしての現在時刻や有効期限などを加え、この情報に基づきサーバ装置12c、12dとの間で事前に共有する共有秘密鍵(ネットワーク2固有の共有秘密鍵)とハッシュ関数とを用いて認証子を生成し、この認証子に上述の受信した情報、タイムスタンプ、有効期限などを加えたものをチケットとしてアクセス制御部112に送信する(図10のステップ2―7)。なお、認証子としては、ネットワーク2固有の公開鍵ペアを用いて生成したデジタル署名を使ってもよい。かかる機能は、ゲートウエイ装置11aでの図3、図4に示す場合と同じである。
クライアント端末5は、「認証正常」の情報とチケットを受信すると、受信したチケットに含まれているアドレスをネットワーク2に接続する際のアドレスとして登録し、ユーザがサービスを要求してきたサーバ装置12cに対し、チケットを含んだサービス要求を送信する。
このようにして、ユーザは、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワークシステム1内のサーバ装置12a、12bだけでなく、ネットワークシステム2内のサーバ装置12c、12dへも、認証処理(ユーザによるユーザ識別子、パスワードの入力など)無しにサービスの提供を受けることができる。
図11、図12は、生成されあるいは検証されるチケットを用いてこれまでの全体の説明をまとめた図である。ネットワーク1にてクライアント端末5からのユーザ認証情報に基づき図3のゲートウエイ装置11aのチケット生成部114では、図11最上段のチケットが生成される。ネットワーク1のサーバ装置12aへのアクセスの場合には、この生成されたチケットを用い図11の2段目にて示すようにアドレスの検証を行い、かつ認証子の検証を行う。また、ネットワーク2のゲートウエイ装置11cでは、最上段のチケットをユーザ認証情報として、図11の3段目に示すようにアドレスと認証子との検証を行う。この検証をきっかけとして、図12の最上段にて示すゲートウエイ装置11cでのチケットの生成が行われる。ネットワーク2のサーバ装置12cのアクセスでは、図12の2段目に示すように最上段のチケットに付きアドレスの検証と認証子の検証が行われる。このように、ユーザ認証情報は、最初のチケット生成のみであり、その後は、チケットの生成に際してもチケットの検証に基づき行われる。
以上のようにして、接続されたネットワークを介してアクセスしてくるクライアント端末は、このネットワークで発行されたチケット及びアドレスで認証されるので、ユーザによる認証情報の入力無しで検証され、アクセスを許可されることになる。
〔第2実施形態〕
次に、図13、図14は本発明の第2実施形態のネットワークシステムを示す図である。なお、本実施形態は、上述第1実施形態と略同様に構成されているので、図1、図2をも用いてこの実施形態の特徴部分のみ説明する。
また、ネットワーク1〜4は、上述の第1実施形態と同様に、直接接続されたネットワーク相互のゲートウエイ装置11で、ネットワーク1〜4毎に固有の共有秘密鍵を交換して保有している。
図13において、クライアント端末5は、ゲートウエイ装置11aにIPsecによるリモートアクセスで接続しようとするとき、IKE(Internet Key Exchange)プロトコルに従いゲートウエイ装置11aとの間でフェーズ1(phase1)(IKEプロトコルにて実行される二つのサービスの一つでセキュアな認証チャネルの確立を行う)の処理を行い、フェーズ2(Phase2)で使用する暗号化方式の決定や暗号鍵の生成を行う(S11;ステップ11の表示を指す、以下同様)。
クライアント端末5は、ゲートウエイ装置11aからの要求に対しユーザ名“Joe@client”とパスワード“foobar”を送信する(S13)。ここで、ユーザ名の“@client”は本実施形態の方式によりチケットの取得を要求することを示すものである。
ゲートウエイ装置11aのアクセス制御部112は、ユーザ名に“@client”が付いた応答を受信すると、ユーザ名“Joe”とパスワードによるユーザ認証が認証処理部113で行われる。ユーザ認証が正常であれば、上述の第1実施形態と同様に、ユーザ識別子とアドレスを割り当て、割り当てたユーザ識別子とアドレスなどをチケット生成部114に送信してチケットの生成を依頼する。なお、ユーザ識別子は、予めユーザ対応に登録していたものを使用したり、ユーザ名を利用したりしてもよい。
また、生成した秘密鍵をユーザ識別子やアドレスとともにサーバ装置12a、12bに、予め確立されているセキュアな通信路を用いて送信する(S15)。また、隣接するネットワークのゲートウエイ装置11にも予め確立されているセキュアな通信路を用いて秘密鍵を送信する。
チケットと秘密鍵を受信したクライアント端末5は、受信したテキストデータのチケットと秘密鍵を復号し、復号したチケットを確認し、チケット内の秘密鍵のハッシュ値により秘密鍵を確認し、チケットと秘密鍵を保存し、応答を返す(S16)。クライアント端末5からの応答を受信すると、アクセス制御部112は、「認証正常」をクライアント端末5に送信する(S17)。
サーバ装置12aでは、受信したサービス要求の送信元アドレスと、受信したチケットのアドレスが一致するかを検証し、アドレスが一致していれば、受信したチケットの認証子を、ネットワーク1固有の共有秘密鍵とハッシュ関数を用いて検証する。なお、認証子としてネットワーク1固有の公開鍵ペアを用いて生成したデジタル署名を使っている場合は、認証子をネットワーク1固有の公開鍵を用いて検証する。このとき、より厳密にユーザの認証を行う場合は、クライアント端末5で、チケットのハッシュ値をチケットと同時に受信した秘密鍵(ゲートウエイ装置11aで生成された秘密鍵)で暗号化した署名をチケットとともにサービス要求に含んで送信する。サーバ装置12aでは、上述の方法でチケットとアドレスの検証をするとともに、チケット内のユーザ識別子やアドレスにより、このユーザに対応した秘密鍵(ゲートウエイ装置11aから受信した秘密鍵)を選択し、その秘密鍵とハッシュ関数により署名を検証してユーザ認証をする。
また、Xauthプロトコルのシーケンス内でチケットのやり取りを行っているので、特別なチケットをやり取りする手順を追加する必要がなく、本実施形態の方式を用いないクライアント端末とも接続することができる。
図14は、クライアント端末5がネットワーク1を介してネットワーク2のゲートウエイ装置11cへIPsecによるリモートアクセスで接続する場合のシーケンス図である。
図14に示すように、ネットワークシステム1でユーザ認証を済ませたクライアント端末5が、ゲートウエイ装置11cにIPsecによるリモートアクセスで接続しようとするとき、IKEプロトコルに従いゲートウエイ装置11cとの間でフェーズ1の処理を行い、フェーズ2で使用する暗号化方式の決定や暗号鍵の生成を行う(S31)。フェーズ1の処理が終了すると、ゲートウエイ装置11cのアクセス制御部112は、Xauthプロトコルに従い、クライアント端末5にユーザ名とパスワードを要求する(S32)。
クライアント端末5は、ゲートウエイ装置11cからの要求に対しユーザ名“Joe@client”とパスワードとして、ネットワーク1で取得したBASE64などでテキストデータ(BASE64TOKEN)に変換したチケットを送信する(S33)。ここで、ユーザ名の“@client”は、本実施形態の方式によりチケットの取得を要求することを示すものである。
ゲートウエイ装置11cのアクセス制御部112は、ネットワークシステム1を介したアクセスでユーザ名に“@client”が付いた応答を受信すると、パスワードにチケットが入っていると判断し、受信したテキストデータのチケットを復号し、上述の第1実施形態と同様にして復号したチケットを検証する。なお、チケットともに署名を受信した場合、復号したチケット内のユーザ識別子やアドレスにより、このユーザに対応した秘密鍵を選択し、その秘密鍵とハッシュ関数により署名を検証してユーザの認証を行う。
なお、ユーザ識別子は、予めユーザ対応に登録していたものを使用したり、ユーザ名や受信したチケット内のユーザ識別子を利用したりしてもよい。
チケット生成部114は、秘密鍵を生成し、生成した秘密鍵のハッシュ値を求め、受信した情報を元に、タイムスタンプや有効期限や秘密鍵のハッシュ値を加え、サーバ装置12c、12dとの間で事前に共有する共有秘密鍵(ネットワーク2に固有の共有秘密鍵)とハッシュ関数を用いて認証子を生成し、この認証子に上述の受信した情報、タイムスタンプ、有効期限、生成した秘密鍵のハッシュ値などを加えた情報を加えたものをチケットとして生成した秘密鍵とともにアクセス制御部112に送信する。
アクセス制御部112は、チケット生成部114で生成されたチケットと秘密鍵をBASE64などでテキストデータ(BASE64TOKEN2)に変更してクライアント端末5に送信する(S34)。
また、生成した秘密鍵をユーザ識別子やアドレスとともにサーバ装置12c、12dに予め確立されているセキュアな通信路を用いて送信する(S35)。さらに、隣接するネットワークのゲートウエイ装置にも予め確立されているセキュアな通信路を用いて秘密鍵を送信する。
クライアント端末5からの応答を受信すると、アクセス制御部112は、「認証正常」をクライアント端末5に送信する(S37)。
クライアント端末5は、付与されたアドレスをネットワーク2にアクセスするときのアドレスとして登録する。その後、IKEプロトコルのフェーズ2の処理により、IPsecで使用する暗号化方式や暗号鍵などを決める(S40)。
サーバ装置12cでは、受信したサービス要求の送信元アドレスと、受信したチケットのアドレスが一致するかを検証し、アドレスが一致していれば、受信したチケットの認証子を、ネットワーク2固有の共有秘密鍵とハッシュ関数を用いて検証する。
なお、認証子としてネットワークシステム2固有の公開鍵ペアを用いて生成したデジタル署名を使っている場合は、認証子をネットワーク2固有の公開鍵を用いて検証する。
サーバ装置12cでは、上述の方法でチケットとアドレスの検証をするとともに、チケット内のユーザ識別子やアドレスにより、ユーザに対応した秘密鍵(ゲ←トウェイ装置11cから受信した秘密鍵)を選択し、その秘密鍵とハッシュ関数により署名を検証してユーザ認証をするようにする。
また、Xauthプロトコルのシーケンス内でチケットのやり取りを行っているので、特別なチケットをやり取りする手順を追加する必要がなく、本実施形態の方式を用いないクライアント端末とも接続することができる。
〔第3実施形態〕
次に、図15〜図18は本発明の第3実施形態のネットワークシステムを示す図である。なお、本実施形態は、上述第1実施形態と略同様に構成されているので、図1、図2を流用して特徴部分のみ説明する。
図15において、クライアント端末5は、ゲートウエイ装置11aにIPsecによるリモートアクセスで接続しようとするとき、IKEプロトコルに従いゲートウエイ装置11aとの間でフェーズ1の処理を行い、フェーズ2で使用する暗号化方式の決定や暗号鍵の生成を行う(S51)。このフェーズ1の処理が終了すると、ゲートウエイ装置11aのアクセス制御部112は、Xauthプロトコルに従い、クライアント端末5にユーザ名とパスワードを要求する(S52)。
ゲートウエイ装置11aのアクセス制御部112は、ユーザ名に“@client”が付いた応答を受信すると、ユーザ名“Joe”とパスワードによるユーザ認証が認証処理部113で行われる。認証が正常であれば、クライアント端末5に公開鍵を要求する(S54)。クライアント端末5は、ゲートウエイ装置11aから公開鍵を要求されると、予め記憶している公開鍵、あるいは生成した公開鍵を、ゲートウエイ装置11aに返送する(S55)。
チケット生成部114は、受信した情報を元に、証明書の有効期限やアドレスやユーザ識別子や公開鍵などを設定した電子証明書を作成しアクセス制御部112に送信する。
電子証明書を受信したクライアント端末5は、受信したテキストデータの電子証明書を復号し、復号した電子証明書を確認して保存し、応答を返す(S57)。クライアント端末5からの応答を受信すると、アクセス制御部112は、「認証正常」をクライアント端末5に送信する(S58)。「認証正常」を受信したクライアント端末5は、応答をゲートウエイ装置11aに返す(S59)。
クライアント端末5は、付与されたアドレスを自装置のアドレスとして登録する。その後、IKEプロトコルのフェーズ2の処理により、IPsecで使用する暗号化方式や暗号鍵などを決める(S61)。
フェーズ2の処理が終了すると、クライアント端末5は、電子証明書の登録を行う(S62)。
サーバ装置12aでは、受信した電子証明書を検証して、アドレスや有効期限が正しければ、クライアント端末5にサービスを提供する。
図16は、このようにして確立したIPsecによる暗号通信がSSL接続中から切断されたときのシーケンスを示す図である。
ゲートウエイ装置11aでは、切断された通信で使用していた電子証明書を失効した電子証明書のリスト(CRL:Certificate Revocation List)に加え、ネットワーク1内のサーバ装置12a、12b及び隣接するネットワークのゲートウエイ装置に送信する(S74)。
このようにして、ユーザは、IPsecによるリモートアクセスにおいても、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワークシステム1内のサーバ装置12a、12bへ、認証処理(ユーザによるユーザ識別子、パスワードの入力など)無しにサービスの提供を受けることができる。
また、Xauthプロトコルのシーケンス内でチケットのやり取りを行っているので、特別なチケットをやり取りする手順を追加する必要がなく、本実施形態の方式を用いないクライアント端末とも接続することができる。
図17は、クライアント端末5がネットワーク1を介してネットワーク2のゲートウエイ装置11cへIPsecによるリモートアクセスで接続する場合のシーケンス図である。
図17に示すように、ネットワークシステム1でユーザ認証を済ませたクライアント端末5が、ゲートウエイ装置11cにIPsecによる暗号化通信で接続しようとするとき、IKEプロトコルに従いゲートウエイ装置11cとの間でフェーズ1の処理を行い、フェーズ2で使用する暗号化方式の決定や暗号鍵の生成を行う(S81)。このフェーズ1の処理において、ネットワーク1で発行された証明書を用いて認証を行ってもよい。
クライアント端末5は、ゲートウエイ装置11cからの要求に対しユーザ名”Joe@client”とパスワードとしてネットワーク1で取得した電子証明書をBASE64などでテキストデータに変更して(BASE64CERT)を送信する(S83)。ここで、ユーザ名の”@client”は、本実施形態の方式によりチケットの取得を要求することを示すものである。
電子証明書の検証が正常であれば、アクセス制御部112は、クライアント端末5に公開鍵を要求する(S84)。
クライアント端末5は、ゲートウエイ装置11cから公開鍵を要求されると、予め記憶している公開鍵を、あるいは生成した企開鍵を、ゲートウエイ装置11cに返送する(S85)。
チケット生成部114は、受信した情報を元に、証明書の有効期限やアドレスやユーザ識別子や公開鍵などを設定した電子証明書を生成し、生成した電子証明書をアクセス制御部112に送信する。
クライアント端末5からの応答を受信すると、アクセス制御部112は、「認証正常」をクライアント端末5に送信する(S88)。
「認証正常」を受信したクライアント端末5は、応答をゲートウエイ装置11cに返す(S89)。
クライアント端末5は、付与されたアドレスをネットワーク2にアクセスするときのアドレスとして登録する。
その後、IKEプロトコルのフェーズ2の処理により、IPsecで使用する暗号化方式や暗号鍵などを決める(S91)。
このようにして確立したIPsecによる暗号通信により、クライアント端末5は、電子証明書によるSSLアクセスで、サーバ装置12cにアクセスを行う(S93)。
サーバ装置12cでは、受信した電子証明書を検証し、アドレスや有効期限が正しければ、クライアント端末5にサービスを提供する。
図18は、このようにして確立したネットワーク1を介したIPsecによる暗号通信が切断されたときのシーケンスを示す図である。
ゲートウエイ装置11cでは、切断された通信で使用していた電子証明書を失効した電子証明書のリスト(CRL:Certificate Revocation List)に加え、ネットワーク2内のサーバ装置12c、12d及び隣接するネットワークのゲートウエイ装置に送信する(S104)。
このよう.にして、ユーザは、IPsecによるリモートアクセスにおいても、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワーク1内のサーバ装置12a、12bだけでなく、ネットワーク2内のサーバ装置12c、12dへも、認証処理(ユーザによるユーザ識別子、パスワードの入力など)無しにサービスの提供を受けることができる。
なお、本実施形態においては、ユーザによるサーバ装置へのアクセス要求で自動的にゲートウエイ装置にアクセス要求を行い、その後サーバ装置ヘアクセスする場合を説明したが、ユーザの操作によりゲートウエイ装置にアクセス要求し、アクセスが許可された後、ユーザの操作によりサーバ装置ヘアクセスする場合も、同様に処理される。
また、本実施の形態のように、ゲートウエイ装置がCRLをサーバ装置及び他のネットワークシステムのゲートウエイ装置に送信するとともに、上述するように、ゲートウエイ装置がCRLを登録し、OCSPに対応するように、サーバ装置または他のネットワークシステムのゲートウエイ装置からのオンライン参照に対応するようにしてもよい。
Claims (11)
- クライアント端末が直接接続されたネットワークのゲートウエイ装置において、
アクセス要求が出力されたクライアント端末からの最初のユーザ認証情報を認証する認証処理部と、
この認証処理部の正常認証にて少なくとも相互に関連するユーザ識別子とアドレスを暗号処理して認証子を生成し、この認証子と前記少なくともユーザ識別子及びアドレスとにより次のユーザ認証情報となるチケットを生成するチケット生成部と、
を有することを特徴とするゲートウエイ装置。 - クライアント端末が接続しないネットワークにあって他のネットワークに相互接続されるゲートウエイ装置において、
アクセス要求が出力されたクライアント端末のアドレスとこのクライアント端末に接続されるゲートウエイ装置にて生成されたチケットのアドレスとの一致を検証し、前記チケットの認証子を秘密鍵又は公開鍵にて検証する検証処理部と、
この検証処理部の正常検証にて少なくとも相互に関連するユーザ識別子とアドレスを新たな秘密鍵にて暗号処理を行うことにより認証子を生成し、この認証子と少なくともユーザ識別子とアドレスとによりチケットを生成するチケット生成部と、
を有することを特徴とするゲートウエイ装置。 - チケットはクライアント端末による公開鍵ペアに対して生成した電子証明書であることを特徴とする請求項1又は2に記載のゲートウエイ装置。
- クライアント端末又はネットワークに接続されるゲートウエイ装置では、IPsecを用いたリモートアクセスにて認証が行われることを特徴とする請求項1乃至3のいずれかに記載のゲートウエイ装置。
- ゲートウエイ装置に接続されるクライアント端末において、
ゲートウエイ装置に送信したユーザ認証情報が正常な場合、ゲートウエイ装置から払い出されるチケットを別のネットワークへのアクセスとして送信する機能を有することを特徴とするクライアント端末。 - チケットはクライアント端末による公開鍵ペアに対して生成した電子証明書であることを特徴とする請求項5に記載のクライアント端末。
- 電子証明書を、ネットワーク内のサーバ装置とのSSL通信に使用することを特徴とする請求項6に記載のクライアント端末。
- ネットワークとの間でIPsecを用いたリモートアクセスを行うことを特徴とする請求項5乃至7に記載のクライアント端末。
- クライアント端末からネットワークへの直接のアクセス要求を受信した場合、前記クライアント端末から送られるユーザ認証情報によりユーザの認証を行い、認証が正常なユーザに対しては自ネットワーク内でのアクセスを許可するチケット及びアドレスを払い出して自ネットワークへのアクセスを許可するゲートウエイ装置と、前記チケット及びアドレスを自ネットワークの秘密鍵または公開鍵で検証し、検証が正常なユーザに対しては自装置へのアクセスを許可するサーバ装置と、を備えることを特徴とするネットワークシステム。
- クライアント端末からネットワークへの直接のアクセス要求を受信した場合、前記クライアント端末から送られるユーザ認証情報によりユーザの認証を行い、認証が正常なユーザに対しては自ネットワーク内でのアクセスを許可する電子証明書及びアドレスを払い出して自ネットワークへのアクセスを許可するゲートウエイ装置と、前記電子証明書及びアドレスを自ネットワークの公開鍵で検証し、検証が正常なユーザに対しては自装置へのアクセスを許可するサーバ装置と、を備えることを特徴とするネットワークシステム。
- ゲートウエイ装置は、IPsecを用いたリモートアクヒス要求に対して処理を行うことを特徴とする請求項9又は10に記載のネットワークシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004166173A JP4332071B2 (ja) | 2004-06-03 | 2004-06-03 | クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004166173A JP4332071B2 (ja) | 2004-06-03 | 2004-06-03 | クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005348164A true JP2005348164A (ja) | 2005-12-15 |
JP4332071B2 JP4332071B2 (ja) | 2009-09-16 |
Family
ID=35500107
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004166173A Expired - Fee Related JP4332071B2 (ja) | 2004-06-03 | 2004-06-03 | クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4332071B2 (ja) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008104030A (ja) * | 2006-10-19 | 2008-05-01 | Fujitsu Ltd | 携帯端末装置、ゲートウェイ装置、遠隔制御プログラム、アクセス制限プログラム、およびデータ転送システム |
JP2008109454A (ja) * | 2006-10-26 | 2008-05-08 | Fujitsu Ltd | 遠隔制御プログラム、携帯端末装置およびゲートウェイ装置 |
JP2008191727A (ja) * | 2007-01-31 | 2008-08-21 | Dreamboat Co Ltd | データ送信装置、データ受信装置、認証方法、受信方法及びプログラム |
JP2008287395A (ja) * | 2007-05-16 | 2008-11-27 | Konica Minolta Holdings Inc | 認証方法及び認証システム |
JP2008287701A (ja) * | 2007-03-28 | 2008-11-27 | Symantec Corp | パーティ間の推移的信用に基づいてユーザのデジタルアイデンティティを受け入れる方法及び装置 |
WO2009004687A1 (ja) * | 2007-06-29 | 2009-01-08 | Fujitsu Limited | 認証装置および接続管理装置 |
JP2011175590A (ja) * | 2010-02-25 | 2011-09-08 | Kddi R & D Laboratories Inc | ネットワーク認証システム、ネットワーク認証方法およびプログラム |
JP2011175591A (ja) * | 2010-02-25 | 2011-09-08 | Kddi R & D Laboratories Inc | ネットワーク認証システム、ネットワーク認証方法およびプログラム |
JP2011211306A (ja) * | 2010-03-29 | 2011-10-20 | Brother Industries Ltd | Vpnルータ、通信システムおよび通信プログラム |
JP2013198163A (ja) * | 2012-03-21 | 2013-09-30 | ▲ホア▼▲ウェイ▼技術有限公司 | 無線アクセス下で暗号化情報を取得するための方法、装置、及びシステム |
WO2014068632A1 (ja) * | 2012-10-29 | 2014-05-08 | 三菱電機株式会社 | 設備管理装置、設備管理システム及びプログラム |
JP2015184739A (ja) * | 2014-03-20 | 2015-10-22 | 富士ゼロックス株式会社 | 情報処理装置、情報処理システム及び情報処理プログラム |
JP2016157318A (ja) * | 2015-02-25 | 2016-09-01 | 日本電信電話株式会社 | 情報流通システム、方法および処理プログラム |
JP6163222B1 (ja) * | 2016-03-18 | 2017-07-12 | ヤフー株式会社 | 転送装置、転送方法、転送プログラム、コンテンツ要求処理装置、コンテンツ要求処理方法、コンテンツ要求処理プログラムおよびアクセス処理システム |
CN112383557A (zh) * | 2020-11-17 | 2021-02-19 | 北京明朝万达科技股份有限公司 | 一种安全接入网关及工业设备通信管理方法 |
-
2004
- 2004-06-03 JP JP2004166173A patent/JP4332071B2/ja not_active Expired - Fee Related
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008104030A (ja) * | 2006-10-19 | 2008-05-01 | Fujitsu Ltd | 携帯端末装置、ゲートウェイ装置、遠隔制御プログラム、アクセス制限プログラム、およびデータ転送システム |
US8307454B2 (en) | 2006-10-26 | 2012-11-06 | Fujitsu Limited | Computer-readable recording medium recording remote control program, portable terminal device and gateway device |
JP2008109454A (ja) * | 2006-10-26 | 2008-05-08 | Fujitsu Ltd | 遠隔制御プログラム、携帯端末装置およびゲートウェイ装置 |
JP2008191727A (ja) * | 2007-01-31 | 2008-08-21 | Dreamboat Co Ltd | データ送信装置、データ受信装置、認証方法、受信方法及びプログラム |
JP2008287701A (ja) * | 2007-03-28 | 2008-11-27 | Symantec Corp | パーティ間の推移的信用に基づいてユーザのデジタルアイデンティティを受け入れる方法及び装置 |
JP2008287395A (ja) * | 2007-05-16 | 2008-11-27 | Konica Minolta Holdings Inc | 認証方法及び認証システム |
WO2009004687A1 (ja) * | 2007-06-29 | 2009-01-08 | Fujitsu Limited | 認証装置および接続管理装置 |
JP2011175590A (ja) * | 2010-02-25 | 2011-09-08 | Kddi R & D Laboratories Inc | ネットワーク認証システム、ネットワーク認証方法およびプログラム |
JP2011175591A (ja) * | 2010-02-25 | 2011-09-08 | Kddi R & D Laboratories Inc | ネットワーク認証システム、ネットワーク認証方法およびプログラム |
JP2011211306A (ja) * | 2010-03-29 | 2011-10-20 | Brother Industries Ltd | Vpnルータ、通信システムおよび通信プログラム |
JP2013198163A (ja) * | 2012-03-21 | 2013-09-30 | ▲ホア▼▲ウェイ▼技術有限公司 | 無線アクセス下で暗号化情報を取得するための方法、装置、及びシステム |
WO2014068632A1 (ja) * | 2012-10-29 | 2014-05-08 | 三菱電機株式会社 | 設備管理装置、設備管理システム及びプログラム |
JPWO2014068632A1 (ja) * | 2012-10-29 | 2016-09-08 | 三菱電機株式会社 | 設備管理装置、設備管理システム、設備管理方法及びプログラム |
US9544145B2 (en) | 2012-10-29 | 2017-01-10 | Mitsubishi Electric Corporation | Device, method, and medium for facility management verification |
JP2015184739A (ja) * | 2014-03-20 | 2015-10-22 | 富士ゼロックス株式会社 | 情報処理装置、情報処理システム及び情報処理プログラム |
JP2016157318A (ja) * | 2015-02-25 | 2016-09-01 | 日本電信電話株式会社 | 情報流通システム、方法および処理プログラム |
JP6163222B1 (ja) * | 2016-03-18 | 2017-07-12 | ヤフー株式会社 | 転送装置、転送方法、転送プログラム、コンテンツ要求処理装置、コンテンツ要求処理方法、コンテンツ要求処理プログラムおよびアクセス処理システム |
JP2017173889A (ja) * | 2016-03-18 | 2017-09-28 | ヤフー株式会社 | 転送装置、転送方法、転送プログラム、コンテンツ要求処理装置、コンテンツ要求処理方法、コンテンツ要求処理プログラムおよびアクセス処理システム |
CN112383557A (zh) * | 2020-11-17 | 2021-02-19 | 北京明朝万达科技股份有限公司 | 一种安全接入网关及工业设备通信管理方法 |
Also Published As
Publication number | Publication date |
---|---|
JP4332071B2 (ja) | 2009-09-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4632315B2 (ja) | グリッド・アクセス及びネットワーク・アクセスを提供するシングル・サインオン操作のための方法及びシステム | |
US10567370B2 (en) | Certificate authority | |
JP4617763B2 (ja) | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム | |
JP4304362B2 (ja) | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム | |
JP4863777B2 (ja) | 通信処理方法及びコンピュータ・システム | |
US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
US8824674B2 (en) | Information distribution system and program for the same | |
JP4265145B2 (ja) | アクセス制御方法及びシステム | |
WO2010067812A1 (ja) | 自己認証通信機器および機器認証システム | |
JP5602165B2 (ja) | ネットワーク通信を保護する方法および装置 | |
US20060206616A1 (en) | Decentralized secure network login | |
KR20050072508A (ko) | 홈 네트워크를 구성하는 기기들에 대한 인증 장치 및 방법 | |
JP4332071B2 (ja) | クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム | |
JP2004046430A (ja) | リモートアクセスシステム、リモートアクセス方法、リモートアクセスプログラム及びリモートアクセスプログラムが記録された記録媒体 | |
JP2010526507A (ja) | セキュア通信方法およびシステム | |
JP6667371B2 (ja) | 通信システム、通信装置、通信方法、及びプログラム | |
US7451307B2 (en) | Communication apparatus, communication system, communication apparatus control method and implementation program thereof | |
JP6571890B1 (ja) | 電子署名システム、証明書発行システム、証明書発行方法及びプログラム | |
JP2001186122A (ja) | 認証システム及び認証方法 | |
WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
JP6465426B1 (ja) | 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法 | |
JP5012574B2 (ja) | 共通鍵自動共有システム及び共通鍵自動共有方法 | |
WO2020017643A1 (ja) | 電子署名システム、証明書発行システム、鍵管理システム、証明書発行方法及びプログラム | |
JP2008109569A (ja) | 中継装置及び通信システム及び中継方法及びプログラム | |
JP2021040278A (ja) | 鍵管理システム、署名装置、鍵管理方法及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060711 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20060711 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080507 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080513 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080710 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090203 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090213 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090609 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090619 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120626 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130626 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140626 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |