JP2005348164A - クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム - Google Patents
クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム Download PDFInfo
- Publication number
- JP2005348164A JP2005348164A JP2004166173A JP2004166173A JP2005348164A JP 2005348164 A JP2005348164 A JP 2005348164A JP 2004166173 A JP2004166173 A JP 2004166173A JP 2004166173 A JP2004166173 A JP 2004166173A JP 2005348164 A JP2005348164 A JP 2005348164A
- Authority
- JP
- Japan
- Prior art keywords
- client terminal
- ticket
- network
- user
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 ネットワークシステムに関し、1回のユーザ認証で複数のネットワークにアクセスすることができるネットワークシステムを得る。
【解決手段】 ゲートウエイ装置11aは、クライアント端末5の要求によりユーザ認証を行い、正常であればアドレスとサーバ装置12a、12bにアクセスするためのチケットを払い出す。ゲートウエイ装置11c.は、ネットワークシステム1を介してクライアント端末からのアクセス要求を受け、ユーザ認証情報としてネットワーク1で払い出されたチケットを受信すると、予め交換しているネットワーク1の秘密鍵でチケットを検証し、検証結果が正常であれば、アドレスとサーバ装置12c、12dにアクセスするためのチケットを払い出す。
【選択図】 図1
Description
本発明は、ユーザ認証により与えられるアクセス権限によるアクセス制御に関し、複数のネットワークへのアクセス制御に関する。
従来、ネットワーク内に複数のサーバを持ち、各サーバでのユーザに対するアクセス制限が異なっている場合でも、統合した一台の認証サーバによってユーザ認証を1回行うだけで、複数のサーバにユーザ認証無しでアクセスできるようにし、各サーバの管理負担とユーザの操作負担を軽減した技術がある(例えば、特許文献1)。
特開2003−242119号公報
しかしながら、このような従来のネットワークシステムにおいては、アクセス制限が異なるサーバでのユーザ認証に関するものであり、アドレス体系が異なる別のネットワークヘアクセスするときには、再度ユーザ認証を受ける必要がある。
そこで、本発明は、上述の問題に鑑み発明されたもので、1回のユーザ認証で複数のネットワークにアクセスすることができるクライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステムを提供することを目的とする。
そこで、本発明は、上述の問題に鑑み発明されたもので、1回のユーザ認証で複数のネットワークにアクセスすることができるクライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステムを提供することを目的とする。
上述の目的を達成する本発明は、クライアント端末が接続しないネットワークにあって他のネットワークに相互接続されるゲートウエイ装置において、アクセス要求が出力されたクライアント端末のアドレスとこのクライアント端末に接続されるゲートウエイ装置にて生成されたチケットのアドレスとの一致を検証し、前記チケットの認証子を秘密鍵又は公開鍵にて検証する検証処理部と、この検証処理部の正常検証にて少なくとも相互に関連するユーザ識別子とアドレスを新たな秘密鍵にて暗号処理を行うことにより認証子を生成し、この認証子と少なくともユーザ識別子とアドレスとによりチケットを生成するチケット生成部と、を有することを特徴とする。
本発明によれば、接続されたネットワークを介してアクセスしてくるクライアント端末は、このネットワークで発行されたチケット及びアドレスで認証されることになるので、他のネットワークでのユーザによる認証情報の入力及びそれに伴う認証処理は省くことができ、1回のユーザ認証のみで複数のネットワークにおけるアクセスが可能となる。
以下、本発明のクライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステムを、図面を参照しつつ説明する。
〔第1実施形態〕
図1〜図12は本発明の第1実施形態のネットワークシステムを示す図である。
図1に示すように、本実施形態のネットワークシステムは、それぞれアドレス体系が異なる複数のネットワーク1〜4からなり、各ネットワーク1〜4は、それぞれ他のネットワークあるいはクライアント端末5との接続を制御するゲートウエイ装置11a〜11gと、クライアント端末5にサービスを提供するサーバ装置12a〜12fとを備えている。
〔第1実施形態〕
図1〜図12は本発明の第1実施形態のネットワークシステムを示す図である。
図1に示すように、本実施形態のネットワークシステムは、それぞれアドレス体系が異なる複数のネットワーク1〜4からなり、各ネットワーク1〜4は、それぞれ他のネットワークあるいはクライアント端末5との接続を制御するゲートウエイ装置11a〜11gと、クライアント端末5にサービスを提供するサーバ装置12a〜12fとを備えている。
各ゲートウエイ装置11(11a〜11g)は、図2に示すように、回線に接続されてこの回線を通して他のネットワークのゲートウエイ装置11やクライアント端末5との通信を制御する通信インタフエース部111と、クライアント端末5からのアクセス要求を受け、認証正常なユーザにはアドレスを払い出してユーザ認証子とアドレスの割り付けを行うとともにアクセスを許可するためのチケットを発行し、払い出されたアドレスからのパケットのみを通過させるよう制御するアクセス制御部112と、アクセス制御部112からの要求によりユーザ認証及びチケット検証を行う認証処理部113と、チケットを生成するチケット生成部114と、認証処理部113がユーザ認証及びチケット検証を行うためのデータ、アドレス払い出しめためのデータ、チケット生成部114がチケットを生成するためのデータなどを蓄積しておくデータベース部115とを備えている。なお、ここで認証処理部113は、ユーザ認証及びチケット検証を行う装置であるが、図3、図9にて後述する個別のゲートウエイ装置では、説明の都合上認証と検証とを分けて述べる。
また、図1にあってサーバ装置12(12a〜12f)は、WWW(World Wide Web)やFTP(File Transfer Protocol)やコンテンツの配信などのサービスを提供するものである。
図1に示すネットワークシステムでは、ネットワーク経由でアクセス要求してくるユーザに対してユーザによる認証情報の入力を省略し、チケットによるユーザの検証を行うため、直接接続されたネットワーク相互のゲートウエイ装置11で、ネットワーク1〜4毎に固有の共有秘密鍵を交換して保有することになる。したがって、ゲートウエイ装置11b、11cは、ネットワーク1及び2の鍵を共有し、ゲートウエイ装置11d、11fは、ネットワーク2及び3の鍵を共有し、ゲートウエイ装置11e、11gは、ネットワーク2及び4の鍵を共有する。ネットワーク1〜4に固有の公開鍵を用いる場合は、この公開鍵を共有することになる。
図1に示すネットワークシステムでは、ネットワーク経由でアクセス要求してくるユーザに対してユーザによる認証情報の入力を省略し、チケットによるユーザの検証を行うため、直接接続されたネットワーク相互のゲートウエイ装置11で、ネットワーク1〜4毎に固有の共有秘密鍵を交換して保有することになる。したがって、ゲートウエイ装置11b、11cは、ネットワーク1及び2の鍵を共有し、ゲートウエイ装置11d、11fは、ネットワーク2及び3の鍵を共有し、ゲートウエイ装置11e、11gは、ネットワーク2及び4の鍵を共有する。ネットワーク1〜4に固有の公開鍵を用いる場合は、この公開鍵を共有することになる。
以上は、図1に示すネットワークシステム及び図2に示すゲートウエイ装置の概要に基づく説明である。
次に、図1に示すクライアント端末5とネットワーク1との関係につきゲートウエイ装置11aについて述べる。図3は、図1に示すネットワークシステムにおいてゲートウエイ装置11aをその機能と共に図示したものであり、図4は、図3のゲートウエイ装置11aの処理フローチャートである。図1に示すネットワークシステムにおいて、ユーザによって操作されるクライアント端末5が、ユーザの操作により例えばサーバ装置12aのサービスを要求する場合について説明する。
次に、図1に示すクライアント端末5とネットワーク1との関係につきゲートウエイ装置11aについて述べる。図3は、図1に示すネットワークシステムにおいてゲートウエイ装置11aをその機能と共に図示したものであり、図4は、図3のゲートウエイ装置11aの処理フローチャートである。図1に示すネットワークシステムにおいて、ユーザによって操作されるクライアント端末5が、ユーザの操作により例えばサーバ装置12aのサービスを要求する場合について説明する。
まず、ユーザの操作によりクライアント端末5は、ゲートウエイ装置11aにアクセス要求を送信する。ここで、ゲートウエイ装置11aのアクセス制御部112は、図3に示すようにクライアント端末5からのアクセス要求を通信インタフェース部111を介して受信するとき、ユーザ認証を行うため、ユーザ識別情報やパスワードなどのユーザ認証情報をクライアント端末5に要求する(図4ステップ4―1)。
クライアント端末5は、ゲートウエイ装置11aの要求により、ユーザに対しユーザ識別情報やパスワードの入力を要求し、ユーザによって入力されたユーザ識別情報やパスワードをユーザ認証情報としてアクセス制御部112に送信し、また記憶媒体(図示省略)に記憶しているユーザ認証情報をアクセス制御部112に送信する。このとき、ユーザ認証情報には、ユーザの公開鍵等を含むようにしてもよい。
クライアント端末5は、ゲートウエイ装置11aの要求により、ユーザに対しユーザ識別情報やパスワードの入力を要求し、ユーザによって入力されたユーザ識別情報やパスワードをユーザ認証情報としてアクセス制御部112に送信し、また記憶媒体(図示省略)に記憶しているユーザ認証情報をアクセス制御部112に送信する。このとき、ユーザ認証情報には、ユーザの公開鍵等を含むようにしてもよい。
次いで、クライアント端末5からユーザ認証情報が送信されたゲートウエイ装置11aにあって、アクセス制御部112では、ユーザ認証情報を受信すると、受信したユーザ認証情報を認証処理部113xに送信してユーザ認証を依頼する。このユーザ認証が依頼された認証処理部113xは、ユーザ認証情報を受信すると、このユーザ認証情報のうちのユーザ識別情報によりデータベース部115に登録されているユーザ情報を検索し、ユーザ識別情報と一致するユーザ情報が登録されている場合には、次にそのユーザ情報のパスワードと受信したユーザ認証情報のうちのパスワードを比較し、これらパスワードが一致していれば「認証正常」を返し、それ以外の場合は、「認証異常」をアクセス制御部112に返す(図4のステップ4―2)。
アクセス制御部112は、認証処理部113xから「認証異常」が返された場合(図4のステップ4―3)、クライアント端末5からのアクセスを拒否する(図4のステップ4―7)。一方、アクセス制御部112は、認証処理部113xから「認証正常」が返されると、ネットワーク1内で唯一のユーザ識別子を割り当て、データベース部115に蓄積しているアドレスデータから空いているアドレスを検索し払い出してユーザに割り当て(図4のステップ4―4)、ユーザ識別子とアドレスを関連付けて記憶しておく。なお、ここではユーザ識別子は、予めユーザに対応させて登録していたものを使用したり、ユーザ名を利用したりしてもよい。
次いで、アクセス制御部112は、割り当てたユーザ識別子とアドレスをチケット生成部114に送信してチケットの生成を依頼する。このとき、チケット生成の依頼に当たって、ユーザ(クライアント端末5)が使用する帯域の情報や、ユーザの公開鍵情報を一緒にチケット生成部114に送信してもよい。
チケット生成部114は、アクセス制御部112からチケット生成依頼を受信すると、受信した情報(ユーザ識別子やアドレスなど)にチケット発行のタイムスタンプとしての現在時刻や、チケットの有効期限などの情報を加え、この情報にサーバ装置12a、12b間で事前に共有する共有秘密鍵(ネットワーク1に固有の共有秘密鍵)とハッシュ関数とを用いて認証子を生成する(図4のステップ4―5)。すなわち、図5のチケットの構成例にて示すように、ユーザ識別子及びアドレス(図5ではクライアント端末5の公開鍵情報を含む)からなる受信した情報にチケットのタイムスタンプやチケットの有効期限などを加えた情報、更にはハッシュ関数を経たハッシュ値を共有秘密鍵にて暗号処理した認証子を加え、チケットとしてアクセス制御部112に送信する。なお、このチケットの認証子としては、ネットワーク1固有の公開鍵ペアを用いて生成したデジタル署名を使ってもよい。図5に示すようなチケットの認証子の生成に当たっては、図6に示すようにチケットの認証子以外の部分につきハッシュ関数ブロック1141にて簡略したハッシュ値を求め、共有秘密鍵あるいは公開鍵ペアの公開鍵からなる暗号処理ブロック1142にて、認証子を得る出力ブロック1143を得る。
チケット生成部114は、アクセス制御部112からチケット生成依頼を受信すると、受信した情報(ユーザ識別子やアドレスなど)にチケット発行のタイムスタンプとしての現在時刻や、チケットの有効期限などの情報を加え、この情報にサーバ装置12a、12b間で事前に共有する共有秘密鍵(ネットワーク1に固有の共有秘密鍵)とハッシュ関数とを用いて認証子を生成する(図4のステップ4―5)。すなわち、図5のチケットの構成例にて示すように、ユーザ識別子及びアドレス(図5ではクライアント端末5の公開鍵情報を含む)からなる受信した情報にチケットのタイムスタンプやチケットの有効期限などを加えた情報、更にはハッシュ関数を経たハッシュ値を共有秘密鍵にて暗号処理した認証子を加え、チケットとしてアクセス制御部112に送信する。なお、このチケットの認証子としては、ネットワーク1固有の公開鍵ペアを用いて生成したデジタル署名を使ってもよい。図5に示すようなチケットの認証子の生成に当たっては、図6に示すようにチケットの認証子以外の部分につきハッシュ関数ブロック1141にて簡略したハッシュ値を求め、共有秘密鍵あるいは公開鍵ペアの公開鍵からなる暗号処理ブロック1142にて、認証子を得る出力ブロック1143を得る。
図3にて、アクセス制御部112は、チケット生成部114からチケットを受信すると、受信したチケットを「認証正常」の情報とともにクライアント端末5に送信する(図4のステップ4―6)。このとき、ユーザ認証情報にユーザの公開鍵が含まれている場合には、この公開鍵でチケットを暗号化してクライアント端末5に送信するようにしてもよい。
図1に戻り、クライアント端末5は、「認証正常」の情報と共にチケットを受信すると、受信したチケットに含まれているアドレスを自端末のアドレスとして登録し、ユーザがサービスを要求しているサーバ装置12aに対し、チケットを含んだサービス要求を送信する。
図1に戻り、クライアント端末5は、「認証正常」の情報と共にチケットを受信すると、受信したチケットに含まれているアドレスを自端末のアドレスとして登録し、ユーザがサービスを要求しているサーバ装置12aに対し、チケットを含んだサービス要求を送信する。
一方、サーバ装置12aは、図7にて示すフローチャートのように、サービス要求を受信すると(ステップ3―1)、受信したサービス要求の送信元アドレスと受信したチケットのアドレスが一致するか否かを検証し(ステップ3―2)、アドレスが一致していれば(ステップ3―3)、受信したチケットの認証子をネットワーク1固有の共有秘密鍵とハッシュ関数を用いて検証する(ステップ3―4)。ここでいう認証子の検証処理は、後述するゲートウエイ装置の検証と同じであるが、図8に示すように、チケットについて認証子を共通秘密鍵又は公開鍵ペアによる復号処理ブロックY2にて復号してハッシュ値を求め、他方チケットの認証子以外の部分についてハッシュ関数ブロックY1からハッシュ値を求め、これらハッシュ値をブロックY3にて比較し一致を見ることにより、認証子の検証を行う。なお、認証子としてネットワーク1固有の公開鍵ペアを用いて生成したデジタル署名を使っている場合は、認証子をネットワーク1固有の公開鍵を用いて検証する。また、チケットにタイムスタンプ及び有効期限が含まれている場合には、このチケットが有効期限内であるかを検証する。
全ての検証結果が正常であれば(図7のステップ3―5)、サーバ装置12aは、チケットが改ざんされることなく、正しいユーザからの要求であると判断し、クライアント端末5に要求されたサービスを提供する(図7のステップ3―6)。
このようにして、ユーザは、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワーク1内のサーバ装置12a、12bへ、認証処理(ユーザによるユーザ識別子、パスワードの入力など)を行うことなくサービスの提供を受けることができる。
次に、図1に戻り、ネットワーク1でのユーザ認証を行ったユーザが、アドレス体系の異なる別のネットワーク2にネットワーク1を介してアクセスする場合を、図9のゲートウエイ装置11c構成及び図10のフローチャートをも参照して説明する。クライアント端末5はユーザの操作によりネットワーク2内のサーバ装置12cのサービスを要求するとき、ゲートウエイ装置11cにアクセス要求を送信することになる。
このようにして、ユーザは、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワーク1内のサーバ装置12a、12bへ、認証処理(ユーザによるユーザ識別子、パスワードの入力など)を行うことなくサービスの提供を受けることができる。
次に、図1に戻り、ネットワーク1でのユーザ認証を行ったユーザが、アドレス体系の異なる別のネットワーク2にネットワーク1を介してアクセスする場合を、図9のゲートウエイ装置11c構成及び図10のフローチャートをも参照して説明する。クライアント端末5はユーザの操作によりネットワーク2内のサーバ装置12cのサービスを要求するとき、ゲートウエイ装置11cにアクセス要求を送信することになる。
図9にて示すゲートウエイ装置11cのアクセス制御部112は、接続されているネットワーク1を介してクライアント端末5からアクセス要求を受信すると、ユーザの認証を行うため、ユーザ識別情報とパスワードなどのユーザ認証情報をクライアント端末5に要求する(図10のステップ2―1)。
クライアント端末5は、ゲートウエイ装置11cの要求により、ネットワーク1で取得したチケットをユーザ認証情報としてゲートウエイ装置11cに送信する。
ゲートウエイ装置11cのアクセス制御部112は、ネットワーク1を介してのユーザ認証情報を受信すると、検証処理部113Yに検証を依頼する。この検証処理部113Yでは、ユーザ認証情報からチケットを取り出し、ユーザ認証情報の送信元アドレスとチケットのアドレスが一致するか検証し(図10のステップ2―2)、アドレスが一致していれば(図10のステップ2―3)、受信したチケットの認証子を、ネットワーク1との間で共有するネットワ−ク1固有の共有秘密鍵とハッシュ関数を用いて検証する(図10のステップ2―4)。
クライアント端末5は、ゲートウエイ装置11cの要求により、ネットワーク1で取得したチケットをユーザ認証情報としてゲートウエイ装置11cに送信する。
ゲートウエイ装置11cのアクセス制御部112は、ネットワーク1を介してのユーザ認証情報を受信すると、検証処理部113Yに検証を依頼する。この検証処理部113Yでは、ユーザ認証情報からチケットを取り出し、ユーザ認証情報の送信元アドレスとチケットのアドレスが一致するか検証し(図10のステップ2―2)、アドレスが一致していれば(図10のステップ2―3)、受信したチケットの認証子を、ネットワーク1との間で共有するネットワ−ク1固有の共有秘密鍵とハッシュ関数を用いて検証する(図10のステップ2―4)。
なお、認証子としてネットワーク1固有の公開鍵ペアを用いて生成したデジタル署名を使っている場合は、認証子をネットワーク1固有の公開鍵を用いて検証する。この検証は、前に説明した図8に示すとおりである。また、チケットにタイムスタンプ及び有効期限が含まれている場合には、該チケットが有効期限内であるかを検証する。
全ての検証結果が正常であれば(図10のステップ2―5)、アクセス制御部112は、チケットが改ざんされておらず、正しいユーザからの要求であると判断し、上述のネットワーク1でのゲートウエイ装置11aと同様に、ユーザ識別子とアドレスを割り当て(図10のステップ2―6)、割り当てたユーザ識別子とアドレスをチケット生成部114に送信してこのゲートウエイ装置11cでのチケットの生成を依頼する。
全ての検証結果が正常であれば(図10のステップ2―5)、アクセス制御部112は、チケットが改ざんされておらず、正しいユーザからの要求であると判断し、上述のネットワーク1でのゲートウエイ装置11aと同様に、ユーザ識別子とアドレスを割り当て(図10のステップ2―6)、割り当てたユーザ識別子とアドレスをチケット生成部114に送信してこのゲートウエイ装置11cでのチケットの生成を依頼する。
このとき、チケットに含む情報として、受信したチケットに設定されているユーザ(クライアント端末5)が使用する帯域の情報や、ユーザの公開鍵情報を一緒にチケット生成部114に送信してもよい。
なお、ユーザ識別子は、予めユーザ対応に登録していたものを使用し、あるいはユーザ名や受信したチケット内のユーザ識別子を利用してもよい。
チケット生成部114は、上述のゲートウエイ装置11aと同様に、アクセス制御部112からチケット生成要求を受信すると、受信した情報(ユーザ識別子やアドレスなど)にタイムスタンプとしての現在時刻や有効期限などを加え、この情報に基づきサーバ装置12c、12dとの間で事前に共有する共有秘密鍵(ネットワーク2固有の共有秘密鍵)とハッシュ関数とを用いて認証子を生成し、この認証子に上述の受信した情報、タイムスタンプ、有効期限などを加えたものをチケットとしてアクセス制御部112に送信する(図10のステップ2―7)。なお、認証子としては、ネットワーク2固有の公開鍵ペアを用いて生成したデジタル署名を使ってもよい。かかる機能は、ゲートウエイ装置11aでの図3、図4に示す場合と同じである。
なお、ユーザ識別子は、予めユーザ対応に登録していたものを使用し、あるいはユーザ名や受信したチケット内のユーザ識別子を利用してもよい。
チケット生成部114は、上述のゲートウエイ装置11aと同様に、アクセス制御部112からチケット生成要求を受信すると、受信した情報(ユーザ識別子やアドレスなど)にタイムスタンプとしての現在時刻や有効期限などを加え、この情報に基づきサーバ装置12c、12dとの間で事前に共有する共有秘密鍵(ネットワーク2固有の共有秘密鍵)とハッシュ関数とを用いて認証子を生成し、この認証子に上述の受信した情報、タイムスタンプ、有効期限などを加えたものをチケットとしてアクセス制御部112に送信する(図10のステップ2―7)。なお、認証子としては、ネットワーク2固有の公開鍵ペアを用いて生成したデジタル署名を使ってもよい。かかる機能は、ゲートウエイ装置11aでの図3、図4に示す場合と同じである。
アクセス制御部112は、チケット生成部114からチケットを受信すると、この受信したチケットを「認証正常」の情報とともにネットワーク1を介してクライアント端末5に送信する(図10のステップ2―8)。このとき、ユーザ認証情報にユーザの公開鍵が含まれていた場合、この公開鍵でチケットを暗号処理してクライアント端末5に送信するようにしてもよい。
クライアント端末5は、「認証正常」の情報とチケットを受信すると、受信したチケットに含まれているアドレスをネットワーク2に接続する際のアドレスとして登録し、ユーザがサービスを要求してきたサーバ装置12cに対し、チケットを含んだサービス要求を送信する。
クライアント端末5は、「認証正常」の情報とチケットを受信すると、受信したチケットに含まれているアドレスをネットワーク2に接続する際のアドレスとして登録し、ユーザがサービスを要求してきたサーバ装置12cに対し、チケットを含んだサービス要求を送信する。
サーバ装置12cは、サービス要求を受信すると、図7、図8のサーバ装置12aの場合でも説明したように受信したサービス要求の送信元アドレスと、受信したチケットのアドレスが一致するかを検証し、アドレスが一致していれば、受信したチケットの認証子を、ネットワーク2固有の共有秘密鍵を用いて検証する。なお、認証子としてネットワーク2固有の公開鍵ペアを用いて生成したデジタル署名を使っている場合は、認証子をネットワーク2固有の公開鍵を用いて検証する。また、チケットにタイムスタンプ及び有効期限が含まれている場合には、このチケットが有効期限内であるかを検証する。
全ての検証結果が正常であれば、サーバ装置12cは、チケットが改ざんされておらず、正しいユーザからの要求であると判断し、クライアント端末5に要求されたサービスを提供する。
このようにして、ユーザは、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワークシステム1内のサーバ装置12a、12bだけでなく、ネットワークシステム2内のサーバ装置12c、12dへも、認証処理(ユーザによるユーザ識別子、パスワードの入力など)無しにサービスの提供を受けることができる。
このようにして、ユーザは、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワークシステム1内のサーバ装置12a、12bだけでなく、ネットワークシステム2内のサーバ装置12c、12dへも、認証処理(ユーザによるユーザ識別子、パスワードの入力など)無しにサービスの提供を受けることができる。
同様にして、ネットワークシステム3、4にも、ネットワークシステム2で取得したチケットを使って、認証処理無しにアクセスすることができる。
図11、図12は、生成されあるいは検証されるチケットを用いてこれまでの全体の説明をまとめた図である。ネットワーク1にてクライアント端末5からのユーザ認証情報に基づき図3のゲートウエイ装置11aのチケット生成部114では、図11最上段のチケットが生成される。ネットワーク1のサーバ装置12aへのアクセスの場合には、この生成されたチケットを用い図11の2段目にて示すようにアドレスの検証を行い、かつ認証子の検証を行う。また、ネットワーク2のゲートウエイ装置11cでは、最上段のチケットをユーザ認証情報として、図11の3段目に示すようにアドレスと認証子との検証を行う。この検証をきっかけとして、図12の最上段にて示すゲートウエイ装置11cでのチケットの生成が行われる。ネットワーク2のサーバ装置12cのアクセスでは、図12の2段目に示すように最上段のチケットに付きアドレスの検証と認証子の検証が行われる。このように、ユーザ認証情報は、最初のチケット生成のみであり、その後は、チケットの生成に際してもチケットの検証に基づき行われる。
図11、図12は、生成されあるいは検証されるチケットを用いてこれまでの全体の説明をまとめた図である。ネットワーク1にてクライアント端末5からのユーザ認証情報に基づき図3のゲートウエイ装置11aのチケット生成部114では、図11最上段のチケットが生成される。ネットワーク1のサーバ装置12aへのアクセスの場合には、この生成されたチケットを用い図11の2段目にて示すようにアドレスの検証を行い、かつ認証子の検証を行う。また、ネットワーク2のゲートウエイ装置11cでは、最上段のチケットをユーザ認証情報として、図11の3段目に示すようにアドレスと認証子との検証を行う。この検証をきっかけとして、図12の最上段にて示すゲートウエイ装置11cでのチケットの生成が行われる。ネットワーク2のサーバ装置12cのアクセスでは、図12の2段目に示すように最上段のチケットに付きアドレスの検証と認証子の検証が行われる。このように、ユーザ認証情報は、最初のチケット生成のみであり、その後は、チケットの生成に際してもチケットの検証に基づき行われる。
なお、本実施形態においては、ユーザによるサーバ装置へのアクセス要求で自動的にゲートウエイ装置にアクセス要求を行い、その後サーバ装置へサービス要求を送信する場合を説明したが、ユーザの操作によりゲートウエイ装置にアクセス要求し、アクセスが許可された後、ユーザの操作によりサーバ装置ヘサービス要求を送信する場合も、同様に処理され得る。
以上のようにして、接続されたネットワークを介してアクセスしてくるクライアント端末は、このネットワークで発行されたチケット及びアドレスで認証されるので、ユーザによる認証情報の入力無しで検証され、アクセスを許可されることになる。
〔第2実施形態〕
次に、図13、図14は本発明の第2実施形態のネットワークシステムを示す図である。なお、本実施形態は、上述第1実施形態と略同様に構成されているので、図1、図2をも用いてこの実施形態の特徴部分のみ説明する。
以上のようにして、接続されたネットワークを介してアクセスしてくるクライアント端末は、このネットワークで発行されたチケット及びアドレスで認証されるので、ユーザによる認証情報の入力無しで検証され、アクセスを許可されることになる。
〔第2実施形態〕
次に、図13、図14は本発明の第2実施形態のネットワークシステムを示す図である。なお、本実施形態は、上述第1実施形態と略同様に構成されているので、図1、図2をも用いてこの実施形態の特徴部分のみ説明する。
この第2実施形態においては、クライアント端末5が、IPsec(security architecture for Internet Protocol)(IPネットワーク間の通信セキュリティを保障するセキュリティサービス)によりネットワーク1〜4にリモートアクセスする場合を示す。
また、ネットワーク1〜4は、上述の第1実施形態と同様に、直接接続されたネットワーク相互のゲートウエイ装置11で、ネットワーク1〜4毎に固有の共有秘密鍵を交換して保有している。
また、ネットワーク1〜4は、上述の第1実施形態と同様に、直接接続されたネットワーク相互のゲートウエイ装置11で、ネットワーク1〜4毎に固有の共有秘密鍵を交換して保有している。
図13は、例えばクライアント端末5とゲートウエイ装置11aとサーバ装置12a、12bとの間にあって、クライアント端末5のアクセス時のシーケンス図である。
図13において、クライアント端末5は、ゲートウエイ装置11aにIPsecによるリモートアクセスで接続しようとするとき、IKE(Internet Key Exchange)プロトコルに従いゲートウエイ装置11aとの間でフェーズ1(phase1)(IKEプロトコルにて実行される二つのサービスの一つでセキュアな認証チャネルの確立を行う)の処理を行い、フェーズ2(Phase2)で使用する暗号化方式の決定や暗号鍵の生成を行う(S11;ステップ11の表示を指す、以下同様)。
図13において、クライアント端末5は、ゲートウエイ装置11aにIPsecによるリモートアクセスで接続しようとするとき、IKE(Internet Key Exchange)プロトコルに従いゲートウエイ装置11aとの間でフェーズ1(phase1)(IKEプロトコルにて実行される二つのサービスの一つでセキュアな認証チャネルの確立を行う)の処理を行い、フェーズ2(Phase2)で使用する暗号化方式の決定や暗号鍵の生成を行う(S11;ステップ11の表示を指す、以下同様)。
フェーズ1の処理が終了すると、ゲートウエイ装置11aのアクセス制御部112は、Xauth(Extended Authentication withinIKE)プロトコルに従い、クライアント端末5にユーザ名とパスワードを要求する(S12)。
クライアント端末5は、ゲートウエイ装置11aからの要求に対しユーザ名“Joe@client”とパスワード“foobar”を送信する(S13)。ここで、ユーザ名の“@client”は本実施形態の方式によりチケットの取得を要求することを示すものである。
ゲートウエイ装置11aのアクセス制御部112は、ユーザ名に“@client”が付いた応答を受信すると、ユーザ名“Joe”とパスワードによるユーザ認証が認証処理部113で行われる。ユーザ認証が正常であれば、上述の第1実施形態と同様に、ユーザ識別子とアドレスを割り当て、割り当てたユーザ識別子とアドレスなどをチケット生成部114に送信してチケットの生成を依頼する。なお、ユーザ識別子は、予めユーザ対応に登録していたものを使用したり、ユーザ名を利用したりしてもよい。
クライアント端末5は、ゲートウエイ装置11aからの要求に対しユーザ名“Joe@client”とパスワード“foobar”を送信する(S13)。ここで、ユーザ名の“@client”は本実施形態の方式によりチケットの取得を要求することを示すものである。
ゲートウエイ装置11aのアクセス制御部112は、ユーザ名に“@client”が付いた応答を受信すると、ユーザ名“Joe”とパスワードによるユーザ認証が認証処理部113で行われる。ユーザ認証が正常であれば、上述の第1実施形態と同様に、ユーザ識別子とアドレスを割り当て、割り当てたユーザ識別子とアドレスなどをチケット生成部114に送信してチケットの生成を依頼する。なお、ユーザ識別子は、予めユーザ対応に登録していたものを使用したり、ユーザ名を利用したりしてもよい。
チケット生成部114は、秘密鍵を生成し、生成した秘密鍵のハッシュ値を求め、アクセス制御部112から受信した情報を元に、タイムスタンプや有効期限や秘密鍵のハッシュ値を加え、サーバ装置12a、12bとの間で事前に共有する共有秘密鍵(ネットワーク1に固有の共有秘密鍵)とハッシュ関数を用いて認証子を生成し、この認証子に上述の受信した情報、タイムスタンプ、有効期限、生成した秘密鍵のハッシュ値などを加えたものをチケットとして、生成した秘密鍵とともにアクセス制御部112に送信する。なお、認証子としては、ネットワーク1固有の公開鍵ペアを用いて生成したデジタル署名を使ってもよい。
アクセス制御部112は、チケット生成部114で生成されたチケットと秘密鍵をBASE64(データ符号化方式の一つである)などでテキストデータに変換して(BASE64TOKEN)をクライアント端末5に送信する(S14)。
また、生成した秘密鍵をユーザ識別子やアドレスとともにサーバ装置12a、12bに、予め確立されているセキュアな通信路を用いて送信する(S15)。また、隣接するネットワークのゲートウエイ装置11にも予め確立されているセキュアな通信路を用いて秘密鍵を送信する。
また、生成した秘密鍵をユーザ識別子やアドレスとともにサーバ装置12a、12bに、予め確立されているセキュアな通信路を用いて送信する(S15)。また、隣接するネットワークのゲートウエイ装置11にも予め確立されているセキュアな通信路を用いて秘密鍵を送信する。
サーバ装置12a、12b及び隣接するネットワークのゲートウエイ装置11では、秘密鍵を受信すると、一緒に送信されてきたユーザ識別子やアドレスと関連付けて秘密鍵を記憶しておく。
チケットと秘密鍵を受信したクライアント端末5は、受信したテキストデータのチケットと秘密鍵を復号し、復号したチケットを確認し、チケット内の秘密鍵のハッシュ値により秘密鍵を確認し、チケットと秘密鍵を保存し、応答を返す(S16)。クライアント端末5からの応答を受信すると、アクセス制御部112は、「認証正常」をクライアント端末5に送信する(S17)。
チケットと秘密鍵を受信したクライアント端末5は、受信したテキストデータのチケットと秘密鍵を復号し、復号したチケットを確認し、チケット内の秘密鍵のハッシュ値により秘密鍵を確認し、チケットと秘密鍵を保存し、応答を返す(S16)。クライアント端末5からの応答を受信すると、アクセス制御部112は、「認証正常」をクライアント端末5に送信する(S17)。
「認証正常」を受信したクライアント端末5は、肯定応答ACKをゲートウエイ装置11aに返す(S18)。その後、Mode Config(ISAKMP(Internet Security Association and Key management Protocol)(鍵のマネージメント機能やセキュリティのネゴシエーション機能の提供サービス)のconfiguration method (組合せ技術)でMode Configと略称する)により、クライアント端末5にアドレスの付与を行う(S19)が、このとき、ゲートウエイ装置11aのアクセス制御部112は、チケットに設定したアドレスを付与するようにする。クライアント端末5は、付与されたアドレスを自装置のアドレスとして登録する。その後、IKEプロトコルのフェーズ2の処理により、IPsecで使用する暗号化方式や暗号鍵などを決める(S20)。
このようにして確立したIPsecによる暗号通信により、上述の第1実施形態と同様にしてクライアント端末5は、サーバ装置12aにアクセスを行う(チケットを含んだサービス要求を送信する)(S21)。
サーバ装置12aでは、受信したサービス要求の送信元アドレスと、受信したチケットのアドレスが一致するかを検証し、アドレスが一致していれば、受信したチケットの認証子を、ネットワーク1固有の共有秘密鍵とハッシュ関数を用いて検証する。なお、認証子としてネットワーク1固有の公開鍵ペアを用いて生成したデジタル署名を使っている場合は、認証子をネットワーク1固有の公開鍵を用いて検証する。このとき、より厳密にユーザの認証を行う場合は、クライアント端末5で、チケットのハッシュ値をチケットと同時に受信した秘密鍵(ゲートウエイ装置11aで生成された秘密鍵)で暗号化した署名をチケットとともにサービス要求に含んで送信する。サーバ装置12aでは、上述の方法でチケットとアドレスの検証をするとともに、チケット内のユーザ識別子やアドレスにより、このユーザに対応した秘密鍵(ゲートウエイ装置11aから受信した秘密鍵)を選択し、その秘密鍵とハッシュ関数により署名を検証してユーザ認証をする。
サーバ装置12aでは、受信したサービス要求の送信元アドレスと、受信したチケットのアドレスが一致するかを検証し、アドレスが一致していれば、受信したチケットの認証子を、ネットワーク1固有の共有秘密鍵とハッシュ関数を用いて検証する。なお、認証子としてネットワーク1固有の公開鍵ペアを用いて生成したデジタル署名を使っている場合は、認証子をネットワーク1固有の公開鍵を用いて検証する。このとき、より厳密にユーザの認証を行う場合は、クライアント端末5で、チケットのハッシュ値をチケットと同時に受信した秘密鍵(ゲートウエイ装置11aで生成された秘密鍵)で暗号化した署名をチケットとともにサービス要求に含んで送信する。サーバ装置12aでは、上述の方法でチケットとアドレスの検証をするとともに、チケット内のユーザ識別子やアドレスにより、このユーザに対応した秘密鍵(ゲートウエイ装置11aから受信した秘密鍵)を選択し、その秘密鍵とハッシュ関数により署名を検証してユーザ認証をする。
このようにして、ユーザは、IPsecによるリモートアクセスにおいても、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワークシステム1内のサーバ装置12a、12bへ、認証処理(ユーザによるユーザ識別子、パスワードの入力など)無しにサービスの提供を受けることができる。
また、Xauthプロトコルのシーケンス内でチケットのやり取りを行っているので、特別なチケットをやり取りする手順を追加する必要がなく、本実施形態の方式を用いないクライアント端末とも接続することができる。
また、Xauthプロトコルのシーケンス内でチケットのやり取りを行っているので、特別なチケットをやり取りする手順を追加する必要がなく、本実施形態の方式を用いないクライアント端末とも接続することができる。
次に、ネットワーク1でのユーザ認証を行ったユーザが、アドレス体系の異なる別のネットワークシステム2にネットワーク1を介してアクセスする場合を説明する。
図14は、クライアント端末5がネットワーク1を介してネットワーク2のゲートウエイ装置11cへIPsecによるリモートアクセスで接続する場合のシーケンス図である。
図14に示すように、ネットワークシステム1でユーザ認証を済ませたクライアント端末5が、ゲートウエイ装置11cにIPsecによるリモートアクセスで接続しようとするとき、IKEプロトコルに従いゲートウエイ装置11cとの間でフェーズ1の処理を行い、フェーズ2で使用する暗号化方式の決定や暗号鍵の生成を行う(S31)。フェーズ1の処理が終了すると、ゲートウエイ装置11cのアクセス制御部112は、Xauthプロトコルに従い、クライアント端末5にユーザ名とパスワードを要求する(S32)。
クライアント端末5は、ゲートウエイ装置11cからの要求に対しユーザ名“Joe@client”とパスワードとして、ネットワーク1で取得したBASE64などでテキストデータ(BASE64TOKEN)に変換したチケットを送信する(S33)。ここで、ユーザ名の“@client”は、本実施形態の方式によりチケットの取得を要求することを示すものである。
図14は、クライアント端末5がネットワーク1を介してネットワーク2のゲートウエイ装置11cへIPsecによるリモートアクセスで接続する場合のシーケンス図である。
図14に示すように、ネットワークシステム1でユーザ認証を済ませたクライアント端末5が、ゲートウエイ装置11cにIPsecによるリモートアクセスで接続しようとするとき、IKEプロトコルに従いゲートウエイ装置11cとの間でフェーズ1の処理を行い、フェーズ2で使用する暗号化方式の決定や暗号鍵の生成を行う(S31)。フェーズ1の処理が終了すると、ゲートウエイ装置11cのアクセス制御部112は、Xauthプロトコルに従い、クライアント端末5にユーザ名とパスワードを要求する(S32)。
クライアント端末5は、ゲートウエイ装置11cからの要求に対しユーザ名“Joe@client”とパスワードとして、ネットワーク1で取得したBASE64などでテキストデータ(BASE64TOKEN)に変換したチケットを送信する(S33)。ここで、ユーザ名の“@client”は、本実施形態の方式によりチケットの取得を要求することを示すものである。
なお、より厳密にユーザの認証を行う場合は、クライアント端末5で、ネットワークシステム1で取得したチケットのハッシュ値を、ネットワークシステム1で取得した秘密鍵で暗号化した署名をチケットともにBASE64などでテキストデータに変換して、パスワードとして送信するようにする。
ゲートウエイ装置11cのアクセス制御部112は、ネットワークシステム1を介したアクセスでユーザ名に“@client”が付いた応答を受信すると、パスワードにチケットが入っていると判断し、受信したテキストデータのチケットを復号し、上述の第1実施形態と同様にして復号したチケットを検証する。なお、チケットともに署名を受信した場合、復号したチケット内のユーザ識別子やアドレスにより、このユーザに対応した秘密鍵を選択し、その秘密鍵とハッシュ関数により署名を検証してユーザの認証を行う。
ゲートウエイ装置11cのアクセス制御部112は、ネットワークシステム1を介したアクセスでユーザ名に“@client”が付いた応答を受信すると、パスワードにチケットが入っていると判断し、受信したテキストデータのチケットを復号し、上述の第1実施形態と同様にして復号したチケットを検証する。なお、チケットともに署名を受信した場合、復号したチケット内のユーザ識別子やアドレスにより、このユーザに対応した秘密鍵を選択し、その秘密鍵とハッシュ関数により署名を検証してユーザの認証を行う。
チケットと署名の検証が正常であれば、アクセス制御部112は、上述の第1実施形態と同様に、ユーザ識別子とアドレスを割り当て、割り当てたユーザ識別子とアドレスなどをチケット生成部114に送信してチケットの生成を依頼する。
なお、ユーザ識別子は、予めユーザ対応に登録していたものを使用したり、ユーザ名や受信したチケット内のユーザ識別子を利用したりしてもよい。
チケット生成部114は、秘密鍵を生成し、生成した秘密鍵のハッシュ値を求め、受信した情報を元に、タイムスタンプや有効期限や秘密鍵のハッシュ値を加え、サーバ装置12c、12dとの間で事前に共有する共有秘密鍵(ネットワーク2に固有の共有秘密鍵)とハッシュ関数を用いて認証子を生成し、この認証子に上述の受信した情報、タイムスタンプ、有効期限、生成した秘密鍵のハッシュ値などを加えた情報を加えたものをチケットとして生成した秘密鍵とともにアクセス制御部112に送信する。
なお、ユーザ識別子は、予めユーザ対応に登録していたものを使用したり、ユーザ名や受信したチケット内のユーザ識別子を利用したりしてもよい。
チケット生成部114は、秘密鍵を生成し、生成した秘密鍵のハッシュ値を求め、受信した情報を元に、タイムスタンプや有効期限や秘密鍵のハッシュ値を加え、サーバ装置12c、12dとの間で事前に共有する共有秘密鍵(ネットワーク2に固有の共有秘密鍵)とハッシュ関数を用いて認証子を生成し、この認証子に上述の受信した情報、タイムスタンプ、有効期限、生成した秘密鍵のハッシュ値などを加えた情報を加えたものをチケットとして生成した秘密鍵とともにアクセス制御部112に送信する。
なお、認証子としては、ネットワークシステム2固有の公開鍵ペアを用いて生成したデジタル署名を使ってもよい。
アクセス制御部112は、チケット生成部114で生成されたチケットと秘密鍵をBASE64などでテキストデータ(BASE64TOKEN2)に変更してクライアント端末5に送信する(S34)。
また、生成した秘密鍵をユーザ識別子やアドレスとともにサーバ装置12c、12dに予め確立されているセキュアな通信路を用いて送信する(S35)。さらに、隣接するネットワークのゲートウエイ装置にも予め確立されているセキュアな通信路を用いて秘密鍵を送信する。
アクセス制御部112は、チケット生成部114で生成されたチケットと秘密鍵をBASE64などでテキストデータ(BASE64TOKEN2)に変更してクライアント端末5に送信する(S34)。
また、生成した秘密鍵をユーザ識別子やアドレスとともにサーバ装置12c、12dに予め確立されているセキュアな通信路を用いて送信する(S35)。さらに、隣接するネットワークのゲートウエイ装置にも予め確立されているセキュアな通信路を用いて秘密鍵を送信する。
サーバ装置12c、12d及び隣接するネットワークのゲートウエイ装置では、秘密鍵を受信すると、一緒に送信されてきたユーザ識別子やアドレスと関連付けて秘密鍵を記憶しておく。チケットと秘密鍵を受信したクライアント端末5は、受信したテキストデータのチケットと秘密鍵を復号し、復号したチケットを確認し、チケット内の秘密鍵のハッシュ値により秘密鍵を確認し、チケットと秘密鍵を保存し、応答を返す(S36)。
クライアント端末5からの応答を受信すると、アクセス制御部112は、「認証正常」をクライアント端末5に送信する(S37)。
クライアント端末5からの応答を受信すると、アクセス制御部112は、「認証正常」をクライアント端末5に送信する(S37)。
「認証正常」を受信したクライアント端末5は、応答をゲートウエイ装置11cに返す(S38)。その後、Mode Configにより、クライアント端末5にアドレスの付与を行う(S39)が、このとき、ゲートウエイ装置11cのアクセス制御部112は、チケットに設定したアドレスを付与するようにする。
クライアント端末5は、付与されたアドレスをネットワーク2にアクセスするときのアドレスとして登録する。その後、IKEプロトコルのフェーズ2の処理により、IPsecで使用する暗号化方式や暗号鍵などを決める(S40)。
クライアント端末5は、付与されたアドレスをネットワーク2にアクセスするときのアドレスとして登録する。その後、IKEプロトコルのフェーズ2の処理により、IPsecで使用する暗号化方式や暗号鍵などを決める(S40)。
このようにして確立したIPsecによる暗号通信により、上述の第1実施形態と同様にしてクライアント端末5は、サーバ装置12cにアクセスを行う(チケットを含んだサービス要求を送信する)(S41)。
サーバ装置12cでは、受信したサービス要求の送信元アドレスと、受信したチケットのアドレスが一致するかを検証し、アドレスが一致していれば、受信したチケットの認証子を、ネットワーク2固有の共有秘密鍵とハッシュ関数を用いて検証する。
なお、認証子としてネットワークシステム2固有の公開鍵ペアを用いて生成したデジタル署名を使っている場合は、認証子をネットワーク2固有の公開鍵を用いて検証する。
サーバ装置12cでは、受信したサービス要求の送信元アドレスと、受信したチケットのアドレスが一致するかを検証し、アドレスが一致していれば、受信したチケットの認証子を、ネットワーク2固有の共有秘密鍵とハッシュ関数を用いて検証する。
なお、認証子としてネットワークシステム2固有の公開鍵ペアを用いて生成したデジタル署名を使っている場合は、認証子をネットワーク2固有の公開鍵を用いて検証する。
このとき、より厳密にユーザの認証を行う場合は、クライアント端末5で、チケットのハッシュ値をチケットと同時に受信した秘密鍵(ゲートウエイ装置11cで生成された秘密鍵)で暗号化した署名をチケットとともにサービス要求に含んで送信する。
サーバ装置12cでは、上述の方法でチケットとアドレスの検証をするとともに、チケット内のユーザ識別子やアドレスにより、ユーザに対応した秘密鍵(ゲ←トウェイ装置11cから受信した秘密鍵)を選択し、その秘密鍵とハッシュ関数により署名を検証してユーザ認証をするようにする。
サーバ装置12cでは、上述の方法でチケットとアドレスの検証をするとともに、チケット内のユーザ識別子やアドレスにより、ユーザに対応した秘密鍵(ゲ←トウェイ装置11cから受信した秘密鍵)を選択し、その秘密鍵とハッシュ関数により署名を検証してユーザ認証をするようにする。
このようにして、ユーザは、IPsecによるリモートアクセスにおいても、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワーク1内のサーバ装置12a、12bだけでなく、ネットワーク2内のサーバ装置12c、12dへも、認証処理(ユーザによるユーザ識別子、パスワードの入力など)無しにサービスの提供を受けることができる。
また、Xauthプロトコルのシーケンス内でチケットのやり取りを行っているので、特別なチケットをやり取りする手順を追加する必要がなく、本実施形態の方式を用いないクライアント端末とも接続することができる。
また、Xauthプロトコルのシーケンス内でチケットのやり取りを行っているので、特別なチケットをやり取りする手順を追加する必要がなく、本実施形態の方式を用いないクライアント端末とも接続することができる。
なお、本実施形態においては、ユーザによるサーバ装置へのアクセス要求で自動的にゲートウエイ装置にアクセス要求を行し、その後サーバ装置へサービス要求を送信する場合を説明したが、ユーザの操作によりゲレトウェイ装置にアクセス要求し、アクセスが許可された後、ユーザの操作によりサーバ装置へサービス要求を送信する場合も、同様に処理される。
〔第3実施形態〕
次に、図15〜図18は本発明の第3実施形態のネットワークシステムを示す図である。なお、本実施形態は、上述第1実施形態と略同様に構成されているので、図1、図2を流用して特徴部分のみ説明する。
〔第3実施形態〕
次に、図15〜図18は本発明の第3実施形態のネットワークシステムを示す図である。なお、本実施形態は、上述第1実施形態と略同様に構成されているので、図1、図2を流用して特徴部分のみ説明する。
本実施形態においては、クライアント端末5が、IPsecによりネットワーク1〜4にリモートアクセスする場合で、チケットとしてITU−T(International Telecommunication Union Telecommunication Standardization Sector)(国際電気通信連合電気通信標準化部門)勧告X.509の電子証明書を使用する場合である。
図15において、クライアント端末5は、ゲートウエイ装置11aにIPsecによるリモートアクセスで接続しようとするとき、IKEプロトコルに従いゲートウエイ装置11aとの間でフェーズ1の処理を行い、フェーズ2で使用する暗号化方式の決定や暗号鍵の生成を行う(S51)。このフェーズ1の処理が終了すると、ゲートウエイ装置11aのアクセス制御部112は、Xauthプロトコルに従い、クライアント端末5にユーザ名とパスワードを要求する(S52)。
図15において、クライアント端末5は、ゲートウエイ装置11aにIPsecによるリモートアクセスで接続しようとするとき、IKEプロトコルに従いゲートウエイ装置11aとの間でフェーズ1の処理を行い、フェーズ2で使用する暗号化方式の決定や暗号鍵の生成を行う(S51)。このフェーズ1の処理が終了すると、ゲートウエイ装置11aのアクセス制御部112は、Xauthプロトコルに従い、クライアント端末5にユーザ名とパスワードを要求する(S52)。
クライアント端末5は、ゲートウエイ装置11aからの要求に対しユーザ名“Joe@client”とパスワード“foobar”を送信する(S53)。ここで、ユーザ名の“@client”は、本実施形態の方式によりチケットの取得を要求することを示すものである。
ゲートウエイ装置11aのアクセス制御部112は、ユーザ名に“@client”が付いた応答を受信すると、ユーザ名“Joe”とパスワードによるユーザ認証が認証処理部113で行われる。認証が正常であれば、クライアント端末5に公開鍵を要求する(S54)。クライアント端末5は、ゲートウエイ装置11aから公開鍵を要求されると、予め記憶している公開鍵、あるいは生成した公開鍵を、ゲートウエイ装置11aに返送する(S55)。
ゲートウエイ装置11aのアクセス制御部112は、ユーザ名に“@client”が付いた応答を受信すると、ユーザ名“Joe”とパスワードによるユーザ認証が認証処理部113で行われる。認証が正常であれば、クライアント端末5に公開鍵を要求する(S54)。クライアント端末5は、ゲートウエイ装置11aから公開鍵を要求されると、予め記憶している公開鍵、あるいは生成した公開鍵を、ゲートウエイ装置11aに返送する(S55)。
ゲートウエイ装置11aのアクセス制御部112は、クライアント端末5から公開鍵を受信すると、上述の第1実施形態と同様に、ユーザ識別子とアドレスを割り当て、割り当てたユーザ識別子とアドレスとクライアント端末から受信した公開鍵などをチケット生成部114に送信してX.509の電子証明書の生成を依頼する。なお、ユーザ識別子は、予めユーザ対応に登録していたものを使用したり、ユーザ名を利用したりしてもよい。
チケット生成部114は、受信した情報を元に、証明書の有効期限やアドレスやユーザ識別子や公開鍵などを設定した電子証明書を作成しアクセス制御部112に送信する。
チケット生成部114は、受信した情報を元に、証明書の有効期限やアドレスやユーザ識別子や公開鍵などを設定した電子証明書を作成しアクセス制御部112に送信する。
アクセス制御部112は、チケット生成部114で生成された電子証明書をBASE64などでテキストデータに変更して(BASE64CERT)をクライアント端末5に送信する(S56)。
電子証明書を受信したクライアント端末5は、受信したテキストデータの電子証明書を復号し、復号した電子証明書を確認して保存し、応答を返す(S57)。クライアント端末5からの応答を受信すると、アクセス制御部112は、「認証正常」をクライアント端末5に送信する(S58)。「認証正常」を受信したクライアント端末5は、応答をゲートウエイ装置11aに返す(S59)。
電子証明書を受信したクライアント端末5は、受信したテキストデータの電子証明書を復号し、復号した電子証明書を確認して保存し、応答を返す(S57)。クライアント端末5からの応答を受信すると、アクセス制御部112は、「認証正常」をクライアント端末5に送信する(S58)。「認証正常」を受信したクライアント端末5は、応答をゲートウエイ装置11aに返す(S59)。
その後、Mode Configにより、クライアント端末5にアドレスの付与を行う(S60)が、このとき、ゲートウエイ装置11aのアクセス制御部112は、電子証明書に設定したアドレスを付与するようにする。
クライアント端末5は、付与されたアドレスを自装置のアドレスとして登録する。その後、IKEプロトコルのフェーズ2の処理により、IPsecで使用する暗号化方式や暗号鍵などを決める(S61)。
フェーズ2の処理が終了すると、クライアント端末5は、電子証明書の登録を行う(S62)。
クライアント端末5は、付与されたアドレスを自装置のアドレスとして登録する。その後、IKEプロトコルのフェーズ2の処理により、IPsecで使用する暗号化方式や暗号鍵などを決める(S61)。
フェーズ2の処理が終了すると、クライアント端末5は、電子証明書の登録を行う(S62)。
このようにして確立したIPsecによる暗号通信により、クライアント端末5は、電子証明書によるSSL(Secure Sockets Layer)(認証と暗号化の機能を有するWWWにて安全にやり取りする標準プロトコル)アクセスで、サーバ装置12aにアクセスを行う(S63)。
サーバ装置12aでは、受信した電子証明書を検証して、アドレスや有効期限が正しければ、クライアント端末5にサービスを提供する。
図16は、このようにして確立したIPsecによる暗号通信がSSL接続中から切断されたときのシーケンスを示す図である。
サーバ装置12aでは、受信した電子証明書を検証して、アドレスや有効期限が正しければ、クライアント端末5にサービスを提供する。
図16は、このようにして確立したIPsecによる暗号通信がSSL接続中から切断されたときのシーケンスを示す図である。
図16において、SSLによりサーバ装置12aに接続中(S71)のクライアント端末5が、通信を終了し、ゲートウエイ装置11aとのIPsecによる接続を切断する(S72)と、クライアント端末5では、生成した公開鍵を削除するとともに登録した電子証明書を削除する(S73)。
ゲートウエイ装置11aでは、切断された通信で使用していた電子証明書を失効した電子証明書のリスト(CRL:Certificate Revocation List)に加え、ネットワーク1内のサーバ装置12a、12b及び隣接するネットワークのゲートウエイ装置に送信する(S74)。
ゲートウエイ装置11aでは、切断された通信で使用していた電子証明書を失効した電子証明書のリスト(CRL:Certificate Revocation List)に加え、ネットワーク1内のサーバ装置12a、12b及び隣接するネットワークのゲートウエイ装置に送信する(S74)。
サーバ装置12a、12b及び隣接するネットワークでは、CRLを受信すると、CRLを登録する(S75)。
このようにして、ユーザは、IPsecによるリモートアクセスにおいても、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワークシステム1内のサーバ装置12a、12bへ、認証処理(ユーザによるユーザ識別子、パスワードの入力など)無しにサービスの提供を受けることができる。
また、Xauthプロトコルのシーケンス内でチケットのやり取りを行っているので、特別なチケットをやり取りする手順を追加する必要がなく、本実施形態の方式を用いないクライアント端末とも接続することができる。
このようにして、ユーザは、IPsecによるリモートアクセスにおいても、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワークシステム1内のサーバ装置12a、12bへ、認証処理(ユーザによるユーザ識別子、パスワードの入力など)無しにサービスの提供を受けることができる。
また、Xauthプロトコルのシーケンス内でチケットのやり取りを行っているので、特別なチケットをやり取りする手順を追加する必要がなく、本実施形態の方式を用いないクライアント端末とも接続することができる。
次に、ネットワークシステム1でのユーザ認証を行ったユーザが、アドレス体系の異なる別のネットワークシステム2にネットワークシステム1を介してアクセスする場合を説明する。
図17は、クライアント端末5がネットワーク1を介してネットワーク2のゲートウエイ装置11cへIPsecによるリモートアクセスで接続する場合のシーケンス図である。
図17に示すように、ネットワークシステム1でユーザ認証を済ませたクライアント端末5が、ゲートウエイ装置11cにIPsecによる暗号化通信で接続しようとするとき、IKEプロトコルに従いゲートウエイ装置11cとの間でフェーズ1の処理を行い、フェーズ2で使用する暗号化方式の決定や暗号鍵の生成を行う(S81)。このフェーズ1の処理において、ネットワーク1で発行された証明書を用いて認証を行ってもよい。
図17は、クライアント端末5がネットワーク1を介してネットワーク2のゲートウエイ装置11cへIPsecによるリモートアクセスで接続する場合のシーケンス図である。
図17に示すように、ネットワークシステム1でユーザ認証を済ませたクライアント端末5が、ゲートウエイ装置11cにIPsecによる暗号化通信で接続しようとするとき、IKEプロトコルに従いゲートウエイ装置11cとの間でフェーズ1の処理を行い、フェーズ2で使用する暗号化方式の決定や暗号鍵の生成を行う(S81)。このフェーズ1の処理において、ネットワーク1で発行された証明書を用いて認証を行ってもよい。
フェーズ1の処理が終了すると、ゲートウエイ装置11cのアクセス制御部112は、Xauthプロトコルに従い、クライアント端末5にユーザ名とパスワードを要求する(S82)。
クライアント端末5は、ゲートウエイ装置11cからの要求に対しユーザ名”Joe@client”とパスワードとしてネットワーク1で取得した電子証明書をBASE64などでテキストデータに変更して(BASE64CERT)を送信する(S83)。ここで、ユーザ名の”@client”は、本実施形態の方式によりチケットの取得を要求することを示すものである。
クライアント端末5は、ゲートウエイ装置11cからの要求に対しユーザ名”Joe@client”とパスワードとしてネットワーク1で取得した電子証明書をBASE64などでテキストデータに変更して(BASE64CERT)を送信する(S83)。ここで、ユーザ名の”@client”は、本実施形態の方式によりチケットの取得を要求することを示すものである。
ゲートウエイ装置11cのアクセス制御部112は、ネットワーク1を介したアクセスでユーザ名に”@client”が付いた応答を受信すると、パスワードに電子証明書が入っていると判断し、受信したテキストデータの電子証明書を復号し、復号した電子証明書を検証し、アドレスや有効期限が正しいかも検証する。
電子証明書の検証が正常であれば、アクセス制御部112は、クライアント端末5に公開鍵を要求する(S84)。
クライアント端末5は、ゲートウエイ装置11cから公開鍵を要求されると、予め記憶している公開鍵を、あるいは生成した企開鍵を、ゲートウエイ装置11cに返送する(S85)。
電子証明書の検証が正常であれば、アクセス制御部112は、クライアント端末5に公開鍵を要求する(S84)。
クライアント端末5は、ゲートウエイ装置11cから公開鍵を要求されると、予め記憶している公開鍵を、あるいは生成した企開鍵を、ゲートウエイ装置11cに返送する(S85)。
ゲートウエイ装置11cのアクセス制御部112は、クライアント端末5から公開鍵を受信すると、上述の第1実施形態と同様に、ユーザ識別子とアドレスを割り当て、割り当てたユーザ識別子とアドレスと受信した電子証明書に設定された公開鍵などをチケット生成部114に送信してX.509の電子証明書の生成を依頼する。なお、ユーザ識別子は、予めユーザ対応に登録していたものを使用したり、ユーザ名や受信した証明書内のユーザ識別子を利用したりしてもよい。
チケット生成部114は、受信した情報を元に、証明書の有効期限やアドレスやユーザ識別子や公開鍵などを設定した電子証明書を生成し、生成した電子証明書をアクセス制御部112に送信する。
チケット生成部114は、受信した情報を元に、証明書の有効期限やアドレスやユーザ識別子や公開鍵などを設定した電子証明書を生成し、生成した電子証明書をアクセス制御部112に送信する。
アクセス制御部112は、チケット生成部114で生成された電子証明書をBASE64などでテキストデータに変更した(BASE64CERT2)をクライアント端末5に送信する(S86)。電子証明書を受信したクライアント端末5は、受信したテキストデータの電子証明書を復号し、復号した電子証明書を確認して保存し、応答を返す(S87)。
クライアント端末5からの応答を受信すると、アクセス制御部112は、「認証正常」をクライアント端末5に送信する(S88)。
「認証正常」を受信したクライアント端末5は、応答をゲートウエイ装置11cに返す(S89)。
クライアント端末5からの応答を受信すると、アクセス制御部112は、「認証正常」をクライアント端末5に送信する(S88)。
「認証正常」を受信したクライアント端末5は、応答をゲートウエイ装置11cに返す(S89)。
その後、Mode Configにより、クライアント端末5にアドレスの付与を行う(S90)が、このとき、ゲートウエイ装置11cのアクセス制御部は、電子証明書に設定したアドレスを付与するようにする。
クライアント端末5は、付与されたアドレスをネットワーク2にアクセスするときのアドレスとして登録する。
その後、IKEプロトコルのフェーズ2の処理により、IPsecで使用する暗号化方式や暗号鍵などを決める(S91)。
クライアント端末5は、付与されたアドレスをネットワーク2にアクセスするときのアドレスとして登録する。
その後、IKEプロトコルのフェーズ2の処理により、IPsecで使用する暗号化方式や暗号鍵などを決める(S91)。
フェーズ2の処理が終了すると、クライアント端末5は、電子証明書の登録を行う(S92)。
このようにして確立したIPsecによる暗号通信により、クライアント端末5は、電子証明書によるSSLアクセスで、サーバ装置12cにアクセスを行う(S93)。
サーバ装置12cでは、受信した電子証明書を検証し、アドレスや有効期限が正しければ、クライアント端末5にサービスを提供する。
図18は、このようにして確立したネットワーク1を介したIPsecによる暗号通信が切断されたときのシーケンスを示す図である。
このようにして確立したIPsecによる暗号通信により、クライアント端末5は、電子証明書によるSSLアクセスで、サーバ装置12cにアクセスを行う(S93)。
サーバ装置12cでは、受信した電子証明書を検証し、アドレスや有効期限が正しければ、クライアント端末5にサービスを提供する。
図18は、このようにして確立したネットワーク1を介したIPsecによる暗号通信が切断されたときのシーケンスを示す図である。
図18において、SSLによりサーバ装置12cに接続中(S101)のクライアント端未5が、通信を終了し、ゲートウエイ装置11cとのIPsecによる接続を切断する(S102)と、クライアント端末5では、ネットワークシステム2にアクセス時に生成した公開鍵を削除するとともに、登録したネットワークシステム2の電子証明書を削除する(S103)。
ゲートウエイ装置11cでは、切断された通信で使用していた電子証明書を失効した電子証明書のリスト(CRL:Certificate Revocation List)に加え、ネットワーク2内のサーバ装置12c、12d及び隣接するネットワークのゲートウエイ装置に送信する(S104)。
ゲートウエイ装置11cでは、切断された通信で使用していた電子証明書を失効した電子証明書のリスト(CRL:Certificate Revocation List)に加え、ネットワーク2内のサーバ装置12c、12d及び隣接するネットワークのゲートウエイ装置に送信する(S104)。
サーバ装置12c、12d及び隣接するネットワークでは、CRLを受信すると、CRLを登録する(S105)。
このよう.にして、ユーザは、IPsecによるリモートアクセスにおいても、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワーク1内のサーバ装置12a、12bだけでなく、ネットワーク2内のサーバ装置12c、12dへも、認証処理(ユーザによるユーザ識別子、パスワードの入力など)無しにサービスの提供を受けることができる。
このよう.にして、ユーザは、IPsecによるリモートアクセスにおいても、ゲートウエイ装置11aによる1回のユーザ認証により、ネットワーク1内のサーバ装置12a、12bだけでなく、ネットワーク2内のサーバ装置12c、12dへも、認証処理(ユーザによるユーザ識別子、パスワードの入力など)無しにサービスの提供を受けることができる。
また、Xauthプロトコルのシーケンス内でチケットのやり取りを行っているので、特別なチケットをやり取りする手順を追加する必要がなく、本実施形態の方式を用いないクライアント端末とも接続することができる。
なお、本実施形態においては、ユーザによるサーバ装置へのアクセス要求で自動的にゲートウエイ装置にアクセス要求を行い、その後サーバ装置ヘアクセスする場合を説明したが、ユーザの操作によりゲートウエイ装置にアクセス要求し、アクセスが許可された後、ユーザの操作によりサーバ装置ヘアクセスする場合も、同様に処理される。
なお、本実施形態においては、ユーザによるサーバ装置へのアクセス要求で自動的にゲートウエイ装置にアクセス要求を行い、その後サーバ装置ヘアクセスする場合を説明したが、ユーザの操作によりゲートウエイ装置にアクセス要求し、アクセスが許可された後、ユーザの操作によりサーバ装置ヘアクセスする場合も、同様に処理される。
また、本実施形態においては、CRLをゲートウエイ装置がサーバ装置及び他のネットワークシステムのゲートウエイ装置に送信するようにしたが、ゲートウエイ装置側でCRLを登録し、OCSP(Online Certificate Status Protocol)等のオンラインでの証明書の検証を行うプロトコルにも対応するように、サーバ装置または他のネットワークシステムのゲートウエイ装置からのオンライン参照に対応するようにしてもよい。
また、本実施の形態のように、ゲートウエイ装置がCRLをサーバ装置及び他のネットワークシステムのゲートウエイ装置に送信するとともに、上述するように、ゲートウエイ装置がCRLを登録し、OCSPに対応するように、サーバ装置または他のネットワークシステムのゲートウエイ装置からのオンライン参照に対応するようにしてもよい。
また、本実施の形態のように、ゲートウエイ装置がCRLをサーバ装置及び他のネットワークシステムのゲートウエイ装置に送信するとともに、上述するように、ゲートウエイ装置がCRLを登録し、OCSPに対応するように、サーバ装置または他のネットワークシステムのゲートウエイ装置からのオンライン参照に対応するようにしてもよい。
Claims (11)
- クライアント端末が直接接続されたネットワークのゲートウエイ装置において、
アクセス要求が出力されたクライアント端末からの最初のユーザ認証情報を認証する認証処理部と、
この認証処理部の正常認証にて少なくとも相互に関連するユーザ識別子とアドレスを暗号処理して認証子を生成し、この認証子と前記少なくともユーザ識別子及びアドレスとにより次のユーザ認証情報となるチケットを生成するチケット生成部と、
を有することを特徴とするゲートウエイ装置。 - クライアント端末が接続しないネットワークにあって他のネットワークに相互接続されるゲートウエイ装置において、
アクセス要求が出力されたクライアント端末のアドレスとこのクライアント端末に接続されるゲートウエイ装置にて生成されたチケットのアドレスとの一致を検証し、前記チケットの認証子を秘密鍵又は公開鍵にて検証する検証処理部と、
この検証処理部の正常検証にて少なくとも相互に関連するユーザ識別子とアドレスを新たな秘密鍵にて暗号処理を行うことにより認証子を生成し、この認証子と少なくともユーザ識別子とアドレスとによりチケットを生成するチケット生成部と、
を有することを特徴とするゲートウエイ装置。 - チケットはクライアント端末による公開鍵ペアに対して生成した電子証明書であることを特徴とする請求項1又は2に記載のゲートウエイ装置。
- クライアント端末又はネットワークに接続されるゲートウエイ装置では、IPsecを用いたリモートアクセスにて認証が行われることを特徴とする請求項1乃至3のいずれかに記載のゲートウエイ装置。
- ゲートウエイ装置に接続されるクライアント端末において、
ゲートウエイ装置に送信したユーザ認証情報が正常な場合、ゲートウエイ装置から払い出されるチケットを別のネットワークへのアクセスとして送信する機能を有することを特徴とするクライアント端末。 - チケットはクライアント端末による公開鍵ペアに対して生成した電子証明書であることを特徴とする請求項5に記載のクライアント端末。
- 電子証明書を、ネットワーク内のサーバ装置とのSSL通信に使用することを特徴とする請求項6に記載のクライアント端末。
- ネットワークとの間でIPsecを用いたリモートアクセスを行うことを特徴とする請求項5乃至7に記載のクライアント端末。
- クライアント端末からネットワークへの直接のアクセス要求を受信した場合、前記クライアント端末から送られるユーザ認証情報によりユーザの認証を行い、認証が正常なユーザに対しては自ネットワーク内でのアクセスを許可するチケット及びアドレスを払い出して自ネットワークへのアクセスを許可するゲートウエイ装置と、前記チケット及びアドレスを自ネットワークの秘密鍵または公開鍵で検証し、検証が正常なユーザに対しては自装置へのアクセスを許可するサーバ装置と、を備えることを特徴とするネットワークシステム。
- クライアント端末からネットワークへの直接のアクセス要求を受信した場合、前記クライアント端末から送られるユーザ認証情報によりユーザの認証を行い、認証が正常なユーザに対しては自ネットワーク内でのアクセスを許可する電子証明書及びアドレスを払い出して自ネットワークへのアクセスを許可するゲートウエイ装置と、前記電子証明書及びアドレスを自ネットワークの公開鍵で検証し、検証が正常なユーザに対しては自装置へのアクセスを許可するサーバ装置と、を備えることを特徴とするネットワークシステム。
- ゲートウエイ装置は、IPsecを用いたリモートアクヒス要求に対して処理を行うことを特徴とする請求項9又は10に記載のネットワークシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004166173A JP4332071B2 (ja) | 2004-06-03 | 2004-06-03 | クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004166173A JP4332071B2 (ja) | 2004-06-03 | 2004-06-03 | クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005348164A true JP2005348164A (ja) | 2005-12-15 |
| JP4332071B2 JP4332071B2 (ja) | 2009-09-16 |
Family
ID=35500107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004166173A Expired - Fee Related JP4332071B2 (ja) | 2004-06-03 | 2004-06-03 | クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4332071B2 (ja) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008104030A (ja) * | 2006-10-19 | 2008-05-01 | Fujitsu Ltd | 携帯端末装置、ゲートウェイ装置、遠隔制御プログラム、アクセス制限プログラム、およびデータ転送システム |
| JP2008109454A (ja) * | 2006-10-26 | 2008-05-08 | Fujitsu Ltd | 遠隔制御プログラム、携帯端末装置およびゲートウェイ装置 |
| JP2008191727A (ja) * | 2007-01-31 | 2008-08-21 | Dreamboat Co Ltd | データ送信装置、データ受信装置、認証方法、受信方法及びプログラム |
| JP2008287395A (ja) * | 2007-05-16 | 2008-11-27 | Konica Minolta Holdings Inc | 認証方法及び認証システム |
| JP2008287701A (ja) * | 2007-03-28 | 2008-11-27 | Symantec Corp | パーティ間の推移的信用に基づいてユーザのデジタルアイデンティティを受け入れる方法及び装置 |
| WO2009004687A1 (ja) * | 2007-06-29 | 2009-01-08 | Fujitsu Limited | 認証装置および接続管理装置 |
| JP2011175590A (ja) * | 2010-02-25 | 2011-09-08 | Kddi R & D Laboratories Inc | ネットワーク認証システム、ネットワーク認証方法およびプログラム |
| JP2011175591A (ja) * | 2010-02-25 | 2011-09-08 | Kddi R & D Laboratories Inc | ネットワーク認証システム、ネットワーク認証方法およびプログラム |
| JP2011211306A (ja) * | 2010-03-29 | 2011-10-20 | Brother Industries Ltd | Vpnルータ、通信システムおよび通信プログラム |
| JP2013198163A (ja) * | 2012-03-21 | 2013-09-30 | ▲ホア▼▲ウェイ▼技術有限公司 | 無線アクセス下で暗号化情報を取得するための方法、装置、及びシステム |
| WO2014068632A1 (ja) * | 2012-10-29 | 2014-05-08 | 三菱電機株式会社 | 設備管理装置、設備管理システム及びプログラム |
| JP2015184739A (ja) * | 2014-03-20 | 2015-10-22 | 富士ゼロックス株式会社 | 情報処理装置、情報処理システム及び情報処理プログラム |
| JP2016157318A (ja) * | 2015-02-25 | 2016-09-01 | 日本電信電話株式会社 | 情報流通システム、方法および処理プログラム |
| JP6163222B1 (ja) * | 2016-03-18 | 2017-07-12 | ヤフー株式会社 | 転送装置、転送方法、転送プログラム、コンテンツ要求処理装置、コンテンツ要求処理方法、コンテンツ要求処理プログラムおよびアクセス処理システム |
| CN112383557A (zh) * | 2020-11-17 | 2021-02-19 | 北京明朝万达科技股份有限公司 | 一种安全接入网关及工业设备通信管理方法 |
-
2004
- 2004-06-03 JP JP2004166173A patent/JP4332071B2/ja not_active Expired - Fee Related
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008104030A (ja) * | 2006-10-19 | 2008-05-01 | Fujitsu Ltd | 携帯端末装置、ゲートウェイ装置、遠隔制御プログラム、アクセス制限プログラム、およびデータ転送システム |
| US8307454B2 (en) | 2006-10-26 | 2012-11-06 | Fujitsu Limited | Computer-readable recording medium recording remote control program, portable terminal device and gateway device |
| JP2008109454A (ja) * | 2006-10-26 | 2008-05-08 | Fujitsu Ltd | 遠隔制御プログラム、携帯端末装置およびゲートウェイ装置 |
| JP2008191727A (ja) * | 2007-01-31 | 2008-08-21 | Dreamboat Co Ltd | データ送信装置、データ受信装置、認証方法、受信方法及びプログラム |
| JP2008287701A (ja) * | 2007-03-28 | 2008-11-27 | Symantec Corp | パーティ間の推移的信用に基づいてユーザのデジタルアイデンティティを受け入れる方法及び装置 |
| JP2008287395A (ja) * | 2007-05-16 | 2008-11-27 | Konica Minolta Holdings Inc | 認証方法及び認証システム |
| WO2009004687A1 (ja) * | 2007-06-29 | 2009-01-08 | Fujitsu Limited | 認証装置および接続管理装置 |
| JP2011175590A (ja) * | 2010-02-25 | 2011-09-08 | Kddi R & D Laboratories Inc | ネットワーク認証システム、ネットワーク認証方法およびプログラム |
| JP2011175591A (ja) * | 2010-02-25 | 2011-09-08 | Kddi R & D Laboratories Inc | ネットワーク認証システム、ネットワーク認証方法およびプログラム |
| JP2011211306A (ja) * | 2010-03-29 | 2011-10-20 | Brother Industries Ltd | Vpnルータ、通信システムおよび通信プログラム |
| JP2013198163A (ja) * | 2012-03-21 | 2013-09-30 | ▲ホア▼▲ウェイ▼技術有限公司 | 無線アクセス下で暗号化情報を取得するための方法、装置、及びシステム |
| WO2014068632A1 (ja) * | 2012-10-29 | 2014-05-08 | 三菱電機株式会社 | 設備管理装置、設備管理システム及びプログラム |
| JPWO2014068632A1 (ja) * | 2012-10-29 | 2016-09-08 | 三菱電機株式会社 | 設備管理装置、設備管理システム、設備管理方法及びプログラム |
| US9544145B2 (en) | 2012-10-29 | 2017-01-10 | Mitsubishi Electric Corporation | Device, method, and medium for facility management verification |
| JP2015184739A (ja) * | 2014-03-20 | 2015-10-22 | 富士ゼロックス株式会社 | 情報処理装置、情報処理システム及び情報処理プログラム |
| JP2016157318A (ja) * | 2015-02-25 | 2016-09-01 | 日本電信電話株式会社 | 情報流通システム、方法および処理プログラム |
| JP6163222B1 (ja) * | 2016-03-18 | 2017-07-12 | ヤフー株式会社 | 転送装置、転送方法、転送プログラム、コンテンツ要求処理装置、コンテンツ要求処理方法、コンテンツ要求処理プログラムおよびアクセス処理システム |
| JP2017173889A (ja) * | 2016-03-18 | 2017-09-28 | ヤフー株式会社 | 転送装置、転送方法、転送プログラム、コンテンツ要求処理装置、コンテンツ要求処理方法、コンテンツ要求処理プログラムおよびアクセス処理システム |
| CN112383557A (zh) * | 2020-11-17 | 2021-02-19 | 北京明朝万达科技股份有限公司 | 一种安全接入网关及工业设备通信管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4332071B2 (ja) | 2009-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4632315B2 (ja) | グリッド・アクセス及びネットワーク・アクセスを提供するシングル・サインオン操作のための方法及びシステム | |
| US10567370B2 (en) | Certificate authority | |
| JP4617763B2 (ja) | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム | |
| JP4304362B2 (ja) | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム | |
| JP4863777B2 (ja) | 通信処理方法及びコンピュータ・システム | |
| US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| US8824674B2 (en) | Information distribution system and program for the same | |
| JP4265145B2 (ja) | アクセス制御方法及びシステム | |
| WO2010067812A1 (ja) | 自己認証通信機器および機器認証システム | |
| JP5602165B2 (ja) | ネットワーク通信を保護する方法および装置 | |
| US20060206616A1 (en) | Decentralized secure network login | |
| KR20050072508A (ko) | 홈 네트워크를 구성하는 기기들에 대한 인증 장치 및 방법 | |
| JP4332071B2 (ja) | クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム | |
| JP2004046430A (ja) | リモートアクセスシステム、リモートアクセス方法、リモートアクセスプログラム及びリモートアクセスプログラムが記録された記録媒体 | |
| JP2010526507A (ja) | セキュア通信方法およびシステム | |
| JP6667371B2 (ja) | 通信システム、通信装置、通信方法、及びプログラム | |
| US7451307B2 (en) | Communication apparatus, communication system, communication apparatus control method and implementation program thereof | |
| JP6571890B1 (ja) | 電子署名システム、証明書発行システム、証明書発行方法及びプログラム | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| JP6465426B1 (ja) | 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法 | |
| JP5012574B2 (ja) | 共通鍵自動共有システム及び共通鍵自動共有方法 | |
| WO2020017643A1 (ja) | 電子署名システム、証明書発行システム、鍵管理システム、証明書発行方法及びプログラム | |
| JP2008109569A (ja) | 中継装置及び通信システム及び中継方法及びプログラム | |
| JP2021040278A (ja) | 鍵管理システム、署名装置、鍵管理方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060711 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20060711 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080507 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080513 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080710 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090203 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090213 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090609 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090619 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120626 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130626 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140626 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |