JP2006115033A - Automatic setting system and method of user information - Google Patents
Automatic setting system and method of user information Download PDFInfo
- Publication number
- JP2006115033A JP2006115033A JP2004298296A JP2004298296A JP2006115033A JP 2006115033 A JP2006115033 A JP 2006115033A JP 2004298296 A JP2004298296 A JP 2004298296A JP 2004298296 A JP2004298296 A JP 2004298296A JP 2006115033 A JP2006115033 A JP 2006115033A
- Authority
- JP
- Japan
- Prior art keywords
- information
- dhcp
- user
- authentication
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、端末の設定情報を自動的に設定可能とするDHCPプロトコルにおいてサーバからの送信情報に対してクライアントが該送信情報に対して演算を行いその結果をサーバに送信する形式のユーザー認証を可能とするための認証に連動したユーザ情報の自動設定技術に関するものである。 The present invention performs user authentication in a format in which a client performs an operation on transmission information from a server and transmits the result to the server in the DHCP protocol that can automatically set terminal setting information. The present invention relates to an automatic setting technique for user information linked to authentication for enabling.
従来のDHCP(Dynamic Host Configuration Protocol)では認証機能を追加する場合、MACアドレスによる識別が中心であった。しかし、ユーザー認証の機能によってユーザー名、パスワードによる認証を行った後でDHCPによるIPアドレス、DNSサーバドレスの払い出しを行うシステムが登場した(例えば、非特許文献1参照)。しかし、このシステムにおいて、払いだす情報はIPアドレスとDNSサーバのアドレス情報であり、ユーザー認証と連携する目的は誰にどのIPアドレスを払いだしたかという情報の管理のみであった。これに対し、RFC3315においてDHCP認証方式(例えば、非特許文献2参照)としては、クライアントとサーバの相互端末認証のための規定がなされたがあくまでも端末同士の相互認証のための認証方式であってサーバおよび端末のなりすまし防止を目的とするものであり、ユーザー認証を行いユーザー毎に登録された情報の端末への自動設定は実現できないものだった。 In conventional DHCP (Dynamic Host Configuration Protocol), when an authentication function is added, identification based on a MAC address has been the focus. However, a system has emerged in which an IP address and DNS server address are paid out by DHCP after authentication by a user name and password by a user authentication function (for example, see Non-Patent Document 1). However, in this system, the information to be paid out is the IP address and DNS server address information, and the purpose of cooperation with user authentication is only management of information on which IP address has been paid to whom. On the other hand, in RFC 3315, the DHCP authentication method (for example, see Non-Patent Document 2) is an authentication method for mutual authentication between terminals, although provision for mutual terminal authentication between the client and the server is made. The purpose is to prevent spoofing of servers and terminals, and it is impossible to automatically set the information registered for each user by authenticating the user.
上記の非特許文献1は、ユーザー認証の機能とDHCPサーバの機能を連携することによってユーザー認証された端末に対してDHCPに登録されたIPアドレスとDNSサーバドレスの情報を払い出し管理するという独自規格のDHCPサーバである。ユーザー認証を用いてはいるがユーザーに関連した設定情報を払いだすものではなく、誰にどのIPアドレスを払いだしたかという情報を管理するためのシステムである。よってユーザーに関連した設定情報を送信する機能をもたないため、本システムを実現することは不可能である。
The above
非特許文献2では、新たに規定されたDHCPにおける認証機能の一つのプロトコルとして規定されているのがDelayed authenticationである。あらかじめDHCPクライアントとDHCPサーバが共有鍵を保有しておきそれをもとにDHCPメッセージのハッシュ値を計算し、転送時に付加する。これによってメッセージの完全性と端末の相互認証を行う方法である。この場合、従来の情報データベースのような外部認証サーバとの連携を行うことができない閉じた認証システムとなる点で他のシステムとの連携したサービスを提供できない欠点が存在する。また、端末の認証には利用できるがユーザー認証の仕組みが組み込まれていないため本システムで実現を目指すユーザー毎に異なる設定情報を払いだすことはできない。
既存のDHCPを用いた自動設定システムでは、端末に対して利用するユーザーに応じたユーザー情報を自動的に設定することができない。 In an existing automatic setting system using DHCP, user information corresponding to a user to be used for a terminal cannot be automatically set.
本発明の目的は、端末に対してユーザー認証を通してユーザー毎に異なる端末への設定情報を自動設定できるユーザー情報自動設定システムおよび自動設定方法を提供することにある。 An object of the present invention is to provide a user information automatic setting system and an automatic setting method capable of automatically setting setting information for a different terminal for each user through user authentication for the terminal.
本発明は、上記の課題を解決するため、ユーザーの認証機能とユーザーに関連する情報を所有する情報データベース、その情報データベースと通信してユーザーの認証を行うことで関連情報を取得するDHCPサーバ、ユーザー情報と認証のための情報をそのDHCPサーバと通信するDHCPクライアントからなるシステムとする。 In order to solve the above problems, the present invention provides an information database that possesses a user authentication function and information related to the user, a DHCP server that acquires the related information by communicating with the information database and authenticating the user, It is assumed that the system includes a DHCP client that communicates user information and authentication information with the DHCP server.
さらに、DHCPサーバがDHCPクライアントから受信した情報をDHCPサーバ上で処理する情報と情報データベースに問い合わせる情報を判別する機能を有する。また、DHCPサーバがDHCPクライアントからのユーザー情報を含む信号を情報データベースが識別できる形式に変換する機能を有する。また、ユーザー情報をDHCPメッセージ内で運ぶ機能をDHCPクライアントとDHCPサーバで有する。また、同時に端末認証機能を有することでユーザーと端末双方の情報に適合した設定情報の通信を可能とする。 Further, the DHCP server has a function of discriminating information received from the DHCP client from information processed on the DHCP server and information inquired from the information database. Further, the DHCP server has a function of converting a signal including user information from the DHCP client into a format that can be identified by the information database. The DHCP client and the DHCP server have a function of carrying user information in the DHCP message. In addition, by having a terminal authentication function at the same time, it is possible to communicate setting information adapted to both user and terminal information.
以上のことから、本発明は、以下のユーザ情報の自動設定システムおよび方法を特徴とする。 As described above, the present invention is characterized by the following user information automatic setting system and method.
(システムの発明)
(1)DHCPサーバと、DHCPクライアント機能を有する端末とからなるDHCPクライアントサーバシステムにおけるユーザー情報の自動設定システムであって、
ユーザー認証機能とユーザーに関する設定情報の保持機能を有する情報データベースをネットワーク上に設け、
上記端末は、ネットワークに接続する際、上記DHCPクライアント機能により、ユーザー識別情報として、ユーザー名と認証のための鍵と該DHCPクライアント機能が要求する情報とを含むDHCPメッセージを上記DHCPサーバに発信する手段を設け、
DHCPサーバは、上記DHCPメッセージを受信した際、自身が返答すべき情報か上記情報データベースから取得すべき情報かを判別するメッセージ情報判別リストを設け、該リストによる判別結果が上記情報データベースに送信すべき情報は、該情報データベースが受信することができる形式に変換する手段を設け、
上記情報データベースは、上記メッセージ情報を受信した際、ユーザー認証を行うとともに該ユーザー名に対応する設定情報を上記DHCPサーバに返す手段を設け、
上記DHCPサーバは、受信した該ユーザー名に対応する設定情報を上記DHCPのメッセージに含めて上記DHCPクライアント端末に送信することにより、上記端末に対してユーザー認証に応じたユーザー情報を自動設定する手段を設けた、
ことを特徴とする。
(Invention of the system)
(1) An automatic setting system for user information in a DHCP client server system comprising a DHCP server and a terminal having a DHCP client function,
An information database with a user authentication function and a setting information holding function for users is provided on the network.
When the terminal is connected to the network, the DHCP client function sends a DHCP message including a user name, a key for authentication, and information requested by the DHCP client function to the DHCP server by the DHCP client function. Providing means,
When receiving the DHCP message, the DHCP server provides a message information determination list for determining whether the information should be returned or information to be acquired from the information database, and the determination result based on the list is transmitted to the information database. The information to be provided is provided with means for converting the information database into a format that can be received,
The information database, when receiving the message information, provides means for performing user authentication and returning setting information corresponding to the user name to the DHCP server,
The DHCP server includes setting information corresponding to the received user name included in the DHCP message and transmits the DHCP client terminal to automatically set user information corresponding to user authentication for the terminal. Provided
It is characterized by that.
(2)上記の(1)において、上記DHCPサーバは、受信したメッセージに含まれるユーザー情報や取得要求情報から、応答すべき情報と上記情報データベースへの問い合わせを行う情報の判別を行う手段を設けたことを特徴とする。 (2) In the above (1), the DHCP server is provided with means for discriminating information to be responded and information for making an inquiry to the information database from user information or acquisition request information included in the received message. It is characterized by that.
(3)上記の(1)において、上記DHCPサーバは、上記端末から受信したユーザー認証情報と設定情報要請メッセージを上記情報データベースとのユーザー認証および情報取得要求を実施する際に利用する形態に変換する手段を設けたことを特徴とする。 (3) In the above (1), the DHCP server converts the user authentication information and the setting information request message received from the terminal into a form used when performing user authentication and information acquisition request with the information database. It is characterized in that means for performing the above is provided.
(4)上記の(1)において、上記DHCPサーバおよび端末は、認証に利用するユーザー名、認証のための鍵をDHCPメッセージ内に保有して送受信する手段を設けたことを特徴とする。 (4) In the above (1), the DHCP server and the terminal are provided with means for transmitting and receiving a user name used for authentication and a key for authentication in a DHCP message.
(5)上記の(1)、(2)、(3)、(4)のいずれか1項において、上記DHCPサーバと端末が端末認証のための認証情報を併せ持つ構成にしたことを特徴とする。 (5) The configuration described in any one of (1), (2), (3), and (4) above, wherein the DHCP server and the terminal have authentication information for terminal authentication. .
(方法の発明)
(6)DHCPサーバと、DHCPクライアント機能を有する端末とからなるDHCPクライアントサーバシステムにおけるユーザー情報の自動設定方法であって、
ユーザー認証機能とユーザーに関する設定情報の保持機能を有する情報データベースをネットワーク上に設け、
上記端末は、ネットワークに接続する際、上記DHCPクライアント機能により、ユーザー識別情報として、ユーザー名と認証のための鍵と該DHCPクライアント機能が要求する情報とを含むDHCPメッセージを上記DHCPサーバに発信するステップを設け、
DHCPサーバは、上記DHCPメッセージを受信した際、自身が返答すべき情報か上記情報データベースから取得すべき情報かを判別するメッセージ情報判別リストを設け、該リストによる判別結果が上記情報データベースに送信すべき情報は、該情報データベースが受信することができる形式に変換するステップを設け、
上記情報データベースは、上記メッセージ情報を受信した際、ユーザー認証を行うとともに該ユーザー名に対応する設定情報を上記DHCPサーバに返すステップを設け、
上記DHCPサーバは、受信した該ユーザー名に対応する設定情報を上記DHCPのメッセージに含めて上記DHCPクライアント端末に送信することにより、上記端末に対してユーザー認証に応じたユーザー情報を自動設定するステップを設けた、
ことを特徴とする。
(Invention of method)
(6) A method for automatically setting user information in a DHCP client server system comprising a DHCP server and a terminal having a DHCP client function,
An information database with a user authentication function and a setting information holding function for users is provided on the network.
When the terminal is connected to the network, the DHCP client function sends a DHCP message including a user name, a key for authentication, and information requested by the DHCP client function to the DHCP server by the DHCP client function. Set a step,
When receiving the DHCP message, the DHCP server provides a message information determination list for determining whether the information should be returned or information to be acquired from the information database, and the determination result based on the list is transmitted to the information database. To convert the information to a format that can be received by the information database;
The information database, when receiving the message information, provides a step of performing user authentication and returning setting information corresponding to the user name to the DHCP server;
The DHCP server includes setting information corresponding to the received user name included in the DHCP message and transmits the DHCP client terminal to automatically set user information corresponding to user authentication for the terminal. Provided
It is characterized by that.
(7)上記の(6)において、上記DHCPサーバは、受信したメッセージに含まれるユーザー情報や取得要求情報から、応答すべき情報と上記情報データベースへの問い合わせを行う情報の判別を行うステップを設けたことを特徴とする。 (7) In the above (6), the DHCP server includes a step of discriminating information to be responded and information for making an inquiry to the information database from user information or acquisition request information included in the received message. It is characterized by that.
(8)上記の(6)において、上記DHCPサーバは、上記端末から受信したユーザー認証情報と設定情報要請メッセージを上記情報データベースとのユーザー認証および情報取得要求を実施する際に利用する形態に変換するステップを設けたことを特徴とする。 (8) In the above (6), the DHCP server converts the user authentication information and the setting information request message received from the terminal into a form used when performing user authentication and information acquisition request with the information database. The step which performs is provided.
(9)上記の(6)において、上記DHCPサーバおよび端末は、認証に利用するユーザー名、認証のための鍵をDHCPメッセージ内に保有して送受信するステップを設けたことを特徴とする。 (9) In the above (6), the DHCP server and the terminal are provided with a step of transmitting and receiving a user name used for authentication and a key for authentication in a DHCP message.
(10)上記の(6)、(7)、(8)、(9)のいずれか1項において、上記DHCPサーバと端末が端末認証のための認証情報を併せ持つ構成にしたことを特徴とする。 (10) The configuration described in any one of (6), (7), (8), and (9) above, wherein the DHCP server and the terminal have authentication information for terminal authentication. .
以上のとおり、本発明によれば、DHCPサーバと、DHCPクライアント機能を有する端末とからなるDHCPクライアントサーバシステムにおいて、ユーザー情報の自動設定ができる。 As described above, according to the present invention, user information can be automatically set in a DHCP client server system including a DHCP server and a terminal having a DHCP client function.
実施形態1では、情報データベースによるユーザー認証を実施した上でユーザー情報に基づいた設定情報をDHCPサーバが取得可能となり、該ユーザー情報に基づいた設定情報をDHCPを用いてDHCPクライアントに送信することでDHCPクライアントを有する端末のユーザー情報に基づいた情報の自動設定が可能になる。 In the first embodiment, after performing user authentication using the information database, the DHCP server can acquire the setting information based on the user information, and the setting information based on the user information is transmitted to the DHCP client using DHCP. It is possible to automatically set information based on user information of a terminal having a DHCP client.
実施形態2では、DHCPサーバがDHCPクライアントに対して設定する情報をDHCPサーバで処理するのか、情報データベースに取りに行くのかを判断して設定情報の分散配備が可能となる。 In the second embodiment, it is possible to determine whether the information set by the DHCP server for the DHCP client is processed by the DHCP server or to go to the information database and to distribute the setting information in a distributed manner.
実施形態3では、DHCPクライアントから受信したDHCPメッセージから取得した情報をDHCPサーバがユーザー名、認証のための鍵、情報データベースから取得すべき情報に関する情報を情報データベースが理解可能な形態に変換して送信することが可能となり、情報データベースからDHCPサーバが受信した情報をDHCPクライアントに理解可能な形態に変換してDHCPクライアントに対して送信することが可能となる。 In the third embodiment, the information acquired from the DHCP message received from the DHCP client is converted into a form that can be understood by the information database by the DHCP server by converting the information related to the user name, the authentication key, and the information to be acquired from the information database. The information received by the DHCP server from the information database can be converted into a form understandable to the DHCP client and transmitted to the DHCP client.
実施形態4では、DHCPメッセージ内でユーザー名、認証のための鍵を送受信することが可能となる。 In the fourth embodiment, a user name and an authentication key can be transmitted and received in a DHCP message.
実施形態5では、DHCPメッセージによってユーザー認証と同時に端末認証を実施することが可能となる。 In the fifth embodiment, terminal authentication can be performed simultaneously with user authentication by a DHCP message.
(実施形態1)
図1は、本発明の実施形態を示すシステム構成図であり、請求項1等に対応するものである。
(Embodiment 1)
FIG. 1 is a system configuration diagram showing an embodiment of the present invention, and corresponds to claim 1 and the like.
同図では、DHCPクライアント10、DHCPサーバ20、バックエンドの情報データベース30との通信インターフェースからなるシステム構成で示す。DHCPクライアント10とDHCPサーバ20は、RFC3118あるいはRFC3315で記述される認証機能を有する。情報データベース30は、Challenge/Response形式のユーザー認証機能を有し、ユーザー毎の設定情報を所有している。これらの装置はIPv4あるいはIPv6で通信を行う。
In the figure, a system configuration including a communication interface with a
DHCPのAuthenticationオプションにおいてChallenge/Response方式を用いた新規のプロトコルとしてCHAP方式を規定する。 The CHAP method is defined as a new protocol using the Challenge / Response method in the DHCP Authentication option.
DHCPクライアント10は、それが有するクライアント機能を実現するために、ユーザー名などを含むメッセージ生成機能(請求項4等に対応)10Aを備える。このメッセージ生成機能10Aは、DHCPクライアント10がネットワークに接続する際、ユーザー識別情報として、ユーザー名と認証のための鍵と当該DHCPクライアント機能が要求する情報とを含むDHCPメッセージを生成する。
The
DHCPサーバ20の有する機能としてメッセージ判別機能(請求項2等に対応)20A、メッセージ変換機能(請求項3等に対応)20B、ユーザー名と認証のための鍵を含めたメッセージ生成機能(請求項4等に対応)20Cを備える。DHCPクライアント10とDHCPサーバ20間はDHCPを用いて通信を行う。
As a function of the
図2ではIPv6対応のDHCPの場合の設定情報の払い出しシーケンスを例として上げており、Solicit/Advertise/Request(Information-request)/Replyのシーケンスのうち、Request(Information-request)/Reply間にDHCPサーバ20は情報データベース30との間で認証/認証結果のシーケンスを実行する。図3はIPv4の場合のDHCPの払い出しシーケンスであり、Discover/Offer/Request/Ackにも対応する。このとき、DHCPサーバ20はDHCPクライアント10/情報データベース30間のデータの中継役を果たす。ただし、DHCPサーバ20自体で情報を管理しておき、ユーザー識別子に応じた払い出しを行うことも可能である。
In FIG. 2, the setting information delivery sequence in the case of IPv6 compatible DHCP is given as an example. Among the sequences of Solicit / Advertise / Request (Information-request) / Reply, DHCP is performed between Request (Information-request) / Reply. The
CHAP方式を用いたDHCPの払い出しシーケンスの概要を図2の場合で以下に説明する。なお、IPv4の方式になる図3の場合も同様のシーケンスになる。 The outline of the DHCP payout sequence using the CHAP method will be described below with reference to FIG. Note that the sequence is similar in the case of FIG.
まず、DHCPクライアント10がAuthenticationオプション付きのSolicitメッセージを送信する(S1)。これを受信したDHCPサーバ20は、IdentifierとChallenge値を生成し(S2)、その情報を含めたAuthenticationオプションを有するAdvertiseメッセージをDHCPクライアント10に送信する(S3)。Advertiseを受信したDHCPクライアント10は、あらかじめ静的、あるいは動的に所有するシークレットとハッシュ関数を用いて受信したIdentifierとChallenge値からResponse値を演算し(S4)、クライアントが静的あるいは動的に所有するユーザーを識別するための情報User-Nameを埋め込んだAuthenticationオプションをRequestメッセージに含めて送信する(S5)。Requestメッセージを受信したDHCPサーバ20は、受信したメッセージの中から認証に必要な情報としてIdentifier、User-Name、Response値を取り出し、DHCPサーバ20がIdentifierと対応づけて管理していたChallenge値を合わせて情報データベース30に送信し、認証を要求する(S6)。この際、認証情報以外の設定情報の要求メッセージを含めてもよい。認証を要求された情報データベース30は、CHAP方式の認証によってユーザーを認証する。ユーザーの認証に成功した場合、情報データベース30は、認証成功メッセージとともに情報データベース30で保持するユーザーに関連する情報をDHCPサーバ20に送信する(S7)。情報データベース30から送信するユーザーに関連する情報はDHCPサーバ20から要求されたメッセージだけでもよいし、情報データベース30で所有するその他の情報を含めてもよい。認証に失敗した場合、認証失敗メッセージをDHCPサーバ20に送信する。
First, the
認証成功メッセージと設定情報を受け取ったDHCPサーバ20は、認証成功を示すAuthenticationオプションと設定情報から変換したDHCPオプションを付加したReplyメッセージをDHCPクライアント10に送信する(S8)。同様に、認証失敗メッセージを受信したDHCPサーバ20は、認証失敗を示すAuthenticationオプションを付加したReplyメッセージをDHCPクライアント10に送信する。
The
認証成功のReplyメッセージを受信したDHCPクライアント10は、受信した設定情報を設定し、認証失敗のReplyメッセージを受信したDHCPクライアント10はメッセージを破棄する。
The
図4は、サーバ20による再認証シーケンスを示す。再認証時はDHCPサーバ20が何らかの契機でDHCPクライアント10に再認証要求をかける。まず、再認証を行う場合、DHCPサーバ20でIdentifierとChallenge値を生成する(S11)。DHCPサーバ20は、そのIdentifierとChallenge値を含めたAuthenticationオプション付きのReconfigureメッセージを生成し、DHCPクライアント10に送信する(S12)。Advertiseを受信したDHCPクライアント10は、あらかじめ静的あるいは動的に所有するシークレットとハッシュ関数を用いて受信したIdentifierとChallenge値からResponse値を演算し(S13)、クライアントが静的あるいは動的に所有するユーザーを識別するための情報User-Nameを埋め込んだAuthenticationオプションをRenewまたはInformation-requestメッセージに含めてDHCPサーバ20に送信する(S14)。DHCPサーバ20は、受信したメッセージの中から認証に必要な情報としてIdentifier、User-Name、Response値を取り出し、DHCPサーバ20がIdentifierと対応づけて管理していたChallenge値を合わせて情報データベース30に送信し、認証を要求する(S15)。この際、認証情報以外の設定情報の要求メッセージを含めてもよい。
FIG. 4 shows a re-authentication sequence by the
認証を要求された情報データベース30は、CHAP方式の認証によってユーザーを認証する。ユーザーの認証に成功した場合、情報データベース30は認証成功メッセージとともに情報データベース30で保持するユーザーに関連する情報をDHCPサーバ20に送信する(S16)。情報データベース30から送信するユーザーに関連する情報はDHCPサーバ20から要求されたメッセージだけでもよいし、情報データベース30で所有するその他の情報を含めてもよい。認証に失敗した場合、認証失敗メッセージをDHCPサーバ20に送信する。
The
認証成功メッセージと設定情報を受け取ったDHCPサーバ20は、認証成功を示すAuthenticationオプションと設定情報から変換したDHCPオプション付加したReplyメッセージをDHCPクライアント10に送信する(S17)。また、認証失敗メッセージを受信したDHCPサーバ20は認証失敗を示すAuthenticationオプションを付加したReplyメッセージをDHCPクライアント10に送信する。認証成功のReplyメッセージを受信したDHCPクライアント10は、受信した設定情報を設定し、認証失敗のReplyメッセージを受信したDHCPクライアント10はメッセージを破棄する。
The
図5は図2の払い出しシーケンスにおけるDHCPクライアント10の状態遷移を示し、図6にはDHCPサーバ20の状態遷移を示す。また、図7は図4の再認証シーケンスにおけるDHCPクライアント10の状態遷移を示し、図8にはDHCPサーバ20の状態遷移を示す。これら状態遷移におけるメッセージ検証のシーケンスを図9に示す。
FIG. 5 shows the state transition of the
以上のとおり、本実施形態によれば、情報データベースによるユーザー認証を実施した上でユーザー情報に基づいた設定情報をDHCPサーバが取得可能となり、該ユーザー情報に基づいた設定情報をDHCPを用いてDHCPクライアントに送信することでDHCPクライアントを有する端末のユーザー情報に基づいた情報の自動設定が可能になる。 As described above, according to the present embodiment, the DHCP server can acquire the setting information based on the user information after performing the user authentication using the information database, and the setting information based on the user information can be obtained using the DHCP. By transmitting to the client, automatic setting of information based on user information of a terminal having a DHCP client becomes possible.
(実施形態2)
本実施形態は、請求項2等に対応するもので、上記の実施形態1において、DHCPサーバ20が情報データベース30と通信を行う際、DHCPサーバ20が有する情報データベース30と通信を行う設定情報一覧を利用して送信する情報を判別するメッセージ判別機能20Aを設ける(図1参照)。
(Embodiment 2)
The present embodiment corresponds to claim 2 and the like, and in the first embodiment, when the
DHCPサーバ20は、あらかじめ情報データベース30に送信する設定情報の一覧を保有しておき、DHCPクライアント10から受信したDHCPメッセージに対してその一覧との対比を行い、情報データベース30に送信する情報を判断する。
DHCPサーバ20が有するメッセージ情報判別リストは、以下に示す。
The
The message information discrimination list that the
したがって、本実施形態によれば、DHCPサーバ20がDHCPクライアント10に対して設定する情報を、DHCPサーバで処理するのか、情報データベースに取りに行くのかを判断するリストを設けておくことで、設定情報の分散配備を可能とする。
Therefore, according to the present embodiment, the setting is made by providing a list for determining whether the information set by the
(実施形態3)
本実施形態は、請求項3等に対応するもので、上記の実施形態2で判断した情報データベース30に送信する情報に対して、DHCPサーバ20は情報の変換機能20Bを設ける(図1参照)。これにより、DHCPサーバ20は、その情報変換規則に従ってDHCPメッセージから情報データベース30との通信に利用するメッセージを生成することができる。
(Embodiment 3)
The present embodiment corresponds to claim 3 and the like, and the
以下の表は、ユーザー名を例にしたDHCPメッセージからRADIUSアトリビュートへの変換規則とそれに伴うメッセージ変換の例を示す。 The following table shows an example of a conversion rule from a DHCP message to a RADIUS attribute and an accompanying message conversion taking a user name as an example.
上記のDHCPメッセージ中のAuth-infoフィールド、およびRADIUSアトリビュートフィールドのフォーマット構造の例を図10に示す。 An example of the format structure of the Auth-info field and the RADIUS attribute field in the DHCP message is shown in FIG.
したがって、本実施形態によれば、DHCPクライアント10からDHCPメッセージを取得したとき、この情報に対して、DHCPサーバ20がユーザー名、認証のための鍵、および情報データベース30から取得すべき情報に関する情報を情報データベース30が理解可能な形態に変換して送信することが可能となる。逆に、情報データベース30からDHCPサーバ20が受信した情報をDHCPクライアント10に理解可能な形態に変換してDHCPクライアント10に送信することが可能となる。
Therefore, according to the present embodiment, when a DHCP message is acquired from the
(実施形態4)
本実施形態は、請求項4等に対応するもので、DHCPメッセージ内でユーザー名、認証のための鍵をDHCPメッセージ内に保有して送信するメッセージ生成機能20Cを設ける(図1参照)。
(Embodiment 4)
The present embodiment corresponds to claim 4 and the like, and is provided with a message generation function 20C that holds and transmits a user name and authentication key in the DHCP message (see FIG. 1).
この機能を実現するため、CHAP方式におけるAuthenticationオプションのフィールド値を以下のように定義する。 In order to realize this function, the field value of the Authentication option in the CHAP method is defined as follows.
Protocol CHAP
Algorithm 1
RDM 0
とする。これらの値の定義に関してはRFC3315に従うため、値を変更することで処理方式は変更可能である。
Protocol CHAP
And Since the definition of these values conforms to RFC3315, the processing method can be changed by changing the values.
図11は、RFC3315に従って上記の値を代入したAuthenticationオプションのフォーマットを示す。このCHAP_AuthenticationにおけるAuthenticationオプション中のAuth-infoフィールドフォーマットを図12のように定義する。 FIG. 11 shows the format of the Authentication option in which the above values are substituted according to RFC3315. The Auth-info field format in the Authentication option in this CHAP_Authentication is defined as shown in FIG.
ただし、MSG_TYPEは、CHAP_Authenticationにおけるメッセージの識別子であり、今回規定する値(1オクテット)を以下に示す。 However, MSG_TYPE is an identifier of a message in CHAP_Authentication, and a value (1 octet) specified this time is shown below.
1 Challenge
2 Response
3 Success
4 Failure
また、Identifierは、CHAP_IDと呼ばれる識別子であり、一連のCHAPシーケンスであることを示すID(1オクテット)になる。このデータはChallenge生成時にランダムに生成される。
1 Challenge
2 Response
3 Success
4 Failure
Identifier is an identifier called CHAP_ID and is an ID (1 octet) indicating a series of CHAP sequences. This data is randomly generated when the Challenge is generated.
また、MSG_lengthは、Auth-infoフィールドの総サイズであり、MSG_TYPE、Identifier、MSG_length、Attributeフィールドを含む(オクテット単位)。 MSG_length is the total size of the Auth-info field and includes MSG_TYPE, Identifier, MSG_length, and Attribute fields (in octets).
また、Attributeは、CHAP_Authenticationメッセージ中で運ぶ認証に必要とされる情報であり、Attributeフィールドの詳細フォーマットを図13に示す(Variable length)。 Attribute is information required for authentication carried in the CHAP_Authentication message, and the detailed format of the Attribute field is shown in FIG. 13 (Variable length).
ただし、TYPEはAttributeのタイプ、Valueに記述された情報の種類を示す。今回規定するTYPEの値とそのときのValue(1オクテット)を以下に示す。 However, TYPE indicates the type of information described in Attribute type and Value. The value of TYPE specified this time and Value at that time (1 octet) are shown below.
1 User-Name
3 CHAP-Password
60 CHAP-Challenge
また、lengthは、このAttributeフィールドのメッセージサイズを示し、TYPE、length,Valueフィールドを含む(1オクテット)。
1 User-Name
3 CHAP-Password
60 CHAP-Challenge
Also, length indicates the message size of this Attribute field, and includes TYPE, length, and Value fields (1 octet).
また、ValueはAttributeのTYPEに沿った値であり、以下のようになる。 Value is a value along the TYPE of Attribute and is as follows.
User−Name ユーザー名と所属ドメインを@でつないだ文字列
CHAP−Password CHAPシーケンスに従って計算されるResponse値
CHAP−Challenge DHCPサーバ20側で生成するChallenge値
ここで、Challenge値はDHCPサーバ20側で生成される可変長の値である。Challenge値は再送以外の送信毎には異なる値が生成されなければならない。Challenge値の生成方法、Response値の生成方法はRFC1994に準拠する。
User-Name Character string in which user name and domain are connected with @ CHAP-Password Response value calculated according to CHAP sequence CHAP-Challenge Challenge value generated on the
払い出しシーケンスにおけるIPv6(続く括弧内はIPv4に対応する)での各メッセージの構成例を図14〜図19に示す。図14はSolicitメッセージ(Discover)、図15はAdvertiseメッセージ(Offer)、図16はRequestメッセージ(Request)、図17はReplyメッセージ(Ack)を示す。
再認証シーケンスにおけるIPv6でのReconfigureメッセージの構成例を図18に示す。
以上の各メッセージ構成により、DHCPメッセージ内でユーザー名、認証のための鍵を送受信することが可能となる。
FIGS. 14 to 19 show configuration examples of messages in IPv6 (the following parentheses correspond to IPv4) in the payout sequence. 14 shows a Solicit message (Discover), FIG. 15 shows an Advertise message (Offer), FIG. 16 shows a Request message (Request), and FIG. 17 shows a Reply message (Ack).
A configuration example of a Reconfigure message in IPv6 in the re-authentication sequence is shown in FIG.
With each message configuration described above, it is possible to transmit / receive a user name and a key for authentication within a DHCP message.
(実施形態5)
本実施形態は、請求項5等に対応するもので、DHCPサーバ20とDHCPクライアント10が端末認証のための認証情報を併せ持つようにしたものである。
(Embodiment 5)
This embodiment corresponds to claim 5 and the like, wherein the
ユーザー認証のための情報を格納するAuth-infoフィールドに端末・メッセージ認証のためのメッセージのハッシュ値を付加することが考えられる。その場合のAuth-infoフィールドは図19のように規定する。他のフィールドについては実施形態1と同じである。端末認証のフィールドを利用してDHCPクライアント10とDHCPサーバ20との間、あるいはDHCPクライアント10と情報データベース30との間で端末の認証を行う。
It is conceivable to add a hash value of a message for terminal / message authentication to the Auth-info field for storing information for user authentication. In this case, the Auth-info field is defined as shown in FIG. Other fields are the same as those in the first embodiment. The terminal is authenticated between the
ここで規定したDHCP realm、key ID、HMAC-MD5フィールドの取り扱い、およびメッセージの処理はRFC3315に規定されるDelayed authenticationに準拠する。 The handling of the DHCP realm, key ID, and HMAC-MD5 fields specified here, and the message processing conform to the Delayed authentication specified in RFC3315.
このDHCPメッセージによって、ユーザー認証と同時に端末認証を実施することが可能となる。 This DHCP message makes it possible to perform terminal authentication simultaneously with user authentication.
10 DHCPクライアント
20 DHCPサーバ
30 情報データベース
10A メッセージ生成機能
20A メッセージ判別機能
20B メッセージ変換機能
20C メッセージ生成機能
10
Claims (10)
ユーザー認証機能とユーザーに関する設定情報の保持機能を有する情報データベースをネットワーク上に設け、
上記端末は、ネットワークに接続する際、上記DHCPクライアント機能により、ユーザー識別情報として、ユーザー名と認証のための鍵と該DHCPクライアント機能が要求する情報とを含むDHCPメッセージを上記DHCPサーバに発信する手段を設け、
DHCPサーバは、上記DHCPメッセージを受信した際、自身が返答すべき情報か上記情報データベースから取得すべき情報かを判別するメッセージ情報判別リストを設け、該リストによる判別結果が上記情報データベースに送信すべき情報は、該情報データベースが受信することができる形式に変換する手段を設け、
上記情報データベースは、上記メッセージ情報を受信した際、ユーザー認証を行うとともに該ユーザー名に対応する設定情報を上記DHCPサーバに返す手段を設け、
上記DHCPサーバは、受信した該ユーザー名に対応する設定情報を上記DHCPのメッセージに含めて上記DHCPクライアント端末に送信することにより、上記端末に対してユーザー認証に応じたユーザー情報を自動設定する手段を設けた、
ことを特徴とするユーザー情報の自動設定システム。 An automatic setting system for user information in a DHCP client server system comprising a DHCP server and a terminal having a DHCP client function,
An information database with a user authentication function and a setting information holding function for users is provided on the network.
When the terminal is connected to the network, the DHCP client function sends a DHCP message including a user name, a key for authentication, and information requested by the DHCP client function to the DHCP server by the DHCP client function. Providing means,
When the DHCP server receives the DHCP message, the DHCP server provides a message information determination list for determining whether the information is to be returned or information to be acquired from the information database, and the determination result based on the list is transmitted to the information database. The information to be provided is provided with means for converting the information database into a format that can be received,
The information database, when receiving the message information, provides means for performing user authentication and returning setting information corresponding to the user name to the DHCP server,
The DHCP server includes setting information corresponding to the received user name included in the DHCP message and transmits the DHCP client terminal to automatically set user information corresponding to user authentication for the terminal. Provided
A system for automatically setting user information.
ユーザー認証機能とユーザーに関する設定情報の保持機能を有する情報データベースをネットワーク上に設け、
上記端末は、ネットワークに接続する際、上記DHCPクライアント機能により、ユーザー識別情報として、ユーザー名と認証のための鍵と該DHCPクライアント機能が要求する情報とを含むDHCPメッセージを上記DHCPサーバに発信するステップを設け、
DHCPサーバは、上記DHCPメッセージを受信した際、自身が返答すべき情報か上記情報データベースから取得すべき情報かを判別するメッセージ情報判別リストを設け、該リストによる判別結果が上記情報データベースに送信すべき情報は、該情報データベースが受信することができる形式に変換するステップを設け、
上記情報データベースは、上記メッセージ情報を受信した際、ユーザー認証を行うとともに該ユーザー名に対応する設定情報を上記DHCPサーバに返すステップを設け、
上記DHCPサーバは、受信した該ユーザー名に対応する設定情報を上記DHCPのメッセージに含めて上記DHCPクライアント端末に送信することにより、上記端末に対してユーザー認証に応じたユーザー情報を自動設定するステップを設けた、
ことを特徴とするユーザー情報の自動設定方法。 An automatic setting method of user information in a DHCP client server system comprising a DHCP server and a terminal having a DHCP client function,
An information database with a user authentication function and a setting information holding function for users is provided on the network.
When the terminal is connected to the network, the DHCP client function sends a DHCP message including a user name, a key for authentication, and information requested by the DHCP client function to the DHCP server by the DHCP client function. Set a step,
When receiving the DHCP message, the DHCP server provides a message information determination list for determining whether the information should be returned or information to be acquired from the information database, and the determination result based on the list is transmitted to the information database. To convert the information to a format that can be received by the information database;
The information database, when receiving the message information, provides a step of performing user authentication and returning setting information corresponding to the user name to the DHCP server;
The DHCP server includes setting information corresponding to the received user name included in the DHCP message and transmits the DHCP client terminal to automatically set user information corresponding to user authentication for the terminal. Provided
A method for automatically setting user information.
The user information automatic setting according to any one of claims 6, 7, 8, and 9, wherein the DHCP server and the terminal have authentication information for terminal authentication. Method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004298296A JP2006115033A (en) | 2004-10-13 | 2004-10-13 | Automatic setting system and method of user information |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004298296A JP2006115033A (en) | 2004-10-13 | 2004-10-13 | Automatic setting system and method of user information |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006115033A true JP2006115033A (en) | 2006-04-27 |
Family
ID=36383204
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004298296A Pending JP2006115033A (en) | 2004-10-13 | 2004-10-13 | Automatic setting system and method of user information |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006115033A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009072271A1 (en) | 2007-12-05 | 2009-06-11 | Hitachi Communication Technologies, Ltd. | Dhcp client server system, dhcp client device and dhcp server device |
US7822835B2 (en) * | 2007-02-01 | 2010-10-26 | Microsoft Corporation | Logically centralized physically distributed IP network-connected devices configuration |
JP2011024005A (en) * | 2009-07-16 | 2011-02-03 | Nippon Telegr & Teleph Corp <Ntt> | Server device, client device, communication system, communication control method and program |
-
2004
- 2004-10-13 JP JP2004298296A patent/JP2006115033A/en active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7822835B2 (en) * | 2007-02-01 | 2010-10-26 | Microsoft Corporation | Logically centralized physically distributed IP network-connected devices configuration |
WO2009072271A1 (en) | 2007-12-05 | 2009-06-11 | Hitachi Communication Technologies, Ltd. | Dhcp client server system, dhcp client device and dhcp server device |
CN101971567A (en) * | 2007-12-05 | 2011-02-09 | 株式会社日立制作所 | Dhcp client server system, dhcp client device and dhcp server device |
JP2011024005A (en) * | 2009-07-16 | 2011-02-03 | Nippon Telegr & Teleph Corp <Ntt> | Server device, client device, communication system, communication control method and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7706539B2 (en) | Method of guaranteeing users' anonymity and wireless local area network (LAN) system therefor | |
US8214537B2 (en) | Domain name system using dynamic DNS and global address management method for dynamic DNS server | |
KR101298439B1 (en) | Proximity service discovery in wireless networks | |
CN101960814B (en) | IP address delegation | |
CN100399748C (en) | Communication system and method for upgrade of user terminal software and user terminal upgraded by same | |
CN109981803B (en) | Service request processing method and device | |
EP2364543B1 (en) | Broadband network access | |
US7228131B2 (en) | IPv6/IPv4 tunneling method | |
NO313950B1 (en) | Kommunikasjonsidentifikatormetode | |
US8605736B2 (en) | Method, system and apparatus for heterogeneous addressing mapping | |
JP6148458B2 (en) | Authentication apparatus and method, and computer program | |
Laganier | Host Identity Protocol (HIP) Domain Name System (DNS) Extension | |
EP2451131B1 (en) | Method, apparatus and system for obtaining local domain name | |
US20120072513A1 (en) | Method and system for obtaining host identity tag | |
JP2006115033A (en) | Automatic setting system and method of user information | |
US20100325247A1 (en) | Method and apparatus for allocation of parameter values in a communications system | |
Saint-Andre | Serverless messaging | |
JP2008244765A (en) | Dynamic host configuration protocol server, and ip address assignment method | |
JP4654613B2 (en) | Communication system, communication method, address distribution system, address distribution method, communication terminal | |
CN102420799B (en) | User authentication method, device and system | |
WO2006075823A1 (en) | Internet protocol address management system co-operated with authentication server | |
JP4066719B2 (en) | Location information server that provides location information and its user terminal | |
US10841283B2 (en) | Smart sender anonymization in identity enabled networks | |
JP4236167B2 (en) | Method of assigning IP interface information, granting device, granting program thereof, and access authentication device | |
JP4242752B2 (en) | Address table management method and terminal |