JP2008199497A - ゲートウェイ装置および認証処理方法 - Google Patents

ゲートウェイ装置および認証処理方法 Download PDF

Info

Publication number
JP2008199497A
JP2008199497A JP2007035048A JP2007035048A JP2008199497A JP 2008199497 A JP2008199497 A JP 2008199497A JP 2007035048 A JP2007035048 A JP 2007035048A JP 2007035048 A JP2007035048 A JP 2007035048A JP 2008199497 A JP2008199497 A JP 2008199497A
Authority
JP
Japan
Prior art keywords
authentication
terminal device
vpn
gateway device
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007035048A
Other languages
English (en)
Other versions
JP4630296B2 (ja
Inventor
Koji Takagi
康志 高木
Juichi Bessho
寿一 別所
Shiro Mizuno
志郎 水野
Yasuyuki Ichikawa
恭之 市川
Kenji Numazaki
健司 沼崎
Masamitsu Yoshida
真光 吉田
Ryoichi Inoue
亮一 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
FURUKAWA NETWORK SOLUTION KK
Furukawa Electric Co Ltd
Nippon Telegraph and Telephone Corp
Original Assignee
FURUKAWA NETWORK SOLUTION KK
Furukawa Electric Co Ltd
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by FURUKAWA NETWORK SOLUTION KK, Furukawa Electric Co Ltd, Nippon Telegraph and Telephone Corp filed Critical FURUKAWA NETWORK SOLUTION KK
Priority to JP2007035048A priority Critical patent/JP4630296B2/ja
Publication of JP2008199497A publication Critical patent/JP2008199497A/ja
Application granted granted Critical
Publication of JP4630296B2 publication Critical patent/JP4630296B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】1台の認証サーバで複数のVPNにアクセスするユーザを認証可能にすること。
【解決手段】ゲートウェイ装置2は、端末装置1a,1bとの間に接続された公衆網4を介して暗号化通信を行うための論理的な回線を確立し、また各VPNa,VPNbへアクセスする端末装置1a,1bを認証する認証サーバと公衆網4を介して接続され、端末装置1a,1bと認証サーバ3との間で通信データの中継を行い、さらに端末装置1a,1bからの認証応答をもとに、端末装置1a,1bがアクセスするVPNの識別情報を含む認証要求を認証サーバ3に行い、認証サーバ3はこの識別情報から端末装置1a,1bがアクセスするVPNを識別して、このVPNのユーザ情報から端末装置を認証する。
【選択図】 図1

Description

本発明は、暗号化通信を行うための論理的な回線が確立された端末装置とVPN事業者に代わり公衆網事業者がユーザの認証を行う際に利用する認証サーバとの間で通信データの中継を行うゲートウェイ装置および認証処理方法に関するものである。
従来では、ユーザが端末装置を用いて公衆網を介してVPN(Virtual Private Network)内の事業者の認証サーバにアクセスする場合、公衆網とVPNとの間に介在するゲートウェイ装置と端末装置間で、IKEプロトコルを用いて論理的な回線を確立させてIPsec通信を行い、ユーザと通信相手の事業者との間での暗号化通信を可能にしていた(たとえば特許文献1)。さらに、このIPsec通信では、事業者側の認証サーバと連携することで事業者が直接ゲートウェイを介して端末装置を認証する方法がある。この場合、VPN内に設けた認証サーバで認証処理を行うと、VPN内でのトラフィックの増大やVPNの事業者側で全ての認証処理を行う煩雑さなどの問題から公衆網側の事業者がVPN事業者に代わりにユーザの認証を行う場合がある。この公衆網側の事業者がユーザの認証を行う場合には、VPN毎に認証サーバを複数設け、各認証サーバでアクセスを要求するユーザの認証を行っていた。
特開2003−32286号公報
しかしながら、従来の代行の認証サーバによる認証処理方法では、VPN毎に認証サーバを設けているので、ゲートウェイ装置に接続するVPNが多くなると、代行用の認証サーバもそれに合わせて多くなってシステム構成が大規模になってメンテナンスやシステム管理が複雑になるとともに、公衆網内でのデータトラフィックが多くなってデータ通信に支障をきたすことがある。一方、各VPNへアクセスする端末装置を1台の認証サーバで認証させる場合には、複数のユーザのユーザ名が重複する場合があり、いずれのVPNにアクセスするユーザであるか認証できないことがあった。
本発明は、上記に鑑みてなされたものであって、1台の認証サーバで複数のVPNにアクセスするユーザを認証可能にできるゲートウェイ装置および認証処理方法を提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明にかかるゲートウェイ装置は、端末装置と当該ゲートウェイ装置との間に接続された公衆網を介して暗号化通信を行うための論理的な回線を確立するとともに、当該ゲートウェイ装置が接続する各VPNへアクセスする端末装置を認証する認証サーバに前記公衆網を介して接続され、前記端末装置と前記認証サーバとの間で通信データの中継を行うゲートウェイ装置において、前記ゲートウェイ装置を示すアドレス情報と、該ゲートウェイ装置を示すアドレス情報に対応して前記端末装置がアクセスする各VPNの識別情報を記憶する記憶手段と、前記記憶手段に記憶された記憶内容から前記論理的な回線が確立された端末装置がアクセスするVPNを認識し、前記端末装置への認証要求に対する前記端末装置からの認証応答がある場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行う認証処理手段と、を備えたことを特徴とする。
また、本発明にかかるゲートウェイ装置は、上記発明において、前記認証処理手段は、前記端末装置への認証要求に対する前記端末装置からの認証応答に含まれる送信先アドレスが当該ゲートウェイ装置を示すアドレス情報の場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行うことを特徴とする。
また、本発明にかかる認証処理方法は、端末装置と当該ゲートウェイ装置との間に接続された公衆網を介して暗号化通信を行うための論理的な回線を確立するとともに、当該ゲートウェイ装置が接続する各VPNへアクセスする端末装置を認証する認証サーバに前記公衆網を介して接続され、前記端末装置と前記認証サーバとの間で通信データの中継を行う認証処理方法において、前記ゲートウェイ装置を示すアドレス情報と、該ゲートウェイ装置を示すアドレス情報に対応して前記端末装置がアクセスする各VPNの識別情報を記憶手段に記憶する記憶ステップと、前記記憶ステップで記憶手段に記憶された記憶内容から前記論理的な回線が確立された端末装置がアクセスするVPNを認識し、前記端末装置への認証要求に対する前記端末装置からの認証応答がある場合、前記記憶手段に記憶されたVPNの識別情報の中から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行う認証処理ステップと、を含むことを特徴とする。
また、本発明にかかる認証処理方法は、上記発明において、前記認証処理ステップは、前記端末装置への認証要求に対する前記端末装置からの認証応答に含まれる送信先アドレスが当該ゲートウェイ装置を示すアドレス情報の場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行うことを特徴とする。
本発明にかかるゲートウェイ装置および認証処理方法は、前記ゲートウェイ装置を示すアドレス情報と、該ゲートウェイ装置を示すアドレス情報に対応して前記端末装置がアクセスする各VPNの識別情報を記憶手段に記憶し、前記記憶手段に記憶された内容から論理的な回線を確立した端末装置がアクセスするVPNを認識し、端末装置からの認証応答がある場合、記憶手段から抽出したVPNの識別情報を含む認証要求を認証サーバに行い、認証サーバはこの識別情報から端末装置がアクセスするVPNを識別して、このVPNのユーザ情報から端末装置を認証するので、1台の認証サーバで複数のVPNにアクセスするユーザを認証可能にできるという効果を奏する。
以下に、本発明にかかるゲートウェイ装置および認証処理方法の実施の形態を図1〜図4の図面に基づいて詳細に説明する。なお、本発明は、これら実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲で種々の変更実施の形態が可能である。
(実施の形態)
図1は、本発明にかかる認証処理システムの実施の形態の構成を示すシステム構成図である。図1において、認証処理システムは、ユーザの端末装置1a,1bと、ゲートウェイ装置2と、代行用の認証サーバ3と、端末装置7,8とを備える。端末装置1a,1bとゲートウェイ装置2と認証サーバ3とは、公衆網4を介して接続され、ゲートウェイ装置2と端末装置7とは、特定事業者の専用網であるVPNaを介して接続され、ゲートウェイ装置2と端末装置8とは、特定事業者の専用網であるVPNbを介して接続される。
端末装置1aは、VPNaにアクセスを行う装置で、端末装置1bは、VPNbにアクセスを行う装置である。これら端末装置1a,1bは、ゲートウェイ装置2と認証処理を行う認証処理部11a,11bと、データの暗号化または復号化の処理を行う暗号化/復号化処理部12a,12bと、公衆網4を介してゲートウェイ装置2、認証サーバ3を含む他の通信装置と暗号化されたデータの送受信を行う送受信部13a,13bとを備える。認証処理部11a,11bは、ゲートウェイ装置2と所定の認証処理用のプロトコル、たとえばCHAP(Challenge Handshake Authentication Protocol)やPAP(Password Authentication Protocol)を用いて、自装置を認証させる認証処理を行い、VPNa,VPNbへのアクセスを可能にする。暗号化/復号化処理部12a,12bは、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec(IP security Protocol) SA(Security Association)で作成した鍵とを用いて暗号化して送受信部13a,13bに出力し、また暗号化されたデータを送受信部13a,13bが受信すると、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。
ゲートウェイ装置2は、設定処理部21と、認証処理手段としての認証処理部22と、フェーズ情報を記憶するフェーズ用データベース23と、IPsecを適用するための方針を示すSPD情報を記憶する記憶手段としてのSPD用データベース24と、データの暗号化または復号化の処理を行う暗号化/復号化処理部25と、データの中継処理を行う中継処理部26と、端末装置1a,1bに対してデータの送受信を行う端末用送受信部27と、認証サーバ3に対してデータの送受信を行うサーバ用送受信部28と、VPNaに接続された端末装置7に対してデータの送受信を行うVPNa用送受信部29と、VPNbに接続された端末装置8に対してデータの送受信を行うVPNb用送受信部30とを備える。設定処理部21は、認証サーバ3が認証処理に用いるすべての認証処理の方針を示すポリシーを設定する。設定処理部21は、たとえば認証サーバ3が用いるCHAPおよびPAPの認証処理の方針を示すポリシーを設定する。SPD用データベース24は、設定処理部21で設定されたCHAPおよびPAPのポリシーと、VPNID情報と、IKE(Internet Key Exchange)の終端アドレスとを記録している。なお、このVPNID情報は、たとえば端末装置1a,1bのアドレス情報と、端末装置1a,1bのアドレス情報に対応して端末装置1a,1bからアクセスするVPNa,VPNbの認証対象である特定事業者を識別するアドレス情報とからなる。IKEの終端アドレスは、VPNa,VPNb毎に予め設定されるゲートウェイ装置2のアドレスである。
SPD情報は、設定により予め作成されるデータであり、端末装置1a,1bに対してのたとえばISAKMP(Internet Security Association and Key Management Protocol)の処理の方針を示すポリシーやISAKMPに基づいてIPsecで用いるインターネット標準の鍵交換プロトコルであるIKEの処理の方針を示すポリシーである。
認証処理部11a,11b,22は、公衆網4を介して端末装置1a,1bとゲートウェイ装置2との間に、IPsec(IP security Protocol)によるデータ通信を可能にするためトンネリング技術を利用してSA(Security Association)と呼ばれる論理的なコネクション(回線)を確立させる処理を行う。なお、たとえばユーザ側に別の専用網があり、端末装置1a,1bがこの専用網に接続されている場合には、この専用網と公衆網との間にはデータの中継を行う中継装置(たとえばルータ)が接続されることとなり、ゲートウェイ装置2の認証処理部22は、この中継装置に対してSAを確立させる処理を行うこととなる。また、認証処理部22,31は、ゲートウェイ装置2および認証サーバ3に対しても、認証処理部22,31によってSAを確立させることが可能である。
また、認証処理部11a,11b,22は、CHAPあるいはPAPで認証処理を行う。認証処理部22は、SA確立要求開始時にISAKMPのIPsec Phase1−1パケットを受信後に、それに対応するSPD情報を抽出し、Phase1情報を作成して参照可能とする。認証処理部22は、このPhase1情報からSPD用データベース24内に記憶される認証方式情報をチェックし、CHAP方式であれば、CHAP認証要求を送信し、また認証方式情報がPAP方式であれば、PAP認証要求を送信する。
フェーズ用データベース23は、Phase1情報を記憶する。このPhase1情報は、Phase1において装置間でのパケットの通信を調整するためのネゴシエーション情報からなる。
暗号化/復号化処理部25は、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec SAで作成した鍵とを用いて暗号化して中継処理部26に出力して各送受信部27〜30からの送信を可能にし、また暗号化されたデータを中継処理部26から取り込むと、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。
認証サーバ3は、公衆網の事業者がVPNa,VPNbの特定事業者に代わって、VPNa,VPNbにアクセスする端末装置の認証を行う。この認証サーバ3は、認証処理部31と、VPNa認証用データベース32と、VPNb認証用データベース33と、データの暗号化または復号化の処理を行う暗号化/復号化処理部34と、データの送受信を行う送受信部35とを備える。認証処理部31は、ゲートウェイ装置2との間で認証応答があった端末装置の認証処理を行うものである。VPNa認証用データベース32は、VPNaにアクセス可能な端末装置1aを含む端末装置を識別するための識別情報や取り扱うすべての認証処理のポリシーなどを記憶する。VPNb認証用データベース33は、VPNbにアクセス可能な端末装置1bを含む端末装置を識別するための識別情報や取り扱うすべての認証処理のポリシーなどを記憶する。暗号化/復号化処理部34は、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec SAで作成した鍵とを用いて暗号化して送受信部35に出力し、また暗号化されたデータを送受信部35が受信すると、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。
端末装置7,8は、接続されたVPNa,VPNbを介してゲートウェイ装置2とデータ通信を行うための図示しない送受信部と、暗号化/復号化処理部とを備える。
次に、図2のシーケンス図を用いて図1に示した認証処理システムの認証処理の動作を説明する。なお、この実施の形態では、認証処理がCHAPによって行われるものとする。図2において、まず端末装置1aの認証処理部11aは、IPsec Phase1−1において、IKEプロトコルを用いて自己の保持するキー情報をゲートウェイ装置2に送信する(ステップS101)。次に、ゲートウェイ装置2の認証処理部22は、認証処理部11aからキー情報を受信すると、IPsec Phase1−2において、端末装置1aを認証して、端末装置1aに自己の保持するキー情報と、VPNaに設定されたIKEの終端アドレスとを送信してキー情報の交換を行う(ステップS102)。次に、認証処理部11aは、認証処理部22からキー情報を受信すると、IPsec Phase1−3において、ゲートウェイ装置2を認証した後に、端末装置1aは、通信相手(IKEピア)であるゲートウェイ装置2との間でPhase1を完了して、セキュアなデータ通信を可能にする(ステップS103)。なお、IPsec Phase1−1、IPsec Phase1−2およびIPsec Phase1−3は、IPsec通信での1回目、2回目および3回目のPhase1パケットをそれぞれ示す。
次に、ゲートウェイ装置2の認証処理部22は、設定処理部21で設定されたCHAPによる認証要求のパケットを端末装置1aに送信する(ステップS104)。端末装置1aの認証処理部11aは、CHAPによる認証処理が可能なプロトコルを有しており、CHAPによる認証要求のパケットを受信すると、この要求に対するCHAPによる認証応答のパケットをゲートウェイ装置2に送信する(ステップS105)。この認証応答のパケットには、ユーザ名とパスワードとがペイロード内に含まれている。なお、この時認証処理部22は、VPNID情報から端末装置1aがVPNaにアクセスする端末装置であることを認識している。認証処理部22は、CHAPによる認証応答のパケットを受信すると、このパケットから送信先アドレスを抽出し、この送信先アドレスがゲートウェイ装置2のアドレスの場合には、そのアドレスに対応するSPD用データベース24からVPNaの識別情報であるVPNID情報を抽出し、このVPNID情報を含む認証要求を作成して認証サーバ3に送信する(ステップS106)。これにより、実施の形態では、ゲートウェイ装置2を送信先アドレスとする認証応答のパケットを受信した場合にのみ、VPNID情報を含む認証要求を作成して認証サーバ3に送信するので、保持するVPNID情報を的確に抽出して認証要求に付与して認証サーバ3に送信できる。
次に、認証サーバ3の認証処理部31は、ゲートウェイ装置2からCHAP認証要求のパケットが受信されると、このパケットのVPNID情報を抽出し、このVPNIDの値によって参照するデータベースを切り替えて、VPNa認証用データベース32のユーザ情報をもとに端末装置1aを認証するための認証処理を行い、この端末装置1aを認証した場合、CHAPによる認証成功のパケットをゲートウェイ装置2に送信する(ステップS107)。次に、ゲートウェイ装置2の認証処理部22は、CHAP認証成功のパケットが受信されると、このCHAP認証成功のパケットを端末装置1aに送信して(ステップS108)、その後のフェーズを完了した後に、IPsecによる暗号化通信を可能にする。
次に、IPsec Phase1−1において、端末装置1bの認証処理部11bがIKEプロトコルを用いて自己の保持するキー情報をゲートウェイ装置2に送信すると(ステップS109)、ゲートウェイ装置2の認証処理部22は、認証処理部11bからキー情報を受信して、IPsec Phase1−2において、端末装置1bにVPNbに設定されたIKEの終端アドレスを使用して、自己の保持するキー情報を送信してキー情報の交換を行う(ステップS110)。次に、認証処理部11bは、認証処理部22からキー情報を受信すると、ゲートウェイ装置2を認証した後に、IPsec Phase1−3において、端末装置1bは、通信相手(IKEピア)であるゲートウェイ装置2との間でSAを確立して、その後のフェーズを完了した後に、データ通信を可能にする(ステップ111)。
次に、ゲートウェイ装置2の認証処理部22は、設定処理部21で設定されたCHAPによる認証要求のパケットを端末装置1bに送信する(ステップS112)。端末装置1bの認証処理部11bは、上記CHAPによる認証処理が可能なプロトコルを有しており、CHAPによる認証要求のパケットが受信されると、この要求に対するCHAPによる認証応答のパケットをゲートウェイ装置2に送信する(ステップS113)。この認証応答のパケットには、ユーザ名とパスワードとがペイロード内に含まれている。なお、この時認証処理部22は、VPNID情報から端末装置1bがVPNbにアクセスする端末装置であることを認識している。認証処理部22は、CHAPによる認証応答のパケットが受信されると、このパケットから送信先アドレスを抽出し、この送信先アドレスがゲートウェイ装置2のアドレスの場合には、SPD用データベース24から送信先アドレスに対応したVPNbの識別情報であるVPNID情報を抽出し、このVPNID情報を含む認証要求を作成して認証サーバ3に送信する(ステップS114)。
次に、認証サーバ3の認証処理部31は、ゲートウェイ装置2からCHAP認証要求のパケットが受信されると、このパケットのVPNID情報を抽出し、このVPNIDの値によって参照するデータベースを切り替えて、VPNb認証用データベース33のユーザ情報をもとに端末装置1bを認証するための認証処理を行い、この端末装置1bを認証した場合、CHAPによる認証成功のパケットをゲートウェイ装置2に送信する(ステップS115)。次に、ゲートウェイ装置2の認証処理部22は、CHAP認証成功のパケットが受信されると、このCHAP認証成功のパケットを端末装置1bに送信して(ステップS116)、IPsecによる暗号化通信を可能にする。
ここで、図3のフローチャートを用いてゲートウェイ装置2による認証処理の詳細な動作を説明する。なお、フローチャートは、端末装置1aまたは1bとゲートウェイ装置2との間でSAを確立した後の動作を示す。図3において、ゲートウェイ装置2の認証処理部22は、端末装置1aまたは1bから認証応答パケットを受信すると(ステップS301)、このパケットから送信先アドレスを抽出し、この送信先アドレスがゲートウェイ装置2のアドレスの場合には、この送信先アドレスに対応したVPNaまたはVPNbの識別情報であるVPNID情報が存在するか否か判断する(ステップS302)。ここで、認証処理部22は、このパケットにVPNID情報が存在する場合には(ステップS302:Yes)、Tunnel−Private−Group−IDにVPNID情報を格納して認証要求のパケットを作成して、この認証要求のパケットを認証サーバ3に送信して(ステップS303)、上記認証処理の動作を終了する。また、認証処理部22は、VPNID情報が存在しない場合には(ステップS302:No)、Tunnel−Private−Group−IDを付けずに認証要求のパケットを作成して、認証サーバ3に送信して(ステップS304)、上記認証処理の動作を終了する。
なお、図4は、Tunnel−Private−Group−IDのフレーム構成を示すフレームフォーマットである。図4において、Tunnel−Private−Group−IDは、このフレームの種類を示すタイプと、このフレームの長さを示すレングスと、「0」に設定されるタグと、ストリングとからなり、本実施の形態のVPNID情報は、ストリング内に格納される。
このように、本実施の形態では、ゲートウェイ装置2が端末装置1a,1bからの認証応答をもとに、この端末装置1a,1bがアクセスするVPNの識別情報(VPNID情報)を含む認証要求を作成して認証サーバ3に送信し、認証サーバ3は認証要求を受信すると、この認証要求内のVPNID情報から端末装置1a,1bがアクセスするVPNを識別して、このVPNのユーザ情報から端末装置1a,1bを認証するので、1台の認証サーバ3で複数のVPNにアクセスするユーザを容易に認証できる。
本発明にかかる認証処理システムの実施の形態の構成を示すシステム構成図である。 図1に示した認証処理システムの認証処理の動作を説明するためのシーケンス図である。 ゲートウェイ装置による認証処理の詳細な動作を説明するためのフローチャートである。 Tunnel−Private−Group−IDのフレーム構成を示すフレームフォーマットである。
符号の説明
1a,1b,7,8 端末装置
2 ゲートウェイ装置
3 認証サーバ
4 公衆網
11a,11b,22,31 認証処理部
12a,12b,34 復号化処理部
13a,13b,27〜30,35 送受信部
21 設定処理部
22 認証処理部
23 フェーズ用データベース
24 SPD用データベース
26 中継処理部
32 VPNa認証用データベース
33 VPNb認証用データベース
a,b VPN

Claims (4)

  1. 端末装置と当該ゲートウェイ装置との間に接続された公衆網を介して暗号化通信を行うための論理的な回線を確立するとともに、当該ゲートウェイ装置が接続する各VPNへアクセスする端末装置を認証する認証サーバに前記公衆網を介して接続され、前記端末装置と前記認証サーバとの間で通信データの中継を行うゲートウェイ装置において、
    前記ゲートウェイ装置を示すアドレス情報と、該ゲートウェイ装置を示すアドレス情報に対応して前記端末装置がアクセスする各VPNの識別情報を記憶する記憶手段と、
    前記記憶手段に記憶された記憶内容から前記論理的な回線が確立された端末装置がアクセスするVPNを認識し、前記端末装置への認証要求に対する前記端末装置からの認証応答がある場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行う認証処理手段と、
    を備えたことを特徴とするゲートウェイ装置。
  2. 前記認証処理手段は、前記端末装置への認証要求に対する前記端末装置からの認証応答に含まれる送信先アドレスが当該ゲートウェイ装置を示すアドレス情報の場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行うことを特徴とする請求項1に記載のゲートウェイ装置。
  3. 端末装置と当該ゲートウェイ装置との間に接続された公衆網を介して暗号化通信を行うための論理的な回線を確立するとともに、当該ゲートウェイ装置が接続する各VPNへアクセスする端末装置を認証する認証サーバに前記公衆網を介して接続され、前記端末装置と前記認証サーバとの間で通信データの中継を行う認証処理方法において、
    前記ゲートウェイ装置を示すアドレス情報と、該ゲートウェイ装置を示すアドレス情報に対応して前記端末装置がアクセスする各VPNの識別情報を記憶手段に記憶する記憶ステップと、
    前記記憶ステップで記憶手段に記憶された記憶内容から前記論理的な回線が確立された端末装置がアクセスするVPNを認識し、前記端末装置への認証要求に対する前記端末装置からの認証応答がある場合、前記記憶手段に記憶されたVPNの識別情報の中から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行う認証処理ステップと、
    を含むことを特徴とする認証処理方法。
  4. 前記認証処理ステップは、前記端末装置への認証要求に対する前記端末装置からの認証応答に含まれる送信先アドレスが当該ゲートウェイ装置を示すアドレス情報の場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行うことを特徴とする請求項3に記載の認証処理方法。
JP2007035048A 2007-02-15 2007-02-15 ゲートウェイ装置および認証処理方法 Active JP4630296B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007035048A JP4630296B2 (ja) 2007-02-15 2007-02-15 ゲートウェイ装置および認証処理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007035048A JP4630296B2 (ja) 2007-02-15 2007-02-15 ゲートウェイ装置および認証処理方法

Publications (2)

Publication Number Publication Date
JP2008199497A true JP2008199497A (ja) 2008-08-28
JP4630296B2 JP4630296B2 (ja) 2011-02-09

Family

ID=39758028

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007035048A Active JP4630296B2 (ja) 2007-02-15 2007-02-15 ゲートウェイ装置および認証処理方法

Country Status (1)

Country Link
JP (1) JP4630296B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624747A (zh) * 2012-04-12 2012-08-01 厦门思德电子科技有限公司 一种基于室内设备地址编码的服务器系统及其实现方法
CN102664880A (zh) * 2012-04-12 2012-09-12 厦门思德电子科技有限公司 一种基于室内设备地址编码的社区商务系统及其实现方法
WO2016106560A1 (zh) * 2014-12-30 2016-07-07 华为技术有限公司 一种实现远程接入的方法、装置及系统
WO2024001885A1 (zh) * 2022-06-29 2024-01-04 深圳市中兴微电子技术有限公司 数据传输方法、电子设备及计算机存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002077275A (ja) * 2000-09-04 2002-03-15 Nippon Telegr & Teleph Corp <Ntt> 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム
JP2002123491A (ja) * 2000-10-13 2002-04-26 Nippon Telegr & Teleph Corp <Ntt> 認証代行方法、認証代行装置、及び認証代行システム
JP2004328029A (ja) * 2003-04-21 2004-11-18 Nec Corp ネットワークアクセスシステム
JP2005149337A (ja) * 2003-11-19 2005-06-09 Nippon Telegr & Teleph Corp <Ntt> ゲートウエイ装置
WO2006043463A1 (ja) * 2004-10-19 2006-04-27 Nec Corporation Vpnゲートウェイ装置およびホスティングシステム
JP2006140860A (ja) * 2004-11-15 2006-06-01 Nec Corp Vpnシステムおよびその構築方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002077275A (ja) * 2000-09-04 2002-03-15 Nippon Telegr & Teleph Corp <Ntt> 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム
JP2002123491A (ja) * 2000-10-13 2002-04-26 Nippon Telegr & Teleph Corp <Ntt> 認証代行方法、認証代行装置、及び認証代行システム
JP2004328029A (ja) * 2003-04-21 2004-11-18 Nec Corp ネットワークアクセスシステム
JP2005149337A (ja) * 2003-11-19 2005-06-09 Nippon Telegr & Teleph Corp <Ntt> ゲートウエイ装置
WO2006043463A1 (ja) * 2004-10-19 2006-04-27 Nec Corporation Vpnゲートウェイ装置およびホスティングシステム
JP2006140860A (ja) * 2004-11-15 2006-06-01 Nec Corp Vpnシステムおよびその構築方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624747A (zh) * 2012-04-12 2012-08-01 厦门思德电子科技有限公司 一种基于室内设备地址编码的服务器系统及其实现方法
CN102664880A (zh) * 2012-04-12 2012-09-12 厦门思德电子科技有限公司 一种基于室内设备地址编码的社区商务系统及其实现方法
WO2016106560A1 (zh) * 2014-12-30 2016-07-07 华为技术有限公司 一种实现远程接入的方法、装置及系统
WO2024001885A1 (zh) * 2022-06-29 2024-01-04 深圳市中兴微电子技术有限公司 数据传输方法、电子设备及计算机存储介质

Also Published As

Publication number Publication date
JP4630296B2 (ja) 2011-02-09

Similar Documents

Publication Publication Date Title
JP4707992B2 (ja) 暗号化通信システム
US11190489B2 (en) Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter
US9197616B2 (en) Out-of-band session key information exchange
EP3096497B1 (en) Method, apparatus, and network system for terminal to traverse private network to communicate with server in ims core network
EP3432523B1 (en) Method and system for connecting a terminal to a virtual private network
JP2023116573A (ja) クライアント-クラウドまたはリモートサーバーの安全なデータまたはファイル・オブジェクト暗号化ゲートウェイ
JP4648148B2 (ja) 接続支援装置
US8537841B2 (en) Connection support apparatus and gateway apparatus
US20140289826A1 (en) Establishing a communication session
JP5239341B2 (ja) ゲートウェイ、中継方法及びプログラム
US10187356B2 (en) Connectivity between cloud-hosted systems and on-premises enterprise resources
CN106169952B (zh) 一种英特网密钥管理协议重协商的认证方法及装置
EP1700180A2 (en) System and method for managing a proxy request over a secure network using inherited security attributes
EP1328105B1 (en) Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel
EP1775903A2 (en) A dynamic tunnel construction method for secure access to a private LAN and apparatus therefor
WO2009082950A1 (fr) Procédé, dispositif et système de distribution de clés
CN110519259B (zh) 云平台对象间通讯加密配置方法、装置及可读存储介质
JP4630296B2 (ja) ゲートウェイ装置および認証処理方法
US20240106811A1 (en) Systems and methods for network privacy
JP4933286B2 (ja) 暗号化パケット通信システム
JP2011054182A (ja) ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体
JP2008199420A (ja) ゲートウェイ装置および認証処理方法
JP3935823B2 (ja) Httpセッション・トンネリング・システム、その方法、及びそのプログラム
US20150381387A1 (en) System and Method for Facilitating Communication between Multiple Networks
JP2006352710A (ja) パケット中継装置及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100810

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101006

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101026

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101112

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131119

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4630296

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250