JP2008199498A - ゲートウェイ装置およびセッション管理方法 - Google Patents
ゲートウェイ装置およびセッション管理方法 Download PDFInfo
- Publication number
- JP2008199498A JP2008199498A JP2007035049A JP2007035049A JP2008199498A JP 2008199498 A JP2008199498 A JP 2008199498A JP 2007035049 A JP2007035049 A JP 2007035049A JP 2007035049 A JP2007035049 A JP 2007035049A JP 2008199498 A JP2008199498 A JP 2008199498A
- Authority
- JP
- Japan
- Prior art keywords
- session
- authentication
- terminal device
- establishment request
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title description 21
- 238000012545 processing Methods 0.000 claims abstract description 110
- 238000004891 communication Methods 0.000 claims abstract description 36
- 230000005540 biological transmission Effects 0.000 claims description 16
- 238000007726 management method Methods 0.000 claims description 12
- 238000010586 diagram Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000001934 delay Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Abstract
【課題】端末装置とゲートウェイ装置との間の論理的なコネクションとしてのセッションの確立を迅速に行うこと。
【解決手段】認証サーバ3と通信ネットワーク5を介して接続されるとともに、ゲートウェイ装置2と端末装置1との間に介在する通信ネットワーク4に暗号化通信を行うためのセッションの確立を行い、端末装置1と認証サーバ3との間で通信の中継を行うゲートウェイ装置2において、認証処理部22は同一の端末装置1から複数のセッションの確立が開始された場合、最新にセッションを確立するための要求を行ったPhase1−3のパケットの1つのセッションを選択し、この選択したセッションを確立させる。
【選択図】 図1
【解決手段】認証サーバ3と通信ネットワーク5を介して接続されるとともに、ゲートウェイ装置2と端末装置1との間に介在する通信ネットワーク4に暗号化通信を行うためのセッションの確立を行い、端末装置1と認証サーバ3との間で通信の中継を行うゲートウェイ装置2において、認証処理部22は同一の端末装置1から複数のセッションの確立が開始された場合、最新にセッションを確立するための要求を行ったPhase1−3のパケットの1つのセッションを選択し、この選択したセッションを確立させる。
【選択図】 図1
Description
本発明は、暗号化通信を行うためのセッションが確立された端末装置と認証サーバとの間で認証処理のための認証データの中継を行うゲートウェイ装置およびセッション管理方法に関するものである。
従来では、ユーザが端末装置を用いて公衆網を介して専用網内の事業者の認証サーバにアクセスする場合、公衆網と専用網との間に介在するゲートウェイ装置と端末装置間で、IKEプロトコルを用いて論理的な回線としてのセッションを確立させてIPsec通信を行い、ユーザと通信相手の事業者との間での暗号化通信を可能にしていた(たとえば特許文献1)。さらに、このIPsec通信では、事業者側の認証サーバと連携することで事業者が直接ゲートウェイを介して端末装置を認証する方法がある。この場合、セッションは、1つのユーザの端末装置に1つしか確立できないように設定されている。このように1つの端末装置に1つのセッションを設定するのは、たとえば1つの端末装置に複数のセッションの確立を可能にすると、網間での認証処理に伴うデータトラフィックが多くなり、認証サーバの負荷が大きくなるためである。また、この場合には、無駄な認証処理が増えることもある。
しかしながら、従来のセッション管理方法では、1つの端末装置に複数のセッションの確立要求があると、いずれのセッションが有効なセッションであるか判断できない場合があるので、ゲートウェイ装置は、全てのセッションを切断して、この端末装置との間に新たに1つのセッションを確立させる必要があり、このためセッションを確立させる動作が煩雑になってセッションの確立に時間がかかり、端末装置の認証が遅延することがあった。
本発明は、上記に鑑みてなされたものであって、セッションの確立を迅速に行うことができるゲートウェイ装置およびセッション管理方法を提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明にかかるゲートウェイ装置は、通信ネットワークを介して認証サーバに接続されるとともに、端末装置との間に接続された通信ネットワークを介して暗号化通信を行うための論理的な回線として、前記端末装置からセッションの確立を行い、前記端末装置と前記認証サーバとの間で認証データの中継を行うゲートウェイ装置において、前記端末装置からのセッション確立要求メッセージの受信毎に受信時刻を記憶する記憶手段と、前記認証サーバへの前記端末装置に関する認証要求メッセージの送信中に同一の端末装置から新たなセッション確立要求を受信する場合、前記認証サーバからの認証応答メッセージの受信時に、前記記憶手段に記憶された前記受信時刻をもとに最新のセッション確立要求を識別し、該最新のセッションのみを確立させる認証処理手段と、を備えたことを特徴とする。
また、本発明にかかるゲートウェイ装置は、上記発明において、前記記憶手段は、前記端末装置からのIKE Phase1−3パケットのセッション確立要求メッセージの受信タイミングで前記受信時刻を記憶し、前記認証処理手段は、当該ゲートウェイ装置が最新のセッション要求より先に要求した旧セッションに対する前記認証サーバからの該旧セッション応答を受信した場合には、該旧セッションのセッション確立要求を中断し、前記最新のセッション確立要求を継続し、当該ゲートウェイ装置が前記認証サーバからの前記最新のセッション応答を前記旧セッション応答より先に受信した場合には、前記最新のセッションのセッション確立要求を継続し、前記旧セッション確立要求を該旧セッションの応答受信時に中断することを特徴とする。
また、本発明にかかるセッション管理方法は、ゲートウェイ装置が通信ネットワークを介して認証サーバに接続されるとともに、端末装置との間に接続された通信ネットワークを介して暗号化通信を行うための論理的な回線として、前記端末装置からセッションの確立を行い、前記端末装置と前記認証サーバとの間で認証データの中継を行うセッション管理方法において、前記ゲートウェイ装置が前記端末装置からのセッション確立要求メッセージの受信毎に受信時刻を記憶手段に記憶する記憶ステップと、前記ゲートウェイ装置が前記認証サーバへの前記端末装置に関する認証要求メッセージの送信中に同一の端末装置から新たなセッション確立要求を受信する場合、前記認証サーバからの認証応答メッセージの受信時に、前記記憶手段に記憶された前記受信時刻をもとに最新のセッション確立要求を識別し、該最新のセッションのみを確立させる認証処理ステップと、を含むことを特徴とする。
また、本発明にかかるセッション管理方法は、上記発明において、前記記憶ステップは、前記端末装置からのIKE Phase1−3パケットのセッション確立要求メッセージの受信タイミングで前記受信時刻を記憶し、前記認証処理ステップは、前記ゲートウェイ装置が最新のセッション要求より先に要求した旧セッションに対する前記認証サーバからの該旧セッション応答を受信した場合には、該旧セッションのセッション確立要求を中断し、前記最新のセッション確立要求を継続し、前記ゲートウェイ装置が前記認証サーバからの前記最新のセッション応答を前記旧セッション応答より先に受信した場合には、前記最新のセッションのセッション確立要求を継続し、前記旧セッション確立要求を該旧セッションの応答受信時に中断することを特徴とする。
本発明にかかるゲートウェイ装置およびセッション管理方法は、同一の端末装置から複数のセッションの確立が開始された場合、所定の1つのセッションを選択して端末装置と認証サーバ間での認証処理をサポートして、選択したセッションの確立を行うので、従来のように全てのセッションを切断して、新たに1つのセッションを確立させる煩雑な手間が省け、セッションの確立を迅速に行うことができるという効果を奏する。
以下に、本発明にかかるゲートウェイ装置およびセッション管理方法の実施の形態を図1〜図4の図面を用いて詳細に説明する。なお、本発明は、これら実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲で種々の変更実施の形態が可能である。
(実施の形態)
図1は、本発明にかかる認証処理システムの実施の形態の構成を示すシステム構成図である。図1において、認証処理システムは、ユーザの端末装置1と、ゲートウェイ装置2と、認証サーバ3とを備える。端末装置1とゲートウェイ装置2とは、通信ネットワーク(たとえば公衆網)4を介して接続され、ゲートウェイ装置2と認証サーバ3とは、特定事業者の通信ネットワーク(たとえば専用網)5を介して接続される。
図1は、本発明にかかる認証処理システムの実施の形態の構成を示すシステム構成図である。図1において、認証処理システムは、ユーザの端末装置1と、ゲートウェイ装置2と、認証サーバ3とを備える。端末装置1とゲートウェイ装置2とは、通信ネットワーク(たとえば公衆網)4を介して接続され、ゲートウェイ装置2と認証サーバ3とは、特定事業者の通信ネットワーク(たとえば専用網)5を介して接続される。
端末装置1は、認証処理を行う認証処理部11と、データの暗号化または復号化の処理を行う暗号化/復号化処理部12と、通信ネットワーク4を介してゲートウェイ装置2および認証サーバ3を含む他の通信装置と暗号化されたデータの送受信を行う送受信部13とを備える。認証処理部11は、ゲートウェイ装置2とIKE(Internet Key Exchange)プロトコルを拡張するXauth(Extended Authentication within ISAKMP/Oakley)を用いて、所定の認証処理用のプロトコル、たとえばCHAP(Challenge Handshake Authentication Protocol)をサポートして、自装置を認識させる認証処理を行い、通信ネットワーク5へのアクセスを可能にする。暗号化/復号化処理部12は、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec(IP security Protocol) SA(Security Association)で作成した鍵とを用いて暗号化して送受信部13に出力し、また暗号化されたデータを送受信部13が受信すると、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。
ゲートウェイ装置2は、設定処理部21と、認証処理手段としての認証処理部22と、フェーズ情報を記憶するフェーズ用データベース23と、IPsecを適用するための手順や方針を示すSPD情報を記憶する記憶手段としてのSPD用データベース24と、データの暗号化または復号化の処理を行う暗号化/復号化処理部25と、データの中継処理を行う中継処理部26と、端末装置1に対してデータの中継を行う端末用送受信部27と、認証サーバ3に対してデータの中継を行うサーバ用送受信部28とを備える。設定処理部21は、認証サーバ3が認証処理に用いるすべての認証処理の手順や方針を示すポリシーを設定する。設定処理部21は、たとえば認証サーバ3が用いるCHAPおよびPAP(Password Authentication Protocol)の認証処理の手順や方針を示すポリシーを設定する。SPD用データベース24は、設定処理部21で設定されたCHAPとPAPの認証処理のポリシーを記録している。
SPD情報は、設定により予め作成されるデータであり、端末装置1に対してのたとえばISAKMP(Internet Security Association and Key Management Protocol)の処理の手順や方針を示すポリシーやISAKMPに基づいてIPsecで用いるインターネット標準の鍵交換プロトコルであるIKE(Internet Key Exchange)の処理の手順や方針を示すポリシーやIKEを拡張して従来システム内で利用してきたワンタイムパスワードやRADIUSなどを使用した認証サービスを利用できるようにしたXauthの処理の手順や方針を示すポリシーである。
認証処理部11,22は、通信ネットワーク4を介して端末装置1とゲートウェイ装置2との間に、IPsec(IP security Protocol)によるデータ通信を可能にするためトンネリング技術を利用してSA(Security Association)と呼ばれる論理的な回線(コネクション)としてのセッションを確立させる処理を行う。この実施の形態での認証処理部22は、最新にセッションを確立するための接続要求を行った1つのセッションを選択して端末装置1と認証サーバ3との間での認証処理をサポートして、セッションを確立させる。すなわち、認証処理部22は、接続要求としてたとえばPhase1−3が端末装置1から受信された場合に、最新にセッションを確立するための接続要求と判断して、このセッションを選択して、セッションを確立させる。なお、たとえばユーザ側に別の通信ネットワークがあり、端末装置1がこの別の通信ネットワークに接続されている場合には、この別の通信ネットワークと通信ネットワーク4との間にはデータの中継を行う中継装置(たとえばルータ)が接続されることとなり、ゲートウェイ装置2の認証処理部22は、この中継装置との間でセッションを確立させる処理を行うこととなる。また、認証処理部22,31は、ゲートウェイ装置2と認証サーバ3との間でセッションを確立させることも可能である。
また、認証処理部11,22は、Xauthをサポートし、CHAPあるいはPAPで認証処理を行う。認証処理部22は、認証要求開始時にISAKMPのIPsec Phase−1 1stパケットを受信後に、それに対応するSPD情報を抽出し、Phase1情報を作成して参照可能とする。認証処理部22は、このPhase1情報からSPD用データベース24内に記憶される認証方式情報をチェックし、CHAP方式であれば、CHAP認証要求を送信し、また認証方式情報がPAP方式であれば、PAP認証要求を送信する。
フェーズ用データベース23は、Phase1情報を記憶する。このPhase1情報は、ISAKMPパケットの通信を行うためのネゴシエーション情報からなる。
暗号化/復号化処理部25は、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec SAで作成した鍵とを用いて暗号化して中継処理部26に出力して送受信部27からの送信を可能にし、また暗号化されたデータを中継処理部26から取り込むと、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。
認証サーバ3は、認証処理部31と、認証用データベース32と、データの暗号化または復号化の処理を行う暗号化/復号化処理部33と、データの送受信を行う送受信部34とを備える。認証処理部31は、ゲートウェイ装置2との間で認証応答があった端末装置の認証処理を行うものである。認証用データベース32は、端末装置を認証するための識別情報や取り扱うすべての認証処理の手順や方針を示すポリシーなどを記憶する。暗号化/復号化処理部33は、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec SAで作成した鍵とを用いて暗号化して送受信部34に出力し、また暗号化されたデータを送受信部34が受信すると、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。
次に、図2のシーケンス図を用いて、図1に示した認証処理システムの端末装置1とゲートウェイ装置2との間でセッションを確立する認証処理の動作を説明する。なお、図2中において、IPsec Phase1−1、IPsec Phase1−2およびIPsec Phase1−3は、IPsec通信での1回目、2回目および3回目のPhase1パケットをそれぞれ示し、Phase1−deleteは、セッションの削除を示すパケットである。また、Xauth要求、Xauth応答、Xauth SetおよびXauth ACKは、CHAPやPAPを利用したXauthで作成される認証要求、認証応答、認証確認Setおよび認証応答ACKのパケットをそれぞれ示す。
図2において、端末装置1の認証処理部11は、1回目のセッション1の確立を開始し(ステップS101)、IKEプロトコルを用いて自己の保持するキー情報を含むIPsec Phase1−1パケットを作成してゲートウェイ装置2に送信する(ステップS102)。次に、ゲートウェイ装置2の認証処理部22は、認証処理部11からキー情報を受信すると、端末装置1を認識して、自己の保持するキー情報を含むIPsec Phase1−2を作成して端末装置1に送信してキー情報の交換を行う(ステップS103)。次に、認証処理部11は、認証処理部22からキー情報を受信すると、ゲートウェイ装置2を認識した後に、IPsec Phase1−3のパケットを作成して、通信相手(IKEピア)であるゲートウェイ装置2に送信する(ステップ104)。認証処理部22は、このIPsec Phase1−3のパケットを受信すると、最新のセッションかどうかの判断を行うためにPhase1情報にPhase1−3を受信した時刻を記憶するとともに、この情報の受信時刻から最新のセッションがセッション1であることを認識する。
次に、ゲートウェイ装置2の認証処理部22は、設定処理部21で設定された認証用プロトコルによるXauth要求のパケットを端末装置1に送信する(ステップS105)。端末装置1の認証処理部11は、上記Xauthによる認証処理が可能な認証用プロトコルを有しており、Xauth要求のパケットを受信すると、この要求に対するXauth応答のパケットをゲートウェイ装置2に送信する(ステップS106)。このXauth応答のパケットには、認証サーバ3に記憶されているユーザ名とパスワードとがペイロード内に含まれている。認証処理部22は、Xauth応答のパケットを受信すると、このパケットから上記ユーザ名とパスワードを抽出し、このユーザ名とパスワードを含んだ認証要求のパケットを作成して認証サーバ3に送信し(ステップS107)、認証サーバ3の認証処理部31による認証処理を可能にする。
ここで、たとえば端末装置1のユーザがセッション1の削除を希望する場合には、端末装置1の認証処理部11からセッション1の削除を通知する旨のPhase1−deleteのパケットをゲートウェイ装置2に送信する(ステップS108)。認証処理部11は、このパケットを送信すると、セッション1を切断して図示しない記憶部に記憶されているセッション1の情報を削除する。
ゲートウェイ装置2の認証処理部22は、このPhase1−deleteのパケットを受信すると、セッション1を切断するが、SPD用データベース24に記憶されているセッション1の情報は認証サーバ3への認証要求のパケットの再送を続けるために保持する。また、たとえばトラフィック上の問題で、このパケットが消失してゲートウェイ装置2に届かない場合には、認証処理部22は、セッション1の切断を行わずに、認証要求のパケットの送信から所定時間後に、認証要求のパケットの再送を認証サーバ3に順次行う(ステップS109,S114)。
次に、端末装置1の認証処理部11は、2回目のセッション2の確立を開始し(ステップS110)、IKEプロトコルを用いて自己の保持するキー情報を含むIPsec Phase1−1パケットを作成してゲートウェイ装置2に送信する(ステップS111)。このパケットを受信すると、ゲートウェイ装置2の認証処理部22は、自己の保持するキー情報を含むIPsec Phase1−2を作成して端末装置1に送信してキー情報の交換を行う(ステップS112)。次に、認証処理部11は、認証処理部22からキー情報を受信すると、IPsec Phase1−3のパケットを作成して、ゲートウェイ装置2に送信する(ステップ113)。認証処理部22は、このIPsec Phase1−3のパケットを受信すると、受信時刻を記憶するとともに、この情報の受信時刻から最新のセッションがセッション2であり、セッション1が旧セッションであることを認識する。
次に、ゲートウェイ装置2の認証処理部22は、認証要求のパケットを再送した後に(ステップS114)、Xauth要求のパケットを端末装置1に送信する(ステップS115)。端末装置1の認証処理部11は、このXauth要求のパケットを受信すると、この要求に対するXauth応答のパケットをゲートウェイ装置2に送信する(ステップS116)。認証処理部22は、Xauth応答のパケットを受信すると、このパケットからユーザ名とパスワードとを抽出し、このユーザ名およびパスワードを含んだ認証要求のパケットを作成して認証サーバ3に送信し(ステップS117)、認証サーバ3の認証処理部31による認証処理を可能にする。
次に、認証サーバ3の認証処理部31は、ゲートウェイ装置2から認証要求のパケットを受信すると、このパケットをもとに端末装置1を認証するための認証処理を行い、この端末装置1の認証終了後に認証応答である2回目のセッション2での認証応答であることを示すACKのパケットをゲートウェイ装置2に送信する(ステップS118)。ここで、認証処理部31は、この端末装置1に対する認証が成功した場合には、認証成功を示す認証応答を行い、また認証が失敗した場合には、認証不可を示す認証応答を行う。
次に、ゲートウェイ装置2の認証処理部22は、ACKのパケットを受信すると、このACKが最新のセッション2での認証応答であるか否かのチェックを行う(ステップS119)。認証処理部22は、このパケットが最新のセッションでの認証応答なので、そのままネゴシエーションを続行して、Xauth Setのパケットを端末装置1に送信する(ステップS120)。端末装置1の認証処理部11は、このXauth Setが受信されると、Xauth ACKのパケットを作成してゲートウェイ装置2に送信する(ステップS121)。次に、認証処理部22は、このXauth ACKのパケットが受信されると、2回目のセッション2が確立されたことを確認する(ステップS122)。
次に、ゲートウェイ装置2の認証処理部22は、このセッション2が確立された後で、たとえば認証サーバ3から1回目のセッション1でのACKのパケットを受信した場合には、最新のセッション2でのACKではないので、1回目のセッション1のみを切断し、さらにSPD用データベース24に保持された1回目のセッション1の情報を削除し(ステップS124)、確立された2回目のセッション2でのIPsecによる暗号化通信を行う(ステップS125)。
ここで、図3のフローチャートを用いてゲートウェイ装置2による認証処理の詳細な動作を説明する。なお、このフローチャートは、端末装置1とゲートウェイ装置2との間でSAを確立した後の動作を示す。図3において、ゲートウェイ装置2の認証処理部22は、パケットを受信すると、Phase1−deleteのパケット(図2のステップS108参照)の受信か否か判断する(ステップS201)。ここで、認証処理部22は、この受信がPhase1−deleteのパケットの受信の場合には(ステップS201:Yes)、該当するセッション1を切断する処理を行う(ステップS202)。また、認証処理部22は、この受信がPhase1−deleteのパケットの受信でない場合には(ステップS201:No)、この受信が認証サーバ3からのACKのパケットの受信か否か判断する(ステップS203)。
ここで、認証処理部22は、この受信がACKのパケットの受信でない場合(ステップS203:No)、次のパケットの受信を待つ(ステップS201)。また、認証処理部22は、この受信がACKのパケット(図2のステップS118,S123参照)の受信の場合(ステップS203:Yes)、このACKが最新のセッションのACKか否か判断する(ステップS204)。ここで、認証処理部22は、このACKが最新のACKでない場合(ステップS204:No)、旧セッション(セッション1)でのACKと判断し、この旧セッションを切断する処理(図2のステップS124参照)を行う(ステップS205)。また、認証処理部22は、このACKが最新のセッション2でのACK(図2のステップS118参照)の場合(ステップS204:Yes)、Xauth Setのパケット(図2のステップS120参照)を端末装置1に送信し(ステップS206)、この認証確認に対する端末装置1から認証応答のXauth ACKのパケット(図2のステップS121参照)を受信すると(ステップS207)、セッションの確立されたことを確認して(ステップS208)、IPsecによる暗号化通信を行い(図2のステップS125参照)、次のパケットの受信を待つ(ステップS201)。
図4は、Phase1−3のISAKMPヘッダの構成を説明するための図である。このISAKMPヘッダは、セッションの識別子として用いる8バイトのInitiator CookieおよびResponder Cookieと、次のペイロードを示す1バイトのNext Payloadと、IKEの2つのバージョンを示す1バイトのVerと、Aggressive交換を示す1バイトのExchange Typeと、「0」に設定される5ビットのReservedと、3つのフラグを示す3ビットのFlagと、「0」に設定されるMessage IDを示す4バイトのMessage IDと、ISAKMPデータの長さを示す4バイトのLengthとからなる。
このPhase1−3のデータを受信すると、Phase1情報に受信した時刻を書き込み、各セッションでのPhase1−3を受信した受信時刻を比較することでどちらのセッションが最新のものであるか判断することができる(図2のステップS119参照)。なお、この実施の形態では、セッション2の確立後にセッション1の切断を行ったが、本発明はこれに限らず、最新のIPsec Phase1−3を受信した時に、あるいはこれ以降にセッション1を切断することも可能である。
このように、この実施の形態では、認証処理部22は同一の端末装置1から複数のセッションの確立が開始された場合、最新にセッションの確立要求を行ったPhase1−3のパケットに含まれる1つのセッションを選択し、この選択したセッションを確立するので、新たにセッションを確立し直す手間が省け、端末装置1とゲートウェイ装置2との間の論理的な回線としてのセッションの確立を迅速に行うことができる。
1 端末装置
2 ゲートウェイ装置
3 認証サーバ
4,5 通信ネットワーク
11,22,31 認証処理部
12,25,33 暗号化/復号化処理部
13,34 送受信部
21 設定処理部
23 フェーズ用データベース
24 SPD用データベース
26 中継処理部
27 端末用送受信部
28 サーバ用送受信部
32 認証用データベース
2 ゲートウェイ装置
3 認証サーバ
4,5 通信ネットワーク
11,22,31 認証処理部
12,25,33 暗号化/復号化処理部
13,34 送受信部
21 設定処理部
23 フェーズ用データベース
24 SPD用データベース
26 中継処理部
27 端末用送受信部
28 サーバ用送受信部
32 認証用データベース
Claims (4)
- 通信ネットワークを介して認証サーバに接続されるとともに、端末装置との間に接続された通信ネットワークを介して暗号化通信を行うための論理的な回線として、前記端末装置からセッションの確立を行い、前記端末装置と前記認証サーバとの間で認証データの中継を行うゲートウェイ装置において、
前記端末装置からのセッション確立要求メッセージの受信毎に受信時刻を記憶する記憶手段と、
前記認証サーバへの前記端末装置に関する認証要求メッセージの送信中に同一の端末装置から新たなセッション確立要求を受信する場合、前記認証サーバからの認証応答メッセージの受信時に、前記記憶手段に記憶された前記受信時刻をもとに最新のセッション確立要求を識別し、該最新のセッションのみを確立させる認証処理手段と、
を備えたことを特徴とするゲートウェイ装置。 - 前記記憶手段は、前記端末装置からのIKE Phase1−3パケットのセッション確立要求メッセージの受信タイミングで前記受信時刻を記憶し、
前記認証処理手段は、当該ゲートウェイ装置が最新のセッション要求より先に要求した旧セッションに対する前記認証サーバからの該旧セッション応答を受信した場合には、該旧セッションのセッション確立要求を中断し、前記最新のセッション確立要求を継続し、当該ゲートウェイ装置が前記認証サーバからの前記最新のセッション応答を前記旧セッション応答より先に受信した場合には、前記最新のセッションのセッション確立要求を継続し、前記旧セッション確立要求を該旧セッションの応答受信時に中断することを特徴とする請求項1に記載のゲートウェイ装置。 - ゲートウェイ装置が通信ネットワークを介して認証サーバに接続されるとともに、端末装置との間に接続された通信ネットワークを介して暗号化通信を行うための論理的な回線として、前記端末装置からセッションの確立を行い、前記端末装置と前記認証サーバとの間で認証データの中継を行うセッション管理方法において、
前記ゲートウェイ装置が前記端末装置からのセッション確立要求メッセージの受信毎に受信時刻を記憶手段に記憶する記憶ステップと、
前記ゲートウェイ装置が前記認証サーバへの前記端末装置に関する認証要求メッセージの送信中に同一の端末装置から新たなセッション確立要求を受信する場合、前記認証サーバからの認証応答メッセージの受信時に、前記記憶手段に記憶された前記受信時刻をもとに最新のセッション確立要求を識別し、該最新のセッションのみを確立させる認証処理ステップと、
を含むことを特徴とするセッション管理方法。 - 前記記憶ステップは、前記端末装置からのIKE Phase1−3パケットのセッション確立要求メッセージの受信タイミングで前記受信時刻を記憶し、
前記認証処理ステップは、前記ゲートウェイ装置が最新のセッション要求より先に要求した旧セッションに対する前記認証サーバからの該旧セッション応答を受信した場合には、該旧セッションのセッション確立要求を中断し、前記最新のセッション確立要求を継続し、前記ゲートウェイ装置が前記認証サーバからの前記最新のセッション応答を前記旧セッション応答より先に受信した場合には、前記最新のセッションのセッション確立要求を継続し、前記旧セッション確立要求を該旧セッションの応答受信時に中断することを特徴とする請求項3に記載のセッション管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007035049A JP4805185B2 (ja) | 2007-02-15 | 2007-02-15 | ゲートウェイ装置およびセッション管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007035049A JP4805185B2 (ja) | 2007-02-15 | 2007-02-15 | ゲートウェイ装置およびセッション管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008199498A true JP2008199498A (ja) | 2008-08-28 |
| JP4805185B2 JP4805185B2 (ja) | 2011-11-02 |
Family
ID=39758029
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007035049A Active JP4805185B2 (ja) | 2007-02-15 | 2007-02-15 | ゲートウェイ装置およびセッション管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4805185B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571704A (zh) * | 2010-12-24 | 2012-07-11 | 华为终端有限公司 | 管理会话的发起和通知方法、被管理终端及管理服务器 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05346898A (ja) * | 1992-06-16 | 1993-12-27 | Nissan Motor Co Ltd | Tcp/ipによるクライアント/サーバシステム |
| JPH0756796A (ja) * | 1993-08-10 | 1995-03-03 | Kawasaki Steel Corp | データベース管理装置のセキュリティ装置 |
| JP2003032286A (ja) * | 2001-07-11 | 2003-01-31 | Nec Corp | Vpnシステムおよびvpn装置およびプログラム |
| JP2005253061A (ja) * | 2004-02-06 | 2005-09-15 | Matsushita Electric Ind Co Ltd | 通信装置及び通信プログラム |
| JP2006074457A (ja) * | 2004-09-02 | 2006-03-16 | Furukawa Electric Co Ltd:The | ネットワーク中継装置、ネットワークシステム及び暗号化通信方法 |
| JP2006203336A (ja) * | 2005-01-18 | 2006-08-03 | Nec Corp | セキュリティ情報管理方法および通信主体装置 |
| JP2006352500A (ja) * | 2005-06-16 | 2006-12-28 | Matsushita Electric Ind Co Ltd | 自動鍵交換処理装置および自動鍵交換処理方法 |
-
2007
- 2007-02-15 JP JP2007035049A patent/JP4805185B2/ja active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05346898A (ja) * | 1992-06-16 | 1993-12-27 | Nissan Motor Co Ltd | Tcp/ipによるクライアント/サーバシステム |
| JPH0756796A (ja) * | 1993-08-10 | 1995-03-03 | Kawasaki Steel Corp | データベース管理装置のセキュリティ装置 |
| JP2003032286A (ja) * | 2001-07-11 | 2003-01-31 | Nec Corp | Vpnシステムおよびvpn装置およびプログラム |
| JP2005253061A (ja) * | 2004-02-06 | 2005-09-15 | Matsushita Electric Ind Co Ltd | 通信装置及び通信プログラム |
| JP2006074457A (ja) * | 2004-09-02 | 2006-03-16 | Furukawa Electric Co Ltd:The | ネットワーク中継装置、ネットワークシステム及び暗号化通信方法 |
| JP2006203336A (ja) * | 2005-01-18 | 2006-08-03 | Nec Corp | セキュリティ情報管理方法および通信主体装置 |
| JP2006352500A (ja) * | 2005-06-16 | 2006-12-28 | Matsushita Electric Ind Co Ltd | 自動鍵交換処理装置および自動鍵交換処理方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571704A (zh) * | 2010-12-24 | 2012-07-11 | 华为终端有限公司 | 管理会话的发起和通知方法、被管理终端及管理服务器 |
| CN102571704B (zh) * | 2010-12-24 | 2015-05-27 | 华为终端有限公司 | 管理会话的发起和通知方法、被管理终端及管理服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4805185B2 (ja) | 2011-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4727126B2 (ja) | 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供 | |
| JP4737089B2 (ja) | Vpnゲートウェイ装置およびホスティングシステム | |
| US7389412B2 (en) | System and method for secure network roaming | |
| US8046577B2 (en) | Secure IP access protocol framework and supporting network architecture | |
| US9350708B2 (en) | System and method for providing secured access to services | |
| WO2018161639A1 (zh) | 一种互联网协议安全性隧道的维护方法、装置及系统 | |
| JP2006121510A (ja) | 暗号化通信システム | |
| WO2006010648A2 (en) | Methods, apparatuses and computer-readable media for secure communication by establishing multiple secure connections | |
| CA2414044C (en) | A secure ip access protocol framework and supporting network architecture | |
| WO2009082889A1 (fr) | Procédé de négociation pour échange de clés internet et dispositif et système associés | |
| WO2011137782A1 (zh) | 无线局域网中密钥的发送方法、装置及系统 | |
| WO2013166696A1 (zh) | 数据传输方法、系统及装置 | |
| US11388145B2 (en) | Tunneling data traffic and signaling over secure etls over wireless local area networks | |
| KR100948604B1 (ko) | 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법 | |
| CN113726795B (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
| WO2009082950A1 (fr) | Procédé, dispositif et système de distribution de clés | |
| JP2006352500A (ja) | 自動鍵交換処理装置および自動鍵交換処理方法 | |
| JP4475514B2 (ja) | IPv6/IPv4トンネリング方法 | |
| JP4721715B2 (ja) | 通信装置及び通信プログラム | |
| JP4630296B2 (ja) | ゲートウェイ装置および認証処理方法 | |
| JP4805185B2 (ja) | ゲートウェイ装置およびセッション管理方法 | |
| JP2011054182A (ja) | ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体 | |
| WO2010133127A1 (zh) | 主机标识标签获取方法及系统 | |
| EP2770778B1 (en) | Method, system, and enb for establishing secure x2 channel | |
| JP2008199420A (ja) | ゲートウェイ装置および認証処理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090202 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110125 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110802 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110810 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4805185 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140819 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |