JP2013168036A - 認証方法、エッジノード、及び認証サーバ - Google Patents
認証方法、エッジノード、及び認証サーバ Download PDFInfo
- Publication number
- JP2013168036A JP2013168036A JP2012031128A JP2012031128A JP2013168036A JP 2013168036 A JP2013168036 A JP 2013168036A JP 2012031128 A JP2012031128 A JP 2012031128A JP 2012031128 A JP2012031128 A JP 2012031128A JP 2013168036 A JP2013168036 A JP 2013168036A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- information
- mac address
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】MACアドレスの通知/申請を行うことなく、信頼性の高い認証を実現する。
【解決手段】ユーザが契約しているアクセス回線を収容する第1のエッジノードが、情報端末機器からサービス要求を受信した際に、収容情報と前記情報端末機器のMACアドレスとを取得し、これらを含む認証要求を認証サーバに送信し、前記認証サーバが、予め記憶手段に格納してある収容情報と前記認証要求に含まれる収容情報とを比較することにより第1の認証を行い、第1の認証に成功した場合に、前記MACアドレスを接続実績情報として記憶手段に格納し、前記アクセス回線以外のアクセス回線を収容する第2のエッジノードが、前記情報端末機器からサービス要求を受信した際に、当該情報端末機器のMACアドレスを含む認証要求を前記認証サーバに送信し、前記認証サーバが、記憶手段に格納されたMACアドレスと、認証要求に含まれるMACアドレスとを比較することにより第2の認証を行う。
【選択図】図4
【解決手段】ユーザが契約しているアクセス回線を収容する第1のエッジノードが、情報端末機器からサービス要求を受信した際に、収容情報と前記情報端末機器のMACアドレスとを取得し、これらを含む認証要求を認証サーバに送信し、前記認証サーバが、予め記憶手段に格納してある収容情報と前記認証要求に含まれる収容情報とを比較することにより第1の認証を行い、第1の認証に成功した場合に、前記MACアドレスを接続実績情報として記憶手段に格納し、前記アクセス回線以外のアクセス回線を収容する第2のエッジノードが、前記情報端末機器からサービス要求を受信した際に、当該情報端末機器のMACアドレスを含む認証要求を前記認証サーバに送信し、前記認証サーバが、記憶手段に格納されたMACアドレスと、認証要求に含まれるMACアドレスとを比較することにより第2の認証を行う。
【選択図】図4
Description
本発明は、ユーザが情報端末機器等をネットワークに接続させる際の認証処理に関するものである。
従来、外出先にてISP(Internet Service Provider)やVPN(Virtual Private Network) 接続等を実施する際の認証処理では、ユーザにて投入された「ユーザID」、「パスワード」及び該当ユーザが使用している情報端末機器等の「MACアドレス」を認証キーとして使用し、網側で保持している情報を用いた認証を実施することで、セッション接続を確立させる『認証接続モデル』を採用するケースが多数ある(例えば、非特許文献1参照)。
Jonathan Hassell "RADIUSユーザ認証セキュリティプロトコル"株式会社オーム社(2003年).
MACアドレスも認証キーとする従来の認証接続モデルでは、ユーザがネットワークに接続する際に使用する情報端末機器等のMACアドレス情報を網側へ書面等にて通知/申請する必要があり、情報端末機器が変更になる都度、通知/申請する必要がある。一方、認証キーを「ユーザID」、「パスワード」のみとすれば上記通知/申請を行う必要はなくなるものの、セキュリティリスクが高くなり信頼性の高い認証が実現できないという問題がある。
本発明は上記の点に鑑みてなされたものであり、MACアドレスの通知/申請を行うことなく、情報端末機器がネットワークに接続する際における信頼性の高い認証を実現することを目的とする。
上記の課題を解決するため、本発明は、ユーザの情報端末機器に通信サービスを提供するネットワークにおいて、エッジノードと認証サーバとを有するシステムにより実行される認証方法であって、
前記ユーザが契約しているアクセス回線を収容する第1のエッジノードが、前記情報端末機器からサービス要求を受信した際に、当該第1のエッジノードにおける当該アクセス回線の収容情報と前記情報端末機器のMACアドレスとを取得するステップと、
前記第1のエッジノードが、前記収容情報と前記MACアドレスとを含む認証要求を前記認証サーバに送信するステップと、
前記認証サーバが、予め記憶手段に格納してある収容情報と前記認証要求に含まれる収容情報とを比較することにより第1の認証を行い、第1の認証に成功した場合に、前記MACアドレスを接続実績情報として記憶手段に格納するステップと、
前記ユーザが契約しているアクセス回線以外のアクセス回線を収容する第2のエッジノードが、前記情報端末機器からサービス要求を受信した際に、当該情報端末機器のMACアドレスを取得し、当該MACアドレスを含む認証要求を前記認証サーバ又は別の認証サーバに送信するステップと、
前記認証サーバ又は別の認証サーバが、前記接続実績情報として記憶手段に格納されたMACアドレスと、前記認証要求に含まれるMACアドレスとを比較することにより第2の認証を行うステップとを有することを特徴とする認証方法として構成される。
前記ユーザが契約しているアクセス回線を収容する第1のエッジノードが、前記情報端末機器からサービス要求を受信した際に、当該第1のエッジノードにおける当該アクセス回線の収容情報と前記情報端末機器のMACアドレスとを取得するステップと、
前記第1のエッジノードが、前記収容情報と前記MACアドレスとを含む認証要求を前記認証サーバに送信するステップと、
前記認証サーバが、予め記憶手段に格納してある収容情報と前記認証要求に含まれる収容情報とを比較することにより第1の認証を行い、第1の認証に成功した場合に、前記MACアドレスを接続実績情報として記憶手段に格納するステップと、
前記ユーザが契約しているアクセス回線以外のアクセス回線を収容する第2のエッジノードが、前記情報端末機器からサービス要求を受信した際に、当該情報端末機器のMACアドレスを取得し、当該MACアドレスを含む認証要求を前記認証サーバ又は別の認証サーバに送信するステップと、
前記認証サーバ又は別の認証サーバが、前記接続実績情報として記憶手段に格納されたMACアドレスと、前記認証要求に含まれるMACアドレスとを比較することにより第2の認証を行うステップとを有することを特徴とする認証方法として構成される。
また、本発明は、ユーザの情報端末機器に通信サービスを提供し、認証サーバを備えるネットワークにおけるエッジノードであって、
前記ユーザが契約しているアクセス回線を経由して前記情報端末機器からサービス要求を受信した際に、当該エッジノードにおける当該アクセス回線の収容情報と前記情報端末機器のMACアドレスとを取得し、前記収容情報と前記MACアドレスとを含む認証要求を前記認証サーバに送信する手段と、
前記認証サーバから、予め記憶手段に格納してある収容情報と前記認証要求に含まれる収容情報とを比較することにより実施された第1の認証の認証結果を受信する手段と、
前記ユーザが契約しているアクセス回線以外のアクセス回線を経由して前記情報端末機器からサービス要求を受信した際に、当該情報端末機器のMACアドレスを取得し、当該MACアドレスを含む認証要求を前記認証サーバ又は別の認証サーバに送信する手段と、
前記認証サーバ又は別の認証サーバから、前記第1の認証において接続実績情報として記憶手段に格納されたMACアドレスと、前記認証要求に含まれるMACアドレスとを比較することにより実施された第2の認証の認証結果を受信する手段とを有することを特徴とするエッジノードとして構成することもできる。
前記ユーザが契約しているアクセス回線を経由して前記情報端末機器からサービス要求を受信した際に、当該エッジノードにおける当該アクセス回線の収容情報と前記情報端末機器のMACアドレスとを取得し、前記収容情報と前記MACアドレスとを含む認証要求を前記認証サーバに送信する手段と、
前記認証サーバから、予め記憶手段に格納してある収容情報と前記認証要求に含まれる収容情報とを比較することにより実施された第1の認証の認証結果を受信する手段と、
前記ユーザが契約しているアクセス回線以外のアクセス回線を経由して前記情報端末機器からサービス要求を受信した際に、当該情報端末機器のMACアドレスを取得し、当該MACアドレスを含む認証要求を前記認証サーバ又は別の認証サーバに送信する手段と、
前記認証サーバ又は別の認証サーバから、前記第1の認証において接続実績情報として記憶手段に格納されたMACアドレスと、前記認証要求に含まれるMACアドレスとを比較することにより実施された第2の認証の認証結果を受信する手段とを有することを特徴とするエッジノードとして構成することもできる。
また、本発明は、ユーザの情報端末機器に通信サービスを提供し、エッジノードを備えるネットワークにおける認証サーバであって、
前記ユーザが契約しているアクセス回線を収容する第1のエッジノードが、前記情報端末機器からサービス要求を受信した際に、当該第1のエッジノードから、当該第1のエッジノードにおける当該アクセス回線の収容情報と前記情報端末機器のMACアドレスとを含む認証要求を受信する手段と、
予め記憶手段に格納してある収容情報と前記認証要求に含まれる収容情報とを比較することにより第1の認証を行い、第1の認証に成功した場合に、前記MACアドレスを接続実績情報として記憶手段に格納する手段と、
前記ユーザが契約しているアクセス回線以外のアクセス回線を収容する第2のエッジノードが、前記情報端末機器からサービス要求を受信した際に、当該第2のエッジノードから、前記情報端末機器のMACアドレスを含む認証要求を受信する手段と、
前記接続実績情報として記憶手段に格納されたMACアドレスと、前記認証要求に含まれるMACアドレスとを比較することにより第2の認証を行う手段とを有することを特徴とする認証サーバとして構成してもよい。
前記ユーザが契約しているアクセス回線を収容する第1のエッジノードが、前記情報端末機器からサービス要求を受信した際に、当該第1のエッジノードから、当該第1のエッジノードにおける当該アクセス回線の収容情報と前記情報端末機器のMACアドレスとを含む認証要求を受信する手段と、
予め記憶手段に格納してある収容情報と前記認証要求に含まれる収容情報とを比較することにより第1の認証を行い、第1の認証に成功した場合に、前記MACアドレスを接続実績情報として記憶手段に格納する手段と、
前記ユーザが契約しているアクセス回線以外のアクセス回線を収容する第2のエッジノードが、前記情報端末機器からサービス要求を受信した際に、当該第2のエッジノードから、前記情報端末機器のMACアドレスを含む認証要求を受信する手段と、
前記接続実績情報として記憶手段に格納されたMACアドレスと、前記認証要求に含まれるMACアドレスとを比較することにより第2の認証を行う手段とを有することを特徴とする認証サーバとして構成してもよい。
本発明によれば、MACアドレスの通知/申請を行うことなく、情報端末機器がネットワークに接続する際における信頼性の高い認証を実現することができる。
以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
(システム構成)
図1に、本発明の実施の形態におけるシステムの全体構成例を示す。図1に示すように、本実施の形態に係るシステムは、エッジノード1、2、認証サーバ3を備えるネットワーク4に、ユーザ側の端末であるPC5と情報端末機器6を収容するHGW(ホームゲートウェイ)7が、アクセス回線8により接続された構成を有する。また、本例では、エッジノード2にはAP9(公衆無線アクセスポイント)が接続されている。
図1に、本発明の実施の形態におけるシステムの全体構成例を示す。図1に示すように、本実施の形態に係るシステムは、エッジノード1、2、認証サーバ3を備えるネットワーク4に、ユーザ側の端末であるPC5と情報端末機器6を収容するHGW(ホームゲートウェイ)7が、アクセス回線8により接続された構成を有する。また、本例では、エッジノード2にはAP9(公衆無線アクセスポイント)が接続されている。
ネットワーク4は、アクセス回線を通じてユーザの装置に対して通信サービスを提供するIPネットワークである。エッジノード1、2は、アクセス回線に接続されるとともに、ネットワーク4側の回線に接続される通信装置(例:ルータ、スイッチなど)であり、ユーザ側の装置とネットワーク4とを接続する役割を果たす装置である。通信サービスとは、例えば、インターネット接続、VPN通信等である。
認証サーバ3は、ユーザ側の装置がネットワーク4に接続し、サービスを利用する際に、当該装置が正当な装置かどうかを判定し、接続の許可/不可を決定する認証処理を行う装置である。HGW7は、ユーザの家の通信機器とアクセス回線8との間のゲートウェイ装置である。
本実施の形態では、最初、HGW7にユーザのPC5と情報端末機器6が接続されている。PC5はユーザの家の中で固定的に使用することを想定した機器であり、情報端末機器6は、例えばスマートフォンやタブレッドであり、必要に応じて外出先でも使用する機器である。本例では、外出時に、情報端末機器6はAP9に無線でアクセスして無線経由でネットワーク4に接続される。
本実施の形態において、エッジノード1とHGW7間を結ぶアクセス回線8は固定であり、エッジノード1におけるアクセス回線8の収容情報(カードのスロット番号、ポート番号、VLAN-ID(論理インターフェース番号)等)は、ユーザの契約により固定的に設定されている。よって、当該収容位置とこのユーザとは一意に対応している。事業者側で収容替え等の収容変更があった場合は、当該ユーザの収容情報は変更されることになるが、その場合でも、認証サーバ3に予め格納されるユーザ収容情報を収容替え後の収容情報に変更すれば、本発明の認証処理を実施できる。
(エッジノードの構成)
図2に、エッジノード1の機能構成例を示す。図2に示すように、エッジノードは、通信機能部11、ユーザ情報取得部12、認証処理部13を有する。なお、図2は、エッジノード1における本発明の実施に関わる機能のみを示すものであり、エッジノード1は、エッジノードとしての機能を実現するために、図示しない他の既存機能を持つことはもちろんである。また、エッジノード2も同様の構成を有するので、以下の説明でエッジノード2内の機能部を記述する場合は、エッジノード1の機能部と同じ参照符号を付するものとする。
図2に、エッジノード1の機能構成例を示す。図2に示すように、エッジノードは、通信機能部11、ユーザ情報取得部12、認証処理部13を有する。なお、図2は、エッジノード1における本発明の実施に関わる機能のみを示すものであり、エッジノード1は、エッジノードとしての機能を実現するために、図示しない他の既存機能を持つことはもちろんである。また、エッジノード2も同様の構成を有するので、以下の説明でエッジノード2内の機能部を記述する場合は、エッジノード1の機能部と同じ参照符号を付するものとする。
通信機能部11は、パケット("フレーム"の意味も含む)の送受信を行うための機能部であり、物理インターフェースモジュール(カード等)、方路決定機能等を含む。
ユーザ情報取得部12は、通信機能部11が、ユーザに接続された固定アクセス回線(固定網と呼んでもよい)からサービス要求のパケットを受信したときに、当該サービス要求に係るユーザ収容情報とMACアドレスを取得し、ユーザ収容情報とMACアドレスを認証処理部13に渡す機能部である。
ユーザ収容情報は、例えば、当該サービス要求のパケットを受信したカード及びポートの情報、及びサービス要求のパケットに含まれるVLAN-IDを通信機能部11から取得することにより得られる。なお、ユーザ収容情報を取得する手法は、特定の手法に限定されるわけではなく、他の手法で取得することとしてもよい。MACアドレスは、サービス要求パケットから取得できる。
また、「ユーザに接続された固定アクセス回線からパケットを受け取ったこと」は、例えば、ユーザ収容情報を取得する対象とする固定アクセス回線の通信インターフェース上の収容位置を予め記憶手段に保持しておき、当該収容位置からパケットを受け取ったときに、「ユーザに接続された固定アクセス回線からパケットを受け取った」と判断できる。
また、ユーザ情報取得部12は、ユーザに接続された固定アクセス回線以外のアクセス回線(公衆無線APに接続されたアクセス回線等)からのサービス要求については、ユーザ収容情報の取得は行わず、サービス要求のパケットからMACアドレスの取得を行う。
認証処理部13は、ユーザに接続された固定アクセス回線からのサービス要求の場合に、ユーザ情報取得部12から受け取ったユーザ収容情報及びMACアドレスを認証要求に含め、当該認証要求を認証サーバ3に送信し、認証サーバ3から認証結果を受け取って、認証結果に応じて、当該ユーザに対してサービス提供可/不可を判断し、結果を通知する機能を有する。また、ユーザに接続された固定アクセス回線以外のアクセス回線からのサービス要求については、認証処理部13は、MACアドレスを認証要求に含め、当該認証要求を認証サーバ3に送信する。
本実施の形態に係る処理を実行するエッジノード1は、例えば、CPU及びメモリを備えるコンピュータの構成を含むエッジノード(通信装置)に、本実施の形態に係る処理に対応するプログラムを実行させることにより実現できる。また、本実施の形態に係る処理は、ハードウェア回路を用いて実現してもよい。
(認証サーバの構成)
図3に、認証サーバ3の機能構成例を示す。なお、図3についても、図2の場合と同様に、認証サーバ3における本発明の実施に関わる機能のみを示すものであり、認証サーバ3は、認証サーバとしての機能を実現するために、図示しない他の既存機能を持つことはもちろんである。
図3に、認証サーバ3の機能構成例を示す。なお、図3についても、図2の場合と同様に、認証サーバ3における本発明の実施に関わる機能のみを示すものであり、認証サーバ3は、認証サーバとしての機能を実現するために、図示しない他の既存機能を持つことはもちろんである。
図3に示すように、本実施の形態の認証サーバ3は、認証処理部31、接続実績情報格納処理部32、ユーザ認証情報格納部33を備える。ユーザ認証情報格納部33には、ユーザのサービス契約時等に、当該ユーザの固定アクセス回線の収容情報が予め格納されている。
認証処理部31は、エッジノードからユーザ収容情報とMACアドレスを含む認証要求を受信したときに、当該認証要求に含まれるユーザ収容情報を、ユーザ認証情報格納部33に格納されているユーザ収容情報と比較して、一致するものがある場合に、認証に成功したと判定し、応答を要求元に返すとともに、その旨を接続実績情報格納処理部32に通知する機能を有する。このとき、接続実績情報格納処理部32は、認証要求に含まれるMACアドレスをユーザ認証情報格納部33に格納する。
また、認証処理部31は、エッジノードからユーザ収容情報を含まずにMACアドレスを含む認証要求を受信したときに、当該MACアドレスを、ユーザ認証情報格納部33に格納されているMACアドレスと比較して、一致するものがある場合に、認証に成功したと判定し、応答を要求元に返す。
なお、上記の例では、ユーザID,パスワードを使用していないが、ユーザID,パスワードも加えて認証キーとしてもよい。この場合、ユーザ認証情報格納部33には、ユーザ収容情報に対応付けてユーザIDとパスワードが予め格納されるとともに、MACアドレスが格納されるときには、ユーザIDとパスワードに対応付けて格納される。そして、認証においては、ユーザの装置からユーザIDとパスワードが投入されることにより、認証サーバ3では、ユーザIDとパスワードによる認証に加えて、ユーザ収容情報による認証、もしくはMACアドレスによる認証が行われることになる。なお、本実施の形態においてユーザIDとパスワードを用いることは必須ではなく、オプショナルである。
本実施の形態に係る処理を実行する認証サーバ3は、例えば、CPU及びメモリを備えるコンピュータに、本実施の形態に係る処理に対応するプログラムを実行させることにより実現できる。また、本実施の形態に係る処理は、ハードウェア回路を用いて実現してもよい。
(システムの動作)
次に、図4のシーケンス図に示す手順に沿って、システムの動作について説明する。図5はMACアドレスの取得方法を説明するための図であり、図5も適宜参照する。図6は、図4と同様にシステムの動作を表すが、図6には、認証サーバ3等に格納されるデータ例が示されており、動作の説明において、図6も適宜参照する。図6に示されるステップ番号は図4に示したステップ番号に対応する。
次に、図4のシーケンス図に示す手順に沿って、システムの動作について説明する。図5はMACアドレスの取得方法を説明するための図であり、図5も適宜参照する。図6は、図4と同様にシステムの動作を表すが、図6には、認証サーバ3等に格納されるデータ例が示されており、動作の説明において、図6も適宜参照する。図6に示されるステップ番号は図4に示したステップ番号に対応する。
以下で説明する動作例では、情報端末機器6のユーザ(ユーザAとする)が、家から固定アクセス回線(固定網)経由で最初にサービスを利用し、その後に、外出先からサービスを利用する場合の例について説明している。
まず、ユーザAは、情報端末機器6により固定網経由で事業者のネットワーク2へのサービス要求を送信する(図4のステップ1)。このとき、ユーザが契約した際に確定するユーザID及びパスワードからなる認証情報を投入することは必須ではないが、図6では、ユーザID及びパスワードを投入する例を示している。サービス要求を受信したエッジノード1におけるユーザ情報取得部12は、情報端末機器6のMACアドレスを取得する。
図5を参照して、MACアドレスを取得するための方式例を説明する。図5の「方式1」では、情報端末機器6からPPPoE接続を実施する。この場合、図示するようにPPPoEヘッダの外側に付されるEtherヘッダの送信元(Src)アドレスとして情報端末機器6のMACアドレスが含まれているので、エッジノード1におけるユーザ情報取得部12は、Etherヘッダ内のSrcアドレスを取得することにより、情報端末機器6のMACアドレスを把握する。
図5の「方式2」の例では、HGW7が事前に自動で情報端末機器6のMACアドレスを取得する。そして、サービス要求時においてHGW7からPPPoE接続がなされる。その際、HGW7は情報端末機器6のMACアドレスをPPPoEペイロード内へ格納して送信することで、エッジノード1は情報端末機器6のMACアドレスを把握する。
更に、ユーザを収容するエッジノード1のユーザ情報取得部12は、MACアドレスに加えて、ユーザにて改ざん不可能であるユーザ収容情報を取得し、これらを含む認証要求を事業者の認証サーバ3へ送信する(ステップ2)。
更に、ユーザを収容するエッジノード1のユーザ情報取得部12は、MACアドレスに加えて、ユーザにて改ざん不可能であるユーザ収容情報を取得し、これらを含む認証要求を事業者の認証サーバ3へ送信する(ステップ2)。
本実施の形態では、エッジノード1より認証サーバ3へ認証情報等を送信する際は既存プロトコルであるRadiusを使用する。Radiusの認証要求であるAccess-Requestには、以下の情報をAttributeへ格納して送信可能である。
Calling-Station-Id(31) :MACアドレス
NAS-Port(5) :ユーザ収容情報
図4、図6に示すように、本例でのユーザ収容情報は、スロット/ポート/VLAN-IDであるが、ユーザ収容情報はこれらに限定されるわけではない。
NAS-Port(5) :ユーザ収容情報
図4、図6に示すように、本例でのユーザ収容情報は、スロット/ポート/VLAN-IDであるが、ユーザ収容情報はこれらに限定されるわけではない。
上記認証要求を受信した認証サーバ3の認証処理部31は、当該認証要求に含まれるユーザ収容情報を、ユーザ認証情報格納部33に予め格納されているユーザ収容情報と比較して一致するかどうかで認証を行う(ステップ3)。例えば、ユーザIDとパスワードを投入する場合においては、当該ユーザIDとパスワードに対応して格納されているユーザ収容情報と、認証要求に含まれるユーザ収容情報とを比較して、これらが一致するかどうかで認証を行うことができる。
図4に示すとおり、認証OKであれば、接続実績情報格納処理部32が、認証要求に含まれていたMACアドレスを接続実績情報としてユーザ認証情報格納部33に格納する。
図6には、認証サーバ3において、ユーザID、パスワード、及びユーザ収容情報が予め格納されており、MACアドレスが格納された状態が示されている。また、図6には、ユーザAに対して2つのMACアドレスが格納された例が示されている。これは、例えば、以前にPC、もしくは他の情報端末機器についてユーザ収容情報に基づく認証が行われ、そのMACアドレスが格納されていたことを示す。このように、1ユーザに対して複数の異なるMACアドレスを格納することができる。
図4に戻り、認証に成功すると、認証OKを示す情報が認証サーバ3からエッジノード1に送られるとともに、エッジノード1から情報端末機器6に送られる(ステップ4)。これにより、情報端末機器6はネットワーク4による通信サービスを利用できるようになる。
その後、ユーザAが外出し、外出先で情報端末機器6を用いてネットワーク4に対するサービス要求を行う(ステップ5)。エッジノード2は、公衆無線LANを提供するAP9を収容するアクセス回線からサービス要求を受信する。エッジノード2のユーザ情報取得部12は、サービス要求のパケットから情報端末機器6のMACアドレスを取得する。そして、認証処理部13が、当該MACアドレスを含む認証要求を認証サーバ3に送信する(ステップ6)。外出先においても、ユーザID及びパスワードからなる認証情報を投入することは必須ではないが、図6では、ユーザID及びパスワードを投入する例を示している。
図4に示すように、認証サーバ3の認証処理部13は、認証要求に含まれるMACアドレスと、ユーザ認証情報格納部33に接続実績情報として格納されているMACアドレスとを比較することで認証を行う(ステップ7)。例えば、ユーザID及びパスワードを用いる場合、ユーザ認証情報格納部33においてユーザID及びパスワードに対応付けて格納されたMACアドレスと、認証要求に含まれるMACアドレスとが一致するかどうかで認証OKかどうかを判定できる。ユーザID及びパスワードを用いない場合は、認証要求に含まれるMACアドレスと一致するMACアドレスがユーザ認証情報格納部33の中に格納されているかどうかで認証を行うことができる。
また、図6に示しているように、外出先からのアクセスの際に利用する認証サーバは、認証サーバ3と異なる認証サーバであってもよく、その場合、当該認証サーバは、認証サーバ3のユーザ認証情報格納部33に格納された情報を参照、もしくは、当該情報を認証サーバ3と共有することにより、認証サーバ3での認証処理と同様の認証処理を行うことができる。
図4に戻り、認証に成功すると、認証OKを示す情報が認証サーバ3(もしくは他の認証サーバ)からエッジノード2に送られるとともに、エッジノード2から情報端末機器6に送られる(ステップ8)。これにより、情報端末機器6はネットワーク2による通信サービスを利用できるようになる。
上述した方式に加えて、更に信頼性を向上させる例として、固定網からの接続時に認証に成功した場合に、認証サーバ3より、別途有効期限付き「認証キー」をユーザの情報端末機器6へ払い出し(通知し)、当該認証キーを外出先での接続認証に使用することとしてもよい。つまり、外出先からの接続要求に認証キーを含め、認証サーバ3において、この認証キーが、当該ユーザに払い出した認証キーであることを確認することで認証を行う。この場合、MACアドレスのなりすましへも対応することが可能となる。
(実施の形態のまとめ)
本実施の形態では、ユーザが契約しているアクセス回線を用いて、セッション接続要求(サービス要求)を実施し、セッション接続要求時に、該当ユーザを収容しているエッジノードでのユーザ収容情報を把握し、予め設定した認証情報とユーザ収容情報を用いて、網内で認証を行う。そして、正常性が確認取れた際に、情報端末機器のMACアドレスを網内で保持しておく。外出先より、該当ユーザが契約しているアクセス回線以外のアクセス回線を用いて、セッション接続要求がなされた場合、セッション接続を実施している該当ユーザの情報端末機器等のMACアドレスを把握し、保持しておいたMACアドレスを用いて、網内で認証を行う。前記ユーザ収容情報としては、該当ユーザが収容されているエッジノードにおける物理的なインターフェースモジュールの収容位置と収容ポート番号と該当ユーザの論理インターフェース番号を含む情報を使用する。
本実施の形態では、ユーザが契約しているアクセス回線を用いて、セッション接続要求(サービス要求)を実施し、セッション接続要求時に、該当ユーザを収容しているエッジノードでのユーザ収容情報を把握し、予め設定した認証情報とユーザ収容情報を用いて、網内で認証を行う。そして、正常性が確認取れた際に、情報端末機器のMACアドレスを網内で保持しておく。外出先より、該当ユーザが契約しているアクセス回線以外のアクセス回線を用いて、セッション接続要求がなされた場合、セッション接続を実施している該当ユーザの情報端末機器等のMACアドレスを把握し、保持しておいたMACアドレスを用いて、網内で認証を行う。前記ユーザ収容情報としては、該当ユーザが収容されているエッジノードにおける物理的なインターフェースモジュールの収容位置と収容ポート番号と該当ユーザの論理インターフェース番号を含む情報を使用する。
すなわち、本実施の形態では、ユーザが契約しているアクセス回線を使用したISP接続やVPN接続等で、ユーザにて改ざん不可能であるエッジノード上のユーザ収容情報を用いた認証を経てセッション接続を確立した実績のある情報端末機器のMACアドレスを網側にて保持し、外出先で当該ユーザがISP接続やVPN接続等を実施する際、当該MACアドレスを認証キーとして使用することで、信頼性かつ利便性の高い認証によるセッション接続が可能となる。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
1、2 エッジノード
3 認証サーバ
4 ネットワーク
5 PC
6 情報端末機器
7 HGW
8 アクセス回線
9 AP
11 通信機能部
12 ユーザ情報取得部
13 認証処理部
31 認証処理部
32 接続実績情報格納処理部
33 ユーザ認証情報格納部
3 認証サーバ
4 ネットワーク
5 PC
6 情報端末機器
7 HGW
8 アクセス回線
9 AP
11 通信機能部
12 ユーザ情報取得部
13 認証処理部
31 認証処理部
32 接続実績情報格納処理部
33 ユーザ認証情報格納部
Claims (7)
- ユーザの情報端末機器に通信サービスを提供するネットワークにおいて、エッジノードと認証サーバとを有するシステムにより実行される認証方法であって、
前記ユーザが契約しているアクセス回線を収容する第1のエッジノードが、前記情報端末機器からサービス要求を受信した際に、当該第1のエッジノードにおける当該アクセス回線の収容情報と前記情報端末機器のMACアドレスとを取得するステップと、
前記第1のエッジノードが、前記収容情報と前記MACアドレスとを含む認証要求を前記認証サーバに送信するステップと、
前記認証サーバが、予め記憶手段に格納してある収容情報と前記認証要求に含まれる収容情報とを比較することにより第1の認証を行い、第1の認証に成功した場合に、前記MACアドレスを接続実績情報として記憶手段に格納するステップと、
前記ユーザが契約しているアクセス回線以外のアクセス回線を収容する第2のエッジノードが、前記情報端末機器からサービス要求を受信した際に、当該情報端末機器のMACアドレスを取得し、当該MACアドレスを含む認証要求を前記認証サーバ又は別の認証サーバに送信するステップと、
前記認証サーバ又は別の認証サーバが、前記接続実績情報として記憶手段に格納されたMACアドレスと、前記認証要求に含まれるMACアドレスとを比較することにより第2の認証を行うステップと
を有することを特徴とする認証方法。 - 前記収容情報は、前記第1のエッジノードにおける物理的なインターフェースモジュールの収容位置と収容ポート番号と論理インターフェース番号を含む請求項1に記載の認証方法。
- 前記ユーザが契約しているアクセス回線として固定アクセス回線を使用し、前記ユーザが契約しているアクセス回線以外のアクセス回線として無線アクセス回線を使用する請求項1又は2に記載の認証方法。
- 前記第1の認証に成功した場合に、前記認証サーバが、前記情報端末機器に有効期限付き認証キーを払い出し、前記第2の認証において、当該認証キーを更に用いることにより認証を行う請求項1ないし3のうちいずれか1項に記載の認証方法。
- 前記第1の認証及び前記第2の認証において、前記ユーザのユーザID及びパスワードを更に用いて認証を行う請求項1ないし4のうちいずれか1項に記載の認証方法。
- ユーザの情報端末機器に通信サービスを提供し、認証サーバを備えるネットワークにおけるエッジノードであって、
前記ユーザが契約しているアクセス回線を経由して前記情報端末機器からサービス要求を受信した際に、当該エッジノードにおける当該アクセス回線の収容情報と前記情報端末機器のMACアドレスとを取得し、前記収容情報と前記MACアドレスとを含む認証要求を前記認証サーバに送信する手段と、
前記認証サーバから、予め記憶手段に格納してある収容情報と前記認証要求に含まれる収容情報とを比較することにより実施された第1の認証の認証結果を受信する手段と、
前記ユーザが契約しているアクセス回線以外のアクセス回線を経由して前記情報端末機器からサービス要求を受信した際に、当該情報端末機器のMACアドレスを取得し、当該MACアドレスを含む認証要求を前記認証サーバ又は別の認証サーバに送信する手段と、
前記認証サーバ又は別の認証サーバから、前記第1の認証において接続実績情報として記憶手段に格納されたMACアドレスと、前記認証要求に含まれるMACアドレスとを比較することにより実施された第2の認証の認証結果を受信する手段と
を有することを特徴とするエッジノード。 - ユーザの情報端末機器に通信サービスを提供し、エッジノードを備えるネットワークにおける認証サーバであって、
前記ユーザが契約しているアクセス回線を収容する第1のエッジノードが、前記情報端末機器からサービス要求を受信した際に、当該第1のエッジノードから、当該第1のエッジノードにおける当該アクセス回線の収容情報と前記情報端末機器のMACアドレスとを含む認証要求を受信する手段と、
予め記憶手段に格納してある収容情報と前記認証要求に含まれる収容情報とを比較することにより第1の認証を行い、第1の認証に成功した場合に、前記MACアドレスを接続実績情報として記憶手段に格納する手段と、
前記ユーザが契約しているアクセス回線以外のアクセス回線を収容する第2のエッジノードが、前記情報端末機器からサービス要求を受信した際に、当該第2のエッジノードから、前記情報端末機器のMACアドレスを含む認証要求を受信する手段と、
前記接続実績情報として記憶手段に格納されたMACアドレスと、前記認証要求に含まれるMACアドレスとを比較することにより第2の認証を行う手段と
を有することを特徴とする認証サーバ。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012031128A JP2013168036A (ja) | 2012-02-15 | 2012-02-15 | 認証方法、エッジノード、及び認証サーバ |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012031128A JP2013168036A (ja) | 2012-02-15 | 2012-02-15 | 認証方法、エッジノード、及び認証サーバ |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2013168036A true JP2013168036A (ja) | 2013-08-29 |
Family
ID=49178386
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012031128A Pending JP2013168036A (ja) | 2012-02-15 | 2012-02-15 | 認証方法、エッジノード、及び認証サーバ |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2013168036A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015053021A (ja) * | 2013-09-09 | 2015-03-19 | 株式会社リコー | 認証システム、情報処理装置及び認証プログラム |
JP2016057672A (ja) * | 2014-09-05 | 2016-04-21 | 日本電信電話株式会社 | 端末別認証払い出し制御装置、認証キー払い出し機能設定装置、方法およびプログラム |
-
2012
- 2012-02-15 JP JP2012031128A patent/JP2013168036A/ja active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015053021A (ja) * | 2013-09-09 | 2015-03-19 | 株式会社リコー | 認証システム、情報処理装置及び認証プログラム |
JP2016057672A (ja) * | 2014-09-05 | 2016-04-21 | 日本電信電話株式会社 | 端末別認証払い出し制御装置、認証キー払い出し機能設定装置、方法およびプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9565167B2 (en) | Load balancing internet protocol security tunnels | |
US9154378B2 (en) | Architecture for virtualized home IP service delivery | |
US8447843B2 (en) | System, method and computer program product for identifying, configuring and accessing a device on a network | |
TWI549452B (zh) | 用於對虛擬私人網路之特定應用程式存取之系統及方法 | |
US8910248B2 (en) | Terminal connection status management with network authentication | |
CA2820378C (en) | Secure tunneling platform system and method | |
US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
CN106790420B (zh) | 一种多会话通道建立方法和系统 | |
US8601568B2 (en) | Communication system for authenticating or relaying network access, relaying apparatus, authentication apparatus, and communication method | |
KR20140023957A (ko) | 하나 이상의 전기 디바이스에 대한 정보를 배포하는 방법 및 시스템 | |
TW201204098A (en) | Dynamic service groups based on session attributes | |
JP6554526B2 (ja) | 多重アカウント統合管理システム及び方法 | |
CN110650076A (zh) | Vxlan的实现方法,网络设备和通信系统 | |
WO2015008780A1 (ja) | 機器管理システム、機器管理方法及びプログラム | |
US10374946B2 (en) | Centralized wireless network management system | |
JP2015033037A (ja) | 無線lanシステム | |
KR20150058220A (ko) | 웹 서비스를 안전하게 액세스하기 위한 방법 및 디바이스 | |
EP2550784A1 (en) | Method of securing access to data or services that are accessible via a device implementing the method and corresponding device | |
JP2010283553A (ja) | 機器の種類に基づいたネットワーク管理方法、ネットワーク管理装置、プログラム | |
JP6393475B2 (ja) | 通信アダプタ装置、通信システム、トンネル通信方法、及びプログラム | |
JP2013168036A (ja) | 認証方法、エッジノード、及び認証サーバ | |
JP5261432B2 (ja) | 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム | |
CN110943962B (zh) | 一种认证方法、网络设备和认证服务器以及转发设备 | |
JP2015050496A (ja) | 通信システム及び認証スイッチ | |
JP2006229265A (ja) | ゲートウェイシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20131001 |