JP2016149702A - 無線通信におけるクライアント端末認証システムおよびクライアント端末認証方法 - Google Patents
無線通信におけるクライアント端末認証システムおよびクライアント端末認証方法 Download PDFInfo
- Publication number
- JP2016149702A JP2016149702A JP2015026634A JP2015026634A JP2016149702A JP 2016149702 A JP2016149702 A JP 2016149702A JP 2015026634 A JP2015026634 A JP 2015026634A JP 2015026634 A JP2015026634 A JP 2015026634A JP 2016149702 A JP2016149702 A JP 2016149702A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- client terminal
- address
- server
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】無線回線を利用した情報通信において高いセキュリティを実現する。
【解決手段】ネットワークに配置されるアドレス割当サーバにより、無線通信により当該ネットワークに接続するクライアント端末からのアドレス割当要求を受信してアドレス認証を実行する。アドレス割当サーバがアドレス認証に成功した場合、クライアント端末にアドレスを送信する。ネットワーク中、少なくともアドレス割当サーバより上流に配置される認証サーバにより、アドレスを割り当てられたクライアント端末が送信する証明書を受信し、当該証明書の認証を実行する。認証サーバが証明書の認証に成功した場合、クライアント端末によるネットワークへのアクセスを許可する。
【選択図】図1
【解決手段】ネットワークに配置されるアドレス割当サーバにより、無線通信により当該ネットワークに接続するクライアント端末からのアドレス割当要求を受信してアドレス認証を実行する。アドレス割当サーバがアドレス認証に成功した場合、クライアント端末にアドレスを送信する。ネットワーク中、少なくともアドレス割当サーバより上流に配置される認証サーバにより、アドレスを割り当てられたクライアント端末が送信する証明書を受信し、当該証明書の認証を実行する。認証サーバが証明書の認証に成功した場合、クライアント端末によるネットワークへのアクセスを許可する。
【選択図】図1
Description
本発明は、無線通信におけるクライアント端末認証システムおよびクライアント端末認証方法に関する。
スマートフォンやタブレット端末等、ユーザが携帯可能な情報通信機器が一般化するとともに、無線通信が利用される場面が拡大している。これに伴い、ユーザが携帯情報端末を用いてWi−Fi等の無線通信ネットワークから固定通信回線に接続し、多様なサービスを利用することも増えている。
ユーザが情報通信端末を用いて固定通信回線にアクセスする場合は、高いセキュリティを実現するために例えば回線認証等の技術が利用される。回線認証とは、ユーザの情報通信端末を一意に識別する発信者ID(Identifier)と、ホームゲートウェイ(HGW)等に接続される通信回線を一意に識別する回線認証IDと、を用いた認証技術である。回線認証により、ユーザが、契約している回線以外からネットワークにアクセスすることを防止することができる。
小宮 博美、"[上級]無線LANの正しい構築法 第8回 ユーザー認証の機能が不可欠 企業では802.1xが主流に(後編)"、[online]、2006年9月21日、[2014年12月8日検索]、インターネット<URL:http://itpro.nikkeibp.co.jp/article/COLUMN/20060914/248050/>
しかしながら、ユーザがWi−Fi等の無線ネットワークを利用する場合は、ユーザがネットワークに接続しようとする場所を予め特定できず、任意の回線が共用されるため、回線認証の技術を用いて高いセキュリティを実現することはできない。
開示の実施形態は、上記に鑑みてなされたものであって、無線回線を利用した情報通信において高いセキュリティを実現することを目的とする。
開示するクライアント端末認証システムは、ネットワークに配置され、無線通信により当該ネットワークに接続するクライアント端末からのアドレス割当要求を受信してアドレス認証を実行し、アドレス認証に成功した場合、クライアント端末にアドレスを送信するアドレス割当サーバを備える。また、開示するクライアント端末認証システムは、ネットワーク中、少なくともアドレス割当サーバより上流に配置され、アドレスを割り当てられたクライアント端末が送信する証明書を受信して当該証明書の認証を実行し、証明書の認証に成功した場合、クライアント端末によるネットワークへのアクセスを許可する認証サーバを備える。
開示するクライアント端末認証方法は、ネットワークに配置されるアドレス割当サーバにより、無線通信により当該ネットワークに接続するクライアント端末からのアドレス割当要求を受信してアドレス認証を実行するアドレス認証工程を含む。また、開示するクライアント端末認証方法はさらに、アドレス割当サーバがアドレス認証に成功した場合、クライアント端末にアドレスを送信する送信工程を含む。また、開示するクライアント端末認証方法はさらに、ネットワーク中、少なくともアドレス割当サーバより上流に配置される認証サーバにより、アドレスを割り当てられたクライアント端末が送信する証明書を受信し、当該証明書の認証を実行する証明書認証工程を含む。開示するクライアント端末認証方法はさらに、認証サーバが証明書の認証に成功した場合、クライアント端末によるネットワークへのアクセスを許可する許可工程を含む。
開示するクライアント端末認証システムおよびクライアント端末認証方法は、無線回線を利用した情報通信において高いセキュリティを実現することができるという効果を奏する。
以下に、開示するクライアント端末認証システムおよびクライアント端末認証方法の実施形態を図面に基づいて詳細に説明する。なお、この実施形態によりこの発明が限定されるものではない。また、各実施形態は適宜組み合わせることができる。
(従来の無線LANを用いた通信システムにおけるクライアント端末認証)
図10は、従来の一般的な無線LANを用いた通信システムの構成の一例を示す概略図である。図10に示すように、一般的な無線LANでは、アクセスポイント(AP)が認証処理を実行し、無線LANスイッチ等の他のデバイスがAPの管理やハンドオーバーを実行する構成となっている。APはたとえば、認証処理のほか、VLAN(Virtual Local Area Network)の割当や通信フローの暗号化・復号化、CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance)等の処理を実行する。また、無線LANスイッチ等のデバイスにおいて、ネットワークの負荷分散やハンドオーバー等の処理を行う。
図10は、従来の一般的な無線LANを用いた通信システムの構成の一例を示す概略図である。図10に示すように、一般的な無線LANでは、アクセスポイント(AP)が認証処理を実行し、無線LANスイッチ等の他のデバイスがAPの管理やハンドオーバーを実行する構成となっている。APはたとえば、認証処理のほか、VLAN(Virtual Local Area Network)の割当や通信フローの暗号化・復号化、CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance)等の処理を実行する。また、無線LANスイッチ等のデバイスにおいて、ネットワークの負荷分散やハンドオーバー等の処理を行う。
図11は、従来のIEEE802.1x認証について説明するための図である(非特許文献1参照)。従来の無線クライアントの認証手法の一例として、図11を参照してIEEE802.1xでの認証について説明する。IEEE802.1xにおける認証処理では、認証されていない未認証クライアントからの通信フローをネットワーク中に流さないようAPが制御を実行する。
図11の例では、複数のクライアントがそれぞれAPを介してネットワークに接続される。ネットワークには認証サーバも接続されている。クライアントから認証要求が送信されると、認証要求はまずアクセスポイントにより受信される。アクセスポイントは受信した認証要求をそのままネットワークに流さず、いったん終端させる。そして、アクセスポイントは、Radius等のプロトコルを使って認証データを認証サーバに転送する。この方式では、アクセスポイントがクライアントが認証済みか否か、認証に成功したか失敗したか等の情報を把握できる。また、アクセスポイントが、認証要求以外の通信フローをネットワークに転送するか否かを判定できる。
図12は、従来のWi−Fiにおけるクライアント端末認証方法の種類について説明するための図である。図12に示す認証方式のうち、特にセキュリティレベルが高いとされている方式がEAP−TLS(Extensible Authentication Protocol − Transport Level Security)である。EAP−TLSについて図13を参照し説明する。図13は、従来のWi−Fiにおけるクライアント端末認証方法の一つであるEAP−TLSについて説明するための図である(非特許文献1参照)。
EAP−TLSでは、クライアントと認証サーバの双方がそれぞれ、クライアント証明書とサーバ証明書を取得して使用する。クライアント証明書およびサーバ証明書は、認証局(CA:Certificate Authority)が発行する。クライアント証明書およびサーバ証明書は、ユーザ名、有効期限等の情報とCAの電子署名を含む。また、クライアント証明書およびサーバ証明書は、ユーザだけでなく利用機器を特定する。
EAP−TLSの認証を用いる際は、まず、クライアントは認証局にクライアント証明書の発行を要求し(発行リクエスト)、認証局がクライアント証明書を発行する。同様に、認証サーバは認証局にサーバ証明書の発行を要求し(発行リクエスト)、認証局がサーバ証明書を発行する。そして、クライアントと認証サーバがそれぞれクライアント証明書およびサーバ証明書を持った状態となる。そして、通信の際には、証明書を交換して電子署名を公開鍵で復号化し双方の認証を行う。なお、認証処理は上述のとおり、アクセスポイントで通信を終端して、クライアント側とサーバ側では異なるプロトコルを用いて実行する。
(従来方式の課題)
図14は、従来のクライアント端末認証方法について説明するための図である。従来の認証方式には以下のような課題がある。まず、アクセスポイントがクライアントからの認証要求を終端して処理を行う点である。この場合、高いレベルのセキュリティを実現するためにはアクセスポイントにセキュリティ機構を導入することが考えられる。しかし、アクセスポイントは数が多く、すべてのアクセスポイントにセキュリティ機構を導入するとコストが高い。
図14は、従来のクライアント端末認証方法について説明するための図である。従来の認証方式には以下のような課題がある。まず、アクセスポイントがクライアントからの認証要求を終端して処理を行う点である。この場合、高いレベルのセキュリティを実現するためにはアクセスポイントにセキュリティ機構を導入することが考えられる。しかし、アクセスポイントは数が多く、すべてのアクセスポイントにセキュリティ機構を導入するとコストが高い。
また、EAP−TLSのように認証サーバを用いる場合も、認証データはいったんアクセスポイントで終端され、認証データ(証明書)をそのままルータを超えて転送することができない。そのため、ルータにあわせて複数の認証サーバを設置することになり、やはりコストが高くなる。
(実施形態)
上記に鑑みて、実施形態にかかるクライアント端末認証システム1は、2段階の認証処理を用いる。具体的には、実施形態にかかるクライアント端末認証システム1は、認証処理とアドレス割当処理との双方を実行するサーバを一つ配置するのではなく、認証サーバとアドレス割当サーバとを別個に配置する。また、認証サーバをアドレス割当サーバよりもネットワーク上の上流に配置して、認証処理を集約的に実行させる。
上記に鑑みて、実施形態にかかるクライアント端末認証システム1は、2段階の認証処理を用いる。具体的には、実施形態にかかるクライアント端末認証システム1は、認証処理とアドレス割当処理との双方を実行するサーバを一つ配置するのではなく、認証サーバとアドレス割当サーバとを別個に配置する。また、認証サーバをアドレス割当サーバよりもネットワーク上の上流に配置して、認証処理を集約的に実行させる。
図1は、実施形態にかかるクライアント端末認証システム1の構成の一例を示す概略図である。図1に示すクライアント端末認証システム1は、認証サーバ110とDHCP(Dynamic Host Configuration Protocol)サーバ120とを備える。
認証サーバ110は、クライアント端末から送信されるクライアント証明書を用いて認証処理を実行する。たとえば、認証サーバ110は、クライアント端末からクライアント証明書を受信すると、クライアント証明書に含まれる電子署名を公開鍵を用いて復号する。これによって認証サーバ110はクライアント証明書の真正すなわちクライアント端末が正当なクライアント端末であるか否かを判定する。認証サーバ110は、正当なクライアント端末であると判定した場合、クライアント端末と認証サーバ110との間に接続される中継装置たとえばエッジルータ(Edge-R)に対してクライアント端末からの通信フローを経路づけるための指示を送信する。
DHCPサーバ120は、クライアント端末からのアドレス割当要求を受信してクライアント端末のアドレス認証を実行するアドレス割当サーバである。DHCPサーバ120は、ネットワーク中で認証サーバ110よりも下流すなわちネットワーク末端近くに配置される。いいかえれば、DHCPサーバ120は、ネットワーク中で認証サーバ110よりもクライアント端末がアクセスするアクセスポイントの近くに配置される。
DHCPサーバ120は、ネットワークにアクセスしようとするクライアント端末からのアドレス割当要求を受信する。アドレス割当要求に応じて、DHCPサーバ120は簡易認証処理を実行して認証に成功すると、クライアント端末にIPアドレスを割り当てる。以後、クライアント端末は、割り当てられたIPアドレスを用いてネットワークにアクセスする。
図1の例では、認証サーバ110はエッジルータ130(Edge-R:第1の中継装置)およびコアルータ140(Core-R:第2の中継装置)、スイッチ150を介してアクセスポイント160A,160B,160Cと接続される。コアルータ140はゲートウェイ(GW)170を介してインターネット180と接続する。クライアント端末190は、たとえばアクセスポイント160Aを介してネットワークにアクセスする。
クライアント端末190は、無線通信(Wi−Fi等)によりアクセスポイント160Aに対してIPアドレスの割当を要求するアドレス割当要求を送信する。クライアント端末190は、アドレス割当要求に応じてIPアドレスが割り当てられると、当該IPアドレスを使用して認証サーバ110にクライアント証明書を送信する。クライアント証明書に基づく認証が成功すると、クライアント端末190は、認証サーバ110から送信されるアクセス許可通知を受信する。以後、クライアント端末190は、予め割り当てられているvCPE(virtual Customer Premises Equipment)にアクセスして通信を実行することができる。
このように、本実施形態では、クライアント端末190が認証サーバ110による認証を受ける前からIPアドレスを用いてネットワークにアクセスできるようにしている。ただし、不正なアクセスを防止するために、DHCPサーバ120が簡易認証を実行する。ここで、DHCPサーバ120が実行する簡易認証について特に限定せず、ネットワークに要求されるセキュリティのレベルに応じて認証レベルを設定すればよい。たとえば、DHCPサーバ120は、回線認証と同様に、発信者IDと回線認証IDを取得し、登録されたユーザの発信者IDが取得された場合のみIPアドレスを発行するように設定してもよい。また、発信者IDのほかに、5tuple、SIM、トンネルID等を用いて簡易認証を実現してもよい。
(実施形態に係るクライアント端末認証処理の流れの一例)
図2は、実施形態にかかるクライアント端末認証方法の流れの一例を示すフローチャートである。まず、クライアント端末190がアクセスポイント160Aを介してアドレス割当要求を送信することで処理が開始する。アドレス割当要求は、アクセスポイント160Aからスイッチ150およびエッジルータ130を介してDHCPサーバ120に送信される。DHCPサーバ120は簡易認証を実行する(ステップS201)。DHCPサーバ120における簡易認証が成功すると(ステップS202、YES)、DHCPサーバ120はIPアドレスをクライアント端末190に割り当てる(ステップS203)。
図2は、実施形態にかかるクライアント端末認証方法の流れの一例を示すフローチャートである。まず、クライアント端末190がアクセスポイント160Aを介してアドレス割当要求を送信することで処理が開始する。アドレス割当要求は、アクセスポイント160Aからスイッチ150およびエッジルータ130を介してDHCPサーバ120に送信される。DHCPサーバ120は簡易認証を実行する(ステップS201)。DHCPサーバ120における簡易認証が成功すると(ステップS202、YES)、DHCPサーバ120はIPアドレスをクライアント端末190に割り当てる(ステップS203)。
他方、簡易認証が失敗すると(ステップS202、NO)、DHCPサーバ120はIPアドレスの割当は実行せず、クライアント端末190のアクセスを拒否する拒否応答をクライアント端末190に送信する(ステップS208)。
認証が成功してIPアドレスが割り当てられたクライアント端末190は次に、予め取得しているクライアント証明書を認証サーバ110に送信する。認証サーバ110は受信したクライアント証明書に基づく認証処理を実行する(ステップS204)。認証に成功すると(ステップS205、Yes)、認証サーバ110は、クライアント端末190に予め割り当てられているvCPEをクライアント端末190が利用できるよう、通信フローを制御する装置に対して、クライアント端末190の認証が成功した旨を通知する。通知に応じて、該当する装置が通信フローの制御処理を実行し、クライアント端末とvCPEとの間の通信経路(トンネル)を確立する(ステップS206)。以後、クライアント端末190は、確立された通信経路を介してvCPEにアクセスし、vCPEを通じて他のインターネットサービスプロバイダ(ISP)によるサービスを利用する(ステップS207)。
他方、クライアント証明書に基づく認証処理が失敗した場合(ステップS205、NO)、認証サーバ110は、クライアント端末190のアクセスを拒否する拒否応答をクライアント端末に送信する(ステップS208)。これで、クライアント端末認証処理は終了する。
なお、図1の例では、スイッチおよびエッジルータ130がDHCPサーバ120とアクセスポイント160Aとの間に配置されているが、これらの構成要素の数や配置についてはネットワークの設計に応じて調整してよい。
(クライアント端末認証処理の詳細例)
図3乃至図8は、実施形態にかかるクライアント端末認証処理の流れを説明するための第1乃至第6の図である。図3乃至図8を参照して、さらにクライアント端末認証処理について説明する。なお、図3乃至図8の例では、DHCPサーバ120はエッジルータ130と併せて参照符号120で表示する。
図3乃至図8は、実施形態にかかるクライアント端末認証処理の流れを説明するための第1乃至第6の図である。図3乃至図8を参照して、さらにクライアント端末認証処理について説明する。なお、図3乃至図8の例では、DHCPサーバ120はエッジルータ130と併せて参照符号120で表示する。
図3は、クライアント端末認証処理の具体的な流れの一例を概略的に示す。図3に示すように、まずクライアント端末190がアドレス割当要求(「IPアドレス割当要求」)をDHCPサーバ120にあてて送信する(図3の(1))。これに対して、IPアドレスが割り当てられてクライアント端末190に送信される(図3の(2))。たとえば、IPアドレスとしてprivate IPv6のアドレスが割り当てられる。
次に、クライアント端末190は割り当てられたIPアドレスを使用して認証サーバ110にあててクライアント証明書を送信する(図3の(3))。このときの通信態様としては、たとえばSSL通信を利用してHTTPS(Hypertext Transfer Protocol Secure)を行う。このように、SSL通信を利用することで、第三者がクライアント証明書の内容等の認証情報を不正に取得することを防止できる。
クライアント証明書を受信した認証サーバ110は、クライアント証明書を用いた認証処理を実行する。クライアント証明書を用いた認証処理は、通常のEAP−TLSにおける公開鍵を用いた処理等でよい。認証に成功すると、認証サーバ110は、SOAP等のプロトコルを用いてクライアント証明書による認証に成功した旨をフロー制御装置に通知する(図3の(4))。
図3において、通信フローを制御する装置(フロー制御装置)はたとえばPCRF(Policy and Charging Rules Function)である。フロー制御装置は、認証サーバ110からの通知に基づき、クライアント端末190に予め割り当てられているvCPEを特定する。フロー制御装置は、たとえば、図示しないデータベース等に格納されたユーザ情報を参照して、クライアント端末に割り当てられたvCPEを特定する。そして、フロー制御装置は、vCPEに接続されるエッジルータ等の中継装置に対して、クライアント端末190からの通信フローを特定したvCPEに経路づけるよう指示する(図3の(5))。このとき、フロー制御装置は、リアルタイム制御を実現するため、Gx等の通信インタフェースを使用すればよい。フロー制御装置からの指示を受信したエッジルータ等の中継装置は、クライアント端末190と特定されたvCPEとの間に通信経路を確立するよう制御を実行する(図3の(6))。
図4は、図3の(1)、(2)の流れを示す図である。図4に示すように、クライアント端末190とエッジルータとの間にはレイヤー2ネットワークが形成される。エッジルータは仮想スイッチ(vSW)に接続されており、エッジルータから仮想スイッチを介して仮想CPE(vCPE)を利用できる構成である。また、仮想CPEはISP等のサービスに接続される。
図4に示すように、クライアント端末190からアドレス割当要求がエッジルータ(DHCPサーバ120)にあてて送信される。アドレス割当要求に応じてIPアドレスがDHCPサーバ120からクライアント端末190に送信され、クライアント端末190はIPアドレスを取得する。IPアドレスを取得するための通信は、レイヤー2ネットワークにおいて実行される。
図5は、図3の(3)、(4)、(5)の流れを示す図である。図5に示すように、IPアドレスを取得したクライアント端末190は次に、クライアント証明書を用いた認証を受けるため、認証要求(すなわちクライアント証明書を用いた認証の要求)を認証サーバ110あてに送信する(図5の(3))。認証サーバ110は、認証要求を受信して、クライアント証明書を認証する。認証が成功すると、認証サーバ110は、認証が成功したクライアント端末のユーザを識別する情報をPCRF(フロー制御装置)に通知する(図5の(4))。また、認証サーバ110は、認証が成功した旨をクライアント端末190に通知する(図5の(5))。すなわち、認証サーバ110はネットワークへのアクセスを許可する旨をクライアント端末190に通知する。そして、PCRFは、認証サーバ110から受信したユーザの情報に基づき、当該ユーザに割り当てられたvCPEを特定する。そして、PCRFは、当該ユーザすなわちクライアント端末190からの通信フローが特定したvCPEに経路づけられるよう、ネットワーク中の中継装置にステアリング指示を送信する(図5の(6))。たとえば、PCRFは、vCPEに接続されるエッジルータ等にステアリング指示を送信する。
図6乃至図8は、図3の(5)から(6)の流れを示す図である。図5までの処理によって、クライアント端末190の認証が成功して、クライアント端末190とvCPEとのステアリングが指示される。これにより、クライアント端末190は、ネットワークにアクセスしてvCPEへアクセスすることができる(図6の(7))。
そして、クライアント端末190とvCPEとの間でレイヤー2トンネルプロトコル(L2TP:Layer 2 Tunneling Protocol)トンネルが確立される(図7の(8))。そして、クライアント端末190は、確立されたL2TPトンネルを使用してISP等が提供するサービスを利用することができる(図8の(9))。
(DHCPサーバによる簡易認証)
固定通信回線における回線認証時には、ユーザがホームゲートウェイ(HGW)等からIPエッジを介してNACF(Network Attachment Control Functions)サーバに接続要求フレームを送信する。NACFサーバは、送信される情報に含まれる発信者IDと回線認証IDに基づく認証を行う。NACFサーバは、回線認証に成功した場合、ホームゲートウェイ(HGW)にIPアドレスを割り振る。
固定通信回線における回線認証時には、ユーザがホームゲートウェイ(HGW)等からIPエッジを介してNACF(Network Attachment Control Functions)サーバに接続要求フレームを送信する。NACFサーバは、送信される情報に含まれる発信者IDと回線認証IDに基づく認証を行う。NACFサーバは、回線認証に成功した場合、ホームゲートウェイ(HGW)にIPアドレスを割り振る。
本実施形態のDHCPサーバ120は、回線認証時のNACFサーバの動作と同様に、発信者IDと回線認証IDに基づく認証処理を実行するように設定しておけばよい。たとえば、認証成功と判断する条件として、発信者IDのみを登録ユーザの発信者IDを用いて回線認証IDは制限しないように設定する等すればよい。
(実施形態の効果)
上記のように、実施形態にかかるクライアント端末認証システムは、ネットワークに配置され、無線通信により当該ネットワークに接続するクライアント端末からのアドレス割当要求を受信してアドレス認証を実行し、アドレス認証に成功した場合、クライアント端末にアドレスを送信するアドレス割当サーバと、ネットワーク中、少なくともアドレス割当サーバより上流に配置され、アドレスを割り当てられたクライアント端末が送信する証明書を受信して当該証明書の認証を実行し、証明書の認証に成功した場合、クライアント端末によるネットワークへのアクセスを許可する認証サーバと、を備える。
上記のように、実施形態にかかるクライアント端末認証システムは、ネットワークに配置され、無線通信により当該ネットワークに接続するクライアント端末からのアドレス割当要求を受信してアドレス認証を実行し、アドレス認証に成功した場合、クライアント端末にアドレスを送信するアドレス割当サーバと、ネットワーク中、少なくともアドレス割当サーバより上流に配置され、アドレスを割り当てられたクライアント端末が送信する証明書を受信して当該証明書の認証を実行し、証明書の認証に成功した場合、クライアント端末によるネットワークへのアクセスを許可する認証サーバと、を備える。
このため、実施形態のクライアント端末認証システムは、アドレス割当サーバがアドレス認証を実行することで、不正なクライアント端末がネットワークに通信フローを送ることを防止することができる。また、実施形態のクライアント端末認証システムは、アドレス認証に成功したクライアント端末の証明書に基づく認証をさらに実行することで、アドレス認証だけ実行する場合と比較してネットワークのセキュリティを向上させることができる。このため、実施形態のクライアント端末認証システムは、無線回線を利用した情報通信において高いセキュリティを実現することができる。
このため、固定通信と無線通信(Wi−Fi)とを融合したサービスを実現する場合であっても、高いセキュリティレベルを実現することができる。たとえば、Wi−Fiからホームネットワークにアクセスしてビデオを視聴したり、冷蔵庫の中身を確認したり、風呂のお湯を入れたりする場合に、回線認証と同様のセキュリティレベルを実現することができる。
また、認証サーバをネットワーク上流に配置することで、認証機構を集約して公衆Wi−Fi網実現にかかるコストを抑制できる。と同時に、ネットワーク末端のアドレス割当サーバにおいても簡易認証を行うことにより、ネットワーク末端から認証サーバまでの経路内において悪意ある第三者の攻撃を受けることを防止できる。
さらに、実施形態のクライアント端末認証システムにおいては、認証サーバをアドレス割当サーバよりも上流に配置しているため、アドレス割当サーバと認証サーバとをネットワーク上の同じ位置に配置する場合と比較して、認証サーバを集約的に配置することができる。
また、実施形態のクライアント端末認証システムは、ネットワークの末端に配置され、アドレス割当サーバと接続される第1の中継装置をさらに備え、第1の中継装置は、クライアント端末から送信されアドレス認証を要求するアドレス認証要求を自装置において終端する。このため、不正なクライアント端末からアドレス認証要求が送信された場合は、第1の中継装置より上流のネットワーク内に当該アドレス認証要求が流れることがない。このため、不正なクライアント端末からのアクセスをブロックすることができる。
また、実施形態のクライアント端末認証システムは、アドレス割当サーバと認証サーバとの間であって、第1の中継装置よりネットワークの上流に配置される第2の中継装置をさらに備える。つまり、実施形態のクライアント端末認証システムでは、複数の中継装置によって接続される多様な装置からの証明書を一括して上流の認証サーバで認証することができ、認証サーバの数を減じて、システムの配置、維持管理のコストを減じることができる。
また、実施形態のクライアント端末認証システムは、認証サーバからの指示に基づき、クライアント端末からの通信フローの送信先を指定するステアリング指示を第1の中継装置に送信するフロー制御装置をさらに備え、認証サーバは、証明書の認証に成功した場合、クライアント端末のユーザ識別情報をフロー制御装置に送信し、フロー制御装置は、認証サーバから送信されるユーザ識別情報に基づき、ステアリング指示を送信する。このため、実施形態のクライアント端末認証システムは、アドレス割当サーバと認証サーバによる2段階認証を経て認証されたクライアント端末を、適切にステアリングすることができる。
また、実施形態のクライアント端末認証システムにおいて、フロー制御装置は、ユーザ識別情報に含まれるクライアント端末に割り当てられた仮想CPE(Customer Premises Equipment)の情報を参照し、クライアント端末と当該仮想CPEとの間に通信経路を確立するよう指示するステアリング指示を、第1の中継装置に送信する。このため、実施形態のクライアント端末認証システムは、クライアント端末を適切にステアリングすることができる。
また、実施形態のクライアント端末認証システムにおいて、第1の中継装置は、ネットワーク中に複数設けられ、アドレス割当サーバは、第1の中継装置各々に一つ設けられ、認証サーバは、複数のアドレス割当サーバによりアドレスを割り当てられる複数のクライアント端末の証明書の認証を実行する。このため、実施形態のクライアント端末認証システムにおいては、認証サーバの機能を集約してサーバの設置、維持にかかるコストを減じることができる。また、アドレス割当サーバによって、ネットワークの末端において不正なクライアント端末のアクセスを効果的に抑制することができる。
また、実施形態のクライアント端末認証システムにおいては、アドレス割当サーバが第一段階の認証を実行してIPアドレスを払い出し、その後ネットワーク上流に位置する認証サーバがクライアント証明書による認証を実行する。このため、回線認証を実行する既存のNACFサーバに実施形態のアドレス割当サーバの機能を持たせて、固定回線における認証処理とWi−Fi等の無線回線における認証処理とを統合して同じサーバに有線無線の認証処理を実行させることができる。このため、固定通信と無線通信の認証機構を同一にして設備を共用することもでき、低コストで高いセキュリティレベルの通信システムを実現することができる。
また、同一の認証サーバをすべてのアクセスポイントからのアクセスについて使用することで、アクセスポイントがいずれかに関わらず固定回線の場合と同様のログイン情報でアクセスすることが可能となる。
(プログラム)
図9は、開示の技術に係るクライアント端末認証プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。図9に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブ1080と、ネットワークインタフェース1070とを有する。コンピュータ1000の各部はバス1100によって接続される。
図9は、開示の技術に係るクライアント端末認証プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。図9に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブ1080と、ネットワークインタフェース1070とを有する。コンピュータ1000の各部はバス1100によって接続される。
メモリ1010は、図9に例示するように、ROM1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。
ここで、図9に例示するように、ハードディスクドライブ1080は、例えば、OS1081、アプリケーションプログラム1082、プログラムモジュール1083、プログラムデータ1084を記憶する。すなわち、開示の実施の形態に係るクライアント端末認証プログラムは、コンピュータによって実行される指令が記述されたプログラムモジュール1083として、例えばハードディスクドライブ1080に記憶される。
また、クライアント端末認証プログラムによる情報処理に用いられるデータは、プログラムデータ1084として、例えばハードディスクドライブ1080に記憶される。そして、CPU1020が、ハードディスクドライブ1080に記憶されたプログラムモジュール1083やプログラムデータ1084を必要に応じてRAM1012に読み出し、各種の手順を実行する。
なお、クライアント端末認証プログラムに係るプログラムモジュール1083やプログラムデータ1084は、ハードディスクドライブ1080に記憶される場合に限られない。例えば、プログラムモジュール1083やプログラムデータ1084は、着脱可能な記憶媒体に記憶されてもよい。この場合、CPU1020は、ディスクドライブなどの着脱可能な記憶媒体を介してデータを読み出す。また、同様に、クライアント端末認証プログラムに係るプログラムモジュール1083やプログラムデータ1084は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。この場合、CPU1020は、ネットワークインタフェース1070を介して他のコンピュータにアクセスすることで各種データを読み出す。
[その他]
なお、本実施形態で説明したクライアント端末認証プログラムは、インターネット等のネットワークを介して配布することができる。また、ファイル監視周期算出プログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読取可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
なお、本実施形態で説明したクライアント端末認証プログラムは、インターネット等のネットワークを介して配布することができる。また、ファイル監視周期算出プログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読取可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
なお、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
110 認証サーバ
120 DHCPサーバ(アドレス割当サーバ)
130 エッジルータ(第1の中継装置)
140 コアルータ(第2の中継装置)
150 スイッチ
160A,160B,160C アクセスポイント(AP)
170 ゲートウェイ(GW)
180 インターネット
190 クライアント端末
120 DHCPサーバ(アドレス割当サーバ)
130 エッジルータ(第1の中継装置)
140 コアルータ(第2の中継装置)
150 スイッチ
160A,160B,160C アクセスポイント(AP)
170 ゲートウェイ(GW)
180 インターネット
190 クライアント端末
Claims (7)
- ネットワークに配置され、無線通信により当該ネットワークに接続するクライアント端末からのアドレス割当要求を受信してアドレス認証を実行し、アドレス認証に成功した場合、前記クライアント端末にアドレスを送信するアドレス割当サーバと、
前記ネットワーク中、少なくとも前記アドレス割当サーバより上流に配置され、前記アドレスを割り当てられた前記クライアント端末が送信する証明書を受信して当該証明書の認証を実行し、前記証明書の認証に成功した場合、前記クライアント端末による前記ネットワークへのアクセスを許可する認証サーバと、
を備える無線通信におけるクライアント端末認証システム。 - 前記ネットワークの末端に配置され、前記アドレス割当サーバと接続される第1の中継装置をさらに備え、
前記第1の中継装置は、前記クライアント端末から送信されアドレス認証を要求するアドレス認証要求を自装置において終端することを特徴とする請求項1に記載の無線通信におけるクライアント端末認証システム。 - 前記アドレス割当サーバと前記認証サーバとの間であって、前記第1の中継装置より前記ネットワークの上流に配置される第2の中継装置をさらに備えることを特徴とする請求項1または2に記載の無線通信におけるクライアント端末認証システム。
- 前記認証サーバからの指示に基づき、前記クライアント端末からの通信フローの送信先を指定するステアリング指示を前記第1の中継装置に送信するフロー制御装置をさらに備え、
前記認証サーバは、前記証明書の認証に成功した場合、前記クライアント端末のユーザ識別情報をフロー制御装置に送信し、前記フロー制御装置は、前記認証サーバから送信される前記ユーザ識別情報に基づき、前記ステアリング指示を送信することを特徴とする請求項1から3のいずれか1項に記載の無線通信におけるクライアント端末認証システム。 - 前記フロー制御装置は、前記ユーザ識別情報に含まれる前記クライアント端末に割り当てられた仮想CPE(Customer Premises Equipment)の情報を参照し、前記クライアント端末と当該仮想CPEとの間に通信経路を確立するよう指示する前記ステアリング指示を、前記第1の中継装置に送信することを特徴とする請求項1から4のいずれか1項に記載の無線通信におけるクライアント端末認証システム。
- 前記第1の中継装置は、前記ネットワーク中に複数設けられ、
前記アドレス割当サーバは、前記第1の中継装置各々に一つ設けられ、
前記認証サーバは、前記複数のアドレス割当サーバによりアドレスを割り当てられる複数のクライアント端末の証明書の認証を実行することを特徴とする請求項1から5のいずれか1項に記載の無線通信におけるクライアント端末認証システム。 - ネットワークに配置されるアドレス割当サーバにより、無線通信により当該ネットワークに接続するクライアント端末からのアドレス割当要求を受信してアドレス認証を実行するアドレス認証工程と、
前記アドレス割当サーバがアドレス認証に成功した場合、前記クライアント端末にアドレスを送信する送信工程と、
前記ネットワーク中、少なくとも前記アドレス割当サーバより上流に配置される認証サーバにより、前記アドレスを割り当てられた前記クライアント端末が送信する証明書を受信し、当該証明書の認証を実行する証明書認証工程と、
前記認証サーバが前記証明書の認証に成功した場合、前記クライアント端末による前記ネットワークへのアクセスを許可する許可工程と、
を含むクライアント端末認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015026634A JP6312325B2 (ja) | 2015-02-13 | 2015-02-13 | 無線通信におけるクライアント端末認証システムおよびクライアント端末認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015026634A JP6312325B2 (ja) | 2015-02-13 | 2015-02-13 | 無線通信におけるクライアント端末認証システムおよびクライアント端末認証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016149702A true JP2016149702A (ja) | 2016-08-18 |
| JP6312325B2 JP6312325B2 (ja) | 2018-04-18 |
Family
ID=56691394
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015026634A Active JP6312325B2 (ja) | 2015-02-13 | 2015-02-13 | 無線通信におけるクライアント端末認証システムおよびクライアント端末認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6312325B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018038008A (ja) * | 2016-09-02 | 2018-03-08 | 日本電信電話株式会社 | 認証サーバ、振分装置、クライアント端末認証システム及びクライアント端末認証方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003069491A1 (fr) * | 2002-02-15 | 2003-08-21 | Science Park Corporation | Procede d'authentification faisant appel a une caracteristique d'entree d'unite d'entree d'ordinateur, son programme et support enregistre de programme associe |
| JP2005073090A (ja) * | 2003-08-27 | 2005-03-17 | Kobe Steel Ltd | 通信システム,その認証方法及び認証プログラム |
| WO2013190688A1 (ja) * | 2012-06-21 | 2013-12-27 | 富士通株式会社 | 情報処理システム,情報処理方法,通信装置 |
| JP2014174677A (ja) * | 2013-03-07 | 2014-09-22 | Canon Inc | 情報処理装置及びその制御方法 |
-
2015
- 2015-02-13 JP JP2015026634A patent/JP6312325B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003069491A1 (fr) * | 2002-02-15 | 2003-08-21 | Science Park Corporation | Procede d'authentification faisant appel a une caracteristique d'entree d'unite d'entree d'ordinateur, son programme et support enregistre de programme associe |
| JP2005073090A (ja) * | 2003-08-27 | 2005-03-17 | Kobe Steel Ltd | 通信システム,その認証方法及び認証プログラム |
| WO2013190688A1 (ja) * | 2012-06-21 | 2013-12-27 | 富士通株式会社 | 情報処理システム,情報処理方法,通信装置 |
| JP2014174677A (ja) * | 2013-03-07 | 2014-09-22 | Canon Inc | 情報処理装置及びその制御方法 |
Non-Patent Citations (2)
| Title |
|---|
| "Web調査689社の回答から探る 企業ネットのセキュリティ対策最新事情 Part1", 日経NETWORK, vol. 第99号, JPN6017021034, 28 June 2008 (2008-06-28), JP, pages pp.058−060 * |
| 渡邊 貴則 ほか: "認証の柔軟化による仮想化CPR接続方式の検討", 電子情報通信学会2014年通信ソサイエティ大会講演論文集2, vol. B−7−32, JPN6017021036, 9 September 2014 (2014-09-09), JP, pages pp.89 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018038008A (ja) * | 2016-09-02 | 2018-03-08 | 日本電信電話株式会社 | 認証サーバ、振分装置、クライアント端末認証システム及びクライアント端末認証方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6312325B2 (ja) | 2018-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220078179A1 (en) | Zero sign-on authentication | |
| EP3552418B1 (en) | Wireless network authorization using a trusted authenticator | |
| US9824193B2 (en) | Method for using mobile devices with validated user network identity as physical identity proof | |
| CN105027529B (zh) | 用于验证对网络资源的用户接入的方法和设备 | |
| WO2017181894A1 (zh) | 终端连接虚拟专用网的方法、系统及相关设备 | |
| US11489826B2 (en) | Multi-factor authorization for IEEE 802.1x-enabled networks | |
| US8627423B2 (en) | Authorizing remote access points | |
| US20150106517A1 (en) | System and method for delayed device registration on a network | |
| JP2006086907A (ja) | 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム | |
| US20150249639A1 (en) | Method and devices for registering a client to a server | |
| EP3457657B1 (en) | Access control method and system, and switch | |
| KR20180069610A (ko) | 가상 사설망에서의 접근 통제 제공 장치 및 이의 동작 방법 | |
| CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
| JP6312325B2 (ja) | 無線通信におけるクライアント端末認証システムおよびクライアント端末認証方法 | |
| US20160028705A1 (en) | Communication system and router | |
| KR102558821B1 (ko) | 사용자 및 디바이스 통합 인증 시스템 및 그 방법 | |
| CN106487940B (zh) | 家庭基站及ip配置的方法 | |
| KR101480706B1 (ko) | 인트라넷에 보안성을 제공하는 네트워크 시스템 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법 | |
| JP2018029233A (ja) | クライアント端末認証システム及びクライアント端末認証方法 | |
| CA2829892C (en) | System and method for delayed device registration on a network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160822 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170515 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170613 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170728 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20171219 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180220 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20180301 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180316 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180319 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6312325 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |