JP2018029233A - クライアント端末認証システム及びクライアント端末認証方法 - Google Patents

クライアント端末認証システム及びクライアント端末認証方法 Download PDF

Info

Publication number
JP2018029233A
JP2018029233A JP2016159328A JP2016159328A JP2018029233A JP 2018029233 A JP2018029233 A JP 2018029233A JP 2016159328 A JP2016159328 A JP 2016159328A JP 2016159328 A JP2016159328 A JP 2016159328A JP 2018029233 A JP2018029233 A JP 2018029233A
Authority
JP
Japan
Prior art keywords
client terminal
access control
authentication
access
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016159328A
Other languages
English (en)
Inventor
亜希 福岡
Aki Fukuoka
亜希 福岡
杉園 幸司
Koji Sugisono
幸司 杉園
明寛 木村
Akihiro Kimura
明寛 木村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2016159328A priority Critical patent/JP2018029233A/ja
Publication of JP2018029233A publication Critical patent/JP2018029233A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】無線回線を利用した情報通信において、ユーザ利便性を確保しながら、高いセキュリティを実現することができる。【解決手段】クライアント端末認証システム1では、クライアント端末10が、トンネルT1確立後に、第2AP8B間との無線通信を介して、ネットワークにアクセスする場合、認証サーバ3によって付与されたIDをアウターヘッダに含めた通信経路確立要求を、アクセス制御装置5Bに送信し、アクセス制御装置5Bが、通信経路確立要求を受信した場合、該受信した通信経路確立要求のアウターヘッダに含まれるIDを、アクセス制御管理装置4に問い合わせ、アクセス制御管理装置4が、アクセス制御リストのIDと問い合わせがあったIDとが一致した場合、アクセス制御装置5Bに対し、クライアント端末10とvVPN−GW7との間に第2AP8Bを含む新たなトンネルT2を流れるパケットの通過を許可する。【選択図】図1

Description

本発明は、無線通信におけるクライアント端末認証システム及びクライアント端末認証方法に関する。
スマートフォンやタブレット端末等、ユーザが携帯可能な情報通信機器が一般化するとともに、無線通信が利用される場面が拡大している。これに伴い、ユーザが携帯情報端末を用いてWi−Fi(登録商標)等の無線通信ネットワークから固定通信回線に接続し、多様なサービスを利用することも増えている。
ユーザが情報通信端末を用いて固定通信回線にアクセスする場合は、高いセキュリティを実現するために例えば回線認証等の技術が利用される。回線認証とは、ユーザの情報通信端末を一意に識別する発信者ID(Identifier)と、ホームゲートウェイ(HGW)等に接続される通信回線を一意に識別する回線認証IDと、を用いた認証技術である。回線認証により、ユーザが、契約している回線以外からネットワークにアクセスすることを防止することができる。
小宮 博美、"[上級]無線LANの正しい構築法 第8回 ユーザー認証の機能が不可欠 企業では802.1xが主流に(後編)"、[online]、2006年9月21日、[2016年8月4日検索]、インターネット<URL:http://itpro.nikkeibp.co.jp/article/COLUMN/20060914/248050/>
しかしながら、ユーザがWi−Fi等の無線ネットワークを利用する場合は、ユーザがネットワークに接続しようとする場所を予め特定できず、任意の回線が共用されるため、回線認証の技術を用いて高いセキュリティを実現することはできない。
そこで、ネットワークの末端にアドレス割当サーバを設け、このアドレス割当サーバにおいて簡易認証を実行した後に、上流の認証サーバにおいて、クライアント端末の証明書に基づく認証をさらに行うことで、無線回線を利用した情報通信におけるセキュリティを確保した端末認証システムが提案されている。例えば、クライアント端末を二段階にわたって認証した上で、仮想vVPN−GWでVPN(Virtual Private Network)を構成する手法である。また、例えば、ホームゲートウェイを仮想化してネットワーク側へ配置する構成や、公衆Wi−FiからvCPE(virtual Customer Premises Equipment)に接続する構成にも、このクライアント端末認証システムを適用可能であり、図19及び図20は、従来のクライアント端末認証システム1Pの構成及び処理の流れを示す図である。
図19に示すように、従来では、クライアント端末10Pが、Wi−Fi−AP(アクセスポイント)(1)を介して、付加価値装置群または外部ネットワーク(NW)100Pに接続する場合、まず、ネットワークの末端のサービスポータルサーバ2Pが、クライアント端末10Pに対し簡易認証を行ってIPアドレスを割り当てる。クライアント端末10Pは、このIPアドレスを用いて、上流の認証サーバ3Pにクライアント証明書を送付する(図19の(1)参照)。認証サーバ3Pでは、クライアント端末10Pの認証を行い(図19の(2)参照)、認証に成功した場合には、通信フローの送信先のvVPN−GW7Pと認証情報の同期を行う(図19の(3)参照)とともに、サービスポータルサーバ22Pを介して、クライアント端末10Pに、ID及びパスワード(PW)を返却する(図19の(4)参照)。
続いて、サービスポータルサーバ2Pは、通信フローを制御するアクセス制御管理装置4Pに、このクライアント端末10Pが接続するWi−Fi−AP(1)の送信元アドレス(SA1)と、クライアント端末10Pに割り当てられた、接続先のvVPN−GW7Pの送信先アドレス(DA1)との、アクセス制御リスト(Access Control List:ACL)への設定依頼を行う(図19の(5)参照)。
これに従い、アクセス制御管理装置4Pは、ACLの設定を行う。具体的には、枠C1に示すように、アクセス制御管理装置4Pは、Wi−Fi−AP(1)の送信元アドレス(SA1)と、接続先のvVPN−GW7Pの送信先アドレス(DA1)とを、AP(1)と、vVPN−GW7Pとの間のアクセス制御装置(A)のアクセス許可対象として、ACL(例えば、テーブルTP)に設定する。
そして、アクセス制御管理装置4Pは、ACLの設定内容にしたがって、アクセス制御装置(A)に、アクセス許可を通知する(図19の(6)参照)。すなわち、アクセス制御管理装置4Pは、アクセス制御装置(A)が、アクセス制御管理装置4Pから許可されたクライアント端末10Pに関するパケットを通過させる(図19の(7)参照)ようアクセス制御を行う。これにともない、クライアント端末10PとvVPN−GW7Pとの間でトンネルが確立される(図19の(8)参照)。なお、振分装置6Pは、アクセス制御装置(A)から送信されたパケットを、このパケットの送信先となるvVPN−GW7Pに振り分ける機能を有する。
ここで、図20に示すように、クライアント端末10Pが、AP(1)近辺から、移動し、アクセス制御装置(B)に接続するAP(2)(送信元アドレス:SA2)近辺に移動した場合(図20の(1)参照)について説明する。
この場合、クライアント端末10Pが、移動後のトンネル確立の要求を、AP(2)を介してアクセス制御装置(B)に行う(図20の(2)参照)。この場合、移動後トンネル確立要求のアウターヘッダには、AP(2)の送信元アドレス(SA2)と、送信先のvVPN−GW7のアドレス(DA1)が含まれる。しかしながら、アクセス制御装置(B)では、移動後トンネル確立要求のアウターヘッダの組み合わせが、アクセスを許可するアウターヘッダのアドレスの組み合わせ(例えば、図20の枠C2参照)に含まれていないため、アクセス許可対象にないと判断し(図20の(3)参照)、トンネル確立を拒否する(図20の(4)参照)。
このように、クライアント端末10Pが接続するAPが変更した場合、クライアント端末10の送信パケットのアウターヘッダでは、送信元アドレスが変更してしまうことから、変更したAPが接続するアクセス制御装置でアクセスが拒否される。したがって、クライアント端末10Pが再度vVPN−GW7と接続する場合には、サービスポータルサーバ2Pへアクセスして、改めて簡易認証から認証を受ける必要があった(図20の(5)参照)。
したがって、従来のシステムでは、公衆Wi−Fiにおいて、クライアント端末10Pの移動によってAP変更があった場合に、クライアント端末10Pが接続先に再アクセスするためには、ユーザは、再度、サービスポータルサーバ2Pへアクセスして改めて簡易認証から認証を受ける必要があり、ユーザの利便性に欠けるという問題があった。
本発明は、上記に鑑みてなされたものであって、無線回線を利用した情報通信において、ユーザ利便性を確保しながら、高いセキュリティを実現することができるクライアント端末認証システム及びクライアント端末認証方法を提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係るクライアント端末認証システムは、アクセスポイント間との無線通信によりネットワークに接続するクライアント端末を認証し、クライアント端末によるネットワークへのアクセスを許可するクライアント端末認証システムであって、第1のアクセスポイント間との無線通信を介したクライアント端末からのアドレス割当要求を受信してアドレス認証を実行してアドレス認証に成功した場合にはクライアント端末にアドレスを送信するアドレス割当サーバと、アドレスを割り当てられたクライアント端末が送信する証明書を受信して当該証明書の認証を実行し、証明書の認証に成功した場合にクライアント端末によるネットワークへのアクセスを許可し、アドレス割当サーバを介して、クライアント端末に対応するID及びパスワードをクライアント端末に返却する認証サーバと、認証サーバによってアクセスが許可されたクライアント端末に割り当てられたゲートウェイと、第1のアクセスポイントとの間のアクセスを制御し、クライアント端末と該ゲートウェイとの間の第1のアクセスポイントを含む第1の通信経路を流れるパケットを通過させる第1のアクセス制御装置と、第1のアクセスポイントとは異なる第2のアクセスポイントとゲートウェイとの間のアクセスを制御し、第1の通信経路の確立後に、クライアント端末から、第2のアクセスポイント間との無線通信を介して、クライアント端末のIDをアウターヘッダに含めた通信経路確立要求を受信した場合、該受信した通信経路確立要求のアウターヘッダに含まれるIDを問い合わせ先に問い合わせる第2のアクセス制御装置と、第1のアクセス制御装置に第1の通信経路を流れるパケットの通過を許可するとともに、認証サーバによってアクセスが許可されたクライアント端末のIDと該クライアント端末が接続するアクセスポイントのアドレスとクライアント端末の送信先として割り当てられたゲートウェイの送信先アドレスとをアクセス制御装置の識別情報に対応付けたアクセス制御リストを記憶し、第2のアクセス制御装置からIDの問い合わせがあった場合であって問い合わせがあったIDをアクセス制御リストから検索した場合には、第2のアクセス制御装置に対し、クライアント端末と該クライアント端末に割り当てられたゲートウェイとの間の第2のアクセスポイントを含む第2の通信経路を流れるパケットの通過を許可するアクセス制御管理装置と、を有することを特徴とする。
本発明によれば、無線回線を利用した情報通信において、ユーザ利便性を確保しながら、高いセキュリティを実現することができる。
図1は、実施の形態に係るクライアント端末認証システムの構成の一例を説明する図である。 図2は、図1に示すサービスポータルサーバの構成の一例を示すブロック図である。 図3は、図1に示す認証サーバの構成の一例を示すブロック図である。 図4は、図1に示すアクセス制御管理装置の構成の一例を示すブロック図である。 図5は、図4に示すアクセス制御リストのデータ構成の一例を示す図である。 図6は、図1に示すアクセス制御装置の構成の一例を示すブロック図である。 図7は、図6に示すアクセス許可リストのデータ構成の一例を示す図である。 図8は、図1にvVPN−GWの構成の一例を示すブロック図である。 図9は、実施の形態にかかるクライアント端末認証システムにおけるクライアント端末に対する認証処理の流れを示す図である。 図10は、実施の形態に係るクライアント端末認証システムにおけるクライアント端末移動後のトンネル再確立の流れを示す図である。 図11は、図4に示すアクセス制御リストの更新を説明する図である。 図12は、実施の形態に係るクライアント端末認証システムにおけるクライアント端末移動後のトンネル再確立の流れを示す図である。 図13は、実施の形態に係るクライアント端末認証システムにおけるクライアント端末移動後のトンネル再確立の流れを示す図である。 図14は、図4に示すアクセス制御リストの更新を説明する図である。 図15は、図1に示すクライアント端末認証システムにおけるクライアント端末に対する認証処理の流れを説明するシーケンス図である。 図16は、図1に示すクライアント端末認証システムにおけるクライアント端末移動後のトンネル再確立処理の流れを説明するシーケンス図である。 図17は、図1に示すクライアント端末認証システムにおけるクライアント端末移動後のトンネル再確立処理の流れを説明するシーケンス図である。 図18は、プログラムが実行されることにより、クライアント端末認証システムの各装置が実現されるコンピュータの一例を示す図である。 図19は、従来のクライアント端末認証システムの構成及び処理の流れを示す図である。 図20は、従来のクライアント端末認証システムの構成及び処理の流れを示す図である。
以下、図面を参照して、本発明の一実施の形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[実施の形態]
実施の形態に係るクライアント端末認証システムについて、クライアント端末認証システム全体の概略構成、クライアント端末認証システムを構成する各装置の概略構成、クライアント端末認証システムにおける処理の流れ及び具体例を説明する。なお、以降で説明するアクセス制御装置、AP等の台数は、あくまで例示であり、これに限定されるものではない。
[クライアント端末認証システムの構成]
まず、図1を参照して、実施の形態に係るクライアント端末認証システムの構成について説明する。図1は、実施の形態に係るクライアント端末認証システムの構成の一例を説明する図である。
図1に示すように、実施の形態に係るクライアント端末認証システム1は、サービスポータルサーバ2(アドレス割当サーバ)、サービスポータルサーバ2よりもネットワークの上流に位置する認証サーバ3、アクセス制御管理装置4、アクセス制御装置5A,5B、振分装置6、vVPN−GW7、及び、クライアント端末10が無線通信を行う第1アクセスポイント(AP)8A,第2AP8Bを有する。クライアント端末10は、第1AP8A,第2AP8B間との無線通信によりネットワークに接続して、該クライアント端末10に割り当てられたvVPN−GW7を介して、付加価値装置群または外部ネットワーク100に接続する。付加価値装置群は、例えば、vVPN−GW7に接続したクライアント端末10限定のコンテンツ配信や翻訳等の付加価値を提供する映像配信サーバや翻訳サーバを含む。
クライアント端末10は、第1AP8A或いは第2AP8Bとの間で無線通信を行う端末であって、スマートフォンやタブレット端末等、例えば、ユーザが携帯可能な情報通信機器である。クライアント端末10は、予め、サービスを受けるためのクライアント証明書を保持している。クライアント端末10は、サービスポータルサーバ2にアドレス認証割当要求を行い、サービスポータルサーバ2から割り当てられたIPアドレスを用いて、認証サーバ3にクライアント証明書を送信する。或いは、クライアント端末10は、ログインID、パスワードを用いて、認証サーバ3への認証を要求することも可能である。
そして、クライアント端末10は、認証サーバ3からID(Identifier)及びパスワード(PW)を返却された場合、第1AP8A或いは第2AP8Bに対し、電子証明書を含み、例えばSSL(Secure Sockets Layer)により暗号化されたパケットを、無線通信を介して送信する。このSSLは、TCP(Transmission Control Protocol)/IP(Internet Protocol)ネットワークでデータを暗号化して送受信するプロトコルの一つである。この場合、クライアント端末10は、第1AP8A或いは第2AP8Bに対し、パケット中継時に該クライアント端末10のIDをアウターヘッダに含ませて送信させる機能を有する。
そして、クライアント端末10は、移動やAP故障等によって接続するAPを変更した場合には、変更後の第2AP8Bが接続するアクセス制御装置5Bに移動後トンネル確立要求を行う。この場合も、クライアント端末10は、第2AP8Bに対し、パケット中継時に該クライアント端末10のIDを移動後トンネル確立要求のアウターヘッダに含ませて送信させる。
サービスポータルサーバ2は、ネットワークの末端に位置し、各種サービスを受け付ける。このサービスの中には、クライアント端末10に対する簡易認証、簡易認証後の認証サーバ3への認証要求及び認証後のID、パスワード(PW)のクライアント端末10への返却を含む。そして、サービスポータルサーバ2は、認証結果に基づくアクセス管理を実行するよう、アクセスが許可されたクライアント端末10をアクセス許可対象として設定する依頼を、アクセス制御管理装置4に行う。
認証サーバ3は、簡易認証後のクライアント端末10が送信する証明書を受信して該クライアント証明書を用いた認証を実行する。認証サーバ3は、このクライアント証明書を用いて認証に成功した場合、クライアント端末10のネットワークへのアクセスを許可し、サービスポータルサーバ2を介して、ID及びパスワードをクライアント端末10に返却する。また、認証サーバ3は、vVPN−GW7(後述)との間で、認証情報の同期を行う。なお、認証サーバ3は、クライアント端末10から送信されたログインID、パスワードを用いて認証処理を行ってもよい。
アクセス制御管理装置4は、アクセス制御装置5A,5Bに対してアクセス制御指示を行うことによって、クライアント端末10ごとに異なるアクセス制御を行う。アクセス制御に関するアクセス制御リスト(ACL)を保持する。このACLは、認証サーバ3によってアクセスが許可されたクライアント端末10のIDと、該クライアント端末10と無線通信を行うAPのアドレス(SA)と、クライアント端末10からの通信フローの送信先アドレス(DA)とを対応付けたリストである。このACLに設定する情報は、サービスポータルサーバ2から依頼される。
また、アクセス制御管理装置4は、アクセス制御装置5A,5BからIDの問い合わせがあった場合、ACLに、このIDと合致するIDがあった場合に、問い合わせ元のアクセス制御装置5A,5Bに、問い合わせ対象のパケットのアクセスを許可する。
アクセス制御装置5A(第1のアクセス制御装置)は、vVPN−GW7と第1AP8Aとの間のアクセスを制御し、アクセスが許可されたパケットを通過させる。例えば、アクセス制御装置5Aは、第1AP8Aを経路に含み、クライアント端末10と、該クライアント端末10に割り当てられたvVPN−GW7との間のトンネルT1を流れるパケットを通過させる。
また、アクセス制御装置5B(第2のアクセス制御装置)は、vVPN−GW7と第2AP8Bとの間のアクセスを制御し、アクセスが許可されたパケットを通過させる。例えば、アクセス制御装置5Bは、第2AP8Bを経路に含み、クライアント端末10と、該クライアント端末10に割り当てられたvVPN−GW7との間のトンネルT2を流れるパケットを通過させる。
そして、アクセス制御装置5Aは,5Bは、該アクセス制御装置5A,5Bについてアクセスが許可されていないパケットを受信した場合、該パケットのアウターヘッダ内のIDを、アクセス制御管理装置4に問い合わせる。そして、アクセス制御装置5A,5Bは、アクセス制御管理装置4から、問い合わせたIDに対してアクセス許可を指示された場合には、このパケットを通過させる。
振分装置6は、アクセス制御装置5A,5Bから送信されたパケットを、該パケットのアウターヘッダ(後述)に含まれたDAを参照し、このパケットの送信先となるvVPN−GW7に振り分ける。
vVPN−GW7は、ネットワーク側に配置され、クライアント端末10との間に確立されるトンネルの終端点が設定されている。vVPN−GW7は、物理サーバの仮想環境下において動作する仮想マシンであり、クライアント端末10が使用するサービスに応じて付加価値装置群または外部NW100に接続する。すなわち、vVPN−GW7は、付加価値装置群または外部NW100にアクセスする際の出入口として機能する。そして、vVPN−GW7は、複数のクライアント端末10をグループ化し、グループ単位でカスタマイズされた付加価値を提供する。
vVPN−GW7は、電子証明書を含みSSLにより暗号化されたパケットを、クライアント端末10から受信する。そして、vVPN−GW7は、認証サーバ3との間で同期した認証情報を基に、受信したパケットを復号化する。続いて、vVPN−GW7は、パケット内の電子証明書を用いて通信相手のクライアント端末10が真正であることを認証した場合には、このクライアント端末10との間にトンネル(具体的には、暗号化IPトンネルである。)を確立する。その後、vVPN−GW7は、このトンネルを介して、クライアント端末10との間でデータを暗号化して通信を行う。
なお、vVPN−GW7は、通信相手のクライアント端末10の認証が不可能であった場合には、認証不可能であったクライアント端末10のID,SAを認証サーバ3(後述)に通知する。また、vVPN−GW7は、物理サーバであってもよい。本実施の形態では、vVPN−GW7でVPNを構成する方式であるが、CPE(Customer Premises Equipment)を仮想化したvCPEを構成してもよい。
第1AP8A及び第2AP8Bは、無線通信にてクライアント端末10と接続する中継装置であり、例えば、有線LANとの接続機能も有する。第1AP8Aは、アクセス制御装置5Aと接続する。第2AP8Bは、アクセス制御装置5Bと接続する。
第1AP8A及び第2AP8Bは、クライアント端末10から送信されたパケットについて、NAPT(Network Address Port Translation)によりIPアドレスおよびポート番号を変換し、第1AP8A或いは第2AP8Bのアドレス(送信元アドレス:SA)、送信先のvVPN−GW7のアドレス(宛先アドレス:DA)及びクライアント端末10に付与されたIDを含めたアウターヘッダを付して、送信先のvVPN−GW7に送信する。この場合、第1AP8A及び第2AP8Bが送信するパケットのインナーヘッダのアドレスは、APでNAPTされた値であり、同じAPに接続しているクライアント群については、同じ値となる。このため、アクセス制御管理装置4及びアクセス制御装置5A,5Bは、アウターヘッダの情報を認識することによってアクセス制御を行う。
このクライアント端末認証システム1では、認証サーバ3による認証後、クライアント端末10について、第1AP8Aを含むトンネルT1を確立した後に、クライアント端末10の移動によって(図1の矢印参照)、中継するAPが、第2AP8Bに変更した場合、サービスポータルサーバ2及び認証サーバ3よりも下位のアクセス制御管理装置4の制御によって、新たなトンネルT2をクライアント端末10について確立している。
具体的には、アクセス制御装置5Bは、AP移動後のクライアント端末10から、IDを含む移動後通信確立要求を受けた場合、このIDを、アクセス制御管理装置4に問い合わせる。アクセス制御管理装置4は、ACLのIDと、問い合わせがあったIDとが一致した場合、このアクセス制御装置5Bに対し、クライアント端末10とvVPN−GW7との間に、移動後のクライアント端末10が無線通信を行う第2AP8Bを含むトンネルT2を流れるパケットの通過を許可する。
したがって、本実施の形態では、クライアント端末10の移動によって中継するAPが変更した場合、再度、サービスポータルサーバ2による簡易認証及び認証サーバ3による認証を受けずとも、変更したAPを経路に含むトンネルの確立を可能にしている。そこで、本クライアント端末認証システム1の要部装置について詳細に説明する。
[サービスポータルサーバの構成]
まず、サービスポータルサーバ2の構成について説明する。図2は、図1に示すサービスポータルサーバ2の構成の一例を示すブロック図である。図2に示すように、サービスポータルサーバ2は、通信部21、記憶部22及び制御部23を有する。
通信部21は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースである。
記憶部22は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、サービスポータルサーバ2を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。記憶部22は、アドレス割当を行ったクライアント端末10のIPアドレス、認証サーバ3による認証が成功したクライアント端末10のID,SA,DAを記憶する。
制御部23は、各種の処理手順などを規定したプログラム及び所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。例えば、制御部23は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路である。制御部23は、認証受付部231、アクセス制御リスト設定依頼部232及びID管理部233を有する。
認証受付部231は、APとの間の無線通信を介したクライアント端末10からのアドレス認証割当要求を受け付けて簡易認証を行い、認証に成功すると、クライアント端末10にIPアドレスを割り当てる。なお、この簡易認証については、特に限定せず、ネットワークに要求されるセキュリティのレベルに応じて認証レベルを設定すればよい。たとえば、認証受付部231は、回線認証と同様に、発信者IDと回線認証IDを取得し、登録されたユーザの発信者IDが取得された場合のみIPアドレスを発行するように設定してもよい。また、発信者IDのほかに、5tuple、SIM、トンネルID等を用いて簡易認証を実現してもよい。
また、認証受付部231は、IPアドレスを用いてネットワークにアクセスしたクライアント端末10による認証要求を受け付けて、認証サーバ3にクライアント証明書を送信する。また、サービスポータルサーバ2は、認証サーバ3による認証結果(ID,PW)をクライアント端末10に返却する。
アクセス制御リスト設定依頼部232は、認証サーバ3による認証結果に基づくアクセス管理を実行するよう、アクセスが許可されたクライアント端末10をアクセス許可対象として設定する依頼を、アクセス制御管理装置4に行う。
例えば、アクセス制御リスト設定依頼部232は、アクセスが許可されたクライアント端末10のID、該クライアント端末10と無線送信を行うAPの送信元アドレス(SA)、クライアント端末10からの通信フローの送信先アドレス(DA)とを対応付けた情報の設定をアクセス制御管理装置4に依頼する。この場合、送信元アドレス(SA)は、クライアント端末10が無線通信を行うAPのアドレスとなり、送信先アドレス(DA)は、クライアント端末10が接続するvVPN−GW7のアドレスとなる。また、アクセス制御リスト設定依頼部232は、認証サーバ3から、vVPN−GW7による認証不可能であったクライアント端末10のID,SAの削除を指示された場合には、アクセス制御管理装置4に対し、アクセス対象から、このクライアント端末10のID,SAの削除を依頼する。
ID管理部233は、認証サーバ3によってネットワークへのアクセスが許可されたクライアント端末10や認証サーバ3によってアクセス許可対象から削除を指示されたクライアント端末10のID等を管理し、クライアント端末10のID,SA,DAを対応付けて記憶部22に記憶させる。
[認証サーバの構成]
次に、認証サーバ3の構成について説明する。図3は、図1に示す認証サーバ3の構成の一例を示すブロック図である。図3に示すように、認証サーバ3は、通信部31、認証データベース(DB)32及び制御部33を有する。
通信部31は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースである。
認証DB32は、認証サーバ3内部のDB、認証サーバ3と専用回線で接続するDB等である。認証DB32は、認証サーバ3に認証局から発行されたサーバ証明書、認証用の鍵等を記憶する。また、認証DB32は、認証サーバ3によって認証されたクライアント端末10に関する認証情報をクライアント端末10ごとに記憶する。例えば、認証情報とは、クライアント端末のID,SA,DA及び認証の成功の可否である。
制御部33は、制御部23と同様に、CPUやMPUなどの電子回路であり、各種の処理手順などを規定したプログラムに従って種々の処理を実行する。制御部33は、認証部331を有する。
認証部331は、通信部31を介して、IPアドレスを割り当てられたクライアント端末10が送信する証明書を受信し、該クライアント証明書を用いた認証を実行する。例えば、認証サーバ3は、クライアント端末10からクライアント証明書を受信すると、クライアント証明書に含まれる電子署名を、公開鍵を用いて復号する。これによって、認証部331は、クライアント証明書の真正か否かを判定する。認証部331は、クライアント証明書の真正を認証し、認証に成功した場合、このクライアント証明書を送信したクライアント端末10によるネットワークへのアクセスを許可する。
そして、認証部331は、サービスポータルサーバ2を介して、アクセス許可を行ったクライアント端末10に対応するID及びパスワードをクライアント端末10に返却する。また、認証部331は、vVPN−GW7(後述)との間で、認証情報の同期を行う。そして、認証部331は、vVPN−GW7から、認証不可能であったクライアント端末10のID,SAの通知があった場合には、認証不可能であったクライアント端末のID及びSAをサービスポータルサーバ2に通知し、アクセス許可が設定されているもののうち、認証不可能であったクライアント端末10のID及びSAの削除を実行させる。
[アクセス制御管理装置の構成]
次に、アクセス制御管理装置4の構成について説明する。アクセス制御管理装置4は、例えば、PCRF(Policy and Charging Rules Function)である管理装置である。図4は、図1に示すアクセス制御管理装置4の構成の一例を示すブロック図である。図4に示すように、アクセス制御管理装置4は、通信部41、記憶部42及び制御部43を有する。
通信部41は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースである。
記憶部42は、RAM、フラッシュメモリ等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、アクセス制御管理装置4を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。記憶部42は、アクセス制御リスト421を記憶する。
図5は、図4に示すアクセス制御リスト421のデータ構成の一例を示す図である。図5に示すように、アクセス制御リスト421は、管理対象のアクセス制御装置5A,5Bの識別情報に、各アクセス制御装置5A,5Bに対してアクセスを許可するパケットのアウターヘッダのアドレス(SA,DA)及びアウターヘッダ内に含まれるクライアント端末10のIDを対応づけたものである。
例えば、アクセス制御リスト421の1行目には、アクセス制御装置5Aに対して、アウターヘッダのアドレス「SA1」,「DA1」と、クライアント端末10のID「1」,「2」,「3」,「4」とが示されている。したがって、アクセス制御管理装置4は、アクセス制御装置5Aに対し、アウターヘッダに「SA1」,「DA1」,「ID「1」〜「4」」が含まれるパケットの通過を許可している。
また、アクセス制御リスト421の2行目には、アクセス制御装置5Bに対して、アウターヘッダのアドレス「SA2」,「DA1」と、クライアント端末10のID「5」,「6」,「7」,「8」とが示されている。したがって、アクセス制御管理装置4は、アクセス制御装置5Bに対し、アウターヘッダに「SA2」,「DA1」,「ID「5」〜「8」」が含まれるパケットの通過を許可している。
制御部43は、制御部23と同様に、CPUやMPUなどの電子回路であり、各種の処理手順などを規定したプログラムに従って種々の処理を実行する。制御部43は、アクセス制御リスト設定部431及びアクセス制御部432を有する。
アクセス制御リスト設定部431は、サービスポータルサーバ2からアクセス制御リスト421への設定依頼を受けて、設定を依頼された情報をアクセス制御リスト421に設定する。アクセス制御リスト設定部431は、サービスポータルサーバ2による依頼に応じて、アクセス制御リスト421に新たにアクセスを許可されたクライアント端末10のID,SA,DAの追加、或いは、削除を行う。或いは、アクセス制御リスト設定部431は、アクセス制御部432の制御内容に応じて、アクセス制御リスト421を更新する。
アクセス制御部432は、アクセス制御リスト421の設定内容に従い、アクセス制御装置5A,5Bへのアクセス制御指示を行うことによって、クライアント端末10ごとにフローを識別して、クライアント端末10ごとに異なるアクセス制御を行う。
また、アクセス制御部432は、アクセス制御装置5A,5BからIDの問い合わせがあった場合には、アクセス制御リスト421を参照し、問い合わせがあったIDと合致するIDを検索する。
そして、アクセス制御部432は、問い合わせがあったIDと合致するIDをアクセス制御リスト421から検索できた場合には、問い合わせ元のアクセス制御装置5A,5Bに、問い合わせ対象のIDを有するパケットの通過を許可する。これに伴い、アクセス制御リスト設定部431は、アクセス制御リスト421を、問い合わせ対象のIDを、新たに通過を許可したアクセス制御装置5A,5Bに対応させる内容に更新する。なお、アクセス制御部432は、問い合わせがあったIDと合致するIDをアクセス制御リスト421から検索できない場合には、問い合わせ元のアクセス制御装置5A,5Bに、問い合わせ対象のパケットの通過を許可しない。
[アクセス制御装置の構成]
次に、アクセス制御装置5Aの構成について説明する。図6は、図1に示すアクセス制御装置5Aの構成の一例を示すブロック図である。なお、アクセス制御装置5Bもアクセス制御装置5Aと同様の構成を有する。図6に示すように、アクセス制御装置5Aは、通信部51、記憶部52及び制御部53を有する。
通信部51は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースである。
記憶部52は、RAM、フラッシュメモリ等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、アクセス制御装置5Aを動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。記憶部52は、アクセス許可リスト521を記憶する。
図7は、図6に示すアクセス許可リスト521のデータ構成の一例を示す図である。図7に示すように、アクセス許可リスト521は、当該アクセス制御装置5Aが、アクセス制御管理装置4からアクセスを許可されたパケットの、アウターヘッダのアドレス(SA1,DA1)及びアウターヘッダ内に含まれるクライアント端末10のID「1」,「2」,「3」,「4」を対応づけたものである。
制御部53は、制御部23と同様に、CPUやMPUなどの電子回路であり、各種の処理手順などを規定したプログラムに従って種々の処理を実行する。制御部53は、アクセス許可リスト設定部531、アクセス処理部532及びID問い合わせ部533を有する。
アクセス許可リスト設定部531は、アクセス制御管理装置4からのアクセス制御を受けて、アクセス許可リスト521に対し、当該アクセス制御装置5Aがアクセスを許可されたクライアント端末10のID,SA,DAの追加、或いは、削除を行う。
アクセス処理部532は、アクセス制御装置5Aが受信したパケットのアウターヘッダを判別し、アクセス許可リスト521に参照して、該パケットの通過の可否を判断する。当該アクセス制御装置5Aは、第1AP8Aと接続するため、アクセス処理部532は、クライアント端末10に割り当てられたvVPN−GW7と第1AP8Aとの間のアクセスを制御し、アクセス制御管理装置4の指示に基づいて、アクセスが許可されたパケットを通過させる。具体的には、アクセス処理部532は、アクセス許可リスト521に設定されている、「SA1」,「DA1」,「ID1」がアウターヘッダに含まれるパケットの通過を許可する。したがって、アクセス制御装置5Aは、第1AP8Aを経路に含み、クライアント端末10と、該クライアント端末10に割り当てられたvVPN−GW7との間のトンネルT1を通過させる。
ID問い合わせ部533は、このアクセス制御装置5Aについて通過が許可されていないパケットを受信した場合、該パケットのアウターヘッダ内のIDを、アクセス制御管理装置4に問い合わせる。そして、アクセス処理部532は、アクセス制御管理装置4から、問い合わせたIDに対してアクセス許可を指示された場合には、このパケットを通過させる。また、アクセス許可リスト設定部531は、アクセス制御管理装置4から、問い合わせたIDに対してアクセス許可を指示された場合には、アクセス許可リスト521に対し、アクセスを許可されたIDに基づく他の情報を更新する。なお、アクセス処理部532は、アクセス制御管理装置4から、問い合わせたIDに対してアクセスを許可されなかった場合には、このパケットを遮断する。
[vVPN−GWの構成]
次に、図1に示すvVPN−GW7の構成について説明する。図8は、図1にvVPN−GWの構成の一例を示すブロック図である。図8に示すように、vVPN−GW7は、通信部71、記憶部72及び制御部73を有する。
通信部71は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースであり、実際には、該vVPN−GW7を稼働させる物理サーバに設けられている。
記憶部72は、vVPN−GW7を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどを記憶する。記憶部72は、クライアント端末10のグループ化があった場合に、グループごとに、グループに属するクライアント端末10の識別情報を対応付けて記憶する。そして、記憶部72は、グループごとに、提供する付加価値機能を示す内容、提供先の付加価値装置の情報等を対応付けて記憶する。記憶部72は、該vVPN−GW7を稼働させる物理サーバに設けられたRAM、フラッシュメモリ等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現される。
制御部73は、各種の処理手順などを規定したプログラムに従って種々の処理を実行する。制御部73は、vVPN−GW7を稼働させる物理サーバに設けられたCPUやMPUなどの電子回路である。制御部73は、クライアントグループ管理部731、付加価値機能提供部732及び認証実行部733を有する。
クライアントグループ管理部731は、複数の任意のクライアント端末10をグループ化する。クライアントグループ管理部731は、例えば、イベント対応等で一時的にクライアントグループを設定する。クライアントグループ管理部731は、グループごとに、グループに属するクライアント端末10の識別情報を対応付けて記憶部72に記憶させる。
付加価値機能提供部732は、クライアント端末10が使用するサービスに応じて付加価値装置群に接続し、限定コンテンツや翻訳等の付加価値機能をクライアント端末10に提供する。付加価値機能提供部732は、トラヒックを適切な事業者網や付加価値装置群への振り分けを行う、付加価値機能提供部732は、クライアントグループ管理部731によってグループ化が行なわれた場合には、グループ単位にカスタマイズした付加価値機能を提供する。
認証実行部733は、クライアント端末10との間で、SSL認証を実行し、クライアント端末10との間にトンネルを確立させる。本実施の形態では、SSL認証を使用した暗号化トンネル技術、SSL−VPN(例えば、Open VPN)が用いられている。例えば、vVPN−GW7と、クライアント端末10とが、Open VPN実現のために使用されるSSL/TLS認証を用いた暗号化通信を行う場合には、vVPN−GW7及びクライアントの双方の認証手続きを行う。そして、この認証技術では、TLS−AUTH HMAC共通鍵(以降、共通鍵とする。)を用いて、全てのSSL/TLSハンドシェイクパケットについて、HMAC署名によるパケットの整合性チェックを行う。
[クライアント端末に対する認証処理の流れ]
次に、クライアント端末認証システム1におけるクライアント端末10に対する認証処理の流れについて説明する。図9は、クライアント端末認証システム1におけるクライアント端末10に対する認証処理の流れを示す図である。
まず、クライアント端末10は、第1AP8A(送信元アドレス:SA1)との無線通信を介して、サービスポータルサーバ2に対して、IPアドレス割当要求を行い、サービスポータルサーバ2が簡易認証に成功すると、IPアドレスが割り当てられる。クライアント端末10は、割り当てられたIPアドレスを用いてネットワークに接続し、クライアント証明書を認証サーバ3に送付する(図9の(1)参照)。
認証サーバ3は、このクライアント証明書を用いた認証に成功した場合(図9の(2)参照)、クライアント端末10のネットワークへのアクセスを許可し、サービスポータルサーバ2を介して、ID「1」及びパスワードをクライアント端末10に返却する(図9の(3)参照)。また、認証サーバ3は、このクライアント端末10に割り当てられたvVPN−GW7(送信先アドレス:DA1)との間で、認証情報の同期を行う(図9の(4)参照)。
ここで、サービスポータルサーバ2は、認証サーバ3によってアクセスが許可されたクライアント端末10に対応する「SA1」,「DA1」,「ID1」のアクセス制御リスト(ACL)421の設定を、アクセス制御管理装置4に依頼する(図9の(5)参照)。この依頼に応じて、アクセス制御管理装置4は、アクセス制御リスト421に、依頼されたクライアント端末10に対応する「SA1」,「DA1」,「ID1」を設定する(図9の(6)参照)。そして、アクセス制御管理装置4は、送信元アドレス「SA1」である第1AP8Aと接続するアクセス制御装置5Aに対して、クライアント端末10とvVPN−GW7との間のアクセスを許可する(図9の(7)参照)。
これによって、アクセス制御装置5Aは、アウターヘッダに「SA1」,「DA1」,「ID1」を含むパケットの通過を許可する。そして、vVPN−GW7は、クライアント端末10から受信したパケットを復号化し、パケット内の電子証明書を用いて通信相手のクライアント端末10を認証した場合には、このクライアント端末10との間に第1AP8Aを経路に含むトンネルT1を確立する(図9の(8)参照)。アクセス制御装置5Aは、アウターヘッダに「SA1」,「DA1」,「ID1」を含むパケットの通過が許可されているため、このトンネルT1を通過させることとなる。その後、vVPN−GW7とクライアント端末10とは、このトンネルT1を介して、データを暗号化して通信を行う。
このように、クライアント端末認証システム1では、サービスポータルサーバ2がアドレス認証を実行することで、不正なクライアント端末10がネットワークに通信フローを送ることを防止することができる。また、クライアント端末認証システム1では、アドレス認証に成功したクライアント端末10の証明書に基づく認証をさらに実行することで、アドレス認証だけ実行する場合と比較してネットワークのセキュリティを向上させることができる。このため、クライアント端末認証システム1は、無線回線を利用した情報通信において高いセキュリティを実現することができる。さらに、クライアント端末認証システム1では、認証サーバ3をサービスポータルサーバ2よりも上流に配置しているため、サービスポータルサーバ2と認証サーバ3とをネットワーク上の同じ位置に配置する場合と比較して、認証サーバを集約的に配置することができる。
[クライアント端末移動後のトンネル再確立の流れ]
次に、クライアント端末認証システム1におけるクライアント端末10移動後のトンネル再確立の流れについて説明する。図10,図12,図13は、クライアント端末認証システム1におけるクライアント端末10移動後のトンネル再確立の流れを示す図である。図11、図14は、アクセス制御管理装置4が有するアクセス制御リスト421の更新を説明する図である。
例えば、クライアント端末10が、第1AP8A近辺の位置P1から移動し、アクセス制御装置5Bに接続する第2AP8B(送信元アドレス:SA2)近辺の位置P2に移動した場合(図10の(1)参照)について説明する。
この場合、クライアント端末10は、第2AP8Bへの接続変更に伴い、第2AP8Bを経路に含むトンネルをvVPN−GW7との間で改めて確立できるよう、第2AP8Bが接続するアクセス制御装置5Bに移動後トンネル確立要求を行う(図10の(2)参照)。このとき、クライアント端末10は、第2AP8Bに対し、パケット中継時に該クライアント端末10のID「1」を移動後トンネル確立要求のアウターヘッダに含ませて送信させる。この結果、移動後トンネル確立要求のアウターヘッダには、第2AP8Bの送信元アドレス「SA2」、送信先のvVPN−GW7のアドレス「DA1」及びクライアント端末10のIDである「ID1」が含まれる。
ここで、アクセス制御装置5Bには、アウターヘッダに「SA2」,「DA1」,「ID「5」〜「8」」が含まれるパケットの通過を許可している。このため、アクセス制御装置5Bは、アウターヘッダに「SA2」,「DA1」,「ID1」を含む移動後トンネル確立要求のパケットは、通過が許可されていないパケットであると判断し、この移動後トンネル確立要求のアウターヘッダ内の「ID1」,「SA2」,「DA1」を、アクセス制御管理装置4に問い合わせる(図10の(3)参照)。
アクセス制御管理装置4は、アクセス制御リスト421を参照し、問い合わせがあった「ID1」と合致するIDを検索する(図10の(4)参照)。ここで、アクセス制御リスト421が、図11に示すテーブルTaである場合、問い合わせがあった「ID1」と合致するIDが、アクセス制御装置5Aに対応する1行目から検索できる。
このように、アクセス制御部432は、問い合わせがあったIDと合致するIDをアクセス制御リスト421から検索できた場合(図10の(5)参照)、問い合わせ元のアクセス制御装置5Bに、問い合わせ対象である「ID1」,「SA2」,「DA1」をアウターヘッダに含むパケットのアクセスを許可する(図10の(6)参照)。
なお、この場合には、アクセス制御管理装置4は、アクセス制御リスト421を、問い合わせ対象の「ID1」を、新たに通過を許可したアクセス制御装置5Bに対応させる内容に更新する(図10の(5)参照)。具体的には、アクセス制御管理装置4は、アクセス制御リスト421を、図11に示すテーブルTaの1行目から、ID「1」を削除し、アクセス制御装置5Bに対応する2行目のID欄に「1」を新たに追加したテーブルTbに更新する。
そして、アクセス制御装置5Bによって、アウターヘッダに「SA2」,「DA1」,「ID1」を含む移動後トンネル確立要求の通過が許可されるため、vVPN−GW7に、該移動後トンネル確立要求が到達する。vVPN−GW7は、このクライアント端末10から受信した移動後トンネル確立要求を復号化し、パケット内の電子証明書を用いて通信相手のクライアント端末10の認証の可否を判断する(図12の(8)参照)。そして、vVPN−GW7は、認証可能と判断した場合には(図12の(8’)参照)、新たな認証情報の同期を認証サーバ3との間で実行するとともに(図12の(9)参照)、このクライアント端末10との間に、アクセス制御装置5B及び第2AP8Bを経路に含むトンネルT2を確立する(図12の(10)参照)。
このように、クライアント端末認証システム1では、クライアント端末10の移動によって中継するAPが変更した場合、アクセス制御管理装置4の制御によって、新たなトンネルT2をクライアント端末10について確立している。したがって、クライアント端末認証システム1では、再度、サービスポータルサーバ2による簡易認証及び認証サーバ3による認証を受けずとも、変更したAPを経路に含むトンネルを確立することができる。
続いて、悪意あるクライアント端末からの移動後トンネル確立要求を受けた場合について説明する。クライアント端末認証システム1では、図13に示す流れの処理を行うことによって、悪意あるクライアント端末のアクセスを排除している。
例えば、トンネルT1をvVPN−GW7との間に確立したクライアント端末10−1からIDを盗み見した(図13の(1)参照)クライアント端末10−2から、第2AP8Bを介して、移動後トンネル確立要求があった場合(図13の(2)参照)を例に説明する。この場合、悪意あるクライアント端末10−2が送信する移動後トンネル確立要求には、ネットワークへのアクセスが許可されているクライアント端末10−1のID「1」、第2AP8Bの送信元アドレスである「SA2」及び送信先のvVPN−GW7のアドレス(送信先アドレス)である「DA1」が、アウターヘッダに含まれている。このため、この移動後トンネル確立要求を受信したアクセス制御装置5Bは、図10の(3)の場合と同様に、この移動後トンネル確立要求のアウターヘッダ内の「ID1」,「SA2」,「DA1」を、アクセス制御管理装置4に問い合わせる(図13の(3)参照)。
この場合も、アクセス制御管理装置4は、アクセス制御リスト421を参照し、問い合わせがあったIDと合致するIDを検索する(図13の(4)参照)。ここで、認証が成功し既にアクセス制御リスト421にIDが設定されているクライアント端末10−1のID「1」が、問い合わせ対象であるため、問い合わせ対象のIDと合致するIDがアクセス制御リスト421から検索できる。このため、アクセス制御管理装置4は、問い合わせ元のアクセス制御装置5Bに、問い合わせ対象である「ID1」,「SA2」,「DA1」をアウターヘッダに有するパケットのアクセスを許可する(図13の(5)参照)。これによって、悪意あるクライアント端末10−2による移動後トンネル確立要求は、アクセス制御装置5Bを通過し、vVPN−GW7に到達する。
ただし、この悪意あるクライアント端末10−2から受信した移動後トンネル確立要求内に、真正であるクライアント端末10−1に対応する電子証明書が含まれていない。このため、vVPN−GW7は、このクライアント端末10−2の認証が不可能であると判断する(図13の(6)参照)。そして、vVPN−GW7は、自身のアドレス(DA)を付し、この認証不可能であったクライアント端末10−2のID,SAを認証サーバ3に通知する(図13の(7)参照)。
この通知を受けて、認証サーバ3は、このID,SA,DAについて、vVPN−GW7にて所定回数認証不可能であったか否かを判断し、所定回数認証が不可能であった場合には、このIDは、悪意あるクライアント端末に使用されていると判定する。そして、認証サーバ3は、この所定回数認証が不可能であったIDを用いたアクセスを排除するため、このID,SA,DAをサービスポータルサーバ2に通知する(図13の(8)参照)。
サービスポータルサーバ2は、この所定回数認証が不可能であったID,SA,DAのアクセス制御リスト421からの削除を依頼する(図13の(9)参照)。これに応じて、アクセス制御管理装置4は、アクセス制御リスト421から、このID,SA,DAを削除する(図13の(10)参照)。具体的には、アクセス制御管理装置4は、アクセス制御リスト421を、図14に示すテーブルTbの2行目から、「ID1」を削除したテーブルTcに更新する。
そして、アクセス制御管理装置4は、アクセス制御装置5Bに対しても、このID,SAを、アクセス許可対象から削除するよう指示する(図13の(11)参照)。言い換えると、アクセス制御管理装置4は、該IDに対応するクライアント端末10−2のアクセス拒否をアクセス制御装置5Bに指示する。この結果、クライアント端末認証システム1においては、悪意あるクライアント端末10−2のネットワークへのアクセスを排除することができる。
[クライアント端末に対する認証処理]
次に、図15を参照して、クライアント端末認証システム1におけるクライアント端末に対する認証処理の処理手順について説明する。図15は、図1に示すクライアント端末認証システム1におけるクライアント端末に対する認証処理の流れを説明するシーケンス図である。
まず、クライアント端末10は、第1AP8Aを中継して、サービスポータルサーバ2に対して、IP割当要求を行う(ステップS1及びステップS2)。サービスポータルサーバ2は、簡易認証に成功すると、IPアドレスをクライアント端末10に割り当て、割り当てたIPアドレスを、第1AP8Aを中継して、クライアント端末10に送信する(ステップS3及びステップS4)。
そして、クライアント端末10は、割り当てられたIPアドレスを用いてネットワークに接続し、第1AP8Aを中継して、クライアント証明書を認証サーバ3に送付する(ステップS5及びステップS6)。認証サーバ3は、このクライアント証明書を用いて認証に成功した場合、クライアント端末10のネットワークへのアクセスを許可し、サービスポータルサーバ2及び第1AP8Aを介して、ID「1」及びパスワードをクライアント端末10に返却する(ステップS7〜ステップS9)。また、認証サーバ3は、このクライアント端末10に割り当てられたvVPN−GW7との間で、認証情報の同期を行う(ステップS10)。
ここで、サービスポータルサーバ2は、認証サーバ3によってアクセスが許可されたクライアント端末10に対応するSA,DA,IDのアクセス制御リスト421の設定を、アクセス制御管理装置4に依頼する(ステップS11)。この依頼に応じて、アクセス制御管理装置4は、アクセス制御リスト421に、依頼されたSA,DA,IDを設定する(ステップS12)。そして、アクセス制御管理装置4は、第1AP8Aと接続するアクセス制御装置5Aに対して、クライアント端末10とvVPN−GW7との間のアクセスを許可する(ステップS13)。そして、vVPN−GW7がクライアント端末10を認証した場合には、vVPN−GW7と、クライアント端末10との間に第1AP8Aを経路に含むトンネルが確立される(ステップS14)。その後、vVPN−GW7とクライアント端末10とは、このトンネルを介して、データを暗号化して通信を行う。
[クライアント端末移動後のトンネル再確立処理]
次に、図16及び図17を参照して、クライアント端末認証システム1におけるクライアント端末10移動後のトンネル再確立処理の処理手順について説明する。図16及び図17は、図1に示すクライアント端末認証システム1におけるクライアント端末10移動後のトンネル再確立処理の流れを説明するシーケンス図である。
図16に示すように、クライアント端末10が、移動等によって、第2AP8Bに接続を変更する場合、第2AP8Bを経路に含むトンネルをvVPN−GW7との間で改めて確立できるよう、第2AP8Bを介して、アクセス制御装置5Bに移動後トンネル確立要求を行う(ステップS21及びステップS22)。このとき、クライアント端末10は、第2AP8Bに対し、パケット中継時に該クライアント端末10のIDを移動後トンネル確立要求のアウターヘッダに含ませて送信させる。
アクセス制御装置5Bは、受信した移動後トンネル確立要求が、通過が許可されていないパケットであると判断し、この移動後トンネル確立要求のアウターヘッダ内のID,SA,DAを、アクセス制御管理装置4に問い合わせる(ステップS23)。
アクセス制御管理装置4は、アクセス制御リスト421を参照し、問い合わせがあったIDと合致するIDを検索する(ステップS24)。そして、アクセス制御部432は、問い合わせがあったIDと合致するIDをアクセス制御リスト421から検索できた場合(ステップS25)、アクセス制御リスト421を、問い合わせ対象のID,SA,DAがアクセス制御装置5Bに対応する内容に更新する(ステップS26)。そして、アクセス制御管理装置4は、問い合わせ元のアクセス制御装置5Bに、問い合わせ対象であるID,SA,DAをアウターヘッダに含むパケットのアクセスを許可する(ステップS27)。
この結果、アクセス制御装置5Bによって、移動後トンネル確立要求の通過が許可されるため、vVPN−GW7に、該移動後トンネル確立要求が到達する(ステップS28)。vVPN−GW7は、受信した移動後トンネル確立要求を復号化し、パケット内の電子証明書を用いて通信相手のクライアント端末10の認証が可能であるか否かを判断する(ステップS29)。
そして、vVPN−GW7は、認証可能と判断した場合には(ステップS29:Yes)新たな認証情報の同期を認証サーバ3との間で実行するとともに、このクライアント端末10との間に、アクセス制御装置5B及び第2AP8Bを経路に含むトンネルを確立する(ステップS30)。
一方、vVPN−GW7は、認証不可能と判断した場合には(ステップS29:No)、この認証不可能であったクライアント端末10のID,SAを認証サーバ3に通知する(ステップS31)。この通知を受けて、認証サーバ3は、このIDについて、vVPN−GW7にて所定回数認証不可能であったか否かを判断する(ステップS32)。認証サーバ3は、このIDについて、vVPN−GW7にて所定回数認証不可能でないと判断した場合(ステップS32:No)、認証不可能IDの通知を待つ。
これに対し、認証サーバ3は、このIDについて、vVPN−GW7にて所定回数認証不可能であったと判断した場合(ステップS32:Yes)、この所定回数認証が不可能であったID,SA,DAをサービスポータルサーバ2に通知する(ステップS33)。これに応じて、サービスポータルサーバ2は、アクセス制御管理装置4に、アクセス制御リスト421から、通知されたID,SA,DAの削除を依頼する(ステップS34)。
続いて、アクセス制御管理装置4は、アクセス制御リスト421から、このID,SA,DAを削除する(ステップS35)。そして、アクセス制御管理装置4は、アクセス制御装置5Bに対しても、このID,DAを、アクセス許可対象から削除するよう指示する(ステップS36)によって、悪意あるクライアント端末10のネットワークへのアクセスを不可とすることができる。
[実施の形態の効果]
このように、実施の形態に係るクライアント端末認証システム1では、クライアント端末10の移動によって中継するAPが変更した場合、アクセス制御管理装置4の制御によって、新たなトンネルをクライアント端末10について確立している。したがって、クライアント端末認証システム1では、再度、サービスポータルサーバ2による簡易認証及び認証サーバ3による認証を受けずとも、変更したAPを経路に含むトンネルを確立することができ、ユーザ利便性を確保することができる。
また、実施の形態に係るクライアント端末認証システム1では、vVPN−GW7において所定回数認証が不可能だったID及びSAをアクセス制御リスト421及び該当するアクセス制御装置5A,5Bのアクセス許可リスト521から削除するよう、サービスポータルサーバ2が依頼する。したがって、クライアント端末認証システム1によれば、悪意あるクライアント端末10をネットワークから排除することができ、ネットワークのセキュリティを確保することができる。
もちろん、クライアント端末認証システム1では、サービスポータルサーバ2がアドレス認証を実行することで、不正なクライアント端末がネットワークに通信フローを送ることを防止することができる。また、クライアント端末認証システム1では、アドレス認証に成功したクライアント端末の証明書に基づく認証をさらに実行することで、アドレス認証だけ実行する場合と比較してネットワークのセキュリティを向上させることができる。このため、クライアント端末認証システム1は、無線回線を利用した情報通信において高いセキュリティを実現することができる。
さらに、クライアント端末認証システム1では、認証サーバ3をサービスポータルサーバ2よりも上流に配置しているため、サービスポータルサーバ2と認証サーバ3とをネットワーク上の同じ位置に配置する場合と比較して、認証サーバを集約的に配置することができる。
なお、本実施の形態では、アクセス制御管理装置4は、ACLとして、アクセス制御装置5A,5Bの識別情報に、パケットのアウトヘッダーに含まれるクライアント端末10のID、SA、DAを対応付けて設定する例を説明したが、もちろんこれに限らない。アクセス制御管理装置4は、ACLとして、アクセス制御装置5A,5Bの識別情報に、パケットのアウトヘッダーに含まれる5tuple(Source IP,Destination IP,Src Port,Dst Post,Protocol)を対応付けて設定し、該ACLに設定された5tupleをアウトヘッダーに含むパケットの通過を許可するようにアクセス制御装置5A,5Bを制御してもよい。
[実施の形態のシステム構成について]
図1に示したクライアント端末認証システム1の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、クライアント端末認証システム1の機能の分散および統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散または統合して構成することができる。
また、クライアント端末認証システム1の各装置において行われる各処理は、全部または任意の一部が、CPUおよびCPUにより解析実行されるプログラムにて実現されてもよい。また、クライアント端末認証システム1の各装置において行われる各処理は、ワイヤードロジックによるハードウェアとして実現されてもよい。
また、実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともできる。もしくは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上述および図示の処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて適宜変更することができる。
[プログラム]
図18は、プログラムが実行されることにより、クライアント端末認証システム1の各装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、クライアント端末認証システム1の各装置の各処理を規定するプログラムは、コンピュータ1000により実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、クライアント端末認証システム1の各装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施の形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施の形態について説明したが、本実施の形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施の形態に基づいて当業者等によりなされる他の実施の形態、実施例及び運用技術等は全て本発明の範疇に含まれる。
1 クライアント端末認証システム
2,2P サービスポータルサーバ
3,3P 認証サーバ
4,4P アクセス制御管理装置
5A,5B アクセス制御装置
6,6P 振分装置
7,7P vVPN−GW
8A,8B アクセスポイント(AP)
10,10−1,10−2,10P クライアント端末
21,31,41,51 通信部
22,42,52 記憶部
23,33,43 制御部
32 認証データベース(DB)
100 付加価値装置群または外部ネットワーク(NW)
231 認証受付部
232 アクセス制御リスト設定依頼部
233 ID管理部
331 認証部
421 アクセス制御リスト(ACL)
431 アクセス制御リスト設定部
432 アクセス制御部
521 アクセス許可リスト
531 アクセス許可リスト設定部
532 アクセス処理部
533 ID問い合わせ部
T1,T2 トンネル

Claims (5)

  1. アクセスポイント間との無線通信によりネットワークに接続するクライアント端末を認証し、前記クライアント端末による前記ネットワークへのアクセスを許可するクライアント端末認証システムであって、
    第1のアクセスポイント間との無線通信を介した前記クライアント端末からのアドレス割当要求を受信してアドレス認証を実行してアドレス認証に成功した場合には前記クライアント端末にアドレスを送信するアドレス割当サーバと、
    前記アドレスを割り当てられた前記クライアント端末が送信する証明書を受信して当該証明書の認証を実行し、前記証明書の認証に成功した場合に前記クライアント端末による前記ネットワークへのアクセスを許可し、前記アドレス割当サーバを介して、前記クライアント端末に対応するID及びパスワードを前記クライアント端末に返却する認証サーバと、
    前記認証サーバによってアクセスが許可されたクライアント端末に割り当てられたゲートウェイと、前記第1のアクセスポイントとの間のアクセスを制御し、前記クライアント端末と該ゲートウェイとの間の前記第1のアクセスポイントを含む第1の通信経路を流れるパケットを通過させる第1のアクセス制御装置と、
    前記第1のアクセスポイントとは異なる第2のアクセスポイントと前記ゲートウェイとの間のアクセスを制御し、前記第1の通信経路の確立後に、前記クライアント端末から、前記第2のアクセスポイント間との無線通信を介して、前記クライアント端末のIDをアウターヘッダに含めた通信経路確立要求を受信した場合、該受信した通信経路確立要求のアウターヘッダに含まれるIDを問い合わせ先に問い合わせる第2のアクセス制御装置と、
    前記第1のアクセス制御装置に前記第1の通信経路を流れるパケットの通過を許可するとともに、前記認証サーバによってアクセスが許可されたクライアント端末のIDと該クライアント端末が接続するアクセスポイントのアドレスと前記クライアント端末の送信先として割り当てられたゲートウェイの送信先アドレスとをアクセス制御装置の識別情報に対応付けたアクセス制御リストを記憶し、前記第2のアクセス制御装置からIDの問い合わせがあった場合であって問い合わせがあったIDを前記アクセス制御リストから検索した場合には、前記第2のアクセス制御装置に対し、前記クライアント端末と該クライアント端末に割り当てられたゲートウェイとの間の前記第2のアクセスポイントを含む第2の通信経路を流れるパケットの通過を許可するアクセス制御管理装置と、
    を有することを特徴とするクライアント端末認証システム。
  2. 前記アドレス割当サーバは、前記アクセス制御管理装置に対し、前記認証サーバによってアクセスが許可されたクライアント端末のIDと、該クライアントと無線通信を行う前記第1のアクセスポイントのアドレスと、該クライアント端末に割り当てられた送信先のゲートウェイのアドレスとを、前記第1のアクセス制御装置の識別情報に対応付けて前記アクセス制御リストに設定する依頼を送信することを特徴とする請求項1に記載のクライアント端末認証システム。
  3. 前記アクセス制御管理装置は、前記第2のアクセス制御装置から前記問い合わせがあったIDを検索した場合、問い合わせ内容に応じて前記アクセス制御リストを更新し、前記第2のアクセス制御装置に、前記通信経路確立要求の前記ゲートウェイへの通過を許可することを特徴とする請求項1または2に記載のクライアント端末認証システム。
  4. 前記ゲートウェイは、前記通信経路確立要求を送信したクライアント端末を認証できた場合には該クライアント端末との間において前記第2の通信経路を確立し、前記通信経路確立要求を送信したクライアント端末を認証できない場合には認証不可能であった該クライアント端末のIDを前記認証サーバに送信し、
    前記認証サーバは、前記ゲートウェイから送信されたクライアント端末のIDが前記ゲートウェイにおいて所定回数認証が不可能であった場合には、該所定回数認証が不可能であったクライアント端末のIDを前記アドレス割当サーバに通知し、
    前記アドレス割当サーバは、前記アクセス制御管理装置に対して、前記所定回数認証が不可能であったクライアント端末のIDの前記アクセス制御リストからの削除を依頼し、
    前記アクセス制御管理装置は、前記アクセス制御リストから前記所定回数認証が不可能であったクライアント端末のIDを削除するとともに、該IDに対応するクライアント端末のアクセス拒否を前記第2のアクセス制御装置に指示することを特徴とする請求項3に記載のクライアント端末認証システム。
  5. ネットワークに配置されるアドレス割当サーバが、第1のアクセスポイント間との無線通信を介したクライアント端末からのアドレス割当要求に応じてアドレス認証を実行し、アドレス認証に成功した場合には前記クライアント端末にアドレスを送信するアドレス割当工程と、
    前記ネットワークに配置される認証サーバが、前記アドレスを割り当てられた前記クライアント端末が送信する証明書を受信して当該証明書の認証を実行し、前記証明書の認証に成功した場合に前記クライアント端末による前記ネットワークへのアクセスを許可し、前記アドレス割当サーバを介して、前記クライアント端末に対応するID及びパスワードを前記クライアント端末に返却する認証工程と、
    前記ネットワークに配置されるアクセス制御管理装置が、前記認証サーバによってアクセスが許可されたクライアント端末と該クライアント端末に割り当てられたゲートウェイとの間の前記第1のアクセスポイントを含む第1の通信経路の確立を制御する工程と、
    前記アクセス制御管理装置が、前記認証サーバによってアクセスが許可されたクライアント端末のIDと該クライアント端末が接続するアクセスポイントのアドレスと前記クライアント端末の送信先として割り当てられたゲートウェイのアドレスとをアクセス制御装置の識別情報に対応付けたアクセス制御リストを記憶する工程と、
    前記ネットワークに配置される第1のアクセス制御装置が、前記クライアント端末に割り当てられたゲートウェイと前記第1のアクセスポイントとの間のアクセスを制御し、前記アクセス制御管理装置の指示に基づいて前記第1の通信経路を流れるパケットを通過させる工程と、
    前記クライアント端末が、前記第1の通信経路の確立後に、前記第1のアクセスポイントとは異なる第2のアクセスポイント間との無線通信を介して前記ネットワークにアクセスする場合、前記認証サーバによって付与されたIDをアウターヘッダに含めた通信経路確立要求を、前記第2のアクセスポイントを介して、該第2のアクセスポイントと該クライアント端末に割り当てられたゲートウェイとの間のアクセスを制御する第2のアクセス制御装置に送信する工程と、
    前記第2のアクセス制御装置が、前記通信経路確立要求を受信した場合、該受信した通信経路確立要求のアウターヘッダに含まれるIDを、前記アクセス制御管理装置に問い合わせる工程と、
    前記アクセス制御管理装置が、前記アクセス制御リストのIDと、問い合わせがあったIDとが一致した場合、前記第2のアクセス制御装置に対し、前記クライアント端末と該クライアント端末に割り当てられたゲートウェイとの間に前記第2のアクセスポイントを含む第2の通信経路を流れるパケットの通過を許可する工程と、
    を含んだことを特徴とするクライアント端末認証方法。
JP2016159328A 2016-08-15 2016-08-15 クライアント端末認証システム及びクライアント端末認証方法 Pending JP2018029233A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016159328A JP2018029233A (ja) 2016-08-15 2016-08-15 クライアント端末認証システム及びクライアント端末認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016159328A JP2018029233A (ja) 2016-08-15 2016-08-15 クライアント端末認証システム及びクライアント端末認証方法

Publications (1)

Publication Number Publication Date
JP2018029233A true JP2018029233A (ja) 2018-02-22

Family

ID=61249235

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016159328A Pending JP2018029233A (ja) 2016-08-15 2016-08-15 クライアント端末認証システム及びクライアント端末認証方法

Country Status (1)

Country Link
JP (1) JP2018029233A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019193210A (ja) * 2018-04-27 2019-10-31 エヌ・ティ・ティテレコン株式会社 ネットワーク通信装置および管理局装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019193210A (ja) * 2018-04-27 2019-10-31 エヌ・ティ・ティテレコン株式会社 ネットワーク通信装置および管理局装置
JP7186013B2 (ja) 2018-04-27 2022-12-08 エヌ・ティ・ティテレコン株式会社 ネットワーク通信装置および管理局装置

Similar Documents

Publication Publication Date Title
US10805797B2 (en) Enabling secured wireless access using user-specific access credential for secure SSID
US10178095B2 (en) Relayed network access control systems and methods
US11302451B2 (en) Internet of things connectivity device and method
US8769623B2 (en) Grouping multiple network addresses of a subscriber into a single communication session
WO2016152416A1 (ja) 通信管理システム、アクセスポイント、通信管理装置、接続制御方法、通信管理方法、及びプログラム
JP2012165199A (ja) ネットワーク接続制御システム及び接続制御方法
CA3040804C (en) Portal aggregation service mapping subscriber device identifiers to portal addresses to which connection and authentication requests are redirected and facilitating mass subscriber apparatus configuration
JP2016066298A (ja) 中継装置、通信システム、情報処理方法、及び、プログラム
US20120106399A1 (en) Identity management system
JP2012070225A (ja) ネットワーク中継装置及び転送制御システム
JP2018029233A (ja) クライアント端末認証システム及びクライアント端末認証方法
TW201721498A (zh) 具安全與功能擴充性的有線區域網路使用者管理系統及方法
JP6571615B2 (ja) 認証サーバ、振分装置、クライアント端末認証システム及びクライアント端末認証方法
JP6312325B2 (ja) 無線通信におけるクライアント端末認証システムおよびクライアント端末認証方法
JP6487392B2 (ja) クライアント端末認証システム及びクライアント端末認証方法
CN112887968B (zh) 一种网络设备管理方法、装置、网络管理设备及介质
CN113746864B (zh) 用户终端的认证方法、装置、设备、存储介质
JP6270383B2 (ja) アクセス制御装置、アクセス制御方法、及びプログラム
JP5234807B2 (ja) ネットワーク装置及びそれに用いる自動暗号化通信方法
JP5815486B2 (ja) 中継装置、通信システム及び認証方法