JP2019176369A - 通信システム、通信装置、通信方法及び通信プログラム - Google Patents

通信システム、通信装置、通信方法及び通信プログラム Download PDF

Info

Publication number
JP2019176369A
JP2019176369A JP2018063729A JP2018063729A JP2019176369A JP 2019176369 A JP2019176369 A JP 2019176369A JP 2018063729 A JP2018063729 A JP 2018063729A JP 2018063729 A JP2018063729 A JP 2018063729A JP 2019176369 A JP2019176369 A JP 2019176369A
Authority
JP
Japan
Prior art keywords
terminal
communication
authentication
network
relay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018063729A
Other languages
English (en)
Other versions
JP6609660B2 (ja
Inventor
忠佑 野副
Tadasuke Nozoe
忠佑 野副
奨悟 斎藤
Shogo Saito
奨悟 斎藤
西村 徹
Toru Nishimura
徹 西村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone West Corp
Original Assignee
Nippon Telegraph and Telephone West Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone West Corp filed Critical Nippon Telegraph and Telephone West Corp
Priority to JP2018063729A priority Critical patent/JP6609660B2/ja
Publication of JP2019176369A publication Critical patent/JP2019176369A/ja
Application granted granted Critical
Publication of JP6609660B2 publication Critical patent/JP6609660B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】固定閉域網に直接接続されていない通信網から、固定閉域網のVPNに安全に端末を接続することが可能である通信システム、通信装置、通信方法及び通信プログラムを提供する。【解決手段】通信システムは、閉域網以外の通信網に端末が接続する前に閉域網に接続した端末に関する情報を取得する認証通信部と、情報を認証記憶部に記録する認証制御部とを有する端末認証装置と、端末記憶部に情報が記憶されているか否かを表す認証結果を、通信網に端末が接続している場合に認証通信部から取得する中継通信部と、認証記憶部に情報が記憶されていることを認証結果が表している場合、通信網に接続している端末の信号を閉域網に中継する中継制御部とを有する通信装置とを備える。【選択図】図1

Description

本発明は、通信システム、通信装置、通信方法及び通信プログラムに関する。
固定回線を含む閉域網(以下「固定閉域網」という。)の仮想プライベートネットワーク(VPN: Virtual Private Network)への接続が許可されていない攻撃者端末が固定閉域網のVPNに接続できないようにするため、固定閉域網のVPNへの接続には、パスワード認証と回線認証とが用いられている。パスワード認証と回線認証とによって、固定閉域網のVPNでは、強固な安全性が実現されている(非特許文献1参照)。
また近年、企業における社員の在宅勤務の推進と、端末の高性能化及び普及とに伴い、公衆無線網及び移動網等の通信網から固定閉域網のVPNに端末が安全に接続することが求められている。固定閉域網以外の通信網から固定閉域網のVPNに端末が安全に接続する方法として、固定閉域網と通信網とを直接接続する方法がある。固定閉域網に直接接続された通信網に端末が接続する際に、端末のSIMカード(Subscriber Identity Module Card)を用いた認証が実行されるので、攻撃者端末が社員の端末に成り済ますことは困難である。このように、固定閉域網と通信網とを直接接続する方法では、企業の社員の端末は、企業の拠点以外の場所に持ち出された場合でも、通信網から固定閉域網のVPNに安全に接続することができる。
企業の拠点に設置されている端末認証装置に端末がリモートアクセスすることによって、その拠点に接続された固定閉域網のVPNに端末が安全に接続する方法がある(非特許文献2参照)。企業の拠点に設置されている端末認証装置に端末が公衆無線網を介してリモートアクセスし、パスワードや証明書等による認証が成功した場合、企業の社員の端末は、その拠点を介して固定閉域網のVPNに接続することができる。
松井、外5名、「拡張性と高可用性を備えたVPN認証システム『AAA』」、NTT技術ジャーナル、vol.23、no.3、2011年 鳩貝、「セキュアなリモートアクセスを実現する最近の技術とその運用」、情報の科学と技術、vol.54, no.1、2004年
しかしながら、固定閉域網と通信網とを直接接続する方法では、ネットワーク機器の設置や、固定網事業者及び通信網事業者の間の清算システムの構築等、固定網事業者及び通信網事業者において多額の設備コストが必要となる。また、拠点に設置されている端末認証装置に端末がリモートアクセスする方法では、認証用のパスワードを攻撃者端末が盗用したり、社員の端末の秘密鍵を攻撃者端末が複製したりすることで、攻撃者端末が企業の固定閉域網のVPNに不正に接続する可能性がある。このように、従来の通信装置は、固定閉域網に直接接続されていない通信網から固定閉域網のVPNに安全に端末が接続することができないという問題があった。
上記事情に鑑み、本発明は、固定閉域網に直接接続されていない通信網から、固定閉域網のVPNに安全に端末を接続することが可能である通信システム、通信装置、通信方法及び通信プログラムを提供することを目的としている。
本発明の一態様は、閉域網以外の通信網に端末が接続する前に前記閉域網に接続した前記端末に関する情報を取得する認証通信部と、前記情報を認証記憶部に記録する認証制御部とを有する端末認証装置と、前記認証記憶部に前記情報が記憶されているか否かを表す認証結果を、前記通信網に前記端末が接続している場合に前記認証通信部から取得する中継通信部と、前記認証記憶部に前記情報が記憶されていることを前記認証結果が表している場合、前記通信網に接続している前記端末の信号を前記閉域網に中継する中継制御部とを有する通信装置とを備える通信システムである。
本発明の一態様は、上記の通信システムであって、前記情報は、前記端末によって生成された公開鍵である。
本発明の一態様は、上記の通信システムであって、前記認証通信部は、前記閉域網における認証済の回線を介して、前記端末に関する情報を前記端末から取得する。
本発明の一態様は、上記の通信システムであって、前記中継制御部は、L2TP(Layer2 Tunneling Protocol)に基づいて前記通信網から前記中継通信部に接続している前記端末の信号を、前記閉域網の仮想プライベートネットワークに中継する。
本発明の一態様は、閉域網以外の通信網に端末が接続する前に前記閉域網に接続した前記端末に関する情報を記憶する端末認証装置から、前記端末認証装置に前記情報が記憶されているか否かを表す認証結果を、前記通信網に前記端末が接続している場合に取得する中継通信部と、前記端末認証装置に前記情報が記憶されていることを前記認証結果が表している場合、前記通信網に接続している前記端末の信号を前記閉域網に中継する中継制御部と、を備える通信装置である。
本発明の一態様は、上記の通信装置であって、前記情報は、前記端末によって生成された公開鍵である。
本発明の一態様は、通信システムが実行する通信方法であって、閉域網以外の通信網に端末が接続する前に前記閉域網に接続した前記端末に関する情報を取得するステップと、前記情報を認証記憶部に記録するステップと、前記認証記憶部に前記情報が記憶されているか否かを表す認証結果を、前記通信網に前記端末が接続している場合に取得するステップと、前記認証記憶部に前記情報が記憶されていることを前記認証結果が表している場合、前記通信網に接続している前記端末の信号を前記閉域網に中継するステップとを含む通信方法である。
本発明の一態様は、上記の通信装置としてコンピュータを機能させるための通信プログラムである。
本発明により、固定閉域網に直接接続されていない通信網から、固定閉域網のVPNに安全に端末を接続することが可能である。
第1実施形態における、端末を登録するフェーズの通信システムの構成の例を示す図である。 第1実施形態における、通信装置の構成の例を示す図である。 第1実施形態における、端末認証装置の構成の例を示す図である。 第1実施形態における、端末を認証するフェーズの通信システムの構成の例を示す図である。 第1実施形態における、端末を登録するフェーズの通信システムの動作の例を示すシーケンス図である。 第1実施形態における、端末を認証するフェーズの通信システムの動作の例を示すシーケンス図である。 第2実施形態における、端末を登録するフェーズの通信システムの構成の例を示す図である。 第2実施形態における、通信装置の構成の例を示す図である。 第2実施形態における、端末を認証するフェーズの通信システムの構成の例を示す図である。 第2実施形態における、端末を登録するフェーズの通信システムの動作の例を示すシーケンス図である。 第2実施形態における、端末を認証するフェーズの通信システムの動作の例を示すシーケンス図である。
本発明の実施形態について、図面を参照して詳細に説明する。
(第1実施形態)
図1は、端末を登録するフェーズ(登録フェーズ)の通信システム1aの構成の例を示す図である。通信システム1aは、固定閉域網に直接接続されていない通信網から固定閉域網のVPNに、固定閉域網のVPNへの接続が許可されている端末が接続するシステムである。
通信システム1aは、固定閉域網2と、ネットワーク認証装置3と、拠点4−1〜4−2と、回線5−1〜5−2と、回線6と、クラウドサービス部7とを備える。通信システム1aは、クラウドサービス部7を介して、インターネット8に接続されている。通信システム1aは、インターネット8を介して、公衆無線網9に接続されている。したがって、公衆無線網9は、固定閉域網2には直接接続されていない。攻撃者端末10は、公衆無線網9に接続している。公衆無線網9は移動網でもよい。
固定閉域網2は、各拠点4を有する企業等によって敷設された光ファイバ等の固定回線を含む閉域網である。この閉域網は、固定回線以外の回線を含んでいてもよい。固定閉域網2と、各拠点4の拠点内通信網と、回線5−1〜5−2と、回線6とは、VPNを構成している。
ネットワーク認証装置3は、固定閉域網2のVPNに接続された回線を認証する装置である。ネットワーク認証装置3は、VPNに接続された回線の回線IDを予め記憶する。ネットワーク認証装置3は、拠点4の拠点内通信網の回線がVPNに新たに接続される場合、ネットワーク認証装置3に予め記憶されている回線IDと、新たな拠点4の拠点内通信網の回線に割り当てられた回線IDとを比較する。
ネットワーク認証装置3は、予め記憶されている回線IDと拠点内通信網の回線に割り当てられた回線IDとが一致する場合、その拠点内通信網を介して端末等がVPNに接続することを許可する。例えば、ネットワーク認証装置3は、記憶されている回線IDと回線5−1に割り当てられた回線IDとが一致する場合、回線5−1に接続された拠点内通信網を介して端末等がVPNに接続することを許可する。
拠点4は、企業等の拠点であって、例えば建物である。拠点4−1と拠点4−2とは、異なる都市に位置していてもよい。拠点4−1は、拠点内通信網40−1と、拠点装置41−1と、端末42−1とを備える。拠点4−1は、端末を更に備えてもよい。拠点4−2は、拠点内通信網40−2と、拠点装置41−2とを備える。拠点4−2は、1台以上の端末を備えてもよい。
拠点内通信網40−1は、拠点4−1における光ファイバ等の通信網である。拠点装置41−1は、例えばアプリケーションサーバ等である。拠点装置41−1は、拠点4−1において拠点装置41−1に割り当てられたIPアドレスを用いて、拠点内通信網40−1を介して固定閉域網2のVPNに接続する。拠点装置41−1は、例えば、拠点装置41−1に割り当てられたIPアドレス「10.1.0.10」を用いて、固定閉域網2のVPNに接続する。
端末42−1は、ノートパソコン、タブレット端末、スマートフォン端末等の通信端末である。端末42−1は、拠点4−1で使用されるだけでなく、企業の社員に持ち出されて拠点4−1以外の場所で使用されてもよい。
拠点4−1において、端末42−1は、端末42−1に割り当てられたIPアドレスを用いて、拠点内通信網40−1を介して固定閉域網2のVPNに接続する。拠点4−1において、端末42−1は、例えば、IPアドレス「10.1.0.1」を用いて、固定閉域網2のVPNに接続する。固定閉域網2のVPNに接続している状態で、端末42−1は、自端末によって生成された情報を、クラウドサービス部7に予め登録する。自端末によって生成された情報は、例えば、自端末の公開鍵である。
拠点内通信網40−2は、拠点4−2における光ファイバ等の通信網である。拠点装置41−2は、例えばファイルサーバ等である。拠点装置41−2は、拠点装置41−2に割り当てられたIPアドレスを用いて、拠点内通信網40−2を介して固定閉域網2のVPNに接続する。拠点装置41−2は、例えば、IPアドレス「10.2.0.10」を用いて、固定閉域網2のVPNに接続する。
回線5−1は、ネットワーク認証装置3に記憶されている回線IDが割り当てられた回線であり、固定閉域網2と拠点内通信網40−1とを接続する回線である。回線5−1を伝送されるパケットの送信元のIPアドレスは、例えば、「10.1.0.1」から「10.1.0.254」までである。
回線5−2は、ネットワーク認証装置3に記憶されている回線IDが割り当てられた回線であり、固定閉域網2と拠点内通信網40−2とを接続する回線である。回線5−2を伝送されるパケットの送信元のIPアドレスは、例えば、「10.2.0.1」から「10.2.0.254」までである。
回線6は、ネットワーク認証装置3に記憶されている回線IDが割り当てられた回線であり、固定閉域網2と通信装置70aとを接続する回線である。回線6を伝送されるパケットの送信元のIPアドレスは、例えば「10.3.0.1」から「10.3.0.254」までである。
クラウドサービス部7は、拠点4を有する企業等によってクラウド環境に備えられた1台以上の通信装置を含む装置群である。クラウドサービス部7は、公衆無線網9に端末42−1が接続された場合、固定閉域網2のVPNに端末42−1を安全に接続するというクラウドサービスを、端末42−1を拠点4から持ち出した社員に提供する。
図2は、通信装置70aの構成の例を示す図である。通信装置70aは、信号を中継する装置であり、例えば中継サーバである。通信装置70aは、中継通信部701aと、中継制御部702と、中継記憶部703とを備える。中継通信部701aと中継制御部702とは、CPU(Central Processing Unit)等のプロセッサが、記憶部に記憶されたプログラムを実行することにより実現される。各機能部のうち一部又は全部は、LSI(Large Scale Integration)やASIC(Application Specific Integrated Circuit)等のハードウェアを用いて実現されてもよい。
中継通信部701aは、回線6を介して固定閉域網2に接続されている。中継通信部701aは、登録フェーズよりも後で端末を認証するフェーズにおいて公衆無線網9に接続された端末42−1からのリモートアクセスを受け付けるために、インターネット8に接続されている。中継通信部701aには、インターネット8におけるIPアドレス(グローバルアドレス)「AAA.BBB.CCC.DDD」が割り当てられる。また、中継通信部701aが固定閉域網2のVPNに接続するために、中継通信部701aには、固定閉域網2におけるIPアドレス「10.3.0.99」が割り当てられる。
中継通信部701aがインターネット8及び公衆無線網9を介して端末と接続する場合、端末と中継通信部701aとの間で、L2TP(Layer2 Tunneling Protocol)に基づいてトンネリングを確立し、L2TPトンネルを生成する。L2TPトンネルによって中継通信部に接続された端末に割り当てられるIPアドレス(以下「L2TP割り当てアドレス」という。)は、L2TP割り当てアドレスであるか否かを区別できるように割り当てられる。例えば、L2TP割り当てアドレスは、クラウドサービス部7に割り当てられたIPアドレス「10.3.0.0/24」のうちで、中継通信部701aに割り当てられたIPアドレス「10.3.0.99」よりも大きい値のIPアドレスであり、例えば「10.3.0.101」から「10.3.0.254」までのIPアドレスである。
中継通信部701aがインターネット8及び公衆無線網9を介して攻撃者端末10と接続する場合、攻撃者端末10と中継通信部701aとの間で、L2TPに基づいてトンネリングを確立し、L2TPトンネルを生成する。中継通信部701aは、例えばL2TP割り当てアドレス「10.3.0.111」を、攻撃者端末10に割り当てる。
中継通信部701aは、公衆無線網9及びインターネット8を介して、攻撃者端末10から登録要求信号を受信する。攻撃者端末10から送信された登録要求信号は、例えば攻撃者端末10の公開鍵を含む。中継通信部701aは、拠点内通信網40−1と回線5−1と固定閉域網2と回線6とを介して、端末42−1から登録要求信号を受信する。端末42−1から送信された登録要求信号は、例えば端末42−1の公開鍵を含む。
中継制御部702は、登録要求信号の送信元である攻撃者端末10のIPアドレス「10.3.0.111」がVPNで利用されているIPアドレス帯に含まれているIPアドレスであるか又はL2TP割り当てアドレスであるかを判定する。送信元である攻撃者端末10のIPアドレスは、L2TP割り当てアドレス帯に含まれている。このため、中継制御部702は、攻撃者端末10の公開鍵を端末認証装置71に登録しないように動作する。
中継制御部702は、登録要求信号の送信元である端末42−1のIPアドレス「10.1.0.1」がVPNで利用されているIPアドレス帯に含まれているIPアドレスであるか又はL2TP割り当てアドレスであるかを判定する。送信元である端末42−1のIPアドレスは、VPNで利用されているIPアドレス帯に含まれている。このため、中継制御部702は、端末42−1の公開鍵を端末認証装置71に登録する。
中継記憶部703は、例えば、フラッシュメモリ、HDD(Hard Disk Drive)などの不揮発性の記録媒体(非一時的な記録媒体)である。中継記憶部703は、例えば、RAM(Random Access Memory)やレジスタなどの揮発性の記録媒体を有してもよい。中継記憶部703は、フィルタリングテーブル(エントリテーブル)等のデータテーブルと、プログラムとを記憶する。
図3は、端末認証装置71の構成の例を示す図である。端末認証装置71は、端末を認証する装置であり、例えば、FIDO(FastIDentity Online)サーバである。端末認証装置71は、パスワードへの依存度が低い認証であって、端末の秘密鍵の複製が困難である認証として、例えばFIDO認証を実行する。
端末認証装置71は、認証通信部710と、認証制御部711と、認証記憶部712とを備える。認証通信部710と認証制御部711とは、CPU等のプロセッサが、認証記憶部712に記憶されたプログラムを実行することにより実現される。各機能部のうち一部又は全部は、LSIやASIC等のハードウェアを用いて実現されてもよい。
認証通信部710は、中継通信部701aと通信する。認証通信部710は、例えば公開鍵を中継通信部701aから受信する。認証制御部711は、認証通信部710によって受信された公開鍵を、認証記憶部712に記録する。認証記憶部712は、端末42−1の公開鍵を記憶する。認証記憶部712は、複数の公開鍵を記憶してもよい。
図4は、端末42−1を認証するフェーズ(認証フェーズ)の通信システム1aの構成の例を示す図である。認証フェーズは、登録フェーズよりも後のフェーズである。認証フェーズでは登録フェーズとは異なり、端末42−1は、L2TPトンネルによって、公衆無線網9及びインターネット8を介して通信装置70aと通信する。なお、認証フェーズにおける攻撃者端末10は、登録フェーズにおける攻撃者端末10と同様に、L2TPトンネルによって、公衆無線網9及びインターネット8を介して通信装置70aと通信する。
認証フェーズにおける通信装置70aについて説明する。
中継通信部701aがインターネット8及び公衆無線網9を介して端末42−1と接続する場合、端末と中継通信部701aとの間で、L2TPに基づいてトンネリングを確立し、L2TPトンネルを生成する。中継通信部701aは、例えばL2TP割り当てアドレス「10.3.0.110」を、端末42−1に割り当てる。中継通信部701aは、例えばL2TP割り当てアドレス「10.3.0.111」を、攻撃者端末10に割り当てる。
中継通信部701aは、認証要求信号を端末42−1から受信する。中継通信部701aは、端末認証装置71によって生成されたチャレンジデータを、認証通信部710から受信する。チャレンジデータは、例えば乱数に基づいて生成される。チャレンジデータのデータ長は、予め定められてもよい。中継通信部701aは、生成されたチャレンジデータを受信した場合、認証要求信号を送信した端末42−1にチャレンジデータを送信する。中継通信部701aは、端末42−1の秘密鍵を用いて暗号化されたチャレンジデータを、端末42−1から受信する。すなわち、中継通信部701aは、電子署名が付与されたチャレンジデータを、端末42−1から受信する。中継通信部701aは、端末42−1によって電子署名が付与されたチャレンジデータを、認証通信部710に送信する。端末42−1の公開鍵が認証記憶部712に記憶されているので、中継通信部701aは、端末42−1の認証が成功したことを表す信号を、認証通信部710から受信する。
中継通信部701aは、認証要求信号を攻撃者端末10から受信する。中継通信部701aは、端末認証装置71によって生成されたチャレンジデータを認証通信部710から受信する。中継通信部701aは、生成されたチャレンジデータを受信した場合、認証要求信号を送信した攻撃者端末10にチャレンジデータを送信する。中継通信部701aは、電子署名が付与されたチャレンジデータを、攻撃者端末10から受信する。中継通信部701aは、攻撃者端末10の秘密鍵を用いて暗号化されたチャレンジデータを、攻撃者端末10から受信する。すなわち、中継通信部701aは、攻撃者端末10によって電子署名が付与されたチャレンジデータを、認証通信部710に送信する。攻撃者端末10の公開鍵が認証記憶部712に記憶されていないので、中継通信部701aは、攻撃者端末10の認証が失敗したことを表す信号を、認証通信部710から受信する。
中継制御部702は、中継通信部701aが認証要求信号を受信した場合、端末認証装置71に認証処理の開始を要求する。中継制御部702は、認証が成功したことを表す信号を中継制御部702が認証通信部710から受信した場合、認証要求信号を送信した端末42−1に割り当てられたIPアドレス「10.3.0.110」を、フィルタリングテーブルに登録する。IPアドレス「10.3.0.110」がフィルタリングテーブルに登録されているので、中継制御部702は、送信元のIPアドレスが「10.3.0.110」であるパケットを固定閉域網2のVPNに転送するように、中継通信部701aを制御する。これによって、端末42−1から送信されたパケット(信号)は、中継通信部701aによって固定閉域網2のVPNに転送される。
なお、中継制御部702は、端末42−1がVPNへの接続を終了した場合、端末42−1に割り当てられたIPアドレス「10.3.0.110」を、フィルタリングテーブルから削除してもよい。
中継制御部702は、認証が失敗したことを表す信号を中継制御部702が認証通信部710から受信した場合、認証要求信号を送信した攻撃者端末10に割り当てられたIPアドレス「10.3.0.111」を、フィルタリングテーブルに登録しないように動作する。IPアドレス「10.3.0.111」がフィルタリングテーブルに登録されていないので、中継制御部702は、送信元のIPアドレスが「10.3.0.111」であるパケットを固定閉域網2のVPNに転送しないように、中継通信部701aを制御する。これによって、攻撃者端末10から送信されたパケットは、中継通信部701aによって固定閉域網2のVPNに転送されない。
認証フェーズにおける端末認証装置71について説明する。
認証通信部710は、通信装置70aを介して、端末42−1及び攻撃者端末10と通信する。認証制御部711は、認証処理の開始を中継制御部702から要求された場合、認証要求信号の送信元である端末42−1に対して認証処理を開始する。同様に、認証制御部711は、認証要求信号の送信元である攻撃者端末10に対して認証処理を開始する。
認証制御部711は、端末認証装置71に公開鍵を登録している端末42−1によってチャレンジデータが暗号化されているか否かを、端末認証装置71に記憶されている端末42−1の公開鍵を用いて判定する。すなわち、認証制御部711は、チャレンジデータに付与された電子署名が端末認証装置71に公開鍵を登録している端末42−1によって生成された電子署名であるか否かを、端末認証装置71に記憶されている端末42−1の公開鍵を用いて判定する。
認証制御部711は、暗号化されたチャレンジデータが端末42−1の公開鍵によって正常に復号された場合、端末認証装置71に公開鍵を登録している端末42−1によってチャレンジデータが暗号化されていると判定する。すなわち、認証制御部711は、暗号化されたチャレンジデータが端末42−1の公開鍵によって正常に復号された場合、チャレンジデータに付与された電子署名が端末認証装置71に公開鍵を登録している端末42−1によって生成された電子署名であると判定する。
認証制御部711は、認証記憶部712に公開鍵が登録されている端末42−1の認証を成功と判定する。認証制御部711は、認証記憶部712に公開鍵が登録されていない攻撃者端末10の認証を失敗と判定する。
次に、通信システムの動作の例を説明する。
図5は、端末42−1を登録するフェーズの通信システム1aの動作の例を示すシーケンス図である。
図5において端末42−1の登録が成功する場合について説明する。
端末42−1は、拠点内通信網40−1に接続している。端末42−1は、拠点内通信網40−1と回線5−1と固定閉域網2と回線6とを介して、通信装置70aと通信する。端末42−1は、端末42−1に割り当てられたIPアドレス「10.1.0.1」と、端末42−1の公開鍵を含む登録要求信号とを、通信装置70aに送信する(ステップS101)。
通信装置70aは、拠点内通信網40−1と回線5−1と固定閉域網2と回線6とを介して、登録要求信号を端末42−1から受信する。通信装置70aは、登録要求信号の送信元のIPアドレス「10.1.0.1」がVPNで利用されているIPアドレス帯に含まれているIPアドレスであるか否かを判定する。送信元のIPアドレスがVPNで利用されているIPアドレス帯に含まれているので、通信装置70aは、端末42−1の公開鍵を端末認証装置71に送信する。端末認証装置71は、端末42−1の公開鍵を記憶する(ステップS102)。
図5において攻撃者端末10の登録が失敗する場合について説明する。
攻撃者端末10は、いずれの拠点内通信網40にも接続しておらず、公衆無線網9に接続している。攻撃者端末10は、L2TPトンネルによって、公衆無線網9とインターネット8とを介して、通信装置70aと通信する。攻撃者端末10は、攻撃者端末10に割り当てられたIPアドレスと、攻撃者端末10の公開鍵を含む登録要求信号とを、通信装置70aに送信する(ステップS201)。
通信装置70aは、L2TPトンネルによって、公衆無線網9とインターネット8とを介して、登録要求信号を攻撃者端末10から受信する。通信装置70aは、登録要求信号の送信元のIPアドレスがVPNで利用されているIPアドレス帯に含まれているIPアドレスであるか否かを判定する。攻撃者端末10に割り当てられたIPアドレスは、L2TPで利用されているIPアドレスであり、VPNで利用されているIPアドレス帯に含まれているIPアドレスではないので、通信装置70aは、登録要求信号の応答として、エラー信号を攻撃者端末10に送信する(ステップS202)。
図6は、端末42−1を認証するフェーズの通信システム1aの動作の例を示すシーケンス図である。
図6において端末42−1の認証が成功する場合について説明する。
端末42−1は、公衆無線網9に接続している。端末42−1は、公衆無線網9とインターネット8とを介して、通信装置70aとのL2TPによる通信を確立する(ステップS301)。
端末42−1は、端末42−1に割り当てられたIPアドレス「10.3.0.110」と認証要求信号とを、通信装置70aに送信する。端末42−1に割り当てられたIPアドレスは、L2TPで利用されているIPアドレスである(ステップS302)。
通信装置70aは、L2TPトンネルによって、公衆無線網9とインターネット8とを介して、認証要求信号を端末42−1から受信する。通信装置70aは、端末認証装置71に認証処理の開始を要求する。端末認証装置71は、チャレンジデータを生成する。端末認証装置71は、チャレンジデータを通信装置70aに送信する。通信装置70aは、チャレンジデータを端末42−1に送信する。端末42−1は、端末42−1の秘密鍵を用いてチャレンジデータを暗号化する。すなわち、端末42−1は、チャレンジデータに電子署名を付与する。端末42−1は、電子署名が付与されたチャレンジデータを通信装置70aに送信する。通信装置70aは、電子署名が付与されたチャレンジデータを端末認証装置71に送信する。端末認証装置71は、チャレンジデータに付与された電子署名が端末42−1による電子署名である否かを、端末42−1の公開鍵を用いて判定する。端末認証装置71は、チャレンジデータに付与された電子署名が端末42−1による電子署名であると判定された場合、端末42−1の認証が成功したことを表す信号を、通信装置70aに送信する。通信装置70aは、端末42−1の認証が成功したことを表す信号を受信した場合、認証が成功したことを表す信号を端末42−1に送信する(ステップS303)。
通信装置70aは、端末42−1の認証が成功したことを表す信号を受信した場合、認証要求信号を送信した端末42−1に割り当てられたIPアドレス「10.3.0.110」を、フィルタテーブルに登録する(ステップS304)。
端末42−1は、端末42−1の認証が成功したことを表す信号を受信した場合、所定のデータ信号と送信元のIPアドレス「10.3.0.110」とを、通信装置70aに送信する(ステップS305)。通信装置70aは、端末42−1に割り当てられたIPアドレスがフィルタテーブルに登録されているので、端末42−1から送信されたデータ信号を、回線6及び固定閉域網2を介して送信先のIPアドレスの装置に送信する(ステップS306)。例えば、送信先のIPアドレスが割り当てられた拠点装置41−1は、通信装置70aによって固定閉域網2に送信されたデータ信号を受信する。
図6において攻撃者端末10の認証が失敗する場合について説明する。
攻撃者端末10は、公衆無線網9に接続している。攻撃者端末10は、公衆無線網9とインターネット8とを介して、通信装置70aとのL2TPによる通信を確立する。攻撃者端末10は、攻撃者端末10に割り当てられたIPアドレス「10.3.0.111」と認証要求信号とを、通信装置70aに送信する。攻撃者端末10に割り当てられたIPアドレスは、L2TPで利用されているIPアドレスである(ステップS401)。
通信装置70aは、L2TPトンネルによって、公衆無線網9とインターネット8とを介して、認証要求信号を受信する。通信装置70aは、ステップS303と同様に、端末認証装置71に認証処理の開始を要求する。攻撃者端末10の公開鍵が端末認証装置71に記憶されていないので、攻撃者端末10によってチャレンジデータに付与された電子署名は端末42−1による電子署名ではないと判定される。すなわち、攻撃者端末10の認証は失敗する。通信装置70aは、攻撃者端末10の認証が失敗したことを表す信号を受信した場合、攻撃者端末10の認証が失敗したことを表す信号を攻撃者端末10に送信する(ステップS402)。このように、通信装置70bは、攻撃者端末10から送信されたデータ信号を、回線6及び固定閉域網2に送信しないように動作する。
以上のように、第1実施形態の通信装置70a及び端末認証装置71は、インターネット8に接続されたクラウド環境に備えられる。通信装置70aは、インターネット8に接続された中継通信部701aと、中継制御部702とを備える。端末認証装置71は、認証通信部710と、認証制御部711と、認証記憶部712とを備える。認証通信部710は、固定閉域網2以外の公衆無線網9に端末42−1が接続する前に固定閉域網2に接続した端末42−1に関する情報(公開鍵等)を取得する。認証制御部711は、端末42−1に関する情報を、認証記憶部712に記録する。中継通信部701aは、端末認証装置71に情報が記憶されているか否かを表す認証結果を、公衆無線網9に端末42−1が接続している場合に端末認証装置71から取得する。中継制御部702は、端末認証装置71に情報が記憶されていることを認証結果が表している場合、公衆無線網9に接続している端末42−1の信号を固定閉域網2に中継するよう中継通信部701aを制御する。
これによって、第1実施形態の通信装置70aは、固定閉域網2に直接接続されていない公衆無線網9から、固定閉域網2のVPNに安全に端末42を接続することが可能である。
このように、通信システム1aでは、端末42−1の認証の前に端末認証装置71に、端末42−1に関する情報を登録することが必要である。端末42−1に関する情報を端末認証装置71に登録することは、ネットワーク認証装置3によって認証済である回線5が接続された拠点4からのみ可能である。
拠点4の回線を固定閉域網2のVPNに新たな接続するためには、ネットワーク認証装置3による回線認証が成功することが必要である。攻撃者端末10が固定閉域網2以外の通信網から固定閉域網2のVPNに接続しようとしても、ネットワーク認証装置3による回線認証が失敗するので、攻撃者端末10は固定閉域網2のVPNに接続することができない。ネットワーク認証装置3によって認証済である回線5が接続された拠点4から、攻撃者端末10が固定閉域網2のVPNに接続しようとしても、攻撃者端末10を使用する攻撃者が拠点4に物理的に侵入することは困難であるため、攻撃者端末10が固定閉域網2のVPNに接続することは困難である。
通信装置70aは、VPNで利用されているIPアドレスを送信元のIPアドレスとする端末42−1に関する情報を、端末認証装置71に記録する。また、通信装置70aは、通信装置70aに記憶されているフィルタリングテーブルを用いて、端末42−1の信号を固定閉域網2のVPNに転送する。これにより、通信システム1aは、固定閉域網2のVPNに攻撃者端末10が接続できないようにすることができる。
(第2実施形態)
第2実施形態では、予め定められた拠点に通信装置及び端末認証装置が備えられている点が、第1実施形態と相違する。第2実施形態では、第1実施形態との相違点を説明する。
図7は、端末42−2を登録するフェーズ(登録フェーズ)の通信システム1bの構成の例を示す図である。通信システム1bは、固定閉域網に直接接続されていない通信網から固定閉域網のVPNに、固定閉域網のVPNへの接続が許可されている端末が接続するシステムである。
通信システム1bは、固定閉域網2と、ネットワーク認証装置3と、拠点4−1〜4−3と、回線5−1〜5−2と、回線6とを備える。通信システム1bは、拠点4−3を介して、インターネット8に接続されている。通信システム1bは、インターネット8を介して、公衆無線網9に接続されている。したがって、公衆無線網9は、固定閉域網2には直接接続されていない。攻撃者端末10は、公衆無線網9に接続している。公衆無線網9は移動網でもよい。
拠点4−1は、拠点内通信網40−1と、拠点装置41−1とを備える。拠点4−1は、1台以上の端末を備えてもよい。拠点4−2は、拠点内通信網40−2と、拠点装置41−2と、端末42−2とを備える。第2実施形態では、登録要求信号を送信する端末は、第1実施形態と同様に端末42−1でもよいが、一例として端末42−2である。
端末42−2は、ノートパソコン、タブレット端末、スマートフォン端末等の通信端末である。端末42−2は、拠点4−2で使用されるだけでなく、企業の社員に持ち出されて拠点4−2以外の場所で使用されてもよい。
拠点4−2において、端末42−2は、端末42−2に割り当てられたIPアドレスを用いて、拠点内通信網40−2を介して固定閉域網2のVPNに接続する。拠点4−2において、端末42−2は、例えば、IPアドレス「10.2.0.1」を用いて、固定閉域網2のVPNに接続する。固定閉域網2のVPNに接続している状態で、端末42−2は、自端末によって生成された情報を、端末認証装置71に予め登録する。
拠点11は、拠点4と同様に企業等の拠点であって、例えば建物である。拠点11は、認証フェーズにおいて公衆無線網9に接続された端末42−2からのリモートアクセスを受け付けるために、インターネット8に接続されている。拠点11は、拠点内通信網12と、通信装置70bと、端末認証装置71とを備える。
回線6は、ネットワーク認証装置3に記憶されている回線IDが割り当てられた回線であり、固定閉域網2と拠点内通信網12とを接続する回線である。回線6を伝送されるパケットの送信元のIPアドレスは、例えば「10.3.0.1」から「10.3.0.254」までである。
図8は、通信装置70bの構成の例を示す図である。通信装置70bは、中継通信部701bと、中継制御部702と、中継記憶部703とを備える。中継通信部701bと中継制御部702とは、CPU等のプロセッサが、中継記憶部703に記憶されたプログラムを実行することにより実現される。各機能部のうち一部又は全部は、LSIやASIC等のハードウェアを用いて実現されてもよい。
中継通信部701bは、回線6を介して固定閉域網2に接続されている。中継通信部701bは、登録フェーズ後の認証フェーズにおいて公衆無線網9に接続された端末42−2からのリモートアクセスを受け付けるために、インターネット8に接続されている。中継通信部701bには、インターネット8におけるIPアドレス(グローバルアドレス)「AAA.BBB.CCC.DDD」が割り当てられる。また、中継通信部701bが固定閉域網2のVPNに接続するために、中継通信部701bには、固定閉域網2におけるIPアドレス「10.3.0.99」が割り当てられる。
中継通信部701bがインターネット8及び公衆無線網9を介して端末と接続する場合、端末と中継通信部701bとの間で、L2TPに基づいてトンネリングを確立し、L2TPトンネルを生成する。L2TP割り当てアドレスは、L2TP割り当てアドレスであるか否かを区別できるように割り当てられる。例えば、L2TP割り当てアドレスは、拠点11に割り当てられたIPアドレス「10.3.0.0/24」のうちで、中継通信部701bに割り当てられたIPアドレス「10.3.0.99」よりも大きい値のIPアドレスであり、例えば「10.3.0.101」から「10.3.0.254」までのIPアドレスである。
中継通信部701bがインターネット8及び公衆無線網9を介して攻撃者端末10と接続する場合、攻撃者端末10と中継通信部701bとの間で、L2TPに基づいてトンネリングを確立し、L2TPトンネルを生成する。中継通信部701bは、例えばL2TP割り当てアドレス「10.3.0.111」を、攻撃者端末10に割り当てる。
中継通信部701bは、公衆無線網9及びインターネット8を介して、攻撃者端末10から登録要求信号を受信する。攻撃者端末10から送信された登録要求信号は、例えば攻撃者端末10の公開鍵を含む。中継通信部701bは、拠点内通信網40−2と回線5−2と固定閉域網2と回線6と拠点内通信網12とを介して、端末42−2から登録要求信号を受信する。端末42−2から送信された登録要求信号は、例えば端末42−2の公開鍵を含む。
図9は、端末42−2を認証するフェーズ(認証フェーズ)の通信システム1bの構成の例を示す図である。認証フェーズでは登録フェーズとは異なり、端末42−2は、L2TPトンネルによって、公衆無線網9及びインターネット8を介して通信装置70bと通信する。なお、認証フェーズにおける攻撃者端末10は、登録フェーズにおける攻撃者端末10と同様に、L2TPトンネルによって、公衆無線網9及びインターネット8を介して通信装置70bと通信する。
認証フェーズにおける中継通信部701bについて説明する。
中継通信部701bがインターネット8及び公衆無線網9を介して端末42−2と接続する場合、端末と中継通信部701bとの間で、L2TPに基づいてトンネリングを確立し、L2TPトンネルを生成する。中継通信部701bは、例えばL2TP割り当てアドレス「10.3.0.110」を、端末42−2に割り当てる。中継通信部701bは、例えばL2TP割り当てアドレス「10.3.0.111」を、攻撃者端末10に割り当てる。
中継通信部701bは、認証要求信号を端末42−2から受信する。中継通信部701bは、端末認証装置71によって生成されたチャレンジデータを、認証通信部710から受信する。中継通信部701bは、生成されたチャレンジデータを受信した場合、認証要求信号を送信した端末42−2にチャレンジデータを送信する。中継通信部701bは、端末42−2の秘密鍵を用いて暗号化されたチャレンジデータを、端末42−2から受信する。すなわち、中継通信部701bは、電子署名が付与されたチャレンジデータを、端末42−2から受信する。中継通信部701bは、端末42−2によって電子署名が付与されたチャレンジデータを、認証通信部710に送信する。端末42−2の公開鍵が認証記憶部712に記憶されているので、中継通信部701bは、端末42−2の認証が成功したことを表す信号を、認証通信部710から受信する。
中継通信部701bは、認証要求信号を攻撃者端末10から受信する。中継通信部701bは、端末認証装置71によって生成されたチャレンジデータを認証通信部710から受信する。中継通信部701bは、生成されたチャレンジデータを受信した場合、認証要求信号を送信した攻撃者端末10にチャレンジデータを送信する。中継通信部701bは、電子署名が付与されたチャレンジデータを、攻撃者端末10から受信する。中継通信部701bは、攻撃者端末10の秘密鍵を用いて暗号化されたチャレンジデータを、攻撃者端末10から受信する。すなわち、中継通信部701bは、攻撃者端末10によって電子署名が付与されたチャレンジデータを、認証通信部710に送信する。攻撃者端末10の公開鍵が認証記憶部712に記憶されていないので、中継通信部701bは、攻撃者端末10の認証が失敗したことを表す信号を、認証通信部710から受信する。
次に、通信システム1bの動作の例を説明する。
図10は、端末42−2を登録するフェーズの通信システム1bの動作の例を示すシーケンス図である。
図10において端末42−2の登録が成功する場合について説明する。
端末42−2は、拠点内通信網40−2に接続している。端末42−2は、拠点内通信網40−2と回線5−2と固定閉域網2と回線6とを介して、通信装置70bと通信する。端末42−2は、端末42−2に割り当てられたIPアドレス「10.2.0.1」と、端末42−2の公開鍵を含む登録要求信号とを、通信装置70bに送信する(ステップS501)。
通信装置70bは、拠点内通信網40−2と回線5−2と固定閉域網2と回線6とを介して、登録要求信号を端末42−2から受信する。通信装置70bは、登録要求信号の送信元のIPアドレス「10.2.0.1」がVPNで利用されているIPアドレス帯に含まれているIPアドレスであるか否かを判定する。送信元のIPアドレスがVPNで利用されているIPアドレス帯に含まれているので、通信装置70bは、端末42−2の公開鍵を端末認証装置71に送信する。端末認証装置71は、端末42−2の公開鍵を記憶する(ステップS502)。
図10において攻撃者端末10の登録が失敗する場合について説明する。
攻撃者端末10は、いずれの拠点内通信網40にも接続しておらず、公衆無線網9に接続している。攻撃者端末10は、L2TPトンネルによって公衆無線網9とインターネット8とを介して、通信装置70bと通信する。攻撃者端末10は、攻撃者端末10に割り当てられたIPアドレスと、攻撃者端末10の公開鍵を含む登録要求信号とを、通信装置70bに送信する(ステップS601)。
通信装置70bは、L2TPトンネルによって、公衆無線網9とインターネット8とを介して、登録要求信号を受信する。通信装置70bは、登録要求信号の送信元のIPアドレスがVPNで利用されているIPアドレス帯に含まれているIPアドレスであるか否かを判定する。攻撃者端末10に割り当てられたIPアドレスは、L2TPで利用されているIPアドレスであり、VPNで利用されているIPアドレス帯に含まれているIPアドレスではないので、通信装置70bは、エラー信号を応答として攻撃者端末10に送信する(ステップS602)。
図11は、端末42−2を認証するフェーズの通信システム1bの動作の例を示すシーケンス図である。
図11において端末42−2の認証が成功する場合について説明する。
端末42−2は、公衆無線網9に接続している。端末42−2は、公衆無線網9とインターネット8とを介して、通信装置70bとのL2TPによる通信を確立する(ステップS701)。
端末42−2は、端末42−2に割り当てられたIPアドレス「10.3.0.110」と認証要求信号とを、通信装置70bに送信する。端末42−2に割り当てられたIPアドレスは、L2TPで利用されているIPアドレスである(ステップS702)。
通信装置70bは、L2TPトンネルによって、公衆無線網9とインターネット8とを介して、認証要求信号を受信する。通信装置70bは、端末認証装置71に認証処理の開始を要求する。端末認証装置71は、チャレンジデータを生成する。端末認証装置71は、チャレンジデータを通信装置70bに送信する。通信装置70bは、チャレンジデータを端末42−2に送信する。端末42−2は、端末42−2の秘密鍵を用いてチャレンジデータを暗号化する。すなわち、端末42−2は、チャレンジデータに電子署名を付与する。端末42−2は、電子署名が付与されたチャレンジデータを通信装置70bに送信する。通信装置70bは、電子署名が付与されたチャレンジデータを端末認証装置71に送信する。端末認証装置71は、チャレンジデータに付与された電子署名が端末42−2による電子署名であるか否かを、端末42−2の公開鍵を用いて判定する。端末認証装置71は、チャレンジデータに付与された電子署名が端末42−2による電子署名であると判定された場合、端末42−2の認証が成功したことを表す信号を、通信装置70bに送信する。通信装置70bは、端末42−2の認証が成功したことを表す信号を受信した場合、端末42−2の認証が成功したことを表す信号を端末42−2に送信する(ステップS703)。
通信装置70bは、認証が成功したことを表す信号を受信した場合、認証要求信号を送信した端末42−2に割り当てられたIPアドレス「10.3.0.110」を、フィルタテーブルに登録する(ステップS704)。
端末42−2は、端末42−2の認証が成功したことを表す信号を受信した場合、所定のデータ信号と送信先のIPアドレスとを通信装置70bに送信する(ステップS705)。通信装置70bは、端末42−2に割り当てられたIPアドレスがフィルタテーブルに登録されているので、端末42−2から送信されたデータ信号を、回線6及び固定閉域網2を介して送信先のIPアドレスの装置に送信する(ステップS706)。例えば、送信先のIPアドレスが割り当てられた拠点装置41−2は、通信装置70bによって固定閉域網2に送信されたデータ信号を受信する。
図11において攻撃者端末10の認証が失敗する場合について説明する。
攻撃者端末10は、公衆無線網9に接続している。攻撃者端末10は、公衆無線網9とインターネット8とを介して、通信装置70bとのL2TPによる通信を確立する。攻撃者端末10は、攻撃者端末10に割り当てられたIPアドレス「10.3.0.111」と認証要求信号とを、通信装置70bに送信する。攻撃者端末10に割り当てられたIPアドレスは、L2TPで利用されているIPアドレスである(ステップS801)。
通信装置70bは、L2TPトンネルによって公衆無線網9とインターネット8とを介して、認証要求信号を受信する。通信装置70bは、ステップS703と同様に、端末認証装置71に認証処理の開始を要求する。攻撃者端末10の公開鍵が端末認証装置71に記憶されていないので、攻撃者端末10によってチャレンジデータに付与された電子署名は端末42−2による電子署名ではないと判定される。すなわち、攻撃者端末10の認証は失敗する。通信装置70bは、攻撃者端末10の認証が失敗したことを表す信号を受信した場合、攻撃者端末10の認証が失敗したことを表す信号を攻撃者端末10に送信する(ステップS802)。このように、通信装置70bは、攻撃者端末10から送信されたデータ信号を、回線6及び固定閉域網2に送信しないように動作する。
以上のように、第2実施形態の通信装置70b及び端末認証装置71は、拠点11に備えられる。通信装置70bは、インターネット8に接続された中継通信部701bと、中継制御部702とを備える。端末認証装置71は、固定閉域網2以外の公衆無線網9に端末42−2が接続する前に固定閉域網2に接続した端末42−2に関する情報(公開鍵等)を記憶する。中継通信部701bは、端末認証装置71に情報が記憶されているか否かを表す認証結果を、公衆無線網9に端末42−2が接続している場合に端末認証装置71から取得する。中継制御部702は、端末認証装置71に情報が記憶されていることを認証結果が表している場合、公衆無線網9に接続している端末42−2の信号を固定閉域網2に中継するよう中継通信部701bを制御する。
これによって、第2実施形態の通信装置70bは、固定閉域網2に直接接続されていない公衆無線網9から、固定閉域網2のVPNに安全に端末42を接続することが可能である。
上述した実施形態における通信装置の少なくとも一部をコンピュータで実現するようにしてもよい。その場合、この機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって実現してもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含んでもよい。また上記プログラムは、前述した機能の一部を実現するためのものであってもよく、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよく、FPGA(Field Programmable Gate Array)等のプログラマブルロジックデバイスを用いて実現されるものであってもよい。
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
本発明は、VPNを有する通信システム、通信装置に適用可能である。
1a,1b…通信システム、2…固定閉域網、3…ネットワーク認証装置、4…拠点、5…回線、6…回線、7…クラウドサービス部、8…インターネット、9…公衆無線網、10…攻撃者端末、11…拠点、12…拠点内通信網、40…拠点内通信網、41…拠点装置、70a,70b…通信装置、71…端末認証装置、701a,701b…中継通信部、702…中継制御部、703…中継記憶部、710…認証通信部、711…認証制御部、712…認証記憶部

Claims (8)

  1. 閉域網以外の通信網に端末が接続する前に前記閉域網に接続した前記端末に関する情報を取得する認証通信部と、
    前記情報を認証記憶部に記録する認証制御部とを有する端末認証装置と、
    前記認証記憶部に前記情報が記憶されているか否かを表す認証結果を、前記通信網に前記端末が接続している場合に前記認証通信部から取得する中継通信部と、
    前記認証記憶部に前記情報が記憶されていることを前記認証結果が表している場合、前記通信網に接続している前記端末の信号を前記閉域網に中継する中継制御部とを有する通信装置と
    を備える通信システム。
  2. 前記情報は、前記端末によって生成された公開鍵である、請求項1に記載の通信システム。
  3. 前記認証通信部は、前記閉域網における認証済の回線を介して、前記端末に関する情報を前記端末から取得する、請求項1又は請求項2に記載の通信システム。
  4. 前記中継制御部は、L2TP(Layer2 Tunneling Protocol)に基づいて前記通信網から前記中継通信部に接続している前記端末の信号を、前記閉域網の仮想プライベートネットワークに中継する、請求項1から請求項3のいずれか一項に記載の通信システム。
  5. 閉域網以外の通信網に端末が接続する前に前記閉域網に接続した前記端末に関する情報を記憶する端末認証装置から、前記端末認証装置に前記情報が記憶されているか否かを表す認証結果を、前記通信網に前記端末が接続している場合に取得する中継通信部と、
    前記端末認証装置に前記情報が記憶されていることを前記認証結果が表している場合、前記通信網に接続している前記端末の信号を前記閉域網に中継する中継制御部と、
    を備える通信装置。
  6. 前記情報は、前記端末によって生成された公開鍵である、請求項5に記載の通信装置。
  7. 通信システムが実行する通信方法であって、
    閉域網以外の通信網に端末が接続する前に前記閉域網に接続した前記端末に関する情報を取得するステップと、
    前記情報を認証記憶部に記録するステップと、
    前記認証記憶部に前記情報が記憶されているか否かを表す認証結果を、前記通信網に前記端末が接続している場合に取得するステップと、
    前記認証記憶部に前記情報が記憶されていることを前記認証結果が表している場合、前記通信網に接続している前記端末の信号を前記閉域網に中継するステップと
    を含む通信方法。
  8. 請求項5又は請求項6に記載の通信装置としてコンピュータを機能させるための通信プログラム。
JP2018063729A 2018-03-29 2018-03-29 通信システム、通信装置、通信方法及び通信プログラム Active JP6609660B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018063729A JP6609660B2 (ja) 2018-03-29 2018-03-29 通信システム、通信装置、通信方法及び通信プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018063729A JP6609660B2 (ja) 2018-03-29 2018-03-29 通信システム、通信装置、通信方法及び通信プログラム

Publications (2)

Publication Number Publication Date
JP2019176369A true JP2019176369A (ja) 2019-10-10
JP6609660B2 JP6609660B2 (ja) 2019-11-20

Family

ID=68167358

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018063729A Active JP6609660B2 (ja) 2018-03-29 2018-03-29 通信システム、通信装置、通信方法及び通信プログラム

Country Status (1)

Country Link
JP (1) JP6609660B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7415646B2 (ja) 2020-02-21 2024-01-17 富士フイルムビジネスイノベーション株式会社 情報処理システム、情報処理装置及びプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7415646B2 (ja) 2020-02-21 2024-01-17 富士フイルムビジネスイノベーション株式会社 情報処理システム、情報処理装置及びプログラム

Also Published As

Publication number Publication date
JP6609660B2 (ja) 2019-11-20

Similar Documents

Publication Publication Date Title
RU2707717C2 (ru) Мобильная аутентификация в мобильной виртуальной сети
JP5813790B2 (ja) 分散型無線ネットワークサービスを提供するための方法およびシステム
WO2015101125A1 (zh) 网络接入控制方法和设备
JP2010118752A (ja) ネットワークシステム、dhcpサーバ装置、及びdhcpクライアント装置
JP4339234B2 (ja) Vpn接続構築システム
JP2009163546A (ja) ゲートウェイ、中継方法及びプログラム
CN103095861A (zh) 确定设备是否处于网络内部
CN110266674B (zh) 一种内网访问方法及相关装置
JP2016053967A (ja) 中継機、無線通信システムおよび無線通信方法
JP6609660B2 (ja) 通信システム、通信装置、通信方法及び通信プログラム
US20130100857A1 (en) Secure Hotspot Roaming
JP2012070225A (ja) ネットワーク中継装置及び転送制御システム
JP2016051268A (ja) 認証システム、認証サーバ、クライアント装置及び認証方法
JP2016066298A (ja) 中継装置、通信システム、情報処理方法、及び、プログラム
JP2012060357A (ja) 移動体システムのリモートアクセス制御方法
KR102558821B1 (ko) 사용자 및 디바이스 통합 인증 시스템 및 그 방법
KR20170017860A (ko) 네트워크 vpn 기반의 네트워크 가상화 시스템
JP6729145B2 (ja) 接続管理装置、接続管理方法および接続管理プログラム
JP6942628B2 (ja) 情報管理システム、および、端末認証方法
WO2020248369A1 (zh) 一种防火墙切换方法及相关装置
JP2006121728A (ja) 通信システム、移動端末装置、ゲートウェイ装置及び通信制御方法
JP6920614B2 (ja) 本人認証装置、本人認証システム、本人認証プログラム、および、本人認証方法
JP6312325B2 (ja) 無線通信におけるクライアント端末認証システムおよびクライアント端末認証方法
KR102536855B1 (ko) 무선랜 보안채널 구성방법
JP7027835B2 (ja) ネットワークシステムおよびその管理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180329

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190305

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190409

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191001

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191028

R150 Certificate of patent or registration of utility model

Ref document number: 6609660

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250