JP2021002178A - 認証スイッチ、ネットワークシステムおよびネットワーク装置 - Google Patents

認証スイッチ、ネットワークシステムおよびネットワーク装置 Download PDF

Info

Publication number
JP2021002178A
JP2021002178A JP2019115090A JP2019115090A JP2021002178A JP 2021002178 A JP2021002178 A JP 2021002178A JP 2019115090 A JP2019115090 A JP 2019115090A JP 2019115090 A JP2019115090 A JP 2019115090A JP 2021002178 A JP2021002178 A JP 2021002178A
Authority
JP
Japan
Prior art keywords
processing unit
authentication
terminal
proxy
redirect
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019115090A
Other languages
English (en)
Other versions
JP7241620B2 (ja
Inventor
武人 上川
Taketo Kamikawa
武人 上川
佐々木 理
Osamu Sasaki
理 佐々木
大輔 中根
Daisuke Nakane
大輔 中根
加藤 宏
Hiroshi Kato
宏 加藤
一則 岩渕
Kazunori Iwabuchi
一則 岩渕
邦男 土田
Kunio Tsuchida
邦男 土田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CYBER COM CO Ltd
Apresia Systems Ltd
Original Assignee
CYBER COM CO Ltd
Apresia Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CYBER COM CO Ltd, Apresia Systems Ltd filed Critical CYBER COM CO Ltd
Priority to JP2019115090A priority Critical patent/JP7241620B2/ja
Publication of JP2021002178A publication Critical patent/JP2021002178A/ja
Application granted granted Critical
Publication of JP7241620B2 publication Critical patent/JP7241620B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

【課題】プロキシサーバ経由のHTTPS通信を対象にリダイレクト通知を送信することが可能な認証スイッチ、ネットワークシステムおよびネットワーク装置を提供する。【解決手段】プロキシサーバ処理部38は、端末11aからのCONNECTメソッドによるHTTPリクエストを受けて、自身とWebサーバ処理部37との間にTCPコネクションを確立する。プロキシサーバ処理部38は、当該TCPコネクションの確立が完了した際に、端末11aへコネクション確立通知を送信する。Webサーバ処理部37は、コネクション確立通知が送信された後、自身と端末との間にSSL/TLSセッションを確立する。Webサーバ処理部37は、当該SSL/TLSセッションの確立が完了した後に、認証用Webページを保持するURIをリダイレクト先とするリダイレクト通知を端末11aへ送信する。【選択図】図6

Description

本発明は、認証スイッチ、ネットワークシステムおよびネットワーク装置に関し、例えば、プロキシサーバ経由でのHTTPS(Hypertext Transfer Protocol Secure)通信が行われるネットワークシステムに関する。
特許文献1には、認証スイッチと、認証画面データを保持する外部Webサーバとを備えたネットワークシステムが示される。認証スイッチは、外部Webサーバの生死状況を監視し、未認証の端末からのアクセス要求を受けた場合に、外部Webサーバの生死状況に応じて、端末に、リダイレクト先のURLを含むリダイレクト通知を行う。リダイレクト先は、外部Webサーバであるか、あるいは、認証スイッチ内において認証画面データを保持するローカルWebサーバである。
特開2014−149754号公報
例えば、特許文献1に示されるように、認証スイッチと、認証用Webページを保持する外部のWebサーバとを備えたネットワークシステムが知られている。このように、認証スイッチのみならず、外部のWebサーバにも認証用Webページを保持させることで、Webページのデータを保持するためのリソース確保や、Webページのカスタマイズ等が容易になる。また、認証スイッチは、特許文献1に示されるように、未認証の端末に対して認証を行わせる際に、端末に、認証用Webページを保持するURI(Uniform Resource Identifier)へのリダイレクト通知を送信する。
一方、ネットワークシステム内には、通信元である端末、または通信先であるWebサーバの代理として通信を行うプロキシサーバが設けられる場合がある。端末が認証スイッチおよびプロキシサーバを経由してWebサーバと通信を行う場合、例えば、HTTP(Hypertext Transfer Protocol)通信、またはHTTPS通信が用いられる。このようなネットワークシステムにおいて、認証スイッチは、未認証の端末からのHTTP通信によるHTTPリクエストを受けた場合、当該端末に、認証のためのリダイレクト通知を送信する。しかし、未認証の端末からのHTTPS通信によるHTTPリクエストを受けた場合に、認証スイッチは当該端末にリダイレクト通知を送信できないという問題があった。
本発明は、このようなことに鑑みてなされたものであり、その目的の一つは、プロキシサーバ経由のHTTPS通信を対象にリダイレクト通知を送信することが可能な認証スイッチ、ネットワークシステムおよびネットワーク装置を提供することにある。
本発明の前記並びにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。
本願において開示される発明のうち、代表的な実施の形態の概要を簡単に説明すれば、次のとおりである。
本実施の形態による認証スイッチは、フォワードプロキシ処理部およびリバースプロキシ処理部を備えるプロキシサーバ処理部と、セッション処理部およびリダイレクト処理部を備えるWebサーバ処理部と、を有する。フォワードプロキシ処理部は、端末からのCONNECTメソッドによるHTTPリクエストを受けて、自身とWebサーバ処理部との間にTCPコネクションを確立する。リバースプロキシ処理部は、フォワードプロキシ処理部によるTCPコネクションの確立が完了した際に、端末へコネクション確立通知を送信する。セッション処理部は、コネクション確立通知が送信された後、自身と端末との間にSSL/TLSセッションを確立する。リダイレクト処理部は、セッション処理部によるSSL/TLSセッションの確立が完了した後に、認証用Webページを保持するURIをリダイレクト先とするリダイレクト通知を端末へ送信する。
本願において開示される発明のうち、代表的な実施の形態によって得られる効果を簡単に説明すると、プロキシサーバ経由のHTTPS通信を対象にリダイレクト通知を送信することが可能になる。
本発明の実施の形態1によるネットワークシステムにおける主要部の構成例および動作例を示す概略図である。 図1のネットワークシステムにおいて、通信で用いられるパケット(フレーム)の構成例を示す概略図である。 図1のネットワークシステムにおいて、認証スイッチの概略構成例を示すブロック図である。 (a)は、図3におけるFDBの構成例を示す概略図であり、(b)は、図3における認証テーブルの構成例を示す概略図である。 図1のネットワークシステムにおいて、プロキシサーバ経由のHTTP通信時の動作例を示すシーケンス図である。 図1のネットワークシステムにおいて、プロキシサーバ経由のHTTPS通信時の動作例を示すシーケンス図である。 図1のネットワークシステムにおいて、プロキシサーバが設けられない場合のHTTPS通信時の動作例を示すシーケンス図である。 本発明の実施の形態2によるネットワークシステムにおいて、プロキシサーバ経由のHTTPS通信時の図6とは異なる動作例を示すシーケンス図である。 本発明の比較例となるネットワークシステムおよび認証スイッチにおいて、プロキシサーバ経由のHTTPS通信時の動作例を示すシーケンス図である。
以下の実施の形態においては便宜上その必要があるときは、複数のセクションまたは実施の形態に分割して説明するが、特に明示した場合を除き、それらは互いに無関係なものではなく、一方は他方の一部または全部の変形例、詳細、補足説明等の関係にある。また、以下の実施の形態において、要素の数等(個数、数値、量、範囲等を含む)に言及する場合、特に明示した場合および原理的に明らかに特定の数に限定される場合等を除き、その特定の数に限定されるものではなく、特定の数以上でも以下でも良い。
さらに、以下の実施の形態において、その構成要素(要素ステップ等も含む)は、特に明示した場合および原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではないことは言うまでもない。同様に、以下の実施の形態において、構成要素等の形状、位置関係等に言及するときは、特に明示した場合および原理的に明らかにそうでないと考えられる場合等を除き、実質的にその形状等に近似または類似するもの等を含むものとする。このことは、上記数値および範囲についても同様である。
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
(実施の形態1)
《ネットワークシステムの概略》
図1は、本発明の実施の形態1によるネットワークシステムにおける主要部の構成例および動作例を示す概略図である。図1に示すネットワークシステムは、社内ネットワーク1と、社外ネットワーク2とを備える。社内ネットワーク1は、認証スイッチSWと、認証スイッチSWに通信回線(例えばイーサネット(登録商標)回線)17を介して接続される、端末11a,11b、認証サーバ13、社内Webサーバ14、およびプロキシサーバ15とを備える。なお、各サーバ(13,14,15)と認証スイッチSWとの間には、適宜、レイヤ3(L3)スイッチが設置されてもよい。社外ネットワーク2は、インターネット10と、インターネット10に接続される社外Webサーバ16とを備える。
プロキシサーバ15は、社内ネットワーク1の出入り口に設置される。プロキシサーバ15は、例えば、端末11a,11bから社外Webサーバ16へのアクセスを端末11a,11bの代理として行う機能(フォワードプロキシ機能)や、または、社外ネットワーク2から社内Webサーバ14へのアクセスに対して、社内Webサーバ14の代理で応答する機能(リバースプロキシ機能)を備える。また、プロキシサーバ15は、社内ネットワーク1と社外ネットワーク2との間の通信を監視する機能等も備える。
認証サーバ13は、代表的には、RADIUS(Remote Authentication Dial In User Service)サーバ等であり、認証を許可するアカウント情報を保持する。
認証スイッチSWは、例えば、Web認証機能を備えたレイヤ2(L2)スイッチ等である。具体的には、認証スイッチSWは、端末(例えば11a)に表示される認証用Webページを介して入力されたアカウント情報を取得し、当該アカウント情報を認証サーバ13に問い合わせることで端末(11a)の認証を行う。図1の例では、社内Webサーバ14が、認証用Webページ20aを保持する。
次に、図1のネットワークシステムの動作概要について説明する。その前提として、端末11aは、IP(Internet Protocol)アドレス“IPA1a”およびMAC(Media Access Control)アドレス“MA1a”を備え、ユーザ12aによって使用される。端末11bは、IPアドレス“IPA1b”およびMACアドレス“MA1b”を備え、ユーザ12bによって使用される。社内Webサーバ14は、IPアドレス“IPA3”を備え、認証用Webページ20aを保持するURIとして“URIx”を備える。プロキシサーバ15は、IPアドレス“IPA2”およびTCP(Transmission Control Protocol)ポート番号“#yyy”を備える。
社外Webサーバ16は、IPアドレス“IPA4”を備え、所定のWebページを保持するURIとして“www.home.jp”を備える。また、例えば、端末11aには、予め任意のホームページのURIが設定され、さらに、プロキシサーバ15を経由して社外ネットワーク2へアクセスすることが設定されている。任意のホームページのURIは、ここでは、社外Webサーバ16における“www.home.jp”であるものとする。
このような前提のもと、端末11aは、まず、Webブラウザを介して、ホームページ“www.home.jp”へのアクセスを開始する(ステップS101)。認証スイッチSWは、端末11aからのアクセスを受け、端末11aの認証が許可されているか否かを判定し、未認証の場合、社内Webサーバ14の“URIx”(すなわち認証用Webページ20a)をリダイレクト先とするリダイレクト通知を端末11aへ送信する(ステップS102)。すなわち、認証用Webページは、認証スイッチSWによって保持されてもよいが、ここでは、例えばシステム運用の柔軟性を高める目的等から社内Webサーバ14によって保持される。
端末11aは、認証スイッチSWからのリダイレクト通知に応じて、社内Webサーバ14の“URIx”へアクセスする(ステップS103)。これに応じて、社内Webサーバ14は、端末11aへ認証用Webページ20aを送信し、認証用Webページ20aを端末11aのWebブラウザに表示させる(ステップS104)。その後、図示は省略するが、ユーザ12aは、端末11aに表示される認証用Webページ20aに、アカウントIDおよびパスワード(明細書ではアカウント情報と呼ぶ)を入力し、端末11aは、当該アカウント情報を社内Webサーバ14へ送信する。
認証スイッチSWは、社内Webサーバ14との間の通信によって、当該アカウント情報を取得し、当該アカウント情報を認証サーバ13に問い合わせることで端末11aを認証する。ここで、認証スイッチSWは、認証サーバ13からの応答に基づき、端末11aの認証が許可された場合には、以降、端末11aからプロキシサーバ15(ひいては社外ネットワーク2)へのアクセスを許可し、端末11aの認証が不許可であった場合には、端末11aからプロキシサーバ15へのアクセスを遮断する。
図2は、図1のネットワークシステムにおいて、通信で用いられるパケット(フレーム)の構成例を示す概略図である。パケット(フレーム)は、イーサネットヘッダ45と、IPヘッダ46と、TCPヘッダ47と、HTTPリクエスト48とを含む。イーサネットヘッダ45は、宛先MACアドレスDMACおよび送信元MACアドレスSMACを含む。IPヘッダ46は、送信元IPアドレスSIPおよび宛先IPアドレスDIPを含む。
TCPヘッダ47は、送信元TCPポート番号SPTおよび宛先TCPポート番号DPTを含む。HTTPリクエスト48は、リクエストライン48a、メッセージヘッダ48bおよびメッセージボディ48cを含む。一般的に、フレームは、L2(イーサネットヘッダ45)に基づいて中継される信号を意味し、パケットは、L3(IPヘッダ46)に基づいて中継される信号を意味する。ただし、明細書では、特に言及される場合を除き、フレームとパケットは同義語として取り扱う。
《認証スイッチの構成》
図3は、図1のネットワークシステムにおいて、認証スイッチの概略構成例を示すブロック図である。図4(a)は、図3におけるFDBの構成例を示す概略図であり、図4(b)は、図3における認証テーブルの構成例を示す概略図である。図3の認証スイッチSWは、物理ポートP1〜Pnと、インタフェース25と、中継処理部26と、FDB(Forwarding DataBase)27と、管理部28とを備える。インタフェース25は、中継処理部26との間と、管理部28との間にそれぞれ通信経路を備える。また、中継処理部26と管理部28との間にも通信経路が設けられる。
一例として、インタフェース25は、ASIC(Application Specific Integrated Circuit)等によって構成される。中継処理部26は、FPGA(Field Programmable Gate Array)等によって構成され、FDB27は、CAM(Content Addressable Memory)等によって構成される。管理部28は、プロセッサ(CPU:Central Processing Unit)によるプログラム処理等によって構成される。ただし、各部の実装形態は、勿論、これに限定されず、適宜、ハードウェアまたはソフトウェアあるいはその組合せを用いたものであればよい。
物理ポートP1〜Pnは、図1に示した端末11a,11bおよび各サーバ(13,14,15)等に通信回線17を介して接続される。例えば、物理ポートP1は、端末11aに接続され、物理ポートP2は、端末11bに接続される。インタフェース25は、物理ポートP1〜Pnを介してフレームを受信し、また、物理ポートP1〜Pnを介してフレームを送信する。インタフェース25は、通信制限部31と、認証テーブル33とを備える。
通信制限部31は、認証テーブル33に基づき、端末11a,11bの認証可否を判定する。認証テーブル33は、例えば、図4(b)に示されるように、認証が許可された端末のMACアドレス等を記憶する。この例では、端末11bのMACアドレス“MA1b”が記憶される。この認証テーブル33の情報は、後述する管理部28内の認証処理部35によって登録される。通信制限部31は、認証が許可された端末(例えば11b)からのフレームを中継処理部26へ送信し、未認証の端末(例えば11a)からのフレームを管理部28へ送信する。
管理部28は、通信判別部32と、認証処理部35と、Webサーバ処理部(HTTP用)36と、Webサーバ処理部(HTTPS用)37と、プロキシサーバ処理部38とを備える。通信判別部32は、通信制限部31からの未認証の端末からのフレームを対象に、当該フレームのTCPヘッダ47内の宛先TCPポート番号DPTを参照し、当該宛先TCPポート番号DPTに基づきフレームの振り分けを行う。
具体的には、通信判別部32は、宛先TCPポート番号DPTが#80のフレーム(すなわちHTTP通信を用いるフレーム)をWebサーバ処理部(HTTP用)36へ振り分ける。通信判別部32は、宛先TCPポート番号DPTが#443のフレーム(すなわちHTTPS通信を用いるフレーム)をWebサーバ処理部(HTTPS用)37へ振り分ける。また、通信判別部32は、宛先TCPポート番号DPTが#yyyのフレーム(すなわち図1のプロキシサーバ15を宛先とするフレーム)をプロキシサーバ処理部38へ振り分ける。
プロキシサーバ処理部38は、未認証の端末を対象に、プロキシサーバ15に対する仮のプロキシサーバとして機能し、未認証の端末からプロキシサーバ15へのHTTPリクエストを受信する。すなわち、各端末は、プロキシサーバ15の使用が設定されている場合、HTTP通信、HTTPS通信に関わらず、IPヘッダ46およびTCPヘッダ47上でプロキシサーバ15を宛先としてアクセスを行う。ただし、認証スイッチSWは、未認証の端末(例えば11a)に対して、当該プロキシサーバ15へのアクセス経路を遮断している。そこで、プロキシサーバ処理部38は、通信判別部32を介して、この未認証の端末11aから送信されたプロキシサーバ15宛てのHTTPリクエストをプロキシサーバ15の代わりに受信し、端末11aのユーザ12aに対してWeb認証を行わせるための処理を実行する。
プロキシサーバ処理部38は、リバースプロキシ処理部40と、フォワードプロキシ処理部41とを備える。詳細は後述するが、フォワードプロキシ処理部41は、端末11aからのCONNECTメソッドによるHTTPリクエストを受けて、自身とWebサーバ処理部(HTTPS用)37との間にTCPコネクションを確立する。リバースプロキシ処理部40は、フォワードプロキシ処理部41によるTCPコネクションの確立が完了した際に、端末11aへコネクション確立通知を送信する。
また、リバースプロキシ処理部40は、端末11aからのGETメソッドによるHTTPリクエストを受けた場合には、認証用Webページを保持するURIをリダイレクト先とするリダイレクト通知を端末11aへ送信する。リダイレクト通知は、具体的には、例えば、HTTPレスポンスステータスコードの302番を用いたリダイレクトステータスレスポンスコード等である。なお、CONNECTメソッドまたはGETメソッドは、図2のHTTPリクエスト48内のリクエストライン48aに格納される。
Webサーバ処理部(HTTPS用)37は、セッション処理部42と、リダイレクト処理部43とを備える。詳細は後述するが、セッション処理部42は、リバースプロキシ処理部40によってコネクション確立通知が送信された後、自身と端末11aとの間にSSL(Secure Sockets Layer)/TLS(Transport Layer Security)セッションを確立する。リダイレクト処理部43は、セッション処理部42によるSSL/TLSセッションの確立が完了した後に、認証用Webページを保持するURIをリダイレクト先とするリダイレクト通知を端末11aへ送信する。
ここで、図1のように、プロキシサーバ15の使用を前提とする場合、未認証の端末からのフレームは、通信判別部32を介してプロキシサーバ処理部38へ送信される。一方、図3の認証スイッチSWは、このようにプロキシサーバ15の使用を前提としないネットワークシステム(例えば、プロキシサーバ15の代わりにルータ装置(ゲートウェイ装置)が設置される構成)に対しても適用可能となっている。この場合、未認証の端末からのフレームは、HTTPS通信を用いる場合には通信判別部32を介してWebサーバ処理部(HTTPS用)37へ送信され、HTTP通信を用いる場合には通信判別部32を介してWebサーバ処理部(HTTP用)36へ送信される。
この際に、Webサーバ処理部(HTTPS用)37のセッション処理部42は、前述したプロキシサーバ15を使用する場合と同様に、自身と端末との間にSSL/TLSセッションを確立する。同様に、リダイレクト処理部43も、セッション処理部42によるSSL/TLSセッションの確立が完了した後に、認証用Webページを保持するURIをリダイレクト先とするリダイレクト通知を端末へ送信する。
また、Webサーバ処理部(HTTP用)36は、端末からのGETメソッドによるHTTPリクエストを受けて、認証用Webページを保持するURIをリダイレクト先とするリダイレクト通知を端末へ送信する。なお、リダイレクト先は、例えば、図1に示した内部Webサーバ14の“URIx”(すなわち認証用Webページ20a)である。ただし、図3に示されるように、Webサーバ処理部(HTTP用)36およびWebサーバ処理部(HTTPS用)37が、認証用Webページ20bを保持することも可能である。この場合、リダイレクト先は、Webサーバ処理部(HTTP用、HTTPS用)36,37のURIであってもよい。
認証処理部35は、認証用Webページ(例えば20a)を介して端末11aのユーザ12aによって入力されたアカウント情報を受け、当該アカウント情報を、認証サーバ13に問い合わせることでユーザ12aが使用する端末11aの認証を行う。具体的には、認証処理部35は、認証用Webページ20aに入力されたアカウント情報を社内Webサーバ14との通信を介して社内Webサーバ14から取得し、当該アカウント情報を認証サーバ13に問い合わせる。認証処理部35は、認証サーバ13からの応答に基づき、端末11aの認証が許可された場合には、端末11aのMACアドレス“MA1a”を認証テーブル33に登録する。なお、認証テーブル33は、例えば、認証VLAN(Virtual LAN)用のテーブルを用いる等、適宜変更可能である。
中継処理部26は、通信制限部31によって認証が許可された端末からのフレームを対象に、当該フレームをFDB27に基づき中継する。FDB27は、図4(a)に示されるように、各端末のMACアドレスを、当該端末が接続される物理ポートと、当該端末が属するVLANとに対応付けて保持する。例えば、端末11aから端末11bへのフレームを物理ポートP1で受信した場合を想定する。
この場合、中継処理部26は、当該フレームの送信元MACアドレスSMAC“MA1a”を、受信ポートID{P1}({P1}は物理ポートP1のIDを意味する)と、当該フレーム内のVLAN−ID“VDx”とに対応付けてFDB27に学習する。また、中継処理部26は、当該フレームの宛先MACアドレスDMAC“MA1b”およびVLAN−ID“VDx”を検索キーとしてFDB27を検索し、宛先ポートID{P2}を取得する。これに応じて、中継処理部26は、当該フレームを物理ポートP2へ中継するようインタフェース25に指示する。
《プロキシ経由のHTTP通信時における動作》
図5は、図1のネットワークシステムにおいて、プロキシサーバ経由のHTTP通信時の動作例を示すシーケンス図である。図5において、図3の認証スイッチSW内のプロキシサーバ処理部38は、前述した通信判別部32の処理に基づき、図1のプロキシサーバ15に設定されるTCPポート番号“#yyy”と同じTCPポート番号に設定される。これにより、プロキシサーバ処理部38は、図3の認証処理部35で未認証の端末を対象とし、当該対象の端末からのTCPポート番号“#yyy”を宛先とするHTTPリクエストを受けて処理を行う。なお、プロキシサーバ処理部38の処理は、認証が許可された端末に関しては、図3の通信制限部31によって非対象となる。また、プロキシサーバ処理部38のIPアドレスは、例えば、プロキシサーバ15のIPアドレス“IPA2”と同じであってもよい。
図5において、未認証のクライアントである端末11aは、宛先IPアドレスDIP“IPA2”および宛先TCP番号DPT“#yyy”と、GETメソッドによるHTTPリクエスト48とを含むフレームを認証スイッチSWへ送信する(ステップS101a)。この例では、端末11aのホームページのURIは、HTTP通信を用いる社外Webサーバ16に設定されており、これに伴い、HTTPリクエスト48には、例えば、“GET http://www.home.jp/index.html HTTP/1.1”等が格納される。そして、このようなHTTPリクエスト48が、プロキシサーバ15を宛先として送信される。
プロキシサーバ処理部38は、このように、端末11aからのGETメソッドによるHTTPリクエスト48を受けた場合、認証用Webページ20aを保持する“URIx”をリダイレクト先とするリダイレクト通知を端末11aへ送信する(ステップS102a)。リダイレクト通知は、ここでは、HTTPレスポンスステータスコードの302番を用いたリダイレクトステータスレスポンスコードである。具体的には、図2のHTTPリクエスト48の代わりに設けられるHTTPレスポンス(図示せず)の中に、例えば、“HTTP/1.1 302 Moved Temporary URIx”等が格納される。
端末11aのWebブラウザは、当該リダイレクト通知を受けて、リダイレクト先である“URIx”へアクセスを行う(ステップS103a)。これに応じて、社内Webサーバ14は、認証用Webページ20aを端末11aへ送信し、端末11aのWebブラウザに当該認証用Webページ20aを表示させる(ステップS104a)。以降は、図1等で述べたように、当該認証用Webページ20aを介して、認証スイッチSWによる認証が行われる。
《認証スイッチ(比較例)の概略および問題点》
図9は、本発明の比較例となるネットワークシステムおよび認証スイッチにおいて、プロキシサーバ経由のHTTPS通信時の動作例を示すシーケンス図である。図9に示されるように、比較例となる認証スイッチSW’は、例えば、図3において、リバースプロキシ処理部40のみを含んだプロキシサーバ処理部38’を備える。図9において、未認証のクライアントである端末11aは、宛先IPアドレスDIP“IPA2”および宛先TCP番号DPT“#yyy”と、CONNECTメソッドによるHTTPリクエスト48とを含むフレームを認証スイッチSWへ送信する(ステップS200)。
この例では、端末11aのホームページのURIは、図5のステップS101aの場合と異なり、HTTPS通信を用いる社外Webサーバ16に設定されており、これに伴い、HTTPリクエスト48には、例えば、“CONNECT www.home.jp:443”等が格納される。このように、プロキシサーバ経由でのHTTPS通信を用いる場合、端末11aのWebブラウザは、その前段階でプロキシサーバにトンネルを構築するため、まず、GETメソッドではなくCONNECTメソッドを用いたHTTPリクエスト48を送信する。
一方、比較例となるプロキシサーバ処理部38’は、このように、端末11aからのCONNECTメソッドによるHTTPリクエスト48を受けた場合、端末11aへ、エラー通知を送信する(ステップS400)。エラー通知は、例えば、HTTPレスポンスステータスコードの400番を用いた“HTTP/1.1 400 Bad Request”である。すなわち、通常、リバースプロキシ機能は、CONNECTメソッドを非対応のメソッドとして認識するため、図5のステップS102aのようなGETメソッドの場合と異なり、リダイレクト通知を送信することができない。その結果、端末11aのユーザ12aにWeb認証を行わせることが困難となる。
《プロキシ経由のHTTPS通信時における動作》
図6は、図1のネットワークシステムにおいて、プロキシサーバ経由のHTTPS通信時の動作例を示すシーケンス図である。図6において、未認証のクライアントである端末11aは、図9のステップS200の場合と同様に、宛先IPアドレスDIP“IPA2”および宛先TCP番号DPT“#yyy”と、CONNECTメソッドによるHTTPリクエスト48とを含むフレームを認証スイッチSWへ送信する。
プロキシサーバ処理部38(具体的には、フォワードプロキシ処理部41)は、当該端末11aからのCONNECTメソッドによるHTTPリクエスト48を受けて、自身とWebサーバ処理部(HTTPS用)37との間に、3ウェイハンドシェイクによってTCPコネクションを確立する(ステップS201)。続いて、プロキシサーバ処理部38(具体的には、リバースプロキシ処理部40)は、TCPコネクションの確立が完了した際に、端末11aへコネクション確立通知を送信する(ステップS202)。コネクション確立通知は、例えば、HTTPレスポンスステータスコードの200番を用いた“HTTP/1.1 200 Connection Established”である。
そして、コネクション確立通知が送信された後、Webサーバ処理部(HTTPS用)37(具体的にはセッション処理部42)は、自身と端末11aとの間にSSL/TLSセッションを確立する(ステップS203)。具体的には、例えば、端末11aは、コネクション確立通知(ステップS202)に応じて、ホームページを保持する社外Webサーバ16を相手としてSSL/TLSセッションの開始要求(具体的には、クライアントハロー)を送信する。セッション処理部42は、このクライアントハローを受け、端末11aと社外Webサーバ16との間の通信に介入する形で端末11aへサーバーハローを送信することで、自身と端末11aとの間にSSL/TLSセッションを確立する。
SSL/TLSセッションの確立が完了した後、端末11aは、宛先IPアドレスDIP“IPA2”および宛先TCP番号DPT“#yyy”と、GETメソッドによるHTTPリクエスト48とを含むフレームを認証スイッチSWへ送信する(ステップS101b)。具体的には、HTTPリクエスト48には、例えば、“GET https://www.home.jp/index.html HTTP/1.1”等が格納される。Webサーバ処理部(HTTPS用)37(具体的には、リダイレクト処理部43)は、当該GETメソッドによるHTTPリクエスト48を受け、図5のステップS102aの場合と同様に、認証用Webページ20aを保持する“URIx”をリダイレクト先とするリダイレクト通知を端末11aへ送信する(ステップS102b)。
その後は、図5のステップS103a,S104aの場合と同様に、端末11aのWebブラウザは、リダイレクト先である“URIx”へアクセスを行い(ステップS103b)、これに応じて、社内Webサーバ14は、端末11aのWebブラウザに認証用Webページ20aを表示させる(ステップS104b)。以降は、前述したように、当該認証用Webページ20aを介して、認証スイッチSWによる認証が行われる。このような仕組みにより、図9の場合と異なり、プロキシサーバ経由のHTTPS通信を対象にリダイレクト通知を送信することが可能になり、その結果として、ユーザにWeb認証を行わせることが可能になる。
《プロキシを経由しないHTTPS通信時における動作》
図7は、図1のネットワークシステムにおいて、プロキシサーバが設けられない場合のHTTPS通信時の動作例を示すシーケンス図である。図7において、Webサーバ処理部(HTTPS用)37(具体的にはセッション処理部42)は、図6のステップS203の場合と同様に、自身と端末11aとの間にSSL/TLSセッションを確立する(ステップS300)。具体的には、例えば、端末11aは、ホームページを保持する社外Webサーバ16との間でHTTPS通信を行うため、社外Webサーバ16を相手としてSSL/TLSセッションの開始要求(具体的には、クライアントハロー)を送信する。セッション処理部42は、このクライアントハローを受け、端末11aと社外Webサーバ16との間の通信に介入する形で端末11aへサーバーハローを送信することで、自身と端末11aとの間にSSL/TLSセッションを確立する。
SSL/TLSセッションの確立が完了した後、端末11aは、宛先IPアドレスDIP“IPA4”および宛先TCP番号DPT“#443”と、GETメソッドによるHTTPリクエスト48とを含むフレームを認証スイッチSWへ送信する(ステップS101c)。すなわち、端末11aは、図6のステップS101bの場合と異なり、IPヘッダ46およびTCPヘッダ47上で社外Webサーバ16を宛先としてHTTPリクエスト48を送信する。HTTPリクエスト48には、図6のステップS101bの場合と同様に、例えば、“GET https://www.home.jp/index.html HTTP/1.1”等が格納される。
Webサーバ処理部(HTTPS用)37(具体的には、リダイレクト処理部43)は、当該GETメソッドによるHTTPリクエスト48を受け、図6のステップS102bの場合と同様に、認証用Webページ20aを保持する“URIx”をリダイレクト先とするリダイレクト通知を端末11aへ送信する(ステップS102c)。その後も、図6のステップS103b,S104bの場合と同様の処理が行われることで、端末11aのWebブラウザに認証用Webページ20aが表示される(ステップS103c,S104c)。そして、当該認証用Webページ20aを介して、認証スイッチSWによる認証が行われる。
《実施の形態1の主要な効果》
以上、実施の形態1の認証スイッチおよびネットワークシステムを用いることで、代表的には、プロキシサーバ経由のHTTPS通信を対象にリダイレクト通知を送信することが可能になる。その結果、認証スイッチSWは、ユーザに対してWeb認証を行わせることが可能になる。なお、このように、CONNECTメソッドのHTTPリクエストに応じて、所定のWebページを保持するURIをリダイレクト先とするリダイレクト通知を送信する仕組みは、認証スイッチSWに限らず、その他のネットワーク装置に対しても広く適用可能である。ネットワーク装置として、例えば、各種サーバ装置、またはファイアウォール装置等が挙げられる。
(実施の形態2)
《プロキシ経由のHTTPS通信時における動作(変形例)》
図8は、本発明の実施の形態2によるネットワークシステムにおいて、プロキシサーバ経由のHTTPS通信時の図6とは異なる動作例を示すシーケンス図である。図8では、図6の場合と異なり、認証用Webページへのリダイレクト先が、Webサーバ処理部(HTTPS用)37となっている。すなわち、図3に示したように、社内Webサーバ14に加えて、または、社内Webサーバ14の代わりに、Webサーバ処理部(HTTPS用)37が、認証用Webページ20bを保持してもよい。端末11aにどの認証用Webページを表示させるかは、リダイレクト先によって切り替えることができる。
図8においては、図6のステップS200〜S203の場合と同様の処理が行われることで、端末11aとWebサーバ処理部(HTTPS用)37との間にSSL/TLSセッションが確立される。その後、端末11aは、図6のステップS101bの場合と同様に、宛先IPアドレスDIP“IPA2”および宛先TCP番号DPT“#yyy”と、GETメソッドによるHTTPリクエスト48とを含むフレームを認証スイッチSWへ送信する。
ここで、Webサーバ処理部(HTTPS用)37(具体的には、リダイレクト処理部43)は、当該GETメソッドによるHTTPリクエスト48を受け、図6のステップS102bの場合と異なり、認証用Webページ20bを保持する“URIz”をリダイレクト先とするリダイレクト通知を端末11aへ送信する(ステップS102b−2)。すなわち、リダイレクト先は、Webサーバ処理部(HTTPS用)37である。
その後、端末11aのWebブラウザは、リダイレクト先である“URIz”へアクセスを行い(ステップS103b−2)、これに応じて、Webサーバ処理部(HTTPS用)37は、端末11aのWebブラウザに認証用Webページ20bを表示させる(ステップS104b−2)。以降は、前述したように、当該認証用Webページ20bを介して、認証スイッチSWによる認証が行われる。
《実施の形態2の主要な効果》
以上、実施の形態2の認証スイッチおよびネットワークシステムを用いることで、実施の形態1で述べた各種効果と同様の効果が得られる。また、認証用Webページを認証スイッチSWと社内Webサーバ14の両方が保持することで、例えば、社内Webサーバ14の障害時であっても、認証スイッチSWから端末へ認証用Webページを送信することが可能になる。
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。例えば、前述した実施の形態は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
1 社内ネットワーク
2 社外ネットワーク
10 インターネット
11a,11b 端末
12a,12b ユーザ
13 認証サーバ
14 社内Webサーバ
15 プロキシサーバ
16 社外Webサーバ
17 通信回線
20a,20b 認証用Webページ
25 インタフェース
26 中継処理部
27 FDB
28 管理部
31 通信制限部
32 通信判別部
33 認証テーブル
35 認証処理部
36 Webサーバ処理部(HTTP用)
37 Webサーバ処理部(HTTPS用)
38 プロキシサーバ処理部
40 リバースプロキシ処理部
41 フォワードプロキシ処理部
42 セッション処理部
43 リダイレクト処理部
45 イーサネットヘッダ
46 IPヘッダ
47 TCPヘッダ
48 HTTPリクエスト
48a リクエストライン
48b メッセージヘッダ
48c メッセージボディ
DIP 宛先IPアドレス
DMAC 宛先MACアドレス
DPT 宛先TCPポート番号
P1〜Pn 物理ポート
SIP 送信元IPアドレス
SMAC 送信元MACアドレス
SPT 送信元TCPポート番号
SW 認証スイッチ

Claims (12)

  1. プロキシサーバ処理部と、Webサーバ処理部と、を有する認証スイッチであって、
    前記プロキシサーバ処理部は、
    端末からのCONNECTメソッドによるHTTPリクエストを受けて、自身と前記Webサーバ処理部との間にTCPコネクションを確立するフォワードプロキシ処理部と、
    前記フォワードプロキシ処理部による前記TCPコネクションの確立が完了した際に、前記端末へコネクション確立通知を送信するリバースプロキシ処理部と、
    を有し、
    前記Webサーバ処理部は、
    前記コネクション確立通知が送信された後、自身と前記端末との間にSSL/TLSセッションを確立するセッション処理部と、
    前記セッション処理部による前記SSL/TLSセッションの確立が完了した後に、認証用Webページを保持するURIをリダイレクト先とするリダイレクト通知を前記端末へ送信するリダイレクト処理部と、
    を有する、
    認証スイッチ。
  2. 請求項1記載の認証スイッチにおいて、
    前記リバースプロキシ処理部は、前記端末からのGETメソッドによる前記HTTPリクエストを受けた場合、前記リダイレクト通知を前記端末へ送信する、
    認証スイッチ。
  3. 請求項1または2記載の認証スイッチにおいて、
    前記認証用Webページを介して前記端末のユーザによって入力されたアカウント情報を受け、当該アカウント情報を、前記認証スイッチの外部の認証サーバに問い合わせることで前記ユーザが使用する前記端末の認証を行う認証処理部を有し、
    前記プロキシサーバ処理部は、前記認証スイッチの外部のプロキシサーバに設定されるTCPポート番号と同じTCPポート番号に設定され、前記認証処理部で未認証の前記端末を対象とし、前記認証処理部で認証が許可された前記端末を非対象として、前記対象の前記端末からの当該TCPポート番号を宛先とする前記HTTPリクエストを受けて処理を行う、
    認証スイッチ。
  4. 請求項1または2記載の認証スイッチにおいて、
    前記認証用Webページは、前記認証スイッチの外部のWebサーバに保持され、
    前記リダイレクト先は、前記Webサーバである、
    認証スイッチ。
  5. 請求項1または2記載の認証スイッチにおいて、
    前記Webサーバ処理部は、前記認証用Webページを保持し、
    前記リダイレクト先は、前記Webサーバ処理部である、
    認証スイッチ。
  6. プロキシサーバと、
    認証を許可するアカウント情報を保持する認証サーバと、
    端末に表示される認証用Webページを介して入力されたアカウント情報を取得し、当該アカウント情報を前記認証サーバに問い合わせることで前記端末の認証を行う認証スイッチと、
    を備えるネットワークシステムであって、
    前記認証スイッチは、
    未認証の前記端末から前記プロキシサーバへのHTTPリクエストを受信するプロキシサーバ処理部と、
    Webサーバ処理部と、
    を有し、
    前記プロキシサーバ処理部は、
    前記端末からのCONNECTメソッドによる前記HTTPリクエストを受けて、自身と前記Webサーバ処理部との間にTCPコネクションを確立するフォワードプロキシ処理部と、
    前記フォワードプロキシ処理部による前記TCPコネクションの確立が完了した際に、前記端末へコネクション確立通知を送信するリバースプロキシ処理部と、
    を有し、
    前記Webサーバ処理部は、
    前記コネクション確立通知が送信された後、自身と前記端末との間にSSL/TLSセッションを確立するセッション処理部と、
    前記セッション処理部による前記SSL/TLSセッションの確立が完了した後に、前記認証用Webページを保持するURIをリダイレクト先とするリダイレクト通知を前記端末へ送信するリダイレクト処理部と、
    を有する、
    ネットワークシステム。
  7. 請求項6記載のネットワークシステムにおいて、
    前記リバースプロキシ処理部は、前記端末からのGETメソッドによる前記HTTPリクエストを受けた場合、前記リダイレクト通知を前記端末へ送信する、
    ネットワークシステム。
  8. 請求項6または7記載のネットワークシステムにおいて、
    前記認証スイッチは、前記認証用Webページを介して前記端末のユーザによって入力されたアカウント情報を受け、当該アカウント情報を、前記認証サーバに問い合わせることで前記ユーザが使用する前記端末の認証を行う認証処理部を有し、
    前記プロキシサーバ処理部は、前記プロキシサーバに設定されるTCPポート番号と同じTCPポート番号に設定され、前記認証処理部で未認証の前記端末を対象とし、前記認証処理部で認証が許可された前記端末を非対象として、前記対象の前記端末からの当該TCPポート番号を宛先とする前記HTTPリクエストを受けて処理を行う、
    ネットワークシステム。
  9. 請求項6または7記載のネットワークシステムにおいて、
    前記認証用Webページを保持するWebサーバを有し、
    前記リダイレクト先は、前記Webサーバである、
    ネットワークシステム。
  10. 請求項6または7記載のネットワークシステムにおいて、
    前記Webサーバ処理部は、前記認証用Webページを保持し、
    前記リダイレクト先は、前記Webサーバ処理部である、
    ネットワークシステム。
  11. プロキシサーバ処理部と、Webサーバ処理部と、を有するネットワーク装置であって、
    前記プロキシサーバ処理部は、
    端末からのCONNECTメソッドによるHTTPリクエストを受けて、自身と前記Webサーバ処理部との間にTCPコネクションを確立するフォワードプロキシ処理部と、
    前記フォワードプロキシ処理部による前記TCPコネクションの確立が完了した際に、前記端末へコネクション確立通知を送信するリバースプロキシ処理部と、
    を有し、
    前記Webサーバ処理部は、
    前記コネクション確立通知が送信された後、自身と端末との間にSSL/TLSセッションを確立するセッション処理部と、
    前記セッション処理部による前記SSL/TLSセッションの確立が完了した後に、所定のWebページを保持するURIをリダイレクト先とするリダイレクト通知を前記端末へ送信するリダイレクト処理部と、
    を有する、
    ネットワーク装置。
  12. 請求項11記載のネットワーク装置において、
    前記リバースプロキシ処理部は、前記端末からのGETメソッドによる前記HTTPリクエストを受けた場合、前記リダイレクト通知を前記端末へ送信する、
    ネットワーク装置。
JP2019115090A 2019-06-21 2019-06-21 認証スイッチ、ネットワークシステムおよびネットワーク装置 Active JP7241620B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019115090A JP7241620B2 (ja) 2019-06-21 2019-06-21 認証スイッチ、ネットワークシステムおよびネットワーク装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019115090A JP7241620B2 (ja) 2019-06-21 2019-06-21 認証スイッチ、ネットワークシステムおよびネットワーク装置

Publications (2)

Publication Number Publication Date
JP2021002178A true JP2021002178A (ja) 2021-01-07
JP7241620B2 JP7241620B2 (ja) 2023-03-17

Family

ID=73995110

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019115090A Active JP7241620B2 (ja) 2019-06-21 2019-06-21 認証スイッチ、ネットワークシステムおよびネットワーク装置

Country Status (1)

Country Link
JP (1) JP7241620B2 (ja)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006165678A (ja) * 2004-12-02 2006-06-22 Hitachi Ltd 暗号化通信の中継方法、ゲートウェイサーバ装置、暗号化通信のプログラムおよび暗号化通信のプログラム記憶媒体
JP2010193306A (ja) * 2009-02-19 2010-09-02 Dainippon Printing Co Ltd Ssl/tls接続方法及びコンピュータプログラム
JP2012080418A (ja) * 2010-10-04 2012-04-19 Alaxala Networks Corp ネットワーク認証における端末接続状態管理
JP2014029710A (ja) * 2013-09-17 2014-02-13 Alaxala Networks Corp 通信装置
JP2014149754A (ja) * 2013-02-04 2014-08-21 Alaxala Networks Corp 認証スイッチまたはネットワークシステム
JP2015050496A (ja) * 2013-08-30 2015-03-16 アラクサラネットワークス株式会社 通信システム及び認証スイッチ

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006165678A (ja) * 2004-12-02 2006-06-22 Hitachi Ltd 暗号化通信の中継方法、ゲートウェイサーバ装置、暗号化通信のプログラムおよび暗号化通信のプログラム記憶媒体
JP2010193306A (ja) * 2009-02-19 2010-09-02 Dainippon Printing Co Ltd Ssl/tls接続方法及びコンピュータプログラム
JP2012080418A (ja) * 2010-10-04 2012-04-19 Alaxala Networks Corp ネットワーク認証における端末接続状態管理
JP2014149754A (ja) * 2013-02-04 2014-08-21 Alaxala Networks Corp 認証スイッチまたはネットワークシステム
JP2015050496A (ja) * 2013-08-30 2015-03-16 アラクサラネットワークス株式会社 通信システム及び認証スイッチ
JP2014029710A (ja) * 2013-09-17 2014-02-13 Alaxala Networks Corp 通信装置

Also Published As

Publication number Publication date
JP7241620B2 (ja) 2023-03-17

Similar Documents

Publication Publication Date Title
US10778582B2 (en) Method and apparatus for traffic optimization in virtual private networks (VPNs)
US7558862B1 (en) Method and apparatus for remotely controlling a computer with peer-to-peer command and data transfer
US8448233B2 (en) Dealing with web attacks using cryptographically signed HTTP cookies
US11882199B2 (en) Virtual private network (VPN) whose traffic is intelligently routed
US20240064088A1 (en) System and method for optimal multiserver vpn routing
US10313397B2 (en) Methods and devices for access control of data flows in software defined networking system
US11595305B2 (en) Device information method and apparatus for directing link-layer communication
US9246906B1 (en) Methods for providing secure access to network resources and devices thereof
US20220045934A1 (en) Method and apparatus of automatic route optimization in a private virtual network for client devices of a local network
US10129209B2 (en) Method and communication device for network address translation traversal
US20170054631A1 (en) Remote Access to a Residential Multipath Entity
US11575577B2 (en) User information method and apparatus for directing link-layer communication
WO2011038637A1 (zh) 端到端呼叫的实现方法、端到端呼叫终端及系统
GB2494891A (en) A race condition during MAC authentication is avoided by confirming authentication to DHCP server prior to address allocation.
US10237257B2 (en) Network service header used to relay authenticated session information
US10958625B1 (en) Methods for secure access to services behind a firewall and devices thereof
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JP7241620B2 (ja) 認証スイッチ、ネットワークシステムおよびネットワーク装置
TWI608749B (zh) 用來控制一客戶端裝置存取一網路裝置之方法以及控制裝置
US10708188B2 (en) Application service virtual circuit
JP2024072265A (ja) レジデンシャルゲートウェイへのネットワークアクセスのための装置、方法、および非一時的コンピュータ可読記憶媒体
JP2016046625A (ja) 通信中継装置、情報処理方法、及び、プログラム
WO2014117360A1 (zh) Trill网络中处理报文的方法和装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220106

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221025

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221101

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221201

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230307

R150 Certificate of patent or registration of utility model

Ref document number: 7241620

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350