JP2023008127A - 通信システム、アクセスポイント装置、通信方法及びプログラム - Google Patents
通信システム、アクセスポイント装置、通信方法及びプログラム Download PDFInfo
- Publication number
- JP2023008127A JP2023008127A JP2021111430A JP2021111430A JP2023008127A JP 2023008127 A JP2023008127 A JP 2023008127A JP 2021111430 A JP2021111430 A JP 2021111430A JP 2021111430 A JP2021111430 A JP 2021111430A JP 2023008127 A JP2023008127 A JP 2023008127A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- network
- access point
- processing unit
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 68
- 238000000034 method Methods 0.000 title claims description 32
- 238000012545 processing Methods 0.000 claims abstract description 143
- 238000012546 transfer Methods 0.000 claims abstract description 28
- 230000004044 response Effects 0.000 claims abstract description 13
- 230000008569 process Effects 0.000 claims description 13
- 238000010586 diagram Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 8
- XQVWYOYUZDUNRW-UHFFFAOYSA-N N-Phenyl-1-naphthylamine Chemical compound C=1C=CC2=CC=CC=C2C=1NC1=CC=CC=C1 XQVWYOYUZDUNRW-UHFFFAOYSA-N 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012905 input function Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】認証サーバ装置との間の通信が断絶している間も、デバイスに対するネットワークの接続可否を判断できるようにする。【解決手段】デバイスは、第1のネットワークへのネットワークアクセス認証要求を、アクセスポイント装置に送信する。認証サーバ装置は、ネットワークアクセス認証要求に応じて、第1の認証情報に基づく認証処理を行う第1のデバイス認証処理部を備える。アクセスポイント装置は、転送処理部と第2のデバイス認証処理部とを備える。転送処理部は、ネットワークアクセス認証要求に第2の認証情報が含まれていない場合、ネットワークアクセス認証要求を認証サーバ装置に転送する。第2のデバイス認証処理部は、ネットワークアクセス認証要求に第2の認証情報が含まれており、かつ、アクセスポイント装置での認証処理が有効な場合、第2の認証情報に基づく認証処理を行う。【選択図】図7
Description
本発明の実施形態は通信システム、アクセスポイント装置、通信方法及びプログラムに関する。
認証サーバ装置によってデバイスの認証情報を一元的に管理しながら、それぞれのローカルネットワークの接続可否制御を実現する技術が従来から知られている。例えば、IEEE 802.1XやIETF RFC 5191(PANA:Protocol for Carrying Authentication for Network Access)が従来から知られている。
しかしながら従来の技術では、認証サーバ装置との間の通信が断絶している間は、デバイスに対するネットワークの接続可否を判断することができなかった。
実施形態の通信システムは、デバイスと、アクセスポイント装置と、認証サーバ装置と、を備える。前記デバイスは、第1のネットワークを介して前記アクセスポイント装置と接続される。前記アクセスポイント装置は、第2のネットワークを介して前記認証サーバ装置と接続される。前記デバイスは、前記第1のネットワークへのネットワークアクセス認証要求を、前記アクセスポイント装置に送信する。前記認証サーバ装置は、前記ネットワークアクセス認証要求に応じて、第1の認証情報に基づく認証処理を行う第1のデバイス認証処理部を備える。前記アクセスポイント装置は、転送処理部と第2のデバイス認証処理部とを備える。転送処理部は、前記ネットワークアクセス認証要求に第2の認証情報が含まれていない場合、前記ネットワークアクセス認証要求を前記認証サーバ装置に転送する。第2のデバイス認証処理部は、前記ネットワークアクセス認証要求に前記第2の認証情報が含まれており、かつ、前記アクセスポイント装置での認証処理が有効な場合、前記第2の認証情報に基づく認証処理を行う。
以下に添付図面を参照して、通信システム、アクセスポイント装置、通信方法及びプログラムの実施形態を詳細に説明する。
(第1実施形態)
はじめに、第1実施形態の通信システム100の装置構成の例について説明する。
はじめに、第1実施形態の通信システム100の装置構成の例について説明する。
[装置構成の例]
図1は第1実施形態の通信システム100の装置構成の例を示す図である。第1実施形態の通信システム100は、デバイス10、アクセスポイント装置20及び認証サーバ装置30を備える。
図1は第1実施形態の通信システム100の装置構成の例を示す図である。第1実施形態の通信システム100は、デバイス10、アクセスポイント装置20及び認証サーバ装置30を備える。
デバイス10は任意でよい。例えば、デバイス10は、インフラサービスに用いられるエッジデバイス10等である。具体的には、デバイス10は、例えばセンサ及びIoT(Internet of Things)機器等である。また、通信システム100に含まれるデバイス10の数は任意でよい。
デバイス10はネットワーク1に未接続状態であり、これからネットワーク1に接続するための認証処理(ネットワークアクセス認証)を経て、ネットワーク1に接続しようとしている。
ネットワーク1はローカルエリアネットワークやフィールドエリアネットワーク等である。ネットワーク1の接続形態は有線接続でもよいし無線接続でもよい。また、ネットワーク1の通信方式は任意でよい。ネットワーク1の通信方式は、例えばイーサネット(登録商標)、Wi-Fi、LPWA(Low Power Wide Area)方式、及び、無線マルチホップなどである。
ネットワーク2は任意でよい。ネットワーク2は、例えばインターネットのような広域ネットワークである。また例えば、ネットワーク2は、広域の閉域ネットワークである。また例えば、ネットワーク2は、企業内ネットワークなどのローカルネットワークである。ネットワーク2には認証サーバ装置30装置が接続され、アクセスポイント装置20と認証サーバ装置30とはネットワーク2を介して通信する。
アクセスポイント装置20はネットワーク1及び2に接続される。アクセスポイント装置20は、例えば集約装置またはコンセントレータ等である。
認証サーバ装置30は、デバイス10を認証する。認証サーバ装置30の実現方法は任意でよい。認証サーバ装置30は、例えば伝統的なサーバコンピュータを用いて実現される。また例えば、認証サーバ装置30は、物理サーバを、サーバ仮想化技術を用いて仮想化した仮想サーバとして実現される。また例えば、認証サーバ装置30は、その認証機能がクラウドサービスとして実現される。
[デバイスの機能構成の例]
図2は第1実施形態のデバイス10の機能構成の例を示す図である。第1実施形態のデバイス10は、通信部11、アクセス認証処理部12、記憶部13及びアプリケーション処理部14を備える。
図2は第1実施形態のデバイス10の機能構成の例を示す図である。第1実施形態のデバイス10は、通信部11、アクセス認証処理部12、記憶部13及びアプリケーション処理部14を備える。
通信部11はネットワーク1を介してアクセスポイント装置20と通信する。
アクセス認証処理部12はネットワーク1に接続するための認証処理を行う。認証処理は任意でよい。認証処理は、例えば、IEEE 802.1XやPANA、Constrained Join Protocol(CoJP)などの処理である。アクセス認証処理部12がネットワーク1の所定の認証処理を実行し、所定の認証処理が成功するとデバイス10はネットワーク1に接続される。
記憶部13はアクセス認証処理部12により使用される認証情報を記憶する。認証情報とは、例えばデバイス10の識別子やパスワードである。また例えば、認証情報は、デバイス10の秘密鍵及び公開鍵のペアである。また例えば、認証情報は、デバイス10のクライアント証明書(公開鍵証明書)である。また例えば、認証情報は、ネットワーク1や、その先の認証サーバ装置30の識別子や公開鍵、公開鍵証明書などである。
典型的には、認証情報はデバイス10の工場出荷時や、設置されたデバイス10が初期化される時に設定される。なお、デバイス10の運用中に、アクセス認証処理部12などによって、記憶部13に保持される認証情報の更新や追加が行われてもよい。また、SIM(Subscriber Identification Module)カードに保存されている情報を使って認証が行われる場合、記憶部13はSIMカードとその読み出し機構を包含する。
アプリケーション処理部14はデバイス10のアプリケーション処理を行う。ネットワーク1に接続完了後に、アプリケーション処理部14はアプリケーションデータをネットワーク1に送信したり、ネットワーク1からアプリケーションデータを受信したりする。アプリケーション処理は例えばセンサデータの取得及び送信や、アクチュエータの制御、他のデバイス10へのメッセージの転送などである。アプリケーション処理部14は、取得されたデータの分析や加工の後、その結果をネットワーク1を介して他の装置へ送信してもよい。
[アクセスポイント装置の機能構成の例]
図3は第1実施形態のアクセスポイント装置20の機能構成の例を示す図である。第1実施形態のアクセスポイント装置20は、第1の通信部21a、第2の通信部21b、転送処理部22、デバイス認証処理部23、記憶部24及びアプリケーション処理部25を備える。
図3は第1実施形態のアクセスポイント装置20の機能構成の例を示す図である。第1実施形態のアクセスポイント装置20は、第1の通信部21a、第2の通信部21b、転送処理部22、デバイス認証処理部23、記憶部24及びアプリケーション処理部25を備える。
第1の通信部21aは、ネットワーク1を介して他の装置(例えばデバイス10)と通信する。第2の通信部21bは、ネットワーク2を介して他の装置(例えば認証サーバ装置30)と通信する。
なお、ネットワーク1及び2の通信方式が同一の場合には、第1の通信部21a、及び、第2の通信部21bは、同じでもよい。
転送処理部22はデータを転送する。例えば、転送処理部22は、ネットワーク1を介してデバイス10から受信されたネットワークアクセス認証処理要求を、ネットワーク2を介して認証サーバ装置30へ転送する。また、転送処理部22は、ネットワーク2を介して認証サーバ装置30から受信されたデバイス10宛のネットワークアクセス認証結果応答を、ネットワーク1を介してデバイス10へ転送する。また例えば、転送処理部22は、デバイス10と、デバイス10の通信先の装置との間で送受信されるアプリケーションデータを転送する。
デバイス認証処理部23は、ネットワーク1に接続するデバイス10の認証処理を行う。ネットワーク1にはじめて接続するデバイス10の認証は常に認証サーバ装置30が行うが、認証サーバ装置30との認証処理に一度でも成功したデバイス10の認証処理はデバイス認証処理部23が行うことができる。
認証サーバ装置30が、認証情報(第1の認証情報)に基づいて、デバイス10の認証処理を行うと、ネットワーク2を介してデバイス認証処理部23へその認証結果を含む認証結果応答が通知される。この通知により、デバイス認証処理部23は当該デバイス10が認証サーバ装置30によって認証されたか否かを特定する。
デバイス10が認証された場合、認証サーバ装置30からデバイス認証処理部23に対し、認証されたデバイス10の識別子に加え、デバイス10を認証するための認証情報(第2の認証情報)が提供される。この認証情報は任意でよい。認証情報(第2の認証情報)は、例えばパスワードのような共通鍵(一時鍵)やトークン等である。第1実施形態では、認証情報(第2の認証情報)が、一時鍵である場合を例にして説明する。
認証サーバ装置30から受信された認証結果応答に含まれる認証結果とその付帯情報は、一般的には有効期限を持つ。認証結果応答に含まれる情報は、デバイス認証管理情報として記憶部24に記憶される。
[デバイス認証管理情報の例]
図4は第1実施形態のデバイス認証管理情報の例を示す図である。第1実施形態のデバイス認証管理情報は、デバイス識別子、認証成功時刻、一時鍵識別子、一時鍵及び有効期限を含む。
図4は第1実施形態のデバイス認証管理情報の例を示す図である。第1実施形態のデバイス認証管理情報は、デバイス識別子、認証成功時刻、一時鍵識別子、一時鍵及び有効期限を含む。
デバイス識別子は、デバイス10を識別する識別情報である。認証成功時刻は、認証サーバ装置30で認証が成功した時刻を示す。一時鍵識別子は、一時鍵を識別する識別情報である。一時鍵は、一時鍵を示すデータである。有効期限は、一時鍵の有効期限を示す。
図3に戻り、デバイス認証処理部23は、デバイス10からのネットワークアクセス認証要求を受けたとき、その要求通りに認証処理してもよいし、認証処理をしなくてもよい。少なくとも、デバイス認証処理部23が、デバイス10からのネットワークアクセス認証要求を受けたときに、記憶部24が当該デバイス10を認証するための有効な認証情報を持っていなければ、要求通りに認証処理を実行できない。仮に記憶部24が当該デバイス10を認証するための有効な認証処理情報を持っていたとしても、アクセスポイント装置20が認証サーバ装置30と通信可能な状況ではその要求を拒否し、常にデバイス10と認証サーバ装置30との間で認証処理を行わせるようにしてもよい。
逆に、アクセスポイント装置20が認証サーバ装置30と通信できない状況では、デバイス10からのネットワークアクセス認証要求に従い、デバイス認証処理部23がデバイス10の認証を行ってもよい。すなわち、デバイス認証処理部23は、ネットワーク2へ接続できない場合、アクセスポイント装置20での認証処理を有効にし、ネットワーク2へ接続できる場合、アクセスポイント装置20での認証処理を無効にしてもよい。
アクセスポイント装置20は、ネットワーク1を介してデバイス10からアプリケーションデータを受信し、当該アプリケーションデータをアクセスポイント装置20で処理してもよい。その場合、アプリケーション処理部25が、このアプリケーションデータを処理する。アプリケーション処理部25による処理内容は任意でよい。アプリケーション処理内容は、例えば受信されたアプリケーションデータの保存、分析、及び、ネットワーク2へ接続された他の装置への転送等である。また、ネットワーク1又はネットワーク2に接続された他の装置からの要求に応じて、アプリケーション処理部25がこれまでに受信したアプリケーションデータを当該他の装置に提供してもよい。
[認証サーバ装置の機能構成の例]
図5は第1実施形態の認証サーバ装置30の機能構成の例を示す図である。第1実施形態の認証サーバ装置30は、通信部31、デバイス認証処理部32、記憶部33及び生成部34を備える。
図5は第1実施形態の認証サーバ装置30の機能構成の例を示す図である。第1実施形態の認証サーバ装置30は、通信部31、デバイス認証処理部32、記憶部33及び生成部34を備える。
通信部31は、ネットワーク2を介してアクセスポイント装置20と通信する。
デバイス認証処理部32はデバイス10の認証を行い、デバイス10によるネットワーク1への接続可否を判定する。接続可否を判定するための認証処理は任意でよい。認証処理は、例えば、RADIUS(Remote Authentication Dial In User Service)やDiameter上で行われるEAP(Extensible Authentication Protocol)を用いた認証処理である。認証処理に用いられる具体的な認証プロトコルはさまざま考えられるが、いずれにしても、デバイス10の記憶部13が持つ認証情報を基に、デバイス認証処理部23はデバイス10を認証する。
記憶部33は、デバイス10のデバイス情報を記憶する。
[デバイス情報の例]
図6は第1実施形態のデバイス情報の例を示す図である。第1実施形態のデバイス情報は、デバイス識別子、共通鍵、及び、接続可能なネットワークを含む。
図6は第1実施形態のデバイス情報の例を示す図である。第1実施形態のデバイス情報は、デバイス識別子、共通鍵、及び、接続可能なネットワークを含む。
デバイス識別子は、デバイス10を識別する識別情報である。共通鍵は、デバイス認証処理部32によるデバイス10の認証処理に使用される認証情報である。
接続可能なネットワークは、デバイス10が接続可能なネットワークである。なお、デバイス情報に、接続可能なネットワークは含まれていなくてもよい。図6のデバイス情報の例のように、接続可能なネットワークを示す情報を持つ場合、デバイス10の認証に成功したとしても、デバイス10が接続を試みているネットワークによっては、デバイス認証処理部23はその接続を拒否する。
図5に戻り、デバイス認証処理部32は、ネットワークアクセス認証結果を、通信部31を介してアクセスポイント装置20へ送信する。また、デバイス認証処理部32は、接続可能なネットワークを示す情報が、デバイス情報に含まれている場合は、接続可否判定結果をアクセスポイント装置20へ送信する。
加えて、デバイス認証処理部32は、第1の認証情報に基づくデバイス10の認証が成功し、そのデバイス10によるネットワーク接続を許可する場合には、当該ネットワークのアクセスポイント装置20に、そのデバイス10の一時鍵情報を送信する。具体的には、生成部34が、第2の認証情報として一時鍵を払い出し、当該一時鍵、鍵識別子及び有効期限を含む一時鍵情報を生成する。この一時鍵情報は、ネットワーク2を介してアクセスポイント装置20のデバイス認証処理部23へ伝えられる。そして、デバイス認証処理部23は、一時鍵情報を、第1の通信部21aを介して、デバイス10へ送信する。
なお、デバイス10の認証結果や接続可否判定結果は、アクセスポイント装置20だけでなく、デバイス10に対しても送信されてもよい。
[通信方法の例]
図7は第1実施形態の通信方法の例を示すシーケンス図である。はじめに、デバイス10が、ネットワークアクセス認証要求を、ネットワーク1を介してアクセスポイント装置20に送信する(ステップS1)。
図7は第1実施形態の通信方法の例を示すシーケンス図である。はじめに、デバイス10が、ネットワークアクセス認証要求を、ネットワーク1を介してアクセスポイント装置20に送信する(ステップS1)。
次に、アクセスポイント装置20が、ステップS1で送信されたネットワークアクセス認証要求を受信すると、ネットワークアクセス認証要求を認証サーバ装置30へ転送する(ステップS2)。
次に、デバイス10及び認証サーバ装置30は、所定の認証プロトコルにより、認証処理を実行する(ステップS3)。そして、認証が成功し、認証サーバ装置30が、デバイス10によるネットワーク1への接続を許可すると、一時鍵情報を通知する(ステップS4)。図7の例では、一時鍵情報が、認証サーバ装置30からアクセスポイント装置20とデバイス10とへ通知されている(ステップS4及びS5)。
そして、ステップS3の認証処理で、認証サーバ装置30から接続許可の通知を受けることによって、ネットワーク1への接続が許可されたデバイス10は、ネットワーク1への接続処理を行う(ステップS6)。
次に、デバイス10は、再びネットワークアクセス認証要求を、ネットワーク1を介してアクセスポイント装置20に送信する(ステップS7)。例えば、デバイス10の認証状態の有効期限を迎えたり、デバイス10が再起動したりする場合などに、ネットワークアクセス認証要求が再び送信される。
図7のケースでは、アクセスポイント装置20が、ステップS7の認証要求を受信し、デバイス10とアクセスポイント装置20との間で一時鍵による認証処理を実行する(ステップS8)。そして、認証が成功した場合、デバイス10は、ネットワーク1への再接続処理を実行する(ステップS9)。
なお、ステップS8のように、アクセスポイント装置20で認証処理を実行するか否かを制御する方法は任意でよい。
例えば、アクセスポイント装置20は、デバイス10から送信されたネットワークアクセス認証要求に含まれる制御情報に基づいて、アクセスポイント装置20で認証処理を実行するか否かを判定してもよい。制御情報は、例えば一時鍵の有無を示す情報を含む。このような制御情報により、アクセスポイント装置20は、認証サーバ装置30へネットワークアクセス認証要求を転送せずとも自身でデバイス10の認証処理を実行できるか否かを判定する。
また例えは、アクセスポイント装置20は、常にデバイス10の認証を試み、デバイス10の認証がアクセスポイント装置20でできない場合や、アクセスポイント装置20で認証に失敗した場合に、認証サーバ装置30へネットワークアクセス認証要求を転送してもよい。
また例えば、アクセスポイント装置20は、常に認証サーバ装置30へのネットワークアクセス認証要求の転送を試み、ネットワークアクセス認証要求の転送ができない場合に、アクセスポイント装置20でデバイス10を認証するようにしてもよい。
以上、説明したように、第1実施形態の通信システム100は、デバイス10と、アクセスポイント装置20と、認証サーバ装置30と、を備える。デバイス10は、ネットワーク1(第1のネットワーク)を介してアクセスポイント装置20と接続される。アクセスポイント装置20は、ネットワーク2(第2のネットワーク)を介して認証サーバ装置30と接続される。デバイス10は、第1のネットワークへのネットワークアクセス認証要求を、アクセスポイント装置20に送信する。認証サーバ装置30は、ネットワークアクセス認証要求に応じて、第1の認証情報に基づく認証処理を行うデバイス認証処理部32(第1のデバイス認証処理部)を備える。アクセスポイント装置20では、転送処理部22が、ネットワークアクセス認証要求に第2の認証情報が含まれていない場合、ネットワークアクセス認証要求を認証サーバ装置30に転送する。デバイス認証処理部23(第2のデバイス認証処理部)が、ネットワークアクセス認証要求に第2の認証情報が含まれており、かつ、アクセスポイント装置20での認証処理が有効な場合、第2の認証情報に基づく認証処理を行う。
これにより第1実施形態の通信システム100によれば、認証サーバ装置30との間の通信が断絶している間も、デバイス10に対するネットワーク1への接続可否を判断することができる。
具体的には、例えば、インフラサービスにおいては、クラウド上(第1実施形態では、認証サーバ装置30)などでデバイス10の認証情報を一元的に管理するのが望ましい。このような形態を持つシステムでは、デバイス10がローカルネットワーク(第1実施形態では、ネットワーク1)に接続する際に、デバイス10とクラウド間で認証処理が行われ、当該デバイス10のローカルネットワークへの接続可否判断がされる。
従来は、ローカルネットワークとクラウド間の通信が、例えば、災害時などの通信障害によって断絶したときに、ローカルネットワークの機器(第1実施形態では、デバイス10)の認証ができなくなっていた。そのため、ローカルネットワークの機器が正常に動作していたとしても限定的なサービスでさえ、当該機器を使ってサービスを提供できなかった。
第1実施形態の通信システム100によれば、認証サーバ装置30でデバイス10の認証情報を一元的に管理しながらも、必要に応じて認証サーバ装置30を使用せずにデバイス10とアクセスポイント装置20間で認証処理を実行できるようになる。
(第2実施形態)
次に第2実施形態について説明する。第2実施形態の説明では、第1実施形態と同様の説明については省略し、第1実施形態と異なる箇所について説明する。第2実施形態では、デバイス10が、ネットワーク1への接続を許可されたことを示すトークンを、認証サーバ装置30から受信する場合について説明する。
次に第2実施形態について説明する。第2実施形態の説明では、第1実施形態と同様の説明については省略し、第1実施形態と異なる箇所について説明する。第2実施形態では、デバイス10が、ネットワーク1への接続を許可されたことを示すトークンを、認証サーバ装置30から受信する場合について説明する。
第2実施形態では、認証サーバ装置30は、デバイス10の認証に成功し、デバイス10によるネットワーク1の接続を許可する場合、一時鍵ではなくトークンを発行する。このトークンは、デバイス10にのみ送信されてもよいし、デバイス10及びアクセスポイント装置20に送信されてもよい。
トークンには、デバイス10に対してネットワーク1への接続を許可する旨とその有効期限が記載されており、認証サーバ装置30の秘密鍵による署名が施されている。デバイス10は有効なトークンを持つ間、ネットワーク1へのネットワークアクセス認証を行うときにこのトークンを使用できる。
例えば、アクセスポイント装置20は、デバイス10がトークンを持っているか否かに関わらず、常にデバイス10と認証サーバ装置30との間で認証処理を行わせてもよい。そして、アクセスポイント装置20と認証サーバ装置30とが通信できないときなどに限り、このトークンによる認証をデバイス10との間で実行してもよい。
また例えば、通信障害等の影響により、ネットワーク2へ接続できない場合は、アクセスポイント装置20は、トークンの有効期限が切れていたとしても、トークンの有効期限内に当該トークンを用いた認証に成功していれば、デバイス10によるネットワーク1への接続を許可してもよい。このような制御を行う場合には、認証サーバ装置30の記憶部33では、トークンによる認証処理の事実とその結果の記録を保持していてもよい。
(第1及び第2実施形態の変形例)
上述の第1及び第2実施形態において、一時鍵やトークン(第2の認証情報)の生成は、アクセスポイント装置20のデバイス認証処理部23が行ってもよい。すなわち、認証サーバ装置30で第1の認証情報に基づく認証処理に成功した場合、デバイス認証処理部23が、第2の認証情報を生成し、第2の認証情報をデバイス10に送信してもよい。この場合、例えば、デバイス10によるネットワーク1への接続処理などの中で、アクセスポイント装置20からデバイス10へ、一時鍵やトークンが提供される。
上述の第1及び第2実施形態において、一時鍵やトークン(第2の認証情報)の生成は、アクセスポイント装置20のデバイス認証処理部23が行ってもよい。すなわち、認証サーバ装置30で第1の認証情報に基づく認証処理に成功した場合、デバイス認証処理部23が、第2の認証情報を生成し、第2の認証情報をデバイス10に送信してもよい。この場合、例えば、デバイス10によるネットワーク1への接続処理などの中で、アクセスポイント装置20からデバイス10へ、一時鍵やトークンが提供される。
(第3実施形態)
次に第3実施形態について説明する。第3実施形態の説明では、第1実施形態と同様の説明については省略し、第1実施形態と異なる箇所について説明する。第3実施形態では、ネットワーク2に、アプリケーション処理を実行するアプリケーションサーバが接続されている場合について説明する。なお、アプリケーション処理は任意でよい。アプリケーション処理は、例えばデバイス10で取得されたアプリケーションデータの分析や加工等である。
次に第3実施形態について説明する。第3実施形態の説明では、第1実施形態と同様の説明については省略し、第1実施形態と異なる箇所について説明する。第3実施形態では、ネットワーク2に、アプリケーション処理を実行するアプリケーションサーバが接続されている場合について説明する。なお、アプリケーション処理は任意でよい。アプリケーション処理は、例えばデバイス10で取得されたアプリケーションデータの分析や加工等である。
アクセスポイント装置20の第2の通信部21bは、アプリケーションサーバへ接続できる場合、デバイス10からネットワーク1を介して受信されたアプリケーションデータを、ネットワーク2を介してアプリケーションサーバへ送信する。
アプリケーション処理部25は、ネットワーク2を介してアプリケーションサーバへ接続できない場合、アプリケーションデータの処理を有効にし、ネットワーク2を介してアプリケーションサーバへ接続できる場合、アプリケーションデータの処理を無効する。
例えば、アクセスポイント装置20が、通信障害等の影響によって、ネットワーク2やネットワーク2に接続されたアプリケーションサーバへ接続できない場合、アクセスポイント装置20のアプリケーション処理部25が、第2の認証情報による認証が成功したデバイス10から受信したアプリケーションデータを、アプリケーションサーバの代わりに処理する。そして、アクセスポイント装置20の記憶部24が、処理済みのアプリケーションデータを記憶する。記憶部24に記憶された処理済みのアプリケーションデータは、例えば、ネットワーク1などに接続された他の装置からの要求に応じて、当該他の装置へ提供される。
また例えば、通信障害等の復旧などによって、ネットワーク2やネットワーク2に接続されたアプリケーションサーバへの接続が回復すると、アプリケーション処理部25が、不通期間に処理し、記憶部24に保管していたアプリケーションデータを、ネットワーク2を介してアプリケーションサーバへ送信する。
最後に、第1乃至第3実施形態のデバイス10、アクセスポイント装置20及び認証サーバ装置30のハードウェア構成の例について説明する。
[ハードウェア構成の例]
図9は第1乃至第第3実施形態のデバイス10、アクセスポイント装置20及び認証サーバ装置30の主要部のハードウェア構成の例を示す図である。第1乃至第第3実施形態のデバイス10、アクセスポイント装置20及び認証サーバ装置30は、制御装置201、主記憶装置202、補助記憶装置203、表示装置204、入力装置205及び通信装置206を備える。制御装置201、主記憶装置202、補助記憶装置203、表示装置204、入力装置205及び通信装置206は、バス210を介して接続されている。
図9は第1乃至第第3実施形態のデバイス10、アクセスポイント装置20及び認証サーバ装置30の主要部のハードウェア構成の例を示す図である。第1乃至第第3実施形態のデバイス10、アクセスポイント装置20及び認証サーバ装置30は、制御装置201、主記憶装置202、補助記憶装置203、表示装置204、入力装置205及び通信装置206を備える。制御装置201、主記憶装置202、補助記憶装置203、表示装置204、入力装置205及び通信装置206は、バス210を介して接続されている。
なお、第1乃至第第3実施形態のデバイス10、アクセスポイント装置20及び認証サーバ装置30は、上記構成の一部が備えられていなくてもよい。例えば、デバイス10が、インフラサービスの一部として提供されるセンサ等の場合、表示装置204及び入力装置205が備えられていなくてもよい。
デバイス10、アクセスポイント装置20及び認証サーバ装置30の主要部のハードウェア構成は、同様なので、以下の説明では、アクセスポイント装置20の場合を例にして説明する。
制御装置201は、補助記憶装置203から主記憶装置202に読み出されたプログラムを実行する。主記憶装置202は、ROM及びRAM等のメモリである。補助記憶装置203は、HDD(Hard Disk Drive)及びメモリカード等である。
表示装置204は、例えば液晶ディスプレイ等である。入力装置205は、アクセスポイント装置20を操作するためのインタフェースである。入力装置205は、例えばアクセスポイント装置20の筐体に備えられたボタン等である。なお、表示装置204及び入力装置205は、表示機能と入力機能とを有するタッチパネル等により実現されていてもよい。
通信装置206は、他の装置と通信するためのインタフェースである。なお、ネットワーク1の通信方式と、ネットワーク2の通信方式とが異なる場合には、通信装置206は、ネットワーク1の通信方式に対応したインタフェースと、ネットワーク2の通信方式に対応したインタフェースとを備える。
デバイス10、アクセスポイント装置20及び認証サーバ装置30で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD-ROM、メモリカード、CD-R及びDVD等のコンピュータで読み取り可能な記憶媒体に記録されてコンピュータ・プログラム・プロダクトとして提供される。
またデバイス10、アクセスポイント装置20及び認証サーバ装置30で実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。またデバイス10、アクセスポイント装置20及び認証サーバ装置30で実行されるプログラムをダウンロードさせずにインターネット等のネットワーク経由で提供するように構成してもよい。
またデバイス10、アクセスポイント装置20及び認証サーバ装置30のプログラムを、ROM等に予め組み込んで提供するように構成してもよい。
デバイス10、アクセスポイント装置20及び認証サーバ装置30で実行されるプログラムは、上述した図2、3及び5の機能構成のうち、プログラムによっても実現可能な機能を含むモジュール構成となっている。当該各機能は、実際のハードウェアとしては、制御装置201が記憶媒体からプログラムを読み出して実行することにより、上記各機能ブロックが主記憶装置202上にロードされる。すなわち上記各機能ブロックは主記憶装置302上に生成される。
なお上述した図2、3及び5の各機能の一部又は全部をソフトウェアにより実現せずに、IC等のハードウェアにより実現してもよい。
また複数のプロセッサを用いて各機能を実現する場合、各プロセッサは、各機能のうち1つを実現してもよいし、各機能のうち2以上を実現してもよい。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
1 ネットワーク
2 ネットワーク
10 デバイス
11 通信部
12 アクセス認証処理部
13 記憶部
14 アプリケーション処理部
20 アクセスポイント装置
21a 第1の通信部
21b 第2の通信部
22 転送処理部
23 デバイス認証処理部
24 記憶部
25 アプリケーション処理部
30 認証サーバ装置
31 通信部
32 デバイス認証処理部
33 記憶部
34 生成部
100 通信システム
201 制御装置
202 主記憶装置
203 補助記憶装置
204 表示装置
205 入力装置
206 通信装置
210 バス
2 ネットワーク
10 デバイス
11 通信部
12 アクセス認証処理部
13 記憶部
14 アプリケーション処理部
20 アクセスポイント装置
21a 第1の通信部
21b 第2の通信部
22 転送処理部
23 デバイス認証処理部
24 記憶部
25 アプリケーション処理部
30 認証サーバ装置
31 通信部
32 デバイス認証処理部
33 記憶部
34 生成部
100 通信システム
201 制御装置
202 主記憶装置
203 補助記憶装置
204 表示装置
205 入力装置
206 通信装置
210 バス
Claims (11)
- デバイスと、アクセスポイント装置と、認証サーバ装置と、を備え、
前記デバイスは、第1のネットワークを介して前記アクセスポイント装置と接続され、
前記アクセスポイント装置は、第2のネットワークを介して前記認証サーバ装置と接続され、
前記デバイスは、前記第1のネットワークへのネットワークアクセス認証要求を、前記アクセスポイント装置に送信し、
前記認証サーバ装置は、
前記ネットワークアクセス認証要求に応じて、第1の認証情報に基づく認証処理を行う第1のデバイス認証処理部を備え、
前記アクセスポイント装置は、
前記ネットワークアクセス認証要求に第2の認証情報が含まれていない場合、前記ネットワークアクセス認証要求を前記認証サーバ装置に転送する転送処理部と、
前記ネットワークアクセス認証要求に前記第2の認証情報が含まれており、かつ、前記アクセスポイント装置での認証処理が有効な場合、前記第2の認証情報に基づく認証処理を行う第2のデバイス認証処理部と、
を備える通信システム。 - 前記第2の認証情報は、有効期限が設定された一時鍵、又は、有効期限が設定されたトークンである、
請求項1に記載の通信システム。 - 前記認証サーバ装置は、
前記第1の認証情報に基づく認証処理に成功した場合、第2の認証情報を生成する生成部と、
前記第2の認証情報を、前記デバイス及び前記アクセスポイント装置に送信する通信部と、
を更に備える請求項1又は2に記載の通信システム。 - 前記第2のデバイス認証処理部は、前記第1の認証情報に基づく認証処理に成功した場合、前記第2の認証情報を生成し、前記第2の認証情報を前記デバイスに送信する、
請求項1又は2に記載の通信システム。 - 前記第2のデバイス認証処理部は、前記第2のネットワークへ接続できない場合、前記アクセスポイント装置での認証処理を有効にし、前記第2のネットワークへ接続できる場合、前記アクセスポイント装置での認証処理を無効にする、
請求項1乃至4のいずれか1項に記載の通信システム。 - 前記アクセスポイント装置は、前記第2のネットワークを介してアプリケーションサーバへ接続できない場合、前記第2の認証情報による認証が成功した前記デバイスから受信されたアプリケーションデータを処理するアプリケーション処理部を更に備える、
請求項1乃至5のいずれか1項に記載の通信システム。 - 前記アプリケーション処理部は、前記第2のネットワークを介してアプリケーションサーバへ接続できない場合、前記アプリケーションデータの処理を有効にし、前記第2のネットワークを介してアプリケーションサーバへ接続できる場合、前記アプリケーションデータの処理を無効する、
請求項6に記載の通信システム。 - 前記アプリケーション処理部は、前記第2のネットワークを介してアプリケーションサーバへ接続できない状態から、前記第2のネットワークを介してアプリケーションサーバへ接続できる状態に復旧した場合、前記アプリケーション処理部で処理された前記アプリケーションデータを前記アプリケーションサーバへ送信する、
請求項6又は7に記載の通信システム。 - 第1のネットワークへのネットワークアクセス認証要求に応じて、第1の認証情報に基づく認証処理を行う認証サーバ装置と、第2のネットワークを介して接続されたアクセスポイント装置であって、
デバイスから前記ネットワークアクセス認証要求を受信すると、前記ネットワークアクセス認証要求に第2の認証情報が含まれていない場合、前記ネットワークアクセス認証要求を前記認証サーバ装置に転送する転送処理部と、
前記ネットワークアクセス認証要求に前記第2の認証情報が含まれており、かつ、前記アクセスポイント装置での認証処理が有効な場合、前記第2の認証情報に基づく認証処理を行うデバイス認証処理部と、
を備えるアクセスポイント装置。 - 第1のネットワークへのネットワークアクセス認証要求に応じて、第1の認証情報に基づく認証処理を行う認証サーバ装置と、第2のネットワークを介して接続されたアクセスポイント装置の通信方法であって、
デバイスから前記ネットワークアクセス認証要求を受信すると、前記ネットワークアクセス認証要求に第2の認証情報が含まれていない場合、前記ネットワークアクセス認証要求を前記認証サーバ装置に転送するステップと、
前記ネットワークアクセス認証要求に前記第2の認証情報が含まれており、かつ、前記アクセスポイント装置での認証処理が有効な場合、前記第2の認証情報に基づく認証処理を行うステップと、
を含む通信方法。 - 第1のネットワークへのネットワークアクセス認証要求に応じて、第1の認証情報に基づく認証処理を行う認証サーバ装置と、第2のネットワークを介して接続されたアクセスポイント装置を、
デバイスから前記ネットワークアクセス認証要求を受信すると、前記ネットワークアクセス認証要求に第2の認証情報が含まれていない場合、前記ネットワークアクセス認証要求を前記認証サーバ装置に転送する転送処理部と、
前記ネットワークアクセス認証要求に前記第2の認証情報が含まれており、かつ、前記アクセスポイント装置での認証処理が有効な場合、前記第2の認証情報に基づく認証処理を行うデバイス認証処理部、
として機能させるためのプログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021111430A JP7458348B2 (ja) | 2021-07-05 | 2021-07-05 | 通信システム、アクセスポイント装置、通信方法及びプログラム |
| US17/672,327 US11962583B2 (en) | 2021-07-05 | 2022-02-15 | Authentication system using access point device and authentication server to handle a device's network access authentication request |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021111430A JP7458348B2 (ja) | 2021-07-05 | 2021-07-05 | 通信システム、アクセスポイント装置、通信方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023008127A true JP2023008127A (ja) | 2023-01-19 |
| JP7458348B2 JP7458348B2 (ja) | 2024-03-29 |
Family
ID=84785734
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021111430A Active JP7458348B2 (ja) | 2021-07-05 | 2021-07-05 | 通信システム、アクセスポイント装置、通信方法及びプログラム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US11962583B2 (ja) |
| JP (1) | JP7458348B2 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004164576A (ja) * | 2002-11-13 | 2004-06-10 | Korea Electronics Telecommun | 公衆無線lanサービスシステムにおけるユーザ認証方法およびユーザ認証システム、ならびに記録媒体 |
| JP2009258917A (ja) * | 2008-04-15 | 2009-11-05 | Mitsubishi Electric Corp | プロキシサーバ、認証サーバおよび通信システム |
| JP2011238162A (ja) * | 2010-05-13 | 2011-11-24 | Fujitsu Ltd | ネットワーク装置および端末装置 |
| US20160036794A1 (en) * | 2014-07-30 | 2016-02-04 | Aruba Networks, Inc. | Determining whether to use a local authentication server |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5078675B2 (ja) | 2008-03-03 | 2012-11-21 | 三菱電機株式会社 | 会員認証システム及び携帯端末装置 |
| WO2010112064A1 (en) * | 2009-03-31 | 2010-10-07 | Nokia Siemens Networks Oy | Mechanism for authentication and authorization for network and service access |
| JP2012138863A (ja) | 2010-12-28 | 2012-07-19 | Japan Radio Co Ltd | ネットワークシステム |
| EP2536095B1 (en) * | 2011-06-16 | 2016-04-13 | Telefonaktiebolaget LM Ericsson (publ) | Service access authentication method and system |
| US11290879B2 (en) * | 2015-07-02 | 2022-03-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for obtaining initial access to a network, and related wireless devices and network nodes |
| SG10201606061PA (en) * | 2016-07-22 | 2018-02-27 | Huawei Int Pte Ltd | A method for unified network and service authentication based on id-based cryptography |
| US10932129B2 (en) * | 2017-07-24 | 2021-02-23 | Cisco Technology, Inc. | Network access control |
| US11863663B2 (en) * | 2018-03-20 | 2024-01-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Initial network authorization for a communications device |
| US11178148B2 (en) * | 2018-08-21 | 2021-11-16 | HYPR Corp. | Out-of-band authentication to access web-service with indication of physical access to client device |
| US20230156466A1 (en) * | 2020-04-08 | 2023-05-18 | Huawei Technologies Co., Ltd. | Bluetooth Networking Method for Electronic Device and Related Device |
| US11689367B2 (en) * | 2020-09-24 | 2023-06-27 | Huawei Technologies Co., Ltd. | Authentication method and system |
| US20220311626A1 (en) * | 2021-03-24 | 2022-09-29 | Cisco Technology, Inc. | Cloud-based identity provider interworking for network access authentication |
| US11621957B2 (en) * | 2021-03-31 | 2023-04-04 | Cisco Technology, Inc. | Identity verification for network access |
-
2021
- 2021-07-05 JP JP2021111430A patent/JP7458348B2/ja active Active
-
2022
- 2022-02-15 US US17/672,327 patent/US11962583B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004164576A (ja) * | 2002-11-13 | 2004-06-10 | Korea Electronics Telecommun | 公衆無線lanサービスシステムにおけるユーザ認証方法およびユーザ認証システム、ならびに記録媒体 |
| JP2009258917A (ja) * | 2008-04-15 | 2009-11-05 | Mitsubishi Electric Corp | プロキシサーバ、認証サーバおよび通信システム |
| JP2011238162A (ja) * | 2010-05-13 | 2011-11-24 | Fujitsu Ltd | ネットワーク装置および端末装置 |
| US20160036794A1 (en) * | 2014-07-30 | 2016-02-04 | Aruba Networks, Inc. | Determining whether to use a local authentication server |
Also Published As
| Publication number | Publication date |
|---|---|
| US11962583B2 (en) | 2024-04-16 |
| JP7458348B2 (ja) | 2024-03-29 |
| US20230006995A1 (en) | 2023-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2705642B1 (en) | System and method for providing access credentials | |
| CN103460674B (zh) | 用于供应/实现推送通知会话的方法和推送供应实体 | |
| EP3300331B1 (en) | Response method, apparatus and system in virtual network computing authentication, and proxy server | |
| US12022004B2 (en) | Terminal registration system and terminal registration method | |
| US8019891B2 (en) | Network connection control technique, network connection technique and authentication apparatus | |
| US11277404B2 (en) | System and data processing method | |
| US9344417B2 (en) | Authentication method and system | |
| US20140237544A1 (en) | Authentication method, transfer apparatus, and authentication server | |
| US8601568B2 (en) | Communication system for authenticating or relaying network access, relaying apparatus, authentication apparatus, and communication method | |
| US11528273B2 (en) | Expended trust for onboarding | |
| JP2014194615A (ja) | 認証方法、認証システム、および、サービス提供サーバ | |
| WO2023241331A1 (zh) | 物联网系统及其认证与通信方法、相关设备 | |
| US10116449B2 (en) | Generation device, terminal device, generation method, non-transitory computer readable storage medium, and authentication processing system | |
| WO2014048769A1 (en) | Single sign-on method, proxy server and system | |
| US20100011207A1 (en) | Service Oriented Architecture Device | |
| CN111726328B (zh) | 用于对第一设备进行远程访问的方法、系统以及相关设备 | |
| EP2239881A2 (en) | Method for ensuring communication security in home network and apparatus for same | |
| JP7458348B2 (ja) | 通信システム、アクセスポイント装置、通信方法及びプログラム | |
| KR20160149926A (ko) | 토큰 서버 인증을 이용한 홈네트워크 기기의 원격 제어 시스템 및 방법 | |
| CN116438885A (zh) | 物联网装置的一次性无线认证 | |
| US20080080373A1 (en) | Port access control in a shared link environment | |
| JP7018255B2 (ja) | 認証管理装置及びプログラム | |
| JP6334275B2 (ja) | 認証装置、認証方法、認証プログラム、及び認証システム | |
| JP2023095286A (ja) | ネットワークシステムおよびアクセス制御方法 | |
| CN118829983A (zh) | 用于通过零信任云环境向rdp服务提供多因素认证的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230310 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20231130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231205 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240202 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240220 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240318 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7458348 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |