JP3816933B2 - セッション情報管理方法およびセッション情報管理装置 - Google Patents
セッション情報管理方法およびセッション情報管理装置 Download PDFInfo
- Publication number
- JP3816933B2 JP3816933B2 JP2004325199A JP2004325199A JP3816933B2 JP 3816933 B2 JP3816933 B2 JP 3816933B2 JP 2004325199 A JP2004325199 A JP 2004325199A JP 2004325199 A JP2004325199 A JP 2004325199A JP 3816933 B2 JP3816933 B2 JP 3816933B2
- Authority
- JP
- Japan
- Prior art keywords
- session
- information
- setting request
- client
- session information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
この発明は、クライアントとサーバとを接続する仮想私設網におけるセッション情報管理を行うセッション情報管理方法およびセッション情報管理装置に関する。
従来より、通信端末装置(クライアント)が電話網を介して最寄りのインターネット接続点に接続(いわゆるダイアルアップ接続)し、さらに、インターネットを介してサーバ側のネットワーク(例えば企業LAN(Local Area Network))に接続する場合において、インターネット上を安全に通過するために仮想私設網(Virtual Private Network:VPN)を構築するいわゆるダイアルアップVPNが知られている。仮想私設網とは、暗号技術や、認証技術、トンネリング技術などを利用して、インターネット上においても専用線と同様の安全性および利便性を有する通信を実現する技術である。このような仮想私設網機能を実現するネットワークコンポーネントをセキュリティゲートウェイ(Security GateWay:SGW)という。
仮想私設網においては、通常はIP(Internet Protocol)アドレスを用いて通信相手を識別する。ところで、IPアドレスは、クライアント毎に固定されている場合もあるが、クライアントがダイヤルアップ接続を行っている場合には、接続を行う度に異なっている場合がある。具体的には、ダイヤルアップクライアントに割り当てるためのIPアドレスを一定数確保しているインターネット接続点に電話網を介して接続要求を行うことによって、ダイヤルアップクライアントは利用可能なIPアドレスが適宜割り当てられるようになっている。
従って、ダイアルアップVPNにおいては、仮想私設網を終端するクライアントがダイアルアップ接続を行っている場合には、仮想私設網の他端となるセキュリティゲートウェイはIPアドレスからクライアントを識別することができないことになる。
従って、ダイアルアップVPNにおいては、仮想私設網を終端するクライアントがダイアルアップ接続を行っている場合には、仮想私設網の他端となるセキュリティゲートウェイはIPアドレスからクライアントを識別することができないことになる。
そこで、セキュリティゲートウェイはIPよりも上位層のプロトコルでクライアントの認証を行う必要があり、一般的にはユーザIDおよびパスワードを組み合わせた情報や、デジタル署名などの情報を用いて認証を行っている。このような認証を行った後、クライアントおよびセキュリティゲートウェイ間の通信を行うために、IPアドレス等の情報や仮想私設網におけるセキュリティポリシなどのネゴシエーションを行う。クライアントおよびセキュリティゲートウェイは、ネゴシエーションにおける情報を双方でセッション情報として保存する。
このようにしてクライアントがセキュリティゲートウェイに接続することによって、企業LAN内にいるのと同様の環境で、企業内各種サーバに接続し、所望のサービスを利用することが可能となっている。
このようにしてクライアントがセキュリティゲートウェイに接続することによって、企業LAN内にいるのと同様の環境で、企業内各種サーバに接続し、所望のサービスを利用することが可能となっている。
このような仮想私設網のセッション設定から解放までは、
(1)クライアントからインターネット接続点へ接続
(2)クライアント・セキュリティゲートウェイ間にセッション設定
(3)クライアント・サーバ間通信
(4)クライアント・サーバ間セッション断
(5)クライアント・セキュリティゲートウェイ間セッション断
(6)クライアントからインターネット接続点へのコネクション断
という手順が踏まれるのが通常である。
しかしながら、クライアント・インターネット接続点間の接続が切断されてしまい、クライアントが正常な手順を踏まない状態で終了してしまう場合も生じることがある。例えば、クライアントの電源が遮断されてしまった場合や、インターネット接続点の故障、無線網を介してインターネット接続点に接続しているクライアントが圏外に移動してしまった場合などが考えられる。なお、以下の説明において、クライアント・インターネット接続点間が接続されている状態を「生きているセッション」といい、クライアント・インターネット接続点間の接続が切断されている状態を「死んだセッション」というものとする。
(1)クライアントからインターネット接続点へ接続
(2)クライアント・セキュリティゲートウェイ間にセッション設定
(3)クライアント・サーバ間通信
(4)クライアント・サーバ間セッション断
(5)クライアント・セキュリティゲートウェイ間セッション断
(6)クライアントからインターネット接続点へのコネクション断
という手順が踏まれるのが通常である。
しかしながら、クライアント・インターネット接続点間の接続が切断されてしまい、クライアントが正常な手順を踏まない状態で終了してしまう場合も生じることがある。例えば、クライアントの電源が遮断されてしまった場合や、インターネット接続点の故障、無線網を介してインターネット接続点に接続しているクライアントが圏外に移動してしまった場合などが考えられる。なお、以下の説明において、クライアント・インターネット接続点間が接続されている状態を「生きているセッション」といい、クライアント・インターネット接続点間の接続が切断されている状態を「死んだセッション」というものとする。
このように、正常な手順を踏まずに終了すると、セッションに関して以下のような問題が生じる。
クライアントは電話網を介してインターネットに接続しているので、クライアント・インターネット接続点間の接続状態(セッションの生死)を直ちに検出することができるが、これに対してセキュリティゲートウェイはインターネットに接続しているのでクライアント・インターネット接続点間の接続状態を直接検出することはできない。
サーバからクライアントへパケットを送信するシーケンスの途中にクライアント・インターネット接続点間の接続が切断された場合は、パケットはクライアントへ到達しないので、セキュリティゲートウェイはクライアント・インターネット接続点間の接続が切断された状態をパケットの不達によって間接的に検出する。
クライアントは電話網を介してインターネットに接続しているので、クライアント・インターネット接続点間の接続状態(セッションの生死)を直ちに検出することができるが、これに対してセキュリティゲートウェイはインターネットに接続しているのでクライアント・インターネット接続点間の接続状態を直接検出することはできない。
サーバからクライアントへパケットを送信するシーケンスの途中にクライアント・インターネット接続点間の接続が切断された場合は、パケットはクライアントへ到達しないので、セキュリティゲートウェイはクライアント・インターネット接続点間の接続が切断された状態をパケットの不達によって間接的に検出する。
しかしながら、パケットの不達を検出できないような場合、例えば、サーバがクライアントから要求待ちであるような場合や、クライアント・サーバ間のセッションが確立していないような場合、あるいは、セッションが確立していても使用されていない場合には、セキュリティゲートウェイはクライアント・インターネット接続点間の接続が切断された状態を直接的にも間接的にも検出することができない。
このようにセキュリティゲートウェイがクライアント・インターネット接続点間の接続を検出できないために、「死んだセッション」をセキュリティゲートウェイが保存したままになると、セキュリティゲートウェイではセッション資源が枯渇しまうという問題が生じる。
あるいは、電話網側の回線状況などが原因で、インターネット接続点への接続が切断されたクライアントが再度インターネット接続点に接続した場合は、以前に使用していたものとは異なるIPアドレスが割り当てられるので、クライアントがセキュリティゲートウェイに仮想私設網セッション設定を再要求した場合には、以前のセッション情報が保存されているために新しいセッションの設定を拒絶してしまうという問題も生じる。セキュリティゲートウェイでは、同一ユーザIDのクライアントが同時に複数のセッションを設定することはセキュリティ上の理由で制限しているからである。
このような問題を解決するためには、一定時間利用されないセッションをセキュリティゲートウェイが自動的に削除するように設定することも可能であるが、このような場合はクライアント側が長時間通信を行わない場合にはセッションを削除されてしまうという不都合があり、クライアントには不便になっていまう。
このようにセキュリティゲートウェイがクライアント・インターネット接続点間の接続を検出できないために、「死んだセッション」をセキュリティゲートウェイが保存したままになると、セキュリティゲートウェイではセッション資源が枯渇しまうという問題が生じる。
あるいは、電話網側の回線状況などが原因で、インターネット接続点への接続が切断されたクライアントが再度インターネット接続点に接続した場合は、以前に使用していたものとは異なるIPアドレスが割り当てられるので、クライアントがセキュリティゲートウェイに仮想私設網セッション設定を再要求した場合には、以前のセッション情報が保存されているために新しいセッションの設定を拒絶してしまうという問題も生じる。セキュリティゲートウェイでは、同一ユーザIDのクライアントが同時に複数のセッションを設定することはセキュリティ上の理由で制限しているからである。
このような問題を解決するためには、一定時間利用されないセッションをセキュリティゲートウェイが自動的に削除するように設定することも可能であるが、このような場合はクライアント側が長時間通信を行わない場合にはセッションを削除されてしまうという不都合があり、クライアントには不便になっていまう。
そこで、従来は一定周期毎にサーバからクライアントに状態確認のパケット(キープアライブパケット)を送り、クライアントはキープアライブパケットを受け取るとただちに正常である旨の応答を行うようにして、サーバは規定時間以内に応答が帰ってこなかった場合にクライアントがセッションを停止したと判断してセッション情報を削除する、という対応がなされていた。
しかしながら、クライアントが接続している電話網が、送受信データ量に対して課金される、いわゆるパケット交換方式の電話網である場合、このようなキープアライブパケットを用いると、一定周期毎にパケットの交換が行われ、個々のキープアライブパケットに対して課金が行われてしまうので、クライアント側ユーザの通信コストがかさんでしまうという問題があった。
あるいは、電話網やインターネットの一時的な輻輳などによりパケットの伝達遅延が生じてしまった場合には、キープアライブパケットに対する応答が規定時間内に戻らないので、セッションは生きているにもかかわらずセッション情報が削除されてしまい、安定した通信を行うことができないという問題もあった。このように、従来のセッション管理方法においては、安定的な通信を確保しながら低コストでセッション情報の資源枯渇を防止することは困難であった。
しかしながら、クライアントが接続している電話網が、送受信データ量に対して課金される、いわゆるパケット交換方式の電話網である場合、このようなキープアライブパケットを用いると、一定周期毎にパケットの交換が行われ、個々のキープアライブパケットに対して課金が行われてしまうので、クライアント側ユーザの通信コストがかさんでしまうという問題があった。
あるいは、電話網やインターネットの一時的な輻輳などによりパケットの伝達遅延が生じてしまった場合には、キープアライブパケットに対する応答が規定時間内に戻らないので、セッションは生きているにもかかわらずセッション情報が削除されてしまい、安定した通信を行うことができないという問題もあった。このように、従来のセッション管理方法においては、安定的な通信を確保しながら低コストでセッション情報の資源枯渇を防止することは困難であった。
本発明は、上述した課題を解決するためになされたものであり、安定的な通信を確保しながら低コストでセッション情報の資源枯渇を防止することができるセッション情報管理方法およびセッション情報管理装置を提供することを目的としている。
上述した課題を解決するために、請求項1に記載の発明は、
クライアントとサーバとを接続する仮想私設網におけるセッション情報管理方法であって、
クライアントの認証情報およびアドレス情報を含んだセッション設定要求をうけるセッション設定要求段階と、
前記セッション設定要求が所定の条件を満たす場合には、当該セッション設定要求に基づいてセッション情報を生成して記憶するセッション情報記憶段階と、
前記セッション設定要求に基づいて生成されるべきセッション情報が前記サーバ側において同時に接続可能なセッション数をこえた場合には、当該セッション設定要求に含まれたクライアントを特定する情報に対応する前記記憶したセッション情報を選択する選択段階と、
前記選択されたセッション情報として記憶された前記クライアントのアドレスに対して前記仮想私設網における接続状況の確認を行う接続状況確認段階と、
前記接続状況の確認に対して接続状況が正常である旨の応答が得られない場合には、当該状況確認に対応する前記セッション情報を削除するセッション情報削除段階と
を備えることを特徴とする。
クライアントとサーバとを接続する仮想私設網におけるセッション情報管理方法であって、
クライアントの認証情報およびアドレス情報を含んだセッション設定要求をうけるセッション設定要求段階と、
前記セッション設定要求が所定の条件を満たす場合には、当該セッション設定要求に基づいてセッション情報を生成して記憶するセッション情報記憶段階と、
前記セッション設定要求に基づいて生成されるべきセッション情報が前記サーバ側において同時に接続可能なセッション数をこえた場合には、当該セッション設定要求に含まれたクライアントを特定する情報に対応する前記記憶したセッション情報を選択する選択段階と、
前記選択されたセッション情報として記憶された前記クライアントのアドレスに対して前記仮想私設網における接続状況の確認を行う接続状況確認段階と、
前記接続状況の確認に対して接続状況が正常である旨の応答が得られない場合には、当該状況確認に対応する前記セッション情報を削除するセッション情報削除段階と
を備えることを特徴とする。
請求項2に記載の発明は、クライアントとサーバとを接続する仮想私設網におけるセッション情報管理方法であって、
クライアントの認証情報およびアドレス情報を含んだセッション設定要求をうけるセッション設定要求段階と、
前記セッション設定要求が所定の条件を満たす場合には、当該セッション設定要求に基づいてセッション情報を生成して記憶するセッション情報記憶段階と、
前記セッション設定要求に基づいて生成されるべきセッション情報が前記サーバ側において同時に接続可能なセッション数をこえた場合には、当該セッション設定要求に含まれたクライアントを特定する情報に対応する前記記憶したセッション情報を選択する選択段階と、
前記選択されたセッション情報として記憶された前記クライアントのアドレスに対して前記仮想私設網における接続状況の確認を行う接続状況確認段階と、
クライアントから前記接続状況の確認に対して接続状況が正常である旨の応答が得られた場合には、前記セッション設定要求を拒絶する拒絶段階と
を備えることを特徴とする。
クライアントの認証情報およびアドレス情報を含んだセッション設定要求をうけるセッション設定要求段階と、
前記セッション設定要求が所定の条件を満たす場合には、当該セッション設定要求に基づいてセッション情報を生成して記憶するセッション情報記憶段階と、
前記セッション設定要求に基づいて生成されるべきセッション情報が前記サーバ側において同時に接続可能なセッション数をこえた場合には、当該セッション設定要求に含まれたクライアントを特定する情報に対応する前記記憶したセッション情報を選択する選択段階と、
前記選択されたセッション情報として記憶された前記クライアントのアドレスに対して前記仮想私設網における接続状況の確認を行う接続状況確認段階と、
クライアントから前記接続状況の確認に対して接続状況が正常である旨の応答が得られた場合には、前記セッション設定要求を拒絶する拒絶段階と
を備えることを特徴とする。
請求項3に記載の発明は、請求項2に記載のセッション情報管理方法において、
前記セッション設定要求を拒絶する場合には、当該セッション設定要求に含まれる前記認証情報およびアドレス情報をアクセス拒否情報として記憶する拒否情報記憶段階
を備えることを特徴とする。
前記セッション設定要求を拒絶する場合には、当該セッション設定要求に含まれる前記認証情報およびアドレス情報をアクセス拒否情報として記憶する拒否情報記憶段階
を備えることを特徴とする。
請求項4に記載の発明は、請求項3に記載のセッション情報管理方法において、
前記セッション設定要求が前記アクセス拒否情報として記憶された認証情報およびアドレス情報と一致する場合には前記セッション設定要求を拒絶する第2の拒絶段階
を備えることを特徴とする。
前記セッション設定要求が前記アクセス拒否情報として記憶された認証情報およびアドレス情報と一致する場合には前記セッション設定要求を拒絶する第2の拒絶段階
を備えることを特徴とする。
請求項5に記載の発明は、クライアントとサーバとを接続する仮想私設網におけるセッション情報管理を行うセッション情報管理装置であって、
クライアントの認証情報およびアドレス情報を含んだセッション設定要求が所定の条件を満たす場合には、当該セッション設定要求に基づいてセッション情報を生成して記憶するセッション情報記憶手段と、
前記セッション設定要求に基づいて生成されるべきセッション情報が前記サーバ側において同時に接続可能なセッション数をこえた場合には、当該セッション設定要求に含まれたクライアントを特定する情報に対応する前記記憶したセッション情報を選択する選択手段と、
前記選択されたセッション情報として記憶された前記クライアントのアドレスに対して前記仮想私設網における接続状況の確認を行う接続状況確認手段と、
前記接続状況の確認に対して接続状況が正常である旨の応答が得られない場合には、当該状況確認に対応する前記セッション情報を削除するセッション情報削除手段と
を備えることを特徴とする。
クライアントの認証情報およびアドレス情報を含んだセッション設定要求が所定の条件を満たす場合には、当該セッション設定要求に基づいてセッション情報を生成して記憶するセッション情報記憶手段と、
前記セッション設定要求に基づいて生成されるべきセッション情報が前記サーバ側において同時に接続可能なセッション数をこえた場合には、当該セッション設定要求に含まれたクライアントを特定する情報に対応する前記記憶したセッション情報を選択する選択手段と、
前記選択されたセッション情報として記憶された前記クライアントのアドレスに対して前記仮想私設網における接続状況の確認を行う接続状況確認手段と、
前記接続状況の確認に対して接続状況が正常である旨の応答が得られない場合には、当該状況確認に対応する前記セッション情報を削除するセッション情報削除手段と
を備えることを特徴とする。
請求項6に記載の発明は、クライアントとサーバとを接続する仮想私設網におけるセッション情報管理を行うセッション情報管理装置であって、
クライアントの認証情報およびアドレス情報を含んだセッション設定要求が所定の条件を満たす場合には、当該セッション設定要求に基づいてセッション情報を生成して記憶するセッション情報記憶手段と、
前記セッション設定要求に基づいて生成されるべきセッション情報が前記サーバ側において同時に接続可能なセッション数をこえた場合には、当該セッション設定要求に含まれたクライアントを特定する情報に対応する前記記憶したセッション情報を選択する選択手段と、
前記選択されたセッション情報として記憶された前記クライアントのアドレスに対して前記仮想私設網における接続状況の確認を行う接続状況確認手段と、
クライアントから前記接続状況の確認に対して接続状況が正常である旨の応答が得られた場合には、前記セッション設定要求を拒絶する拒絶手段と
を備えることを特徴とする。
クライアントの認証情報およびアドレス情報を含んだセッション設定要求が所定の条件を満たす場合には、当該セッション設定要求に基づいてセッション情報を生成して記憶するセッション情報記憶手段と、
前記セッション設定要求に基づいて生成されるべきセッション情報が前記サーバ側において同時に接続可能なセッション数をこえた場合には、当該セッション設定要求に含まれたクライアントを特定する情報に対応する前記記憶したセッション情報を選択する選択手段と、
前記選択されたセッション情報として記憶された前記クライアントのアドレスに対して前記仮想私設網における接続状況の確認を行う接続状況確認手段と、
クライアントから前記接続状況の確認に対して接続状況が正常である旨の応答が得られた場合には、前記セッション設定要求を拒絶する拒絶手段と
を備えることを特徴とする。
本発明によれば、クライアントとサーバとを接続する仮想私設網において、安定的な通信を確保しながら低コストでセッション情報の資源枯渇を防止することが可能となる。
以下、図面を参照しながら本発明の実施の形態について説明する。
[1.実施形態の構成]
[1−1.全体構成]
図1は実施形態の全体構成を示す図である。図1に示すように、本実施形態では、企業LAN100に対して、セキュリティゲートウェイ110を終端としてインターネット200に設定された仮想私設網210および移動通信網300を介して移動端末411、412、413、420(特定を要さない場合は移動端末400と記す)が接続できるようにようになっている。
[1−1.全体構成]
図1は実施形態の全体構成を示す図である。図1に示すように、本実施形態では、企業LAN100に対して、セキュリティゲートウェイ110を終端としてインターネット200に設定された仮想私設網210および移動通信網300を介して移動端末411、412、413、420(特定を要さない場合は移動端末400と記す)が接続できるようにようになっている。
本実施形態では、移動通信網300にはPDC移動パケット通信システム(Personal Digital Cellular - Packet:PDC−P)を用いており、移動通信網300は、基地局(Base Station:BS)310、パケット用基地局変復調装置(Packet Modulation/Demodulation Equipment:P−MDE)320、加入者交換機(Mobile Local Switch:MLS)330、パケット加入者系処理装置(Packet Processing Module:PPM)340、移動通信サービス制御装置(Mobile Service Control - Point:M−SCP)350、パケットゲートウェイ(PacketGateWay:PGW)360を備えている。
基地局310は、パケット通信機能を有するパケット用基地局変復調装置320に接続されており、移動端末400への高速なパケットエアインターフェイスを提供する。
パケット加入者系処理装置340は、基地局310を介して移動端末400と対向し、パケットを送受信するものであり、無線区間のパケットの組立・分解、認証、秘匿、課金などを行う。本実施形態では、企業LAN100から移動端末400への下りパケットに対する課金ポイントとして機能し、移動端末400から下りパケットに対する応答を示すACK(Acknowledge)を受信した時点で課金を行う。
移動通信サービス制御装置350は、移動端末400の存在するエリアや加入者のサービス情報を記憶する網内データベースを備え、パケットゲートウェイ360は、インターネット200など他網から移動端末400へのパケット着信時に移動通信サービス制御装置350が有する位置情報へアクセスして、移動端末400の存在するエリアを管理しているパケット加入者系処理装置340へルーチングする。
基地局310は、パケット通信機能を有するパケット用基地局変復調装置320に接続されており、移動端末400への高速なパケットエアインターフェイスを提供する。
パケット加入者系処理装置340は、基地局310を介して移動端末400と対向し、パケットを送受信するものであり、無線区間のパケットの組立・分解、認証、秘匿、課金などを行う。本実施形態では、企業LAN100から移動端末400への下りパケットに対する課金ポイントとして機能し、移動端末400から下りパケットに対する応答を示すACK(Acknowledge)を受信した時点で課金を行う。
移動通信サービス制御装置350は、移動端末400の存在するエリアや加入者のサービス情報を記憶する網内データベースを備え、パケットゲートウェイ360は、インターネット200など他網から移動端末400へのパケット着信時に移動通信サービス制御装置350が有する位置情報へアクセスして、移動端末400の存在するエリアを管理しているパケット加入者系処理装置340へルーチングする。
パケットゲートウェイ360は、インターネット接続点としての機能とともに、移動端末400から企業LAN100への上りパケットへの課金ポイントとしての機能を有している。パケットゲートウェイ360は、IPアドレスプール361を備えており、移動端末400から接続要求があった時点で利用可能なIPアドレスの中から任意の一つを選択的に割り当てる。
移動端末400は、仮想私設網210を介して企業LAN100へ接続する場合にはインターネット接続点であるパケットゲートウェイ360へ接続を行い、接続を行う度にIPアドレスの割り当てを受けることによって、企業LAN100へパケットを送信することができるようになる。パケットゲートウェイ360は、インターフェイス200にパケットが送信された時点で課金を行う。
移動端末400は、仮想私設網210を介して企業LAN100へ接続する場合にはインターネット接続点であるパケットゲートウェイ360へ接続を行い、接続を行う度にIPアドレスの割り当てを受けることによって、企業LAN100へパケットを送信することができるようになる。パケットゲートウェイ360は、インターフェイス200にパケットが送信された時点で課金を行う。
本実施形態においては、移動端末411、412、413(特定を要さない場合は移動端末410と記す)は、企業LAN100に対する正当な権限を有するユーザが使用する通信端末装置であり、移動端末420は、企業LAN100に対して正当なアクセス権限を有さない者(いわゆるハッカー)が使用する通信端末装置である。
正当権限を有する移動端末410それぞれのユーザには企業LAN100における固有のユーザIDが割り当てられている。本実施形態では、移動端末411のユーザには“Client1”というユーザIDが割り当てられ、移動端末412のユーザには“Client2”というユーザIDが割り当てられ、移動端末413のユーザには“Client3”というユーザIDが割り当てられており、これらのユーザIDは、後に詳しく説明するように、企業LAN100内において各移動端末410のユーザを識別する情報として管理されている。
なお、移動端末420のユーザであるハッカーにはユーザIDは割り当てられておらず、正当権限者からユーザIDおよびパスワードなどの認証情報を不正に入手して企業LAN100に対して接続を試みる。
本実施形態では、ユーザID、パスワード、IPアドレスなどの情報を用いて、企業LAN100と移動端末400とのセッションが設定されると、後に詳しく説明するようにセキュリティゲートウェイ110および移動端末400はセッション情報をそれぞれ保存して、仮想私設網210上における通信を安定的に行うとともに第三者の不正なアクセスを防止するようになっている。
正当権限を有する移動端末410それぞれのユーザには企業LAN100における固有のユーザIDが割り当てられている。本実施形態では、移動端末411のユーザには“Client1”というユーザIDが割り当てられ、移動端末412のユーザには“Client2”というユーザIDが割り当てられ、移動端末413のユーザには“Client3”というユーザIDが割り当てられており、これらのユーザIDは、後に詳しく説明するように、企業LAN100内において各移動端末410のユーザを識別する情報として管理されている。
なお、移動端末420のユーザであるハッカーにはユーザIDは割り当てられておらず、正当権限者からユーザIDおよびパスワードなどの認証情報を不正に入手して企業LAN100に対して接続を試みる。
本実施形態では、ユーザID、パスワード、IPアドレスなどの情報を用いて、企業LAN100と移動端末400とのセッションが設定されると、後に詳しく説明するようにセキュリティゲートウェイ110および移動端末400はセッション情報をそれぞれ保存して、仮想私設網210上における通信を安定的に行うとともに第三者の不正なアクセスを防止するようになっている。
[1−2.セキュリティゲートウェイの構成]
次に、セキュリティゲートウェイ110についてより詳細に説明する。図2は、セキュリティゲートウェイ110の機能構成を示すブロック図である。
セキュリティゲートウェイ110は、インターネット200とインターフェイスであるインターネット接続部111、認証を制御する認証制御部112、ユーザIDやパスワードなどのユーザ認証情報を記憶するユーザ情報記憶部113、不正なアクセスを拒否するための情報を記憶するアクセス拒否情報記憶部114、セッションに関する各種制御を行うセッション制御部115、セッション情報を記憶するセッション情報記憶部116、および、企業LAN100内のインターフェイスであるLAN接続部117を備えている。
次に、セキュリティゲートウェイ110についてより詳細に説明する。図2は、セキュリティゲートウェイ110の機能構成を示すブロック図である。
セキュリティゲートウェイ110は、インターネット200とインターフェイスであるインターネット接続部111、認証を制御する認証制御部112、ユーザIDやパスワードなどのユーザ認証情報を記憶するユーザ情報記憶部113、不正なアクセスを拒否するための情報を記憶するアクセス拒否情報記憶部114、セッションに関する各種制御を行うセッション制御部115、セッション情報を記憶するセッション情報記憶部116、および、企業LAN100内のインターフェイスであるLAN接続部117を備えている。
ここで、図3を参照しながら、セッション情報116、ユーザ情報記憶部113、およびアクセス拒否情報記憶部114に記憶される情報について説明しておく。
セッション情報記憶部116には、それぞれ異なるセッション番号毎にクライアントのIPアドレスおよびユーザIDを対応付けたセッション情報が記憶されている。セッション番号が付される規則については、後に説明する。
ユーザ情報記憶部113には、企業LAN100へのアクセス権限を有する各ユーザに割り当てられたユーザID毎に各ユーザが設定したパスワードを対応付けたユーザ情報が記憶されている。
また、アクセス拒否情報記憶部114には、不正なアクセスと判定されたユーザID毎に、不正なアクセスを行った際に用いられたIPアドレスが対応付けられたアクセス拒否情報が記憶されている。アクセス拒否情報が示すユーザIDは、ハッカーが正当なユーザから不正に入手したユーザIDであって、ユーザID自体はユーザ情報記憶部113に記憶された正当な情報である。本実施形態ではユーザIDやパスワードを不正に入手した場合であっても、IPアドレスを用いて正当なセッション設定要求であるか否かを判定できるようになっている。
セッション情報記憶部116には、それぞれ異なるセッション番号毎にクライアントのIPアドレスおよびユーザIDを対応付けたセッション情報が記憶されている。セッション番号が付される規則については、後に説明する。
ユーザ情報記憶部113には、企業LAN100へのアクセス権限を有する各ユーザに割り当てられたユーザID毎に各ユーザが設定したパスワードを対応付けたユーザ情報が記憶されている。
また、アクセス拒否情報記憶部114には、不正なアクセスと判定されたユーザID毎に、不正なアクセスを行った際に用いられたIPアドレスが対応付けられたアクセス拒否情報が記憶されている。アクセス拒否情報が示すユーザIDは、ハッカーが正当なユーザから不正に入手したユーザIDであって、ユーザID自体はユーザ情報記憶部113に記憶された正当な情報である。本実施形態ではユーザIDやパスワードを不正に入手した場合であっても、IPアドレスを用いて正当なセッション設定要求であるか否かを判定できるようになっている。
[2.実施形態の動作]
次に、本実施形態の動作として、図4〜図6に示すフローチャートを参照しながらセキュリティゲートウェイの動作を説明した後に、図7〜図9に示すシーケンスを参照しなが全体の具体的動作を説明する。
次に、本実施形態の動作として、図4〜図6に示すフローチャートを参照しながらセキュリティゲートウェイの動作を説明した後に、図7〜図9に示すシーケンスを参照しなが全体の具体的動作を説明する。
[2−1.セキュリティゲートウェイの動作]
[2−1−1.セッション設定要求時の動作]
図4は、セキュリティゲートウェイ110のセッション設定要求時における動作を示すフローチャートである。
セキュリティゲートウェイ110は、セッション設定要求を受けると(S1)、まず当該セッション要求についての認証を行う(S2)。ここでは、認証制御部112は、先に説明したユーザ情報記憶部113およびアクセス拒否情報記憶部114に記憶された情報(図3参照)に基づいては正当なユーザからの要求か否かを判定する。
ステップS2の認証において、正当なユーザからのセッション設定要求ではないと判定した場合は(S2;NG)、ステップS1において受けたセッション設定要求を拒絶する(S3)。
[2−1−1.セッション設定要求時の動作]
図4は、セキュリティゲートウェイ110のセッション設定要求時における動作を示すフローチャートである。
セキュリティゲートウェイ110は、セッション設定要求を受けると(S1)、まず当該セッション要求についての認証を行う(S2)。ここでは、認証制御部112は、先に説明したユーザ情報記憶部113およびアクセス拒否情報記憶部114に記憶された情報(図3参照)に基づいては正当なユーザからの要求か否かを判定する。
ステップS2の認証において、正当なユーザからのセッション設定要求ではないと判定した場合は(S2;NG)、ステップS1において受けたセッション設定要求を拒絶する(S3)。
一方、ステップS2の認証において、正当なユーザからのセッション設定要求であると判定した場合は(S2;OK)、次に、同時接続セッション数のチェックを行う(S4)。同時接続セッション数のチェックとは、同一のユーザIDを有するクライアントが同時にセッション設定を行うことを制限するための処理である。具体的には、セッション要求を行ったクライアントが示すユーザIDと同一のユーザIDに対応したセッション情報が当該チェック時においてセッション情報記憶部116に記憶されている場合には、同時接続セッション数をこえていると判定する。
ステップS4において、同時接続セッション数をこえていないと判定した場合は(S4;OK)、当該セッション設定要求に対するセッション設定処理を行う(S5)。セッション設定処理は、サーバ側セキュリティゲートウェイ110のセッション資源の枯渇を解消するための処理であり、より詳しくは、図5および図7を参照しながら後に説明する。
一方、ステップS4において、同時接続セッション数をこえていると判定した場合は(S4;NG)、不正接続防止処理を行う(S6)。不正接続防止処理は、すでにセッション情報が記憶されているユーザIDと同一のユーザIDを示すセッション設定要求が、正当なユーザからのものであるか否かを判定する処理であり、より詳しくは、図6〜図9を参照しながら後に説明する。
ステップS4において、同時接続セッション数をこえていないと判定した場合は(S4;OK)、当該セッション設定要求に対するセッション設定処理を行う(S5)。セッション設定処理は、サーバ側セキュリティゲートウェイ110のセッション資源の枯渇を解消するための処理であり、より詳しくは、図5および図7を参照しながら後に説明する。
一方、ステップS4において、同時接続セッション数をこえていると判定した場合は(S4;NG)、不正接続防止処理を行う(S6)。不正接続防止処理は、すでにセッション情報が記憶されているユーザIDと同一のユーザIDを示すセッション設定要求が、正当なユーザからのものであるか否かを判定する処理であり、より詳しくは、図6〜図9を参照しながら後に説明する。
[2−1−2.セッション設定処理]
次に、図5に示すフローチャートを参照しながら、セッション設定処理(図4:S5)について説明する。
セッション設定処理では、セキュリティゲートウェイ110はまず総セッション数制限チェックを行う(S51)。セッション情報記憶部116に記憶することが可能な総セッション数には予め制限が設けられており、この制限をこえてセッション設定要求があった場合にはサーバ側のセッション資源が枯渇する。そこで、セッション制御部115は、セッション設定要求時においてセッション情報記憶部116に記憶されているセッション数が当該制限の範囲内であるか否かを判定する。
次に、図5に示すフローチャートを参照しながら、セッション設定処理(図4:S5)について説明する。
セッション設定処理では、セキュリティゲートウェイ110はまず総セッション数制限チェックを行う(S51)。セッション情報記憶部116に記憶することが可能な総セッション数には予め制限が設けられており、この制限をこえてセッション設定要求があった場合にはサーバ側のセッション資源が枯渇する。そこで、セッション制御部115は、セッション設定要求時においてセッション情報記憶部116に記憶されているセッション数が当該制限の範囲内であるか否かを判定する。
ステップS51のチェックにおいて、セッション数が当該制限の範囲内であると判定した場合は(S51;OK)、セッション制御部115は、セッション設定要求に対するセッション設定を行う(S52)。
一方、ステップS51のチェックにおいて、セッション数が当該制限の範囲内ではないと判定した場合は(S51;NG)、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報の中から、削除すべき候補セッションを選択する(S53)。記憶されているセッション情報の中には、上述したような「死んでいるセッション」が含まれいる可能性があり、このような「死んでいるセッション」を削除することによってセッション資源の枯渇を解消することができる。
一方、ステップS51のチェックにおいて、セッション数が当該制限の範囲内ではないと判定した場合は(S51;NG)、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報の中から、削除すべき候補セッションを選択する(S53)。記憶されているセッション情報の中には、上述したような「死んでいるセッション」が含まれいる可能性があり、このような「死んでいるセッション」を削除することによってセッション資源の枯渇を解消することができる。
本実施形態では、次に説明する2種類のアルゴリズムのいずれかを用いて、削除してよい可能性の高いセッションを選択する。
(1)FIFO(First In First Out)
最も古く作成されたセッションを削除するアルゴリズムである。このアルゴリズムを用いて削除セッションの候補を選択する場合には、例えば、セッション制御部115は、セッションを作成した順番にセッション番号が付されるようにセッション情報を生成し、セッション情報記憶部116に記憶されているセッション情報の中から最も小さなセッション番号を有するものを、削除セッション候補として選択する。このような場合は、新規にセッション情報を生成する際に、その時点で最も大きなセッション番号が付されるようにすればよい。
(2)LRU(Last Recently Used)
最も古く使用されたセッションを削除するアルゴリズムである。このアルゴリズムを用いて削除セッションの候補を選択する場合には、例えば、セッション制御部115は、セッションを使用した順番にセッション番号が付されるようにセッション情報を生成し、セッション情報記憶部116に記憶されているセッション情報の中から最も小さなセッション番号を有するものを、削除セッション候補として選択する。この場合は、通信が行われる毎にその時点で最も大きなセッション番号が再度付されようにすればよい。
(1)FIFO(First In First Out)
最も古く作成されたセッションを削除するアルゴリズムである。このアルゴリズムを用いて削除セッションの候補を選択する場合には、例えば、セッション制御部115は、セッションを作成した順番にセッション番号が付されるようにセッション情報を生成し、セッション情報記憶部116に記憶されているセッション情報の中から最も小さなセッション番号を有するものを、削除セッション候補として選択する。このような場合は、新規にセッション情報を生成する際に、その時点で最も大きなセッション番号が付されるようにすればよい。
(2)LRU(Last Recently Used)
最も古く使用されたセッションを削除するアルゴリズムである。このアルゴリズムを用いて削除セッションの候補を選択する場合には、例えば、セッション制御部115は、セッションを使用した順番にセッション番号が付されるようにセッション情報を生成し、セッション情報記憶部116に記憶されているセッション情報の中から最も小さなセッション番号を有するものを、削除セッション候補として選択する。この場合は、通信が行われる毎にその時点で最も大きなセッション番号が再度付されようにすればよい。
ステップS53において削除候補セッションの選択を行うと、セッション制御部115は、選択された削除候補セッションに対応するクライアントに対して状況確認メッセージを送信し(S54)、当該クライアントから正常な応答があったか否かを判定する(S55)。ここでは、所定期間内にクライアントから応答がない場合や、予め規定された応答とは異なる応答あるいは何らかの異常を示す応答(異常応答)があった場合に、クライアントからの応答がないと判定される。
ステップS55の判定において、クライアントからの応答があったと判定した場合は(S55;あり)、ステップS53において選択されたセッションを削除候補の最後に置き換え(S56)、ステップS53に移行して再度削除候補セッション選択を行う。例えば、最も小さなセッション番号の付されたセッション情報を削除候補として選択している場合であれば、当該セッション情報中のセッション番号をその時点で最も大きなセッション番号に更新することによって、削除候補の最後に置き換える。
一方、ステップS55の判定において、クライアントからの応答がなかったと判定した場合は(S55;なし)、ステップS53において選択した当該セッションを削除して、セッション要求に対するセッションを設定する(S57)。
ステップS55の判定において、クライアントからの応答があったと判定した場合は(S55;あり)、ステップS53において選択されたセッションを削除候補の最後に置き換え(S56)、ステップS53に移行して再度削除候補セッション選択を行う。例えば、最も小さなセッション番号の付されたセッション情報を削除候補として選択している場合であれば、当該セッション情報中のセッション番号をその時点で最も大きなセッション番号に更新することによって、削除候補の最後に置き換える。
一方、ステップS55の判定において、クライアントからの応答がなかったと判定した場合は(S55;なし)、ステップS53において選択した当該セッションを削除して、セッション要求に対するセッションを設定する(S57)。
[2−1−3.不正接続防止処理]
次に、図6に示すフローチャートを参照しながら、不正接続防止処理(図4:S6)について説明する。
不正接続防止処理では、セキュリティゲートウェイ110は旧セッションのIPアドレスに対して状況確認メッセージを送信し(S61)、当該状況確認メッセージに対する応答が有るか否かを判定する(S62)。セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報から、セッション設定要求を行っているクライアントのユーザIDと同一のユーザIDに対応して記憶されているIPアドレスを旧セッションのIPアドレスとして抽出し、当該IPアドレスを宛先とした状況確認メッセージパケットを送信する。なお、状況確認メッセージには、同一のユーザIDを示すセッション設定要求があった旨を警告するメッセージが含まれている。
次に、図6に示すフローチャートを参照しながら、不正接続防止処理(図4:S6)について説明する。
不正接続防止処理では、セキュリティゲートウェイ110は旧セッションのIPアドレスに対して状況確認メッセージを送信し(S61)、当該状況確認メッセージに対する応答が有るか否かを判定する(S62)。セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報から、セッション設定要求を行っているクライアントのユーザIDと同一のユーザIDに対応して記憶されているIPアドレスを旧セッションのIPアドレスとして抽出し、当該IPアドレスを宛先とした状況確認メッセージパケットを送信する。なお、状況確認メッセージには、同一のユーザIDを示すセッション設定要求があった旨を警告するメッセージが含まれている。
ステップS62の判定において、状況確認メッセージに対する応答がなかった場合は(S62;なし)、セッション制御部115は、状況確認を行ったIPアドレスが割り当てられた移動端末400とパケットゲートウェイ360(インターネット接続点)との接続が切断され、当該IPアドレスに対応した旧セッションが死んでしまったと判定し、旧セッションを削除してセッション設定要求に対して新セッションを設定する(S63)。
より具体的には、状況確認を行ったIPアドレスに対応したセッションが死んでいる場合に、同一ユーザIDを示す新たなセッション要求がある場合とは、何らかの理由で移動端末400とパケットゲートウェイ360との接続が切断された後に、再度接続し直したために移動端末400に対して新たなIPアドレスが割り当てられた可能性が高い。そこで、セッション制御部115は、このような場合にはセッション接続要求は正当なユーザからのものであると判定する。また、同時セッション数制限を解消するために旧セッションをセッション情報記憶部から削除する。
これに対して、ステップS62の判定において、状況確認メッセージに対する応答があった場合は(S62;あり)、状況確認を行ったIPアドレスに対応したセッションは生きている、すなわち、当該IPアドレスの割り当てられた移動端末400と企業LAN100は接続された状態にあるにもかかわらず、第三者が不正に接続しようとしていると判定し、セッション設定を拒絶する(S64)。
より具体的には、状況確認を行ったIPアドレスに対応したセッションが死んでいる場合に、同一ユーザIDを示す新たなセッション要求がある場合とは、何らかの理由で移動端末400とパケットゲートウェイ360との接続が切断された後に、再度接続し直したために移動端末400に対して新たなIPアドレスが割り当てられた可能性が高い。そこで、セッション制御部115は、このような場合にはセッション接続要求は正当なユーザからのものであると判定する。また、同時セッション数制限を解消するために旧セッションをセッション情報記憶部から削除する。
これに対して、ステップS62の判定において、状況確認メッセージに対する応答があった場合は(S62;あり)、状況確認を行ったIPアドレスに対応したセッションは生きている、すなわち、当該IPアドレスの割り当てられた移動端末400と企業LAN100は接続された状態にあるにもかかわらず、第三者が不正に接続しようとしていると判定し、セッション設定を拒絶する(S64)。
[2−2.実施形態の具体的動作]
[2−2−1.総セッション数制限をこえた場合]
まず、図7を参照しながら、総セッション数制限が2であるセキュリティゲートウェイ110に対して、3以上の移動端末400がそれぞれセッション設定要求を行うことによって、総セッション数制限の範囲をこえた場合の動作について説明する。
図7においては、図1に示す移動端末411がユーザID“Client1”として、移動端末412がユーザID“Cl ient2”として、移動端末413がユーザID“Client3”として、それぞれセッション設定要求を行う。なお、図7においては、各移動端末400似対して割り当てられたIPアドレスに関する情報は省略している。
[2−2−1.総セッション数制限をこえた場合]
まず、図7を参照しながら、総セッション数制限が2であるセキュリティゲートウェイ110に対して、3以上の移動端末400がそれぞれセッション設定要求を行うことによって、総セッション数制限の範囲をこえた場合の動作について説明する。
図7においては、図1に示す移動端末411がユーザID“Client1”として、移動端末412がユーザID“Cl ient2”として、移動端末413がユーザID“Client3”として、それぞれセッション設定要求を行う。なお、図7においては、各移動端末400似対して割り当てられたIPアドレスに関する情報は省略している。
移動端末411がユーザID“Client1”としてセキュリティゲートウェイ110へのセッション設定要求を行う(S101)。このとき、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報を参照して総セッション数制限の範囲内であると判定し、新たにセッション情報を生成する。この新たなセッション情報には、この時点で最も大きなセッション番号#1が付される。
新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末411に対してセッション設定の応答を行い(S102)、移動端末411と企業LAN100との仮想私設網210を介した通信を行うことができるようになる。
新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末411に対してセッション設定の応答を行い(S102)、移動端末411と企業LAN100との仮想私設網210を介した通信を行うことができるようになる。
次に、移動端末412がユーザID“Client2”としてセキュリティゲートウェイ110へのセッション設定要求を行う(S103)。このとき、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報を参照して総セッション数制限の範囲内であると判定し、新たにセッション情報を生成する。この新たなセッション情報には、この時点で最も大きなセッション番号#2が付される。
新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末412に対してセッション設定の応答を行い(S104)、移動端末412と企業LAN100との仮想私設網210を介した通信を行うことができるようになる。
新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末412に対してセッション設定の応答を行い(S104)、移動端末412と企業LAN100との仮想私設網210を介した通信を行うことができるようになる。
セキュリティゲートウェイ110における総セッション数制限は2であるから、この時点でセッション資源が枯渇しており、その後に移動端末413がユーザID“Client3”としてセキュリティゲートウェイ110へのセッション設定要求を行うと(S105)、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報を参照して総セッション数制限の範囲をこえたと判定する。
そこで、セッション制御部115は、この時点で最も小さなセッション番号#1の付されたセッション情報を「死んでいる」可能性の高い削除候補セッションとして選択し、セッション番号#1に対応して記憶されているユーザID“Client1”を示す移動端末411に対して状況確認メッセージを送信する(S106)。
移動端末411が状況確認メッセージに対して正常な応答を行うと(S107)、セッション制御部115は、選択されたセッション情報のセッション番号#1をこの時点で最も大きなセッション番号#3に更新する。セッション番号#1がセッション番号#3に更新されることによって、“Client1”に対応するセッション情報は削除候補の最後に置き換えられ、この時点で最も小さなセッション番号は#2となる。
そこで、セッション制御部115は、この時点で最も小さなセッション番号#1の付されたセッション情報を「死んでいる」可能性の高い削除候補セッションとして選択し、セッション番号#1に対応して記憶されているユーザID“Client1”を示す移動端末411に対して状況確認メッセージを送信する(S106)。
移動端末411が状況確認メッセージに対して正常な応答を行うと(S107)、セッション制御部115は、選択されたセッション情報のセッション番号#1をこの時点で最も大きなセッション番号#3に更新する。セッション番号#1がセッション番号#3に更新されることによって、“Client1”に対応するセッション情報は削除候補の最後に置き換えられ、この時点で最も小さなセッション番号は#2となる。
ところで、移動端末412は、セッション設定後に圏外へ移動しており(S108)、パケットゲートウェイ360との接続が切断されている。従って、セッション番号#2の付されたセッションは「死んだ」状態になっている。
しかしながら、セキュリティゲートウェイ110においては、移動端末412とパケットゲートウェイ360との接続が切断されていることは検出していないので、セッション制御部115はセッション番号#2の付されたセッション情報を削除候補として選択し、セッション番号#2に対応して記憶されているユーザID“Cl ient2”を示す移動端末412に対して状況確認メッセージを送信する(S109)。
移動端末412とパケットゲートウェイ360との接続が切断されているので、この状況確認メッセージは移動端末412に到達せず、セキュリティゲートウェイ110に対しては何ら応答がなされない、あるいは異常な応答がなされることになる(S110)。セッション制御部115はセッション番号#2の付されたセッションは「死んでいる」と判定してセッション情報を削除し、移動端末413がユーザID“Client3”として行ったセッション設定要求に対するセッション情報を生成する。この新たなセッション情報には、この時点で最も大きなセッション番号#4が付される。
新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末413に対してセッション設定の応答を行い(S111)、移動端末413と企業LAN100との仮想私設網210を介した通信を行うことができるようになる。
しかしながら、セキュリティゲートウェイ110においては、移動端末412とパケットゲートウェイ360との接続が切断されていることは検出していないので、セッション制御部115はセッション番号#2の付されたセッション情報を削除候補として選択し、セッション番号#2に対応して記憶されているユーザID“Cl ient2”を示す移動端末412に対して状況確認メッセージを送信する(S109)。
移動端末412とパケットゲートウェイ360との接続が切断されているので、この状況確認メッセージは移動端末412に到達せず、セキュリティゲートウェイ110に対しては何ら応答がなされない、あるいは異常な応答がなされることになる(S110)。セッション制御部115はセッション番号#2の付されたセッションは「死んでいる」と判定してセッション情報を削除し、移動端末413がユーザID“Client3”として行ったセッション設定要求に対するセッション情報を生成する。この新たなセッション情報には、この時点で最も大きなセッション番号#4が付される。
新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末413に対してセッション設定の応答を行い(S111)、移動端末413と企業LAN100との仮想私設網210を介した通信を行うことができるようになる。
このように、セキュリティゲートウェイ110は、総セッション数制限の範囲をこえた時点で「死んでいる」可能性の高い削除候補セッションを選択し、順次セッションが生きているか否かの状況確認を行い、「死んでいる」セッションを削除していくので、削除ミスの可能性を極めて小さくすることができる。
また、キープアライブパケットを使用しなくても「死んでいる」セッションを削除できるので、キープアライブパケットに対する課金がなくなり、移動端末400の通信コストを削減することができる。
また、キープアライブパケットを使用しなくても「死んでいる」セッションを削除できるので、キープアライブパケットに対する課金がなくなり、移動端末400の通信コストを削減することができる。
[2−2−2.同一ユーザが再度セッション設定要求した場合]
次に、図8を参照しながら、移動端末411がセッション設定後にいったんパケットゲートウェイ360との接続を切断し、再接続後にセッション設定要求を行うことによって、同一ユーザが再度セッション設定要求した場合の動作について説明する。
図8に示す例においては、移動端末411が最初にパケットゲートウェイ360に接続したときに割り当てられるIPアドレスは“123.456.78.9”であり、切断後に再接続したときに割り当てられるIPアドレスは“223.456.78.9”である。
次に、図8を参照しながら、移動端末411がセッション設定後にいったんパケットゲートウェイ360との接続を切断し、再接続後にセッション設定要求を行うことによって、同一ユーザが再度セッション設定要求した場合の動作について説明する。
図8に示す例においては、移動端末411が最初にパケットゲートウェイ360に接続したときに割り当てられるIPアドレスは“123.456.78.9”であり、切断後に再接続したときに割り当てられるIPアドレスは“223.456.78.9”である。
移動端末411のユーザインターフェイスからユーザIDおよびパスワードが入力されると(S201)、移動端末411は、ユーザID“Client1”としてセキュリティゲートウェイ110へのセッション設定要求を行う(S202)。このとき、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報を参照して同時接続セッション数の範囲内であると判定し、新たにセッション情報を生成する。この新たなセッション情報には、この時点で最も大きなセッション番号#1が付される。
新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末411に対してセッション設定の応答を行い(S203)、移動端末411と企業LAN100との仮想私設網210を介した通信を行うことができるようになる。
新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末411に対してセッション設定の応答を行い(S203)、移動端末411と企業LAN100との仮想私設網210を介した通信を行うことができるようになる。
その後移動端末411とパケットゲートウェイ360との接続が切断されると、セッション番号#1の付されたセッションは「死んだ」状態となるがセキュリティゲートウェイ110は移動端末412とパケットゲートウェイ360との接続が切断されている状態は検出しないので、セッション番号#1の付されたセッション情報はそのままセッション情報記憶部116に保存される。
そして、移動端末411がパケットゲートウェイ360に再接続し、IPアドレス“223.456.78.9”が割り当てられる(S205)。ここで、移動端末411のユーザインターフェイスからユーザIDおよびパスワードが入力されると(S206)、移動端末411は、ユーザID“Client1”としてセキュリティゲートウェイ110へのセッション設定要求を行う(S207)。このとき、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報を参照して同時接続セッション制限数をオーバーしたことを検出し、当該セッション情報に対応したIPアドレス“123.456.78.9”を宛先とした状況確認メッセージを送信する(S208)。
そして、移動端末411がパケットゲートウェイ360に再接続し、IPアドレス“223.456.78.9”が割り当てられる(S205)。ここで、移動端末411のユーザインターフェイスからユーザIDおよびパスワードが入力されると(S206)、移動端末411は、ユーザID“Client1”としてセキュリティゲートウェイ110へのセッション設定要求を行う(S207)。このとき、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報を参照して同時接続セッション制限数をオーバーしたことを検出し、当該セッション情報に対応したIPアドレス“123.456.78.9”を宛先とした状況確認メッセージを送信する(S208)。
移動端末411とパケットゲートウェイ360との接続が切断されたときに移動端末411に対するIPアドレス“123.456.78.9”の割り当ては解放されているので、IPアドレス“123.456.78.9”を宛先とした状況確認メッセージに対する応答は行われない(S209)。そこで、セッション制御部115は、状況確認を行ったセッション情報を削除し、ステップS207におけるセッション設定要求に対する新たなセッション情報(図中セッション番号#n)を生成する。新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末411に対してセッション設定の応答を行い(S210)、移動端末411と企業LAN100との仮想私設網210を介した通信は、IPアドレス“123.456.78.9”から“223.456.78.9”に引き継がれて、継続して行うことが可能となる。
このように、移動端末411がセッション設定後にいったんパケットゲートウェイ360との接続を切断し、再接続後にセッション設定要求を行うような場合には、セッション資源の枯渇を待たずに「死んでいる」セッションを早期に削除することができるので、セッション状態をより正確に管理することができるようになる。
[2−2−3.不正接続を防止する場合]
次に、図9を参照しながら、移動端末411がユーザID“Client1”としてセッション設定後、ハッカーが移動端末420からユーザID“Client1”としてセッション設定要求した場合の動作について説明する。
図9に示す例においては、移動端末411がパケットゲートウェイ360に接続したときに割り当てられるIPアドレスは“123.456.78.9”であり、移動端末420がパケットゲートウェイ360に接続したときに割り当てられるIPアドレスは“987.654.32.1”である。
次に、図9を参照しながら、移動端末411がユーザID“Client1”としてセッション設定後、ハッカーが移動端末420からユーザID“Client1”としてセッション設定要求した場合の動作について説明する。
図9に示す例においては、移動端末411がパケットゲートウェイ360に接続したときに割り当てられるIPアドレスは“123.456.78.9”であり、移動端末420がパケットゲートウェイ360に接続したときに割り当てられるIPアドレスは“987.654.32.1”である。
移動端末411のユーザインターフェイスからユーザIDおよびパスワードが入力されると(S301)、移動端末411は、ユーザID“Client1”としてセキュリティゲートウェイ110へのセッション設定要求を行う(S302)。このとき、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報を参照して同時接続セッション数の範囲内であると判定し、新たにセッション情報を生成する。この新たなセッション情報には、この時点で最も大きなセッション番号#1が付される。
新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末411に対してセッション設定の応答を行い(S303)、移動端末411と企業LAN100との仮想私設網210を介した通信を行うことができるようになる。
新たなセッション情報を生成するとセキュリティゲートウェイ110は、移動端末411に対してセッション設定の応答を行い(S303)、移動端末411と企業LAN100との仮想私設網210を介した通信を行うことができるようになる。
次に、ハッカーが不正に入手したユーザID“Client1”およびパスワードを用いて、移動端末420からユーザID“Client1 ”としてセキュリティゲートウェイ110へのセッション設定要求を行う(S304)。このとき、セッション制御部115は、セッション情報記憶部116に記憶されているセッション情報を参照して同時接続セッション制限数をオーバーしたことを検出し、当該セッション情報に対応したIPアドレス“123.456.78.9”を宛先とした状況確認メッセージを送信する(S305)。このメッセージはIPアドレス“123.456.78.9”が割り当てられたままになっている移動端末411に到達するので、移動端末411は、状況確認メッセージに対する正常な応答を行う(S306)とともに、ユーザインターフェイスに警告メッセージを表示させる(S307)。
応答を受けたセキュリティゲートウェイ110は、ステップS304でうけたセッション設定要求を拒絶して(S308)、拒絶したセッション設定要求が示すユーザID“Client1”とIPアドレス987.654.32.1”とを対応付けてアクセス拒否情報として登録する。
応答を受けたセキュリティゲートウェイ110は、ステップS304でうけたセッション設定要求を拒絶して(S308)、拒絶したセッション設定要求が示すユーザID“Client1”とIPアドレス987.654.32.1”とを対応付けてアクセス拒否情報として登録する。
その後、移動端末420から再度セッション設定要求があった場合には(S309)、セキュリティゲートウェイ110はアクセス拒否情報を参照することによって、ユーザID“Client1”を示すセッション設定要求であっても、IPアドレス987.654.32.1”であればハッカーからの要求であると判定してセッション設定を拒絶することができる(S310)。
また、移動端末411のユーザは、ユーザインターフェイスに表示される警告メッセージなどによりハッカーの存在を認識し、パスワードの変更などの対処を行う。
また、移動端末411のユーザは、ユーザインターフェイスに表示される警告メッセージなどによりハッカーの存在を認識し、パスワードの変更などの対処を行う。
このように、悪意の第三者(ハッカー)が正当なユーザの認証情報を不正に入手してセッション設定要求を行う場合には、すでに記憶されているセッション情報の中から同一の認証情報を有するIPアドレスに対して状況確認メッセージを送信することによって、ハッカーによる不正な接続を防止できるようになる。
[3.変形例]
本発明は、上述した実施形態に限定されるものではなく、以下のような各種の変形が可能である。
本発明は、上述した実施形態に限定されるものではなく、以下のような各種の変形が可能である。
上記実施形態においては、クライアント側の端末装置を移動端末400を例として説明したが、インターネット接続点と通信網を介して接続可能であればどのようなものでもよい。同様に、上記実施形態では、サーバ側のネットワークを企業LAN100を例として説明したが、インターネットとの接続が可能であればどのようなものでもよく、行政サービス用のネットワークや家庭内のインターネット対応機器で構成したネットワークなどでもかまわない。
また、通信網もPDCパケット通信網300に限らず、送受信データ量に対して課金されるものであれば他の通信網であってもよい。インターネット接続点についても、パケットゲートウェイ360に限らず他のプロバイダであってもよいのはもちろんである。
また、通信網もPDCパケット通信網300に限らず、送受信データ量に対して課金されるものであれば他の通信網であってもよい。インターネット接続点についても、パケットゲートウェイ360に限らず他のプロバイダであってもよいのはもちろんである。
上記実施形態では、セッション設定要求に含まれる認証情報として、ユーザIDおよびパスワードを例として説明したが、これに限らず、デジタル署名など他の情報であってもよい。また、アドレス情報についても、IPアドレスに限らず、クライアントの端末と特定する他の情報であってもよい。
上記実施形態では、削除候補セッション情報を選択するための所定の規則としては、FIFOあるいはLRUすなわち、選択される優先順位は生成されてからの経過時間が長いあるいは最後に使用されてからの経過時間が長いセッション情報である程高いものを例として説明しているが、これに限らず、セッションが「死んでいる」可能性が高いものを選択できれば他の規則であってもかまわない。また、生成されてからの経過時間が長いあるいは最後に使用されてからの経過時間を示す情報として、上記実施形態ではセッション番号を用いて説明しているが、これに限らず、時刻そのものをセッション情報に含ませるようにしてもよいし、他のパラメータを用いてもかまわない。
100…企業LAN、
110…セキュリティゲートウェイ、
200…インターネット、
210…仮想私設網
300…移動通信網、
310…基地局、
320…パケット用基地局変復調装置、
330…加入者交換機、
340…パケット加入者系処理装置、
350…移動通信サービス制御装置、
360…パケットゲートウェイ、
361…IPアドレスプール、
411、412、413、420…移動端末。
110…セキュリティゲートウェイ、
200…インターネット、
210…仮想私設網
300…移動通信網、
310…基地局、
320…パケット用基地局変復調装置、
330…加入者交換機、
340…パケット加入者系処理装置、
350…移動通信サービス制御装置、
360…パケットゲートウェイ、
361…IPアドレスプール、
411、412、413、420…移動端末。
Claims (6)
- クライアントとサーバとを接続する仮想私設網におけるセッション情報管理方法であって、
クライアントの認証情報およびアドレス情報を含んだセッション設定要求をうけるセッション設定要求段階と、
前記セッション設定要求が所定の条件を満たす場合には、当該セッション設定要求に基づいてセッション情報を生成して記憶するセッション情報記憶段階と、
前記セッション設定要求に基づいて生成されるべきセッション情報が前記サーバ側において同時に接続可能なセッション数をこえた場合には、当該セッション設定要求に含まれたクライアントを特定する情報に対応する前記記憶したセッション情報を選択する選択段階と、
前記選択されたセッション情報として記憶された前記クライアントのアドレスに対して前記仮想私設網における接続状況の確認を行う接続状況確認段階と、
前記接続状況の確認に対して接続状況が正常である旨の応答が得られない場合には、当該状況確認に対応する前記セッション情報を削除するセッション情報削除段階と
を備えることを特徴とするセッション情報管理方法。 - クライアントとサーバとを接続する仮想私設網におけるセッション情報管理方法であって、
クライアントの認証情報およびアドレス情報を含んだセッション設定要求をうけるセッション設定要求段階と、
前記セッション設定要求が所定の条件を満たす場合には、当該セッション設定要求に基づいてセッション情報を生成して記憶するセッション情報記憶段階と、
前記セッション設定要求に基づいて生成されるべきセッション情報が前記サーバ側において同時に接続可能なセッション数をこえた場合には、当該セッション設定要求に含まれたクライアントを特定する情報に対応する前記記憶したセッション情報を選択する選択段階と、
前記選択されたセッション情報として記憶された前記クライアントのアドレスに対して前記仮想私設網における接続状況の確認を行う接続状況確認段階と、
クライアントから前記接続状況の確認に対して接続状況が正常である旨の応答が得られた場合には、前記セッション設定要求を拒絶する拒絶段階と
を備えることを特徴とするセッション情報管理方法。 - 請求項2に記載のセッション情報管理方法において、
前記セッション設定要求を拒絶する場合には、当該セッション設定要求に含まれる前記認証情報およびアドレス情報をアクセス拒否情報として記憶する拒否情報記憶段階
を備えることを特徴とするセッション情報管理方法。 - 請求項3に記載のセッション情報管理方法において、
前記セッション設定要求が前記アクセス拒否情報として記憶された認証情報およびアドレス情報と一致する場合には前記セッション設定要求を拒絶する第2の拒絶段階
を備えることを特徴とするセッション情報管理方法。 - クライアントとサーバとを接続する仮想私設網におけるセッション情報管理を行うセッション情報管理装置であって、
クライアントの認証情報およびアドレス情報を含んだセッション設定要求が所定の条件を満たす場合には、当該セッション設定要求に基づいてセッション情報を生成して記憶するセッション情報記憶手段と、
前記セッション設定要求に基づいて生成されるべきセッション情報が前記サーバ側において同時に接続可能なセッション数をこえた場合には、当該セッション設定要求に含まれたクライアントを特定する情報に対応する前記記憶したセッション情報を選択する選択手段と、
前記選択されたセッション情報として記憶された前記クライアントのアドレスに対して前記仮想私設網における接続状況の確認を行う接続状況確認手段と、
前記接続状況の確認に対して接続状況が正常である旨の応答が得られない場合には、当該状況確認に対応する前記セッション情報を削除するセッション情報削除手段と
を備えることを特徴とするセッション情報管理装置。 - クライアントとサーバとを接続する仮想私設網におけるセッション情報管理を行うセッション情報管理装置であって、
クライアントの認証情報およびアドレス情報を含んだセッション設定要求が所定の条件を満たす場合には、当該セッション設定要求に基づいてセッション情報を生成して記憶するセッション情報記憶手段と、
前記セッション設定要求に基づいて生成されるべきセッション情報が前記サーバ側において同時に接続可能なセッション数をこえた場合には、当該セッション設定要求に含まれたクライアントを特定する情報に対応する前記記憶したセッション情報を選択する選択手段と、
前記選択されたセッション情報として記憶された前記クライアントのアドレスに対して前記仮想私設網における接続状況の確認を行う接続状況確認手段と、
クライアントから前記接続状況の確認に対して接続状況が正常である旨の応答が得られた場合には、前記セッション設定要求を拒絶する拒絶手段と
を備えることを特徴とするセッション情報管理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004325199A JP3816933B2 (ja) | 2004-11-09 | 2004-11-09 | セッション情報管理方法およびセッション情報管理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004325199A JP3816933B2 (ja) | 2004-11-09 | 2004-11-09 | セッション情報管理方法およびセッション情報管理装置 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP24201399A Division JP3668648B2 (ja) | 1999-08-27 | 1999-08-27 | セッション情報管理方法およびセッション情報管理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005110302A JP2005110302A (ja) | 2005-04-21 |
| JP3816933B2 true JP3816933B2 (ja) | 2006-08-30 |
Family
ID=34545263
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004325199A Expired - Fee Related JP3816933B2 (ja) | 2004-11-09 | 2004-11-09 | セッション情報管理方法およびセッション情報管理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3816933B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101180993B1 (ko) * | 2005-06-02 | 2012-09-07 | 삼성전자주식회사 | PoC 세션 대체를 위한 서버 및 클라이언트와 그 방법 |
-
2004
- 2004-11-09 JP JP2004325199A patent/JP3816933B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005110302A (ja) | 2005-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3987539B2 (ja) | セッション情報管理方法およびセッション情報管理装置 | |
| EP1735985B1 (en) | A method, network element and system for providing security of a user session | |
| US7127524B1 (en) | System and method for providing access to a network with selective network address translation | |
| US7565547B2 (en) | Trust inheritance in network authentication | |
| JP3588323B2 (ja) | ユーザ専用のデータリダイレクションシステム、および、ユーザ専用のデータリダイレクションを実行する方法 | |
| JP4586071B2 (ja) | 端末へのユーザポリシーの提供 | |
| US7480933B2 (en) | Method and apparatus for ensuring address information of a wireless terminal device in communications network | |
| JP4376711B2 (ja) | アクセス管理方法及びその装置 | |
| WO2006002601A1 (fr) | Procede pour l'etablissement de la connexion de session par les utilisateurs de reseau local sans fil | |
| JP2002373153A (ja) | バイオメトリック認証されるvlan | |
| EP2547133B1 (en) | Method and equipment for authenticating subscriber terminal | |
| JP4832516B2 (ja) | ネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置およびアクセス要求装置 | |
| US7694015B2 (en) | Connection control system, connection control equipment and connection management equipment | |
| US8688077B2 (en) | Communication system and method for providing a mobile communications service | |
| JP3668648B2 (ja) | セッション情報管理方法およびセッション情報管理装置 | |
| US8312530B2 (en) | System and method for providing security in a network environment using accounting information | |
| US7409704B1 (en) | System and method for local policy enforcement for internet service providers | |
| JP3816933B2 (ja) | セッション情報管理方法およびセッション情報管理装置 | |
| JP2009217722A (ja) | 認証処理システム、認証装置、管理装置、認証処理方法、認証処理プログラムおよび管理処理プログラム | |
| WO2005111826A1 (ja) | 通信システム | |
| JP2007049503A (ja) | パケット通信サービスシステム、パケット通信サービス方法、エッジ側ゲートウェイ装置、およびセンタ側ゲートウェイ装置 | |
| KR100454687B1 (ko) | 다이어미터 기반 aaa 인증서버와 분리된 과금서버의연동처리 방법 | |
| JP2005167580A (ja) | 無線lanシステムにおけるアクセス制御方法と装置 | |
| CN116074125B (zh) | 一种端到端的密码中台零信任安全网关系统 | |
| JP2003258916A (ja) | 通信制御システム、通信制御方法、中継関門処理装置及び管理サーバ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060601 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060606 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060608 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100616 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100616 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110616 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120616 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |