JP4805185B2 - ゲートウェイ装置およびセッション管理方法 - Google Patents

ゲートウェイ装置およびセッション管理方法 Download PDF

Info

Publication number
JP4805185B2
JP4805185B2 JP2007035049A JP2007035049A JP4805185B2 JP 4805185 B2 JP4805185 B2 JP 4805185B2 JP 2007035049 A JP2007035049 A JP 2007035049A JP 2007035049 A JP2007035049 A JP 2007035049A JP 4805185 B2 JP4805185 B2 JP 4805185B2
Authority
JP
Japan
Prior art keywords
session
authentication
terminal device
establishment request
authentication server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007035049A
Other languages
English (en)
Other versions
JP2008199498A (ja
Inventor
康志 高木
寿一 別所
志郎 水野
恭之 市川
健司 沼崎
真光 吉田
亮一 井上
智之 福永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
THE FURUKAW ELECTRIC CO., LTD.
Nippon Telegraph and Telephone Corp
Original Assignee
THE FURUKAW ELECTRIC CO., LTD.
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by THE FURUKAW ELECTRIC CO., LTD., Nippon Telegraph and Telephone Corp filed Critical THE FURUKAW ELECTRIC CO., LTD.
Priority to JP2007035049A priority Critical patent/JP4805185B2/ja
Publication of JP2008199498A publication Critical patent/JP2008199498A/ja
Application granted granted Critical
Publication of JP4805185B2 publication Critical patent/JP4805185B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、暗号化通信を行うためのセッションが確立された端末装置と認証サーバとの間で認証処理のための認証データの中継を行うゲートウェイ装置およびセッション管理方法に関するものである。
従来では、ユーザが端末装置を用いて公衆網を介して専用網内の事業者の認証サーバにアクセスする場合、公衆網と専用網との間に介在するゲートウェイ装置と端末装置間で、IKEプロトコルを用いて論理的な回線としてのセッションを確立させてIPsec通信を行い、ユーザと通信相手の事業者との間での暗号化通信を可能にしていた(たとえば特許文献1)。さらに、このIPsec通信では、事業者側の認証サーバと連携することで事業者が直接ゲートウェイを介して端末装置を認証する方法がある。この場合、セッションは、1つのユーザの端末装置に1つしか確立できないように設定されている。このように1つの端末装置に1つのセッションを設定するのは、たとえば1つの端末装置に複数のセッションの確立を可能にすると、網間での認証処理に伴うデータトラフィックが多くなり、認証サーバの負荷が大きくなるためである。また、この場合には、無駄な認証処理が増えることもある。
特開2003−32286号公報
しかしながら、従来のセッション管理方法では、1つの端末装置に複数のセッションの確立要求があると、いずれのセッションが有効なセッションであるか判断できない場合があるので、ゲートウェイ装置は、全てのセッションを切断して、この端末装置との間に新たに1つのセッションを確立させる必要があり、このためセッションを確立させる動作が煩雑になってセッションの確立に時間がかかり、端末装置の認証が遅延することがあった。
本発明は、上記に鑑みてなされたものであって、セッションの確立を迅速に行うことができるゲートウェイ装置およびセッション管理方法を提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明にかかるゲートウェイ装置は、通信ネットワークを介して認証サーバに接続されるとともに、端末装置との間に接続された通信ネットワークを介して暗号化通信を行うための論理的な回線として、前記端末装置からセッションの確立を行い、前記端末装置と前記認証サーバとの間で認証データの中継を行うゲートウェイ装置において、前記端末装置からのセッション確立要求メッセージの受信毎に受信時刻を記憶する記憶手段と、前記認証サーバへの前記端末装置に関する認証要求メッセージの送信中に同一の端末装置から新たなセッション確立要求を受信する場合、前記認証サーバからの認証応答メッセージの受信時に、前記記憶手段に記憶された前記受信時刻をもとに最新のセッション確立要求を識別し、該最新のセッションのみを確立させる認証処理手段と、を備えたことを特徴とする。
また、本発明にかかるゲートウェイ装置は、上記発明において、前記記憶手段は、前記端末装置からのIKE Phase1−3パケットのセッション確立要求メッセージの受信タイミングで前記受信時刻を記憶し、前記認証処理手段は、当該ゲートウェイ装置が最新のセッション要求より先に要求した旧セッションに対する前記認証サーバからの該旧セッション応答を受信した場合には、該旧セッションのセッション確立要求を中断し、前記最新のセッション確立要求を継続し、当該ゲートウェイ装置が前記認証サーバからの前記最新のセッション応答を前記旧セッション応答より先に受信した場合には、前記最新のセッションのセッション確立要求を継続し、前記旧セッション確立要求を該旧セッションの応答受信時に中断することを特徴とする。
また、本発明にかかるセッション管理方法は、ゲートウェイ装置が通信ネットワークを介して認証サーバに接続されるとともに、端末装置との間に接続された通信ネットワークを介して暗号化通信を行うための論理的な回線として、前記端末装置からセッションの確立を行い、前記端末装置と前記認証サーバとの間で認証データの中継を行うセッション管理方法において、前記ゲートウェイ装置が前記端末装置からのセッション確立要求メッセージの受信毎に受信時刻を記憶手段に記憶する記憶ステップと、前記ゲートウェイ装置が前記認証サーバへの前記端末装置に関する認証要求メッセージの送信中に同一の端末装置から新たなセッション確立要求を受信する場合、前記認証サーバからの認証応答メッセージの受信時に、前記記憶手段に記憶された前記受信時刻をもとに最新のセッション確立要求を識別し、該最新のセッションのみを確立させる認証処理ステップと、を含むことを特徴とする。
また、本発明にかかるセッション管理方法は、上記発明において、前記記憶ステップは、前記端末装置からのIKE Phase1−3パケットのセッション確立要求メッセージの受信タイミングで前記受信時刻を記憶し、前記認証処理ステップは、前記ゲートウェイ装置が最新のセッション要求より先に要求した旧セッションに対する前記認証サーバからの該旧セッション応答を受信した場合には、該旧セッションのセッション確立要求を中断し、前記最新のセッション確立要求を継続し、前記ゲートウェイ装置が前記認証サーバからの前記最新のセッション応答を前記旧セッション応答より先に受信した場合には、前記最新のセッションのセッション確立要求を継続し、前記旧セッション確立要求を該旧セッションの応答受信時に中断することを特徴とする。
本発明にかかるゲートウェイ装置およびセッション管理方法は、同一の端末装置から複数のセッションの確立が開始された場合、所定の1つのセッションを選択して端末装置と認証サーバ間での認証処理をサポートして、選択したセッションの確立を行うので、従来のように全てのセッションを切断して、新たに1つのセッションを確立させる煩雑な手間が省け、セッションの確立を迅速に行うことができるという効果を奏する。
以下に、本発明にかかるゲートウェイ装置およびセッション管理方法の実施の形態を図1〜図4の図面を用いて詳細に説明する。なお、本発明は、これら実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲で種々の変更実施の形態が可能である。
(実施の形態)
図1は、本発明にかかる認証処理システムの実施の形態の構成を示すシステム構成図である。図1において、認証処理システムは、ユーザの端末装置1と、ゲートウェイ装置2と、認証サーバ3とを備える。端末装置1とゲートウェイ装置2とは、通信ネットワーク(たとえば公衆網)4を介して接続され、ゲートウェイ装置2と認証サーバ3とは、特定事業者の通信ネットワーク(たとえば専用網)5を介して接続される。
端末装置1は、認証処理を行う認証処理部11と、データの暗号化または復号化の処理を行う暗号化/復号化処理部12と、通信ネットワーク4を介してゲートウェイ装置2および認証サーバ3を含む他の通信装置と暗号化されたデータの送受信を行う送受信部13とを備える。認証処理部11は、ゲートウェイ装置2とIKE(Internet Key Exchange)プロトコルを拡張するXauth(Extended Authentication within ISAKMP/Oakley)を用いて、所定の認証処理用のプロトコル、たとえばCHAP(Challenge Handshake Authentication Protocol)をサポートして、自装置を認識させる認証処理を行い、通信ネットワーク5へのアクセスを可能にする。暗号化/復号化処理部12は、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec(IP security Protocol) SA(Security Association)で作成した鍵とを用いて暗号化して送受信部13に出力し、また暗号化されたデータを送受信部13が受信すると、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。
ゲートウェイ装置2は、設定処理部21と、認証処理手段としての認証処理部22と、フェーズ情報を記憶するフェーズ用データベース23と、IPsecを適用するための手順や方針を示すSPD情報を記憶する記憶手段としてのSPD用データベース24と、データの暗号化または復号化の処理を行う暗号化/復号化処理部25と、データの中継処理を行う中継処理部26と、端末装置1に対してデータの中継を行う端末用送受信部27と、認証サーバ3に対してデータの中継を行うサーバ用送受信部28とを備える。設定処理部21は、認証サーバ3が認証処理に用いるすべての認証処理の手順や方針を示すポリシーを設定する。設定処理部21は、たとえば認証サーバ3が用いるCHAPおよびPAP(Password Authentication Protocol)の認証処理の手順や方針を示すポリシーを設定する。SPD用データベース24は、設定処理部21で設定されたCHAPとPAPの認証処理のポリシーを記録している。
SPD情報は、設定により予め作成されるデータであり、端末装置1に対してのたとえばISAKMP(Internet Security Association and Key Management Protocol)の処理の手順や方針を示すポリシーやISAKMPに基づいてIPsecで用いるインターネット標準の鍵交換プロトコルであるIKE(Internet Key Exchange)の処理の手順や方針を示すポリシーやIKEを拡張して従来システム内で利用してきたワンタイムパスワードやRADIUSなどを使用した認証サービスを利用できるようにしたXauthの処理の手順や方針を示すポリシーである。
認証処理部11,22は、通信ネットワーク4を介して端末装置1とゲートウェイ装置2との間に、IPsec(IP security Protocol)によるデータ通信を可能にするためトンネリング技術を利用してSA(Security Association)と呼ばれる論理的な回線(コネクション)としてのセッションを確立させる処理を行う。この実施の形態での認証処理部22は、最新にセッションを確立するための接続要求を行った1つのセッションを選択して端末装置1と認証サーバ3との間での認証処理をサポートして、セッションを確立させる。すなわち、認証処理部22は、接続要求としてたとえばPhase1−3が端末装置1から受信された場合に、最新にセッションを確立するための接続要求と判断して、このセッションを選択して、セッションを確立させる。なお、たとえばユーザ側に別の通信ネットワークがあり、端末装置1がこの別の通信ネットワークに接続されている場合には、この別の通信ネットワークと通信ネットワーク4との間にはデータの中継を行う中継装置(たとえばルータ)が接続されることとなり、ゲートウェイ装置2の認証処理部22は、この中継装置との間でセッションを確立させる処理を行うこととなる。また、認証処理部22,31は、ゲートウェイ装置2と認証サーバ3との間でセッションを確立させることも可能である。
また、認証処理部11,22は、Xauthをサポートし、CHAPあるいはPAPで認証処理を行う。認証処理部22は、認証要求開始時にISAKMPのIPsec Phase−1 1stパケットを受信後に、それに対応するSPD情報を抽出し、Phase1情報を作成して参照可能とする。認証処理部22は、このPhase1情報からSPD用データベース24内に記憶される認証方式情報をチェックし、CHAP方式であれば、CHAP認証要求を送信し、また認証方式情報がPAP方式であれば、PAP認証要求を送信する。
フェーズ用データベース23は、Phase1情報を記憶する。このPhase1情報は、ISAKMPパケットの通信を行うためのネゴシエーション情報からなる。
暗号化/復号化処理部25は、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec SAで作成した鍵とを用いて暗号化して中継処理部26に出力して送受信部27からの送信を可能にし、また暗号化されたデータを中継処理部26から取り込むと、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。
認証サーバ3は、認証処理部31と、認証用データベース32と、データの暗号化または復号化の処理を行う暗号化/復号化処理部33と、データの送受信を行う送受信部34とを備える。認証処理部31は、ゲートウェイ装置2との間で認証応答があった端末装置の認証処理を行うものである。認証用データベース32は、端末装置を認証するための識別情報や取り扱うすべての認証処理の手順や方針を示すポリシーなどを記憶する。暗号化/復号化処理部33は、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec SAで作成した鍵とを用いて暗号化して送受信部34に出力し、また暗号化されたデータを送受信部34が受信すると、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。
次に、図2のシーケンス図を用いて、図1に示した認証処理システムの端末装置1とゲートウェイ装置2との間でセッションを確立する認証処理の動作を説明する。なお、図2中において、IPsec Phase1−1、IPsec Phase1−2およびIPsec Phase1−3は、IPsec通信での1回目、2回目および3回目のPhase1パケットをそれぞれ示し、Phase1−deleteは、セッションの削除を示すパケットである。また、Xauth要求、Xauth応答、Xauth SetおよびXauth ACKは、CHAPやPAPを利用したXauthで作成される認証要求、認証応答、認証確認Setおよび認証応答ACKのパケットをそれぞれ示す。
図2において、端末装置1の認証処理部11は、1回目のセッション1の確立を開始し(ステップS101)、IKEプロトコルを用いて自己の保持するキー情報を含むIPsec Phase1−1パケットを作成してゲートウェイ装置2に送信する(ステップS102)。次に、ゲートウェイ装置2の認証処理部22は、認証処理部11からキー情報を受信すると、端末装置1を認識して、自己の保持するキー情報を含むIPsec Phase1−2を作成して端末装置1に送信してキー情報の交換を行う(ステップS103)。次に、認証処理部11は、認証処理部22からキー情報を受信すると、ゲートウェイ装置2を認識した後に、IPsec Phase1−3のパケットを作成して、通信相手(IKEピア)であるゲートウェイ装置2に送信する(ステップ104)。認証処理部22は、このIPsec Phase1−3のパケットを受信すると、最新のセッションかどうかの判断を行うためにPhase1情報にPhase1−3を受信した時刻を記憶するとともに、この情報の受信時刻から最新のセッションがセッション1であることを認識する。
次に、ゲートウェイ装置2の認証処理部22は、設定処理部21で設定された認証用プロトコルによるXauth要求のパケットを端末装置1に送信する(ステップS105)。端末装置1の認証処理部11は、上記Xauthによる認証処理が可能な認証用プロトコルを有しており、Xauth要求のパケットを受信すると、この要求に対するXauth応答のパケットをゲートウェイ装置2に送信する(ステップS106)。このXauth応答のパケットには、認証サーバ3に記憶されているユーザ名とパスワードとがペイロード内に含まれている。認証処理部22は、Xauth応答のパケットを受信すると、このパケットから上記ユーザ名とパスワードを抽出し、このユーザ名とパスワードを含んだ認証要求のパケットを作成して認証サーバ3に送信し(ステップS107)、認証サーバ3の認証処理部31による認証処理を可能にする。
ここで、たとえば端末装置1のユーザがセッション1の削除を希望する場合には、端末装置1の認証処理部11からセッション1の削除を通知する旨のPhase1−deleteのパケットをゲートウェイ装置2に送信する(ステップS108)。認証処理部11は、このパケットを送信すると、セッション1を切断して図示しない記憶部に記憶されているセッション1の情報を削除する。
ゲートウェイ装置2の認証処理部22は、このPhase1−deleteのパケットを受信すると、セッション1を切断するが、SPD用データベース24に記憶されているセッション1の情報は認証サーバ3への認証要求のパケットの再送を続けるために保持する。また、たとえばトラフィック上の問題で、このパケットが消失してゲートウェイ装置2に届かない場合には、認証処理部22は、セッション1の切断を行わずに、認証要求のパケットの送信から所定時間後に、認証要求のパケットの再送を認証サーバ3に順次行う(ステップS109,S114)。
次に、端末装置1の認証処理部11は、2回目のセッション2の確立を開始し(ステップS110)、IKEプロトコルを用いて自己の保持するキー情報を含むIPsec Phase1−1パケットを作成してゲートウェイ装置2に送信する(ステップS111)。このパケットを受信すると、ゲートウェイ装置2の認証処理部22は、自己の保持するキー情報を含むIPsec Phase1−2を作成して端末装置1に送信してキー情報の交換を行う(ステップS112)。次に、認証処理部11は、認証処理部22からキー情報を受信すると、IPsec Phase1−3のパケットを作成して、ゲートウェイ装置2に送信する(ステップ113)。認証処理部22は、このIPsec Phase1−3のパケットを受信すると、受信時刻を記憶するとともに、この情報の受信時刻から最新のセッションがセッション2であり、セッション1が旧セッションであることを認識する。
次に、ゲートウェイ装置2の認証処理部22は、認証要求のパケットを再送した後に(ステップS114)、Xauth要求のパケットを端末装置1に送信する(ステップS115)。端末装置1の認証処理部11は、このXauth要求のパケットを受信すると、この要求に対するXauth応答のパケットをゲートウェイ装置2に送信する(ステップS116)。認証処理部22は、Xauth応答のパケットを受信すると、このパケットからユーザ名とパスワードとを抽出し、このユーザ名およびパスワードを含んだ認証要求のパケットを作成して認証サーバ3に送信し(ステップS117)、認証サーバ3の認証処理部31による認証処理を可能にする。
次に、認証サーバ3の認証処理部31は、ゲートウェイ装置2から認証要求のパケットを受信すると、このパケットをもとに端末装置1を認証するための認証処理を行い、この端末装置1の認証終了後に認証応答である2回目のセッション2での認証応答であることを示すACKのパケットをゲートウェイ装置2に送信する(ステップS118)。ここで、認証処理部31は、この端末装置1に対する認証が成功した場合には、認証成功を示す認証応答を行い、また認証が失敗した場合には、認証不可を示す認証応答を行う。
次に、ゲートウェイ装置2の認証処理部22は、ACKのパケットを受信すると、このACKが最新のセッション2での認証応答であるか否かのチェックを行う(ステップS119)。認証処理部22は、このパケットが最新のセッションでの認証応答なので、そのままネゴシエーションを続行して、Xauth Setのパケットを端末装置1に送信する(ステップS120)。端末装置1の認証処理部11は、このXauth Setが受信されると、Xauth ACKのパケットを作成してゲートウェイ装置2に送信する(ステップS121)。次に、認証処理部22は、このXauth ACKのパケットが受信されると、2回目のセッション2が確立されたことを確認する(ステップS122)。
次に、ゲートウェイ装置2の認証処理部22は、このセッション2が確立された後で、たとえば認証サーバ3から1回目のセッション1でのACKのパケットを受信した場合には、最新のセッション2でのACKではないので、1回目のセッション1のみを切断し、さらにSPD用データベース24に保持された1回目のセッション1の情報を削除し(ステップS124)、確立された2回目のセッション2でのIPsecによる暗号化通信を行う(ステップS125)。
ここで、図3のフローチャートを用いてゲートウェイ装置2による認証処理の詳細な動作を説明する。なお、このフローチャートは、端末装置1とゲートウェイ装置2との間でSAを確立した後の動作を示す。図3において、ゲートウェイ装置2の認証処理部22は、パケットを受信すると、Phase1−deleteのパケット(図2のステップS108参照)の受信か否か判断する(ステップS201)。ここで、認証処理部22は、この受信がPhase1−deleteのパケットの受信の場合には(ステップS201:Yes)、該当するセッション1を切断する処理を行う(ステップS202)。また、認証処理部22は、この受信がPhase1−deleteのパケットの受信でない場合には(ステップS201:No)、この受信が認証サーバ3からのACKのパケットの受信か否か判断する(ステップS203)。
ここで、認証処理部22は、この受信がACKのパケットの受信でない場合(ステップS203:No)、次のパケットの受信を待つ(ステップS201)。また、認証処理部22は、この受信がACKのパケット(図2のステップS118,S123参照)の受信の場合(ステップS203:Yes)、このACKが最新のセッションのACKか否か判断する(ステップS204)。ここで、認証処理部22は、このACKが最新のACKでない場合(ステップS204:No)、旧セッション(セッション1)でのACKと判断し、この旧セッションを切断する処理(図2のステップS124参照)を行う(ステップS205)。また、認証処理部22は、このACKが最新のセッション2でのACK(図2のステップS118参照)の場合(ステップS204:Yes)、Xauth Setのパケット(図2のステップS120参照)を端末装置1に送信し(ステップS206)、この認証確認に対する端末装置1から認証応答のXauth ACKのパケット(図2のステップS121参照)を受信すると(ステップS207)、セッションの確立されたことを確認して(ステップS208)、IPsecによる暗号化通信を行い(図2のステップS125参照)、次のパケットの受信を待つ(ステップS201)。
図4は、Phase1−3のISAKMPヘッダの構成を説明するための図である。このISAKMPヘッダは、セッションの識別子として用いる8バイトのInitiator CookieおよびResponder Cookieと、次のペイロードを示す1バイトのNext Payloadと、IKEの2つのバージョンを示す1バイトのVerと、Aggressive交換を示す1バイトのExchange Typeと、「0」に設定される5ビットのReservedと、3つのフラグを示す3ビットのFlagと、「0」に設定されるMessage IDを示す4バイトのMessage IDと、ISAKMPデータの長さを示す4バイトのLengthとからなる。
このPhase1−3のデータを受信すると、Phase1情報に受信した時刻を書き込み、各セッションでのPhase1−3を受信した受信時刻を比較することでどちらのセッションが最新のものであるか判断することができる(図2のステップS119参照)。なお、この実施の形態では、セッション2の確立後にセッション1の切断を行ったが、本発明はこれに限らず、最新のIPsec Phase1−3を受信した時に、あるいはこれ以降にセッション1を切断することも可能である。
このように、この実施の形態では、認証処理部22は同一の端末装置1から複数のセッションの確立が開始された場合、最新にセッションの確立要求を行ったPhase1−3のパケットに含まれる1つのセッションを選択し、この選択したセッションを確立するので、新たにセッションを確立し直す手間が省け、端末装置1とゲートウェイ装置2との間の論理的な回線としてのセッションの確立を迅速に行うことができる。
本発明にかかる認証処理システムの一例の構成を示すシステム構成図である。 図1に示した認証処理システムの端末装置とゲートウェイ装置との間でセッションを確立する認証処理の動作を説明するための実施の形態のシーケンス図である。 ゲートウェイ装置による認証処理の詳細な動作を説明するための実施の形態のフローチャートである。 Phase1−3のISAKMPヘッダの構成を説明するための図である。
符号の説明
1 端末装置
2 ゲートウェイ装置
3 認証サーバ
4,5 通信ネットワーク
11,22,31 認証処理部
12,25,33 暗号化/復号化処理部
13,34 送受信部
21 設定処理部
23 フェーズ用データベース
24 SPD用データベース
26 中継処理部
27 端末用送受信部
28 サーバ用送受信部
32 認証用データベース

Claims (4)

  1. 通信ネットワークを介して認証サーバに接続されるとともに、端末装置との間に接続された通信ネットワークを介して暗号化通信を行うための論理的な回線として、前記端末装置からセッションの確立を行い、前記端末装置と前記認証サーバとの間で認証データの中継を行うゲートウェイ装置において、
    前記端末装置からのセッション確立要求メッセージの受信毎に受信時刻を記憶する記憶手段と、
    前記認証サーバへの前記端末装置に関する認証要求メッセージの送信中に同一の端末装置から新たなセッション確立要求を受信する場合、前記認証サーバからの認証応答メッセージの受信時に、前記記憶手段に記憶された前記受信時刻をもとに最新のセッション確立要求を識別し、該最新のセッションのみを確立させる認証処理手段と、
    を備えたことを特徴とするゲートウェイ装置。
  2. 前記記憶手段は、前記端末装置からのIKE Phase1−3パケットのセッション確立要求メッセージの受信タイミングで前記受信時刻を記憶し、
    前記認証処理手段は、当該ゲートウェイ装置が最新のセッション要求より先に要求した旧セッションに対する前記認証サーバからの該旧セッション応答を受信した場合には、該旧セッションのセッション確立要求を中断し、前記最新のセッション確立要求を継続し、当該ゲートウェイ装置が前記認証サーバからの前記最新のセッション応答を前記旧セッション応答より先に受信した場合には、前記最新のセッションのセッション確立要求を継続し、前記旧セッション確立要求を該旧セッションの応答受信時に中断することを特徴とする請求項1に記載のゲートウェイ装置。
  3. ゲートウェイ装置が通信ネットワークを介して認証サーバに接続されるとともに、端末装置との間に接続された通信ネットワークを介して暗号化通信を行うための論理的な回線として、前記端末装置からセッションの確立を行い、前記端末装置と前記認証サーバとの間で認証データの中継を行うセッション管理方法において、
    前記ゲートウェイ装置が前記端末装置からのセッション確立要求メッセージの受信毎に受信時刻を記憶手段に記憶する記憶ステップと、
    前記ゲートウェイ装置が前記認証サーバへの前記端末装置に関する認証要求メッセージの送信中に同一の端末装置から新たなセッション確立要求を受信する場合、前記認証サーバからの認証応答メッセージの受信時に、前記記憶手段に記憶された前記受信時刻をもとに最新のセッション確立要求を識別し、該最新のセッションのみを確立させる認証処理ステップと、
    を含むことを特徴とするセッション管理方法。
  4. 前記記憶ステップは、前記端末装置からのIKE Phase1−3パケットのセッション確立要求メッセージの受信タイミングで前記受信時刻を記憶し、
    前記認証処理ステップは、前記ゲートウェイ装置が最新のセッション要求より先に要求した旧セッションに対する前記認証サーバからの該旧セッション応答を受信した場合には、該旧セッションのセッション確立要求を中断し、前記最新のセッション確立要求を継続し、前記ゲートウェイ装置が前記認証サーバからの前記最新のセッション応答を前記旧セッション応答より先に受信した場合には、前記最新のセッションのセッション確立要求を継続し、前記旧セッション確立要求を該旧セッションの応答受信時に中断することを特徴とする請求項3に記載のセッション管理方法。
JP2007035049A 2007-02-15 2007-02-15 ゲートウェイ装置およびセッション管理方法 Active JP4805185B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007035049A JP4805185B2 (ja) 2007-02-15 2007-02-15 ゲートウェイ装置およびセッション管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007035049A JP4805185B2 (ja) 2007-02-15 2007-02-15 ゲートウェイ装置およびセッション管理方法

Publications (2)

Publication Number Publication Date
JP2008199498A JP2008199498A (ja) 2008-08-28
JP4805185B2 true JP4805185B2 (ja) 2011-11-02

Family

ID=39758029

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007035049A Active JP4805185B2 (ja) 2007-02-15 2007-02-15 ゲートウェイ装置およびセッション管理方法

Country Status (1)

Country Link
JP (1) JP4805185B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571704B (zh) * 2010-12-24 2015-05-27 华为终端有限公司 管理会话的发起和通知方法、被管理终端及管理服务器

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05346898A (ja) * 1992-06-16 1993-12-27 Nissan Motor Co Ltd Tcp/ipによるクライアント/サーバシステム
JPH0756796A (ja) * 1993-08-10 1995-03-03 Kawasaki Steel Corp データベース管理装置のセキュリティ装置
JP3596489B2 (ja) * 2001-07-11 2004-12-02 日本電気株式会社 Vpnシステムおよびvpn装置およびプログラム
JP4721715B2 (ja) * 2004-02-06 2011-07-13 パナソニック株式会社 通信装置及び通信プログラム
JP4316450B2 (ja) * 2004-09-02 2009-08-19 古河電気工業株式会社 ネットワーク中継装置、ネットワークシステム及び暗号化通信方法
JP2006203336A (ja) * 2005-01-18 2006-08-03 Nec Corp セキュリティ情報管理方法および通信主体装置
JP2006352500A (ja) * 2005-06-16 2006-12-28 Matsushita Electric Ind Co Ltd 自動鍵交換処理装置および自動鍵交換処理方法

Also Published As

Publication number Publication date
JP2008199498A (ja) 2008-08-28

Similar Documents

Publication Publication Date Title
US9350708B2 (en) System and method for providing secured access to services
US7389412B2 (en) System and method for secure network roaming
JP4727126B2 (ja) 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
US8046577B2 (en) Secure IP access protocol framework and supporting network architecture
JP4737089B2 (ja) Vpnゲートウェイ装置およびホスティングシステム
KR100759489B1 (ko) 이동통신망에서 공개키 기반구조를 이용한 아이피보안터널의 보안 방법 및 장치
US11388145B2 (en) Tunneling data traffic and signaling over secure etls over wireless local area networks
JPWO2008146395A1 (ja) ネットワーク中継装置、通信端末及び暗号化通信方法
WO2011137782A1 (zh) 无线局域网中密钥的发送方法、装置及系统
CA2414044C (en) A secure ip access protocol framework and supporting network architecture
WO2006098116A1 (ja) 無線通信システムにおける認証方式、それを備える無線端末装置と無線基地局、それらを用いた無線通信システム及びプログラム
WO2010003335A1 (zh) IPv6网络中协商SA的方法、系统和设备
JP2006524017A (ja) 公的認証サーバで無線lanアクセスを制御するidマッピング機構
WO2010083671A1 (zh) 一种网络安全的http协商的方法及其相关装置
WO2011091771A1 (zh) 中继节点的认证方法、装置及系统
WO2013166696A1 (zh) 数据传输方法、系统及装置
CN103188351A (zh) IPv6 环境下IPSec VPN 通信业务处理方法与系统
KR100948604B1 (ko) 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
WO2009082950A1 (fr) Procédé, dispositif et système de distribution de clés
JP4475514B2 (ja) IPv6/IPv4トンネリング方法
JP4721715B2 (ja) 通信装置及び通信プログラム
JP4630296B2 (ja) ゲートウェイ装置および認証処理方法
JP2004312257A (ja) 基地局、中継装置及び通信システム
JP4805185B2 (ja) ゲートウェイ装置およびセッション管理方法
EP2770778B1 (en) Method, system, and enb for establishing secure x2 channel

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110802

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110810

R150 Certificate of patent or registration of utility model

Ref document number: 4805185

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140819

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350