JP6267462B2 - Connection control device, connection control method, and program - Google Patents

Connection control device, connection control method, and program Download PDF

Info

Publication number
JP6267462B2
JP6267462B2 JP2013185528A JP2013185528A JP6267462B2 JP 6267462 B2 JP6267462 B2 JP 6267462B2 JP 2013185528 A JP2013185528 A JP 2013185528A JP 2013185528 A JP2013185528 A JP 2013185528A JP 6267462 B2 JP6267462 B2 JP 6267462B2
Authority
JP
Japan
Prior art keywords
connection
communication
communication device
information
tunnel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013185528A
Other languages
Japanese (ja)
Other versions
JP2015053609A (en
Inventor
由香 上水流
由香 上水流
浩昭 波多
浩昭 波多
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2013185528A priority Critical patent/JP6267462B2/en
Publication of JP2015053609A publication Critical patent/JP2015053609A/en
Application granted granted Critical
Publication of JP6267462B2 publication Critical patent/JP6267462B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、通信装置間で通信接続を行う場合における通信装置間の認証に関するものである。   The present invention relates to authentication between communication devices when communication connection is established between communication devices.

組み込み機器等の小型機器の通信機能を利用したセンサー情報の収集や遠隔地からの機器の制御を実現するために、機器と機器を管理するセンタサーバとの間で双方向通信を安全に行う仮想ネットワークをIPネットワーク上のトンネル接続によって実現する技術が提供されている。   Virtual that securely performs bidirectional communication between devices and the center server that manages the devices in order to achieve sensor information collection and remote device control using the communication functions of small devices such as embedded devices A technique for realizing a network by tunnel connection on an IP network is provided.

トンネル接続に関する背景技術の例として、トンネル接続設定の手間を削減し、オンデマンドな構成変更を実現するために、トンネル接続を集中管理する制御装置から、トンネル接続装置へのシグナリング通信を行うことにより、接続構成を制御する技術(特許文献1、特許文献2)がある。   As an example of background technology related to tunnel connection, in order to reduce the effort of setting the tunnel connection and realize on-demand configuration change, by performing signaling communication from the controller that centrally manages the tunnel connection to the tunnel connection device There are techniques (Patent Document 1 and Patent Document 2) for controlling the connection configuration.

特開2010−200032号公報JP 2010-200032 A 特開2013−5110号公報JP2013-5110A

安全なトンネル接続を行うためには、トンネル接続を開始する際に、トンネル接続を行う通信装置の認証を行うことが必要となる。そのためには、トンネル接続を行う双方の通信装置は、認証に必要な情報を持つ必要がある。認証を行う方法としては、IDとパスワード(ID/パスワード)のような非公開な情報を用いる方法と、公開鍵証明書のような公開情報を用いる方法が考えられる。   In order to perform a secure tunnel connection, it is necessary to authenticate the communication device that performs the tunnel connection when the tunnel connection is started. For this purpose, both communication apparatuses that perform the tunnel connection need to have information necessary for authentication. As a method for performing authentication, a method using private information such as an ID and a password (ID / password) and a method using public information such as a public key certificate are conceivable.

例えばトンネル接続をセンサーのような数多くの機器に対して提供する場合には、公開鍵証明書を全ての通信装置に発行するのは、証明書発行にかかるコストがかさむことや、証明書の失効および更新など複雑な運用手順が必要となり、好ましくない。   For example, when a tunnel connection is provided to many devices such as sensors, issuing a public key certificate to all communication devices increases the cost of issuing the certificate and revokes the certificate. And complicated operation procedures such as updating are required, which is not preferable.

そのため、多数の通信装置間の認証については、低コストかつ複雑な運用の手間なく実現するために、ID/パスワード(IDとパスワード)のような低コストでかつ単純な認証方式を用いることが望ましい。   Therefore, it is desirable to use a low-cost and simple authentication method such as ID / password (ID and password) in order to achieve authentication between a large number of communication devices without the need for low-cost and complicated operations. .

しかし、ID/パスワードのような非公開にすべき認証情報を通信装置に保持する場合、通信装置から認証情報が漏洩する恐れがある。通信装置から認証情報が漏洩すると、その認証情報を利用して別の通信装置からのトンネル接続が可能になる等のセキュリティ上の問題が発生する。また、このような認証情報の漏洩によるセキュリティ上の問題は、トンネル接続に限らず、通信装置間の認証を行ってから接続を実施する通信接続技術全般に生じ得る問題である。   However, if authentication information that should be kept secret such as ID / password is held in the communication device, the authentication information may leak from the communication device. If the authentication information leaks from the communication device, a security problem occurs such that a tunnel connection from another communication device becomes possible using the authentication information. Further, such a security problem due to leakage of authentication information is a problem that may occur not only in tunnel connection, but in all communication connection technologies for performing connection after performing authentication between communication devices.

本発明は上記の点に鑑みてなされたものであり、通信装置間の接続のために少なくとも一方の通信装置が他方の通信装置の認証を行う場合において、通信装置からの情報漏洩に対するセキュリティを向上させるための技術を提供することを目的とする。   The present invention has been made in view of the above points, and improves security against information leakage from a communication device when at least one communication device authenticates the other communication device for connection between the communication devices. It aims at providing the technology for making it happen.

本発明の一実施形態によれば、通信ネットワークにおいて通信装置間での通信接続を制御する接続制御装置であって、
第1の通信装置から接続要求を受信したときに、当該第1の通信装置の接続相手となる第2の通信装置に認証情報を送信する第1情報送信手段と、
前記第2の通信装置から前記接続要求に対する応答を受信したときに、前記第1の通信装置に、前記認証情報を送信する第2情報送信手段と、を備え、
前記認証情報は前記第1の通信装置又は前記第2の通信装置が、接続相手を認証するために用いられ、
前記第1情報送信手段は、前記第1の通信装置から前記接続要求を受信したときに、前記接続情報格納手段を参照することで、当該第1の通信装置の接続先が前記第2の通信装置であると判断する
ことを特徴とする接続制御装置が提供される。
According to one embodiment of the present invention, a connection control device for controlling communication connection between communication devices in a communication network,
First information transmitting means for transmitting authentication information to a second communication device that is a connection partner of the first communication device when a connection request is received from the first communication device;
A second information transmission unit configured to transmit the authentication information to the first communication device when a response to the connection request is received from the second communication device;
The authentication information is used by the first communication device or the second communication device to authenticate a connection partner,
The first information transmission unit refers to the connection information storage unit when receiving the connection request from the first communication device, so that the connection destination of the first communication device is the second communication. There is provided a connection control device characterized in that it is determined to be a device.

本発明によれば、通信装置間の接続のために少なくとも一方の通信装置が他方の通信装置の認証を行う場合において、通信装置からの情報漏洩に対するセキュリティを向上させることができる。   ADVANTAGE OF THE INVENTION According to this invention, when at least one communication apparatus authenticates the other communication apparatus for the connection between communication apparatuses, the security with respect to the information leakage from a communication apparatus can be improved.

本発明の実施の形態に係る通信システムの構成図である。It is a block diagram of the communication system which concerns on embodiment of this invention. 接続制御装置10の機能構成図である。2 is a functional configuration diagram of a connection control device 10. FIG. トンネル接続装置20の機能構成図である。3 is a functional configuration diagram of a tunnel connection device 20. FIG. トンネル終端装置30の機能構成図である。3 is a functional configuration diagram of a tunnel termination device 30. FIG. 通信システムの動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of a communication system.

以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。例えば、以下の実施の形態では、トンネル接続のための認証の例を示しているが、本発明の適用先はトンネル接続に限られるわけではなく、装置対装置通信の全般に適用可能である。また、トンネル接続の方式についても特定の方式の限定されるものではない。   Embodiments of the present invention will be described below with reference to the drawings. The embodiment described below is only an example, and the embodiment to which the present invention is applied is not limited to the following embodiment. For example, in the following embodiment, an example of authentication for tunnel connection is shown, but the application destination of the present invention is not limited to tunnel connection, and can be applied to device-to-device communication in general. Also, the tunnel connection method is not limited to a specific method.

(システム構成)
図1に、本発明の実施の形態に係る通信システムの構成図を示す。図1に示すように、本実施の形態の通信システムは、トンネル接続装置20、接続制御装置10、トンネル終端装置30が通信ネットワーク40(本例ではIPネットワーク)を介して接続された構成を備える。トンネル接続装置20とトンネル終端装置30は通信装置の例である。 (System configuration)
FIG. 1 shows a configuration diagram of a communication system according to an embodiment of the present invention. As shown in FIG. 1, the communication system of the present embodiment has a configuration in which a tunnel connection device 20, a connection control device 10, and a tunnel termination device 30 are connected via a communication network 40 (an IP network in this example). . The tunnel connection device 20 and the tunnel termination device 30 are examples of communication devices.

図1に示す例では、トンネル接続装置20にユーザ端末50(クライアント機器)が接続されている。また、トンネル終端装置30には、サーバや他のユーザ端末等が接続される。トンネル接続装置20とトンネル終端装置30との間でトンネルを構築することにより、仮想ネットワークが構成される。なお、図1には、代表として、1つのトンネル終端装置30、及び1つのトンネル接続装置20を示しているが、実際にはそれぞれ複数の装置が存在してよい。また、トンネル接続装置20の機能がユーザ端末50に含まれる形態でもよい。   In the example illustrated in FIG. 1, a user terminal 50 (client device) is connected to the tunnel connection device 20. The tunnel termination device 30 is connected to a server, other user terminals, and the like. A virtual network is configured by constructing a tunnel between the tunnel connection device 20 and the tunnel termination device 30. In FIG. 1, one tunnel termination device 30 and one tunnel connection device 20 are shown as representatives, but a plurality of devices may actually exist. The function of the tunnel connection device 20 may be included in the user terminal 50.

トンネル接続装置20は、トンネル終端装置30とトンネル接続を行う装置である。トンネル終端装置30は、トンネル接続装置20からのトンネル接続要求を待ち受け、トンネル接続装置20との間でトンネル接続を行う装置である。接続制御装置10は、トンネル接続装置20とトンネル終端装置30間でトンネル接続を行うための認証情報やその他の設定情報の配布等の制御を行う装置である。以下、各装置の機能構成について説明する。   The tunnel connection device 20 is a device that performs a tunnel connection with the tunnel termination device 30. The tunnel termination device 30 is a device that waits for a tunnel connection request from the tunnel connection device 20 and performs a tunnel connection with the tunnel connection device 20. The connection control device 10 is a device that controls distribution of authentication information and other setting information for establishing a tunnel connection between the tunnel connection device 20 and the tunnel termination device 30. The functional configuration of each device will be described below.

図2に、接続制御装置10の機能構成図を示す。図2に示すように、接続制御装置10は、制御通信処理部11、認証処理部12、登録情報格納部13、制御用認証情報格納部14、接続情報格納部15、接続情報検索部16、認証情報生成部17、情報設定部18を備える。各機能部の機能概要は以下のとおりである。   FIG. 2 shows a functional configuration diagram of the connection control device 10. As shown in FIG. 2, the connection control apparatus 10 includes a control communication processing unit 11, an authentication processing unit 12, a registration information storage unit 13, a control authentication information storage unit 14, a connection information storage unit 15, a connection information search unit 16, An authentication information generation unit 17 and an information setting unit 18 are provided. The functional outline of each functional unit is as follows.

制御通信処理部11は、認証に成功したトンネル接続装置20との間でセキュアな制御チャネルを確立し、トンネル接続装置20との間で制御メッセージの送受信を行うとともに、認証に成功したトンネル終端装置30との間でセキュアな制御チャネルを構築し、トンネル終端装置30との間で制御メッセージの送受信を行う。   The control communication processing unit 11 establishes a secure control channel with the tunnel connection device 20 that has been successfully authenticated, transmits and receives control messages to and from the tunnel connection device 20, and is a tunnel termination device that has been successfully authenticated. A secure control channel is established with the terminal 30, and control messages are transmitted to and received from the tunnel terminal unit 30.

認証処理部12は、トンネル接続装置20から受信する制御用認証情報に基づいてトンネル接続装置20の認証を行うとともに、トンネル終端装置30から受信する制御用認証情報に基づいてトンネル終端装置30の認証を行う。なお、制御用認証情報とは接続制御装置10との接続の認証に用いる認証情報である。後述するユーザ通信用認証情報は、トンネル接続装置20とトンネル終端装置30間でトンネル通信を開始するために用いる認証情報である。   The authentication processing unit 12 authenticates the tunnel connection device 20 based on the control authentication information received from the tunnel connection device 20, and authenticates the tunnel termination device 30 based on the control authentication information received from the tunnel termination device 30. I do. The control authentication information is authentication information used for authentication of connection with the connection control device 10. User communication authentication information, which will be described later, is authentication information used to start tunnel communication between the tunnel connection device 20 and the tunnel termination device 30.

登録情報格納部13は、トンネル終端装置30からの登録要求に基づき、トンネル終端装置30の登録情報(ID、及び、IPアドレス等の位置情報)を格納する。制御用認証情報格納部14には、トンネル接続装置20の制御用認証情報とトンネル終端装置30の制御用認証情報が格納され、認証時に認証処理部12により参照される。   The registration information storage unit 13 stores registration information (position information such as ID and IP address) of the tunnel termination device 30 based on a registration request from the tunnel termination device 30. The control authentication information storage unit 14 stores the control authentication information of the tunnel connection device 20 and the control authentication information of the tunnel termination device 30 and is referred to by the authentication processing unit 12 during authentication.

なお、本実施の形態におけるIDは該当装置を識別する識別情報であるが、当該装置を識別できる情報であればどのような情報でもよい。   Note that the ID in the present embodiment is identification information for identifying the corresponding device, but may be any information as long as the information can identify the device.

接続情報格納部15には、トンネル接続装置20のIDと、その接続先となるトンネル終端装置30のID及び接続プロトコルが格納される。このように、本実施の形態では、トンネル接続装置20の接続先及び接続プロトコルは設定情報として接続制御装置10に予め設定されるものである。また、接続プロトコルとはトンネル接続の方式に対応し、例えば、特許文献2に記載されているL2、L3等のことであるが、これらに限られるわけではない。   The connection information storage unit 15 stores the ID of the tunnel connection device 20, the ID of the tunnel termination device 30 that is the connection destination, and the connection protocol. As described above, in the present embodiment, the connection destination and connection protocol of the tunnel connection device 20 are preset in the connection control device 10 as setting information. The connection protocol corresponds to a tunnel connection method, for example, L2, L3, etc. described in Patent Document 2, but is not limited thereto.

接続情報検索部16は、トンネル接続装置20から接続要求を受信したときに、トンネル接続装置20のIDに基づき接続情報格納部15を検索し、トンネル接続装置20の接続先となるトンネル終端装置30のIDと接続プロトコルとを取得する。   When the connection information search unit 16 receives a connection request from the tunnel connection device 20, the connection information search unit 16 searches the connection information storage unit 15 based on the ID of the tunnel connection device 20, and the tunnel termination device 30 as a connection destination of the tunnel connection device 20. Get the ID and connection protocol.

認証情報生成部17は、トンネル接続装置20から接続要求を受信したときに、トンネル接続装置20とトンネル終端装置30間でのトンネル通信を開始するために用いられるユーザ通信用認証情報(本実施の形態ではIDとパスワード)を生成する。認証情報生成部17は、トンネル接続装置20から接続要求を受信する度に新たなユーザ通信用認証情報を生成する。   The authentication information generation unit 17 receives user connection authentication information (this embodiment) used to start tunnel communication between the tunnel connection device 20 and the tunnel termination device 30 when a connection request is received from the tunnel connection device 20. In the form, ID and password) are generated. The authentication information generation unit 17 generates new user communication authentication information every time a connection request is received from the tunnel connection device 20.

情報設定部18は、制御用認証情報、接続情報等を外部から設定するためのインターフェースであり、ネットワーク管理者等は、情報設定部18を介して制御用認証情報、接続情報等の入力を行う。   The information setting unit 18 is an interface for setting control authentication information, connection information, and the like from the outside. A network administrator or the like inputs control authentication information, connection information, and the like via the information setting unit 18. .

本実施の形態に係る接続制御装置10は、CPU、記憶装置等からなるコンピュータに、接続制御装置10の各機能部の機能を実現するためのプログラムを実行させることにより実現できる。当該プログラムは可搬メモリ等の記録媒体からコンピュータにインストールすることとしてもよいし、ネットワーク上のサーバからダウンロードすることとしてもよい。   The connection control apparatus 10 according to the present embodiment can be realized by causing a computer including a CPU, a storage device, and the like to execute a program for realizing the functions of the functional units of the connection control apparatus 10. The program may be installed in a computer from a recording medium such as a portable memory, or may be downloaded from a server on the network.

図3に、トンネル接続装置20の機能構成図を示す。図3に示すように、トンネル接続装置20は、制御通信処理部21、トンネル接続通信部22、設定情報格納部23、設定情報削除部24を備える。   FIG. 3 shows a functional configuration diagram of the tunnel connection device 20. As illustrated in FIG. 3, the tunnel connection device 20 includes a control communication processing unit 21, a tunnel connection communication unit 22, a setting information storage unit 23, and a setting information deletion unit 24.

制御通信処理部22は、接続制御装置10との間でセキュアな制御チャネルを確立するとともに、当該制御チャネルを介して、接続制御装置10との間で制御メッセージの送受信を行うことができる。設定情報格納部23には、接続制御装置10から受信する接続応答に含まれるユーザ通信用認証情報、接続先情報、接続プロトコル等の情報が格納される。   The control communication processing unit 22 can establish a secure control channel with the connection control apparatus 10 and can transmit and receive control messages to and from the connection control apparatus 10 via the control channel. The setting information storage unit 23 stores information such as user communication authentication information, connection destination information, and connection protocol included in the connection response received from the connection control apparatus 10.

トンネル接続通信部22は、設定情報格納部23に格納されたユーザ通信用認証情報を含む通信要求をトンネル終端装置30に送信することで、トンネル終端装置30との間でトンネル接続を行い、上記接続プロトコルを用いたトンネル通信を行う。トンネル接続の方式は、例えば、特許文献2に開示されているL2モード(イーサフレームをカプセリング)、L3モード(ソースアドレスを仮想IPアドレスに変換したIPパケットをカプセリング)等を想定しているが、これらに限られるわけではない。   The tunnel connection communication unit 22 performs a tunnel connection with the tunnel termination device 30 by transmitting a communication request including the authentication information for user communication stored in the setting information storage unit 23 to the tunnel termination device 30. Performs tunnel communication using a connection protocol. As a tunnel connection method, for example, an L2 mode (encapsulating an Ethernet frame) disclosed in Patent Document 2 and an L3 mode (encapsulating an IP packet in which a source address is converted into a virtual IP address) are assumed. However, it is not limited to these.

設定情報削除部24は、トンネル接続通信部22からトンネル通信が終了したことを示す通知を受けたときに設定情報格納部23から設定情報を削除する。また、通信要求をトンネル終端装置30に送信した時点から、トンネル通信のパケットが所定の時間送受信されない場合にも設定情報を削除する。また、設定情報削除部は、トンネル通信を実行中に、トンネル通信のパケットが所定の時間送受信されない場合にも設定情報を削除する。   The setting information deletion unit 24 deletes the setting information from the setting information storage unit 23 when receiving a notification from the tunnel connection communication unit 22 indicating that the tunnel communication has ended. The setting information is also deleted when a packet of the tunnel communication is not transmitted / received for a predetermined time from the time when the communication request is transmitted to the tunnel termination device 30. The setting information deletion unit also deletes the setting information when tunnel communication packets are not transmitted / received for a predetermined time during tunnel communication.

なお、設定情報削除部24が削除する情報は、設定情報の中のユーザ通信用認証情報のみとしてもよい。   The information deleted by the setting information deleting unit 24 may be only the user communication authentication information in the setting information.

トンネル接続装置20は、コンピュータ(CPU、メモリ等を含む構成を有する通信装置を含む)に、各機能部に対応するプログラムを実行させることにより実現できる。   The tunnel connection device 20 can be realized by causing a computer (including a communication device having a configuration including a CPU, a memory, and the like) to execute a program corresponding to each functional unit.

図4に、トンネル終端装置30の機能構成図を示す。図4に示すように、トンネル終端装置30は、制御通信処理部31、認証処理部32、トンネル接続通信部33、設定情報格納部34、設定情報削除部35を備える。   FIG. 4 shows a functional configuration diagram of the tunnel termination device 30. As illustrated in FIG. 4, the tunnel termination device 30 includes a control communication processing unit 31, an authentication processing unit 32, a tunnel connection communication unit 33, a setting information storage unit 34, and a setting information deletion unit 35.

制御通信処理部31は、接続制御装置10との間でセキュアな制御チャネルを確立するとともに、当該制御チャネルを介して、接続制御装置10との間で制御メッセージの送受信を行うことができる。設定情報格納部34には、接続制御装置10から受信する接続要求に含まれるユーザ通信用認証情報、接続プロトコルの情報等が格納される。   The control communication processing unit 31 can establish a secure control channel with the connection control device 10 and can transmit and receive control messages to and from the connection control device 10 via the control channel. The setting information storage unit 34 stores user communication authentication information, connection protocol information, and the like included in the connection request received from the connection control device 10.

認証処理部32は、トンネル接続装置20からユーザ通信用認証情報を含む通信要求を受信したときに、設定情報格納部34にユーザ通信用認証情報が格納されているかどうかを確認することによりトンネル接続装置20を認証する。トンネル接続通信部33は、認証処理部32によりトンネル接続装置20の認証に成功したときに、トンネル接続装置20との間で、指定された接続プロトコルによるトンネル接続を行い、トンネル通信を行う。   When the authentication processing unit 32 receives a communication request including user communication authentication information from the tunnel connection device 20, the authentication processing unit 32 checks whether the user communication authentication information is stored in the setting information storage unit 34. The device 20 is authenticated. When the authentication processing unit 32 succeeds in authenticating the tunnel connection device 20, the tunnel connection communication unit 33 performs tunnel communication with the tunnel connection device 20 using a designated connection protocol to perform tunnel communication.

設定情報削除部35は、トンネル接続通信部33からトンネル通信が終了したことを示す通知を受けたときに設定情報格納部34から設定情報を削除する。また、設定情報削除部35は、接続制御装置10から接続要求を受信して、ユーザ通信用認証情報を設定情報格納部34に格納し、接続応答を返した後、所定の時間が経過しても、トンネル接続装置20から通信要求を受けない場合に設定情報を削除する。また、設定情報削除部35は、通信要求をトンネル接続装置20から受信した時点から、トンネル通信のパケットが所定の時間送受信されない場合にも設定情報を削除する。また、設定情報削除部35は、トンネル通信を実行中に、トンネル通信のパケットが所定の時間送受信されない場合にも設定情報を削除する。   The setting information deletion unit 35 deletes the setting information from the setting information storage unit 34 when receiving a notification from the tunnel connection communication unit 33 indicating that the tunnel communication has ended. The setting information deletion unit 35 receives a connection request from the connection control device 10, stores user communication authentication information in the setting information storage unit 34, and returns a connection response. If the communication request is not received from the tunnel connection device 20, the setting information is deleted. The setting information deletion unit 35 also deletes the setting information even when a packet for tunnel communication is not transmitted / received for a predetermined time from the time when the communication request is received from the tunnel connection device 20. The setting information deleting unit 35 also deletes the setting information when tunnel communication packets are not transmitted / received for a predetermined time during the tunnel communication.

なお、設定情報削除部35が削除する情報は、設定情報の中のユーザ通信用認証情報のみとしてもよい。   The information deleted by the setting information deleting unit 35 may be only the user communication authentication information in the setting information.

トンネル終端装置30は、コンピュータ(CPU、メモリ等を含む構成を有する通信装置を含む)に、各機能部に対応するプログラムを実行させることにより実現できる。   The tunnel termination device 30 can be realized by causing a computer (including a communication device having a configuration including a CPU, a memory, and the like) to execute a program corresponding to each functional unit.

(システムの動作)
以下、図5のシーケンス図を参照して、本実施の形態に係るシステムの動作例を説明する。なお、図5では、本実施の形態に関わる主要なシーケンスのみを図示している。また、以下の動作例の説明では、図2〜図4に示した装置構成における各機能部を適宜参照し、その動作についても説明を行っている。 (System operation)
Hereinafter, an operation example of the system according to the present embodiment will be described with reference to the sequence diagram of FIG. FIG. 5 shows only the main sequence related to the present embodiment. Further, in the following description of the operation example, each function unit in the apparatus configuration illustrated in FIGS. 2 to 4 is referred to as appropriate, and the operation is also described.

本実施の形態は、トンネル終端装置30がトンネル接続装置20からの通信要求を待ち受けるような形態であり、トンネル終端装置30は予め接続制御装置10との間で制御通信用のセキュアな暗号化チャネル(制御チャネルと呼ぶ)を確立し、当該制御チャネルを用いてユーザ通信用認証情報の送信を行うこととしている。   In the present embodiment, the tunnel termination device 30 waits for a communication request from the tunnel connection device 20, and the tunnel termination device 30 communicates with the connection control device 10 in advance as a secure encrypted channel for control communication. (Referred to as control channel) is established, and authentication information for user communication is transmitted using the control channel.

そのために、まず、トンネル終端装置30の制御通信処理部31は、制御用認証情報(本例ではIDとパスワード)と自身の位置情報(本例では、IPアドレス)とを含む登録要求を接続制御装置10に送信する(ステップ1)。この登録要求は、例えば、SIPのREGISTERメッセージである。   For this purpose, first, the control communication processing unit 31 of the tunnel terminating device 30 controls connection of a registration request including control authentication information (ID and password in this example) and its own location information (IP address in this example). It transmits to the apparatus 10 (step 1). This registration request is, for example, a SIP REGISTER message.

登録要求を受信した接続制御装置10において、登録要求は制御通信処理部11から認証処理部12に渡され、認証処理部12は、登録要求に含まれる制御用認証情報が、制御用認証情報格納部14に格納されているかどうかを確認することでトンネル終端装置30の認証を行い、認証に成功した場合に、トンネル終端装置30の位置情報とIDとを登録情報格納部13に格納する(ステップ2)。また、認証に成功した場合、接続制御装置10の制御通信処理部11と、トンネル終端装置30の制御通信処理部31との間で所定の手順を実行することにより、接続制御装置10とトンネル終端装置30との間にセキュアな制御チャネルを確立させる(ステップ3)。   In the connection control apparatus 10 that has received the registration request, the registration request is transferred from the control communication processing unit 11 to the authentication processing unit 12, and the authentication processing unit 12 stores the control authentication information stored in the control request as the control authentication information. The tunnel termination device 30 is authenticated by checking whether it is stored in the unit 14, and when the authentication is successful, the location information and ID of the tunnel termination device 30 are stored in the registration information storage unit 13 (step 2). Further, when the authentication is successful, a predetermined procedure is executed between the control communication processing unit 11 of the connection control device 10 and the control communication processing unit 31 of the tunnel termination device 30 to thereby establish a connection between the connection control device 10 and the tunnel termination. A secure control channel is established with the device 30 (step 3).

以下の処理の前提として、接続制御装置10における接続情報格納部15には、トンネル接続装置20の接続先(本例ではトンネル終端装置30)と接続プロトコルの情報が格納されているものとする。   As a premise of the following processing, it is assumed that the connection information storage unit 15 in the connection control device 10 stores information on the connection destination of the tunnel connection device 20 (in this example, the tunnel termination device 30) and the connection protocol.

トンネル接続装置20がトンネル接続を行う段階において、トンネル接続装置20は、制御通信処理部21により、接続要求を接続制御装置10に送信する(ステップ4)。接続要求には、トンネル接続装置20の制御用認証情報(本例では、IDとパスワード)が含まれている。   When the tunnel connection device 20 performs the tunnel connection, the tunnel connection device 20 transmits a connection request to the connection control device 10 by the control communication processing unit 21 (step 4). The connection request includes authentication information for control of the tunnel connection device 20 (in this example, ID and password).

接続要求を受信した接続制御装置10において、接続要求は制御通信処理部11から認証処理部12に渡され、認証処理部12は、接続要求に含まれる制御用認証情報が、制御用認証情報格納部14に格納されているかどうかを確認することでトンネル接続装置20の認証を行い(ステップ5)、認証に成功した場合に、接続制御装置10の制御通信処理部11と、トンネル接続装置20の制御通信処理部21との間で所定の手順を実行することにより、接続制御装置10とトンネル接続装置20との間にセキュアな制御チャネルを確立させる(ステップ6)。なお、接続制御装置10とトンネル接続装置20との間にセキュアな制御チャネルは、トンネル接続装置20が接続要求を送信する前に、事前に確立しておくこととしてもよい。その場合、接続要求はセキュアな制御チャネルを介して送信される。   In the connection control apparatus 10 that has received the connection request, the connection request is transferred from the control communication processing unit 11 to the authentication processing unit 12, and the authentication processing unit 12 stores the control authentication information in the control authentication information. The tunnel connection device 20 is authenticated by checking whether it is stored in the unit 14 (step 5). When the authentication is successful, the control communication processing unit 11 of the connection control device 10 and the tunnel connection device 20 By executing a predetermined procedure with the control communication processing unit 21, a secure control channel is established between the connection control device 10 and the tunnel connection device 20 (step 6). A secure control channel between the connection control device 10 and the tunnel connection device 20 may be established in advance before the tunnel connection device 20 transmits a connection request. In that case, the connection request is transmitted via a secure control channel.

また、認証に成功した場合、接続情報検索部16は、接続要求に含まれていたトンネル接続装置20のIDに基づいて接続情報格納部15を検索することにより、当該トンネル接続装置20の接続先として予め設定されているトンネル終端装置30のIDと、トンネルの接続プロトコルとを取得する(ステップ7)。   When the authentication is successful, the connection information search unit 16 searches the connection information storage unit 15 based on the ID of the tunnel connection device 20 included in the connection request, thereby connecting the connection destination of the tunnel connection device 20. The ID of the tunnel termination device 30 set in advance and the tunnel connection protocol are acquired (step 7).

次に、接続制御装置10の認証情報生成部17は、接続制御装置10とトンネル終端装置30間の制御チャネルが確立済みかどうか、つまり、登録情報格納部13にトンネル終端装置30のIDに対応付けて位置情報(IPアドレス)が格納されているかどうかを確認する。接続制御装置10の認証情報生成部17は、制御チャネルが確立済みであることを確認した場合に、トンネル接続装置20とトンネル終端装置30間でトンネル通信を開始するために必要なユーザ通信用認証情報を生成する(ステップ8)。なお、接続制御装置10とトンネル終端装置30間の制御チャネルが確立済みであることは、トンネル終端装置30が起動し、接続待ち受け状態にあることを意味する。   Next, the authentication information generation unit 17 of the connection control device 10 corresponds to whether or not the control channel between the connection control device 10 and the tunnel termination device 30 has been established, that is, corresponds to the ID of the tunnel termination device 30 in the registration information storage unit 13. In addition, it is confirmed whether or not position information (IP address) is stored. When the authentication information generation unit 17 of the connection control device 10 confirms that the control channel has been established, the authentication for user communication necessary for starting the tunnel communication between the tunnel connection device 20 and the tunnel termination device 30 is performed. Information is generated (step 8). Note that the establishment of the control channel between the connection control device 10 and the tunnel termination device 30 means that the tunnel termination device 30 is activated and is in a connection waiting state.

本実施の形態では、ユーザ通信用認証情報はIDとパスワードであるがこれらに限られるわけではない。また、ユーザ通信用認証情報を生成する方法は特定の方法に限られないが、例えば、乱数を用いて生成する方法、予め複数のIDとパスワードをユーザ通信用認証情報として保持しておき、その中から1つのIDとパスワードの組を払出す方法等が考えられる。   In the present embodiment, the authentication information for user communication is an ID and a password, but is not limited thereto. The method for generating user communication authentication information is not limited to a specific method. For example, a method of generating using random numbers, a plurality of IDs and passwords are stored in advance as user communication authentication information, A method of paying out a pair of ID and password from among them can be considered.

続いて、接続制御装置10の制御通信処理部11は、トンネル接続装置20から受信した接続要求(トンネル接続装置のIDを含む)に、ステップ7で取得した接続プロトコルの情報と、ステップ8で生成したユーザ通信用認証情報とを付加し、当該付加がなされた接続要求をトンネル終端装置30に制御チャネルにより転送する(ステップ9)。   Subsequently, the control communication processing unit 11 of the connection control device 10 generates the connection request information received from the tunnel connection device 20 (including the tunnel connection device ID) and the connection protocol information acquired in step 7 in step 8. The user communication authentication information is added, and the added connection request is transferred to the tunnel terminating device 30 via the control channel (step 9).

トンネル終端装置30の制御通信処理部31は、ステップ9で接続制御装置10から転送された接続要求を受信し、受信した接続要求に含まれるユーザ通信用認証情報、接続プロトコル等を設定情報格納部34に格納する(ステップ10)。   The control communication processing unit 31 of the tunnel terminating device 30 receives the connection request transferred from the connection control device 10 in step 9, and sets the user communication authentication information, the connection protocol, etc. included in the received connection request as a setting information storage unit 34 (step 10).

続いて、トンネル終端装置30の制御通信処理部11は、ステップ9において接続制御装置10から受信した接続要求に、トンネル終端装置30がトンネル接続を待ち受ける接続先情報(本例ではIPアドレスとポート番号、アドレス情報と呼んでもよい)を付加し、その情報を接続要求に対する応答(接続応答)として制御チャネルで接続制御装置10に返送する(ステップ11)。   Subsequently, the control communication processing unit 11 of the tunnel termination device 30 responds to the connection request received from the connection control device 10 in step 9 with connection destination information (IP address and port number in this example) on which the tunnel termination device 30 waits for the tunnel connection. , Which may be called address information), and the information is sent back to the connection control device 10 via the control channel as a response to the connection request (connection response) (step 11).

接続応答を受信した接続制御装置10の制御通信処理部11は、当該接続応答をトンネル接続装置20に制御チャネルで転送する(ステップ12)。トンネル接続装置20の制御通信処理部21は、接続制御装置10から転送された接続応答を受信し、受信した接続応答に含まれるユーザ通信用認証情報、接続プロトコル、及び接続先情報を設定情報格納部23に格納する(ステップ13)。   The control communication processing unit 11 of the connection control device 10 that has received the connection response transfers the connection response to the tunnel connection device 20 through the control channel (step 12). The control communication processing unit 21 of the tunnel connection device 20 receives the connection response transferred from the connection control device 10 and stores the user communication authentication information, the connection protocol, and the connection destination information included in the received connection response as setting information. Store in the unit 23 (step 13).

トンネル接続通信部22は、設定情報格納部23に格納されている設定情報を読み出し、設定情報で指定されている接続プロトコルでのトンネル通信を要求する通信要求を、設定情報で指定された接続先(トンネル終端装置)に送信する(ステップ14)。この通信要求には、ユーザ通信用認証情報が含まれている。   The tunnel connection communication unit 22 reads the setting information stored in the setting information storage unit 23, and sends a communication request for requesting tunnel communication with the connection protocol specified by the setting information to the connection destination specified by the setting information. Transmit to (tunnel terminating device) (step 14). This communication request includes user communication authentication information.

トンネル終端装置30において、トンネル接続通信部33が通信要求を受信し、認証処理部32は、当該通信要求に含まれるユーザ通信用認証情報が設定情報格納部34に設定されているかどうかを確認することによりトンネル接続装置20の認証を行い、認証に成功した場合に、要求元のトンネル接続装置20との間のトンネル通信を許可する(ステップ15)。すなわち、トンネル接続を行う。これにより、トンネル接続装置20とトンネル終端装置との間でトンネル通信が開始される(ステップ16)。   In the tunnel termination device 30, the tunnel connection communication unit 33 receives the communication request, and the authentication processing unit 32 confirms whether the user communication authentication information included in the communication request is set in the setting information storage unit 34. Thus, the tunnel connection device 20 is authenticated, and if the authentication is successful, tunnel communication with the requesting tunnel connection device 20 is permitted (step 15). That is, tunnel connection is performed. Thereby, tunnel communication is started between the tunnel connection device 20 and the tunnel termination device (step 16).

その後、トンネル通信が終了すると(ステップ17)、トンネル通信が終了したことがトンネル接続装置20の設定情報削除部24に通知され、設定情報削除部24は、設定情報格納部23に格納されている設定情報を削除する(ステップ18)。同様にして、トンネル終端装置30の設定情報削除部35は、設定情報格納部34に格納されている設定情報を削除する(ステップ19)。   Thereafter, when the tunnel communication is completed (step 17), the setting information deletion unit 24 of the tunnel connection apparatus 20 is notified that the tunnel communication is completed, and the setting information deletion unit 24 is stored in the setting information storage unit 23. The setting information is deleted (step 18). Similarly, the setting information deletion unit 35 of the tunnel termination device 30 deletes the setting information stored in the setting information storage unit 34 (step 19).

なお、上述した例では、接続制御装置10に、トンネル接続装置20の接続先を予め設定することとしているが、これに代えて、トンネル接続装置20が送信する接続要求の中に、接続先のトンネル終端装置のIDを含めることで、トンネル接続装置20から接続先を指定することとしてもよい。   In the above-described example, the connection destination of the tunnel connection device 20 is set in advance in the connection control device 10, but instead of this, the connection request of the connection destination transmitted by the tunnel connection device 20 is included in the connection request. The connection destination may be designated from the tunnel connection device 20 by including the ID of the tunnel termination device.

また、上記の例では、トンネル終端装置30が、トンネル接続装置20から受信するユーザ通信用認証情報を用いて認証を行うこととしているが、その逆に、トンネル接続装置20が、トンネル終端装置30から受信するユーザ通信用認証情報を用いて認証を行うこととしてもよい。   In the above example, the tunnel termination device 30 performs authentication using the authentication information for user communication received from the tunnel connection device 20, but conversely, the tunnel connection device 20 performs the authentication. It is good also as authenticating using the authentication information for user communications received from.

また、上記の例では、トンネル終端装置30が、トンネル接続装置20から受信するユーザ通信用認証情報を用いて認証を行うこととしているが、トンネル接続装置20もトンネル終端装置30の認証を行うように構成することも可能である。この場合、例えば、接続制御装置10からトンネル終端装置30には、トンネル接続装置20を認証するためのユーザ通信用認証情報1と、トンネル終端装置30がトンネル接続装置20により認証されるためにトンネル接続装置20に送信するユーザ通信用認証情報2とが送信される。また、トンネル接続装置20にも、ユーザ通信用認証情報1とユーザ通信用認証情報2とが接続制御装置10から送信される。   In the above example, the tunnel termination device 30 performs authentication using the user communication authentication information received from the tunnel connection device 20, but the tunnel connection device 20 also authenticates the tunnel termination device 30. It is also possible to configure. In this case, for example, from the connection control device 10 to the tunnel termination device 30, the user communication authentication information 1 for authenticating the tunnel connection device 20 and the tunnel termination device 30 are authenticated by the tunnel connection device 20. The user communication authentication information 2 to be transmitted to the connection device 20 is transmitted. Also, the user communication authentication information 1 and the user communication authentication information 2 are transmitted from the connection control device 10 to the tunnel connection device 20.

また、本実施の形態では、接続制御装置10の装置構成として図2に例を示したが、装置構成は図2に限られるわけではなく、本発明に係る技術を実施できる構成であればどのような構成でもよい。例えば、接続制御装置を、通信ネットワークにおいて通信装置間での通信接続を制御する接続制御装置であって、第1の通信装置から接続要求を受信したときに、当該第1の通信装置の接続相手となる第2の通信装置に認証情報を送信する第1情報送信手段と、前記第2の通信装置から前記接続要求に対する応答を受信したときに、前記第1の通信装置に、前記認証情報を送信する第2情報送信手段と、を備え、前記認証情報は前記第1の通信装置又は前記第2の通信装置が、接続相手を認証するために用いられることを特徴とする接続制御装置として構成してもよい。   In the present embodiment, the example of the device configuration of the connection control device 10 is shown in FIG. 2, but the device configuration is not limited to FIG. 2, and any configuration that can implement the technology according to the present invention is possible. Such a configuration may be used. For example, the connection control apparatus is a connection control apparatus that controls communication connection between communication apparatuses in a communication network, and when a connection request is received from the first communication apparatus, the connection partner of the first communication apparatus When receiving a response to the connection request from the second communication device, the first information transmitting means for transmitting the authentication information to the second communication device, and the authentication information to the first communication device Second information transmission means for transmitting, and the authentication information is configured as a connection control device, wherein the first communication device or the second communication device is used for authenticating a connection partner. May be.

前記認証情報は、例えば、前記第1の通信装置と前記第2の通信装置との間の接続が終了したときに、前記第1の通信装置と前記第2の通信装置から削除される。   The authentication information is deleted from the first communication device and the second communication device, for example, when the connection between the first communication device and the second communication device is terminated.

前記第1情報送信手段は、前記第1の通信装置から接続要求を受信する度に、新たな認証情報を生成し、当該認証装置を接続相手となる通信装置に送信するように構成してもよい。また、前記第2の通信装置から受信する前記接続要求に対する応答には当該第2の通信装置のアドレス情報を含み、前記第2情報送信手段は、前記認証情報と当該アドレス情報を前記第1の通信装置に送信するようにしてもよい。   The first information transmission unit may be configured to generate new authentication information each time a connection request is received from the first communication device and transmit the authentication device to a communication device that is a connection partner. Good. Further, the response to the connection request received from the second communication device includes address information of the second communication device, and the second information transmitting means transmits the authentication information and the address information to the first information. You may make it transmit to a communication apparatus.

また、前記接続制御装置は、通信装置の接続先の情報を通信装置毎に格納した接続情報格納手段を備えてもよく、前記第1情報送信手段は、前記第1の通信装置から前記接続要求を受信したときに、前記接続情報格納手段を参照することで、当該第1の通信装置の接続先が前記第2の通信装置であると判断することとしてもよい。   The connection control device may include connection information storage means for storing information on a connection destination of the communication device for each communication device, and the first information transmission means receives the connection request from the first communication device. When the connection information storage unit is received, the connection destination of the first communication device may be determined to be the second communication device by referring to the connection information storage unit.

また、前記第1情報送信手段は、前記認証情報と接続プロトコルの情報を前記第2の通信装置に送信し、前記第2情報送信手段は、前記認証情報と前記接続プロトコルの情報を前記第1の通信装置に送信し、前記第1の通信装置と前記第2の通信装置間で、前記接続プロトコルに基づくトンネル接続が行われるようにしてもよい。   The first information transmitting unit transmits the authentication information and connection protocol information to the second communication apparatus, and the second information transmitting unit transmits the authentication information and the connection protocol information to the first communication device. To the communication device, and a tunnel connection based on the connection protocol may be performed between the first communication device and the second communication device.

(実施の形態のまとめ、効果等)
以上説明したように、本実施の形態では、トンネル接続装置20とトンネル終端装置30との間で、トンネル接続を開始する直前に接続制御装置10から配布されるユーザ通信用認証情報を用いて、トンネル接続の認証を行う。また、ユーザ通信用認証情報は、接続制御装置10とトンネル接続装置20/トンネル終端装置30との間で事前に確立されたセキュアな制御チャネルを通じて、接続制御装置10からトンネル接続装置20/トンネル終端装置30へ配布される。 (Summary of the embodiment, effects, etc.)
As described above, in the present embodiment, the authentication information for user communication distributed from the connection control device 10 immediately before starting the tunnel connection between the tunnel connection device 20 and the tunnel termination device 30 is used. Authenticate the tunnel connection. Further, the authentication information for user communication is transmitted from the connection control device 10 to the tunnel connection device 20 / tunnel termination through a secure control channel established in advance between the connection control device 10 and the tunnel connection device 20 / tunnel termination device 30. Distributed to the device 30.

トンネル接続装置20/トンネル終端装置30は、接続制御装置10から配布されたユーザ通信用認証情報を一時的に保持するが、トンネル接続が終了すれば破棄され、長期的に保持することはない。ユーザ通信用認証情報は、新たな接続の都度新しい情報が接続制御装置10から配布されるものである。   The tunnel connection device 20 / tunnel termination device 30 temporarily holds the authentication information for user communication distributed from the connection control device 10, but is discarded when the tunnel connection is completed and does not hold it for a long time. The user communication authentication information is distributed from the connection control device 10 every time a new connection is made.

本実施の形態によれば、ユーザ通信用認証情報(トンネル接続用の認証情報)を一時的な情報として扱うこととしたので、トンネル接続装置20/トンネル終端装置30の保持する情報が漏えいした際のセキュリティリスクを低減できる。つまり、トンネル接続装置20/トンネル終端装置30にはユーザ通信用認証情報が保持されないため、トンネル接続装置20/トンネル終端装置30上の情報が漏えいしても、その情報を用いたトンネル接続は実現できない。   According to the present embodiment, authentication information for user communication (authentication information for tunnel connection) is handled as temporary information, so that information held by tunnel connection device 20 / tunnel termination device 30 is leaked. Security risks can be reduced. That is, since the authentication information for user communication is not held in the tunnel connection device 20 / tunnel termination device 30, even if information on the tunnel connection device 20 / tunnel termination device 30 leaks, the tunnel connection using the information is realized. Can not.

また、本実施の形態によれば、トンネル接続先に応じたユーザ通信用認証情報の設定が不要になるため、設定の手間が軽減される。つまり、従来の技術では、接続相手に応じてトンネル接続を行う装置に対するユーザ通信用認証情報の設定を行っていたため、接続先装置が決まっていない場合には、設定作業を完了することができず、また、接続先を変更する場合には、接続先に応じたユーザ通信用認証情報の設定変更が必要であったところ、本実施の形態によれば、接続先に応じてユーザ通信用認証情報を設定する必要がないため、接続先が決まっていない状態でも、装置への設定作業を完了することができる。装置への設定を終えた後の、接続先を決定や変更が可能なため、運用手順を柔軟に設計することができる。   Also, according to the present embodiment, setting of user communication authentication information according to the tunnel connection destination is not required, so that the setting effort is reduced. In other words, in the conventional technology, authentication information for user communication is set for a device that performs a tunnel connection according to the connection partner, and therefore the setting operation cannot be completed if the connection destination device is not determined. In addition, when changing the connection destination, it is necessary to change the setting of the authentication information for user communication according to the connection destination. According to the present embodiment, the authentication information for user communication according to the connection destination Therefore, even when the connection destination is not determined, the setting operation for the apparatus can be completed. Since it is possible to determine and change the connection destination after the setting to the device is completed, the operation procedure can be designed flexibly.

また、本実施の形態によれば、接続先のオンデマンドな変更を可能にするという効果もある。つまり、接続先を変更する場合に、接続先に応じたユーザ通信用認証情報の再設定が必要ないため、必要なタイミングで接続先を変更することができる。また、接続要求を受けたタイミングで、複数のトンネル接続装置の負荷状態などに応じて接続先を決定するような、接続先の動的な振り分けも可能になる。
明細書には以下の事項が開示されている。
(第1項)
通信ネットワークにおいて通信装置間での通信接続を制御する接続制御装置であって、
第1の通信装置から接続要求を受信したときに、当該第1の通信装置の接続相手となる第2の通信装置に認証情報を送信する第1情報送信手段と、
前記第2の通信装置から前記接続要求に対する応答を受信したときに、前記第1の通信装置に、前記認証情報を送信する第2情報送信手段と、を備え、
前記認証情報は前記第1の通信装置又は前記第2の通信装置が、接続相手を認証するために用いられる
ことを特徴とする接続制御装置。
(第2項)
前記認証情報は、前記第1の通信装置と前記第2の通信装置との間の接続が終了したときに、前記第1の通信装置と前記第2の通信装置から削除される
ことを特徴とする第1項に記載の接続制御装置。
(第3項)
前記第1情報送信手段は、前記第1の通信装置から接続要求を受信する度に、新たな認証情報を生成し、当該認証情報を接続相手となる通信装置に送信する
ことを特徴とする第1項又は第2項に記載の接続制御装置。
(第4項)
前記第2の通信装置から受信する前記接続要求に対する応答には当該第2の通信装置のアドレス情報を含み、前記第2情報送信手段は、前記認証情報と当該アドレス情報を前記第1の通信装置に送信する
ことを特徴とする第1項ないし第3項のうちいずれか1項に記載の接続制御装置。
(第5項)
前記接続制御装置は、通信装置の接続先の情報を通信装置毎に格納した接続情報格納手段を備え、
前記第1情報送信手段は、前記第1の通信装置から前記接続要求を受信したときに、前記接続情報格納手段を参照することで、当該第1の通信装置の接続先が前記第2の通信装置であると判断する
ことを特徴とする第1項ないし第4項のうちいずれか1項に記載の接続制御装置。
(第6項)
前記第1情報送信手段は、前記認証情報と接続プロトコルの情報を前記第2の通信装置に送信し、前記第2情報送信手段は、前記認証情報と前記接続プロトコルの情報を前記第1の通信装置に送信し、
前記第1の通信装置と前記第2の通信装置間で、前記接続プロトコルに基づくトンネル接続が行われることを特徴とする第1項ないし第5項のうちいずれか1項に記載の接続制御装置。
(第7項)
コンピュータを、第1項ないし第6項のうちいずれか1項に記載の接続制御装置における各手段として機能させるためのプログラム。
(第8項)
通信ネットワークにおいて通信装置間での通信接続を制御する接続制御装置が実行する接続制御方法であって、
第1の通信装置から接続要求を受信したときに、当該第1の通信装置の接続相手となる第2の通信装置に認証情報を送信するステップと、
前記第2の通信装置から前記接続要求に対する応答を受信したときに、前記第1の通信装置に、前記認証情報を送信するステップと、を備え、
前記認証情報は前記第1の通信装置又は前記第2の通信装置が、接続相手を認証するために用いられる
ことを特徴とする接続制御方法。

In addition, according to the present embodiment, there is an effect that the connection destination can be changed on demand. That is, when the connection destination is changed, it is not necessary to reset the user communication authentication information according to the connection destination, and therefore the connection destination can be changed at a necessary timing. In addition, it is possible to dynamically distribute connection destinations such as determining connection destinations according to the load state of a plurality of tunnel connection devices at the timing of receiving a connection request.
The following items are disclosed in the specification.
(Section 1)
A connection control device for controlling communication connection between communication devices in a communication network,
First information transmitting means for transmitting authentication information to a second communication device that is a connection partner of the first communication device when a connection request is received from the first communication device;
A second information transmission unit configured to transmit the authentication information to the first communication device when a response to the connection request is received from the second communication device;
The authentication information is used by the first communication device or the second communication device to authenticate a connection partner.
A connection control device.
(Section 2)
The authentication information is deleted from the first communication device and the second communication device when the connection between the first communication device and the second communication device is terminated.
The connection control device according to item 1, characterized in that:
(Section 3)
Each time the first information transmission means receives a connection request from the first communication device, it generates new authentication information and transmits the authentication information to a communication device that is a connection partner.
3. The connection control device according to item 1 or 2, characterized by the above.
(Section 4)
The response to the connection request received from the second communication device includes the address information of the second communication device, and the second information transmitting means transmits the authentication information and the address information to the first communication device. Send to
The connection control device according to any one of Items 1 to 3, wherein the connection control device is characterized in that
(Section 5)
The connection control device includes a connection information storage unit that stores information on a connection destination of a communication device for each communication device,
The first information transmission unit refers to the connection information storage unit when receiving the connection request from the first communication device, so that the connection destination of the first communication device is the second communication. Determine device
The connection control device according to any one of Items 1 to 4, wherein the connection control device is characterized in that
(Section 6)
The first information transmission unit transmits the authentication information and connection protocol information to the second communication device, and the second information transmission unit transmits the authentication information and connection protocol information to the first communication. To the device,
The connection control device according to any one of claims 1 to 5, wherein a tunnel connection based on the connection protocol is performed between the first communication device and the second communication device. .
(Section 7)
The program for functioning a computer as each means in the connection control apparatus of any one of Claims 1 thru | or 6.
(Section 8)
A connection control method executed by a connection control device that controls communication connection between communication devices in a communication network,
When receiving a connection request from the first communication device, transmitting authentication information to a second communication device which is a connection partner of the first communication device;
Transmitting the authentication information to the first communication device when a response to the connection request is received from the second communication device; and
The authentication information is used by the first communication device or the second communication device to authenticate a connection partner.
A connection control method characterized by the above.

本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。   The present invention is not limited to the above-described embodiments, and various modifications and applications are possible within the scope of the claims.

10 接続制御装置
20 トンネル接続装置
30 トンネル終端装置
40 通信ネットワーク
11 制御通信処理部
12 認証処理部
13 登録情報格納部
14 制御用認証情報格納部
15 接続情報格納部
16 接続情報検索部
17 認証情報生成部
18 情報設定部
21 制御通信処理部
22 トンネル接続通信部
23 設定情報格納部
24 設定情報削除部
31 制御通信処理部
32 認証処理部
33 トンネル接続通信部
34 設定情報格納部
35 設定情報削除部 DESCRIPTION OF SYMBOLS 10 Connection control apparatus 20 Tunnel connection apparatus 30 Tunnel termination apparatus 40 Communication network 11 Control communication process part 12 Authentication process part 13 Registration information storage part 14 Control authentication information storage part 15 Connection information storage part 16 Connection information search part 17 Authentication information generation Unit 18 information setting unit 21 control communication processing unit 22 tunnel connection communication unit 23 setting information storage unit 24 setting information deletion unit 31 control communication processing unit 32 authentication processing unit 33 tunnel connection communication unit 34 setting information storage unit 35 setting information deletion unit

Claims (5)

通信ネットワークにおいて通信装置間での通信接続を制御する接続制御装置であって、
第1の通信装置から接続要求を受信したときに、当該第1の通信装置の接続相手となる第2の通信装置に認証情報を送信する第1情報送信手段と、
前記第2の通信装置から前記接続要求に対する応答を受信したときに、前記第1の通信装置に、前記認証情報を送信する第2情報送信手段と、
通信装置の接続先の情報を通信装置毎に格納した接続情報格納手段と、を備え、
前記認証情報は前記第1の通信装置又は前記第2の通信装置が、接続相手を認証するために用いられ、
前記第1情報送信手段は、前記第1の通信装置から前記接続要求を受信したときに、前記接続情報格納手段を参照することで、当該第1の通信装置の接続先が前記第2の通信装置であると判断する
ことを特徴とする接続制御装置。 A connection control device for controlling communication connection between communication devices in a communication network,
First information transmitting means for transmitting authentication information to a second communication device that is a connection partner of the first communication device when a connection request is received from the first communication device;
Second information transmission means for transmitting the authentication information to the first communication device when a response to the connection request is received from the second communication device;
Connection information storage means for storing information on the connection destination of the communication device for each communication device,
The authentication information is used by the first communication device or the second communication device to authenticate a connection partner,
The first information transmission unit refers to the connection information storage unit when receiving the connection request from the first communication device, so that the connection destination of the first communication device is the second communication. A connection control device characterized in that it is determined to be a device. 通信ネットワークにおいて通信装置間での通信接続を制御する接続制御装置であって、
第1の通信装置から接続要求を受信したときに、当該第1の通信装置の接続相手となる第2の通信装置に認証情報を送信する第1情報送信手段と、
前記第2の通信装置から前記接続要求に対する応答を受信したときに、前記第1の通信装置に、前記認証情報を送信する第2情報送信手段と、を備え、
前記認証情報は前記第1の通信装置又は前記第2の通信装置が、接続相手を認証するために用いられ、
前記第1情報送信手段は、前記認証情報と接続プロトコルの情報を前記第2の通信装置に送信し、前記第2情報送信手段は、前記認証情報と前記接続プロトコルの情報を前記第1の通信装置に送信し、
前記第1の通信装置と前記第2の通信装置間で、前記接続プロトコルに基づくトンネル接続が行われる
ことを特徴とする接続制御装置。 A connection control device for controlling communication connection between communication devices in a communication network,
First information transmitting means for transmitting authentication information to a second communication device that is a connection partner of the first communication device when a connection request is received from the first communication device;
A second information transmission unit configured to transmit the authentication information to the first communication device when a response to the connection request is received from the second communication device;
The authentication information is used by the first communication device or the second communication device to authenticate a connection partner,
The first information transmission unit transmits the authentication information and connection protocol information to the second communication device, and the second information transmission unit transmits the authentication information and connection protocol information to the first communication. To the device,
A connection control device, wherein a tunnel connection based on the connection protocol is performed between the first communication device and the second communication device. コンピュータを、請求項1又は2に記載の接続制御装置における各手段として機能させるためのプログラム。 The program for functioning a computer as each means in the connection control apparatus of Claim 1 or 2 . 通信ネットワークにおいて通信装置間での通信接続を制御する接続制御装置が実行する接続制御方法であって、
第1の通信装置から接続要求を受信したときに、当該第1の通信装置の接続相手となる第2の通信装置に認証情報を送信する第1情報送信ステップと、
前記第2の通信装置から前記接続要求に対する応答を受信したときに、前記第1の通信装置に、前記認証情報を送信する第2情報送信ステップと、を備え、
前記認証情報は前記第1の通信装置又は前記第2の通信装置が、接続相手を認証するために用いられ、
前記接続制御装置は、通信装置の接続先の情報を通信装置毎に格納した接続情報格納手段を備え、前記第1情報送信ステップにおいて、前記接続制御装置は、前記第1の通信装置から前記接続要求を受信したときに、前記接続情報格納手段を参照することで、当該第1の通信装置の接続先が前記第2の通信装置であると判断する
ことを特徴とする接続制御方法。 A connection control method executed by a connection control device that controls communication connection between communication devices in a communication network,
A first information transmission step of transmitting authentication information to a second communication device as a connection partner of the first communication device when a connection request is received from the first communication device;
A second information transmission step of transmitting the authentication information to the first communication device when a response to the connection request is received from the second communication device;
The authentication information is used by the first communication device or the second communication device to authenticate a connection partner,
The connection control device includes a connection information storage unit that stores information on a connection destination of a communication device for each communication device, and in the first information transmission step, the connection control device transmits the connection from the first communication device to the connection device. When the request is received, it is determined that the connection destination of the first communication device is the second communication device by referring to the connection information storage unit. 通信ネットワークにおいて通信装置間での通信接続を制御する接続制御装置が実行する接続制御方法であって、
第1の通信装置から接続要求を受信したときに、当該第1の通信装置の接続相手となる第2の通信装置に認証情報を送信する第1情報送信ステップと、
前記第2の通信装置から前記接続要求に対する応答を受信したときに、前記第1の通信装置に、前記認証情報を送信する第2情報送信ステップと、を備え、
前記認証情報は前記第1の通信装置又は前記第2の通信装置が、接続相手を認証するために用いられ、
前記第1情報送信ステップにおいて、前記接続制御装置は、前記認証情報と接続プロトコルの情報を前記第2の通信装置に送信し、前記第2情報送信ステップにおいて、前記接続制御装置は、前記認証情報と前記接続プロトコルの情報を前記第1の通信装置に送信し、
前記第1の通信装置と前記第2の通信装置間で、前記接続プロトコルに基づくトンネル接続が行われる
ことを特徴とする接続制御方法。 A connection control method executed by a connection control device that controls communication connection between communication devices in a communication network,
A first information transmission step of transmitting authentication information to a second communication device as a connection partner of the first communication device when a connection request is received from the first communication device;
A second information transmission step of transmitting the authentication information to the first communication device when a response to the connection request is received from the second communication device;
The authentication information is used by the first communication device or the second communication device to authenticate a connection partner,
In the first information transmission step, the connection control device transmits the authentication information and connection protocol information to the second communication device. In the second information transmission step, the connection control device transmits the authentication information. And the connection protocol information to the first communication device,
A connection control method, wherein a tunnel connection based on the connection protocol is performed between the first communication device and the second communication device.
JP2013185528A 2013-09-06 2013-09-06 Connection control device, connection control method, and program Active JP6267462B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013185528A JP6267462B2 (en) 2013-09-06 2013-09-06 Connection control device, connection control method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013185528A JP6267462B2 (en) 2013-09-06 2013-09-06 Connection control device, connection control method, and program

Publications (2)

Publication Number Publication Date
JP2015053609A JP2015053609A (en) 2015-03-19
JP6267462B2 true JP6267462B2 (en) 2018-01-24

Family

ID=52702322

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013185528A Active JP6267462B2 (en) 2013-09-06 2013-09-06 Connection control device, connection control method, and program

Country Status (1)

Country Link
JP (1) JP6267462B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017092822A1 (en) * 2015-12-04 2017-06-08 Nec Europe Ltd. Method for establishing data traffic between a client device and one or more devices of an operator's network
JP6940892B1 (en) * 2020-04-01 2021-09-29 ケ, ミン チーKe, Ming Chi Devices that connect devices in a virtual private network, their methods, and recording media that can be read by a personal computer.

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010193101A (en) * 2009-02-17 2010-09-02 Nippon Telegr & Teleph Corp <Ntt> Device, method and program for processing communication
JP5148540B2 (en) * 2009-03-30 2013-02-20 セコム株式会社 Monitoring system

Also Published As

Publication number Publication date
JP2015053609A (en) 2015-03-19

Similar Documents

Publication Publication Date Title
RU2542911C2 (en) Low-latency peer-to-peer session establishment
US11451614B2 (en) Cloud authenticated offline file sharing
CN107659406B (en) Resource operation method and device
US20160269176A1 (en) Key Configuration Method, System, and Apparatus
CN106850680B (en) Intelligent identity authentication method and device for rail transit equipment
CN107040513B (en) Trusted access authentication processing method, user terminal and server
JP5068495B2 (en) Distributed authentication function
US11282079B2 (en) Method for securing contactless transactions
US20170201382A1 (en) Secure Endpoint Devices
KR20130127523A (en) Connecting mobile devices, internet-connected vehicles, and cloud services
US9344417B2 (en) Authentication method and system
US20130339736A1 (en) Periodic platform based web session re-validation
WO2013087039A1 (en) Secure data transmission method, device and system
CN112714053B (en) Communication connection method and device
US9998287B2 (en) Secure authentication of remote equipment
JP2016526844A (en) Key establishment for constrained resource devices
WO2014176997A1 (en) Method and system for transmitting and receiving data, method and device for processing message
WO2014127751A1 (en) Wireless terminal configuration method, apparatus and wireless terminal
CN104901940A (en) 802.1X network access method based on combined public key cryptosystem (CPK) identity authentication
JP4299621B2 (en) Service providing method, service providing program, host device, and service providing device
BR112021003460A2 (en) device with no subscriber identity, device with subscriber identity, method for use on a device without subscriber identity, method for use on a device with subscriber identity, and computer program product
BR112021003448A2 (en) device without subscriber identity, subscriber identity device, method for use on a device without subscriber identity, method for use on a device with subscriber identity, and downloadable computer program product
KR102244184B1 (en) Provisioning method of a first communication device using a second communication device
JP6699445B2 (en) Information processing apparatus, information processing program, information processing method, and information processing system
JP6267462B2 (en) Connection control device, connection control method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160122

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161108

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170206

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20170829

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171127

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20171204

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171219

R150 Certificate of patent or registration of utility model

Ref document number: 6267462

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250