JP6571615B2 - Authentication server, distribution device, client terminal authentication system, and client terminal authentication method - Google Patents
Authentication server, distribution device, client terminal authentication system, and client terminal authentication method Download PDFInfo
- Publication number
- JP6571615B2 JP6571615B2 JP2016172191A JP2016172191A JP6571615B2 JP 6571615 B2 JP6571615 B2 JP 6571615B2 JP 2016172191 A JP2016172191 A JP 2016172191A JP 2016172191 A JP2016172191 A JP 2016172191A JP 6571615 B2 JP6571615 B2 JP 6571615B2
- Authority
- JP
- Japan
- Prior art keywords
- client terminal
- router
- authentication
- vvpn
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、無線通信における認証サーバ、振分装置、クライアント端末認証システム及びクライアント端末認証方法に関する。 The present invention relates to an authentication server, a sorting device, a client terminal authentication system, and a client terminal authentication method in wireless communication.
スマートフォンやタブレット端末等、ユーザが携帯可能な情報通信機器が一般化するとともに、無線通信が利用される場面が拡大している。これに伴い、ユーザが携帯情報端末を用いてWi−Fi(登録商標)等の無線通信ネットワークから固定通信回線に接続し、多様なサービスを利用することも増えている。 As information communication devices that can be carried by users, such as smartphones and tablet terminals, are becoming more common, the scenes in which wireless communication is used is expanding. Along with this, users are increasingly using various services by connecting to a fixed communication line from a wireless communication network such as Wi-Fi (registered trademark) using a portable information terminal.
ユーザが情報通信端末を用いて固定通信回線にアクセスする場合は、高いセキュリティを実現するために例えば回線認証等の技術が利用される。回線認証とは、ユーザの情報通信端末を一意に識別する発信者ID(Identifier)と、ホームゲートウェイ(HGW)等に接続される通信回線を一意に識別する回線認証IDと、を用いた認証技術である。回線認証により、ユーザが、契約している回線以外からネットワークにアクセスすることを防止することができる。 When a user accesses a fixed communication line using an information communication terminal, a technique such as line authentication is used to realize high security. Line authentication is an authentication technique using a caller ID (Identifier) that uniquely identifies a user's information communication terminal and a line authentication ID that uniquely identifies a communication line connected to a home gateway (HGW) or the like. It is. The line authentication can prevent the user from accessing the network from other than the contracted line.
ただし、ユーザがWi−Fi等の無線ネットワークを利用する場合は、ユーザがネットワークに接続しようとする場所を予め特定できず、任意の回線が共用されるため、回線認証の技術を用いて高いセキュリティを実現することはできない。 However, when a user uses a wireless network such as Wi-Fi, the location where the user tries to connect to the network cannot be specified in advance, and an arbitrary line is shared. Cannot be realized.
そこで、ネットワークの末端にアドレス割当サーバを設け、このアドレス割当サーバにおいて簡易認証を実行した後に、上流の認証サーバにおいて、クライアント端末の証明書に基づく認証をさらに行うことで、無線回線を利用した情報通信におけるセキュリティを確保した端末認証システムが提案されている(例えば、特許文献1参照)。 Therefore, an address allocation server is provided at the end of the network, and after performing simple authentication at this address allocation server, further authentication based on the certificate of the client terminal is further performed at the upstream authentication server, so that information using a wireless line is obtained. A terminal authentication system that ensures security in communication has been proposed (see, for example, Patent Document 1).
このシステムは、例えば、クライアント端末を二段階にわたって認証した上で、仮想vVPN−GW、或いは、ルータでVPN(Virtual Private Network)を構成する手法である。例えば、このシステムは、暗号化トンネルの一つであるSSL(Secure Sockets Layer)/TLS(Transport Layer Security)−VPN技術を使用する。また、例えば、ホームゲートウェイを仮想化してネットワーク側へ配置する構成や、公衆Wi−FiからvCPE(virtual Customer Premises Equipment)に接続する構成にも、このクライアント端末認証システムを適用可能である。 This system is, for example, a method for configuring a virtual vVPN-GW or a VPN (Virtual Private Network) with a router after authenticating a client terminal in two stages. For example, this system uses SSL (Secure Sockets Layer) / TLS (Transport Layer Security) -VPN technology, which is one of encrypted tunnels. Further, for example, this client terminal authentication system can be applied to a configuration in which a home gateway is virtualized and arranged on the network side, or a configuration in which a public Wi-Fi is connected to a vCPE (virtual customer premises equipment).
そこで、従来のクライアント端末認証システムの構成及び処理の流れについて説明する。図20及び図22は、従来のクライアント端末認証システム1Pの構成及び処理の流れを示す図である。また、図21は、従来のクライアント端末認証システム1Pの構成及び処理の流れを示すシーケンス図である。
Therefore, the configuration and processing flow of a conventional client terminal authentication system will be described. 20 and 22 are diagrams showing the configuration and processing flow of a conventional client
図20及び図21に示すように、従来では、クライアント端末10Pが、Wi−Fi−AP(アクセスポイント)8APを介して、付加価値装置群または外部ネットワーク(NW)100Pに接続する場合、まず、ネットワークの末端のサービスポータルサーバ2Pが、クライアント端末10Pに対し簡易認証を行ってIPアドレスを割り当てる。クライアント端末10Pは、このIPアドレスを用いて、サービスポータルサーバ2Pを介して、上流の認証サーバ3Pに、トンネル確立要求のためのユーザ証明書及びクライアントアドレスを送付する(図20の(1)及び図21のステップS31,S32参照)。ユーザ証明書は、ユーザ認証時に使用するものである。
As shown in FIGS. 20 and 21, conventionally, when the
認証サーバ3Pでは、クライアント端末10Pに対するユーザ認証を行い(図20の(2)参照)、認証に成功した場合には、認証結果をサービスポータルサーバ2Pに返却する(図21のステップS33参照)。認証結果は、クライアント端末10Pに割り当てられたvVPN−GW7APのアドレス、ID及びパスワード(PW)、クライアント証明書である。このクライアント証明書は、vVPNトンネル確立時に使用するものである。
The
サービスポータルサーバ2Pは、通信フローを制御するアクセス制御管理装置4Pに、このクライアント端末10Pが接続するAP8APのアドレス(送信元アドレス)と、クライアント端末10Pに割り当てられた、接続先のvVPN−GW7APのアドレス(送信先アドレスDA)との、アクセス制御リスト(Access Control List:ACL)への設定依頼を行う(図20の(3)及び図21のステップS34参照)。
The
これに応じて、アクセス制御管理装置4Pは、ACLの設定を行う(図21のステップS35参照)。そして、アクセス制御管理装置4Pは、ACLの設定内容にしたがって、アクセス制御装置5APに、AP8APとvVPN−GW7APとの間のアクセス許可を通知し、これに従い、アクセス制御装置5APは、この許可された、AP8APとvVPN−GW7APとの間を流れるパケットのみ通過させる(図20の(3’)参照)。なお、振分装置6APは、アクセス制御装置5APから送信されたパケットを、このパケットの送信先となるvVPN−GW7APに振り分ける(図20の(3”)参照)。
In response to this, the access
そして、認証サーバ3Pは、クライアント端末10Pに対する認証結果に基づき、送信先のvVPN−GW7APに認証情報を設定する(図20の(4)及び図21のステップS36参照)。この認証情報は、クライアント端末10Pのクライアントアドレス及びクライアント証明書である。続いて、サービスポータルサーバ2Pは、クライアント端末10Pに、クライアント端末10Pに割り当てられたvVPN−GW7APのアドレス、ID及びPW、クライアント証明書を返却する(図20の(5)及び図21のステップS37参照)。そして、クライアント端末10Pは、vVPN−GW7APに対し、ID及びPW、クライアント証明書を送信して、トンネル確立依頼を行う(図20の(6)及び図21のステップS38参照)。これによって、クライアント端末10Pと、vVPN−GW7APとの間で、例えば、SSL/TLS認証を行い、トンネルを確立し、暗号化通信を行う。
Then, the
この従来の構成では、無線通信におけるクライアント端末認証方法の冗長構成システムとして、一般的には仮想マシンを管理する仮想マシン管理機能を使用することが一般的である。しかしながら、この仮想マシン管理機能の設置コストが高いという問題がある。 In this conventional configuration, a virtual machine management function for managing virtual machines is generally used as a redundant configuration system for a client terminal authentication method in wireless communication. However, there is a problem that the installation cost of this virtual machine management function is high.
また、仮想マシン管理機能がvVPN−GW7APの故障(図22の(1)参照)を検知し、vVPN−GW7BP(SBY)へ切り替えを行う場合(図22の(2)参照)であっても、仮想マシン管理機能と、アクセス制御管理装置4Pとの連携がなく、認証サーバ3P、各vVPN−GW7AP,7BPに接続する振分装置6AP,6BPが、vVPN−GWの切り替えに追随できない(図22の(3)参照)。
Even when the virtual machine management function detects a failure of vVPN-GW7AP (see (1) in FIG. 22) and switches to vVPN-GW7BP (SBY) (see (2) in FIG. 22), Since there is no cooperation between the virtual machine management function and the access
さらに、仮想マシン管理機能とアクセス制御管理装置4Pとの連携がないため、vVPN−GWの切り替えを、vVPN−GW7AP,7BPへのパケットの通過を許可するアクセス制御装置5AP,5BPに、vVPN−GWの切り替えを通知できない(図22の(4)参照)。すなわち、認証ごとにアクセス制御設定をする構成であるものの、vVPN−GWが切り替わったことをアクセス制御装置5AP,5BPへ通知する仕組みがないため、クライアント端末10P側から確立要求をしてもアクセス制御装置5AP,5BPにおいて確立要求が削除される。
Further, since there is no cooperation between the virtual machine management function and the access
そして、前提としている暗号化トンネルにおいては、トンネル確立ごとに暗号化の鍵が異なるため、再度認証から行う必要がある。しかしながら、従来の構成では、認証情報をvVPN−GW7BP(SBY)へ引き継げないため、再度、トンネルの再設定を行う必要があった。 In the presupposed encryption tunnel, since the encryption key is different every time the tunnel is established, it is necessary to perform authentication again. However, in the conventional configuration, since authentication information cannot be transferred to vVPN-GW7BP (SBY), it is necessary to reset the tunnel again.
ここで、通常であれば、クライアント端末10Pからトンネル確立要求が可能である。しかしながら、最近増加しているIoT(Internet of Things)端末(例えば、センサ等)では、小型化や電力削減のために機能が限定的であり、端末で、vVPN−GWの障害の検知、及び、トンネルを再確立するというロジックがない実装が存在する。したがって、ユーザは、切り替え先のvVPN−GW7BPを介して付加価値装置群または外部NW100Pに接続するために、再度、サービスポータルサーバ2Pへのアクセスからやり直し、認証サーバ3Pからユーザ証明書、ID/PWをもらう必要がある(図22の(5)参照)。このように、再度認証から行うと、トンネルの再確立までに時間を要し、トンネル断時間(センサからデータを取れない時間)が長くなるという問題があった。
Here, normally, a tunnel establishment request can be made from the
したがって、従来の技術では、仮想マシン管理機能の設置の有無によらず、クライアント端末10Pに割り当てられたvVPN−GWの故障に応じてvVPN−GWの切り替えが生じた場合、ユーザが、再度、サービスポータルサーバ2Pへアクセスして改めて簡易認証から認証を受ける必要があり、ユーザの利便性に欠けるという問題があった。
Therefore, according to the conventional technique, when the vVPN-GW is switched according to the failure of the vVPN-GW assigned to the
本発明は、上記に鑑みてなされたものであって、無線回線を利用した情報通信において、簡易な構成及びユーザ利便性を確保しながら、ルータの切り替えにともなう通信認証の再確立を円滑に実行することができる認証サーバ、振分装置、クライアント端末認証システム及びクライアント端末認証方法を提供することを目的とする。 The present invention has been made in view of the above, and in information communication using a wireless line, re-establishment of communication authentication accompanying router switching is performed smoothly while ensuring a simple configuration and user convenience. It is an object of the present invention to provide an authentication server, a sorting device, a client terminal authentication system, and a client terminal authentication method.
上述した課題を解決し、目的を達成するために、本発明に係る認証サーバは、冗長系を組むルータと、クライアント端末との間におけるVPN通信において、通常運用時においては、端末認証を行い、現用系ルータにクライアント端末の認証情報を設定することによってクライアント端末とルータとの間におけるVPN通信を可能とし、予備系ルータへの切替時においては、クライアント端末の認証情報を予備系ルータに引き継ぐとともに予備系ルータにクライアント端末へのVPNの設定を指示することを特徴とする。 In order to solve the above-described problems and achieve the object, an authentication server according to the present invention performs terminal authentication during normal operation in VPN communication between a router that forms a redundant system and a client terminal, VPN authentication between the client terminal and the router is enabled by setting the authentication information of the client terminal in the active router, and when switching to the standby router, the authentication information of the client terminal is taken over to the standby router. The backup router is instructed to set the VPN to the client terminal.
本発明によれば、無線回線を利用した情報通信において、簡易な構成及びユーザ利便性を確保しながら、ルータの切り替えにともなう通信認証の再確立を円滑に実行することができる。 ADVANTAGE OF THE INVENTION According to this invention, in information communication using a radio | wireless line, re-establishment of the communication authentication accompanying switching of a router can be performed smoothly, ensuring a simple structure and user convenience.
以下、図面を参照して、本発明の一実施の形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。 Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings. In addition, this invention is not limited by this embodiment. Moreover, in description of drawing, the same code | symbol is attached | subjected and shown to the same part.
[実施の形態]
実施の形態に係るクライアント端末認証システムについて、クライアント端末認証システム全体の概略構成、クライアント端末認証システムを構成する各装置の概略構成、クライアント端末認証システムにおける処理の流れ及び具体例を説明する。なお、以降で説明するアクセス制御装置、AP等の台数は、あくまで例示であり、これに限定されるものではない。
[Embodiment]
With regard to the client terminal authentication system according to the embodiment, a schematic configuration of the entire client terminal authentication system, a schematic configuration of each device configuring the client terminal authentication system, a processing flow in the client terminal authentication system, and a specific example will be described. Note that the numbers of access control devices and APs described below are merely examples, and are not limited thereto.
[クライアント端末認証システムの構成]
まず、図1を参照して、実施の形態に係るクライアント端末認証システムの構成について説明する。図1は、実施の形態に係るクライアント端末認証システムの構成の一例を説明するための図である。
[Configuration of client terminal authentication system]
First, the configuration of the client terminal authentication system according to the embodiment will be described with reference to FIG. FIG. 1 is a diagram for explaining an example of a configuration of a client terminal authentication system according to an embodiment.
図1に示すように、実施の形態に係るクライアント端末認証システム1は、サービスポータルサーバ2(アドレス割当サーバ)、サービスポータルサーバ2よりもネットワークの上流に位置する認証サーバ3、アクセス制御管理装置4、アクセス制御装置5A,5B、振分装置6A,6B、vVPN−GW7A,7B、及び、クライアント端末10が無線通信を行うアクセスポイント(AP)8A,AP8Bを有する。
As shown in FIG. 1, a client terminal authentication system 1 according to an embodiment includes a service portal server 2 (address assignment server), an
なお、vVPN−GW7A(現行系ルータ、第1のルータ)は、クライアント端末10に割り当てられて稼働するvVPN−GW(ACT)であり、vVPN−GW7B(予備系ルータ、第2のルータ)は、vVPN−GW7Aが稼働する間は待機し、vVPN−GW7Aが故障した場合には稼働するvVPN−GW(SBY)である。クライアント端末認証システム1は、冗長系を組むvVPN−GWと、クライアント端末10との間におけるVPN通信に関するシステムである。
The vVPN-
本実施の形態に係るクライアント端末認証システム1では、vVPN−GW7Aの故障検知機能、故障検知後のvVPN−GWの切り替え動作のために必要とするトンネル確立用の認証情報の同期機能、認証サーバ3のサービスポータルサーバ2を介してのACL設定依頼機能、クライアント端末10におけるトンネル再確立のためのトンネル起動機能を設定する。これによって、クライアント端末認証システム1では、冗長系を組むvVPN−GWと、クライアント端末10との間におけるVPN通信を実行する際に、簡易な構成及びユーザ利便性を確保しながら、vVPN−GWの切り替えにともなう通信認証の再確立を円滑に実行することを可能にする。
In the client terminal authentication system 1 according to the present embodiment, a failure detection function of the vVPN-
クライアント端末10は、AP8A,AP8B間との無線通信によりネットワークに接続して、該クライアント端末10に割り当てられたvVPN−GW7A、7Bを介して、付加価値装置群または外部ネットワーク100に接続する。付加価値装置群は、例えば、vVPN−GW7A、7Bに接続したクライアント端末10限定のコンテンツ配信や翻訳等の付加価値を提供する映像配信サーバや翻訳サーバを含む。
The
クライアント端末10は、AP8A或いはAP8Bとの間で無線通信を行う端末であって、スマートフォンやタブレット端末等、例えば、ユーザが携帯可能な情報通信機器である。クライアント端末10は、予め、サービスを受けるためのユーザ証明書を保持している。クライアント端末10は、サービスポータルサーバ2にアドレス認証割当要求を行い、サービスポータルサーバ2から割り当てられたIPアドレスを用いて、認証サーバ3にユーザ証明書を送信する。或いは、クライアント端末10は、ログインID、PWを用いて、認証サーバ3への認証を要求することも可能である。
The
そして、クライアント端末10は、認証サーバ3から、通信認証(例えば、SSL/TLS認証)に要する認証証明書(例えば、クライアント証明書)、ID及びPWを返却された場合、AP8Aを介して、割り当てられたvVPN−GW7Aにトンネル確立依頼を行う。クライアント端末10は、vVPN−GW7Aとの間でSSL/TLS認証を実行して確立したトンネルを用いて、vVPN−GW7Aとの間で暗号化通信を行う。また、クライアント端末10は、認証サーバ3からvVPN−GW7A,vVPN−GW7Bのアドレス情報(接続先情報)を受信し、このアドレス情報に含まれるアドレスを有するvVPN−GW7Bからトンネル確立依頼を受けた場合には、該vVPN−GW7Bとの間でSSL/TLS認証を実行してトンネルを確立する。
When the authentication certificate required for communication authentication (for example, SSL / TLS authentication) (for example, client certificate), ID, and PW is returned from the
サービスポータルサーバ2は、ネットワークの末端に位置し、各種サービスを受け付ける。このサービスの中には、クライアント端末10に対する簡易認証を含み、サービスポータルサーバ2は、クライアント端末10からのアドレス割当要求を受信して、アドレス認証を実行してアドレス認証に成功した場合には、クライアント端末10に、認証サーバ3への証明書送付用のアドレスを送信する。また、サービスの中には、簡易認証後のクライアント端末10による認証サーバ3への認証要求、及び、認証結果のクライアント端末10への返却を含む。なお、サービスポータルサーバ2は、認証結果として、認証後のID、PWに加え、該クライアント端末10に割り当てられたvVPN−GW7A(ACT)のアドレス、故障時のvVPN−GW7B(SBY)のアドレスを、クライアント端末10に返却する。
The
また、サービスポータルサーバ2は、認証結果に基づくアクセス管理を実行するよう、アクセスが許可されたクライアント端末10をアクセス許可対象として設定する依頼を、アクセス制御管理装置4に行う。例えば、サービスポータルサーバ2は、認証サーバ3によってアクセスが許可されたクライアント端末10と無線通信を行うAP8Aのアドレスと該クライアント端末10に送信先として割り当てられたvVPN−GW7A(ACT)のアドレスとをアクセス制御装置5Aの識別情報に対応付けてACLに設定する依頼を、アクセス制御管理装置4に対して行う。そして、サービスポータルサーバ2は、振分装置6A(後述)によるvVPN−GW7AからvVPN−GW7Bへの切り替えがあった場合、ACLのうち、クライアント端末10が接続するAPに対応するvVPN−GWを、vVPN−GW7AからvVPN−GW7Bに切り替える依頼を行う。
Further, the
認証サーバ3は、通常運用時においては、端末認証を行い、vVPN−GW7Aにクライアント端末10の認証情報を設定することによってクライアント端末10とvVPN−GW7Aとの間におけるVPN通信を可能とし、vVPN−GW7Bへの切替時においては、クライアント端末10の認証情報をvVPN−GW7Bに引き継ぐとともにvVPN−GW7Bにクライアント端末10へのVPNの設定を指示する。具体的には、認証サーバ3は、サービスポータルサーバ2を介し、簡易認証後のクライアント端末10が送信するユーザ証明書を受信して、該送信されたユーザ証明書を用いたユーザ認証を実行する。認証サーバ3は、このユーザ証明書を用いて認証に成功した場合、クライアント端末10のネットワークへのアクセスを許可し、サービスポータルサーバ2を介して、認証結果をクライアント端末10に返却する。認証結果は、前述したように、認証後のID、PW、該クライアント端末10に割り当てられたvVPN−GW7A(ACT)のアドレス、故障時のvVPN−GW7B(SBY)のアドレスである。
The
また、認証サーバ3は、vVPN−GW7A、vVPN−GW7Bとの間で、クライアント端末10との間で行うSSL/TLS認証に必要である認証情報の同期を行う。なお、認証サーバ3は、vVPN−GW7A及びvVPN−GW7Bのアドレス情報を予め登録している。また、認証サーバ3は、クライアント端末10から送信されたログインID、PWを用いて認証処理を行ってもよい。
Further, the
アクセス制御管理装置4は、アクセス制御装置5A,5Bに対してアクセス制御指示を行うことによって、クライアント端末10ごとに異なるアクセス制御を行う。アクセス制御に関するACLを保持する。このACLは、認証サーバ3によってアクセスが許可されたクライアント端末10と無線通信を行うAPのアドレス(送信元アドレス:SA)と、クライアント端末10に割り当てられた送信先のvVPN−GWのアドレス(送信先アドレス:DA)と、を、アクセス制御装置5A,5Bの識別情報に対応付けたリストである。このACLに設定する情報は、サービスポータルサーバ2から依頼される。
The access
アクセス制御管理装置4は、サービスポータルサーバ2によるvVPN−GW7AからvVPN−GW7Bへの切り替え依頼に応じて、ACLのうち、クライアント端末10が接続するAPに対応するvVPN−GWをvVPN−GW7AからvVPN−GW7Bに切り替える。これとともに、アクセス制御管理装置4は、アクセス制御装置5Bに対して、クライアント端末10が接続するAP8BとvVPN−GW7Bとの間を流れるパケットの通過を許可する。
In response to the switching request from the vVPN-
アクセス制御装置5Aは、振分装置6A(第1の振分装置)と接続するvVPN−GW7AとAP8Aとの間のアクセスを制御し、アクセスが許可されたパケットを通過させる。例えば、アクセス制御装置5Aは、AP8Aを経路に含み、クライアント端末10と、該クライアント端末10に割り当てられたvVPN−GW7Aとの間のトンネルT1を流れるパケットを通過させる。
The
また、アクセス制御装置5Bは、振分装置6AによるvVPN−GW7AからvVPN−GW7Bへの切り替えがあった場合、振分装置6B(第2の振分装置)と接続するvVPN−GW7BとAP8Bとの間のアクセスを制御し、アクセスが許可されたパケットを通過させる。例えば、アクセス制御装置5Bは、AP8Bを経路に含み、クライアント端末10とvVPN−GW7Bとの間のトンネルを流れるパケットを通過させる。
In addition, when the
振分装置6Aは、受信したパケットのアウターヘッダに含まれたDAを参照し、受信したパケットのうち、vVPN−GW7A宛のパケットを、vVPN−GW7Aに振り分ける。
The
また、振分装置6Aは、vVPN−GW7Aの故障を検知した場合には、認証サーバ3に対し、クライアント端末10との間で行うSSL/TLS認証に必要である認証情報のvVPN−GW7Bへの送信を指示する。この場合、認証サーバ3は、vVPN−GW7Bに対して、少なくともSSL/TLS認証の実行先となるクライアント端末10のアドレス情報、及び、クライアント端末10との間で使用するSSL/TLS認証用の鍵情報を、認証情報として送信する。そして、振分装置6Aは、vVPN−GW7AからvVPN−GW7Bへのパケットの振り分けの切り替えを、振分装置6Bに指示する。このように、振分装置6Aは、vVPN−GW7AからvVPN−GW7Bへの切り替えを指示する。なお、振分装置6Aは、vVPN−GW7A及びvVPN−GW7Bのアドレス情報を予め登録している。
When the
振分装置6Bは、振分装置6Aのゲートウェイの切り替えにしたがって、アクセス制御装置5Bを介して受信したパケットの振り分け先をvVPN−GW7Bに切り替える。
The
vVPN−GW7A,7Bは、ネットワーク側に配置され、クライアント端末10との間に確立されるトンネルの終端点が設定されている。vVPN−GW7A,7Bは、物理サーバの仮想環境下において動作する仮想マシンであり、クライアント端末10が使用するサービスに応じて付加価値装置群または外部NW100に接続する。すなわち、vVPN−GW7A,7Bは、付加価値装置群または外部NW100にアクセスする際の出入口として機能する。そして、vVPN−GW7A,7Bは、複数のクライアント端末10をグループ化し、グループ単位でカスタマイズされた付加価値を提供する。
The vVPN-
vVPN−GW7A,7Bは、電子証明書を含みSSL/TSLにより暗号化されたパケットを、クライアント端末10から受信する。そして、vVPN−GW7A,7Bは、認証サーバ3との間で同期した認証情報を基に、受信したパケットを復号化する。続いて、vVPN−GW7A,7Bは、パケット内の電子証明書を用いて通信相手のクライアント端末10が真正であることを認証した場合には、このクライアント端末10との間にトンネル(具体的には、暗号化IPトンネルである。)を確立する。その後、vVPN−GW7A,7Bは、このトンネルを用いて、クライアント端末10との間でデータを暗号化して通信を行う。
The vVPN-
vVPN−GW7Aは、vVPN−GW7Aが稼働する間は待機し、vVPN−GW7Aが故障した場合には、クライアント端末10との間で行うSSL/TSL認証に必要である認証情報を用いて、該クライアント端末10との間にトンネルを確立する。
The vVPN-
なお、本実施の形態では、vVPN−GW7A,7BでVPNを構成する方式であるが、CPE(Customer Premises Equipment)を仮想化したvCPEを構成してもよい。また、vVPN−GW7A,7Bは、物理サーバそのものであってもよい。また、vVPN−GW7A,7Bは、ルータ、或いは、GWルータであってもよい。
In this embodiment, the vVPN-
AP8A及びAP8Bは、無線通信にてクライアント端末10と接続する中継装置であり、例えば、有線LANとの接続機能も有する。AP8Aは、アクセス制御装置5Aと接続する。AP8Bは、アクセス制御装置5Bと接続する。AP8A及びAP8Bは、クライアント端末10から送信されたパケットについて、NAPT(Network Address Port Translation)によりIPアドレスおよびポート番号を変換する。この場合、AP8A及びAP8Bが送信するパケットのインナーヘッダのアドレスは、APでNAPTされた値であり、同じAPに接続しているクライアント群については、同じ値となる。このため、アクセス制御管理装置4及びアクセス制御装置5A,5Bは、アウターヘッダの情報を認識することによってアクセス制御を行う。或いは、クライアント端末10がvVPN−GW7に送信するパターンの場合には、クライアント端末10側で、インナーDAアドレスにOTTサーバアドレスを設定し、アウターDAアドレスにvVPN−GW7アドレスを設定する構成で、AP8A,8Bにパケットが送信される。
The
このクライアント端末認証システム1では、認証サーバ3による認証後、クライアント端末10について、AP8Aを含むトンネルT1を確立した後に、振分装置6AがvVPN−GW7Aの故障の有無を検知する。そして、振分装置6Aが、vVPN−GW7Aの故障を検知し、vVPN−GW7Bへの切り替えを指示する。これに伴い、認証サーバ3による認証情報のvVPN−GW7Bへの送信、及び、サービスポータルサーバ2を介したアクセス制御管理装置4へのvVPN−GW7Bとクライアント端末10との間のアクセス許可依頼が実行される。これによって、切り替え後のvVPN−GW7Bから、クライアント端末10に対して、トンネル確立依頼を送付することが可能である。
In this client terminal authentication system 1, after authentication by the
そして、実施の形態では、クライアント端末10は、登録したアドレスを有するvVPN−GW7Bからのトンネル確立依頼を受信した場合には、トンネルを確立する機能を有する。このため、クライアント端末10は、vVPN−GW7Bによるトンネル確立依頼に応じて、vVPN−GW7Bとの間でトンネルを確立することができる。したがって、本実施の形態では、仮想装置管理機能を設けずとも、簡易な構成のままで、ユーザが、再度、サービスポータルサーバ2へアクセスして改めて簡易認証から認証を受けなくとも、vVPN−GWの切り替えにともなう通信認証の再確立を円滑に実行することができる。そこで、クライアント端末認証システム1の要部装置の構成について説明する。
In the embodiment, the
[サービスポータルサーバの構成]
まず、サービスポータルサーバ2の構成について説明する。図2は、図1に示すサービスポータルサーバ2の構成の一例を示すブロック図である。図2に示すように、サービスポータルサーバ2は、通信部21、記憶部22及び制御部23を有する。
[Service Portal Server configuration]
First, the configuration of the
通信部21は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースである。 The communication unit 21 is a communication interface that transmits and receives various types of information to and from devices connected via a network.
記憶部22は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、サービスポータルサーバ2を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。記憶部22は、アドレス割当を行ったクライアント端末10のIPアドレス、認証サーバ3による認証が成功したクライアント端末10の認証結果を記憶する。記憶部22は、予め、vVPN−GW7A,7B両方の接続先情報を記憶する。
The storage unit 22 is realized by a semiconductor memory device such as a RAM (Random Access Memory) or a flash memory, or a storage device such as a hard disk or an optical disk, and a processing program for operating the
制御部23は、各種の処理手順などを規定したプログラム及び所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。例えば、制御部23は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路である。制御部23は、認証受付部231及びアクセス制御リスト設定依頼部232を有する。
The
認証受付部231は、APとの間の無線通信を介したクライアント端末10からのアドレス認証割当要求を受け付けて簡易認証を行い、認証に成功すると、クライアント端末10にIPアドレスを割り当てる。なお、この簡易認証については、特に限定せず、ネットワークに要求されるセキュリティのレベルに応じて認証レベルを設定すればよい。たとえば、認証受付部231は、回線認証と同様に、発信者IDと回線認証IDを取得し、登録されたユーザの発信者IDが取得された場合のみIPアドレスを発行するように設定してもよい。また、発信者IDのほかに、5tuple、SIM、トンネルID等を用いて簡易認証を実現してもよい。
The
また、認証受付部231は、IPアドレスを用いてネットワークにアクセスしたクライアント端末10による認証要求を受け付けて、認証サーバ3にユーザ証明書を送信する。そして、認証受付部231は、認証サーバ3による認証結果(ID、PW、クライアント証明書)をクライアント端末10に返却する。認証受付部231は、認証サーバ3から通知されたvVPN−GW7A,7B両方の接続先情報をクライアント端末10に通知する。
Further, the
アクセス制御リスト設定依頼部232は、認証サーバ3による認証結果に基づくアクセス管理を実行するよう、アクセスが許可されたクライアント端末10をアクセス許可対象として設定する依頼を、アクセス制御管理装置4に行う。
The access control list
例えば、アクセス制御リスト設定依頼部232は、認証サーバ3によってアクセスが許可されたクライアント端末10と無線通信を行うAP8Aのアドレスと該クライアント端末10に送信先として割り当てられたvVPN−GW7A(ACT)のアドレスとをアクセス制御装置5Aの識別情報に対応付けてACLに設定する依頼を、アクセス制御管理装置4に対して行う。そして、アクセス制御リスト設定依頼部232は、振分装置6A(後述)によるvVPN−GW7AからvVPN−GW7Bへの切り替えがあった場合、ACLのうち、クライアント端末10が接続するAPに対応するvVPN−GWを、vVPN−GW7AからvVPN−GW7Bに切り替える依頼を、アクセス制御管理装置4に対して行う。
For example, the access control list
[認証サーバの構成]
次に、認証サーバ3の構成について説明する。図3は、図1に示す認証サーバ3の構成の一例を示すブロック図である。図3に示すように、認証サーバ3は、通信部31、認証データベース(DB)32及び制御部33を有する。
[Configuration of authentication server]
Next, the configuration of the
通信部31は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースである。 The communication unit 31 is a communication interface that transmits and receives various types of information to and from a device connected via a network.
認証DB32は、認証サーバ3内部のDB、或いは、認証サーバ3と専用回線で接続するDB等である。認証DB32は、切替先情報321と、認証情報322とを記憶する。
The
切替先情報321は、クライアント端末10に割り当てられたvVPN−GW(ACT)のアドレスと、vVPN−GW(SBY)のアドレスとをクライアント端末10ごとに対応付けた情報である。図4は、図3に示す切替先情報321のデータ構成の一例を示す図である。図4のテーブルTaに示すように、クライアント端末10については、該クライアント端末10に割り当てられたvVPN−GW(ACT)のアドレス「A」と、クライアント端末10に割り当てられたvVPN−GW(SBY)のアドレス「B」とが対応付けられている。切替先情報321は、予め登録されたものである。或いは、切替先情報321は、vVPN−GW(ACT)接続を伴う端末認証時に認証サーバ3が取得したものであってもよい。また、切替先情報321は、vVPN−GW(ACT)故障時に、振分装置6Aから通知されたものであってもよい。
The switching
そして、認証情報322は、認証サーバ3に認証局から発行されたサーバ証明書、認証用の鍵等を記憶する。また、認証DB32は、認証サーバ3によって認証されたクライアント端末10に関する認証情報をクライアント端末10ごとに記憶する。図5は、図3に示す認証情報322の一つの情報のデータ構成の一例を示す図である。例えば、認証情報322のいずれか一つは、図5のテーブルTbに示すように、クライアント端末10のアドレス「C」に対して、認証情報である鍵情報「D」を対応付けたものである。
The authentication information 322 stores a server certificate issued from the certificate authority, an authentication key, and the like in the
制御部33は、制御部23と同様に、CPUやMPUなどの電子回路であり、各種の処理手順などを規定したプログラムに従って種々の処理を実行する。制御部33は、認証部331及びACL設定指示部332を有する。
Similar to the
認証部331は、通信部31を介して、IPアドレスを割り当てられたクライアント端末10が送信するユーザ証明書を受信し、該ユーザ証明書を用いた認証を実行する。例えば、認証サーバ3は、クライアント端末10からユーザ証明書を受信すると、ユーザ証明書に含まれる電子署名を、公開鍵を用いて復号する。これによって、認証部331は、ユーザ証明書の真正か否かを判定する。認証部331は、ユーザ証明書の真正を認証し、認証に成功した場合、このユーザ証明書を送信したクライアント端末10によるネットワークへのアクセスを許可する。
The
そして、認証部331は、サービスポータルサーバ2を介して、アクセス許可を行ったクライアント端末10に対応する、ID、PW、クライアント証明書をクライアント端末10に返却する。この際、認証部331は、該クライアント端末10に割り当てられたvVPN−GW7A(ACT)のアドレス、故障時のvVPN−GW7B(SBY)のアドレスも、クライアント端末10に通知する。
Then, the
また、認証部331は、vVPN−GW7A,7Bとの間で、クライアント端末10との間で行うSSL/TLS認証に必要である認証情報の同期を行う。そして、認証部331は、振分装置6Aから、vVPN−GW7AからvVPN−GW7Bの切り替えを指示された場合には、vVPN−GW7Bに対して、少なくともSSL/TLS認証の実行先となるクライアント端末10のアドレス情報、及び、クライアント端末10との間で使用するSSL/TLS認証用の鍵情報を、認証情報として送信する。なお、vVPN−GW7B(SBY)から接続するクライアント端末10のアドレスは、vVPN−GW7A(ACT)接続時における端末認証時に認証サーバ3が取得し、vVPN−GW7A故障時に、クライアント端末10への接続指示とともにVPN−GW7B(SBY)に通知する。
In addition, the
ACL設定指示部332は、振分装置6Aから、vVPN−GW7AからvVPN−GW7Bの切り替えを指示された場合、サービスポータルサーバ2に対し、ACLに対して、クライアント端末10が接続するAPに対応するvVPN−GWを、vVPN−GW7AからvVPN−GW7Bに切り替えるよう指示する。
The ACL setting instruction unit 332 corresponds to the AP to which the
[アクセス制御管理装置の構成]
次に、アクセス制御管理装置4の構成について説明する。アクセス制御管理装置4は、例えば、PCRF(Policy and Charging Rules Function)である管理装置である。図6は、図1に示すアクセス制御管理装置4の構成の一例を示すブロック図である。図6に示すように、アクセス制御管理装置4は、通信部41、記憶部42及び制御部43を有する。
[Configuration of access control management device]
Next, the configuration of the access
通信部41は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースである。
The
記憶部42は、RAM、フラッシュメモリ等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、アクセス制御装置5A,5Bを動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。記憶部42は、アクセス制御リスト421を記憶する。
The
図7は、図4に示すアクセス制御リスト421のデータ構成の一例を示す図である。図7の(a)のテーブルTcに示すように、アクセス制御リスト421は、管理対象のアクセス制御装置5A,5Bの識別情報に、各アクセス制御装置5A,5Bに対してアクセスを許可するパケットのアウターヘッダのアドレス(SA,DA)を対応づけたものである。例えば、アクセス制御装置5Aについては、クライアント端末10が接続するAP8Aのアドレス(SA1)と対応付けられており、クライアント端末10に割り当てられたvVPN−GW7Aのアドレス(DA1)が対応付けられている。
FIG. 7 is a diagram showing an example of the data configuration of the
制御部43は、制御部23と同様に、CPUやMPUなどの電子回路であり、各種の処理手順などを規定したプログラムに従って種々の処理を実行する。制御部43は、アクセス制御リスト設定部431及びアクセス制御部432を有する。
Like the
アクセス制御リスト設定部431は、サービスポータルサーバ2からアクセス制御リスト421への設定依頼を受けて、設定を依頼された情報をアクセス制御リスト421に設定する。そして、アクセス制御リスト設定部431は、サービスポータルサーバ2によるvVPN−GW7AからvVPN−GW7Bへの切り替え依頼に応じて、ACLの変更設定を行う。
Upon receiving a setting request for the
例えば、アクセス制御リスト設定部431は、vVPN−GW7AからvVPN−GW7Bへの切り替え依頼があった場合には、ACLのうち、クライアント端末10に対応するテーブルTc(図7の(a)参照)から、アクセス制御装置5Aに対応するアウターヘッダからSA1,DA1を削除する。そして、アクセス制御リスト設定部431は、テーブルTd(図7の(b)参照)に示すように、アクセス制御装置5Bに、vVPN−GW7B(SBY)のアドレス(DA2)と、アクセス制御装置5Bに接続するAP8Bのアドレス(SA2)とが対応するようにACLを変更する。
For example, when there is a request for switching from vVPN-
アクセス制御部432は、アクセス制御リスト421の設定内容に従い、アクセス制御装置5A,5Bへのアクセス制御指示を行うことによって、クライアント端末10ごとにフローを識別して、クライアント端末10ごとに異なるアクセス制御を行う。
The
例えば、テーブルTcがクライアント端末10のACLとして設定されている場合には、アクセス制御部432は、アクセス制御装置5Aに対し、アウターヘッダに「SA1」,「DA1」が含まれるパケットの通過を許可している。すなわち、アクセス制御部432は、アクセス制御装置5Aに対し、AP8AとvVPN−GW7Aとの間のアクセスを許可する。また、vVPN−GW7AからvVPN−GW7Bへの切り替え依頼によってテーブルTdがクライアント端末10のACLとして設定されている場合には、アクセス制御部432は、アクセス制御装置5Aに対し、アウターヘッダに「SA2」,「DA2」が含まれるパケットの通過を許可している。すなわち、アクセス制御部432は、アクセス制御装置5Bに対し、AP8BとvVPN−GW7Bとの間のアクセスを許可する。
For example, when the table Tc is set as the ACL of the
[アクセス制御装置の構成]
次に、アクセス制御装置5Aの構成について説明する。図8は、図1に示すアクセス制御装置5Aの構成の一例を示すブロック図である。なお、アクセス制御装置5Bもアクセス制御装置5Aと同様の構成を有する。図8に示すように、アクセス制御装置5Aは、通信部51、記憶部52及び制御部53を有する。
[Configuration of access control device]
Next, the configuration of the
通信部51は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースである。 The communication unit 51 is a communication interface that transmits and receives various types of information to and from devices connected via a network.
記憶部52は、RAM、フラッシュメモリ等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、アクセス制御装置5Aを動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。記憶部52は、アクセス許可リスト521を記憶する。アクセス許可リスト521は、当該アクセス制御装置5Aが、アクセス制御管理装置4からアクセスを許可されたパケットの、アウターヘッダのアドレスを示したものである。
The
制御部53は、制御部23と同様に、CPUやMPUなどの電子回路であり、各種の処理手順などを規定したプログラムに従って種々の処理を実行する。制御部53は、アクセス許可リスト設定部531及びアクセス処理部532を有する。
Like the
アクセス許可リスト設定部531は、アクセス制御管理装置4からのアクセス制御を受けて、アクセス許可リスト521に対し、当該アクセス制御装置5Aがアクセスを許可されたクライアント端末10のSA,DAの追加、或いは、削除を行う。
The access permission
アクセス処理部532は、アクセス制御装置5Aが受信したパケットのアウターヘッダを判別し、アクセス許可リスト521に参照して、該パケットの通過の可否を判断する。当該アクセス制御装置5Aは、AP8Aと接続するため、アクセス処理部532は、クライアント端末10に割り当てられたvVPN−GW7AとAP8Aとの間のアクセスを制御し、アクセス制御管理装置4の指示に基づいて、アクセスが許可されたパケットを通過させる。すなわち、アクセス制御装置5Aは、AP8Aを経路に含み、クライアント端末10と、該クライアント端末10に割り当てられたvVPN−GW7Aとの間のトンネルT1を通過させる。
The
[振分装置の構成]
次に、図1に示す振分装置6Aの構成について説明する。図9は、図1に示す振分装置6Aの構成の一例を示すブロック図である。図9に示すように、振分装置6Aは、通信部61、記憶部62及び制御部63を有する。
[Configuration of sorting device]
Next, the configuration of the
通信部61は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースである。
The
記憶部62は、RAM、フラッシュメモリ等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、振分装置6Aを動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。記憶部62は、切替先情報621を記憶する。切替先情報621は、クライアント端末10に割り当てられたvVPN−GW7A(ACT)のアドレス情報と、vVPN−GW7B(vVPN−GW(SBY))の接続先情報を示すものである。
The
制御部63は、制御部23と同様に、CPUやMPUなどの電子回路であり、各種の処理手順などを規定したプログラムに従って種々の処理を実行する。制御部63は、振分部631、故障検知部632及び切替指示部633を有する。
Similar to the
振分部631は、受信したパケットのうち、vVPN−GW7Aが送信先であるパケットを、vVPN−GW7Aに振り分ける。
The allocating
故障検知部632は、vVPN−GW7Aの故障を検知する。具体的には、故障検知部632は、vVPN−GW7Aに対して、一定期間ごとに、状態監視パケット要求を送信する。そして、故障検知部632は、状態監視パケット要求に対するvVPN−GW7Aの状態監視パケット応答の有無を基にvVPN−GW7Aの故障を検知する。すなわち、故障検知部632は、状態監視パケット要求に対するvVPN−GW7Aの状態監視パケット応答があった場合には、vVPN−GW7Aに故障はないと判断する。一方、故障検知部632は、状態監視パケット要求に対するvVPN−GW7Aの状態監視パケット応答がない場合には、vVPN−GW7Aに故障が発生したと判断する。
The
切替指示部633は、故障検知部632がvVPN−GW7Aの故障を検知した場合には、認証サーバ3に対し、vVPN−GW7Aの冗長先であるvVPN−GW7Bへの、クライアント端末10との間で行うSSL/TSL認証に必要である認証情報の送信を指示する。そして、切替指示部633は、vVPN−GW7AからvVPN−GW7Bへのパケットの振り分けの切り替えを、振分装置6Bに指示する。このように、切替指示部633は、vVPN−GW7AからvVPN−GW7Bへの切り替えを指示する。
When the
なお、振分装置6Bは、振分装置6Aの切り替え指示に応じて、受信したパケットを、切り替え先のvVPN−GW7Bに振り分ける機能を有していれば足りる。すなわち、振分装置6Bは、振分装置6Aと同様の構成を有してもよいし、振分装置6Aから故障検知部632及び切替指示部633を削除した構成を有してもよい。もちろん、振分装置6Bは、振分装置6Aと同様の構成であってもよい。
The
[vVPN−GWの構成]
次に、図1に示すvVPN−GW7Aの構成について説明する。図10は、図1に示すvVPN−GW7Aの構成の一例を示すブロック図である。なお、vVPN−GW7Bは、vVPN−GW7Aと同様の構成を有する。図10に示すように、vVPN−GW7Aは、通信部71、記憶部72及び制御部73を有する。
[Configuration of vVPN-GW]
Next, the configuration of the vVPN-
通信部71は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースであり、実際には、該vVPN−GW7Aを稼働させる物理サーバに設けられている。
The communication unit 71 is a communication interface that transmits and receives various types of information to and from a device connected via a network, and is actually provided in a physical server that operates the vVPN-
記憶部72は、vVPN−GW7Aを動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどを記憶する。記憶部72は、クライアント端末10のグループ化があった場合に、グループごとに、グループに属するクライアント端末10の識別情報を対応付けて記憶する。そして、記憶部72は、グループごとに、提供する付加価値機能を示す内容、提供先の付加価値装置の情報等を対応付けて記憶する。記憶部72は、該vVPN−GW7Aを稼働させる物理サーバに設けられたRAM、フラッシュメモリ等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現される。
The storage unit 72 stores a processing program for operating the vVPN-
制御部73は、各種の処理手順などを規定したプログラムに従って種々の処理を実行する。制御部73は、vVPN−GW7Aを稼働させる物理サーバに設けられたCPUやMPUなどの電子回路である。制御部73は、クライアントグループ管理部731、付加価値機能提供部732、認証実行部733及び状態監視パケット応答部734を有する。
The control unit 73 executes various processes according to a program that defines various processing procedures. The control unit 73 is an electronic circuit such as a CPU or MPU provided in a physical server that operates the vVPN-
クライアントグループ管理部731は、複数の任意のクライアント端末10をグループ化する。クライアントグループ管理部731は、例えば、イベント対応等で一時的にクライアントグループを設定する。クライアントグループ管理部731は、グループごとに、グループに属するクライアント端末10の識別情報を対応付けて記憶部72に記憶させる。
The client
付加価値機能提供部732は、クライアント端末10が使用するサービスに応じて付加価値装置群に接続し、限定コンテンツや翻訳等の付加価値機能をクライアント端末10に提供する。付加価値機能提供部732は、トラヒックを適切な事業者網や付加価値装置群への振り分けを行う、付加価値機能提供部732は、クライアントグループ管理部731によってグループ化が行なわれた場合には、グループ単位にカスタマイズした付加価値機能を提供する。
The value-added function providing unit 732 connects to the value-added device group according to the service used by the
認証実行部733は、クライアント端末10との間で、SSL/TLS認証を実行し、クライアント端末10との間にトンネルを確立させる。本実施の形態では、SSL認証を使用した暗号化トンネル技術、SSL−VPN(例えば、Open VPN)が用いられている。例えば、vVPN−GW7Aと、クライアント端末10とが、Open VPN実現のために使用されるSSL/TLS認証を用いた暗号化通信を行う場合には、vVPN−GW7A及びクライアント端末10の双方の認証手続きを行う。そして、この認証技術では、TLS−AUTH HMAC共通鍵(以降、共通鍵とする。)を用いて、全てのSSL/TLSハンドシェイクパケットについて、HMAC署名によるパケットの整合性チェックを行う。
The
状態監視パケット応答部734は、振分装置6Aから状態監視パケット要求を受けた場合、vVPN−GW7Aに故障がない場合には、振分装置6Aに対し、状態監視パケット要求に対する応答(状態監視パケット応答)を行う。
When the state monitoring packet response unit 734 receives a state monitoring packet request from the
[クライアント端末の構成]
次に、図1に示すクライアント端末10の構成について説明する。図11は、図1に示すクライアント端末10の構成の一例を示すブロック図である。図11に示すように、クライアント端末10は、通信部11、記憶部12、制御部13、入力部14及び出力部15を有する。
[Client terminal configuration]
Next, the configuration of the
通信部11は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースである。
The
記憶部12は、RAM、フラッシュメモリ等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、クライアント端末10を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。
The storage unit 12 is realized by a semiconductor memory device such as a RAM or a flash memory, or a storage device such as a hard disk or an optical disk, and stores a processing program for operating the
記憶部12は、切替先情報121を記憶する。切替先情報121は、このクライアント端末10に割り当てられたvVPN−GW7A(ACT)のアドレス情報と、vVPN−GW7B(SBY)の接続先情報を示すものである。
The storage unit 12 stores switching destination information 121. The switching destination information 121 indicates the address information of vVPN-
制御部13は、制御部23と同様に、CPUやMPUなどの電子回路であり、各種の処理手順などを規定したプログラムに従って種々の処理を実行する。制御部13は、通信制御部131を有する。
Similar to the
通信制御部131は、認証サーバ3からvVPN−GW7A,vVPN−GW7Bのアドレス情報(接続先情報)を受信し、記憶部12に、切替先情報121として記憶する。また、通信制御部131は、切替先情報121に含まれるアドレスを有するvVPN−GW7Bからトンネル確立依頼を受けた場合には、該vVPN−GW7Bとの間でSSL/TLS認証を実行してトンネルを確立する。
The
入力部14は、クライアント端末10のユーザからの各種操作を受け付ける入力インターフェースである。例えば、入力部14は、ボタン、タッチパネル、音声入力デバイス、キーボードやマウス等の入力デバイスによって構成される。出力部15は、例えば、液晶ディスプレイ等であって、通信結果等の各種情報を出力する。
The input unit 14 is an input interface that accepts various operations from the user of the
[クライアント端末に対する認証処理の流れ]
次に、クライアント端末認証システム1におけるクライアント端末10に対する認証処理の流れについて説明する。図12及び図13は、クライアント端末認証システム1におけるクライアント端末10に対する認証処理の流れを示す図である。
[Flow of authentication processing for client terminals]
Next, the flow of authentication processing for the
まず、図12に示すように、認証サーバ3及び振分装置6Aは、予め構成されているvVPN−GW7A(ACT)とVPN−GW7B(SBY)との冗長構成をもとに、故障を検知した際のvVPN−GW7A(ACT)の切替先(vVPN−GW7B(SBY))を登録する(図12の(1),(1’)参照)。そして、認証サーバ3は、サービスポータルサーバ2から、クライアント端末10認証要求時に、クライアント端末10に割り当てられたvVPN−GW7A(ACT)、vVPN−GW7B(SBY)両方の接続先情報を、クライアント端末10及びアクセス制御管理装置4に通知させる(図12の(2)、(3)参照)。
First, as shown in FIG. 12, the
アクセス制御管理装置4は、vVPN−GW7A(ACT)、vVPN−GW7B(SBY)の接続先情報を受信し(図12の(4)参照)、これらの情報を保持する。また、クライアント端末10は、vVPN−GW7A(ACT)、vVPN−GW7B(SBY)の接続先情報を受信し(図12の(4’)参照)、切替先情報121として記憶する。この結果、認証サーバ3、振分装置6A、アクセス制御管理装置4及びクライアント端末10は、図12の枠C1に示すように、vVPN−GW7A(ACT)アドレス「A」、及び、vVPN−GW7B(SBY)アドレス「B」が対応付けられたテーブルTaを記憶する。
The access
続いて、クライアント端末10は、AP8Aとの無線通信を介して、サービスポータルサーバ2に対して、IPアドレス割当要求を行い、サービスポータルサーバ2が簡易認証に成功すると、IPアドレスが割り当てられる。クライアント端末10は、割り当てられたIPアドレスを用いてネットワークに接続し、ユーザ証明書を認証サーバ3に送付する(図13の(1)参照)。ユーザ証明書は、ユーザ認証時に使用するものである。そこで、図18を参照して、vVPN−GW故障後のトンネル再確立処理の処理手順について説明する。
Subsequently, the
認証サーバ3が、このユーザ証明書を用いた認証に成功した場合(図13の(2)参照)、認証結果をサービスポータルサーバ2に返却する。サービスポータルサーバ2は、アクセス制御管理装置4に、このクライアント端末10が接続するAP8Aのアドレス(送信元アドレス)と、クライアント端末10に割り当てられた、接続先のvVPN−GW7Aのアドレス(送信先アドレスDA)との、ACLへの設定依頼を行う(図13の(3))。
When the
これに応じて、アクセス制御管理装置4は、ACLの設定を行う(図13の(3−1)参照)。そして、アクセス制御管理装置4は、ACLの設定内容にしたがって、アクセス制御装置5Aに、AP8AとvVPN−GW7Aとの間のアクセス許可を通知し(図13の(3-2)参照)、これに従い、アクセス制御装置5Aは、この許可された、AP8AとvVPN−GW7Aとの間を流れるパケットのみ通過させる(図13の(3−3)参照)。
In response to this, the access
そして、認証サーバ3は、クライアント端末10に対する認証結果に基づき、送信先のvVPN−GW7A(ACT)に認証情報を設定する(図13の(4)参照)。例えば、認証サーバ3は、図13の枠C2のテーブルTbに示すように、クライアント端末10のアドレス「C」と、該クライアント端末10に対応する認証情報である鍵情報「D」を、vVPN−GW7Aに送信する。また、振分装置6Aは、アクセス制御装置5Aから送信されたパケットのアウターヘッダのアドレスをみて、vVPN−GW7Aに振り分ける(図13の(4−1)参照)。
Then, the
そして、認証サーバ3は、サービスポータルサーバ2を介して、該クライアント端末10に割り当てられたvVPN−GW7A(ACT)のアドレス、故障時のvVPN−GW7B(SBY)のアドレス、ID、PW、クライアント証明書を、クライアント端末10に返却する(図13の(5)参照)。そして、クライアント端末10は、vVPN−GW7A(ACT)に対し、トンネル確立依頼を行い(図13の(6)参照)、ID、PW、クライアント証明書を用いて、vVPN−GW7A(ACT)との間にトンネルを確立し、暗号化通信を行う。クライアント証明書は、vVPNトンネル確立時に使用するものである。
Then, the
[vVPN−GW故障後のトンネル再確立の流れ]
次に、クライアント端末認証システム1におけるvVPN−GW7A(ACT)故障後のトンネル再確立の流れについて説明する。図14〜図16は、クライアント端末認証システム1におけるvVPN−GW7A(ACT)故障後のトンネル再確立の流れを示す図である。
[Flow of tunnel re-establishment after vVPN-GW failure]
Next, the flow of tunnel re-establishment after a vVPN-
振分装置6Aは、状態監視パケット要求をvVPN−GW7A(ACT)に行う(図14の(1)参照)。そして、振分装置6Aは、該状態監視パケット要求に対するvVPN−GW7A(ACT)からの応答がない場合には、vVPN−GW7A(ACT)の故障を検知する(図14の(2)参照)。この場合、振分装置6Aは、振分装置6Bに、パケットの振り分け先を、vVPN−GW7Bに切り替える切替指示を行う(図14の(3)参照)。そして、振分装置6Aは、認証サーバ3に対し、vVPN−GW7A(ACT)に収容されているトンネルの認証情報をvVPN−GW7B(SBY)への同期を指示する(図14の(4)参照)。これに応じて、認証サーバ3は、vVPN−GW7B(SBY)へ、クライアント端末10との間の認証に必要な鍵情報「D」を同期する(図14の(5)参照)。
The allocating
続いて、認証サーバ3は、サービスポータルサーバ2へ、vVPN−GW7B(SBY)側への切り替えを指示する(図15の(1)参照)。これに応じて、サービスポータルサーバ2は、アクセス制御管理装置4に対し、vVPN−GW7B(SBY)のACLを有効とすることを指示する(図15の(2)参照)。すなわち、サービスポータルサーバ2は、アクセス制御管理装置4に対し、ACLのうち、クライアント端末10が接続するAPに対応するvVPN−GWを、vVPN−GW7AからvVPN−GW7Bに切り替える依頼を行う。
Subsequently, the
これに応じて、アクセス制御管理装置4は、ACLのうち、クライアント端末10が接続するAPに対応するvVPN−GWを、vVPN−GW7AからvVPN−GW7Bに切り替え設定を行う(図15の(3)参照)。そして、アクセス制御管理装置4は、アクセス制御装置5Bに対し、AP8BとvVPN−GW7Bとの間のアクセスを許可する(図15の(4)参照)。この結果、アクセス制御装置5Bは、AP8BとvVPN−GW7Bとの間のパケットの通過を許可する(図15の(5)参照)。
In response to this, the access
この結果、vVPN−GW7B(アドレス「B」)より、トンネル確立依頼の送信が可能となる(図16の(1)参照)。クライアント端末10は、切替先情報121に含まれるアドレス「B」を有するvVPN−GW7Bからトンネル確立依頼を受けた場合には、該vVPN−GW7Bとの間でSSL/TLS認証を実行してトンネルT2を確立する(図16の(2)参照)。このように、実施の形態では、vVPN−GW7Aが故障した場合であっても、クライアント端末10は、再度、サービスポータルサーバ2へアクセスせずとも、切替先のvVPN−GW7Bとの間でトンネルT2を再確立することができる。
As a result, the tunnel establishment request can be transmitted from the vVPN-
[クライアント端末に対する認証処理]
次に、図17を参照して、クライアント端末認証システム1におけるクライアント端末10に対する認証処理の処理手順について説明する。図17は、図1に示すクライアント端末認証システム1におけるクライアント端末10に対する認証処理の流れを示すシーケンス図である。
[Authentication processing for client terminals]
Next, with reference to FIG. 17, a processing procedure of authentication processing for the
まず、サービスポータルサーバ2が、クライアント端末10に対し簡易認証を行ってIPアドレスを割り当てる。クライアント端末10は、このIPアドレスを用いて、サービスポータルサーバ2を介して、上流の認証サーバ3に、トンネル確立要求のためのユーザ証明書及びクライアントアドレスを送付する(ステップS1、ステップS2)。
First, the
認証サーバ3では、クライアント端末10に対するユーザ認証を行い、認証に成功した場合には、認証結果をサービスポータルサーバ2に返却する(ステップS3)。認証結果は、クライアント端末10に割り当てられたvVPN−GW7Aのアドレス、vVPN−GW7A故障時のvVPN−GW7B(SBY)アドレス、ID及びPW、クライアント証明書である。サービスポータルサーバ2は、アクセス制御管理装置4に、このクライアント端末10が接続するAP8Aのアドレスと、クライアント端末10に割り当てられたvVPN−GW7Aのアドレスとの、ACLへの設定依頼を行う(ステップS4)。
The
これに応じて、アクセス制御管理装置4は、ACLの設定を行う(ステップS5)。そして、アクセス制御管理装置4は、ACLの設定内容にしたがって、アクセス制御装置5Aに、AP8AとvVPN−GW7Aとの間のアクセス許可を通知し(ステップS6)、これに従い、アクセス制御装置5Aは、この許可された、AP8AとvVPN−GW7Aとの間を流れるパケットを通過させる。
In response to this, the access
また、認証サーバ3は、vVPN−GW7Aに認証情報を設定する(ステップS7)。認証情報は、クライアント端末10のアドレス、クライアント証明書である。続いて、サービスポータルサーバ2は、クライアント端末10に、vVPN−GW7Aのアドレス、vVPN−GW7A故障時のvVPN−GW7B(SBY)アドレス、ID及びPW、クライアント証明書を返却する(ステップS8)。クライアント端末10は、vVPN−GW7Aに対し、ID/PW、クライアント証明書を送信して、トンネル確立依頼を行う(ステップS9)。これによって、クライアント端末10と、vVPN−GW7Aとの間で、例えば、SSL/TLS認証を行い、トンネルを確立し、暗号化通信を行う。
Further, the
なお、図17では、認証サーバ3においてVPN−GW7A(ACT)とVPN−GW7B(SBY)とのアドレスを管理する場合のシーケンスを示す。クライアント端末10には、予め、vVPN−GW7B(SBY)のアドレスが通知さているため、図18で説明するように、vVPN−GW7A(ACT)故障時にVPN−GW7B(SBY)の接続のみを許可してトンネル接続が可能である。
FIG. 17 shows a sequence in the case where the
[vVPN−GW故障後のトンネル再確立処理]
そこで、図18を参照して、クライアント端末認証システム1におけるvVPN−GW故障後のトンネル再確立処理の処理手順について説明する。図18は、図1に示すクライアント端末認証システム1におけるvVPN−GW7A故障後のトンネル再確立処理の流れを示すシーケンス図である。
[Tunnel re-establishment after vVPN-GW failure]
Therefore, with reference to FIG. 18, a processing procedure of tunnel re-establishment processing after a vVPN-GW failure in the client terminal authentication system 1 will be described. FIG. 18 is a sequence diagram showing a flow of tunnel re-establishment processing after a vVPN-
図18に示すように、振分装置6A(ACT側)は、定期的に、状態監視パケット要求をvVPN−GW7Aに送信する(ステップS11)。vVPN−GW7Aは、vVPN−GW7Aに故障が無い場合には、状態監視パケット応答を送信する(ステップS12)。そして、振分装置6Aは、状態監視パケット要求を送信しても(ステップS13)、vVPN−GW7Aの故障により(ステップS14)、vVPN−GW7Aから一定期間返信がない場合には、vVPN−GW7A(ACT)が故障であると判定する(ステップS15)。
As shown in FIG. 18, the
そして、振分装置6Aは、振分装置6B(SBY)に、振分先のvVPN−GW7Bへの切り換えを指示する(ステップS16)。そして、振分装置6Bは、認証サーバ3に、vVPN−GW7Bに対する認証情報の同期をリクエストし、vVPN−GW7B(SBY)への切り替えを指示する(ステップS17)。
Then, the
認証サーバ3は、この指示に応じて、サービスポータルサーバ2に、ACL設定指示(vVPN−GW7B(SBY)のACL設定指示)を行う(ステップS18)。なお、vVPN−GW7A(ACT)の故障を検出した振分装置6Aから認証サーバ3にVPN−GW7B(SBY)のアドレスを通知する場合には、認証サーバ3において、vVPN−GW7AとVPN−GW7Bとの対応関係の管理が不要となる。ただし、この場合には、認証サーバ3は、認証時にクライアント端末10に対して、vVPN−GW7B(SBY)の通知を実行しない。
In response to this instruction, the
この指示に応じて、サービスポータルサーバ2は、アクセス制御管理装置4に対し、ACLのうち、クライアント端末10が接続するAPに対応するvVPN−GWを、vVPN−GW7AからvVPN−GW7Bに切り替える依頼を行う(ステップS19)。そして、アクセス制御管理装置4は、ACLのうち、クライアント端末10が接続するAPに対応するvVPN−GWを、vVPN−GW7AからvVPN−GW7Bに切り替え設定を行う(ステップS20)。アクセス制御管理装置4は、アクセス制御装置5Bに対し、AP8BとvVPN−GW7Bとの間のアクセスを許可する(ステップS21)。
In response to this instruction, the
また、認証サーバ3は、vVPN−GW7B(SBY)へ、クライアント端末10との間の認証に必要な認証情報の同期情報を送付する(ステップS22)。この場合、認証サーバ3は、認証情報として、クライアント端末10のアドレス、クライアント証明書を、vVPN−GW7B(SBY)に送付する。そして、vVPN−GW7B(SBY)は、トンネル確立依頼をクライアント端末10に送信する(ステップS23)。クライアント端末10は、切替先情報121に含まれるアドレスを有するvVPN−GW7Bからトンネル確立依頼を受けた場合には、該vVPN−GW7Bとの間でSSL/TLS認証を実行してトンネルを確立する。
Further, the
[実施の形態の効果]
このように、実施の形態に係るクライアント端末認証システム1では、認証サーバ3による認証後、クライアント端末10について、AP8Aを含むトンネルを確立した後に、振分装置6AがvVPN−GW7Aの故障の有無を検知する。そして、振分装置6Aが、vVPN−GW7Aの故障を検知し、vVPN−GW7Bへの切り替えを指示した場合、認証サーバ3による認証情報のvVPN−GW7Bへの送信、及び、サービスポータルサーバ2を介したアクセス制御管理装置4へのvVPN−GW7Bとクライアント端末10との間のアクセス許可依頼が実行される。これによって、切り替え後のvVPN−GW7Bから、クライアント端末10に対して、トンネル確立依頼を送付することが可能である。
[Effect of the embodiment]
As described above, in the client terminal authentication system 1 according to the embodiment, after the authentication by the
そして、実施の形態では、クライアント端末10は、登録したアドレスを有するvVPN−GW7Bからのトンネル確立依頼を受信した場合には、トンネルを確立する機能を有する。このため、クライアント端末10は、vVPN−GW7Bによるトンネル確立依頼に応じて、vVPN−GW7Bとの間でトンネルを確立することができる。
In the embodiment, the
言い換えると、本実施の形態では、vVPN−GW7A(ACT)からvVPN−GW7B(SBY)への切り替え時に、振分装置6Aが認証サーバ3に、vVPN−GWの切り替えを通知し、認証サーバ3がvVPN−GW7B(SBY)にクライアント端末10の認証情報を設定して引き継ぐ。そして、実施の形態では、vVPN−GW7B(SBY)からクライアント端末10に対してトンネルの再確立を実行する。この結果、本実施の形態によれば、機能が限定的なIoT端末等においても、vVPN−GWの冗長構成を可能とし、また、vVPN−GW障害時のトンネル断時間を短縮化することが可能になる。
In other words, in this embodiment, at the time of switching from vVPN-
したがって、本実施の形態では、仮想装置管理機能を設けずとも、簡易な構成のままで、ユーザが、再度、サービスポータルサーバ2へアクセスして改めて簡易認証から認証を受けなくとも、vVPN−GWの切り替えにともなう通信認証の再確立を円滑に実行することができる。
Therefore, in this embodiment, even if the virtual device management function is not provided, the vVPN-GW maintains the simple configuration, and the user accesses the
また、クライアント端末認証システム1では、サービスポータルサーバ2がアドレス認証を実行することで、不正なクライアント端末がネットワークに通信フローを送ることを防止することができる。また、クライアント端末認証システム1では、アドレス認証に成功したクライアント端末10の証明書に基づく認証をさらに実行することで、アドレス認証だけ実行する場合と比較してネットワークのセキュリティを向上させることができる。このため、クライアント端末認証システム1は、無線回線を利用した情報通信において高いセキュリティを実現することができる。
In the client terminal authentication system 1, the
さらに、クライアント端末認証システム1では、認証サーバ3をサービスポータルサーバ2よりも上流に配置しているため、サービスポータルサーバ2と認証サーバ3とをネットワーク上の同じ位置に配置する場合と比較して、認証サーバ3を集約的に配置することができる。
Further, in the client terminal authentication system 1, since the
この結果、本実施の形態では、無線回線を利用した情報通信において、簡易な構成及びユーザ利便性を確保しながら、vVPN−GWの切り替えにともなう通信認証の再確立を円滑に実行することができるとともに、高いセキュリティを実現することができる。 As a result, in this embodiment, re-establishment of communication authentication associated with vVPN-GW switching can be smoothly performed while ensuring a simple configuration and user convenience in information communication using a wireless line. At the same time, high security can be realized.
なお、本実施の形態では、アクセス制御管理装置4は、ACLとして、アクセス制御装置5A,5Bの識別情報に、パケットのアウトヘッダーに含まれるSA、DAを対応付けて設定する例を説明したが、もちろんこれに限らない。アクセス制御管理装置4は、ACLとして、アクセス制御装置5A,5Bの識別情報に、パケットのアウトヘッダーに含まれる5tuple(Source IP,Destination IP,Src Port,Dst Port,Protocol)を対応付けて設定し、該ACLに設定された5tupleをアウトヘッダーに含むパケットの通過を許可するようにアクセス制御装置5A,5Bを制御してもよい。
In the present embodiment, the access
また、本実施の形態では、vVPN−GW7B(SBY)のアドレスは、予め認証サーバ3等の各装置に設定されている場合を例に説明したが、もちろんこれに限らない。vVPN−GW7A(ACT)の故障を検出する振分装置6Aは、故障検出時に、故障を検出したvVPN−GW7A(ACT)に対応するvVPN−GW7B(SBY)の接続先情報(アドレス)を、認証サーバ3に通知してもよい。認証サーバ3は、振分装置6Aから通知されたvVPN−GW7B(SBY)のアドレスにアクセスして、vVPN−GW7B(SBY)に接続を指示し、認証情報を送信してもよい。
In the present embodiment, the case where the address of vVPN-
[実施の形態のシステム構成について]
図1に示したクライアント端末認証システム1の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、クライアント端末認証システム1の機能の分散および統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散または統合して構成することができる。
[System configuration of the embodiment]
Each component of the client terminal authentication system 1 shown in FIG. 1 is functionally conceptual and does not necessarily need to be physically configured as illustrated. That is, the specific form of distribution and integration of the functions of the client terminal authentication system 1 is not limited to the one shown in the figure, and all or a part of them can be functionally functioned in arbitrary units according to various loads and usage conditions. It can be physically distributed or integrated.
また、クライアント端末認証システム1の各装置において行われる各処理は、全部または任意の一部が、CPUおよびCPUにより解析実行されるプログラムにて実現されてもよい。また、クライアント端末認証システム1の各装置において行われる各処理は、ワイヤードロジックによるハードウェアとして実現されてもよい。 In addition, each process performed in each device of the client terminal authentication system 1 may be realized by the CPU and a program that is analyzed and executed by the CPU. Moreover, each process performed in each device of the client terminal authentication system 1 may be realized as hardware by wired logic.
また、実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともできる。もしくは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上述および図示の処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて適宜変更することができる。 In addition, among the processes described in the embodiment, all or a part of the processes described as being automatically performed can be manually performed. Alternatively, all or part of the processing described as being performed manually can be automatically performed by a known method. In addition, the above-described and illustrated processing procedures, control procedures, specific names, and information including various data and parameters can be changed as appropriate unless otherwise specified.
[プログラム]
図19は、プログラムが実行されることにより、クライアント端末認証システム1の各装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
[program]
FIG. 19 is a diagram illustrating an example of a computer in which each device of the client terminal authentication system 1 is realized by executing a program. The computer 1000 includes a
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
The
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、クライアント端末認証システム1の各装置の各処理を規定するプログラムは、コンピュータ1000により実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、クライアント端末認証システム1の各装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
The
また、上述した実施の形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
The setting data used in the processing of the above-described embodiment is stored as
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
The
以上、本発明者によってなされた発明を適用した実施の形態について説明したが、本実施の形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施の形態に基づいて当業者等によりなされる他の実施の形態、実施例及び運用技術等は全て本発明の範疇に含まれる。 Although the embodiment to which the invention made by the present inventor is applied has been described above, the present invention is not limited by the description and the drawings that form part of the disclosure of the present invention according to this embodiment. That is, other embodiments, examples, operation techniques, and the like made by those skilled in the art based on the present embodiment are all included in the scope of the present invention.
1,1P クライアント端末認証システム
2,2P サービスポータルサーバ
3,3P 認証サーバ
4,4P アクセス制御管理装置
5A,5B,5AP,5BP アクセス制御装置
6A,6B,6AP,6BP 振分装置
7A,7B,7AP,7BP vVPN−GW
8A,8B,8AP,8BP アクセスポイント(AP)
10,10P クライアント端末
11,21,31,41,51,61,71 通信部
12,22,42,52,62,72 記憶部
13,23,33,43,53,63,73 制御部
32 認証データベース(DB)
100,100P 付加価値装置群または外部ネットワーク(NW)
121,321,621 切替先情報
131 通信制御部
231 認証受付部
232 アクセス制御リスト設定依頼部
331 認証部
322 認証情報
332 ACL設定指示部
421 アクセス制御リスト(ACL)
431 アクセス制御リスト設定部
432 アクセス制御部
521 アクセス許可リスト
531 アクセス許可リスト設定部
532 アクセス処理部
631 振分部
632 故障検知部
633 切替指示部
T1,T2 トンネル
1, 1P client
8A, 8B, 8AP, 8BP Access point (AP)
10,
100,100P value added device group or external network (NW)
121, 321, 621
431 Access control
Claims (7)
ことを特徴とする認証サーバ。 In VPN (Virtual Private Network) communication between a router that forms a redundant system and a client terminal, during normal operation, terminal authentication is performed, and authentication information of the client terminal is set in the active router, thereby the client VPN communication between the terminal and the router is possible, and when switching to the standby router, the authentication information of the client terminal is taken over to the standby router and the VPN to the client terminal is set in the standby router An authentication server characterized by
前記第1のルータの故障を検知する故障検知部と、
前記故障検知部が前記第1のルータの故障を検知した場合には、クライアント端末に対してアクセスを許可した認証サーバに対し、前記第1のルータの冗長先である第2のルータへの、前記クライアント端末との間で行う通信認証に必要である認証情報の送信を指示し、前記第1のルータから前記第2のルータに切り替える切替指示部と、
を有することを特徴とする振分装置。 Among the received packets, the client terminal is a first router assigned to a client terminal permitted to access the network and uses a communication path established by performing communication authentication with the client terminal. A distribution unit that distributes a packet to which the first router that performs encrypted communication to the first router to the first router;
A failure detection unit for detecting a failure of the first router;
When the failure detection unit detects a failure of the first router, to the authentication server that has permitted access to the client terminal to the second router that is the redundant destination of the first router, A switching instruction unit for instructing transmission of authentication information necessary for communication authentication performed with the client terminal and switching from the first router to the second router;
A sorting apparatus comprising:
前記クライアント端末に割り当てられたルータであって、前記クライアント端末との間で通信認証を実行して確立した通信経路を用いて前記クライアント端末との間で暗号化通信を行う第1のルータと、
前記第1のルータが稼働する間は待機し、前記第1のルータが故障した場合には、前記クライアント端末との間で行う通信認証に必要である認証情報を用いて該クライアント端末との間に通信経路を確立する第2のルータと、
受信したパケットのうち前記第1のルータ宛てのパケットを該第1のルータに振り分けるとともに、前記第1のルータの故障を検知した場合には、認証サーバに対し、前記クライアント端末との間で行う通信認証に必要である認証情報の前記第2のルータへの送信を指示し、前記第1のルータから前記第2のルータに切り替える第1の振分装置と、
通常運用時においては、端末認証を行い、前記第1のルータに前記クライアント端末の認証情報を設定することによって前記クライアント端末と前記第1のルータとの間におけるVPN通信を可能とし、前記第2のルータへの切替時においては、前記クライアント端末の認証情報を前記第2のルータに引き継ぐとともに前記第2のルータに前記クライアント端末へのVPNの設定を指示する認証サーバと、
前記クライアント端末が接続するアクセスポイントと前記第1のルータとの間を流れるパケットの通過を許可し、前記第1の振分装置による前記第1のルータから前記第2のルータへの切り替えがあった場合、前記クライアント端末が接続するアクセスポイントと前記第2のルータとの間を流れるパケットの通過を許可するアクセス制御装置と、
前記第1の振分装置のルータの切り替えにしたがって、前記アクセス制御装置を介して受信したパケットの振り分け先を前記第2のルータに切り替える第2の振分装置と、
を有することを特徴とするクライアント端末認証システム。 A client terminal authentication system for authenticating a client terminal connected to a network by wireless communication between access points and permitting the client terminal to access the network,
A router assigned to the client terminal, the first router performing encrypted communication with the client terminal using a communication path established by executing communication authentication with the client terminal;
Wait while the first router is operating, and if the first router fails, use the authentication information necessary for communication authentication with the client terminal to communicate with the client terminal. A second router that establishes a communication path to
Of the received packets, the packet addressed to the first router is distributed to the first router, and when a failure of the first router is detected, the authentication server performs the process with the client terminal. A first distribution device that instructs transmission of authentication information necessary for communication authentication to the second router, and switches from the first router to the second router;
During normal operation, terminal authentication is performed, and authentication information of the client terminal is set in the first router, thereby enabling VPN communication between the client terminal and the first router. An authentication server that takes over the authentication information of the client terminal to the second router and instructs the second router to set up a VPN for the client terminal,
The packet passing between the access point to which the client terminal is connected and the first router is allowed to pass, and the first distribution device switches from the first router to the second router. An access control device that permits passage of a packet flowing between the access point to which the client terminal is connected and the second router;
A second distribution device that switches a distribution destination of a packet received via the access control device to the second router according to switching of the router of the first distribution device;
A client terminal authentication system comprising:
前記クライアント端末は、前記認証サーバから前記第1のルータの接続先情報及び前記第2のルータの接続先情報を受信し、該受信した接続先情報を有する前記第2のルータから通信経路の確立依頼を受けた場合には、該第2のルータとの間で通信認証を実行して前記通信経路を確立することを特徴とする請求項3に記載のクライアント端末認証システム。 The first distribution device and the authentication server have registered connection destination information of the first router and connection destination information of the second router,
The client terminal receives the connection destination information of the first router and the connection destination information of the second router from the authentication server, and establishes a communication path from the second router having the received connection destination information. 4. The client terminal authentication system according to claim 3, wherein when a request is received, communication authentication is executed with the second router to establish the communication path.
前記クライアント端末からのアドレス割当要求を受信してアドレス認証を実行してアドレス認証に成功した場合には前記クライアント端末に前記認証サーバへの証明書送付用のアドレスを送信し、前記クライアント端末と無線通信を行う前記アクセスポイントのアドレスと該クライアント端末に送信先として割り当てられたルータのアドレスとを前記アクセス制御装置の識別情報に対応付けて前記アクセス制御リストに設定する依頼を、前記アクセス制御管理装置に対して行うアドレス割当サーバと、
をさらに有し、
前記アドレス割当サーバは、前記第1の振分装置による前記第1のルータから前記第2のルータへの切り替えがあった場合、前記アクセス制御リストのうち、前記クライアント端末が接続するアクセスポイントに対応するルータを前記第1のルータから前記第2のルータに切り替える依頼を、前記アクセス制御管理装置に対して行い、
前記アクセス制御管理装置は、前記アドレス割当サーバによる依頼に応じて、前記アクセス制御リストのうち、前記クライアント端末が接続するアクセスポイントに対応するルータを前記第1のルータから前記第2のルータに切り替えるとともに、前記アクセス制御装置に対して、前記クライアント端末が接続するアクセスポイントと前記第2のルータとの間を流れるパケットの通過を許可することを特徴とする請求項3または4に記載のクライアント端末認証システム。 Storing an access control list in which an address of the access point that performs wireless communication with the client terminal and an address of a router assigned as a transmission destination to the client terminal are associated with identification information of the access control device; An access control management device that allows the access control device to pass packets according to a list;
When the address allocation request from the client terminal is received and address authentication is performed and the address authentication is successful, an address for sending a certificate to the authentication server is transmitted to the client terminal, The access control management apparatus requests to set the address of the access point that performs communication and the address of the router assigned as a transmission destination to the client terminal in the access control list in association with the identification information of the access control apparatus An address assignment server for
Further comprising
The address allocation server corresponds to an access point to which the client terminal connects in the access control list when the first distribution device switches from the first router to the second router. Requesting the access control management device to switch the router to be switched from the first router to the second router;
The access control management device switches a router corresponding to an access point to which the client terminal is connected from the first router to the second router in the access control list in response to a request from the address assignment server. 5. The client terminal according to claim 3, wherein the access control device is allowed to pass a packet flowing between the access point to which the client terminal is connected and the second router. Authentication system.
前記認証サーバが、予備系ルータへの切替時においては、前記クライアント端末の認証情報を前記予備系ルータに引き継ぐとともに前記予備系ルータに前記クライアント端末へのVPNの設定を指示する工程と、
を含んだことを特徴とするクライアント端末認証方法。 An authentication server arranged in the network performs terminal authentication during normal operation in VPN communication between a router forming a redundant system and a client terminal, and sets authentication information of the client terminal in a working router. Enabling VPN communication between the client terminal and the router,
The authentication server, when switching to the standby router, takes over the authentication information of the client terminal to the standby router and instructs the standby router to set the VPN to the client terminal;
A client terminal authentication method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016172191A JP6571615B2 (en) | 2016-09-02 | 2016-09-02 | Authentication server, distribution device, client terminal authentication system, and client terminal authentication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016172191A JP6571615B2 (en) | 2016-09-02 | 2016-09-02 | Authentication server, distribution device, client terminal authentication system, and client terminal authentication method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018038008A JP2018038008A (en) | 2018-03-08 |
JP6571615B2 true JP6571615B2 (en) | 2019-09-04 |
Family
ID=61567747
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016172191A Active JP6571615B2 (en) | 2016-09-02 | 2016-09-02 | Authentication server, distribution device, client terminal authentication system, and client terminal authentication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6571615B2 (en) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4699145B2 (en) * | 2005-09-06 | 2011-06-08 | Kddi株式会社 | Network authentication system, authentication device, wireless terminal, and computer program |
JP4806364B2 (en) * | 2006-02-27 | 2011-11-02 | パナソニック株式会社 | Router switching method and router device |
US9009327B2 (en) * | 2007-08-03 | 2015-04-14 | Citrix Systems, Inc. | Systems and methods for providing IIP address stickiness in an SSL VPN session failover environment |
JP5039975B2 (en) * | 2008-02-18 | 2012-10-03 | 株式会社日立国際電気 | Gateway device |
JP5419907B2 (en) * | 2011-02-17 | 2014-02-19 | 日本電信電話株式会社 | Network system and communication recovery method |
JP6312325B2 (en) * | 2015-02-13 | 2018-04-18 | 日本電信電話株式会社 | Client terminal authentication system and client terminal authentication method in wireless communication |
-
2016
- 2016-09-02 JP JP2016172191A patent/JP6571615B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018038008A (en) | 2018-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11936786B2 (en) | Secure enrolment of security device for communication with security server | |
US9565167B2 (en) | Load balancing internet protocol security tunnels | |
US8577044B2 (en) | Method and apparatus for automatic and secure distribution of an asymmetric key security credential in a utility computing environment | |
US7822982B2 (en) | Method and apparatus for automatic and secure distribution of a symmetric key security credential in a utility computing environment | |
US9749320B2 (en) | Method and system for wireless local area network user to access fixed broadband network | |
US9344417B2 (en) | Authentication method and system | |
US20180198616A1 (en) | Host-storage authentication | |
US20220210130A1 (en) | Method and apparatus for maintaining a resilient vpn connection | |
CN102209359A (en) | Communication relay device and communication relay method | |
EP3457657B1 (en) | Access control method and system, and switch | |
US8918847B2 (en) | Layer 7 authentication using layer 2 or layer 3 authentication | |
CN110519259B (en) | Method and device for configuring communication encryption between cloud platform objects and readable storage medium | |
JP5848467B2 (en) | Repeater, wireless communication system, and wireless communication method | |
CN103957194B (en) | A kind of procotol IP cut-in methods and access device | |
JP6453351B2 (en) | Authentication of network elements in communication networks | |
JP2012070225A (en) | Network relay device and transfer control system | |
JP2010187314A (en) | Network relay apparatus with authentication function, and terminal authentication method employing the same | |
Nguyen et al. | An SDN-based connectivity control system for Wi-Fi devices | |
JP6571615B2 (en) | Authentication server, distribution device, client terminal authentication system, and client terminal authentication method | |
JP6056970B2 (en) | Information processing apparatus, terminal, information processing system, and information processing method | |
CN108306807B (en) | Account opening management method and device | |
JP2018029233A (en) | Client terminal authentication system and client terminal authentication method | |
JP6312325B2 (en) | Client terminal authentication system and client terminal authentication method in wireless communication | |
JP6487392B2 (en) | Client terminal authentication system and client terminal authentication method | |
CN112887968B (en) | Network equipment management method, device, network management equipment and medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180831 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190411 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190611 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190724 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190806 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190808 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6571615 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |