JP6945498B2 - Network management equipment and network system - Google Patents
Network management equipment and network system Download PDFInfo
- Publication number
- JP6945498B2 JP6945498B2 JP2018101335A JP2018101335A JP6945498B2 JP 6945498 B2 JP6945498 B2 JP 6945498B2 JP 2018101335 A JP2018101335 A JP 2018101335A JP 2018101335 A JP2018101335 A JP 2018101335A JP 6945498 B2 JP6945498 B2 JP 6945498B2
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- user terminal
- network
- authentication
- client certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、ネットワーク管理装置およびネットワークシステムに関し、例えば、クライアント証明書の配付機能を備えるネットワーク管理装置およびネットワークシステムに関する。 The present invention relates to a network management device and a network system, for example, a network management device and a network system having a function of distributing a client certificate.
特許文献1に示される証明書発行装置は、端末装置からの証明書取得要求に応じて、端末装置へパスワード入力画面を送信し、パスワード認証の後、端末装置へPKCS#12形式の証明書ファイルを送信する。当該パスワードは、事前に、オンラインまたはオフライン(郵便等の手段)で端末装置のユーザへ通知される。
The certificate issuing device shown in
例えば、企業等のネットワークシステムにおいてクライアント証明書を使用してユーザ認証やコンピュータ認証を行う場合、各ユーザが使用するユーザ端末には、予め、クライアント証明書がインストールされる必要がある。そこで、通常、ネットワーク管理者等は、認証局にクライアント証明書の発行を申請し、認証局によって発行されたクライアント証明書を含むPKCS#12形式のファイル(明細書ではp12ファイルと呼ぶ)を各ユーザ(ユーザ端末)へ配付する。各ユーザは、当該p12ファイルに含まれるクライアント証明書を自身のユーザ端末にインストールする。
For example, when user authentication or computer authentication is performed using a client certificate in a network system of a company or the like, the client certificate needs to be installed in advance on the user terminal used by each user. Therefore, usually, the network administrator or the like applies to the certificate authority to issue a client certificate, and each
p12ファイルは、“PKCS #12 Personal Information Exchange Syntax Standard”規格で規定されたフォーマットを有するファイルである。当該規格では、秘密鍵と、それに関連する公開鍵証明書(例えばクライアント証明書)等を1個のファイルとして保管(アーカイブ)するためのフォーマットが規定される。クライアント証明書等は、パスワードによってp12ファイルにアーカイブされた状態で配付される。当該配付されたp12ファイルをクライアント証明書に展開し、ユーザ端末にインストールする際には、アーカイブ時のパスワードが必要となる。このため、ネットワーク管理者等は、各ユーザに対して、p12ファイルを配付する作業に加えて、特許文献1に示されるように、事前に当該p12ファイルのパスワードをメールや書面等で通知する作業を行う必要がある。その結果、ネットワーク管理者等の負担が重くなる。
The p12 file is a file having the format specified by the "PKCS # 12 Personal Information Exchange Syntax Standard" standard. The standard defines a format for storing (archiving) a private key and a public key certificate (for example, a client certificate) related thereto as one file. The client certificate and the like are distributed in a state of being archived in the p12 file by the password. When expanding the distributed p12 file to the client certificate and installing it on the user terminal, the password at the time of archiving is required. Therefore, in addition to the work of distributing the p12 file to each user, the network administrator or the like notifies the password of the p12 file in advance by e-mail, a document, or the like as shown in
本発明は、このようなことに鑑みてなされたものであり、その目的の一つは、ネットワーク管理者等の負担を軽減可能なネットワーク管理装置およびネットワークシステムを提供することにある。 The present invention has been made in view of the above, and one of the objects thereof is to provide a network management device and a network system capable of reducing the burden on a network administrator or the like.
本発明の前記並びにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。 The above and other objects and novel features of the present invention will become apparent from the description and accompanying drawings herein.
本願において開示される発明のうち、代表的な実施の形態の概要を簡単に説明すれば、次のとおりである。 A brief description of typical embodiments of the inventions disclosed in the present application is as follows.
本実施の形態によるネットワーク管理装置は、第1および第2の処理を実行する。第1の処理において、ネットワーク管理装置は、認証局から受け取ったp12ファイルでありクライアント証明書がアーカイブされている第1のファイルを、認証局から受け取った初期のパスワードでクライアント証明書に展開する。第2の処理において、ネットワーク管理装置は、ユーザ端末からのクライアント証明書の取得要求に応じて、ユーザ端末のユーザに任意のパスワードを入力させ、第1の処理によって得られる展開後のクライアント証明書を当該任意のパスワードでp12ファイルとなる第2のファイルにアーカイブしたのちユーザ端末へ送信する。 The network management device according to the present embodiment executes the first and second processes. In the first process, the network management device expands the first file, which is the p12 file received from the certificate authority and in which the client certificate is archived, into the client certificate with the initial password received from the certificate authority. In the second process, the network management device causes the user of the user terminal to enter an arbitrary password in response to the request for obtaining the client certificate from the user terminal, and the expanded client certificate obtained by the first process. Is archived in a second file, which is a p12 file, with the arbitrary password, and then transmitted to the user terminal.
本願において開示される発明のうち、代表的な実施の形態によって得られる効果を簡単に説明すると、ネットワーク管理者等の負担を軽減可能になる。 A brief description of the effects obtained by a typical embodiment of the inventions disclosed in the present application makes it possible to reduce the burden on the network administrator and the like.
以下の実施の形態においては便宜上その必要があるときは、複数のセクションまたは実施の形態に分割して説明するが、特に明示した場合を除き、それらは互いに無関係なものではなく、一方は他方の一部または全部の変形例、詳細、補足説明等の関係にある。また、以下の実施の形態において、要素の数等(個数、数値、量、範囲等を含む)に言及する場合、特に明示した場合および原理的に明らかに特定の数に限定される場合等を除き、その特定の数に限定されるものではなく、特定の数以上でも以下でも良い。 In the following embodiments, when necessary for convenience, the description will be divided into a plurality of sections or embodiments, but unless otherwise specified, they are not unrelated to each other, and one is the other. There is a relationship of some or all modifications, details, supplementary explanations, etc. In addition, in the following embodiments, when the number of elements (including the number, numerical value, quantity, range, etc.) is referred to, when it is specified in particular, or when it is clearly limited to a specific number in principle, etc. Except, the number is not limited to the specific number, and may be more than or less than the specific number.
さらに、以下の実施の形態において、その構成要素(要素ステップ等も含む)は、特に明示した場合および原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではないことは言うまでもない。同様に、以下の実施の形態において、構成要素等の形状、位置関係等に言及するときは、特に明示した場合および原理的に明らかにそうでないと考えられる場合等を除き、実質的にその形状等に近似または類似するもの等を含むものとする。このことは、上記数値および範囲についても同様である。 Furthermore, in the following embodiments, the components (including element steps and the like) are not necessarily essential unless otherwise specified or clearly considered to be essential in principle. Needless to say. Similarly, in the following embodiments, when referring to the shape, positional relationship, etc. of a component or the like, the shape is substantially the same unless otherwise specified or when it is considered that it is not apparent in principle. Etc., etc. shall be included. This also applies to the above numerical values and ranges.
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. In addition, in all the drawings for explaining the embodiment, in principle, the same members are designated by the same reference numerals, and the repeated description thereof will be omitted.
(実施の形態1)
《ネットワークシステムの概略構成》
図1は、本発明の実施の形態1によるネットワークシステムにおいて、主要部の概略構成例およびネットワーク認証時の概略動作例を示す図である。図1に示すネットワークシステムは、認証局CAと、L3スイッチL3SWと、L2スイッチL2SW1,L2SW2と、無線LANアクセスポイントAPと、ネットワーク管理装置12と、業務サーバ13と、ディレクトリサーバ14と、ユーザ端末20a,20bとを備える。L3スイッチL3SWは、OSI参照モデルのレイヤ2(L2)(すなわちMACアドレス)に基づく中継処理に加えて、レイヤ3(L3)(すなわちIPアドレス)に基づく中継処理を行う。L2スイッチL2SW1,L2SW2は、OSI参照モデルのレイヤ2(L2)に基づく中継処理を行う。
(Embodiment 1)
<< Outline configuration of network system >>
FIG. 1 is a diagram showing a schematic configuration example of a main part and a schematic operation example at the time of network authentication in the network system according to the first embodiment of the present invention. The network system shown in FIG. 1 includes a certificate authority CA, an L3 switch L3SW, an L2 switch L2SW1 and L2SW2, a wireless LAN access point AP, a
この例では、認証局CAおよびディレクトリサーバ14は、IPネットワーク10を介してL3スイッチL3SWに接続される。L2スイッチL2SW1,L2SW2、ネットワーク管理装置12および業務サーバ13は、通信回線(例えば、イーサネット(登録商標)ケーブル)11を介してL3スイッチL3SWに接続される。ユーザ端末20aは、ユーザ21aによって使用され、通信回線11を介してL2スイッチL2SW1に接続される。ユーザ端末20bは、ユーザ21bによって使用され、無線LANアクセスポイントAPとの間で無線通信を行う。無線LANアクセスポイントAPは、通信回線11を介してL2スイッチL2SW2に接続される。また、この例では、ユーザ端末20a,20bには、それぞれ、クライアント証明書25a,25bがインストールされている。
In this example, the certificate authority CA and the
認証局CAは、クライアント証明書やサーバ証明書といった各種電子証明書を発行する。電子証明書は、広く知られているように、公開鍵の情報やその所有者の情報や有効期限の情報等を含み、これらの各種情報に認証局CAが電子署名を行ったものである。ディレクトリサーバ14は、例えば、LDAP(Lightweight Directory Access Protocol)等を用いてディレクトリサービスを提供するものであり、ネットワーク上に存在する様々なリソースや情報等を管理するサーバである。業務サーバ13は、例えば、各ユーザ21a,21bに、業務で必要な各種情報等を提供するサーバである。
The certificate authority CA issues various digital certificates such as client certificates and server certificates. As is widely known, a digital certificate includes information on a public key, information on its owner, information on an expiration date, and the like, and the certificate authority CA digitally signs these various types of information. The
ネットワーク管理装置12は、例えば、ネットワーク管理者22によって管理されるサーバ等であり、サーバ上のプログラム処理によって実装されるネットワーク認証部15と証明書配付部16とを備える。ここでは、ネットワーク認証部15および証明書配付部16は、同一のサーバに実装されているが、個別のサーバに実装されてもよい。証明書配付部16は、詳細は後述するが、ユーザ端末20a,20b(ユーザ21a,21b)にクライアント証明書を配布する。ネットワーク認証部15は、IEEE802.1Xに基づく認証サーバの機能を備える。
The
IEEE802.1Xでは、ユーザ端末20a,20b上のソフトウエアとなるサプリカントと、ネットワーク認証部15に該当する認証サーバ(RADIUSサーバ)と、サプリカントと認証サーバとの間の通信経路に挿入されるオーセンティケータとを構成要素として、ユーザ端末またはユーザのネットワーク認証が行われる。この際には、EAP(Extensible Authentication Protocol)と呼ばれる認証プロトコルが用いられる。オーセンティケータは、IEEE802.1X対応のL2スイッチ(認証スイッチと呼ばれる)や無線LANアクセスポイントに該当し、図1の例では、L2スイッチL2SW1および無線LANアクセスポイントAPに該当する。
In IEEE802.1X, it is inserted into the communication path between the supplicant, which is the software on the
例えば、L2スイッチL2SW1は、初期状態では、ユーザ端末20aの通信範囲をL2スイッチL2SW1までの範囲に制限している。この状態で、ユーザ端末20a(ユーザ21a)は、L2スイッチL2SW1へ認証要求を行う(ステップS101)。この認証要求は、EAPOL(EAP Over LAN)フレームを用いて行われる。EAPOLフレームには、ユーザ21aのアカウント情報(ユーザIDおよびパスワード等)や、または、クライアント証明書25aを含めることができる。
For example, in the initial state, the L2 switch L2SW1 limits the communication range of the
L2スイッチL2SW1は、ユーザ端末20aからの認証要求をL3スイッチL3SWを介してネットワーク認証部15へ中継する(ステップS102)。この際に、L2スイッチL2SW1は、EAPOLフレームを、ネットワーク認証部15のIPアドレスを宛先とするEAPパケットに変換する。ネットワーク認証部15は、ユーザ端末20aからのL2スイッチL2SW1およびL3スイッチL3SWを介した認証要求に応じて、認証成否を判定する(ステップS103)。
The L2 switch L2SW1 relays the authentication request from the
この際に、ネットワーク認証部15は、アカウント情報で認証を行う場合には、例えば、予め有効なアカウント情報等が登録された認証テーブルに基づき真正性を検証する。一方、ネットワーク認証部15は、クライアント証明書25aで認証を行う場合には、例えば、クライアント証明書25aの電子署名や有効期限等に基づき真正性を検証する。また、ネットワーク認証部15は、例えば、予め登録されたクライアント証明書と、受信したクライアント証明書25aとの同一性に基づいて真正性を検証してもよい。なお、このような真正性の検証に際し、ネットワーク認証部15は、内部で保持する認証テーブル等の登録情報に限らず、ディレクトリサーバ14との通信によってディレクトリサーバ14から取得した登録情報を用いてもよい。
At this time, when the
ネットワーク認証部15は、このような真正性の検証結果に基づいて認証成否を判定し、当該認証成否の判定結果を含む認証結果をL2スイッチL2SW1へ送信する(ステップS104)。L2スイッチL2SW1は、ネットワーク認証部15からの認証結果に応じてユーザ端末20aの通信範囲を制御する。例えば、L2スイッチL2SW1は、ネットワーク認証部15から認証失敗の認証結果を受けた場合には、ユーザ端末20aからのフレームを中継しないように制御する。また、L2スイッチL2SW1は、ネットワーク認証部15から認証成功の認証結果を受けた場合には、例えば、当該認証結果に含まれる割り当てVLAN等の情報(すなわち認証VLAN機能)によって業務サーバ13等との通信経路が構築されるように制御する。なお、無線LANアクセスポイントAPも、ユーザ端末20b(ユーザ21b)を対象としてL2スイッチL2SW1の場合と同様の処理を行う。
The
ここで、前述したようにクライアント証明書25a,25bを用いてネットワーク認証を行う場合には、予めユーザ端末20a,20bにクライアント証明書25a,25bがインストールされている必要がある。そこで、ユーザ端末(ユーザ)にクライアント証明書を配付する証明書配付部16が設けられる。クライアント証明書は、詳細には、ユーザの真正性を証明するユーザ証明書と、ユーザ端末の真正性を証明するコンピュータ証明書とに分かれるが、そのいずれであってもよい。
Here, when network authentication is performed using the
《証明書配付部の詳細》
図2は、図1における証明書配付部関連の処理内容の一例を示すシーケンス図である。図2において、まず、ネットワーク管理者22は、ユーザ21からの要求等に応じて、認証局CAにユーザ21またはユーザ端末20のクライアント証明書の発行申請を行う(ステップS201)。認証局CAは、当該発行申請に応じてクライアント証明書を発行し、発行したクライアント証明書を、秘密鍵等と共に認証局CA等で定めた初期のパスワードでp12ファイル(第1のファイル)にアーカイブする(ステップS202)。続いて、認証局CAは、当該p12ファイルと初期のパスワードを管理端末22へ送付する(ステップS203)。
<< Details of Certificate Distribution Department >>
FIG. 2 is a sequence diagram showing an example of processing contents related to the certificate distribution unit in FIG. In FIG. 2, first, the
次いで、ネットワーク管理者22は、認証局CAから受け取ったp12ファイル(第1のファイル)と初期のパスワードとを、ユーザ21またはユーザ端末20のアカウント情報(ユーザアカウントまたはコンピュータアカウント)に紐付けて証明書配付部16aにアップロードする(ステップS204)。具体的には、ネットワーク管理者22は、例えば、証明書配付部16aに設けられる管理テーブルにこれらの対応関係を登録する。なお、証明書配付部16aは、図1に示した証明書配付部16に対応する。
Next, the
続いて、証明書配付部16aは、ステップS204で登録された対応関係に基づき、クライアント証明書がアーカイブされているp12ファイル(第1のファイル)を初期のパスワードでクライアント証明書に展開する(ステップS205)。次いで、証明書配付部16aは、当該展開後のクライアント証明書を、展開前のp12ファイルに対応するアカウント情報に紐付けて管理し、さらに、任意のパスワードでp12ファイルにアーカイブできる状態で管理する(ステップS206)。具体例として、例えば、管理テーブルは、p12ファイル(第1のファイル)と初期のパスワードとアカウント情報との対応関係に加えて、当該アカウント情報と展開後のクライアント証明書との対応関係も保持する。
Subsequently, the
その後、ユーザ21は、ユーザ端末20を用いて証明書配付部16aに所定のアカウント情報(ユーザアカウントまたはコンピュータアカウント)でログインし、証明書配付部16aにクライアント証明書の取得要求を送信する(ステップS207)。これに応じて、証明書配付部16aは、ユーザ端末20にパスワード入力画面を表示させ(ステップS208)、ユーザ端末20のユーザ21に任意のパスワードを入力させる(ステップS209)。
After that, the user 21 logs in to the
次いで、証明書配付部16aは、ステップS206での対応関係(管理テーブル)に基づき、ステップS207でのアカウント情報に対応する展開後のクライアント証明書をアーカイブの対象に定める。そして、証明書配付部16aは、対象となる展開後のクライアント証明書を、ステップS209で入力された任意のパスワードでp12ファイル(第2のファイル)にアーカイブする(ステップS210)。その後、証明書配付部16aは、当該p12ファイルをユーザ端末20へ送信する(ステップS211)。ユーザ端末20のユーザ21は、当該p12ファイルを、ステップS209で入力した任意のパスワードでクライアント証明書に展開し、ユーザ端末20にインストールする(ステップS212)。
Next, the
なお、ステップS207でユーザ端末20(ユーザ21)が証明書配付部16aにログインするためには、前提として、ネットワーク認証によってユーザ端末20と証明書配付部16aとの間の通信経路が構築されている必要がある。図1で述べたように、例えば、ユーザ21aがユーザアカウントでネットワーク認証を行った場合や、ユーザ端末20a内のクライアント証明書25aでネットワーク認証を行った場合(例えば、クライアント証明書25aの有効期限更新時)には、当該通信経路が構築される。ただし、このような方法が適用できない場合も起こり得る。この場合、例えば、ネットワーク管理者22は、認証VLAN機能を用いて、認証失敗時に当該通信経路が構築されるような設定を行えばよい。
In order for the user terminal 20 (user 21) to log in to the
以上のような証明書配付部16aを設けることで、ネットワーク管理者22の負担を軽減することが可能になる。すなわち、ネットワーク管理者22は、ステップS204でp12ファイルを証明書配付部16aにアップロードする作業を行えばよく、ユーザ端末20(ユーザ21)に配付する作業を行う必要はない。さらに、証明書配付部16aがステップS209でユーザ21に任意のパスワードを決めさせることで、ネットワーク管理者22は、特許文献1のように、ステップS203における初期のパスワードをユーザ21に通知する作業も行わずに済む。また、このようにユーザ21に任意のパスワードを決めさせる仕組みを用いることで、ネットワーク管理者22が各ユーザに初期のパスワードを通知する場合と比べて、パスワードが流出し難くなり、ネットワークシステムにおけるセキュリティの向上が図れる。
By providing the
図3は、図1における証明書配付部の主要部の構成例を示す概略図である。図3に示す証明書配付部16aは、管理テーブル30aと、展開処理部31aと、アーカイブ処理部32と、記憶部33とを備える。管理テーブル30aおよび記憶部33は、揮発性メモリまたは不揮発性メモリに実装される。展開処理部31aおよびアーカイブ処理部32は、例えば、CPUを用いたプログラム処理等によって実装される。管理テーブル30aには、図2のステップS204の処理によって、アカウント情報と、初期のパスワード(PW)と、p12ファイル(そのポインタ)との対応関係が登録される。実体となるp12ファイル34は、記憶部33に格納される。
FIG. 3 is a schematic view showing a configuration example of a main part of the certificate distribution part in FIG. The
この例では、アカウント情報として、ユーザIDおよびパスワードを含むユーザアカウントと、ユーザ端末のコンピュータ名を含むコンピュータアカウントとが登録される。ただし、場合によっては、例えばユーザアカウントのみ等であってもよい。展開処理部31aは、図2のステップS205で述べたように、管理テーブル30aの各登録エントリ毎に、記憶部33内のp12ファイル(第1のファイル)34を対応する初期のパスワードでクライアント証明書35に展開し、記憶部33に格納する。
In this example, a user account including a user ID and a password and a computer account including a computer name of a user terminal are registered as account information. However, in some cases, for example, only the user account may be used. As described in step S205 of FIG. 2, the
また、展開処理部31aは、図2のステップS206で述べたように、展開後のクライアント証明書35を、展開前のp12ファイル(第1のファイル)34に対応するアカウント情報に紐付けて管理する。この例では、展開処理部31aは、管理テーブル30a内の対応する登録エントリに展開後のクライアント証明書35へのポインタを登録する。なお、このような展開処理を終えた場合、展開処理部31aは、処理済みのp12ファイル34と、それに対応する初期のパスワードとを記憶部33および管理テーブル30aから削除してもよい。
Further, as described in step S206 of FIG. 2, the
アーカイブ処理部32は、図2のステップS207におけるアカウント情報40を検索キーとして管理テーブル30a内の各登録エントリを検索し、ヒットしたエントリに登録される展開後のクライアント証明書35をアーカイブの対象に定める。そして、アーカイブ処理部32は、対象となる展開後のクライアント証明書35を、ステップS209で入力された任意のパスワード(PW)41でp12ファイル(第2のファイル)43にアーカイブしたのち要求元のユーザ端末へ送信する。
The
《ネットワーク認証部の詳細》
図4は、図1におけるネットワーク認証部の主要部の構成例を示す概略図である。図4に示すネットワーク認証部15は、認証テーブル45と、記憶部46と、認証判定部47とを備える。認証テーブル45および記憶部46は、揮発性メモリまたは不揮発性メモリに実装される。認証判定部47は、例えば、CPUを用いたプログラム処理等によって実装される。
<< Details of Network Authentication Department >>
FIG. 4 is a schematic view showing a configuration example of a main part of the network authentication unit in FIG. The
認証テーブル45内の各情報は、予め、ネットワーク管理者22によって登録されるか、または、ネットワーク認証部15が図1のディレクトリサーバ14と連携してディレクトリサーバ14から取得したものであってもよい。認証テーブル45内の各登録エントリは、例えば、検証用のアカウント情報およびクライアント証明書(そのポインタ)と、割り当てVLANとの対応関係を保持する。実体となる検証用のクライアント証明書は、記憶部46に格納される。検証用のアカウント情報には、ユーザアカウントおよびコンピュータアカウントが含まれる。
Each information in the authentication table 45 may be registered in advance by the
認証判定部47は、図1で述べたように、アカウント情報またはクライアント証明書を含む認証要求48を受け、認証テーブル45に基づいて、当該アカウント情報またはクライアント証明書の認証成否を判定し、認証結果49を送信する。認証判定部47は、例えば、ユーザIDおよびパスワードが“ID[1]”および“PW[1]”のユーザアカウントを含む認証要求48を受信した場合、登録エントリ[1]において当該ユーザアカウントが検証用のアカウント情報に一致するため、認証成功と判定する。そして、認証判定部47は、認証結果49として、認証成功の判定結果と、登録エントリ[1]に登録された割り当てVLAN“VNx”とを送信する。
As described in FIG. 1, the
一方、認証判定部47は、例えば、クライアント証明書[1]を含む認証要求48を受信した場合、当該クライアント証明書[1]の電子署名や有効期限等に基づき真正性を検証する。また、認証判定部47は、クライアント証明書[1]に記載される、又はクライアント証明書[1]と共に受信するユーザIDやコンピュータアカウントとクライアント証明書[1]との対応関係が認証テーブル45に登録されているか否かを判定することで、真正性を検証する。
On the other hand, when the
さらに、場合によっては、認証判定部47は、受信したクライアント証明書[1]と、記憶部46に登録される検証用のクライアント証明書[1]との同一性を判定することで、真正性を検証する。これらの結果、クライアント証明書[1]が真正である場合、認証判定部47は、認証成功と判定し、認証結果49として、認証成功の判定結果と、登録エントリ[1]に登録された割り当てVLAN“VNx”とを送信する。
Further, in some cases, the
ここで、図4の認証テーブル45に含まれるアカウント情報は、ネットワーク認証における認証成否の判定対象となる情報である。一方、図3の管理テーブル30aに含まれるアカウント情報は、証明書配付部16aへのログイン可否の判定対象となる情報である。したがって、これらのアカウント情報は、必ずしも同一である必要はない。ただし、図1に示したように、特に、同一のサーバにネットワーク認証部15と証明書配付部16とを備えるような場合には、両方のアカウント情報を同じにすることで、各種リソースの効率化が図れる。
Here, the account information included in the authentication table 45 of FIG. 4 is information for determining the success or failure of authentication in network authentication. On the other hand, the account information included in the management table 30a of FIG. 3 is information for determining whether or not to log in to the
具体的には、両方のアカウント情報を同じにすると、図4の認証テーブル45および図3の管理テーブル30aにおいて、アカウント情報とクライアント証明書との対応関係を共通化できるため、例えば、2個のテーブルを1個に統合すること等が可能になる。また、図4のネットワーク認証部15は、図3の証明書配付部16aで生成された、アカウント情報とクライアント証明書との対応関係および当該クライアント証明書の実体データ(図3の展開後のクライアント証明書35)を用いてネットワーク認証(例えばクライアント証明書の同一性判定等)を行うことが可能になる。
Specifically, if both account information is the same, the correspondence between the account information and the client certificate can be shared in the authentication table 45 of FIG. 4 and the management table 30a of FIG. 3, so that, for example, two It is possible to integrate the tables into one. Further, the
《実施の形態1の主要な効果》
以上、実施の形態1のネットワークシステムおよびネットワーク管理装置を用いることで、代表的には、ネットワーク管理者等の負担を軽減可能になる。また、ネットワークシステムにおけるセキュリティの向上が図れる。
<< Main effect of
As described above, by using the network system and the network management device of the first embodiment, it is possible to reduce the burden on the network administrator and the like. In addition, security in the network system can be improved.
(実施の形態2)
《証明書配付部(変形例)の詳細》
図5は、本発明の実施の形態2によるネットワーク管理装置において、図1における証明書配付部の主要部の構成例を示す概略図である。図6は、図5の証明書配付部関連の処理内容の一例を示すシーケンス図である。証明書配付部は、クライアント証明書の配付が完了したら、展開後のクライアント証明書(図3の符号35)を記憶部33に残さなくてもよい場合がある。ここでは、このような場合の一例について説明する。
(Embodiment 2)
<< Details of the certificate distribution section (variation example) >>
FIG. 5 is a schematic view showing a configuration example of a main part of the certificate distribution part in FIG. 1 in the network management device according to the second embodiment of the present invention. FIG. 6 is a sequence diagram showing an example of processing contents related to the certificate distribution unit of FIG. The certificate distribution unit may not have to leave the expanded client certificate (
図5に示す証明書配付部16bは、図1の証明書配付部16に対応し、図3の構成例と比較して次の点が異なっている。まず、記憶部33は、展開後のクライアント証明書(図3の符号35)を保持せず、これに伴い、管理テーブル30bは、アカウント情報と展開後のクライアント証明書との対応関係を保持しない。また、これに伴い、展開処理部31bは、展開後のクライアント証明書を、記憶部33に格納するのではなく、そのままアーカイブ処理部32へ送信する。
The
図6に示すシーケンスは、図2に示したシーケンスと比較して、図2におけるステップS205〜S210の処理順番が入れ替わっており、さらに、ステップS206の処理が削除されている。図6のステップS204において、ネットワーク管理者22は、図2の場合と同様に、p12ファイル(第1のファイル)および初期のパスワードを、アカウント情報に紐付けて証明配付部16bにアップロードする。証明書配付部16bは、図2の場合と異なり、この状態で、ユーザ端末20(ユーザ21)からのログインを待つ。
In the sequence shown in FIG. 6, the processing order of steps S205 to S210 in FIG. 2 is changed as compared with the sequence shown in FIG. 2, and the processing of step S206 is deleted. In step S204 of FIG. 6, the
この状態でユーザ端末20(ユーザ21)からのログインおよびクライアント証明書の取得要求が生じると(ステップS207)、証明書配付部16bは、図2の場合と同様に、ユーザ21にパスワードを要求して任意のパスワードを入力させる(ステップS208,S209)。その後、証明書配付部16bは、アカウント情報に対応するp12ファイル(第1のファイル)を初期のパスワードで展開し(ステップS205)、続けて、展開後のクライアント証明書を任意のパスワードでp12ファイル(第2のファイル)にアーカイブする(ステップS210)。証明書配付部16bは、当該p12ファイルをユーザ端末20へ送信する(ステップS211)。なお、証明書配付部16bは、ステップS211の処理を終えた登録エントリを、記憶部33内のp12ファイル34を含めて削減してもよい。
When the login from the user terminal 20 (user 21) and the acquisition request of the client certificate occur in this state (step S207), the
《実施の形態2の主要な効果》
以上、実施の形態2のネットワークシステムおよびネットワーク管理装置を用いることでも、実施の形態1の場合と同様の効果が得られる。
<< Main effect of
As described above, the same effect as that of the first embodiment can be obtained by using the network system and the network management device of the second embodiment.
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。例えば、前述した実施の形態は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 Although the invention made by the present inventor has been specifically described above based on the embodiment, the present invention is not limited to the embodiment and can be variously modified without departing from the gist thereof. For example, the above-described embodiments have been described in detail in order to explain the present invention in an easy-to-understand manner, and are not necessarily limited to those having all the described configurations. Further, it is possible to replace a part of the configuration of one embodiment with the configuration of another embodiment, and it is also possible to add the configuration of another embodiment to the configuration of one embodiment. .. Further, it is possible to add / delete / replace other configurations with respect to a part of the configurations of each embodiment.
10 IPネットワーク
11 通信回線
12 ネットワーク管理装置
13 業務サーバ
14 ディレクトリサーバ
15 ネットワーク認証部
16 証明書配付部
20 ユーザ端末
21 ユーザ
22 ネットワーク管理者
25,35 クライアント証明書
30 管理テーブル
31 展開処理部
32 アーカイブ処理部
33,46 記憶部
34,43 p12ファイル
40 アカウント情報
41 任意のパスワード
45 認証テーブル
47 認証判定部
48 認証要求
49 認証結果
AP 無線LANアクセスポイント
CA 認証局
L2SW L2スイッチ
L3SW L3スイッチ
10 IP network 11
Claims (8)
ユーザ端末からの前記クライアント証明書の取得要求に応じて、前記ユーザ端末のユーザに任意のパスワードを入力させ、前記第1の処理によって得られる展開後の前記クライアント証明書を前記任意のパスワードで前記PKCS#12形式となる第2のファイルにアーカイブしたのち前記ユーザ端末へ送信する第2の処理と、
を実行する証明書配布部を備える、
ネットワーク管理装置。 The first process of expanding the first file, which is a PKCS # 12 format file received from the certificate authority and in which the client certificate is archived, to the client certificate with the initial password received from the certificate authority. ,
In response to the request for obtaining the client certificate from the user terminal, the user of the user terminal is made to enter an arbitrary password, and the expanded client certificate obtained by the first process is used with the arbitrary password. A second process of archiving into a second file in PKCS # 12 format and then sending to the user terminal, and
Equipped with a certificate distribution department to execute
Network management device.
前記証明書配布部は、
前記ユーザまたは前記ユーザ端末のアカウント情報と、前記展開後のクライアント証明書との対応関係を保持する管理テーブルを備え、
前記第2の処理において、前記ユーザ端末から前記アカウント情報を受信し、前記管理テーブルに基づき、前記アカウント情報に対応する前記展開後のクライアント証明書を前記アーカイブの対象に定める、
ネットワーク管理装置。 In the network management device according to claim 1,
The certificate distribution department
Before SL provided and account information of the user or the user terminal, a management table that holds the correspondence between the client certificate after the deployment,
In the second process, the account information is received from the user terminal, and the expanded client certificate corresponding to the account information is set as the target of the archive based on the management table.
Network management device.
前記証明書配布部は、
前記第1のファイルと、前記初期のパスワードと、前記ユーザまたは前記ユーザ端末のアカウント情報との対応関係を保持する管理テーブルを備え、
前記第1の処理において、前記管理テーブルに基づき、前記第1のファイルを前記初期のパスワードで前記クライアント証明書に展開し、当該展開後のクライアント証明書を前記第1のファイルに対応する前記アカウント情報に紐付けて管理し、
前記第2の処理において、前記ユーザ端末から前記アカウント情報を受信し、前記管理テーブルに基づき、前記アカウント情報に紐付けて管理される前記展開後のクライアント証明書を前記アーカイブの対象に定める、
ネットワーク管理装置。 In the network management device according to claim 1,
The certificate distribution department
Comprising a front Symbol first file, and the initial password, the management table storing relationships between the user or account information of the user terminal,
In the first process, based on the management table, the first file is expanded to the client certificate with the initial password, and the expanded client certificate is expanded to the account corresponding to the first file. Manage by linking to information,
In the second process, the account information is received from the user terminal, and the expanded client certificate managed in association with the account information based on the management table is set as the target of the archive.
Network management device.
前記ユーザ端末からのIEEE802.1Xに基づく認証要求に応じて認証成否を判定するネットワーク認証部を備え、
前記管理テーブルに保持される前記アカウント情報は、前記ネットワーク認証部での認証成否の判定対象となるアカウント情報と同じである、
ネットワーク管理装置。 In the network management device according to claim 2 or 3 .
A network authentication section determines authentication success in response to the authentication request based on IEEE802.1X from the previous SL user terminal,
The account information held in the management table is the same as the account information to be determined by the network authentication unit for success or failure of authentication.
Network management device.
前記ユーザ端末からのIEEE802.1Xに基づく認証要求に応じて認証成否を判定するネットワーク認証部と、前記ユーザ端末にクライアント証明書を配布する証明書配布部とを備えるネットワーク管理装置と、
前記ユーザ端末と前記ネットワーク管理装置との間の通信経路に挿入され、前記ユーザ端末からの前記認証要求を前記ネットワーク認証部へ中継し、前記ネットワーク認証部からの認証結果に応じて前記ユーザ端末の通信範囲を制御する認証スイッチまたは無線LANアクセスポイントと、
前記クライアント証明書を発行する認証局と、
を備えるネットワークシステムであって、
前記証明書配布部は、
前記認証局から受け取ったPKCS#12形式となるファイルであり前記クライアント証明書がアーカイブされている第1のファイルを、前記認証局から受け取った初期のパスワードで前記クライアント証明書に展開する第1の処理と、
前記ユーザ端末からの前記クライアント証明書の取得要求に応じて、前記ユーザ端末のユーザに任意のパスワードを入力させ、前記第1の処理によって得られる展開後の前記クライアント証明書を前記任意のパスワードで前記PKCS#12形式となる第2のファイルにアーカイブしたのち前記ユーザ端末へ送信する第2の処理と、
を実行する、
ネットワークシステム。 With the user terminal
A network management device including a network authentication unit that determines the success or failure of authentication in response to an authentication request based on IEEE802.1X from the user terminal, and a certificate distribution unit that distributes a client certificate to the user terminal.
It is inserted into the communication path between the user terminal and the network management device, relays the authentication request from the user terminal to the network authentication unit, and responds to the authentication result from the network authentication unit of the user terminal. An authentication switch or wireless LAN access point that controls the communication range,
The certificate authority that issues the client certificate and
It is a network system equipped with
The certificate distribution department
The first file, which is a PKCS # 12 format file received from the certificate authority and in which the client certificate is archived, is expanded into the client certificate with the initial password received from the certificate authority. Processing and
In response to the request for obtaining the client certificate from the user terminal, the user of the user terminal is made to enter an arbitrary password, and the expanded client certificate obtained by the first process is used with the arbitrary password. The second process of archiving in the second file in PKCS # 12 format and then transmitting to the user terminal, and
To execute,
Network system.
前記証明書配布部は、
前記ユーザまたは前記ユーザ端末のアカウント情報と、前記展開後のクライアント証明書との対応関係を保持する管理テーブルを備え、
前記第2の処理において、前記ユーザ端末から前記アカウント情報を受信し、前記管理テーブルに基づき、前記アカウント情報に対応する前記展開後のクライアント証明書を前記アーカイブの対象に定める、
ネットワークシステム。 In the network system according to claim 5,
The certificate distribution department
A management table that holds a correspondence between the account information of the user or the user terminal and the expanded client certificate is provided.
In the second process, the account information is received from the user terminal, and the expanded client certificate corresponding to the account information is set as the target of the archive based on the management table.
Network system.
前記証明書配布部は、
前記第1のファイルと、前記初期のパスワードと、前記ユーザまたは前記ユーザ端末のアカウント情報との対応関係を保持する管理テーブルを備え、
前記第1の処理において、前記管理テーブルに基づき、前記第1のファイルを前記初期のパスワードで前記クライアント証明書に展開し、当該展開後のクライアント証明書を前記第1のファイルに対応する前記アカウント情報に紐付けて管理し、
前記第2の処理において、前記ユーザ端末から前記アカウント情報を受信し、前記管理テーブルに基づき、前記アカウント情報に紐付けて管理される前記展開後のクライアント証明書を前記アーカイブの対象に定める、
ネットワークシステム。 In the network system according to claim 5,
The certificate distribution department
A management table that holds a correspondence between the first file, the initial password, and the account information of the user or the user terminal is provided.
In the first process, based on the management table, the first file is expanded to the client certificate with the initial password, and the expanded client certificate is expanded to the account corresponding to the first file. Manage by linking to information,
In the second process, the account information is received from the user terminal, and the expanded client certificate managed in association with the account information based on the management table is set as the target of the archive.
Network system.
前記管理テーブルに保持される前記アカウント情報は、前記ネットワーク認証部での認証成否の判定対象となるアカウント情報と同じである、
ネットワークシステム。
In the network system according to claim 6 or 7.
The account information held in the management table is the same as the account information to be determined by the network authentication unit for success or failure of authentication.
Network system.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018101335A JP6945498B2 (en) | 2018-05-28 | 2018-05-28 | Network management equipment and network system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018101335A JP6945498B2 (en) | 2018-05-28 | 2018-05-28 | Network management equipment and network system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019208096A JP2019208096A (en) | 2019-12-05 |
JP6945498B2 true JP6945498B2 (en) | 2021-10-06 |
Family
ID=68768668
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018101335A Active JP6945498B2 (en) | 2018-05-28 | 2018-05-28 | Network management equipment and network system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6945498B2 (en) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4306235B2 (en) * | 2002-11-28 | 2009-07-29 | 凸版印刷株式会社 | IC card issuing device |
JP4835177B2 (en) * | 2006-01-31 | 2011-12-14 | ブラザー工業株式会社 | Certificate issuing device and program |
JP2015005956A (en) * | 2013-06-24 | 2015-01-08 | キヤノン株式会社 | Information processing device, control method and program |
JP2015019267A (en) * | 2013-07-11 | 2015-01-29 | 株式会社リコー | Communication system, information appliance, communication method and program |
US10666637B2 (en) * | 2015-12-14 | 2020-05-26 | Amazon Technologies, Inc. | Certificate renewal and deployment |
-
2018
- 2018-05-28 JP JP2018101335A patent/JP6945498B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019208096A (en) | 2019-12-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10924495B2 (en) | Verification method, apparatus, and system used for network application access | |
JP6612358B2 (en) | Method, network access device, application server, and non-volatile computer readable storage medium for causing a network access device to access a wireless network access point | |
EP1585285B1 (en) | Multiple Authentication Channels, Each Using Multiple Authentication Modes | |
US7953227B2 (en) | Method for securely and automatically configuring access points | |
EP2258098B1 (en) | Credential generation method for communications devices and device management servers | |
US8943323B2 (en) | System and method for provisioning device certificates | |
US8605582B2 (en) | IP network system and its access control method, IP address distributing device, and IP address distributing method | |
EP2657871A2 (en) | Secure configuration of mobile application | |
EP1881665B1 (en) | System and method for provisioning device certificates | |
US10516653B2 (en) | Public key pinning for private networks | |
JP2020177537A (en) | Authentication/authorization server, client, service providing system, access management method, and program | |
JP2018092446A (en) | Authentication approval system, information processing apparatus, authentication approval method, and program | |
CN109120419B (en) | Upgrading method and device for ONU version of optical network unit and storage medium | |
US20240195790A1 (en) | Centralized management of private networks | |
CN110519259B (en) | Method and device for configuring communication encryption between cloud platform objects and readable storage medium | |
JP4906581B2 (en) | Authentication system | |
WO2014169802A1 (en) | Terminal, network side device, terminal application control method, and system | |
CN107888615B (en) | Safety authentication method for node registration | |
JP6945498B2 (en) | Network management equipment and network system | |
CN109361659B (en) | Authentication method and device | |
CN109413200B (en) | Resource import method, client, MES and electronic equipment | |
CN113784354A (en) | Request conversion method and device based on gateway | |
JP2013214825A (en) | Relay device, communication control method, and communication control program | |
JPWO2020122977A5 (en) | ||
CN112887968B (en) | Network equipment management method, device, network management equipment and medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201110 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210615 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210616 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210802 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210831 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210914 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6945498 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |