ゲートウェイ装置および認証処理方法
【課題】ゲートウェイ装置における認証処理のポリシーの設定を迅速に行うこと。
【解決手段】ゲートウェイ装置2と端末装置1a,1bとの間に介在する公衆網4に暗号化通信を行うための論理的な回線を確立させるとともに、認証サーバ3a,3bと専用網5を介して接続され、端末装置1a,1bと認証サーバ3a,3bとの間で複数の認証処理を行うゲートウェイ装置2において、VPNa,VPNb毎に設けられたデータベース24a,24bに認証方式情報24a1,24b1を、事業者ID情報24a3,24b3に対応付けて記録する。
【解決手段】ゲートウェイ装置2と端末装置1a,1bとの間に介在する公衆網4に暗号化通信を行うための論理的な回線を確立させるとともに、認証サーバ3a,3bと専用網5を介して接続され、端末装置1a,1bと認証サーバ3a,3bとの間で複数の認証処理を行うゲートウェイ装置2において、VPNa,VPNb毎に設けられたデータベース24a,24bに認証方式情報24a1,24b1を、事業者ID情報24a3,24b3に対応付けて記録する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号化通信を行うためのセッションが確立された端末装置と認証サーバとの間で認証処理のためのデータ中継を行うゲートウェイ装置および認証処理方法に関するものである。
【背景技術】
【0002】
従来では、ユーザが端末装置を用いて公衆網を介して専用網内の網運用者である事業者の認証サーバにアクセスする場合、公衆網と専用網との間に介在するゲートウェイ装置と端末装置間で、IKEプロトコルを用いて論理的な回線を確立させてIPsec通信を行い、ユーザと通信相手の事業者との間での暗号化通信を可能にしていた(たとえば特許文献1)。このIPsec通信では、事業者毎にポリシーが違い、さらにユーザ毎の認証を行うための認証情報を個別に持つ必要がある。
【0003】
【特許文献1】特開2003−32286号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、従来の方法では、ユーザの認証を可能とするために、ゲートウェイ装置がこの認証処理のポリシーをユーザ毎に設定して記憶しなければならないので、ユーザが多くなればなるほど、認証処理のポリシーの設定に手間がかかっていた。また、従来の方法では、ユーザが多くなればなるほど、ユーザ毎に設定する認証処理のポリシーのデータ量も多くなり、大容量のデータベースが必要となっていた。
【0005】
本発明は、上記に鑑みてなされたものであって、ユーザ数にかかわらずゲートウェイ装置における認証処理のポリシーの設定を迅速に行うことができるゲートウェイ装置および認証処理方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
上述した課題を解決し、目的を達成するために、本発明にかかるゲートウェイ装置は、網運用者毎の専用網を介して認証サーバとそれぞれ接続されるとともに、端末装置との間に介在する公衆網に暗号化通信を行うための論理的な回線を確立させ、前記端末装置と前記認証サーバとの間で認証処理のためのデータ中継を行うゲートウェイ装置において、前記専用網毎に設けられ、前記端末装置からの接続要求に対して該端末装置との間で行う認証処理手順を、各専用網を識別する識別情報に対応付けて記憶する記憶手段と、前記端末装置からの接続要求に含まれる前記専用網の識別情報に該当する識別情報を前記記憶手段から抽出し、該抽出した識別情報に対応する前記認証処理手順を実行して前記端末装置に認証要求を行う認証処理手段と、を備えたことを特徴とする。
【0007】
また、本発明にかかるゲートウェイ装置は、上記発明において、前記専用網毎に取り扱う前記認証処理手順を設定して、前記専用網毎に設けられた記憶手段に記憶させる設定処理手段を備えたことを特徴とする。
【0008】
また、本発明にかかるゲートウェイ装置は、上記発明において、前記認証処理手段は、前記端末装置との間に介在する公衆網に前記論理的な回線が確立されたことを契機に、前記記憶手段に記憶された認証処理手順を実行して前記端末装置に認証要求を行うことを特徴とする。
【0009】
また、本発明にかかる認証処理方法は、ゲートウェイ装置が網運用者毎の専用網を介して複数の認証サーバと接続され、前記ゲートウェイ装置と端末装置との間に介在する公衆網に暗号化通信を行うための論理的な回線を確立させ、前記端末装置と前記認証サーバとの間で認証処理のためのデータ中継を行う認証処理方法において、前記専用網毎に設けられた記憶手段に、前記端末装置からの接続要求に対して該端末装置との間で行う認証処理手順を、各専用網を識別する識別情報に対応付けて記憶する記憶ステップと、前記端末装置からの接続要求に含まれる前記専用網の識別情報に該当する識別情報を前記記憶手段から抽出し、該抽出した識別情報に対応する前記認証処理手順を実行して前記端末装置に認証要求を行う認証処理ステップと、を含むことを特徴とする。
【0010】
また、本発明にかかる認証処理方法は、上記発明において、前記専用網毎に取り扱う前記認証処理手順を設定して、前記専用網毎に設けられた記憶手段に記憶させる設定処理ステップを含むことを特徴とする。
【0011】
また、本発明にかかる認証処理方法は、上記発明において、前記認証処理ステップは、前記端末装置との間に介在する公衆網に前記論理的な回線が確立されたことを契機に、前記記憶手段に記憶された認証処理手順を実行して前記端末装置に認証要求を行うことを特徴とする。
【発明の効果】
【0012】
本発明にかかるゲートウェイ装置および認証処理方法は、専用網毎に設けられた記憶手段に、認証処理手順を、各専用網を識別する識別情報に対応付けて記憶するので、ユーザ毎ではなく、専用網毎に認証処理手順(認証処理のポリシー)を記憶手段に記憶して、設定することができ、これによりユーザ数にかかわらずゲートウェイ装置における認証処理のポリシーの設定を迅速に行うことができるという効果を奏する。
【発明を実施するための最良の形態】
【0013】
以下に、本発明にかかるゲートウェイ装置および認証処理方法の実施の形態を図1〜図4の図面に基づいて詳細に説明する。なお、本発明は、これら実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲で種々の変更実施の形態が可能である。
【0014】
(実施の形態)
図1は、本発明にかかる認証処理システムの実施の形態の構成を示すシステム構成図である。図において、認証処理システムは、ユーザの端末装置1a,1bと、ゲートウェイ装置2と、認証サーバ3a,3bとを備え、端末装置1a,1bとゲートウェイ装置2とは、公衆網4を介して接続され、ゲートウェイ装置2と認証サーバ3aとは、網運用者である特定事業者の専用網であるVPNaを介して接続され、ゲートウェイ装置2と認証サーバ3bとは、網運用者である特定事業者の専用網であるVPNbを介して接続される。
【0015】
端末装置1aは、VPNaにアクセスを行う装置で、端末装置1bは、VPNbにアクセスを行う装置である。これら端末装置1a,1bは、ゲートウェイ装置2と認証処理を行う認証処理部11a,11bと、データの暗号化または復号化の処理を行う暗号化/復号化処理部12a,12bと、公衆網4を介してゲートウェイ装置2、認証サーバ3a,3bを含む他の通信装置と暗号化されたデータの送受信を行う送受信部13a,13bとを備える。認証処理部11a,11bは、ゲートウェイ装置2と所定の認証処理用のプロトコル、たとえばCHAP(Challenge Handshake Authentication Protocol)やPAP(Password Authentication Protocol)を用いて、自装置を認証させる認証処理を行い、VPNa,VPNbへのアクセスを可能にする。暗号化/復号化処理部12a,12bは、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec(IP security Protocol) SA(Security Association)で作成した鍵とを用いて暗号化して送受信部13a,13bに出力し、また暗号化されたデータを送受信部13a,13bが受信すると、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。なお、この認証処理用のプロトコルは、認証サーバ3a,3bが認証処理に用いることが可能な複数のプロトコルのうちの少なくとも1つのプロトコルからなる。
【0016】
ゲートウェイ装置2は、設定処理手段としての設定処理部21と、認証処理手段としての認証処理部22と、事業者a,b毎のフェーズ情報を記憶するフェーズ用データベース23a,23bと、事業者a,b毎のIPsecを適用するための手順、指示および認証処理を行うために必要な情報などを示すSPD情報を記憶する記憶手段としての事業者a用データベース24aおよび事業者b用データベース24bと、データの暗号化または復号化の処理を行う暗号化/復号化処理部25と、データの中継処理を行う中継処理部26と、端末装置1a,1bとデータの送受信を行う端末用送受信部27と、認証サーバ3a,3bとデータの送受信を行うサーバ用送受信部28とを備える。
【0017】
設定処理部21は、認証サーバ3a,3bが認証処理に用いる認証処理のポリシーを設定する。ここで、認証サーバ3aは、CHAPの認証処理を行うので、設定処理部21は、認証サーバ3aが認証処理に用いるCHAPの認証処理のポリシーを設定する。また、認証サーバ3bは、PAPの複数の認証処理を行うので、設定処理部21は、認証サーバ3bが認証処理に用いるPAPの認証処理のポリシーを設定する。
【0018】
設定処理部21によって設定されたCHAP情報は、CHAPの認証処理のポリシーに含まれて認証方式情報(CHAP方式情報24a1)を構成する。事業者a用データベース24aは、このCHAP方式情報24a1を特定事業者(VPNa)に対応して記録している。また、設定処理部21によって設定されたPAP情報は、PAPの認証処理のポリシーに含まれて認証方式情報(PAP方式情報24b1)を構成する。事業者b用データベース24bは、このPAP方式情報24b1を特定事業者(VPNb)に対応して記録している。
【0019】
SPD情報は、設定処理部21の設定により予め作成されるデータであり、端末装置1a,1bに対してのたとえばISAKMP(Internet Security Association and Key Manegemet Protocol)の処理手順、指示および情報などを示すポリシーやISAKMPに基づいてIPsecで用いるインターネット標準の鍵交換プロトコルであるIKE(Internet Key Exchenge)の処理手順、指示および情報などを示すポリシーである。なお、事業者a用データベース24aには、SPD情報として、たとえば認証方式情報であるCHAP方式情報24a1と、ゲートウェイアドレス情報24a2と、端末装置1aがアクセスを行うVPNa事業者ID情報24a3と、暗号化・ハッシュアルゴリズム情報24a4と、認証サーバ3aにアクセスを行うための認証サーバ情報24a5とを特定事業者に対応させて記憶している。また、事業者b用データベース24bには、SPD情報として、たとえば認証方式情報であるPAP方式情報24b1と、ゲートウェイアドレス情報24b2と、端末装置1bがアクセスを行うVPNbの事業者ID情報24b3と、暗号化・ハッシュアルゴリズム情報24b4と、認証サーバ3bにアクセスを行うための認証サーバ情報24b5とを特定事業者に対応させて記憶している。
【0020】
認証処理部11a,11b,22は、端末装置1a,1bとゲートウェイ装置2との間、すなわち送受信部11a,11bと端末用送受信部27との間に介在する公衆網4に、たとえばIPsec(IP security Protocol)によるデータ通信を可能にするためトンネリング技術を利用してSA(Security Association)と呼ばれる論理的なコネクション(回線)を確立させる処理を行う。なお、たとえばユーザ側に別の専用網があり、端末装置1a,1bがこの専用網に接続されている場合には、この専用網と公衆網との間にはデータの中継を行う図示しない中継装置(たとえばルータ)が接続されることとなり、ゲートウェイ装置2の認証処理部22は、この中継装置とSAを確立させる処理を行うこととなる。
【0021】
また、認証処理部11a,11b,22は、認証方式情報として設定されたCHAPまたはPAPで認証処理を行う。すなわち、認証処理部22は、認証要求開始時に認証処理部11a,11bからのISAKMPのIPsec Phase1−1のパケットを受信後に、Phase1情報を作成する。認証処理部22は、このPhase1−1内のIDペイロードに格納されている事業者ID情報を抽出し、この事業者ID情報がデータベース24a,24b内に記憶されるVPNa事業者ID情報24a3またはVPNb事業者ID情報24b3のいずれかに該当するかチェックし、該当するデータベース内に記憶されている認証処理手順としての認証方式情報を抽出して、この認証方式情報による認証要求を行う。すなわち、認証処理部22は、Phase1−1内の事業者ID情報がデータベース24a内のVPNa事業者ID情報24a3に一致する場合、認証処理手順としてのCHAP方式情報24a1を抽出し、このCHAP方式情報24a1によるCHAP認証要求を行う。また、認証処理部22は、Phase1−1内の事業者ID情報がデータベース24b内のVPNb事業者ID情報24b3に一致する場合、認証処理手順としてのPAP方式情報24b1を抽出し、このPAP方式情報24b1によるPAP認証要求を行う。なお、本発明では、認証方式情報をより精度良く抽出できるように、認証処理部22は、IDペイロードとデータベース24a,24b内の事業者ID情報の一致判断に加えて、たとえばPhase1−1内の送信先アドレスであるゲートウェイ装置2のアドレス情報とデータベース24a,24b内のゲートウェイアドレス情報24a2,24b2の一致判断、SAペイロードの暗号化・ハッシュアルゴリズム情報とデータベース24a,24b内の暗号化・ハッシュアルゴリズム情報との一致判断をさらに行い、これらの情報が全て一致するデータベースから認証方式情報を抽出するように設定してもよい。
【0022】
フェーズ用データベース23a,23bは、Phase1情報を記憶する。このPhase1情報は、Phase1ネゴシエーション情報(どのSPD情報を使うかという、たとえば事業者用データベース24a,24bを示す情報やこのネゴシエーション情報を特定するクッキー値など)からなる。
【0023】
暗号化/復号化処理部25は、暗号化の対象となるデータが発生すると、そのデータを暗号化して中継処理部26に出力して送受信部34a,34bからの送信を可能にし、また暗号化されたデータを中継処理部26から取り込むと、そのデータを復号化する処理を行う。
【0024】
認証サーバ3a,3bは、認証処理部31a,31bと、認証用データベース32a,32bと、データの暗号化または復号化の処理を行う暗号化/復号化処理部33a,33bと、データの送受信を行う送受信部34a,34bとを備える。認証処理部31a,31bは、ゲートウェイ装置2との間で認証応答があった端末装置1a,1bの認証処理を行うものである。すなわち、認証処理部31aは、CHAPの認証処理のポリシーの設定を、認証処理部31bは、PAPの認証処理のポリシーの設定を可能にする。
【0025】
認証用データベース32a,32bは、端末装置1a.1bを認証するための識別情報や取り扱うすべての認証処理のポリシーなどを記憶する。暗号化/復号化処理部33a,33bは、暗号化の対象となるデータが発生すると、そのデータを暗号化して送受信部34a,34bに出力し、また暗号化されたデータを送受信部34a,34bが受信すると、そのデータを復号化する処理を行う。
【0026】
次に、図2を用いて図1に示したゲートウェイ装置2が認証処理シーケンスを選択するための動作を説明するフローチャートである。ゲートウェイ装置2の認証処理部22は、端末装置からIPsec Phase1−1のパケットを受信すると(ステップS101)、このパケット内のIDペイロードに格納されている事業者ID情報が、事業者a用データベース24aに記憶されているVPNaの事業者ID情報に一致するか否か判断する(ステップS102)。
【0027】
ここで、認証処理部22は、IDペイロードの事業者ID情報が、事業者a用データベース24aのVPNaの事業者ID情報に一致する場合(ステップS102:Yes)、フェーズ情報(フェーズ用データベース23aのフェーズ情報)を作成し、このフェーズ情報に確定したSPD情報を関連づけ(ステップS103)、次のPhase1−1のパケットの受信を待つ(ステップS101)。また、認証処理部22は、IDペイロードの事業者ID情報が、事業者a用データベース24aのVPNaの事業者ID情報と一致しない場合(ステップS102:No)、次にIDペイロードの事業者ID情報が、事業者b用データベース24bのVPNbの事業者ID情報と一致するか否か判断する(ステップS104)。
【0028】
ここで、IDペイロードの事業者ID情報が、事業者b用データベース24bのVPNbの事業者ID情報と一致する場合(ステップS104:Yes)、フェーズ情報(フェーズ用データベース23bのフェーズ情報)を作成し、このフェーズ情報に確定したSPD情報を関連づけ(ステップS105)、また事業者b用データベース24bのVPNbの事業者ID情報と一致しない場合(ステップS104:No)、Phase1−1の正規のパケットではないと判断して、たとえばこのパケットの廃棄などの認証不可の処理を行って(ステップS106)、次のPhase1−1のパケットの受信を待つ(ステップS101)。
【0029】
次に、図1に示した認証処理システムの認証処理の動作を図3および図4のシーケンスの図に基づいて説明する。図3は、認証処理がCHAP方式によって行われる場合を説明するためのシーケンスの図である。図3において、端末装置1aの認証処理部11aは、IPsec Phase1−1において、IKEプロトコルを用いて自己の保持するキー情報をゲートウェイ装置2に送信する(ステップS111)。ゲートウェイ装置2の認証処理部22は、図2に示したIDペイロードの事業者ID情報が、事業者a用データベース24aのVPNaの事業者ID情報に一致するか否か判断し(ステップS102参照)、一致する場合には以下に示すCHAP方式の認証処理のシーケンスを実行する(ステップS103参照)。
【0030】
すなわち、ゲートウェイ装置2の認証処理部22は、端末装置1aの認証処理部11aからキー情報が受信すると、IPsec Phase1−2において、端末装置1aを認識して、端末装置1aに自己の保持するキー情報を送信してキー情報の交換を行う(ステップS112)。次に、認証処理部11aは、認証処理部22からキー情報を受信すると、IPsec Phase1−3において、ゲートウェイ装置2を認識した後に、端末装置1aは、通信相手(IKEピア)であるゲートウェイ装置2との間でSAを確立することで、セキュアなデータ通信を可能にする(ステップ113)。なお、IPsec Phase1−1、IPsec Phase1−2およびIPsec Phase1−3は、IPsec通信での1回目、2回目および3回目のPhase1パケットをそれぞれ示す。
【0031】
次に、ゲートウェイ装置2の認証処理部22は、設定処理部21で設定されたCHAPによる認証要求のパケットを端末装置1aに送信する(ステップS114)。端末装置1aの認証処理部11aは、CHAPによる認証処理が可能なプロトコルを有しており、CHAPによる認証要求のパケットが受信されると、この要求に対するCHAPによる認証応答のパケットをゲートウェイ装置2に送信する(ステップS115)。この認証応答のパケットには、ユーザ名とパスワードとがユーザID内に含まれている。認証処理部22は、CHAPによる認証応答のパケットが受信されると、このパケット内のクッキー値からフェーズ情報(フェーズ用データベース23aのフェーズ情報)を特定し、さらにその特定したフェーズ情報から参照されるSPD情報内の認証サーバ情報24a5を使用してCHAP認証要求のパケットを作成し、このCHAP認証要求のパケットを認証サーバ3aに送信する(ステップS116)。
【0032】
次に、認証サーバ3aの認証処理部31aは、ゲートウェイ装置2からCHAP認証要求のパケットが受信されると、このパケットをもとに端末装置1aを認証するための認証処理を行い、この端末装置1aを認証した場合、CHAPによる認証成功のパケットをゲートウェイ装置2に送信する(ステップS117)。次に、ゲートウェイ装置2の認証処理部22は、CHAP認証成功のパケットが受信されると、このCHAP認証成功のパケットを端末装置1aに送信して(ステップS118)、その後のPhaseを完了した後にIPsecによる暗号化通信を可能にする。
【0033】
次に、認証処理システムの認証処理がPAP方式によって行われる場合を、図4のシーケンスの図を用いて説明する。図4において、端末装置1bの認証処理部11bは、IPsec Phase1−1において、IKEプロトコルを用いて自己の保持するキー情報をゲートウェイ装置2に送信する(ステップS201)。ゲートウェイ装置2の認証処理部22は、図2に示したIDペイロードの事業者ID情報が、事業者b用データベース24bのVPNbの事業者ID情報に一致するか否か判断し(ステップS102,S104参照)、一致する場合には以下に示すPAP方式の認証処理のシーケンスを実行する(ステップS105参照)。
【0034】
すなわち、ゲートウェイ装置2の認証処理部22は、認証処理部11bからキー情報を受信すると、IPsec Phase1−2において、端末装置1bを認識して、端末装置1bに自己の保持するキー情報を送信してキー情報の交換を行う(ステップS202)。次に、認証処理部11bは、認証処理部22からキー情報を受信すると、IPsec Phase1−3において、ゲートウェイ装置2を認識した後に、端末装置1bは、通信相手(IKEピア)であるゲートウェイ装置2との間でSAを確立することで、セキュアなデータ通信を可能にする(ステップ203)。
【0035】
次に、ゲートウェイ装置2の認証処理部22は、設定処理部21で設定されたPAPによる認証要求のパケットを端末装置1bに送信する(ステップS204)。端末装置1bの認証処理部11bは、上記PAPによる認証処理が可能なプロトコルを有しており、PAPによる認証要求のパケットが受信されると、当該要求に対するPAPによる認証応答のパケットをゲートウェイ装置2に送信する(ステップS205)。この認証応答のパケットには、ユーザ名とパスワードとがユーザID内に含まれている。認証処理部22は、PAPによる認証応答のパケットが受信されると、このパケット内のクッキー値からフェーズ情報(フェーズ用データベース23bのフェーズ情報)を特定し、さらにその特定したフェーズ情報から参照されるSPD情報内の認証サーバ情報24b5を使用してPAP認証要求のパケットを作成し、このPAP認証要求のパケットを認証サーバ3bに送信する(ステップS206)。
【0036】
次に、認証サーバ3bの認証処理部31bは、ゲートウェイ装置2からPAP認証要求のパケットが受信されると、このパケットをもとに端末装置1bを認証するための認証処理を行い、この端末装置1bを認証した場合、PAPによる認証成功のパケットをゲートウェイ装置2に送信する(ステップS207)。次に、ゲートウェイ装置2の認証処理部22は、PAP認証成功のパケットが受信されると、このPAP認証成功のパケットを端末装置1bに送信して(ステップS208)、その後のPhaseを完了した後にIPsecによる暗号化通信を可能にする。
【0037】
このように、本実施の形態では、事業者毎に設けられたデータベース24a,24bに、CHAPやPAPなどの認証処理手順を、各VPNの事業者ID情報に対応付けて記憶するので、ユーザ毎ではなく、VPNa,b毎に認証処理手順(認証処理のポリシー)をデータベース24a,24bに記憶して、設定することができ、これによりユーザ数にかかわらずゲートウェイ装置2における認証処理のポリシーの設定を迅速に行うことができる。
【0038】
また、本実施の形態では、ゲートウェイ装置2が認証処理ポリシーを人数の多いユーザ毎ではなく、VPN毎にデータベース24a,24bに記憶するので、ユーザ毎に記憶する場合に比べて小容量のデータベースを使用することが可能となり、製作コストを削減することができる。
【図面の簡単な説明】
【0039】
【図1】本発明にかかる認証処理システムの実施の形態の構成を示すシステム構成図である。
【図2】図1に示したゲートウェイ装置が認証処理シーケンスを選択するための動作を説明するフローチャートである。
【図3】認証処理がCHAPによって行われる場合を説明するためのシーケンスの図である。
【図4】認証処理がPAPによって行われる場合を説明するためのシーケンスの図である。
【符号の説明】
【0040】
1a,1b 端末装置
2 ゲートウェイ装置
3a,3b 認証サーバ
4 公衆網
11a,11b,22,31a,31b 認証処理部
12a,12b,25,33a,33b 暗号化/復号化処理部
13a,13b,34a,34b 送受信部
21 設定処理部
23a,23b フェーズ用データベース
24a 事業者a用データベース
24b 事業者b用データベース
24a1 CHAP方式情報
24b1 PAP方式情報
26 中継処理部
27 端末用送受信部
28 サーバ用送受信部
32a,32b 認証用データベース
VPNa,VPNb 専用網
【技術分野】
【0001】
本発明は、暗号化通信を行うためのセッションが確立された端末装置と認証サーバとの間で認証処理のためのデータ中継を行うゲートウェイ装置および認証処理方法に関するものである。
【背景技術】
【0002】
従来では、ユーザが端末装置を用いて公衆網を介して専用網内の網運用者である事業者の認証サーバにアクセスする場合、公衆網と専用網との間に介在するゲートウェイ装置と端末装置間で、IKEプロトコルを用いて論理的な回線を確立させてIPsec通信を行い、ユーザと通信相手の事業者との間での暗号化通信を可能にしていた(たとえば特許文献1)。このIPsec通信では、事業者毎にポリシーが違い、さらにユーザ毎の認証を行うための認証情報を個別に持つ必要がある。
【0003】
【特許文献1】特開2003−32286号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、従来の方法では、ユーザの認証を可能とするために、ゲートウェイ装置がこの認証処理のポリシーをユーザ毎に設定して記憶しなければならないので、ユーザが多くなればなるほど、認証処理のポリシーの設定に手間がかかっていた。また、従来の方法では、ユーザが多くなればなるほど、ユーザ毎に設定する認証処理のポリシーのデータ量も多くなり、大容量のデータベースが必要となっていた。
【0005】
本発明は、上記に鑑みてなされたものであって、ユーザ数にかかわらずゲートウェイ装置における認証処理のポリシーの設定を迅速に行うことができるゲートウェイ装置および認証処理方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
上述した課題を解決し、目的を達成するために、本発明にかかるゲートウェイ装置は、網運用者毎の専用網を介して認証サーバとそれぞれ接続されるとともに、端末装置との間に介在する公衆網に暗号化通信を行うための論理的な回線を確立させ、前記端末装置と前記認証サーバとの間で認証処理のためのデータ中継を行うゲートウェイ装置において、前記専用網毎に設けられ、前記端末装置からの接続要求に対して該端末装置との間で行う認証処理手順を、各専用網を識別する識別情報に対応付けて記憶する記憶手段と、前記端末装置からの接続要求に含まれる前記専用網の識別情報に該当する識別情報を前記記憶手段から抽出し、該抽出した識別情報に対応する前記認証処理手順を実行して前記端末装置に認証要求を行う認証処理手段と、を備えたことを特徴とする。
【0007】
また、本発明にかかるゲートウェイ装置は、上記発明において、前記専用網毎に取り扱う前記認証処理手順を設定して、前記専用網毎に設けられた記憶手段に記憶させる設定処理手段を備えたことを特徴とする。
【0008】
また、本発明にかかるゲートウェイ装置は、上記発明において、前記認証処理手段は、前記端末装置との間に介在する公衆網に前記論理的な回線が確立されたことを契機に、前記記憶手段に記憶された認証処理手順を実行して前記端末装置に認証要求を行うことを特徴とする。
【0009】
また、本発明にかかる認証処理方法は、ゲートウェイ装置が網運用者毎の専用網を介して複数の認証サーバと接続され、前記ゲートウェイ装置と端末装置との間に介在する公衆網に暗号化通信を行うための論理的な回線を確立させ、前記端末装置と前記認証サーバとの間で認証処理のためのデータ中継を行う認証処理方法において、前記専用網毎に設けられた記憶手段に、前記端末装置からの接続要求に対して該端末装置との間で行う認証処理手順を、各専用網を識別する識別情報に対応付けて記憶する記憶ステップと、前記端末装置からの接続要求に含まれる前記専用網の識別情報に該当する識別情報を前記記憶手段から抽出し、該抽出した識別情報に対応する前記認証処理手順を実行して前記端末装置に認証要求を行う認証処理ステップと、を含むことを特徴とする。
【0010】
また、本発明にかかる認証処理方法は、上記発明において、前記専用網毎に取り扱う前記認証処理手順を設定して、前記専用網毎に設けられた記憶手段に記憶させる設定処理ステップを含むことを特徴とする。
【0011】
また、本発明にかかる認証処理方法は、上記発明において、前記認証処理ステップは、前記端末装置との間に介在する公衆網に前記論理的な回線が確立されたことを契機に、前記記憶手段に記憶された認証処理手順を実行して前記端末装置に認証要求を行うことを特徴とする。
【発明の効果】
【0012】
本発明にかかるゲートウェイ装置および認証処理方法は、専用網毎に設けられた記憶手段に、認証処理手順を、各専用網を識別する識別情報に対応付けて記憶するので、ユーザ毎ではなく、専用網毎に認証処理手順(認証処理のポリシー)を記憶手段に記憶して、設定することができ、これによりユーザ数にかかわらずゲートウェイ装置における認証処理のポリシーの設定を迅速に行うことができるという効果を奏する。
【発明を実施するための最良の形態】
【0013】
以下に、本発明にかかるゲートウェイ装置および認証処理方法の実施の形態を図1〜図4の図面に基づいて詳細に説明する。なお、本発明は、これら実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲で種々の変更実施の形態が可能である。
【0014】
(実施の形態)
図1は、本発明にかかる認証処理システムの実施の形態の構成を示すシステム構成図である。図において、認証処理システムは、ユーザの端末装置1a,1bと、ゲートウェイ装置2と、認証サーバ3a,3bとを備え、端末装置1a,1bとゲートウェイ装置2とは、公衆網4を介して接続され、ゲートウェイ装置2と認証サーバ3aとは、網運用者である特定事業者の専用網であるVPNaを介して接続され、ゲートウェイ装置2と認証サーバ3bとは、網運用者である特定事業者の専用網であるVPNbを介して接続される。
【0015】
端末装置1aは、VPNaにアクセスを行う装置で、端末装置1bは、VPNbにアクセスを行う装置である。これら端末装置1a,1bは、ゲートウェイ装置2と認証処理を行う認証処理部11a,11bと、データの暗号化または復号化の処理を行う暗号化/復号化処理部12a,12bと、公衆網4を介してゲートウェイ装置2、認証サーバ3a,3bを含む他の通信装置と暗号化されたデータの送受信を行う送受信部13a,13bとを備える。認証処理部11a,11bは、ゲートウェイ装置2と所定の認証処理用のプロトコル、たとえばCHAP(Challenge Handshake Authentication Protocol)やPAP(Password Authentication Protocol)を用いて、自装置を認証させる認証処理を行い、VPNa,VPNbへのアクセスを可能にする。暗号化/復号化処理部12a,12bは、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec(IP security Protocol) SA(Security Association)で作成した鍵とを用いて暗号化して送受信部13a,13bに出力し、また暗号化されたデータを送受信部13a,13bが受信すると、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。なお、この認証処理用のプロトコルは、認証サーバ3a,3bが認証処理に用いることが可能な複数のプロトコルのうちの少なくとも1つのプロトコルからなる。
【0016】
ゲートウェイ装置2は、設定処理手段としての設定処理部21と、認証処理手段としての認証処理部22と、事業者a,b毎のフェーズ情報を記憶するフェーズ用データベース23a,23bと、事業者a,b毎のIPsecを適用するための手順、指示および認証処理を行うために必要な情報などを示すSPD情報を記憶する記憶手段としての事業者a用データベース24aおよび事業者b用データベース24bと、データの暗号化または復号化の処理を行う暗号化/復号化処理部25と、データの中継処理を行う中継処理部26と、端末装置1a,1bとデータの送受信を行う端末用送受信部27と、認証サーバ3a,3bとデータの送受信を行うサーバ用送受信部28とを備える。
【0017】
設定処理部21は、認証サーバ3a,3bが認証処理に用いる認証処理のポリシーを設定する。ここで、認証サーバ3aは、CHAPの認証処理を行うので、設定処理部21は、認証サーバ3aが認証処理に用いるCHAPの認証処理のポリシーを設定する。また、認証サーバ3bは、PAPの複数の認証処理を行うので、設定処理部21は、認証サーバ3bが認証処理に用いるPAPの認証処理のポリシーを設定する。
【0018】
設定処理部21によって設定されたCHAP情報は、CHAPの認証処理のポリシーに含まれて認証方式情報(CHAP方式情報24a1)を構成する。事業者a用データベース24aは、このCHAP方式情報24a1を特定事業者(VPNa)に対応して記録している。また、設定処理部21によって設定されたPAP情報は、PAPの認証処理のポリシーに含まれて認証方式情報(PAP方式情報24b1)を構成する。事業者b用データベース24bは、このPAP方式情報24b1を特定事業者(VPNb)に対応して記録している。
【0019】
SPD情報は、設定処理部21の設定により予め作成されるデータであり、端末装置1a,1bに対してのたとえばISAKMP(Internet Security Association and Key Manegemet Protocol)の処理手順、指示および情報などを示すポリシーやISAKMPに基づいてIPsecで用いるインターネット標準の鍵交換プロトコルであるIKE(Internet Key Exchenge)の処理手順、指示および情報などを示すポリシーである。なお、事業者a用データベース24aには、SPD情報として、たとえば認証方式情報であるCHAP方式情報24a1と、ゲートウェイアドレス情報24a2と、端末装置1aがアクセスを行うVPNa事業者ID情報24a3と、暗号化・ハッシュアルゴリズム情報24a4と、認証サーバ3aにアクセスを行うための認証サーバ情報24a5とを特定事業者に対応させて記憶している。また、事業者b用データベース24bには、SPD情報として、たとえば認証方式情報であるPAP方式情報24b1と、ゲートウェイアドレス情報24b2と、端末装置1bがアクセスを行うVPNbの事業者ID情報24b3と、暗号化・ハッシュアルゴリズム情報24b4と、認証サーバ3bにアクセスを行うための認証サーバ情報24b5とを特定事業者に対応させて記憶している。
【0020】
認証処理部11a,11b,22は、端末装置1a,1bとゲートウェイ装置2との間、すなわち送受信部11a,11bと端末用送受信部27との間に介在する公衆網4に、たとえばIPsec(IP security Protocol)によるデータ通信を可能にするためトンネリング技術を利用してSA(Security Association)と呼ばれる論理的なコネクション(回線)を確立させる処理を行う。なお、たとえばユーザ側に別の専用網があり、端末装置1a,1bがこの専用網に接続されている場合には、この専用網と公衆網との間にはデータの中継を行う図示しない中継装置(たとえばルータ)が接続されることとなり、ゲートウェイ装置2の認証処理部22は、この中継装置とSAを確立させる処理を行うこととなる。
【0021】
また、認証処理部11a,11b,22は、認証方式情報として設定されたCHAPまたはPAPで認証処理を行う。すなわち、認証処理部22は、認証要求開始時に認証処理部11a,11bからのISAKMPのIPsec Phase1−1のパケットを受信後に、Phase1情報を作成する。認証処理部22は、このPhase1−1内のIDペイロードに格納されている事業者ID情報を抽出し、この事業者ID情報がデータベース24a,24b内に記憶されるVPNa事業者ID情報24a3またはVPNb事業者ID情報24b3のいずれかに該当するかチェックし、該当するデータベース内に記憶されている認証処理手順としての認証方式情報を抽出して、この認証方式情報による認証要求を行う。すなわち、認証処理部22は、Phase1−1内の事業者ID情報がデータベース24a内のVPNa事業者ID情報24a3に一致する場合、認証処理手順としてのCHAP方式情報24a1を抽出し、このCHAP方式情報24a1によるCHAP認証要求を行う。また、認証処理部22は、Phase1−1内の事業者ID情報がデータベース24b内のVPNb事業者ID情報24b3に一致する場合、認証処理手順としてのPAP方式情報24b1を抽出し、このPAP方式情報24b1によるPAP認証要求を行う。なお、本発明では、認証方式情報をより精度良く抽出できるように、認証処理部22は、IDペイロードとデータベース24a,24b内の事業者ID情報の一致判断に加えて、たとえばPhase1−1内の送信先アドレスであるゲートウェイ装置2のアドレス情報とデータベース24a,24b内のゲートウェイアドレス情報24a2,24b2の一致判断、SAペイロードの暗号化・ハッシュアルゴリズム情報とデータベース24a,24b内の暗号化・ハッシュアルゴリズム情報との一致判断をさらに行い、これらの情報が全て一致するデータベースから認証方式情報を抽出するように設定してもよい。
【0022】
フェーズ用データベース23a,23bは、Phase1情報を記憶する。このPhase1情報は、Phase1ネゴシエーション情報(どのSPD情報を使うかという、たとえば事業者用データベース24a,24bを示す情報やこのネゴシエーション情報を特定するクッキー値など)からなる。
【0023】
暗号化/復号化処理部25は、暗号化の対象となるデータが発生すると、そのデータを暗号化して中継処理部26に出力して送受信部34a,34bからの送信を可能にし、また暗号化されたデータを中継処理部26から取り込むと、そのデータを復号化する処理を行う。
【0024】
認証サーバ3a,3bは、認証処理部31a,31bと、認証用データベース32a,32bと、データの暗号化または復号化の処理を行う暗号化/復号化処理部33a,33bと、データの送受信を行う送受信部34a,34bとを備える。認証処理部31a,31bは、ゲートウェイ装置2との間で認証応答があった端末装置1a,1bの認証処理を行うものである。すなわち、認証処理部31aは、CHAPの認証処理のポリシーの設定を、認証処理部31bは、PAPの認証処理のポリシーの設定を可能にする。
【0025】
認証用データベース32a,32bは、端末装置1a.1bを認証するための識別情報や取り扱うすべての認証処理のポリシーなどを記憶する。暗号化/復号化処理部33a,33bは、暗号化の対象となるデータが発生すると、そのデータを暗号化して送受信部34a,34bに出力し、また暗号化されたデータを送受信部34a,34bが受信すると、そのデータを復号化する処理を行う。
【0026】
次に、図2を用いて図1に示したゲートウェイ装置2が認証処理シーケンスを選択するための動作を説明するフローチャートである。ゲートウェイ装置2の認証処理部22は、端末装置からIPsec Phase1−1のパケットを受信すると(ステップS101)、このパケット内のIDペイロードに格納されている事業者ID情報が、事業者a用データベース24aに記憶されているVPNaの事業者ID情報に一致するか否か判断する(ステップS102)。
【0027】
ここで、認証処理部22は、IDペイロードの事業者ID情報が、事業者a用データベース24aのVPNaの事業者ID情報に一致する場合(ステップS102:Yes)、フェーズ情報(フェーズ用データベース23aのフェーズ情報)を作成し、このフェーズ情報に確定したSPD情報を関連づけ(ステップS103)、次のPhase1−1のパケットの受信を待つ(ステップS101)。また、認証処理部22は、IDペイロードの事業者ID情報が、事業者a用データベース24aのVPNaの事業者ID情報と一致しない場合(ステップS102:No)、次にIDペイロードの事業者ID情報が、事業者b用データベース24bのVPNbの事業者ID情報と一致するか否か判断する(ステップS104)。
【0028】
ここで、IDペイロードの事業者ID情報が、事業者b用データベース24bのVPNbの事業者ID情報と一致する場合(ステップS104:Yes)、フェーズ情報(フェーズ用データベース23bのフェーズ情報)を作成し、このフェーズ情報に確定したSPD情報を関連づけ(ステップS105)、また事業者b用データベース24bのVPNbの事業者ID情報と一致しない場合(ステップS104:No)、Phase1−1の正規のパケットではないと判断して、たとえばこのパケットの廃棄などの認証不可の処理を行って(ステップS106)、次のPhase1−1のパケットの受信を待つ(ステップS101)。
【0029】
次に、図1に示した認証処理システムの認証処理の動作を図3および図4のシーケンスの図に基づいて説明する。図3は、認証処理がCHAP方式によって行われる場合を説明するためのシーケンスの図である。図3において、端末装置1aの認証処理部11aは、IPsec Phase1−1において、IKEプロトコルを用いて自己の保持するキー情報をゲートウェイ装置2に送信する(ステップS111)。ゲートウェイ装置2の認証処理部22は、図2に示したIDペイロードの事業者ID情報が、事業者a用データベース24aのVPNaの事業者ID情報に一致するか否か判断し(ステップS102参照)、一致する場合には以下に示すCHAP方式の認証処理のシーケンスを実行する(ステップS103参照)。
【0030】
すなわち、ゲートウェイ装置2の認証処理部22は、端末装置1aの認証処理部11aからキー情報が受信すると、IPsec Phase1−2において、端末装置1aを認識して、端末装置1aに自己の保持するキー情報を送信してキー情報の交換を行う(ステップS112)。次に、認証処理部11aは、認証処理部22からキー情報を受信すると、IPsec Phase1−3において、ゲートウェイ装置2を認識した後に、端末装置1aは、通信相手(IKEピア)であるゲートウェイ装置2との間でSAを確立することで、セキュアなデータ通信を可能にする(ステップ113)。なお、IPsec Phase1−1、IPsec Phase1−2およびIPsec Phase1−3は、IPsec通信での1回目、2回目および3回目のPhase1パケットをそれぞれ示す。
【0031】
次に、ゲートウェイ装置2の認証処理部22は、設定処理部21で設定されたCHAPによる認証要求のパケットを端末装置1aに送信する(ステップS114)。端末装置1aの認証処理部11aは、CHAPによる認証処理が可能なプロトコルを有しており、CHAPによる認証要求のパケットが受信されると、この要求に対するCHAPによる認証応答のパケットをゲートウェイ装置2に送信する(ステップS115)。この認証応答のパケットには、ユーザ名とパスワードとがユーザID内に含まれている。認証処理部22は、CHAPによる認証応答のパケットが受信されると、このパケット内のクッキー値からフェーズ情報(フェーズ用データベース23aのフェーズ情報)を特定し、さらにその特定したフェーズ情報から参照されるSPD情報内の認証サーバ情報24a5を使用してCHAP認証要求のパケットを作成し、このCHAP認証要求のパケットを認証サーバ3aに送信する(ステップS116)。
【0032】
次に、認証サーバ3aの認証処理部31aは、ゲートウェイ装置2からCHAP認証要求のパケットが受信されると、このパケットをもとに端末装置1aを認証するための認証処理を行い、この端末装置1aを認証した場合、CHAPによる認証成功のパケットをゲートウェイ装置2に送信する(ステップS117)。次に、ゲートウェイ装置2の認証処理部22は、CHAP認証成功のパケットが受信されると、このCHAP認証成功のパケットを端末装置1aに送信して(ステップS118)、その後のPhaseを完了した後にIPsecによる暗号化通信を可能にする。
【0033】
次に、認証処理システムの認証処理がPAP方式によって行われる場合を、図4のシーケンスの図を用いて説明する。図4において、端末装置1bの認証処理部11bは、IPsec Phase1−1において、IKEプロトコルを用いて自己の保持するキー情報をゲートウェイ装置2に送信する(ステップS201)。ゲートウェイ装置2の認証処理部22は、図2に示したIDペイロードの事業者ID情報が、事業者b用データベース24bのVPNbの事業者ID情報に一致するか否か判断し(ステップS102,S104参照)、一致する場合には以下に示すPAP方式の認証処理のシーケンスを実行する(ステップS105参照)。
【0034】
すなわち、ゲートウェイ装置2の認証処理部22は、認証処理部11bからキー情報を受信すると、IPsec Phase1−2において、端末装置1bを認識して、端末装置1bに自己の保持するキー情報を送信してキー情報の交換を行う(ステップS202)。次に、認証処理部11bは、認証処理部22からキー情報を受信すると、IPsec Phase1−3において、ゲートウェイ装置2を認識した後に、端末装置1bは、通信相手(IKEピア)であるゲートウェイ装置2との間でSAを確立することで、セキュアなデータ通信を可能にする(ステップ203)。
【0035】
次に、ゲートウェイ装置2の認証処理部22は、設定処理部21で設定されたPAPによる認証要求のパケットを端末装置1bに送信する(ステップS204)。端末装置1bの認証処理部11bは、上記PAPによる認証処理が可能なプロトコルを有しており、PAPによる認証要求のパケットが受信されると、当該要求に対するPAPによる認証応答のパケットをゲートウェイ装置2に送信する(ステップS205)。この認証応答のパケットには、ユーザ名とパスワードとがユーザID内に含まれている。認証処理部22は、PAPによる認証応答のパケットが受信されると、このパケット内のクッキー値からフェーズ情報(フェーズ用データベース23bのフェーズ情報)を特定し、さらにその特定したフェーズ情報から参照されるSPD情報内の認証サーバ情報24b5を使用してPAP認証要求のパケットを作成し、このPAP認証要求のパケットを認証サーバ3bに送信する(ステップS206)。
【0036】
次に、認証サーバ3bの認証処理部31bは、ゲートウェイ装置2からPAP認証要求のパケットが受信されると、このパケットをもとに端末装置1bを認証するための認証処理を行い、この端末装置1bを認証した場合、PAPによる認証成功のパケットをゲートウェイ装置2に送信する(ステップS207)。次に、ゲートウェイ装置2の認証処理部22は、PAP認証成功のパケットが受信されると、このPAP認証成功のパケットを端末装置1bに送信して(ステップS208)、その後のPhaseを完了した後にIPsecによる暗号化通信を可能にする。
【0037】
このように、本実施の形態では、事業者毎に設けられたデータベース24a,24bに、CHAPやPAPなどの認証処理手順を、各VPNの事業者ID情報に対応付けて記憶するので、ユーザ毎ではなく、VPNa,b毎に認証処理手順(認証処理のポリシー)をデータベース24a,24bに記憶して、設定することができ、これによりユーザ数にかかわらずゲートウェイ装置2における認証処理のポリシーの設定を迅速に行うことができる。
【0038】
また、本実施の形態では、ゲートウェイ装置2が認証処理ポリシーを人数の多いユーザ毎ではなく、VPN毎にデータベース24a,24bに記憶するので、ユーザ毎に記憶する場合に比べて小容量のデータベースを使用することが可能となり、製作コストを削減することができる。
【図面の簡単な説明】
【0039】
【図1】本発明にかかる認証処理システムの実施の形態の構成を示すシステム構成図である。
【図2】図1に示したゲートウェイ装置が認証処理シーケンスを選択するための動作を説明するフローチャートである。
【図3】認証処理がCHAPによって行われる場合を説明するためのシーケンスの図である。
【図4】認証処理がPAPによって行われる場合を説明するためのシーケンスの図である。
【符号の説明】
【0040】
1a,1b 端末装置
2 ゲートウェイ装置
3a,3b 認証サーバ
4 公衆網
11a,11b,22,31a,31b 認証処理部
12a,12b,25,33a,33b 暗号化/復号化処理部
13a,13b,34a,34b 送受信部
21 設定処理部
23a,23b フェーズ用データベース
24a 事業者a用データベース
24b 事業者b用データベース
24a1 CHAP方式情報
24b1 PAP方式情報
26 中継処理部
27 端末用送受信部
28 サーバ用送受信部
32a,32b 認証用データベース
VPNa,VPNb 専用網
【特許請求の範囲】
【請求項1】
網運用者毎の専用網を介して認証サーバとそれぞれ接続されるとともに、端末装置との間に介在する公衆網に暗号化通信を行うための論理的な回線を確立させ、前記端末装置と前記認証サーバとの間で認証処理のためのデータ中継を行うゲートウェイ装置において、
前記専用網毎に設けられ、前記端末装置からの接続要求に対して該端末装置との間で行う認証処理手順を、各専用網を識別する識別情報に対応付けて記憶する記憶手段と、
前記端末装置からの接続要求に含まれる前記専用網の識別情報に該当する識別情報を前記記憶手段から抽出し、該抽出した識別情報に対応する前記認証処理手順を実行して前記端末装置に認証要求を行う認証処理手段と、
を備えたことを特徴とするゲートウェイ装置。
【請求項2】
前記専用網毎に取り扱う前記認証処理手順を設定して、前記専用網毎に設けられた記憶手段に記憶させる設定処理手段を備えたことを特徴とする請求項1に記載のゲートウェイ装置。
【請求項3】
前記認証処理手段は、前記端末装置との間に介在する公衆網に前記論理的な回線が確立されたことを契機に、前記記憶手段に記憶された認証処理手順を実行して前記端末装置に認証要求を行うことを特徴とする請求項1または2に記載のゲートウェイ装置。
【請求項4】
ゲートウェイ装置が網運用者毎の専用網を介して複数の認証サーバと接続され、前記ゲートウェイ装置と端末装置との間に介在する公衆網に暗号化通信を行うための論理的な回線を確立させ、前記端末装置と前記認証サーバとの間で認証処理のためのデータ中継を行う認証処理方法において、
前記専用網毎に設けられた記憶手段に、前記端末装置からの接続要求に対して該端末装置との間で行う認証処理手順を、各専用網を識別する識別情報に対応付けて記憶する記憶ステップと、
前記端末装置からの接続要求に含まれる前記専用網の識別情報に該当する識別情報を前記記憶手段から抽出し、該抽出した識別情報に対応する前記認証処理手順を実行して前記端末装置に認証要求を行う認証処理ステップと、
を含むことを特徴とする認証処理方法。
【請求項5】
前記専用網毎に取り扱う前記認証処理手順を設定して、前記専用網毎に設けられた記憶手段に記憶させる設定処理ステップを含むことを特徴とする請求項5に記載の認証処理方法。
【請求項6】
前記認証処理ステップは、前記端末装置との間に介在する公衆網に前記論理的な回線が確立されたことを契機に、前記記憶手段に記憶された認証処理手順を実行して前記端末装置に認証要求を行うことを特徴とする請求項5または6に記載の認証処理方法。
【請求項1】
網運用者毎の専用網を介して認証サーバとそれぞれ接続されるとともに、端末装置との間に介在する公衆網に暗号化通信を行うための論理的な回線を確立させ、前記端末装置と前記認証サーバとの間で認証処理のためのデータ中継を行うゲートウェイ装置において、
前記専用網毎に設けられ、前記端末装置からの接続要求に対して該端末装置との間で行う認証処理手順を、各専用網を識別する識別情報に対応付けて記憶する記憶手段と、
前記端末装置からの接続要求に含まれる前記専用網の識別情報に該当する識別情報を前記記憶手段から抽出し、該抽出した識別情報に対応する前記認証処理手順を実行して前記端末装置に認証要求を行う認証処理手段と、
を備えたことを特徴とするゲートウェイ装置。
【請求項2】
前記専用網毎に取り扱う前記認証処理手順を設定して、前記専用網毎に設けられた記憶手段に記憶させる設定処理手段を備えたことを特徴とする請求項1に記載のゲートウェイ装置。
【請求項3】
前記認証処理手段は、前記端末装置との間に介在する公衆網に前記論理的な回線が確立されたことを契機に、前記記憶手段に記憶された認証処理手順を実行して前記端末装置に認証要求を行うことを特徴とする請求項1または2に記載のゲートウェイ装置。
【請求項4】
ゲートウェイ装置が網運用者毎の専用網を介して複数の認証サーバと接続され、前記ゲートウェイ装置と端末装置との間に介在する公衆網に暗号化通信を行うための論理的な回線を確立させ、前記端末装置と前記認証サーバとの間で認証処理のためのデータ中継を行う認証処理方法において、
前記専用網毎に設けられた記憶手段に、前記端末装置からの接続要求に対して該端末装置との間で行う認証処理手順を、各専用網を識別する識別情報に対応付けて記憶する記憶ステップと、
前記端末装置からの接続要求に含まれる前記専用網の識別情報に該当する識別情報を前記記憶手段から抽出し、該抽出した識別情報に対応する前記認証処理手順を実行して前記端末装置に認証要求を行う認証処理ステップと、
を含むことを特徴とする認証処理方法。
【請求項5】
前記専用網毎に取り扱う前記認証処理手順を設定して、前記専用網毎に設けられた記憶手段に記憶させる設定処理ステップを含むことを特徴とする請求項5に記載の認証処理方法。
【請求項6】
前記認証処理ステップは、前記端末装置との間に介在する公衆網に前記論理的な回線が確立されたことを契機に、前記記憶手段に記憶された認証処理手順を実行して前記端末装置に認証要求を行うことを特徴とする請求項5または6に記載の認証処理方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2008−199420(P2008−199420A)
【公開日】平成20年8月28日(2008.8.28)
【国際特許分類】
【出願番号】特願2007−34117(P2007−34117)
【出願日】平成19年2月14日(2007.2.14)
【出願人】(000005290)古河電気工業株式会社 (4,457)
【出願人】(505173245)古河ネットワークソリューション株式会社 (12)
【Fターム(参考)】
【公開日】平成20年8月28日(2008.8.28)
【国際特許分類】
【出願日】平成19年2月14日(2007.2.14)
【出願人】(000005290)古河電気工業株式会社 (4,457)
【出願人】(505173245)古河ネットワークソリューション株式会社 (12)
【Fターム(参考)】
[ Back to top ]