スイッチ装置、認証サーバ、認証システム、認証方法、及び、プログラム
【課題】Authenticator機能の設定管理を容易に行うことができ、セキュリティ情報を保護することができるスイッチ装置を提供すること。
【解決手段】スイッチ装置であって、当該スイッチ装置の使用者認証を行う使用者認証サーバに対し使用者認証を要求し、要求した前記使用者認証が成功の場合に、前記使用者認証サーバから、前記使用者認証の成功の情報と、当該スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して前記端末認証を中継する際の設定情報と、を受信する認証クライアント部と、端末認証を中継する認証中継部に対し、前記設定情報を設定する認証設定部と、前記認証中継部に前記設定情報を設定した場合に、前記認証中継部に対し、前記端末認証の中継を許可する制御部と、を有するスイッチ装置。
【解決手段】スイッチ装置であって、当該スイッチ装置の使用者認証を行う使用者認証サーバに対し使用者認証を要求し、要求した前記使用者認証が成功の場合に、前記使用者認証サーバから、前記使用者認証の成功の情報と、当該スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して前記端末認証を中継する際の設定情報と、を受信する認証クライアント部と、端末認証を中継する認証中継部に対し、前記設定情報を設定する認証設定部と、前記認証中継部に前記設定情報を設定した場合に、前記認証中継部に対し、前記端末認証の中継を許可する制御部と、を有するスイッチ装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、スイッチ装置、認証サーバ、認証システム、認証方法、及び、プログラムに関する。
【背景技術】
【0002】
従来から、企業網等において、ネットワークのセキュリティを確保するため、ある端末をネットワークに接続する際に、何らかの認証を行うことがある。例えば、IEEE(Institute of Electrical and Electronic Engineers)802.1Xは、IEEEによって標準化された機器のアクセス認証プロトコルである。IEEE802.1Xは、認証される端末であるSupplicant、認証するスイッチであるAuthenticator、及び、認証情報を管理するAuthentication Serverの三者のプロトコルとして定義される。
【0003】
例えば、特開2006−345205号公報(特許文献1)、特開2007−74297号公報(特許文献2)では、IEEE802.1XのSupplicant機能の簡易設定方法の発明が開示されている。
【0004】
昨今、Authenticator対応スイッチの普及が進んでいる。そこで、ネットワークに接続する端末数を増やすために、Authenticator対応スイッチを用意する方法が、コスト面では現実的な選択肢となりつつある。この場合、ケーブル引きまわしやポートの数による接続端末設置の制約、あるいは、IEEE802.1X活用方法の制限などは、問題とならない。
【0005】
【特許文献1】特開2006−345205号公報
【特許文献2】特開2007−74297号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、Authenticator対応スイッチには、以下の課題がある。
【0007】
(A) Authenticator対応スイッチは、Supplicantを認証するため、認証方式に関する設定や、認証時に情報交換を行うAuthenticaton Serverの設定などを行う必要がある。ユーザ毎にこれらのAuthenticator対応スイッチの設定を管理運用することは、管理者の大きな負荷となる。上記特許文献1及び2には、Authenticator機能を簡易に設定する方法については記載されていない。
【0008】
(B) Authenticator対応スイッチの設定の情報には、Authentication Serverとの間でセキュリティを確保した通信を行うためのパスワード情報である「Shared Secret情報(以下、「SS情報」ともいう。)」が含まれている。SS情報は、企業システムの基幹情報を保持するAuthentication Serverと交換する情報のセキュリティを確保するための重要な情報である。このような重要な情報を、ユーザ毎に配置するAuthenticator対応スイッチに格納しておくことは、セキュリティ上大きなリスクとなる。例えば、Authenticator対応スイッチが盗まれ、又は、物理的に破壊される等して、SS情報が盗まれると、その企業システムのAuthentication Serverにおける通信セキュリティは確保されなくなる。
【0009】
本発明は、上記の点に鑑みて、これらの問題を解消するために発明されたものであり、Authenticator機能の設定管理を容易に行うことができ、セキュリティ情報を保護することができるスイッチ装置を提供することを目的としている。
【課題を解決するための手段】
【0010】
上記目的を達成するために、本発明のスイッチ装置は次の如き構成を採用した。
【0011】
本発明のスイッチ装置は、スイッチ装置であって、当該スイッチ装置の使用者認証を行う使用者認証サーバに対し使用者認証を要求し、要求した前記使用者認証が成功の場合に、前記使用者認証サーバから、前記使用者認証の成功の情報と、当該スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して前記端末認証を中継する際の設定情報と、を受信する認証クライアント部と、端末認証を中継する認証中継部に対し、前記設定情報を設定する認証設定部と、前記認証中継部に前記設定情報を設定した場合に、前記認証中継部に対し、端末認証の中継を許可する制御部と、を有する構成とすることができる。
【0012】
なお、上記課題を解決するため、本発明は、上記スイッチ装置の認証を行う認証サーバ、スイッチ装置と認証サーバとを有する認証システム、スイッチ装置又は認証サーバにおける認証方法、及び、その認証方法をコンピュータに実行させるためのプログラムとしてもよい。
【発明の効果】
【0013】
本発明のスイッチ装置、認証サーバ、認証システム、認証方法、及び、プログラムによれば、Authenticator機能の設定管理を容易に行うことができ、セキュリティ情報を保護することができるスイッチ装置、そのスイッチ装置の認証を行う認証サーバ、スイッチ装置と認証サーバとを有する認証システム、スイッチ装置又は認証サーバにおける認証方法、及び、その認証方法をコンピュータに実行させるためのプログラムを提供することが可能になる。
【発明を実施するための最良の形態】
【0014】
以下、本実施の形態を図面に基づき説明する。
【0015】
〔本実施の形態〕
本実施の形態では、使用者認証としてSIP(Session Initiation Protocol)による認証を行い、端末認証として、IEEE802.1Xプロトコルによる認証を行うIP電話端末を、スイッチ装置として用いる例について説明する。
【0016】
IEEE802.1Xプロトコルは、Supplicant機能を持った端末を、Authenticator機能を持ったスイッチの物理ポートにethernetケーブルにて接続すると、実行が開始される。プロトコル実行に際して、Authenticatorは、Authentication Serverに対してAAAプロトコル、例えば、RADIUSプロトコル等を交換してよい。
【0017】
このように、企業網において、機器の接続の際に認証を行うことを考えると、IEEE802.1X等のアクセス認証プロトコルを用いることとなる。
【0018】
IEEE802.1Xの使用に際しては、以下の問題がある。
【0019】
1. 近年、オフィス内においても、一人のユーザが複数の多様な機器をネットワーク接続して使用する状況がある。IEEE802.1Xは、Authenticator対応スイッチの物理ポートに直接ethernetで接続されたSupplicant対応機器を認証するものである。したがって、Authenticator対応スイッチの設置状況によっては、ethernetケーブルの引きまわしが必要になることがある。また物理ポートの数の不足により、端末機器を接続できないといった状況が生じることがある。
【0020】
2. ethernetケーブル引きまわしや、物理ポートの不足に対する対策のため、例えばハブをユーザ毎に用意し、各ユーザがそれぞれハブを経由してSupplicant 機器をAuthenticator対応スイッチに接続することがある。但し、IEEE802.1Xは、Authenticator対応スイッチの物理ポート一つにつき、一つのSupplicant機器を認証するのが基本である。
【0021】
ハブを使用して、一つのAuthenticatorの物理ポートに対し、複数のSupplicant機器を接続する方法について、IEEE標準に準拠しない技術がある。しかし、そのような技術による構成では、認証VLANなどの付加的なIEEE802.1X機能を使用することは不可能となるため、IEEE802.1Xの活用方法が制限される。
【0022】
本実施の形態では、これらの制限を考慮する必要のないIEEE802.1Xに対応するスイッチ装置について説明する。さらに、本実施の形態に係るスイッチ装置は、Supplicantと認証情報を管理するAuthentication Serverとの間の通信を中継する際に、Supplicantの認証に必要となるSS情報の管理を容易にする。本実施の形態に係るスイッチ装置は、さらに、IP電話機能を有するとよい。
【0023】
図1は、本実施の形態に係るスイッチ装置が設置されるオフィスの構成の概略を説明する図である。図1の構成は、ラック10、及び、デスク50aないし50dを有する。なお、図中「デスク」を「机」と表記する。ラック10には、インフラスイッチ100が格納される。インフラスイッチ100は、ルータ機能を有してよい。
【0024】
デスク50aないし50dは、それぞれ、電話端末型スイッチ装置200aないし200dを有する。電話端末型スイッチ装置200aないし200dは、それぞれ、パーソナルコンピュータ(以下、「PC」という。)である端末310aないし310dが接続され、さらに、PCである端末320aないし320dが接続されてよい。デスク50aないし50dは、全て同一の構成でなくてもよく、例えば、デスク50dが有する電話端末型スイッチ装置200dには、携帯端末330dが接続されてよい。
【0025】
図2及び図3は、オフィス向けIP電話の接続形態例を示す図である。図2では、インフラスイッチ100のポート毎に、電話端末型スイッチ装置200aないし200cが接続される。電話端末型スイッチ装置200aないし200cにはまた、それぞれ、端末310aないし310cが接続される。
【0026】
インフラスイッチ100は、複数のポートを有する。電話端末型スイッチ装置200aないし200cは、それぞれ、スイッチ部210aないし210cの何れか一と、IP電話機能部220aないし220cの何れか一とを有する。スイッチ部210aないし210cは、それぞれ、スイッチ機能を実現する。IP電話機能部220aないし220cは、それぞれ、IP電話機能を実現する。
【0027】
図3は、一の使用者のデスクにおけるIP電話の接続形態を説明する図である。図3の接続形態では、インフラスイッチ100のポートに、デスク50上に配置される電話端末型スイッチ装置200が接続される。電話端末型スイッチ装置200には、PCである端末310が接続される。
【0028】
電話端末型スイッチ装置200は、スイッチ部210、IP電話機能部220、uplink部280、及び、downlink部290を有する。スイッチ部210は、端末310とインフラスイッチ100との間のデータの送受信を中継する。uplink部280は、インフラスイッチ100のポートとのデータの送受信を行う。downlink部290は、端末310に接続される。IP電話機能部220は、IP電話機能を実現する。
【0029】
近年、IP電話が一般化しつつある。これは、IP電話端末を各ユーザ又は各ユーザの机に配布し、企業網にてIP交換機を運用する形態となる。IP電話端末はイーサネット(登録商標)などによってケーブリングされ、SIPなどIPネットワーク上で、呼制御およびメディア転送を行うことで電話機能を実現する。
【0030】
使用者がIP電話端末の使用を開始する際には、IP電話端末に対して、SIPアドレス登録を行う必要がある。使用者は、IP電話端末に対して、ユーザID又はパスワード入力等を行う。これにより、使用者のSIPアドレスと、IP電話端末のSIPアドレスとが対応づけられる。SIPアドレス登録は、使用者宛の着信呼を正しく受信するために必要である。SIPアドレス登録は、また、発呼者を正しく識別するために必要である。SIPアドレス登録は、また、使用者毎のIP電話端末の拡張機能、例えば、短縮ダイヤル等の設定を行うために必要である。
【0031】
オフィス向けIP電話端末製品は、デスクまわりのケーブリングを容易にするため、アップリンクとダウンリンクを備えるスイッチ部品を内蔵するものが多い。企業網の上流に対してIP電話端末製品のアップリンクを接続し、IP電話端末製品のダウンリンクに、通常のPCなどを接続する。この接続形態では、一人のユーザの机に対して、企業網の一つのポートを割り当てることで、そのユーザに必要な一台のIP電話端末と、PCの両方を使用することができる。
【0032】
図4は、本発明の実施の形態に係るネットワークの構成を説明する図である。図4のネットワークは、企業ネットワーク800を介して、SIPサーバ600、認証サーバ900、電話端末型スイッチ装置200a及び200bが接続される。電話端末型スイッチ装置200aには、端末310aが接続され、電話端末型スイッチ装置200bには、端末310b及び端末310cが接続される。
【0033】
企業ネットワーク800は、例えば、オフィスのネットワークインフラの一部として運用される基幹ネットワーク装置群である。電話端末型スイッチ装置200a及び200bは、それぞれ、使用者毎の机上に設置されるIEEE802.1X Authenticator対応のスイッチである。電話端末型スイッチ装置200a及び200bは、電話機と同様の入出力手段を有する。この入出力手段により、使用者のユーザ名又はパスワード等の使用者識別情報の入力を受け付ける。電話端末型スイッチ装置200は、また、使用者識別情報を用いて企業ネットワーク800を介してSIPサーバ600と通信し、使用者の認証を行う。
【0034】
SIPサーバ600は、企業ネットワーク800を介して、電話端末型スイッチ装置200a及び200bと通信し、電話端末型スイッチ装置200a及び200bを使用する使用者の認証を行う。SIPサーバ600は、また、実際の認証データを参照するために、企業ネットワーク800を介して、認証サーバ900と認証データの交換を行ってよい。なお、SIPサーバ600は、使用者の認証が完了した際、新たにSS情報を生成し、電話端末型スイッチ装置200aに対して、SS情報と802.1X 設定情報とを通知する。SIPサーバ600は、また、認証サーバ900に対して、SS情報を通知する。
【0035】
端末310aないし310cは、IEEE802.1X Supplicant対応の機器である。具体的にはPCやPDAなどであり、一人の使用者が複数の端末を使用することもある。電話端末型スイッチ装置200a又は200bにより、企業ネットワーク800に接続される。端末310aないし310cは、接続に際して、電話型スイッチ装置200a又は200bと、認証サーバ900と、の三者間でIEEE802.1Xプロトコルを実行する。
【0036】
認証サーバ900は、IEEE802.1X Authentication Server対応の認証サーバである。企業ネットワーク800を介して、電話端末型スイッチ装置200a又は200b、SIPサーバ600等と接続される。
【0037】
以下、図5から図7までを用い、電話端末型スイッチ装置200、認証サーバ900、及び、SIPサーバ600の構成について、それぞれ詳細に述べる。
【0038】
図5は、電話端末型スイッチ装置200の機能構成を説明する図である。電話端末型スイッチ装置200は、第一の認証クライアント部420、第二の通信部410、第二の認証設定部421、制御部429、端末通信部490、企業ネットワーク通信部480、入力インタフェース部(以下、「入力I/F部」という。)451、及び、出力インタフェース部(以下、「出力I/F部」という。)452を有する。
【0039】
第一の認証クライアント部420は、電話端末型スイッチ装置200を使用する使用者を、SIPにより認証するクライアント機能を提供する。第一の認証クライアント部420は、企業ネットワーク通信部480により、企業ネットワーク800を介して、SIPサーバとの間で通信を行う。これにより、使用者認証処理が実行される。
【0040】
入力I/F部451は、使用者が電話端末型スイッチ装置200に対して、ユーザ名およびパスワードを入力する際に使用するものである。入力I/F部451は、テンキーやキーボードとして構成されてもよく、マイク等の音声入力I/Fとして構成されてもよい。
【0041】
出力I/F部452は、使用者が電話端末型スイッチ装置200に対して入力した、ユーザ名およびパスワード等を確認する際に供せられる。出力I/F部452は、また、認証の結果を確認する際に使用される。出力I/F部452は、例えば、LCDなどのディスプレイや、スピーカー等である。
【0042】
第一の認証クライアント部420、入力I/F部451、及び、出力I/F部452により、電話端末型スイッチ装置200が、使用者認証を行う。また、これら各部、IP電話端末がよく保持している。
【0043】
第二の認証設定部421は、使用者認証が成功した場合に、第二の認証中継部411に対して、IEEE802.1Xの設定を実施する。制御部429は、使用者認証の状況に応じて、スイッチ部412および第二の認証中継部411を制御する。より詳細には、スイッチ部412および第二の認証中継部411の機能の有効化及び無効化を決定する。
【0044】
第二の通信部410は、第二の認証中継部411とスイッチ部412とを有する。第二の認証中継部411は、IEEE802.1X Authenticatorの機能を提供する。第二の認証中継部411は、端末通信部490により、端末310とEAPOLプロトコルを用いて直接通信する。第二の認証中継部411は、また、企業ネットワーク通信部480により、企業ネットワーク800を介して、認証サーバ900との間でAAAプロトコルであるRADIUSプロトコルを用いて通信する。これにより、IEEE802.1X認証が実行される。
【0045】
スイッチ部412は、通常のIPパケットを物理ポート間でスイッチングする機能を提供する。スイッチ部412は、端末310に対するスイッチング機能を実現する。スイッチ部412は、IEEE802.1Xによって認証された端末に対してのみ、スイッチング機能が提供されるように制御される。
【0046】
端末通信部490は、端末を接続する物理ポートであるダウンリンクを制御する。企業ネットワーク通信部は、企業ネットワークに接続する物理ポートであるアップリンクを制御する。
【0047】
端末通信部490、企業ネットワーク通信部480、スイッチ部412、及び、第二の認証中継部411により、電話端末型スイッチ装置200が、通常のAuthenticator対応スイッチ機能を提供する。
【0048】
図6は、SIPサーバ600の機能構成を説明する図である。SIPサーバ600は、制御部610、第一の認証処理部620、認証サーバ通信部680、及び、電話端末型スイッチ装置通信部690を有する。
【0049】
第一の認証処理部620は、電話端末型スイッチ装置通信部690を介して、電話端末型スイッチ装置200の使用者認証を実行する。この使用者認証は、電話端末型スイッチ装置200における第一の認証クライアント部420との間での認証処理である。
電話端末型スイッチ装置通信部690は、企業ネットワーク800を介して、電話端末型スイッチ装置200と通信するインタフェースを制御する。
【0050】
第一の認証処理部620、及び、電話端末型スイッチ装置通信部690は、SIPサーバ600において、SIP対応機器の使用者認証を行うために用いられる。またこれらの各部は、通常のSIPサーバが保持する。なお、本実施の形態では、電話端末型スイッチ装置200が、SIP対応機器である。
【0051】
制御部610は、第一の認証処理が成功した場合に、認証に成功した電話端末スイッチ装置200が、IEEE802.1X Authenticator対応スイッチとして動作するために必要となる設定を、電話端末型スイッチ装置200と、認証サーバ900とに対して行う。
【0052】
制御部610は、第二の認証設定保持部612と、Shared Secret生成部611とを有する。第二の認証設定保持部612は、IEEE802.1X Authenticatorの機能を実現するために必要な設定情報を保持する。Shared Secret生成部611は、電話端末型スイッチ装置200に設定すべきSS情報を、電話端末型スイッチ装置200毎に認証に成功する毎に動的に生成する。
【0053】
より詳細には、制御部610は、電話端末型スイッチ装置200に対して、電話端末型スイッチ装置通信部690により、IEEE802.1X設定情報と動的に生成したShared Secretとを通知する。制御部610は、また、認証サーバ900に対しては、認証サーバ通信部680により、動的に生成したShared Secretを通知する。
【0054】
電話端末型スイッチ装置通信部690は、企業ネットワーク800を介して、電話端末型スイッチ装置200との間で通信するインタフェースを制御する。
【0055】
認証サーバ通信部680は、企業ネットワーク800を介して、認証サーバ900との間で通信するインタフェースを制御する。認証サーバ通信部680の物理的なインタフェースは、電話端末型スイッチ装置通信部690と同一でもよい。
【0056】
図7は、認証サーバ900の機能構成の例を説明する図である。認証サーバ900は、第二の認証処理部910、Shared Secret取得設定部920、及び、通信部990を有する。
【0057】
第二の認証処理部910は、IEEE802.1X Authentication Serverの機能を実現する。第二の認証処理部910は、通信部990により、企業ネットワーク800を介してAuthenticatorである電話端末型スイッチ装置200との間でAAAプロトコル(RADIUSプロトコル)を交換する。
【0058】
Shared Secret取得設定部920は、Authenticatorである電話端末型スイッチ装置200との間でセキュアに通信を行うために必要なShared Secretの情報を、通信部990により、企業ネットワーク800を介して、SIPサーバ600から受信する。Shared Secret取得設定部920は、Shared Secretを受信し、第二の認証処理部910に対して設定する。これにより、対象となるAuthenticatorである電話端末型スイッチ装置200との通信ができる。
【0059】
通信部990は、SIPサーバ600および電話端末型スイッチ装置200との間で通信を行うインタフェースを制御するものである。
【0060】
図8から図11は、本実施の形態に係る認証方法による認証処理を説明するフロー図と、その認証処理において交換されるメッセージの例を説明する図である。本実施の形態に係る認証方法には、以下の二つの認証シーケンスが含まれる。第一の認証は、電話端末型スイッチ装置200と、SIPサーバ600との間で実行される使用者認証である。一方、第二の認証は、端末310と、電話端末スイッチ装置200と、認証サーバ900との三者間で実行されるIEEE802.1X認証である。
【0061】
この二つの認証シーケンスに関する前提条件及び制約事項は、例えば以下の通りである。
1.使用者の机上には、電話端末型スイッチ装置200が設置されている。
2.電話端末型スイッチ装置200は、使用者が使用者認証、すなわち、ログインして第一の認証を行ってから使用するもの。
3.使用者が端末310を使用する際には、端末310から電話端末型スイッチ装置200により企業ネットワーク800に接続して使用する。
【0062】
4.企業ネットワーク800に接続して使用される端末310は、IEEE802.1X認証、すなわち本実施の形態における第二の認証を実行し、認証された端末310のみが接続許可される。
5.電話端末型スイッチ装置200は、使用者認証である第一の認証が成功している間に限り、IEEE802.1X Authenticator対応スイッチとして動作し、IEEE802.1X認証である第二の認証を実行する。
【0063】
6.使用者認証である第一の認証がなされていない電話端末型スイッチ装置200を介して、端末310を接続する場合、すなわち、IEEE802.1X認証である第二の認証を実行する場合には、その電話端末型スイッチ装置200は、IEEE802.1X Authenticator対応スイッチの機能が無効となっているため、接続および認証実行できない。
【0064】
7.使用者が電話端末型スイッチ装置200からログアウトする等して、使用者認証である第一の認証の期間が終了すると、その電話端末型スイッチ装置200は、IEEE802.1X Authenticator対応スイッチの機能を無効化する。したがって、その電話端末型スイッチ装置200を介してIEEE802.1X認証である第二の認証を行って接続されていた端末310は、企業ネットワーク800への接続を失うこととなる。
【0065】
図8は、電話端末型スイッチ装置200とSIPサーバ600との間で実行される使用者認証である第一の認証の例について説明するシーケンス図である。図8のシーケンスでは、電話端末型スイッチ装置200、SIPサーバ600、及び、認証サーバ900の間でメッセージが交換される。
【0066】
図8のシーケンスにおいて実行する使用者認証は、例えば、SIPプロトコルを使用したダイジェスト認証である。電話端末型スイッチ装置200がSIPクライアントであり、SIPサーバ600はSIPサーバである。SIPサーバ600には、予め使用者認証に必要な使用者のユーザ名およびパスワードが保持されている。
【0067】
図8のステップS101では、使用者が、電話端末型スイッチ装置200を使用して、使用者認証の実行開始を指示する。具体的には、使用者は、電話端末型スイッチ装置の入力I/F部451を用いて、使用者自身に割り当てられたユーザ名およびパスワードを電話端末型スイッチ装置200に対して入力する。使用者は、出力I/F部452により、入力した内容を確認してもよい。
【0068】
ステップS102では、電話端末型スイッチ装置200が有する第一の認証クライアント部420からSIPサーバ600に対し、ステップS101で入力されたユーザ名により、企業ネットワーク通信部480を介して、SIPサーバ600に対してSIPアドレス登録の要求を送信する。SIPアドレス登録の要求は、「SIP Register Request」である。SIPサーバ600は、第一の認証処理部620が、電話端末型スイッチ装置通信部690により、使用者のSIPアドレス登録の要求を受信する。
【0069】
ステップS103では、SIPサーバ600の第一の認証処理部620が、乱数を使用し、ダイジェスト認証のためのチャレンジ情報を生成する。
【0070】
ステップS104では、SIPサーバ600の第一の認証処理部620が電話端末型スイッチ装置200に対し、ステップS103で生成したチャレンジ情報を含めた応答を送信する。ここで送信される応答は、「401 Unauthorized」である。電話端末型スイッチ装置200は、第一の認証クライアント部420が、企業ネットワーク通信部480により、SIPサーバ600で生成されたチャレンジ情報を含む応答を受信する。
【0071】
ステップS105では、電話端末型スイッチ装置200の第一の認証クライアント部420が、使用者に入力されたパスワードを使用して、チャレンジ情報からレスポンス情報を計算する。
【0072】
ステップS106では、第一の認証クライアント部420からSIPサーバ600に対し、求めたレスポンス情報を含むSIPアドレス登録の要求が企業ネットワーク通信部480により送信される。ここで送信されるSIPアドレス登録の要求は「SIP Register Request」である。SIPサーバ600は、第一の認証処理部620が電話端末型スイッチ装置通信部690により、SIPアドレス登録要求を受信する。
【0073】
ステップS107では、SIPサーバ600の第一の認証処理部620が、SIPサーバ600が保持する、ステップS106で送信された要求に対応するユーザのパスワードと、SIPサーバ600が電話端末型スイッチ装置200に対して送信したチャレンジ情報と、から、電話端末型スイッチ装置200と同様にレスポンス情報を計算する。
【0074】
第一の認証処理部620は、第一の認証処理部620自身が計算して求めたレスポンス情報と、電話端末型スイッチ装置200から受信したSIPアドレス登録要求に含まれるレスポンス情報を比較する。第一の認証処理部620は、2つのレスポンス情報が一致していれば、認証成功とみなす。第一の認証処理部620は、認証成功の場合には、その要求が正しい使用者認証要求であるとし、SIPアドレス登録処理を実行する。
【0075】
ステップS107では、また、制御部610のShared Secret生成部611が、使用者認証が成功した電話端末型スイッチ装置に設定するSS情報を生成する。なお、SS情報の生成は、乱数、使用者認証時に使用したユーザ名、及び、電話端末型スイッチ装置200の識別情報、等を用いて行い、ユーザ毎及び電話端末型スイッチ装置毎に対して異なる値となることを保証し、さらに、認証実行毎に異なる値が生成されるようにする。
【0076】
ステップS107では、さらに、制御部610が、第一の認証処理部620に対して、上述のIEEE802.1XのAuthenticatorの設定情報とSS情報を通知する。第一の認証処理部620は、制御部610から、使用者認証が成功した電話端末型スイッチ装置200に設定するIEEE802.1XのAuthenticatorの設定情報を取得する。
【0077】
ステップS108では、SIPサーバ600の第一の認証処理部620から電話端末型スイッチ装置200に対し、使用者認証が成功し、SIPアドレス登録が完了したことを通知する成功応答を、電話端末型スイッチ装置通信部690により、送信する。この成功応答は、「200 OK」である。
【0078】
電話端末型スイッチ装置200では、第一の認証クライアント部420が、企業ネットワーク通信部480により、SIPサーバ600で生成された成功応答を受信する。第一の認証クライアント部420は、成功応答に含まれるIEEE802.1X Authenticatorの設定情報と、SS情報とを取得する。なお、第一の認証クライアント部420は、必要ならば、成功応答に含まれる情報を復号化した上でIEEE802.1X Authenticatorの設定情報と、SS情報とを取得してもよい。
【0079】
図9は、成功応答メッセージの例を示す図である。図9の成功応答には、IEEE802.1XのAuthenticatorの設定情報とSS情報とが含まれる。図9において、IEEE802.1XのAuthenticatorのための設定情報aには、以下の情報が含まれている。
【0080】
(1)プライマリ認証サーバのIPアドレスとポート
(2)セカンダリ認証サーバのIPアドレスとポート
(3)アカウンティング機能のオンオフ
(4)認証有効期限の設定
(5)Termination−Actionの設定(例えば、有効無効、タイムアウト時間、確認回数)
(6)SS情報
【0081】
なお、SS情報は、他の機器にその情報が洩れないようにするために、以下の(A)及び(B)のうちの何れか一の対応を行う。
(A)SS情報をそのまま送信するのではなく、対応するユーザのパスワード情報および別途生成した乱数情報などを使用して、SS情報を暗号化して送信する。
(B)電話端末型スイッチ装置200と、SIPサーバとの間で交換されるSIPメッセージを、TLSやIPsec等によって全て暗号化する。
【0082】
ステップS109では、第二の認証設定部421が、ステップS108で取得された情報を、第二の認証中継部411に設定する。ステップS109では、さらに、制御部429が、第二の認証中継部411およびスイッチ部412の機能を有効化する。ステップS109の処理により、電話端末型スイッチ装置200は、IEEE802.1X Authenticatorの機能が有効となる。
【0083】
また、ステップS109の時点では、さらに、SIPによる使用者認証が完了している。したがって電話端末型スイッチ装置200により、SIPサービス(例えば電話サービス)を提供してもよい。
【0084】
ステップS110では、SIPサーバ600の制御部610から認証サーバ900に対し、使用者認証が成功した電話端末型スイッチ装置200のIDと、電話端末型スイッチ装置に送信したSS情報とを、認証サーバ通信部680により認証サーバに通知する。電話端末型スイッチ装置200のIDとは、例えばIPアドレスである。なお、ステップS108及びステップS109の処理と、ステップS110の処理とは、非同期に行われてよい。
【0085】
なお、SIPサーバ600から認証サーバ900に対してそれらの情報を送信する際に、SS情報の漏洩を防ぐ必要がある。そこで、SIPサーバ600と認証サーバ900との間で予め共有している秘密情報を使ってShared Secretを暗号化してもよく、また、TLSやIPsecなどのセキュリティプロトコルによってデータ全てを暗号化してメッセージの交換等を行ってもよい。
【0086】
ステップS110の処理の後、認証サーバ900のShared Secret取得設定部920が、通信部990により、SIPサーバ600から送信された、使用者認証が成功した電話端末型スイッチ装置200のIDと電話端末型スイッチ装置200に送信したSS情報とを受信する。Shared Secret取得設定部920は、これらの情報により、第二の認証処理部910の設定を行う。
【0087】
図8に示す処理により、認証サーバ900は、IEEE802.1X Authentication Serverとして、IEEE802.1X Authenticatorである電話端末型スイッチ装置200と通信することができるようになり、IEEE802.1X認証の実行が可能となる。
【0088】
図10は、端末310、電話端末スイッチ装置200、及び、認証サーバ900の三者間で実行されるIEEE802.1X認証である第二の認証の処理の例を示すシーケンス図である。図10のシーケンスでは、端末310と、電話端末スイッチ装置200と、認証サーバ900との間で、データの送受信が行われる。図10のシーケンスにおいて実行する端末310の認証は、例えば、IEEE802.1Xを使用した認証であり、端末310はIEEE802.1X Supplicantに、電話端末型スイッチ装置200はIEEE802.1X Authenticatorに、認証サーバ900はIEEE802.1X Authentication Serverに、それぞれ対応する。
【0089】
図8及び図9において説明した第一の認証の結果、電話端末型スイッチ装置200のIEEE802.1X Authenticatorとしての設定、及び、認証サーバ900がIEEE802.1X Authentication Serverとして電話端末型スイッチ装置200と通信するためのShared Secret設定は完了している。
【0090】
図10の処理において、認証サーバ900には、端末310のIEEE802.1X認証に必要な認証情報が予め登録されている。なお、図10のシーケンスは、IEEE802.1Xとして標準化されている認証プロトコルのシーケンスと同一であるため、その概要のみを記述する。
【0091】
図10のステップS201では、端末310の使用者が、端末310に対し、IEEE802.1X認証の実行開始に必要な情報を入力する。入力される情報は、IEEE802.1Xとして設定されている認証アルゴリズムによって異なるが、例えばユーザ名とパスワードである。
【0092】
ステップS202では、端末310から電話端末型スイッチ装置200に対し、EAPoLプロトコルを利用して、認証に必要な情報を送信する。電話端末型スイッチ装置200は、端末通信部490により端末310から受信したEAPoLデータを、第二の認証中継部411で処理し、対応するRADIUSプロトコルに変換する。
【0093】
ステップS203では、電話端末型スイッチ装置200から認証サーバ900に対し、RADIUSプロトコルに変換された認証に必要な情報を、企業ネットワーク通信部480により、認証サーバ900に送信する。この際に、図8の第一の認証シーケンスで取得され設定された、IEEE802.1X Authenticatorの設定情報とSS情報とを使用する。
【0094】
認証サーバ900では、第二の認証処理部910が、通信部990により、RADIUSプロトコルを電話端末型スイッチ装置200から受信する。この際に、図8の第一の認証シーケンスにて取得され設定された、SS情報を使用する。
【0095】
ステップS204では、認証サーバ900の第二の認証処理部910から電話端末型スイッチ装置200に対し、通信部990により、RADIUS プロトコルを送信する。この際に、図8の第一の認証シーケンスにて取得され設定された、SS情報を使用する。
【0096】
電話端末型スイッチ装置200は、企業ネットワーク通信部480により、認証サーバ900からRADIUSプロトコルデータを受信する。この際に、第一の認証シーケンスにて取得設定された、IEEE802.1X Authenticatorの設定情報とSS情報とを使用する。
【0097】
ステップS205では、第二の認証中継部411が、ステップS204で受信したRADIUSプロトコルデータを処理し、対応するEAPoLプロトコルに変換する。
【0098】
ステップS206では、第二の認証中継部411から端末310に対し、ステップS205で変換されたEAPoLプロトコルデータが、端末通信部490により送信される。
ステップS207では、IEEE802.1Xプロトコルが完了していない場合に、ステップS202に戻り、処理を繰り返す。
【0099】
ステップS208では、認証が成功した後に、認証サーバ900から電話端末型スイッチ装置200に対し、RADIUSプロトコルを送信する。ここで送信されるRADIUSプロトコルは、「RADIUS ACCEPT」である。
【0100】
ステップS209では、ステップS208で受信した「RADIUS ACCEPT」に基づき、電話端末型スイッチ装置200の第二の認証中継部411が、対応する端末310の認証が成功したとし、対応する端末310が端末通信部490からスイッチ部412を経由して企業ネットワーク通信部480へと通信できるよう、スイッチ部412の設定を変更する。
【0101】
ステップS210では、第二の認証中継部411から端末310に対し、EAPoLデータを送信する。ここで送信されるEAPoLデータは、「EAP−Success」である。端末310は「EAP−Success」を受信することで、認証成功を識別する。なお、ステップS209とステップS210とは、非同期でもよい。
【0102】
図10に示すシーケンスにより、電話端末型スイッチ装置200に接続された端末310のIEEE802.1X認証が完了する。これにより、端末310は、電話端末型スイッチ装置200を介して企業ネットワーク800と通信可能となる。
【0103】
図11は、電話端末型スイッチ装置200とSIPサーバ600との間で使用者認証である第一の認証を終了させる処理を示すシーケンス図である。図11のシーケンスでは、電話端末型スイッチ装置200、SIPサーバ600、及び、認証サーバ900との間でデータの送受信が行われる。
【0104】
図11のステップS301では、使用者が、電話端末型スイッチ装置200に対し、使用者認証の終了、すなわち、ログアウトを指示する。具体的には、使用者は、電話端末型スイッチ装置200の入力I/F部451から、第一の認証クライアント部420に対するログアウト要求を入力する。
【0105】
ステップS302では、電話端末型スイッチ装置200における第一の認証クライアント部420からSIPサーバ600に対し、ステップS301で入力される使用者の指示に基づいて、企業ネットワーク通信部480を介して、SIPアドレス登録終了要求を送信する。ここで送信されるアドレス登録終了要求は、「SIP Register Request」である。SIPサーバ600の第一の認証処理部620は、使用者のSIPアドレス登録終了要求に基づいて、アドレス登録終了処理を実行する。
【0106】
ステップS303では、SIPサーバ600の第一の認証処理部620から電話端末型スイッチ装置通信部690により電話端末型スイッチ装置に対し、成功応答を送信する。ここで送信される成功応答は、「200 OK Response」である。電話端末型スイッチ装置200では、第一の認証クライアント部420が、企業ネットワーク通信部480を介して、SIPサーバ600からの成功応答を受信する。
【0107】
ステップS304では、電話端末型スイッチ装置200の制御部429が、第二の認証中継部411及びスイッチ部412の機能を無効化する。ステップS304では、また、第二の認証設定部421が、第二の認証中継部411が保持するSS情報の設定を消去する。
【0108】
ステップS304までの処理により、電話端末型スイッチ装置200は、IEEE802.1X Authenticator及びスイッチ装置の動作を終了する。
【0109】
ステップS305では、SIPサーバ600の制御部610から認証サーバ900に対し、電話端末型スイッチ装置200の使用者認証の終了と、使用者認証が終了した電話端末型スイッチ装置200のIDと、を、認証サーバ通信部680により通知する。電話端末型スイッチ装置200のIDは、例えばIPアドレスである。なお、ステップS305の処理は、ステップS303において、SIPサーバ600の第一の認証処理部620から認証サーバ900に対し、SIPアドレス登録終了処理が完了したことを電話端末型スイッチ装置200に通知する処理と非同期に行われてよい。
【0110】
認証サーバ900は、SIPサーバから受信する通知を、Shared Secret取得設定部920が識別する。Shared Secret取得設定部920は、第二の認証処理部910に対して、対応する電話端末型スイッチ装置のSS情報を消去させる。
【0111】
図11の処理により、電話端末型スイッチ装置200と認証サーバ900との何れからもSS情報が消去される。認証に基づく通信の終了後、ログアウトの指示に基づいてSS情報を消去することにより、電話端末型スイッチ装置200からSS情報が盗まれて悪用される等の脅威を低減することができる。
【0112】
次に、本実施の形態にかかるIP電話端末のハードウェア構成について図12を用いて説明する。図12は、本実施の形態にかかるIP電話端末のハードウェア構成を示す説明図である。
【0113】
本実施の形態にかかるIP電話端末は、CPU(Central Processing Unit)51などの制御装置と、ROM(Read Only Memory)52やRAM(Random Access Memory)53などの記憶装置と、ネットワークに接続して通信を行う通信I/F54と、各部を接続するバス61を備えている。
【0114】
本実施の形態にかかるIP電話端末で実行されるプログラムは、ROM52等に予め組み込まれて提供される。
【0115】
本実施の形態にかかるIP電話端末で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM(Compact Disk Read Only Memory)、フレキシブルディスク(FD)、CD−R(Compact Disk Recordable)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録して提供するように構成してもよい。
【0116】
さらに、本実施の形態にかかるIP電話端末で実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、本実施の形態にかかるIP電話端末で実行されるプログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。
【0117】
本実施の形態にかかるIP電話端末で実行されるプログラムは、上述した各部(第一の認証クライアント部420、第二の通信部410、第二の認証設定部421、及び、制御部429等)を含むモジュール構成となっており、実際のハードウェアとしてはCPU51が上記ROM52からプログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、各部が主記憶装置上に生成されるようになっている。
【0118】
本実施の形態では、使用者認証である第一の認証として、SIPを使ったダイジェスト認証を用いて説明した。しかし、第一の認証はSIPに限定されるものではない。例えば、PANA(Protocol for carrying Authentication for Network Access)など、その他の認証方法を使用してもよい。
【0119】
また本実施の形態では、端末310の接続認証である第二の認証として、IEEE802.1Xを用いて説明した。しかし、第二の認証はIEEE802.1Xに限定されるものではない。例えば、PANAなど、その他の認証方法を使用してもよい。
【0120】
なお、本実施の形態では、次の前提を置いている。使用者認証がなされていない電話端末型スイッチ装置200を介して、端末310を企業ネットワーク800に接続する場合、IEEE802.1X認証の実行が試行される。しかしながら、その電話端末型スイッチ装置では、IEEE802.1X Authenticator対応スイッチの機能が無効となっているため、接続および認証を実行できない。
【0121】
ところで、電話端末型スイッチ装置200は、出力I/F部452を備えている。そこで、使用者が、使用者認証がなされていない電話端末型スイッチ装置200を介して、端末を接続する場合、電話端末機能の一部である出力I/F部452により、使用者に対して、使用者認証の実行を促す画面又は音声等を出力してもよい。なお、出力I/F部452は、例えば、LCDなどのディスプレイあるいはスピーカー等として構成されるとよい。
【0122】
また、本実施の形態では、次の前提を置いている。使用者が電話端末型スイッチ装置200からログアウトする等して、使用者認証期間が終了すると、その電話端末型スイッチ装置200は、IEEE802.1X Authenticator対応スイッチの機能を無効化する。したがって、その電話端末型スイッチ装置200を介してIEEE802.1X認証を行って接続されていた端末310は、企業ネットワーク800に対する接続を失う。
【0123】
ところで、電話端末型スイッチ装置200は、出力I/F部452を備えている。そこで、端末310による通信の実行中に、使用者が、使用者認証を終了させようとする場合に、電話端末機能の一部である出力I/F部452により、使用者に対して、「端末が通信中であるため、使用者認証を終了させると端末の通信が失敗する」旨の警告を出す画面又は音声を出力してもよい。
【0124】
以上、発明を実施するための最良の形態について説明を行ったが、本発明は、この最良の形態で述べた実施の形態に限定されるものではない。本発明の主旨をそこなわない範囲で変更することが可能である。
【図面の簡単な説明】
【0125】
【図1】スイッチ装置が設置されるオフィスの構成の概略。
【図2】オフィス向けIP電話の接続形態例(その1)。
【図3】オフィス向けIP電話の接続形態例(その2)。
【図4】本発明の実施の形態に係るネットワークの構成。
【図5】電話端末型スイッチ装置200の機能構成。
【図6】SIPサーバ600の機能構成。
【図7】認証サーバ900の機能構成。
【図8】第一の認証の例について説明するシーケンス図。
【図9】成功応答メッセージの例。
【図10】第二の認証の処理の例を示すシーケンス図。
【図11】第一の認証を終了させる処理を示すシーケンス図。
【図12】IP電話端末のハードウェア構成。
【符号の説明】
【0126】
10 ラック
50、50a、50b、50c、50d デスク
61 バス
100 インフラスイッチ
200、200a、200b、200c、200d 電話端末型スイッチ装置
210、210a、210b、210c スイッチ部
220、220a、220b、220c IP電話機能部
280 uplink部
290 downlink部
310、310a、310b、310c、310d 端末
320a、320b、320c、320c 端末
330d 携帯端末
410 第二の通信部
411 第二の認証中継部
412 スイッチ部
420 第一の認証クライアント部
421 第二の認証設定部
429 制御部
451 入力I/F部
452 出力I/F部
480 企業ネットワーク通信部
490 端末通信部
600 SIPサーバ
610 制御部
611 Shared Secret生成部
612 第二の認証設定保持部
620 第一の認証処理部
680 認証サーバ通信部
690 電話端末型スイッチ装置通信部
800 企業ネットワーク
900 認証サーバ
910 第二の認証処理部
920 Shared Secret取得設定部
990 通信部
【技術分野】
【0001】
本発明は、スイッチ装置、認証サーバ、認証システム、認証方法、及び、プログラムに関する。
【背景技術】
【0002】
従来から、企業網等において、ネットワークのセキュリティを確保するため、ある端末をネットワークに接続する際に、何らかの認証を行うことがある。例えば、IEEE(Institute of Electrical and Electronic Engineers)802.1Xは、IEEEによって標準化された機器のアクセス認証プロトコルである。IEEE802.1Xは、認証される端末であるSupplicant、認証するスイッチであるAuthenticator、及び、認証情報を管理するAuthentication Serverの三者のプロトコルとして定義される。
【0003】
例えば、特開2006−345205号公報(特許文献1)、特開2007−74297号公報(特許文献2)では、IEEE802.1XのSupplicant機能の簡易設定方法の発明が開示されている。
【0004】
昨今、Authenticator対応スイッチの普及が進んでいる。そこで、ネットワークに接続する端末数を増やすために、Authenticator対応スイッチを用意する方法が、コスト面では現実的な選択肢となりつつある。この場合、ケーブル引きまわしやポートの数による接続端末設置の制約、あるいは、IEEE802.1X活用方法の制限などは、問題とならない。
【0005】
【特許文献1】特開2006−345205号公報
【特許文献2】特開2007−74297号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、Authenticator対応スイッチには、以下の課題がある。
【0007】
(A) Authenticator対応スイッチは、Supplicantを認証するため、認証方式に関する設定や、認証時に情報交換を行うAuthenticaton Serverの設定などを行う必要がある。ユーザ毎にこれらのAuthenticator対応スイッチの設定を管理運用することは、管理者の大きな負荷となる。上記特許文献1及び2には、Authenticator機能を簡易に設定する方法については記載されていない。
【0008】
(B) Authenticator対応スイッチの設定の情報には、Authentication Serverとの間でセキュリティを確保した通信を行うためのパスワード情報である「Shared Secret情報(以下、「SS情報」ともいう。)」が含まれている。SS情報は、企業システムの基幹情報を保持するAuthentication Serverと交換する情報のセキュリティを確保するための重要な情報である。このような重要な情報を、ユーザ毎に配置するAuthenticator対応スイッチに格納しておくことは、セキュリティ上大きなリスクとなる。例えば、Authenticator対応スイッチが盗まれ、又は、物理的に破壊される等して、SS情報が盗まれると、その企業システムのAuthentication Serverにおける通信セキュリティは確保されなくなる。
【0009】
本発明は、上記の点に鑑みて、これらの問題を解消するために発明されたものであり、Authenticator機能の設定管理を容易に行うことができ、セキュリティ情報を保護することができるスイッチ装置を提供することを目的としている。
【課題を解決するための手段】
【0010】
上記目的を達成するために、本発明のスイッチ装置は次の如き構成を採用した。
【0011】
本発明のスイッチ装置は、スイッチ装置であって、当該スイッチ装置の使用者認証を行う使用者認証サーバに対し使用者認証を要求し、要求した前記使用者認証が成功の場合に、前記使用者認証サーバから、前記使用者認証の成功の情報と、当該スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して前記端末認証を中継する際の設定情報と、を受信する認証クライアント部と、端末認証を中継する認証中継部に対し、前記設定情報を設定する認証設定部と、前記認証中継部に前記設定情報を設定した場合に、前記認証中継部に対し、端末認証の中継を許可する制御部と、を有する構成とすることができる。
【0012】
なお、上記課題を解決するため、本発明は、上記スイッチ装置の認証を行う認証サーバ、スイッチ装置と認証サーバとを有する認証システム、スイッチ装置又は認証サーバにおける認証方法、及び、その認証方法をコンピュータに実行させるためのプログラムとしてもよい。
【発明の効果】
【0013】
本発明のスイッチ装置、認証サーバ、認証システム、認証方法、及び、プログラムによれば、Authenticator機能の設定管理を容易に行うことができ、セキュリティ情報を保護することができるスイッチ装置、そのスイッチ装置の認証を行う認証サーバ、スイッチ装置と認証サーバとを有する認証システム、スイッチ装置又は認証サーバにおける認証方法、及び、その認証方法をコンピュータに実行させるためのプログラムを提供することが可能になる。
【発明を実施するための最良の形態】
【0014】
以下、本実施の形態を図面に基づき説明する。
【0015】
〔本実施の形態〕
本実施の形態では、使用者認証としてSIP(Session Initiation Protocol)による認証を行い、端末認証として、IEEE802.1Xプロトコルによる認証を行うIP電話端末を、スイッチ装置として用いる例について説明する。
【0016】
IEEE802.1Xプロトコルは、Supplicant機能を持った端末を、Authenticator機能を持ったスイッチの物理ポートにethernetケーブルにて接続すると、実行が開始される。プロトコル実行に際して、Authenticatorは、Authentication Serverに対してAAAプロトコル、例えば、RADIUSプロトコル等を交換してよい。
【0017】
このように、企業網において、機器の接続の際に認証を行うことを考えると、IEEE802.1X等のアクセス認証プロトコルを用いることとなる。
【0018】
IEEE802.1Xの使用に際しては、以下の問題がある。
【0019】
1. 近年、オフィス内においても、一人のユーザが複数の多様な機器をネットワーク接続して使用する状況がある。IEEE802.1Xは、Authenticator対応スイッチの物理ポートに直接ethernetで接続されたSupplicant対応機器を認証するものである。したがって、Authenticator対応スイッチの設置状況によっては、ethernetケーブルの引きまわしが必要になることがある。また物理ポートの数の不足により、端末機器を接続できないといった状況が生じることがある。
【0020】
2. ethernetケーブル引きまわしや、物理ポートの不足に対する対策のため、例えばハブをユーザ毎に用意し、各ユーザがそれぞれハブを経由してSupplicant 機器をAuthenticator対応スイッチに接続することがある。但し、IEEE802.1Xは、Authenticator対応スイッチの物理ポート一つにつき、一つのSupplicant機器を認証するのが基本である。
【0021】
ハブを使用して、一つのAuthenticatorの物理ポートに対し、複数のSupplicant機器を接続する方法について、IEEE標準に準拠しない技術がある。しかし、そのような技術による構成では、認証VLANなどの付加的なIEEE802.1X機能を使用することは不可能となるため、IEEE802.1Xの活用方法が制限される。
【0022】
本実施の形態では、これらの制限を考慮する必要のないIEEE802.1Xに対応するスイッチ装置について説明する。さらに、本実施の形態に係るスイッチ装置は、Supplicantと認証情報を管理するAuthentication Serverとの間の通信を中継する際に、Supplicantの認証に必要となるSS情報の管理を容易にする。本実施の形態に係るスイッチ装置は、さらに、IP電話機能を有するとよい。
【0023】
図1は、本実施の形態に係るスイッチ装置が設置されるオフィスの構成の概略を説明する図である。図1の構成は、ラック10、及び、デスク50aないし50dを有する。なお、図中「デスク」を「机」と表記する。ラック10には、インフラスイッチ100が格納される。インフラスイッチ100は、ルータ機能を有してよい。
【0024】
デスク50aないし50dは、それぞれ、電話端末型スイッチ装置200aないし200dを有する。電話端末型スイッチ装置200aないし200dは、それぞれ、パーソナルコンピュータ(以下、「PC」という。)である端末310aないし310dが接続され、さらに、PCである端末320aないし320dが接続されてよい。デスク50aないし50dは、全て同一の構成でなくてもよく、例えば、デスク50dが有する電話端末型スイッチ装置200dには、携帯端末330dが接続されてよい。
【0025】
図2及び図3は、オフィス向けIP電話の接続形態例を示す図である。図2では、インフラスイッチ100のポート毎に、電話端末型スイッチ装置200aないし200cが接続される。電話端末型スイッチ装置200aないし200cにはまた、それぞれ、端末310aないし310cが接続される。
【0026】
インフラスイッチ100は、複数のポートを有する。電話端末型スイッチ装置200aないし200cは、それぞれ、スイッチ部210aないし210cの何れか一と、IP電話機能部220aないし220cの何れか一とを有する。スイッチ部210aないし210cは、それぞれ、スイッチ機能を実現する。IP電話機能部220aないし220cは、それぞれ、IP電話機能を実現する。
【0027】
図3は、一の使用者のデスクにおけるIP電話の接続形態を説明する図である。図3の接続形態では、インフラスイッチ100のポートに、デスク50上に配置される電話端末型スイッチ装置200が接続される。電話端末型スイッチ装置200には、PCである端末310が接続される。
【0028】
電話端末型スイッチ装置200は、スイッチ部210、IP電話機能部220、uplink部280、及び、downlink部290を有する。スイッチ部210は、端末310とインフラスイッチ100との間のデータの送受信を中継する。uplink部280は、インフラスイッチ100のポートとのデータの送受信を行う。downlink部290は、端末310に接続される。IP電話機能部220は、IP電話機能を実現する。
【0029】
近年、IP電話が一般化しつつある。これは、IP電話端末を各ユーザ又は各ユーザの机に配布し、企業網にてIP交換機を運用する形態となる。IP電話端末はイーサネット(登録商標)などによってケーブリングされ、SIPなどIPネットワーク上で、呼制御およびメディア転送を行うことで電話機能を実現する。
【0030】
使用者がIP電話端末の使用を開始する際には、IP電話端末に対して、SIPアドレス登録を行う必要がある。使用者は、IP電話端末に対して、ユーザID又はパスワード入力等を行う。これにより、使用者のSIPアドレスと、IP電話端末のSIPアドレスとが対応づけられる。SIPアドレス登録は、使用者宛の着信呼を正しく受信するために必要である。SIPアドレス登録は、また、発呼者を正しく識別するために必要である。SIPアドレス登録は、また、使用者毎のIP電話端末の拡張機能、例えば、短縮ダイヤル等の設定を行うために必要である。
【0031】
オフィス向けIP電話端末製品は、デスクまわりのケーブリングを容易にするため、アップリンクとダウンリンクを備えるスイッチ部品を内蔵するものが多い。企業網の上流に対してIP電話端末製品のアップリンクを接続し、IP電話端末製品のダウンリンクに、通常のPCなどを接続する。この接続形態では、一人のユーザの机に対して、企業網の一つのポートを割り当てることで、そのユーザに必要な一台のIP電話端末と、PCの両方を使用することができる。
【0032】
図4は、本発明の実施の形態に係るネットワークの構成を説明する図である。図4のネットワークは、企業ネットワーク800を介して、SIPサーバ600、認証サーバ900、電話端末型スイッチ装置200a及び200bが接続される。電話端末型スイッチ装置200aには、端末310aが接続され、電話端末型スイッチ装置200bには、端末310b及び端末310cが接続される。
【0033】
企業ネットワーク800は、例えば、オフィスのネットワークインフラの一部として運用される基幹ネットワーク装置群である。電話端末型スイッチ装置200a及び200bは、それぞれ、使用者毎の机上に設置されるIEEE802.1X Authenticator対応のスイッチである。電話端末型スイッチ装置200a及び200bは、電話機と同様の入出力手段を有する。この入出力手段により、使用者のユーザ名又はパスワード等の使用者識別情報の入力を受け付ける。電話端末型スイッチ装置200は、また、使用者識別情報を用いて企業ネットワーク800を介してSIPサーバ600と通信し、使用者の認証を行う。
【0034】
SIPサーバ600は、企業ネットワーク800を介して、電話端末型スイッチ装置200a及び200bと通信し、電話端末型スイッチ装置200a及び200bを使用する使用者の認証を行う。SIPサーバ600は、また、実際の認証データを参照するために、企業ネットワーク800を介して、認証サーバ900と認証データの交換を行ってよい。なお、SIPサーバ600は、使用者の認証が完了した際、新たにSS情報を生成し、電話端末型スイッチ装置200aに対して、SS情報と802.1X 設定情報とを通知する。SIPサーバ600は、また、認証サーバ900に対して、SS情報を通知する。
【0035】
端末310aないし310cは、IEEE802.1X Supplicant対応の機器である。具体的にはPCやPDAなどであり、一人の使用者が複数の端末を使用することもある。電話端末型スイッチ装置200a又は200bにより、企業ネットワーク800に接続される。端末310aないし310cは、接続に際して、電話型スイッチ装置200a又は200bと、認証サーバ900と、の三者間でIEEE802.1Xプロトコルを実行する。
【0036】
認証サーバ900は、IEEE802.1X Authentication Server対応の認証サーバである。企業ネットワーク800を介して、電話端末型スイッチ装置200a又は200b、SIPサーバ600等と接続される。
【0037】
以下、図5から図7までを用い、電話端末型スイッチ装置200、認証サーバ900、及び、SIPサーバ600の構成について、それぞれ詳細に述べる。
【0038】
図5は、電話端末型スイッチ装置200の機能構成を説明する図である。電話端末型スイッチ装置200は、第一の認証クライアント部420、第二の通信部410、第二の認証設定部421、制御部429、端末通信部490、企業ネットワーク通信部480、入力インタフェース部(以下、「入力I/F部」という。)451、及び、出力インタフェース部(以下、「出力I/F部」という。)452を有する。
【0039】
第一の認証クライアント部420は、電話端末型スイッチ装置200を使用する使用者を、SIPにより認証するクライアント機能を提供する。第一の認証クライアント部420は、企業ネットワーク通信部480により、企業ネットワーク800を介して、SIPサーバとの間で通信を行う。これにより、使用者認証処理が実行される。
【0040】
入力I/F部451は、使用者が電話端末型スイッチ装置200に対して、ユーザ名およびパスワードを入力する際に使用するものである。入力I/F部451は、テンキーやキーボードとして構成されてもよく、マイク等の音声入力I/Fとして構成されてもよい。
【0041】
出力I/F部452は、使用者が電話端末型スイッチ装置200に対して入力した、ユーザ名およびパスワード等を確認する際に供せられる。出力I/F部452は、また、認証の結果を確認する際に使用される。出力I/F部452は、例えば、LCDなどのディスプレイや、スピーカー等である。
【0042】
第一の認証クライアント部420、入力I/F部451、及び、出力I/F部452により、電話端末型スイッチ装置200が、使用者認証を行う。また、これら各部、IP電話端末がよく保持している。
【0043】
第二の認証設定部421は、使用者認証が成功した場合に、第二の認証中継部411に対して、IEEE802.1Xの設定を実施する。制御部429は、使用者認証の状況に応じて、スイッチ部412および第二の認証中継部411を制御する。より詳細には、スイッチ部412および第二の認証中継部411の機能の有効化及び無効化を決定する。
【0044】
第二の通信部410は、第二の認証中継部411とスイッチ部412とを有する。第二の認証中継部411は、IEEE802.1X Authenticatorの機能を提供する。第二の認証中継部411は、端末通信部490により、端末310とEAPOLプロトコルを用いて直接通信する。第二の認証中継部411は、また、企業ネットワーク通信部480により、企業ネットワーク800を介して、認証サーバ900との間でAAAプロトコルであるRADIUSプロトコルを用いて通信する。これにより、IEEE802.1X認証が実行される。
【0045】
スイッチ部412は、通常のIPパケットを物理ポート間でスイッチングする機能を提供する。スイッチ部412は、端末310に対するスイッチング機能を実現する。スイッチ部412は、IEEE802.1Xによって認証された端末に対してのみ、スイッチング機能が提供されるように制御される。
【0046】
端末通信部490は、端末を接続する物理ポートであるダウンリンクを制御する。企業ネットワーク通信部は、企業ネットワークに接続する物理ポートであるアップリンクを制御する。
【0047】
端末通信部490、企業ネットワーク通信部480、スイッチ部412、及び、第二の認証中継部411により、電話端末型スイッチ装置200が、通常のAuthenticator対応スイッチ機能を提供する。
【0048】
図6は、SIPサーバ600の機能構成を説明する図である。SIPサーバ600は、制御部610、第一の認証処理部620、認証サーバ通信部680、及び、電話端末型スイッチ装置通信部690を有する。
【0049】
第一の認証処理部620は、電話端末型スイッチ装置通信部690を介して、電話端末型スイッチ装置200の使用者認証を実行する。この使用者認証は、電話端末型スイッチ装置200における第一の認証クライアント部420との間での認証処理である。
電話端末型スイッチ装置通信部690は、企業ネットワーク800を介して、電話端末型スイッチ装置200と通信するインタフェースを制御する。
【0050】
第一の認証処理部620、及び、電話端末型スイッチ装置通信部690は、SIPサーバ600において、SIP対応機器の使用者認証を行うために用いられる。またこれらの各部は、通常のSIPサーバが保持する。なお、本実施の形態では、電話端末型スイッチ装置200が、SIP対応機器である。
【0051】
制御部610は、第一の認証処理が成功した場合に、認証に成功した電話端末スイッチ装置200が、IEEE802.1X Authenticator対応スイッチとして動作するために必要となる設定を、電話端末型スイッチ装置200と、認証サーバ900とに対して行う。
【0052】
制御部610は、第二の認証設定保持部612と、Shared Secret生成部611とを有する。第二の認証設定保持部612は、IEEE802.1X Authenticatorの機能を実現するために必要な設定情報を保持する。Shared Secret生成部611は、電話端末型スイッチ装置200に設定すべきSS情報を、電話端末型スイッチ装置200毎に認証に成功する毎に動的に生成する。
【0053】
より詳細には、制御部610は、電話端末型スイッチ装置200に対して、電話端末型スイッチ装置通信部690により、IEEE802.1X設定情報と動的に生成したShared Secretとを通知する。制御部610は、また、認証サーバ900に対しては、認証サーバ通信部680により、動的に生成したShared Secretを通知する。
【0054】
電話端末型スイッチ装置通信部690は、企業ネットワーク800を介して、電話端末型スイッチ装置200との間で通信するインタフェースを制御する。
【0055】
認証サーバ通信部680は、企業ネットワーク800を介して、認証サーバ900との間で通信するインタフェースを制御する。認証サーバ通信部680の物理的なインタフェースは、電話端末型スイッチ装置通信部690と同一でもよい。
【0056】
図7は、認証サーバ900の機能構成の例を説明する図である。認証サーバ900は、第二の認証処理部910、Shared Secret取得設定部920、及び、通信部990を有する。
【0057】
第二の認証処理部910は、IEEE802.1X Authentication Serverの機能を実現する。第二の認証処理部910は、通信部990により、企業ネットワーク800を介してAuthenticatorである電話端末型スイッチ装置200との間でAAAプロトコル(RADIUSプロトコル)を交換する。
【0058】
Shared Secret取得設定部920は、Authenticatorである電話端末型スイッチ装置200との間でセキュアに通信を行うために必要なShared Secretの情報を、通信部990により、企業ネットワーク800を介して、SIPサーバ600から受信する。Shared Secret取得設定部920は、Shared Secretを受信し、第二の認証処理部910に対して設定する。これにより、対象となるAuthenticatorである電話端末型スイッチ装置200との通信ができる。
【0059】
通信部990は、SIPサーバ600および電話端末型スイッチ装置200との間で通信を行うインタフェースを制御するものである。
【0060】
図8から図11は、本実施の形態に係る認証方法による認証処理を説明するフロー図と、その認証処理において交換されるメッセージの例を説明する図である。本実施の形態に係る認証方法には、以下の二つの認証シーケンスが含まれる。第一の認証は、電話端末型スイッチ装置200と、SIPサーバ600との間で実行される使用者認証である。一方、第二の認証は、端末310と、電話端末スイッチ装置200と、認証サーバ900との三者間で実行されるIEEE802.1X認証である。
【0061】
この二つの認証シーケンスに関する前提条件及び制約事項は、例えば以下の通りである。
1.使用者の机上には、電話端末型スイッチ装置200が設置されている。
2.電話端末型スイッチ装置200は、使用者が使用者認証、すなわち、ログインして第一の認証を行ってから使用するもの。
3.使用者が端末310を使用する際には、端末310から電話端末型スイッチ装置200により企業ネットワーク800に接続して使用する。
【0062】
4.企業ネットワーク800に接続して使用される端末310は、IEEE802.1X認証、すなわち本実施の形態における第二の認証を実行し、認証された端末310のみが接続許可される。
5.電話端末型スイッチ装置200は、使用者認証である第一の認証が成功している間に限り、IEEE802.1X Authenticator対応スイッチとして動作し、IEEE802.1X認証である第二の認証を実行する。
【0063】
6.使用者認証である第一の認証がなされていない電話端末型スイッチ装置200を介して、端末310を接続する場合、すなわち、IEEE802.1X認証である第二の認証を実行する場合には、その電話端末型スイッチ装置200は、IEEE802.1X Authenticator対応スイッチの機能が無効となっているため、接続および認証実行できない。
【0064】
7.使用者が電話端末型スイッチ装置200からログアウトする等して、使用者認証である第一の認証の期間が終了すると、その電話端末型スイッチ装置200は、IEEE802.1X Authenticator対応スイッチの機能を無効化する。したがって、その電話端末型スイッチ装置200を介してIEEE802.1X認証である第二の認証を行って接続されていた端末310は、企業ネットワーク800への接続を失うこととなる。
【0065】
図8は、電話端末型スイッチ装置200とSIPサーバ600との間で実行される使用者認証である第一の認証の例について説明するシーケンス図である。図8のシーケンスでは、電話端末型スイッチ装置200、SIPサーバ600、及び、認証サーバ900の間でメッセージが交換される。
【0066】
図8のシーケンスにおいて実行する使用者認証は、例えば、SIPプロトコルを使用したダイジェスト認証である。電話端末型スイッチ装置200がSIPクライアントであり、SIPサーバ600はSIPサーバである。SIPサーバ600には、予め使用者認証に必要な使用者のユーザ名およびパスワードが保持されている。
【0067】
図8のステップS101では、使用者が、電話端末型スイッチ装置200を使用して、使用者認証の実行開始を指示する。具体的には、使用者は、電話端末型スイッチ装置の入力I/F部451を用いて、使用者自身に割り当てられたユーザ名およびパスワードを電話端末型スイッチ装置200に対して入力する。使用者は、出力I/F部452により、入力した内容を確認してもよい。
【0068】
ステップS102では、電話端末型スイッチ装置200が有する第一の認証クライアント部420からSIPサーバ600に対し、ステップS101で入力されたユーザ名により、企業ネットワーク通信部480を介して、SIPサーバ600に対してSIPアドレス登録の要求を送信する。SIPアドレス登録の要求は、「SIP Register Request」である。SIPサーバ600は、第一の認証処理部620が、電話端末型スイッチ装置通信部690により、使用者のSIPアドレス登録の要求を受信する。
【0069】
ステップS103では、SIPサーバ600の第一の認証処理部620が、乱数を使用し、ダイジェスト認証のためのチャレンジ情報を生成する。
【0070】
ステップS104では、SIPサーバ600の第一の認証処理部620が電話端末型スイッチ装置200に対し、ステップS103で生成したチャレンジ情報を含めた応答を送信する。ここで送信される応答は、「401 Unauthorized」である。電話端末型スイッチ装置200は、第一の認証クライアント部420が、企業ネットワーク通信部480により、SIPサーバ600で生成されたチャレンジ情報を含む応答を受信する。
【0071】
ステップS105では、電話端末型スイッチ装置200の第一の認証クライアント部420が、使用者に入力されたパスワードを使用して、チャレンジ情報からレスポンス情報を計算する。
【0072】
ステップS106では、第一の認証クライアント部420からSIPサーバ600に対し、求めたレスポンス情報を含むSIPアドレス登録の要求が企業ネットワーク通信部480により送信される。ここで送信されるSIPアドレス登録の要求は「SIP Register Request」である。SIPサーバ600は、第一の認証処理部620が電話端末型スイッチ装置通信部690により、SIPアドレス登録要求を受信する。
【0073】
ステップS107では、SIPサーバ600の第一の認証処理部620が、SIPサーバ600が保持する、ステップS106で送信された要求に対応するユーザのパスワードと、SIPサーバ600が電話端末型スイッチ装置200に対して送信したチャレンジ情報と、から、電話端末型スイッチ装置200と同様にレスポンス情報を計算する。
【0074】
第一の認証処理部620は、第一の認証処理部620自身が計算して求めたレスポンス情報と、電話端末型スイッチ装置200から受信したSIPアドレス登録要求に含まれるレスポンス情報を比較する。第一の認証処理部620は、2つのレスポンス情報が一致していれば、認証成功とみなす。第一の認証処理部620は、認証成功の場合には、その要求が正しい使用者認証要求であるとし、SIPアドレス登録処理を実行する。
【0075】
ステップS107では、また、制御部610のShared Secret生成部611が、使用者認証が成功した電話端末型スイッチ装置に設定するSS情報を生成する。なお、SS情報の生成は、乱数、使用者認証時に使用したユーザ名、及び、電話端末型スイッチ装置200の識別情報、等を用いて行い、ユーザ毎及び電話端末型スイッチ装置毎に対して異なる値となることを保証し、さらに、認証実行毎に異なる値が生成されるようにする。
【0076】
ステップS107では、さらに、制御部610が、第一の認証処理部620に対して、上述のIEEE802.1XのAuthenticatorの設定情報とSS情報を通知する。第一の認証処理部620は、制御部610から、使用者認証が成功した電話端末型スイッチ装置200に設定するIEEE802.1XのAuthenticatorの設定情報を取得する。
【0077】
ステップS108では、SIPサーバ600の第一の認証処理部620から電話端末型スイッチ装置200に対し、使用者認証が成功し、SIPアドレス登録が完了したことを通知する成功応答を、電話端末型スイッチ装置通信部690により、送信する。この成功応答は、「200 OK」である。
【0078】
電話端末型スイッチ装置200では、第一の認証クライアント部420が、企業ネットワーク通信部480により、SIPサーバ600で生成された成功応答を受信する。第一の認証クライアント部420は、成功応答に含まれるIEEE802.1X Authenticatorの設定情報と、SS情報とを取得する。なお、第一の認証クライアント部420は、必要ならば、成功応答に含まれる情報を復号化した上でIEEE802.1X Authenticatorの設定情報と、SS情報とを取得してもよい。
【0079】
図9は、成功応答メッセージの例を示す図である。図9の成功応答には、IEEE802.1XのAuthenticatorの設定情報とSS情報とが含まれる。図9において、IEEE802.1XのAuthenticatorのための設定情報aには、以下の情報が含まれている。
【0080】
(1)プライマリ認証サーバのIPアドレスとポート
(2)セカンダリ認証サーバのIPアドレスとポート
(3)アカウンティング機能のオンオフ
(4)認証有効期限の設定
(5)Termination−Actionの設定(例えば、有効無効、タイムアウト時間、確認回数)
(6)SS情報
【0081】
なお、SS情報は、他の機器にその情報が洩れないようにするために、以下の(A)及び(B)のうちの何れか一の対応を行う。
(A)SS情報をそのまま送信するのではなく、対応するユーザのパスワード情報および別途生成した乱数情報などを使用して、SS情報を暗号化して送信する。
(B)電話端末型スイッチ装置200と、SIPサーバとの間で交換されるSIPメッセージを、TLSやIPsec等によって全て暗号化する。
【0082】
ステップS109では、第二の認証設定部421が、ステップS108で取得された情報を、第二の認証中継部411に設定する。ステップS109では、さらに、制御部429が、第二の認証中継部411およびスイッチ部412の機能を有効化する。ステップS109の処理により、電話端末型スイッチ装置200は、IEEE802.1X Authenticatorの機能が有効となる。
【0083】
また、ステップS109の時点では、さらに、SIPによる使用者認証が完了している。したがって電話端末型スイッチ装置200により、SIPサービス(例えば電話サービス)を提供してもよい。
【0084】
ステップS110では、SIPサーバ600の制御部610から認証サーバ900に対し、使用者認証が成功した電話端末型スイッチ装置200のIDと、電話端末型スイッチ装置に送信したSS情報とを、認証サーバ通信部680により認証サーバに通知する。電話端末型スイッチ装置200のIDとは、例えばIPアドレスである。なお、ステップS108及びステップS109の処理と、ステップS110の処理とは、非同期に行われてよい。
【0085】
なお、SIPサーバ600から認証サーバ900に対してそれらの情報を送信する際に、SS情報の漏洩を防ぐ必要がある。そこで、SIPサーバ600と認証サーバ900との間で予め共有している秘密情報を使ってShared Secretを暗号化してもよく、また、TLSやIPsecなどのセキュリティプロトコルによってデータ全てを暗号化してメッセージの交換等を行ってもよい。
【0086】
ステップS110の処理の後、認証サーバ900のShared Secret取得設定部920が、通信部990により、SIPサーバ600から送信された、使用者認証が成功した電話端末型スイッチ装置200のIDと電話端末型スイッチ装置200に送信したSS情報とを受信する。Shared Secret取得設定部920は、これらの情報により、第二の認証処理部910の設定を行う。
【0087】
図8に示す処理により、認証サーバ900は、IEEE802.1X Authentication Serverとして、IEEE802.1X Authenticatorである電話端末型スイッチ装置200と通信することができるようになり、IEEE802.1X認証の実行が可能となる。
【0088】
図10は、端末310、電話端末スイッチ装置200、及び、認証サーバ900の三者間で実行されるIEEE802.1X認証である第二の認証の処理の例を示すシーケンス図である。図10のシーケンスでは、端末310と、電話端末スイッチ装置200と、認証サーバ900との間で、データの送受信が行われる。図10のシーケンスにおいて実行する端末310の認証は、例えば、IEEE802.1Xを使用した認証であり、端末310はIEEE802.1X Supplicantに、電話端末型スイッチ装置200はIEEE802.1X Authenticatorに、認証サーバ900はIEEE802.1X Authentication Serverに、それぞれ対応する。
【0089】
図8及び図9において説明した第一の認証の結果、電話端末型スイッチ装置200のIEEE802.1X Authenticatorとしての設定、及び、認証サーバ900がIEEE802.1X Authentication Serverとして電話端末型スイッチ装置200と通信するためのShared Secret設定は完了している。
【0090】
図10の処理において、認証サーバ900には、端末310のIEEE802.1X認証に必要な認証情報が予め登録されている。なお、図10のシーケンスは、IEEE802.1Xとして標準化されている認証プロトコルのシーケンスと同一であるため、その概要のみを記述する。
【0091】
図10のステップS201では、端末310の使用者が、端末310に対し、IEEE802.1X認証の実行開始に必要な情報を入力する。入力される情報は、IEEE802.1Xとして設定されている認証アルゴリズムによって異なるが、例えばユーザ名とパスワードである。
【0092】
ステップS202では、端末310から電話端末型スイッチ装置200に対し、EAPoLプロトコルを利用して、認証に必要な情報を送信する。電話端末型スイッチ装置200は、端末通信部490により端末310から受信したEAPoLデータを、第二の認証中継部411で処理し、対応するRADIUSプロトコルに変換する。
【0093】
ステップS203では、電話端末型スイッチ装置200から認証サーバ900に対し、RADIUSプロトコルに変換された認証に必要な情報を、企業ネットワーク通信部480により、認証サーバ900に送信する。この際に、図8の第一の認証シーケンスで取得され設定された、IEEE802.1X Authenticatorの設定情報とSS情報とを使用する。
【0094】
認証サーバ900では、第二の認証処理部910が、通信部990により、RADIUSプロトコルを電話端末型スイッチ装置200から受信する。この際に、図8の第一の認証シーケンスにて取得され設定された、SS情報を使用する。
【0095】
ステップS204では、認証サーバ900の第二の認証処理部910から電話端末型スイッチ装置200に対し、通信部990により、RADIUS プロトコルを送信する。この際に、図8の第一の認証シーケンスにて取得され設定された、SS情報を使用する。
【0096】
電話端末型スイッチ装置200は、企業ネットワーク通信部480により、認証サーバ900からRADIUSプロトコルデータを受信する。この際に、第一の認証シーケンスにて取得設定された、IEEE802.1X Authenticatorの設定情報とSS情報とを使用する。
【0097】
ステップS205では、第二の認証中継部411が、ステップS204で受信したRADIUSプロトコルデータを処理し、対応するEAPoLプロトコルに変換する。
【0098】
ステップS206では、第二の認証中継部411から端末310に対し、ステップS205で変換されたEAPoLプロトコルデータが、端末通信部490により送信される。
ステップS207では、IEEE802.1Xプロトコルが完了していない場合に、ステップS202に戻り、処理を繰り返す。
【0099】
ステップS208では、認証が成功した後に、認証サーバ900から電話端末型スイッチ装置200に対し、RADIUSプロトコルを送信する。ここで送信されるRADIUSプロトコルは、「RADIUS ACCEPT」である。
【0100】
ステップS209では、ステップS208で受信した「RADIUS ACCEPT」に基づき、電話端末型スイッチ装置200の第二の認証中継部411が、対応する端末310の認証が成功したとし、対応する端末310が端末通信部490からスイッチ部412を経由して企業ネットワーク通信部480へと通信できるよう、スイッチ部412の設定を変更する。
【0101】
ステップS210では、第二の認証中継部411から端末310に対し、EAPoLデータを送信する。ここで送信されるEAPoLデータは、「EAP−Success」である。端末310は「EAP−Success」を受信することで、認証成功を識別する。なお、ステップS209とステップS210とは、非同期でもよい。
【0102】
図10に示すシーケンスにより、電話端末型スイッチ装置200に接続された端末310のIEEE802.1X認証が完了する。これにより、端末310は、電話端末型スイッチ装置200を介して企業ネットワーク800と通信可能となる。
【0103】
図11は、電話端末型スイッチ装置200とSIPサーバ600との間で使用者認証である第一の認証を終了させる処理を示すシーケンス図である。図11のシーケンスでは、電話端末型スイッチ装置200、SIPサーバ600、及び、認証サーバ900との間でデータの送受信が行われる。
【0104】
図11のステップS301では、使用者が、電話端末型スイッチ装置200に対し、使用者認証の終了、すなわち、ログアウトを指示する。具体的には、使用者は、電話端末型スイッチ装置200の入力I/F部451から、第一の認証クライアント部420に対するログアウト要求を入力する。
【0105】
ステップS302では、電話端末型スイッチ装置200における第一の認証クライアント部420からSIPサーバ600に対し、ステップS301で入力される使用者の指示に基づいて、企業ネットワーク通信部480を介して、SIPアドレス登録終了要求を送信する。ここで送信されるアドレス登録終了要求は、「SIP Register Request」である。SIPサーバ600の第一の認証処理部620は、使用者のSIPアドレス登録終了要求に基づいて、アドレス登録終了処理を実行する。
【0106】
ステップS303では、SIPサーバ600の第一の認証処理部620から電話端末型スイッチ装置通信部690により電話端末型スイッチ装置に対し、成功応答を送信する。ここで送信される成功応答は、「200 OK Response」である。電話端末型スイッチ装置200では、第一の認証クライアント部420が、企業ネットワーク通信部480を介して、SIPサーバ600からの成功応答を受信する。
【0107】
ステップS304では、電話端末型スイッチ装置200の制御部429が、第二の認証中継部411及びスイッチ部412の機能を無効化する。ステップS304では、また、第二の認証設定部421が、第二の認証中継部411が保持するSS情報の設定を消去する。
【0108】
ステップS304までの処理により、電話端末型スイッチ装置200は、IEEE802.1X Authenticator及びスイッチ装置の動作を終了する。
【0109】
ステップS305では、SIPサーバ600の制御部610から認証サーバ900に対し、電話端末型スイッチ装置200の使用者認証の終了と、使用者認証が終了した電話端末型スイッチ装置200のIDと、を、認証サーバ通信部680により通知する。電話端末型スイッチ装置200のIDは、例えばIPアドレスである。なお、ステップS305の処理は、ステップS303において、SIPサーバ600の第一の認証処理部620から認証サーバ900に対し、SIPアドレス登録終了処理が完了したことを電話端末型スイッチ装置200に通知する処理と非同期に行われてよい。
【0110】
認証サーバ900は、SIPサーバから受信する通知を、Shared Secret取得設定部920が識別する。Shared Secret取得設定部920は、第二の認証処理部910に対して、対応する電話端末型スイッチ装置のSS情報を消去させる。
【0111】
図11の処理により、電話端末型スイッチ装置200と認証サーバ900との何れからもSS情報が消去される。認証に基づく通信の終了後、ログアウトの指示に基づいてSS情報を消去することにより、電話端末型スイッチ装置200からSS情報が盗まれて悪用される等の脅威を低減することができる。
【0112】
次に、本実施の形態にかかるIP電話端末のハードウェア構成について図12を用いて説明する。図12は、本実施の形態にかかるIP電話端末のハードウェア構成を示す説明図である。
【0113】
本実施の形態にかかるIP電話端末は、CPU(Central Processing Unit)51などの制御装置と、ROM(Read Only Memory)52やRAM(Random Access Memory)53などの記憶装置と、ネットワークに接続して通信を行う通信I/F54と、各部を接続するバス61を備えている。
【0114】
本実施の形態にかかるIP電話端末で実行されるプログラムは、ROM52等に予め組み込まれて提供される。
【0115】
本実施の形態にかかるIP電話端末で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM(Compact Disk Read Only Memory)、フレキシブルディスク(FD)、CD−R(Compact Disk Recordable)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録して提供するように構成してもよい。
【0116】
さらに、本実施の形態にかかるIP電話端末で実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、本実施の形態にかかるIP電話端末で実行されるプログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。
【0117】
本実施の形態にかかるIP電話端末で実行されるプログラムは、上述した各部(第一の認証クライアント部420、第二の通信部410、第二の認証設定部421、及び、制御部429等)を含むモジュール構成となっており、実際のハードウェアとしてはCPU51が上記ROM52からプログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、各部が主記憶装置上に生成されるようになっている。
【0118】
本実施の形態では、使用者認証である第一の認証として、SIPを使ったダイジェスト認証を用いて説明した。しかし、第一の認証はSIPに限定されるものではない。例えば、PANA(Protocol for carrying Authentication for Network Access)など、その他の認証方法を使用してもよい。
【0119】
また本実施の形態では、端末310の接続認証である第二の認証として、IEEE802.1Xを用いて説明した。しかし、第二の認証はIEEE802.1Xに限定されるものではない。例えば、PANAなど、その他の認証方法を使用してもよい。
【0120】
なお、本実施の形態では、次の前提を置いている。使用者認証がなされていない電話端末型スイッチ装置200を介して、端末310を企業ネットワーク800に接続する場合、IEEE802.1X認証の実行が試行される。しかしながら、その電話端末型スイッチ装置では、IEEE802.1X Authenticator対応スイッチの機能が無効となっているため、接続および認証を実行できない。
【0121】
ところで、電話端末型スイッチ装置200は、出力I/F部452を備えている。そこで、使用者が、使用者認証がなされていない電話端末型スイッチ装置200を介して、端末を接続する場合、電話端末機能の一部である出力I/F部452により、使用者に対して、使用者認証の実行を促す画面又は音声等を出力してもよい。なお、出力I/F部452は、例えば、LCDなどのディスプレイあるいはスピーカー等として構成されるとよい。
【0122】
また、本実施の形態では、次の前提を置いている。使用者が電話端末型スイッチ装置200からログアウトする等して、使用者認証期間が終了すると、その電話端末型スイッチ装置200は、IEEE802.1X Authenticator対応スイッチの機能を無効化する。したがって、その電話端末型スイッチ装置200を介してIEEE802.1X認証を行って接続されていた端末310は、企業ネットワーク800に対する接続を失う。
【0123】
ところで、電話端末型スイッチ装置200は、出力I/F部452を備えている。そこで、端末310による通信の実行中に、使用者が、使用者認証を終了させようとする場合に、電話端末機能の一部である出力I/F部452により、使用者に対して、「端末が通信中であるため、使用者認証を終了させると端末の通信が失敗する」旨の警告を出す画面又は音声を出力してもよい。
【0124】
以上、発明を実施するための最良の形態について説明を行ったが、本発明は、この最良の形態で述べた実施の形態に限定されるものではない。本発明の主旨をそこなわない範囲で変更することが可能である。
【図面の簡単な説明】
【0125】
【図1】スイッチ装置が設置されるオフィスの構成の概略。
【図2】オフィス向けIP電話の接続形態例(その1)。
【図3】オフィス向けIP電話の接続形態例(その2)。
【図4】本発明の実施の形態に係るネットワークの構成。
【図5】電話端末型スイッチ装置200の機能構成。
【図6】SIPサーバ600の機能構成。
【図7】認証サーバ900の機能構成。
【図8】第一の認証の例について説明するシーケンス図。
【図9】成功応答メッセージの例。
【図10】第二の認証の処理の例を示すシーケンス図。
【図11】第一の認証を終了させる処理を示すシーケンス図。
【図12】IP電話端末のハードウェア構成。
【符号の説明】
【0126】
10 ラック
50、50a、50b、50c、50d デスク
61 バス
100 インフラスイッチ
200、200a、200b、200c、200d 電話端末型スイッチ装置
210、210a、210b、210c スイッチ部
220、220a、220b、220c IP電話機能部
280 uplink部
290 downlink部
310、310a、310b、310c、310d 端末
320a、320b、320c、320c 端末
330d 携帯端末
410 第二の通信部
411 第二の認証中継部
412 スイッチ部
420 第一の認証クライアント部
421 第二の認証設定部
429 制御部
451 入力I/F部
452 出力I/F部
480 企業ネットワーク通信部
490 端末通信部
600 SIPサーバ
610 制御部
611 Shared Secret生成部
612 第二の認証設定保持部
620 第一の認証処理部
680 認証サーバ通信部
690 電話端末型スイッチ装置通信部
800 企業ネットワーク
900 認証サーバ
910 第二の認証処理部
920 Shared Secret取得設定部
990 通信部
【特許請求の範囲】
【請求項1】
スイッチ装置であって、
当該スイッチ装置の使用者認証を行う使用者認証サーバに対し使用者認証を要求し、要求した前記使用者認証が成功の場合に、前記使用者認証サーバから、前記使用者認証の成功の情報と、当該スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して端末認証を中継する際の設定情報と、を受信する認証クライアント部と、
端末認証を中継する認証中継部に対し、前記設定情報を設定する認証設定部と、
前記認証中継部に前記設定情報を設定した場合に、前記認証中継部に対し、端末認証の中継を許可する制御部と、
を有することを特徴とするスイッチ装置。
【請求項2】
前記制御部により端末認証の中継が許可された場合に、前記端末の端末認証を中継する認証中継部を有することを特徴とする請求項1記載のスイッチ装置。
【請求項3】
前記制御部は、さらに、前記スイッチ装置に接続される端末の通信を中継するスイッチ部に対し、前記端末認証が成功した端末への通信の中継を許可することを特徴とする請求項1又は2記載のスイッチ装置。
【請求項4】
前記使用者認証の成功と前記端末認証の成功とによる前記端末の通信中に、前記使用者認証の終了が指示される場合に、
前記制御部は、前記端末認証を終了し、前記スイッチ部に前記端末への通信の中継を終了させることを特徴とする請求項3記載のスイッチ装置。
【請求項5】
前記使用者認証の成功と前記端末認証の成功とによる前記端末の通信中に、前記使用者認証の終了が指示される場合に、該使用者認証が終了することおよび前記端末の通信中継が終了することを通知する画面を生成する画面生成手段を有する請求項1ないし4何れか一項に記載のスイッチ装置。
【請求項6】
前記使用者認証が成功せず、かつ、前記端末認証が要求される場合に、前記使用者認証の実行を促す画面を生成する画面生成手段を有することを特徴とする請求項1ないし5何れか一項に記載のスイッチ装置。
【請求項7】
前記使用者認証は、前記スイッチ装置の使用者識別情報に基づいて行われることを特徴とする請求項1ないし6何れか一項に記載のスイッチ装置。
【請求項8】
前記使用者認証に基づく電話通信を行う電話通信部と、
前記電話通信部による電話通信の入力インタフェース部と、
前記電話通信部による電話通信の出力インタフェース部と、
を有することを特徴とする請求項1ないし7何れか一項に記載のスイッチ装置。
【請求項9】
前記使用者認証は、SIP(Session Initiation Protocol)又はPANA(Protocol for carrying Authentication for Network Access)であることを特徴とする請求項1ないし8何れか一項に記載のスイッチ装置。
【請求項10】
前記端末認証は、IEEE802.1X又はPANA(Protocol for carrying Authentication for Network Access)であることを特徴とする請求項1ないし8何れか一項に記載のスイッチ装置。
【請求項11】
スイッチ装置の使用者認証を行う認証サーバであって、
使用者認証の要求を受け付け、受け付けた前記使用者認証が成功の場合に、前記スイッチ装置に対して、前記使用者認証の成功の情報と、前記スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して前記端末認証を中継する際の設定情報と、を送信する、認証処理部と、
前記設定情報を生成し、さらに、前記端末認証サーバに対して前記設定情報による前記端末認証の設定を要求する制御部と、
を有することを特徴とする認証サーバ。
【請求項12】
前記制御部は、さらに、前記設定情報を保持する設定情報保持部を有することを特徴とする請求項11記載の認証サーバ。
【請求項13】
スイッチ装置と前記スイッチ装置の使用者認証を行う使用者認証サーバと、が接続された認証システムであって、
前記スイッチ装置は、
前記使用者認証サーバに対し使用者認証を要求し、要求した前記使用者認証が成功の場合に、前記使用者認証サーバから、前記使用者認証の成功の情報と、当該スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して端末認証を中継する際の設定情報と、を受信する認証クライアント部と、
端末認証を中継する認証中継部に対し、前記設定情報を設定する認証設定部と、
前記認証中継部に前記設定情報を設定した場合に、前記認証中継部に対し、端末認証の中継を許可する制御部と、
を有し、
前記使用者認証サーバは、
使用者認証の要求を受け付け、受け付けた前記使用者認証が成功の場合に、前記スイッチ装置に対して、前記使用者認証の成功の情報と、前記設定情報と、を送信する、認証処理部と、
前記設定情報を生成し、さらに、前記端末認証サーバに対して前記設定情報による前記端末認証の設定を要求する制御部と、
を有することを特徴とする認証システム。
【請求項14】
スイッチ装置における認証方法であって、
当該スイッチ装置の使用者認証を行う使用者認証サーバに対し前記使用者認証を要求する要求ステップと、
前記使用者認証が成功の場合に、前記使用者認証サーバから、前記使用者認証の成功の情報と、当該スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して前記端末認証を中継する際の設定情報と、を受信する受信ステップと、
端末認証を中継する認証中継部に対し、前記設定情報を設定する認証設定ステップと、
前記認証中継部に前記設定情報を設定した場合に、前記認証中継部に対し、端末認証の中継を許可する許可ステップと、
を有することを特徴とする認証方法。
【請求項15】
スイッチ装置の使用者認証を行う認証サーバにおける認証方法であって、
前記使用者認証の要求を受け付ける受け付けステップと、
受け付けた前記使用者認証が成功の場合に、前記スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して前記端末認証を中継する際の設定情報を生成する生成ステップと、
前記使用者認証が成功の場合に、前記スイッチ装置に対して、前記使用者認証の成功の情報と、前記設定情報と、を送信する送信ステップと、
前記端末認証サーバに対して前記設定情報による前記端末認証の設定を要求する要求ステップと、
を有することを特徴とする認証方法。
【請求項16】
スイッチ装置と前記スイッチ装置の使用者認証を行う使用者認証サーバと、が接続された認証システムにおける認証方法であって、
前記スイッチ装置が、
当該スイッチ装置の使用者認証を行う使用者認証サーバに対し使用者認証を要求する使用者認証要求ステップと、
要求した前記使用者認証が成功の場合に、前記使用者認証サーバから、前記使用者認証の成功の情報と、当該スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して前記端末認証を中継する際の設定情報と、を受信する受信ステップと、
端末認証を中継する認証中継部に対し、前記設定情報を設定する認証設定ステップと、
前記認証中継部に端末認証の中継の設定が行われた場合に、前記認証中継部に対し、端末認証の中継を許可する許可ステップと、
前記使用者認証サーバが、
前記使用者認証の要求を受け付ける受け付けステップと、
受け付けた前記使用者認証が成功の場合に、前記スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して前記端末認証を中継する際の設定情報を生成する生成ステップと、
前記使用者認証が成功の場合に、前記スイッチ装置に対して、前記使用者認証の成功の情報と、前記設定情報と、を送信する送信ステップと、
前記端末認証サーバに対して前記設定情報による前記端末認証の設定を要求する設定要求ステップと、
を有することを特徴とする認証方法。
【請求項17】
コンピュータに、スイッチ装置の認証方法を実行させるためのプログラムであって、
当該スイッチ装置の使用者認証を行う使用者認証サーバに対し使用者認証を要求する要求ステップと、
要求した前記使用者認証が成功の場合に、前記使用者認証サーバから、前記使用者認証の成功の情報と、当該スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して端末認証を中継する際の設定情報と、を受信する受信ステップと、
端末認証を中継する認証中継部に対し、前記設定情報を設定する認証設定ステップと、
前記認証中継部に前記設定情報を設定した場合に、前記認証中継部に対し、端末認証の中継を許可する許可ステップと、
を有する認証方法を前記コンピュータに実行させるためのプログラム。
【請求項1】
スイッチ装置であって、
当該スイッチ装置の使用者認証を行う使用者認証サーバに対し使用者認証を要求し、要求した前記使用者認証が成功の場合に、前記使用者認証サーバから、前記使用者認証の成功の情報と、当該スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して端末認証を中継する際の設定情報と、を受信する認証クライアント部と、
端末認証を中継する認証中継部に対し、前記設定情報を設定する認証設定部と、
前記認証中継部に前記設定情報を設定した場合に、前記認証中継部に対し、端末認証の中継を許可する制御部と、
を有することを特徴とするスイッチ装置。
【請求項2】
前記制御部により端末認証の中継が許可された場合に、前記端末の端末認証を中継する認証中継部を有することを特徴とする請求項1記載のスイッチ装置。
【請求項3】
前記制御部は、さらに、前記スイッチ装置に接続される端末の通信を中継するスイッチ部に対し、前記端末認証が成功した端末への通信の中継を許可することを特徴とする請求項1又は2記載のスイッチ装置。
【請求項4】
前記使用者認証の成功と前記端末認証の成功とによる前記端末の通信中に、前記使用者認証の終了が指示される場合に、
前記制御部は、前記端末認証を終了し、前記スイッチ部に前記端末への通信の中継を終了させることを特徴とする請求項3記載のスイッチ装置。
【請求項5】
前記使用者認証の成功と前記端末認証の成功とによる前記端末の通信中に、前記使用者認証の終了が指示される場合に、該使用者認証が終了することおよび前記端末の通信中継が終了することを通知する画面を生成する画面生成手段を有する請求項1ないし4何れか一項に記載のスイッチ装置。
【請求項6】
前記使用者認証が成功せず、かつ、前記端末認証が要求される場合に、前記使用者認証の実行を促す画面を生成する画面生成手段を有することを特徴とする請求項1ないし5何れか一項に記載のスイッチ装置。
【請求項7】
前記使用者認証は、前記スイッチ装置の使用者識別情報に基づいて行われることを特徴とする請求項1ないし6何れか一項に記載のスイッチ装置。
【請求項8】
前記使用者認証に基づく電話通信を行う電話通信部と、
前記電話通信部による電話通信の入力インタフェース部と、
前記電話通信部による電話通信の出力インタフェース部と、
を有することを特徴とする請求項1ないし7何れか一項に記載のスイッチ装置。
【請求項9】
前記使用者認証は、SIP(Session Initiation Protocol)又はPANA(Protocol for carrying Authentication for Network Access)であることを特徴とする請求項1ないし8何れか一項に記載のスイッチ装置。
【請求項10】
前記端末認証は、IEEE802.1X又はPANA(Protocol for carrying Authentication for Network Access)であることを特徴とする請求項1ないし8何れか一項に記載のスイッチ装置。
【請求項11】
スイッチ装置の使用者認証を行う認証サーバであって、
使用者認証の要求を受け付け、受け付けた前記使用者認証が成功の場合に、前記スイッチ装置に対して、前記使用者認証の成功の情報と、前記スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して前記端末認証を中継する際の設定情報と、を送信する、認証処理部と、
前記設定情報を生成し、さらに、前記端末認証サーバに対して前記設定情報による前記端末認証の設定を要求する制御部と、
を有することを特徴とする認証サーバ。
【請求項12】
前記制御部は、さらに、前記設定情報を保持する設定情報保持部を有することを特徴とする請求項11記載の認証サーバ。
【請求項13】
スイッチ装置と前記スイッチ装置の使用者認証を行う使用者認証サーバと、が接続された認証システムであって、
前記スイッチ装置は、
前記使用者認証サーバに対し使用者認証を要求し、要求した前記使用者認証が成功の場合に、前記使用者認証サーバから、前記使用者認証の成功の情報と、当該スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して端末認証を中継する際の設定情報と、を受信する認証クライアント部と、
端末認証を中継する認証中継部に対し、前記設定情報を設定する認証設定部と、
前記認証中継部に前記設定情報を設定した場合に、前記認証中継部に対し、端末認証の中継を許可する制御部と、
を有し、
前記使用者認証サーバは、
使用者認証の要求を受け付け、受け付けた前記使用者認証が成功の場合に、前記スイッチ装置に対して、前記使用者認証の成功の情報と、前記設定情報と、を送信する、認証処理部と、
前記設定情報を生成し、さらに、前記端末認証サーバに対して前記設定情報による前記端末認証の設定を要求する制御部と、
を有することを特徴とする認証システム。
【請求項14】
スイッチ装置における認証方法であって、
当該スイッチ装置の使用者認証を行う使用者認証サーバに対し前記使用者認証を要求する要求ステップと、
前記使用者認証が成功の場合に、前記使用者認証サーバから、前記使用者認証の成功の情報と、当該スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して前記端末認証を中継する際の設定情報と、を受信する受信ステップと、
端末認証を中継する認証中継部に対し、前記設定情報を設定する認証設定ステップと、
前記認証中継部に前記設定情報を設定した場合に、前記認証中継部に対し、端末認証の中継を許可する許可ステップと、
を有することを特徴とする認証方法。
【請求項15】
スイッチ装置の使用者認証を行う認証サーバにおける認証方法であって、
前記使用者認証の要求を受け付ける受け付けステップと、
受け付けた前記使用者認証が成功の場合に、前記スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して前記端末認証を中継する際の設定情報を生成する生成ステップと、
前記使用者認証が成功の場合に、前記スイッチ装置に対して、前記使用者認証の成功の情報と、前記設定情報と、を送信する送信ステップと、
前記端末認証サーバに対して前記設定情報による前記端末認証の設定を要求する要求ステップと、
を有することを特徴とする認証方法。
【請求項16】
スイッチ装置と前記スイッチ装置の使用者認証を行う使用者認証サーバと、が接続された認証システムにおける認証方法であって、
前記スイッチ装置が、
当該スイッチ装置の使用者認証を行う使用者認証サーバに対し使用者認証を要求する使用者認証要求ステップと、
要求した前記使用者認証が成功の場合に、前記使用者認証サーバから、前記使用者認証の成功の情報と、当該スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して前記端末認証を中継する際の設定情報と、を受信する受信ステップと、
端末認証を中継する認証中継部に対し、前記設定情報を設定する認証設定ステップと、
前記認証中継部に端末認証の中継の設定が行われた場合に、前記認証中継部に対し、端末認証の中継を許可する許可ステップと、
前記使用者認証サーバが、
前記使用者認証の要求を受け付ける受け付けステップと、
受け付けた前記使用者認証が成功の場合に、前記スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して前記端末認証を中継する際の設定情報を生成する生成ステップと、
前記使用者認証が成功の場合に、前記スイッチ装置に対して、前記使用者認証の成功の情報と、前記設定情報と、を送信する送信ステップと、
前記端末認証サーバに対して前記設定情報による前記端末認証の設定を要求する設定要求ステップと、
を有することを特徴とする認証方法。
【請求項17】
コンピュータに、スイッチ装置の認証方法を実行させるためのプログラムであって、
当該スイッチ装置の使用者認証を行う使用者認証サーバに対し使用者認証を要求する要求ステップと、
要求した前記使用者認証が成功の場合に、前記使用者認証サーバから、前記使用者認証の成功の情報と、当該スイッチ装置に接続される端末の端末認証を行う端末認証サーバに対して端末認証を中継する際の設定情報と、を受信する受信ステップと、
端末認証を中継する認証中継部に対し、前記設定情報を設定する認証設定ステップと、
前記認証中継部に前記設定情報を設定した場合に、前記認証中継部に対し、端末認証の中継を許可する許可ステップと、
を有する認証方法を前記コンピュータに実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2010−122763(P2010−122763A)
【公開日】平成22年6月3日(2010.6.3)
【国際特許分類】
【出願番号】特願2008−293819(P2008−293819)
【出願日】平成20年11月17日(2008.11.17)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ETHERNET
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成22年6月3日(2010.6.3)
【国際特許分類】
【出願日】平成20年11月17日(2008.11.17)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ETHERNET
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]