認証システム、方法、およびプログラム
【課題】レルムに依存することなく、また不要な処理負担を発生させることなく、異なる種類の認証要求装置やアクセス回線が収容される環境についても1つの認証システムで対応する。
【解決手段】種別判定部13により、認証要求装置20からの認証要求パケットから抽出した属性情報に基づいて、認証要求装置20の装置種別または/およびアクセス回線30の回線種別を判定し、この種別判定結果に基づいて、属性変換部15により、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を特定の統一記述形式へ変換し、この統一記述形式からなる属性情報に基づいて、認証処理部17により、ユーザ端末40に関する認証処理を行う。
【解決手段】種別判定部13により、認証要求装置20からの認証要求パケットから抽出した属性情報に基づいて、認証要求装置20の装置種別または/およびアクセス回線30の回線種別を判定し、この種別判定結果に基づいて、属性変換部15により、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を特定の統一記述形式へ変換し、この統一記述形式からなる属性情報に基づいて、認証処理部17により、ユーザ端末40に関する認証処理を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク通信技術に関し、特に通信サービス提供時にユーザを認証する認証技術に関する。
【背景技術】
【0002】
オフィス業務のIT化およびIPネットワークの普及に伴い、複数拠点に分散したオフィスシステムをIPネットワークで結合し、データ通信が行われている。この際、コスト低減のため、公衆IPネットワーク上に仮想プライベートネットワーク(VPN:Virtual Private Network)を構築するサービスが普及している。
【0003】
VPNに接続するには、認証要求装置から認証装置に対し、ユーザ情報等から構成される属性情報を含む認証要求メッセージを送受信して、ユーザ認証を行う必要がある。VPNサービスの普及に伴い、装置規模/機能/価格の異なる認証要求装置が複数の会社から複数種類発売されている。また、回線速度/品質/価格が異なるアクセス回線が複数種類販売されている。利用形態に応じてVPNを構築するため、これら複数種類の認証要求装置およびアクセス回線を組み合わせてVPNを構築する事例が増えている。
【0004】
認証要求装置から認証装置に送信される認証パケットは、要求内容を示す属性情報を含んでいる。認証要求装置の種別やアクセス回線種別により、同じ情報を示す属性情報であっても、属性情報の記述形式(フォーマット)が異なる場合があるため、認証装置は、それらの差分に対応した処理を行う必要がある。
上記の状況を踏まえ、認証要求装置種別およびアクセス回線種別により異なる情報の記述形式の違いに対応できる認証装置が求められている。
【0005】
従来の認証装置の1つであるSteel-Belted RADIUSシステム(非特許文献1など参照)は、認証要求パケット受信時および送信時に、レルム単位もしくは認証システム単位で、設定値もしくはデータベース値に基づき、認証パケットの属性情報の編集が可能なAttribute filter機能を持つ。
これらの機能により、属性情報の違いに対応した認証処理ロジックを追加することや、属性情報の値を予め決められた記述形式に変換することが可能である。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】Steel-Belted Radius Carrier Administration and Configuration Guide Release 7.2, http://www.juniper.net/techpubs/software/aaa_802/sbrc/sbrc72/bookpdfs/sw-sbrc-admin.pdf
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、このような従来技術では、属性情報の編集は、レルム単位もしくは認証システム単位で、事前に設定した値やデータベース値に基づき行われるため、受信した認証要求パケットの属性情報の値に基づいて編集内容を変更することはできない。このため、同一レルム内に、異なる種類の認証要求装置やアクセス回線種別が収容されており、認証要求パケットごとに属性情報の編集方法が異なる環境には適用できないという問題点があった。
【0008】
また、Attribute filter機能による属性情報の編集を実施できるのはパケット受信時および送信時に限られていることから、認証処理に必要な属性情報の変換はパケット受信時に一括して行う必要がある。このため、必ずしも変換処理が必要ではない認証パケットも処理対象となり、変換処理が不要な認証要求パケットを多数受信する環境では、不要な処理負荷が増大する可能性がある。
【0009】
本発明はこのような課題を解決するためのものであり、レルムに依存することなく、また不要な処理負担を発生させることなく、異なる種類の認証要求装置やアクセス回線が収容される環境についても1つの認証システムで対応できる認証技術を提供することを目的としている。
【課題を解決するための手段】
【0010】
このような目的を達成するために、本発明にかかる認証システムは、アクセス回線を介してユーザ端末と接続する認証要求装置からの認証要求パケットに応じて、当該ユーザ端末の認証処理を行う認証システムであって、認証要求パケットから認証処理に必要な1つ以上の属性情報を抽出するパケット処理部と、属性情報に基づいて、認証要求装置の装置種別または/およびアクセス回線の回線種別を判定する種別判定部と、種別判定結果に基づいて、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を特定の統一記述形式へ変換する属性変換部と、統一記述形式に変換された属性情報に基づいて、ユーザ端末に関する認証処理を行う認証処理部とを備えている。
【0011】
この際、種別判定部で、認証要求装置の送信元情報と当該認証要求装置の装置種別との組からなる装置種別判定ルールを参照し、パケット処理部で属性情報として抽出した当該認証要求装置の送信元情報と組をなす装置種別を、当該認証要求装置の装置種別として取得するようにしてもよい。
【0012】
また、種別判定部で、パケット処理部で抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、パケット処理部で属性情報として抽出した判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置の回線種別として取得するようにしてもよい。
【0013】
また、属性変換部で、認証要求装置の装置種別または/およびアクセス回線の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、種別判定部で得られた装置種別または/および回線種別と組をなす変換対象属性情報および変換式を取得し、パケット処理部で抽出した変換対象属性情報の値を当該変換式に基づいて統一記述形式へ変換するようにしてもよい。
【0014】
また、属性変換部で、種別判定結果に基づいて、認証処理結果を示す属性情報を個別記述形式へ逆変換し、パケット処理部で、逆変換された属性情報を含む認証応答パケットを作成して、認証要求装置へ送信するようにしてもよい。
【0015】
また、属性変換部で、認証要求装置の装置種別または/およびアクセス回線の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、種別判定部で得られた装置種別または/および回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて個別記述形式へ逆変換するようにしてもよい。
【0016】
また、認証処理部で、種別判定部で得られた装置種別または/および回線種別に基づいて、パケット処理部で抽出した属性情報について認証処理が可能か否か判断し、当該認証処理が不可能な場合には統一記述形式からなる属性情報を要求する統一情報要求を属性変換部に対して通知し、当該認証処理が可能な場合には個別記述形式からなる属性情報を要求する個別情報要求を属性変換部に対して通知し、属性変換部は、統一情報要求が通知された場合、パケット処理部で抽出した属性情報を統一記述形式への変換して認証処理部へ出力し、個別情報要求が通知された場合、パケット処理部で抽出した属性情報を個別記述形式のまま認証処理部へ出力するようにしてもよい。
【0017】
また、本発明にかかる認証方法は、アクセス回線を介してユーザ端末と接続する認証要求装置からの認証要求パケットに応じて、当該ユーザ端末の認証処理を行う認証システムで用いられる認証方法であって、パケット処理部が、認証要求パケットから認証処理に必要な1つ以上の属性情報を抽出するパケット処理ステップと、種別判定部が、属性情報に基づいて、認証要求装置の装置種別または/およびアクセス回線の回線種別を判定する種別判定ステップと、属性変換部が、種別判定結果に基づいて、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を特定の統一記述形式へ変換する属性変換ステップと、認証処理部が、統一記述形式に変換された属性情報に基づいて、ユーザ端末に関する認証処理を行う認証処理ステップとを備えている。
【0018】
この際、種別判定ステップで、認証要求装置の送信元情報と当該認証要求装置の装置種別との組からなる装置種別判定ルールを参照し、パケット処理ステップで属性情報として抽出した当該認証要求装置の送信元情報と組をなす装置種別を、当該認証要求装置の装置種別として取得するようにしてもよい。
【0019】
また、種別判定ステップで、パケット処理ステップで抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、パケット処理ステップで属性情報として抽出した判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置の回線種別として取得するようにしてもよい。
【0020】
また、属性変換ステップで、認証要求装置の装置種別または/およびアクセス回線の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、種別判定ステップで得られた装置種別または/および回線種別と組をなす変換対象属性情報および変換式を取得し、パケット処理ステップで抽出した変換対象属性情報の値を当該変換式に基づいて統一記述形式へ変換するようにしてもよい。
【0021】
また、属性変換ステップで、種別判定結果に基づいて、認証処理結果を示す属性情報を個別記述形式へ逆変換し、パケット処理ステップで、逆変換された属性情報を含む認証応答パケットを作成して、認証要求装置へ送信するようにしてもよい。
【0022】
また、属性変換ステップで、認証要求装置の装置種別または/およびアクセス回線の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、種別判定ステップで得られた装置種別または/および回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて個別記述形式へ逆変換するようにしてもよい。
【0023】
認証処理ステップで、種別判定ステップで得られた装置種別または/および回線種別に基づいて、パケット処理ステップで抽出した属性情報について認証処理が可能か否か判断し、当該認証処理が不可能な場合には統一記述形式からなる属性情報を要求する統一情報要求を属性変換ステップに対して通知し、当該認証処理が可能な場合には個別記述形式からなる属性情報を要求する個別情報要求を属性変換ステップに対して通知し、属性変換ステップで、統一情報要求が通知された場合、パケット処理ステップで抽出した属性情報を統一記述形式への変換して認証処理ステップへ出力し、個別情報要求が通知された場合、パケット処理ステップで抽出した属性情報を個別記述形式のまま認証処理ステップへ出力するようにしてもよい。
【0024】
また、本発明にかかるプログラムは、コンピュータを、前述した認証システムを構成する各部として機能させるためのプログラムである。
【発明の効果】
【0025】
本発明によれば、レルムに依存することなく、また不要な処理負担を発生させることなく、異なる種類の認証要求装置やアクセス回線が収容される環境についても、1つの認証システムで対応できる。
【図面の簡単な説明】
【0026】
【図1】第1の実施の形態にかかる認証システムの構成を示すブロック図である。
【図2】装置種別判定ルールの構成例である。
【図3】回線種別判定ルールの構成例である。
【図4】変換ルールの構成例である。
【図5】逆変換ルールの構成例である。
【図6】第1の実施の形態にかかる認証システムの動作を示すシーケンス図である。
【図7】第1の実施の形態にかかる装置種別判定処理を示すフローチャートである。
【図8】第1の実施の形態にかかる回線種別判定処理を示すフローチャートである。
【図9】種別判定例を示す説明図である。
【図10】第1の実施の形態にかかる属性変換処理を示すフローチャートである。
【図11】属性情報変換例を示す説明図である。
【図12】第1の実施の形態にかかる属性逆変換処理を示すフローチャートである。
【図13】属性情報逆変換例を示す説明図である。
【図14】第2の実施の形態にかかる認証システムの動作(属性変換要)を示すシーケンス図である。
【図15】第2の実施の形態にかかる認証システムの動作(属性変換不要)を示すシーケンス図である。
【発明を実施するための形態】
【0027】
次に、本発明の実施の形態について図面を参照して説明する。
[第1の実施の形態]
まず、図1を参照して、本発明の第1の実施の形態にかかる認証システムについて説明する。図1は、第1の実施の形態にかかる認証システムの構成を示すブロック図である。
【0028】
この認証システム10は、全体としてサーバ装置などの1つ以上の通信処理装置からなり、ユーザ端末40(41,42,43)に対してVPNなどの通信サービスを提供する際、アクセス回線30(31,32,33)を介してユーザ端末40と接続する認証要求装置20(21,22,23)からの認証要求パケットに応じて、当該ユーザ端末40に関する認証処理を行う機能を有している。なお、ユーザ端末40はユーザ端末41,42,43の総称や代表を指し、アクセス回線30はアクセス回線31,32,33の総称や代表を指し、認証要求装置20は認証要求装置21,22,23の総称や代表を指す。
【0029】
認証要求装置20は、全体としてサーバ装置、スイッチ、ルータなどの通信処理装置からなり、ユーザ端末40からの通信サービス要求を受け付けて、認証処理に必要な各種属性情報を含む認証要求パケットを認証システム10へ送信する機能と、認証システム10から受信した認証応答パケットに含まれる認証処理結果に応じて、ユーザ端末40への通信サービス提供のための通信経路確立処理を行う機能とを有している。
【0030】
ユーザ端末40は、全体としてパーソナルコンピュータや携帯端末などの通信端末装置からなり、通信サービス開始時にアクセス回線30を介して認証要求装置20へ接続し、認証処理に必要な各種属性情報を含む通信サービス要求パケットを送信する機能と、認証要求装置20からの通信サービス開始パケットの受信に応じて通信サービスを開始する機能とを有している。
【0031】
図1の接続形態において、認証システム10に対して3つの認証要求装置21,22,23が接続されている。これら認証要求装置21,22,23は、メーカや機種の違いに応じてそれぞれ個別の装置種別を有しており、これら装置種別ごとに、認証システム10へ送信する認証要求パケットに含まれる属性情報の記述形式が異なっている。図1の例では、認証要求装置21,22は装置種別Xを有し、認証要求装置23は装置種別Yを有しているものとする。
【0032】
また、これら認証要求装置21,22,23には、個別のアクセス回線31,32,33を介してユーザ端末41,42,43がそれぞれ1つずつ接続されている。これらアクセス回線31,32,33は、回線速度、通信品質、あるいは通信コストの違いに応じてそれぞれ固有の回線種別を有しており、これら回線種別ごとに、認証システム10へ送信する認証要求パケットに含まれる属性情報の記述形式が異なっている。図1の例では、アクセス回線31,33が回線種別αを有し、アクセス回線32が回線種別βを有しているものとする。
なお、認証システム10に対して接続される認証要求装置20の数、各認証要求装置20に対して接続されるユーザ端末40の数については、図1の例に限定されるものではない。
【0033】
本実施の形態では、認証システム10において、認証要求装置からの認証要求パケットから抽出した属性情報に基づいて、認証要求装置の装置種別または/およびアクセス回線の回線種別を判定し、この種別判定結果に基づいて、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を、特定の統一記述形式へ変換し、この統一記述形式からなる属性情報に基づいて、ユーザ端末に関する認証処理を行うようにしたものである。
【0034】
本発明において、装置種別とは、ユーザ端末からの認証要求を処理する機能は同一であるが、認証システムに対し送信する認証要求中の属性情報の記述形式が異なる装置を識別する値のことを指す。また、回線種別とは、ユーザ端末と認証要求装置の通信を中継する機能は同一であるが、回線識別子の記述形式等が異なる回線を識別する値のことを指す。これら装置種別または/および回線種別と個別記述形式の対応関係は、1対1だけでなく多対1の関係であってもよい。
【0035】
次に、図1を参照して、本実施の形態にかかる認証システム10の構成について詳細に説明する。
認証システム10には、主な機能部として、通信インターフェース部(以下、通信I/F部という)11、パケット処理部12、種別判定部13、判定ルールデータベース(以下、判定ルールDBという)14、属性変換部15、変換ルールデータベース(以下、変換ルールDBという)16、認証処理部17、記憶部18、およびユーザデータベース(以下、ユーザDBという)19が設けられており、内部バスを介して各種データを相互にやり取り可能に接続されている。
【0036】
通信I/F部11は、専用の通信回路部からなり、認証要求装置20(21,22,23)との間で認証要求パケットや認証応答パケットなどの各種パケットをやり取りすることにより、認証要求装置20との間でデータ通信を行う機能を有している。
【0037】
パケット処理部12は、通信I/F部11で受信した認証要求装置20からの認証要求パケットから認証処理に用いる属性情報を抽出する機能と、認証処理結果を示す属性情報に基づいて通信I/F部11から認証要求装置20へ送信する認証応答パケットを作成する機能とを有している。
【0038】
種別判定部13は、判定ルールDB14に格納されている判定ルールを参照して、パケット処理部12で抽出した属性情報に基づいて、認証要求パケットを送信した認証要求装置20の装置種別と、認証処理対象となるユーザ端末40が用いたアクセス回線30の回線種別を判定する機能を有している。装置種別と回線種別は、属性情報の変換に用いる変換ルールを特定するためのものである。このため、装置種別と回線種別のいずれか一方で変換ルールを特定できるのであれば、いずれか一方のみの種別を判定すればよく、変換ルールの特定に装置種別と回線種別の両方が必要な場合には、これら両方の種別を判定すればよい。
【0039】
判定ルールDB14は、ハードディスクや半導体メモリなどの記憶装置からなり、認証要求パケットの送信元となる認証要求装置20の装置種別を判定するための装置種別判定ルールと、認証処理対象となるユーザ端末40が用いたアクセス回線30の回線種別を判定するための回線種別判定ルールとを記憶する機能を有している。
【0040】
装置種別判定ルールは、認証要求装置20のIPアドレス、すなわち認証要求パケットの送信元アドレスと当該認証要求装置20の装置種別との組から構成されている。
図2は、装置種別判定ルールの構成例である。ここでは、送信元アドレス「10.0.0.1」の場合、認証要求装置20の識別種別は「X」であり、送信元アドレス「10.0.1.1」の場合、認証要求装置20の識別種別は「X」であり、送信元アドレス「10.0.2.1」の場合、認証要求装置20の識別種別は「Y」であることが登録されている。
【0041】
回線種別判定ルールは、属性情報に関する値型と当該アクセス回線の回線種別との組から構成されている。
図3は、回線種別判定ルールの構成例である。ここでは、属性情報Aの値型が「IPv4アドレス」の場合、アクセス回線30の回線種別は「α」であり、属性情報Bの値型が「IPv4アドレス」でかつ属性情報Cの値型が「整数」の場合、アクセス回線30の回線種別は「β」であり、属性情報Aの値型が「IPv6アドレス」の場合、アクセス回線30の回線種別は「α」であることが登録されている。なお、図3における「−」は、認証要求パケットに、対応する値型の属性情報と該当するものが含まれていないことを示している。
【0042】
属性変換部15は、種別判定部13での種別判定結果、すなわち認証要求装置20の装置種別または/およびアクセス回線30の回線種別に基づいて、変換ルールDB16に格納されている変換ルールのいずれかを特定する機能と、当該変換ルールを参照して変換の対象となる変換対象属性情報およびその変換式を取得する機能と、パケット処理部12で抽出した属性情報のうち変換対象属性情報の値を、当該変換式に基づいて、装置種別または/および回線種別ごとに個別の個別記述形式から、予め定めておいた特定の統一記述形式へ変換する機能とを有している。
【0043】
本実施の形態では、属性情報の変換方式として、文字列結合方式を用いる場合を例として説明する。
文字列結合方式は、変換対象となる属性情報に、元の属性情報の値型を示す文字列情報を結合する方式である。この文字列結合方式によれば、属性情報量が削減されないため、統一記述形式へ変換した属性情報に元の属性情報がそのまま含まれているため、認証用データベースに登録されている値と、そのまま比較して一致確認することができ、認証処理負担を削減できる。
【0044】
本実施の形態に適用可能な属性情報の変換方式としては、文字列結合方式以外の方式を用いてもよい。他の変換方式としてハッシング方式がある。ハッシング方式は、予め用意したハッシュ関数を用いて、変換対象となる属性情報のハッシュ値を算出し、当該属性情報をそのハッシュ値で置換する方式である。このハッシング方式によれば、変換後の文字長を一定とすることができ、認証処理の並列分散化が容易となるため、認証処理の高速化を実現できる。
【0045】
また、属性変換部15は、種別判定部13での種別判定結果、すなわち認証要求装置20の装置種別または/およびアクセス回線30の回線種別に基づいて、変換ルールDB16に格納されている逆変換ルールのいずれかを特定する機能と、当該逆変換ルールを参照して逆変換の対象となる逆変換対象属性情報、値型、および属性値を取得する機能と、種別判定部13で得られた認証処理結果を示す属性情報のうち逆変換対象属性情報を、当該値型および属性値に基づいて個別記述形式へ逆変換する機能とを有している。
【0046】
本実施の形態では、属性情報の逆変換方式として、値置換方式を用いる場合を例として説明する。
値置換方式は、逆変換対象となる統一記述形式の属性情報を、元の個別記述形式で用いられる任意の値型の属性情報へ置換する方式である。なお、個別記述形式の属性情報を統一記述形式の属性情報へ変換する変換方式と、統一記述形式の属性情報を個別記述形式の属性情報へ逆変換する変換方式とは、必ずしも同じ変換方式を用いる必要はない。例えば、変換方式としてハッシング方式を用いた場合でも、逆変換方式として他の変換方式を用いてもよい。
【0047】
変換ルールDB16は、ハードディスクや半導体メモリなどの記憶装置からなり、認証要求パケットからパケット処理部12で抽出した個別記述形式の属性情報を統一記述形式へ変換するための変換ルールと、認証処理部17で得られた認証処理結果を示す統一記述形式の属性情報を元の個別記述形式へ逆変換するための逆変換ルールとを記憶する機能を有している。
【0048】
変換ルールは、認証要求装置20の装置種別または/およびアクセス回線31の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組から構成されている。
図4は、変換ルールの構成例である。ここでは、装置種別が「X」で回線種別が「α」である場合、属性Aを「IPv4_[属性情報A]」という変換式で変換するルールが登録されている。この変換式は、元の属性情報Aの値を示す[属性情報A]の前に、元の属性情報Aの値型を示す「IPv4_」という文字列情報を結合するという変換式を示している。
【0049】
このほか、図4の例には、装置種別が「X」で回線種別が「β」である場合、属性情報Aを「IPv6_[属性情報A]」という変換式で変換するルール、装置種別が「Y」で回線種別が「α」である場合、属性情報Bおよび属性情報Cという複数の属性情報の値を文字列情報と結合して「IPv4_[属性情報B]_[属性情報C]」という変換式で変換するルール、装置種別が「Y」で回線種別が「β」である場合、属性情報の変換を行わないというルール、装置種別が「判定不能」で回線種別も「判定不能」である場合、属性情報の変換を行わないというルールがそれぞれ登録されている。なお、図4における「−」は、対応する変換対象や変換式が装置種別と回線種別との組に割り当てられていないことを示している。
【0050】
逆変換ルールは、認証要求装置20の装置種別または/およびアクセス回線31の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値との組から構成されている。
図5は、逆変換ルールの構成例である。ここでは、装置種別が「X」で回線種別が「α」である場合、属性情報Dの値「1」を値型が「文字列」の属性値「OK」に逆変換し、属性情報Dの値「0」を値型が「文字列」の属性値「NG」に逆変換するルールが登録されている。
【0051】
このほか、図5の例には、装置種別が「X」で回線種別が「β」である場合、属性情報Dを値型が「文字列」の属性値「OK」に逆変換するルール、装置種別が「Y」で回線種別が「α」である場合、属性情報Eを値型が「整数」の属性値「1」に逆変換するルール、装置種別が「Y」で回線種別が「β」である場合、属性情報の逆変換を行わないというルール、装置種別が「判定不能」で回線種別も「判定不能」である場合、属性情報の逆変換を行わないというルールがそれぞれ登録されている。なお、図5における「−」は、対応する逆変換対象、値型、さらには変換式が装置種別と回線種別との組に割り当てられていないことを示している。
【0052】
認証処理部17は、属性変換部15で得られた統一記述形式からなる属性情報に基づいて、例えばこの属性情報とユーザDB19に記憶されている、認証処理対象であるユーザやユーザ端末40の属性情報とを比較するなどにより、ユーザ端末40に関する認証処理を行う機能と、この認証処理に関する認証処理結果として統一記述形式からなる属性情報を出力する機能とを有している。
記憶部18は、ハードディスクや半導体メモリなどの記憶装置からなり、前述した各機能部で用いる処理情報やプログラムを記憶する機能を有している。
ユーザDB19は、ハードディスクや半導体メモリなどの記憶装置からなり、認証処理部17での認証処理に用いる個々のユーザやユーザ端末40の属性情報を含む認証用のデータを記憶する機能を有している。
【0053】
これら機能部のうち、パケット処理部12、種別判定部13、属性変換部15、および認証処理部17は、1つまたは複数の演算処理部により構成されている。演算処理部は、CPUなどのマイクロプロセッサとその周辺回路を有し、記憶部18から読み出したプログラムを実行することにより、各種処理部を実現する機能を有している。
【0054】
[第1の実施の形態の動作]
次に、図6を参照して、本実施の形態にかかる認証システム10の動作について説明する。図6は、第1の実施の形態にかかる認証システムの動作を示すシーケンス図である。
ここでは、認証要求装置20からの認証要求パケットに応じて、認証システム10により、当該認証要求パケットに含まれている個別記述形式の属性情報を統一記述形式へ変換した後、この統一記述形式の属性情報に対して認証処理を行い、得られた認証処理結果を示す統一記述形式の属性情報を元の個別記述形式の属性情報へ逆変換した後、認証応答パケットを作成して認証要求装置20へ送信する場合について説明する。
【0055】
認証システム10のパケット処理部12は、通信I/F部11を介して認証要求装置20からの認証要求パケットを受信した場合(ステップ100)、当該認証要求パケットから認証処理に必要な各種属性情報を抽出し(ステップ101)、抽出した属性情報を種別判定部13および属性変換部15へ渡す(ステップ102)。この属性情報は、認証要求装置20の装置種別やアクセス回線30の回線種別ごとに個別の個別記述形式で記述されている。
【0056】
各機能部間で属性情報や種別判定結果などの処理情報をやり取りする場合、内部バスを介して機能部間で、直接、送受信してもよく、記憶部18を介して間接的にやり取りしてもよい。特に、認証処理部17を複数備えて並列処理を行う場合には、属性情報や種別判定結果をパケット処理部12や種別判定部13から記憶部18内のバッファへ順次保存し、認証処理が終了している認証処理部17から、適宜、バッファ内の属性情報や種別判定結果を取得するようにしてもよい。
【0057】
種別判定部13は、パケット処理部12から属性情報を受け取って、判定ルールDB14に格納されている判定ルールを参照して、パケット処理部12で抽出した属性情報に基づいて、認証要求パケットを送信した認証要求装置20に関する装置種別と、認証処理対象となるユーザ端末40が用いたアクセス回線30に関する回線種別を判定する(ステップ103)。
種別判定部13は、このようにして装置種別と回線種別を判定した後、これら種別判定結果を属性変換部15へ渡す(ステップ104)。
【0058】
一方、属性変換部15は、パケット処理部12から個別記述形式の属性情報を受け取った後、属性変換部15から種別判定結果を受け取り、変換ルールDB16に格納されている変換ルールを参照して、パケット処理部12で抽出した属性情報のうち変換対象属性情報の値を、元の個別記述形式から統一記述形式へ変換し(ステップ110)、統一記述形式の属性情報を認証処理部17へ渡す(ステップ111)。
【0059】
認証処理部17は、属性変換部15から統一記述形式の属性情報を受け取って、この属性情報に基づき、属性情報とユーザDB19に記憶されている、認証処理対象であるユーザやユーザ端末40の属性情報とを比較するなどにより、ユーザ端末40に関する認証処理を行い(ステップ112)、この認証処理に関する認証処理結果として統一記述形式からなる属性情報を属性変換部15へ渡す(ステップ113)。なお、ステップ111とステップ113は、共に統一記述形式からなる属性情報であるが、ステップ111の属性情報は、認証要求パケットから抽出した属性情報を属性変換部15で変換したものであり、ステップ113の属性情報は、認証処理部17で生成したものである。
【0060】
属性変換部15は、認証処理部17から統一記述形式の属性情報を受け取った後、変換ルールDB16に格納されている逆変換ルールを参照して、認証処理部17から受け取った属性情報のうち逆変換対象属性情報の値を、統一記述形式から元の個別記述形式へ逆変換し(ステップ114)、個別記述形式の属性情報をパケット処理部12へ渡す(ステップ115)。
【0061】
パケット処理部12は、属性変換部15から受け取った個別記述形式の属性情報に基づいて、認証応答パケットを作成し(ステップ116)、通信I/F部11を介して認証要求装置20へ返送する(ステップ117)。
これにより、認証要求装置20では、認証応答パケットで通知された認証結果が認証OKの場合、ユーザ端末40への通信サービス提供のための通信経路確立処理を行い、認証エラーの場合、ユーザ端末40に対して通信サービスの提供ができない旨のエラーメッセージを通知する。
【0062】
[種別判定動作]
次に、本実施の形態にかかる認証システムの種別判定部13における種別判定動作について説明する。
まず、図7を参照して、種別判定部13での装置種別判定動作について説明する。図7は、第1の実施の形態にかかる装置種別判定処理を示すフローチャートである。ここでは、前述した図2の装置種別判定ルールに基づいて認証要求装置20の装置種別を判定する場合を例として説明する。
【0063】
種別判定部13は、パケット処理部12から個別記述形式の属性情報を受け取った場合、判定ルールDB14に格納されている装置種別判定ルールを参照して、装置種別判定動作を開始する。なお、図7の装置種別判定処理は、あくまでも前述した図2の装置種別判定ルールを用いる場合に適用される処理手順の一例であって、他の装置種別判定ルールを用いる場合には、他の処理手順が適用される。
【0064】
まず、種別判定部13は、パケット処理部12から個別記述形式の属性情報のうち、認証要求装置20のIPアドレス、すなわち送信元アドレスが、装置種別判定ルールのいずれかの組に存在するか確認する(ステップ130)。
ここで、送信元アドレスがいずれかの組に存在する場合(ステップ130:YES)、種別判定部13は、当該送信元アドレスと組をなす装置種別を取得し(ステップ131)、一連の装置種別判定処理を終了する。
【0065】
一方、送信元アドレスがいずれの組にも存在しない場合(ステップ130:NO)、種別判定部13は、装置種別判定不能と判断して、認証要求パケットの破棄などの異常処理を実行した後(ステップ132)、一連の装置種別判定処理を終了する。
【0066】
次に、図8を参照して、種別判定部13での回線種別判定動作について説明する。図8は、第1の実施の形態にかかる回線種別判定処理を示すフローチャートである。ここでは、前述した図3の回線種別判定ルールに基づいてアクセス回線30の回線種別を判定する場合を例として説明する。
【0067】
種別判定部13は、パケット処理部12から個別記述形式の属性情報を受け取った場合、判定ルールDB14に格納されている回線種別判定ルールを参照して、回線種別判定動作を開始する。前述した図3の回線種別判定ルールを用いる場合、図8の回線種別判定処理が実行される。なお、図8の回線種別判定処理は、あくまでも前述した図3の回線種別判定ルールを用いる場合に適用される処理手順の一例であって、他の回線種別判定ルールを用いる場合には、他の処理手順が適用される。
【0068】
まず、種別判定部13は、パケット処理部12から受け取った個別記述形式の属性情報に、属性情報Aが存在するか確認する(ステップ140)。パケット処理部12において、属性情報Aが認証要求パケットに含まれていない場合や、有効な値の属性情報Aが抽出できなかった場合、属性情報Aは属性情報として出力されない。
【0069】
受け取った属性情報に属性情報Aが存在する場合(ステップ140:YES)、受け取った属性情報Aの値型がIPv4アドレスまたはIPv6アドレスであるか確認する(ステップ141)。各値型については、それぞれの値型が取りうる数値範囲や文字・記号、さらにはこれら桁位置や桁数などの特徴に基づき確認すればよい。
【0070】
ここで、属性情報Aの値型がIPv4アドレスまたはIPv6アドレスである場合(ステップ141:YES)、種別判定部13は、アクセス回線30の回線種別を「α」と判定し(ステップ142)、一連の回線種別判定処理を終了する。
一方、属性情報Aの値型がIPv4アドレスまたはIPv6アドレス以外の場合(ステップ141:NO)、種別判定部13は、回線種別判定不能と判断して、認証要求パケットの破棄などの異常処理を実行した後(ステップ146)、一連の回線種別判定処理を終了する。
【0071】
また、ステップ140において、パケット処理部12から受け取った個別記述形式の属性情報に、属性情報Aが存在しない場合(ステップ140:NO)、種別判定部13は、受け取った属性情報に、値型がIPv4アドレスの属性情報Bが存在するか確認する(ステップ143)。
ここで、値型がIPv4アドレスの属性情報Bが存在する場合(ステップ143:YES)、種別判定部13は、受け取った属性情報に、値型が整数形式の属性情報Cが存在するか確認する(ステップ144)。
【0072】
ここで、値型が整数形式の属性情報Cが存在する場合(ステップ144:YES)、種別判定部13は、アクセス回線30の回線種別を「β」と判定し(ステップ145)、一連の回線種別判定処理を終了する。
一方、受け取った属性情報に、値型がIPv4アドレスの属性情報Bが存在しない場合(ステップ143:NO)、および値型が整数形式の属性情報Cが存在しない場合(ステップ144:NO)、種別判定部13は、回線種別判定不能と判断し(ステップ146)、一連の回線種別判定処理を終了する。
【0073】
図9は、種別判定例を示す説明図である。ここでは、前述した図7の装置種別判定処理および図8の回線種別判定処理に基づく種別判定結果が示されている。
例えば、送信元アドレスが「10.0.0.1」で、属性情報Aが「10.0.0.2」すなわち値型が「IPv4アドレス」の場合、装置種別が「X」で回線種別が「α」と判定される。また、送信元アドレスが「10.0.1.1」で、属性情報Aが存在せず、属性情報Bが「10.0.1.2」すなわち値型が「IPv4アドレス」で、属性情報Cが「12345678」すなわち値型が整数の場合、装置種別が「X」で回線種別が「β」と判定される。また、送信元アドレスが「10.0.2.1」で、属性情報Aが「2001::1」すなわち値型が「IPv6アドレス」の場合、装置種別が「Y」で回線種別が「α」と判定される。なお、図9における「−」は、認証要求パケットに、対応する値型の属性情報と該当するものが含まれていないことを示している。
【0074】
[属性変換動作]
次に、本実施の形態にかかる認証システムの種別判定部13における属性変換動作について説明する。
まず、図10を参照して、属性変換部15での属性変換動作について説明する。図10は、第1の実施の形態にかかる属性変換処理を示すフローチャートである。ここでは、前述した図4の変換ルールに基づいて、パケット処理部12から受け取った属性情報を、個別記述形式から統一記述形式へ変換する場合を例として説明する。
【0075】
属性変換部15は、種別判定部13から種別判定結果を受け取った場合、変換ルールDB16に格納されている変換ルールを参照して、属性変換動作を開始する。なお、図10の属性変換処理は、あくまでも前述した図4の変換ルールを用いる場合に適用される処理手順の一例であって、他の変換ルールを用いる場合には、他の処理手順が適用される。
【0076】
まず、属性変換部15は、種別判定部13から受け取った種別判定結果の装置種別と回線種別が、変換ルールに存在するか確認する(ステップ150)。
装置種別と回線種別が変換ルールのうちのいずれかの組に存在する場合(ステップ150:YES)、属性変換部15は、変換ルールのうち装置種別と回線種別が存在する組に変換対象の指定が存在するか確認する(ステップ151)。
【0077】
ここで、変換ルールのうち装置種別と回線種別が存在する組に変換対象の指定が存在する場合(ステップ151:YES)、属性変換部15は、当該組の変換式に基づいて、変換対象となる属性情報を個別記述形式から統一記述形式へ変換し(ステップ152)、一連の属性変換処理を終了する。
一方、装置種別と回線種別が変換ルールのうちのいずれかの組に存在しない場合(ステップ150:NO)、および変換ルールのうち装置種別と回線種別が存在する組に変換対象の指定が存在しない場合(ステップ151:NO)、属性変換部15は、属性情報変換不能と判断して、認証要求パケットの破棄などの異常処理を実行した後(ステップ153)、一連の属性変換処理を終了する。
【0078】
図11は、属性情報変換例を示す説明図である。ここでは、前述した図10の属性変換処理に基づく属性変換結果が示されている。
例えば、装置種別が「X」で回線種別が「α」と判定された図9のエントリ1の場合、属性情報Aが変換対象となり、元の個別記述形式の属性情報A値「10.0.0.2」が統一記述形式の「IPv4_10.0.0.2」に変換される。また、装置種別が「X」で回線種別が「β」と判定された図9のエントリ2の場合、属性情報Aが変換対象となり、元の個別記述形式の属性情報A値「2001::1」が統一記述形式の「IPv6_2001::1」に変換される。また、装置種別が「Y」で回線種別が「α」と判定された図9のエントリ3の場合、属性情報B,Cが変換対象となり、元の個別記述形式の属性情報B値「10.0.0.2」と属性情報C値「12345678」が統一記述形式の「IPv4_10.0.0.2_12345678」に変換される。
【0079】
次に、図12を参照して、属性変換部15での属性逆変換動作について説明する。図12は、第1の実施の形態にかかる属性逆変換処理を示すフローチャートである。ここでは、前述した図5の逆変換ルールに基づいて、認証処理部17から受け取った認証処理結果に関する属性情報を、統一記述形式から個別記述形式へ逆変換する場合を例として説明する。
【0080】
属性変換部15は、認証処理部17から認証処理結果に関する属性情報を受け取った場合、変換ルールDB16に格納されている逆変換ルールを参照して、属性逆変換動作を開始する。なお、図12の属性逆変換処理は、あくまでも前述した図5の逆変換ルールを用いる場合に適用される処理手順の一例であって、他の逆変換ルールを用いる場合には、他の処理手順が適用される。
【0081】
まず、属性変換部15は、認証処理部17から受け取った属性情報に対応する種別判定結果の装置種別と回線種別が、逆変換ルールに存在するか確認する(ステップ160)。
装置種別と回線種別が逆変換ルールのうちのいずれかの組に存在する場合(ステップ160:YES)、属性変換部15は、逆変換ルールのうち装置種別と回線種別が存在する組に逆変換対象の指定が存在するか確認する(ステップ161)。
【0082】
ここで、逆変換ルールのうち装置種別と回線種別が存在する組に逆変換対象の指定が存在する場合(ステップ161:YES)、属性変換部15は、逆変換対象となる属性情報を、統一記述形式から、当該組の値型からなる個別記述形式の属性値へ逆変換し(ステップ162)、一連の属性変換処理を終了する。
一方、装置種別と回線種別が逆変換ルールのうちのいずれかの組に存在しない場合(ステップ160:NO)、および逆変換ルールのうち装置種別と回線種別が存在する組に変換対象の指定が存在しない場合(ステップ161:NO)、属性変換部15は、属性情報逆変換不能と判断して、認証要求パケットの破棄などの異常処理を実行した後(ステップ163)、一連の属性変換処理を終了する。
【0083】
図13は、属性情報逆変換例を示す説明図である。ここでは、前述した図12の属性逆変換処理に基づく属性逆変換結果が示されている。
例えば、装置種別が「X」で回線種別が「α」と判定された図9のエントリ1の場合、属性情報Dが逆変換対象となり、統一記述形式の属性情報D値が「1」の場合には、文字列からなる個別記述形式の「OK」に変換され、統一記述形式の属性情報D値が「0」の場合には、値型が文字列からなる個別記述形式の「NG」に変換される。また、装置種別が「X」で回線種別が「β」と判定された図9のエントリ2の場合も同様である。また、装置種別が「Y」で回線種別が「α」と判定された図9のエントリ3の場合、属性情報Eが変換対象となり、値型が数値からなる個別記述形式の新たな属性情報Eとして「1」が追加される。
【0084】
[第1の実施の形態の効果]
このように、本実施の形態は、種別判定部13により、認証要求装置20からの認証要求パケットから抽出した属性情報に基づいて、認証要求装置20の装置種別または/およびアクセス回線30の回線種別を判定し、この種別判定結果に基づいて、属性変換部15により、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を特定の統一記述形式へ変換し、この統一記述形式からなる属性情報に基づいて、認証処理部17により、ユーザ端末40に関する認証処理を行う。
【0085】
したがって、レルムに依存せず、異なる種類の認証要求装置20やアクセス回線30が収容される環境であっても、1つの認証システム、さらには1種類の統一記述形式で認証処理する認証処理部で対応できる。このため、異なる種類の認証要求装置20やアクセス回線30をレルムに追加する場合でも、これらに対応する認証処理部17を追加する必要はなく、設備を柔軟かつ効率よく利用することが可能となる。
【0086】
また、装置種別または/および回線種別に応じて、認証要求パケットから抽出した属性情報に対する統一記述形式への変換要否を決定できることから、変換処理が必要ではない認証パケットについては変換処理の対象外とすることができ、全ての認証要求パケットを変換処理する場合と比較して、不要な処理負担の発生を抑制できる。このため、変換処理が不要な認証要求パケットを多数受信する環境では、変換処理に要する処理負荷を大幅に削減することができる。
【0087】
また、本実施の形態では、種別判定部13により、認証要求装置20のIPアドレスと当該認証要求装置20の装置種別との組からなる装置種別判定ルールを参照し、パケット処理部12で属性情報として抽出した当該認証要求装置20のIPアドレスと組をなす装置種別を、当該認証要求装置20の装置種別として取得するようにしたので、極めて簡素な処理で認証要求装置20の装置種別を精度よく判定することができる。
【0088】
また、本実施の形態では、種別判定部13により、パケット処理部12で抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、パケット処理部12で属性情報として抽出した判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置20の回線種別として取得するようにしたので、極めて簡素な処理で認証要求装置20の装置種別を精度よく判定することができる。
【0089】
また、本実施の形態では、属性変換部15により、認証要求装置20の装置種別または/およびアクセス回線30の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、種別判定部13で得られた装置種別または/および回線種別と組をなす変換対象属性情報および変換式を取得し、パケット処理部12で抽出した変換対象属性情報の値を当該変換式に基づいて統一記述形式へ変換するようにしたので、複雑な処理を必要とすることなく、装置種別または/および回線種別ごとに、任意の属性情報を統一記述形式へ変換することができる。
【0090】
また、本実施の形態では、属性変換部15により、種別判定部13での種別判定結果に基づいて、認証処理結果を示す属性情報を個別記述形式へ逆変換し、パケット処理部12により、逆変換された属性情報を含む認証応答パケットを作成して、認証要求装置20へ送信するようにしたので、レルムに依存せず、異なる種類の認証要求装置20やアクセス回線30が収容される環境であっても、装置種別または/および回線種別に対応した個別記述形式の属性情報を認証応答パケットで、認証要求装置20へ返送することができる。
【0091】
また、本実施の形態では、属性変換部15により、認証要求装置20の装置種別または/およびアクセス回線30の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、種別判定部13で得られた装置種別または/および回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて個別記述形式へ逆変換するようにしたので、複雑な処理を必要とすることなく、装置種別または/および回線種別ごとに、認証処理結果を示す属性情報を元の個別記述形式へ変換することができる。
【0092】
[第2の実施の形態]
次に、本発明の第2の実施の形態にかかる認証システムについて説明する。
第1の実施の形態では、種別判定部13で判定した装置種別または/および回線種別に応じて、属性変換部15で、認証要求パケットから抽出した属性情報を、個別記述形式から統一記述形式へ変換し、この統一記述形式からなる属性情報に基づき認証処理部17で認証処理を行う場合を例として説明した。これは、統一記述形式からなる属性情報に基づき認証処理を行う1つまたは複数の認証処理部17が設けられていることを前提としている
【0093】
これに対して、認証処理可能な属性情報の記述形式が異なる認証処理部17を複数用いる場合もある。例えば、統一記述形式の属性情報に対してのみ認証処理を行う認証処理部17や、特定の個別記述形式と統一記述形式の属性情報に対して認証処理を行う認証処理部17を組み合わせて認証システムを構成する場合もある。
本実施の形態では、このような認証処理可能な記述形式が異なる認証処理部17を組み合わせて用いる場合について説明する。
【0094】
本実施の形態において、認証処理部17は、種別判定部13で判定した装置種別または/および回線種別に基づいて、これら種別に対応する個別記述形式の属性情報について認証処理可能か否か判定する機能と、当該個別形式について認証処理が不可能な場合には、統一記述形式での属性情報を要求する統一情報要求を属性変換部15に対して通知する機能と、当該個別形式について認証処理が可能な場合には、個別記述形式での属性情報を要求する個別情報要求を属性変換部15に対して通知する機能とを有している。
【0095】
また、属性変換部15は、認証処理部17からの統一情報要求に応じて、パケット処理部12で抽出した属性情報を統一記述形式へ変換して、認証処理部17へ渡す機能と、認証処理部17からの個別情報要求に応じて、パケット処理部12で抽出した属性情報を個別記述形式のまま、認証処理部17へ渡す機能とを有している。
認証システム10におけるこのほかの構成については、第1の実施の形態と同様であり、ここでの詳細な説明は省略する。
【0096】
[第2の実施の形態の動作]
次に、図14および図15を参照して、本実施の形態にかかる認証システムの動作について説明する。図14は、第2の実施の形態にかかる認証システムの動作(属性変換要)を示すシーケンス図であり、図6と同じまたは同等部分には同一符号を付してある。図15は、第2の実施の形態にかかる認証システムの動作(属性変換不要)を示すシーケンス図であり、図6と同じまたは同等部分には同一符号を付してある。
【0097】
ここでは、認証要求装置20からの認証要求パケットに応じて、認証システム10により、当該認証要求パケットに含まれている属性情報を統一記述形式へ変換して認証処理する場合と、個別記述形式のまま認証処理する場合とについて説明する。
【0098】
図14に示すように、認証システム10のパケット処理部12は、通信I/F部11を介して認証要求装置20からの認証要求パケットを受信した場合(ステップ100)、当該認証要求パケットから認証処理に必要な各種属性情報を抽出し(ステップ101)、抽出した属性情報を種別判定部13および属性変換部15へ渡す(ステップ102)。この属性情報は、認証要求装置20の装置種別やアクセス回線30の回線種別ごとに個別の個別記述形式で記述されている。
【0099】
各機能部間で属性情報や種別判定結果などの処理情報をやり取りする場合、内部バスを介して機能部間で、直接、送受信してもよく、記憶部18を介して間接的にやり取りしてもよい。特に、認証処理部17を複数備えて並列処理を行う場合には、属性情報や種別判定結果をパケット処理部12や種別判定部13から記憶部18内のバッファへ順次保存し、認証処理が終了している認証処理部17から、適宜、バッファ内の属性情報や種別判定結果を取得するようにしてもよい。
【0100】
種別判定部13は、パケット処理部12から属性情報を受け取って、判定ルールDB14に格納されている判定ルールを参照して、パケット処理部12で抽出した属性情報に基づいて、認証要求パケットを送信した認証要求装置20に関する装置種別と、認証処理対象となるユーザ端末40が用いたアクセス回線30に関する回線種別を判定する(ステップ103)。
種別判定部13は、このようにして装置種別と回線種別を判定した後、これら種別判定結果を属性変換部15と認証処理部17へ渡す(ステップ104)。
【0101】
認証処理部17は、種別判定部13から種別判定結果を受け取り、この種別判定結果の装置種別または/および回線種別に基づいて、これら種別に対応する個別記述形式の属性情報について認証処理可能か否か判定する(ステップ105)。この際、認証処理部17は、例えば、当該認証処理部17で認証処理可能な記述形式の属性情報が得られる、装置種別または/および回線種別を、認証処理判定情報として予め設定しておき、この認証処理判定情報を参照して、種別判定部13からの判定情報に対する認証処理の可否を判定すればよい。
【0102】
ここで、認証処理が不可能と判定された場合、認証処理部17は、統一記述形式での属性情報を要求する統一情報要求を属性変換部15に対して通知する(ステップ106)。
属性変換部15は、認証処理部17からの統一情報要求に応じて、変換ルールDB16に格納されている変換ルールを参照して、パケット処理部12で抽出した属性情報のうち変換対象属性情報の値を、元の個別記述形式から統一記述形式へ変換し(ステップ110)、統一記述形式の属性情報を認証処理部17へ渡す(ステップ111)。
この後、認証システム10では、前述した図6のステップ112以降の処理が実行される。
【0103】
一方、図15に示すように、ステップ105において、認証処理が可能と判定された場合、認証処理部17は、個別記述形式での属性情報を要求する個別情報要求を属性変換部15に対して通知する(ステップ107)。
属性変換部15は、認証処理部17からの個別情報要求に応じて、パケット処理部12で抽出した属性情報を、元の個別記述形式のまま認証処理部17へ渡す(ステップ120)。
【0104】
認証処理部17は、属性変換部15から個別記述形式の属性情報を受け取って、ユーザ端末40に関する認証処理を行い(ステップ121)、この認証処理に関する認証処理結果として個別記述形式からなる属性情報を属性変換部15へ渡す(ステップ122)。
属性変換部15は、認証処理部17から個別記述形式の属性情報を受け取って、逆変換処理を行うことなく、個別記述形式の属性情報をパケット処理部12へ渡す(ステップ123)。
【0105】
パケット処理部12は、属性変換部15から受け取った個別記述形式の属性情報に基づいて、認証応答パケットを作成し(ステップ124)、通信I/F部11を介して認証要求装置20へ返送する(ステップ125)。
これにより、認証要求装置20では、認証応答パケットで通知された認証結果が認証OKの場合、ユーザ端末40への通信サービス提供のための通信経路確立処理を行い、認証エラーの場合、ユーザ端末40に対して通信サービスの提供ができない旨のエラーメッセージを通知する。
【0106】
[第2の実施の形態の効果]
このように、本実施の形態では、認証処理部17により、種別判定部で得られた装置種別または/および回線種別に基づいて、パケット処理部で抽出した属性情報について認証処理が可能か否か判断し、当該認証処理が不可能な場合には統一記述形式からなる属性情報を要求する統一情報要求を属性変換部15に対して通知し、当該認証処理が可能な場合には個別記述形式からなる属性情報を要求する個別情報要求を属性変換部15に対して通知し、属性変換部15により、統一情報要求が通知された場合、パケット処理部12で抽出した属性情報を統一記述形式への変換して認証処理部17へ出力し、個別情報要求が通知された場合、パケット処理部12で抽出した属性情報を個別記述形式のまま認証処理部17へ出力する。
これにより、認証要求パケットに含まれる属性情報の個別記述形式が、認証処理部17で認証処理可能な場合には、属性変換部15での属性変換処理を省くことができる。
【0107】
[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
【0108】
各実施の形態では、各種機能部が認証システム10を構成する1つの情報装置内に実装されている場合を例として説明したが、これら機能部は、サーバ装置などの複数の情報処理装置に分散して実装してもよい。このようなシステム構成には、通信ネットワークを介してこれら情報処理装置間でデータ通信を行うことにより、各種処理装置をやり取りすればよい。また、これら機能部は、システム構成に応じて、同一機能部を、複数、並列的に設けてもよい。
【0109】
また、各実施の形態では、認証システム10に対して3つの認証要求装置21,22,23が接続され、これら認証要求装置21,22,23に対してそれぞれ1つずつユーザ端末41,42,43が接続されている場合を例として説明したが、これに限定されるものではない。認証システム10に対して接続される認証要求装置20の数、各認証要求装置20に対して接続されるユーザ端末40の数については、それぞれのレルムに応じて、適宜、変更すればよい。
【0110】
また、各実施の形態では、VPNなどの通信サービスを提供する際に行う認証処理を例として説明したが、VPN以外の通信サービスにも同様に適用でき、さらには通信サービス以外の認証処理にも適用できる。
【符号の説明】
【0111】
10…認証システム、11…通信I/F部、12…パケット処理部、13…種別判定部、14…判定ルールDB、15…属性変換部、16…変換ルールDB、17…認証処理部、18…記憶部、19…ユーザDB、20,21,22,23…認証要求部、30,31,32,33…アクセス回線、40,41,42,43…ユーザ端末。
【技術分野】
【0001】
本発明は、ネットワーク通信技術に関し、特に通信サービス提供時にユーザを認証する認証技術に関する。
【背景技術】
【0002】
オフィス業務のIT化およびIPネットワークの普及に伴い、複数拠点に分散したオフィスシステムをIPネットワークで結合し、データ通信が行われている。この際、コスト低減のため、公衆IPネットワーク上に仮想プライベートネットワーク(VPN:Virtual Private Network)を構築するサービスが普及している。
【0003】
VPNに接続するには、認証要求装置から認証装置に対し、ユーザ情報等から構成される属性情報を含む認証要求メッセージを送受信して、ユーザ認証を行う必要がある。VPNサービスの普及に伴い、装置規模/機能/価格の異なる認証要求装置が複数の会社から複数種類発売されている。また、回線速度/品質/価格が異なるアクセス回線が複数種類販売されている。利用形態に応じてVPNを構築するため、これら複数種類の認証要求装置およびアクセス回線を組み合わせてVPNを構築する事例が増えている。
【0004】
認証要求装置から認証装置に送信される認証パケットは、要求内容を示す属性情報を含んでいる。認証要求装置の種別やアクセス回線種別により、同じ情報を示す属性情報であっても、属性情報の記述形式(フォーマット)が異なる場合があるため、認証装置は、それらの差分に対応した処理を行う必要がある。
上記の状況を踏まえ、認証要求装置種別およびアクセス回線種別により異なる情報の記述形式の違いに対応できる認証装置が求められている。
【0005】
従来の認証装置の1つであるSteel-Belted RADIUSシステム(非特許文献1など参照)は、認証要求パケット受信時および送信時に、レルム単位もしくは認証システム単位で、設定値もしくはデータベース値に基づき、認証パケットの属性情報の編集が可能なAttribute filter機能を持つ。
これらの機能により、属性情報の違いに対応した認証処理ロジックを追加することや、属性情報の値を予め決められた記述形式に変換することが可能である。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】Steel-Belted Radius Carrier Administration and Configuration Guide Release 7.2, http://www.juniper.net/techpubs/software/aaa_802/sbrc/sbrc72/bookpdfs/sw-sbrc-admin.pdf
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、このような従来技術では、属性情報の編集は、レルム単位もしくは認証システム単位で、事前に設定した値やデータベース値に基づき行われるため、受信した認証要求パケットの属性情報の値に基づいて編集内容を変更することはできない。このため、同一レルム内に、異なる種類の認証要求装置やアクセス回線種別が収容されており、認証要求パケットごとに属性情報の編集方法が異なる環境には適用できないという問題点があった。
【0008】
また、Attribute filter機能による属性情報の編集を実施できるのはパケット受信時および送信時に限られていることから、認証処理に必要な属性情報の変換はパケット受信時に一括して行う必要がある。このため、必ずしも変換処理が必要ではない認証パケットも処理対象となり、変換処理が不要な認証要求パケットを多数受信する環境では、不要な処理負荷が増大する可能性がある。
【0009】
本発明はこのような課題を解決するためのものであり、レルムに依存することなく、また不要な処理負担を発生させることなく、異なる種類の認証要求装置やアクセス回線が収容される環境についても1つの認証システムで対応できる認証技術を提供することを目的としている。
【課題を解決するための手段】
【0010】
このような目的を達成するために、本発明にかかる認証システムは、アクセス回線を介してユーザ端末と接続する認証要求装置からの認証要求パケットに応じて、当該ユーザ端末の認証処理を行う認証システムであって、認証要求パケットから認証処理に必要な1つ以上の属性情報を抽出するパケット処理部と、属性情報に基づいて、認証要求装置の装置種別または/およびアクセス回線の回線種別を判定する種別判定部と、種別判定結果に基づいて、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を特定の統一記述形式へ変換する属性変換部と、統一記述形式に変換された属性情報に基づいて、ユーザ端末に関する認証処理を行う認証処理部とを備えている。
【0011】
この際、種別判定部で、認証要求装置の送信元情報と当該認証要求装置の装置種別との組からなる装置種別判定ルールを参照し、パケット処理部で属性情報として抽出した当該認証要求装置の送信元情報と組をなす装置種別を、当該認証要求装置の装置種別として取得するようにしてもよい。
【0012】
また、種別判定部で、パケット処理部で抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、パケット処理部で属性情報として抽出した判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置の回線種別として取得するようにしてもよい。
【0013】
また、属性変換部で、認証要求装置の装置種別または/およびアクセス回線の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、種別判定部で得られた装置種別または/および回線種別と組をなす変換対象属性情報および変換式を取得し、パケット処理部で抽出した変換対象属性情報の値を当該変換式に基づいて統一記述形式へ変換するようにしてもよい。
【0014】
また、属性変換部で、種別判定結果に基づいて、認証処理結果を示す属性情報を個別記述形式へ逆変換し、パケット処理部で、逆変換された属性情報を含む認証応答パケットを作成して、認証要求装置へ送信するようにしてもよい。
【0015】
また、属性変換部で、認証要求装置の装置種別または/およびアクセス回線の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、種別判定部で得られた装置種別または/および回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて個別記述形式へ逆変換するようにしてもよい。
【0016】
また、認証処理部で、種別判定部で得られた装置種別または/および回線種別に基づいて、パケット処理部で抽出した属性情報について認証処理が可能か否か判断し、当該認証処理が不可能な場合には統一記述形式からなる属性情報を要求する統一情報要求を属性変換部に対して通知し、当該認証処理が可能な場合には個別記述形式からなる属性情報を要求する個別情報要求を属性変換部に対して通知し、属性変換部は、統一情報要求が通知された場合、パケット処理部で抽出した属性情報を統一記述形式への変換して認証処理部へ出力し、個別情報要求が通知された場合、パケット処理部で抽出した属性情報を個別記述形式のまま認証処理部へ出力するようにしてもよい。
【0017】
また、本発明にかかる認証方法は、アクセス回線を介してユーザ端末と接続する認証要求装置からの認証要求パケットに応じて、当該ユーザ端末の認証処理を行う認証システムで用いられる認証方法であって、パケット処理部が、認証要求パケットから認証処理に必要な1つ以上の属性情報を抽出するパケット処理ステップと、種別判定部が、属性情報に基づいて、認証要求装置の装置種別または/およびアクセス回線の回線種別を判定する種別判定ステップと、属性変換部が、種別判定結果に基づいて、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を特定の統一記述形式へ変換する属性変換ステップと、認証処理部が、統一記述形式に変換された属性情報に基づいて、ユーザ端末に関する認証処理を行う認証処理ステップとを備えている。
【0018】
この際、種別判定ステップで、認証要求装置の送信元情報と当該認証要求装置の装置種別との組からなる装置種別判定ルールを参照し、パケット処理ステップで属性情報として抽出した当該認証要求装置の送信元情報と組をなす装置種別を、当該認証要求装置の装置種別として取得するようにしてもよい。
【0019】
また、種別判定ステップで、パケット処理ステップで抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、パケット処理ステップで属性情報として抽出した判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置の回線種別として取得するようにしてもよい。
【0020】
また、属性変換ステップで、認証要求装置の装置種別または/およびアクセス回線の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、種別判定ステップで得られた装置種別または/および回線種別と組をなす変換対象属性情報および変換式を取得し、パケット処理ステップで抽出した変換対象属性情報の値を当該変換式に基づいて統一記述形式へ変換するようにしてもよい。
【0021】
また、属性変換ステップで、種別判定結果に基づいて、認証処理結果を示す属性情報を個別記述形式へ逆変換し、パケット処理ステップで、逆変換された属性情報を含む認証応答パケットを作成して、認証要求装置へ送信するようにしてもよい。
【0022】
また、属性変換ステップで、認証要求装置の装置種別または/およびアクセス回線の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、種別判定ステップで得られた装置種別または/および回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて個別記述形式へ逆変換するようにしてもよい。
【0023】
認証処理ステップで、種別判定ステップで得られた装置種別または/および回線種別に基づいて、パケット処理ステップで抽出した属性情報について認証処理が可能か否か判断し、当該認証処理が不可能な場合には統一記述形式からなる属性情報を要求する統一情報要求を属性変換ステップに対して通知し、当該認証処理が可能な場合には個別記述形式からなる属性情報を要求する個別情報要求を属性変換ステップに対して通知し、属性変換ステップで、統一情報要求が通知された場合、パケット処理ステップで抽出した属性情報を統一記述形式への変換して認証処理ステップへ出力し、個別情報要求が通知された場合、パケット処理ステップで抽出した属性情報を個別記述形式のまま認証処理ステップへ出力するようにしてもよい。
【0024】
また、本発明にかかるプログラムは、コンピュータを、前述した認証システムを構成する各部として機能させるためのプログラムである。
【発明の効果】
【0025】
本発明によれば、レルムに依存することなく、また不要な処理負担を発生させることなく、異なる種類の認証要求装置やアクセス回線が収容される環境についても、1つの認証システムで対応できる。
【図面の簡単な説明】
【0026】
【図1】第1の実施の形態にかかる認証システムの構成を示すブロック図である。
【図2】装置種別判定ルールの構成例である。
【図3】回線種別判定ルールの構成例である。
【図4】変換ルールの構成例である。
【図5】逆変換ルールの構成例である。
【図6】第1の実施の形態にかかる認証システムの動作を示すシーケンス図である。
【図7】第1の実施の形態にかかる装置種別判定処理を示すフローチャートである。
【図8】第1の実施の形態にかかる回線種別判定処理を示すフローチャートである。
【図9】種別判定例を示す説明図である。
【図10】第1の実施の形態にかかる属性変換処理を示すフローチャートである。
【図11】属性情報変換例を示す説明図である。
【図12】第1の実施の形態にかかる属性逆変換処理を示すフローチャートである。
【図13】属性情報逆変換例を示す説明図である。
【図14】第2の実施の形態にかかる認証システムの動作(属性変換要)を示すシーケンス図である。
【図15】第2の実施の形態にかかる認証システムの動作(属性変換不要)を示すシーケンス図である。
【発明を実施するための形態】
【0027】
次に、本発明の実施の形態について図面を参照して説明する。
[第1の実施の形態]
まず、図1を参照して、本発明の第1の実施の形態にかかる認証システムについて説明する。図1は、第1の実施の形態にかかる認証システムの構成を示すブロック図である。
【0028】
この認証システム10は、全体としてサーバ装置などの1つ以上の通信処理装置からなり、ユーザ端末40(41,42,43)に対してVPNなどの通信サービスを提供する際、アクセス回線30(31,32,33)を介してユーザ端末40と接続する認証要求装置20(21,22,23)からの認証要求パケットに応じて、当該ユーザ端末40に関する認証処理を行う機能を有している。なお、ユーザ端末40はユーザ端末41,42,43の総称や代表を指し、アクセス回線30はアクセス回線31,32,33の総称や代表を指し、認証要求装置20は認証要求装置21,22,23の総称や代表を指す。
【0029】
認証要求装置20は、全体としてサーバ装置、スイッチ、ルータなどの通信処理装置からなり、ユーザ端末40からの通信サービス要求を受け付けて、認証処理に必要な各種属性情報を含む認証要求パケットを認証システム10へ送信する機能と、認証システム10から受信した認証応答パケットに含まれる認証処理結果に応じて、ユーザ端末40への通信サービス提供のための通信経路確立処理を行う機能とを有している。
【0030】
ユーザ端末40は、全体としてパーソナルコンピュータや携帯端末などの通信端末装置からなり、通信サービス開始時にアクセス回線30を介して認証要求装置20へ接続し、認証処理に必要な各種属性情報を含む通信サービス要求パケットを送信する機能と、認証要求装置20からの通信サービス開始パケットの受信に応じて通信サービスを開始する機能とを有している。
【0031】
図1の接続形態において、認証システム10に対して3つの認証要求装置21,22,23が接続されている。これら認証要求装置21,22,23は、メーカや機種の違いに応じてそれぞれ個別の装置種別を有しており、これら装置種別ごとに、認証システム10へ送信する認証要求パケットに含まれる属性情報の記述形式が異なっている。図1の例では、認証要求装置21,22は装置種別Xを有し、認証要求装置23は装置種別Yを有しているものとする。
【0032】
また、これら認証要求装置21,22,23には、個別のアクセス回線31,32,33を介してユーザ端末41,42,43がそれぞれ1つずつ接続されている。これらアクセス回線31,32,33は、回線速度、通信品質、あるいは通信コストの違いに応じてそれぞれ固有の回線種別を有しており、これら回線種別ごとに、認証システム10へ送信する認証要求パケットに含まれる属性情報の記述形式が異なっている。図1の例では、アクセス回線31,33が回線種別αを有し、アクセス回線32が回線種別βを有しているものとする。
なお、認証システム10に対して接続される認証要求装置20の数、各認証要求装置20に対して接続されるユーザ端末40の数については、図1の例に限定されるものではない。
【0033】
本実施の形態では、認証システム10において、認証要求装置からの認証要求パケットから抽出した属性情報に基づいて、認証要求装置の装置種別または/およびアクセス回線の回線種別を判定し、この種別判定結果に基づいて、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を、特定の統一記述形式へ変換し、この統一記述形式からなる属性情報に基づいて、ユーザ端末に関する認証処理を行うようにしたものである。
【0034】
本発明において、装置種別とは、ユーザ端末からの認証要求を処理する機能は同一であるが、認証システムに対し送信する認証要求中の属性情報の記述形式が異なる装置を識別する値のことを指す。また、回線種別とは、ユーザ端末と認証要求装置の通信を中継する機能は同一であるが、回線識別子の記述形式等が異なる回線を識別する値のことを指す。これら装置種別または/および回線種別と個別記述形式の対応関係は、1対1だけでなく多対1の関係であってもよい。
【0035】
次に、図1を参照して、本実施の形態にかかる認証システム10の構成について詳細に説明する。
認証システム10には、主な機能部として、通信インターフェース部(以下、通信I/F部という)11、パケット処理部12、種別判定部13、判定ルールデータベース(以下、判定ルールDBという)14、属性変換部15、変換ルールデータベース(以下、変換ルールDBという)16、認証処理部17、記憶部18、およびユーザデータベース(以下、ユーザDBという)19が設けられており、内部バスを介して各種データを相互にやり取り可能に接続されている。
【0036】
通信I/F部11は、専用の通信回路部からなり、認証要求装置20(21,22,23)との間で認証要求パケットや認証応答パケットなどの各種パケットをやり取りすることにより、認証要求装置20との間でデータ通信を行う機能を有している。
【0037】
パケット処理部12は、通信I/F部11で受信した認証要求装置20からの認証要求パケットから認証処理に用いる属性情報を抽出する機能と、認証処理結果を示す属性情報に基づいて通信I/F部11から認証要求装置20へ送信する認証応答パケットを作成する機能とを有している。
【0038】
種別判定部13は、判定ルールDB14に格納されている判定ルールを参照して、パケット処理部12で抽出した属性情報に基づいて、認証要求パケットを送信した認証要求装置20の装置種別と、認証処理対象となるユーザ端末40が用いたアクセス回線30の回線種別を判定する機能を有している。装置種別と回線種別は、属性情報の変換に用いる変換ルールを特定するためのものである。このため、装置種別と回線種別のいずれか一方で変換ルールを特定できるのであれば、いずれか一方のみの種別を判定すればよく、変換ルールの特定に装置種別と回線種別の両方が必要な場合には、これら両方の種別を判定すればよい。
【0039】
判定ルールDB14は、ハードディスクや半導体メモリなどの記憶装置からなり、認証要求パケットの送信元となる認証要求装置20の装置種別を判定するための装置種別判定ルールと、認証処理対象となるユーザ端末40が用いたアクセス回線30の回線種別を判定するための回線種別判定ルールとを記憶する機能を有している。
【0040】
装置種別判定ルールは、認証要求装置20のIPアドレス、すなわち認証要求パケットの送信元アドレスと当該認証要求装置20の装置種別との組から構成されている。
図2は、装置種別判定ルールの構成例である。ここでは、送信元アドレス「10.0.0.1」の場合、認証要求装置20の識別種別は「X」であり、送信元アドレス「10.0.1.1」の場合、認証要求装置20の識別種別は「X」であり、送信元アドレス「10.0.2.1」の場合、認証要求装置20の識別種別は「Y」であることが登録されている。
【0041】
回線種別判定ルールは、属性情報に関する値型と当該アクセス回線の回線種別との組から構成されている。
図3は、回線種別判定ルールの構成例である。ここでは、属性情報Aの値型が「IPv4アドレス」の場合、アクセス回線30の回線種別は「α」であり、属性情報Bの値型が「IPv4アドレス」でかつ属性情報Cの値型が「整数」の場合、アクセス回線30の回線種別は「β」であり、属性情報Aの値型が「IPv6アドレス」の場合、アクセス回線30の回線種別は「α」であることが登録されている。なお、図3における「−」は、認証要求パケットに、対応する値型の属性情報と該当するものが含まれていないことを示している。
【0042】
属性変換部15は、種別判定部13での種別判定結果、すなわち認証要求装置20の装置種別または/およびアクセス回線30の回線種別に基づいて、変換ルールDB16に格納されている変換ルールのいずれかを特定する機能と、当該変換ルールを参照して変換の対象となる変換対象属性情報およびその変換式を取得する機能と、パケット処理部12で抽出した属性情報のうち変換対象属性情報の値を、当該変換式に基づいて、装置種別または/および回線種別ごとに個別の個別記述形式から、予め定めておいた特定の統一記述形式へ変換する機能とを有している。
【0043】
本実施の形態では、属性情報の変換方式として、文字列結合方式を用いる場合を例として説明する。
文字列結合方式は、変換対象となる属性情報に、元の属性情報の値型を示す文字列情報を結合する方式である。この文字列結合方式によれば、属性情報量が削減されないため、統一記述形式へ変換した属性情報に元の属性情報がそのまま含まれているため、認証用データベースに登録されている値と、そのまま比較して一致確認することができ、認証処理負担を削減できる。
【0044】
本実施の形態に適用可能な属性情報の変換方式としては、文字列結合方式以外の方式を用いてもよい。他の変換方式としてハッシング方式がある。ハッシング方式は、予め用意したハッシュ関数を用いて、変換対象となる属性情報のハッシュ値を算出し、当該属性情報をそのハッシュ値で置換する方式である。このハッシング方式によれば、変換後の文字長を一定とすることができ、認証処理の並列分散化が容易となるため、認証処理の高速化を実現できる。
【0045】
また、属性変換部15は、種別判定部13での種別判定結果、すなわち認証要求装置20の装置種別または/およびアクセス回線30の回線種別に基づいて、変換ルールDB16に格納されている逆変換ルールのいずれかを特定する機能と、当該逆変換ルールを参照して逆変換の対象となる逆変換対象属性情報、値型、および属性値を取得する機能と、種別判定部13で得られた認証処理結果を示す属性情報のうち逆変換対象属性情報を、当該値型および属性値に基づいて個別記述形式へ逆変換する機能とを有している。
【0046】
本実施の形態では、属性情報の逆変換方式として、値置換方式を用いる場合を例として説明する。
値置換方式は、逆変換対象となる統一記述形式の属性情報を、元の個別記述形式で用いられる任意の値型の属性情報へ置換する方式である。なお、個別記述形式の属性情報を統一記述形式の属性情報へ変換する変換方式と、統一記述形式の属性情報を個別記述形式の属性情報へ逆変換する変換方式とは、必ずしも同じ変換方式を用いる必要はない。例えば、変換方式としてハッシング方式を用いた場合でも、逆変換方式として他の変換方式を用いてもよい。
【0047】
変換ルールDB16は、ハードディスクや半導体メモリなどの記憶装置からなり、認証要求パケットからパケット処理部12で抽出した個別記述形式の属性情報を統一記述形式へ変換するための変換ルールと、認証処理部17で得られた認証処理結果を示す統一記述形式の属性情報を元の個別記述形式へ逆変換するための逆変換ルールとを記憶する機能を有している。
【0048】
変換ルールは、認証要求装置20の装置種別または/およびアクセス回線31の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組から構成されている。
図4は、変換ルールの構成例である。ここでは、装置種別が「X」で回線種別が「α」である場合、属性Aを「IPv4_[属性情報A]」という変換式で変換するルールが登録されている。この変換式は、元の属性情報Aの値を示す[属性情報A]の前に、元の属性情報Aの値型を示す「IPv4_」という文字列情報を結合するという変換式を示している。
【0049】
このほか、図4の例には、装置種別が「X」で回線種別が「β」である場合、属性情報Aを「IPv6_[属性情報A]」という変換式で変換するルール、装置種別が「Y」で回線種別が「α」である場合、属性情報Bおよび属性情報Cという複数の属性情報の値を文字列情報と結合して「IPv4_[属性情報B]_[属性情報C]」という変換式で変換するルール、装置種別が「Y」で回線種別が「β」である場合、属性情報の変換を行わないというルール、装置種別が「判定不能」で回線種別も「判定不能」である場合、属性情報の変換を行わないというルールがそれぞれ登録されている。なお、図4における「−」は、対応する変換対象や変換式が装置種別と回線種別との組に割り当てられていないことを示している。
【0050】
逆変換ルールは、認証要求装置20の装置種別または/およびアクセス回線31の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値との組から構成されている。
図5は、逆変換ルールの構成例である。ここでは、装置種別が「X」で回線種別が「α」である場合、属性情報Dの値「1」を値型が「文字列」の属性値「OK」に逆変換し、属性情報Dの値「0」を値型が「文字列」の属性値「NG」に逆変換するルールが登録されている。
【0051】
このほか、図5の例には、装置種別が「X」で回線種別が「β」である場合、属性情報Dを値型が「文字列」の属性値「OK」に逆変換するルール、装置種別が「Y」で回線種別が「α」である場合、属性情報Eを値型が「整数」の属性値「1」に逆変換するルール、装置種別が「Y」で回線種別が「β」である場合、属性情報の逆変換を行わないというルール、装置種別が「判定不能」で回線種別も「判定不能」である場合、属性情報の逆変換を行わないというルールがそれぞれ登録されている。なお、図5における「−」は、対応する逆変換対象、値型、さらには変換式が装置種別と回線種別との組に割り当てられていないことを示している。
【0052】
認証処理部17は、属性変換部15で得られた統一記述形式からなる属性情報に基づいて、例えばこの属性情報とユーザDB19に記憶されている、認証処理対象であるユーザやユーザ端末40の属性情報とを比較するなどにより、ユーザ端末40に関する認証処理を行う機能と、この認証処理に関する認証処理結果として統一記述形式からなる属性情報を出力する機能とを有している。
記憶部18は、ハードディスクや半導体メモリなどの記憶装置からなり、前述した各機能部で用いる処理情報やプログラムを記憶する機能を有している。
ユーザDB19は、ハードディスクや半導体メモリなどの記憶装置からなり、認証処理部17での認証処理に用いる個々のユーザやユーザ端末40の属性情報を含む認証用のデータを記憶する機能を有している。
【0053】
これら機能部のうち、パケット処理部12、種別判定部13、属性変換部15、および認証処理部17は、1つまたは複数の演算処理部により構成されている。演算処理部は、CPUなどのマイクロプロセッサとその周辺回路を有し、記憶部18から読み出したプログラムを実行することにより、各種処理部を実現する機能を有している。
【0054】
[第1の実施の形態の動作]
次に、図6を参照して、本実施の形態にかかる認証システム10の動作について説明する。図6は、第1の実施の形態にかかる認証システムの動作を示すシーケンス図である。
ここでは、認証要求装置20からの認証要求パケットに応じて、認証システム10により、当該認証要求パケットに含まれている個別記述形式の属性情報を統一記述形式へ変換した後、この統一記述形式の属性情報に対して認証処理を行い、得られた認証処理結果を示す統一記述形式の属性情報を元の個別記述形式の属性情報へ逆変換した後、認証応答パケットを作成して認証要求装置20へ送信する場合について説明する。
【0055】
認証システム10のパケット処理部12は、通信I/F部11を介して認証要求装置20からの認証要求パケットを受信した場合(ステップ100)、当該認証要求パケットから認証処理に必要な各種属性情報を抽出し(ステップ101)、抽出した属性情報を種別判定部13および属性変換部15へ渡す(ステップ102)。この属性情報は、認証要求装置20の装置種別やアクセス回線30の回線種別ごとに個別の個別記述形式で記述されている。
【0056】
各機能部間で属性情報や種別判定結果などの処理情報をやり取りする場合、内部バスを介して機能部間で、直接、送受信してもよく、記憶部18を介して間接的にやり取りしてもよい。特に、認証処理部17を複数備えて並列処理を行う場合には、属性情報や種別判定結果をパケット処理部12や種別判定部13から記憶部18内のバッファへ順次保存し、認証処理が終了している認証処理部17から、適宜、バッファ内の属性情報や種別判定結果を取得するようにしてもよい。
【0057】
種別判定部13は、パケット処理部12から属性情報を受け取って、判定ルールDB14に格納されている判定ルールを参照して、パケット処理部12で抽出した属性情報に基づいて、認証要求パケットを送信した認証要求装置20に関する装置種別と、認証処理対象となるユーザ端末40が用いたアクセス回線30に関する回線種別を判定する(ステップ103)。
種別判定部13は、このようにして装置種別と回線種別を判定した後、これら種別判定結果を属性変換部15へ渡す(ステップ104)。
【0058】
一方、属性変換部15は、パケット処理部12から個別記述形式の属性情報を受け取った後、属性変換部15から種別判定結果を受け取り、変換ルールDB16に格納されている変換ルールを参照して、パケット処理部12で抽出した属性情報のうち変換対象属性情報の値を、元の個別記述形式から統一記述形式へ変換し(ステップ110)、統一記述形式の属性情報を認証処理部17へ渡す(ステップ111)。
【0059】
認証処理部17は、属性変換部15から統一記述形式の属性情報を受け取って、この属性情報に基づき、属性情報とユーザDB19に記憶されている、認証処理対象であるユーザやユーザ端末40の属性情報とを比較するなどにより、ユーザ端末40に関する認証処理を行い(ステップ112)、この認証処理に関する認証処理結果として統一記述形式からなる属性情報を属性変換部15へ渡す(ステップ113)。なお、ステップ111とステップ113は、共に統一記述形式からなる属性情報であるが、ステップ111の属性情報は、認証要求パケットから抽出した属性情報を属性変換部15で変換したものであり、ステップ113の属性情報は、認証処理部17で生成したものである。
【0060】
属性変換部15は、認証処理部17から統一記述形式の属性情報を受け取った後、変換ルールDB16に格納されている逆変換ルールを参照して、認証処理部17から受け取った属性情報のうち逆変換対象属性情報の値を、統一記述形式から元の個別記述形式へ逆変換し(ステップ114)、個別記述形式の属性情報をパケット処理部12へ渡す(ステップ115)。
【0061】
パケット処理部12は、属性変換部15から受け取った個別記述形式の属性情報に基づいて、認証応答パケットを作成し(ステップ116)、通信I/F部11を介して認証要求装置20へ返送する(ステップ117)。
これにより、認証要求装置20では、認証応答パケットで通知された認証結果が認証OKの場合、ユーザ端末40への通信サービス提供のための通信経路確立処理を行い、認証エラーの場合、ユーザ端末40に対して通信サービスの提供ができない旨のエラーメッセージを通知する。
【0062】
[種別判定動作]
次に、本実施の形態にかかる認証システムの種別判定部13における種別判定動作について説明する。
まず、図7を参照して、種別判定部13での装置種別判定動作について説明する。図7は、第1の実施の形態にかかる装置種別判定処理を示すフローチャートである。ここでは、前述した図2の装置種別判定ルールに基づいて認証要求装置20の装置種別を判定する場合を例として説明する。
【0063】
種別判定部13は、パケット処理部12から個別記述形式の属性情報を受け取った場合、判定ルールDB14に格納されている装置種別判定ルールを参照して、装置種別判定動作を開始する。なお、図7の装置種別判定処理は、あくまでも前述した図2の装置種別判定ルールを用いる場合に適用される処理手順の一例であって、他の装置種別判定ルールを用いる場合には、他の処理手順が適用される。
【0064】
まず、種別判定部13は、パケット処理部12から個別記述形式の属性情報のうち、認証要求装置20のIPアドレス、すなわち送信元アドレスが、装置種別判定ルールのいずれかの組に存在するか確認する(ステップ130)。
ここで、送信元アドレスがいずれかの組に存在する場合(ステップ130:YES)、種別判定部13は、当該送信元アドレスと組をなす装置種別を取得し(ステップ131)、一連の装置種別判定処理を終了する。
【0065】
一方、送信元アドレスがいずれの組にも存在しない場合(ステップ130:NO)、種別判定部13は、装置種別判定不能と判断して、認証要求パケットの破棄などの異常処理を実行した後(ステップ132)、一連の装置種別判定処理を終了する。
【0066】
次に、図8を参照して、種別判定部13での回線種別判定動作について説明する。図8は、第1の実施の形態にかかる回線種別判定処理を示すフローチャートである。ここでは、前述した図3の回線種別判定ルールに基づいてアクセス回線30の回線種別を判定する場合を例として説明する。
【0067】
種別判定部13は、パケット処理部12から個別記述形式の属性情報を受け取った場合、判定ルールDB14に格納されている回線種別判定ルールを参照して、回線種別判定動作を開始する。前述した図3の回線種別判定ルールを用いる場合、図8の回線種別判定処理が実行される。なお、図8の回線種別判定処理は、あくまでも前述した図3の回線種別判定ルールを用いる場合に適用される処理手順の一例であって、他の回線種別判定ルールを用いる場合には、他の処理手順が適用される。
【0068】
まず、種別判定部13は、パケット処理部12から受け取った個別記述形式の属性情報に、属性情報Aが存在するか確認する(ステップ140)。パケット処理部12において、属性情報Aが認証要求パケットに含まれていない場合や、有効な値の属性情報Aが抽出できなかった場合、属性情報Aは属性情報として出力されない。
【0069】
受け取った属性情報に属性情報Aが存在する場合(ステップ140:YES)、受け取った属性情報Aの値型がIPv4アドレスまたはIPv6アドレスであるか確認する(ステップ141)。各値型については、それぞれの値型が取りうる数値範囲や文字・記号、さらにはこれら桁位置や桁数などの特徴に基づき確認すればよい。
【0070】
ここで、属性情報Aの値型がIPv4アドレスまたはIPv6アドレスである場合(ステップ141:YES)、種別判定部13は、アクセス回線30の回線種別を「α」と判定し(ステップ142)、一連の回線種別判定処理を終了する。
一方、属性情報Aの値型がIPv4アドレスまたはIPv6アドレス以外の場合(ステップ141:NO)、種別判定部13は、回線種別判定不能と判断して、認証要求パケットの破棄などの異常処理を実行した後(ステップ146)、一連の回線種別判定処理を終了する。
【0071】
また、ステップ140において、パケット処理部12から受け取った個別記述形式の属性情報に、属性情報Aが存在しない場合(ステップ140:NO)、種別判定部13は、受け取った属性情報に、値型がIPv4アドレスの属性情報Bが存在するか確認する(ステップ143)。
ここで、値型がIPv4アドレスの属性情報Bが存在する場合(ステップ143:YES)、種別判定部13は、受け取った属性情報に、値型が整数形式の属性情報Cが存在するか確認する(ステップ144)。
【0072】
ここで、値型が整数形式の属性情報Cが存在する場合(ステップ144:YES)、種別判定部13は、アクセス回線30の回線種別を「β」と判定し(ステップ145)、一連の回線種別判定処理を終了する。
一方、受け取った属性情報に、値型がIPv4アドレスの属性情報Bが存在しない場合(ステップ143:NO)、および値型が整数形式の属性情報Cが存在しない場合(ステップ144:NO)、種別判定部13は、回線種別判定不能と判断し(ステップ146)、一連の回線種別判定処理を終了する。
【0073】
図9は、種別判定例を示す説明図である。ここでは、前述した図7の装置種別判定処理および図8の回線種別判定処理に基づく種別判定結果が示されている。
例えば、送信元アドレスが「10.0.0.1」で、属性情報Aが「10.0.0.2」すなわち値型が「IPv4アドレス」の場合、装置種別が「X」で回線種別が「α」と判定される。また、送信元アドレスが「10.0.1.1」で、属性情報Aが存在せず、属性情報Bが「10.0.1.2」すなわち値型が「IPv4アドレス」で、属性情報Cが「12345678」すなわち値型が整数の場合、装置種別が「X」で回線種別が「β」と判定される。また、送信元アドレスが「10.0.2.1」で、属性情報Aが「2001::1」すなわち値型が「IPv6アドレス」の場合、装置種別が「Y」で回線種別が「α」と判定される。なお、図9における「−」は、認証要求パケットに、対応する値型の属性情報と該当するものが含まれていないことを示している。
【0074】
[属性変換動作]
次に、本実施の形態にかかる認証システムの種別判定部13における属性変換動作について説明する。
まず、図10を参照して、属性変換部15での属性変換動作について説明する。図10は、第1の実施の形態にかかる属性変換処理を示すフローチャートである。ここでは、前述した図4の変換ルールに基づいて、パケット処理部12から受け取った属性情報を、個別記述形式から統一記述形式へ変換する場合を例として説明する。
【0075】
属性変換部15は、種別判定部13から種別判定結果を受け取った場合、変換ルールDB16に格納されている変換ルールを参照して、属性変換動作を開始する。なお、図10の属性変換処理は、あくまでも前述した図4の変換ルールを用いる場合に適用される処理手順の一例であって、他の変換ルールを用いる場合には、他の処理手順が適用される。
【0076】
まず、属性変換部15は、種別判定部13から受け取った種別判定結果の装置種別と回線種別が、変換ルールに存在するか確認する(ステップ150)。
装置種別と回線種別が変換ルールのうちのいずれかの組に存在する場合(ステップ150:YES)、属性変換部15は、変換ルールのうち装置種別と回線種別が存在する組に変換対象の指定が存在するか確認する(ステップ151)。
【0077】
ここで、変換ルールのうち装置種別と回線種別が存在する組に変換対象の指定が存在する場合(ステップ151:YES)、属性変換部15は、当該組の変換式に基づいて、変換対象となる属性情報を個別記述形式から統一記述形式へ変換し(ステップ152)、一連の属性変換処理を終了する。
一方、装置種別と回線種別が変換ルールのうちのいずれかの組に存在しない場合(ステップ150:NO)、および変換ルールのうち装置種別と回線種別が存在する組に変換対象の指定が存在しない場合(ステップ151:NO)、属性変換部15は、属性情報変換不能と判断して、認証要求パケットの破棄などの異常処理を実行した後(ステップ153)、一連の属性変換処理を終了する。
【0078】
図11は、属性情報変換例を示す説明図である。ここでは、前述した図10の属性変換処理に基づく属性変換結果が示されている。
例えば、装置種別が「X」で回線種別が「α」と判定された図9のエントリ1の場合、属性情報Aが変換対象となり、元の個別記述形式の属性情報A値「10.0.0.2」が統一記述形式の「IPv4_10.0.0.2」に変換される。また、装置種別が「X」で回線種別が「β」と判定された図9のエントリ2の場合、属性情報Aが変換対象となり、元の個別記述形式の属性情報A値「2001::1」が統一記述形式の「IPv6_2001::1」に変換される。また、装置種別が「Y」で回線種別が「α」と判定された図9のエントリ3の場合、属性情報B,Cが変換対象となり、元の個別記述形式の属性情報B値「10.0.0.2」と属性情報C値「12345678」が統一記述形式の「IPv4_10.0.0.2_12345678」に変換される。
【0079】
次に、図12を参照して、属性変換部15での属性逆変換動作について説明する。図12は、第1の実施の形態にかかる属性逆変換処理を示すフローチャートである。ここでは、前述した図5の逆変換ルールに基づいて、認証処理部17から受け取った認証処理結果に関する属性情報を、統一記述形式から個別記述形式へ逆変換する場合を例として説明する。
【0080】
属性変換部15は、認証処理部17から認証処理結果に関する属性情報を受け取った場合、変換ルールDB16に格納されている逆変換ルールを参照して、属性逆変換動作を開始する。なお、図12の属性逆変換処理は、あくまでも前述した図5の逆変換ルールを用いる場合に適用される処理手順の一例であって、他の逆変換ルールを用いる場合には、他の処理手順が適用される。
【0081】
まず、属性変換部15は、認証処理部17から受け取った属性情報に対応する種別判定結果の装置種別と回線種別が、逆変換ルールに存在するか確認する(ステップ160)。
装置種別と回線種別が逆変換ルールのうちのいずれかの組に存在する場合(ステップ160:YES)、属性変換部15は、逆変換ルールのうち装置種別と回線種別が存在する組に逆変換対象の指定が存在するか確認する(ステップ161)。
【0082】
ここで、逆変換ルールのうち装置種別と回線種別が存在する組に逆変換対象の指定が存在する場合(ステップ161:YES)、属性変換部15は、逆変換対象となる属性情報を、統一記述形式から、当該組の値型からなる個別記述形式の属性値へ逆変換し(ステップ162)、一連の属性変換処理を終了する。
一方、装置種別と回線種別が逆変換ルールのうちのいずれかの組に存在しない場合(ステップ160:NO)、および逆変換ルールのうち装置種別と回線種別が存在する組に変換対象の指定が存在しない場合(ステップ161:NO)、属性変換部15は、属性情報逆変換不能と判断して、認証要求パケットの破棄などの異常処理を実行した後(ステップ163)、一連の属性変換処理を終了する。
【0083】
図13は、属性情報逆変換例を示す説明図である。ここでは、前述した図12の属性逆変換処理に基づく属性逆変換結果が示されている。
例えば、装置種別が「X」で回線種別が「α」と判定された図9のエントリ1の場合、属性情報Dが逆変換対象となり、統一記述形式の属性情報D値が「1」の場合には、文字列からなる個別記述形式の「OK」に変換され、統一記述形式の属性情報D値が「0」の場合には、値型が文字列からなる個別記述形式の「NG」に変換される。また、装置種別が「X」で回線種別が「β」と判定された図9のエントリ2の場合も同様である。また、装置種別が「Y」で回線種別が「α」と判定された図9のエントリ3の場合、属性情報Eが変換対象となり、値型が数値からなる個別記述形式の新たな属性情報Eとして「1」が追加される。
【0084】
[第1の実施の形態の効果]
このように、本実施の形態は、種別判定部13により、認証要求装置20からの認証要求パケットから抽出した属性情報に基づいて、認証要求装置20の装置種別または/およびアクセス回線30の回線種別を判定し、この種別判定結果に基づいて、属性変換部15により、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を特定の統一記述形式へ変換し、この統一記述形式からなる属性情報に基づいて、認証処理部17により、ユーザ端末40に関する認証処理を行う。
【0085】
したがって、レルムに依存せず、異なる種類の認証要求装置20やアクセス回線30が収容される環境であっても、1つの認証システム、さらには1種類の統一記述形式で認証処理する認証処理部で対応できる。このため、異なる種類の認証要求装置20やアクセス回線30をレルムに追加する場合でも、これらに対応する認証処理部17を追加する必要はなく、設備を柔軟かつ効率よく利用することが可能となる。
【0086】
また、装置種別または/および回線種別に応じて、認証要求パケットから抽出した属性情報に対する統一記述形式への変換要否を決定できることから、変換処理が必要ではない認証パケットについては変換処理の対象外とすることができ、全ての認証要求パケットを変換処理する場合と比較して、不要な処理負担の発生を抑制できる。このため、変換処理が不要な認証要求パケットを多数受信する環境では、変換処理に要する処理負荷を大幅に削減することができる。
【0087】
また、本実施の形態では、種別判定部13により、認証要求装置20のIPアドレスと当該認証要求装置20の装置種別との組からなる装置種別判定ルールを参照し、パケット処理部12で属性情報として抽出した当該認証要求装置20のIPアドレスと組をなす装置種別を、当該認証要求装置20の装置種別として取得するようにしたので、極めて簡素な処理で認証要求装置20の装置種別を精度よく判定することができる。
【0088】
また、本実施の形態では、種別判定部13により、パケット処理部12で抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、パケット処理部12で属性情報として抽出した判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置20の回線種別として取得するようにしたので、極めて簡素な処理で認証要求装置20の装置種別を精度よく判定することができる。
【0089】
また、本実施の形態では、属性変換部15により、認証要求装置20の装置種別または/およびアクセス回線30の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、種別判定部13で得られた装置種別または/および回線種別と組をなす変換対象属性情報および変換式を取得し、パケット処理部12で抽出した変換対象属性情報の値を当該変換式に基づいて統一記述形式へ変換するようにしたので、複雑な処理を必要とすることなく、装置種別または/および回線種別ごとに、任意の属性情報を統一記述形式へ変換することができる。
【0090】
また、本実施の形態では、属性変換部15により、種別判定部13での種別判定結果に基づいて、認証処理結果を示す属性情報を個別記述形式へ逆変換し、パケット処理部12により、逆変換された属性情報を含む認証応答パケットを作成して、認証要求装置20へ送信するようにしたので、レルムに依存せず、異なる種類の認証要求装置20やアクセス回線30が収容される環境であっても、装置種別または/および回線種別に対応した個別記述形式の属性情報を認証応答パケットで、認証要求装置20へ返送することができる。
【0091】
また、本実施の形態では、属性変換部15により、認証要求装置20の装置種別または/およびアクセス回線30の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、種別判定部13で得られた装置種別または/および回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて個別記述形式へ逆変換するようにしたので、複雑な処理を必要とすることなく、装置種別または/および回線種別ごとに、認証処理結果を示す属性情報を元の個別記述形式へ変換することができる。
【0092】
[第2の実施の形態]
次に、本発明の第2の実施の形態にかかる認証システムについて説明する。
第1の実施の形態では、種別判定部13で判定した装置種別または/および回線種別に応じて、属性変換部15で、認証要求パケットから抽出した属性情報を、個別記述形式から統一記述形式へ変換し、この統一記述形式からなる属性情報に基づき認証処理部17で認証処理を行う場合を例として説明した。これは、統一記述形式からなる属性情報に基づき認証処理を行う1つまたは複数の認証処理部17が設けられていることを前提としている
【0093】
これに対して、認証処理可能な属性情報の記述形式が異なる認証処理部17を複数用いる場合もある。例えば、統一記述形式の属性情報に対してのみ認証処理を行う認証処理部17や、特定の個別記述形式と統一記述形式の属性情報に対して認証処理を行う認証処理部17を組み合わせて認証システムを構成する場合もある。
本実施の形態では、このような認証処理可能な記述形式が異なる認証処理部17を組み合わせて用いる場合について説明する。
【0094】
本実施の形態において、認証処理部17は、種別判定部13で判定した装置種別または/および回線種別に基づいて、これら種別に対応する個別記述形式の属性情報について認証処理可能か否か判定する機能と、当該個別形式について認証処理が不可能な場合には、統一記述形式での属性情報を要求する統一情報要求を属性変換部15に対して通知する機能と、当該個別形式について認証処理が可能な場合には、個別記述形式での属性情報を要求する個別情報要求を属性変換部15に対して通知する機能とを有している。
【0095】
また、属性変換部15は、認証処理部17からの統一情報要求に応じて、パケット処理部12で抽出した属性情報を統一記述形式へ変換して、認証処理部17へ渡す機能と、認証処理部17からの個別情報要求に応じて、パケット処理部12で抽出した属性情報を個別記述形式のまま、認証処理部17へ渡す機能とを有している。
認証システム10におけるこのほかの構成については、第1の実施の形態と同様であり、ここでの詳細な説明は省略する。
【0096】
[第2の実施の形態の動作]
次に、図14および図15を参照して、本実施の形態にかかる認証システムの動作について説明する。図14は、第2の実施の形態にかかる認証システムの動作(属性変換要)を示すシーケンス図であり、図6と同じまたは同等部分には同一符号を付してある。図15は、第2の実施の形態にかかる認証システムの動作(属性変換不要)を示すシーケンス図であり、図6と同じまたは同等部分には同一符号を付してある。
【0097】
ここでは、認証要求装置20からの認証要求パケットに応じて、認証システム10により、当該認証要求パケットに含まれている属性情報を統一記述形式へ変換して認証処理する場合と、個別記述形式のまま認証処理する場合とについて説明する。
【0098】
図14に示すように、認証システム10のパケット処理部12は、通信I/F部11を介して認証要求装置20からの認証要求パケットを受信した場合(ステップ100)、当該認証要求パケットから認証処理に必要な各種属性情報を抽出し(ステップ101)、抽出した属性情報を種別判定部13および属性変換部15へ渡す(ステップ102)。この属性情報は、認証要求装置20の装置種別やアクセス回線30の回線種別ごとに個別の個別記述形式で記述されている。
【0099】
各機能部間で属性情報や種別判定結果などの処理情報をやり取りする場合、内部バスを介して機能部間で、直接、送受信してもよく、記憶部18を介して間接的にやり取りしてもよい。特に、認証処理部17を複数備えて並列処理を行う場合には、属性情報や種別判定結果をパケット処理部12や種別判定部13から記憶部18内のバッファへ順次保存し、認証処理が終了している認証処理部17から、適宜、バッファ内の属性情報や種別判定結果を取得するようにしてもよい。
【0100】
種別判定部13は、パケット処理部12から属性情報を受け取って、判定ルールDB14に格納されている判定ルールを参照して、パケット処理部12で抽出した属性情報に基づいて、認証要求パケットを送信した認証要求装置20に関する装置種別と、認証処理対象となるユーザ端末40が用いたアクセス回線30に関する回線種別を判定する(ステップ103)。
種別判定部13は、このようにして装置種別と回線種別を判定した後、これら種別判定結果を属性変換部15と認証処理部17へ渡す(ステップ104)。
【0101】
認証処理部17は、種別判定部13から種別判定結果を受け取り、この種別判定結果の装置種別または/および回線種別に基づいて、これら種別に対応する個別記述形式の属性情報について認証処理可能か否か判定する(ステップ105)。この際、認証処理部17は、例えば、当該認証処理部17で認証処理可能な記述形式の属性情報が得られる、装置種別または/および回線種別を、認証処理判定情報として予め設定しておき、この認証処理判定情報を参照して、種別判定部13からの判定情報に対する認証処理の可否を判定すればよい。
【0102】
ここで、認証処理が不可能と判定された場合、認証処理部17は、統一記述形式での属性情報を要求する統一情報要求を属性変換部15に対して通知する(ステップ106)。
属性変換部15は、認証処理部17からの統一情報要求に応じて、変換ルールDB16に格納されている変換ルールを参照して、パケット処理部12で抽出した属性情報のうち変換対象属性情報の値を、元の個別記述形式から統一記述形式へ変換し(ステップ110)、統一記述形式の属性情報を認証処理部17へ渡す(ステップ111)。
この後、認証システム10では、前述した図6のステップ112以降の処理が実行される。
【0103】
一方、図15に示すように、ステップ105において、認証処理が可能と判定された場合、認証処理部17は、個別記述形式での属性情報を要求する個別情報要求を属性変換部15に対して通知する(ステップ107)。
属性変換部15は、認証処理部17からの個別情報要求に応じて、パケット処理部12で抽出した属性情報を、元の個別記述形式のまま認証処理部17へ渡す(ステップ120)。
【0104】
認証処理部17は、属性変換部15から個別記述形式の属性情報を受け取って、ユーザ端末40に関する認証処理を行い(ステップ121)、この認証処理に関する認証処理結果として個別記述形式からなる属性情報を属性変換部15へ渡す(ステップ122)。
属性変換部15は、認証処理部17から個別記述形式の属性情報を受け取って、逆変換処理を行うことなく、個別記述形式の属性情報をパケット処理部12へ渡す(ステップ123)。
【0105】
パケット処理部12は、属性変換部15から受け取った個別記述形式の属性情報に基づいて、認証応答パケットを作成し(ステップ124)、通信I/F部11を介して認証要求装置20へ返送する(ステップ125)。
これにより、認証要求装置20では、認証応答パケットで通知された認証結果が認証OKの場合、ユーザ端末40への通信サービス提供のための通信経路確立処理を行い、認証エラーの場合、ユーザ端末40に対して通信サービスの提供ができない旨のエラーメッセージを通知する。
【0106】
[第2の実施の形態の効果]
このように、本実施の形態では、認証処理部17により、種別判定部で得られた装置種別または/および回線種別に基づいて、パケット処理部で抽出した属性情報について認証処理が可能か否か判断し、当該認証処理が不可能な場合には統一記述形式からなる属性情報を要求する統一情報要求を属性変換部15に対して通知し、当該認証処理が可能な場合には個別記述形式からなる属性情報を要求する個別情報要求を属性変換部15に対して通知し、属性変換部15により、統一情報要求が通知された場合、パケット処理部12で抽出した属性情報を統一記述形式への変換して認証処理部17へ出力し、個別情報要求が通知された場合、パケット処理部12で抽出した属性情報を個別記述形式のまま認証処理部17へ出力する。
これにより、認証要求パケットに含まれる属性情報の個別記述形式が、認証処理部17で認証処理可能な場合には、属性変換部15での属性変換処理を省くことができる。
【0107】
[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
【0108】
各実施の形態では、各種機能部が認証システム10を構成する1つの情報装置内に実装されている場合を例として説明したが、これら機能部は、サーバ装置などの複数の情報処理装置に分散して実装してもよい。このようなシステム構成には、通信ネットワークを介してこれら情報処理装置間でデータ通信を行うことにより、各種処理装置をやり取りすればよい。また、これら機能部は、システム構成に応じて、同一機能部を、複数、並列的に設けてもよい。
【0109】
また、各実施の形態では、認証システム10に対して3つの認証要求装置21,22,23が接続され、これら認証要求装置21,22,23に対してそれぞれ1つずつユーザ端末41,42,43が接続されている場合を例として説明したが、これに限定されるものではない。認証システム10に対して接続される認証要求装置20の数、各認証要求装置20に対して接続されるユーザ端末40の数については、それぞれのレルムに応じて、適宜、変更すればよい。
【0110】
また、各実施の形態では、VPNなどの通信サービスを提供する際に行う認証処理を例として説明したが、VPN以外の通信サービスにも同様に適用でき、さらには通信サービス以外の認証処理にも適用できる。
【符号の説明】
【0111】
10…認証システム、11…通信I/F部、12…パケット処理部、13…種別判定部、14…判定ルールDB、15…属性変換部、16…変換ルールDB、17…認証処理部、18…記憶部、19…ユーザDB、20,21,22,23…認証要求部、30,31,32,33…アクセス回線、40,41,42,43…ユーザ端末。
【特許請求の範囲】
【請求項1】
アクセス回線を介してユーザ端末と接続する認証要求装置からの認証要求パケットに応じて、当該ユーザ端末の認証処理を行う認証システムであって、
前記認証要求パケットから前記認証処理に必要な1つ以上の属性情報を抽出するパケット処理部と、
前記属性情報に基づいて、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別を判定する種別判定部と、
前記種別判定結果に基づいて、前記装置種別または/および前記回線種別ごとに個別の個別記述形式からなる前記属性情報を特定の統一記述形式へ変換する属性変換部と、
前記統一記述形式に変換された属性情報に基づいて、前記ユーザ端末に関する認証処理を行う認証処理部と
を備えることを特徴とする認証システム。
【請求項2】
請求項1に記載の認証システムであって、
前記種別判定部は、前記認証要求装置の送信元情報と当該認証要求装置の装置種別との組からなる装置種別判定ルールを参照し、前記パケット処理部で前記属性情報として抽出した当該認証要求装置の送信元情報と組をなす装置種別を、当該認証要求装置の装置種別として取得することを特徴とする認証システム。
【請求項3】
請求項1または請求項2に記載の認証システムであって、
前記種別判定部は、前記パケット処理部で抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、前記パケット処理部で前記属性情報として抽出した前記判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置の回線種別として取得することを特徴とする認証システム。
【請求項4】
請求項1〜請求項3のいずれか1つに記載の認証システムであって、
前記属性変換部は、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、前記種別判定部で得られた前記装置種別または/および前記回線種別と組をなす変換対象属性情報および変換式を取得し、前記パケット処理部で抽出した前記変換対象属性情報の値を当該変換式に基づいて前記統一記述形式へ変換することを特徴とする認証システム。
【請求項5】
請求項1〜請求項4のいずれか1つに記載の認証システムであって、
前記属性変換部は、前記種別判定結果に基づいて、前記認証処理結果を示す属性情報を前記個別記述形式へ逆変換し、
前記パケット処理部は、前記逆変換された属性情報を含む認証応答パケットを作成して、前記認証要求装置へ送信する
ことを特徴とする認証システム。
【請求項6】
請求項5に記載の認証システムであって、
前記属性変換部は、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、前記種別判定部で得られた前記装置種別または/および前記回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、前記認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて前記個別記述形式へ逆変換することを特徴とする認証システム。
【請求項7】
請求項1〜請求項6のいずれか1つに記載の認証システムであって、
前記認証処理部は、前記種別判定部で得られた前記装置種別または/および前記回線種別に基づいて、前記パケット処理部で抽出した前記属性情報について前記認証処理が可能か否か判断し、当該認証処理が不可能な場合には前記統一記述形式からなる属性情報を要求する統一情報要求を前記属性変換部に対して通知し、当該認証処理が可能な場合には前記個別記述形式からなる属性情報を要求する個別情報要求を前記属性変換部に対して通知し、
前記属性変換部は、前記統一情報要求が通知された場合、前記パケット処理部で抽出した前記属性情報を前記統一記述形式への変換して前記認証処理部へ出力し、前記個別情報要求が通知された場合、前記パケット処理部で抽出した前記属性情報を前記個別記述形式のまま前記認証処理部へ出力する
ことを特徴とする認証システム。
【請求項8】
アクセス回線を介してユーザ端末と接続する認証要求装置からの認証要求パケットに応じて、当該ユーザ端末の認証処理を行う認証システムで用いられる認証方法であって、
パケット処理部が、前記認証要求パケットから前記認証処理に必要な1つ以上の属性情報を抽出するパケット処理ステップと、
種別判定部が、前記属性情報に基づいて、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別を判定する種別判定ステップと、
属性変換部が、前記種別判定結果に基づいて、前記装置種別または/および前記回線種別ごとに個別の個別記述形式からなる前記属性情報を特定の統一記述形式へ変換する属性変換ステップと、
認証処理部が、前記統一記述形式に変換された属性情報に基づいて、前記ユーザ端末に関する認証処理を行う認証処理ステップと
を備えることを特徴とする認証方法。
【請求項9】
請求項8に記載の認証方法であって、
前記種別判定ステップは、前記認証要求装置の送信元情報と当該認証要求装置の装置種別との組からなる装置種別判定ルールを参照し、前記パケット処理ステップで前記属性情報として抽出した当該認証要求装置の送信元情報と組をなす装置種別を、当該認証要求装置の装置種別として取得するステップを含むことを特徴とする認証方法。
【請求項10】
請求項8または請求項9に記載の認証方法であって、
前記種別判定ステップは、前記パケット処理ステップで抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、前記パケット処理ステップで前記属性情報として抽出した前記判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置の回線種別として取得するステップを含むことを特徴とする認証方法。
【請求項11】
請求項8〜請求項10のいずれか1つに記載の認証方法であって、
前記属性変換ステップは、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、前記種別判定ステップで得られた前記装置種別または/および前記回線種別と組をなす変換対象属性情報および変換式を取得し、前記パケット処理ステップで抽出した前記変換対象属性情報の値を当該変換式に基づいて前記統一記述形式へ変換するステップを含むことを特徴とする認証方法。
【請求項12】
請求項8〜請求項11のいずれか1つに記載の認証方法であって、
前記属性変換ステップは、前記種別判定結果に基づいて、前記認証処理結果を示す属性情報を前記個別記述形式へ逆変換するステップを含み、
前記パケット処理ステップは、前記逆変換された属性情報を含む認証応答パケットを作成して、前記認証要求装置へ送信するステップを含む
ことを特徴とする認証方法。
【請求項13】
請求項12に記載の認証方法であって、
前記属性変換ステップは、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、前記種別判定ステップで得られた前記装置種別または/および前記回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、前記認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて前記個別記述形式へ逆変換するステップを含むことを特徴とする認証方法。
【請求項14】
請求項8〜請求項13のいずれか1つに記載の認証方法であって、
前記認証処理ステップは、前記種別判定ステップで得られた前記装置種別または/および前記回線種別に基づいて、前記パケット処理ステップで抽出した前記属性情報について前記認証処理が可能か否か判断し、当該認証処理が不可能な場合には前記統一記述形式からなる属性情報を要求する統一情報要求を前記属性変換ステップに対して通知し、当該認証処理が可能な場合には前記個別記述形式からなる属性情報を要求する個別情報要求を前記属性変換ステップに対して通知するステップを含み、
前記属性変換ステップは、前記統一情報要求が通知された場合、前記パケット処理ステップで抽出した前記属性情報を前記統一記述形式への変換して前記認証処理ステップへ出力し、前記個別情報要求が通知された場合、前記パケット処理ステップで抽出した前記属性情報を前記個別記述形式のまま前記認証処理ステップへ出力するステップを含む
ことを特徴とする認証方法。
【請求項15】
コンピュータを、請求項1〜請求項7のいずれかに記載の認証システムを構成する各部として機能させるためのプログラム。
【請求項1】
アクセス回線を介してユーザ端末と接続する認証要求装置からの認証要求パケットに応じて、当該ユーザ端末の認証処理を行う認証システムであって、
前記認証要求パケットから前記認証処理に必要な1つ以上の属性情報を抽出するパケット処理部と、
前記属性情報に基づいて、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別を判定する種別判定部と、
前記種別判定結果に基づいて、前記装置種別または/および前記回線種別ごとに個別の個別記述形式からなる前記属性情報を特定の統一記述形式へ変換する属性変換部と、
前記統一記述形式に変換された属性情報に基づいて、前記ユーザ端末に関する認証処理を行う認証処理部と
を備えることを特徴とする認証システム。
【請求項2】
請求項1に記載の認証システムであって、
前記種別判定部は、前記認証要求装置の送信元情報と当該認証要求装置の装置種別との組からなる装置種別判定ルールを参照し、前記パケット処理部で前記属性情報として抽出した当該認証要求装置の送信元情報と組をなす装置種別を、当該認証要求装置の装置種別として取得することを特徴とする認証システム。
【請求項3】
請求項1または請求項2に記載の認証システムであって、
前記種別判定部は、前記パケット処理部で抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、前記パケット処理部で前記属性情報として抽出した前記判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置の回線種別として取得することを特徴とする認証システム。
【請求項4】
請求項1〜請求項3のいずれか1つに記載の認証システムであって、
前記属性変換部は、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、前記種別判定部で得られた前記装置種別または/および前記回線種別と組をなす変換対象属性情報および変換式を取得し、前記パケット処理部で抽出した前記変換対象属性情報の値を当該変換式に基づいて前記統一記述形式へ変換することを特徴とする認証システム。
【請求項5】
請求項1〜請求項4のいずれか1つに記載の認証システムであって、
前記属性変換部は、前記種別判定結果に基づいて、前記認証処理結果を示す属性情報を前記個別記述形式へ逆変換し、
前記パケット処理部は、前記逆変換された属性情報を含む認証応答パケットを作成して、前記認証要求装置へ送信する
ことを特徴とする認証システム。
【請求項6】
請求項5に記載の認証システムであって、
前記属性変換部は、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、前記種別判定部で得られた前記装置種別または/および前記回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、前記認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて前記個別記述形式へ逆変換することを特徴とする認証システム。
【請求項7】
請求項1〜請求項6のいずれか1つに記載の認証システムであって、
前記認証処理部は、前記種別判定部で得られた前記装置種別または/および前記回線種別に基づいて、前記パケット処理部で抽出した前記属性情報について前記認証処理が可能か否か判断し、当該認証処理が不可能な場合には前記統一記述形式からなる属性情報を要求する統一情報要求を前記属性変換部に対して通知し、当該認証処理が可能な場合には前記個別記述形式からなる属性情報を要求する個別情報要求を前記属性変換部に対して通知し、
前記属性変換部は、前記統一情報要求が通知された場合、前記パケット処理部で抽出した前記属性情報を前記統一記述形式への変換して前記認証処理部へ出力し、前記個別情報要求が通知された場合、前記パケット処理部で抽出した前記属性情報を前記個別記述形式のまま前記認証処理部へ出力する
ことを特徴とする認証システム。
【請求項8】
アクセス回線を介してユーザ端末と接続する認証要求装置からの認証要求パケットに応じて、当該ユーザ端末の認証処理を行う認証システムで用いられる認証方法であって、
パケット処理部が、前記認証要求パケットから前記認証処理に必要な1つ以上の属性情報を抽出するパケット処理ステップと、
種別判定部が、前記属性情報に基づいて、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別を判定する種別判定ステップと、
属性変換部が、前記種別判定結果に基づいて、前記装置種別または/および前記回線種別ごとに個別の個別記述形式からなる前記属性情報を特定の統一記述形式へ変換する属性変換ステップと、
認証処理部が、前記統一記述形式に変換された属性情報に基づいて、前記ユーザ端末に関する認証処理を行う認証処理ステップと
を備えることを特徴とする認証方法。
【請求項9】
請求項8に記載の認証方法であって、
前記種別判定ステップは、前記認証要求装置の送信元情報と当該認証要求装置の装置種別との組からなる装置種別判定ルールを参照し、前記パケット処理ステップで前記属性情報として抽出した当該認証要求装置の送信元情報と組をなす装置種別を、当該認証要求装置の装置種別として取得するステップを含むことを特徴とする認証方法。
【請求項10】
請求項8または請求項9に記載の認証方法であって、
前記種別判定ステップは、前記パケット処理ステップで抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、前記パケット処理ステップで前記属性情報として抽出した前記判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置の回線種別として取得するステップを含むことを特徴とする認証方法。
【請求項11】
請求項8〜請求項10のいずれか1つに記載の認証方法であって、
前記属性変換ステップは、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、前記種別判定ステップで得られた前記装置種別または/および前記回線種別と組をなす変換対象属性情報および変換式を取得し、前記パケット処理ステップで抽出した前記変換対象属性情報の値を当該変換式に基づいて前記統一記述形式へ変換するステップを含むことを特徴とする認証方法。
【請求項12】
請求項8〜請求項11のいずれか1つに記載の認証方法であって、
前記属性変換ステップは、前記種別判定結果に基づいて、前記認証処理結果を示す属性情報を前記個別記述形式へ逆変換するステップを含み、
前記パケット処理ステップは、前記逆変換された属性情報を含む認証応答パケットを作成して、前記認証要求装置へ送信するステップを含む
ことを特徴とする認証方法。
【請求項13】
請求項12に記載の認証方法であって、
前記属性変換ステップは、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、前記種別判定ステップで得られた前記装置種別または/および前記回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、前記認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて前記個別記述形式へ逆変換するステップを含むことを特徴とする認証方法。
【請求項14】
請求項8〜請求項13のいずれか1つに記載の認証方法であって、
前記認証処理ステップは、前記種別判定ステップで得られた前記装置種別または/および前記回線種別に基づいて、前記パケット処理ステップで抽出した前記属性情報について前記認証処理が可能か否か判断し、当該認証処理が不可能な場合には前記統一記述形式からなる属性情報を要求する統一情報要求を前記属性変換ステップに対して通知し、当該認証処理が可能な場合には前記個別記述形式からなる属性情報を要求する個別情報要求を前記属性変換ステップに対して通知するステップを含み、
前記属性変換ステップは、前記統一情報要求が通知された場合、前記パケット処理ステップで抽出した前記属性情報を前記統一記述形式への変換して前記認証処理ステップへ出力し、前記個別情報要求が通知された場合、前記パケット処理ステップで抽出した前記属性情報を前記個別記述形式のまま前記認証処理ステップへ出力するステップを含む
ことを特徴とする認証方法。
【請求項15】
コンピュータを、請求項1〜請求項7のいずれかに記載の認証システムを構成する各部として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2011−41088(P2011−41088A)
【公開日】平成23年2月24日(2011.2.24)
【国際特許分類】
【出願番号】特願2009−187818(P2009−187818)
【出願日】平成21年8月13日(2009.8.13)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年2月24日(2011.2.24)
【国際特許分類】
【出願日】平成21年8月13日(2009.8.13)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]