認証メッセージ交換システムおよび認証メッセージ交換方法
【課題】エンドツーエンドの認証を実現し、かつ、プロキシサーバによる認証メッセージの盗聴や改竄を防ぐことを課題とする。
【解決手段】認証クライアント10や認証サーバ40と同一の拠点網に設置された認証信号制御装置20各々は、拠点網識別子と広域網識別子とを対応づけて識別子テーブルに格納する。また、認証信号制御装置20各々は、同一の拠点網に設置された認証クライアント10や認証サーバ40との間で認証メッセージを送受信する。また、認証信号制御装置20各々は、他方の認証信号制御装置20との間で認証メッセージの暗号化に関する処理や電子署名に関する処理を相互に行う。また、認証信号制御装置20各々は、他方の認証信号制御装置20との間で、暗号化に関する処理が行われ電子署名に関する処理が行われた認証メッセージを送受信する。
【解決手段】認証クライアント10や認証サーバ40と同一の拠点網に設置された認証信号制御装置20各々は、拠点網識別子と広域網識別子とを対応づけて識別子テーブルに格納する。また、認証信号制御装置20各々は、同一の拠点網に設置された認証クライアント10や認証サーバ40との間で認証メッセージを送受信する。また、認証信号制御装置20各々は、他方の認証信号制御装置20との間で認証メッセージの暗号化に関する処理や電子署名に関する処理を相互に行う。また、認証信号制御装置20各々は、他方の認証信号制御装置20との間で、暗号化に関する処理が行われ電子署名に関する処理が行われた認証メッセージを送受信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証メッセージ交換システムおよび認証メッセージ交換方法に関する。
【背景技術】
【0002】
端末や端末の利用者に対してネットワークへの接続性を提供する際の認証をIP(Internet Protocol)ネットワーク上で実現するプロトコルとして、RADIUS(Remote Authentication Dial In User Service)プロトコルが知られている(非特許文献1)。RADIUSプロトコルは、認証や課金を行うための汎用的なプロトコルであり、ISP(Internet Service Provider)における利用者認証に広く利用される他、他の認証方式とも組み合わせて利用される。例えば、RADIUSプロトコルは、IEEE(Institute Of Electrical And Electronics Engineers)802.1X/EAP(Extensible Authentication Protocol)、PAP(Password Authentication Protocol)やCHAP(Challenge Handshake Authentication Protocol)、EAP−TLS(Transport Layer Security)やEAP−TTLS(Tunneled TLS)などと組み合わせて利用される。
【0003】
ここで、RADIUSプロトコルは、クライアント・サーバモデルに基づくプロトコルである。具体的には、端末に対してネットワークへの接続性を提供する無線AP(Access Point)やレイヤ2スイッチなどのRADIUSクライアントが、認証要求メッセージをRADIUSサーバに送信し、RADIUSサーバが、認証結果を認証応答メッセージとしてRADIUSクライアントに送信する。
【0004】
また、RADIUSサーバは、RADIUSクライアントから送信された認証要求メッセージを自身では処理せず、別のRADIUSサーバに転送するプロキシ機能を持つことができる。プロキシ機能を持ったRADIUSサーバ(以下、RADIUSプロキシサーバと呼ぶ)は、認証要求メッセージに含まれる識別IDに基づいて、当該認証要求メッセージを認証可能なRADIUSサーバに当該認証要求メッセージを転送する。
【0005】
なお、RADIUSプロキシサーバは、多段に構成されることができる。例えば、非特許文献2に開示される大規模な無線LAN(Local Area Network)ローミング基盤では、大学や研究機関などの拠点毎に設置されるRADIUSプロキシサーバを集約する上位のRADIUSプロキシサーバを地域毎に設置し、さらにそれらのRADIUSプロキシサーバをより広域で集約するRADIUSプロキシサーバを設置するといった形態で、RADIUSプロキシサーバのツリーを構成している。ある拠点で発生した認証要求メッセージは、当該認証要求メッセージを認証可能な拠点のRADIUSサーバまで、複数のRADIUSプロキシサーバを経由して転送される。
【0006】
【非特許文献1】RFC2865:“Remote Authentication Dial In User Service(RADIUS)”、2000
【非特許文献2】Wierenga, K. and Florio, L., “Eduroam: past, present and future”、 Computational Methods IN Science AND Technology、pp.169-173、2005
【発明の開示】
【発明が解決しようとする課題】
【0007】
ところで、上記した従来の技術では、エンドツーエンドの認証ができず、また、プロキシサーバによる認証メッセージの盗聴や改竄を防ぐことができないという課題があった。
【0008】
まず、RADIUSプロトコルでは、RADIUSクライアントとRADIUSサーバとが事前共有鍵を用いてエンドツーエンドの認証を行うことができる。しかしながら、RADIUSプロキシサーバが設置される形態では、RADIUSクライアントとRADIUSプロキシサーバとが事前共有鍵を共有し、RADIUSプロキシサーバとRADIUSサーバとが事前共有鍵を共有するので、RADIUSクライアントとRADIUSサーバとは直接相互に認証を行うことができない。このため、RADIUSクライアントは、RADIUSプロキシサーバが認証要求メッセージを転送するRADIUSサーバが、確かにRADIUSクライアントの意図するRADIUSサーバであるか否かを確認できない。また、RADIUSサーバも、認証要求メッセージの送信元であるRADIUSクライアントが、確かにRADIUSサーバの意図するRADIUSクライアントであるか否かを確認できない。
【0009】
次に、RADIUSプロトコルでは、認証メッセージは暗号化されない。この点、RADIUSクライアントとRADIUSプロキシサーバとの間、RADIUSプロキシサーバとRADIUSサーバとの間については、IPsec等(Security Architecture for Internet Protocol)を用いて通信路を保護し、通信路上でのRADIUSメッセージの盗聴を防止することはできる。しかしながら、RADIUSプロキシサーバによる認証メッセージの盗聴を防止することはできない。例えば、認証方式としてPAPを用いた場合、RADIUSプロキシサーバは、パスワードを平文で取得できてしまう。また、EAP−TLSやEAP−TTLSを用いた場合、RADIUSプロキシサーバは、端末が無線LANアクセスポイントとの通信に使用するWEP(Wired Equivalent Privacy)キーなどのセッション暗号鍵を取得できてしまう。また、上記したように、RADIUSクライアントとRADIUSサーバとの間ではエンドツーエンドの認証を行うことができないので、RADIUSクライアントとRADIUSサーバとの間での認証メッセージの完全性は保証されず、RADIUSプロキシサーバが認証メッセージを改竄する恐れがある。
【0010】
そこで、本発明は、上記した従来の技術の課題を解決するためになされたものであり、エンドツーエンドの認証が可能であり、かつ、プロキシサーバによる認証メッセージの盗聴や改竄を防ぐことが可能な認証メッセージ交換システムおよび認証メッセージ交換方法を提供することを目的とする。
【課題を解決するための手段】
【0011】
上記した課題を解決し、目的を達成するため、異なる拠点網に設置された認証装置間で認証メッセージを交換する認証メッセージ交換システムであって、認証装置が設置された拠点網と同一の拠点網に設置された認証信号制御装置各々は、同一の拠点網に設置された認証装置との間で認証メッセージを送受信する対認証装置送受信手段と、認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの暗号化に関する処理を相互に行う暗号化処理手段と、認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの電子署名に関する処理を相互に行う電子署名処理手段と、拠点網外の広域網に設置された認証信号中継装置との間で、前記暗号化に関する処理が行われ前記電子署名に関する処理が行われた認証メッセージを送受信する対中継装置送受信手段と、を備え、前記認証信号中継装置各々は、前記対中継装置送受信手段によって送信された認証メッセージを当該認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置に向けて中継する中継手段と、を備えたことを特徴とする。
【発明の効果】
【0012】
本発明によれば、エンドツーエンドの認証が可能になり、かつ、プロキシサーバによる認証メッセージの盗聴や改竄を防ぐことが可能になる。
【発明を実施するための最良の形態】
【0013】
以下に添付図面を参照して、本発明に係る認証メッセージ交換システムおよび認証メッセージ交換方法の実施例を詳細に説明する。なお、以下では、まず、実施例1に係る認証メッセージ交換システムの概要を説明し、続いて、実施例1に係る認証メッセージ交換システムの全体構成、処理手順、構成、効果を説明する。その後、他の実施例を説明する。
【実施例1】
【0014】
[実施例1に係る認証メッセージ交換システムの概要]
まず、図1を用いて、実施例1に係る認証メッセージ交換システムの概要を説明する。図1は、実施例1に係る認証メッセージ交換システムの概要を説明するための図である。
【0015】
実施例1に係る認証メッセージ交換システムは、図1に示すように、異なる拠点網に設置された認証クライアント10と認証サーバ40との間で認証メッセージを交換するシステムである。また、図1に示すように、認証クライアント10が設置された拠点網と同一の拠点網に認証信号制御装置20が設置され、認証サーバ40が設置された拠点網と同一の拠点網に認証信号制御装置20が設置される。また、図1に示すように、拠点網と拠点網と間の広域網に認証信号中継装置30が設置される。
【0016】
ここで、認証信号制御装置20各々は、図1に示すように、認証メッセージを拠点網内にて識別する拠点網識別子と広域網にて識別する広域網識別子とを対応づけて識別子テーブルに格納する。
【0017】
また、認証信号制御装置20各々は、図1に示すように、識別子テーブルに格納された拠点網識別子を用いて、同一の拠点網に設置された認証クライアント10や認証サーバ40との間で認証メッセージを送受信する。
【0018】
また、認証信号制御装置20各々は、図1に示すように、認証メッセージの交換相手となる認証サーバ40や認証クライアント10と同一の拠点網に設置された認証信号制御装置20との間で、認証メッセージの暗号化に関する処理や電子署名に関する処理を相互に行う。例えば、認証クライアント10と同一の拠点網に設置された認証信号制御装置20は、認証メッセージを暗号化し、電子署名を添付する。一方、認証サーバ40と同一の拠点網に設置された認証信号制御装置20は、暗号化された認証メッセージを復号化し、添付された電子署名を検証する。
【0019】
また、認証信号制御装置20各々は、図1に示すように、識別子テーブルに格納された広域網識別子を用いて、認証信号中継装置30との間で、暗号化に関する処理が行われ電子署名に関する処理が行われた認証メッセージを送受信する。認証信号中継装置30は、図1に示すように、暗号化に関する処理が行われ電子署名に関する処理が行われた認証メッセージを中継する。
【0020】
例えば、認証クライアント10と同一の拠点網に設置された認証信号制御装置20は、暗号化し電子署名を添付した認証メッセージを認証信号中継装置30に送信する。すると、認証信号中継装置30は、認証メッセージの交換相手となる認証サーバ40と同一の拠点網に設置された認証信号制御装置20に向けて、暗号化され電子署名を添付された認証メッセージを中継する。一方、認証サーバ40と同一の拠点網に設置された認証信号制御装置20は、暗号化され電子署名を添付された認証メッセージを認証信号中継装置30から受信すると、認証メッセージを復号化し、電子署名を検証する。
【0021】
このように、実施例1に係る認証メッセージ交換システムにおいては、拠点網各々に設置された認証信号制御装置20間で暗号化に関する処理や電子署名に関する処理が相互に行われ、認証信号中継装置30は、暗号化され電子署名を添付された認証メッセージを中継するにすぎない。このようなことから、実施例1に係る認証メッセージ交換システムは、エンドツーエンドの認証が可能になり、かつ、RADIUSプロキシサーバによる認証メッセージの盗聴や改竄を防ぐことが可能になる。
【0022】
また、実施例1に係る認証メッセージ交換システムは、RADIUSプロキシサーバの負荷を抑えることも可能になる。すなわち、実施例1に係る認証メッセージ交換システムは、従来のRADIUSプロキシサーバが持つ認証メッセージ中継機能と状態管理機能とを分離し、認証メッセージ中継機能のみをRADIUSプロキシサーバに持たせようとするものである。
【0023】
ここで、従来のRADIUSプロキシサーバによる状態管理機能について説明する。RADIUSクライアントは、一般に、送信した認証要求メッセージに応答する認証応答メッセージを受信するまでの間、周期的に認証要求メッセージを再送信する。この時、再送信する認証要求メッセージには、元の認証要求メッセージと同じ識別子を含める必要がある。このため、RADIUSクライアントは、認証応答メッセージを受信するまでの間、送信した認証要求メッセージと識別子との対応づけを記憶部に記憶して管理する。一方、従来のRADIUSプロキシサーバは、RADIUSクライアントと同様に、RADIUSサーバから認証応答メッセージが返信されるまでの間、RADIUSクライアントから送信された認証要求メッセージに含まれる識別子と、当該認証要求メッセージにRADIUSプロキシサーバが新たに設定する識別子との対応づけを記憶部に記憶して管理しなければならなかった。
【0024】
また、従来のRADIUSプロキシサーバは、RADIUSサーバから送信された認証応答メッセージをRADIUSクライアントに転送する際、認証応答メッセージに含まれる識別子を、RADIUSクライアントが送信した認証要求メッセージに含まれていた識別子に設定し直さなければならなかった。一般に、RADIUSプロキシサーバは、複数のRADIUSクライアントからの認証要求メッセージを中継するように構成され、RADIUSプロキシサーバが管理する認証メッセージの状態数は、RADIUSクライアントが管理する認証メッセージの状態数に比べ大きい。このため、状態管理のための負荷が大きく、認証メッセージ交換システムにおいて、RADIUSプロキシサーバの性能がボトルネックとなる可能性があった。
【0025】
この点、実施例1に係る認証メッセージ交換システムにおいては、拠点網各々に設置された認証信号制御装置20各々が、認証メッセージに含まれる識別子の対応づけを記憶部に記憶して管理するので、認証信号中継装置30は、識別子の対応づけを管理する必要がない。このようなことから、実施例1に係る認証メッセージ交換システムは、RADIUSプロキシサーバの負荷を抑えることも可能になる。
【0026】
[実施例1に係る認証メッセージ交換システムの全体構成]
次に、図2を用いて、実施例1に係る認証メッセージ交換システムの全体構成を説明する。図2は、実施例1に係る認証メッセージ交換システムの全体構成を説明するための図である。なお、図2において、LANは「拠点網」に対応し、インターネットは「広域網」に対応し、無線AP10は認証クライアント10に対応する。また、以下では、同一の拠点網に設置されている装置のことを適宜「ローカルの装置」と表現する。
【0027】
実施例1に係る認証メッセージ交換システムは、例えば、図2に示すように構成される。すなわち、レルム(a.co.jp)で示されるA社ネットワーク、レルム(b.org)で示されるB社ネットワーク、レルム(c.net)で示されるC社ネットワーク、およびレルム(d.com)で示されるD社ネットワークが、インターネットを介して接続され、異なるネットワークに設置された無線AP10や認証サーバ40間で認証メッセージが交換される。
【0028】
無線AP10は、IEEE802.1Xによる無線LAN接続認証機能を備える。無線AP10は、IEEE802.1Xプロトコルによって端末50からEAPメッセージを受信し、受信したEAPメッセージをRADIUSプロトコルによってRADIUSサーバに転送する。実施例1における無線AP10は、RADIUSサーバとして、認証信号制御装置20のIPアドレスを事前に登録している。
【0029】
認証信号制御装置20は、Linuxサーバなどのサーバ用コンピュータにRDBMS(Relational Database Management System)を動作させ、RDBMS上のテーブルとして、後述するメッセージID対応テーブルを実現する。また、認証信号制御装置20は、後述するローカル側認証メッセージ受信部、メッセージID対応づけ部、エンベロープ付加部、エンベロープ付き認証メッセージ送信部、エンベロープ検証部、ローカル側認証メッセージ送信部をソフトウェアプログラムで実現する。なお、認証信号制御装置20は、認証メッセージの送信先として、認証信号中継装置30のIPアドレスおよびローカルの認証サーバ40のIPアドレスを事前に登録している。また、認証信号制御装置20は、認証メッセージの送信先の各企業(A社、B社、C社、D社など)の公開鍵証明書を事前に登録している。
【0030】
認証信号中継装置30は、Linuxサーバなどのサーバ用コンピュータにRDBMSを動作させ、RDBMS上のテーブルとして、後述するレルム管理テーブルを実現する。また、認証信号中継装置30は、後述するエンベロープ付き認証メッセージ中継部をソフトウェアプログラムで実現する。なお、認証信号中継装置30は、レルム管理テーブルに、各企業のレルムと認証信号制御装置20のIPアドレスとの対応づけを事前に登録している。
【0031】
認証サーバ40は、Linuxサーバなどのサーバ用コンピュータにRADIUSプロトコルによる認証を行うソフトウェアプログラムを動作させたものである。認証サーバ40は、認証を行うための認証情報を事前に登録している。あるいは、認証サーバ40は、認証情報を保持するサーバへアクセスするための情報を事前に登録している。
【0032】
端末50は、無線LANインタフェースを備えるPC(Personal Computer)である。端末50は、IEEE802.1X/EAP認証による無線LAN接続認証に対応するクライアント機能を備える。
【0033】
[実施例1に係る認証メッセージ交換システムによる処理手順]
次に、図3を用いて、実施例1に係る認証メッセージ交換システムによる処理手順を説明する。図3は、実施例1に係る認証メッセージ交換システムによる処理手順を示すシーケンス図である。なお、図3においては、A社ネットワークに設置される端末50の利用者を認証することを目的として、A社ネットワークに設置される無線AP10と、C社ネットワークに設置される認証サーバ40との間で認証メッセージを交換する例を説明する。また、ローカル側メッセージIDは「拠点網識別子」に対応し、広域側メッセージIDは「広域網識別子」に対応する。
【0034】
まず、図3に示すように、A社ネットワークに設置される端末50が、無線接続要求を無線AP10に送信する(ステップS101)。なお、無線接続要求の送信を契機として、端末50と無線AP10との間で無線リンクが確立される。
【0035】
続いて、無線AP10は、IEEE802.1Xに定められる手順に従って、EAPで定められる認証要求(EAP Request)を端末50に送信する(ステップS102)。
【0036】
すると、端末50は、無線AP10から送信された認証要求に基づいて、EAPで定められる認証応答(EAP Identity)を無線AP10に送信する(ステップS103)。認証応答には、端末50の利用者の識別IDが含まれる。識別IDは、NAI(Network Access Identifier)形式となっており、レルム部から端末50の利用者の所属企業を識別できるものとする。
【0037】
次に、無線AP10は、端末50から送信された認証応答を自身で検証できないので、当該認証応答をRADIUSプロトコルで定められる認証要求メッセージとして認証信号制御装置20に送信する(ステップS104)。なお、認証要求メッセージには、無線AP10が決定するローカル側メッセージIDが含まれる。
【0038】
すると、認証信号制御装置20は、認証要求メッセージの広域側メッセージIDを決定し、ローカル側メッセージIDと、送信元の無線AP10のIPアドレスと、タイムアウト時刻と、決定した広域側メッセージIDとを対応づけて、認証信号制御装置20内のメッセージID対応テーブルに格納する(ステップS105)。
【0039】
また、認証信号制御装置20は、認証要求メッセージに含まれる端末50の利用者の識別IDのレルム部から端末50の利用者の所属企業を識別し、予め登録している当該企業の公開鍵を用いて、認証要求メッセージを暗号化する(ステップS106)。
【0040】
そして、認証信号制御装置20は、暗号化した認証要求メッセージにエンベロープを付加し、電子署名を添付する(ステップS107)。なお、認証信号制御装置20は、エンベロープに、認証信号制御装置20自身の識別子として送信元のレルムを含める。
【0041】
その後、認証信号制御装置20は、エンベロープを付加したエンベロープ付き認証要求メッセージを認証信号中継装置30に送信する(ステップS108)。
【0042】
一方、認証信号中継装置30は、認証要求メッセージを受信すると、認証要求メッセージのエンベロープに含まれる送信先のレルムを検索キーとしてレルム管理テーブルを参照し、送信先の認証信号制御装置20のIPアドレスを取得する(ステップS109)。
【0043】
そして、認証信号中継装置30は、取得した認証信号制御装置20のIPアドレスに対して認証要求メッセージを転送する(ステップS110)。
【0044】
一方、C社ネットワークに設置された認証信号制御装置20は、受信した認証要求メッセージのエンベロープに含まれる送信元のレルムから送信元の企業を識別し、予め登録している当該企業の公開鍵を用いて、エンベロープの電子署名を検証する。電子署名の検証結果が否であれば、認証信号制御装置20は、認証要求メッセージを破棄する。電子署名の検証結果が可であれば、認証信号制御装置20は、自身の秘密鍵を用いて、認証要求メッセージを復号化する(ステップS111)。
【0045】
そして、認証信号制御装置20は、受信した認証要求メッセージに設定するローカル側メッセージIDを決定し、決定したローカル側メッセージIDと、送信先の認証サーバ40のIPアドレスと、タイムアウト時刻と、広域側メッセージIDとを対応づけて、認証信号制御装置20内のメッセージID対応テーブルに格納する(ステップS112)。また、認証信号制御装置20は、認証要求メッセージに含まれるローカル側メッセージIDを、新たに決定したローカル側メッセージIDに更新する。
【0046】
続いて、認証信号制御装置20は、認証要求メッセージのエンベロープを除去し、RADIUSプロトコルに従って認証サーバ40に送信する(ステップS113)。
【0047】
すると、認証サーバ40は、認証要求メッセージに基づいて認証を行う(ステップS114)。
【0048】
そして、認証サーバ40は、RADIUSプロトコルに従って認証応答メッセージを認証信号制御装置20に送信する(ステップS115)。
【0049】
一方、認証信号制御装置20は、認証応答メッセージに含まれる認証要求元のレルムから、認証要求元の所属企業を識別し、予め登録している当該企業の公開鍵を用いて、認証応答メッセージを暗号化する(ステップS116)。
【0050】
次に、認証信号制御装置20は、認証応答メッセージに含まれるローカル側メッセージIDを検索キーとしてメッセージID対応テーブルを参照し、対応づけて記憶されている広域側メッセージIDを取得する。続いて、認証信号制御装置20は、暗号化した認証応答メッセージに、取得した広域側メッセージIDを含めたエンベロープを付加し、電子署名を添付する(ステップS117)。なお、認証信号制御装置20は、エンベロープに、認証信号制御装置20自身の識別子として送信元のレルムを含める。
【0051】
そして、認証信号制御装置20は、エンベロープを付加したエンベロープ付き認証応答メッセージを認証信号中継装置30に送信する(ステップS118)。
【0052】
一方、認証信号中継装置30は、受信した認証応答メッセージのエンベロープに含まれる送信先のレルムを検索キーとしてレルム管理テーブルを参照し、事前に登録されている送信先の認証信号制御装置20のIPアドレスを取得する(ステップS119)。
【0053】
そして、認証信号中継装置30は、取得した送信先の認証信号制御装置20のIPアドレスに対して認証応答メッセージを転送する(ステップS120)。
【0054】
一方、認証信号制御装置20は、受信した認証応答メッセージのエンベロープに含まれる送信元のレルムから送信元の企業を識別し、予め登録している当該企業の公開鍵を用いて、エンベロープの電子署名を検証する。そして、電子署名の検証結果が否であれば、認証信号制御装置20は、認証応答メッセージを破棄する。電子署名の検証結果が可であれば、認証信号制御装置20は、自身の秘密鍵を用いて認証応答メッセージを復号化する(ステップS121)。
【0055】
そして、認証信号制御装置20は、受信した認証応答メッセージの広域側メッセージIDを検索キーとしてメッセージID対応テーブルを参照し、対応づけて記憶されているローカル側メッセージIDを取得する。そして、認証信号制御装置20は、取得したローカル側メッセージIDを用いて、認証応答メッセージに含まれるローカル側メッセージIDを更新し、認証応答メッセージのエンベロープを除去する(ステップS122)。
【0056】
続いて、認証信号制御装置20は、RADIUSプロトコルに従って、認証応答メッセージを無線AP10に送信する(ステップS123)。
【0057】
その後、無線AP10は、認証応答メッセージに従って端末50の無線接続を認可し、EAPによって認証結果を端末50に通知する(ステップS124)。
【0058】
[実施例1に係る認証メッセージ交換システムの構成]
次に、図4〜図7を用いて、実施例1に係る認証メッセージ交換システムの構成を説明する。図4は、実施例1に係る認証メッセージ交換システムの構成を説明するための図であり、図5は、メッセージIDを説明するための図であり、図6は、メッセージID対応テーブルを説明するための図であり、図7は、エンベロープを説明するための図である。
【0059】
図4に示すように、実施例1に係る認証メッセージ交換システムは、無線AP10と認証信号制御装置20と認証信号中継装置30と認証サーバ40とを備える。なお、図4においては、説明の便宜上、認証メッセージ交換システムが備える装置を1台ずつ示し、装置間の情報の流れを示すこととするが、上記してきたように、認証信号制御装置20は、認証クライアント10と同一の拠点網と、認証サーバ40と同一の拠点網とに各々設置される。以下、各装置の構成を順に説明する。
【0060】
無線AP10は、図4に示すように、認証要求部11を備える。
【0061】
認証要求部11は、認証サーバ40との間で認証メッセージを交換する。具体的には、認証要求部11は、認証信号制御装置20のローカル側認証メッセージ受信部21と接続され、認証信号制御装置20に対して認証要求メッセージを送信する。また、認証要求部11は、認証信号制御装置20のローカル側認証メッセージ送信部27と接続され、認証信号制御装置20から認証応答メッセージを受信する。
【0062】
なお、認証要求部11は、認証要求メッセージを送信する際、認証要求メッセージを拠点網内にて識別するローカル側メッセージIDを決定し、認証要求メッセージに含める。例えば、認証要求部11は、図5の(A)に示すように、ローカル側メッセージID『A』を決定し、認証要求メッセージに含める。
【0063】
認証サーバ40は、図4に示すように、認証応答部41を備える。
【0064】
認証応答部41は、無線AP10との間で認証メッセージを交換し、認証を行う。具体的には、認証応答部41は、認証信号制御装置20のローカル側認証メッセージ送信部27と接続され、認証信号制御装置20から認証要求メッセージを受信する。また、認証応答部41は、認証要求メッセージを受信すると、受信した認証要求メッセージに基づいて認証を行う。また、認証応答部41は、認証信号制御装置20のローカル側認証メッセージ受信部21と接続され、認証信号制御装置20に対して、認証結果を示す認証応答メッセージを送信する。
【0065】
なお、認証応答部41は、認証応答メッセージを送信する際、受信した認証要求メッセージに含まれていたローカル側メッセージIDと同じローカル側メッセージIDを認証応答メッセージに含める。例えば、認証応答部41は、図5の(B)および(C)に示すように、受信した認証要求メッセージに含まれていたローカル側メッセージID『B』と同じローカル側メッセージID『B』を認証応答メッセージに含める。
【0066】
認証信号制御装置20は、図4に示すように、ローカル側認証メッセージ受信部21と、メッセージID対応づけ部22と、メッセージID対応テーブル23と、エンベロープ付加部24と、エンベロープ付き認証メッセージ送信部25と、エンベロープ検証部26と、ローカル側認証メッセージ送信部27とを備える。
【0067】
ローカル側認証メッセージ受信部21は、ローカル側メッセージIDを用いて、同一の拠点網に設置された認証クライアント11や認証サーバ40から認証メッセージを受信する。具体的には、ローカル側認証メッセージ受信部21は、無線AP10の認証要求部11と接続され、無線AP10から認証要求メッセージを受信する。受信した認証要求メッセージには、ローカル側メッセージIDが含められている。例えば、図5の(A)に示すように、ローカル側メッセージID『A』が含められている。
【0068】
また、ローカル側認証メッセージ受信部21は、メッセージID対応づけ部22とエンベロープ付加部24と接続され、受信した認証要求メッセージに含められているローカル側メッセージIDをメッセージID対応づけ部22に通知するとともに、認証要求メッセージをエンベロープ付加部24に通知する。
【0069】
また、ローカル側認証メッセージ受信部21は、認証サーバ40の認証応答部41と接続され、認証サーバ40から認証応答メッセージを受信する。受信した認証応答メッセージには、ローカル側メッセージIDが含められている。例えば、図5の(C)に示すように、ローカル側メッセージID『B』が含められている。
【0070】
また、ローカル側認証メッセージ受信部21は、受信した認証応答メッセージに含められているローカル側メッセージIDをメッセージID対応づけ部22に通知するとともに、認証応答メッセージをエンベロープ付加部24に通知する。
【0071】
メッセージID対応づけ部22は、認証メッセージを拠点網内にて識別するローカル側メッセージIDと広域網にて識別する広域側メッセージIDとを対応づけて格納する。具体的には、メッセージID対応づけ部22は、ローカル側認証メッセージ受信部21とメッセージID対応テーブル23と接続され、ローカル側認証メッセージ受信部21から認証要求メッセージに含められているローカル側メッセージIDを通知されると、認証要求メッセージについて広域側メッセージIDを決定する。例えば、メッセージID対応づけ部22は、図5の(A)に示すように、ローカル側メッセージID『A』を通知されると、広域側メッセージID『X』を決定する。また、メッセージID対応づけ部22は、ローカル側メッセージIDと、送信元の無線AP10のIPアドレスと、タイムアウト時刻と、広域側メッセージIDとを対応づけて、メッセージID対応テーブル23に格納する。
【0072】
また、メッセージID対応づけ部22は、エンベロープ付加部24と接続され、認証要求メッセージについて決定した広域側メッセージIDをエンベロープ付加部24に通知する。
【0073】
また、メッセージID対応づけ部22は、エンベロープ検証部26とメッセージID対応テーブル23と接続され、エンベロープ検証部26から認証要求メッセージのエンベロープに含められている広域側メッセージIDを通知されると、認証要求メッセージについてローカル側メッセージIDを決定する。例えば、メッセージID対応づけ部22は、図5の(B)に示すように、広域側メッセージID『X』を通知されると、ローカル側メッセージID『B』を決定する。また、メッセージID対応づけ部22は、ローカル側メッセージIDと、ローカルの認証サーバ40のIPアドレスと、タイムアウト時刻と、広域側メッセージIDとを対応づけて、メッセージID対応テーブル23に格納する。
【0074】
また、メッセージID対応づけ部22は、ローカル側認証メッセージ送信部27と接続され、認証要求メッセージについて決定したローカル側メッセージIDをローカル側認証メッセージ送信部27に通知する。
【0075】
また、メッセージID対応づけ部22は、ローカル側認証メッセージ受信部21から認証応答メッセージに含められているローカル側メッセージIDを通知されると、通知されたローカル側メッセージIDを検索キーとしてメッセージID対応テーブル23を参照し、対応づけて記憶されている広域側メッセージIDを取得する。例えば、メッセージID対応づけ部22は、図5の(C)に示すように、ローカル側メッセージID『B』を通知されると、広域側メッセージID『X』を取得する。なお、メッセージID対応づけ部22は、メッセージID対応テーブル23を参照した際に、該当するレコードがなければ、当該認証応答メッセージを破棄する。
【0076】
また、メッセージID対応づけ部22は、認証応答メッセージについて取得した広域側メッセージIDをエンベロープ付加部24に通知する。
【0077】
また、メッセージID対応づけ部22は、エンベロープ検証部26から認証応答メッセージのエンベロープに含められている広域側メッセージIDを通知されると、通知された広域側メッセージIDを検索キーとしてメッセージID対応テーブル23を参照し、対応づけて記憶されているローカル側メッセージIDを取得する。例えば、メッセージID対応づけ部22は、図5の(D)に示すように、広域側メッセージID『X』を通知されると、ローカル側メッセージID『A』を取得する。また、メッセージID対応づけ部22は、対応づけて記憶されている無線AP10のIPアドレスも取得する。なお、メッセージID対応づけ部22は、メッセージID対応テーブル23を参照した際に、該当するレコードがなければ、当該認証応答メッセージを破棄する。
【0078】
また、メッセージID対応づけ部22は、認証応答メッセージについて取得したローカル側メッセージIDと無線AP10のIPアドレスとをローカル側認証メッセージ送信部27に通知する。
【0079】
メッセージID対応テーブル23は、ローカル側メッセージIDと広域側メッセージIDとを対応づけて記憶する。具体的には、メッセージID対応テーブル23は、メッセージID対応づけ部22と接続され、メッセージID対応づけ部22によって格納されることで、ローカル側メッセージIDと広域側メッセージIDとを対応づけて記憶する。
【0080】
例えば、メッセージIDテーブル23は、図6に示すように、ローカル側メッセージIDと、送信元の無線AP10のIPアドレスと、タイムアウト時刻と、広域側メッセージIDとを対応づけて記憶する。
【0081】
エンベロープ付加部24は、認証メッセージにエンベロープを付加することで、認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置20との間で、認証メッセージの暗号化に関する処理や電子署名に関する処理を相互に行う。具体的には、エンベロープ付加部24は、ローカル側認証メッセージ受信部21とメッセージID対応づけ部22とエンベロープ付き認証メッセージ送信部25と接続される。
【0082】
まず、エンベロープ付加部24が、ローカルの無線AP10から送信された認証要求メッセージにエンベロープを付加する場合について説明する。エンベロープ付加部24は、ローカル側認証メッセージ受信部21から認証要求メッセージを通知されると、予め登録している送信先の認証信号制御装置20の公開鍵を用いて、通知された認証要求メッセージを暗号化する。また、エンベロープ付加部24は、暗号化した認証要求メッセージについて、図7に示すように、送信元の認証信号制御装置20を示すレルム、送信先の認証信号制御装置20を示すレルム、メッセージID対応づけ部22から通知された広域側メッセージID、送信元の認証信号制御装置20の秘密鍵による電子署名、送信元の認証信号制御装置20の公開鍵を送信先の認証信号制御装置20が取得するためのURL(Uniform Resource Locator)をエンベロープとして付加する。なお、送信先の認証信号制御装置20を示すレルムは、認証要求メッセージに含まれる識別IDのレルムとする。また、エンベロープ付加部24は、認証要求メッセージにエンベロープを付加すると、エンベロープ付き認証要求メッセージをエンベロープ付き認証メッセージ送信部25に通知する。
【0083】
次に、エンベロープ付加部24が、ローカルの認証サーバ40から送信された認証応答メッセージにエンベロープを付加する場合について説明する。エンベロープ付加部24は、ローカル側認証メッセージ受信部21から認証応答メッセージを通知されると、予め登録している送信先の認証信号制御装置20の公開鍵を用いて、通知された認証応答メッセージを暗号化する。また、エンベロープ付加部24は、暗号化した認証応答メッセージについて、送信元の認証信号制御装置20を示すレルム、送信先の認証信号制御装置20を示すレルム、メッセージID対応づけ部22から通知された広域側メッセージID、送信元の認証信号制御装置20の秘密鍵による電子署名、送信元の認証信号制御装置20の公開鍵を送信先の認証信号制御装置20が取得するためのURLをエンベロープとして付加する。なお、送信先の認証信号制御装置20を示すレルムは、認証要求メッセージに含まれる送信元のレルムとする。また、エンベロープ付加部24は、認証応答メッセージにエンベロープを付加すると、エンベロープ付き認証応答メッセージをエンベロープ付き認証メッセージ送信部25に通知する。
【0084】
エンベロープ付き認証メッセージ送信部25は、広域側メッセージIDを用いて、認証信号中継装置30に対して、暗号に関する処理が行われ電子署名に関する処理が行われた認証メッセージを送信する。具体的には、エンベロープ付き認証メッセージ送信部25は、エンベロープ付加部24と認証信号中継装置30と接続され、エンベロープ付加部24から通知されたエンベロープ付き認証要求メッセージやエンベロープ付き認証応答メッセージを認証信号中継装置30に送信する。
【0085】
また、エンベロープ付き認証メッセージ送信部25は、メッセージID対応テーブル23と接続され、認証要求メッセージ送信後、メッセージID対応テーブル23に記憶されている当該認証要求メッセージのタイムアウト時刻に達するか、あるいは、エンベロープ検証部26が当該認証要求メッセージに対応する認証応答メッセージを受信するまで、一定時間おきに認証要求メッセージを再送信する。エンベロープ付き認証メッセージ送信部25は、タイムアウト時刻に達した場合には、認証要求メッセージのレコードをメッセージID対応テーブル23から削除する。
【0086】
エンベロープ検証部26は、認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置20との間で、認証メッセージの暗号化に関する処理や電子署名に関する処理を相互に行う。具体的には、エンベロープ検証部26は、認証信号中継装置30と、メッセージID対応づけ部22と、ローカル側認証メッセージ送信部27と接続される。
【0087】
エンベロープ検証部26は、認証信号中継装置30からエンベロープ付き認証要求メッセージやエンベロープ付き認証応答メッセージを受信すると、送信元の認証信号制御装置20の公開鍵を用いてエンベロープの電子署名を検証する。なお、エンベロープ検証部26は、送信元の認証信号制御装置20の公開鍵を登録していない場合には、エンベロープ付き認証要求メッセージやエンベロープ付き認証応答メッセージに含まれる公開鍵取得用のURLへとアクセスし、公開鍵を取得する。エンベロープ検証部26は、電子署名の検証結果が否であれば、当該認証要求メッセージや当該認証応答メッセージを破棄する。一方、エンベロープ検証部26は、電子署名の検証結果が可であれば、予め登録する秘密鍵を用いて認証要求メッセージや認証応答メッセージを復号化する。
【0088】
また、エンベロープ検証部26は、認証要求メッセージを復号化すると、認証要求メッセージのエンベロープに含められている広域側メッセージIDをメッセージID対応づけ部22に通知し、復号した認証要求メッセージをローカル側認証メッセージ送信部27に通知する。また、エンベロープ検証部26は、認証応答メッセージを復号化すると、認証応答メッセージのエンベロープに含められている広域側メッセージIDをメッセージID対応づけ部22に通知し、復号した認証応答メッセージをローカル側認証メッセージ送信部27に通知する。
【0089】
ローカル側認証メッセージ送信部27は、ローカル側メッセージIDを用いて、ローカルの認証クライアント11や認証サーバ40に対して認証メッセージを送信する。具体的には、ローカル側認証メッセージ送信部27は、エンベロープ検証部26と認証サーバ40の認証応答部41と接続され、エンベロープ検証部26から通知された認証要求メッセージを認証サーバ40に対して送信する。この時、ローカル側認証メッセージ送信部27は、認証要求メッセージに含まれているローカル側メッセージIDを、メッセージID対応づけ部22から通知されたローカル側メッセージIDに更新する。また、ローカル側認証メッセージ送信部27は、認証要求メッセージに付加されたエンベロープを除去してから、認証要求メッセージを送信する。
【0090】
また、ローカル側認証メッセージ送信部27は、メッセージID対応テーブル23と接続され、認証要求メッセージ送信後、メッセージID対応テーブル23に記憶されている当該認証要求メッセージのタイムアウト時刻に達するか、あるいは、ローカル側認証メッセージ受信部21が認証要求メッセージに対応する認証応答メッセージを受信するまで、一定時間おきに認証要求メッセージを再送信する。ローカル側認証メッセージ送信部27は、タイムアウト時刻に達した場合には、認証要求メッセージのレコードをメッセージID対応テーブル23から削除する。
【0091】
また、ローカル側認証メッセージ送信部27は、エンベロープ検証部26と認証クライアント10の認証要求部11と接続され、エンベロープ検証部26から通知された認証応答メッセージを認証クライアント10に対して送信する。この時、ローカル側認証メッセージ送信部27は、認証応答メッセージに含まれているローカル側メッセージIDを、メッセージID対応づけ部22から通知されたローカル側メッセージIDに更新する。また、ローカル側認証メッセージ送信部27は、認証応答メッセージに付加されたエンベロープを除去してから、認証応答メッセージを送信する。
【0092】
認証信号中継装置30は、図4に示すように、エンベロープ付き認証メッセージ中継部31と、レルム管理テーブル32とを備える。
【0093】
エンベロープ付き認証メッセージ中継部31は、認証信号制御装置20から送信されたエンベロープ付き認証要求メッセージやエンベロープ付き認証応答メッセージを受信すると、エンベロープに含まれる送信先レルムに基づいて、送信先の認証信号制御装置20に向けて認証メッセージを中継する。具体的には、エンベロープ付き認証メッセージ中継部31は、レルム管理テーブル32と接続され、エンベロープに含まれる送信先レルムを用いてレルム管理テーブル32を参照し、レルムに対応づけて記憶されているIPアドレスを取得する。そして、エンベロープ付き認証メッセージ中継部31は、取得したIPアドレスに対して認証メッセージを送信する。
【0094】
レルム管理テーブル32は、認証メッセージに含まれるレルムと、当該レルムを含む認証メッセージを転送するべき認証信号制御装置20のIPアドレスとを対応づけて記憶する。
【0095】
[実施例1の効果]
上記してきたように、実施例1に係る認証メッセージ交換システムは、異なるLANに設置された無線AP10と認証サーバ40との間で認証メッセージを交換する認証メッセージ交換システムである。また、無線AP10や認証サーバ40が設置されたLANと同一のLANに設置された認証信号制御装置20各々は、ローカルの無線AP10や認証サーバ40との間で認証メッセージを送受信する。また、認証信号制御装置20各々は、認証メッセージの交換相手となる認証サーバ40や無線AP10が設置されたLANと同一のLANに設置された認証信号制御装置20との間で、認証メッセージの暗号化に関する処理や電子署名に関する処理を相互に行う。また、認証信号制御装置20各々は、インターネットに設置された認証信号中継装置30との間で、暗号化に関する処理が行われ電子署名に関する処理が行われた認証メッセージを送受信する。認証信号中継装置30各々は、送信された認証メッセージを認証メッセージの交換相手となる認証サーバ40や無線AP10と同一のLANに設置された認証信号制御装置20に向けて中継する。
【0096】
このように、実施例1に係る認証メッセージ交換システムにおいては、LAN各々に設置された認証信号制御装置20間で暗号化に関する処理や電子署名に関する処理が相互に行われ、認証信号中継装置30は、暗号化され電子署名を添付された認証メッセージを中継するにすぎない。このようなことから、実施例1に係る認証メッセージ交換システムは、従来のRADIUSクライアントやRADIUSサーバへの変更を不要としつつ、エンドツーエンドの認証が可能になり、かつ、RADIUSプロキシサーバによる認証メッセージの盗聴や改竄を防ぐことが可能になる。
【0097】
また、実施例1に係る認証メッセージ交換システムの認証信号制御装置20各々は、ローカル側メッセージIDと広域側メッセージIDとを対応づけてメッセージID対応テーブルに格納する。また、認証信号制御装置20各々は、ローカル側メッセージIDを用いて認証メッセージを送受信し、広域側メッセージIDを用いて認証メッセージを送受信する。
【0098】
このように、実施例1に係る認証メッセージ交換システムにおいては、LAN各々に設置された認証信号制御装置20各々が、認証メッセージに含まれるメッセージIDの対応づけを記憶部に記憶して管理するので、認証信号中継装置30は、メッセージIDの対応づけを管理する必要がない。このようなことから、実施例1に係る認証メッセージ交換システムは、RADIUSプロキシサーバの負荷を抑えることも可能になる。
【実施例2】
【0099】
[他の実施例]
さて、これまで本発明の実施例1について説明してきたが、本発明は実施例1以外にも種々の異なる形態にて実施されてよいものである。
【0100】
[認証信号中継装置30を中継しない構成]
実施例1においては、認証信号制御装置20のエンベロープ付き認証メッセージ送信部25が、エンベロープ付き認証要求メッセージやエンベロープ付き認証応答メッセージを認証信号中継装置30に送信するものとして説明した。しかしながら、本発明はこれに限られるものではない。エンベロープ付き認証メッセージ送信部25は、エンベロープ付き認証要求メッセージやエンベロープ付き認証応答メッセージを認証信号中継装置30に送信せずに、送信先の認証信号制御装置20に直接送信してもよい。例えば、認証信号制御装置20が、送信先の認証信号制御装置20を示すレルムとIPアドレスとの対応づけを事前に記憶部に登録していたとする。すると、エンベロープ付き認証メッセージ送信部25は、エンベロープに含まれる送信先の認証信号制御装置20を示すレルムを用いて記憶部を参照し、当該レルムに対応づけて記憶されているIPアドレスを取得することで、IPアドレスを解決する。そして、エンベロープ付き認証メッセージ送信部25は、解決したIPアドレスを用いて、エンベロープ付き認証要求メッセージやエンベロープ付き認証応答メッセージを送信先の認証信号制御装置20に直接送信する。
【0101】
このような場合、認証メッセージ交換システムは、広域網に認証信号中継装置30を設置する必要がない。すなわち、認証メッセージ交換システムにおいて、認証信号制御装置20各々は、認証メッセージの交換相手となる認証サーバ40や認証クライアント10と同一の拠点網に設置された認証信号制御装置20との間で、暗号化に関する処理が行われ電子署名に関する処理が行われた認証メッセージを直接送受信する。このため、広域網に認証信号中継装置30を設置する必要がないのである。なお、認証メッセージ交換システムにおいて、認証メッセージを認証信号中継装置30に送信する手法と認証信号制御装置20に直接送信する手法とが混在してもよい。
【0102】
[暗号化に関する処理、電子署名に関する処理]
また、実施例1においては、暗号化に関する処理や電子署名に関する処理として、例えば、端末50の利用者の所属企業の公開鍵を用いて認証要求メッセージを暗号化し、送信元の認証信号制御装置20の秘密鍵による電子署名をエンベロープの一部として付加する手法を説明してきた。しかしながら、本発明はこれに限られるものではない。
【0103】
例えば、送信元の認証信号制御装置20と送信先の認証信号制御装置20とが共通鍵を保持しているとする。このような場合、送信元の認証信号制御装置20は、例えば、認証要求メッセージをハッシュ化し、ハッシュ化した認証要求メッセージを送信元の認証信号制御装置20の秘密鍵によって暗号化して電子署名とする。そして、送信元の認証信号制御装置20は、認証要求メッセージと電子署名と公開鍵証明書とを共通鍵によって暗号化し、送信先の認証信号制御装置20に向けて送信してもよい。すなわち、認証メッセージ交換システムにおいて、暗号化に関する処理や電子署名に関する処理には、任意の手法を用いることができる。
【0104】
[システム構成等]
また、明細書や図面で示した処理手順(図3など)、具体的名称(図1〜図7など)、各種のデータやパラメータを含む情報(図6〜図7など)については、特記する場合を除いて任意に変更することができる。
【0105】
また、図面で示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPU(Central Processing Unit)および当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0106】
なお、上記の実施例で説明した認証メッセージ交換方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
【産業上の利用可能性】
【0107】
以上のように、本発明に係る認証メッセージ交換システムおよび認証メッセージ交換方法は、異なる拠点網に設置された認証装置間で認証メッセージを交換することに有用であり、特に、エンドツーエンドの認証を実現し、かつ、プロキシサーバによる認証メッセージの盗聴や改竄を防ぐことに適する。
【図面の簡単な説明】
【0108】
【図1】実施例1に係る認証メッセージ交換システムの概要を説明するための図である。
【図2】実施例1に係る認証メッセージ交換システムの全体構成を説明するための図である。
【図3】実施例1に係る認証メッセージ交換システムによる処理手順を説明するためのシーケンス図である。
【図4】実施例1に係る認証メッセージ交換システムの構成を説明するための図である。
【図5】メッセージIDを説明するための図である。
【図6】メッセージID対応テーブルを説明するための図である。
【図7】エンベロープを説明するための図である。
【符号の説明】
【0109】
10 認証クライアント
11 認証要求部
20 認証信号制御装置
21 ローカル側認証メッセージ受信部
22 メッセージID対応づけ部
23 メッセージID対応テーブル
24 エンベロープ付加部
25 エンベロープ付き認証メッセージ送信部
26 エンベロープ検証部
27 ローカル側認証メッセージ送信部
30 認証信号中継装置
31 エンベロープ付き認証メッセージ中継部
32 レルム管理テーブル
40 認証サーバ
41 認証応答部
50 端末
【技術分野】
【0001】
本発明は、認証メッセージ交換システムおよび認証メッセージ交換方法に関する。
【背景技術】
【0002】
端末や端末の利用者に対してネットワークへの接続性を提供する際の認証をIP(Internet Protocol)ネットワーク上で実現するプロトコルとして、RADIUS(Remote Authentication Dial In User Service)プロトコルが知られている(非特許文献1)。RADIUSプロトコルは、認証や課金を行うための汎用的なプロトコルであり、ISP(Internet Service Provider)における利用者認証に広く利用される他、他の認証方式とも組み合わせて利用される。例えば、RADIUSプロトコルは、IEEE(Institute Of Electrical And Electronics Engineers)802.1X/EAP(Extensible Authentication Protocol)、PAP(Password Authentication Protocol)やCHAP(Challenge Handshake Authentication Protocol)、EAP−TLS(Transport Layer Security)やEAP−TTLS(Tunneled TLS)などと組み合わせて利用される。
【0003】
ここで、RADIUSプロトコルは、クライアント・サーバモデルに基づくプロトコルである。具体的には、端末に対してネットワークへの接続性を提供する無線AP(Access Point)やレイヤ2スイッチなどのRADIUSクライアントが、認証要求メッセージをRADIUSサーバに送信し、RADIUSサーバが、認証結果を認証応答メッセージとしてRADIUSクライアントに送信する。
【0004】
また、RADIUSサーバは、RADIUSクライアントから送信された認証要求メッセージを自身では処理せず、別のRADIUSサーバに転送するプロキシ機能を持つことができる。プロキシ機能を持ったRADIUSサーバ(以下、RADIUSプロキシサーバと呼ぶ)は、認証要求メッセージに含まれる識別IDに基づいて、当該認証要求メッセージを認証可能なRADIUSサーバに当該認証要求メッセージを転送する。
【0005】
なお、RADIUSプロキシサーバは、多段に構成されることができる。例えば、非特許文献2に開示される大規模な無線LAN(Local Area Network)ローミング基盤では、大学や研究機関などの拠点毎に設置されるRADIUSプロキシサーバを集約する上位のRADIUSプロキシサーバを地域毎に設置し、さらにそれらのRADIUSプロキシサーバをより広域で集約するRADIUSプロキシサーバを設置するといった形態で、RADIUSプロキシサーバのツリーを構成している。ある拠点で発生した認証要求メッセージは、当該認証要求メッセージを認証可能な拠点のRADIUSサーバまで、複数のRADIUSプロキシサーバを経由して転送される。
【0006】
【非特許文献1】RFC2865:“Remote Authentication Dial In User Service(RADIUS)”、2000
【非特許文献2】Wierenga, K. and Florio, L., “Eduroam: past, present and future”、 Computational Methods IN Science AND Technology、pp.169-173、2005
【発明の開示】
【発明が解決しようとする課題】
【0007】
ところで、上記した従来の技術では、エンドツーエンドの認証ができず、また、プロキシサーバによる認証メッセージの盗聴や改竄を防ぐことができないという課題があった。
【0008】
まず、RADIUSプロトコルでは、RADIUSクライアントとRADIUSサーバとが事前共有鍵を用いてエンドツーエンドの認証を行うことができる。しかしながら、RADIUSプロキシサーバが設置される形態では、RADIUSクライアントとRADIUSプロキシサーバとが事前共有鍵を共有し、RADIUSプロキシサーバとRADIUSサーバとが事前共有鍵を共有するので、RADIUSクライアントとRADIUSサーバとは直接相互に認証を行うことができない。このため、RADIUSクライアントは、RADIUSプロキシサーバが認証要求メッセージを転送するRADIUSサーバが、確かにRADIUSクライアントの意図するRADIUSサーバであるか否かを確認できない。また、RADIUSサーバも、認証要求メッセージの送信元であるRADIUSクライアントが、確かにRADIUSサーバの意図するRADIUSクライアントであるか否かを確認できない。
【0009】
次に、RADIUSプロトコルでは、認証メッセージは暗号化されない。この点、RADIUSクライアントとRADIUSプロキシサーバとの間、RADIUSプロキシサーバとRADIUSサーバとの間については、IPsec等(Security Architecture for Internet Protocol)を用いて通信路を保護し、通信路上でのRADIUSメッセージの盗聴を防止することはできる。しかしながら、RADIUSプロキシサーバによる認証メッセージの盗聴を防止することはできない。例えば、認証方式としてPAPを用いた場合、RADIUSプロキシサーバは、パスワードを平文で取得できてしまう。また、EAP−TLSやEAP−TTLSを用いた場合、RADIUSプロキシサーバは、端末が無線LANアクセスポイントとの通信に使用するWEP(Wired Equivalent Privacy)キーなどのセッション暗号鍵を取得できてしまう。また、上記したように、RADIUSクライアントとRADIUSサーバとの間ではエンドツーエンドの認証を行うことができないので、RADIUSクライアントとRADIUSサーバとの間での認証メッセージの完全性は保証されず、RADIUSプロキシサーバが認証メッセージを改竄する恐れがある。
【0010】
そこで、本発明は、上記した従来の技術の課題を解決するためになされたものであり、エンドツーエンドの認証が可能であり、かつ、プロキシサーバによる認証メッセージの盗聴や改竄を防ぐことが可能な認証メッセージ交換システムおよび認証メッセージ交換方法を提供することを目的とする。
【課題を解決するための手段】
【0011】
上記した課題を解決し、目的を達成するため、異なる拠点網に設置された認証装置間で認証メッセージを交換する認証メッセージ交換システムであって、認証装置が設置された拠点網と同一の拠点網に設置された認証信号制御装置各々は、同一の拠点網に設置された認証装置との間で認証メッセージを送受信する対認証装置送受信手段と、認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの暗号化に関する処理を相互に行う暗号化処理手段と、認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの電子署名に関する処理を相互に行う電子署名処理手段と、拠点網外の広域網に設置された認証信号中継装置との間で、前記暗号化に関する処理が行われ前記電子署名に関する処理が行われた認証メッセージを送受信する対中継装置送受信手段と、を備え、前記認証信号中継装置各々は、前記対中継装置送受信手段によって送信された認証メッセージを当該認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置に向けて中継する中継手段と、を備えたことを特徴とする。
【発明の効果】
【0012】
本発明によれば、エンドツーエンドの認証が可能になり、かつ、プロキシサーバによる認証メッセージの盗聴や改竄を防ぐことが可能になる。
【発明を実施するための最良の形態】
【0013】
以下に添付図面を参照して、本発明に係る認証メッセージ交換システムおよび認証メッセージ交換方法の実施例を詳細に説明する。なお、以下では、まず、実施例1に係る認証メッセージ交換システムの概要を説明し、続いて、実施例1に係る認証メッセージ交換システムの全体構成、処理手順、構成、効果を説明する。その後、他の実施例を説明する。
【実施例1】
【0014】
[実施例1に係る認証メッセージ交換システムの概要]
まず、図1を用いて、実施例1に係る認証メッセージ交換システムの概要を説明する。図1は、実施例1に係る認証メッセージ交換システムの概要を説明するための図である。
【0015】
実施例1に係る認証メッセージ交換システムは、図1に示すように、異なる拠点網に設置された認証クライアント10と認証サーバ40との間で認証メッセージを交換するシステムである。また、図1に示すように、認証クライアント10が設置された拠点網と同一の拠点網に認証信号制御装置20が設置され、認証サーバ40が設置された拠点網と同一の拠点網に認証信号制御装置20が設置される。また、図1に示すように、拠点網と拠点網と間の広域網に認証信号中継装置30が設置される。
【0016】
ここで、認証信号制御装置20各々は、図1に示すように、認証メッセージを拠点網内にて識別する拠点網識別子と広域網にて識別する広域網識別子とを対応づけて識別子テーブルに格納する。
【0017】
また、認証信号制御装置20各々は、図1に示すように、識別子テーブルに格納された拠点網識別子を用いて、同一の拠点網に設置された認証クライアント10や認証サーバ40との間で認証メッセージを送受信する。
【0018】
また、認証信号制御装置20各々は、図1に示すように、認証メッセージの交換相手となる認証サーバ40や認証クライアント10と同一の拠点網に設置された認証信号制御装置20との間で、認証メッセージの暗号化に関する処理や電子署名に関する処理を相互に行う。例えば、認証クライアント10と同一の拠点網に設置された認証信号制御装置20は、認証メッセージを暗号化し、電子署名を添付する。一方、認証サーバ40と同一の拠点網に設置された認証信号制御装置20は、暗号化された認証メッセージを復号化し、添付された電子署名を検証する。
【0019】
また、認証信号制御装置20各々は、図1に示すように、識別子テーブルに格納された広域網識別子を用いて、認証信号中継装置30との間で、暗号化に関する処理が行われ電子署名に関する処理が行われた認証メッセージを送受信する。認証信号中継装置30は、図1に示すように、暗号化に関する処理が行われ電子署名に関する処理が行われた認証メッセージを中継する。
【0020】
例えば、認証クライアント10と同一の拠点網に設置された認証信号制御装置20は、暗号化し電子署名を添付した認証メッセージを認証信号中継装置30に送信する。すると、認証信号中継装置30は、認証メッセージの交換相手となる認証サーバ40と同一の拠点網に設置された認証信号制御装置20に向けて、暗号化され電子署名を添付された認証メッセージを中継する。一方、認証サーバ40と同一の拠点網に設置された認証信号制御装置20は、暗号化され電子署名を添付された認証メッセージを認証信号中継装置30から受信すると、認証メッセージを復号化し、電子署名を検証する。
【0021】
このように、実施例1に係る認証メッセージ交換システムにおいては、拠点網各々に設置された認証信号制御装置20間で暗号化に関する処理や電子署名に関する処理が相互に行われ、認証信号中継装置30は、暗号化され電子署名を添付された認証メッセージを中継するにすぎない。このようなことから、実施例1に係る認証メッセージ交換システムは、エンドツーエンドの認証が可能になり、かつ、RADIUSプロキシサーバによる認証メッセージの盗聴や改竄を防ぐことが可能になる。
【0022】
また、実施例1に係る認証メッセージ交換システムは、RADIUSプロキシサーバの負荷を抑えることも可能になる。すなわち、実施例1に係る認証メッセージ交換システムは、従来のRADIUSプロキシサーバが持つ認証メッセージ中継機能と状態管理機能とを分離し、認証メッセージ中継機能のみをRADIUSプロキシサーバに持たせようとするものである。
【0023】
ここで、従来のRADIUSプロキシサーバによる状態管理機能について説明する。RADIUSクライアントは、一般に、送信した認証要求メッセージに応答する認証応答メッセージを受信するまでの間、周期的に認証要求メッセージを再送信する。この時、再送信する認証要求メッセージには、元の認証要求メッセージと同じ識別子を含める必要がある。このため、RADIUSクライアントは、認証応答メッセージを受信するまでの間、送信した認証要求メッセージと識別子との対応づけを記憶部に記憶して管理する。一方、従来のRADIUSプロキシサーバは、RADIUSクライアントと同様に、RADIUSサーバから認証応答メッセージが返信されるまでの間、RADIUSクライアントから送信された認証要求メッセージに含まれる識別子と、当該認証要求メッセージにRADIUSプロキシサーバが新たに設定する識別子との対応づけを記憶部に記憶して管理しなければならなかった。
【0024】
また、従来のRADIUSプロキシサーバは、RADIUSサーバから送信された認証応答メッセージをRADIUSクライアントに転送する際、認証応答メッセージに含まれる識別子を、RADIUSクライアントが送信した認証要求メッセージに含まれていた識別子に設定し直さなければならなかった。一般に、RADIUSプロキシサーバは、複数のRADIUSクライアントからの認証要求メッセージを中継するように構成され、RADIUSプロキシサーバが管理する認証メッセージの状態数は、RADIUSクライアントが管理する認証メッセージの状態数に比べ大きい。このため、状態管理のための負荷が大きく、認証メッセージ交換システムにおいて、RADIUSプロキシサーバの性能がボトルネックとなる可能性があった。
【0025】
この点、実施例1に係る認証メッセージ交換システムにおいては、拠点網各々に設置された認証信号制御装置20各々が、認証メッセージに含まれる識別子の対応づけを記憶部に記憶して管理するので、認証信号中継装置30は、識別子の対応づけを管理する必要がない。このようなことから、実施例1に係る認証メッセージ交換システムは、RADIUSプロキシサーバの負荷を抑えることも可能になる。
【0026】
[実施例1に係る認証メッセージ交換システムの全体構成]
次に、図2を用いて、実施例1に係る認証メッセージ交換システムの全体構成を説明する。図2は、実施例1に係る認証メッセージ交換システムの全体構成を説明するための図である。なお、図2において、LANは「拠点網」に対応し、インターネットは「広域網」に対応し、無線AP10は認証クライアント10に対応する。また、以下では、同一の拠点網に設置されている装置のことを適宜「ローカルの装置」と表現する。
【0027】
実施例1に係る認証メッセージ交換システムは、例えば、図2に示すように構成される。すなわち、レルム(a.co.jp)で示されるA社ネットワーク、レルム(b.org)で示されるB社ネットワーク、レルム(c.net)で示されるC社ネットワーク、およびレルム(d.com)で示されるD社ネットワークが、インターネットを介して接続され、異なるネットワークに設置された無線AP10や認証サーバ40間で認証メッセージが交換される。
【0028】
無線AP10は、IEEE802.1Xによる無線LAN接続認証機能を備える。無線AP10は、IEEE802.1Xプロトコルによって端末50からEAPメッセージを受信し、受信したEAPメッセージをRADIUSプロトコルによってRADIUSサーバに転送する。実施例1における無線AP10は、RADIUSサーバとして、認証信号制御装置20のIPアドレスを事前に登録している。
【0029】
認証信号制御装置20は、Linuxサーバなどのサーバ用コンピュータにRDBMS(Relational Database Management System)を動作させ、RDBMS上のテーブルとして、後述するメッセージID対応テーブルを実現する。また、認証信号制御装置20は、後述するローカル側認証メッセージ受信部、メッセージID対応づけ部、エンベロープ付加部、エンベロープ付き認証メッセージ送信部、エンベロープ検証部、ローカル側認証メッセージ送信部をソフトウェアプログラムで実現する。なお、認証信号制御装置20は、認証メッセージの送信先として、認証信号中継装置30のIPアドレスおよびローカルの認証サーバ40のIPアドレスを事前に登録している。また、認証信号制御装置20は、認証メッセージの送信先の各企業(A社、B社、C社、D社など)の公開鍵証明書を事前に登録している。
【0030】
認証信号中継装置30は、Linuxサーバなどのサーバ用コンピュータにRDBMSを動作させ、RDBMS上のテーブルとして、後述するレルム管理テーブルを実現する。また、認証信号中継装置30は、後述するエンベロープ付き認証メッセージ中継部をソフトウェアプログラムで実現する。なお、認証信号中継装置30は、レルム管理テーブルに、各企業のレルムと認証信号制御装置20のIPアドレスとの対応づけを事前に登録している。
【0031】
認証サーバ40は、Linuxサーバなどのサーバ用コンピュータにRADIUSプロトコルによる認証を行うソフトウェアプログラムを動作させたものである。認証サーバ40は、認証を行うための認証情報を事前に登録している。あるいは、認証サーバ40は、認証情報を保持するサーバへアクセスするための情報を事前に登録している。
【0032】
端末50は、無線LANインタフェースを備えるPC(Personal Computer)である。端末50は、IEEE802.1X/EAP認証による無線LAN接続認証に対応するクライアント機能を備える。
【0033】
[実施例1に係る認証メッセージ交換システムによる処理手順]
次に、図3を用いて、実施例1に係る認証メッセージ交換システムによる処理手順を説明する。図3は、実施例1に係る認証メッセージ交換システムによる処理手順を示すシーケンス図である。なお、図3においては、A社ネットワークに設置される端末50の利用者を認証することを目的として、A社ネットワークに設置される無線AP10と、C社ネットワークに設置される認証サーバ40との間で認証メッセージを交換する例を説明する。また、ローカル側メッセージIDは「拠点網識別子」に対応し、広域側メッセージIDは「広域網識別子」に対応する。
【0034】
まず、図3に示すように、A社ネットワークに設置される端末50が、無線接続要求を無線AP10に送信する(ステップS101)。なお、無線接続要求の送信を契機として、端末50と無線AP10との間で無線リンクが確立される。
【0035】
続いて、無線AP10は、IEEE802.1Xに定められる手順に従って、EAPで定められる認証要求(EAP Request)を端末50に送信する(ステップS102)。
【0036】
すると、端末50は、無線AP10から送信された認証要求に基づいて、EAPで定められる認証応答(EAP Identity)を無線AP10に送信する(ステップS103)。認証応答には、端末50の利用者の識別IDが含まれる。識別IDは、NAI(Network Access Identifier)形式となっており、レルム部から端末50の利用者の所属企業を識別できるものとする。
【0037】
次に、無線AP10は、端末50から送信された認証応答を自身で検証できないので、当該認証応答をRADIUSプロトコルで定められる認証要求メッセージとして認証信号制御装置20に送信する(ステップS104)。なお、認証要求メッセージには、無線AP10が決定するローカル側メッセージIDが含まれる。
【0038】
すると、認証信号制御装置20は、認証要求メッセージの広域側メッセージIDを決定し、ローカル側メッセージIDと、送信元の無線AP10のIPアドレスと、タイムアウト時刻と、決定した広域側メッセージIDとを対応づけて、認証信号制御装置20内のメッセージID対応テーブルに格納する(ステップS105)。
【0039】
また、認証信号制御装置20は、認証要求メッセージに含まれる端末50の利用者の識別IDのレルム部から端末50の利用者の所属企業を識別し、予め登録している当該企業の公開鍵を用いて、認証要求メッセージを暗号化する(ステップS106)。
【0040】
そして、認証信号制御装置20は、暗号化した認証要求メッセージにエンベロープを付加し、電子署名を添付する(ステップS107)。なお、認証信号制御装置20は、エンベロープに、認証信号制御装置20自身の識別子として送信元のレルムを含める。
【0041】
その後、認証信号制御装置20は、エンベロープを付加したエンベロープ付き認証要求メッセージを認証信号中継装置30に送信する(ステップS108)。
【0042】
一方、認証信号中継装置30は、認証要求メッセージを受信すると、認証要求メッセージのエンベロープに含まれる送信先のレルムを検索キーとしてレルム管理テーブルを参照し、送信先の認証信号制御装置20のIPアドレスを取得する(ステップS109)。
【0043】
そして、認証信号中継装置30は、取得した認証信号制御装置20のIPアドレスに対して認証要求メッセージを転送する(ステップS110)。
【0044】
一方、C社ネットワークに設置された認証信号制御装置20は、受信した認証要求メッセージのエンベロープに含まれる送信元のレルムから送信元の企業を識別し、予め登録している当該企業の公開鍵を用いて、エンベロープの電子署名を検証する。電子署名の検証結果が否であれば、認証信号制御装置20は、認証要求メッセージを破棄する。電子署名の検証結果が可であれば、認証信号制御装置20は、自身の秘密鍵を用いて、認証要求メッセージを復号化する(ステップS111)。
【0045】
そして、認証信号制御装置20は、受信した認証要求メッセージに設定するローカル側メッセージIDを決定し、決定したローカル側メッセージIDと、送信先の認証サーバ40のIPアドレスと、タイムアウト時刻と、広域側メッセージIDとを対応づけて、認証信号制御装置20内のメッセージID対応テーブルに格納する(ステップS112)。また、認証信号制御装置20は、認証要求メッセージに含まれるローカル側メッセージIDを、新たに決定したローカル側メッセージIDに更新する。
【0046】
続いて、認証信号制御装置20は、認証要求メッセージのエンベロープを除去し、RADIUSプロトコルに従って認証サーバ40に送信する(ステップS113)。
【0047】
すると、認証サーバ40は、認証要求メッセージに基づいて認証を行う(ステップS114)。
【0048】
そして、認証サーバ40は、RADIUSプロトコルに従って認証応答メッセージを認証信号制御装置20に送信する(ステップS115)。
【0049】
一方、認証信号制御装置20は、認証応答メッセージに含まれる認証要求元のレルムから、認証要求元の所属企業を識別し、予め登録している当該企業の公開鍵を用いて、認証応答メッセージを暗号化する(ステップS116)。
【0050】
次に、認証信号制御装置20は、認証応答メッセージに含まれるローカル側メッセージIDを検索キーとしてメッセージID対応テーブルを参照し、対応づけて記憶されている広域側メッセージIDを取得する。続いて、認証信号制御装置20は、暗号化した認証応答メッセージに、取得した広域側メッセージIDを含めたエンベロープを付加し、電子署名を添付する(ステップS117)。なお、認証信号制御装置20は、エンベロープに、認証信号制御装置20自身の識別子として送信元のレルムを含める。
【0051】
そして、認証信号制御装置20は、エンベロープを付加したエンベロープ付き認証応答メッセージを認証信号中継装置30に送信する(ステップS118)。
【0052】
一方、認証信号中継装置30は、受信した認証応答メッセージのエンベロープに含まれる送信先のレルムを検索キーとしてレルム管理テーブルを参照し、事前に登録されている送信先の認証信号制御装置20のIPアドレスを取得する(ステップS119)。
【0053】
そして、認証信号中継装置30は、取得した送信先の認証信号制御装置20のIPアドレスに対して認証応答メッセージを転送する(ステップS120)。
【0054】
一方、認証信号制御装置20は、受信した認証応答メッセージのエンベロープに含まれる送信元のレルムから送信元の企業を識別し、予め登録している当該企業の公開鍵を用いて、エンベロープの電子署名を検証する。そして、電子署名の検証結果が否であれば、認証信号制御装置20は、認証応答メッセージを破棄する。電子署名の検証結果が可であれば、認証信号制御装置20は、自身の秘密鍵を用いて認証応答メッセージを復号化する(ステップS121)。
【0055】
そして、認証信号制御装置20は、受信した認証応答メッセージの広域側メッセージIDを検索キーとしてメッセージID対応テーブルを参照し、対応づけて記憶されているローカル側メッセージIDを取得する。そして、認証信号制御装置20は、取得したローカル側メッセージIDを用いて、認証応答メッセージに含まれるローカル側メッセージIDを更新し、認証応答メッセージのエンベロープを除去する(ステップS122)。
【0056】
続いて、認証信号制御装置20は、RADIUSプロトコルに従って、認証応答メッセージを無線AP10に送信する(ステップS123)。
【0057】
その後、無線AP10は、認証応答メッセージに従って端末50の無線接続を認可し、EAPによって認証結果を端末50に通知する(ステップS124)。
【0058】
[実施例1に係る認証メッセージ交換システムの構成]
次に、図4〜図7を用いて、実施例1に係る認証メッセージ交換システムの構成を説明する。図4は、実施例1に係る認証メッセージ交換システムの構成を説明するための図であり、図5は、メッセージIDを説明するための図であり、図6は、メッセージID対応テーブルを説明するための図であり、図7は、エンベロープを説明するための図である。
【0059】
図4に示すように、実施例1に係る認証メッセージ交換システムは、無線AP10と認証信号制御装置20と認証信号中継装置30と認証サーバ40とを備える。なお、図4においては、説明の便宜上、認証メッセージ交換システムが備える装置を1台ずつ示し、装置間の情報の流れを示すこととするが、上記してきたように、認証信号制御装置20は、認証クライアント10と同一の拠点網と、認証サーバ40と同一の拠点網とに各々設置される。以下、各装置の構成を順に説明する。
【0060】
無線AP10は、図4に示すように、認証要求部11を備える。
【0061】
認証要求部11は、認証サーバ40との間で認証メッセージを交換する。具体的には、認証要求部11は、認証信号制御装置20のローカル側認証メッセージ受信部21と接続され、認証信号制御装置20に対して認証要求メッセージを送信する。また、認証要求部11は、認証信号制御装置20のローカル側認証メッセージ送信部27と接続され、認証信号制御装置20から認証応答メッセージを受信する。
【0062】
なお、認証要求部11は、認証要求メッセージを送信する際、認証要求メッセージを拠点網内にて識別するローカル側メッセージIDを決定し、認証要求メッセージに含める。例えば、認証要求部11は、図5の(A)に示すように、ローカル側メッセージID『A』を決定し、認証要求メッセージに含める。
【0063】
認証サーバ40は、図4に示すように、認証応答部41を備える。
【0064】
認証応答部41は、無線AP10との間で認証メッセージを交換し、認証を行う。具体的には、認証応答部41は、認証信号制御装置20のローカル側認証メッセージ送信部27と接続され、認証信号制御装置20から認証要求メッセージを受信する。また、認証応答部41は、認証要求メッセージを受信すると、受信した認証要求メッセージに基づいて認証を行う。また、認証応答部41は、認証信号制御装置20のローカル側認証メッセージ受信部21と接続され、認証信号制御装置20に対して、認証結果を示す認証応答メッセージを送信する。
【0065】
なお、認証応答部41は、認証応答メッセージを送信する際、受信した認証要求メッセージに含まれていたローカル側メッセージIDと同じローカル側メッセージIDを認証応答メッセージに含める。例えば、認証応答部41は、図5の(B)および(C)に示すように、受信した認証要求メッセージに含まれていたローカル側メッセージID『B』と同じローカル側メッセージID『B』を認証応答メッセージに含める。
【0066】
認証信号制御装置20は、図4に示すように、ローカル側認証メッセージ受信部21と、メッセージID対応づけ部22と、メッセージID対応テーブル23と、エンベロープ付加部24と、エンベロープ付き認証メッセージ送信部25と、エンベロープ検証部26と、ローカル側認証メッセージ送信部27とを備える。
【0067】
ローカル側認証メッセージ受信部21は、ローカル側メッセージIDを用いて、同一の拠点網に設置された認証クライアント11や認証サーバ40から認証メッセージを受信する。具体的には、ローカル側認証メッセージ受信部21は、無線AP10の認証要求部11と接続され、無線AP10から認証要求メッセージを受信する。受信した認証要求メッセージには、ローカル側メッセージIDが含められている。例えば、図5の(A)に示すように、ローカル側メッセージID『A』が含められている。
【0068】
また、ローカル側認証メッセージ受信部21は、メッセージID対応づけ部22とエンベロープ付加部24と接続され、受信した認証要求メッセージに含められているローカル側メッセージIDをメッセージID対応づけ部22に通知するとともに、認証要求メッセージをエンベロープ付加部24に通知する。
【0069】
また、ローカル側認証メッセージ受信部21は、認証サーバ40の認証応答部41と接続され、認証サーバ40から認証応答メッセージを受信する。受信した認証応答メッセージには、ローカル側メッセージIDが含められている。例えば、図5の(C)に示すように、ローカル側メッセージID『B』が含められている。
【0070】
また、ローカル側認証メッセージ受信部21は、受信した認証応答メッセージに含められているローカル側メッセージIDをメッセージID対応づけ部22に通知するとともに、認証応答メッセージをエンベロープ付加部24に通知する。
【0071】
メッセージID対応づけ部22は、認証メッセージを拠点網内にて識別するローカル側メッセージIDと広域網にて識別する広域側メッセージIDとを対応づけて格納する。具体的には、メッセージID対応づけ部22は、ローカル側認証メッセージ受信部21とメッセージID対応テーブル23と接続され、ローカル側認証メッセージ受信部21から認証要求メッセージに含められているローカル側メッセージIDを通知されると、認証要求メッセージについて広域側メッセージIDを決定する。例えば、メッセージID対応づけ部22は、図5の(A)に示すように、ローカル側メッセージID『A』を通知されると、広域側メッセージID『X』を決定する。また、メッセージID対応づけ部22は、ローカル側メッセージIDと、送信元の無線AP10のIPアドレスと、タイムアウト時刻と、広域側メッセージIDとを対応づけて、メッセージID対応テーブル23に格納する。
【0072】
また、メッセージID対応づけ部22は、エンベロープ付加部24と接続され、認証要求メッセージについて決定した広域側メッセージIDをエンベロープ付加部24に通知する。
【0073】
また、メッセージID対応づけ部22は、エンベロープ検証部26とメッセージID対応テーブル23と接続され、エンベロープ検証部26から認証要求メッセージのエンベロープに含められている広域側メッセージIDを通知されると、認証要求メッセージについてローカル側メッセージIDを決定する。例えば、メッセージID対応づけ部22は、図5の(B)に示すように、広域側メッセージID『X』を通知されると、ローカル側メッセージID『B』を決定する。また、メッセージID対応づけ部22は、ローカル側メッセージIDと、ローカルの認証サーバ40のIPアドレスと、タイムアウト時刻と、広域側メッセージIDとを対応づけて、メッセージID対応テーブル23に格納する。
【0074】
また、メッセージID対応づけ部22は、ローカル側認証メッセージ送信部27と接続され、認証要求メッセージについて決定したローカル側メッセージIDをローカル側認証メッセージ送信部27に通知する。
【0075】
また、メッセージID対応づけ部22は、ローカル側認証メッセージ受信部21から認証応答メッセージに含められているローカル側メッセージIDを通知されると、通知されたローカル側メッセージIDを検索キーとしてメッセージID対応テーブル23を参照し、対応づけて記憶されている広域側メッセージIDを取得する。例えば、メッセージID対応づけ部22は、図5の(C)に示すように、ローカル側メッセージID『B』を通知されると、広域側メッセージID『X』を取得する。なお、メッセージID対応づけ部22は、メッセージID対応テーブル23を参照した際に、該当するレコードがなければ、当該認証応答メッセージを破棄する。
【0076】
また、メッセージID対応づけ部22は、認証応答メッセージについて取得した広域側メッセージIDをエンベロープ付加部24に通知する。
【0077】
また、メッセージID対応づけ部22は、エンベロープ検証部26から認証応答メッセージのエンベロープに含められている広域側メッセージIDを通知されると、通知された広域側メッセージIDを検索キーとしてメッセージID対応テーブル23を参照し、対応づけて記憶されているローカル側メッセージIDを取得する。例えば、メッセージID対応づけ部22は、図5の(D)に示すように、広域側メッセージID『X』を通知されると、ローカル側メッセージID『A』を取得する。また、メッセージID対応づけ部22は、対応づけて記憶されている無線AP10のIPアドレスも取得する。なお、メッセージID対応づけ部22は、メッセージID対応テーブル23を参照した際に、該当するレコードがなければ、当該認証応答メッセージを破棄する。
【0078】
また、メッセージID対応づけ部22は、認証応答メッセージについて取得したローカル側メッセージIDと無線AP10のIPアドレスとをローカル側認証メッセージ送信部27に通知する。
【0079】
メッセージID対応テーブル23は、ローカル側メッセージIDと広域側メッセージIDとを対応づけて記憶する。具体的には、メッセージID対応テーブル23は、メッセージID対応づけ部22と接続され、メッセージID対応づけ部22によって格納されることで、ローカル側メッセージIDと広域側メッセージIDとを対応づけて記憶する。
【0080】
例えば、メッセージIDテーブル23は、図6に示すように、ローカル側メッセージIDと、送信元の無線AP10のIPアドレスと、タイムアウト時刻と、広域側メッセージIDとを対応づけて記憶する。
【0081】
エンベロープ付加部24は、認証メッセージにエンベロープを付加することで、認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置20との間で、認証メッセージの暗号化に関する処理や電子署名に関する処理を相互に行う。具体的には、エンベロープ付加部24は、ローカル側認証メッセージ受信部21とメッセージID対応づけ部22とエンベロープ付き認証メッセージ送信部25と接続される。
【0082】
まず、エンベロープ付加部24が、ローカルの無線AP10から送信された認証要求メッセージにエンベロープを付加する場合について説明する。エンベロープ付加部24は、ローカル側認証メッセージ受信部21から認証要求メッセージを通知されると、予め登録している送信先の認証信号制御装置20の公開鍵を用いて、通知された認証要求メッセージを暗号化する。また、エンベロープ付加部24は、暗号化した認証要求メッセージについて、図7に示すように、送信元の認証信号制御装置20を示すレルム、送信先の認証信号制御装置20を示すレルム、メッセージID対応づけ部22から通知された広域側メッセージID、送信元の認証信号制御装置20の秘密鍵による電子署名、送信元の認証信号制御装置20の公開鍵を送信先の認証信号制御装置20が取得するためのURL(Uniform Resource Locator)をエンベロープとして付加する。なお、送信先の認証信号制御装置20を示すレルムは、認証要求メッセージに含まれる識別IDのレルムとする。また、エンベロープ付加部24は、認証要求メッセージにエンベロープを付加すると、エンベロープ付き認証要求メッセージをエンベロープ付き認証メッセージ送信部25に通知する。
【0083】
次に、エンベロープ付加部24が、ローカルの認証サーバ40から送信された認証応答メッセージにエンベロープを付加する場合について説明する。エンベロープ付加部24は、ローカル側認証メッセージ受信部21から認証応答メッセージを通知されると、予め登録している送信先の認証信号制御装置20の公開鍵を用いて、通知された認証応答メッセージを暗号化する。また、エンベロープ付加部24は、暗号化した認証応答メッセージについて、送信元の認証信号制御装置20を示すレルム、送信先の認証信号制御装置20を示すレルム、メッセージID対応づけ部22から通知された広域側メッセージID、送信元の認証信号制御装置20の秘密鍵による電子署名、送信元の認証信号制御装置20の公開鍵を送信先の認証信号制御装置20が取得するためのURLをエンベロープとして付加する。なお、送信先の認証信号制御装置20を示すレルムは、認証要求メッセージに含まれる送信元のレルムとする。また、エンベロープ付加部24は、認証応答メッセージにエンベロープを付加すると、エンベロープ付き認証応答メッセージをエンベロープ付き認証メッセージ送信部25に通知する。
【0084】
エンベロープ付き認証メッセージ送信部25は、広域側メッセージIDを用いて、認証信号中継装置30に対して、暗号に関する処理が行われ電子署名に関する処理が行われた認証メッセージを送信する。具体的には、エンベロープ付き認証メッセージ送信部25は、エンベロープ付加部24と認証信号中継装置30と接続され、エンベロープ付加部24から通知されたエンベロープ付き認証要求メッセージやエンベロープ付き認証応答メッセージを認証信号中継装置30に送信する。
【0085】
また、エンベロープ付き認証メッセージ送信部25は、メッセージID対応テーブル23と接続され、認証要求メッセージ送信後、メッセージID対応テーブル23に記憶されている当該認証要求メッセージのタイムアウト時刻に達するか、あるいは、エンベロープ検証部26が当該認証要求メッセージに対応する認証応答メッセージを受信するまで、一定時間おきに認証要求メッセージを再送信する。エンベロープ付き認証メッセージ送信部25は、タイムアウト時刻に達した場合には、認証要求メッセージのレコードをメッセージID対応テーブル23から削除する。
【0086】
エンベロープ検証部26は、認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置20との間で、認証メッセージの暗号化に関する処理や電子署名に関する処理を相互に行う。具体的には、エンベロープ検証部26は、認証信号中継装置30と、メッセージID対応づけ部22と、ローカル側認証メッセージ送信部27と接続される。
【0087】
エンベロープ検証部26は、認証信号中継装置30からエンベロープ付き認証要求メッセージやエンベロープ付き認証応答メッセージを受信すると、送信元の認証信号制御装置20の公開鍵を用いてエンベロープの電子署名を検証する。なお、エンベロープ検証部26は、送信元の認証信号制御装置20の公開鍵を登録していない場合には、エンベロープ付き認証要求メッセージやエンベロープ付き認証応答メッセージに含まれる公開鍵取得用のURLへとアクセスし、公開鍵を取得する。エンベロープ検証部26は、電子署名の検証結果が否であれば、当該認証要求メッセージや当該認証応答メッセージを破棄する。一方、エンベロープ検証部26は、電子署名の検証結果が可であれば、予め登録する秘密鍵を用いて認証要求メッセージや認証応答メッセージを復号化する。
【0088】
また、エンベロープ検証部26は、認証要求メッセージを復号化すると、認証要求メッセージのエンベロープに含められている広域側メッセージIDをメッセージID対応づけ部22に通知し、復号した認証要求メッセージをローカル側認証メッセージ送信部27に通知する。また、エンベロープ検証部26は、認証応答メッセージを復号化すると、認証応答メッセージのエンベロープに含められている広域側メッセージIDをメッセージID対応づけ部22に通知し、復号した認証応答メッセージをローカル側認証メッセージ送信部27に通知する。
【0089】
ローカル側認証メッセージ送信部27は、ローカル側メッセージIDを用いて、ローカルの認証クライアント11や認証サーバ40に対して認証メッセージを送信する。具体的には、ローカル側認証メッセージ送信部27は、エンベロープ検証部26と認証サーバ40の認証応答部41と接続され、エンベロープ検証部26から通知された認証要求メッセージを認証サーバ40に対して送信する。この時、ローカル側認証メッセージ送信部27は、認証要求メッセージに含まれているローカル側メッセージIDを、メッセージID対応づけ部22から通知されたローカル側メッセージIDに更新する。また、ローカル側認証メッセージ送信部27は、認証要求メッセージに付加されたエンベロープを除去してから、認証要求メッセージを送信する。
【0090】
また、ローカル側認証メッセージ送信部27は、メッセージID対応テーブル23と接続され、認証要求メッセージ送信後、メッセージID対応テーブル23に記憶されている当該認証要求メッセージのタイムアウト時刻に達するか、あるいは、ローカル側認証メッセージ受信部21が認証要求メッセージに対応する認証応答メッセージを受信するまで、一定時間おきに認証要求メッセージを再送信する。ローカル側認証メッセージ送信部27は、タイムアウト時刻に達した場合には、認証要求メッセージのレコードをメッセージID対応テーブル23から削除する。
【0091】
また、ローカル側認証メッセージ送信部27は、エンベロープ検証部26と認証クライアント10の認証要求部11と接続され、エンベロープ検証部26から通知された認証応答メッセージを認証クライアント10に対して送信する。この時、ローカル側認証メッセージ送信部27は、認証応答メッセージに含まれているローカル側メッセージIDを、メッセージID対応づけ部22から通知されたローカル側メッセージIDに更新する。また、ローカル側認証メッセージ送信部27は、認証応答メッセージに付加されたエンベロープを除去してから、認証応答メッセージを送信する。
【0092】
認証信号中継装置30は、図4に示すように、エンベロープ付き認証メッセージ中継部31と、レルム管理テーブル32とを備える。
【0093】
エンベロープ付き認証メッセージ中継部31は、認証信号制御装置20から送信されたエンベロープ付き認証要求メッセージやエンベロープ付き認証応答メッセージを受信すると、エンベロープに含まれる送信先レルムに基づいて、送信先の認証信号制御装置20に向けて認証メッセージを中継する。具体的には、エンベロープ付き認証メッセージ中継部31は、レルム管理テーブル32と接続され、エンベロープに含まれる送信先レルムを用いてレルム管理テーブル32を参照し、レルムに対応づけて記憶されているIPアドレスを取得する。そして、エンベロープ付き認証メッセージ中継部31は、取得したIPアドレスに対して認証メッセージを送信する。
【0094】
レルム管理テーブル32は、認証メッセージに含まれるレルムと、当該レルムを含む認証メッセージを転送するべき認証信号制御装置20のIPアドレスとを対応づけて記憶する。
【0095】
[実施例1の効果]
上記してきたように、実施例1に係る認証メッセージ交換システムは、異なるLANに設置された無線AP10と認証サーバ40との間で認証メッセージを交換する認証メッセージ交換システムである。また、無線AP10や認証サーバ40が設置されたLANと同一のLANに設置された認証信号制御装置20各々は、ローカルの無線AP10や認証サーバ40との間で認証メッセージを送受信する。また、認証信号制御装置20各々は、認証メッセージの交換相手となる認証サーバ40や無線AP10が設置されたLANと同一のLANに設置された認証信号制御装置20との間で、認証メッセージの暗号化に関する処理や電子署名に関する処理を相互に行う。また、認証信号制御装置20各々は、インターネットに設置された認証信号中継装置30との間で、暗号化に関する処理が行われ電子署名に関する処理が行われた認証メッセージを送受信する。認証信号中継装置30各々は、送信された認証メッセージを認証メッセージの交換相手となる認証サーバ40や無線AP10と同一のLANに設置された認証信号制御装置20に向けて中継する。
【0096】
このように、実施例1に係る認証メッセージ交換システムにおいては、LAN各々に設置された認証信号制御装置20間で暗号化に関する処理や電子署名に関する処理が相互に行われ、認証信号中継装置30は、暗号化され電子署名を添付された認証メッセージを中継するにすぎない。このようなことから、実施例1に係る認証メッセージ交換システムは、従来のRADIUSクライアントやRADIUSサーバへの変更を不要としつつ、エンドツーエンドの認証が可能になり、かつ、RADIUSプロキシサーバによる認証メッセージの盗聴や改竄を防ぐことが可能になる。
【0097】
また、実施例1に係る認証メッセージ交換システムの認証信号制御装置20各々は、ローカル側メッセージIDと広域側メッセージIDとを対応づけてメッセージID対応テーブルに格納する。また、認証信号制御装置20各々は、ローカル側メッセージIDを用いて認証メッセージを送受信し、広域側メッセージIDを用いて認証メッセージを送受信する。
【0098】
このように、実施例1に係る認証メッセージ交換システムにおいては、LAN各々に設置された認証信号制御装置20各々が、認証メッセージに含まれるメッセージIDの対応づけを記憶部に記憶して管理するので、認証信号中継装置30は、メッセージIDの対応づけを管理する必要がない。このようなことから、実施例1に係る認証メッセージ交換システムは、RADIUSプロキシサーバの負荷を抑えることも可能になる。
【実施例2】
【0099】
[他の実施例]
さて、これまで本発明の実施例1について説明してきたが、本発明は実施例1以外にも種々の異なる形態にて実施されてよいものである。
【0100】
[認証信号中継装置30を中継しない構成]
実施例1においては、認証信号制御装置20のエンベロープ付き認証メッセージ送信部25が、エンベロープ付き認証要求メッセージやエンベロープ付き認証応答メッセージを認証信号中継装置30に送信するものとして説明した。しかしながら、本発明はこれに限られるものではない。エンベロープ付き認証メッセージ送信部25は、エンベロープ付き認証要求メッセージやエンベロープ付き認証応答メッセージを認証信号中継装置30に送信せずに、送信先の認証信号制御装置20に直接送信してもよい。例えば、認証信号制御装置20が、送信先の認証信号制御装置20を示すレルムとIPアドレスとの対応づけを事前に記憶部に登録していたとする。すると、エンベロープ付き認証メッセージ送信部25は、エンベロープに含まれる送信先の認証信号制御装置20を示すレルムを用いて記憶部を参照し、当該レルムに対応づけて記憶されているIPアドレスを取得することで、IPアドレスを解決する。そして、エンベロープ付き認証メッセージ送信部25は、解決したIPアドレスを用いて、エンベロープ付き認証要求メッセージやエンベロープ付き認証応答メッセージを送信先の認証信号制御装置20に直接送信する。
【0101】
このような場合、認証メッセージ交換システムは、広域網に認証信号中継装置30を設置する必要がない。すなわち、認証メッセージ交換システムにおいて、認証信号制御装置20各々は、認証メッセージの交換相手となる認証サーバ40や認証クライアント10と同一の拠点網に設置された認証信号制御装置20との間で、暗号化に関する処理が行われ電子署名に関する処理が行われた認証メッセージを直接送受信する。このため、広域網に認証信号中継装置30を設置する必要がないのである。なお、認証メッセージ交換システムにおいて、認証メッセージを認証信号中継装置30に送信する手法と認証信号制御装置20に直接送信する手法とが混在してもよい。
【0102】
[暗号化に関する処理、電子署名に関する処理]
また、実施例1においては、暗号化に関する処理や電子署名に関する処理として、例えば、端末50の利用者の所属企業の公開鍵を用いて認証要求メッセージを暗号化し、送信元の認証信号制御装置20の秘密鍵による電子署名をエンベロープの一部として付加する手法を説明してきた。しかしながら、本発明はこれに限られるものではない。
【0103】
例えば、送信元の認証信号制御装置20と送信先の認証信号制御装置20とが共通鍵を保持しているとする。このような場合、送信元の認証信号制御装置20は、例えば、認証要求メッセージをハッシュ化し、ハッシュ化した認証要求メッセージを送信元の認証信号制御装置20の秘密鍵によって暗号化して電子署名とする。そして、送信元の認証信号制御装置20は、認証要求メッセージと電子署名と公開鍵証明書とを共通鍵によって暗号化し、送信先の認証信号制御装置20に向けて送信してもよい。すなわち、認証メッセージ交換システムにおいて、暗号化に関する処理や電子署名に関する処理には、任意の手法を用いることができる。
【0104】
[システム構成等]
また、明細書や図面で示した処理手順(図3など)、具体的名称(図1〜図7など)、各種のデータやパラメータを含む情報(図6〜図7など)については、特記する場合を除いて任意に変更することができる。
【0105】
また、図面で示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPU(Central Processing Unit)および当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0106】
なお、上記の実施例で説明した認証メッセージ交換方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
【産業上の利用可能性】
【0107】
以上のように、本発明に係る認証メッセージ交換システムおよび認証メッセージ交換方法は、異なる拠点網に設置された認証装置間で認証メッセージを交換することに有用であり、特に、エンドツーエンドの認証を実現し、かつ、プロキシサーバによる認証メッセージの盗聴や改竄を防ぐことに適する。
【図面の簡単な説明】
【0108】
【図1】実施例1に係る認証メッセージ交換システムの概要を説明するための図である。
【図2】実施例1に係る認証メッセージ交換システムの全体構成を説明するための図である。
【図3】実施例1に係る認証メッセージ交換システムによる処理手順を説明するためのシーケンス図である。
【図4】実施例1に係る認証メッセージ交換システムの構成を説明するための図である。
【図5】メッセージIDを説明するための図である。
【図6】メッセージID対応テーブルを説明するための図である。
【図7】エンベロープを説明するための図である。
【符号の説明】
【0109】
10 認証クライアント
11 認証要求部
20 認証信号制御装置
21 ローカル側認証メッセージ受信部
22 メッセージID対応づけ部
23 メッセージID対応テーブル
24 エンベロープ付加部
25 エンベロープ付き認証メッセージ送信部
26 エンベロープ検証部
27 ローカル側認証メッセージ送信部
30 認証信号中継装置
31 エンベロープ付き認証メッセージ中継部
32 レルム管理テーブル
40 認証サーバ
41 認証応答部
50 端末
【特許請求の範囲】
【請求項1】
異なる拠点網に設置された認証装置間で認証メッセージを交換する認証メッセージ交換システムであって、
認証装置が設置された拠点網と同一の拠点網に設置された認証信号制御装置各々は、
同一の拠点網に設置された認証装置との間で認証メッセージを送受信する対認証装置送受信手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの暗号化に関する処理を相互に行う暗号化処理手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの電子署名に関する処理を相互に行う電子署名処理手段と、
拠点網外の広域網に設置された認証信号中継装置との間で、前記暗号化に関する処理が行われ前記電子署名に関する処理が行われた認証メッセージを送受信する対中継装置送受信手段と、を備え、
前記認証信号中継装置各々は、
前記対中継装置送受信手段によって送信された認証メッセージを当該認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置に向けて中継する中継手段と、
を備えたことを特徴とする認証メッセージ交換システム。
【請求項2】
前記認証信号制御装置各々は、
認証メッセージを拠点網内にて識別する拠点網識別子と拠点網外の広域網にて識別する広域網識別子とを対応づけて識別子テーブルに格納する識別子格納手段をさらに備え、
前記対認証装置送受信手段は、前記識別子格納手段によって識別子テーブルに格納された拠点網識別子を用いて認証メッセージを送受信し、
前記対中継装置送受信手段は、前記識別子格納手段によって識別子テーブルに格納された広域網識別子を用いて認証メッセージを送受信することを特徴とする請求項1に記載の認証メッセージ交換システム。
【請求項3】
異なる拠点網に設置された認証装置間で認証メッセージを交換する認証メッセージ交換システムにおいて、認証装置が設置された拠点網と同一の拠点網に設置された認証信号制御装置であって、
同一の拠点網に設置された認証装置との間で認証メッセージを送受信する対認証装置送受信手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの暗号化に関する処理を相互に行う暗号化処理手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの電子署名に関する処理を相互に行う電子署名処理手段と、
拠点網外の広域網に設置された認証信号中継装置との間で、前記暗号化に関する処理が行われ前記電子署名に関する処理が行われた認証メッセージを送受信する対中継装置送受信手段と、
を備えたことを特徴とする認証信号制御装置。
【請求項4】
異なる拠点網に設置された認証装置間で認証メッセージを交換する認証メッセージ交換システムにおいて、広域網に設置された認証信号中継装置であって、
認証装置が設置された拠点網と同一の拠点網に設置された認証信号制御装置によって送信された認証メッセージであって当該認証信号制御装置によって暗号化に関する処理が行われ電子署名に関する処理が行われた認証メッセージを、当該認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置に向けて中継する中継手段を備えたことを特徴とする認証信号中継装置。
【請求項5】
異なる拠点網に設置された認証装置間で認証メッセージを交換する認証メッセージ交換方法であって、
認証装置が設置された拠点網と同一の拠点網に設置された認証信号制御装置各々は、
同一の拠点網に設置された認証装置との間で認証メッセージを送受信する対認証装置送受信工程と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの暗号化に関する処理を相互に行う暗号化処理工程と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの電子署名に関する処理を相互に行う電子署名処理工程と、
拠点網外の広域網に設置された認証信号中継装置との間で、前記暗号化に関する処理が行われ前記電子署名に関する処理が行われた認証メッセージを送受信する対中継装置送受信工程と、を備え、
前記認証信号中継装置各々は、
前記対中継装置送受信工程によって送信された認証メッセージを当該認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置に向けて中継する中継工程と、
を含んだことを特徴とする認証メッセージ交換方法。
【請求項6】
異なる拠点網に設置された認証装置間で認証メッセージを交換する認証メッセージ交換システムであって、
認証装置が設置された拠点網と同一の拠点網に設置された認証信号制御装置各々は、
同一の拠点網に設置された認証装置との間で認証メッセージを送受信する対認証装置送受信手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの暗号化に関する処理を相互に行う暗号化処理手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの電子署名に関する処理を相互に行う電子署名処理手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、前記暗号化に関する処理が行われ前記電子署名に関する処理が行われた認証メッセージを送受信する対認証信号制御装置送受信手段と、
を備えたことを特徴とする認証メッセージ交換システム。
【請求項7】
前記認証信号制御装置各々は、
認証メッセージを拠点網内にて識別する拠点網識別子と拠点網外の広域網にて識別する広域網識別子とを対応づけて識別子テーブルに格納する識別子格納手段をさらに備え、
前記対認証装置送受信手段は、前記識別子格納手段によって識別子テーブルに格納された拠点網識別子を用いて認証メッセージを送受信し、
前記対認証信号制御装置送受信手段は、前記識別子格納手段によって識別子テーブルに格納された広域網識別子を用いて認証メッセージを送受信することを特徴とする請求項6に記載の認証メッセージ交換システム。
【請求項8】
異なる拠点網に設置された認証装置間で認証メッセージを交換する認証メッセージ交換システムにおいて、認証装置が設置された拠点網と同一の拠点網に設置された認証信号制御装置であって、
同一の拠点網に設置された認証装置との間で認証メッセージを送受信する対認証装置送受信手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの暗号化に関する処理を相互に行う暗号化処理手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの電子署名に関する処理を相互に行う電子署名処理手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、前記暗号化に関する処理が行われ前記電子署名に関する処理が行われた認証メッセージを送受信する対認証信号制御装置送受信手段と、
を備えたことを特徴とする認証信号制御装置。
【請求項9】
異なる拠点網に設置された認証装置間で認証メッセージを交換する認証メッセージ交換方法であって、
認証装置が設置された拠点網と同一の拠点網に設置された認証信号制御装置各々は、
同一の拠点網に設置された認証装置との間で認証メッセージを送受信する対認証装置送受信工程と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの暗号化に関する処理を相互に行う暗号化処理工程と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの電子署名に関する処理を相互に行う電子署名処理工程と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、前記暗号化に関する処理が行われ前記電子署名に関する処理が行われた認証メッセージを送受信する対認証信号制御装置送受信工程と、
を含んだことを特徴とする認証メッセージ交換方法。
【請求項1】
異なる拠点網に設置された認証装置間で認証メッセージを交換する認証メッセージ交換システムであって、
認証装置が設置された拠点網と同一の拠点網に設置された認証信号制御装置各々は、
同一の拠点網に設置された認証装置との間で認証メッセージを送受信する対認証装置送受信手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの暗号化に関する処理を相互に行う暗号化処理手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの電子署名に関する処理を相互に行う電子署名処理手段と、
拠点網外の広域網に設置された認証信号中継装置との間で、前記暗号化に関する処理が行われ前記電子署名に関する処理が行われた認証メッセージを送受信する対中継装置送受信手段と、を備え、
前記認証信号中継装置各々は、
前記対中継装置送受信手段によって送信された認証メッセージを当該認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置に向けて中継する中継手段と、
を備えたことを特徴とする認証メッセージ交換システム。
【請求項2】
前記認証信号制御装置各々は、
認証メッセージを拠点網内にて識別する拠点網識別子と拠点網外の広域網にて識別する広域網識別子とを対応づけて識別子テーブルに格納する識別子格納手段をさらに備え、
前記対認証装置送受信手段は、前記識別子格納手段によって識別子テーブルに格納された拠点網識別子を用いて認証メッセージを送受信し、
前記対中継装置送受信手段は、前記識別子格納手段によって識別子テーブルに格納された広域網識別子を用いて認証メッセージを送受信することを特徴とする請求項1に記載の認証メッセージ交換システム。
【請求項3】
異なる拠点網に設置された認証装置間で認証メッセージを交換する認証メッセージ交換システムにおいて、認証装置が設置された拠点網と同一の拠点網に設置された認証信号制御装置であって、
同一の拠点網に設置された認証装置との間で認証メッセージを送受信する対認証装置送受信手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの暗号化に関する処理を相互に行う暗号化処理手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの電子署名に関する処理を相互に行う電子署名処理手段と、
拠点網外の広域網に設置された認証信号中継装置との間で、前記暗号化に関する処理が行われ前記電子署名に関する処理が行われた認証メッセージを送受信する対中継装置送受信手段と、
を備えたことを特徴とする認証信号制御装置。
【請求項4】
異なる拠点網に設置された認証装置間で認証メッセージを交換する認証メッセージ交換システムにおいて、広域網に設置された認証信号中継装置であって、
認証装置が設置された拠点網と同一の拠点網に設置された認証信号制御装置によって送信された認証メッセージであって当該認証信号制御装置によって暗号化に関する処理が行われ電子署名に関する処理が行われた認証メッセージを、当該認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置に向けて中継する中継手段を備えたことを特徴とする認証信号中継装置。
【請求項5】
異なる拠点網に設置された認証装置間で認証メッセージを交換する認証メッセージ交換方法であって、
認証装置が設置された拠点網と同一の拠点網に設置された認証信号制御装置各々は、
同一の拠点網に設置された認証装置との間で認証メッセージを送受信する対認証装置送受信工程と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの暗号化に関する処理を相互に行う暗号化処理工程と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの電子署名に関する処理を相互に行う電子署名処理工程と、
拠点網外の広域網に設置された認証信号中継装置との間で、前記暗号化に関する処理が行われ前記電子署名に関する処理が行われた認証メッセージを送受信する対中継装置送受信工程と、を備え、
前記認証信号中継装置各々は、
前記対中継装置送受信工程によって送信された認証メッセージを当該認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置に向けて中継する中継工程と、
を含んだことを特徴とする認証メッセージ交換方法。
【請求項6】
異なる拠点網に設置された認証装置間で認証メッセージを交換する認証メッセージ交換システムであって、
認証装置が設置された拠点網と同一の拠点網に設置された認証信号制御装置各々は、
同一の拠点網に設置された認証装置との間で認証メッセージを送受信する対認証装置送受信手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの暗号化に関する処理を相互に行う暗号化処理手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの電子署名に関する処理を相互に行う電子署名処理手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、前記暗号化に関する処理が行われ前記電子署名に関する処理が行われた認証メッセージを送受信する対認証信号制御装置送受信手段と、
を備えたことを特徴とする認証メッセージ交換システム。
【請求項7】
前記認証信号制御装置各々は、
認証メッセージを拠点網内にて識別する拠点網識別子と拠点網外の広域網にて識別する広域網識別子とを対応づけて識別子テーブルに格納する識別子格納手段をさらに備え、
前記対認証装置送受信手段は、前記識別子格納手段によって識別子テーブルに格納された拠点網識別子を用いて認証メッセージを送受信し、
前記対認証信号制御装置送受信手段は、前記識別子格納手段によって識別子テーブルに格納された広域網識別子を用いて認証メッセージを送受信することを特徴とする請求項6に記載の認証メッセージ交換システム。
【請求項8】
異なる拠点網に設置された認証装置間で認証メッセージを交換する認証メッセージ交換システムにおいて、認証装置が設置された拠点網と同一の拠点網に設置された認証信号制御装置であって、
同一の拠点網に設置された認証装置との間で認証メッセージを送受信する対認証装置送受信手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの暗号化に関する処理を相互に行う暗号化処理手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの電子署名に関する処理を相互に行う電子署名処理手段と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、前記暗号化に関する処理が行われ前記電子署名に関する処理が行われた認証メッセージを送受信する対認証信号制御装置送受信手段と、
を備えたことを特徴とする認証信号制御装置。
【請求項9】
異なる拠点網に設置された認証装置間で認証メッセージを交換する認証メッセージ交換方法であって、
認証装置が設置された拠点網と同一の拠点網に設置された認証信号制御装置各々は、
同一の拠点網に設置された認証装置との間で認証メッセージを送受信する対認証装置送受信工程と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの暗号化に関する処理を相互に行う暗号化処理工程と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、当該認証メッセージの電子署名に関する処理を相互に行う電子署名処理工程と、
認証メッセージの交換相手となる認証装置と同一の拠点網に設置された認証信号制御装置との間で、前記暗号化に関する処理が行われ前記電子署名に関する処理が行われた認証メッセージを送受信する対認証信号制御装置送受信工程と、
を含んだことを特徴とする認証メッセージ交換方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2010−45668(P2010−45668A)
【公開日】平成22年2月25日(2010.2.25)
【国際特許分類】
【出願番号】特願2008−209064(P2008−209064)
【出願日】平成20年8月14日(2008.8.14)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成22年2月25日(2010.2.25)
【国際特許分類】
【出願日】平成20年8月14日(2008.8.14)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]