[go: up one dir, main page]

JP5002337B2 - ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法 - Google Patents

ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法 Download PDF

Info

Publication number
JP5002337B2
JP5002337B2 JP2007144906A JP2007144906A JP5002337B2 JP 5002337 B2 JP5002337 B2 JP 5002337B2 JP 2007144906 A JP2007144906 A JP 2007144906A JP 2007144906 A JP2007144906 A JP 2007144906A JP 5002337 B2 JP5002337 B2 JP 5002337B2
Authority
JP
Japan
Prior art keywords
authentication
network
access
relay device
relay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007144906A
Other languages
English (en)
Other versions
JP2008299588A (ja
Inventor
佳道 谷澤
直紀 江坂
勉 柴田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2007144906A priority Critical patent/JP5002337B2/ja
Priority to US12/128,741 priority patent/US8601568B2/en
Publication of JP2008299588A publication Critical patent/JP2008299588A/ja
Application granted granted Critical
Publication of JP5002337B2 publication Critical patent/JP5002337B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

この発明は、ネットワークに対するアクセス認証を行う通信システム、アクセス認証に関する通信を中継する中継装置、アクセス認証を行う認証装置、および通信方法に関するものである。
従来から、あるネットワークシステムに対して認証された端末に対してのみネットワークアクセスを許可するためのプロトコルとして、ネットワークアクセス認証プロトコルが利用されている。
例えば、非特許文献1では、PANA(Protocol for Carrying Authentication for Network Access)と呼ばれるネットワークアクセス認証プロトコルが提案されている。PANAは、UDP(User Datagram Protocol)プロトコル上で動作する、IETF(Internet Engineering Task Force)で標準化中のネットワークアクセス認証プロトコルである。PANAでは、認証後に多様な認可ポリシを設定することができる。例えば、対象となる端末機器のIPアドレスに対して複数のルータ機器へのフィルタ設定を行うことなどを、認可ポリシとして設定可能である。
また、IEEE(Institute of Electrical and Electronic Engineers)802.1Xと呼ばれるネットワークアクセス認証プロトコルも広く知られている。IEEE802.1Xは、LAN上で動作する、IEEEで標準化されたネットワークアクセス認証プロトコルである。IEEE802.1Xは、認可ポリシとしては、対象となる端末機器の機器アドレスに対するLANのポートの開閉のみが設定可能である。
このように、ネットワークアクセス認証プロトコルには複数の種類が存在するが、これらは互いに相互運用性がない。ところが、異なるネットワークアクセス認証プロトコルを相互に接続して動作させる必要が生じる場合がある。
例えば、(1)異なるネットワークアクセス認証プロトコルを利用していたネットワークシステムを1つに統合する場合、(2)ネットワークアクセス認可ポリシを変更するためにネットワークアクセス認証プロトコルを移行する場合、(3)単純な認可ポリシのネットワークアクセス認証プロトコルにのみ対応した端末を、より複雑な認可ポリシを採用するネットワークアクセス認証プロトコルを採用したネットワークシステムに接続する場合、などが挙げられる。
このように、複数のネットワークアクセス認証プロトコルを統合して統一的なネットワークアクセス認証を実現するためには、通常、ある1つのネットワークアクセス認証プロトコルを採用し、ネットワークシステムを構成する全ての構成要素を、採用した1つのネットワークアクセス認証プロトコルに対応させる必要がある。
また、このようにネットワークアクセス認証プロトコルを統合する場合、(1)ネットワークシステムに接続する端末の変更を不要とすること、(2)複数のネットワークアクセス認証プロトコルに対応した場合であっても、1つの認証サーバと認証データベースを利用して、統一的に認証できること、(3)ネットワークシステム自体への改変が少ないこと、などが要求される。
"Protocol for carrying Authentication for Network Access (PANA)" 、[online]、 retrieved from the Internet: <URL:http://www.ietf.org/html.charters/PANA-charter.html>
しかしながら、ネットワークシステムを構成する全ての構成要素を、同一のネットワークアクセス認証プロトコルに対応させることは困難である。例えば、ネットワークシステムに求められる構成要素や採用可能な認可ポリシは、ネットワークアクセス認証プロトコルごとに異なっている。このため、他のプロトコルに統合するときに、構成要素が不足する場合や、認可ポリシが実現不可能となる場合が生じうる。
ネットワークを統合する方法の1つとして、一方のプロトコル(例えばPANA)の終端機能と、他方のプロトコル(例えばIEEE802.1X)の中継機能とを備えたスイッチ装置を、端末装置とネットワークシステムとの間に設置する方法が考えられる。
ところが、この方法では、スイッチ装置を介してIEEE802.1Xによるネットワークアクセスの認可が可能となるが、認可ポリシの相違を考慮していないため、IEEE802.1Xのみに対応した端末に対してPANAの認可ポリシを適用することができない。すなわち、上述のように、認可ポリシが実現不可能となり、端末装置からネットワークシステムへのアクセスが制限されるという問題が生じる。
本発明は、上記に鑑みてなされたものであって、認可ポリシが異なる場合であっても、異なるネットワークアクセス認証プロトコルによるネットワークシステムを相互に接続可能とする通信システム、中継装置、認証装置、および通信方法を提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、第1ネットワークを介して接続された端末装置から第2ネットワークへの通信を中継する第1中継装置と、前記第1中継装置に前記第2ネットワークを介して接続され、前記端末装置を第1認証プロトコルにより認証する第1認証装置への通信を中継する第2中継装置と、前記第1中継装置に第2ネットワークを介して接続され、第2認証プロトコルにより前記第2ネットワークに対する前記第1中継装置のためのアクセス認証を行う第2認証装置と、を備えた通信システムであって、前記第1中継装置は、前記第1中継装置が前記第2ネットワークに対してアクセスする通信を識別する識別情報を記憶可能な識別情報記憶部と、前記第1中継装置が前記第2ネットワークに対してアクセスするためのアクセス認証を要求する第1要求メッセージを前記第2認証装置に送信する要求送信部と、前記第1要求メッセージに対する応答であって、前記第2ネットワークに対する前記第1中継装置のアクセス認否の判断結果を前記第2認証装置から受信する結果受信部と、前記第2ネットワークに対する前記第1中継装置のアクセスを認可する前記判断結果を受信した場合に、前記第1中継装置から前記第2ネットワークに対する通信を確立し、確立した通信の前記識別情報を前記識別情報記憶部に保存する通信確立部と、前記端末装置が前記第2ネットワークに対してアクセスするためのアクセス認証を要求する第2要求メッセージを前記端末装置から受信する第1要求受信部と、前記第2要求メッセージを受信した場合に、前記識別情報記憶部から前記識別情報を取得し、取得した前記識別情報を前記第2要求メッセージに付加して前記第2中継装置に転送する転送部と、を備え、前記第2中継装置は、前記識別情報が付加された前記第2要求メッセージを前記第1中継装置から受信し、受信した前記第2要求メッセージを前記第1認証装置に中継する中継部と、前記第2要求メッセージの送信元の前記端末装置が前記第1認証装置に認証された場合に、認証された前記端末装置のアドレス情報に、前記第2要求メッセージに付加された前記識別情報を対応づけて前記第2認証装置に通知する通知部と、を備え、前記第2認証装置は、前記第1要求メッセージを前記第1中継装置から受信する第2要求受信部と、受信した前記第1要求メッセージに基づいて前記第1中継装置の前記第2ネットワークに対するアクセス認否を判断し、アクセスを認可した前記第1中継装置に対して、前記第1中継装置ごとに予め定められたアクセス方法を決定する判断部と、前記判断部による判断結果を前記第1中継装置に送信する結果送信部と、前記識別情報が対応づけられた前記アドレス情報を前記第2中継装置から受信するアドレス受信部と、受信した前記アドレス情報の前記端末装置に対して、受信した前記アドレス情報に対応づけられた前記識別情報で識別される通信を確立した前記第1中継装置について決定された前記アクセス方法による前記第2ネットワークへのアクセスを認可する認可部と、を備えたこと、を特徴とする。
また、本発明は、上記装置を実行することができる方法である。
また、本発明は、第1ネットワークを介して接続された端末装置から第2ネットワークへの通信を中継する第1中継装置と、前記端末装置を第1認証プロトコルにより認証する外部認証装置への通信を中継する第2中継装置と、に前記第2ネットワークを介して接続され、第2認証プロトコルにより前記第2ネットワークに対するアクセス認証を行う認証装置であって、前記第1中継装置が前記第2ネットワークに対してアクセスを要求するアクセス認証を要求する要求メッセージを前記第1中継装置から受信する要求受信部と、受信した前記要求メッセージに基づいて前記第1中継装置の前記第2ネットワークに対するアクセス認否を判断し、アクセスを認可した前記第1中継装置に対して、前記第1中継装置ごとに予め定められたアクセス方法を決定する判断部と、前記判断部による判断結果を前記第1中継装置に送信する結果送信部と、前記第2ネットワークへのアクセスが認可された前記第1中継装置との間の通信を識別する識別情報が対応づけられた前記端末装置のアドレス情報を前記第2中継装置から受信するアドレス受信部と、受信した前記アドレス情報の前記端末装置に対して、受信した前記アドレス情報に対応づけられた前記識別情報で識別される通信を確立した前記第1中継装置について決定された前記アクセス方法による前記第2ネットワークへのアクセスを認可する認可部と、を備えたこと、を備えたことを特徴とする。
また、本発明は、端末装置に第1ネットワークを介して接続されるとともに、前記端末装置を第1認証プロトコルにより認証する第1認証装置への通信を中継する外部装置と第2認証プロトコルにより前記第2ネットワークへのアクセス認証を行う第2認証装置とに前記第2ネットワークを介して接続され、前記端末装置から前記第2ネットワークへの通信を中継する中継装置であって、前記中継装置が前記第2ネットワークに対してアクセスする通信を識別する識別情報を記憶可能な識別情報記憶部と、前記中継装置が前記第2ネットワークに対してアクセスするためのアクセス認証を要求する第1要求メッセージを前記第2認証装置に送信する要求送信部と、前記第1要求メッセージに対する応答であって、前記第2ネットワークに対する前記中継装置のアクセス認否の判断結果を前記第2認証装置から受信する結果受信部と、前記第2ネットワークに対する前記中継装置のアクセスを認可する前記判断結果を受信した場合に、前記第2ネットワークに対する通信を確立し、確立した通信の前記識別情報を前記識別情報記憶部に保存する通信確立部と、前記端末装置が前記第2ネットワークに対してアクセスするためのアクセス認証を要求する第2要求メッセージを前記端末装置から受信する要求受信部と、前記第2要求メッセージを受信した場合に、前記識別情報記憶部から前記識別情報を取得し、取得した前記識別情報を前記第2要求メッセージに付加して前記外部装置に転送する転送部と、を備えたことを特徴とする。
また、本発明は、第1ネットワークを介して接続された端末装置から第2ネットワークへの通信を中継する外部装置と、第2認証プロトコルにより前記第2ネットワークに対するアクセス認証を行う第2認証装置と、に前記第2ネットワークを介して接続され、前記端末装置を第1認証プロトコルにより認証する第1認証装置への通信を中継する中継装置であって、前記端末装置の前記第2ネットワークに対するアクセス認証を要求するメッセージであって、前記外部装置から前記第2ネットワークに対してアクセスする通信を識別する識別情報が付加された要求メッセージを前記外部装置から受信し、受信した前記要求メッセージを前記第1認証装置に中継する中継部と、前記要求メッセージの送信元の前記端末装置が前記第1認証装置に認証された場合に、認証された前記端末装置のアドレス情報に、前記要求メッセージに付加された前記識別情報を対応づけて前記第2認証装置に通知する通知部と、を備えたことを特徴とする。
本発明によれば、認可ポリシが異なる場合であっても、異なるネットワークアクセス認証プロトコルによるネットワークシステムを相互に接続することができるという効果を奏する。
以下に添付図面を参照して、この発明にかかる通信する通信システム、中継装置、認証装置、および通信方法の最良な実施の形態を詳細に説明する。
本実施の形態にかかる通信システムは、第1認証プロトコルとして802.1Xを用いたネットワークを、第2認証プロトコルとしてPANAを用いたネットワークに統合し、802.1Xのみに対応した端末に対してもPANAの認証ポリシを適用可能とするものである。
まず、本実施の形態にかかる通信システムの構成について図1を用いて説明する。図1は、本実施の形態の通信システムの構成を示す説明図である。
まず、本実施の形態にかかる通信システムの構成要素について説明する。本実施の形態にかかる通信システムは、インフラネットワークシステム10と、インフラネットワークシステム10の外部のネットワークに接続されている端末装置700と、端末装置700のインフラネットワークシステム10に対する通信を中継するスイッチ装置600とを備えている。スイッチ装置600および端末装置700は複数存在してもよい。以下に、各構成要素の概要を説明する。
インフラネットワークシステム10は、統合したネットワークシステムそのものを表すものであり、ネットワークアクセス認証プロトコルとしてPANAを採用する。ネットワークアクセス認証プロトコルとしてPANAに対応した端末は、インフラネットワークシステム10に接続し、ネットワークアクセスの認可を受けることができる。
同図では省略しているが、インフラネットワークシステム10では、接続された端末に対して情報サービスを提供する複数のサーバが運用されている。インフラネットワークシステム10は、単一の装置として実現することも可能であるが、通常、複数のサーバ装置からなるネットワークとして構成される。
インフラネットワークシステム10には、Radius(Remote Authentication Dial In User Service) Server100と、1x Radius Proxy200と、DHCP(Dynamic Host Configuration Protocol) Server300と、PANA PAA(PANA Authentication Agent)400と、PANA EP500a、500bと、が含まれる。これらのうち、Radius Server100以外は複数存在することもありうる。
スイッチ装置600は、端末装置700とインフラネットワークシステム10との通信を仲介するものである。また、スイッチ装置600は、ネットワークアクセス認証プロトコルとして802.1Xを採用している端末装置700を、ネットワークアクセス認証プロトコルとしてPANAを採用しているインフラネットワークシステム10に対して接続させる役割を有する。このため、同図に示すように、スイッチ装置600は、PANA PaC(PANA Client)機能と、1x Authenticator機能とを有する。
PANA PaC機能とは、ネットワークアクセス認証プロトコルPANAの終端機能である。すなわち、PANAによるネットワークアクセス認証を開始し、ネットワークアクセスの認可を受ける機能である。
1x Authenticator機能とは、ネットワークアクセス認証プロトコル802.1Xの中継機能である。すなわち、端末装置700との間でEAPoL(Extensible Authentication Protocol over LAN)プロトコルを実行し、1x Radius Proxy200またはRadius Server100との間でRADIUSプロトコルを実行することで、端末装置700のネットワークアクセス認証を行う機能である。また、1x Authenticator機能は、ネットワークアクセス認証の結果に従って端末装置700のネットワークアクセス認可を設定するため、端末装置700が接続されたポートの開閉を行う機能を含む。
端末装置700は、ネットワークアクセス認証プロトコルとして802.1Xにのみ対応した装置である。端末装置700は、PANAに対応したその他の端末(図示せず)と同様に、インフラネットワークシステム10に接続し、インフラネットワークシステム10で運用されているサーバからサービスを受けることを要求する。インフラネットワークシステム10への接続を行うためには、ネットワークアクセス認証が必要である。しかし、端末装置700は、802.1Xにのみ対応しているため、そのままでは、PANAを採用したインフラネットワークシステム10に接続してネットワークアクセス認証を受けることができない。
本実施の形態では、後述するように、1x Radius Proxy200、PANA PAA400、およびスイッチ装置600の機能によって、802.1Xにのみ対応した端末装置700に対して、PANAによるネットワークアクセス認証を適用可能としている。
なお、端末装置700は、802.1Xプロトコルを実行するため、1xSupplicant機能を有する。これは、ネットワークアクセス認証プロトコル802.1Xの終端機能である。すなわち、802.1Xによるネットワークアクセス認証を開始し、ネットワークアクセスの認可を受ける機能である。また、端末装置700は、スイッチ装置600を介することで、インフラネットワークシステム10に接続する。
Radius Server100は、ネットワークアクセス認証のための認証プロトコルである、RADIUSプロトコルを処理するためのサーバ装置である。PANAおよび802.1Xのいずれのプロトコルであっても、ネットワークアクセス認証を行う場合は、このRadius Server100で端末装置700の認証可否を決定する。
1x Radius Proxy200は、802.1XのためのRADIUSプロトコルをRadius Server100に中継するためのサーバ装置である。また、1x Radius Proxy200は、802.1Xによる認証が成功した場合、端末装置700に対して、インフラネットワークシステム10で採用されているPANAによるネットワークアクセス認可を行うため、DHCP Server300やPANA PAA400との間でデータを送受信する。
DHCP Server300は、認証された端末装置700に対して、IPアドレスを割り当てるサーバ装置である。
PANA PAA400は、ネットワークアクセス認証プロトコルPANAの中継サーバ装置である。PANA PAA400は、スイッチ装置600のPANA PaC機能との間でPANAプロトコルを実行し、Radius Server100との間でRADIUSプロトコルを実行することで、PANA PaC機能を有するスイッチ装置600のネットワークアクセス認証を行う。また、PANA PAA400は、ネットワークアクセス認証の結果に従ってネットワークアクセス認可を設定するため、PANA EP500に対して通信を行う。
PANA EP500は、ネットワークアクセス認証の結果に対応する認可ポリシが設定される装置である。具体的には、PANA EP500は、IPアドレスを指定してネットワークアクセスの許可または不許可を設定することによりネットワークアクセスの認可を行うルータまたはスイッチとして構成される。
なお、本実施の形態の通信システムは上記構成に限られるものではない。例えば、インフラネットワークシステム10に含まれる複数の装置のうちいずれかを、同一の筐体として実現する構成などが可能である。また、1x Radius Proxy200の機能などのインフラネットワークシステム10の一部の装置の機能を、スイッチ装置600に配置する構成なども可能である。
次に、上記のように構成された各装置によるアクセス認証処理のシーケンスの概要について説明する。図1は、各装置間の矢印に付された番号により、アクセス認証処理のシーケンスを表している。このシーケンスは、スイッチ装置600をインフラネットワークシステム10に接続し、802.1Xにのみ対応している端末装置700を、スイッチ装置600に接続することで、PANAに対応し、PANAによる認可ポリシを採用しているインフラネットワークシステム10に端末装置700を接続し、インフラネットワークシステム10内で、端末装置700のネットワークアクセスを正しく認可するための手順を表している。
なお、802.1Xでは、端末装置700は、端末装置700の機器アドレスによって認証されるものとする。
(1)インフラネットワークシステム10に対して、スイッチ装置600を接続する。このとき、スイッチ装置600のPANA PaC機能とPANA PAA400との間で、ネットワークアクセス認証プロトコルPANAが実行される。
(2)スイッチ装置600のネットワークアクセス認証を開始したPANA PAA400は、スイッチ装置600の認証を実行するため、Radius Server100との間でRADIUSプロトコルを実行する。これにより、スイッチ装置600のネットワークアクセスがPANA PAA400によって認可され、PANA PAA400とスイッチ装置600との間ではPANAセッションが確立される。
(3)PANAプロトコルおよびRADIUSプロトコルの実行結果により、スイッチ装置600のネットワークアクセスの認可がされた場合、PANA PAA400に設定された認可ポリシに従って、PANA EP500に対して、SNMPプロトコルなどにより、スイッチ装置600のIPアドレスを通知する。通知を受けたPANA EP500は、指定されたスイッチ装置600のIPアドレスを認可する。これにより、スイッチ装置600によるインフラネットワークシステム10へのネットワークアクセスが許可される。
(4)スイッチ装置600に対して、端末装置700を接続する。このとき、端末装置700の1xSupplicant機能と、スイッチ装置600の1x Authenticator機能との間で、ネットワークアクセス認証プロトコル802.1XのためのEAPoLプロトコルが実行される。なお、スイッチ装置600に対して端末装置700が接続された時点で、スイッチ装置600が1〜3のシーケンスを開始し、その後に、EAPoLプロトコルの処理を開始するように構成してもよい。
(5)スイッチ装置600内で、1x Authenticator機能に対して、PANA PaC機能に関連するPANAセッション情報が通知される。これにより、スイッチ装置600で、PANAセッション情報が802.1X認証プロトコルに関連づけられる。
(6)端末装置700のネットワークアクセス認証を開始したスイッチ装置600は、端末装置700の802.1X認証を実行するため、1x Radius Proxy200との間でRADIUSプロトコルを実行する。このとき、スイッチ装置600のPANA PaC機能に関連するPANAセッション情報が、通常のRADIUSプロトコルのメッセージに付加されて送信される。
(6’)1x Radius Proxy200は、RADIUSプロトコルのメッセージに付加されているPANAセッション情報を保持するとともに、PANAセッション情報を削除したRADIUSプロトコルのメッセージを、Radius Server100に対して中継する。PANAセッション情報を削除するのは、Radius Server100が通常のRADIUSプロトコルの処理を扱うのみとし、本実施の形態による拡張を意識しない構成とするためである。これにより、端末装置700のネットワークアクセスがスイッチ装置600で認可される。この結果、スイッチ装置600は、端末装置700が接続されたポートの開閉を行い、これ以後、端末装置700からの通常のネットワークアクセスを、インフラネットワークシステム10に対して中継する。
(7)スイッチ装置600でネットワークアクセスが認可された端末装置700は、DHCPプロトコルを実行し、自身に対するIPアドレスの割り当てをDHCP Server300に要求する。これに対して、DHCP Server300は、端末装置700に対してIPアドレスを割り当てる。
(7’)1x Radius Proxy200は、端末装置700のネットワークアクセス認証が完了すると、端末装置700のネットワークアクセス認証の際に把握した端末装置700の機器アドレスをキーとして、端末装置700に割り当てられたIPアドレスをDHCP Server300に問い合わせる。そして、1x Radius Proxy200は、DHCP Server300から返信された端末装置700のIPアドレスを取得する。
(8)1x Radius Proxy200は、上記(7)で取得した端末装置700のIPアドレスと、上記(6)で取得した端末装置700に関連するPANAセッション情報を、PANA PAA400に通知する。これにより、端末装置700のネットワークアクセスを許可するために必要なPANAによるネットワークアクセス認可をPANA PAA400に依頼する。PANA PAA400は、1x Radius Proxy200から通知された情報により、802.1Xにより認証された端末装置700のIPアドレスと、PANA PAA400に設定された認可ポリシに従い、端末装置700が接続されているPANAで認証されたスイッチ装置600を特定する。PANA PAA400は、さらに、特定したスイッチ装置600より、802.1Xにより認証された端末装置700に対してPANAによるネットワークアクセス認可を行うために設定が必要なPANA EP500を特定する。
(9)PANA PAA400は、802.1Xにより認証された端末装置700に対してPANAによるネットワークアクセス認可を行うため、設定が必要なPANA EP500に対して、SNMPプロトコルなどにより、端末装置700のIPアドレスを通知する。これを受けたPANA EP500は、指定された端末装置700の通信を許可する。このようにして、端末装置700によるインフラネットワークシステム10へのネットワークアクセスが認可される。
(10)以後、端末装置700は、スイッチ装置600を経由してインフラネットワークシステム10へのネットワークアクセスが可能となる。
次に、本実施の形態の通信システムを構成する各装置の詳細な構成について説明する。まず、スイッチ装置600の構成について図2を用いて説明する。図2は、本実施の形態にかかるスイッチ装置600の構成を示すブロック図である。
図2に示すように、スイッチ装置600は、インフラネットワークインタフェース(I/F)601と、端末装置インタフェース(I/F)602と、PANAプロトコル処理部603と、802.1Xプロトコル処理部604と、中継制御部605と、記憶部610と、を備えている。
記憶部610は、アクセス認証に関する情報を記憶するものであり、端末認証状態テーブル611と、セッション情報テーブル612とを格納している。
端末認証状態テーブル611は、端末装置700ごとの認証状態を記憶するものである。図3は、端末認証状態テーブル611に記憶されるデータのデータ構造の一例を示す説明図である。図3に示すように、端末認証状態テーブル611は、端末装置700が接続されている物理ポートを識別する番号と、端末装置700の機器アドレスと、端末装置700の認証状態(802.1X認証状態)とを対応づけて格納している。認証状態としては、例えば、認証されているときに「Accept」を設定し、認証されていないときに「Reject」を設定する。
図2に戻り、セッション情報テーブル612は、スイッチ装置600のPANA PAA400による認証状態および認証された場合のPANAセッションに関するPANAセッション情報を記憶するものである。図4は、セッション情報テーブル612に記憶されるデータのデータ構造の一例を示す説明図である。
図4に示すように、セッション情報テーブル612は、スイッチ装置600のPANA PAA400による認証状態と、PANAセッション情報としてPANAセッションを識別するPANAセッションIDとを格納している。なお、PANAセッション情報はこれに限られるものではなく、例えば、スイッチ装置600のIPアドレスなど、セッションに関連するその他の情報を含めるように構成してもよい。
図2に戻り、インフラネットワークI/F601は、インフラネットワークシステム10内の各装置との間で通信するときに利用するネットワークインタフェースである。端末装置I/F602は、端末装置700と物理的に接続するイーサネット(登録商標)ポートである。
PANAプロトコル処理部603は、インフラネットワークシステム10に対して、スイッチ装置600のネットワークアクセスを認可させるため、インフラネットワークシステム10内のPANA PAA400との間でPANAプロトコルを実行するものである。すなわち、PANAプロトコル処理部603は、一般にPANA PaCと呼ばれるPANAプロトコルの終端機能を備えている。
また、PANAプロトコル処理部603は、要求送信部603aと、結果受信部603bと、通信確立部603cとを備えている。
要求送信部603aは、スイッチ装置600のネットワークアクセス認証を要求するメッセージをPANA PAA400に対して送信するものである。結果受信部603bは、PANA PAA400からネットワークアクセス認証の認証結果を受信するものである。通信確立部603cは、ネットワークアクセスが認可された場合に、PANA PAA400との間でPANAセッションを確立し、確立したPANAセッションに関する情報(PANAセッション情報)を、記憶部610のセッション情報テーブル612に保存するものである。
802.1Xプロトコル処理部604は、端末装置I/F602に接続した端末装置700の、インフラネットワークシステム10に対するネットワークアクセス認証プロトコルを中継するために、802.1Xプロトコルを実行するものである。具体的には、802.1Xプロトコル処理部604は、端末装置700との間でEAPoLプロトコルを実行し、インフラネットワークシステム10内の1x Radius Proxy200との間でRADIUSプロトコルを実行する。
また、802.1Xプロトコル処理部604は、要求受信部604aと、転送部604bとを備えている。要求受信部604aは、端末装置700から、インフラネットワークシステム10に対するアクセス認証を要求するメッセージを受信するものである。
転送部604bは、アクセス認証を要求するメッセージに、セッション情報テーブル612に記憶されているPANAセッション情報を付加して1x Radius Proxy200に転送するものである。
図5は、転送されるRADIUSプロトコルのメッセージの一例を示した説明図である。図5は、PANAセッション情報をRADIUSアトリビュートとして追加したRADIUSプロトコルのパケット構成例を示している。RADIUSパケットは、RADIUSヘッダと、複数のRADIUSアトリビュートとを含んでいる。RADIUSヘッダには、メッセージの種類を示すコード、メッセージの識別子、パケット長、および認証のための認証符号が含まれる。個々のRADIUSアトリビュートは、アトリビュートの種類を表すType、アトリビュートの長さ、および値を含んでいる。
RADIUSプロトコルの仕様では、Type26のRADIUSアトリビュートを利用することで、標準化されたRADIUSアトリビュート以外のベンダ拡張アトリビュートを追加することが規定されている。そこで、本実施の形態では、Type26のRADIUSアトリビュートにPANAセッション情報を追加する。
図2に戻り、中継制御部605は、端末装置700とインフラネットワークシステム10との間の通信の中継を制御するものである。中継制御部605は、端末装置700ごとにポートの開閉を管理しており、802.1Xネットワークアクセス認証が成功するまで端末装置700の通信は許可しない。
次に、1x Radius Proxy200の構成について図6を用いて説明する。図6は、本実施の形態にかかる1x Radius Proxy200の構成を示すブロック図である。
図6に示すように、1x Radius Proxy200は、RADIUSプロトコル中継部201と、通知部203と、アドレス取得部204と、制御部205と、記憶部210と、を備えている。
記憶部210は、802.1Xによって認証される端末装置700の情報と、関連するPANAセッション情報とを記憶するものであり、端末−PANA対応テーブル211を格納している。図7は、端末−PANA対応テーブル211に格納されるデータのデータ構造の一例を示す説明図である。
図7に示すように、端末−PANA対応テーブル211は、802.1Xによって認証される端末装置700の機器アドレスと、802.1Xの認証状態と、802.1X認証が利用しているスイッチ装置600に対応するPANAセッション情報と、802.1Xによって認証された端末装置700に割り当てられたIPアドレスと、を対応づけて格納している。
図6に戻り、RADIUSプロトコル中継部201は、スイッチ装置600とRadius Server100との間でRADIUSプロトコルのメッセージを中継するものである。なお、RADIUSプロトコル中継部201は、メッセージを中継するとき、PANAセッション情報に関するRADIUSアトリビュートの削除を行う。
通知部203は、PANA PAA400に対して、802.1Xプロトコルによって認証された端末装置700に対応するPANAセッション情報と、802.1Xプロトコルによって認証された端末装置700のIPアドレスを通知するものである。
アドレス取得部204は、DHCP Server300との間でデータ送受信を行い、802.1Xプロトコルによって認証された端末装置700に割り当てられたIPアドレスを取得するものである。
制御部205は、アドレス取得部204、RADIUSプロトコル中継部201、通知部203、および記憶部210を制御するものである。また、制御部205は、必要に応じて、記憶部210に格納されている端末−PANA対応テーブル211を更新する。
次に、PANA PAA400の構成について図8を用いて説明する。図8は、本実施の形態にかかるPANA PAA400の構成を示すブロック図である。
図8に示すように、PANA PAA400は、アドレス受信部401と、PANA−EP通信部402と、RADIUSプロトコル処理部403と、PANAプロトコル処理部404と、制御部405と、記憶部410と、を備えている。
アドレス受信部401は、1x Radius Proxy200から、802.1Xプロトコルによって認証された端末装置700に対応するPANAセッション情報と、802.1Xプロトコルによって認証された端末装置700のIPアドレスの通知を受けるものである。
PANA−EP通信部402は、PANA EP500に対して、PANAプロトコルによって認証されたスイッチ装置600のIPアドレス、または802.1Xプロトコルによって認証された端末装置700のIPアドレスを通知するものである。これにより、PANA EP500でのネットワークアクセス認可の設定が可能となる。
RADIUSプロトコル処理部403は、PANAプロトコル処理部404と共に動作し、Radius Server100との間でRADIUSプロトコルによるメッセージを交換し、スイッチ装置600の認証処理を行うものである。
PANAプロトコル処理部404は、インフラネットワークシステム10に対して、スイッチ装置600のネットワークアクセスを認可させるため、スイッチ装置600との間でPANAプロトコルを実行するものである。すなわち、PANAプロトコル処理部404は、一般にPAAと呼ばれるPANAプロトコルの中継機能を備えている。
PANAプロトコル処理部404は、要求受信部404aと、判断部404cと、結果送信部404bと、認可部404dとを備えている。
要求受信部404aは、スイッチ装置600から、PANAによるネットワークアクセス認証を要求するメッセージを受信するものである。
判断部404cは、要求受信部404aが受信したメッセージに従いPANAによるネットワークアクセス認証を実行し、アクセス認否を判断するものである。また、判断部404cは、アクセスを許可した場合は、PANA−EP対応テーブル412(後述)を参照して設定された認可ポリシに従ってスイッチ装置600のネットワークアクセスを認可する。
結果送信部404bは、アクセス認証の結果をスイッチ装置600に送信するものである。認可部404dは、アドレス受信部401によってIPアドレスを通知された端末装置700に対して、PANAセッションIDによって関連付けられたスイッチ装置600と同様の認可ポリシを適用するものである。
制御部405は、アドレス受信部401、PANA−EP通信部402、RADIUSプロトコル処理部403、PANAプロトコル処理部404、および記憶部410の動作を制御するものである。また、制御部405は、必要に応じて、記憶部210に格納されている各テーブルを更新する。
記憶部410は、端末装置700をPANAによって認証するための各種情報を記憶するものであり、PANA認証状態テーブル411と、PANA−EP対応テーブル412と、認可アドレス管理テーブル413とを格納している。以下に、各テーブルの構成例について図9〜図11を用いて説明する。
図9は、PANA認証状態テーブル411に格納されるデータのデータ構造の一例を示す説明図である。PANA認証状態テーブル411は、PANAで認証されたスイッチ装置600に関する情報を保持するものである。具体的には、PANA認証状態テーブル411は、PANAで認証されたスイッチ装置600のID(例えば、機器アドレス)と、PANAセッションIDと、PANAの認証状態とを対応づけて格納している。
図10は、PANA−EP対応テーブル412に格納されるデータのデータ構造の一例を示す説明図である。PANA−EP対応テーブル412は、スイッチ装置600と、スイッチ装置600が認証された際に認可設定が必要となるPANA EP500との関連を保持するものであり、PANA PAA400が保持する認可ポリシに相当する。具体的には、PANA−EP対応テーブル412は、スイッチ装置600のIDと、IDおよびIPアドレスで識別されるPANA EP500ごとの認可要否を表す情報(○:認可設定要、×:認可設定不要)とを対応づけて格納している。なお、PANA−EP対応テーブル412には、システム設置時などに事前に定められたデータが格納される。
図11は、認可アドレス管理テーブル413に格納されるデータのデータ構造の一例を示す説明図である。認可アドレス管理テーブル413は、PANAセッションIDと、このPANAセッションIDで識別されるPANAセッションに関連して認可を行うIPアドレスの情報を保持するものである。具体的には、PANAセッション情報と、対応するIPアドレスのリストとを対応づけて格納している。
すなわち、認可アドレス管理テーブル413には、まず、PANAによりスイッチ装置600のアクセスが認可されたときに、スイッチ装置600のIPアドレスがPANAセッションIDとともに格納される。さらに、認可アドレス管理テーブル413には、802.1Xにより端末装置700のアクセスが認可されたときに、端末装置700のIPアドレスが、関連するPANAセッションIDに対応するアドレスとして追加される。
なお、上記各装置の記憶部(記憶部610、記憶部210、記憶部410)は、HDD(Hard Disk Drive)、光ディスク、メモリカード、RAM(Random Access Memory)などの一般的に利用されているあらゆる記憶媒体により構成することができる。
次に、このように構成された本実施の形態にかかる通信システムによる通信処理について図12を用いて説明する。図12は、本実施の形態における通信処理の全体の流れを示すシーケンス図である。
まず、インフラネットワークシステム10に対して、スイッチ装置600が接続される。具体的には、まず、スイッチ装置600の要求送信部603aが、ネットワークアクセス認証を要求するメッセージを送信して、PANAによる認証を開始する(ステップS1201)。
PANA PAA400のPANAプロトコル処理部404は、スイッチ装置600のPANAプロトコル処理部603との間で、PANAプロトコルを実行することでスイッチ装置600のネットワークアクセス認証処理を行う。なお、スイッチ装置600はPANAプロトコルを実行する前に、DHCP Server300などを利用して自装置のIPアドレスを取得しているものとする。
具体的には、まず、PANAプロトコル処理部404の要求受信部404aが、認証を要求するメッセージを受信する。そして、PANAプロトコル処理部404の判断部404cは、認証処理を実行するため、必要に応じて、制御部405を経由して、RADIUSプロトコル処理部403を起動し、Radius Server100との間でRADIUSプロトコルによる認証を実行する(ステップS1202)。
結果送信部404bは、ネットワークアクセス認証処理の認証結果をスイッチ装置600に送信する。認証結果は、スイッチ装置600の結果受信部603bによって受信される。認証が成功すると、スイッチ装置600のPANAプロトコル処理部603(通信確立部603c)と、PANA PAA400のPANAプロトコル処理部404との間でPANAセッションが確立される(ステップS1203)。このとき、通信確立部603cは、中継制御部605を経由して、記憶部610のセッション情報テーブル612に、PANAセッションIDを格納し、PANA認証状態を認証済みに変更する。
また、PANA PAA400のPANAプロトコル処理部404は、制御部405を経由して、記憶部410のPANA認証状態テーブル411に、スイッチ装置600のIDおよびPANAセッションIDを対応づけて格納し、PANA認証状態を認証済みに変更する。また、PANAプロトコル処理部404は、制御部405を経由して、認可アドレス管理テーブル413に、PANAセッションIDとスイッチ装置600のIPアドレスと対応づけて格納する。
PANAによる認証が完了したため、PANA PAA400の制御部405は、認証されたスイッチ装置600のためのネットワークアクセス認可処理を開始する。具体的には、まず、判断部404cが、認証されたスイッチ装置600のIDをキーとして、事前に設定されているPANA−EP対応テーブル412を参照し、スイッチ装置600に対応するPANA EP500のIDを取得する。
次に、制御部405は、取得したIDのPANA EP500に対して、スイッチ装置600のネットワークアクセスが認可されるように、PANA−EP通信部402を経由してスイッチ装置600のIPアドレスを通知する(ステップS1204)。制御部405は、例えば、SNMPプロトコルなどによりスイッチ装置600のIPアドレスを通知する。
これを受けたPANA EP500は、指定されたスイッチ装置600のIPアドレスを認可する(ステップS1205)。これにより、スイッチ装置600によるインフラネットワークシステム10へのネットワークアクセスが許可される。
この後、スイッチ装置600の端末装置I/F602に対して、端末装置700が接続される。具体的には、まず、端末装置700が、ネットワークアクセス認証を要求するメッセージを送信して、802.1XのためのEAPoLプロトコルによる認証を開始する(ステップS1206)。スイッチ装置600の要求受信部604aは、端末装置I/F602および中継制御部605を経由して端末装置700から送信されたEAPoLプロトコルのメッセージを受信する。
なお、EAPoLプロトコル以外のメッセージを受信した場合、802.1Xプロトコル処理部604は、受信したメッセージの送信元機器アドレスをキーとして、端末認証状態テーブル611から端末装置700の認証状態を取得する。そして、端末装置700の認証状態が存在しない、または「Reject」である場合、802.1Xプロトコル処理部604は、受信したメッセージを破棄する。端末装置700の認証状態が「Accept」である場合は、802.1Xプロトコル処理部604は、受信したメッセージをインフラネットワークI/F601に送出する。
転送部604bは、中継制御部605を経由してセッション情報テーブル612からPANA認証状態を取得する。そして、転送部604bは、PANA認証状態が「認証済み」であることを確認して、PANAセッションIDをセッション情報テーブル612から取得する(ステップS1207)。
次に、転送部604bは、取得したPANAセッションIDを、RADIUSプロトコルのアトリビュートとして追加する(ステップS1208)。そして、転送部604bは、端末装置700の認証処理を実行するため、インフラネットワークI/F601を経由して、1x Radius Proxy200との間でRADIUSプロトコルを実行する(ステップS1209)。
1x Radius Proxy200のRADIUSプロトコル中継部201は、スイッチ装置600から受信したRADIUSプロトコルのメッセージから、アトリビュートとして付加されたPANAセッションIDを取り除く。また、RADIUSプロトコル中継部201は、アトリビュートとして付加されたPANAセッションIDをRADIUSプロトコルによるメッセージに含まれる端末装置700の機器アドレスと対応づけ、制御部205を経由して、端末−PANA対応テーブル211に格納する(ステップS1210)。
次に、RADIUSプロトコル中継部201は、PANAセッションIDを取り除いたRADIUSプロトコルのメッセージを、Radius Server100に中継する(ステップS1211)。また、RADIUSプロトコル中継部201は、Radius Server100から受信したRADIUSプロトコルのメッセージをスイッチ装置600に中継する。
このようにして、端末装置700とRadius Server100との間で、スイッチ装置600および1x Radius Proxy200を経由して802.1Xプロトコルが実行されることで、端末装置700のネットワークアクセス認証が行われる。
Radius Server100は、認証結果を1x Radius Proxy200に通知し(ステップS1212)、アクセスが認可された場合は、1x Radius Proxy200の制御部205は、端末−PANA対応テーブル211の対応する機器アドレスの認証状態を「Accept」に更新する(ステップS1213)。
1x Radius Proxy200のRADIUSプロトコル中継部201は、認証結果をスイッチ装置600に中継し(ステップS1214)、スイッチ装置600の中継制御部605が、端末認証状態テーブル611の対応する端末装置700の認証状態を「Accept」に変更する(ステップS1215)。なお、認証結果は、スイッチ装置600を経由して端末装置700に通知される(ステップS1216)。
ここまでの処理により、スイッチ装置600における端末装置700のネットワークアクセス認可が行われた。これにより、この後、端末装置I/F602に接続している端末装置700がスイッチ装置600に対してメッセージを送信した場合、スイッチ装置600の中継制御部605は、端末装置700の認証状態が「Accept」であることを確認し、受信したメッセージをインフラネットワークI/F601に中継する。
スイッチ装置600でネットワークアクセスが認可された端末装置700は、DHCPプロトコルを実行し、自装置に対するIPアドレスの割り当てをDHCP Server300に要求する(ステップS1217)。これに対して、DHCP Server300が、端末装置700に対してIPアドレスを割り当てる(ステップS1218)。なお、DHCP Server300は、割り当てたIPアドレスと機器アドレスとの対応関係を記憶装置等に保持する。
一方、802.1Xプロトコルによる認証と認可が完了した後、1x Radius Proxy200のアドレス取得部204は、802.1Xプロトコルによって認証された端末装置700の機器アドレスを端末−PANA対応テーブル211から取得する。そして、アドレス取得部204は、取得した機器アドレスをキーとして、対応するIPアドレスをDHCP Server300に問い合わせることにより、端末装置700に割り当てられたIPアドレスを取得する(ステップS1219)。
アドレス取得部204は、制御部205を経由して、取得した端末装置700のIPアドレスを、端末−PANA対応テーブル211の対応する端末装置700の端末装置IPアドレスとして登録する(ステップS1220)。
次に、1x Radius Proxy200の通知部203は、制御部205を介して、登録したIPアドレスに対応するPANAセッションIDを端末−PANA対応テーブル211から取得し、登録したIPアドレスとともにPANA PAA400に対して通知する(ステップS1221)。これにより、通知部203は、802.1Xプロトコルにより認証された端末装置700に対するPANAによるネットワークアクセス認可をPANA PAA400に依頼する。
PANA PAA400のアドレス受信部401は、通知されたIPアドレスおよびPANAセッションIDを受け取り、受け取った情報を、制御部405を介して、認可アドレス管理テーブル413に格納する(ステップS1222)。具体的には、PANAセッションIDと、これに対応する802.1Xにより認証された端末装置700のIPアドレスとが、認可アドレス管理テーブル413に追加される。
PANAセッションに対して認可するIPアドレスが追加されると、追加されたIPアドレスの端末装置700に対して認可するアクセス方法が決定される。本実施の形態では、以下のように、端末装置700に対応するスイッチ装置600に認可したアクセス方法と同様のアクセス方法が、端末装置700に対して認可される。
まず、認可部404dは、IPアドレスが追加されたPANAセッションIDをキーとして、PANA認証状態テーブル411から対応するスイッチ装置600のID(スイッチ装置ID)を特定する。また、認可部404dは、対応するスイッチ装置600のPANA認証状態が認証済みであることを確認する。さらに、認可部404dは、スイッチ装置600のIDをキーとして、PANA−EP対応テーブル412から、対応するPANA EP500のIPアドレスを取得する。
次に、PANA−EP通信部402は、取得したIPアドレスのPANA−EP500に対して、認可アドレス管理テーブル413に追加したIPアドレス(これはすなわち端末装置700のIPアドレスである)をSNMPプロトコルなどによって通知する(ステップS1223)。
通知を受けたPANA EP500は、指定された端末装置700のIPアドレスを認可する(ステップS1224)。このような処理により、スイッチ装置600だけでなく、802.1Xプロトコルにより認証された端末装置700に対しても、PANAの認証ポリシを適用してインフラネットワークシステム10へのアクセスを認可することができる。
以後、端末装置700は、スイッチ装置600を経由してインフラネットワークシステム10へのネットワークアクセスが可能となる。なお、802.1Xプロトコルによって認証された端末装置700のネットワークアクセス認可は、スイッチ装置600のPANAセッションに依存している。このため、スイッチ装置600のPANAセッションが破棄された場合は、802.1Xプロトコルによって認証された端末装置700のネットワークアクセス認可も同時に破棄される。
ここで、本実施の形態との比較のため、PANAの終端機能と802.1Xの中継機能とを備えただけのスイッチ装置を用いた通信システム(以下、通信システムAという。)によるアクセス認証処理の概要について説明する。図13は、通信システムAの構成例を示す説明図である。
図13に示すように、システムの構成要素に関しては、通信システムAは、1x Radius Proxy200に相当する装置が存在しない点が本実施の形態と異なっている。
通信システムAによるアクセス認証処理では、スイッチ装置をインフラネットワークシステムに接続し、802.1Xにのみ対応している端末装置を、スイッチ装置に接続することで、PANAに対応し、PANAによる認可ポリシを採用しているインフラネットワークシステムに端末装置を接続する。
ただし、インフラネットワークシステム内で、端末装置に対してPANAの認可ポリシが設定できないため、端末装置は、インフラネットワークシステムの一部にのみしかアクセスできない状態になる。
図13の1〜4までの処理(スイッチ装置の認可処理、端末装置からの認証開始処理)は、図1で説明した(1)から(4)までと同様の処理であるため説明を省略する。
端末装置の1xSupplicant機能と、スイッチ装置の1x Authenticator機能との間でEAPoLプロトコルが開始された後(4)、通信システムAのスイッチ装置では、PANAセッション情報の関連づけ処理(図1の(5))が行われず、以下のような処理が実行される。
(5)端末装置のネットワークアクセス認証を開始したスイッチ装置は、端末装置の802.1X認証を実行するため、Radius Serverとの間でRADIUSプロトコルを実行する。これにより、端末装置のネットワークアクセスがスイッチ装置で認可される。この結果、スイッチ装置は、端末装置が接続されたポートの開閉を行い、これ以後、端末装置からの通常のネットワークアクセスを、インフラネットワークシステムに対して中継する。
(6)スイッチ装置でネットワークアクセスが認可された端末装置は、DHCPプロトコルを実行し、自身に対するIPアドレスの割り当てをDHCP Serverに要求する。これに対して、DHCP Serverは、端末装置に対してIPアドレスを割り当てる。
(7)以後、端末装置は、スイッチ装置を経由してインフラネットワークシステムへアクセス可能となる。ただし、端末装置に対してPANA EPでのネットワーク認可が設定されていないため、端末装置は、PANA EPを介してインフラネットワークシステムに接続されたインフラネットワークシステム内のサービスにはアクセスできない。
このように、単にPANAの終端機能と802.1Xの中継機能とを備えたスイッチ装置を用いるだけでは、802.1Xのみに対応した端末装置に対して、PANAの認証ポリシを適用してネットワークへのアクセスを認可することができない。
以上のように、本実施の形態にかかる通信システムでは、第1認証プロトコル(例えば802.1X)を採用したネットワークを、第2認証プロトコル(例えばPANA)を採用したネットワークに統合した場合に、第1認証プロトコルのみに対応した端末に対しても第2認証プロトコルの認可ポリシを適用することができる。すなわち、認可ポリシが異なる場合であっても、異なるネットワークアクセス認証プロトコルによるネットワークシステムを相互に接続することが可能となる。
次に、本実施の形態にかかる通信システムを構成する各装置(1x Radius Proxy、PANA PAA、スイッチ装置)のハードウェア構成について図14を用いて説明する。図14は、本実施の形態の各装置のハードウェア構成を示す説明図である。
本実施の形態の各装置は、CPU(Central Processing Unit)51などの制御装置と、ROM(Read Only Memory)52やRAM53などの記憶装置と、ネットワークに接続して通信を行う通信I/F54と、各部を接続するバス61を備えている。
なお、1x Radius ProxyおよびPANA PAAは、さらに、HDD(Hard Disk Drive)、CD(Compact Disc)ドライブ装置などの外部記憶装置と、ディスプレイ装置などの表示装置と、キーボードやマウスなどの入力装置と、を備えており、通常のコンピュータを利用したハードウェア構成となっている。
本実施の形態の各装置で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM(Compact Disk Read Only Memory)、フレキシブルディスク(FD)、CD−R(Compact Disk Recordable)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録されて提供される。
また、本実施の形態の各装置で実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、本実施の形態の各装置で実行されるプログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。
また、本実施の形態のプログラムを、ROM等に予め組み込んで提供するように構成してもよい。
本実施の形態の各装置で実行されるプログラムは、それぞれ上述した構成部を含むモジュール構成となっており、実際のハードウェアとしてはCPU51(プロセッサ)が上記記憶媒体からプログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、上述した各部が主記憶装置上に生成されるようになっている。
以上のように、本発明にかかる通信する通信システム、中継装置、認証装置、および通信方法は、認証ポリシの異なる複数のネットワークシステムを統合した通信システムに適している。
本実施の形態の通信システムの構成を示す説明図である。 本実施の形態にかかるスイッチ装置の構成を示すブロック図である。 端末認証状態テーブルに記憶されるデータのデータ構造の一例を示す説明図である。 セッション情報テーブルに記憶されるデータのデータ構造の一例を示す説明図である。 RADIUSプロトコルのメッセージの一例を示した説明図である。 本実施の形態にかかる1x Radius Proxyの構成を示すブロック図である。 端末−PANA対応テーブルに格納されるデータのデータ構造の一例を示す説明図である。 本実施の形態にかかるPANA PAAの構成を示すブロック図である。 PANA認証テーブルに格納されるデータのデータ構造の一例を示す説明図である。 PANA−EP対応テーブルに格納されるデータのデータ構造の一例を示す説明図である。 認可アドレス管理テーブルに格納されるデータのデータ構造の一例を示す説明図である。 本実施の形態における通信処理の全体の流れを示すシーケンス図である。 通信システムの他の構成例を示す説明図である。 本実施の形態の各装置のハードウェア構成を示す説明図である。
符号の説明
51 CPU
52 ROM
53 RAM
54 通信I/F
61 バス
10 インフラネットワークシステム
100 Radius Server
200 1x Radius Proxy
201 RADIUSプロトコル中継部
203 通知部
204 アドレス取得部
205 制御部
210 記憶部
211 端末−PANA対応テーブル
300 DHCP Server
400 PANA PAA
401 アドレス受信部
402 PANA−EP通信部
403 RADIUSプロトコル処理部
404 PANAプロトコル処理部
404a 要求受信部
404b 判断部
404c 結果送信部
404d 認可部
405 制御部
410 記憶部
411 PANA認証状態テーブル
412 PANA−EP対応テーブル
413 認可アドレス管理テーブル
500 PANA EP
600 スイッチ装置
601 インフラネットワークI/F
602 端末装置I/F
603 PANAプロトコル処理部
603a 要求送信部
603b 結果受信部
603c 通信確立部
604 802.1Xプロトコル処理部
604a 要求受信部
604b 転送部
605 中継制御部
610 記憶部
611 端末認証状態テーブル
612 セッション情報テーブル
700 端末装置

Claims (11)

  1. 第1ネットワークを介して接続された端末装置から第2ネットワークへの通信を中継する第1中継装置と、前記第1中継装置に前記第2ネットワークを介して接続され、前記端末装置を第1認証プロトコルにより認証する第1認証装置への通信を中継する第2中継装置と、前記第1中継装置に第2ネットワークを介して接続され、第2認証プロトコルにより前記第2ネットワークに対する前記第1中継装置のためのアクセス認証を行う第2認証装置と、を備えた通信システムであって、
    前記第1中継装置は、
    前記第1中継装置が前記第2ネットワークに対してアクセスする通信を識別する識別情報を記憶可能な識別情報記憶部と、
    前記第1中継装置が前記第2ネットワークに対してアクセスするためのアクセス認証を要求する第1要求メッセージを前記第2認証装置に送信する要求送信部と、
    前記第1要求メッセージに対する応答であって、前記第2ネットワークに対する前記第1中継装置のアクセス認否の判断結果を前記第2認証装置から受信する結果受信部と、
    前記第2ネットワークに対する前記第1中継装置のアクセスを認可する前記判断結果を受信した場合に、前記第1中継装置から前記第2ネットワークに対する通信を確立し、確立した通信の前記識別情報を前記識別情報記憶部に保存する通信確立部と、
    前記端末装置が前記第2ネットワークに対してアクセスするためのアクセス認証を要求する第2要求メッセージを前記端末装置から受信する第1要求受信部と、
    前記第2要求メッセージを受信した場合に、前記識別情報記憶部から前記識別情報を取得し、取得した前記識別情報を前記第2要求メッセージに付加して前記第2中継装置に転送する転送部と、を備え、
    前記第2中継装置は、
    前記識別情報が付加された前記第2要求メッセージを前記第1中継装置から受信し、受信した前記第2要求メッセージを前記第1認証装置に中継する中継部と、
    前記第2要求メッセージの送信元の前記端末装置が前記第1認証装置に認証された場合に、認証された前記端末装置のアドレス情報に、前記第2要求メッセージに付加された前記識別情報を対応づけて前記第2認証装置に通知する通知部と、を備え、
    前記第2認証装置は、
    前記第1要求メッセージを前記第1中継装置から受信する第2要求受信部と、
    受信した前記第1要求メッセージに基づいて前記第1中継装置の前記第2ネットワークに対するアクセス認否を判断し、アクセスを認可した前記第1中継装置に対して、前記第1中継装置ごとに予め定められたアクセス方法を決定する判断部と、
    前記判断部による判断結果を前記第1中継装置に送信する結果送信部と、
    前記識別情報が対応づけられた前記アドレス情報を前記第2中継装置から受信するアドレス受信部と、
    受信した前記アドレス情報の前記端末装置に対して、受信した前記アドレス情報に対応づけられた前記識別情報で識別される通信を確立した前記第1中継装置について決定された前記アクセス方法による前記第2ネットワークへのアクセスを認可する認可部と、を備えたこと、
    を特徴とする通信システム。
  2. 第1ネットワークを介して接続された端末装置から第2ネットワークへの通信を中継する第1中継装置と、前記端末装置を第1認証プロトコルにより認証する外部認証装置への通信を中継する第2中継装置と、に前記第2ネットワークを介して接続され、第2認証プロトコルにより前記第2ネットワークに対するアクセス認証を行う認証装置であって、
    前記第1中継装置が前記第2ネットワークに対してアクセスを要求するアクセス認証を要求する要求メッセージを前記第1中継装置から受信する要求受信部と、
    受信した前記要求メッセージに基づいて前記第1中継装置の前記第2ネットワークに対するアクセス認否を判断し、アクセスを認可した前記第1中継装置に対して、前記第1中継装置ごとに予め定められたアクセス方法を決定する判断部と、
    前記判断部による判断結果を前記第1中継装置に送信する結果送信部と、
    前記第2ネットワークへのアクセスが認可された前記第1中継装置との間の通信を識別する識別情報が対応づけられた前記端末装置のアドレス情報を前記第2中継装置から受信するアドレス受信部と、
    受信した前記アドレス情報の前記端末装置に対して、受信した前記アドレス情報に対応づけられた前記識別情報で識別される通信を確立した前記第1中継装置について決定された前記アクセス方法による前記第2ネットワークへのアクセスを認可する認可部と、を備えたこと、
    を備えたことを特徴とする認証装置。
  3. 前記第2認証プロトコルはPANA(Protocol for Carrying Authentication for Network Access)であり、
    前記アドレス受信部は、前記第2ネットワークへのアクセスが認可された前記第1中継装置との間のPANAセッションのセッションIDである前記識別情報が対応づけられた前記端末装置のアドレス情報を前記第2中継装置から受信し、
    前記認可部は、受信した前記アドレス情報の前記端末装置に対して、受信した前記アドレス情報に対応づけられた前記セッションIDで識別されるPANAセッションを確立した前記第1中継装置について決定された前記アクセス方法による前記第2ネットワークへのアクセスを認可すること、
    を特徴とする請求項2に記載の認証装置。
  4. 前記アドレス受信部は、前記識別情報が対応づけられた前記端末装置のIPアドレスである前記アドレス情報を前記第2中継装置から受信し、
    前記認可部は、受信した前記IPアドレスの前記端末装置に対して、受信した前記IPアドレスに対応づけられた前記識別情報で識別される通信を確立した前記第1中継装置について決定された前記アクセス方法による前記第2ネットワークへのアクセスを認可すること、
    を特徴とする請求項2に記載の認証装置。
  5. 前記判断部は、前記外部認証装置を用いて前記第1中継装置の前記第2ネットワークに対するアクセス認否を判断すること、
    を特徴とする請求項2に記載の認証装置。
  6. 端末装置に第1ネットワークを介して接続されるとともに、前記端末装置を第1認証プロトコルにより認証する第1認証装置への通信を中継する外部装置と第2認証プロトコルにより前記第2ネットワークへのアクセス認証を行う第2認証装置とに前記第2ネットワークを介して接続され、前記端末装置から前記第2ネットワークへの通信を中継する中継装置であって、
    前記中継装置が前記第2ネットワークに対してアクセスする通信を識別する識別情報を記憶可能な識別情報記憶部と、
    前記中継装置が前記第2ネットワークに対してアクセスするためのアクセス認証を要求する第1要求メッセージを前記第2認証装置に送信する要求送信部と、
    前記第1要求メッセージに対する応答であって、前記第2ネットワークに対する前記中継装置のアクセス認否の判断結果を前記第2認証装置から受信する結果受信部と、
    前記第2ネットワークに対する前記中継装置のアクセスを認可する前記判断結果を受信した場合に、前記第2ネットワークに対する通信を確立し、確立した通信の前記識別情報を前記識別情報記憶部に保存する通信確立部と、
    前記端末装置が前記第2ネットワークに対してアクセスするためのアクセス認証を要求する第2要求メッセージを前記端末装置から受信する要求受信部と、
    前記第2要求メッセージを受信した場合に、前記識別情報記憶部から前記識別情報を取得し、取得した前記識別情報を前記第2要求メッセージに付加して前記外部装置に転送する転送部と、
    を備えたことを特徴とする中継装置。
  7. 前記第1認証プロトコルはIEEE802.1Xであり、
    前記第2認証プロトコルはPANA(Protocol for Carrying Authentication for Network Access)であり、
    前記通信確立部は、前記第2ネットワークに対する前記中継装置のアクセスを認可する前記判断結果を受信した場合に、前記第2認証装置との間にPANAセッションを確立し、確立した前記PANAセッションのセッションIDである前記識別情報を前記識別情報記憶部に保存し、
    前記要求受信部は、IEEE802.1XにおけるEAPoL(Extensible Authentication Protocol over LAN)プロトコルによる前記第2要求メッセージを前記端末装置から受信し、
    前記転送部は、前記第2要求メッセージを受信した場合に、前記識別情報記憶部から前記セッションIDを取得し、取得した前記セッションIDをIEEE802.1XにおけるRADIUS(Remote Authentication Dial In User Service)プロトコルのアトリビュートとして前記第2要求メッセージに付加して前記外部装置に転送すること、
    を特徴とする請求項6に記載の中継装置。
  8. 第1ネットワークを介して接続された端末装置から第2ネットワークへの通信を中継する外部装置と、第2認証プロトコルにより前記第2ネットワークに対するアクセス認証を行う第2認証装置と、に前記第2ネットワークを介して接続され、前記端末装置を第1認証プロトコルにより認証する第1認証装置への通信を中継する中継装置であって、
    前記端末装置の前記第2ネットワークに対するアクセス認証を要求するメッセージであって、前記外部装置から前記第2ネットワークに対してアクセスする通信を識別する識別情報が付加された要求メッセージを前記外部装置から受信し、受信した前記要求メッセージを前記第1認証装置に中継する中継部と、
    前記要求メッセージの送信元の前記端末装置が前記第1認証装置に認証された場合に、認証された前記端末装置のアドレス情報に、前記要求メッセージに付加された前記識別情報を対応づけて前記第2認証装置に通知する通知部と、
    を備えたことを特徴とする中継装置。
  9. 前記第1認証プロトコルはIEEE802.1Xであり、
    前記第2認証プロトコルはPANA(Protocol for Carrying Authentication for Network Access)であり、
    前記中継部は、前記端末装置の前記第2ネットワークに対するアクセス認証を要求するIEEE802.1XにおけるRADIUS(Remote Authentication Dial In User Service)プロトコルによるメッセージであって、PANAセッションのセッションIDである前記識別情報がRADIUSプロトコルによるアトリビュートとして付加された前記要求メッセージを前記外部装置から受信し、受信した前記要求メッセージを前記第1認証装置に中継し、
    前記通知部は、前記要求メッセージの送信元の前記端末装置が前記第1認証装置に認証された場合に、認証された前記端末装置のアドレス情報に、前記要求メッセージに付加された前記セッションIDを対応づけて前記第2認証装置に通知すること、
    を特徴とする請求項8に記載の中継装置。
  10. 前記第2ネットワークを介して接続されたアドレス管理装置から、前記端末装置のIPアドレスである前記アドレス情報を取得するアドレス取得部をさらに備え、
    前記通知部は、前記要求メッセージの送信元の前記端末装置が前記第1認証装置に認証された場合に、認証された前記端末装置に対して取得された前記IPアドレスに、前記要求メッセージに付加された前記識別情報を対応づけて前記第2認証装置に通知すること、
    を特徴とする請求項8に記載の中継装置。
  11. 第1ネットワークを介して接続された端末装置から第2ネットワークへの通信を中継する第1中継装置と、前記第1中継装置に前記第2ネットワークを介して接続され、前記端末装置を第1認証プロトコルにより認証する第1認証装置への通信を中継する第2中継装置と、前記第1中継装置に第2ネットワークを介して接続され、第2認証プロトコルにより前記第2ネットワークに対する前記第1中継装置のためのアクセス認証を行う第2認証装置と、を備えた通信システムによる通信方法であって、
    前記第1中継装置によって、前記第1中継装置が前記第2ネットワークに対してアクセスするためのアクセス認証を要求する第1要求メッセージを前記第2認証装置に送信する要求送信ステップと、
    前記第2認証装置によって、前記第1要求メッセージを前記第1中継装置から受信する第2要求受信ステップと、
    前記第2認証装置によって、受信した前記第1要求メッセージに基づいて前記第1中継装置の前記第2ネットワークに対するアクセス認否を判断し、アクセスを認可した前記第1中継装置に対して、前記第1中継装置ごとに予め定められたアクセス方法を決定する判断ステップと、
    前記第2認証装置によって、前記判断ステップによる判断結果を前記第1中継装置に送信する結果送信ステップと、
    前記第1中継装置によって、前記判断結果を前記第2認証装置から受信する結果受信ステップと、
    前記第1中継装置によって、前記第2ネットワークに対する前記第1中継装置のアクセスを認可する前記判断結果を受信した場合に、前記第1中継装置から前記第2ネットワークに対する通信を確立し、確立した通信を識別する識別情報を記憶部に保存する保存ステップと、
    前記第1中継装置によって、前記端末装置が前記第2ネットワークに対してアクセスするためのアクセス認証を要求する第2要求メッセージを前記端末装置から受信する要求受信ステップと、
    前記第1中継装置によって、前記第2要求メッセージを受信した場合に、前記記憶部から前記識別情報を取得し、取得した前記識別情報を前記第2要求メッセージに付加して前記第2中継装置に転送する転送ステップと、
    前記第2中継装置によって、前記識別情報が付加された前記第2要求メッセージを前記第1中継装置から受信し、受信した前記第2要求メッセージを前記第1認証装置に中継する中継ステップと、
    前記第2中継装置によって、前記第2要求メッセージの送信元の前記端末装置が前記第1認証装置に認証された場合に、認証された前記端末装置のアドレス情報に、前記第2要求メッセージに付加された前記識別情報を対応づけて前記第2認証装置に通知する通知ステップと、
    前記第2認証装置によって、前記識別情報が対応づけられた前記アドレス情報を前記第2中継装置から受信するアドレス受信ステップと、
    前記第2認証装置によって、受信した前記アドレス情報の前記端末装置に対して、受信した前記アドレス情報に対応づけられた前記識別情報で識別される通信を確立した前記第1中継装置について決定された前記アクセス方法による前記第2ネットワークへのアクセスを認可する認可ステップと、
    を備えたことを特徴とする通信方法。
JP2007144906A 2007-05-31 2007-05-31 ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法 Expired - Fee Related JP5002337B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007144906A JP5002337B2 (ja) 2007-05-31 2007-05-31 ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法
US12/128,741 US8601568B2 (en) 2007-05-31 2008-05-29 Communication system for authenticating or relaying network access, relaying apparatus, authentication apparatus, and communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007144906A JP5002337B2 (ja) 2007-05-31 2007-05-31 ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法

Publications (2)

Publication Number Publication Date
JP2008299588A JP2008299588A (ja) 2008-12-11
JP5002337B2 true JP5002337B2 (ja) 2012-08-15

Family

ID=40173064

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007144906A Expired - Fee Related JP5002337B2 (ja) 2007-05-31 2007-05-31 ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法

Country Status (2)

Country Link
US (1) US8601568B2 (ja)
JP (1) JP5002337B2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5591799B2 (ja) * 2008-06-24 2014-09-17 オランジュ 訪問先ネットワークを経由したリモートネットワークアクセス
JP4744645B2 (ja) * 2009-01-27 2011-08-10 三菱電機株式会社 列車用通信システム及び列車用通信方法
JP2013182336A (ja) * 2012-02-29 2013-09-12 Toshiba Corp 端末装置、同端末装置の動作方法及びプログラム
US9282103B2 (en) * 2013-03-15 2016-03-08 Arris Enterprises, Inc. Restriction lists for remote video transfer
CN104754575B (zh) * 2013-12-31 2018-07-31 华为技术有限公司 一种终端认证的方法、装置及系统
JP6610124B2 (ja) * 2015-09-25 2019-11-27 富士ゼロックス株式会社 情報処理装置及びプログラム
JP6852604B2 (ja) * 2017-07-12 2021-03-31 住友電気工業株式会社 車載装置、管理方法および管理プログラム
US10298611B1 (en) * 2018-12-10 2019-05-21 Securitymetrics, Inc. Network vulnerability assessment
CN113015161B (zh) * 2019-12-20 2022-05-13 华为技术有限公司 认证方法及其介质和电子设备
CN114125842A (zh) * 2021-11-24 2022-03-01 云南电网有限责任公司信息中心 一种基于手机短信的专有网络设备接入认证系统和方法

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6058431A (en) * 1998-04-23 2000-05-02 Lucent Technologies Remote Access Business Unit System and method for network address translation as an external service in the access server of a service provider
US6182142B1 (en) * 1998-07-10 2001-01-30 Encommerce, Inc. Distributed access management of information resources
US6577733B1 (en) * 1999-12-03 2003-06-10 Smart Card Integrators, Inc. Method and system for secure cashless gaming
WO2002009458A2 (en) * 2000-07-24 2002-01-31 Bluesocket, Inc. Method and system for enabling seamless roaming in a wireless network
KR100416541B1 (ko) * 2000-11-30 2004-02-05 삼성전자주식회사 홈게이트웨이와 홈포탈서버를 이용한 홈네트워크 접근방법 및 그 장치
US7360075B2 (en) * 2001-02-12 2008-04-15 Aventail Corporation, A Wholly Owned Subsidiary Of Sonicwall, Inc. Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols
JP2003216579A (ja) 2002-01-23 2003-07-31 Ricoh Co Ltd アクセス権制御システム、プログラムおよび記録媒体
US7161942B2 (en) * 2002-01-31 2007-01-09 Telcordia Technologies, Inc. Method for distributing and conditioning traffic for mobile networks based on differentiated services
US7587598B2 (en) * 2002-11-19 2009-09-08 Toshiba America Research, Inc. Interlayer fast authentication or re-authentication for network communication
WO2005101217A1 (ja) * 2004-04-14 2005-10-27 Nippon Telegraph And Telephone Corporation アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置
US8046829B2 (en) * 2004-08-17 2011-10-25 Toshiba America Research, Inc. Method for dynamically and securely establishing a tunnel
JP2006067057A (ja) 2004-08-25 2006-03-09 Furukawa Electric Co Ltd:The ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント
JP4173866B2 (ja) * 2005-02-21 2008-10-29 富士通株式会社 通信装置
US8565185B2 (en) * 2005-04-13 2013-10-22 Toshiba America Research, Inc. Framework of media-independent pre-authentication support for PANA
JP4812339B2 (ja) * 2005-06-15 2011-11-09 住友電気工業株式会社 加入者通信ネットワークにおけるアクセス制御方法、アクセス認証装置、及びアクセス認証用コンピュータプログラム
JP4224084B2 (ja) * 2006-06-26 2009-02-12 株式会社東芝 通信制御装置、通信制御方法および通信制御プログラム
US8621198B2 (en) * 2008-02-19 2013-12-31 Futurewei Technologies, Inc. Simplified protocol for carrying authentication for network access

Also Published As

Publication number Publication date
US8601568B2 (en) 2013-12-03
US20090025079A1 (en) 2009-01-22
JP2008299588A (ja) 2008-12-11

Similar Documents

Publication Publication Date Title
JP5002337B2 (ja) ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法
US7257636B2 (en) Inter-working method of wireless internet networks (gateways)
EP1796342B1 (en) A method for transmitting requests
JP4186987B2 (ja) データベースアクセス制御方法、データベースアクセス制御装置、データベースアクセス制御のためのプログラム、および該プログラムを記録した記録媒体
US7437145B2 (en) Wireless control apparatus, system, control method, and program
JP4216876B2 (ja) 通信端末を認証する装置、方法およびプログラム
TW595184B (en) Wide area network, access authentication system using the network, connection device for bridging, terminal equipment in connection with connector and access authentication method
JP4983797B2 (ja) 通信装置、通信中継プログラム及び通信中継方法
JP4224084B2 (ja) 通信制御装置、通信制御方法および通信制御プログラム
US20040186880A1 (en) Management apparatus, terminal apparatus, and management system
JP2008506139A (ja) ユーザ認証及びサービス承認を管理し、シングル・サイン・オンを実現して、複数のネットワーク・インタフェースにアクセスするためのシステム及び方法
US20080052765A1 (en) Network system, authentication method, information processing apparatus and access processing method accompanied by outbound authentication
CA2914426A1 (en) Method for authenticating a user, corresponding server, communications terminal and programs
JP2023519997A (ja) 端末パラメータ更新を保護するための方法および通信装置
JP4013175B2 (ja) ユーザの簡易認証方法、認証サーバ、およびそのためのプログラムを格納した記録媒体
JP5573113B2 (ja) 認証代行サーバ装置、認証代行方法及びプログラム
JP4886712B2 (ja) アクセス制御システム、アクセス制御方法、アクセス制御装置およびアクセス制御プログラム
JP2006109152A (ja) ネットワーク上で通信を行う接続要求機器、応答機器、接続管理装置、及び通信システム
JP2000151677A (ja) 移動ipシステムのアクセス認証装置及び記憶媒体
JP2009211529A (ja) 認証処理装置、認証処理方法および認証処理プログラム
JP3645844B2 (ja) 中継接続方式およびネットワークレベル認証サーバおよびゲートウェイ装置および情報サーバおよびプログラム
JP2006115344A (ja) 無線ネットワークシステム、無線端末収容装置及び通信装置
JP2005149337A (ja) ゲートウエイ装置
JP2003132028A (ja) アクセス制御システム、アクセス管理サーバ、電子機器、リモート電子機器及びアクセス制御方法
JP2011166375A (ja) アクセス制御設定装置、アクセス制御設定方法、アクセス制御設定プログラム、アクセス制御設定システム、及びアクセス制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100420

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120411

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120424

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120521

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150525

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees