JP2009031848A - 認証転送装置 - Google Patents
認証転送装置 Download PDFInfo
- Publication number
- JP2009031848A JP2009031848A JP2007192250A JP2007192250A JP2009031848A JP 2009031848 A JP2009031848 A JP 2009031848A JP 2007192250 A JP2007192250 A JP 2007192250A JP 2007192250 A JP2007192250 A JP 2007192250A JP 2009031848 A JP2009031848 A JP 2009031848A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- server
- transfer
- eap
- subscriber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】
本来、加入者端末からの転送要求を全て認証サーバに転送すると、不正な認証要求が認証転送装置から認証サーバ側へ転送されてしまうことから、DoS攻撃やハッキング等の攻撃対象となる可能性がある。
【解決手段】
加入者端末からの認証要求を認証サーバに転送する認証転送装置は、加入者端末の認証状態情報を記憶する第1記憶部と、加入者端末についての認証処理に応じて認証状態情報を更新し、加入者端末の認証状態情報に基づいて加入者端末からの認証要求の転送処理を行う認証処理部とを備える。
【選択図】図3
本来、加入者端末からの転送要求を全て認証サーバに転送すると、不正な認証要求が認証転送装置から認証サーバ側へ転送されてしまうことから、DoS攻撃やハッキング等の攻撃対象となる可能性がある。
【解決手段】
加入者端末からの認証要求を認証サーバに転送する認証転送装置は、加入者端末の認証状態情報を記憶する第1記憶部と、加入者端末についての認証処理に応じて認証状態情報を更新し、加入者端末の認証状態情報に基づいて加入者端末からの認証要求の転送処理を行う認証処理部とを備える。
【選択図】図3
Description
本発明は、加入者装置(例えば、加入者無線装置(MS:モバイル・ステーション))をネットワークに接続する際の認証処理に関する。
加入者無線装置をネットワークに接続する通信方式として、IEEE802.16やWiMAXなどの標準規格が知られている。WiMAX等の標準規格は、加入者無線装置がアクセスサービスネットワークASNを介して、コネクティビティサービスネットワーク(CSN)内にある認証サーバと認証処理を行うことを規定している。IETF、IEEE802.16やWiMAXなどの標準規格では、上記の認証処理を拡張認証プロトコル認証(EAP認証:Extensible Authentication Protocol 認証)と定義している。EPA処理はデバイス認証のみを行うWiMAX Single−EAP認証方式と、デバイス認証とユーザ認証の両方を行うWiMAX Double−EAP認証方式の二つの方式がある。
EAP認証はASNが加入者無線装置からの認証要求をCSNに転送処理する。さらにEAP認証はASNがCSN内の認証サーバからの認証結果を加入者無線装置MSに転送処理する。ASN内には認証転送装置があり、認証転送装置(ASN−GWまたはAuthenticator)が上記の転送処理を行う。認証転送装置はEAP認証開始時にMSから通知されるネットワークアクセスアイデンティファイヤ(NAI:Network Access Identifier)から、認証サーバアドレスを抽出し、抽出したアドレスのサーバに認証要求を転送する。
WiMAX標準方式における上記の認証転送装置は、加入者無線装置からの認証要求を認証サーバに転送するだけなので、認証サーバアドレスが有効な場合は不正な認証要求の転送を防止できない。最終的には、転送先の認証サーバが行う認証処理によって、不正な認証要求はNGとなる可能性が高い。しかしながら、本来、転送すべきでないような不正な認証要求が認証転送装置から認証サーバ側へ転送されてしまうことから、サーバに過負荷を掛けサービスを停止させる攻撃(DoS:Denial of Service)やハッキング等の攻撃対象となる可能性がある。
公知文献としては特許文献1が知られている。
特開2005−338887号公報
本発明の目的は、CSNに対して不正な認証要求を遮断する認証転送装置を提供することである。
本発明は、上述した目的を達成するために以下の構成を採用する。
加入者端末からの認証要求を認証サーバに転送する認証転送装置は該加入者端末の認証状態情報を記憶する第1記憶部と、該加入者端末についての認証処理に応じて該認証状態情報を更新し、該加入者端末の認証状態情報に基づいて該加入者端末からの認証要求の転送処理を行う認証処理部とを備える。
本発明によれば認証転送装置が不正な認証要求を遮断することができる。従って、上位ネットワークへの認証サーバが、DoS攻撃やハッキング等の攻撃対象となるのを防止することができる。
以下、図面を参照して本発明の実施形態について説明する。実施形態の構成は例示であり、本発明は実施形態の構成に限定されない。
この実施例では、認証順序が規定されているWiMAX Double−EAP認証方式をサポートする認証転送装置(ASN−GW:アクセスサービスネットワークゲートウエイまたはAuthenticator)の認証要求の転送処理において、MSから通知されたNAIから転送先認証サーバのアドレス解決をするとともに、MSの認証状態とNAIから特定された認証サーバ用途との妥当性を検証し、認証要求の転送可否を判断できるようにする。
[WiMAXのネットワーク]
図1を用いて、実施形態にかかわるWiMAXのネットワークについて説明する。1は加入者無線装置、2は無線基地局、3はアクセスサービスネットワーク、4は認証転送装置、5はコネクティビティサービスネットワーク、6はルータ、7はデバイス認証用サーバ、8はユーザ認証用サーバをそれぞれ示す。
図1を用いて、実施形態にかかわるWiMAXのネットワークについて説明する。1は加入者無線装置、2は無線基地局、3はアクセスサービスネットワーク、4は認証転送装置、5はコネクティビティサービスネットワーク、6はルータ、7はデバイス認証用サーバ、8はユーザ認証用サーバをそれぞれ示す。
加入者無線装置1は少なくともWiMAXなどの標準規格の中に定義されたモバイルステーション(MSまたはSS)を含む。加入者無線装置1は、無線基地局2と無線通信を行い、さらに、通信の立ち上げ時において認証要求を行う。本実施形態では加入者無線装置を用いて説明を行うが、無線を利用しない加入者装置にも応用は可能である。
アクセスサービスネットワーク3はWiMAXなどの標準規格の中に定義されたアクセスサービスネットワークを含んでいる。アクセスサービスネットワーク3は無線基地局2、認証転送装置4、デバイス認証用サーバ7を含んでいる。アクセスサービスネットワーク3は加入者無線装置1とコネクティビティサービスネットワーク5の間に設けている。アクセスサービスネットワーク3と加入者無線装置1間はワイヤレスネットワークである。アクセスサービスネットワーク3はネットワークアクセスプロバイダが管理している。
無線基地局2はWiMAXなどの標準規格の中に定義されたベースステーション(BS)を含んでいる。無線基地局2はアクセスサービスネットワーク3の中に設ける。無線基地局2は加入者無線装置1と無線通信を行う事と、認証転送装置4とパケットデータをやり取りする機能を有している。
認証転送装置4はWiMAXなどの標準規格の中に定義されたASN−GWまたはAuthenticatorを含んでいる。認証転送装置4は標準規格の中に定義された認証用のプロトコル(EAP)で認証処理を行う。認証転送装置4は加入者無線装置1からの認証要求をASN内の認証サーバとコネクティビティサービスネットワーク5(CSN)内の認証サーバに転送処理する。さらに、認証転送装置4はASN内の認証サーバとCSN内の認証サーバからの認証結果を加入者無線装置1に転送処理する。認証転送装置はEAP認証開始時に加入者無線装置1から通知されるネットワークアクセスアイデンティファイヤ(NAI:Network Access Identifier)から、認証サーバのアドレスを抽出する。さらに、認証転送装置は抽出した認証を行う先の認証サーバアドレスと現在と過去の認証の状態(認証を行った順番)から不正な認証要求を検出し、不正な認証要求は認証サーバに転送しない。
デバイス認証用サーバ7はWiMAXなどの標準規格の中に定義されたオーセンティフィケーション・オーサライゼーイション・アカウンティング・サーバ(AAA Server)を含んでいる。デバイス認証用サーバ7は認証転送装置4から転送される認証要求の認証処理を行い、認証処理結果を認証転送装置に返す。
コネクティビティサービスネットワーク5はWiMAXなどの標準規格の中に定義されたCSNを含でいる。コネクティビティサービスネットワーク5は、ルータ(Router)6とユーザ認証用サーバ8を含んでいる。コネクティビティサービスネットワーク5はネットワークサービスプロバイダーが管理している。
ユーザ認証用サーバ8はWiMAXなどの標準規格の中に定義されたオーセンティフィケーション・オーサライゼーイション・アカウンティング・サーバ(AAA Server)を含んでいる。ユーザ認証用サーバ8は認証転送装置4から転送される認証要求の認証処理を行い、認証処理結果を認証転送装置に返す。
[認証シーケンス]
図2を用いて、実施形態のDouble−EAP認証方式シーケンスを説明する。Double−EAP認証方式シーケンスは加入者無線装置1、無線基地局2、認証転送装置4、デバイス認証サーバ7とユーザ認証用サーバ8間での認証シーケンスである。認証シーケンスはステップS1からステップS30の順に行う。
[認証シーケンス]
図2を用いて、実施形態のDouble−EAP認証方式シーケンスを説明する。Double−EAP認証方式シーケンスは加入者無線装置1、無線基地局2、認証転送装置4、デバイス認証サーバ7とユーザ認証用サーバ8間での認証シーケンスである。認証シーケンスはステップS1からステップS30の順に行う。
ステップS1では、加入者無線装置1が無線基地局2に対して、加入者無線装置1がサポートする基本能力(SBC−REQ)を通知する。ステップS2では、無線基地局2が認証転送装置4に対して、NetEntry MS State Change Requestを送付する。ステップS2.1では、認証転送装置4がSingle−EAPもしくはDouble−EAPのいずれの認証方式を採用するか決定する。ステップS3では、認証転送装置4が無線基地局2に決定した認証方式を送付する。ステップS4では、無線基地局2が加入者無線装置1に決定した認証方式を転送する。ステップS5では、無線基地局2が認証転送装置4に受領通知を出す。以上のようにステップS1〜ステップS5では加入者無線装置1/無線基地局2/認証転送装置4で採用する認証方式(一例として、Authorization−Policy−Support値)を決定し、加入者無線装置1へ通知する。
ステップS6では、認証転送装置4が、第1段階のEAP認証開始トリガーとなるEAP−リクエスト/アイデンティファイメッセージ(=アイデンティファイ通知要求)を無線基地局2に向けて送信する。
ステップS7では、無線基地局2が、第1段階のEAP認証開始トリガーとなるEAP−リクエスト/アイデンティファイメッセージ(=アイデンティファイ通知要求)を加入者無線装置1に向けて送信する。
ステップS8では、加入者無線装置1がEAP−リクエスト/アイデンティファイメッセージを受信するとその応答として、EAP−レスポンス/アイデンティファイメッセージ(=アイデンティファイ通知)を無線基地局2に送信する。アイデンティファイとしては、NAIを設定する。WiMAXなどの標準規格ではNAIの中には認証サーバが記載されている領域(Realm)部分がある。NAIのRealm部分には、認証サーバ(デバイス認証サーバやユーザ認証サーバ)のドメイン名が記載してある。(WiMAXなどの標準規格ではドメイン名であるが認証サーバを特定できる情報であれはいかなるもので有ってもよい。例えば認証サーバのアドレス名)
ステップS9では、無線基地局2が加入者無線装置1からEAP−レスポンス/アイデンティファイメッセージを受信すると、そのメッセージを認証転送装置4に転送する。
ステップS9では、無線基地局2が加入者無線装置1からEAP−レスポンス/アイデンティファイメッセージを受信すると、そのメッセージを認証転送装置4に転送する。
ステップS9.1では、認証転送装置4が加入者無線装置1より取得したNAIのRealm部分のドメイン名からサーバドメイン名、サーバアドレス名、サーバの使用用途を記憶したサーバアドレステーブルを参照して、デバイス認証サーバアドレスを割り出すサーバアドレス解析処理を行う。さらに、サーバアドレス解析処理結果と加入者無線装置1の認証状態に応じて、認証サーバの認証用途の妥当性検証する。認証サーバの認証用途の妥当性検証とは認証要求の中で指定したサーバが認証段階(1回の認証or2回目の認証)の上で正しいか否か、又は、認証の種類(デバイス認証orユーザ認証)の上で正しいか否かを検証する。すなわち、EAPでは認証を行う順番がデバイス認証を行った後にユーザ認証規定されているので、1回目の認証でユーザ認証の要求の場合は不正な認証要求と判定する。さらに、1回目の認証はデバイス認証のためサーバにユーザ認証を行う要求は不正な認証要求と判定する。この判定結果により加入者端末からの認証要求メッセージの転送の可否の判定を行う。
ステップS10では、認証転送装置4が、加入者無線装置1の認証の妥当性が確認できたとき、デバイス認証サーバ7へ認証要求メッセージを送信する。
ステップS11では、加入者無線装置1とデバイス認証サーバ7との間で第1段階デバイス認証を実行する。第1段階デバイス認証は加入者無線装置1がネットワークの正規ユーザーかを確認するために行われる。
ステップS12では、認証転送装置4がデバイス認証サーバ7よりデバイス認証結果を受信する。ステップS13では、認証転送装置4が、デバイス認証サーバ7より受信したデバイス認証結果を無線基地局2に送信する。ステップS14では、無線基地局2が、認証転送装置4より受信したデバイス認証結果を加入者無線装置1に送信する。
ステップS14.1では、認証転送装置4は加入者無線装置1が第1段階認証であるデバイス認証をパスしたことにより、認証転送装置4がEIKを生成する。EIKは、第2段階認証が完了するまでの間に使用される第1段階認証をパスしたことを証明するメッセージ認証に用いられる。
ステップS15では、認証転送装置4がデバイス認証結果及びAK−Context(内容としてはEIKのみ)を無線基地局2に通知し、MSのステータス変更を促す。ステップS16では、無線基地局2が認証転送装置4にデバイス認証結果及びAK−Contextの受領通知を返す。ステップS17では、無線基地局2が加入者無線装置1にデバイス認証結果及びAK−Context転送する。
尚、上述した、ステップS17以降、加入者無線装置1と無線基地局2間でやり取りされるメッセージには、加入者無線装置1と無線基地局2間で暗号化を行いためのEPAインテグラリーキー(EIK)を含むメッセージ・オーセンティケーション・コード(MAC)が付けられ第1段階認証をパスしたことが証明される。これで第1段階認証手順は完了となる。一例として、本実施形態はチーパー・メッセージ・オーセンティケーション・コード(CMAC)を証明書として用いる。
ステップS18では、加入者無線装置1が、第2段階認証開始メッセージを無線基地局2に送る。ステップS19では、無線基地局2が加入者無線装置1からの第2段階認証開始メッセージを認証転送装置4に送信する。
ステップS20では、認証転送装置4が第2段階のEAP認証開始トリガーとなるEAP−Request/Identityメッセージ(=Identity通知要求)を無線基地局2に送信する。ステップS21では、無線基地局2がEAP−Request/Identityメッセージを加入者無線装置1に転送する。
ステップS22では、加入者無線装置1が、EAP−Request/Identityメッセージを受信するとその応答として、EAP−Response/Identityメッセージ(=Identity通知)を無線基地局2に送信する。Identityとしては、NAI(Network Access Identifier)を設定する。ここで設定されるNAIのRealm部分には、ユーザ認証サーバのドメイン名(アドレス)が記載されており、ユーザ認証サーバが特定される。ステップS23では、無線基地局2が加入者無線装置1からのEAP−Response/Identityメッセージを認証転送装置4に転送する。
ステップS23.1では、認証転送装置4が加入者無線装置1より取得したNAIのRealm部分のドメイン名からサーバ名、サーバアドレス名、サーバ使用用途を記憶したサーバアドレステーブルを参照して、ユーザ認証サーバアドレスを割り出すサーバアドレス解析処理を行う。さらに、サーバアドレス解析処理結果と加入者無線装置1の認証状態に応じて、認証サーバ用途の妥当性検証する。認証サーバの認証用途の妥当性検証とは認証要求の中で指定したサーバが認証段階(1回の認証or2回目の認証)の上で正しいか否か、又は、認証の種類(デバイス認証orユーザ認証)の上で正しいか否かを検証する。すなわち、EAPでは認証を行う順番がデバイス認証を行った後にユーザ認証規定されているので、2回目の認証でデバイス認証の要求の場合は不正な認証要求と判定する。さらに、2回目の認証はユーザ認証のためサーバにデバイス認証を行う要求は不正な認証要求と判定する。この判定結果により加入者端末からの認証要求メッセージの転送の可否の判定を行う。
ステップS24では、認証転送装置4が加入者無線装置1の認証の妥当性が確認できたとき、ユーザ認証サーバ8へ認証要求メッセージを送信する。
ステップS25では、加入者無線装置1とユーザ認証サーバ8との間で第2段階ユーザ認証を実行する。
ステップS26では、認証転送装置4がユーザ認証サーバ8よりユーザ認証結果を受信する。ステップS27では、認証転送装置4がユーザ認証サーバ8より受信したユーザ認証結果を無線基地局2に転送する。ステップS28では、無線基地局2が認証転送装置4より受信したユーザ認証結果を加入者無線装置1に転送する。
ステップS27.1では、認証転送装置4は加入者無線装置1が第2段階認証であるユーザ認証をパスしたことにより、認証転送装置4がKeyを生成し、Security Contextとして格納し、加入者無線装置1の認証ステータスを更新する。
ステップS29では、認証転送装置4が、ユーザ認証結果及びAK−Context(EIK以外)を無線基地局2に転送する。ステップS30では、無線基地局2が加入者無線装置1のステータス変更し、さらに、無線基地局2が認証転送装置4に受領通知を返す。ステップS30が終了することで、第2段階認証手順は完了となる。
[認証転送装置]
図3は図1及び図2の第1の実施形態の認証転送装置4の構成例を示すブロック図である。認証転送装置4は認証メッセージ処理部10とシステム設定情報データベース11を備えている。
図3は図1及び図2の第1の実施形態の認証転送装置4の構成例を示すブロック図である。認証転送装置4は認証メッセージ処理部10とシステム設定情報データベース11を備えている。
認証メッセージ処理部10は、WiMAX認証中継(Auth Relay)プロトコル処理部10aと、認証処理部10h、認証制御部10b、AAAクライアント10c、サーバアドレス解決処理部10d、MS認証状態判定部10e、MS情報データベース10f、サーバアドレステーブル10gを備えている。
WiMAX認証中継プロトコル処理部10aは無線基地局2と認証制御部10bに接続している。WiMAX認証中継プロトコル処理部10aは、無線基地局2から送信された認証中継(AuthRelay)プロトコルで伝送されたパケット受信し、当該パケットからEAPパケットを取り出し、認証制御部10bに渡す。
認証処理部10hは認証制御部10b、サーバアドレス解決処理部10d、MS認証状態判定部10eから構成している。認証処理部10hは図2の処理のステップs9.1とステップs23.1を行っている。
認証制御部10bは、WiMAX認証中継プロトコル処理部10a、認証制御部10b、AAAクライアント10c、サーバアドレス解決処理部10d、加入者無線装置認証状態判定部10e、加入者無線装置情報データベース10f、サーバアドレステーブル10gとシステム設定情報データベース11に接続している。認証制御部10bは、認証機能全体を制御し、加入者無線装置1の認証状態管理を行う。実施形態においては、加入者無線装置認証状態判定部10eとサーバアドレス解決処理部10dからの結果から、特定された認証サーバが、その加入者無線装置1の認証状態において適切であるか判断し、認証メッセージの転送可否を決定する。
サーバアドレステーブル10gは認証サーバに対応させてドメインとアドレスと認証方式からなる認証状態情報を記憶している。(図7及び10参照)
サーバアドレス解析処理部10dは、認証制御部10bとサーバアドレステーブル10gに接続している。サーバアドレス解析処理部10dは認証制御部10bから通知されたRealm情報に含まれるサーバアドレステーブル10g内を検索し、サーバのIPアドレスと認証状態情報(例えば認証用途情報や、認証段階情報)を認証制御部10bに通知する。
サーバアドレス解析処理部10dは、認証制御部10bとサーバアドレステーブル10gに接続している。サーバアドレス解析処理部10dは認証制御部10bから通知されたRealm情報に含まれるサーバアドレステーブル10g内を検索し、サーバのIPアドレスと認証状態情報(例えば認証用途情報や、認証段階情報)を認証制御部10bに通知する。
加入者無線装置情報データベース10fは各加入者端末について認証状態情報を記憶している。加入者端末の認証状態情報は加入者端末がどの段階の認証までが終了しているかを記憶している。すなわち、加入者端末が未認証状態、デバイス認証完了状態、ユーザ認証完了状態のいずれの状態にあるかを記憶している。これらは、EAPのなかのパケットのやり取りの中で、NAIの情報を抽出した結果に基づき更新される。(図7及び10参照)
加入者無線装置認証状態判定部10eは、認証制御部10bと加入者無線装置情報データベース10fに接続している。加入者無線装置認証状態判定部10eは、加入者無線装置情報データベース10f内の該当する加入者無線装置1に適用された認証方式(Single−EAP or Double−EAP)と加入者無線装置認証状態から、この加入者無線装置1に必要とされる認証形態(デバイス認証orユーザ認証)を判定し、結果を認証制御部10bに通知する。
加入者無線装置認証状態判定部10eは、認証制御部10bと加入者無線装置情報データベース10fに接続している。加入者無線装置認証状態判定部10eは、加入者無線装置情報データベース10f内の該当する加入者無線装置1に適用された認証方式(Single−EAP or Double−EAP)と加入者無線装置認証状態から、この加入者無線装置1に必要とされる認証形態(デバイス認証orユーザ認証)を判定し、結果を認証制御部10bに通知する。
AAAクライアント10cは、図1及び図2のデバイス認証サーバ7とユーザ認証サーバ8に接続している。AAAクライアント10cはデバイス認証サーバ7とユーザ認証サーバ8と認証転送装置4のインターフェースであって、認証制御部10bより渡されたEAPパケットやその他情報をAAAプロトコル(例えばRADIUS)でカプセル化し、デバイス認証サーバとユーザ認証サーバへ送信する。
システム設定情報データベース11は認証制御部10bに接続している。システム設定情報データベース11は認証転送装置4にシステム設定された情報が格納されたデータベースであり、オペレータ等によって静的に設定することもできる。
[認証要求転送処理]
図4は、第1の実施形態の認証転送装置4における認証要求転送処理フローチャートを示している。
図4は、第1の実施形態の認証転送装置4における認証要求転送処理フローチャートを示している。
ステップS401:
ステップS401はWiMAX プロトコル終端処理を行うステップである。まず加入者無線装置1から送信された認証要求メッセージのパケットは、無線基地局2でWiMAX認証中継プロトコルでカプセル化され、認証転送装置4に転送される。認証転送装置4は、WiMAX認証中継プロトコルでカプセルかされたパケットを受信した後、受信パケットに含まれるEAPパケットと加入者無線装置認ID(MSID)を認証制御部10bに送る。
ステップS401はWiMAX プロトコル終端処理を行うステップである。まず加入者無線装置1から送信された認証要求メッセージのパケットは、無線基地局2でWiMAX認証中継プロトコルでカプセル化され、認証転送装置4に転送される。認証転送装置4は、WiMAX認証中継プロトコルでカプセルかされたパケットを受信した後、受信パケットに含まれるEAPパケットと加入者無線装置認ID(MSID)を認証制御部10bに送る。
ステップS402:
ステップS402はEAPパケット処理を行うステップである。EAPパケットとMSIDを受け取った認証制御部10bは、EAPパケットのメッセージコードとデータタイプを解析し、データとして格納されているNAIを取り出し、加入者無線装置情報データベース10fで該当するMSID領域に取り出したNAIを書き込む。更に、認証制御部10bは、MSIDのMS認証状態判定部10eへの通知及び、NAIのRealm領域をサーバアドレス解決処理部10dに通知を行う。
ステップS402はEAPパケット処理を行うステップである。EAPパケットとMSIDを受け取った認証制御部10bは、EAPパケットのメッセージコードとデータタイプを解析し、データとして格納されているNAIを取り出し、加入者無線装置情報データベース10fで該当するMSID領域に取り出したNAIを書き込む。更に、認証制御部10bは、MSIDのMS認証状態判定部10eへの通知及び、NAIのRealm領域をサーバアドレス解決処理部10dに通知を行う。
ステップS403:
ステップS403はサーバアドレス検索処理を行うステップである。サーバアドレス解析処理部10dは、受け取ったNAIのRealmに記載されたドメインをキーにして、サーバアドレステーブル10g内を検索し、対応するサーバアドレス及び認証サーバの認証状態情報(例えば、サーバ用途情報)を取り出し、認証制御部10bに検索結果を通知する。
ステップS403はサーバアドレス検索処理を行うステップである。サーバアドレス解析処理部10dは、受け取ったNAIのRealmに記載されたドメインをキーにして、サーバアドレステーブル10g内を検索し、対応するサーバアドレス及び認証サーバの認証状態情報(例えば、サーバ用途情報)を取り出し、認証制御部10bに検索結果を通知する。
ステップS404:
ステップS404は加入者無線装置認証状態判定処理を行うステップである。S403とほぼ同時に、加入者無線装置認証状態判定部10eは、受け取ったMSIDをキーにして、MS情報データベース10f内を検索して加入者無線装置の認証状態情報を取得し、加入者無線装置に適用した認証方式が示されたAuth−Policy値(Single−EAP or Double−EAP)と加入者無線装置デバイス認証状態及び加入者無線装置ユーザ認証状態を取得し、現時点で本MSに必要とされる認証形態を判定し、判定結果を認証制御部10bに通知する。
ステップS404は加入者無線装置認証状態判定処理を行うステップである。S403とほぼ同時に、加入者無線装置認証状態判定部10eは、受け取ったMSIDをキーにして、MS情報データベース10f内を検索して加入者無線装置の認証状態情報を取得し、加入者無線装置に適用した認証方式が示されたAuth−Policy値(Single−EAP or Double−EAP)と加入者無線装置デバイス認証状態及び加入者無線装置ユーザ認証状態を取得し、現時点で本MSに必要とされる認証形態を判定し、判定結果を認証制御部10bに通知する。
ステップS405:
ステップS405は認証要求の転送可否判断を行うステップである。認証制御部10bは、サーバアドレス解決処理部10dから通知されたサーバIPアドレスとサーバ用途情報及びMS認証状態判定部10eから通知された加入者無線装置1がすべき認証形態(デバイス認証orユーザ認証)から、転送可否を判断し次処理を決める。
ステップS405は認証要求の転送可否判断を行うステップである。認証制御部10bは、サーバアドレス解決処理部10dから通知されたサーバIPアドレスとサーバ用途情報及びMS認証状態判定部10eから通知された加入者無線装置1がすべき認証形態(デバイス認証orユーザ認証)から、転送可否を判断し次処理を決める。
ステップS406:
ステップS406は認証要求をAAAクライアントでの転送処理を行うステップである。AAAクライアント10cは、EAPパケットやその他情報をAAAプロトコル(例えばRADIUS)で通知されたIPアドレスの認証サーバへ送信する。
ステップS406は認証要求をAAAクライアントでの転送処理を行うステップである。AAAクライアント10cは、EAPパケットやその他情報をAAAプロトコル(例えばRADIUS)で通知されたIPアドレスの認証サーバへ送信する。
ステップS407:
ステップS407は認証要求を破棄または再送処理を行うステップである。認証制御10bでの転送可否判断の結果、転送不可となった場合は、その認証要求を破棄もしくは加入者無線装置への再送要求する処理となる。
ステップS407は認証要求を破棄または再送処理を行うステップである。認証制御10bでの転送可否判断の結果、転送不可となった場合は、その認証要求を破棄もしくは加入者無線装置への再送要求する処理となる。
加入者無線装置認証状態判定処理と認証メッセージ転送可否判断処理は複数の実施形態がある。以下に各実施形態について説明する。
<第1の実施形態>
[第1の実施形態の加入者無線装置認証状態判定処理]
図5は、第1の実施形態の認証転送装置4における加入者無線装置認証状態判定処理の具体例である。図5は図4のステップS404を詳細に説明したフローチャートである。
<第1の実施形態>
[第1の実施形態の加入者無線装置認証状態判定処理]
図5は、第1の実施形態の認証転送装置4における加入者無線装置認証状態判定処理の具体例である。図5は図4のステップS404を詳細に説明したフローチャートである。
ステップS501:
まず、MSIDが通知されるとMS情報データベース10f内を検索し、加入者無線装置1の認証方針情報(Auth−Policy情報)と加入者無線装置デバイス認証状態及び加入者無線装置ユーザ認証状態情報を取得する。加入者無線装置情報データベース10fから取得するデバイス認証情報は、デバイス認証状態−未認証、デバイス認証状態−認証不可、デバイス認証状態−認証許可の3つの状態のいずれかがある。加入者無線装置情報データベース10fから取得するユーザ認証状態情報は、ユーザ認証状態−未認証、ユーザ認証状態−認証不可、ユーザ認証状態−認証許可の3つの状態のいずれかがある。
まず、MSIDが通知されるとMS情報データベース10f内を検索し、加入者無線装置1の認証方針情報(Auth−Policy情報)と加入者無線装置デバイス認証状態及び加入者無線装置ユーザ認証状態情報を取得する。加入者無線装置情報データベース10fから取得するデバイス認証情報は、デバイス認証状態−未認証、デバイス認証状態−認証不可、デバイス認証状態−認証許可の3つの状態のいずれかがある。加入者無線装置情報データベース10fから取得するユーザ認証状態情報は、ユーザ認証状態−未認証、ユーザ認証状態−認証不可、ユーザ認証状態−認証許可の3つの状態のいずれかがある。
ステップS502:
次に取得したAuth−Policy情報から加入者無線装置1が実施する認証方式がSingle−EAPもしくはDouble−EAPであるか判別し、振り分ける。Single−EAPであれば、認証制御部10bへ判定結果を通知する。もしDouble−EAPであれば、認証状態判定テーブルにて、その加入者無線装置1に必要とされる認証方法が判定される。
次に取得したAuth−Policy情報から加入者無線装置1が実施する認証方式がSingle−EAPもしくはDouble−EAPであるか判別し、振り分ける。Single−EAPであれば、認証制御部10bへ判定結果を通知する。もしDouble−EAPであれば、認証状態判定テーブルにて、その加入者無線装置1に必要とされる認証方法が判定される。
ステップS503:
認証状態判定テーブルでは、加入者無線装置情報データベース10fのテーブル内のMSコンテキスト(MS−Context)に記載されているMSデバイス認証状態情報とMSユーザ認証状態情報を入力値として、その加入者無線装置のリクエストに必要とされる認証の種類を判定する。
認証状態判定テーブルでは、加入者無線装置情報データベース10fのテーブル内のMSコンテキスト(MS−Context)に記載されているMSデバイス認証状態情報とMSユーザ認証状態情報を入力値として、その加入者無線装置のリクエストに必要とされる認証の種類を判定する。
一例として、認証状態判定テーブルの縦軸はデバイス認証状態の3つの状態が記載してあり、d欄はデバイス認証状態−未認証、e欄はデバイス認証状態−認証不許可、f欄はデバイス認証状態−認証許可の状態を示す。認証状態判定テーブルの横軸はユーザ認証状態の3つの状態が記載してあり、a欄はユーザ認証状態−未認証、b欄はユーザ認証状態−認証不許可、c欄はユーザ認証状態−認証許可の状態を示す。ステップS501で取得したユーザ認証状態が未認証でデバイス認証状態が未認証及び認証不可の場合の必要な認証の種類の判定結果はデバイス認証となり、ステップS501で取得したユーザ認証状態が未認証でデバイス認証状態が認証許可の場合の必要な認証の種類の判定結果はユーザ認証となる。ステップS501で取得したユーザ認証状態が認証不許可でデバイス認証状態が未認証、認証不許可の場合の必要な認証の種類の判定結果はデバイス認証となり、ステップS501で取得したユーザ認証状態が認証不許可でデバイス認証状態が認証許可の場合の必要な認証の種類の判定結果はユーザ認証となる。ステップS501で取得したユーザ認証状態が認証許可でデバイス認証状態が未認証、認証不許可、デバイス認証状態が認証許可の場合の必要な認証の種類の判定結果はデバイス認証となる。
ステップS504:
ステップS503の判定結果は、認証制御部10bに通知され、転送可否判断処理を実行する。
[第1の実施形態の認証メッセージ転送可否判断処理]
図6第1実施形態の認証転送装置4における認証メッセージ転送可否判断処理フローチャートである。図6のステップS601とステップS602は図4のステップS406の転送可否判断の具体例を示している。
ステップS503の判定結果は、認証制御部10bに通知され、転送可否判断処理を実行する。
[第1の実施形態の認証メッセージ転送可否判断処理]
図6第1実施形態の認証転送装置4における認証メッセージ転送可否判断処理フローチャートである。図6のステップS601とステップS602は図4のステップS406の転送可否判断の具体例を示している。
ステップS601:
認証制御部10bにおける転送可否判断処理は、MS認証状態判定部10eから通知されたMS認証状態判定結果(ステップS404)とサーバアドレス解決処理部10dから通知されたサーバアドレステーブル検索結果(ステップS403)を転送可否判定テーブルに当てはめ、判定結果を求める。
認証制御部10bにおける転送可否判断処理は、MS認証状態判定部10eから通知されたMS認証状態判定結果(ステップS404)とサーバアドレス解決処理部10dから通知されたサーバアドレステーブル検索結果(ステップS403)を転送可否判定テーブルに当てはめ、判定結果を求める。
一例として、転送可否判定テーブルの縦軸はステップS403で得たIPアドレスとサーバの用途情報からなる4つの状態の判定基準を記載している。転送可否判定テーブルの横軸はステップS404で得たMS認証状態判定結果の3つの状態の判定基準を記載している。横a欄はSingle−EAP認証の判定基準、横b欄はDouble−EAPデバイス認証の判定基準、横c欄はDouble−EAPユーザ認証の判定基準が記載してある。縦d欄はIPアドレスが有り且つサーバの使用用途がデバイス認証の判定基準、縦e欄はIPアドレスが有り且つサーバの使用用途がユーザ認証の判定基準、縦f欄はIPアドレスが有り且つサーバの使用用途が空白の判定基準、縦g欄はIPアドレスが且つサーバの使用用途が空白の判定基準が記載してある。
MS認証状態判定結果がSingle−EAP認証aのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはd、e、fで、gは転送不可能である。MS認証状態判定結果がDouble−EAPデバイス認証bのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはd、で、e、f、gは転送不可能である。MS認証状態判定結果がDouble−EAPユーザ認証cのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはeで、d、f、gは転送不可能である。
ステップS602:
次に求められた判定結果が転送可であれば、AAAクライアント10cでのAAAサーバへの送信依頼をする。転送不可であれば、破棄もしくは再送処理を実行する。
次に求められた判定結果が転送可であれば、AAAクライアント10cでのAAAサーバへの送信依頼をする。転送不可であれば、破棄もしくは再送処理を実行する。
[第1の実施形態の認証転送装置のデータベース保持情報要素]
図7は本実施構成の認証転送装置が保持する情報要素群を示している。
・サーバアドレステーブル:
サーバアドレステーブル10gは、認証サーバのドメインネームとIPアドレスとサーバ用途情報が対応付けられて格納されたデータベースである。サーバアドレステーブル10gは、認証サーバのドメインネーム10g−1と、認証サーバのIPアドレス10g−2と認証サーバのサーバ用途情報10g−3を対応付けている。認証メッセージ転送処理において、サーバアドレステーブル10gは、サーバアドレス解決及びサーバ用途とMS認証状態との妥当性判定処理に用いられる。ここでの用途情報は、認証サーバのドメインネーム10g−1に記載されたサーバがデバイス認証用のサーバかユーザ認証用のサーバかが記載している。
・システム設定情報データベース11:
システム設定情報データベース11は、オペレータ等によって静的に設定される。システム設定情報データベース11の11aの欄は、オペレータが設定した項目の一例として、MSの認証方式を決定するAuth−Policy設定の項目が有る。システム設定情報データベース11の11bの欄は、11aの欄に対応した値が設定される。11aがAuth−Policyの場合はDuble−EAPかSingle−EAPのいずれかが記載される。
・MS情報データベース:
MS情報データベース10fは、MS−Contextが格納されている。MS−Contextは、MS毎に生成されるMSの認証状態やMSに割り当てた情報などが記された情報要素群である。
図7は本実施構成の認証転送装置が保持する情報要素群を示している。
・サーバアドレステーブル:
サーバアドレステーブル10gは、認証サーバのドメインネームとIPアドレスとサーバ用途情報が対応付けられて格納されたデータベースである。サーバアドレステーブル10gは、認証サーバのドメインネーム10g−1と、認証サーバのIPアドレス10g−2と認証サーバのサーバ用途情報10g−3を対応付けている。認証メッセージ転送処理において、サーバアドレステーブル10gは、サーバアドレス解決及びサーバ用途とMS認証状態との妥当性判定処理に用いられる。ここでの用途情報は、認証サーバのドメインネーム10g−1に記載されたサーバがデバイス認証用のサーバかユーザ認証用のサーバかが記載している。
・システム設定情報データベース11:
システム設定情報データベース11は、オペレータ等によって静的に設定される。システム設定情報データベース11の11aの欄は、オペレータが設定した項目の一例として、MSの認証方式を決定するAuth−Policy設定の項目が有る。システム設定情報データベース11の11bの欄は、11aの欄に対応した値が設定される。11aがAuth−Policyの場合はDuble−EAPかSingle−EAPのいずれかが記載される。
・MS情報データベース:
MS情報データベース10fは、MS−Contextが格納されている。MS−Contextは、MS毎に生成されるMSの認証状態やMSに割り当てた情報などが記された情報要素群である。
10f−aの項目の欄10f−1行は端末ID(MSID)、10f−2行は認証方針(Auth−Policy)、10f−3行は第1ネットワークアクセスアイデンティファイヤ(NAI(1))、10f−4行は第2ネットワークアクセスアイデンティファイヤ(NAI(2))、10f−5行は認証鍵(AK−Context)、10f−6行はMSデバイス認証状態と10f−7行はMSユーザ認証状態が記載されている。10f−bの欄は、上記の各項目に対応した値が記憶されている。
加入者無線端末ID(MSID)10f−1のバリュウの欄10f−bには端末IDが記載してある。認証方針(Auth−Policy)10f−2のバリュウの欄10f−bにはDouble−EAP認証かShingle−EAP認証を行うかが記載されている。本実施形態ではDouble−EAP認証10f−3を行う旨が記載してある。
第1ネットワークアクセスアイデンティファイヤ(NAI(1))10f−3、(NAI(2))10f−4のバリュウの欄10f−bには加入者無線装置のアドレスが記載してある。
認証鍵(AK−Context)10f−5のバリュウの欄10f−bには認証に用いる鍵が記載してある。MSデバイス認証状態10f−6のバリュウの欄10f−bにはデバイスの認証状態が記載してある。未認証の場合はNot performed、認証の場合はpass,認証できない場合はblockが書かれる。MSユーザ認証状態10f−7のバリュウの欄10f−bにはユーザの認証状態が記載してある。未認証の場合はNot performed、認証の場合はpass,認証できない場合はblockが書かれる。
<第2の実施形態>
第2の実施形態では認証順序が不正な認証要求の順番は認証要求を認証サーバに転送をしない例を示す。第2の実施形態は、予めサーバアドレステーブルに、そのサーバで処理可能な認証段階(1st or 2nd)が定義された状態において、MSからの認証要求(NAI)から割り出された認証サーバとMS−contextの1st認証状態と2nd認証状態とから、MSの要求するサーバが、そのMSの認証状態において、妥当であるか判定し転送可否を判断する。
第2の実施形態では認証順序が不正な認証要求の順番は認証要求を認証サーバに転送をしない例を示す。第2の実施形態は、予めサーバアドレステーブルに、そのサーバで処理可能な認証段階(1st or 2nd)が定義された状態において、MSからの認証要求(NAI)から割り出された認証サーバとMS−contextの1st認証状態と2nd認証状態とから、MSの要求するサーバが、そのMSの認証状態において、妥当であるか判定し転送可否を判断する。
[第2の実施形態のMS認証状態判定処理]
図8は第2の実施形態のMS認証状態判定処理フローチャートである。図8のステップ501のMS情報取得処理とステップ503のテーブル構成が図5のステップ501とステップ503と異なります。
図8は第2の実施形態のMS認証状態判定処理フローチャートである。図8のステップ501のMS情報取得処理とステップ503のテーブル構成が図5のステップ501とステップ503と異なります。
ステップ501:
ステップ501では、加入者無線端末ID(MSID)が通知されるとMS情報データベース10f内を検索し、MSの認証方針情報(Auth−Policy情報)とMS 1st認証状態及びMS 2nd認証状態情報を取得します。
ステップ501では、加入者無線端末ID(MSID)が通知されるとMS情報データベース10f内を検索し、MSの認証方針情報(Auth−Policy情報)とMS 1st認証状態及びMS 2nd認証状態情報を取得します。
ステップ502:
次に、ステップ502では、取得したAuth−Policy情報からMSが実施する認証方式がSingle−EAPもしくはDouble−EAPであるか判別し、振り分けます。Single−EAPであれば、認証制御部10bへ判定結果が通知されます。もしDouble−EAPであれば、MS認証状態判定テーブルにて、そのMSに必要とされる認証段階が判定される。
次に、ステップ502では、取得したAuth−Policy情報からMSが実施する認証方式がSingle−EAPもしくはDouble−EAPであるか判別し、振り分けます。Single−EAPであれば、認証制御部10bへ判定結果が通知されます。もしDouble−EAPであれば、MS認証状態判定テーブルにて、そのMSに必要とされる認証段階が判定される。
ステップ503:
次に、ステップ503では、MS認証状態判定テーブルでは、MS−Contextから取得したMS 1st認証状態情報とMS 2nd認証状態情報を入力値として、そのMSに必要とされる認証段階を判定する。
次に、ステップ503では、MS認証状態判定テーブルでは、MS−Contextから取得したMS 1st認証状態情報とMS 2nd認証状態情報を入力値として、そのMSに必要とされる認証段階を判定する。
一例として、認証状態判定テーブルの縦軸はデバイス認証段階の3つの状態が記載してあり、d欄は第1の認証状態−未認証、e欄は第1の認証状態−認証不許可、f欄は第1の認証状態−認証許可の状態を示す。認証状態判定テーブルの横軸はユーザ認証段階の3つの状態が記載してあり、a欄は第2の認証状態−未認証、b欄は第2の認証状態−認証不許可、c欄は第2の認証状態−認証許可の状態を示す。
ステップS501で取得した第2の認証状態が未認証で第1の認証状態が未認証及び認証不可の場合の必要な認証の種類の判定結果は第1の認証となり、ステップS501で取得した第2の認証状態が未認証で第1の認証状態が認証許可の場合の必要な認証の種類の判定結果は第2の認証となる。ステップS501で取得した第2の認証状態が認証不許可で第1の認証状態が未認証及び認証不可の場合の必要な認証の種類の判定結果は第1の認証となり、ステップS501で取得した第2の認証状態が認証不許可で第1の認証状態が認証許可の場合の必要な認証の種類の判定結果は第2の認証となる。ステップS501で取得した第2の認証状態が認証許可で第1の認証状態が未認証の場合の必要な認証の種類の判定結果は第2の認証となり、ステップS501で取得した第2の認証状態が認証許可で第1の認証状態が認証不許可及び認証許可の場合の必要な認証の種類の判定結果は第1の認証となる。
ステップS504:
ステップS503の判定結果は、認証制御部10bに通知され、転送可否判断処理が実行する。
ステップS503の判定結果は、認証制御部10bに通知され、転送可否判断処理が実行する。
[第2の実施形態の認証メッセージ転送可否判断処理]
図9は第2の実施形態の認証メッセージ転送可否判断処理フローチャートである。図9は図6とs601のテーブルの構成が異なるが他は同じである。
図9は第2の実施形態の認証メッセージ転送可否判断処理フローチャートである。図9は図6とs601のテーブルの構成が異なるが他は同じである。
認証制御部10bにおける転送可否判断処理は、MS認証状態判定部10eから通知されたMS認証状態判定結果(ステップS404)とサーバアドレス解決処理部10dから通知されたサーバアドレステーブル検索結果(ステップS403)を転送可否判定テーブルに当てはめ、判定結果を求める。
一例として、転送可否判定テーブルの縦軸はステップS403で得たIPアドレスとサーバの用途情報からなる4つの状態の判定基準を記載している。転送可否判定テーブルの横軸はステップS404で得たMS認証状態判定結果の3つの状態の判定基準を記載している。横a欄はSingle−EAP認証の判定基準、横b欄はDouble−EAP第1の認証の判定基準、横c欄はDouble−EAP第2の認証の判定基準が記載してある。縦d欄はIPアドレスが有り且つサーバの使用用途が第1の認証の判定基準、縦e欄はIPアドレスが有り且つサーバの使用用途が第2の認証の判定基準、縦f欄はIPアドレスが有り且つサーバの使用用途が空白の判定基準、縦g欄はIPアドレスが且つサーバの使用用途が空白の判定基準が記載してある。
MS認証状態判定結果がSingle−EAP認証aのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはd、e、fで、gは転送可能である。MS認証状態判定結果がDouble−EAP第1の認証bのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはd、で、e、f、gは転送不可能である。MS認証状態判定結果がDouble−EAP第2のユーザ認証cのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはe、で、d、f、gは転送不可能である。
ステップS602:
次に求められた判定結果が転送可であれば、AAAクライアント10cでのAAAサーバへの送信依頼をする。転送不可であれば、破棄もしくは再送処理を実行する。
次に求められた判定結果が転送可であれば、AAAクライアント10cでのAAAサーバへの送信依頼をする。転送不可であれば、破棄もしくは再送処理を実行する。
図10は、第2の実施形態の認証転送装置が保持する情報要素群を示している。
図10が図7と異なる点はサーバアドレステーブル10gで、他は図7と同じである。従って、サーバアドレステーブル10gについて以下に説明する。
・サーバアドレステーブル:
サーバアドレステーブル10gは、認証サーバのドメインネームとIPアドレスとサーバ用途情報が対応付けられて格納されたデータベースである。サーバアドレステーブル10gは、認証サーバのドメインネーム10g−1と、認証サーバのIPアドレス10g−2と認証サーバのサーバ認証段階情報10g−3を対応付けている。ここでの用途情報は、認証サーバのドメインネーム10g−1に記載されたサーバがどの認証段階に用いるサーバかを記載している。第2の実施形態ではdevice.ne.jpのサーバは第2の認証用のサーバで、user.ne.jpのサーバは第1の認証用のサーバである。
<第3の実施形態>
第3の実施形態は、デバイス認証とユーザ認証の両方が必要であるが、認証実行する順序に関して規定がないケースにおける認証メッセージ転送処理を示しており、MSからの認証要求(NAI)から割り出された認証サーバとMS−contextのMSデバイス認証状態とMSユーザ認証状態とから、MSの要求するサーバが、そのMSの認証状態において、妥当であるか判定し転送可否を判断する。
・サーバアドレステーブル:
サーバアドレステーブル10gは、認証サーバのドメインネームとIPアドレスとサーバ用途情報が対応付けられて格納されたデータベースである。サーバアドレステーブル10gは、認証サーバのドメインネーム10g−1と、認証サーバのIPアドレス10g−2と認証サーバのサーバ認証段階情報10g−3を対応付けている。ここでの用途情報は、認証サーバのドメインネーム10g−1に記載されたサーバがどの認証段階に用いるサーバかを記載している。第2の実施形態ではdevice.ne.jpのサーバは第2の認証用のサーバで、user.ne.jpのサーバは第1の認証用のサーバである。
<第3の実施形態>
第3の実施形態は、デバイス認証とユーザ認証の両方が必要であるが、認証実行する順序に関して規定がないケースにおける認証メッセージ転送処理を示しており、MSからの認証要求(NAI)から割り出された認証サーバとMS−contextのMSデバイス認証状態とMSユーザ認証状態とから、MSの要求するサーバが、そのMSの認証状態において、妥当であるか判定し転送可否を判断する。
[第3の実施形態のMS認証状態判定処理]
図11に第3の実施形態のMS認証状態判定処理フローチャートである。図11のステップ501のMS情報取得処理とステップ503のテーブル構成が図5のステップ501とステップ503と異なります。
図11に第3の実施形態のMS認証状態判定処理フローチャートである。図11のステップ501のMS情報取得処理とステップ503のテーブル構成が図5のステップ501とステップ503と異なります。
ステップ501:
ステップ501では、MSIDが通知されるとMS情報データベース10f内を検索し、加入者無線装置1のAuth−Policy情報と加入者無線装置デバイス認証状態及び加入者無線装置ユーザ認証状態情報を取得する。加入者無線装置情報データベース10fから取得するデバイス認証情報は、デバイス認証状態−未認証、デバイス認証状態−認証不可、デバイス認証状態−認証許可の3つの状態のいずれかが記載されている。加入者無線装置情報データベース10fから取得するユーザ認証状態情報は、ユーザ認証状態−未認証、ユーザ認証状態−認証不可、ユーザ認証状態−認証許可の3つの状態のいずれかが記載されている。
ステップ501では、MSIDが通知されるとMS情報データベース10f内を検索し、加入者無線装置1のAuth−Policy情報と加入者無線装置デバイス認証状態及び加入者無線装置ユーザ認証状態情報を取得する。加入者無線装置情報データベース10fから取得するデバイス認証情報は、デバイス認証状態−未認証、デバイス認証状態−認証不可、デバイス認証状態−認証許可の3つの状態のいずれかが記載されている。加入者無線装置情報データベース10fから取得するユーザ認証状態情報は、ユーザ認証状態−未認証、ユーザ認証状態−認証不可、ユーザ認証状態−認証許可の3つの状態のいずれかが記載されている。
ステップ502:
次に、ステップ502では、取得したAuth−Policy情報からMSが実施する認証方式がSingle−EAPもしくはDouble−EAPであるか判別し、振り分けます。Single−EAPであれば、認証制御部10bへ判定結果が通知されます。もしDouble−EAPであれば、MS認証状態判定テーブルにて、そのMSに必要とされる認証段階が判定される。
次に、ステップ502では、取得したAuth−Policy情報からMSが実施する認証方式がSingle−EAPもしくはDouble−EAPであるか判別し、振り分けます。Single−EAPであれば、認証制御部10bへ判定結果が通知されます。もしDouble−EAPであれば、MS認証状態判定テーブルにて、そのMSに必要とされる認証段階が判定される。
ステップ503:
認証状態判定テーブルでは、加入者無線装置情報データベース10fのテーブル内のMS−Contextに記載されているMSデバイス認証状態情報とMSユーザ認証状態情報を入力値として、その加入者無線装置のリクエストに必要とされる認証の種類を判定する。
認証状態判定テーブルでは、加入者無線装置情報データベース10fのテーブル内のMS−Contextに記載されているMSデバイス認証状態情報とMSユーザ認証状態情報を入力値として、その加入者無線装置のリクエストに必要とされる認証の種類を判定する。
一例として、認証状態判定テーブルの縦軸はデバイス認証状態の3つの状態が記載してあり、d欄はデバイス認証状態−未認証、e欄はデバイス認証状態−認証不許可、f欄はデバイス認証状態−認証許可の状態を示す。認証状態判定テーブルの横軸はユーザ認証状態の3つの状態が記載してあり、a欄はユーザ認証状態−未認証、b欄はユーザ認証状態−認証不許可、c欄はユーザ認証状態−認証許可の状態を示す。ステップS501で取得したユーザ認証状態が未認証でデバイス認証状態が未認証及び認証不可の場合の必要な認証の種類の判定結果はデバイス認証またはユーザとなり、ステップS501で取得したユーザ認証状態が未認証でデバイス認証状態が認証許可の場合の必要な認証の種類の判定結果はユーザ認証となる。ステップS501で取得したユーザ認証状態が認証不許可でデバイス認証状態が未認証、認証不許可の場合の必要な認証の種類の判定結果はデバイス認証またはユーザ認証となり、ステップS501で取得したユーザ認証状態が認証不許可でデバイス認証状態が認証許可の場合の必要な認証の種類の判定結果はユーザ認証となる。ステップS501で取得したユーザ認証状態が認証許可でデバイス認証状態が未認証、認証不許可、デバイス認証状態が未認証及び認証不許可の場合の必要な認証の種類の判定結果はデバイス認証となり、ステップS501で取得したユーザ認証状態が認証許可でデバイス認証状態が認証許可の場合に必要な認証はデバイス認証またはユーザ認証となる。
ステップS504:
ステップS503の判定結果は、認証制御部10bに通知され、転送可否判断処理が実行する。
[第3の実施形態の認証メッセージ転送可否判断処理]
図12は第3の実施形態の認証メッセージ転送可否判断処理フローチャートである。図12は図6とステップ601の転送判定テーブルの構成において異なるが、他は同じ動作を行う。
ステップS503の判定結果は、認証制御部10bに通知され、転送可否判断処理が実行する。
[第3の実施形態の認証メッセージ転送可否判断処理]
図12は第3の実施形態の認証メッセージ転送可否判断処理フローチャートである。図12は図6とステップ601の転送判定テーブルの構成において異なるが、他は同じ動作を行う。
図12第3実施形態の認証転送装置4における認証メッセージ転送可否判断処理フローチャートである。図12のステップS601とステップS602は図4のステップS406の転送可否判断の具体例を示している。
ステップS601:
認証制御部10bにおける転送可否判断処理は、MS認証状態判定部10eから通知されたMS認証状態判定結果(ステップS404)とサーバアドレス解決処理部10dから通知されたサーバアドレステーブル検索結果(ステップS403)を転送可否判定テーブルに当てはめ、判定結果を求める。
認証制御部10bにおける転送可否判断処理は、MS認証状態判定部10eから通知されたMS認証状態判定結果(ステップS404)とサーバアドレス解決処理部10dから通知されたサーバアドレステーブル検索結果(ステップS403)を転送可否判定テーブルに当てはめ、判定結果を求める。
一例として、転送可否判定テーブルの縦軸はステップS403で得たIPアドレスとサーバの用途情報からなる4つの状態の判定基準を記載している。転送可否判定テーブルの横軸はステップS404で得たMS認証状態判定結果の3つの状態の判定基準を記載している。横a欄はSingle−EAP認証の判定基準、横b欄はDouble−EAPデバイス認証の判定基準、横c欄はDouble−EAPユーザ認証の判定基準が記載してある。横h欄はDouble−EAPデバイス認証及びユーザ認証の判定基準が記載してある。縦d欄はIPアドレスが有り且つサーバの使用用途がデバイス認証の判定基準、縦e欄はIPアドレスが有り且つサーバの使用用途がユーザ認証の判定基準、縦f欄はIPアドレスが有り且つサーバの使用用途が空白の判定基準、縦g欄はIPアドレスが且つサーバの使用用途が空白の判定基準が記載してある。
MS認証状態判定結果がSingle−EAP認証aのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはd、e、fで、gは転送不可能である。MS認証状態判定結果がDouble−EAPデバイス認証bのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはd、で、e、f、gは転送不可能である。MS認証状態判定結果がDouble−EAPユーザ認証cのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはeで、d、f、gは転送不可能である。MS認証状態判定結果がDouble−EAPデバイス認証及びユーザ認証hのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはd、eで、f、gは転送不可である。
ステップS602:
次に求められた判定結果が転送可であれば、AAAクライアント10cでのAAAサーバへの送信依頼をする。転送不可であれば、破棄もしくは再送処理を実行する。
次に求められた判定結果が転送可であれば、AAAクライアント10cでのAAAサーバへの送信依頼をする。転送不可であれば、破棄もしくは再送処理を実行する。
第3の実施形態の認証転送装置の保持情報要素は第1の実施形態と同じであるため、その説明は省略する。
上述した実施形態は、必要に応じて適宜組み合わせることができる。
1 加入者無線装置
2 無線基地局
3 アクセスサービスネットワーク
4 認証転送装置
5 コネクティビティサービスネットワーク
6 ルータ
7 デバイス認証用サーバ
8 ユーザ認証用サーバ
10 認証メッセージ処理部
10a WiMAX認証中継プロトコル処理部
10b 認証制御部
10c AAAクライアント
10d サーバアドレス解析処理部
10e 加入者無線装置認証状態判定部
10f 加入者無線装置情報データベース
10g サーバアドレステーブル
11 システム設定情報データベース
2 無線基地局
3 アクセスサービスネットワーク
4 認証転送装置
5 コネクティビティサービスネットワーク
6 ルータ
7 デバイス認証用サーバ
8 ユーザ認証用サーバ
10 認証メッセージ処理部
10a WiMAX認証中継プロトコル処理部
10b 認証制御部
10c AAAクライアント
10d サーバアドレス解析処理部
10e 加入者無線装置認証状態判定部
10f 加入者無線装置情報データベース
10g サーバアドレステーブル
11 システム設定情報データベース
Claims (4)
- 加入者端末からの認証要求を認証サーバに転送する認証転送装置において、
該加入者端末の認証状態情報を記憶する第1記憶部と、
該加入者端末についての認証処理に応じて該認証状態情報を更新し、該加入者端末の認証状態情報に基づいて該加入者端末からの認証要求の転送処理を行う認証処理部と
を備えたことを特徴とする認証転送装置。 - 請求項1記載の認証転送装置において、該サーバアドレステーブルには該認証サーバの認証用途が該認証状態情報として該認証サーバに対応して記憶し、認証処理部の認証要求メッセージの転送の可否は該サーバの該認証用途と該加入者端末の認証状態情報とにより行うことを特徴とする認証転送装置。
- 請求項1記載の認証転送装置において、該サーバアドレステーブルには該認証サーバの認証段階が該認証状態情報として該認証サーバに対応して記憶し、
認証処理部の認証要求メッセージの転送の可否は該サーバの該認証段階と該加入者端末の認証状態情報とにより行うことを特徴とする認証転送装置。 - 請求項1記載の認証転送装置において、該認証サーバの認証状態情報を記憶する第2記憶部を設け、
該認証処理部は該加入者端末の認証状態情報と該認証サーバの認証状態情報により該加入者端末からの認証要求メッセージの転送の可否を行うことを特徴とする認証転送装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007192250A JP2009031848A (ja) | 2007-07-24 | 2007-07-24 | 認証転送装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007192250A JP2009031848A (ja) | 2007-07-24 | 2007-07-24 | 認証転送装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009031848A true JP2009031848A (ja) | 2009-02-12 |
Family
ID=40402326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007192250A Pending JP2009031848A (ja) | 2007-07-24 | 2007-07-24 | 認証転送装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009031848A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011010045A (ja) * | 2009-06-26 | 2011-01-13 | Hitachi Ltd | ゲートウェイ装置及びそれを用いた端末認証方法 |
| CN102026199A (zh) * | 2010-12-03 | 2011-04-20 | 中兴通讯股份有限公司 | 一种WiMAX***及其防御DDoS攻击的装置和方法 |
| GB2573187A (en) * | 2018-01-22 | 2019-10-30 | Avaya Inc | Methods and devices for detecting denial of service attacks in secure interactions |
| JP2023516782A (ja) * | 2020-03-20 | 2023-04-20 | 維沃移動通信有限公司 | アクセス制御方法及び通信機器 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10322328A (ja) * | 1997-05-20 | 1998-12-04 | Mitsubishi Electric Corp | 暗号通信システム及び暗号通信方法 |
| JP2004151886A (ja) * | 2002-10-29 | 2004-05-27 | Toshiba Corp | セキュア通信システム、方法及びプログラム |
| JP2005086656A (ja) * | 2003-09-10 | 2005-03-31 | Toshiba Corp | 認証判定ブリッジ、プログラム、無線lan通信システム及び無線lan通信方法 |
| JP2006113877A (ja) * | 2004-10-15 | 2006-04-27 | Willcom Inc | 接続機器認証システム |
-
2007
- 2007-07-24 JP JP2007192250A patent/JP2009031848A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10322328A (ja) * | 1997-05-20 | 1998-12-04 | Mitsubishi Electric Corp | 暗号通信システム及び暗号通信方法 |
| JP2004151886A (ja) * | 2002-10-29 | 2004-05-27 | Toshiba Corp | セキュア通信システム、方法及びプログラム |
| JP2005086656A (ja) * | 2003-09-10 | 2005-03-31 | Toshiba Corp | 認証判定ブリッジ、プログラム、無線lan通信システム及び無線lan通信方法 |
| JP2006113877A (ja) * | 2004-10-15 | 2006-04-27 | Willcom Inc | 接続機器認証システム |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011010045A (ja) * | 2009-06-26 | 2011-01-13 | Hitachi Ltd | ゲートウェイ装置及びそれを用いた端末認証方法 |
| CN102026199A (zh) * | 2010-12-03 | 2011-04-20 | 中兴通讯股份有限公司 | 一种WiMAX***及其防御DDoS攻击的装置和方法 |
| CN102026199B (zh) * | 2010-12-03 | 2016-01-13 | 中兴通讯股份有限公司 | 一种WiMAX***及其防御DDoS攻击的装置和方法 |
| GB2573187A (en) * | 2018-01-22 | 2019-10-30 | Avaya Inc | Methods and devices for detecting denial of service attacks in secure interactions |
| US11108811B2 (en) | 2018-01-22 | 2021-08-31 | Avaya Inc. | Methods and devices for detecting denial of service attacks in secure interactions |
| JP2023516782A (ja) * | 2020-03-20 | 2023-04-20 | 維沃移動通信有限公司 | アクセス制御方法及び通信機器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11405780B2 (en) | Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus | |
| US11825303B2 (en) | Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus | |
| US9113332B2 (en) | Method and device for managing authentication of a user | |
| CN101983517B (zh) | 演进分组***的非3gpp接入的安全性 | |
| US9306748B2 (en) | Authentication method and apparatus in a communication system | |
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| US8887251B2 (en) | Handover method of mobile terminal between heterogeneous networks | |
| US8555064B2 (en) | Security system and method for wireless communication system | |
| EP2168068B1 (en) | Method and arrangement for certificate handling | |
| US8433286B2 (en) | Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network | |
| US20070098176A1 (en) | Wireless LAN security system and method | |
| US11159940B2 (en) | Method for mutual authentication between user equipment and a communication network | |
| AU2020200523B2 (en) | Methods and arrangements for authenticating a communication device | |
| JP2008529368A (ja) | 通信システムにおけるユーザ認証及び認可 | |
| DK2924944T3 (en) | Presence authentication | |
| CN113676901B (zh) | 密钥管理方法、设备及*** | |
| KR101718096B1 (ko) | 무선통신 시스템에서 인증방법 및 시스템 | |
| KR100876556B1 (ko) | 무선 액세스 망에서 핸드오버 지원을 위한 통합 인증 방법및 시스템 | |
| JP2009031848A (ja) | 認証転送装置 | |
| CN101568116B (zh) | 一种证书状态信息的获取方法及证书状态管理*** | |
| US8191153B2 (en) | Communication system, server apparatus, information communication method, and program | |
| JP5888749B2 (ja) | ネットワークの接続認証方法及びシステム | |
| JP2006245831A (ja) | 通信方法、通信システム、認証サーバ、および移動機 | |
| KR100545773B1 (ko) | 이동 단말의 핸드 오프를 지원하는 무선 인터넷 시스템과그 인증 처리 방법 | |
| CN115396126A (zh) | Nswo业务的认证方法、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100416 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120516 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120522 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20121016 |