JP6487392B2 - クライアント端末認証システム及びクライアント端末認証方法 - Google Patents

クライアント端末認証システム及びクライアント端末認証方法 Download PDF

Info

Publication number
JP6487392B2
JP6487392B2 JP2016159344A JP2016159344A JP6487392B2 JP 6487392 B2 JP6487392 B2 JP 6487392B2 JP 2016159344 A JP2016159344 A JP 2016159344A JP 2016159344 A JP2016159344 A JP 2016159344A JP 6487392 B2 JP6487392 B2 JP 6487392B2
Authority
JP
Japan
Prior art keywords
client terminal
authentication
gateway
server
vvpn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016159344A
Other languages
English (en)
Other versions
JP2018029234A (ja
Inventor
亜希 福岡
亜希 福岡
杉園 幸司
幸司 杉園
明寛 木村
明寛 木村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2016159344A priority Critical patent/JP6487392B2/ja
Publication of JP2018029234A publication Critical patent/JP2018029234A/ja
Application granted granted Critical
Publication of JP6487392B2 publication Critical patent/JP6487392B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

本発明は、クライアント端末認証システム及びクライアント端末認証方法に関する。
インターネットでの脅威を防ぎ、安全なリモートアクセスを実現するために、暗号化トンネルの一つであるSSL(Secure Sockets Layer)/TLS(Transport Layer Security)−VPN(Virtual Private Network)技術の使用が一般的となっている(例えば、非特許文献1参照)。このSSL/TLS−VPN等のトンネルを終端する機能も、仮想化された機能で実現されることが想定される。このようにトンネルを仮想化する機能で終端する場合には、仮想マシン管理装置を設けて、トンネル終端機能の管理を実施する。
"ArrayAGシリーズ"、[online]、 [2016年8月8日検索]、インターネット<URL:http://www.hitachi-solutions.co.jp/array/sp/ag/about.html>
ここで、故障、リソース枯渇等で、仮想マシン管理装置が、仮想マシンの変更や仮想マシンの新設を設定する場合が想定される。SSL/TLS−VPNの認証を使用する場合、vVPN−GWに、プライベートCA証明書、サーバ証明書、サーバ秘密鍵、TLS認証鍵を、SSL/TLS認証の実行のために、予め設定しておく必要がある。例えば、予め冗長構成を構築している場合には、変更後のVPN−GW或いは新設したVPN−GWについても、プライベートCA証明書、サーバ証明書、サーバ秘密鍵、TLS認証鍵の設定が可能である。また、予め計画されたVM(Virtual Machine)マイグレーション等であれば、認証の実行のために要するこれらの情報も、vVPN−GWに変更するため、SSL/TLS認証の実行に支障はない。
しかしながら、予め冗長構成をとられていないシステム構成において、vVPN−GWの故障等が発生した場合、認証の実行のために要する上記の情報が、変更後のvVPN−GWに引き継がれないため、変更後のvVPN−GWにおいてSSL/TLS認証を実行できないという問題があった。
具体的に、図17を参照して、従来のクライアント端末認証システムについて説明する。この従来のクライアント端末認証システムでは、図17は、従来のクライアント端末認証システムの構成及び処理の流れを示す図である。図17に示す従来のクライアント端末認証システム1Pでは、vVPN−GW7APでVPN(Virtual Private Network)を構成する手法である。また、例えば、ホームゲートウェイを仮想化してネットワーク側へ配置する構成や、公衆Wi−FiからvCPE(virtual Customer Premises Equipment)に接続する構成にも、このクライアント端末認証システムを適用可能である。
図17に示すように、クライアント端末20Pが、Wi−Fi(登録商標)−AP(アクセスポイント)8Pを介して、付加価値装置群または外部ネットワーク(NW)100Pに接続する場合を例に説明する。この場合、ネットワークの末端のサービスポータルサーバ2Pにアクセスする(図17の(1)参照)。そして、サービスポータルサーバ2Pにおける簡易認証を経た上で、上流の認証サーバ3Pでのクライアント端末20Pの認証(図17の(2)参照)が成功した場合には、サービスポータルサーバ2Pを介して、クライアント端末20Pに、ID(Identifier)及びパスワード(PW)が返却される(図17の(1)参照)。これによって、クライアント端末20Pは、ID及びPWを取得する。
続いて、サービスポータルサーバ2Pは、通信フローを制御するアクセス制御管理装置4Pに、このクライアント端末20Pが接続するWi−Fi−AP8Pのアドレスと、クライアント端末20Pに割り当てられた、接続先のvVPN−GW7APのアドレスとの、アクセス制御リスト(Access Control List:ACL)への設定依頼を行う(図17の(3)参照)。これに従い、アクセス制御管理装置4Pは、ACLの設定を行い、アクセス制御装置5Pに、クライアント端末20PとvVPN−GW7APとの間で通信されるパケットを通過させる。
この結果、アクセス制御装置5Pは、アクセス制御管理装置4Pによって許可されたクライアント端末20Pによるパケットのみを通過させる(図17の(4)参照)。そして、vVPN−GW7APとクライアント端末20Pとの間で、SSL/TLS認証が成功した場合、クライアント端末20PとvVPN−GW7Pとの間でトンネルT1Pが確立される(図17の(5)参照)。なお、振分装置6APは、アクセス制御装置5Pを通過したパケットのうち、vVPN−GW7AP宛のパケットをvVPN−GW7APに振り分ける機能を有する。また、振分装置6BPは、アクセス制御装置5Pを通過したパケットのうち、vVPN−GW7BP宛のパケットをvVPN−GW7BPに振り分ける機能を有する。
ここで、図17に示すように、仮想マシン管理装置9PがvVPN−GW7APの故障を検知し、vVPN−GW7BPを立ち上げて(図17の(6)参照)、vVPN−GW7APからvVPN−GW7BPへの変更を行う場合について説明する。例えば、vVPN−GW(ACT)が故障し、vVPN−GW7BPが新設される場合である(図17の(7)参照及び矢印Y1参照)。しかしながら、SSL/TLS認証に必要な情報が、予め冗長構成をとられていないシステム構成でない場合、或いは、予め計画されたVMマイグレーションではない場合、認証の実行のために要するこれらの情報も、vVPN−GWの故障等によって存在しなくなる(図17の(7)参照)。このため、申請したvVPN−GW7BPは、認証の実行のために要する情報を取得できないため、このvVPN−GW7BPとクライアント端末20Pとの間のトンネルの確立が不可能となる(図17の(7)参照)。
本発明は、上記に鑑みてなされたものであって、vVPN−GWの変更にともなうSSL/TLS認証の再確立を円滑に実行することができるクライアント端末認証システム及びクライアント端末認証方法を提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係るクライアント端末認証システムは、ネットワークに接続するクライアント端末を認証し、クライアント端末によるネットワークへのアクセスを許可するクライアント端末認証システムであって、クライアント端末が送信する証明書を受信して当該証明書の認証を実行し、証明書の認証に成功した場合にクライアント端末によるネットワークへのアクセスを許可する認証サーバと、認証サーバによってアクセスが許可されたクライアント端末に割り当てられたゲートウェイであって、認証サーバによってアクセスが許可されたクライアント端末との間で通信認証を実行して確立した通信経路を用いてクライアント端末との間で暗号化通信を行うゲートウェイと、通信認証の実行に用いる認証情報を保持し、クライアント端末に割り当てられたゲートウェイが変更される場合には、変更後のゲートウェイに認証情報を送信して該変更後のゲートウェイとクライアント端末との間に通信経路を確立させる情報管理装置と、認証サーバによってアクセスが許可されたクライアント端末と該クライアント端末に割り当てられたゲートウェイとの間を流れるパケットの通過を許可し、ゲートウェイの変更があった場合には、クライアント端末と変更後のゲートウェイとの間を流れるパケットの通過を許可するアクセス制御装置と、を有することを特徴とする。
本発明によれば、vVPN−GWの変更にともなうSSL/TLS認証の再確立を円滑に実行することができる。
図1は、実施の形態1に係るクライアント端末認証システムの構成の一例を説明するための図である。 図2は、図1に示す鍵管理装置の構成の一例を示すブロック図である。 図3は、図1に示すvVPN−GWの構成の一例を示すブロック図である。 図4は、図1に示すクライアント端末認証システムにおけるクライアント端末に対する認証処理の流れを示す図である。 図5は、図1に示すクライアント端末認証システムにおけるクライアント端末に対する認証処理の流れを示す図である。 図6は、図1に示すクライアント端末認証システムにおけるクライアント端末に対するvVPN−GW変更処理の流れを示す図である。 図7は、図1に示すクライアント端末認証システムにおけるクライアント端末に対する認証処理の流れを説明するシーケンス図である。 図8は、図1に示すクライアント端末認証システムにおけるvVPN−GW変更処理の流れを説明するシーケンス図である。 図9は、実施の形態2に係るクライアント端末認証システムの構成の一例を説明するための図である。 図10は、図9に示す鍵管理装置が記憶する認証情報のデータ構成の一例を示す図である。 図11は、図9に示すクライアント端末認証システムにおけるクライアント端末に対する認証処理の流れを示す図である。 図12は、図9に示すクライアント端末認証システムにおけるクライアント端末20に対するvVPN−GW変更処理の流れを示す図である。 図13は、図9に示すクライアント端末認証システムにおけるクライアント端末に対する認証処理の流れを説明するシーケンス図である。 図14は、実施の形態1に係るクライアント端末認証システムの構成の他の例を説明するための図である。 図15は、実施の形態1に係るクライアント端末認証システムの構成の他の例を説明するための図である。 図16は、プログラムが実行されることにより、クライアント端末認証システムの各装置が実現されるコンピュータの一例を示す図である。 図17は、従来のクライアント端末認証システムの構成及び処理の流れを示す図である。
以下、図面を参照して、本発明の一実施の形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[実施の形態1]
実施の形態に係るクライアント端末認証システムについて、クライアント端末認証システム全体の概略構成、クライアント端末認証システムを構成する各装置の概略構成、クライアント端末認証システムにおける処理の流れ及び具体例を説明する。なお、以降で説明するアクセス制御装置、アクセスポイント(AP)、vVPN−GW等の台数は、あくまで例示であり、これに限定されるものではない。
[SSL/TLS認証の流れ]
ここで、実施の形態に係るクライアント端末認証システムでは、SSL/TLS認証を使用した暗号化トンネル技術、SSL−VPN(例えば、Open VPN)が用いられている。そこで、本実施の形態において使用されるSSL/TLS認証を用いた暗号化通信について説明する。例えば、Open VPNでは、SSL/TLS認証の技術を用いて、サーバ、クライアントの双方の認証手続きを行う。そして、この認証技術では、TLS−AUTH HMAC共通鍵(以降、共通鍵とする。)を用いて、全てのSSL/TLSハンドシェイクパケットについて、HMAC署名によるパケットの整合性チェックを行う。
まず、クライアントは、予め、プライベートCA(Certification Authority:認証局)を使用し、CAの公開鍵が組み込まれているプライベートCA証明書、サーバのクライアントの証明を示すクライアント証明書、該クライアントの固有のクライアント秘密鍵、SSL/TLSハンドシェイクパケットへのHMAC署名の追加に使用するTLS認証鍵を取得しておく。また、サーバ(VPNサーバ)も、予め、プライベートCAを起こして、プライベートCA証明書、クライアントに対応するサーバの証明を示すサーバ証明書、サーバ固有のサーバ秘密鍵、TLS認証鍵を取得しておく。
クライアントは、サーバへ認証要求を送信し、これに応じて、サーバは、サーバ証明書をクライアントに送信する。クライアントは、受け取ったサーバ証明書に署名されているCAのルート証明書が、予め自身が保持しているプライベートCA証明書と一致するか確認し、確認できた場合には、サーバ証明書からサーバ公開鍵を取り出す。そして、共通鍵作成のためのランダム数値を作成し、サーバ公開鍵によって暗号化されたデータをサーバに通知する。クライアントは、ランダム数値からサーバ用の共通鍵を作成する。クライアントから通知されたランダム数値を、サーバ秘密鍵で復元化し、サーバ用の共通鍵を作成する。
そして、サーバは、クライアント証明書を要求し、これに応じて、クライアントは、クライアント証明書をサーバに送信する。サーバは、受け取ったクライアント証明書に署名されているCAのルート証明書が、自身が保持しているプライベートCA証明書と一致するかを確認し、確認できた場合には、クライアント証明書からクライアント公開鍵を取り出す。そして、サーバは、共通鍵作成のためのランダム数値を作成し、クライアント公開鍵によって暗号化されたデータをクライアントへ通知する。サーバは、ランダム数値からクライアント用の共通鍵を作成する。クライアントは、サーバから通知されたランダム数値を復元化し、クライアント用の共通鍵を作成する。
そして、暗号化通信を行う。この場合、全てのSSL/TLSハンドシェイクパケットにHMAC署名が追加され、サーバ及びクライアントは、サーバ用の共通鍵及びクライアント用の共通鍵を用いて、パケットの整合性チェックを行う。以降では、サーバ用の共通鍵及びクライアント用の共通鍵を、共通鍵として説明する。
[クライアント端末認証システムの構成]
次に、図1を参照して、実施の形態1に係るクライアント端末認証システムの構成について説明する。図1は、実施の形態1に係るクライアント端末認証システムの構成の一例を説明するための図である。
図1に示すように、実施の形態1に係るクライアント端末認証システム1は、サービスポータルサーバ2(アドレス割当サーバ)、サービスポータルサーバ2よりもネットワークの上流に位置する認証サーバ3、アクセス制御管理装置4、アクセス制御装置5、振分装置6A,6B、vVPN−GW7A,7B、クライアント端末20が無線通信を行うアクセスポイント(AP)8、仮想マシン管理装置9(ゲートウェイ管理装置)及び鍵管理装置10(情報管理装置)を有する。クライアント端末20は、AP8間との無線通信によりネットワークに接続して、該クライアント端末20に割り当てられたvVPN−GW7A,7Bを介して、付加価値装置群または外部ネットワーク100に接続する。付加価値装置群は、例えば、vVPN−GW7に接続したクライアント端末20限定のコンテンツ配信や翻訳等の付加価値を提供する映像配信サーバや翻訳サーバを含む。
クライアント端末20は、AP8との間で無線通信を行う端末であって、スマートフォンやタブレット端末等、例えば、ユーザが携帯可能な情報通信機器である。クライアント端末20は、上述したように、予め、サービスを受けるための、プライベートCA証明書、クライアント証明書、クライアント秘密鍵及びTLS認証鍵を保持する。クライアント端末20は、サービスポータルサーバ2にアドレス認証割当要求を行い、サービスポータルサーバ2から割り当てられたIPアドレスを用いて、認証サーバ3にクライアント証明書を送信する。或いは、クライアント端末20は、ログインID、パスワードを用いて、認証サーバ3への認証を要求することも可能である。
そして、クライアント端末20は、認証サーバ3からID及びパスワード(PW)を返却された場合、該クライアント端末20に割り当てられたvVPN−GW7Aとの間で、SSL/TLS認証を実行し、トンネルT1を確立して暗号化通信を行う。そして、クライアント端末20は、故障、リソース枯渇等によって、パケット送信先のvVPN−GW7AがvVPN−GW7Bに変更された場合には、変更後のvVPN−GW7Bとの間でトンネルを確立する。
したがって、クライアント端末20は、AP8間との無線通信によりネットワークに接続して、該クライアント端末20に割り当てられたvVPN−GW7Aを介して、付加価値装置群または外部ネットワーク100に接続する。そして、vVPN−GWの変更があった場合には、変更後のvVPN−GW7Bを介して、付加価値装置群または外部ネットワーク100に接続する。なお、SSL/TLSは、TCP(Transmission Control Protocol)/IP(Internet Protocol)ネットワークでデータを暗号化して送受信するプロトコルの一つである。
サービスポータルサーバ2は、ネットワークの末端に位置し、各種サービスを受け付ける。このサービスの中には、クライアント端末20に対する簡易認証、簡易認証後の認証サーバ3への認証要求及び認証後のID、PWのクライアント端末20への返却を含む。そして、サービスポータルサーバ2は、認証サーバ3(後述)の認証結果に基づくアクセス管理を実行するよう、アクセスが許可されたクライアント端末20をアクセス許可対象として設定する依頼を、アクセス制御管理装置4(後述)に行う。
具体的には、サービスポータルサーバ2は、アクセス制御管理装置4に対し、認証サーバ3によってアクセスが許可されたクライアント端末20と無線通信を行うAP8のアドレス(送信元アドレス:SA)と、該クライアント端末20に割り当てられた送信先のvVPN−GW7Aのアドレス(送信先アドレス:DA)とを、対応するアクセス制御装置5の識別情報に対応付けて、アクセス制御リスト(Access Control List:ACL)に設定する設定依頼を送信する。
また、サービスポータルサーバ2は、クライアント端末20のパケット送信先が、vVPN−GW7AからvVPN−GW7Bに変更された場合には、ACLに、このクライアント端末20に対応する送信先アドレスを、変更後のvVPN−GW7Bのアドレスに設定する依頼を、アクセス制御管理装置4に行う。
認証サーバ3は、上述したように、予め、プライベートCA証明書、サーバ証明書、サーバ秘密鍵及びTLS認証鍵を保持している。そして、認証サーバ3は、簡易認証後のクライアント端末20が送信する証明書を受信して、このクライアント証明書を用いた認証を実行する。認証サーバ3は、このクライアント証明書を用いて認証に成功した場合、クライアント端末20のネットワークへのアクセスを許可し、サービスポータルサーバ2を介して、ID及びPWをクライアント端末20に返却する。なお、認証サーバ3は、クライアント端末20から送信されたログインID、PWを用いて認証処理を行ってもよい。
認証サーバ3は、認証サーバ3が付与した各クライアント端末20のID,PW等を記憶する認証データベース(DB)を有する。また、この認証DBは、認証サーバ3のサーバ証明書、認証用のサーバ秘密鍵及びTLS認証鍵を記憶する。そして、認証サーバ3は、鍵管理装置10(後述)に、SSL/TLS認証の実行に用いる認証情報として、プライベートCA証明書、サーバ証明書、認証用のサーバ秘密鍵及びTLS認証鍵を送信する。
アクセス制御管理装置4は、アクセス制御装置5に対してアクセス制御指示を行うことによって、クライアント端末20ごとに異なるアクセス制御を行う。アクセス制御管理装置4は、認証サーバ3によってアクセスが許可されたクライアント端末が接続するアクセスポイント8のアドレスと、クライアント端末の送信先として割り当てられたvVPN−GWのアドレスとを、アクセス制御装置5(後述)の識別情報に対応付けたACLを記憶する。アクセス制御管理装置4は、ACLにしたがって、アクセス制御装置5のパケット通過処理を制御する。
例えば、ACLのうち、アクセス制御装置5のSA,DAに、AP8のアドレスと、vVPN−GW7Bのアドレスとが含まれる場合には、アクセス制御管理装置4は、アクセス制御装置5に対し、AP8と、vVPN−GW7Bとの間を流れるパケットの通過を許可する。このACLに設定する情報は、サービスポータルサーバ2から依頼される。アクセス制御管理装置4は、サービスポータルサーバ2から送信されたACLの設定依頼に応じてACLを設定し、ACLにしたがって、アクセス制御装置5のパケット通過処理を制御する。
アクセス制御装置5は、アクセス制御管理装置4の制御にしたがって、認証サーバ3によってアクセスが許可されたクライアント端末20と該クライアント端末20に割り当てられたvVPN−GW7Aとの間を流れるパケットの通過を許可する。そして、アクセス制御装置5は、vVPN−GW7AからvVPN−GW7Bへの変更があった場合には、クライアント端末20と変更後のvVPN−GW7Bとの間を流れるパケットの通過を許可する。
振分装置6A,6Bは、アクセス制御装置5から送信されたパケットを、該パケットのアウターヘッダに含まれる送信先アドレスを参照し、このパケットの送信先となるvVPN−GW7A,7Bに振り分ける。振分装置6Aは、アクセス制御装置5を通過したパケットのうち、vVPN−GW7A宛のパケットをvVPN−GW7Aに振り分ける。また、振分装置6Bは、アクセス制御装置5を通過したパケットのうち、vVPN−GW7B宛のパケットをvVPN−GW7Bに振り分ける機能を有する。
vVPN−GW7A,7Bは、ネットワーク側に配置され、クライアント端末20との間に確立されるトンネルの終端点が設定されている。なお、vVPN−GW7A,7Bを、適宜、vVPN−GW7と総称する。vVPN−GW7A,7Bは、物理サーバの仮想環境下において動作する仮想マシンであり、クライアント端末20が使用するサービスに応じて付加価値装置群または外部NW100に接続する。すなわち、vVPN−GW7は、付加価値装置群または外部NW100にアクセスする際の出入口として機能する。そして、vVPN−GW7A,7Bは、複数のクライアント端末20をグループ化し、グループ単位でカスタマイズされた付加価値を提供する。
vVPN−GW7A,7Bは、認証サーバ3によってアクセスが許可されたクライアント端末20との間でSSL/TLS認証(通信認証)を実行して確立した暗号化IPトンネル(トンネル)(通信経路)を用いてクライアント端末20との間で暗号化通信を行う。vVPN−GW7Aは、使用回線等に応じてクライアント端末20に予め割り当てられたものである。vVPN−GW7Bは、vVPN−GW7Aの故障やリソース枯渇等によって、クライアント端末20に対するvVPN−GWとして、変更或いは新設されたものである。
vVPN−GW7A,7Bは、鍵管理装置10を介して、プライベートCA証明書、サーバ証明書、サーバ秘密鍵及びTLS認証鍵を取得し、SSL/TLS認証(通信認証)を実行し、クライアント端末20との間にトンネルを確立する。そして、vVPN−GW7A,7Bは、共通鍵を用いて、クライアント端末20との間で暗号化通信を行う。
なお、本システムは、vVPN−GW7A,7BでVPNを構成する方式である。また、vVPN−GW7A,7Bで、CPE(Customer Premises Equipment)を仮想化したvCPE(virtual Customer Premises Equipment)を構成してもよい。また、vVPN−GW7A,7Bは、物理サーバそのものであってもよい。
AP8は、無線通信にてクライアント端末20と接続する中継装置であり、例えば、有線LANとの接続機能も有する。AP8は、アクセス制御装置5と接続する。AP8は、クライアント端末20から送信されたパケットについて、NAPT(Network Address Port Translation)によりIPアドレスおよびポート番号を変換し、APの送信元アドレス、送信先のvVPN−GW7A,7Bのアドレスを含めたアウターヘッダを付して、送信先のvVPN−GW7に送信する。この場合、AP8が送信するパケットのインナーヘッダのアドレスは、APでNAPTされた値であり、同じAPに接続しているクライアント群については、同じ値となる。このため、アクセス制御管理装置4及びアクセス制御装置5は、パケットのアウターヘッダの情報を認識することによってアクセス制御を行う。
仮想マシン管理装置9は、vVPN−GW7を管理し、故障、リソース枯渇等を検知した場合には、仮想マシンの変更や仮想マシンの新設を設定する。仮想マシン管理装置9は、vVPN−GW7の変更を設定した場合には、vVPN−GW7を変更する旨と、変更前のvVPN−GW7の識別情報と変更後のvVPN−GW7の識別情報とを含むvVPN−GW変更通知を、認証サーバ3及び鍵管理装置10に送信する。
なお、認証サーバ3は、このvVPN−GW変更通知を受け、クライアント端末20による変更後のvVPN−GWへのアクセスを許可し、認証DBの内容を更新するとともに、サービスポータルサーバ2に、vVPN−GW変更通知を送信する。サービスポータルサーバ2は、このvVPN−GW変更通知に示されたvVPN−GW変更にあわせて、ACLの設定を変更するように、アクセス制御管理装置4に依頼し、この依頼に応じて、アクセス制御管理装置4は、変更後のvVPN−GWとクライアント端末とのアクセスを、アクセス制御装置5に許可する。
鍵管理装置10は、認証情報として、認証サーバ3から送信されたプライベートCA証明書、サーバ証明書、サーバ秘密鍵及びTLS秘密鍵をvVPN−GWごとに保持する。そして、鍵管理装置10は、vVPN−GW7による認証情報の要求があった場合には、このvVPN−GW7に、要求に該当するCA証明書、サーバ証明書、サーバ秘密鍵及びTLS秘密鍵を送信する。
また、鍵管理装置10は、クライアント端末20に割り当てられたvVPN−GWが変更される場合、すなわち、仮想マシン管理装置9からvVPN−GWの変更通知が送信された場合、変更後のvVPN−GW(例えば、vVPN−GW7B)に、変更前のvVPN−GW(例えば、vVPN−GW7A)に対応するCA証明書、サーバ証明書、サーバ秘密鍵及びTLS秘密鍵を送信して、該変更後のvVPN−GW7Bとクライアント端末20との間にトンネルを確立させる。
このように、実施の形態1では、鍵管理装置10を設け、SSL/TLS認証の実行に用いる認証情報を保持させることによって、暗号化されたIPトンネル技術に関する認証情報の冗長化を実現している。
[鍵管理装置の構成]
そこで、次に、図2を参照して、鍵管理装置10について説明する。図2は、図1に示す鍵管理装置10の構成の一例を示すブロック図である。図2に示すように、鍵管理装置10は、通信部11、記憶部12、制御部13を有する。
通信部11は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースである。
記憶部12は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、鍵管理装置10を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。記憶部12は、認証情報取得部131が取得したSSL/TLS認証の実行に用いる認証情報121を記憶する。記憶部12は、認証情報121として、プライベートCA証明書、サーバ証明書、サーバ秘密鍵、TLS認証鍵を、各vVPN−GW7に対応付けて記憶する。
制御部13は、各種の処理手順などを規定したプログラム及び所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。例えば、制御部13は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路である。制御部13は、認証情報取得部131、認証情報送信制御部132を有する。
認証情報取得部131は、認証サーバ3が送信した、SSL/TLS認証の実行に用いる認証情報を取得し、vVPN−GWの識別情報に対応付けて、記憶部12に記憶する。認証情報送信制御部132は、仮想マシン管理装置9からvVPN−GW変更通知が送信された場合、変更後のvVPN−GW(例えば、vVPN−GW7B)に、変更前のvVPN−GW(例えば、vVPN−GW7A)に対応するSSL/TLS認証の実行に用いる認証情報を送信して、該変更後のvVPN−GW7Bとクライアント端末20との間にトンネルを確立させる。認証情報送信制御部132は、変更後のvVPN−GW7Bに、変更後のvVPN−GW7Aに対応した、CA証明書、サーバ証明書、サーバ秘密鍵及びTLS秘密鍵を送信する。
[vVPN−GWの構成]
次に、図1に示すvVPN−GW7Aの構成について説明する。図8は、図1にvVPN−GW7Aの構成の一例を示すブロック図である。なお、vVPN−GW7Bは、vVPN−GW7Aと同様の構成を有する。図8に示すように、vVPN−GW7Aは、通信部71、記憶部72及び制御部73を有する。
通信部71は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースであり、実際には、該vVPN−GW7Aを稼働させる物理サーバに設けられている。
記憶部72は、vVPN−GW7Aを動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどを記憶する。記憶部72は、クライアント端末20のグループ化があった場合に、グループごとに、グループに属するクライアント端末20の識別情報を対応付けて記憶する。そして、記憶部72は、グループごとに、提供する付加価値機能を示す内容、提供先の付加価値装置の情報等を対応付けて記憶する。また、記憶部72は、鍵管理装置10から送信された、vVPN−GW7Aに対応する認証情報721を記憶する。認証情報721は、vVPN−GW7Aに対応するプライベートCA証明書、サーバ証明書、サーバ秘密鍵、TLS認証鍵である。記憶部72は、該vVPN−GW7Aを稼働させる物理サーバに設けられたRAM、フラッシュメモリ等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現される。
制御部73は、各種の処理手順などを規定したプログラムに従って種々の処理を実行する。制御部73は、vVPN−GW7Aを稼働させる物理サーバに設けられたCPUやMPUなどの電子回路である。制御部73は、クライアントグループ管理部731、付加価値機能提供部732及び認証実行部733を有する。
クライアントグループ管理部731は、複数の任意のクライアント端末20をグループ化する。クライアントグループ管理部731は、例えば、イベント対応等で一時的にクライアントグループを設定する。クライアントグループ管理部731は、グループごとに、グループに属するクライアント端末20の識別情報を対応付けて記憶部72に記憶させる。
付加価値機能提供部732は、クライアント端末20が使用するサービスに応じて付加価値装置群に接続し、限定コンテンツや翻訳等の付加価値機能をクライアント端末20に提供する。付加価値機能提供部732は、トラヒックを適切な事業者網や付加価値装置群への振り分けを行う。付加価値機能提供部732は、クライアントグループ管理部731によってグループ化が行なわれた場合には、グループ単位にカスタマイズした付加価値機能を提供する。
認証実行部733は、鍵管理装置10に、vVPN−GW7Aに対応する認証情報の要求を行い、該vVPN−GW7Aに対応する認証情報141を鍵管理装置10から受信する。認証実行部733は、クライアント端末20との間で、取得した認証情報を用いて、SSL認証を実行し、クライアント端末20との間にトンネルを確立させる。例えば、vVPN−GW7Aと、クライアント端末20とが、Open VPN実現のために使用されるSSL/TLS認証を用いた暗号化通信を行う場合には、vVPN−GW7A及びクライアントの双方の認証手続きを行う。そして、この認証技術では、TLS−AUTH HMAC共通鍵(以降、共通鍵とする。)を用いて、全てのSSL/TLSハンドシェイクパケットについて、HMAC署名によるパケットの整合性チェックを行う。
[クライアント端末に対する認証処理の流れ]
次に、クライアント端末認証システム1におけるクライアント端末20に対する認証処理の流れについて説明する。図4及び図5は、クライアント端末認証システム1におけるクライアント端末20に対する認証処理の流れを示す図である。なお、以降の図面においては、便宜的に、SSL/TLS認証をSSL認証と示す。
まず、クライアント端末20は、AP8との無線通信を介して、サービスポータルサーバ2にアクセスし(図4の(1)参照)、IPアドレス割当要求を行い、サービスポータルサーバ2が簡易認証に成功すると、IPアドレスが割り当てられる。クライアント端末20は、割り当てられたIPアドレスを用いてネットワークに接続し、クライアント証明書を認証サーバ3に送信する。認証サーバ3が、このクライアント証明書を用いた認証に成功した場合(図4の(2)参照)、クライアント端末20のネットワークへのアクセスを許可し、サービスポータルサーバ2を介して、ID及びPWをクライアント端末20に返却する。クライアント端末20は、これによって、ID及びPWを取得する(図4の(1)参照)。また、クライアント端末20には、vVPN−GW7Aが割り当てられる。
ここで、サービスポータルサーバ2は、アクセス制御管理装置4に対し、ACLのうち、認証サーバ3によってアクセスが許可されたクライアント端末20が無線通信を行うAP8の送信元アドレスと、クライアント端末20に割り当てられたvVPN−GW7Aの送信先アドレスとを、AP8が接続するアクセス制御装置5に対応するSA,DAに追加する設定を依頼する(図4の(3)参照)。この依頼に応じて、アクセス制御管理装置4は、ACLに、アクセス制御装置5が通過を許可するパケットのSA,DAを設定し、これに応じて、アクセス制御装置5に、クライアント端末20が接続するAP8とvVPN−GW7Aとの間のアクセスを許可する。
また、認証サーバ3は、クライアント端末20の登録時に、プライベートCA証明書、サーバ証明書、サーバ秘密鍵及びTLS認証鍵を、認証情報として鍵管理装置10に送信する(図4の(4)参照)。鍵管理装置10は、送信された認証情報をvVPN−GWの識別装置に対応付けて記憶する(図4の(5)参照)。
そして、クライアント端末20に割り当てられたvVPN−GW7Aは、このクライアント端末20から、トンネル接続リクエストがあった時に、鍵管理装置10に対して、クライアント端末20に対応する認証情報を要求する(図4の(6)参照)。
そして、vVPN−GW7Aから認証情報の要求を受信した鍵管理装置10は、該当するプライベートCA証明書、サーバ証明書、サーバ秘密鍵及びTLS認証鍵をvVPN−GW7Aに送信する(図5の(7)参照)。これらのプライベートCA証明書、サーバ証明書、サーバ秘密鍵及びTLS認証鍵を受信したvVPN−GW7Aは、サーバ証明書の送信から始まるSSL/TLS認証を、クライアント端末20との間で行う(図5の(8)参照)。そして、vVPN−GW7Aは、クライアント端末20との間のSSL/TLS認証が完了すると、クライアント端末20との間にトンネルを確立し(図5の(9)参照)、暗号化通信を開始する(図5の(8)参照)。
[vVPN−GW変更処理の流れ]
次に、クライアント端末認証システム1におけるクライアント端末20に対するvVPN−GW変更処理の流れについて説明する。図6は、クライアント端末認証システム1におけるクライアント端末20に対するvVPN−GW変更処理の流れを示す図である。
図6に示すように、仮想マシン管理装置9が、vVPN−GW7Aの故障、リソース枯渇等を検知した場合(図6の(1)参照)、別のvVPN−GW7Bへ変更を設定する(図6の(2)参照)。そして、仮想マシン管理装置9は、鍵管理装置10に、vVPN−GW変更通知を送信し、変更前と変更後のvVPN−GWを通知する(図6の(3)参照)。鍵管理装置10は、このvVPN−GW変更通知を受け、変更前のvVPN−GW7Aに収容されていた認証情報(プライベートCA証明書、サーバ証明書、サーバ秘密鍵及びTLS秘密鍵)を、変更後のvVPN−GW7Bに送信する(図6の(4)参照)。
また、仮想マシン管理装置9は、認証サーバ3に、vVPN−GW変更通知を送信する(図6の(5)参照)。認証サーバ3は、このvVPN−GW変更通知を受け、クライアント端末20による変更後のvVPN−GW7Bへのアクセスを許可し、認証DBの内容を更新するとともに、サービスポータルサーバ2に、vVPN−GW変更通知を送信する(図6の(6)参照)。
サービスポータルサーバ2は、このvVPN−GW変更通知に示されたvVPN−GW変更にあわせて、ACLの設定を変更するように、アクセス制御管理装置4に依頼する(図6の(7)参照)。具体的には、サービスポータルサーバ2は、ACLにおいて、アクセス制御装置5の識別情報に対応するSA,DAのうち、vVPN−GW7Aのアドレスの削除と、vVPN−GW7Bのアドレスの追加とを、アクセス制御管理装置4に依頼する。アクセス制御管理装置4は、このACL設定依頼に応じて、ACLを変更するとともに、この変更に従い、変更後のvVPN−GW7Bとクライアント端末20が接続するAP8とのアクセスを、アクセス制御装置5に許可する(図6の(8)参照)。
これによって、変更後のvVPN−GW7Bとクライアント端末20との間でのパケット通信が可能になるため、vVPN−GW7Bは、サーバ証明書の送信から始まるSSL/TLS認証を、クライアント端末20との間で行う(図6の(9)参照)。そして、vVPN−GW7Bは、クライアント端末20との間のSSL/TLS認証が完了した場合、クライアント端末20との間にトンネルT2を確立し(図6の(10)参照)、暗号化通信を開始する。
[クライアント端末に対する認証処理]
次に、図7を参照して、クライアント端末認証システム1におけるクライアント端末20に対する認証処理の処理手順について説明する。図7は、図1に示すクライアント端末認証システム1におけるクライアント端末20に対する認証処理の流れを説明するシーケンス図である。
まず、クライアント端末20は、AP8を中継して、サービスポータルサーバ2に対して、IP割当要求を行う(ステップS1及びステップS2)。サービスポータルサーバ2は、簡易認証に成功すると、IPアドレスをクライアント端末20に割り当て、割り当てたIPアドレスを、AP8を中継して、クライアント端末20に送信する(ステップS3及びステップS4)。
そして、クライアント端末20は、割り当てられたIPアドレスを用いてネットワークに接続し、AP8を中継して、クライアント証明書を認証サーバ3に送信する(ステップS5及びステップS6)。認証サーバ3は、このクライアント証明書を用いて認証に成功した場合、クライアント端末20のネットワークへのアクセスを許可し、サービスポータルサーバ2及びAP8を介して、ID及びPWをクライアント端末20に返却する(ステップS7〜ステップS9)。
ここで、サービスポータルサーバ2は、アクセス制御管理装置4に対し、ACLについて、クライアント端末20が無線通信を行うAP8のアドレスと、クライアント端末20に割り当てられたvVPN−GW7Aのアドレスとを、AP8が接続するアクセス制御装置5に対応するSA,DAに追加する設定を依頼する(ステップS10)。この依頼に応じて、アクセス制御管理装置4は、ACLに、依頼されたSA,DAを設定する(ステップS11)。そして、アクセス制御管理装置4は、アクセス制御装置5に対して、クライアント端末20とvVPN−GW7Aとの間のアクセスを許可する(ステップS12)。
また、認証サーバ3は、このクライアント端末20の登録時に、プライベートCA証明書、サーバ証明書、サーバ秘密鍵及びTLS認証鍵を、認証情報として鍵管理装置10に送信する(ステップS13)。鍵管理装置10は、送信された認証情報をvVPN−GW7の識別装置に対応付けて記憶する(ステップS14)。
そして、vVPN−GW7Aは、クライアント端末20から送信されたトンネル接続リクエストを受信すると(ステップS15)、鍵管理装置10に対して、クライアント端末20に対応する認証情報を要求する(ステップS16)。これに応じて、鍵管理装置10は、該当するプライベートCA証明書、サーバ証明書、サーバ秘密鍵及びTLS認証鍵を、認証情報としてvVPN−GW7Aに送信する(ステップS17)。
vVPN−GW7Aは、サーバ証明書の送信から始まるSSL/TLS認証を、クライアント端末20との間で行う(ステップS18)。そして、vVPN−GW7Aは、クライアント端末20との間のSSL/TLS認証が完了したら、クライアント端末20との間にトンネルを確立し(ステップS19)、暗号化通信を開始する。
[vVPN−GW変更処理の流れ]
図8を参照して、クライアント端末認証システム1におけるvVPN−GW変更処理の処理手順について説明する。図8は、図1に示すクライアント端末認証システム1におけるvVPN−GW変更処理の流れを説明するシーケンス図である。
図8に示すように、例えば、vVPN−GW7Aによる故障信号送信(ステップS21)等によって、仮想マシン管理装置9が、vVPN−GW7Aの故障、リソース枯渇等を検知し(ステップS22)、別のvVPN−GW7Bへ変更を設定する(ステップS23)。そして、仮想マシン管理装置9は、鍵管理装置10及び認証サーバ3に、vVPN−GW変更通知を送信し、変更前と変更後のvVPN−GWを通知する(ステップS24及びステップS25)。鍵管理装置10は、このvVPN−GW変更通知を受け、変更前のvVPN−GW7Aに収容されていた認証情報(プライベートCA証明書、サーバ証明書、サーバ秘密鍵及びTLS秘密鍵)を、変更後のvVPN−GW7Bに送信する(ステップS26)。
また、認証サーバ3は、このvVPN−GW変更通知を受け、クライアント端末20による変更後のvVPN−GWへのアクセスを許可するとともに、サービスポータルサーバ2に、vVPN−GW変更通知を送信する(ステップS27)。サービスポータルサーバ2は、このvVPN−GW変更通知に示されたvVPN−GW変更にあわせて、ACLの設定を変更するように、アクセス制御管理装置4に依頼する(ステップS28)。アクセス制御管理装置4は、このACL設定依頼に応じて、ACLを変更する(ステップS29)とともに、変更後のvVPN−GW7Bとクライアント端末20とのアクセスを、アクセス制御装置5に許可する(ステップS30)。
vVPN−GW7Bは、サーバ証明書の送信から始まるSSL/TLS認証を、クライアント端末20との間で行い(ステップS31)、クライアント端末20との間にトンネルを確立し(ステップS32)、暗号化通信を再開する。
[実施の形態1の効果]
このように、実施の形態1では、鍵管理装置10を設け、SSL/TLS認証の実行に用いる認証情報を保持させることによって、暗号化されたIPトンネル技術に関する認証情報の冗長化を実現している。したがって、実施の形態1によれば、vVPN−GW7の故障等が発生した場合であっても、認証の実行のために要する情報が、変更後のvVPN−GW7に引き継がれるため、変更後のvVPN−GW7においてSSL/TLS認証を実行可能である。すなわち、実施の形態1によれば、vVPN−GW7の変更にともなうSSL/TLS認証の再確立を円滑に実行することが可能になる。
もちろん、クライアント端末認証システム1では、サービスポータルサーバ2がアドレス認証を実行することで、不正なクライアント端末がネットワークに通信フローを送ることを防止することができる。また、クライアント端末認証システム1では、アドレス認証に成功したクライアント端末20の証明書に基づく認証をさらに実行することで、アドレス認証だけ実行する場合と比較してネットワークのセキュリティを向上させることができる。このため、クライアント端末認証システム1は、無線回線を利用した情報通信において高いセキュリティを実現することができる。
さらに、クライアント端末認証システム1では、認証サーバ3をサービスポータルサーバ2よりも上流に配置しているため、サービスポータルサーバ2と認証サーバ3とをネットワーク上の同じ位置に配置する場合と比較して、認証サーバ3を集約的に配置することができる。
[実施の形態2]
次に、実施の形態2について説明する。実施の形態2では、vVPN−GWの変更時に要するSSL/TLS認証の実行に用いる認証情報として、共通鍵を鍵管理装置に保持させる。図9は、実施の形態2に係るクライアント端末認証システムの構成の一例を説明するための図である。
図9に示すように、実施の形態2に係るクライアント端末認証システム201は、図1に示すクライアント端末認証システム1と比して、鍵管理装置10に代えて、鍵管理装置210を有する。また、vVPN−GW7A,7Bに代えて、vVPN−GW207A,207Bを有する。vVPN−GW207A,208Bは、vVPN−GW7A,7Bと同様の機能を有するとともに、SSL/TLS認証実行時に作成した共通鍵を、鍵管理装置210に送信する。共通鍵は、このクライアント端末20が送信した、暗号化された共通鍵を、vVPN−GW207Aの秘密鍵で復号化したものである。
鍵管理装置210は、認証情報として、vVPN−GW207Aと、クライアント端末20に対応する共通鍵を保持する。共通鍵は、このクライアント端末20が送信した、暗号化された共通鍵を、vVPN−GW207Aの秘密鍵で復号化したものであり、vVPN−GW207Aから送信される。そして、鍵管理装置210は、認証情報として、vVPN−GWの識別情報に、共通鍵を対応付けて記憶する。
図10は、図9に示す鍵管理装置210が記憶する認証情報のデータ構成の一例を示す図である。図10に示すように、鍵管理装置210は、vVPN−GW7の識別情報、トンネルの識別情報、及び、サーバの秘密鍵で復号化された共通鍵情報を対応付けたテーブルTを認証情報121として記憶する。トンネルの識別情報として、パケットのインナーヘッダのクライアント端末のアドレス(クライアントアドレス)が記憶される。vVPN−GW7は、受信したパケットを復号化することによって、インナーヘッダ及び通信対象のデータを取得する。
例えば、テーブルTの1行目には、vVPN−GW「1」に対応して、インナーヘッダのクライアントアドレス「A」と、共通鍵「X」とが対応付けられている。鍵管理装置10は、クライアントアドレス「A」であるクライアント端末20に割り当てられたvVPN−GW「1」に変更がある場合には、変更後のvVPN−GWに、インナーヘッダのクライアントアドレス「A」を対応付けた共通鍵「X」を、認証情報として送信する。
[クライアント端末に対する認証処理の流れ]
次に、クライアント端末認証システム201におけるクライアント端末20に対する認証処理の流れについて説明する。図11は、クライアント端末認証システム201におけるクライアント端末20に対する認証処理の流れを示す図である。
クライアント端末認証システム201では、クライアント端末認証システム1と同様に、クライアント端末20のネットワークへのアクセスが許可される。そして、vVPN−GW207Aは、認証サーバ3から、プライベートCA証明書、サーバ証明書、サーバ秘密鍵及びTLS認証鍵を受信し、サーバ証明書の送信から始まるSSL/TLS認証を、クライアント端末20との間で行う(図11の(1)参照)。
そして、vVPN−GW720Aは、クライアント端末20との間のSSL/TLS認証が完了すると、クライアント端末20との間にトンネルT1を確立し(図11の(2)参照)、暗号化通信を開始する。続いて、vVPN−GW207Aは、作成した共通鍵を、鍵管理装置210に送信する(図11の(3)参照)。この共通鍵は、鍵管理装置210において記憶される。vVPN−GW207A,207Bは、SSL/TLS認証を行うごとに、作成した共通鍵を鍵管理装置210に送信して、記憶させている。
[vVPN−GW変更処理の流れ]
次に、クライアント端末認証システム201におけるクライアント端末20に対するvVPN−GW変更処理の流れについて説明する。図12は、クライアント端末認証システム201におけるクライアント端末20に対するvVPN−GW変更処理の流れを示す図である。
仮想マシン管理装置9が、vVPN−GW207Aの故障を検知し(図12の(1)参照)、vVPN−GW207Bへ変更を設定して(図12の(2)参照)、鍵管理装置210に、vVPN−GW変更通知を送信し、変更前と変更後のvVPN−GWを通知する(図12の(3)参照)。鍵管理装置210は、このvVPN−GW変更通知を受け、変更前のvVPN−GW207Aに対応する共通鍵を、変更後のvVPN−GW207Bに送信する(図12の(4)参照)。
また、仮想マシン管理装置9は、認証サーバ3に、vVPN−GW変更通知を送信する(図12の(5)参照)。この場合も、実施の形態1と同様に、認証サーバ3は、クライアント端末20と変更後のvVPN−GW207Bとの間のアクセスを許可し、サービスポータルサーバ2にvVPN−GW変更通知を送信する(図12の(6)参照)。サービスポータルサーバ2は、vVPN−GW変更にあわせてACL設定変更依頼をアクセス制御管理装置4に行い(図12の(7)参照)、アクセス制御管理装置4は、これに応じてACLを変更するとともに、vVPN−GW207Bとクライアント端末20とのアクセスを、アクセス制御装置5に許可する(図12の(8)参照)。
そして、vVPN−GW207Bは、鍵管理装置210から受信した共通鍵を用いてSSL/TLS通信を開始し(図12の(9)参照)、クライアント端末20との間にトンネルT2を確立する(図12の(10)参照)。
[クライアント端末認証システムにおける処理]
次に、図13を参照して、クライアント端末認証システム201におけるクライアント端末20に対する認証処理の処理手順について説明する。図13は、図9に示すクライアント端末認証システム201におけるクライアント端末20に対する認証処理の流れを説明するシーケンス図である。
クライアント端末認証システム201では、図7に示すステップS1〜ステップS12の処理を行った後、vVPN−GW7Aは、認証サーバ3から、プライベートCA証明書、サーバ証明書、サーバ秘密鍵及びTLS認証鍵を受信し、サーバ証明書の送信から始まるSSL/TLS認証を、クライアント端末20との間で行う(ステップS41)。vVPN−GW7Aは、クライアント端末20との間のSSL/TLS認証が完了すると、クライアント端末20との間にトンネルを確立し(ステップS42)、暗号化通信を開始するとともに、作成した共通鍵を、鍵管理装置210に送信する(ステップS43)。鍵管理装置210は、この共通鍵を記憶する(ステップS44)。
クライアント端末20に対するvVPN−GW変更処理の流れについて説明する。図13に示すステップS45〜ステップS48は、図8に示すステップS22〜ステップS25である。そして、鍵管理装置210は、ステップS24において仮想マシン管理装置9から送信されたvVPN−GW変更通知を受け、変更前のvVPN−GW207Aに対応する共通鍵を、変更後のvVPN−GW207Bに送信する(ステップS49)。ステップS50〜ステップS53は、図8に示すステップS27〜ステップS30である。
そして、vVPN−GW720Bは、鍵管理装置210から受信した共通鍵を用いて、クライアント端末20との間にトンネルを確立し、SSL/TLS通信を開始する(ステップS54)。
[実施の形態2の効果]
このように、実施の形態2では、鍵管理装置210に、SSL/TLS認証の実行に用いる認証情報として、vVPN−GWが作成した共通鍵を保持させることによって、実施の形態1と同様の効果を奏する。また、実施の形態2では、変更後のvVPN−GWに対し、認証情報として、共通鍵を動的に引き継ぐため、変更後のvVPN−GWは、共通鍵を求めるまでの処理を行わずともよく、迅速にSSL/TLS通信を開始することができる。
[実施の形態1,2の変形例]
なお、実施の形態1,2では、vVPN−GW変更の際に、同一のアクセス制御装置5及びAP8を経由するトンネルT2を再確立した例について説明したが、もちろん、これに限らない。
図14は、実施の形態1に係るクライアント端末認証システムの構成の他の例を説明するための図である。例えば、図14のクライアント端末認証システム1Aに示すように、vVPN−GW7AからvVPN−GW7Bへの変更の際に(矢印Y1’参照)、変更前のトンネルT1’が経由する第1AP8Aではなく、第2AP8Bを経由するトンネルT2’を再確立してもよい(矢印Y2’参照)。この場合、サービスポータルサーバ2は、ACLにおいて、アクセス制御装置5の識別情報に対応するSA,DAのうち、第1AP8Aのアドレス及びvVPN−GW7Aのアドレスの削除と、第2AP8Bのアドレス及びvVPN−GW7Bのアドレスの追加と、アクセス制御管理装置4に依頼する。この結果、アクセス制御装置5は、第2AP8Bと、vVPN−GW7Bとの間のパケットの通過を許可するため、第2AP8Bを経由するトンネルT2’の再確立が可能になる。
図15は、実施の形態1に係るクライアント端末認証システムの構成の他の例を説明するための図である。例えば、図15のクライアント端末認証システム1Bに示すように、vVPN−GW7AからvVPN−GW7Bへの変更の際に(矢印Y1”参照)、変更前のトンネルT1”が経由する第1AP8A及びアクセス制御装置5Aではなく、第2AP8B及びアクセス制御装置5Bを経由するトンネルT2”を再確立してもよい(矢印Y2”参照)。この場合、サービスポータルサーバ2は、ACLにおいて、アクセス制御装置5Aの識別情報に対応するSA,DAからの第1AP8Aのアドレス及びvVPN−GW7Aのアドレスの削除と、アクセス制御装置5Bの識別情報に対応するSA,DAへの第2AP8Bのアドレス及びvVPN−GW7Bのアドレスの追加とを、アクセス制御管理装置4に依頼する。この結果、アクセス制御装置5Bは、第2AP8Bと、vVPN−GW7Bとの間のパケットの通過を許可するため、第2AP8Bを経由するトンネルT2”の再確立が可能になる。
なお、本実施の形態では、アクセス制御管理装置4は、ACLとして、アクセス制御装置5A,5Bの識別情報に、パケットのアウトヘッダーに含まれるクライアント端末20のID、SA、DAを対応付けて設定する例を説明したが、もちろんこれに限らない。アクセス制御管理装置4は、ACLとして、アクセス制御装置5A,5Bの識別情報に、パケットのアウトヘッダーに含まれる5tuple(Source IP,Destination IP,Src Port,Dst Post,Protocol)を対応付けて設定し、該ACLに設定された5tupleをアウトヘッダーに含むパケットの通過を許可するようにアクセス制御装置5A,5Bを制御してもよい。
[実施の形態のシステム構成について]
図1及び図9に示したクライアント端末認証システム1,201の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、クライアント端末認証システム1,201の機能の分散および統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散または統合して構成することができる。
また、クライアント端末認証システム1,201の各装置において行われる各処理は、全部または任意の一部が、CPUおよびCPUにより解析実行されるプログラムにて実現されてもよい。また、クライアント端末認証システム1の各装置において行われる各処理は、ワイヤードロジックによるハードウェアとして実現されてもよい。
また、実施の形態1,2において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともできる。もしくは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上述および図示の処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて適宜変更することができる。
[プログラム]
図16は、プログラムが実行されることにより、クライアント端末認証システム1,201の各装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、クライアント端末認証システム1,201の各装置の各処理を規定するプログラムは、コンピュータ1000により実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、クライアント端末認証システム1,201の各装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施の形態1,2の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施の形態について説明したが、本実施の形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施の形態に基づいて当業者等によりなされる他の実施の形態、実施例及び運用技術等は全て本発明の範疇に含まれる。
1,201 クライアント端末認証システム
2,2P サービスポータルサーバ
3,3P 認証サーバ
4,4P アクセス制御管理装置
5,5P,5A,5B アクセス制御装置
6A,6B,6AP,6BP 振分装置
7A,7B,7AP,7BP,207A,207B,207AP,207BP vVPN−GW
8,8P アクセスポイント(AP)
9,9P 仮想マシン管理装置
11 通信部
12 記憶部
13 制御部
10,210 鍵管理装置
20,20P クライアント端末
100 付加価値装置群または外部ネットワーク(NW)
121 認証情報
T1,T1’,T1”,T2,T2’,T2” トンネル

Claims (6)

  1. ネットワークに接続するクライアント端末を認証し、前記クライアント端末による前記ネットワークへのアクセスを許可するクライアント端末認証システムであって、
    前記クライアント端末が送信する証明書を受信して当該証明書の認証を実行し、前記証明書の認証に成功した場合に前記クライアント端末による前記ネットワークへのアクセスを許可する認証サーバと、
    前記認証サーバによってアクセスが許可されたクライアント端末に割り当てられたゲートウェイであって、前記認証サーバによってアクセスが許可されたクライアント端末との間で通信認証を実行して確立した通信経路を用いて前記クライアント端末との間で暗号化通信を行うゲートウェイと、
    前記通信認証の実行に用いる認証情報を保持し、前記クライアント端末に割り当てられたゲートウェイが変更される場合には、変更後の前記ゲートウェイに前記認証情報を送信して該変更後のゲートウェイと前記クライアント端末との間に通信経路を確立させる情報管理装置と、
    前記認証サーバによってアクセスが許可されたクライアント端末と該クライアント端末に割り当てられたゲートウェイとの間を流れるパケットの通過を許可し、前記ゲートウェイの変更があった場合には、前記クライアント端末と前記変更後のゲートウェイとの間を流れるパケットの通過を許可するアクセス制御装置と、
    を有することを特徴とするクライアント端末認証システム。
  2. 前記ゲートウェイは、通信認証としてSSL(Secure Sockets Layer)/TLS(Transport Layer Security)を使用し、
    前記認証サーバは、前記通信認証の実行に用いる認証情報として、プライベートCA(Certification Authority)証明書、前記認証サーバのサーバ証明書、前記認証サーバのサーバ秘密鍵及びTLS秘密鍵を前記情報管理装置に送信し、
    前記情報管理装置は、前記認証サーバから送信された前記プライベートCA証明書、前記サーバ証明書、前記サーバ秘密鍵及び前記TLS秘密鍵を前記ゲートウェイごとに保持し、前記クライアント端末に割り当てられたゲートウェイが変更される場合には、変更後の前記ゲートウェイに、変更前の前記ゲートウェイに対応する前記プライベートCA証明書、前記サーバ証明書、前記サーバ秘密鍵及び前記TLS秘密鍵を送信して、該変更後のゲートウェイと前記クライアント端末との間に通信経路を確立させることを特徴とする請求項1に記載のクライアント端末認証システム。
  3. 前記ゲートウェイは、通信認証としてSSL/TLSを使用し、SSL/TLSの実行により取得した、前記クライアント端末との間での暗号化通信において使用する共通鍵を、前記通信認証の実行に用いる認証情報として前記情報管理装置に送信し、
    前記情報管理装置は、前記ゲートウェイから送信された前記共通鍵を前記ゲートウェイごとに保持し、前記クライアント端末に割り当てられたゲートウェイが変更される場合には、変更後の前記ゲートウェイに、変更前の前記ゲートウェイに対応する前記共通鍵を送信して、該変更後のゲートウェイに、前記クライアント端末との間での暗号化通信を開始させることを特徴とする請求項1に記載のクライアント端末認証システム。
  4. 前記ゲートウェイを管理し、前記ゲートウェイの変更を設定した場合には、前記ゲートウェイを変更する旨と、変更前の前記ゲートウェイの識別情報と変更後の前記ゲートウェイの識別情報とを含むゲートウェイ変更通知を前記情報管理装置及び前記認証サーバに送信するゲートウェイ管理装置をさらに有し、
    前記認証サーバは、前記クライアント端末による前記変更後のゲートウェイへのアクセスを許可し、
    前記情報管理装置は、前記ゲートウェイ管理装置から前記ゲートウェイ変更通知を受けた場合、変更後の前記ゲートウェイに前記認証情報を送信して該変更後のゲートウェイと前記クライアント端末との間に通信経路を確立させることを特徴とする請求項1〜3のいずれか一つに記載のクライアント端末認証システム。
  5. アクセスポイント間との無線通信を介した前記クライアント端末からのアドレス割当要求を受信してアドレス認証を実行してアドレス認証に成功した場合には前記クライアント端末にアドレスを送信するアドレス割当サーバと、
    前記認証サーバによってアクセスが許可されたクライアント端末が接続するアクセスポイントのアドレスと、前記クライアント端末の送信先として割り当てられたゲートウェイのアドレスと、を前記アクセス制御装置の識別情報に対応付けて記憶するアクセス制御リストにしたがって、前記アクセス制御装置にパケットの通過を許可するアクセス制御管理装置と、
    を有し、
    前記認証サーバは、前記アドレスを割り当てられた前記クライアント端末が送信する証明書を受信して当該証明書の認証を実行し、前記証明書の認証に成功した場合に前記クライアント端末による前記ネットワークへのアクセスを許可し、前記アドレス割当サーバを介して、前記クライアント端末に対応するID及びパスワードを前記クライアント端末に返却し、
    前記アドレス割当サーバは、前記アクセス制御管理装置に対し、前記認証サーバによってアクセスが許可されたクライアント端末が無線通信を行う前記アクセスポイントのアドレスと、該クライアント端末に割り当てられた送信先のゲートウェイのアドレスとを、対応する前記アクセス制御装置の識別情報に対応付けて、前記アクセス制御リストに設定する設定依頼を送信し、
    前記アクセス制御管理装置は、前記アドレス割当サーバから送信された前記設定依頼に応じて前記アクセス制御リストを設定し、前記アクセス制御リストにしたがって、前記アクセス制御装置のパケット通過処理を制御することを特徴とする請求項1〜4のいずれか一つに記載のクライアント端末認証システム。
  6. ネットワークに配置された認証サーバが、クライアント端末が送信する証明書を受信して当該証明書の認証を実行し、前記証明書の認証に成功した場合に前記クライアント端末による前記ネットワークへのアクセスを許可する工程と、
    前記ネットワークに配置されたアクセス制御装置が、前記認証サーバによってアクセスが許可されたクライアント端末と該クライアント端末に割り当てられたゲートウェイとの間を流れるパケットの通過を許可する工程と、
    前記ゲートウェイが、前記認証サーバによってアクセスが許可されたクライアント端末との間で通信認証を実行して確立した通信経路を用いて前記クライアント端末との間で暗号化通信を行う工程と、
    前記ネットワークに配置された情報管理装置が、前記通信認証の実行に用いる認証情報を保持する工程と、
    前記情報管理装置が、前記クライアント端末に割り当てられたゲートウェイが変更される場合には、変更後の前記ゲートウェイに前記認証情報を送信して該変更後のゲートウェイと前記クライアント端末との間に通信経路を確立させる工程と、
    前記アクセス制御装置が、前記ゲートウェイの変更があった場合には、前記クライアント端末と前記変更後のゲートウェイとの間を流れるパケットの通過を許可する工程と、
    含んだことを特徴とするクライアント端末認証方法。
JP2016159344A 2016-08-15 2016-08-15 クライアント端末認証システム及びクライアント端末認証方法 Active JP6487392B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016159344A JP6487392B2 (ja) 2016-08-15 2016-08-15 クライアント端末認証システム及びクライアント端末認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016159344A JP6487392B2 (ja) 2016-08-15 2016-08-15 クライアント端末認証システム及びクライアント端末認証方法

Publications (2)

Publication Number Publication Date
JP2018029234A JP2018029234A (ja) 2018-02-22
JP6487392B2 true JP6487392B2 (ja) 2019-03-20

Family

ID=61247924

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016159344A Active JP6487392B2 (ja) 2016-08-15 2016-08-15 クライアント端末認証システム及びクライアント端末認証方法

Country Status (1)

Country Link
JP (1) JP6487392B2 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003132020A (ja) * 2001-10-26 2003-05-09 Cyber Sign Japan Inc アクセス制御装置及び認証装置及びそれらに関連する装置
JP2009267547A (ja) * 2008-04-23 2009-11-12 Nec Corp 移動通信システム及び移動通信制御方法並びにそれに用いる移動機監視装置
JP5333263B2 (ja) * 2010-01-28 2013-11-06 富士通株式会社 アクセス制御システム及びアクセス制御方法
US9736154B2 (en) * 2014-09-16 2017-08-15 Nok Nok Labs, Inc. System and method for integrating an authentication service within a network architecture

Also Published As

Publication number Publication date
JP2018029234A (ja) 2018-02-22

Similar Documents

Publication Publication Date Title
US11936786B2 (en) Secure enrolment of security device for communication with security server
TWI705349B (zh) 終端的認證處理、認證方法及裝置、系統
US9455958B1 (en) Credentials management in large scale virtual private network deployment
US8577044B2 (en) Method and apparatus for automatic and secure distribution of an asymmetric key security credential in a utility computing environment
US8838965B2 (en) Secure remote support automation process
US7822982B2 (en) Method and apparatus for automatic and secure distribution of a symmetric key security credential in a utility computing environment
US10735195B2 (en) Host-storage authentication
US9148412B2 (en) Secure configuration of authentication servers
US7316030B2 (en) Method and system for authenticating a personal security device vis-à-vis at least one remote computer system
US10516652B1 (en) Security association management
CN113614691A (zh) 供传统虚拟交付器件使用的连接租用***和相关方法
US20230006988A1 (en) Method for selectively executing a container, and network arrangement
JP2023015376A (ja) 認証情報の設定を仲介するための装置及び方法
US11902789B2 (en) Cloud controlled secure Bluetooth pairing for network device management
US20180331886A1 (en) Systems and methods for maintaining communication links
CN106535089B (zh) 机器对机器虚拟私有网络
CN111628960B (zh) 用于连接至专用网络上的网络服务的方法和装置
JP6487392B2 (ja) クライアント端末認証システム及びクライアント端末認証方法
CN105610667B (zh) 建立虚拟专用网通道的方法和装置
JP2018029233A (ja) クライアント端末認証システム及びクライアント端末認証方法
JP6571615B2 (ja) 認証サーバ、振分装置、クライアント端末認証システム及びクライアント端末認証方法
KR102150484B1 (ko) 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템
CN111698299A (zh) Session对象复制方法、装置、分布式微服务架构及介质
WO2016192765A1 (en) Authentication and authorization based on credentials and ticket

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180620

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190221

R150 Certificate of patent or registration of utility model

Ref document number: 6487392

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150