JP6487392B2 - クライアント端末認証システム及びクライアント端末認証方法 - Google Patents
クライアント端末認証システム及びクライアント端末認証方法 Download PDFInfo
- Publication number
- JP6487392B2 JP6487392B2 JP2016159344A JP2016159344A JP6487392B2 JP 6487392 B2 JP6487392 B2 JP 6487392B2 JP 2016159344 A JP2016159344 A JP 2016159344A JP 2016159344 A JP2016159344 A JP 2016159344A JP 6487392 B2 JP6487392 B2 JP 6487392B2
- Authority
- JP
- Japan
- Prior art keywords
- client terminal
- authentication
- gateway
- server
- vvpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
実施の形態に係るクライアント端末認証システムについて、クライアント端末認証システム全体の概略構成、クライアント端末認証システムを構成する各装置の概略構成、クライアント端末認証システムにおける処理の流れ及び具体例を説明する。なお、以降で説明するアクセス制御装置、アクセスポイント(AP)、vVPN−GW等の台数は、あくまで例示であり、これに限定されるものではない。
ここで、実施の形態に係るクライアント端末認証システムでは、SSL/TLS認証を使用した暗号化トンネル技術、SSL−VPN(例えば、Open VPN)が用いられている。そこで、本実施の形態において使用されるSSL/TLS認証を用いた暗号化通信について説明する。例えば、Open VPNでは、SSL/TLS認証の技術を用いて、サーバ、クライアントの双方の認証手続きを行う。そして、この認証技術では、TLS−AUTH HMAC共通鍵(以降、共通鍵とする。)を用いて、全てのSSL/TLSハンドシェイクパケットについて、HMAC署名によるパケットの整合性チェックを行う。
次に、図1を参照して、実施の形態1に係るクライアント端末認証システムの構成について説明する。図1は、実施の形態1に係るクライアント端末認証システムの構成の一例を説明するための図である。
そこで、次に、図2を参照して、鍵管理装置10について説明する。図2は、図1に示す鍵管理装置10の構成の一例を示すブロック図である。図2に示すように、鍵管理装置10は、通信部11、記憶部12、制御部13を有する。
次に、図1に示すvVPN−GW7Aの構成について説明する。図8は、図1にvVPN−GW7Aの構成の一例を示すブロック図である。なお、vVPN−GW7Bは、vVPN−GW7Aと同様の構成を有する。図8に示すように、vVPN−GW7Aは、通信部71、記憶部72及び制御部73を有する。
次に、クライアント端末認証システム1におけるクライアント端末20に対する認証処理の流れについて説明する。図4及び図5は、クライアント端末認証システム1におけるクライアント端末20に対する認証処理の流れを示す図である。なお、以降の図面においては、便宜的に、SSL/TLS認証をSSL認証と示す。
次に、クライアント端末認証システム1におけるクライアント端末20に対するvVPN−GW変更処理の流れについて説明する。図6は、クライアント端末認証システム1におけるクライアント端末20に対するvVPN−GW変更処理の流れを示す図である。
次に、図7を参照して、クライアント端末認証システム1におけるクライアント端末20に対する認証処理の処理手順について説明する。図7は、図1に示すクライアント端末認証システム1におけるクライアント端末20に対する認証処理の流れを説明するシーケンス図である。
図8を参照して、クライアント端末認証システム1におけるvVPN−GW変更処理の処理手順について説明する。図8は、図1に示すクライアント端末認証システム1におけるvVPN−GW変更処理の流れを説明するシーケンス図である。
このように、実施の形態1では、鍵管理装置10を設け、SSL/TLS認証の実行に用いる認証情報を保持させることによって、暗号化されたIPトンネル技術に関する認証情報の冗長化を実現している。したがって、実施の形態1によれば、vVPN−GW7の故障等が発生した場合であっても、認証の実行のために要する情報が、変更後のvVPN−GW7に引き継がれるため、変更後のvVPN−GW7においてSSL/TLS認証を実行可能である。すなわち、実施の形態1によれば、vVPN−GW7の変更にともなうSSL/TLS認証の再確立を円滑に実行することが可能になる。
次に、実施の形態2について説明する。実施の形態2では、vVPN−GWの変更時に要するSSL/TLS認証の実行に用いる認証情報として、共通鍵を鍵管理装置に保持させる。図9は、実施の形態2に係るクライアント端末認証システムの構成の一例を説明するための図である。
次に、クライアント端末認証システム201におけるクライアント端末20に対する認証処理の流れについて説明する。図11は、クライアント端末認証システム201におけるクライアント端末20に対する認証処理の流れを示す図である。
次に、クライアント端末認証システム201におけるクライアント端末20に対するvVPN−GW変更処理の流れについて説明する。図12は、クライアント端末認証システム201におけるクライアント端末20に対するvVPN−GW変更処理の流れを示す図である。
次に、図13を参照して、クライアント端末認証システム201におけるクライアント端末20に対する認証処理の処理手順について説明する。図13は、図9に示すクライアント端末認証システム201におけるクライアント端末20に対する認証処理の流れを説明するシーケンス図である。
このように、実施の形態2では、鍵管理装置210に、SSL/TLS認証の実行に用いる認証情報として、vVPN−GWが作成した共通鍵を保持させることによって、実施の形態1と同様の効果を奏する。また、実施の形態2では、変更後のvVPN−GWに対し、認証情報として、共通鍵を動的に引き継ぐため、変更後のvVPN−GWは、共通鍵を求めるまでの処理を行わずともよく、迅速にSSL/TLS通信を開始することができる。
なお、実施の形態1,2では、vVPN−GW変更の際に、同一のアクセス制御装置5及びAP8を経由するトンネルT2を再確立した例について説明したが、もちろん、これに限らない。
図1及び図9に示したクライアント端末認証システム1,201の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、クライアント端末認証システム1,201の機能の分散および統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散または統合して構成することができる。
図16は、プログラムが実行されることにより、クライアント端末認証システム1,201の各装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
2,2P サービスポータルサーバ
3,3P 認証サーバ
4,4P アクセス制御管理装置
5,5P,5A,5B アクセス制御装置
6A,6B,6AP,6BP 振分装置
7A,7B,7AP,7BP,207A,207B,207AP,207BP vVPN−GW
8,8P アクセスポイント(AP)
9,9P 仮想マシン管理装置
11 通信部
12 記憶部
13 制御部
10,210 鍵管理装置
20,20P クライアント端末
100 付加価値装置群または外部ネットワーク(NW)
121 認証情報
T1,T1’,T1”,T2,T2’,T2” トンネル
Claims (6)
- ネットワークに接続するクライアント端末を認証し、前記クライアント端末による前記ネットワークへのアクセスを許可するクライアント端末認証システムであって、
前記クライアント端末が送信する証明書を受信して当該証明書の認証を実行し、前記証明書の認証に成功した場合に前記クライアント端末による前記ネットワークへのアクセスを許可する認証サーバと、
前記認証サーバによってアクセスが許可されたクライアント端末に割り当てられたゲートウェイであって、前記認証サーバによってアクセスが許可されたクライアント端末との間で通信認証を実行して確立した通信経路を用いて前記クライアント端末との間で暗号化通信を行うゲートウェイと、
前記通信認証の実行に用いる認証情報を保持し、前記クライアント端末に割り当てられたゲートウェイが変更される場合には、変更後の前記ゲートウェイに前記認証情報を送信して該変更後のゲートウェイと前記クライアント端末との間に通信経路を確立させる情報管理装置と、
前記認証サーバによってアクセスが許可されたクライアント端末と該クライアント端末に割り当てられたゲートウェイとの間を流れるパケットの通過を許可し、前記ゲートウェイの変更があった場合には、前記クライアント端末と前記変更後のゲートウェイとの間を流れるパケットの通過を許可するアクセス制御装置と、
を有することを特徴とするクライアント端末認証システム。 - 前記ゲートウェイは、通信認証としてSSL(Secure Sockets Layer)/TLS(Transport Layer Security)を使用し、
前記認証サーバは、前記通信認証の実行に用いる認証情報として、プライベートCA(Certification Authority)証明書、前記認証サーバのサーバ証明書、前記認証サーバのサーバ秘密鍵及びTLS秘密鍵を前記情報管理装置に送信し、
前記情報管理装置は、前記認証サーバから送信された前記プライベートCA証明書、前記サーバ証明書、前記サーバ秘密鍵及び前記TLS秘密鍵を前記ゲートウェイごとに保持し、前記クライアント端末に割り当てられたゲートウェイが変更される場合には、変更後の前記ゲートウェイに、変更前の前記ゲートウェイに対応する前記プライベートCA証明書、前記サーバ証明書、前記サーバ秘密鍵及び前記TLS秘密鍵を送信して、該変更後のゲートウェイと前記クライアント端末との間に通信経路を確立させることを特徴とする請求項1に記載のクライアント端末認証システム。 - 前記ゲートウェイは、通信認証としてSSL/TLSを使用し、SSL/TLSの実行により取得した、前記クライアント端末との間での暗号化通信において使用する共通鍵を、前記通信認証の実行に用いる認証情報として前記情報管理装置に送信し、
前記情報管理装置は、前記ゲートウェイから送信された前記共通鍵を前記ゲートウェイごとに保持し、前記クライアント端末に割り当てられたゲートウェイが変更される場合には、変更後の前記ゲートウェイに、変更前の前記ゲートウェイに対応する前記共通鍵を送信して、該変更後のゲートウェイに、前記クライアント端末との間での暗号化通信を開始させることを特徴とする請求項1に記載のクライアント端末認証システム。 - 前記ゲートウェイを管理し、前記ゲートウェイの変更を設定した場合には、前記ゲートウェイを変更する旨と、変更前の前記ゲートウェイの識別情報と変更後の前記ゲートウェイの識別情報とを含むゲートウェイ変更通知を前記情報管理装置及び前記認証サーバに送信するゲートウェイ管理装置をさらに有し、
前記認証サーバは、前記クライアント端末による前記変更後のゲートウェイへのアクセスを許可し、
前記情報管理装置は、前記ゲートウェイ管理装置から前記ゲートウェイ変更通知を受けた場合、変更後の前記ゲートウェイに前記認証情報を送信して該変更後のゲートウェイと前記クライアント端末との間に通信経路を確立させることを特徴とする請求項1〜3のいずれか一つに記載のクライアント端末認証システム。 - アクセスポイント間との無線通信を介した前記クライアント端末からのアドレス割当要求を受信してアドレス認証を実行してアドレス認証に成功した場合には前記クライアント端末にアドレスを送信するアドレス割当サーバと、
前記認証サーバによってアクセスが許可されたクライアント端末が接続するアクセスポイントのアドレスと、前記クライアント端末の送信先として割り当てられたゲートウェイのアドレスと、を前記アクセス制御装置の識別情報に対応付けて記憶するアクセス制御リストにしたがって、前記アクセス制御装置にパケットの通過を許可するアクセス制御管理装置と、
を有し、
前記認証サーバは、前記アドレスを割り当てられた前記クライアント端末が送信する証明書を受信して当該証明書の認証を実行し、前記証明書の認証に成功した場合に前記クライアント端末による前記ネットワークへのアクセスを許可し、前記アドレス割当サーバを介して、前記クライアント端末に対応するID及びパスワードを前記クライアント端末に返却し、
前記アドレス割当サーバは、前記アクセス制御管理装置に対し、前記認証サーバによってアクセスが許可されたクライアント端末が無線通信を行う前記アクセスポイントのアドレスと、該クライアント端末に割り当てられた送信先のゲートウェイのアドレスとを、対応する前記アクセス制御装置の識別情報に対応付けて、前記アクセス制御リストに設定する設定依頼を送信し、
前記アクセス制御管理装置は、前記アドレス割当サーバから送信された前記設定依頼に応じて前記アクセス制御リストを設定し、前記アクセス制御リストにしたがって、前記アクセス制御装置のパケット通過処理を制御することを特徴とする請求項1〜4のいずれか一つに記載のクライアント端末認証システム。 - ネットワークに配置された認証サーバが、クライアント端末が送信する証明書を受信して当該証明書の認証を実行し、前記証明書の認証に成功した場合に前記クライアント端末による前記ネットワークへのアクセスを許可する工程と、
前記ネットワークに配置されたアクセス制御装置が、前記認証サーバによってアクセスが許可されたクライアント端末と該クライアント端末に割り当てられたゲートウェイとの間を流れるパケットの通過を許可する工程と、
前記ゲートウェイが、前記認証サーバによってアクセスが許可されたクライアント端末との間で通信認証を実行して確立した通信経路を用いて前記クライアント端末との間で暗号化通信を行う工程と、
前記ネットワークに配置された情報管理装置が、前記通信認証の実行に用いる認証情報を保持する工程と、
前記情報管理装置が、前記クライアント端末に割り当てられたゲートウェイが変更される場合には、変更後の前記ゲートウェイに前記認証情報を送信して該変更後のゲートウェイと前記クライアント端末との間に通信経路を確立させる工程と、
前記アクセス制御装置が、前記ゲートウェイの変更があった場合には、前記クライアント端末と前記変更後のゲートウェイとの間を流れるパケットの通過を許可する工程と、
含んだことを特徴とするクライアント端末認証方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016159344A JP6487392B2 (ja) | 2016-08-15 | 2016-08-15 | クライアント端末認証システム及びクライアント端末認証方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016159344A JP6487392B2 (ja) | 2016-08-15 | 2016-08-15 | クライアント端末認証システム及びクライアント端末認証方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018029234A JP2018029234A (ja) | 2018-02-22 |
JP6487392B2 true JP6487392B2 (ja) | 2019-03-20 |
Family
ID=61247924
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016159344A Active JP6487392B2 (ja) | 2016-08-15 | 2016-08-15 | クライアント端末認証システム及びクライアント端末認証方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6487392B2 (ja) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003132020A (ja) * | 2001-10-26 | 2003-05-09 | Cyber Sign Japan Inc | アクセス制御装置及び認証装置及びそれらに関連する装置 |
JP2009267547A (ja) * | 2008-04-23 | 2009-11-12 | Nec Corp | 移動通信システム及び移動通信制御方法並びにそれに用いる移動機監視装置 |
JP5333263B2 (ja) * | 2010-01-28 | 2013-11-06 | 富士通株式会社 | アクセス制御システム及びアクセス制御方法 |
US9736154B2 (en) * | 2014-09-16 | 2017-08-15 | Nok Nok Labs, Inc. | System and method for integrating an authentication service within a network architecture |
-
2016
- 2016-08-15 JP JP2016159344A patent/JP6487392B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018029234A (ja) | 2018-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11936786B2 (en) | Secure enrolment of security device for communication with security server | |
TWI705349B (zh) | 終端的認證處理、認證方法及裝置、系統 | |
US9455958B1 (en) | Credentials management in large scale virtual private network deployment | |
US8577044B2 (en) | Method and apparatus for automatic and secure distribution of an asymmetric key security credential in a utility computing environment | |
US8838965B2 (en) | Secure remote support automation process | |
US7822982B2 (en) | Method and apparatus for automatic and secure distribution of a symmetric key security credential in a utility computing environment | |
US10735195B2 (en) | Host-storage authentication | |
US9148412B2 (en) | Secure configuration of authentication servers | |
US7316030B2 (en) | Method and system for authenticating a personal security device vis-à-vis at least one remote computer system | |
US10516652B1 (en) | Security association management | |
CN113614691A (zh) | 供传统虚拟交付器件使用的连接租用***和相关方法 | |
US20230006988A1 (en) | Method for selectively executing a container, and network arrangement | |
JP2023015376A (ja) | 認証情報の設定を仲介するための装置及び方法 | |
US11902789B2 (en) | Cloud controlled secure Bluetooth pairing for network device management | |
US20180331886A1 (en) | Systems and methods for maintaining communication links | |
CN106535089B (zh) | 机器对机器虚拟私有网络 | |
CN111628960B (zh) | 用于连接至专用网络上的网络服务的方法和装置 | |
JP6487392B2 (ja) | クライアント端末認証システム及びクライアント端末認証方法 | |
CN105610667B (zh) | 建立虚拟专用网通道的方法和装置 | |
JP2018029233A (ja) | クライアント端末認証システム及びクライアント端末認証方法 | |
JP6571615B2 (ja) | 認証サーバ、振分装置、クライアント端末認証システム及びクライアント端末認証方法 | |
KR102150484B1 (ko) | 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템 | |
CN111698299A (zh) | Session对象复制方法、装置、分布式微服务架构及介质 | |
WO2016192765A1 (en) | Authentication and authorization based on credentials and ticket |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180620 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190116 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190219 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190221 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6487392 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |