Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4630296B2 - Gateway device and authentication processing method - Google Patents
[go: Go Back, main page]

JP4630296B2 - Gateway device and authentication processing method - Google Patents

Gateway device and authentication processing method Download PDF

Info

Publication number
JP4630296B2
JP4630296B2 JP2007035048A JP2007035048A JP4630296B2 JP 4630296 B2 JP4630296 B2 JP 4630296B2 JP 2007035048 A JP2007035048 A JP 2007035048A JP 2007035048 A JP2007035048 A JP 2007035048A JP 4630296 B2 JP4630296 B2 JP 4630296B2
Authority
JP
Japan
Prior art keywords
authentication
terminal device
vpn
gateway device
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007035048A
Other languages
Japanese (ja)
Other versions
JP2008199497A (en
Inventor
康志 高木
寿一 別所
志郎 水野
恭之 市川
健司 沼崎
真光 吉田
亮一 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Furukawa Electric Co Ltd
NTT Inc
NTT Inc USA
Original Assignee
Furukawa Electric Co Ltd
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Furukawa Electric Co Ltd, Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Furukawa Electric Co Ltd
Priority to JP2007035048A priority Critical patent/JP4630296B2/en
Publication of JP2008199497A publication Critical patent/JP2008199497A/en
Application granted granted Critical
Publication of JP4630296B2 publication Critical patent/JP4630296B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、暗号化通信を行うための論理的な回線が確立された端末装置とVPN事業者に代わり公衆網事業者がユーザの認証を行う際に利用する認証サーバとの間で通信データの中継を行うゲートウェイ装置および認証処理方法に関するものである。   The present invention provides communication data between a terminal device in which a logical line for performing encrypted communication is established and an authentication server used when a public network operator authenticates a user on behalf of a VPN operator. The present invention relates to a gateway device that performs relay and an authentication processing method.

従来では、ユーザが端末装置を用いて公衆網を介してVPN(Virtual Private Network)内の事業者の認証サーバにアクセスする場合、公衆網とVPNとの間に介在するゲートウェイ装置と端末装置間で、IKEプロトコルを用いて論理的な回線を確立させてIPsec通信を行い、ユーザと通信相手の事業者との間での暗号化通信を可能にしていた(たとえば特許文献1)。さらに、このIPsec通信では、事業者側の認証サーバと連携することで事業者が直接ゲートウェイを介して端末装置を認証する方法がある。この場合、VPN内に設けた認証サーバで認証処理を行うと、VPN内でのトラフィックの増大やVPNの事業者側で全ての認証処理を行う煩雑さなどの問題から公衆網側の事業者がVPN事業者に代わりにユーザの認証を行う場合がある。この公衆網側の事業者がユーザの認証を行う場合には、VPN毎に認証サーバを複数設け、各認証サーバでアクセスを要求するユーザの認証を行っていた。   Conventionally, when a user accesses an authentication server of a business operator in a VPN (Virtual Private Network) via a public network using a terminal device, between the gateway device and the terminal device interposed between the public network and the VPN. Then, IPsec communication is performed by establishing a logical line using the IKE protocol, and encrypted communication between a user and a communication partner is enabled (for example, Patent Document 1). Furthermore, in this IPsec communication, there is a method in which a business operator directly authenticates a terminal device via a gateway in cooperation with a business server authentication server. In this case, if the authentication process is performed by the authentication server provided in the VPN, the public network side operator is not allowed due to problems such as an increase in traffic in the VPN and the complexity of performing all the authentication processing on the VPN operator side. A user may be authenticated on behalf of a VPN operator. When a provider on the public network side performs user authentication, a plurality of authentication servers are provided for each VPN, and each authentication server authenticates a user who requests access.

特開2003−32286号公報JP 2003-32286 A

しかしながら、従来の代行の認証サーバによる認証処理方法では、VPN毎に認証サーバを設けているので、ゲートウェイ装置に接続するVPNが多くなると、代行用の認証サーバもそれに合わせて多くなってシステム構成が大規模になってメンテナンスやシステム管理が複雑になるとともに、公衆網内でのデータトラフィックが多くなってデータ通信に支障をきたすことがある。一方、各VPNへアクセスする端末装置を1台の認証サーバで認証させる場合には、複数のユーザのユーザ名が重複する場合があり、いずれのVPNにアクセスするユーザであるか認証できないことがあった。   However, in the conventional authentication processing method using the proxy authentication server, an authentication server is provided for each VPN. Therefore, when the number of VPNs connected to the gateway device increases, the number of proxy authentication servers increases correspondingly, and the system configuration is increased. As the scale becomes large, maintenance and system management become complicated, and data traffic in the public network increases, which may hinder data communication. On the other hand, when a terminal device accessing each VPN is authenticated by a single authentication server, the user names of a plurality of users may be duplicated, and it may not be possible to authenticate which VPN user is accessing. It was.

本発明は、上記に鑑みてなされたものであって、1台の認証サーバで複数のVPNにアクセスするユーザを認証可能にできるゲートウェイ装置および認証処理方法を提供することを目的とする。   The present invention has been made in view of the above, and an object of the present invention is to provide a gateway device and an authentication processing method capable of authenticating a user who accesses a plurality of VPNs with a single authentication server.

上述した課題を解決し、目的を達成するために、本発明にかかるゲートウェイ装置は、端末装置と当該ゲートウェイ装置との間に接続された公衆網を介して暗号化通信を行うための論理的な回線を確立するとともに、当該ゲートウェイ装置が接続する各VPNへアクセスする端末装置を認証する認証サーバに前記公衆網を介して接続され、前記端末装置と前記認証サーバとの間で通信データの中継を行うゲートウェイ装置において、前記ゲートウェイ装置を示すアドレス情報と、該ゲートウェイ装置を示すアドレス情報に対応して前記端末装置がアクセスする各VPNの識別情報を記憶する記憶手段と、前記記憶手段に記憶された記憶内容から前記論理的な回線が確立された端末装置がアクセスするVPNを認識し、前記端末装置への認証要求に対する前記端末装置からの認証応答がある場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行う認証処理手段と、を備えたことを特徴とする。   In order to solve the above-described problems and achieve the object, a gateway device according to the present invention is a logical device for performing encrypted communication via a public network connected between a terminal device and the gateway device. A line is established and connected to an authentication server for authenticating a terminal device accessing each VPN to which the gateway device is connected via the public network, and communication data is relayed between the terminal device and the authentication server. In the gateway device to perform, address information indicating the gateway device, storage means for storing identification information of each VPN accessed by the terminal device corresponding to the address information indicating the gateway device, and stored in the storage means Recognizing the VPN to be accessed by the terminal device with which the logical line is established from the stored contents, it is necessary to authenticate to the terminal device. When there is an authentication response from the terminal device, the VPN identification information accessed by the terminal device is extracted from the stored contents stored in the storage means, and an authentication request including the VPN identification information is sent to the authentication server. And an authentication processing means for performing the processing.

また、本発明にかかるゲートウェイ装置は、上記発明において、前記認証処理手段は、前記端末装置への認証要求に対する前記端末装置からの認証応答に含まれる送信先アドレスが当該ゲートウェイ装置を示すアドレス情報の場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行うことを特徴とする。   The gateway device according to the present invention is the gateway device according to the above invention, wherein the authentication processing means includes a destination address included in an authentication response from the terminal device in response to an authentication request to the terminal device in address information indicating the gateway device. In this case, the identification information of the VPN accessed by the terminal device is extracted from the storage contents stored in the storage means, and an authentication request including the identification information of the VPN is sent to the authentication server.

また、本発明にかかる認証処理方法は、端末装置と当該ゲートウェイ装置との間に接続された公衆網を介して暗号化通信を行うための論理的な回線を確立するとともに、当該ゲートウェイ装置が接続する各VPNへアクセスする端末装置を認証する認証サーバに前記公衆網を介して接続され、前記端末装置と前記認証サーバとの間で通信データの中継を行う認証処理方法において、前記ゲートウェイ装置を示すアドレス情報と、該ゲートウェイ装置を示すアドレス情報に対応して前記端末装置がアクセスする各VPNの識別情報を記憶手段に記憶する記憶ステップと、前記記憶ステップで記憶手段に記憶された記憶内容から前記論理的な回線が確立された端末装置がアクセスするVPNを認識し、前記端末装置への認証要求に対する前記端末装置からの認証応答がある場合、前記記憶手段に記憶されたVPNの識別情報の中から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行う認証処理ステップと、を含むことを特徴とする。   Further, the authentication processing method according to the present invention establishes a logical line for performing encrypted communication via a public network connected between a terminal device and the gateway device, and the gateway device connects An authentication processing method connected to an authentication server for authenticating a terminal device accessing each VPN via the public network and relaying communication data between the terminal device and the authentication server. The storage step of storing in the storage means address information and identification information of each VPN accessed by the terminal device corresponding to the address information indicating the gateway device, and the storage content stored in the storage means in the storage step Recognizing a VPN accessed by a terminal device with which a logical line has been established, the terminal in response to an authentication request to the terminal device If there is an authentication response from the device, the VPN identification information accessed by the terminal device is extracted from the VPN identification information stored in the storage means, and an authentication request including the VPN identification information is sent to the authentication server. And an authentication processing step.

また、本発明にかかる認証処理方法は、上記発明において、前記認証処理ステップは、前記端末装置への認証要求に対する前記端末装置からの認証応答に含まれる送信先アドレスが当該ゲートウェイ装置を示すアドレス情報の場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行うことを特徴とする。   In the authentication processing method according to the present invention as set forth in the invention described above, in the authentication processing step, address information indicating that the transmission destination address included in the authentication response from the terminal device in response to the authentication request to the terminal device indicates the gateway device. In this case, the identification information of the VPN accessed by the terminal device is extracted from the storage contents stored in the storage means, and an authentication request including the identification information of the VPN is sent to the authentication server.

本発明にかかるゲートウェイ装置および認証処理方法は、前記ゲートウェイ装置を示すアドレス情報と、該ゲートウェイ装置を示すアドレス情報に対応して前記端末装置がアクセスする各VPNの識別情報を記憶手段に記憶し、前記記憶手段に記憶された内容から論理的な回線を確立した端末装置がアクセスするVPNを認識し、端末装置からの認証応答がある場合、記憶手段から抽出したVPNの識別情報を含む認証要求を認証サーバに行い、認証サーバはこの識別情報から端末装置がアクセスするVPNを識別して、このVPNのユーザ情報から端末装置を認証するので、1台の認証サーバで複数のVPNにアクセスするユーザを認証可能にできるという効果を奏する。   The gateway device and the authentication processing method according to the present invention store address information indicating the gateway device and identification information of each VPN accessed by the terminal device corresponding to the address information indicating the gateway device in a storage unit, When the terminal device that established the logical line recognizes the VPN to be accessed from the content stored in the storage means and there is an authentication response from the terminal device, an authentication request including the VPN identification information extracted from the storage means is issued. The authentication server identifies the VPN to be accessed by the terminal device from this identification information, and authenticates the terminal device from the user information of this VPN. Therefore, the user who accesses a plurality of VPNs by one authentication server can be identified. There is an effect that authentication is possible.

以下に、本発明にかかるゲートウェイ装置および認証処理方法の実施の形態を図1〜図4の図面に基づいて詳細に説明する。なお、本発明は、これら実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲で種々の変更実施の形態が可能である。   Embodiments of a gateway device and an authentication processing method according to the present invention will be described below in detail with reference to the drawings of FIGS. The present invention is not limited to these embodiments, and various modified embodiments are possible without departing from the spirit of the present invention.

(実施の形態)
図1は、本発明にかかる認証処理システムの実施の形態の構成を示すシステム構成図である。図1において、認証処理システムは、ユーザの端末装置1a,1bと、ゲートウェイ装置2と、代行用の認証サーバ3と、端末装置7,8とを備える。端末装置1a,1bとゲートウェイ装置2と認証サーバ3とは、公衆網4を介して接続され、ゲートウェイ装置2と端末装置7とは、特定事業者の専用網であるVPNaを介して接続され、ゲートウェイ装置2と端末装置8とは、特定事業者の専用網であるVPNbを介して接続される。
(Embodiment)
FIG. 1 is a system configuration diagram showing the configuration of an embodiment of an authentication processing system according to the present invention. 1, the authentication processing system includes user terminal devices 1 a and 1 b, a gateway device 2, a proxy authentication server 3, and terminal devices 7 and 8. The terminal devices 1a and 1b, the gateway device 2 and the authentication server 3 are connected via a public network 4, and the gateway device 2 and the terminal device 7 are connected via a VPNa that is a dedicated network for a specific operator, The gateway device 2 and the terminal device 8 are connected via VPNb, which is a dedicated network for a specific operator.

端末装置1aは、VPNaにアクセスを行う装置で、端末装置1bは、VPNbにアクセスを行う装置である。これら端末装置1a,1bは、ゲートウェイ装置2と認証処理を行う認証処理部11a,11bと、データの暗号化または復号化の処理を行う暗号化/復号化処理部12a,12bと、公衆網4を介してゲートウェイ装置2、認証サーバ3を含む他の通信装置と暗号化されたデータの送受信を行う送受信部13a,13bとを備える。認証処理部11a,11bは、ゲートウェイ装置2と所定の認証処理用のプロトコル、たとえばCHAP(Challenge Handshake Authentication Protocol)やPAP(Password Authentication Protocol)を用いて、自装置を認証させる認証処理を行い、VPNa,VPNbへのアクセスを可能にする。暗号化/復号化処理部12a,12bは、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec(IP security Protocol) SA(Security Association)で作成した鍵とを用いて暗号化して送受信部13a,13bに出力し、また暗号化されたデータを送受信部13a,13bが受信すると、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。   The terminal device 1a is a device that accesses VPNa, and the terminal device 1b is a device that accesses VPNb. These terminal devices 1a and 1b are authentication processing units 11a and 11b that perform authentication processing with the gateway device 2, encryption / decryption processing units 12a and 12b that perform data encryption or decryption processing, and a public network 4 Via the gateway device 2 and other communication devices including the authentication server 3, and transmission / reception units 13a and 13b for transmitting / receiving encrypted data. The authentication processing units 11a and 11b use the gateway device 2 and a predetermined authentication processing protocol, for example, CHAP (Challenge Handshake Authentication Protocol) or PAP (Password Authentication Protocol) to perform authentication processing to authenticate itself, and VPNa , VPNb can be accessed. When data to be encrypted is generated, the encryption / decryption processing units 12a and 12b encrypt the data using an encryption algorithm and a key created by IPsec (IP security Protocol) SA (Security Association). When the encrypted data is received by the transmission / reception units 13a and 13b, the encrypted data and the key are decrypted.

ゲートウェイ装置2は、設定処理部21と、認証処理手段としての認証処理部22と、フェーズ情報を記憶するフェーズ用データベース23と、IPsecを適用するための方針を示すSPD情報を記憶する記憶手段としてのSPD用データベース24と、データの暗号化または復号化の処理を行う暗号化/復号化処理部25と、データの中継処理を行う中継処理部26と、端末装置1a,1bに対してデータの送受信を行う端末用送受信部27と、認証サーバ3に対してデータの送受信を行うサーバ用送受信部28と、VPNaに接続された端末装置7に対してデータの送受信を行うVPNa用送受信部29と、VPNbに接続された端末装置8に対してデータの送受信を行うVPNb用送受信部30とを備える。設定処理部21は、認証サーバ3が認証処理に用いるすべての認証処理の方針を示すポリシーを設定する。設定処理部21は、たとえば認証サーバ3が用いるCHAPおよびPAPの認証処理の方針を示すポリシーを設定する。SPD用データベース24は、設定処理部21で設定されたCHAPおよびPAPのポリシーと、VPNID情報と、IKE(Internet Key Exchange)の終端アドレスとを記録している。なお、このVPNID情報は、たとえば端末装置1a,1bのアドレス情報と、端末装置1a,1bのアドレス情報に対応して端末装置1a,1bからアクセスするVPNa,VPNbの認証対象である特定事業者を識別するアドレス情報とからなる。IKEの終端アドレスは、VPNa,VPNb毎に予め設定されるゲートウェイ装置2のアドレスである。   The gateway device 2 includes a setting processing unit 21, an authentication processing unit 22 serving as an authentication processing unit, a phase database 23 that stores phase information, and a storage unit that stores SPD information indicating a policy for applying IPsec. SPD database 24, encryption / decryption processing unit 25 that performs data encryption or decryption processing, relay processing unit 26 that performs data relay processing, and data for terminal devices 1 a and 1 b A terminal transceiver unit 27 that performs transmission / reception, a server transmission / reception unit 28 that transmits / receives data to / from the authentication server 3, and a VPNa transceiver unit 29 that transmits / receives data to / from the terminal device 7 connected to the VPNa The VPNb transmission / reception unit 30 performs data transmission / reception with respect to the terminal device 8 connected to the VPNb. The setting processing unit 21 sets a policy indicating all authentication processing policies used by the authentication server 3 for authentication processing. For example, the setting processing unit 21 sets a policy indicating a policy of CHAP and PAP authentication processing used by the authentication server 3. The SPD database 24 records CHAP and PAP policies, VPNID information, and IKE (Internet Key Exchange) termination addresses set by the setting processing unit 21. The VPNID information includes, for example, the address information of the terminal devices 1a and 1b and the specific operator that is the authentication target of VPNa and VPNb accessed from the terminal devices 1a and 1b corresponding to the address information of the terminal devices 1a and 1b. It consists of identifying address information. The termination address of IKE is the address of the gateway device 2 set in advance for each of VPNa and VPNb.

SPD情報は、設定により予め作成されるデータであり、端末装置1a,1bに対してのたとえばISAKMP(Internet Security Association and Key Management Protocol)の処理の方針を示すポリシーやISAKMPに基づいてIPsecで用いるインターネット標準の鍵交換プロトコルであるIKEの処理の方針を示すポリシーである。   The SPD information is data created in advance by setting, for example, an ISAKMP (Internet Security Association and Key Management Protocol) processing policy for the terminal devices 1a and 1b and an Internet used in IPsec based on ISAKMP. This is a policy indicating a policy for processing IKE, which is a standard key exchange protocol.

認証処理部11a,11b,22は、公衆網4を介して端末装置1a,1bとゲートウェイ装置2との間に、IPsec(IP security Protocol)によるデータ通信を可能にするためトンネリング技術を利用してSA(Security Association)と呼ばれる論理的なコネクション(回線)を確立させる処理を行う。なお、たとえばユーザ側に別の専用網があり、端末装置1a,1bがこの専用網に接続されている場合には、この専用網と公衆網との間にはデータの中継を行う中継装置(たとえばルータ)が接続されることとなり、ゲートウェイ装置2の認証処理部22は、この中継装置に対してSAを確立させる処理を行うこととなる。また、認証処理部22,31は、ゲートウェイ装置2および認証サーバ3に対しても、認証処理部22,31によってSAを確立させることが可能である。   The authentication processing units 11a, 11b, and 22 use a tunneling technique to enable data communication using IPsec (IP security Protocol) between the terminal devices 1a and 1b and the gateway device 2 via the public network 4. A process of establishing a logical connection (line) called SA (Security Association) is performed. For example, when there is another dedicated network on the user side and the terminal devices 1a and 1b are connected to the dedicated network, a relay device (for relaying data between the dedicated network and the public network ( For example, a router) is connected, and the authentication processing unit 22 of the gateway device 2 performs processing for establishing an SA for the relay device. Further, the authentication processing units 22 and 31 can establish SA with the gateway device 2 and the authentication server 3 by the authentication processing units 22 and 31.

また、認証処理部11a,11b,22は、CHAPあるいはPAPで認証処理を行う。認証処理部22は、SA確立要求開始時にISAKMPのIPsec Phase1−1パケットを受信後に、それに対応するSPD情報を抽出し、Phase1情報を作成して参照可能とする。認証処理部22は、このPhase1情報からSPD用データベース24内に記憶される認証方式情報をチェックし、CHAP方式であれば、CHAP認証要求を送信し、また認証方式情報がPAP方式であれば、PAP認証要求を送信する。   Further, the authentication processing units 11a, 11b, and 22 perform authentication processing by CHAP or PAP. After receiving the ISAKMP IPsec Phase1-1 packet at the start of the SA establishment request, the authentication processing unit 22 extracts SPD information corresponding to the packet and creates Phase1 information for reference. The authentication processing unit 22 checks the authentication method information stored in the SPD database 24 from the Phase 1 information, and if it is the CHAP method, transmits a CHAP authentication request. If the authentication method information is the PAP method, Send a PAP authentication request.

フェーズ用データベース23は、Phase1情報を記憶する。このPhase1情報は、Phase1において装置間でのパケットの通信を調整するためのネゴシエーション情報からなる。   The phase database 23 stores Phase 1 information. This Phase 1 information includes negotiation information for adjusting packet communication between devices in Phase 1.

暗号化/復号化処理部25は、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec SAで作成した鍵とを用いて暗号化して中継処理部26に出力して各送受信部27〜30からの送信を可能にし、また暗号化されたデータを中継処理部26から取り込むと、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。   When data to be encrypted is generated, the encryption / decryption processing unit 25 encrypts the data using an encryption algorithm and a key created by IPsec SA, and outputs the data to the relay processing unit 26 for transmission / reception. When transmission from the units 27 to 30 is enabled and encrypted data is fetched from the relay processing unit 26, the data is decrypted with the encryption algorithm and the key.

認証サーバ3は、公衆網の事業者がVPNa,VPNbの特定事業者に代わって、VPNa,VPNbにアクセスする端末装置の認証を行う。この認証サーバ3は、認証処理部31と、VPNa認証用データベース32と、VPNb認証用データベース33と、データの暗号化または復号化の処理を行う暗号化/復号化処理部34と、データの送受信を行う送受信部35とを備える。認証処理部31は、ゲートウェイ装置2との間で認証応答があった端末装置の認証処理を行うものである。VPNa認証用データベース32は、VPNaにアクセス可能な端末装置1aを含む端末装置を識別するための識別情報や取り扱うすべての認証処理のポリシーなどを記憶する。VPNb認証用データベース33は、VPNbにアクセス可能な端末装置1bを含む端末装置を識別するための識別情報や取り扱うすべての認証処理のポリシーなどを記憶する。暗号化/復号化処理部34は、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec SAで作成した鍵とを用いて暗号化して送受信部35に出力し、また暗号化されたデータを送受信部35が受信すると、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。   The authentication server 3 authenticates a terminal device that accesses the VPNa and VPNb on behalf of the VPNa and VPNb specific operators by the public network operator. The authentication server 3 includes an authentication processing unit 31, a VPNa authentication database 32, a VPNb authentication database 33, an encryption / decryption processing unit 34 that performs data encryption / decryption processing, and data transmission / reception. And a transmission / reception unit 35. The authentication processing unit 31 performs authentication processing of a terminal device that has received an authentication response with the gateway device 2. The VPNa authentication database 32 stores identification information for identifying terminal devices including the terminal device 1a accessible to VPNa, policies of all authentication processes to be handled, and the like. The VPNb authentication database 33 stores identification information for identifying terminal devices including the terminal device 1b that can access VPNb, policies for all authentication processes to be handled, and the like. When data to be encrypted is generated, the encryption / decryption processing unit 34 encrypts the data using an encryption algorithm and a key created by IPsec SA, and outputs the encrypted data to the transmission / reception unit 35. When the transmission / reception unit 35 receives the processed data, the data is decrypted with the encryption algorithm and the key.

端末装置7,8は、接続されたVPNa,VPNbを介してゲートウェイ装置2とデータ通信を行うための図示しない送受信部と、暗号化/復号化処理部とを備える。   The terminal devices 7 and 8 include a transmission / reception unit (not shown) for performing data communication with the gateway device 2 via the connected VPNa and VPNb, and an encryption / decryption processing unit.

次に、図2のシーケンス図を用いて図1に示した認証処理システムの認証処理の動作を説明する。なお、この実施の形態では、認証処理がCHAPによって行われるものとする。図2において、まず端末装置1aの認証処理部11aは、IPsec Phase1−1において、IKEプロトコルを用いて自己の保持するキー情報をゲートウェイ装置2に送信する(ステップS101)。次に、ゲートウェイ装置2の認証処理部22は、認証処理部11aからキー情報を受信すると、IPsec Phase1−2において、端末装置1aを認証して、端末装置1aに自己の保持するキー情報と、VPNaに設定されたIKEの終端アドレスとを送信してキー情報の交換を行う(ステップS102)。次に、認証処理部11aは、認証処理部22からキー情報を受信すると、IPsec Phase1−3において、ゲートウェイ装置2を認証した後に、端末装置1aは、通信相手(IKEピア)であるゲートウェイ装置2との間でPhase1を完了して、セキュアなデータ通信を可能にする(ステップS103)。なお、IPsec Phase1−1、IPsec Phase1−2およびIPsec Phase1−3は、IPsec通信での1回目、2回目および3回目のPhase1パケットをそれぞれ示す。   Next, the operation of the authentication processing of the authentication processing system shown in FIG. 1 will be described using the sequence diagram of FIG. In this embodiment, it is assumed that authentication processing is performed by CHAP. In FIG. 2, first, the authentication processing unit 11a of the terminal device 1a transmits the key information held by itself to the gateway device 2 using the IKE protocol in IPsec Phase 1-1 (step S101). Next, when receiving the key information from the authentication processing unit 11a, the authentication processing unit 22 of the gateway device 2 authenticates the terminal device 1a in IPsec Phase 1-2, and stores the key information held by the terminal device 1a. The key information is exchanged by transmitting the IKE end address set in VPNa (step S102). Next, when the authentication processing unit 11a receives the key information from the authentication processing unit 22, after authenticating the gateway device 2 in IPsec Phase 1-3, the terminal device 1a is connected to the gateway device 2 which is a communication partner (IKE peer). Phase 1 is completed between the two and secure data communication is enabled (step S103). Note that IPsec Phase 1-1, IPsec Phase 1-2, and IPsec Phase 1-3 indicate the first, second, and third Phase 1 packets in IPsec communication, respectively.

次に、ゲートウェイ装置2の認証処理部22は、設定処理部21で設定されたCHAPによる認証要求のパケットを端末装置1aに送信する(ステップS104)。端末装置1aの認証処理部11aは、CHAPによる認証処理が可能なプロトコルを有しており、CHAPによる認証要求のパケットを受信すると、この要求に対するCHAPによる認証応答のパケットをゲートウェイ装置2に送信する(ステップS105)。この認証応答のパケットには、ユーザ名とパスワードとがペイロード内に含まれている。なお、この時認証処理部22は、VPNID情報から端末装置1aがVPNaにアクセスする端末装置であることを認識している。認証処理部22は、CHAPによる認証応答のパケットを受信すると、このパケットから送信先アドレスを抽出し、この送信先アドレスがゲートウェイ装置2のアドレスの場合には、そのアドレスに対応するSPD用データベース24からVPNaの識別情報であるVPNID情報を抽出し、このVPNID情報を含む認証要求を作成して認証サーバ3に送信する(ステップS106)。これにより、実施の形態では、ゲートウェイ装置2を送信先アドレスとする認証応答のパケットを受信した場合にのみ、VPNID情報を含む認証要求を作成して認証サーバ3に送信するので、保持するVPNID情報を的確に抽出して認証要求に付与して認証サーバ3に送信できる。   Next, the authentication processing unit 22 of the gateway device 2 transmits an authentication request packet based on CHAP set by the setting processing unit 21 to the terminal device 1a (step S104). The authentication processing unit 11a of the terminal device 1a has a protocol capable of authentication processing by CHAP, and when receiving an authentication request packet by CHAP, transmits an authentication response packet by CHAP to this request to the gateway device 2. (Step S105). The authentication response packet includes a user name and a password in the payload. At this time, the authentication processing unit 22 recognizes from the VPNID information that the terminal device 1a is a terminal device that accesses VPNa. Upon receiving the CHAP authentication response packet, the authentication processing unit 22 extracts the transmission destination address from this packet. If this transmission destination address is the address of the gateway device 2, the SPD database 24 corresponding to the address is extracted. VPNID information, which is the identification information of VPNa, is extracted, and an authentication request including this VPNID information is created and transmitted to the authentication server 3 (step S106). Thereby, in the embodiment, only when the authentication response packet having the gateway device 2 as the transmission destination address is received, the authentication request including the VPNID information is created and transmitted to the authentication server 3. Can be accurately extracted, added to the authentication request, and transmitted to the authentication server 3.

次に、認証サーバ3の認証処理部31は、ゲートウェイ装置2からCHAP認証要求のパケットが受信されると、このパケットのVPNID情報を抽出し、このVPNIDの値によって参照するデータベースを切り替えて、VPNa認証用データベース32のユーザ情報をもとに端末装置1aを認証するための認証処理を行い、この端末装置1aを認証した場合、CHAPによる認証成功のパケットをゲートウェイ装置2に送信する(ステップS107)。次に、ゲートウェイ装置2の認証処理部22は、CHAP認証成功のパケットが受信されると、このCHAP認証成功のパケットを端末装置1aに送信して(ステップS108)、その後のフェーズを完了した後に、IPsecによる暗号化通信を可能にする。   Next, when the CHAP authentication request packet is received from the gateway device 2, the authentication processing unit 31 of the authentication server 3 extracts VPNID information of this packet, switches the database to be referred to according to the value of this VPNID, and switches to the VPNa An authentication process for authenticating the terminal device 1a is performed based on the user information in the authentication database 32. When the terminal device 1a is authenticated, a packet indicating successful authentication by CHAP is transmitted to the gateway device 2 (step S107). . Next, when the CHAP authentication success packet is received, the authentication processing unit 22 of the gateway device 2 transmits the CHAP authentication success packet to the terminal device 1a (step S108), and after completing the subsequent phases. , Enabling encrypted communication by IPsec.

次に、IPsec Phase1−1において、端末装置1bの認証処理部11bがIKEプロトコルを用いて自己の保持するキー情報をゲートウェイ装置2に送信すると(ステップS109)、ゲートウェイ装置2の認証処理部22は、認証処理部11bからキー情報を受信して、IPsec Phase1−2において、端末装置1bにVPNbに設定されたIKEの終端アドレスを使用して、自己の保持するキー情報を送信してキー情報の交換を行う(ステップS110)。次に、認証処理部11bは、認証処理部22からキー情報を受信すると、ゲートウェイ装置2を認証した後に、IPsec Phase1−3において、端末装置1bは、通信相手(IKEピア)であるゲートウェイ装置2との間でSAを確立して、その後のフェーズを完了した後に、データ通信を可能にする(ステップ111)。   Next, in IPsec Phase 1-1, when the authentication processing unit 11b of the terminal device 1b transmits the key information held by itself to the gateway device 2 using the IKE protocol (step S109), the authentication processing unit 22 of the gateway device 2 The key information is received from the authentication processing unit 11b, and the key information held by itself is transmitted to the terminal device 1b by using the IKE termination address set in the VPNb in the IPsec Phase 1-2. Exchange is performed (step S110). Next, when the authentication processing unit 11b receives the key information from the authentication processing unit 22, after authenticating the gateway device 2, in IPsec Phase 1-3, the terminal device 1b is the gateway device 2 that is a communication partner (IKE peer). After the SA is established and the subsequent phase is completed, data communication is enabled (step 111).

次に、ゲートウェイ装置2の認証処理部22は、設定処理部21で設定されたCHAPによる認証要求のパケットを端末装置1bに送信する(ステップS112)。端末装置1bの認証処理部11bは、上記CHAPによる認証処理が可能なプロトコルを有しており、CHAPによる認証要求のパケットが受信されると、この要求に対するCHAPによる認証応答のパケットをゲートウェイ装置2に送信する(ステップS113)。この認証応答のパケットには、ユーザ名とパスワードとがペイロード内に含まれている。なお、この時認証処理部22は、VPNID情報から端末装置1bがVPNbにアクセスする端末装置であることを認識している。認証処理部22は、CHAPによる認証応答のパケットが受信されると、このパケットから送信先アドレスを抽出し、この送信先アドレスがゲートウェイ装置2のアドレスの場合には、SPD用データベース24から送信先アドレスに対応したVPNbの識別情報であるVPNID情報を抽出し、このVPNID情報を含む認証要求を作成して認証サーバ3に送信する(ステップS114)。   Next, the authentication processing unit 22 of the gateway device 2 transmits an authentication request packet based on CHAP set by the setting processing unit 21 to the terminal device 1b (step S112). The authentication processing unit 11b of the terminal device 1b has a protocol capable of authentication processing by CHAP. When an authentication request packet by CHAP is received, an authentication response packet by CHAP in response to this request is received by the gateway device 2. (Step S113). The authentication response packet includes a user name and a password in the payload. At this time, the authentication processing unit 22 recognizes from the VPNID information that the terminal device 1b is a terminal device that accesses the VPNb. When the authentication response packet by CHAP is received, the authentication processing unit 22 extracts the transmission destination address from this packet, and when the transmission destination address is the address of the gateway device 2, the authentication processing unit 22 transmits the transmission destination from the SPD database 24. VPNID information, which is VPNb identification information corresponding to the address, is extracted, and an authentication request including this VPNID information is created and transmitted to the authentication server 3 (step S114).

次に、認証サーバ3の認証処理部31は、ゲートウェイ装置2からCHAP認証要求のパケットが受信されると、このパケットのVPNID情報を抽出し、このVPNIDの値によって参照するデータベースを切り替えて、VPNb認証用データベース33のユーザ情報をもとに端末装置1bを認証するための認証処理を行い、この端末装置1bを認証した場合、CHAPによる認証成功のパケットをゲートウェイ装置2に送信する(ステップS115)。次に、ゲートウェイ装置2の認証処理部22は、CHAP認証成功のパケットが受信されると、このCHAP認証成功のパケットを端末装置1bに送信して(ステップS116)、IPsecによる暗号化通信を可能にする。   Next, when a CHAP authentication request packet is received from the gateway device 2, the authentication processing unit 31 of the authentication server 3 extracts VPNID information of this packet, switches the database to be referred to according to the value of this VPNID, and switches to the VPNb An authentication process for authenticating the terminal device 1b is performed based on the user information in the authentication database 33. When this terminal device 1b is authenticated, a packet indicating successful authentication by CHAP is transmitted to the gateway device 2 (step S115). . Next, when the CHAP authentication success packet is received, the authentication processing unit 22 of the gateway device 2 transmits the CHAP authentication success packet to the terminal device 1b (step S116), and enables encrypted communication by IPsec. To.

ここで、図3のフローチャートを用いてゲートウェイ装置2による認証処理の詳細な動作を説明する。なお、フローチャートは、端末装置1aまたは1bとゲートウェイ装置2との間でSAを確立した後の動作を示す。図3において、ゲートウェイ装置2の認証処理部22は、端末装置1aまたは1bから認証応答パケットを受信すると(ステップS301)、このパケットから送信先アドレスを抽出し、この送信先アドレスがゲートウェイ装置2のアドレスの場合には、この送信先アドレスに対応したVPNaまたはVPNbの識別情報であるVPNID情報が存在するか否か判断する(ステップS302)。ここで、認証処理部22は、このパケットにVPNID情報が存在する場合には(ステップS302:Yes)、Tunnel−Private−Group−IDにVPNID情報を格納して認証要求のパケットを作成して、この認証要求のパケットを認証サーバ3に送信して(ステップS303)、上記認証処理の動作を終了する。また、認証処理部22は、VPNID情報が存在しない場合には(ステップS302:No)、Tunnel−Private−Group−IDを付けずに認証要求のパケットを作成して、認証サーバ3に送信して(ステップS304)、上記認証処理の動作を終了する。   Here, the detailed operation of the authentication process by the gateway device 2 will be described using the flowchart of FIG. The flowchart shows the operation after the SA is established between the terminal device 1a or 1b and the gateway device 2. 3, when the authentication processing unit 22 of the gateway device 2 receives the authentication response packet from the terminal device 1a or 1b (step S301), it extracts the transmission destination address from this packet, and this transmission destination address is the gateway device 2's address. In the case of an address, it is determined whether there is VPNID information which is VPNa or VPNb identification information corresponding to the destination address (step S302). Here, when VPNID information exists in this packet (step S302: Yes), the authentication processing unit 22 stores the VPNID information in the Tunnel-Private-Group-ID and creates an authentication request packet. The authentication request packet is transmitted to the authentication server 3 (step S303), and the operation of the authentication process is terminated. If VPNID information does not exist (step S302: No), the authentication processing unit 22 creates an authentication request packet without attaching a Tunnel-Private-Group-ID, and transmits it to the authentication server 3. (Step S304), the operation of the authentication process is terminated.

なお、図4は、Tunnel−Private−Group−IDのフレーム構成を示すフレームフォーマットである。図4において、Tunnel−Private−Group−IDは、このフレームの種類を示すタイプと、このフレームの長さを示すレングスと、「0」に設定されるタグと、ストリングとからなり、本実施の形態のVPNID情報は、ストリング内に格納される。   FIG. 4 is a frame format showing the frame structure of Tunnel-Private-Group-ID. In FIG. 4, Tunnel-Private-Group-ID is composed of a type indicating the type of the frame, a length indicating the length of the frame, a tag set to “0”, and a string. The form of VPNID information is stored in a string.

このように、本実施の形態では、ゲートウェイ装置2が端末装置1a,1bからの認証応答をもとに、この端末装置1a,1bがアクセスするVPNの識別情報(VPNID情報)を含む認証要求を作成して認証サーバ3に送信し、認証サーバ3は認証要求を受信すると、この認証要求内のVPNID情報から端末装置1a,1bがアクセスするVPNを識別して、このVPNのユーザ情報から端末装置1a,1bを認証するので、1台の認証サーバ3で複数のVPNにアクセスするユーザを容易に認証できる。   As described above, in the present embodiment, the gateway device 2 makes an authentication request including the identification information (VPNID information) of the VPN accessed by the terminal devices 1a and 1b based on the authentication response from the terminal devices 1a and 1b. When the authentication server 3 receives the authentication request, the authentication server 3 identifies the VPN accessed by the terminal devices 1a and 1b from the VPNID information in the authentication request, and determines the terminal device from the VPN user information. Since 1a and 1b are authenticated, a user who accesses a plurality of VPNs can be easily authenticated by one authentication server 3.

本発明にかかる認証処理システムの実施の形態の構成を示すシステム構成図である。It is a system configuration figure showing the composition of the embodiment of the authentication processing system concerning the present invention. 図1に示した認証処理システムの認証処理の動作を説明するためのシーケンス図である。It is a sequence diagram for demonstrating the operation | movement of the authentication process of the authentication processing system shown in FIG. ゲートウェイ装置による認証処理の詳細な動作を説明するためのフローチャートである。It is a flowchart for demonstrating the detailed operation | movement of the authentication process by a gateway apparatus. Tunnel−Private−Group−IDのフレーム構成を示すフレームフォーマットである。It is a frame format which shows the frame structure of Tunnel-Private-Group-ID.

符号の説明Explanation of symbols

1a,1b,7,8 端末装置
2 ゲートウェイ装置
3 認証サーバ
4 公衆網
11a,11b,22,31 認証処理部
12a,12b,34 復号化処理部
13a,13b,27〜30,35 送受信部
21 設定処理部
22 認証処理部
23 フェーズ用データベース
24 SPD用データベース
26 中継処理部
32 VPNa認証用データベース
33 VPNb認証用データベース
a,b VPN
1a, 1b, 7, 8 Terminal device 2 Gateway device 3 Authentication server 4 Public network 11a, 11b, 22, 31 Authentication processing unit 12a, 12b, 34 Decoding processing unit 13a, 13b, 27-30, 35 Transmission / reception unit 21 Setting Processing unit 22 Authentication processing unit 23 Phase database 24 SPD database 26 Relay processing unit 32 VPNa authentication database 33 VPNb authentication database a, b VPN

Claims (2)

端末装置と当該ゲートウェイ装置との間に接続された公衆網を介して暗号化通信を行うための論理的な回線を確立するとともに、当該ゲートウェイ装置が接続する各VPNへアクセスする端末装置を認証する認証サーバに前記公衆網を介して接続され、前記端末装置と前記認証サーバとの間で通信データの中継を行うゲートウェイ装置において、
前記ゲートウェイ装置を示すアドレス情報と、該ゲートウェイ装置を示すアドレス情報に対応して前記端末装置がアクセスする各VPNの識別情報を記憶する記憶手段と、
前記記憶手段に記憶された記憶内容から前記論理的な回線が確立された端末装置がアクセスするVPNを認識し、前記端末装置への認証要求に対する前記端末装置からの認証応答がある場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行う認証処理手段と、
備え、
前記認証処理手段は、前記端末装置への認証要求に対する前記端末装置からの認証応答に含まれる送信先アドレスが当該ゲートウェイ装置を示すアドレス情報の場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行うことを特徴とするゲートウェイ装置。
Establish a logical line for performing encrypted communication via the public network connected between the terminal device and the gateway device, and authenticate the terminal device accessing each VPN connected to the gateway device In a gateway device connected to an authentication server via the public network and relaying communication data between the terminal device and the authentication server,
Storage means for storing address information indicating the gateway device and identification information of each VPN accessed by the terminal device corresponding to the address information indicating the gateway device;
When the VPN accessed by the terminal device with which the logical line is established is recognized from the storage content stored in the storage means, and there is an authentication response from the terminal device to the authentication request to the terminal device, the storage Authentication processing means for extracting the identification information of the VPN accessed by the terminal device from the storage content stored in the means, and making an authentication request including the identification information of the VPN to the authentication server;
Equipped with a,
When the transmission destination address included in the authentication response from the terminal device in response to the authentication request to the terminal device is address information indicating the gateway device, the authentication processing unit uses the stored content stored in the storage unit to A gateway apparatus characterized by extracting identification information of a VPN accessed by the apparatus and making an authentication request including the identification information of the VPN to the authentication server .
端末装置と当該ゲートウェイ装置との間に接続された公衆網を介して暗号化通信を行うための論理的な回線を確立するとともに、当該ゲートウェイ装置が接続する各VPNへアクセスする端末装置を認証する認証サーバに前記公衆網を介して接続され、前記端末装置と前記認証サーバとの間で通信データの中継を行う認証処理方法において、Establish a logical line for performing encrypted communication via the public network connected between the terminal device and the gateway device, and authenticate the terminal device accessing each VPN connected to the gateway device In an authentication processing method connected to an authentication server via the public network and relaying communication data between the terminal device and the authentication server,
前記ゲートウェイ装置を示すアドレス情報と、該ゲートウェイ装置を示すアドレス情報に対応して前記端末装置がアクセスする各VPNの識別情報を記憶手段に記憶する記憶ステップと、  A storage step of storing in the storage means address information indicating the gateway device, and identification information of each VPN accessed by the terminal device corresponding to the address information indicating the gateway device;
前記記憶ステップで記憶手段に記憶された記憶内容から前記論理的な回線が確立された端末装置がアクセスするVPNを認識し、前記端末装置への認証要求に対する前記端末装置からの認証応答がある場合、前記記憶手段に記憶されたVPNの識別情報の中から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行う認証処理ステップと、  When the VPN accessed by the terminal device established with the logical line is recognized from the storage contents stored in the storage means in the storing step, and there is an authentication response from the terminal device to the authentication request to the terminal device An authentication processing step of extracting VPN identification information accessed by the terminal device from the VPN identification information stored in the storage means, and making an authentication request including the VPN identification information to the authentication server;
を含み、  Including
前記認証処理ステップは、前記端末装置への認証要求に対する前記端末装置からの認証応答に含まれる送信先アドレスが当該ゲートウェイ装置を示すアドレス情報の場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行うことを特徴とする認証処理方法。  In the authentication processing step, when the transmission destination address included in the authentication response from the terminal device with respect to the authentication request to the terminal device is address information indicating the gateway device, the authentication processing step uses the stored contents stored in the storage unit to An authentication processing method characterized by extracting identification information of a VPN accessed by a device and making an authentication request including the identification information of the VPN to the authentication server.
JP2007035048A 2007-02-15 2007-02-15 Gateway device and authentication processing method Active JP4630296B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007035048A JP4630296B2 (en) 2007-02-15 2007-02-15 Gateway device and authentication processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007035048A JP4630296B2 (en) 2007-02-15 2007-02-15 Gateway device and authentication processing method

Publications (2)

Publication Number Publication Date
JP2008199497A JP2008199497A (en) 2008-08-28
JP4630296B2 true JP4630296B2 (en) 2011-02-09

Family

ID=39758028

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007035048A Active JP4630296B2 (en) 2007-02-15 2007-02-15 Gateway device and authentication processing method

Country Status (1)

Country Link
JP (1) JP4630296B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624747A (en) * 2012-04-12 2012-08-01 厦门思德电子科技有限公司 Server system based on address code of indoor equipment and realization method of server system
CN102664880A (en) * 2012-04-12 2012-09-12 厦门思德电子科技有限公司 Community business system based on address code of indoor equipment and implementation method of community business system
CN105493453B (en) * 2014-12-30 2019-02-01 华为技术有限公司 A method, device and system for realizing remote access
CN117353959A (en) * 2022-06-29 2024-01-05 深圳市中兴微电子技术有限公司 Data transmission method, electronic device and computer storage medium

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3491828B2 (en) * 2000-09-04 2004-01-26 日本電信電話株式会社 Closed network connection system, closed network connection method, recording medium storing a processing program therefor, and hosting service system
JP2002123491A (en) * 2000-10-13 2002-04-26 Nippon Telegr & Teleph Corp <Ntt> Authentication proxy method, authentication proxy device, and authentication proxy system
JP2004328029A (en) * 2003-04-21 2004-11-18 Nec Corp Network access system
JP2005149337A (en) * 2003-11-19 2005-06-09 Nippon Telegr & Teleph Corp <Ntt> Gateway device
JP4737089B2 (en) * 2004-10-19 2011-07-27 日本電気株式会社 VPN gateway device and hosting system
JP2006140860A (en) * 2004-11-15 2006-06-01 Nec Corp Vpn system and its constructing method

Also Published As

Publication number Publication date
JP2008199497A (en) 2008-08-28

Similar Documents

Publication Publication Date Title
JP4707992B2 (en) Encrypted communication system
EP3096497B1 (en) Method, apparatus, and network system for terminal to traverse private network to communicate with server in ims core network
US8537841B2 (en) Connection support apparatus and gateway apparatus
JP4648148B2 (en) Connection support device
US20140289826A1 (en) Establishing a communication session
EP3432523A1 (en) Method and system for connecting virtual private network by terminal, and related device
CN102065059B (en) Security access control method, client and system
US20040143758A1 (en) Method for mapping security associations to clients operating behind a network address translation device
JP2001298449A (en) Security communication method, communication system and its device
WO2005065008A2 (en) System and method for managing a proxy request over a secure network using inherited security attributes
EP1328105B1 (en) Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel
JP2009163546A (en) Gateway, relay method and program
CN106169952B (en) A kind of authentication method that internet Key Management Protocol is negotiated again and device
US20250373587A1 (en) Systems and methods for network privacy
CN114553414B (en) Intranet penetration method and system based on HTTPS service
CN110519259B (en) Method and device for configuring communication encryption between cloud platform objects and readable storage medium
WO2009082950A1 (en) Key distribution method, device and system
JP4630296B2 (en) Gateway device and authentication processing method
JP4933286B2 (en) Encrypted packet communication system
CN1949705B (en) A method for constructing a dynamic tunnel for secure access to a private local area network and a device for the method
US20150381387A1 (en) System and Method for Facilitating Communication between Multiple Networks
JP3935823B2 (en) HTTP session tunneling system, method thereof, and program thereof
JP2008199420A (en) Gateway device and authentication processing method
JP2011054182A (en) System and method for using digital batons, and firewall, device, and computer readable medium to authenticate message
KR20150060050A (en) Network device and method of forming tunnel of network device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100810

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101006

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101026

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101112

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131119

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4630296

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250