JP4630296B2 - Gateway device and authentication processing method - Google Patents
Gateway device and authentication processing method Download PDFInfo
- Publication number
- JP4630296B2 JP4630296B2 JP2007035048A JP2007035048A JP4630296B2 JP 4630296 B2 JP4630296 B2 JP 4630296B2 JP 2007035048 A JP2007035048 A JP 2007035048A JP 2007035048 A JP2007035048 A JP 2007035048A JP 4630296 B2 JP4630296 B2 JP 4630296B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- terminal device
- vpn
- gateway device
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、暗号化通信を行うための論理的な回線が確立された端末装置とVPN事業者に代わり公衆網事業者がユーザの認証を行う際に利用する認証サーバとの間で通信データの中継を行うゲートウェイ装置および認証処理方法に関するものである。 The present invention provides communication data between a terminal device in which a logical line for performing encrypted communication is established and an authentication server used when a public network operator authenticates a user on behalf of a VPN operator. The present invention relates to a gateway device that performs relay and an authentication processing method.
従来では、ユーザが端末装置を用いて公衆網を介してVPN(Virtual Private Network)内の事業者の認証サーバにアクセスする場合、公衆網とVPNとの間に介在するゲートウェイ装置と端末装置間で、IKEプロトコルを用いて論理的な回線を確立させてIPsec通信を行い、ユーザと通信相手の事業者との間での暗号化通信を可能にしていた(たとえば特許文献1)。さらに、このIPsec通信では、事業者側の認証サーバと連携することで事業者が直接ゲートウェイを介して端末装置を認証する方法がある。この場合、VPN内に設けた認証サーバで認証処理を行うと、VPN内でのトラフィックの増大やVPNの事業者側で全ての認証処理を行う煩雑さなどの問題から公衆網側の事業者がVPN事業者に代わりにユーザの認証を行う場合がある。この公衆網側の事業者がユーザの認証を行う場合には、VPN毎に認証サーバを複数設け、各認証サーバでアクセスを要求するユーザの認証を行っていた。 Conventionally, when a user accesses an authentication server of a business operator in a VPN (Virtual Private Network) via a public network using a terminal device, between the gateway device and the terminal device interposed between the public network and the VPN. Then, IPsec communication is performed by establishing a logical line using the IKE protocol, and encrypted communication between a user and a communication partner is enabled (for example, Patent Document 1). Furthermore, in this IPsec communication, there is a method in which a business operator directly authenticates a terminal device via a gateway in cooperation with a business server authentication server. In this case, if the authentication process is performed by the authentication server provided in the VPN, the public network side operator is not allowed due to problems such as an increase in traffic in the VPN and the complexity of performing all the authentication processing on the VPN operator side. A user may be authenticated on behalf of a VPN operator. When a provider on the public network side performs user authentication, a plurality of authentication servers are provided for each VPN, and each authentication server authenticates a user who requests access.
しかしながら、従来の代行の認証サーバによる認証処理方法では、VPN毎に認証サーバを設けているので、ゲートウェイ装置に接続するVPNが多くなると、代行用の認証サーバもそれに合わせて多くなってシステム構成が大規模になってメンテナンスやシステム管理が複雑になるとともに、公衆網内でのデータトラフィックが多くなってデータ通信に支障をきたすことがある。一方、各VPNへアクセスする端末装置を1台の認証サーバで認証させる場合には、複数のユーザのユーザ名が重複する場合があり、いずれのVPNにアクセスするユーザであるか認証できないことがあった。 However, in the conventional authentication processing method using the proxy authentication server, an authentication server is provided for each VPN. Therefore, when the number of VPNs connected to the gateway device increases, the number of proxy authentication servers increases correspondingly, and the system configuration is increased. As the scale becomes large, maintenance and system management become complicated, and data traffic in the public network increases, which may hinder data communication. On the other hand, when a terminal device accessing each VPN is authenticated by a single authentication server, the user names of a plurality of users may be duplicated, and it may not be possible to authenticate which VPN user is accessing. It was.
本発明は、上記に鑑みてなされたものであって、1台の認証サーバで複数のVPNにアクセスするユーザを認証可能にできるゲートウェイ装置および認証処理方法を提供することを目的とする。 The present invention has been made in view of the above, and an object of the present invention is to provide a gateway device and an authentication processing method capable of authenticating a user who accesses a plurality of VPNs with a single authentication server.
上述した課題を解決し、目的を達成するために、本発明にかかるゲートウェイ装置は、端末装置と当該ゲートウェイ装置との間に接続された公衆網を介して暗号化通信を行うための論理的な回線を確立するとともに、当該ゲートウェイ装置が接続する各VPNへアクセスする端末装置を認証する認証サーバに前記公衆網を介して接続され、前記端末装置と前記認証サーバとの間で通信データの中継を行うゲートウェイ装置において、前記ゲートウェイ装置を示すアドレス情報と、該ゲートウェイ装置を示すアドレス情報に対応して前記端末装置がアクセスする各VPNの識別情報を記憶する記憶手段と、前記記憶手段に記憶された記憶内容から前記論理的な回線が確立された端末装置がアクセスするVPNを認識し、前記端末装置への認証要求に対する前記端末装置からの認証応答がある場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行う認証処理手段と、を備えたことを特徴とする。 In order to solve the above-described problems and achieve the object, a gateway device according to the present invention is a logical device for performing encrypted communication via a public network connected between a terminal device and the gateway device. A line is established and connected to an authentication server for authenticating a terminal device accessing each VPN to which the gateway device is connected via the public network, and communication data is relayed between the terminal device and the authentication server. In the gateway device to perform, address information indicating the gateway device, storage means for storing identification information of each VPN accessed by the terminal device corresponding to the address information indicating the gateway device, and stored in the storage means Recognizing the VPN to be accessed by the terminal device with which the logical line is established from the stored contents, it is necessary to authenticate to the terminal device. When there is an authentication response from the terminal device, the VPN identification information accessed by the terminal device is extracted from the stored contents stored in the storage means, and an authentication request including the VPN identification information is sent to the authentication server. And an authentication processing means for performing the processing.
また、本発明にかかるゲートウェイ装置は、上記発明において、前記認証処理手段は、前記端末装置への認証要求に対する前記端末装置からの認証応答に含まれる送信先アドレスが当該ゲートウェイ装置を示すアドレス情報の場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行うことを特徴とする。 The gateway device according to the present invention is the gateway device according to the above invention, wherein the authentication processing means includes a destination address included in an authentication response from the terminal device in response to an authentication request to the terminal device in address information indicating the gateway device. In this case, the identification information of the VPN accessed by the terminal device is extracted from the storage contents stored in the storage means, and an authentication request including the identification information of the VPN is sent to the authentication server.
また、本発明にかかる認証処理方法は、端末装置と当該ゲートウェイ装置との間に接続された公衆網を介して暗号化通信を行うための論理的な回線を確立するとともに、当該ゲートウェイ装置が接続する各VPNへアクセスする端末装置を認証する認証サーバに前記公衆網を介して接続され、前記端末装置と前記認証サーバとの間で通信データの中継を行う認証処理方法において、前記ゲートウェイ装置を示すアドレス情報と、該ゲートウェイ装置を示すアドレス情報に対応して前記端末装置がアクセスする各VPNの識別情報を記憶手段に記憶する記憶ステップと、前記記憶ステップで記憶手段に記憶された記憶内容から前記論理的な回線が確立された端末装置がアクセスするVPNを認識し、前記端末装置への認証要求に対する前記端末装置からの認証応答がある場合、前記記憶手段に記憶されたVPNの識別情報の中から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行う認証処理ステップと、を含むことを特徴とする。 Further, the authentication processing method according to the present invention establishes a logical line for performing encrypted communication via a public network connected between a terminal device and the gateway device, and the gateway device connects An authentication processing method connected to an authentication server for authenticating a terminal device accessing each VPN via the public network and relaying communication data between the terminal device and the authentication server. The storage step of storing in the storage means address information and identification information of each VPN accessed by the terminal device corresponding to the address information indicating the gateway device, and the storage content stored in the storage means in the storage step Recognizing a VPN accessed by a terminal device with which a logical line has been established, the terminal in response to an authentication request to the terminal device If there is an authentication response from the device, the VPN identification information accessed by the terminal device is extracted from the VPN identification information stored in the storage means, and an authentication request including the VPN identification information is sent to the authentication server. And an authentication processing step.
また、本発明にかかる認証処理方法は、上記発明において、前記認証処理ステップは、前記端末装置への認証要求に対する前記端末装置からの認証応答に含まれる送信先アドレスが当該ゲートウェイ装置を示すアドレス情報の場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行うことを特徴とする。 In the authentication processing method according to the present invention as set forth in the invention described above, in the authentication processing step, address information indicating that the transmission destination address included in the authentication response from the terminal device in response to the authentication request to the terminal device indicates the gateway device. In this case, the identification information of the VPN accessed by the terminal device is extracted from the storage contents stored in the storage means, and an authentication request including the identification information of the VPN is sent to the authentication server.
本発明にかかるゲートウェイ装置および認証処理方法は、前記ゲートウェイ装置を示すアドレス情報と、該ゲートウェイ装置を示すアドレス情報に対応して前記端末装置がアクセスする各VPNの識別情報を記憶手段に記憶し、前記記憶手段に記憶された内容から論理的な回線を確立した端末装置がアクセスするVPNを認識し、端末装置からの認証応答がある場合、記憶手段から抽出したVPNの識別情報を含む認証要求を認証サーバに行い、認証サーバはこの識別情報から端末装置がアクセスするVPNを識別して、このVPNのユーザ情報から端末装置を認証するので、1台の認証サーバで複数のVPNにアクセスするユーザを認証可能にできるという効果を奏する。 The gateway device and the authentication processing method according to the present invention store address information indicating the gateway device and identification information of each VPN accessed by the terminal device corresponding to the address information indicating the gateway device in a storage unit, When the terminal device that established the logical line recognizes the VPN to be accessed from the content stored in the storage means and there is an authentication response from the terminal device, an authentication request including the VPN identification information extracted from the storage means is issued. The authentication server identifies the VPN to be accessed by the terminal device from this identification information, and authenticates the terminal device from the user information of this VPN. Therefore, the user who accesses a plurality of VPNs by one authentication server can be identified. There is an effect that authentication is possible.
以下に、本発明にかかるゲートウェイ装置および認証処理方法の実施の形態を図1〜図4の図面に基づいて詳細に説明する。なお、本発明は、これら実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲で種々の変更実施の形態が可能である。 Embodiments of a gateway device and an authentication processing method according to the present invention will be described below in detail with reference to the drawings of FIGS. The present invention is not limited to these embodiments, and various modified embodiments are possible without departing from the spirit of the present invention.
(実施の形態)
図1は、本発明にかかる認証処理システムの実施の形態の構成を示すシステム構成図である。図1において、認証処理システムは、ユーザの端末装置1a,1bと、ゲートウェイ装置2と、代行用の認証サーバ3と、端末装置7,8とを備える。端末装置1a,1bとゲートウェイ装置2と認証サーバ3とは、公衆網4を介して接続され、ゲートウェイ装置2と端末装置7とは、特定事業者の専用網であるVPNaを介して接続され、ゲートウェイ装置2と端末装置8とは、特定事業者の専用網であるVPNbを介して接続される。
(Embodiment)
FIG. 1 is a system configuration diagram showing the configuration of an embodiment of an authentication processing system according to the present invention. 1, the authentication processing system includes user terminal devices 1 a and 1 b, a gateway device 2, a proxy authentication server 3, and terminal devices 7 and 8. The terminal devices 1a and 1b, the gateway device 2 and the authentication server 3 are connected via a public network 4, and the gateway device 2 and the terminal device 7 are connected via a VPNa that is a dedicated network for a specific operator, The gateway device 2 and the terminal device 8 are connected via VPNb, which is a dedicated network for a specific operator.
端末装置1aは、VPNaにアクセスを行う装置で、端末装置1bは、VPNbにアクセスを行う装置である。これら端末装置1a,1bは、ゲートウェイ装置2と認証処理を行う認証処理部11a,11bと、データの暗号化または復号化の処理を行う暗号化/復号化処理部12a,12bと、公衆網4を介してゲートウェイ装置2、認証サーバ3を含む他の通信装置と暗号化されたデータの送受信を行う送受信部13a,13bとを備える。認証処理部11a,11bは、ゲートウェイ装置2と所定の認証処理用のプロトコル、たとえばCHAP(Challenge Handshake Authentication Protocol)やPAP(Password Authentication Protocol)を用いて、自装置を認証させる認証処理を行い、VPNa,VPNbへのアクセスを可能にする。暗号化/復号化処理部12a,12bは、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec(IP security Protocol) SA(Security Association)で作成した鍵とを用いて暗号化して送受信部13a,13bに出力し、また暗号化されたデータを送受信部13a,13bが受信すると、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。
The terminal device 1a is a device that accesses VPNa, and the terminal device 1b is a device that accesses VPNb. These terminal devices 1a and 1b are
ゲートウェイ装置2は、設定処理部21と、認証処理手段としての認証処理部22と、フェーズ情報を記憶するフェーズ用データベース23と、IPsecを適用するための方針を示すSPD情報を記憶する記憶手段としてのSPD用データベース24と、データの暗号化または復号化の処理を行う暗号化/復号化処理部25と、データの中継処理を行う中継処理部26と、端末装置1a,1bに対してデータの送受信を行う端末用送受信部27と、認証サーバ3に対してデータの送受信を行うサーバ用送受信部28と、VPNaに接続された端末装置7に対してデータの送受信を行うVPNa用送受信部29と、VPNbに接続された端末装置8に対してデータの送受信を行うVPNb用送受信部30とを備える。設定処理部21は、認証サーバ3が認証処理に用いるすべての認証処理の方針を示すポリシーを設定する。設定処理部21は、たとえば認証サーバ3が用いるCHAPおよびPAPの認証処理の方針を示すポリシーを設定する。SPD用データベース24は、設定処理部21で設定されたCHAPおよびPAPのポリシーと、VPNID情報と、IKE(Internet Key Exchange)の終端アドレスとを記録している。なお、このVPNID情報は、たとえば端末装置1a,1bのアドレス情報と、端末装置1a,1bのアドレス情報に対応して端末装置1a,1bからアクセスするVPNa,VPNbの認証対象である特定事業者を識別するアドレス情報とからなる。IKEの終端アドレスは、VPNa,VPNb毎に予め設定されるゲートウェイ装置2のアドレスである。
The gateway device 2 includes a
SPD情報は、設定により予め作成されるデータであり、端末装置1a,1bに対してのたとえばISAKMP(Internet Security Association and Key Management Protocol)の処理の方針を示すポリシーやISAKMPに基づいてIPsecで用いるインターネット標準の鍵交換プロトコルであるIKEの処理の方針を示すポリシーである。 The SPD information is data created in advance by setting, for example, an ISAKMP (Internet Security Association and Key Management Protocol) processing policy for the terminal devices 1a and 1b and an Internet used in IPsec based on ISAKMP. This is a policy indicating a policy for processing IKE, which is a standard key exchange protocol.
認証処理部11a,11b,22は、公衆網4を介して端末装置1a,1bとゲートウェイ装置2との間に、IPsec(IP security Protocol)によるデータ通信を可能にするためトンネリング技術を利用してSA(Security Association)と呼ばれる論理的なコネクション(回線)を確立させる処理を行う。なお、たとえばユーザ側に別の専用網があり、端末装置1a,1bがこの専用網に接続されている場合には、この専用網と公衆網との間にはデータの中継を行う中継装置(たとえばルータ)が接続されることとなり、ゲートウェイ装置2の認証処理部22は、この中継装置に対してSAを確立させる処理を行うこととなる。また、認証処理部22,31は、ゲートウェイ装置2および認証サーバ3に対しても、認証処理部22,31によってSAを確立させることが可能である。
The
また、認証処理部11a,11b,22は、CHAPあるいはPAPで認証処理を行う。認証処理部22は、SA確立要求開始時にISAKMPのIPsec Phase1−1パケットを受信後に、それに対応するSPD情報を抽出し、Phase1情報を作成して参照可能とする。認証処理部22は、このPhase1情報からSPD用データベース24内に記憶される認証方式情報をチェックし、CHAP方式であれば、CHAP認証要求を送信し、また認証方式情報がPAP方式であれば、PAP認証要求を送信する。
Further, the
フェーズ用データベース23は、Phase1情報を記憶する。このPhase1情報は、Phase1において装置間でのパケットの通信を調整するためのネゴシエーション情報からなる。
The
暗号化/復号化処理部25は、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec SAで作成した鍵とを用いて暗号化して中継処理部26に出力して各送受信部27〜30からの送信を可能にし、また暗号化されたデータを中継処理部26から取り込むと、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。
When data to be encrypted is generated, the encryption / decryption processing unit 25 encrypts the data using an encryption algorithm and a key created by IPsec SA, and outputs the data to the
認証サーバ3は、公衆網の事業者がVPNa,VPNbの特定事業者に代わって、VPNa,VPNbにアクセスする端末装置の認証を行う。この認証サーバ3は、認証処理部31と、VPNa認証用データベース32と、VPNb認証用データベース33と、データの暗号化または復号化の処理を行う暗号化/復号化処理部34と、データの送受信を行う送受信部35とを備える。認証処理部31は、ゲートウェイ装置2との間で認証応答があった端末装置の認証処理を行うものである。VPNa認証用データベース32は、VPNaにアクセス可能な端末装置1aを含む端末装置を識別するための識別情報や取り扱うすべての認証処理のポリシーなどを記憶する。VPNb認証用データベース33は、VPNbにアクセス可能な端末装置1bを含む端末装置を識別するための識別情報や取り扱うすべての認証処理のポリシーなどを記憶する。暗号化/復号化処理部34は、暗号化の対象となるデータが発生すると、そのデータを暗号アルゴリズムとIPsec SAで作成した鍵とを用いて暗号化して送受信部35に出力し、また暗号化されたデータを送受信部35が受信すると、そのデータを暗号アルゴリズムと上記鍵とで復号化する処理を行う。
The authentication server 3 authenticates a terminal device that accesses the VPNa and VPNb on behalf of the VPNa and VPNb specific operators by the public network operator. The authentication server 3 includes an
端末装置7,8は、接続されたVPNa,VPNbを介してゲートウェイ装置2とデータ通信を行うための図示しない送受信部と、暗号化/復号化処理部とを備える。 The terminal devices 7 and 8 include a transmission / reception unit (not shown) for performing data communication with the gateway device 2 via the connected VPNa and VPNb, and an encryption / decryption processing unit.
次に、図2のシーケンス図を用いて図1に示した認証処理システムの認証処理の動作を説明する。なお、この実施の形態では、認証処理がCHAPによって行われるものとする。図2において、まず端末装置1aの認証処理部11aは、IPsec Phase1−1において、IKEプロトコルを用いて自己の保持するキー情報をゲートウェイ装置2に送信する(ステップS101)。次に、ゲートウェイ装置2の認証処理部22は、認証処理部11aからキー情報を受信すると、IPsec Phase1−2において、端末装置1aを認証して、端末装置1aに自己の保持するキー情報と、VPNaに設定されたIKEの終端アドレスとを送信してキー情報の交換を行う(ステップS102)。次に、認証処理部11aは、認証処理部22からキー情報を受信すると、IPsec Phase1−3において、ゲートウェイ装置2を認証した後に、端末装置1aは、通信相手(IKEピア)であるゲートウェイ装置2との間でPhase1を完了して、セキュアなデータ通信を可能にする(ステップS103)。なお、IPsec Phase1−1、IPsec Phase1−2およびIPsec Phase1−3は、IPsec通信での1回目、2回目および3回目のPhase1パケットをそれぞれ示す。
Next, the operation of the authentication processing of the authentication processing system shown in FIG. 1 will be described using the sequence diagram of FIG. In this embodiment, it is assumed that authentication processing is performed by CHAP. In FIG. 2, first, the
次に、ゲートウェイ装置2の認証処理部22は、設定処理部21で設定されたCHAPによる認証要求のパケットを端末装置1aに送信する(ステップS104)。端末装置1aの認証処理部11aは、CHAPによる認証処理が可能なプロトコルを有しており、CHAPによる認証要求のパケットを受信すると、この要求に対するCHAPによる認証応答のパケットをゲートウェイ装置2に送信する(ステップS105)。この認証応答のパケットには、ユーザ名とパスワードとがペイロード内に含まれている。なお、この時認証処理部22は、VPNID情報から端末装置1aがVPNaにアクセスする端末装置であることを認識している。認証処理部22は、CHAPによる認証応答のパケットを受信すると、このパケットから送信先アドレスを抽出し、この送信先アドレスがゲートウェイ装置2のアドレスの場合には、そのアドレスに対応するSPD用データベース24からVPNaの識別情報であるVPNID情報を抽出し、このVPNID情報を含む認証要求を作成して認証サーバ3に送信する(ステップS106)。これにより、実施の形態では、ゲートウェイ装置2を送信先アドレスとする認証応答のパケットを受信した場合にのみ、VPNID情報を含む認証要求を作成して認証サーバ3に送信するので、保持するVPNID情報を的確に抽出して認証要求に付与して認証サーバ3に送信できる。
Next, the
次に、認証サーバ3の認証処理部31は、ゲートウェイ装置2からCHAP認証要求のパケットが受信されると、このパケットのVPNID情報を抽出し、このVPNIDの値によって参照するデータベースを切り替えて、VPNa認証用データベース32のユーザ情報をもとに端末装置1aを認証するための認証処理を行い、この端末装置1aを認証した場合、CHAPによる認証成功のパケットをゲートウェイ装置2に送信する(ステップS107)。次に、ゲートウェイ装置2の認証処理部22は、CHAP認証成功のパケットが受信されると、このCHAP認証成功のパケットを端末装置1aに送信して(ステップS108)、その後のフェーズを完了した後に、IPsecによる暗号化通信を可能にする。
Next, when the CHAP authentication request packet is received from the gateway device 2, the
次に、IPsec Phase1−1において、端末装置1bの認証処理部11bがIKEプロトコルを用いて自己の保持するキー情報をゲートウェイ装置2に送信すると(ステップS109)、ゲートウェイ装置2の認証処理部22は、認証処理部11bからキー情報を受信して、IPsec Phase1−2において、端末装置1bにVPNbに設定されたIKEの終端アドレスを使用して、自己の保持するキー情報を送信してキー情報の交換を行う(ステップS110)。次に、認証処理部11bは、認証処理部22からキー情報を受信すると、ゲートウェイ装置2を認証した後に、IPsec Phase1−3において、端末装置1bは、通信相手(IKEピア)であるゲートウェイ装置2との間でSAを確立して、その後のフェーズを完了した後に、データ通信を可能にする(ステップ111)。
Next, in IPsec Phase 1-1, when the
次に、ゲートウェイ装置2の認証処理部22は、設定処理部21で設定されたCHAPによる認証要求のパケットを端末装置1bに送信する(ステップS112)。端末装置1bの認証処理部11bは、上記CHAPによる認証処理が可能なプロトコルを有しており、CHAPによる認証要求のパケットが受信されると、この要求に対するCHAPによる認証応答のパケットをゲートウェイ装置2に送信する(ステップS113)。この認証応答のパケットには、ユーザ名とパスワードとがペイロード内に含まれている。なお、この時認証処理部22は、VPNID情報から端末装置1bがVPNbにアクセスする端末装置であることを認識している。認証処理部22は、CHAPによる認証応答のパケットが受信されると、このパケットから送信先アドレスを抽出し、この送信先アドレスがゲートウェイ装置2のアドレスの場合には、SPD用データベース24から送信先アドレスに対応したVPNbの識別情報であるVPNID情報を抽出し、このVPNID情報を含む認証要求を作成して認証サーバ3に送信する(ステップS114)。
Next, the
次に、認証サーバ3の認証処理部31は、ゲートウェイ装置2からCHAP認証要求のパケットが受信されると、このパケットのVPNID情報を抽出し、このVPNIDの値によって参照するデータベースを切り替えて、VPNb認証用データベース33のユーザ情報をもとに端末装置1bを認証するための認証処理を行い、この端末装置1bを認証した場合、CHAPによる認証成功のパケットをゲートウェイ装置2に送信する(ステップS115)。次に、ゲートウェイ装置2の認証処理部22は、CHAP認証成功のパケットが受信されると、このCHAP認証成功のパケットを端末装置1bに送信して(ステップS116)、IPsecによる暗号化通信を可能にする。
Next, when a CHAP authentication request packet is received from the gateway device 2, the
ここで、図3のフローチャートを用いてゲートウェイ装置2による認証処理の詳細な動作を説明する。なお、フローチャートは、端末装置1aまたは1bとゲートウェイ装置2との間でSAを確立した後の動作を示す。図3において、ゲートウェイ装置2の認証処理部22は、端末装置1aまたは1bから認証応答パケットを受信すると(ステップS301)、このパケットから送信先アドレスを抽出し、この送信先アドレスがゲートウェイ装置2のアドレスの場合には、この送信先アドレスに対応したVPNaまたはVPNbの識別情報であるVPNID情報が存在するか否か判断する(ステップS302)。ここで、認証処理部22は、このパケットにVPNID情報が存在する場合には(ステップS302:Yes)、Tunnel−Private−Group−IDにVPNID情報を格納して認証要求のパケットを作成して、この認証要求のパケットを認証サーバ3に送信して(ステップS303)、上記認証処理の動作を終了する。また、認証処理部22は、VPNID情報が存在しない場合には(ステップS302:No)、Tunnel−Private−Group−IDを付けずに認証要求のパケットを作成して、認証サーバ3に送信して(ステップS304)、上記認証処理の動作を終了する。
Here, the detailed operation of the authentication process by the gateway device 2 will be described using the flowchart of FIG. The flowchart shows the operation after the SA is established between the terminal device 1a or 1b and the gateway device 2. 3, when the
なお、図4は、Tunnel−Private−Group−IDのフレーム構成を示すフレームフォーマットである。図4において、Tunnel−Private−Group−IDは、このフレームの種類を示すタイプと、このフレームの長さを示すレングスと、「0」に設定されるタグと、ストリングとからなり、本実施の形態のVPNID情報は、ストリング内に格納される。 FIG. 4 is a frame format showing the frame structure of Tunnel-Private-Group-ID. In FIG. 4, Tunnel-Private-Group-ID is composed of a type indicating the type of the frame, a length indicating the length of the frame, a tag set to “0”, and a string. The form of VPNID information is stored in a string.
このように、本実施の形態では、ゲートウェイ装置2が端末装置1a,1bからの認証応答をもとに、この端末装置1a,1bがアクセスするVPNの識別情報(VPNID情報)を含む認証要求を作成して認証サーバ3に送信し、認証サーバ3は認証要求を受信すると、この認証要求内のVPNID情報から端末装置1a,1bがアクセスするVPNを識別して、このVPNのユーザ情報から端末装置1a,1bを認証するので、1台の認証サーバ3で複数のVPNにアクセスするユーザを容易に認証できる。 As described above, in the present embodiment, the gateway device 2 makes an authentication request including the identification information (VPNID information) of the VPN accessed by the terminal devices 1a and 1b based on the authentication response from the terminal devices 1a and 1b. When the authentication server 3 receives the authentication request, the authentication server 3 identifies the VPN accessed by the terminal devices 1a and 1b from the VPNID information in the authentication request, and determines the terminal device from the VPN user information. Since 1a and 1b are authenticated, a user who accesses a plurality of VPNs can be easily authenticated by one authentication server 3.
1a,1b,7,8 端末装置
2 ゲートウェイ装置
3 認証サーバ
4 公衆網
11a,11b,22,31 認証処理部
12a,12b,34 復号化処理部
13a,13b,27〜30,35 送受信部
21 設定処理部
22 認証処理部
23 フェーズ用データベース
24 SPD用データベース
26 中継処理部
32 VPNa認証用データベース
33 VPNb認証用データベース
a,b VPN
1a, 1b, 7, 8 Terminal device 2 Gateway device 3 Authentication server 4
Claims (2)
前記ゲートウェイ装置を示すアドレス情報と、該ゲートウェイ装置を示すアドレス情報に対応して前記端末装置がアクセスする各VPNの識別情報を記憶する記憶手段と、
前記記憶手段に記憶された記憶内容から前記論理的な回線が確立された端末装置がアクセスするVPNを認識し、前記端末装置への認証要求に対する前記端末装置からの認証応答がある場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行う認証処理手段と、
を備え、
前記認証処理手段は、前記端末装置への認証要求に対する前記端末装置からの認証応答に含まれる送信先アドレスが当該ゲートウェイ装置を示すアドレス情報の場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行うことを特徴とするゲートウェイ装置。 Establish a logical line for performing encrypted communication via the public network connected between the terminal device and the gateway device, and authenticate the terminal device accessing each VPN connected to the gateway device In a gateway device connected to an authentication server via the public network and relaying communication data between the terminal device and the authentication server,
Storage means for storing address information indicating the gateway device and identification information of each VPN accessed by the terminal device corresponding to the address information indicating the gateway device;
When the VPN accessed by the terminal device with which the logical line is established is recognized from the storage content stored in the storage means, and there is an authentication response from the terminal device to the authentication request to the terminal device, the storage Authentication processing means for extracting the identification information of the VPN accessed by the terminal device from the storage content stored in the means, and making an authentication request including the identification information of the VPN to the authentication server;
Equipped with a,
When the transmission destination address included in the authentication response from the terminal device in response to the authentication request to the terminal device is address information indicating the gateway device, the authentication processing unit uses the stored content stored in the storage unit to A gateway apparatus characterized by extracting identification information of a VPN accessed by the apparatus and making an authentication request including the identification information of the VPN to the authentication server .
前記ゲートウェイ装置を示すアドレス情報と、該ゲートウェイ装置を示すアドレス情報に対応して前記端末装置がアクセスする各VPNの識別情報を記憶手段に記憶する記憶ステップと、 A storage step of storing in the storage means address information indicating the gateway device, and identification information of each VPN accessed by the terminal device corresponding to the address information indicating the gateway device;
前記記憶ステップで記憶手段に記憶された記憶内容から前記論理的な回線が確立された端末装置がアクセスするVPNを認識し、前記端末装置への認証要求に対する前記端末装置からの認証応答がある場合、前記記憶手段に記憶されたVPNの識別情報の中から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行う認証処理ステップと、 When the VPN accessed by the terminal device established with the logical line is recognized from the storage contents stored in the storage means in the storing step, and there is an authentication response from the terminal device to the authentication request to the terminal device An authentication processing step of extracting VPN identification information accessed by the terminal device from the VPN identification information stored in the storage means, and making an authentication request including the VPN identification information to the authentication server;
を含み、 Including
前記認証処理ステップは、前記端末装置への認証要求に対する前記端末装置からの認証応答に含まれる送信先アドレスが当該ゲートウェイ装置を示すアドレス情報の場合、前記記憶手段に記憶された記憶内容から該端末装置がアクセスするVPNの識別情報を抽出し、該VPNの識別情報を含む認証要求を前記認証サーバに行うことを特徴とする認証処理方法。 In the authentication processing step, when the transmission destination address included in the authentication response from the terminal device with respect to the authentication request to the terminal device is address information indicating the gateway device, the authentication processing step uses the stored contents stored in the storage unit to An authentication processing method characterized by extracting identification information of a VPN accessed by a device and making an authentication request including the identification information of the VPN to the authentication server.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007035048A JP4630296B2 (en) | 2007-02-15 | 2007-02-15 | Gateway device and authentication processing method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007035048A JP4630296B2 (en) | 2007-02-15 | 2007-02-15 | Gateway device and authentication processing method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008199497A JP2008199497A (en) | 2008-08-28 |
| JP4630296B2 true JP4630296B2 (en) | 2011-02-09 |
Family
ID=39758028
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007035048A Active JP4630296B2 (en) | 2007-02-15 | 2007-02-15 | Gateway device and authentication processing method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4630296B2 (en) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102624747A (en) * | 2012-04-12 | 2012-08-01 | 厦门思德电子科技有限公司 | Server system based on address code of indoor equipment and realization method of server system |
| CN102664880A (en) * | 2012-04-12 | 2012-09-12 | 厦门思德电子科技有限公司 | Community business system based on address code of indoor equipment and implementation method of community business system |
| CN105493453B (en) * | 2014-12-30 | 2019-02-01 | 华为技术有限公司 | A method, device and system for realizing remote access |
| CN117353959A (en) * | 2022-06-29 | 2024-01-05 | 深圳市中兴微电子技术有限公司 | Data transmission method, electronic device and computer storage medium |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3491828B2 (en) * | 2000-09-04 | 2004-01-26 | 日本電信電話株式会社 | Closed network connection system, closed network connection method, recording medium storing a processing program therefor, and hosting service system |
| JP2002123491A (en) * | 2000-10-13 | 2002-04-26 | Nippon Telegr & Teleph Corp <Ntt> | Authentication proxy method, authentication proxy device, and authentication proxy system |
| JP2004328029A (en) * | 2003-04-21 | 2004-11-18 | Nec Corp | Network access system |
| JP2005149337A (en) * | 2003-11-19 | 2005-06-09 | Nippon Telegr & Teleph Corp <Ntt> | Gateway device |
| JP4737089B2 (en) * | 2004-10-19 | 2011-07-27 | 日本電気株式会社 | VPN gateway device and hosting system |
| JP2006140860A (en) * | 2004-11-15 | 2006-06-01 | Nec Corp | Vpn system and its constructing method |
-
2007
- 2007-02-15 JP JP2007035048A patent/JP4630296B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008199497A (en) | 2008-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4707992B2 (en) | Encrypted communication system | |
| EP3096497B1 (en) | Method, apparatus, and network system for terminal to traverse private network to communicate with server in ims core network | |
| US8537841B2 (en) | Connection support apparatus and gateway apparatus | |
| JP4648148B2 (en) | Connection support device | |
| US20140289826A1 (en) | Establishing a communication session | |
| EP3432523A1 (en) | Method and system for connecting virtual private network by terminal, and related device | |
| CN102065059B (en) | Security access control method, client and system | |
| US20040143758A1 (en) | Method for mapping security associations to clients operating behind a network address translation device | |
| JP2001298449A (en) | Security communication method, communication system and its device | |
| WO2005065008A2 (en) | System and method for managing a proxy request over a secure network using inherited security attributes | |
| EP1328105B1 (en) | Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel | |
| JP2009163546A (en) | Gateway, relay method and program | |
| CN106169952B (en) | A kind of authentication method that internet Key Management Protocol is negotiated again and device | |
| US20250373587A1 (en) | Systems and methods for network privacy | |
| CN114553414B (en) | Intranet penetration method and system based on HTTPS service | |
| CN110519259B (en) | Method and device for configuring communication encryption between cloud platform objects and readable storage medium | |
| WO2009082950A1 (en) | Key distribution method, device and system | |
| JP4630296B2 (en) | Gateway device and authentication processing method | |
| JP4933286B2 (en) | Encrypted packet communication system | |
| CN1949705B (en) | A method for constructing a dynamic tunnel for secure access to a private local area network and a device for the method | |
| US20150381387A1 (en) | System and Method for Facilitating Communication between Multiple Networks | |
| JP3935823B2 (en) | HTTP session tunneling system, method thereof, and program thereof | |
| JP2008199420A (en) | Gateway device and authentication processing method | |
| JP2011054182A (en) | System and method for using digital batons, and firewall, device, and computer readable medium to authenticate message | |
| KR20150060050A (en) | Network device and method of forming tunnel of network device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090202 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100810 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101006 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101026 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101112 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131119 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4630296 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |