Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4809916B2 - Authentication system, method, and program - Google Patents
[go: Go Back, main page]

JP4809916B2 - Authentication system, method, and program - Google Patents

Authentication system, method, and program Download PDF

Info

Publication number
JP4809916B2
JP4809916B2 JP2009187818A JP2009187818A JP4809916B2 JP 4809916 B2 JP4809916 B2 JP 4809916B2 JP 2009187818 A JP2009187818 A JP 2009187818A JP 2009187818 A JP2009187818 A JP 2009187818A JP 4809916 B2 JP4809916 B2 JP 4809916B2
Authority
JP
Japan
Prior art keywords
authentication
attribute information
type
conversion
attribute
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009187818A
Other languages
Japanese (ja)
Other versions
JP2011041088A (en
Inventor
健一 松井
広和 北見
圭 唐澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009187818A priority Critical patent/JP4809916B2/en
Publication of JP2011041088A publication Critical patent/JP2011041088A/en
Application granted granted Critical
Publication of JP4809916B2 publication Critical patent/JP4809916B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク通信技術に関し、特に通信サービス提供時にユーザを認証する認証技術に関する。   The present invention relates to a network communication technique, and more particularly to an authentication technique for authenticating a user when providing a communication service.

オフィス業務のIT化およびIPネットワークの普及に伴い、複数拠点に分散したオフィスシステムをIPネットワークで結合し、データ通信が行われている。この際、コスト低減のため、公衆IPネットワーク上に仮想プライベートネットワーク(VPN:Virtual Private Network)を構築するサービスが普及している。   With the shift to IT for office work and the spread of IP networks, data communication is performed by connecting office systems distributed at a plurality of bases via an IP network. At this time, a service for constructing a virtual private network (VPN) on a public IP network is widely used for cost reduction.

VPNに接続するには、認証要求装置から認証装置に対し、ユーザ情報等から構成される属性情報を含む認証要求メッセージを送受信して、ユーザ認証を行う必要がある。VPNサービスの普及に伴い、装置規模/機能/価格の異なる認証要求装置が複数の会社から複数種類発売されている。また、回線速度/品質/価格が異なるアクセス回線が複数種類販売されている。利用形態に応じてVPNを構築するため、これら複数種類の認証要求装置およびアクセス回線を組み合わせてVPNを構築する事例が増えている。   In order to connect to the VPN, it is necessary to perform user authentication by transmitting and receiving an authentication request message including attribute information including user information and the like from the authentication requesting device to the authentication device. With the widespread use of VPN services, a plurality of types of authentication requesting devices having different device scales / functions / prices have been released from a plurality of companies. Also, multiple types of access lines with different line speed / quality / price are sold. In order to construct a VPN according to the usage form, there are increasing cases of constructing a VPN by combining these plural types of authentication requesting devices and access lines.

認証要求装置から認証装置に送信される認証パケットは、要求内容を示す属性情報を含んでいる。認証要求装置の種別やアクセス回線種別により、同じ情報を示す属性情報であっても、属性情報の記述形式(フォーマット)が異なる場合があるため、認証装置は、それらの差分に対応した処理を行う必要がある。
上記の状況を踏まえ、認証要求装置種別およびアクセス回線種別により異なる情報の記述形式の違いに対応できる認証装置が求められている。
The authentication packet transmitted from the authentication requesting device to the authentication device includes attribute information indicating the request content. Even if the attribute information indicates the same information depending on the type of the authentication requesting device or the access line type, the description format (format) of the attribute information may be different, so the authentication device performs processing corresponding to the difference between them. There is a need.
Based on the above situation, there is a need for an authentication device that can cope with differences in the description format of information that differs depending on the authentication requesting device type and the access line type.

従来の認証装置の1つであるSteel-Belted RADIUSシステム(非特許文献1など参照)は、認証要求パケット受信時および送信時に、レルム単位もしくは認証システム単位で、設定値もしくはデータベース値に基づき、認証パケットの属性情報の編集が可能なAttribute filter機能を持つ。
これらの機能により、属性情報の違いに対応した認証処理ロジックを追加することや、属性情報の値を予め決められた記述形式に変換することが可能である。
The Steel-Belted RADIUS system (see Non-Patent Document 1, etc.), which is one of the conventional authentication devices, performs authentication based on setting values or database values in realm units or authentication system units when receiving and transmitting authentication request packets. It has an Attribute filter function that allows editing of packet attribute information.
With these functions, it is possible to add authentication processing logic corresponding to the difference in attribute information, and to convert the value of attribute information into a predetermined description format.

Steel-Belted Radius Carrier Administration and Configuration Guide Release 7.2, http://www.juniper.net/techpubs/software/aaa_802/sbrc/sbrc72/bookpdfs/sw-sbrc-admin.pdfSteel-Belted Radius Carrier Administration and Configuration Guide Release 7.2, http://www.juniper.net/techpubs/software/aaa_802/sbrc/sbrc72/bookpdfs/sw-sbrc-admin.pdf

しかしながら、このような従来技術では、属性情報の編集は、レルム単位もしくは認証システム単位で、事前に設定した値やデータベース値に基づき行われるため、受信した認証要求パケットの属性情報の値に基づいて編集内容を変更することはできない。このため、同一レルム内に、異なる種類の認証要求装置やアクセス回線種別が収容されており、認証要求パケットごとに属性情報の編集方法が異なる環境には適用できないという問題点があった。   However, in such a conventional technique, since the editing of attribute information is performed based on a preset value or database value in realm units or authentication system units, it is based on the attribute information value of the received authentication request packet. Editing content cannot be changed. For this reason, different types of authentication request devices and access line types are accommodated in the same realm, and there is a problem that the method cannot be applied to an environment in which the attribute information editing method differs for each authentication request packet.

また、Attribute filter機能による属性情報の編集を実施できるのはパケット受信時および送信時に限られていることから、認証処理に必要な属性情報の変換はパケット受信時に一括して行う必要がある。このため、必ずしも変換処理が必要ではない認証パケットも処理対象となり、変換処理が不要な認証要求パケットを多数受信する環境では、不要な処理負荷が増大する可能性がある。   Since attribute information can be edited by the Attribute filter function only at the time of packet reception and transmission, conversion of attribute information necessary for authentication processing must be performed collectively at the time of packet reception. For this reason, authentication packets that do not necessarily require conversion processing are also subject to processing, and in an environment where a large number of authentication request packets that do not require conversion processing are received, unnecessary processing load may increase.

本発明はこのような課題を解決するためのものであり、レルムに依存することなく、また不要な処理負担を発生させることなく、異なる種類の認証要求装置やアクセス回線が収容される環境についても1つの認証システムで対応できる認証技術を提供することを目的としている。   The present invention is intended to solve such problems, and it is also possible to provide an environment in which different types of authentication request devices and access lines are accommodated without depending on a realm and without generating unnecessary processing burden. The object is to provide an authentication technique that can be handled by one authentication system.

このような目的を達成するために、本発明にかかる認証システムは、アクセス回線を介してユーザ端末と接続する認証要求装置からの認証要求パケットに応じて、当該ユーザ端末の認証処理を行う認証システムであって、認証要求パケットから認証処理に必要な1つ以上の属性情報を抽出するパケット処理部と、属性情報に基づいて、認証要求装置の装置種別または/およびアクセス回線の回線種別を判定する種別判定部と、種別判定結果に基づいて、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を特定の統一記述形式へ変換する属性変換部と、統一記述形式に変換された属性情報に基づいて、ユーザ端末に関する認証処理を行う認証処理部とを備えている。   In order to achieve such an object, an authentication system according to the present invention performs an authentication process for a user terminal in response to an authentication request packet from an authentication request apparatus connected to the user terminal via an access line. A packet processing unit that extracts one or more attribute information necessary for authentication processing from the authentication request packet, and a device type of the authentication requesting device and / or a line type of the access line is determined based on the attribute information. Based on the type determination result, an attribute conversion unit that converts attribute information consisting of individual individual description formats for each device type and / or line type into a specific unified description format, and is converted into a unified description format And an authentication processing unit that performs an authentication process on the user terminal based on the attribute information.

この際、種別判定部で、認証要求装置の送信元情報と当該認証要求装置の装置種別との組からなる装置種別判定ルールを参照し、パケット処理部で属性情報として抽出した当該認証要求装置の送信元情報と組をなす装置種別を、当該認証要求装置の装置種別として取得するようにしてもよい。   At this time, the type determination unit refers to the device type determination rule consisting of the combination of the transmission source information of the authentication requesting device and the type of the authentication requesting device, and the packet processing unit extracts the authentication requesting device extracted as attribute information. The device type paired with the transmission source information may be acquired as the device type of the authentication requesting device.

また、種別判定部で、パケット処理部で抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、パケット処理部で属性情報として抽出した判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置の回線種別として取得するようにしてもよい。   Further, the type determination unit refers to a line type determination rule consisting of a set of a value type related to the determination target attribute information to be determined from the attribute information extracted by the packet processing unit and the line type of the access line, and packet The line type paired with the value type of the determination target attribute information extracted as attribute information by the processing unit may be acquired as the line type of the authentication requesting apparatus.

また、属性変換部で、認証要求装置の装置種別または/およびアクセス回線の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、種別判定部で得られた装置種別または/および回線種別と組をなす変換対象属性情報および変換式を取得し、パケット処理部で抽出した変換対象属性情報の値を当該変換式に基づいて統一記述形式へ変換するようにしてもよい。   In addition, the attribute conversion unit determines the type by referring to a conversion rule consisting of a combination of the device type of the authentication requesting device and / or the line type of the access line, the conversion target attribute information to be converted and its conversion formula. Obtains the conversion target attribute information and conversion formula that form a pair with the device type and / or line type obtained in the packet, and converts the value of the conversion target attribute information extracted by the packet processing unit into a unified description format based on the conversion formula You may make it convert.

また、属性変換部で、種別判定結果に基づいて、認証処理結果を示す属性情報を個別記述形式へ逆変換し、パケット処理部で、逆変換された属性情報を含む認証応答パケットを作成して、認証要求装置へ送信するようにしてもよい。   Further, the attribute conversion unit reversely converts the attribute information indicating the authentication processing result into the individual description format based on the type determination result, and the packet processing unit creates an authentication response packet including the reversely converted attribute information. Alternatively, it may be transmitted to the authentication requesting device.

また、属性変換部で、認証要求装置の装置種別または/およびアクセス回線の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、種別判定部で得られた装置種別または/および回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて個別記述形式へ逆変換するようにしてもよい。   Also, the attribute conversion unit refers to a reverse conversion rule consisting of a combination of the device type of the authentication requesting device and / or the line type of the access line, the reverse conversion target attribute information, the value type, and the attribute value to be reverse converted. Then, the reverse conversion target attribute information, value type, and attribute value corresponding to the device type and / or line type obtained by the type determination unit are acquired, and the reverse conversion target attribute of the attribute information indicating the authentication processing result The information value may be converted back into the individual description format based on the value type and the attribute value.

また、認証処理部で、種別判定部で得られた装置種別または/および回線種別に基づいて、パケット処理部で抽出した属性情報について認証処理が可能か否か判断し、当該認証処理が不可能な場合には統一記述形式からなる属性情報を要求する統一情報要求を属性変換部に対して通知し、当該認証処理が可能な場合には個別記述形式からなる属性情報を要求する個別情報要求を属性変換部に対して通知し、属性変換部は、統一情報要求が通知された場合、パケット処理部で抽出した属性情報を統一記述形式への変換して認証処理部へ出力し、個別情報要求が通知された場合、パケット処理部で抽出した属性情報を個別記述形式のまま認証処理部へ出力するようにしてもよい。   In addition, the authentication processing unit determines whether or not the authentication processing can be performed on the attribute information extracted by the packet processing unit based on the device type and / or the line type obtained by the type determination unit, and the authentication processing cannot be performed. In this case, the attribute conversion unit is notified of a unified information request for requesting attribute information in the unified description format, and an individual information request for requesting attribute information in the individual description format is sent if the authentication process is possible. The attribute conversion unit notifies the attribute conversion unit. When the unified information request is notified, the attribute conversion unit converts the attribute information extracted by the packet processing unit into a unified description format and outputs it to the authentication processing unit. Is notified, the attribute information extracted by the packet processing unit may be output to the authentication processing unit in the individual description format.

また、本発明にかかる認証方法は、アクセス回線を介してユーザ端末と接続する認証要求装置からの認証要求パケットに応じて、当該ユーザ端末の認証処理を行う認証システムで用いられる認証方法であって、パケット処理部が、認証要求パケットから認証処理に必要な1つ以上の属性情報を抽出するパケット処理ステップと、種別判定部が、属性情報に基づいて、認証要求装置の装置種別または/およびアクセス回線の回線種別を判定する種別判定ステップと、属性変換部が、種別判定結果に基づいて、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を特定の統一記述形式へ変換する属性変換ステップと、認証処理部が、統一記述形式に変換された属性情報に基づいて、ユーザ端末に関する認証処理を行う認証処理ステップとを備えている。   The authentication method according to the present invention is an authentication method used in an authentication system for performing authentication processing of a user terminal in response to an authentication request packet from an authentication requesting device connected to the user terminal via an access line. A packet processing step in which the packet processing unit extracts one or more attribute information necessary for the authentication processing from the authentication request packet, and a type determination unit determines the device type and / or access of the authentication requesting device based on the attribute information. The type determination step for determining the line type of the line and the attribute conversion unit convert attribute information consisting of individual individual description formats for each device type and / or line type into a specific unified description format based on the result of the type determination The attribute conversion step and the authentication processing unit perform authentication processing related to the user terminal based on the attribute information converted into the unified description format. And a processing step.

この際、種別判定ステップで、認証要求装置の送信元情報と当該認証要求装置の装置種別との組からなる装置種別判定ルールを参照し、パケット処理ステップで属性情報として抽出した当該認証要求装置の送信元情報と組をなす装置種別を、当該認証要求装置の装置種別として取得するようにしてもよい。   At this time, in the type determination step, the device type determination rule consisting of a set of the transmission source information of the authentication request device and the type of the authentication request device is referred to, and the authentication request device extracted as attribute information in the packet processing step The device type paired with the transmission source information may be acquired as the device type of the authentication requesting device.

また、種別判定ステップで、パケット処理ステップで抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、パケット処理ステップで属性情報として抽出した判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置の回線種別として取得するようにしてもよい。   Further, in the type determination step, refer to a line type determination rule consisting of a set of a value type related to the determination target attribute information to be determined from the attribute information extracted in the packet processing step and the line type of the access line, and packet The line type that is paired with the value type of the determination target attribute information extracted as attribute information in the processing step may be acquired as the line type of the authentication requesting apparatus.

また、属性変換ステップで、認証要求装置の装置種別または/およびアクセス回線の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、種別判定ステップで得られた装置種別または/および回線種別と組をなす変換対象属性情報および変換式を取得し、パケット処理ステップで抽出した変換対象属性情報の値を当該変換式に基づいて統一記述形式へ変換するようにしてもよい。   Also, in the attribute conversion step, type determination is performed by referring to a conversion rule consisting of a combination of the device type of the authentication requesting device or / and the line type of the access line, the conversion target attribute information to be converted and its conversion formula. Acquires conversion target attribute information and a conversion expression paired with the device type and / or line type obtained in the step, and converts the value of the conversion target attribute information extracted in the packet processing step into a unified description format based on the conversion expression You may make it convert.

また、属性変換ステップで、種別判定結果に基づいて、認証処理結果を示す属性情報を個別記述形式へ逆変換し、パケット処理ステップで、逆変換された属性情報を含む認証応答パケットを作成して、認証要求装置へ送信するようにしてもよい。   In the attribute conversion step, the attribute information indicating the authentication processing result is reversely converted into an individual description format based on the type determination result, and in the packet processing step, an authentication response packet including the reversely converted attribute information is created. Alternatively, it may be transmitted to the authentication requesting device.

また、属性変換ステップで、認証要求装置の装置種別または/およびアクセス回線の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、種別判定ステップで得られた装置種別または/および回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて個別記述形式へ逆変換するようにしてもよい。   Also, in the attribute conversion step, refer to the reverse conversion rule consisting of a combination of the device type of the authentication requesting device and / or the line type of the access line, the reverse conversion target attribute information, the value type, and the attribute value to be reverse conversion target. Then, the reverse conversion target attribute information, value type, and attribute value corresponding to the device type and / or line type obtained in the type determination step are acquired, and the reverse conversion target attribute among the attribute information indicating the authentication processing result The information value may be converted back into the individual description format based on the value type and the attribute value.

認証処理ステップで、種別判定ステップで得られた装置種別または/および回線種別に基づいて、パケット処理ステップで抽出した属性情報について認証処理が可能か否か判断し、当該認証処理が不可能な場合には統一記述形式からなる属性情報を要求する統一情報要求を属性変換ステップに対して通知し、当該認証処理が可能な場合には個別記述形式からなる属性情報を要求する個別情報要求を属性変換ステップに対して通知し、属性変換ステップで、統一情報要求が通知された場合、パケット処理ステップで抽出した属性情報を統一記述形式への変換して認証処理ステップへ出力し、個別情報要求が通知された場合、パケット処理ステップで抽出した属性情報を個別記述形式のまま認証処理ステップへ出力するようにしてもよい。   In the authentication processing step, based on the device type and / or line type obtained in the type determination step, it is determined whether authentication processing is possible for the attribute information extracted in the packet processing step. Is notified to the attribute conversion step of the attribute information requesting the attribute information in the unified description format, and if the authentication process is possible, the attribute conversion is performed on the individual information request that requests the attribute information in the individual description format. When the unified information request is notified in the attribute conversion step, the attribute information extracted in the packet processing step is converted into a unified description format and output to the authentication processing step, and the individual information request is notified In such a case, the attribute information extracted in the packet processing step may be output to the authentication processing step in the individual description format.

また、本発明にかかるプログラムは、コンピュータを、前述した認証システムを構成する各部として機能させるためのプログラムである。   The program according to the present invention is a program for causing a computer to function as each unit constituting the authentication system described above.

本発明によれば、レルムに依存することなく、また不要な処理負担を発生させることなく、異なる種類の認証要求装置やアクセス回線が収容される環境についても、1つの認証システムで対応できる。   According to the present invention, it is possible to cope with an environment in which different types of authentication requesting devices and access lines are accommodated without depending on a realm and without generating unnecessary processing burdens.

第1の実施の形態にかかる認証システムの構成を示すブロック図である。It is a block diagram which shows the structure of the authentication system concerning 1st Embodiment. 装置種別判定ルールの構成例である。It is an example of composition of a device classification judging rule. 回線種別判定ルールの構成例である。It is an example of a structure of a line classification determination rule. 変換ルールの構成例である。It is a structural example of a conversion rule. 逆変換ルールの構成例である。It is a structural example of a reverse conversion rule. 第1の実施の形態にかかる認証システムの動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the authentication system concerning 1st Embodiment. 第1の実施の形態にかかる装置種別判定処理を示すフローチャートである。It is a flowchart which shows the apparatus classification determination process concerning 1st Embodiment. 第1の実施の形態にかかる回線種別判定処理を示すフローチャートである。It is a flowchart which shows the line | wire type determination process concerning 1st Embodiment. 種別判定例を示す説明図である。It is explanatory drawing which shows the classification determination example. 第1の実施の形態にかかる属性変換処理を示すフローチャートである。It is a flowchart which shows the attribute conversion process concerning 1st Embodiment. 属性情報変換例を示す説明図である。It is explanatory drawing which shows the example of attribute information conversion. 第1の実施の形態にかかる属性逆変換処理を示すフローチャートである。It is a flowchart which shows the attribute reverse conversion process concerning 1st Embodiment. 属性情報逆変換例を示す説明図である。It is explanatory drawing which shows the example of attribute information reverse conversion. 第2の実施の形態にかかる認証システムの動作(属性変換要)を示すシーケンス図である。It is a sequence diagram which shows operation | movement (attribute conversion required) of the authentication system concerning 2nd Embodiment. 第2の実施の形態にかかる認証システムの動作(属性変換不要)を示すシーケンス図である。It is a sequence diagram which shows operation | movement (attribute conversion unnecessary) of the authentication system concerning 2nd Embodiment.

次に、本発明の実施の形態について図面を参照して説明する。
[第1の実施の形態]
まず、図1を参照して、本発明の第1の実施の形態にかかる認証システムについて説明する。図1は、第1の実施の形態にかかる認証システムの構成を示すブロック図である。
Next, embodiments of the present invention will be described with reference to the drawings.
[First Embodiment]
First, an authentication system according to a first embodiment of the present invention will be described with reference to FIG. FIG. 1 is a block diagram illustrating a configuration of an authentication system according to the first embodiment.

この認証システム10は、全体としてサーバ装置などの1つ以上の通信処理装置からなり、ユーザ端末40(41,42,43)に対してVPNなどの通信サービスを提供する際、アクセス回線30(31,32,33)を介してユーザ端末40と接続する認証要求装置20(21,22,23)からの認証要求パケットに応じて、当該ユーザ端末40に関する認証処理を行う機能を有している。なお、ユーザ端末40はユーザ端末41,42,43の総称や代表を指し、アクセス回線30はアクセス回線31,32,33の総称や代表を指し、認証要求装置20は認証要求装置21,22,23の総称や代表を指す。   The authentication system 10 is composed of one or more communication processing devices such as a server device as a whole. When providing a communication service such as VPN to the user terminal 40 (41, 42, 43), the access line 30 (31 , 32, 33) has a function of performing an authentication process on the user terminal 40 in response to an authentication request packet from the authentication requesting device 20 (21, 22, 23) connected to the user terminal 40. The user terminal 40 refers to a generic name or representative of the user terminals 41, 42, 43, the access line 30 refers to a generic name or representative of the access lines 31, 32, 33, and the authentication requesting device 20 corresponds to the authentication requesting devices 21, 22, 22. 23 generic names and representatives.

認証要求装置20は、全体としてサーバ装置、スイッチ、ルータなどの通信処理装置からなり、ユーザ端末40からの通信サービス要求を受け付けて、認証処理に必要な各種属性情報を含む認証要求パケットを認証システム10へ送信する機能と、認証システム10から受信した認証応答パケットに含まれる認証処理結果に応じて、ユーザ端末40への通信サービス提供のための通信経路確立処理を行う機能とを有している。   The authentication requesting device 20 includes a communication processing device such as a server device, a switch, and a router as a whole. The authentication requesting device 20 receives a communication service request from the user terminal 40 and sends an authentication request packet including various attribute information necessary for the authentication processing to the authentication system. 10 and a function of performing communication path establishment processing for providing a communication service to the user terminal 40 in accordance with an authentication processing result included in the authentication response packet received from the authentication system 10. .

ユーザ端末40は、全体としてパーソナルコンピュータや携帯端末などの通信端末装置からなり、通信サービス開始時にアクセス回線30を介して認証要求装置20へ接続し、認証処理に必要な各種属性情報を含む通信サービス要求パケットを送信する機能と、認証要求装置20からの通信サービス開始パケットの受信に応じて通信サービスを開始する機能とを有している。   The user terminal 40 is composed of a communication terminal device such as a personal computer or a portable terminal as a whole, and is connected to the authentication requesting device 20 via the access line 30 at the start of the communication service and includes various attribute information necessary for authentication processing. It has a function of transmitting a request packet and a function of starting a communication service in response to reception of a communication service start packet from the authentication requesting device 20.

図1の接続形態において、認証システム10に対して3つの認証要求装置21,22,23が接続されている。これら認証要求装置21,22,23は、メーカや機種の違いに応じてそれぞれ個別の装置種別を有しており、これら装置種別ごとに、認証システム10へ送信する認証要求パケットに含まれる属性情報の記述形式が異なっている。図1の例では、認証要求装置21,22は装置種別Xを有し、認証要求装置23は装置種別Yを有しているものとする。   In the connection form of FIG. 1, three authentication requesting devices 21, 22 and 23 are connected to the authentication system 10. Each of these authentication request devices 21, 22, and 23 has an individual device type according to a difference in manufacturer and model, and attribute information included in an authentication request packet transmitted to the authentication system 10 for each device type. The description format of is different. In the example of FIG. 1, it is assumed that the authentication requesting devices 21 and 22 have a device type X, and the authentication requesting device 23 has a device type Y.

また、これら認証要求装置21,22,23には、個別のアクセス回線31,32,33を介してユーザ端末41,42,43がそれぞれ1つずつ接続されている。これらアクセス回線31,32,33は、回線速度、通信品質、あるいは通信コストの違いに応じてそれぞれ固有の回線種別を有しており、これら回線種別ごとに、認証システム10へ送信する認証要求パケットに含まれる属性情報の記述形式が異なっている。図1の例では、アクセス回線31,33が回線種別αを有し、アクセス回線32が回線種別βを有しているものとする。
なお、認証システム10に対して接続される認証要求装置20の数、各認証要求装置20に対して接続されるユーザ端末40の数については、図1の例に限定されるものではない。
Further, one user terminal 41, 42, and 43 is connected to each of the authentication requesting devices 21, 22, and 23 via individual access lines 31, 32, and 33, respectively. Each of these access lines 31, 32, and 33 has a unique line type according to a difference in line speed, communication quality, or communication cost, and an authentication request packet to be transmitted to the authentication system 10 for each line type. The description format of the attribute information included in is different. In the example of FIG. 1, it is assumed that the access lines 31 and 33 have the line type α and the access line 32 has the line type β.
The number of authentication requesting devices 20 connected to the authentication system 10 and the number of user terminals 40 connected to each authentication requesting device 20 are not limited to the example of FIG.

本実施の形態では、認証システム10において、認証要求装置からの認証要求パケットから抽出した属性情報に基づいて、認証要求装置の装置種別または/およびアクセス回線の回線種別を判定し、この種別判定結果に基づいて、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を、特定の統一記述形式へ変換し、この統一記述形式からなる属性情報に基づいて、ユーザ端末に関する認証処理を行うようにしたものである。   In the present embodiment, the authentication system 10 determines the device type of the authentication requesting device and / or the line type of the access line based on the attribute information extracted from the authentication request packet from the authentication requesting device, and the type determination result Based on the above, the attribute information consisting of individual individual description formats for each device type and / or line type is converted into a specific unified description format, and the authentication processing related to the user terminal is performed based on the attribute information consisting of this unified description format Is to do.

本発明において、装置種別とは、ユーザ端末からの認証要求を処理する機能は同一であるが、認証システムに対し送信する認証要求中の属性情報の記述形式が異なる装置を識別する値のことを指す。また、回線種別とは、ユーザ端末と認証要求装置の通信を中継する機能は同一であるが、回線識別子の記述形式等が異なる回線を識別する値のことを指す。これら装置種別または/および回線種別と個別記述形式の対応関係は、1対1だけでなく多対1の関係であってもよい。   In the present invention, the device type is a value for identifying a device having the same function for processing an authentication request from a user terminal but having a different attribute information description format in the authentication request transmitted to the authentication system. Point to. The line type refers to a value that identifies a line having the same function for relaying communication between the user terminal and the authentication requesting device, but having a different description format or the like of the line identifier. The correspondence relationship between the device type or / and the line type and the individual description format may be not only one-to-one but also many-to-one.

次に、図1を参照して、本実施の形態にかかる認証システム10の構成について詳細に説明する。
認証システム10には、主な機能部として、通信インターフェース部(以下、通信I/F部という)11、パケット処理部12、種別判定部13、判定ルールデータベース(以下、判定ルールDBという)14、属性変換部15、変換ルールデータベース(以下、変換ルールDBという)16、認証処理部17、記憶部18、およびユーザデータベース(以下、ユーザDBという)19が設けられており、内部バスを介して各種データを相互にやり取り可能に接続されている。
Next, the configuration of the authentication system 10 according to the present exemplary embodiment will be described in detail with reference to FIG.
The authentication system 10 includes, as main functional units, a communication interface unit (hereinafter referred to as a communication I / F unit) 11, a packet processing unit 12, a type determination unit 13, a determination rule database (hereinafter referred to as a determination rule DB) 14, An attribute conversion unit 15, a conversion rule database (hereinafter referred to as conversion rule DB) 16, an authentication processing unit 17, a storage unit 18, and a user database (hereinafter referred to as user DB) 19 are provided, and various types are provided via an internal bus. They are connected so that they can exchange data with each other.

通信I/F部11は、専用の通信回路部からなり、認証要求装置20(21,22,23)との間で認証要求パケットや認証応答パケットなどの各種パケットをやり取りすることにより、認証要求装置20との間でデータ通信を行う機能を有している。   The communication I / F unit 11 includes a dedicated communication circuit unit, and exchanges various packets such as an authentication request packet and an authentication response packet with the authentication request device 20 (21, 22, 23), thereby requesting an authentication request. It has a function of performing data communication with the device 20.

パケット処理部12は、通信I/F部11で受信した認証要求装置20からの認証要求パケットから認証処理に用いる属性情報を抽出する機能と、認証処理結果を示す属性情報に基づいて通信I/F部11から認証要求装置20へ送信する認証応答パケットを作成する機能とを有している。   The packet processing unit 12 extracts the attribute information used for authentication processing from the authentication request packet received from the authentication requesting device 20 received by the communication I / F unit 11 and the communication I / F based on the attribute information indicating the authentication processing result. A function of creating an authentication response packet to be transmitted from the F unit 11 to the authentication requesting device 20.

種別判定部13は、判定ルールDB14に格納されている判定ルールを参照して、パケット処理部12で抽出した属性情報に基づいて、認証要求パケットを送信した認証要求装置20の装置種別と、認証処理対象となるユーザ端末40が用いたアクセス回線30の回線種別を判定する機能を有している。装置種別と回線種別は、属性情報の変換に用いる変換ルールを特定するためのものである。このため、装置種別と回線種別のいずれか一方で変換ルールを特定できるのであれば、いずれか一方のみの種別を判定すればよく、変換ルールの特定に装置種別と回線種別の両方が必要な場合には、これら両方の種別を判定すればよい。   The type determination unit 13 refers to the determination rule stored in the determination rule DB 14, and based on the attribute information extracted by the packet processing unit 12, the device type of the authentication requesting device 20 that has transmitted the authentication request packet, and the authentication It has a function of determining the line type of the access line 30 used by the user terminal 40 to be processed. The device type and the line type are for specifying a conversion rule used for converting attribute information. Therefore, if the conversion rule can be specified by either the device type or the line type, it is sufficient to determine the type of only one of them, and both the device type and the line type are required to specify the conversion rule. Therefore, both types may be determined.

判定ルールDB14は、ハードディスクや半導体メモリなどの記憶装置からなり、認証要求パケットの送信元となる認証要求装置20の装置種別を判定するための装置種別判定ルールと、認証処理対象となるユーザ端末40が用いたアクセス回線30の回線種別を判定するための回線種別判定ルールとを記憶する機能を有している。   The determination rule DB 14 includes a storage device such as a hard disk or a semiconductor memory, and includes a device type determination rule for determining the device type of the authentication requesting device 20 that is a transmission source of the authentication request packet, and a user terminal 40 that is an authentication processing target. Has a function of storing a line type determination rule for determining the line type of the access line 30 used by the.

装置種別判定ルールは、認証要求装置20のIPアドレス、すなわち認証要求パケットの送信元アドレスと当該認証要求装置20の装置種別との組から構成されている。
図2は、装置種別判定ルールの構成例である。ここでは、送信元アドレス「10.0.0.1」の場合、認証要求装置20の識別種別は「X」であり、送信元アドレス「10.0.1.1」の場合、認証要求装置20の識別種別は「X」であり、送信元アドレス「10.0.2.1」の場合、認証要求装置20の識別種別は「Y」であることが登録されている。
The device type determination rule is composed of a set of an IP address of the authentication requesting device 20, that is, a transmission source address of the authentication request packet and a device type of the authentication requesting device 20.
FIG. 2 is a configuration example of the device type determination rule. Here, in the case of the transmission source address “10.0.0.1”, the identification type of the authentication requesting device 20 is “X”, and in the case of the transmission source address “10.0.1.1”, the identification type of the authentication requesting device 20 is “X”. In the case of the transmission source address “10.0.2.1”, it is registered that the identification type of the authentication requesting device 20 is “Y”.

回線種別判定ルールは、属性情報に関する値型と当該アクセス回線の回線種別との組から構成されている。
図3は、回線種別判定ルールの構成例である。ここでは、属性情報Aの値型が「IPv4アドレス」の場合、アクセス回線30の回線種別は「α」であり、属性情報Bの値型が「IPv4アドレス」でかつ属性情報Cの値型が「整数」の場合、アクセス回線30の回線種別は「β」であり、属性情報Aの値型が「IPv6アドレス」の場合、アクセス回線30の回線種別は「α」であることが登録されている。なお、図3における「−」は、認証要求パケットに、対応する値型の属性情報と該当するものが含まれていないことを示している。
The line type determination rule is composed of a set of a value type relating to attribute information and a line type of the access line.
FIG. 3 is a configuration example of a line type determination rule. Here, when the value type of the attribute information A is “IPv4 address”, the line type of the access line 30 is “α”, the value type of the attribute information B is “IPv4 address”, and the value type of the attribute information C is In the case of “integer”, the line type of the access line 30 is “β”, and when the value type of the attribute information A is “IPv6 address”, it is registered that the line type of the access line 30 is “α”. Yes. Note that “-” in FIG. 3 indicates that the authentication request packet does not include the corresponding value type attribute information.

属性変換部15は、種別判定部13での種別判定結果、すなわち認証要求装置20の装置種別または/およびアクセス回線30の回線種別に基づいて、変換ルールDB16に格納されている変換ルールのいずれかを特定する機能と、当該変換ルールを参照して変換の対象となる変換対象属性情報およびその変換式を取得する機能と、パケット処理部12で抽出した属性情報のうち変換対象属性情報の値を、当該変換式に基づいて、装置種別または/および回線種別ごとに個別の個別記述形式から、予め定めておいた特定の統一記述形式へ変換する機能とを有している。   The attribute conversion unit 15 is one of the conversion rules stored in the conversion rule DB 16 based on the type determination result in the type determination unit 13, that is, the device type of the authentication requesting device 20 and / or the line type of the access line 30. A function for identifying the conversion target attribute information to be converted and its conversion formula by referring to the conversion rule, and the value of the conversion target attribute information among the attribute information extracted by the packet processing unit 12 Based on the conversion formula, it has a function of converting from an individual individual description format for each device type and / or line type to a specific unified description format determined in advance.

本実施の形態では、属性情報の変換方式として、文字列結合方式を用いる場合を例として説明する。
文字列結合方式は、変換対象となる属性情報に、元の属性情報の値型を示す文字列情報を結合する方式である。この文字列結合方式によれば、属性情報量が削減されないため、統一記述形式へ変換した属性情報に元の属性情報がそのまま含まれているため、認証用データベースに登録されている値と、そのまま比較して一致確認することができ、認証処理負担を削減できる。
In this embodiment, a case where a character string combination method is used as an attribute information conversion method will be described as an example.
The character string combining method is a method of combining character string information indicating the value type of the original attribute information with the attribute information to be converted. According to this character string combination method, since the amount of attribute information is not reduced, the attribute information converted into the unified description format includes the original attribute information as it is, so the value registered in the authentication database is not changed. The comparison can be confirmed and the authentication processing burden can be reduced.

本実施の形態に適用可能な属性情報の変換方式としては、文字列結合方式以外の方式を用いてもよい。他の変換方式としてハッシング方式がある。ハッシング方式は、予め用意したハッシュ関数を用いて、変換対象となる属性情報のハッシュ値を算出し、当該属性情報をそのハッシュ値で置換する方式である。このハッシング方式によれば、変換後の文字長を一定とすることができ、認証処理の並列分散化が容易となるため、認証処理の高速化を実現できる。   As a conversion method of attribute information applicable to the present embodiment, a method other than the character string combination method may be used. There is a hashing method as another conversion method. The hashing method is a method in which a hash value of attribute information to be converted is calculated using a hash function prepared in advance, and the attribute information is replaced with the hash value. According to this hashing method, the character length after conversion can be made constant, and parallelization of authentication processing becomes easy, so that the authentication processing can be speeded up.

また、属性変換部15は、種別判定部13での種別判定結果、すなわち認証要求装置20の装置種別または/およびアクセス回線30の回線種別に基づいて、変換ルールDB16に格納されている逆変換ルールのいずれかを特定する機能と、当該逆変換ルールを参照して逆変換の対象となる逆変換対象属性情報、値型、および属性値を取得する機能と、種別判定部13で得られた認証処理結果を示す属性情報のうち逆変換対象属性情報を、当該値型および属性値に基づいて個別記述形式へ逆変換する機能とを有している。   In addition, the attribute conversion unit 15 performs the reverse conversion rule stored in the conversion rule DB 16 based on the type determination result in the type determination unit 13, that is, the device type of the authentication requesting device 20 and / or the line type of the access line 30. A function for identifying any of the above, a function for acquiring reverse conversion target attribute information, a value type, and an attribute value to be reverse converted with reference to the reverse conversion rule, and authentication obtained by the type determination unit 13 It has a function to reversely convert reverse conversion target attribute information among the attribute information indicating the processing result into an individual description format based on the value type and the attribute value.

本実施の形態では、属性情報の逆変換方式として、値置換方式を用いる場合を例として説明する。
値置換方式は、逆変換対象となる統一記述形式の属性情報を、元の個別記述形式で用いられる任意の値型の属性情報へ置換する方式である。なお、個別記述形式の属性情報を統一記述形式の属性情報へ変換する変換方式と、統一記述形式の属性情報を個別記述形式の属性情報へ逆変換する変換方式とは、必ずしも同じ変換方式を用いる必要はない。例えば、変換方式としてハッシング方式を用いた場合でも、逆変換方式として他の変換方式を用いてもよい。
In this embodiment, a case where a value replacement method is used as an attribute information inverse conversion method will be described as an example.
The value replacement method is a method of replacing attribute information in a unified description format to be reversely converted with attribute information of an arbitrary value type used in the original individual description format. The conversion method for converting the attribute information in the individual description format into the attribute information in the unified description format and the conversion method for converting back the attribute information in the unified description format into the attribute information in the individual description format always use the same conversion method. There is no need. For example, even when the hashing method is used as the conversion method, another conversion method may be used as the inverse conversion method.

変換ルールDB16は、ハードディスクや半導体メモリなどの記憶装置からなり、認証要求パケットからパケット処理部12で抽出した個別記述形式の属性情報を統一記述形式へ変換するための変換ルールと、認証処理部17で得られた認証処理結果を示す統一記述形式の属性情報を元の個別記述形式へ逆変換するための逆変換ルールとを記憶する機能を有している。   The conversion rule DB 16 includes a storage device such as a hard disk or a semiconductor memory. The conversion rule DB 16 converts the attribute information in the individual description format extracted from the authentication request packet by the packet processing unit 12 into a unified description format, and the authentication processing unit 17. And a reverse conversion rule for reversely converting the attribute information in the unified description format indicating the authentication processing result obtained in step 1 into the original individual description format.

変換ルールは、認証要求装置20の装置種別または/およびアクセス回線31の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組から構成されている。
図4は、変換ルールの構成例である。ここでは、装置種別が「X」で回線種別が「α」である場合、属性Aを「IPv4_[属性情報A]」という変換式で変換するルールが登録されている。この変換式は、元の属性情報Aの値を示す[属性情報A]の前に、元の属性情報Aの値型を示す「IPv4_」という文字列情報を結合するという変換式を示している。
The conversion rule is composed of a set of a device type of the authentication requesting device 20 and / or a line type of the access line 31, conversion target attribute information to be converted, and a conversion formula thereof.
FIG. 4 is a configuration example of a conversion rule. Here, when the device type is “X” and the line type is “α”, a rule for converting attribute A with a conversion formula “IPv4_ [attribute information A]” is registered. This conversion expression is a conversion expression in which character string information “IPv4_” indicating the value type of the original attribute information A is combined before [attribute information A] indicating the value of the original attribute information A. .

このほか、図4の例には、装置種別が「X」で回線種別が「β」である場合、属性情報Aを「IPv6_[属性情報A]」という変換式で変換するルール、装置種別が「Y」で回線種別が「α」である場合、属性情報Bおよび属性情報Cという複数の属性情報の値を文字列情報と結合して「IPv4_[属性情報B]_[属性情報C]」という変換式で変換するルール、装置種別が「Y」で回線種別が「β」である場合、属性情報の変換を行わないというルール、装置種別が「判定不能」で回線種別も「判定不能」である場合、属性情報の変換を行わないというルールがそれぞれ登録されている。なお、図4における「−」は、対応する変換対象や変換式が装置種別と回線種別との組に割り当てられていないことを示している。   In addition, in the example of FIG. 4, when the device type is “X” and the line type is “β”, a rule for converting attribute information A by a conversion formula “IPv6_ [attribute information A]” and the device type are When “Y” and the line type is “α”, the values of a plurality of attribute information, attribute information B and attribute information C, are combined with character string information to “IPv4_ [attribute information B] _ [attribute information C]”. If the device type is “Y” and the line type is “β”, the rule that the attribute information is not converted, the device type is “determination impossible”, and the line type is also “determination impossible” In this case, a rule that attribute information is not converted is registered. Note that “-” in FIG. 4 indicates that the corresponding conversion target or conversion formula is not assigned to the combination of the device type and the line type.

逆変換ルールは、認証要求装置20の装置種別または/およびアクセス回線31の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値との組から構成されている。
図5は、逆変換ルールの構成例である。ここでは、装置種別が「X」で回線種別が「α」である場合、属性情報Dの値「1」を値型が「文字列」の属性値「OK」に逆変換し、属性情報Dの値「0」を値型が「文字列」の属性値「NG」に逆変換するルールが登録されている。
The reverse conversion rule is composed of a set of a device type of the authentication requesting device 20 and / or a line type of the access line 31, and reverse conversion target attribute information, a value type, and an attribute value to be reverse converted.
FIG. 5 is a configuration example of the reverse conversion rule. Here, when the device type is “X” and the line type is “α”, the value “1” of the attribute information D is inversely converted to the attribute value “OK” whose value type is “character string”, and the attribute information D A rule for inversely converting the value “0” of the attribute value into the attribute value “NG” having the value type “character string” is registered.

このほか、図5の例には、装置種別が「X」で回線種別が「β」である場合、属性情報Dを値型が「文字列」の属性値「OK」に逆変換するルール、装置種別が「Y」で回線種別が「α」である場合、属性情報Eを値型が「整数」の属性値「1」に逆変換するルール、装置種別が「Y」で回線種別が「β」である場合、属性情報の逆変換を行わないというルール、装置種別が「判定不能」で回線種別も「判定不能」である場合、属性情報の逆変換を行わないというルールがそれぞれ登録されている。なお、図5における「−」は、対応する逆変換対象、値型、さらには変換式が装置種別と回線種別との組に割り当てられていないことを示している。   In addition, in the example of FIG. 5, when the device type is “X” and the line type is “β”, the rule that reversely converts the attribute information D into the attribute value “OK” having the value type “character string”; When the device type is “Y” and the line type is “α”, a rule that reversely converts the attribute information E into the attribute value “1” having the value type “integer”, the device type is “Y”, and the line type is “ If it is “β”, a rule that does not perform reverse conversion of attribute information, and a rule that does not perform reverse conversion of attribute information when the device type is “determination impossible” and the line type is also “determination impossible” are registered respectively. ing. Note that “-” in FIG. 5 indicates that the corresponding inverse conversion target, value type, and conversion formula are not assigned to a set of device type and line type.

認証処理部17は、属性変換部15で得られた統一記述形式からなる属性情報に基づいて、例えばこの属性情報とユーザDB19に記憶されている、認証処理対象であるユーザやユーザ端末40の属性情報とを比較するなどにより、ユーザ端末40に関する認証処理を行う機能と、この認証処理に関する認証処理結果として統一記述形式からなる属性情報を出力する機能とを有している。
記憶部18は、ハードディスクや半導体メモリなどの記憶装置からなり、前述した各機能部で用いる処理情報やプログラムを記憶する機能を有している。
ユーザDB19は、ハードディスクや半導体メモリなどの記憶装置からなり、認証処理部17での認証処理に用いる個々のユーザやユーザ端末40の属性情報を含む認証用のデータを記憶する機能を有している。
Based on the attribute information in the unified description format obtained by the attribute conversion unit 15, the authentication processing unit 17, for example, the attribute information and the attributes of the user and user terminal 40 that are stored in the user DB 19 and are the authentication processing target. It has a function of performing authentication processing related to the user terminal 40 by comparing information and the like, and a function of outputting attribute information in a unified description format as an authentication processing result related to this authentication processing.
The storage unit 18 includes a storage device such as a hard disk or a semiconductor memory, and has a function of storing processing information and programs used in each of the above-described functional units.
The user DB 19 includes a storage device such as a hard disk or a semiconductor memory, and has a function of storing authentication data including attribute information of individual users and user terminals 40 used for authentication processing in the authentication processing unit 17. .

これら機能部のうち、パケット処理部12、種別判定部13、属性変換部15、および認証処理部17は、1つまたは複数の演算処理部により構成されている。演算処理部は、CPUなどのマイクロプロセッサとその周辺回路を有し、記憶部18から読み出したプログラムを実行することにより、各種処理部を実現する機能を有している。   Among these functional units, the packet processing unit 12, the type determination unit 13, the attribute conversion unit 15, and the authentication processing unit 17 are configured by one or a plurality of arithmetic processing units. The arithmetic processing unit includes a microprocessor such as a CPU and its peripheral circuits, and has a function of realizing various processing units by executing a program read from the storage unit 18.

[第1の実施の形態の動作]
次に、図6を参照して、本実施の形態にかかる認証システム10の動作について説明する。図6は、第1の実施の形態にかかる認証システムの動作を示すシーケンス図である。
ここでは、認証要求装置20からの認証要求パケットに応じて、認証システム10により、当該認証要求パケットに含まれている個別記述形式の属性情報を統一記述形式へ変換した後、この統一記述形式の属性情報に対して認証処理を行い、得られた認証処理結果を示す統一記述形式の属性情報を元の個別記述形式の属性情報へ逆変換した後、認証応答パケットを作成して認証要求装置20へ送信する場合について説明する。
[Operation of First Embodiment]
Next, the operation of the authentication system 10 according to this exemplary embodiment will be described with reference to FIG. FIG. 6 is a sequence diagram illustrating an operation of the authentication system according to the first embodiment.
Here, in response to the authentication request packet from the authentication requesting device 20, the authentication system 10 converts the attribute information of the individual description format included in the authentication request packet into the unified description format, and then the unified description format. Authentication processing is performed on the attribute information, and the attribute information in the unified description format indicating the obtained authentication processing result is converted back to the attribute information in the original individual description format, and then an authentication response packet is created to generate the authentication request device 20. The case of transmitting to will be described.

認証システム10のパケット処理部12は、通信I/F部11を介して認証要求装置20からの認証要求パケットを受信した場合(ステップ100)、当該認証要求パケットから認証処理に必要な各種属性情報を抽出し(ステップ101)、抽出した属性情報を種別判定部13および属性変換部15へ渡す(ステップ102)。この属性情報は、認証要求装置20の装置種別やアクセス回線30の回線種別ごとに個別の個別記述形式で記述されている。   When the packet processing unit 12 of the authentication system 10 receives an authentication request packet from the authentication requesting device 20 via the communication I / F unit 11 (step 100), various attribute information necessary for the authentication process from the authentication request packet. Is extracted (step 101), and the extracted attribute information is passed to the type determination unit 13 and the attribute conversion unit 15 (step 102). This attribute information is described in an individual description format for each device type of the authentication requesting device 20 and each line type of the access line 30.

各機能部間で属性情報や種別判定結果などの処理情報をやり取りする場合、内部バスを介して機能部間で、直接、送受信してもよく、記憶部18を介して間接的にやり取りしてもよい。特に、認証処理部17を複数備えて並列処理を行う場合には、属性情報や種別判定結果をパケット処理部12や種別判定部13から記憶部18内のバッファへ順次保存し、認証処理が終了している認証処理部17から、適宜、バッファ内の属性情報や種別判定結果を取得するようにしてもよい。   When processing information such as attribute information and type determination results is exchanged between the functional units, they may be directly transmitted / received between the functional units via the internal bus, or indirectly via the storage unit 18. Also good. In particular, when performing parallel processing with a plurality of authentication processing units 17, attribute information and type determination results are sequentially stored from the packet processing unit 12 and type determination unit 13 to a buffer in the storage unit 18, and the authentication processing is completed. The attribute information in the buffer and the type determination result may be acquired as appropriate from the authentication processing unit 17 that performs the processing.

種別判定部13は、パケット処理部12から属性情報を受け取って、判定ルールDB14に格納されている判定ルールを参照して、パケット処理部12で抽出した属性情報に基づいて、認証要求パケットを送信した認証要求装置20に関する装置種別と、認証処理対象となるユーザ端末40が用いたアクセス回線30に関する回線種別を判定する(ステップ103)。
種別判定部13は、このようにして装置種別と回線種別を判定した後、これら種別判定結果を属性変換部15へ渡す(ステップ104)。
The type determination unit 13 receives the attribute information from the packet processing unit 12, refers to the determination rule stored in the determination rule DB 14, and transmits an authentication request packet based on the attribute information extracted by the packet processing unit 12. The device type relating to the authentication requesting device 20 and the line type relating to the access line 30 used by the user terminal 40 to be authenticated are determined (step 103).
The type determination unit 13 determines the device type and the line type in this way, and then passes these type determination results to the attribute conversion unit 15 (step 104).

一方、属性変換部15は、パケット処理部12から個別記述形式の属性情報を受け取った後、属性変換部15から種別判定結果を受け取り、変換ルールDB16に格納されている変換ルールを参照して、パケット処理部12で抽出した属性情報のうち変換対象属性情報の値を、元の個別記述形式から統一記述形式へ変換し(ステップ110)、統一記述形式の属性情報を認証処理部17へ渡す(ステップ111)。   On the other hand, the attribute conversion unit 15 receives the attribute information in the individual description format from the packet processing unit 12, receives the type determination result from the attribute conversion unit 15, and refers to the conversion rule stored in the conversion rule DB 16, Of the attribute information extracted by the packet processing unit 12, the value of the conversion target attribute information is converted from the original individual description format to the unified description format (step 110), and the attribute information in the unified description format is passed to the authentication processing unit 17 ( Step 111).

認証処理部17は、属性変換部15から統一記述形式の属性情報を受け取って、この属性情報に基づき、属性情報とユーザDB19に記憶されている、認証処理対象であるユーザやユーザ端末40の属性情報とを比較するなどにより、ユーザ端末40に関する認証処理を行い(ステップ112)、この認証処理に関する認証処理結果として統一記述形式からなる属性情報を属性変換部15へ渡す(ステップ113)。なお、ステップ111とステップ113は、共に統一記述形式からなる属性情報であるが、ステップ111の属性情報は、認証要求パケットから抽出した属性情報を属性変換部15で変換したものであり、ステップ113の属性情報は、認証処理部17で生成したものである。   The authentication processing unit 17 receives the attribute information in the unified description format from the attribute conversion unit 15, and based on this attribute information, the attribute information and the attributes of the user and user terminal 40 that are the authentication processing target stored in the user DB 19. Authentication processing related to the user terminal 40 is performed by comparing the information (step 112), and attribute information having a unified description format is passed to the attribute conversion unit 15 as an authentication processing result related to the authentication processing (step 113). Note that step 111 and step 113 are both attribute information in the unified description format. The attribute information in step 111 is obtained by converting the attribute information extracted from the authentication request packet by the attribute conversion unit 15. The attribute information is generated by the authentication processing unit 17.

属性変換部15は、認証処理部17から統一記述形式の属性情報を受け取った後、変換ルールDB16に格納されている逆変換ルールを参照して、認証処理部17から受け取った属性情報のうち逆変換対象属性情報の値を、統一記述形式から元の個別記述形式へ逆変換し(ステップ114)、個別記述形式の属性情報をパケット処理部12へ渡す(ステップ115)。   After receiving the attribute information in the unified description format from the authentication processing unit 17, the attribute conversion unit 15 refers to the reverse conversion rule stored in the conversion rule DB 16 and reverses the attribute information received from the authentication processing unit 17. The value of the conversion target attribute information is inversely converted from the unified description format to the original individual description format (step 114), and the attribute information in the individual description format is passed to the packet processing unit 12 (step 115).

パケット処理部12は、属性変換部15から受け取った個別記述形式の属性情報に基づいて、認証応答パケットを作成し(ステップ116)、通信I/F部11を介して認証要求装置20へ返送する(ステップ117)。
これにより、認証要求装置20では、認証応答パケットで通知された認証結果が認証OKの場合、ユーザ端末40への通信サービス提供のための通信経路確立処理を行い、認証エラーの場合、ユーザ端末40に対して通信サービスの提供ができない旨のエラーメッセージを通知する。
The packet processing unit 12 creates an authentication response packet based on the attribute information in the individual description format received from the attribute conversion unit 15 (step 116), and returns it to the authentication requesting device 20 via the communication I / F unit 11. (Step 117).
As a result, the authentication requesting device 20 performs communication path establishment processing for providing a communication service to the user terminal 40 when the authentication result notified by the authentication response packet is OK, and in the case of an authentication error, the user terminal 40 An error message indicating that the communication service cannot be provided is notified.

[種別判定動作]
次に、本実施の形態にかかる認証システムの種別判定部13における種別判定動作について説明する。
まず、図7を参照して、種別判定部13での装置種別判定動作について説明する。図7は、第1の実施の形態にかかる装置種別判定処理を示すフローチャートである。ここでは、前述した図2の装置種別判定ルールに基づいて認証要求装置20の装置種別を判定する場合を例として説明する。
[Type judgment operation]
Next, the type determination operation in the type determination unit 13 of the authentication system according to this exemplary embodiment will be described.
First, the device type determination operation in the type determination unit 13 will be described with reference to FIG. FIG. 7 is a flowchart illustrating apparatus type determination processing according to the first embodiment. Here, a case where the device type of the authentication requesting device 20 is determined based on the above-described device type determination rule of FIG. 2 will be described as an example.

種別判定部13は、パケット処理部12から個別記述形式の属性情報を受け取った場合、判定ルールDB14に格納されている装置種別判定ルールを参照して、装置種別判定動作を開始する。なお、図7の装置種別判定処理は、あくまでも前述した図2の装置種別判定ルールを用いる場合に適用される処理手順の一例であって、他の装置種別判定ルールを用いる場合には、他の処理手順が適用される。   When receiving the attribute information in the individual description format from the packet processing unit 12, the type determining unit 13 refers to the device type determining rule stored in the determination rule DB 14 and starts the device type determining operation. Note that the device type determination process in FIG. 7 is merely an example of a processing procedure that is applied when the above-described device type determination rule in FIG. 2 is used. Processing procedures apply.

まず、種別判定部13は、パケット処理部12から個別記述形式の属性情報のうち、認証要求装置20のIPアドレス、すなわち送信元アドレスが、装置種別判定ルールのいずれかの組に存在するか確認する(ステップ130)。
ここで、送信元アドレスがいずれかの組に存在する場合(ステップ130:YES)、種別判定部13は、当該送信元アドレスと組をなす装置種別を取得し(ステップ131)、一連の装置種別判定処理を終了する。
First, the type determination unit 13 confirms whether the IP address of the authentication requesting device 20, that is, the transmission source address in the attribute information in the individual description format from the packet processing unit 12 exists in any set of the device type determination rules. (Step 130).
Here, when the transmission source address exists in any pair (step 130: YES), the type determination unit 13 acquires a device type that forms a pair with the transmission source address (step 131), and a series of device types. The determination process ends.

一方、送信元アドレスがいずれの組にも存在しない場合(ステップ130:NO)、種別判定部13は、装置種別判定不能と判断して、認証要求パケットの破棄などの異常処理を実行した後(ステップ132)、一連の装置種別判定処理を終了する。   On the other hand, if the source address does not exist in any group (step 130: NO), the type determination unit 13 determines that the device type determination is impossible, and executes an abnormal process such as discarding the authentication request packet ( Step 132), a series of device type determination processing is terminated.

次に、図8を参照して、種別判定部13での回線種別判定動作について説明する。図8は、第1の実施の形態にかかる回線種別判定処理を示すフローチャートである。ここでは、前述した図3の回線種別判定ルールに基づいてアクセス回線30の回線種別を判定する場合を例として説明する。   Next, the line type determination operation in the type determination unit 13 will be described with reference to FIG. FIG. 8 is a flowchart illustrating the line type determination process according to the first embodiment. Here, a case where the line type of the access line 30 is determined based on the above-described line type determination rule of FIG. 3 will be described as an example.

種別判定部13は、パケット処理部12から個別記述形式の属性情報を受け取った場合、判定ルールDB14に格納されている回線種別判定ルールを参照して、回線種別判定動作を開始する。前述した図3の回線種別判定ルールを用いる場合、図8の回線種別判定処理が実行される。なお、図8の回線種別判定処理は、あくまでも前述した図3の回線種別判定ルールを用いる場合に適用される処理手順の一例であって、他の回線種別判定ルールを用いる場合には、他の処理手順が適用される。   When the type determination unit 13 receives the attribute information in the individual description format from the packet processing unit 12, the type determination unit 13 refers to the line type determination rule stored in the determination rule DB 14 and starts the line type determination operation. When the above-described line type determination rule of FIG. 3 is used, the line type determination process of FIG. 8 is executed. Note that the line type determination process of FIG. 8 is merely an example of a processing procedure applied when the above-described line type determination rule of FIG. 3 is used, and when other line type determination rules are used, Processing procedures apply.

まず、種別判定部13は、パケット処理部12から受け取った個別記述形式の属性情報に、属性情報Aが存在するか確認する(ステップ140)。パケット処理部12において、属性情報Aが認証要求パケットに含まれていない場合や、有効な値の属性情報Aが抽出できなかった場合、属性情報Aは属性情報として出力されない。   First, the type determination unit 13 confirms whether or not the attribute information A exists in the attribute information in the individual description format received from the packet processing unit 12 (step 140). In the packet processing unit 12, when the attribute information A is not included in the authentication request packet or when the attribute information A having a valid value cannot be extracted, the attribute information A is not output as the attribute information.

受け取った属性情報に属性情報Aが存在する場合(ステップ140:YES)、受け取った属性情報Aの値型がIPv4アドレスまたはIPv6アドレスであるか確認する(ステップ141)。各値型については、それぞれの値型が取りうる数値範囲や文字・記号、さらにはこれら桁位置や桁数などの特徴に基づき確認すればよい。   When the attribute information A exists in the received attribute information (step 140: YES), it is confirmed whether the value type of the received attribute information A is an IPv4 address or an IPv6 address (step 141). Each value type may be confirmed based on a numerical range, characters / symbols that can be taken by each value type, and features such as the digit position and the number of digits.

ここで、属性情報Aの値型がIPv4アドレスまたはIPv6アドレスである場合(ステップ141:YES)、種別判定部13は、アクセス回線30の回線種別を「α」と判定し(ステップ142)、一連の回線種別判定処理を終了する。
一方、属性情報Aの値型がIPv4アドレスまたはIPv6アドレス以外の場合(ステップ141:NO)、種別判定部13は、回線種別判定不能と判断して、認証要求パケットの破棄などの異常処理を実行した後(ステップ146)、一連の回線種別判定処理を終了する。
Here, when the value type of the attribute information A is an IPv4 address or an IPv6 address (step 141: YES), the type determination unit 13 determines the line type of the access line 30 as “α” (step 142), The line type determination process is terminated.
On the other hand, when the value type of the attribute information A is other than the IPv4 address or the IPv6 address (step 141: NO), the type determining unit 13 determines that the line type cannot be determined and executes an abnormal process such as discarding the authentication request packet. (Step 146), the series of line type determination processing is terminated.

また、ステップ140において、パケット処理部12から受け取った個別記述形式の属性情報に、属性情報Aが存在しない場合(ステップ140:NO)、種別判定部13は、受け取った属性情報に、値型がIPv4アドレスの属性情報Bが存在するか確認する(ステップ143)。
ここで、値型がIPv4アドレスの属性情報Bが存在する場合(ステップ143:YES)、種別判定部13は、受け取った属性情報に、値型が整数形式の属性情報Cが存在するか確認する(ステップ144)。
In step 140, when the attribute information A does not exist in the attribute information in the individual description format received from the packet processing unit 12 (step 140: NO), the type determination unit 13 sets the value type to the received attribute information. It is confirmed whether or not the attribute information B of the IPv4 address exists (step 143).
Here, when the attribute information B whose value type is IPv4 address exists (step 143: YES), the type determination unit 13 confirms whether or not the attribute information C whose value type is an integer format exists in the received attribute information. (Step 144).

ここで、値型が整数形式の属性情報Cが存在する場合(ステップ144:YES)、種別判定部13は、アクセス回線30の回線種別を「β」と判定し(ステップ145)、一連の回線種別判定処理を終了する。
一方、受け取った属性情報に、値型がIPv4アドレスの属性情報Bが存在しない場合(ステップ143:NO)、および値型が整数形式の属性情報Cが存在しない場合(ステップ144:NO)、種別判定部13は、回線種別判定不能と判断し(ステップ146)、一連の回線種別判定処理を終了する。
Here, when the attribute information C whose value type is an integer format exists (step 144: YES), the type determination unit 13 determines the line type of the access line 30 as “β” (step 145), and a series of lines The type determination process ends.
On the other hand, when the attribute information B whose value type is IPv4 address does not exist in the received attribute information (step 143: NO), and when attribute information C whose value type is an integer format does not exist (step 144: NO), The determination unit 13 determines that the line type cannot be determined (step 146), and ends the series of line type determination processes.

図9は、種別判定例を示す説明図である。ここでは、前述した図7の装置種別判定処理および図8の回線種別判定処理に基づく種別判定結果が示されている。
例えば、送信元アドレスが「10.0.0.1」で、属性情報Aが「10.0.0.2」すなわち値型が「IPv4アドレス」の場合、装置種別が「X」で回線種別が「α」と判定される。また、送信元アドレスが「10.0.1.1」で、属性情報Aが存在せず、属性情報Bが「10.0.1.2」すなわち値型が「IPv4アドレス」で、属性情報Cが「12345678」すなわち値型が整数の場合、装置種別が「X」で回線種別が「β」と判定される。また、送信元アドレスが「10.0.2.1」で、属性情報Aが「2001::1」すなわち値型が「IPv6アドレス」の場合、装置種別が「Y」で回線種別が「α」と判定される。なお、図9における「−」は、認証要求パケットに、対応する値型の属性情報と該当するものが含まれていないことを示している。
FIG. 9 is an explanatory diagram illustrating a type determination example. Here, the type determination result based on the apparatus type determination process of FIG. 7 and the line type determination process of FIG. 8 described above is shown.
For example, when the transmission source address is “10.0.0.1” and the attribute information A is “10.0.0.2”, that is, the value type is “IPv4 address”, it is determined that the device type is “X” and the line type is “α”. . Further, the source address is “10.0.1.1”, the attribute information A does not exist, the attribute information B is “10.0.1.2”, that is, the value type is “IPv4 address”, and the attribute information C is “12345678”, that is, the value type. Is an integer, it is determined that the device type is “X” and the line type is “β”. Further, when the transmission source address is “10.0.2.1” and the attribute information A is “2001 :: 1”, that is, the value type is “IPv6 address”, it is determined that the device type is “Y” and the line type is “α”. The Note that “-” in FIG. 9 indicates that the authentication request packet does not include the corresponding value type attribute information.

[属性変換動作]
次に、本実施の形態にかかる認証システムの種別判定部13における属性変換動作について説明する。
まず、図10を参照して、属性変換部15での属性変換動作について説明する。図10は、第1の実施の形態にかかる属性変換処理を示すフローチャートである。ここでは、前述した図4の変換ルールに基づいて、パケット処理部12から受け取った属性情報を、個別記述形式から統一記述形式へ変換する場合を例として説明する。
[Attribute conversion operation]
Next, an attribute conversion operation in the type determination unit 13 of the authentication system according to this exemplary embodiment will be described.
First, the attribute conversion operation in the attribute conversion unit 15 will be described with reference to FIG. FIG. 10 is a flowchart illustrating attribute conversion processing according to the first embodiment. Here, a case will be described as an example where the attribute information received from the packet processing unit 12 is converted from the individual description format to the unified description format based on the conversion rule of FIG. 4 described above.

属性変換部15は、種別判定部13から種別判定結果を受け取った場合、変換ルールDB16に格納されている変換ルールを参照して、属性変換動作を開始する。なお、図10の属性変換処理は、あくまでも前述した図4の変換ルールを用いる場合に適用される処理手順の一例であって、他の変換ルールを用いる場合には、他の処理手順が適用される。   When the attribute conversion unit 15 receives the type determination result from the type determination unit 13, the attribute conversion unit 15 refers to the conversion rule stored in the conversion rule DB 16 and starts the attribute conversion operation. Note that the attribute conversion process of FIG. 10 is merely an example of a process procedure applied when using the conversion rule of FIG. 4 described above, and other process procedures are applied when using other conversion rules. The

まず、属性変換部15は、種別判定部13から受け取った種別判定結果の装置種別と回線種別が、変換ルールに存在するか確認する(ステップ150)。
装置種別と回線種別が変換ルールのうちのいずれかの組に存在する場合(ステップ150:YES)、属性変換部15は、変換ルールのうち装置種別と回線種別が存在する組に変換対象の指定が存在するか確認する(ステップ151)。
First, the attribute conversion unit 15 checks whether the device type and the line type of the type determination result received from the type determination unit 13 exist in the conversion rule (step 150).
When the device type and the line type exist in any one of the conversion rules (step 150: YES), the attribute conversion unit 15 designates the conversion target in the conversion rule that includes the device type and the line type. (Step 151).

ここで、変換ルールのうち装置種別と回線種別が存在する組に変換対象の指定が存在する場合(ステップ151:YES)、属性変換部15は、当該組の変換式に基づいて、変換対象となる属性情報を個別記述形式から統一記述形式へ変換し(ステップ152)、一連の属性変換処理を終了する。
一方、装置種別と回線種別が変換ルールのうちのいずれかの組に存在しない場合(ステップ150:NO)、および変換ルールのうち装置種別と回線種別が存在する組に変換対象の指定が存在しない場合(ステップ151:NO)、属性変換部15は、属性情報変換不能と判断して、認証要求パケットの破棄などの異常処理を実行した後(ステップ153)、一連の属性変換処理を終了する。
Here, when the conversion target exists in the conversion rule that includes the device type and the line type (step 151: YES), the attribute conversion unit 15 determines the conversion target based on the conversion formula of the set. The attribute information is converted from the individual description format to the unified description format (step 152), and the series of attribute conversion processing ends.
On the other hand, when the device type and the line type do not exist in any one of the conversion rules (step 150: NO), the conversion target does not exist in the combination of the conversion rule in which the device type and the line type exist. In the case (step 151: NO), the attribute conversion unit 15 determines that the attribute information cannot be converted, executes an abnormal process such as discarding the authentication request packet (step 153), and then ends the series of attribute conversion processes.

図11は、属性情報変換例を示す説明図である。ここでは、前述した図10の属性変換処理に基づく属性変換結果が示されている。
例えば、装置種別が「X」で回線種別が「α」と判定された図9のエントリ1の場合、属性情報Aが変換対象となり、元の個別記述形式の属性情報A値「10.0.0.2」が統一記述形式の「IPv4_10.0.0.2」に変換される。また、装置種別が「X」で回線種別が「β」と判定された図9のエントリ2の場合、属性情報Aが変換対象となり、元の個別記述形式の属性情報A値「2001::1」が統一記述形式の「IPv6_2001::1」に変換される。また、装置種別が「Y」で回線種別が「α」と判定された図9のエントリ3の場合、属性情報B,Cが変換対象となり、元の個別記述形式の属性情報B値「10.0.0.2」と属性情報C値「12345678」が統一記述形式の「IPv4_10.0.0.2_12345678」に変換される。
FIG. 11 is an explanatory diagram illustrating an example of attribute information conversion. Here, an attribute conversion result based on the attribute conversion process of FIG. 10 described above is shown.
For example, in the case of entry 1 in FIG. 9 in which the device type is determined to be “X” and the line type is determined to be “α”, the attribute information A becomes the conversion target, and the attribute information A value “10.0.0.2” of the original individual description format Is converted to the unified description format “IPv4 — 1.0.0.0.2”. In the case of entry 2 in FIG. 9 in which the device type is “X” and the line type is “β”, the attribute information A is the conversion target, and the attribute information A value “2001 :: 1” of the original individual description format is used. Is converted to “IPv6 — 2001 :: 1” in the unified description format. In the case of entry 3 in FIG. 9 in which the device type is determined to be “Y” and the line type is determined to be “α”, the attribute information B and C are to be converted, and the attribute information B value “10.0. 0.2 ”and the attribute information C value“ 12345678 ”are converted into“ IPv4 — 1.0.0.0.2 — 12345678 ”in the unified description format.

次に、図12を参照して、属性変換部15での属性逆変換動作について説明する。図12は、第1の実施の形態にかかる属性逆変換処理を示すフローチャートである。ここでは、前述した図5の逆変換ルールに基づいて、認証処理部17から受け取った認証処理結果に関する属性情報を、統一記述形式から個別記述形式へ逆変換する場合を例として説明する。   Next, the attribute reverse conversion operation in the attribute conversion unit 15 will be described with reference to FIG. FIG. 12 is a flowchart illustrating attribute reverse conversion processing according to the first embodiment. Here, a case will be described as an example in which attribute information related to the authentication processing result received from the authentication processing unit 17 is reversely converted from the unified description format to the individual description format based on the reverse conversion rule of FIG. 5 described above.

属性変換部15は、認証処理部17から認証処理結果に関する属性情報を受け取った場合、変換ルールDB16に格納されている逆変換ルールを参照して、属性逆変換動作を開始する。なお、図12の属性逆変換処理は、あくまでも前述した図5の逆変換ルールを用いる場合に適用される処理手順の一例であって、他の逆変換ルールを用いる場合には、他の処理手順が適用される。   When the attribute conversion unit 15 receives the attribute information regarding the authentication processing result from the authentication processing unit 17, the attribute conversion unit 15 refers to the reverse conversion rule stored in the conversion rule DB 16 and starts the attribute reverse conversion operation. Note that the attribute reverse conversion process of FIG. 12 is merely an example of a process procedure applied when using the reverse conversion rule of FIG. 5 described above, and when using another reverse conversion rule, other process procedures are performed. Applies.

まず、属性変換部15は、認証処理部17から受け取った属性情報に対応する種別判定結果の装置種別と回線種別が、逆変換ルールに存在するか確認する(ステップ160)。
装置種別と回線種別が逆変換ルールのうちのいずれかの組に存在する場合(ステップ160:YES)、属性変換部15は、逆変換ルールのうち装置種別と回線種別が存在する組に逆変換対象の指定が存在するか確認する(ステップ161)。
First, the attribute conversion unit 15 confirms whether the device type and the line type of the type determination result corresponding to the attribute information received from the authentication processing unit 17 exist in the reverse conversion rule (step 160).
When the device type and the line type exist in any one of the reverse conversion rules (step 160: YES), the attribute conversion unit 15 performs reverse conversion to a set in which the device type and the line type exist among the reverse conversion rules. It is confirmed whether the target designation exists (step 161).

ここで、逆変換ルールのうち装置種別と回線種別が存在する組に逆変換対象の指定が存在する場合(ステップ161:YES)、属性変換部15は、逆変換対象となる属性情報を、統一記述形式から、当該組の値型からなる個別記述形式の属性値へ逆変換し(ステップ162)、一連の属性変換処理を終了する。
一方、装置種別と回線種別が逆変換ルールのうちのいずれかの組に存在しない場合(ステップ160:NO)、および逆変換ルールのうち装置種別と回線種別が存在する組に変換対象の指定が存在しない場合(ステップ161:NO)、属性変換部15は、属性情報逆変換不能と判断して、認証要求パケットの破棄などの異常処理を実行した後(ステップ163)、一連の属性変換処理を終了する。
Here, when the reverse conversion target is specified in the combination of the device type and the line type in the reverse conversion rule (step 161: YES), the attribute conversion unit 15 unifies the attribute information to be the reverse conversion target. The description format is inversely converted to the attribute value of the individual description format composed of the value type of the set (step 162), and the series of attribute conversion processing ends.
On the other hand, when the device type and the line type do not exist in any of the reverse conversion rules (step 160: NO), the conversion target is specified in the reverse conversion rule in which the device type and the line type exist. If it does not exist (step 161: NO), the attribute conversion unit 15 determines that the attribute information reverse conversion is impossible and executes an abnormal process such as discarding the authentication request packet (step 163), and then performs a series of attribute conversion processes. finish.

図13は、属性情報逆変換例を示す説明図である。ここでは、前述した図12の属性逆変換処理に基づく属性逆変換結果が示されている。
例えば、装置種別が「X」で回線種別が「α」と判定された図9のエントリ1の場合、属性情報Dが逆変換対象となり、統一記述形式の属性情報D値が「1」の場合には、文字列からなる個別記述形式の「OK」に変換され、統一記述形式の属性情報D値が「0」の場合には、値型が文字列からなる個別記述形式の「NG」に変換される。また、装置種別が「X」で回線種別が「β」と判定された図9のエントリ2の場合も同様である。また、装置種別が「Y」で回線種別が「α」と判定された図9のエントリ3の場合、属性情報Eが変換対象となり、値型が数値からなる個別記述形式の新たな属性情報Eとして「1」が追加される。
FIG. 13 is an explanatory diagram illustrating an example of reverse conversion of attribute information. Here, an attribute reverse conversion result based on the attribute reverse conversion process of FIG. 12 described above is shown.
For example, in the case of entry 1 in FIG. 9 in which the device type is “X” and the line type is determined to be “α”, the attribute information D is subject to reverse conversion, and the attribute information D value in the unified description format is “1”. Is converted to “OK” in the individual description format consisting of character strings, and when the attribute information D value in the unified description format is “0”, the value type is changed to “NG” in the individual description format consisting of character strings. Converted. The same applies to the case of entry 2 in FIG. 9 where the device type is “X” and the line type is determined to be “β”. In addition, in the case of entry 3 in FIG. 9 in which the device type is determined to be “Y” and the line type is “α”, the attribute information E is to be converted, and the new attribute information E in the individual description format whose value type is a numerical value “1” is added.

[第1の実施の形態の効果]
このように、本実施の形態は、種別判定部13により、認証要求装置20からの認証要求パケットから抽出した属性情報に基づいて、認証要求装置20の装置種別または/およびアクセス回線30の回線種別を判定し、この種別判定結果に基づいて、属性変換部15により、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を特定の統一記述形式へ変換し、この統一記述形式からなる属性情報に基づいて、認証処理部17により、ユーザ端末40に関する認証処理を行う。
[Effect of the first embodiment]
As described above, according to the present embodiment, the type determination unit 13 determines the device type of the authentication requesting device 20 and / or the line type of the access line 30 based on the attribute information extracted from the authentication request packet from the authentication requesting device 20. Based on the type determination result, the attribute conversion unit 15 converts attribute information composed of individual individual description formats for each device type and / or line type into a specific unified description format. The authentication processing unit 17 performs authentication processing on the user terminal 40 based on the attribute information consisting of

したがって、レルムに依存せず、異なる種類の認証要求装置20やアクセス回線30が収容される環境であっても、1つの認証システム、さらには1種類の統一記述形式で認証処理する認証処理部で対応できる。このため、異なる種類の認証要求装置20やアクセス回線30をレルムに追加する場合でも、これらに対応する認証処理部17を追加する必要はなく、設備を柔軟かつ効率よく利用することが可能となる。   Therefore, even in an environment where different types of authentication requesting devices 20 and access lines 30 are accommodated without depending on the realm, the authentication processing unit performs authentication processing in one authentication system and further in one type of unified description format. Yes. For this reason, even when different types of authentication requesting devices 20 and access lines 30 are added to the realm, it is not necessary to add authentication processing units 17 corresponding to these, and facilities can be used flexibly and efficiently. .

また、装置種別または/および回線種別に応じて、認証要求パケットから抽出した属性情報に対する統一記述形式への変換要否を決定できることから、変換処理が必要ではない認証パケットについては変換処理の対象外とすることができ、全ての認証要求パケットを変換処理する場合と比較して、不要な処理負担の発生を抑制できる。このため、変換処理が不要な認証要求パケットを多数受信する環境では、変換処理に要する処理負荷を大幅に削減することができる。   In addition, since it is possible to determine whether or not the attribute information extracted from the authentication request packet needs to be converted to a unified description format according to the device type and / or line type, authentication packets that do not require conversion processing are not subject to conversion processing. As compared with the case where all the authentication request packets are converted, the generation of unnecessary processing burden can be suppressed. For this reason, in an environment where a large number of authentication request packets that do not require conversion processing are received, the processing load required for the conversion processing can be greatly reduced.

また、本実施の形態では、種別判定部13により、認証要求装置20のIPアドレスと当該認証要求装置20の装置種別との組からなる装置種別判定ルールを参照し、パケット処理部12で属性情報として抽出した当該認証要求装置20のIPアドレスと組をなす装置種別を、当該認証要求装置20の装置種別として取得するようにしたので、極めて簡素な処理で認証要求装置20の装置種別を精度よく判定することができる。   In the present embodiment, the type determination unit 13 refers to a device type determination rule including a set of the IP address of the authentication requesting device 20 and the device type of the authentication requesting device 20, and the packet processing unit 12 performs attribute information. Since the device type paired with the IP address of the authentication requesting device 20 extracted as is acquired as the device type of the authentication requesting device 20, the device type of the authentication requesting device 20 can be accurately obtained by extremely simple processing. Can be determined.

また、本実施の形態では、種別判定部13により、パケット処理部12で抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、パケット処理部12で属性情報として抽出した判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置20の回線種別として取得するようにしたので、極めて簡素な処理で認証要求装置20の装置種別を精度よく判定することができる。   Further, in the present embodiment, a line made up of a set of a value type relating to determination target attribute information to be determined among the attribute information extracted by the packet processing unit 12 by the type determination unit 13 and the line type of the access line. By referring to the type determination rule and acquiring the line type paired with the value type of the determination target attribute information extracted as attribute information by the packet processing unit 12 as the line type of the authentication requesting apparatus 20, it is extremely simple. The device type of the authentication requesting device 20 can be determined with high accuracy.

また、本実施の形態では、属性変換部15により、認証要求装置20の装置種別または/およびアクセス回線30の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、種別判定部13で得られた装置種別または/および回線種別と組をなす変換対象属性情報および変換式を取得し、パケット処理部12で抽出した変換対象属性情報の値を当該変換式に基づいて統一記述形式へ変換するようにしたので、複雑な処理を必要とすることなく、装置種別または/および回線種別ごとに、任意の属性情報を統一記述形式へ変換することができる。   In the present embodiment, the attribute conversion unit 15 includes a set of the device type of the authentication requesting device 20 and / or the line type of the access line 30, the conversion target attribute information to be converted and its conversion formula. The value of the conversion target attribute information extracted by the packet processing unit 12 by acquiring the conversion target attribute information and the conversion formula paired with the device type or / and the line type obtained by the type determination unit 13 with reference to the conversion rule Is converted to a unified description format based on the conversion formula, so that any attribute information can be converted to a unified description format for each device type and / or line type without requiring complicated processing. Can do.

また、本実施の形態では、属性変換部15により、種別判定部13での種別判定結果に基づいて、認証処理結果を示す属性情報を個別記述形式へ逆変換し、パケット処理部12により、逆変換された属性情報を含む認証応答パケットを作成して、認証要求装置20へ送信するようにしたので、レルムに依存せず、異なる種類の認証要求装置20やアクセス回線30が収容される環境であっても、装置種別または/および回線種別に対応した個別記述形式の属性情報を認証応答パケットで、認証要求装置20へ返送することができる。   In the present embodiment, the attribute conversion unit 15 reversely converts the attribute information indicating the authentication processing result into the individual description format based on the type determination result in the type determination unit 13, and the packet processing unit 12 performs the reverse conversion. Since the authentication response packet including the converted attribute information is created and transmitted to the authentication requesting device 20, it is not dependent on the realm, and in an environment in which different types of authentication requesting devices 20 and access lines 30 are accommodated. Even in this case, attribute information in the individual description format corresponding to the device type and / or the line type can be returned to the authentication requesting device 20 as an authentication response packet.

また、本実施の形態では、属性変換部15により、認証要求装置20の装置種別または/およびアクセス回線30の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、種別判定部13で得られた装置種別または/および回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて個別記述形式へ逆変換するようにしたので、複雑な処理を必要とすることなく、装置種別または/および回線種別ごとに、認証処理結果を示す属性情報を元の個別記述形式へ変換することができる。   Further, in the present embodiment, the attribute conversion unit 15 causes the device type of the authentication requesting device 20 and / or the line type of the access line 30, the reverse conversion target attribute information, the value type, and the attribute value to be reverse converted. Referring to the reverse conversion rule consisting of the group, the reverse conversion target attribute information, value type, and attribute value corresponding to the device type and / or line type obtained by the type determination unit 13 are acquired, and the authentication processing result is obtained. Since the value of the reverse conversion target attribute information among the attribute information shown is reversely converted into the individual description format based on the value type and the attribute value, the device type or / and / or without complicated processing is required. The attribute information indicating the authentication processing result can be converted into the original individual description format for each line type.

[第2の実施の形態]
次に、本発明の第2の実施の形態にかかる認証システムについて説明する。
第1の実施の形態では、種別判定部13で判定した装置種別または/および回線種別に応じて、属性変換部15で、認証要求パケットから抽出した属性情報を、個別記述形式から統一記述形式へ変換し、この統一記述形式からなる属性情報に基づき認証処理部17で認証処理を行う場合を例として説明した。これは、統一記述形式からなる属性情報に基づき認証処理を行う1つまたは複数の認証処理部17が設けられていることを前提としている
[Second Embodiment]
Next, an authentication system according to the second embodiment of the present invention will be described.
In the first embodiment, the attribute conversion unit 15 converts the attribute information extracted from the authentication request packet from the individual description format to the unified description format according to the device type and / or the line type determined by the type determination unit 13. The case where the authentication processing unit 17 performs authentication processing based on the attribute information having the unified description format after conversion has been described as an example. This is based on the premise that one or a plurality of authentication processing units 17 that perform authentication processing based on attribute information in a unified description format are provided.

これに対して、認証処理可能な属性情報の記述形式が異なる認証処理部17を複数用いる場合もある。例えば、統一記述形式の属性情報に対してのみ認証処理を行う認証処理部17や、特定の個別記述形式と統一記述形式の属性情報に対して認証処理を行う認証処理部17を組み合わせて認証システムを構成する場合もある。
本実施の形態では、このような認証処理可能な記述形式が異なる認証処理部17を組み合わせて用いる場合について説明する。
On the other hand, a plurality of authentication processing units 17 having different description formats of attribute information that can be authenticated may be used. For example, an authentication system that combines an authentication processing unit 17 that performs authentication processing only on attribute information in a unified description format, or an authentication processing unit 17 that performs authentication processing on attribute information in a specific individual description format and a unified description format. May be configured.
In the present embodiment, a case will be described in which authentication processing units 17 having different description formats capable of authentication processing are used in combination.

本実施の形態において、認証処理部17は、種別判定部13で判定した装置種別または/および回線種別に基づいて、これら種別に対応する個別記述形式の属性情報について認証処理可能か否か判定する機能と、当該個別形式について認証処理が不可能な場合には、統一記述形式での属性情報を要求する統一情報要求を属性変換部15に対して通知する機能と、当該個別形式について認証処理が可能な場合には、個別記述形式での属性情報を要求する個別情報要求を属性変換部15に対して通知する機能とを有している。   In the present embodiment, the authentication processing unit 17 determines, based on the device type and / or line type determined by the type determining unit 13, whether authentication processing is possible for the attribute information in the individual description format corresponding to these types. When the authentication process is impossible for the function and the individual format, the function for notifying the attribute conversion unit 15 of a unified information request for requesting attribute information in the unified description format, and the authentication process for the individual format are performed. If possible, it has a function of notifying the attribute conversion unit 15 of an individual information request for requesting attribute information in the individual description format.

また、属性変換部15は、認証処理部17からの統一情報要求に応じて、パケット処理部12で抽出した属性情報を統一記述形式へ変換して、認証処理部17へ渡す機能と、認証処理部17からの個別情報要求に応じて、パケット処理部12で抽出した属性情報を個別記述形式のまま、認証処理部17へ渡す機能とを有している。
認証システム10におけるこのほかの構成については、第1の実施の形態と同様であり、ここでの詳細な説明は省略する。
In addition, the attribute conversion unit 15 converts the attribute information extracted by the packet processing unit 12 into a unified description format in response to a unified information request from the authentication processing unit 17 and passes the attribute information to the authentication processing unit 17; In response to an individual information request from the unit 17, the attribute information extracted by the packet processing unit 12 is passed to the authentication processing unit 17 in the individual description format.
Other configurations in the authentication system 10 are the same as those in the first embodiment, and a detailed description thereof is omitted here.

[第2の実施の形態の動作]
次に、図14および図15を参照して、本実施の形態にかかる認証システムの動作について説明する。図14は、第2の実施の形態にかかる認証システムの動作(属性変換要)を示すシーケンス図であり、図6と同じまたは同等部分には同一符号を付してある。図15は、第2の実施の形態にかかる認証システムの動作(属性変換不要)を示すシーケンス図であり、図6と同じまたは同等部分には同一符号を付してある。
[Operation of Second Embodiment]
Next, the operation of the authentication system according to the present embodiment will be described with reference to FIGS. FIG. 14 is a sequence diagram showing the operation (attribute conversion required) of the authentication system according to the second embodiment, and the same or equivalent parts as in FIG. 6 are denoted by the same reference numerals. FIG. 15 is a sequence diagram showing the operation (attribute conversion unnecessary) of the authentication system according to the second embodiment, and the same or equivalent parts as those in FIG. 6 are denoted by the same reference numerals.

ここでは、認証要求装置20からの認証要求パケットに応じて、認証システム10により、当該認証要求パケットに含まれている属性情報を統一記述形式へ変換して認証処理する場合と、個別記述形式のまま認証処理する場合とについて説明する。   Here, in response to the authentication request packet from the authentication requesting device 20, the authentication system 10 converts the attribute information included in the authentication request packet into a unified description format for authentication processing, and the individual description format A case where authentication processing is performed as it is will be described.

図14に示すように、認証システム10のパケット処理部12は、通信I/F部11を介して認証要求装置20からの認証要求パケットを受信した場合(ステップ100)、当該認証要求パケットから認証処理に必要な各種属性情報を抽出し(ステップ101)、抽出した属性情報を種別判定部13および属性変換部15へ渡す(ステップ102)。この属性情報は、認証要求装置20の装置種別やアクセス回線30の回線種別ごとに個別の個別記述形式で記述されている。   As shown in FIG. 14, when the packet processing unit 12 of the authentication system 10 receives an authentication request packet from the authentication requesting device 20 via the communication I / F unit 11 (step 100), authentication is performed from the authentication request packet. Various attribute information necessary for processing is extracted (step 101), and the extracted attribute information is passed to the type determination unit 13 and the attribute conversion unit 15 (step 102). This attribute information is described in an individual description format for each device type of the authentication requesting device 20 and each line type of the access line 30.

各機能部間で属性情報や種別判定結果などの処理情報をやり取りする場合、内部バスを介して機能部間で、直接、送受信してもよく、記憶部18を介して間接的にやり取りしてもよい。特に、認証処理部17を複数備えて並列処理を行う場合には、属性情報や種別判定結果をパケット処理部12や種別判定部13から記憶部18内のバッファへ順次保存し、認証処理が終了している認証処理部17から、適宜、バッファ内の属性情報や種別判定結果を取得するようにしてもよい。   When processing information such as attribute information and type determination results is exchanged between the functional units, they may be directly transmitted / received between the functional units via the internal bus, or indirectly via the storage unit 18. Also good. In particular, when performing parallel processing with a plurality of authentication processing units 17, attribute information and type determination results are sequentially stored from the packet processing unit 12 and type determination unit 13 to a buffer in the storage unit 18, and the authentication processing is completed. The attribute information in the buffer and the type determination result may be acquired as appropriate from the authentication processing unit 17 that performs the processing.

種別判定部13は、パケット処理部12から属性情報を受け取って、判定ルールDB14に格納されている判定ルールを参照して、パケット処理部12で抽出した属性情報に基づいて、認証要求パケットを送信した認証要求装置20に関する装置種別と、認証処理対象となるユーザ端末40が用いたアクセス回線30に関する回線種別を判定する(ステップ103)。
種別判定部13は、このようにして装置種別と回線種別を判定した後、これら種別判定結果を属性変換部15と認証処理部17へ渡す(ステップ104)。
The type determination unit 13 receives the attribute information from the packet processing unit 12, refers to the determination rule stored in the determination rule DB 14, and transmits an authentication request packet based on the attribute information extracted by the packet processing unit 12. The device type relating to the authentication requesting device 20 and the line type relating to the access line 30 used by the user terminal 40 to be authenticated are determined (step 103).
After determining the device type and the line type in this way, the type determination unit 13 passes these type determination results to the attribute conversion unit 15 and the authentication processing unit 17 (step 104).

認証処理部17は、種別判定部13から種別判定結果を受け取り、この種別判定結果の装置種別または/および回線種別に基づいて、これら種別に対応する個別記述形式の属性情報について認証処理可能か否か判定する(ステップ105)。この際、認証処理部17は、例えば、当該認証処理部17で認証処理可能な記述形式の属性情報が得られる、装置種別または/および回線種別を、認証処理判定情報として予め設定しておき、この認証処理判定情報を参照して、種別判定部13からの判定情報に対する認証処理の可否を判定すればよい。   The authentication processing unit 17 receives the type determination result from the type determination unit 13, and based on the device type or / and the line type of the type determination result, whether or not the authentication processing is possible for the attribute information in the individual description format corresponding to these types (Step 105). At this time, for example, the authentication processing unit 17 presets, as authentication processing determination information, the device type and / or the line type from which attribute information in a description format that can be authenticated by the authentication processing unit 17 is obtained. The authentication process determination information may be referred to determine whether or not the authentication process for the determination information from the type determination unit 13 is acceptable.

ここで、認証処理が不可能と判定された場合、認証処理部17は、統一記述形式での属性情報を要求する統一情報要求を属性変換部15に対して通知する(ステップ106)。
属性変換部15は、認証処理部17からの統一情報要求に応じて、変換ルールDB16に格納されている変換ルールを参照して、パケット処理部12で抽出した属性情報のうち変換対象属性情報の値を、元の個別記述形式から統一記述形式へ変換し(ステップ110)、統一記述形式の属性情報を認証処理部17へ渡す(ステップ111)。
この後、認証システム10では、前述した図6のステップ112以降の処理が実行される。
If it is determined that authentication processing is impossible, the authentication processing unit 17 notifies the attribute conversion unit 15 of a unified information request for requesting attribute information in the unified description format (step 106).
The attribute conversion unit 15 refers to the conversion rule stored in the conversion rule DB 16 in response to the unified information request from the authentication processing unit 17, and converts the conversion target attribute information from the attribute information extracted by the packet processing unit 12. The value is converted from the original individual description format to the unified description format (step 110), and the attribute information in the unified description format is passed to the authentication processing unit 17 (step 111).
Thereafter, in the authentication system 10, the processing after step 112 in FIG. 6 described above is executed.

一方、図15に示すように、ステップ105において、認証処理が可能と判定された場合、認証処理部17は、個別記述形式での属性情報を要求する個別情報要求を属性変換部15に対して通知する(ステップ107)。
属性変換部15は、認証処理部17からの個別情報要求に応じて、パケット処理部12で抽出した属性情報を、元の個別記述形式のまま認証処理部17へ渡す(ステップ120)。
On the other hand, as shown in FIG. 15, when it is determined in step 105 that authentication processing is possible, the authentication processing unit 17 sends an individual information request for requesting attribute information in the individual description format to the attribute conversion unit 15. Notification is made (step 107).
In response to the individual information request from the authentication processing unit 17, the attribute conversion unit 15 passes the attribute information extracted by the packet processing unit 12 to the authentication processing unit 17 in the original individual description format (step 120).

認証処理部17は、属性変換部15から個別記述形式の属性情報を受け取って、ユーザ端末40に関する認証処理を行い(ステップ121)、この認証処理に関する認証処理結果として個別記述形式からなる属性情報を属性変換部15へ渡す(ステップ122)。
属性変換部15は、認証処理部17から個別記述形式の属性情報を受け取って、逆変換処理を行うことなく、個別記述形式の属性情報をパケット処理部12へ渡す(ステップ123)。
The authentication processing unit 17 receives the attribute information in the individual description format from the attribute conversion unit 15, performs the authentication process for the user terminal 40 (step 121), and obtains the attribute information in the individual description format as the authentication processing result for the authentication process. It passes to the attribute conversion part 15 (step 122).
The attribute conversion unit 15 receives the attribute information in the individual description format from the authentication processing unit 17 and passes the attribute information in the individual description format to the packet processing unit 12 without performing the reverse conversion process (step 123).

パケット処理部12は、属性変換部15から受け取った個別記述形式の属性情報に基づいて、認証応答パケットを作成し(ステップ124)、通信I/F部11を介して認証要求装置20へ返送する(ステップ125)。
これにより、認証要求装置20では、認証応答パケットで通知された認証結果が認証OKの場合、ユーザ端末40への通信サービス提供のための通信経路確立処理を行い、認証エラーの場合、ユーザ端末40に対して通信サービスの提供ができない旨のエラーメッセージを通知する。
The packet processing unit 12 creates an authentication response packet based on the attribute information in the individual description format received from the attribute conversion unit 15 (step 124), and returns it to the authentication requesting device 20 via the communication I / F unit 11. (Step 125).
As a result, the authentication requesting device 20 performs communication path establishment processing for providing a communication service to the user terminal 40 when the authentication result notified by the authentication response packet is OK, and in the case of an authentication error, the user terminal 40 An error message indicating that the communication service cannot be provided is notified.

[第2の実施の形態の効果]
このように、本実施の形態では、認証処理部17により、種別判定部で得られた装置種別または/および回線種別に基づいて、パケット処理部で抽出した属性情報について認証処理が可能か否か判断し、当該認証処理が不可能な場合には統一記述形式からなる属性情報を要求する統一情報要求を属性変換部15に対して通知し、当該認証処理が可能な場合には個別記述形式からなる属性情報を要求する個別情報要求を属性変換部15に対して通知し、属性変換部15により、統一情報要求が通知された場合、パケット処理部12で抽出した属性情報を統一記述形式への変換して認証処理部17へ出力し、個別情報要求が通知された場合、パケット処理部12で抽出した属性情報を個別記述形式のまま認証処理部17へ出力する。
これにより、認証要求パケットに含まれる属性情報の個別記述形式が、認証処理部17で認証処理可能な場合には、属性変換部15での属性変換処理を省くことができる。
[Effect of the second embodiment]
As described above, in this embodiment, whether or not the authentication processing unit 17 can perform authentication processing on the attribute information extracted by the packet processing unit based on the device type and / or the line type obtained by the type determination unit. If the authentication process is impossible, a unified information request for requesting attribute information in the unified description format is notified to the attribute conversion unit 15. If the authentication process is possible, the individual description format is used. An individual information request for requesting attribute information is sent to the attribute conversion unit 15, and when the unified information request is notified by the attribute conversion unit 15, the attribute information extracted by the packet processing unit 12 is converted into a unified description format. When converted and output to the authentication processing unit 17 and an individual information request is notified, the attribute information extracted by the packet processing unit 12 is output to the authentication processing unit 17 in the individual description format.
As a result, when the individual description format of the attribute information included in the authentication request packet can be authenticated by the authentication processing unit 17, the attribute conversion processing by the attribute conversion unit 15 can be omitted.

[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
[Extended embodiment]
The present invention has been described above with reference to the embodiments, but the present invention is not limited to the above embodiments. Various changes that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention.

各実施の形態では、各種機能部が認証システム10を構成する1つの情報装置内に実装されている場合を例として説明したが、これら機能部は、サーバ装置などの複数の情報処理装置に分散して実装してもよい。このようなシステム構成には、通信ネットワークを介してこれら情報処理装置間でデータ通信を行うことにより、各種処理装置をやり取りすればよい。また、これら機能部は、システム構成に応じて、同一機能部を、複数、並列的に設けてもよい。   In each embodiment, the case where various functional units are mounted in one information device constituting the authentication system 10 has been described as an example. However, these functional units are distributed to a plurality of information processing devices such as server devices. May be implemented. In such a system configuration, various processing devices may be exchanged by performing data communication between these information processing devices via a communication network. These functional units may be provided with a plurality of the same functional units in parallel according to the system configuration.

また、各実施の形態では、認証システム10に対して3つの認証要求装置21,22,23が接続され、これら認証要求装置21,22,23に対してそれぞれ1つずつユーザ端末41,42,43が接続されている場合を例として説明したが、これに限定されるものではない。認証システム10に対して接続される認証要求装置20の数、各認証要求装置20に対して接続されるユーザ端末40の数については、それぞれのレルムに応じて、適宜、変更すればよい。   In each embodiment, three authentication requesting devices 21, 22, 23 are connected to the authentication system 10, and one user terminal 41, 42, one for each of these authentication requesting devices 21, 22, 23, respectively. Although the case where 43 is connected was demonstrated as an example, it is not limited to this. What is necessary is just to change suitably about the number of the authentication request | requirement apparatuses 20 connected with respect to the authentication system 10, and the number of the user terminals 40 connected with respect to each authentication request | requirement apparatus 20 according to each realm.

また、各実施の形態では、VPNなどの通信サービスを提供する際に行う認証処理を例として説明したが、VPN以外の通信サービスにも同様に適用でき、さらには通信サービス以外の認証処理にも適用できる。   In each embodiment, the authentication process performed when providing a communication service such as VPN has been described as an example. However, the present invention can be similarly applied to a communication service other than VPN, and further to an authentication process other than the communication service. Applicable.

10…認証システム、11…通信I/F部、12…パケット処理部、13…種別判定部、14…判定ルールDB、15…属性変換部、16…変換ルールDB、17…認証処理部、18…記憶部、19…ユーザDB、20,21,22,23…認証要求部、30,31,32,33…アクセス回線、40,41,42,43…ユーザ端末。   DESCRIPTION OF SYMBOLS 10 ... Authentication system, 11 ... Communication I / F part, 12 ... Packet processing part, 13 ... Type determination part, 14 ... Determination rule DB, 15 ... Attribute conversion part, 16 ... Conversion rule DB, 17 ... Authentication processing part, 18 ... storage unit, 19 ... user DB, 20, 21, 22, 23 ... authentication request unit, 30, 31, 32, 33 ... access line, 40, 41, 42, 43 ... user terminal.

Claims (15)

アクセス回線を介してユーザ端末と接続する認証要求装置からの認証要求パケットに応じて、当該ユーザ端末の認証処理を行う認証システムであって、
前記認証要求パケットから前記認証処理に必要な1つ以上の属性情報を抽出するパケット処理部と、
前記属性情報に基づいて、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別を判定する種別判定部と、
前記種別判定結果に基づいて、前記装置種別または/および前記回線種別ごとに個別の個別記述形式からなる前記属性情報を特定の統一記述形式へ変換する属性変換部と、
前記統一記述形式に変換された属性情報に基づいて、前記ユーザ端末に関する認証処理を行う認証処理部と
を備えることを特徴とする認証システム。
In accordance with an authentication request packet from an authentication request device connected to a user terminal via an access line, an authentication system that performs authentication processing of the user terminal,
A packet processing unit that extracts one or more pieces of attribute information necessary for the authentication processing from the authentication request packet;
A type determination unit that determines a device type of the authentication requesting device or / and a line type of the access line based on the attribute information;
Based on the type determination result, an attribute conversion unit that converts the attribute information consisting of individual individual description formats for each of the device types and / or the line types into a specific unified description format;
An authentication system comprising: an authentication processing unit that performs an authentication process on the user terminal based on the attribute information converted into the unified description format.
請求項1に記載の認証システムであって、
前記種別判定部は、前記認証要求装置の送信元情報と当該認証要求装置の装置種別との組からなる装置種別判定ルールを参照し、前記パケット処理部で前記属性情報として抽出した当該認証要求装置の送信元情報と組をなす装置種別を、当該認証要求装置の装置種別として取得することを特徴とする認証システム。
The authentication system according to claim 1,
The type determination unit refers to a device type determination rule including a set of transmission source information of the authentication request device and a device type of the authentication request device, and the authentication request device extracted as the attribute information by the packet processing unit An authentication system characterized in that the device type paired with the transmission source information is acquired as the device type of the authentication requesting device.
請求項1または請求項2に記載の認証システムであって、
前記種別判定部は、前記パケット処理部で抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、前記パケット処理部で前記属性情報として抽出した前記判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置の回線種別として取得することを特徴とする認証システム。
The authentication system according to claim 1 or 2,
The type determination unit refers to a line type determination rule including a set of a value type related to determination target attribute information to be determined among the attribute information extracted by the packet processing unit and a line type of the access line, and An authentication system characterized in that a line type paired with a value type of the determination target attribute information extracted as the attribute information by a packet processing unit is acquired as a line type of the authentication requesting apparatus.
請求項1〜請求項3のいずれか1つに記載の認証システムであって、
前記属性変換部は、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、前記種別判定部で得られた前記装置種別または/および前記回線種別と組をなす変換対象属性情報および変換式を取得し、前記パケット処理部で抽出した前記変換対象属性情報の値を当該変換式に基づいて前記統一記述形式へ変換することを特徴とする認証システム。
The authentication system according to any one of claims 1 to 3,
The attribute conversion unit refers to a conversion rule composed of a set of a device type of the authentication requesting device or / and a line type of the access line, conversion target attribute information to be converted, and a conversion formula thereof, Acquires conversion target attribute information and a conversion formula paired with the device type and / or the line type obtained by the type determination unit, and converts the value of the conversion target attribute information extracted by the packet processing unit into the conversion formula An authentication system characterized in that the system is converted into the unified description format.
請求項1〜請求項4のいずれか1つに記載の認証システムであって、
前記属性変換部は、前記種別判定結果に基づいて、前記認証処理結果を示す属性情報を前記個別記述形式へ逆変換し、
前記パケット処理部は、前記逆変換された属性情報を含む認証応答パケットを作成して、前記認証要求装置へ送信する
ことを特徴とする認証システム。
An authentication system according to any one of claims 1 to 4, wherein
The attribute conversion unit reversely converts the attribute information indicating the authentication processing result into the individual description format based on the type determination result,
The packet processing unit creates an authentication response packet including the inversely converted attribute information, and transmits the authentication response packet to the authentication requesting device.
請求項5に記載の認証システムであって、
前記属性変換部は、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、前記種別判定部で得られた前記装置種別または/および前記回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、前記認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて前記個別記述形式へ逆変換することを特徴とする認証システム。
The authentication system according to claim 5,
The attribute conversion unit includes a reverse conversion rule composed of a set of a device type of the authentication requesting device or / and a line type of the access line, reverse conversion target attribute information to be reverse conversion, a value type, and an attribute value. Referring to the attribute information indicating the authentication processing result by acquiring the reverse conversion target attribute information, the value type, and the attribute value corresponding to the device type or / and the line type obtained by the type determination unit. An authentication system, wherein the value of the reverse conversion target attribute information is reversely converted into the individual description format based on the value type and the attribute value.
請求項1〜請求項6のいずれか1つに記載の認証システムであって、
前記認証処理部は、前記種別判定部で得られた前記装置種別または/および前記回線種別に基づいて、前記パケット処理部で抽出した前記属性情報について前記認証処理が可能か否か判断し、当該認証処理が不可能な場合には前記統一記述形式からなる属性情報を要求する統一情報要求を前記属性変換部に対して通知し、当該認証処理が可能な場合には前記個別記述形式からなる属性情報を要求する個別情報要求を前記属性変換部に対して通知し、
前記属性変換部は、前記統一情報要求が通知された場合、前記パケット処理部で抽出した前記属性情報を前記統一記述形式への変換して前記認証処理部へ出力し、前記個別情報要求が通知された場合、前記パケット処理部で抽出した前記属性情報を前記個別記述形式のまま前記認証処理部へ出力する
ことを特徴とする認証システム。
The authentication system according to any one of claims 1 to 6,
The authentication processing unit determines whether the authentication process is possible for the attribute information extracted by the packet processing unit based on the device type or / and the line type obtained by the type determination unit, When the authentication process is impossible, the attribute conversion unit is notified of a unified information request for requesting attribute information having the unified description format. When the authentication process is possible, the attribute having the individual description format is sent. Notifying the attribute conversion unit of an individual information request for requesting information,
When the unified information request is notified, the attribute conversion unit converts the attribute information extracted by the packet processing unit into the unified description format and outputs the unified description format to the authentication processing unit, and the individual information request is notified. If so, the attribute information extracted by the packet processing unit is output to the authentication processing unit in the individual description format.
アクセス回線を介してユーザ端末と接続する認証要求装置からの認証要求パケットに応じて、当該ユーザ端末の認証処理を行う認証システムで用いられる認証方法であって、
パケット処理部が、前記認証要求パケットから前記認証処理に必要な1つ以上の属性情報を抽出するパケット処理ステップと、
種別判定部が、前記属性情報に基づいて、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別を判定する種別判定ステップと、
属性変換部が、前記種別判定結果に基づいて、前記装置種別または/および前記回線種別ごとに個別の個別記述形式からなる前記属性情報を特定の統一記述形式へ変換する属性変換ステップと、
認証処理部が、前記統一記述形式に変換された属性情報に基づいて、前記ユーザ端末に関する認証処理を行う認証処理ステップと
を備えることを特徴とする認証方法。
In accordance with an authentication request packet from an authentication request device connected to a user terminal via an access line, an authentication method used in an authentication system that performs authentication processing of the user terminal,
A packet processing step in which a packet processing unit extracts one or more pieces of attribute information necessary for the authentication processing from the authentication request packet;
A type determining step for determining a device type of the authentication requesting device or / and a line type of the access line based on the attribute information;
An attribute conversion step for converting, based on the type determination result, the attribute information composed of individual individual description formats for each of the device types and / or the line types into a specific unified description format;
An authentication method comprising: an authentication processing step in which an authentication processing unit performs an authentication process on the user terminal based on the attribute information converted into the unified description format.
請求項8に記載の認証方法であって、
前記種別判定ステップは、前記認証要求装置の送信元情報と当該認証要求装置の装置種別との組からなる装置種別判定ルールを参照し、前記パケット処理ステップで前記属性情報として抽出した当該認証要求装置の送信元情報と組をなす装置種別を、当該認証要求装置の装置種別として取得するステップを含むことを特徴とする認証方法。
The authentication method according to claim 8, comprising:
The authentication requesting device extracted in the packet processing step as the attribute information with reference to a device type determination rule consisting of a set of source information of the authentication requesting device and a device type of the authentication requesting device An authentication method comprising: acquiring a device type paired with the transmission source information as the device type of the authentication requesting device.
請求項8または請求項9に記載の認証方法であって、
前記種別判定ステップは、前記パケット処理ステップで抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、前記パケット処理ステップで前記属性情報として抽出した前記判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置の回線種別として取得するステップを含むことを特徴とする認証方法。
The authentication method according to claim 8 or 9, wherein:
The type determination step refers to a line type determination rule consisting of a set of a value type related to determination target attribute information to be determined among the attribute information extracted in the packet processing step and a line type of the access line, An authentication method, comprising: acquiring a line type paired with a value type of the determination target attribute information extracted as the attribute information in the packet processing step as a line type of the authentication requesting apparatus.
請求項8〜請求項10のいずれか1つに記載の認証方法であって、
前記属性変換ステップは、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、前記種別判定ステップで得られた前記装置種別または/および前記回線種別と組をなす変換対象属性情報および変換式を取得し、前記パケット処理ステップで抽出した前記変換対象属性情報の値を当該変換式に基づいて前記統一記述形式へ変換するステップを含むことを特徴とする認証方法。
An authentication method according to any one of claims 8 to 10, comprising:
The attribute conversion step refers to a conversion rule comprising a set of a device type of the authentication requesting device or / and a line type of the access line, conversion target attribute information to be converted, and a conversion formula thereof, Obtaining the conversion target attribute information and the conversion formula paired with the device type or / and the line type obtained in the type determination step, and converting the value of the conversion target attribute information extracted in the packet processing step into the conversion formula An authentication method comprising a step of converting to the unified description format based on the authentication method.
請求項8〜請求項11のいずれか1つに記載の認証方法であって、
前記属性変換ステップは、前記種別判定結果に基づいて、前記認証処理結果を示す属性情報を前記個別記述形式へ逆変換するステップを含み、
前記パケット処理ステップは、前記逆変換された属性情報を含む認証応答パケットを作成して、前記認証要求装置へ送信するステップを含む
ことを特徴とする認証方法。
An authentication method according to any one of claims 8 to 11, comprising:
The attribute conversion step includes a step of reversely converting attribute information indicating the authentication processing result into the individual description format based on the type determination result,
The packet processing step includes a step of creating an authentication response packet including the inversely transformed attribute information and transmitting the packet to the authentication requesting device.
請求項12に記載の認証方法であって、
前記属性変換ステップは、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、前記種別判定ステップで得られた前記装置種別または/および前記回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、前記認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて前記個別記述形式へ逆変換するステップを含むことを特徴とする認証方法。
An authentication method according to claim 12, comprising:
The attribute conversion step includes a reverse conversion rule including a set of a device type of the authentication requesting device or / and a line type of the access line and reverse conversion target attribute information, a value type, and an attribute value to be reverse conversion target. Referring to the attribute information indicating the authentication processing result by obtaining the reverse conversion target attribute information, value type, and attribute value corresponding to the device type or / and the line type obtained in the type determining step An authentication method comprising a step of reversely converting the value of the reverse conversion target attribute information into the individual description format based on the value type and the attribute value.
請求項8〜請求項13のいずれか1つに記載の認証方法であって、
前記認証処理ステップは、前記種別判定ステップで得られた前記装置種別または/および前記回線種別に基づいて、前記パケット処理ステップで抽出した前記属性情報について前記認証処理が可能か否か判断し、当該認証処理が不可能な場合には前記統一記述形式からなる属性情報を要求する統一情報要求を前記属性変換ステップに対して通知し、当該認証処理が可能な場合には前記個別記述形式からなる属性情報を要求する個別情報要求を前記属性変換ステップに対して通知するステップを含み、
前記属性変換ステップは、前記統一情報要求が通知された場合、前記パケット処理ステップで抽出した前記属性情報を前記統一記述形式への変換して前記認証処理ステップへ出力し、前記個別情報要求が通知された場合、前記パケット処理ステップで抽出した前記属性情報を前記個別記述形式のまま前記認証処理ステップへ出力するステップを含む
ことを特徴とする認証方法。
An authentication method according to any one of claims 8 to 13, comprising:
The authentication processing step determines whether the authentication processing is possible for the attribute information extracted in the packet processing step based on the device type or / and the line type obtained in the type determination step, If the authentication process is impossible, the attribute conversion step is notified of a unified information request for requesting attribute information in the unified description format. If the authentication process is possible, the attribute in the individual description format is sent. Notifying the attribute conversion step of an individual information request for requesting information,
In the attribute conversion step, when the unified information request is notified, the attribute information extracted in the packet processing step is converted into the unified description format and output to the authentication processing step, and the individual information request is notified. If so, an authentication method comprising: outputting the attribute information extracted in the packet processing step to the authentication processing step in the individual description format.
コンピュータを、請求項1〜請求項7のいずれかに記載の認証システムを構成する各部として機能させるためのプログラム。   The program for functioning a computer as each part which comprises the authentication system in any one of Claims 1-7.
JP2009187818A 2009-08-13 2009-08-13 Authentication system, method, and program Active JP4809916B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009187818A JP4809916B2 (en) 2009-08-13 2009-08-13 Authentication system, method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009187818A JP4809916B2 (en) 2009-08-13 2009-08-13 Authentication system, method, and program

Publications (2)

Publication Number Publication Date
JP2011041088A JP2011041088A (en) 2011-02-24
JP4809916B2 true JP4809916B2 (en) 2011-11-09

Family

ID=43768384

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009187818A Active JP4809916B2 (en) 2009-08-13 2009-08-13 Authentication system, method, and program

Country Status (1)

Country Link
JP (1) JP4809916B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108292997B (en) * 2015-12-18 2021-07-09 日本电信电话株式会社 Authentication control system and method, server device, client device, authentication method, and recording medium

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4461034B2 (en) * 2005-01-31 2010-05-12 日本電信電話株式会社 Usage right issuing method, usage right issuing device, and usage right system
JP2007267315A (en) * 2006-03-30 2007-10-11 Alaxala Networks Corp Multi-authentication function switch device

Also Published As

Publication number Publication date
JP2011041088A (en) 2011-02-24

Similar Documents

Publication Publication Date Title
US10868743B2 (en) System and method for providing fast platform telemetry data
CN106341233A (en) Authentication method for client to log into server, device, system and electronic device
CN112104640B (en) Data processing method, device and equipment of gateway and readable storage medium
CN113472817A (en) Gateway access method and device for large-scale IPSec and electronic equipment
CN115021831B (en) Weak network test method, device, system, equipment and storage medium
CN114338682A (en) Flow identity mark transmission method and device, electronic equipment and storage medium
CN110677337B (en) Data forwarding method and device, network equipment and computer readable storage medium
WO2025167849A1 (en) Method and apparatus for implementing data service, electronic device, and storage medium
CN103401859B (en) A kind of method of protocol conversion and protocol converter
CN109474713B (en) Message forwarding method and device
CN112073923A (en) Communication method, device, gateway and readable storage medium compatible with multiple operators
CN113014664A (en) Gateway adaptation method, device, electronic equipment and storage medium
JP2016144186A (en) COMMUNICATION INFORMATION CONTROL DEVICE, RELAY SYSTEM, COMMUNICATION INFORMATION CONTROL METHOD, AND COMMUNICATION INFORMATION CONTROL PROGRAM
JP4809916B2 (en) Authentication system, method, and program
CN116192518A (en) Network protection method, device, electronic device and computer-readable storage medium
CN111614726B (en) Data forwarding method, cluster system and storage medium
CN114866472A (en) Method and system for realizing open source community access in multi-mode network
JP5383923B1 (en) Information processing apparatus, information processing system, information processing method, and program
CN110780915B (en) Data processing method, device and storage medium
CN117811722B (en) Global parameter model construction method, secret key generation method, device and server
CN106936719A (en) A kind of IP messages strategy matching method
CN115190101B (en) Device network address management and data transmission method
CN118488019A (en) Message transmission method and device and electronic equipment
CN117354867A (en) Data transmission method, device and storage medium
CN113922972A (en) Data forwarding method and device based on MD5 identification code

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110816

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110819

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140826

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 4809916

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350