JP4809916B2 - Authentication system, method, and program - Google Patents
Authentication system, method, and program Download PDFInfo
- Publication number
- JP4809916B2 JP4809916B2 JP2009187818A JP2009187818A JP4809916B2 JP 4809916 B2 JP4809916 B2 JP 4809916B2 JP 2009187818 A JP2009187818 A JP 2009187818A JP 2009187818 A JP2009187818 A JP 2009187818A JP 4809916 B2 JP4809916 B2 JP 4809916B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- attribute information
- type
- conversion
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワーク通信技術に関し、特に通信サービス提供時にユーザを認証する認証技術に関する。 The present invention relates to a network communication technique, and more particularly to an authentication technique for authenticating a user when providing a communication service.
オフィス業務のIT化およびIPネットワークの普及に伴い、複数拠点に分散したオフィスシステムをIPネットワークで結合し、データ通信が行われている。この際、コスト低減のため、公衆IPネットワーク上に仮想プライベートネットワーク(VPN:Virtual Private Network)を構築するサービスが普及している。 With the shift to IT for office work and the spread of IP networks, data communication is performed by connecting office systems distributed at a plurality of bases via an IP network. At this time, a service for constructing a virtual private network (VPN) on a public IP network is widely used for cost reduction.
VPNに接続するには、認証要求装置から認証装置に対し、ユーザ情報等から構成される属性情報を含む認証要求メッセージを送受信して、ユーザ認証を行う必要がある。VPNサービスの普及に伴い、装置規模/機能/価格の異なる認証要求装置が複数の会社から複数種類発売されている。また、回線速度/品質/価格が異なるアクセス回線が複数種類販売されている。利用形態に応じてVPNを構築するため、これら複数種類の認証要求装置およびアクセス回線を組み合わせてVPNを構築する事例が増えている。 In order to connect to the VPN, it is necessary to perform user authentication by transmitting and receiving an authentication request message including attribute information including user information and the like from the authentication requesting device to the authentication device. With the widespread use of VPN services, a plurality of types of authentication requesting devices having different device scales / functions / prices have been released from a plurality of companies. Also, multiple types of access lines with different line speed / quality / price are sold. In order to construct a VPN according to the usage form, there are increasing cases of constructing a VPN by combining these plural types of authentication requesting devices and access lines.
認証要求装置から認証装置に送信される認証パケットは、要求内容を示す属性情報を含んでいる。認証要求装置の種別やアクセス回線種別により、同じ情報を示す属性情報であっても、属性情報の記述形式(フォーマット)が異なる場合があるため、認証装置は、それらの差分に対応した処理を行う必要がある。
上記の状況を踏まえ、認証要求装置種別およびアクセス回線種別により異なる情報の記述形式の違いに対応できる認証装置が求められている。
The authentication packet transmitted from the authentication requesting device to the authentication device includes attribute information indicating the request content. Even if the attribute information indicates the same information depending on the type of the authentication requesting device or the access line type, the description format (format) of the attribute information may be different, so the authentication device performs processing corresponding to the difference between them. There is a need.
Based on the above situation, there is a need for an authentication device that can cope with differences in the description format of information that differs depending on the authentication requesting device type and the access line type.
従来の認証装置の1つであるSteel-Belted RADIUSシステム(非特許文献1など参照)は、認証要求パケット受信時および送信時に、レルム単位もしくは認証システム単位で、設定値もしくはデータベース値に基づき、認証パケットの属性情報の編集が可能なAttribute filter機能を持つ。
これらの機能により、属性情報の違いに対応した認証処理ロジックを追加することや、属性情報の値を予め決められた記述形式に変換することが可能である。
The Steel-Belted RADIUS system (see Non-Patent
With these functions, it is possible to add authentication processing logic corresponding to the difference in attribute information, and to convert the value of attribute information into a predetermined description format.
しかしながら、このような従来技術では、属性情報の編集は、レルム単位もしくは認証システム単位で、事前に設定した値やデータベース値に基づき行われるため、受信した認証要求パケットの属性情報の値に基づいて編集内容を変更することはできない。このため、同一レルム内に、異なる種類の認証要求装置やアクセス回線種別が収容されており、認証要求パケットごとに属性情報の編集方法が異なる環境には適用できないという問題点があった。 However, in such a conventional technique, since the editing of attribute information is performed based on a preset value or database value in realm units or authentication system units, it is based on the attribute information value of the received authentication request packet. Editing content cannot be changed. For this reason, different types of authentication request devices and access line types are accommodated in the same realm, and there is a problem that the method cannot be applied to an environment in which the attribute information editing method differs for each authentication request packet.
また、Attribute filter機能による属性情報の編集を実施できるのはパケット受信時および送信時に限られていることから、認証処理に必要な属性情報の変換はパケット受信時に一括して行う必要がある。このため、必ずしも変換処理が必要ではない認証パケットも処理対象となり、変換処理が不要な認証要求パケットを多数受信する環境では、不要な処理負荷が増大する可能性がある。 Since attribute information can be edited by the Attribute filter function only at the time of packet reception and transmission, conversion of attribute information necessary for authentication processing must be performed collectively at the time of packet reception. For this reason, authentication packets that do not necessarily require conversion processing are also subject to processing, and in an environment where a large number of authentication request packets that do not require conversion processing are received, unnecessary processing load may increase.
本発明はこのような課題を解決するためのものであり、レルムに依存することなく、また不要な処理負担を発生させることなく、異なる種類の認証要求装置やアクセス回線が収容される環境についても1つの認証システムで対応できる認証技術を提供することを目的としている。 The present invention is intended to solve such problems, and it is also possible to provide an environment in which different types of authentication request devices and access lines are accommodated without depending on a realm and without generating unnecessary processing burden. The object is to provide an authentication technique that can be handled by one authentication system.
このような目的を達成するために、本発明にかかる認証システムは、アクセス回線を介してユーザ端末と接続する認証要求装置からの認証要求パケットに応じて、当該ユーザ端末の認証処理を行う認証システムであって、認証要求パケットから認証処理に必要な1つ以上の属性情報を抽出するパケット処理部と、属性情報に基づいて、認証要求装置の装置種別または/およびアクセス回線の回線種別を判定する種別判定部と、種別判定結果に基づいて、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を特定の統一記述形式へ変換する属性変換部と、統一記述形式に変換された属性情報に基づいて、ユーザ端末に関する認証処理を行う認証処理部とを備えている。 In order to achieve such an object, an authentication system according to the present invention performs an authentication process for a user terminal in response to an authentication request packet from an authentication request apparatus connected to the user terminal via an access line. A packet processing unit that extracts one or more attribute information necessary for authentication processing from the authentication request packet, and a device type of the authentication requesting device and / or a line type of the access line is determined based on the attribute information. Based on the type determination result, an attribute conversion unit that converts attribute information consisting of individual individual description formats for each device type and / or line type into a specific unified description format, and is converted into a unified description format And an authentication processing unit that performs an authentication process on the user terminal based on the attribute information.
この際、種別判定部で、認証要求装置の送信元情報と当該認証要求装置の装置種別との組からなる装置種別判定ルールを参照し、パケット処理部で属性情報として抽出した当該認証要求装置の送信元情報と組をなす装置種別を、当該認証要求装置の装置種別として取得するようにしてもよい。 At this time, the type determination unit refers to the device type determination rule consisting of the combination of the transmission source information of the authentication requesting device and the type of the authentication requesting device, and the packet processing unit extracts the authentication requesting device extracted as attribute information. The device type paired with the transmission source information may be acquired as the device type of the authentication requesting device.
また、種別判定部で、パケット処理部で抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、パケット処理部で属性情報として抽出した判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置の回線種別として取得するようにしてもよい。 Further, the type determination unit refers to a line type determination rule consisting of a set of a value type related to the determination target attribute information to be determined from the attribute information extracted by the packet processing unit and the line type of the access line, and packet The line type paired with the value type of the determination target attribute information extracted as attribute information by the processing unit may be acquired as the line type of the authentication requesting apparatus.
また、属性変換部で、認証要求装置の装置種別または/およびアクセス回線の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、種別判定部で得られた装置種別または/および回線種別と組をなす変換対象属性情報および変換式を取得し、パケット処理部で抽出した変換対象属性情報の値を当該変換式に基づいて統一記述形式へ変換するようにしてもよい。 In addition, the attribute conversion unit determines the type by referring to a conversion rule consisting of a combination of the device type of the authentication requesting device and / or the line type of the access line, the conversion target attribute information to be converted and its conversion formula. Obtains the conversion target attribute information and conversion formula that form a pair with the device type and / or line type obtained in the packet, and converts the value of the conversion target attribute information extracted by the packet processing unit into a unified description format based on the conversion formula You may make it convert.
また、属性変換部で、種別判定結果に基づいて、認証処理結果を示す属性情報を個別記述形式へ逆変換し、パケット処理部で、逆変換された属性情報を含む認証応答パケットを作成して、認証要求装置へ送信するようにしてもよい。 Further, the attribute conversion unit reversely converts the attribute information indicating the authentication processing result into the individual description format based on the type determination result, and the packet processing unit creates an authentication response packet including the reversely converted attribute information. Alternatively, it may be transmitted to the authentication requesting device.
また、属性変換部で、認証要求装置の装置種別または/およびアクセス回線の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、種別判定部で得られた装置種別または/および回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて個別記述形式へ逆変換するようにしてもよい。 Also, the attribute conversion unit refers to a reverse conversion rule consisting of a combination of the device type of the authentication requesting device and / or the line type of the access line, the reverse conversion target attribute information, the value type, and the attribute value to be reverse converted. Then, the reverse conversion target attribute information, value type, and attribute value corresponding to the device type and / or line type obtained by the type determination unit are acquired, and the reverse conversion target attribute of the attribute information indicating the authentication processing result The information value may be converted back into the individual description format based on the value type and the attribute value.
また、認証処理部で、種別判定部で得られた装置種別または/および回線種別に基づいて、パケット処理部で抽出した属性情報について認証処理が可能か否か判断し、当該認証処理が不可能な場合には統一記述形式からなる属性情報を要求する統一情報要求を属性変換部に対して通知し、当該認証処理が可能な場合には個別記述形式からなる属性情報を要求する個別情報要求を属性変換部に対して通知し、属性変換部は、統一情報要求が通知された場合、パケット処理部で抽出した属性情報を統一記述形式への変換して認証処理部へ出力し、個別情報要求が通知された場合、パケット処理部で抽出した属性情報を個別記述形式のまま認証処理部へ出力するようにしてもよい。 In addition, the authentication processing unit determines whether or not the authentication processing can be performed on the attribute information extracted by the packet processing unit based on the device type and / or the line type obtained by the type determination unit, and the authentication processing cannot be performed. In this case, the attribute conversion unit is notified of a unified information request for requesting attribute information in the unified description format, and an individual information request for requesting attribute information in the individual description format is sent if the authentication process is possible. The attribute conversion unit notifies the attribute conversion unit. When the unified information request is notified, the attribute conversion unit converts the attribute information extracted by the packet processing unit into a unified description format and outputs it to the authentication processing unit. Is notified, the attribute information extracted by the packet processing unit may be output to the authentication processing unit in the individual description format.
また、本発明にかかる認証方法は、アクセス回線を介してユーザ端末と接続する認証要求装置からの認証要求パケットに応じて、当該ユーザ端末の認証処理を行う認証システムで用いられる認証方法であって、パケット処理部が、認証要求パケットから認証処理に必要な1つ以上の属性情報を抽出するパケット処理ステップと、種別判定部が、属性情報に基づいて、認証要求装置の装置種別または/およびアクセス回線の回線種別を判定する種別判定ステップと、属性変換部が、種別判定結果に基づいて、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を特定の統一記述形式へ変換する属性変換ステップと、認証処理部が、統一記述形式に変換された属性情報に基づいて、ユーザ端末に関する認証処理を行う認証処理ステップとを備えている。 The authentication method according to the present invention is an authentication method used in an authentication system for performing authentication processing of a user terminal in response to an authentication request packet from an authentication requesting device connected to the user terminal via an access line. A packet processing step in which the packet processing unit extracts one or more attribute information necessary for the authentication processing from the authentication request packet, and a type determination unit determines the device type and / or access of the authentication requesting device based on the attribute information. The type determination step for determining the line type of the line and the attribute conversion unit convert attribute information consisting of individual individual description formats for each device type and / or line type into a specific unified description format based on the result of the type determination The attribute conversion step and the authentication processing unit perform authentication processing related to the user terminal based on the attribute information converted into the unified description format. And a processing step.
この際、種別判定ステップで、認証要求装置の送信元情報と当該認証要求装置の装置種別との組からなる装置種別判定ルールを参照し、パケット処理ステップで属性情報として抽出した当該認証要求装置の送信元情報と組をなす装置種別を、当該認証要求装置の装置種別として取得するようにしてもよい。 At this time, in the type determination step, the device type determination rule consisting of a set of the transmission source information of the authentication request device and the type of the authentication request device is referred to, and the authentication request device extracted as attribute information in the packet processing step The device type paired with the transmission source information may be acquired as the device type of the authentication requesting device.
また、種別判定ステップで、パケット処理ステップで抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、パケット処理ステップで属性情報として抽出した判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置の回線種別として取得するようにしてもよい。 Further, in the type determination step, refer to a line type determination rule consisting of a set of a value type related to the determination target attribute information to be determined from the attribute information extracted in the packet processing step and the line type of the access line, and packet The line type that is paired with the value type of the determination target attribute information extracted as attribute information in the processing step may be acquired as the line type of the authentication requesting apparatus.
また、属性変換ステップで、認証要求装置の装置種別または/およびアクセス回線の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、種別判定ステップで得られた装置種別または/および回線種別と組をなす変換対象属性情報および変換式を取得し、パケット処理ステップで抽出した変換対象属性情報の値を当該変換式に基づいて統一記述形式へ変換するようにしてもよい。 Also, in the attribute conversion step, type determination is performed by referring to a conversion rule consisting of a combination of the device type of the authentication requesting device or / and the line type of the access line, the conversion target attribute information to be converted and its conversion formula. Acquires conversion target attribute information and a conversion expression paired with the device type and / or line type obtained in the step, and converts the value of the conversion target attribute information extracted in the packet processing step into a unified description format based on the conversion expression You may make it convert.
また、属性変換ステップで、種別判定結果に基づいて、認証処理結果を示す属性情報を個別記述形式へ逆変換し、パケット処理ステップで、逆変換された属性情報を含む認証応答パケットを作成して、認証要求装置へ送信するようにしてもよい。 In the attribute conversion step, the attribute information indicating the authentication processing result is reversely converted into an individual description format based on the type determination result, and in the packet processing step, an authentication response packet including the reversely converted attribute information is created. Alternatively, it may be transmitted to the authentication requesting device.
また、属性変換ステップで、認証要求装置の装置種別または/およびアクセス回線の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、種別判定ステップで得られた装置種別または/および回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて個別記述形式へ逆変換するようにしてもよい。 Also, in the attribute conversion step, refer to the reverse conversion rule consisting of a combination of the device type of the authentication requesting device and / or the line type of the access line, the reverse conversion target attribute information, the value type, and the attribute value to be reverse conversion target. Then, the reverse conversion target attribute information, value type, and attribute value corresponding to the device type and / or line type obtained in the type determination step are acquired, and the reverse conversion target attribute among the attribute information indicating the authentication processing result The information value may be converted back into the individual description format based on the value type and the attribute value.
認証処理ステップで、種別判定ステップで得られた装置種別または/および回線種別に基づいて、パケット処理ステップで抽出した属性情報について認証処理が可能か否か判断し、当該認証処理が不可能な場合には統一記述形式からなる属性情報を要求する統一情報要求を属性変換ステップに対して通知し、当該認証処理が可能な場合には個別記述形式からなる属性情報を要求する個別情報要求を属性変換ステップに対して通知し、属性変換ステップで、統一情報要求が通知された場合、パケット処理ステップで抽出した属性情報を統一記述形式への変換して認証処理ステップへ出力し、個別情報要求が通知された場合、パケット処理ステップで抽出した属性情報を個別記述形式のまま認証処理ステップへ出力するようにしてもよい。 In the authentication processing step, based on the device type and / or line type obtained in the type determination step, it is determined whether authentication processing is possible for the attribute information extracted in the packet processing step. Is notified to the attribute conversion step of the attribute information requesting the attribute information in the unified description format, and if the authentication process is possible, the attribute conversion is performed on the individual information request that requests the attribute information in the individual description format. When the unified information request is notified in the attribute conversion step, the attribute information extracted in the packet processing step is converted into a unified description format and output to the authentication processing step, and the individual information request is notified In such a case, the attribute information extracted in the packet processing step may be output to the authentication processing step in the individual description format.
また、本発明にかかるプログラムは、コンピュータを、前述した認証システムを構成する各部として機能させるためのプログラムである。 The program according to the present invention is a program for causing a computer to function as each unit constituting the authentication system described above.
本発明によれば、レルムに依存することなく、また不要な処理負担を発生させることなく、異なる種類の認証要求装置やアクセス回線が収容される環境についても、1つの認証システムで対応できる。 According to the present invention, it is possible to cope with an environment in which different types of authentication requesting devices and access lines are accommodated without depending on a realm and without generating unnecessary processing burdens.
次に、本発明の実施の形態について図面を参照して説明する。
[第1の実施の形態]
まず、図1を参照して、本発明の第1の実施の形態にかかる認証システムについて説明する。図1は、第1の実施の形態にかかる認証システムの構成を示すブロック図である。
Next, embodiments of the present invention will be described with reference to the drawings.
[First Embodiment]
First, an authentication system according to a first embodiment of the present invention will be described with reference to FIG. FIG. 1 is a block diagram illustrating a configuration of an authentication system according to the first embodiment.
この認証システム10は、全体としてサーバ装置などの1つ以上の通信処理装置からなり、ユーザ端末40(41,42,43)に対してVPNなどの通信サービスを提供する際、アクセス回線30(31,32,33)を介してユーザ端末40と接続する認証要求装置20(21,22,23)からの認証要求パケットに応じて、当該ユーザ端末40に関する認証処理を行う機能を有している。なお、ユーザ端末40はユーザ端末41,42,43の総称や代表を指し、アクセス回線30はアクセス回線31,32,33の総称や代表を指し、認証要求装置20は認証要求装置21,22,23の総称や代表を指す。
The
認証要求装置20は、全体としてサーバ装置、スイッチ、ルータなどの通信処理装置からなり、ユーザ端末40からの通信サービス要求を受け付けて、認証処理に必要な各種属性情報を含む認証要求パケットを認証システム10へ送信する機能と、認証システム10から受信した認証応答パケットに含まれる認証処理結果に応じて、ユーザ端末40への通信サービス提供のための通信経路確立処理を行う機能とを有している。
The
ユーザ端末40は、全体としてパーソナルコンピュータや携帯端末などの通信端末装置からなり、通信サービス開始時にアクセス回線30を介して認証要求装置20へ接続し、認証処理に必要な各種属性情報を含む通信サービス要求パケットを送信する機能と、認証要求装置20からの通信サービス開始パケットの受信に応じて通信サービスを開始する機能とを有している。
The
図1の接続形態において、認証システム10に対して3つの認証要求装置21,22,23が接続されている。これら認証要求装置21,22,23は、メーカや機種の違いに応じてそれぞれ個別の装置種別を有しており、これら装置種別ごとに、認証システム10へ送信する認証要求パケットに含まれる属性情報の記述形式が異なっている。図1の例では、認証要求装置21,22は装置種別Xを有し、認証要求装置23は装置種別Yを有しているものとする。
In the connection form of FIG. 1, three
また、これら認証要求装置21,22,23には、個別のアクセス回線31,32,33を介してユーザ端末41,42,43がそれぞれ1つずつ接続されている。これらアクセス回線31,32,33は、回線速度、通信品質、あるいは通信コストの違いに応じてそれぞれ固有の回線種別を有しており、これら回線種別ごとに、認証システム10へ送信する認証要求パケットに含まれる属性情報の記述形式が異なっている。図1の例では、アクセス回線31,33が回線種別αを有し、アクセス回線32が回線種別βを有しているものとする。
なお、認証システム10に対して接続される認証要求装置20の数、各認証要求装置20に対して接続されるユーザ端末40の数については、図1の例に限定されるものではない。
Further, one
The number of
本実施の形態では、認証システム10において、認証要求装置からの認証要求パケットから抽出した属性情報に基づいて、認証要求装置の装置種別または/およびアクセス回線の回線種別を判定し、この種別判定結果に基づいて、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を、特定の統一記述形式へ変換し、この統一記述形式からなる属性情報に基づいて、ユーザ端末に関する認証処理を行うようにしたものである。
In the present embodiment, the
本発明において、装置種別とは、ユーザ端末からの認証要求を処理する機能は同一であるが、認証システムに対し送信する認証要求中の属性情報の記述形式が異なる装置を識別する値のことを指す。また、回線種別とは、ユーザ端末と認証要求装置の通信を中継する機能は同一であるが、回線識別子の記述形式等が異なる回線を識別する値のことを指す。これら装置種別または/および回線種別と個別記述形式の対応関係は、1対1だけでなく多対1の関係であってもよい。 In the present invention, the device type is a value for identifying a device having the same function for processing an authentication request from a user terminal but having a different attribute information description format in the authentication request transmitted to the authentication system. Point to. The line type refers to a value that identifies a line having the same function for relaying communication between the user terminal and the authentication requesting device, but having a different description format or the like of the line identifier. The correspondence relationship between the device type or / and the line type and the individual description format may be not only one-to-one but also many-to-one.
次に、図1を参照して、本実施の形態にかかる認証システム10の構成について詳細に説明する。
認証システム10には、主な機能部として、通信インターフェース部(以下、通信I/F部という)11、パケット処理部12、種別判定部13、判定ルールデータベース(以下、判定ルールDBという)14、属性変換部15、変換ルールデータベース(以下、変換ルールDBという)16、認証処理部17、記憶部18、およびユーザデータベース(以下、ユーザDBという)19が設けられており、内部バスを介して各種データを相互にやり取り可能に接続されている。
Next, the configuration of the
The
通信I/F部11は、専用の通信回路部からなり、認証要求装置20(21,22,23)との間で認証要求パケットや認証応答パケットなどの各種パケットをやり取りすることにより、認証要求装置20との間でデータ通信を行う機能を有している。
The communication I /
パケット処理部12は、通信I/F部11で受信した認証要求装置20からの認証要求パケットから認証処理に用いる属性情報を抽出する機能と、認証処理結果を示す属性情報に基づいて通信I/F部11から認証要求装置20へ送信する認証応答パケットを作成する機能とを有している。
The
種別判定部13は、判定ルールDB14に格納されている判定ルールを参照して、パケット処理部12で抽出した属性情報に基づいて、認証要求パケットを送信した認証要求装置20の装置種別と、認証処理対象となるユーザ端末40が用いたアクセス回線30の回線種別を判定する機能を有している。装置種別と回線種別は、属性情報の変換に用いる変換ルールを特定するためのものである。このため、装置種別と回線種別のいずれか一方で変換ルールを特定できるのであれば、いずれか一方のみの種別を判定すればよく、変換ルールの特定に装置種別と回線種別の両方が必要な場合には、これら両方の種別を判定すればよい。
The
判定ルールDB14は、ハードディスクや半導体メモリなどの記憶装置からなり、認証要求パケットの送信元となる認証要求装置20の装置種別を判定するための装置種別判定ルールと、認証処理対象となるユーザ端末40が用いたアクセス回線30の回線種別を判定するための回線種別判定ルールとを記憶する機能を有している。
The
装置種別判定ルールは、認証要求装置20のIPアドレス、すなわち認証要求パケットの送信元アドレスと当該認証要求装置20の装置種別との組から構成されている。
図2は、装置種別判定ルールの構成例である。ここでは、送信元アドレス「10.0.0.1」の場合、認証要求装置20の識別種別は「X」であり、送信元アドレス「10.0.1.1」の場合、認証要求装置20の識別種別は「X」であり、送信元アドレス「10.0.2.1」の場合、認証要求装置20の識別種別は「Y」であることが登録されている。
The device type determination rule is composed of a set of an IP address of the
FIG. 2 is a configuration example of the device type determination rule. Here, in the case of the transmission source address “10.0.0.1”, the identification type of the
回線種別判定ルールは、属性情報に関する値型と当該アクセス回線の回線種別との組から構成されている。
図3は、回線種別判定ルールの構成例である。ここでは、属性情報Aの値型が「IPv4アドレス」の場合、アクセス回線30の回線種別は「α」であり、属性情報Bの値型が「IPv4アドレス」でかつ属性情報Cの値型が「整数」の場合、アクセス回線30の回線種別は「β」であり、属性情報Aの値型が「IPv6アドレス」の場合、アクセス回線30の回線種別は「α」であることが登録されている。なお、図3における「−」は、認証要求パケットに、対応する値型の属性情報と該当するものが含まれていないことを示している。
The line type determination rule is composed of a set of a value type relating to attribute information and a line type of the access line.
FIG. 3 is a configuration example of a line type determination rule. Here, when the value type of the attribute information A is “IPv4 address”, the line type of the
属性変換部15は、種別判定部13での種別判定結果、すなわち認証要求装置20の装置種別または/およびアクセス回線30の回線種別に基づいて、変換ルールDB16に格納されている変換ルールのいずれかを特定する機能と、当該変換ルールを参照して変換の対象となる変換対象属性情報およびその変換式を取得する機能と、パケット処理部12で抽出した属性情報のうち変換対象属性情報の値を、当該変換式に基づいて、装置種別または/および回線種別ごとに個別の個別記述形式から、予め定めておいた特定の統一記述形式へ変換する機能とを有している。
The
本実施の形態では、属性情報の変換方式として、文字列結合方式を用いる場合を例として説明する。
文字列結合方式は、変換対象となる属性情報に、元の属性情報の値型を示す文字列情報を結合する方式である。この文字列結合方式によれば、属性情報量が削減されないため、統一記述形式へ変換した属性情報に元の属性情報がそのまま含まれているため、認証用データベースに登録されている値と、そのまま比較して一致確認することができ、認証処理負担を削減できる。
In this embodiment, a case where a character string combination method is used as an attribute information conversion method will be described as an example.
The character string combining method is a method of combining character string information indicating the value type of the original attribute information with the attribute information to be converted. According to this character string combination method, since the amount of attribute information is not reduced, the attribute information converted into the unified description format includes the original attribute information as it is, so the value registered in the authentication database is not changed. The comparison can be confirmed and the authentication processing burden can be reduced.
本実施の形態に適用可能な属性情報の変換方式としては、文字列結合方式以外の方式を用いてもよい。他の変換方式としてハッシング方式がある。ハッシング方式は、予め用意したハッシュ関数を用いて、変換対象となる属性情報のハッシュ値を算出し、当該属性情報をそのハッシュ値で置換する方式である。このハッシング方式によれば、変換後の文字長を一定とすることができ、認証処理の並列分散化が容易となるため、認証処理の高速化を実現できる。 As a conversion method of attribute information applicable to the present embodiment, a method other than the character string combination method may be used. There is a hashing method as another conversion method. The hashing method is a method in which a hash value of attribute information to be converted is calculated using a hash function prepared in advance, and the attribute information is replaced with the hash value. According to this hashing method, the character length after conversion can be made constant, and parallelization of authentication processing becomes easy, so that the authentication processing can be speeded up.
また、属性変換部15は、種別判定部13での種別判定結果、すなわち認証要求装置20の装置種別または/およびアクセス回線30の回線種別に基づいて、変換ルールDB16に格納されている逆変換ルールのいずれかを特定する機能と、当該逆変換ルールを参照して逆変換の対象となる逆変換対象属性情報、値型、および属性値を取得する機能と、種別判定部13で得られた認証処理結果を示す属性情報のうち逆変換対象属性情報を、当該値型および属性値に基づいて個別記述形式へ逆変換する機能とを有している。
In addition, the
本実施の形態では、属性情報の逆変換方式として、値置換方式を用いる場合を例として説明する。
値置換方式は、逆変換対象となる統一記述形式の属性情報を、元の個別記述形式で用いられる任意の値型の属性情報へ置換する方式である。なお、個別記述形式の属性情報を統一記述形式の属性情報へ変換する変換方式と、統一記述形式の属性情報を個別記述形式の属性情報へ逆変換する変換方式とは、必ずしも同じ変換方式を用いる必要はない。例えば、変換方式としてハッシング方式を用いた場合でも、逆変換方式として他の変換方式を用いてもよい。
In this embodiment, a case where a value replacement method is used as an attribute information inverse conversion method will be described as an example.
The value replacement method is a method of replacing attribute information in a unified description format to be reversely converted with attribute information of an arbitrary value type used in the original individual description format. The conversion method for converting the attribute information in the individual description format into the attribute information in the unified description format and the conversion method for converting back the attribute information in the unified description format into the attribute information in the individual description format always use the same conversion method. There is no need. For example, even when the hashing method is used as the conversion method, another conversion method may be used as the inverse conversion method.
変換ルールDB16は、ハードディスクや半導体メモリなどの記憶装置からなり、認証要求パケットからパケット処理部12で抽出した個別記述形式の属性情報を統一記述形式へ変換するための変換ルールと、認証処理部17で得られた認証処理結果を示す統一記述形式の属性情報を元の個別記述形式へ逆変換するための逆変換ルールとを記憶する機能を有している。
The
変換ルールは、認証要求装置20の装置種別または/およびアクセス回線31の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組から構成されている。
図4は、変換ルールの構成例である。ここでは、装置種別が「X」で回線種別が「α」である場合、属性Aを「IPv4_[属性情報A]」という変換式で変換するルールが登録されている。この変換式は、元の属性情報Aの値を示す[属性情報A]の前に、元の属性情報Aの値型を示す「IPv4_」という文字列情報を結合するという変換式を示している。
The conversion rule is composed of a set of a device type of the
FIG. 4 is a configuration example of a conversion rule. Here, when the device type is “X” and the line type is “α”, a rule for converting attribute A with a conversion formula “IPv4_ [attribute information A]” is registered. This conversion expression is a conversion expression in which character string information “IPv4_” indicating the value type of the original attribute information A is combined before [attribute information A] indicating the value of the original attribute information A. .
このほか、図4の例には、装置種別が「X」で回線種別が「β」である場合、属性情報Aを「IPv6_[属性情報A]」という変換式で変換するルール、装置種別が「Y」で回線種別が「α」である場合、属性情報Bおよび属性情報Cという複数の属性情報の値を文字列情報と結合して「IPv4_[属性情報B]_[属性情報C]」という変換式で変換するルール、装置種別が「Y」で回線種別が「β」である場合、属性情報の変換を行わないというルール、装置種別が「判定不能」で回線種別も「判定不能」である場合、属性情報の変換を行わないというルールがそれぞれ登録されている。なお、図4における「−」は、対応する変換対象や変換式が装置種別と回線種別との組に割り当てられていないことを示している。 In addition, in the example of FIG. 4, when the device type is “X” and the line type is “β”, a rule for converting attribute information A by a conversion formula “IPv6_ [attribute information A]” and the device type are When “Y” and the line type is “α”, the values of a plurality of attribute information, attribute information B and attribute information C, are combined with character string information to “IPv4_ [attribute information B] _ [attribute information C]”. If the device type is “Y” and the line type is “β”, the rule that the attribute information is not converted, the device type is “determination impossible”, and the line type is also “determination impossible” In this case, a rule that attribute information is not converted is registered. Note that “-” in FIG. 4 indicates that the corresponding conversion target or conversion formula is not assigned to the combination of the device type and the line type.
逆変換ルールは、認証要求装置20の装置種別または/およびアクセス回線31の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値との組から構成されている。
図5は、逆変換ルールの構成例である。ここでは、装置種別が「X」で回線種別が「α」である場合、属性情報Dの値「1」を値型が「文字列」の属性値「OK」に逆変換し、属性情報Dの値「0」を値型が「文字列」の属性値「NG」に逆変換するルールが登録されている。
The reverse conversion rule is composed of a set of a device type of the
FIG. 5 is a configuration example of the reverse conversion rule. Here, when the device type is “X” and the line type is “α”, the value “1” of the attribute information D is inversely converted to the attribute value “OK” whose value type is “character string”, and the attribute information D A rule for inversely converting the value “0” of the attribute value into the attribute value “NG” having the value type “character string” is registered.
このほか、図5の例には、装置種別が「X」で回線種別が「β」である場合、属性情報Dを値型が「文字列」の属性値「OK」に逆変換するルール、装置種別が「Y」で回線種別が「α」である場合、属性情報Eを値型が「整数」の属性値「1」に逆変換するルール、装置種別が「Y」で回線種別が「β」である場合、属性情報の逆変換を行わないというルール、装置種別が「判定不能」で回線種別も「判定不能」である場合、属性情報の逆変換を行わないというルールがそれぞれ登録されている。なお、図5における「−」は、対応する逆変換対象、値型、さらには変換式が装置種別と回線種別との組に割り当てられていないことを示している。 In addition, in the example of FIG. 5, when the device type is “X” and the line type is “β”, the rule that reversely converts the attribute information D into the attribute value “OK” having the value type “character string”; When the device type is “Y” and the line type is “α”, a rule that reversely converts the attribute information E into the attribute value “1” having the value type “integer”, the device type is “Y”, and the line type is “ If it is “β”, a rule that does not perform reverse conversion of attribute information, and a rule that does not perform reverse conversion of attribute information when the device type is “determination impossible” and the line type is also “determination impossible” are registered respectively. ing. Note that “-” in FIG. 5 indicates that the corresponding inverse conversion target, value type, and conversion formula are not assigned to a set of device type and line type.
認証処理部17は、属性変換部15で得られた統一記述形式からなる属性情報に基づいて、例えばこの属性情報とユーザDB19に記憶されている、認証処理対象であるユーザやユーザ端末40の属性情報とを比較するなどにより、ユーザ端末40に関する認証処理を行う機能と、この認証処理に関する認証処理結果として統一記述形式からなる属性情報を出力する機能とを有している。
記憶部18は、ハードディスクや半導体メモリなどの記憶装置からなり、前述した各機能部で用いる処理情報やプログラムを記憶する機能を有している。
ユーザDB19は、ハードディスクや半導体メモリなどの記憶装置からなり、認証処理部17での認証処理に用いる個々のユーザやユーザ端末40の属性情報を含む認証用のデータを記憶する機能を有している。
Based on the attribute information in the unified description format obtained by the
The
The
これら機能部のうち、パケット処理部12、種別判定部13、属性変換部15、および認証処理部17は、1つまたは複数の演算処理部により構成されている。演算処理部は、CPUなどのマイクロプロセッサとその周辺回路を有し、記憶部18から読み出したプログラムを実行することにより、各種処理部を実現する機能を有している。
Among these functional units, the
[第1の実施の形態の動作]
次に、図6を参照して、本実施の形態にかかる認証システム10の動作について説明する。図6は、第1の実施の形態にかかる認証システムの動作を示すシーケンス図である。
ここでは、認証要求装置20からの認証要求パケットに応じて、認証システム10により、当該認証要求パケットに含まれている個別記述形式の属性情報を統一記述形式へ変換した後、この統一記述形式の属性情報に対して認証処理を行い、得られた認証処理結果を示す統一記述形式の属性情報を元の個別記述形式の属性情報へ逆変換した後、認証応答パケットを作成して認証要求装置20へ送信する場合について説明する。
[Operation of First Embodiment]
Next, the operation of the
Here, in response to the authentication request packet from the
認証システム10のパケット処理部12は、通信I/F部11を介して認証要求装置20からの認証要求パケットを受信した場合(ステップ100)、当該認証要求パケットから認証処理に必要な各種属性情報を抽出し(ステップ101)、抽出した属性情報を種別判定部13および属性変換部15へ渡す(ステップ102)。この属性情報は、認証要求装置20の装置種別やアクセス回線30の回線種別ごとに個別の個別記述形式で記述されている。
When the
各機能部間で属性情報や種別判定結果などの処理情報をやり取りする場合、内部バスを介して機能部間で、直接、送受信してもよく、記憶部18を介して間接的にやり取りしてもよい。特に、認証処理部17を複数備えて並列処理を行う場合には、属性情報や種別判定結果をパケット処理部12や種別判定部13から記憶部18内のバッファへ順次保存し、認証処理が終了している認証処理部17から、適宜、バッファ内の属性情報や種別判定結果を取得するようにしてもよい。
When processing information such as attribute information and type determination results is exchanged between the functional units, they may be directly transmitted / received between the functional units via the internal bus, or indirectly via the
種別判定部13は、パケット処理部12から属性情報を受け取って、判定ルールDB14に格納されている判定ルールを参照して、パケット処理部12で抽出した属性情報に基づいて、認証要求パケットを送信した認証要求装置20に関する装置種別と、認証処理対象となるユーザ端末40が用いたアクセス回線30に関する回線種別を判定する(ステップ103)。
種別判定部13は、このようにして装置種別と回線種別を判定した後、これら種別判定結果を属性変換部15へ渡す(ステップ104)。
The
The
一方、属性変換部15は、パケット処理部12から個別記述形式の属性情報を受け取った後、属性変換部15から種別判定結果を受け取り、変換ルールDB16に格納されている変換ルールを参照して、パケット処理部12で抽出した属性情報のうち変換対象属性情報の値を、元の個別記述形式から統一記述形式へ変換し(ステップ110)、統一記述形式の属性情報を認証処理部17へ渡す(ステップ111)。
On the other hand, the
認証処理部17は、属性変換部15から統一記述形式の属性情報を受け取って、この属性情報に基づき、属性情報とユーザDB19に記憶されている、認証処理対象であるユーザやユーザ端末40の属性情報とを比較するなどにより、ユーザ端末40に関する認証処理を行い(ステップ112)、この認証処理に関する認証処理結果として統一記述形式からなる属性情報を属性変換部15へ渡す(ステップ113)。なお、ステップ111とステップ113は、共に統一記述形式からなる属性情報であるが、ステップ111の属性情報は、認証要求パケットから抽出した属性情報を属性変換部15で変換したものであり、ステップ113の属性情報は、認証処理部17で生成したものである。
The
属性変換部15は、認証処理部17から統一記述形式の属性情報を受け取った後、変換ルールDB16に格納されている逆変換ルールを参照して、認証処理部17から受け取った属性情報のうち逆変換対象属性情報の値を、統一記述形式から元の個別記述形式へ逆変換し(ステップ114)、個別記述形式の属性情報をパケット処理部12へ渡す(ステップ115)。
After receiving the attribute information in the unified description format from the
パケット処理部12は、属性変換部15から受け取った個別記述形式の属性情報に基づいて、認証応答パケットを作成し(ステップ116)、通信I/F部11を介して認証要求装置20へ返送する(ステップ117)。
これにより、認証要求装置20では、認証応答パケットで通知された認証結果が認証OKの場合、ユーザ端末40への通信サービス提供のための通信経路確立処理を行い、認証エラーの場合、ユーザ端末40に対して通信サービスの提供ができない旨のエラーメッセージを通知する。
The
As a result, the
[種別判定動作]
次に、本実施の形態にかかる認証システムの種別判定部13における種別判定動作について説明する。
まず、図7を参照して、種別判定部13での装置種別判定動作について説明する。図7は、第1の実施の形態にかかる装置種別判定処理を示すフローチャートである。ここでは、前述した図2の装置種別判定ルールに基づいて認証要求装置20の装置種別を判定する場合を例として説明する。
[Type judgment operation]
Next, the type determination operation in the
First, the device type determination operation in the
種別判定部13は、パケット処理部12から個別記述形式の属性情報を受け取った場合、判定ルールDB14に格納されている装置種別判定ルールを参照して、装置種別判定動作を開始する。なお、図7の装置種別判定処理は、あくまでも前述した図2の装置種別判定ルールを用いる場合に適用される処理手順の一例であって、他の装置種別判定ルールを用いる場合には、他の処理手順が適用される。
When receiving the attribute information in the individual description format from the
まず、種別判定部13は、パケット処理部12から個別記述形式の属性情報のうち、認証要求装置20のIPアドレス、すなわち送信元アドレスが、装置種別判定ルールのいずれかの組に存在するか確認する(ステップ130)。
ここで、送信元アドレスがいずれかの組に存在する場合(ステップ130:YES)、種別判定部13は、当該送信元アドレスと組をなす装置種別を取得し(ステップ131)、一連の装置種別判定処理を終了する。
First, the
Here, when the transmission source address exists in any pair (step 130: YES), the
一方、送信元アドレスがいずれの組にも存在しない場合(ステップ130:NO)、種別判定部13は、装置種別判定不能と判断して、認証要求パケットの破棄などの異常処理を実行した後(ステップ132)、一連の装置種別判定処理を終了する。
On the other hand, if the source address does not exist in any group (step 130: NO), the
次に、図8を参照して、種別判定部13での回線種別判定動作について説明する。図8は、第1の実施の形態にかかる回線種別判定処理を示すフローチャートである。ここでは、前述した図3の回線種別判定ルールに基づいてアクセス回線30の回線種別を判定する場合を例として説明する。
Next, the line type determination operation in the
種別判定部13は、パケット処理部12から個別記述形式の属性情報を受け取った場合、判定ルールDB14に格納されている回線種別判定ルールを参照して、回線種別判定動作を開始する。前述した図3の回線種別判定ルールを用いる場合、図8の回線種別判定処理が実行される。なお、図8の回線種別判定処理は、あくまでも前述した図3の回線種別判定ルールを用いる場合に適用される処理手順の一例であって、他の回線種別判定ルールを用いる場合には、他の処理手順が適用される。
When the
まず、種別判定部13は、パケット処理部12から受け取った個別記述形式の属性情報に、属性情報Aが存在するか確認する(ステップ140)。パケット処理部12において、属性情報Aが認証要求パケットに含まれていない場合や、有効な値の属性情報Aが抽出できなかった場合、属性情報Aは属性情報として出力されない。
First, the
受け取った属性情報に属性情報Aが存在する場合(ステップ140:YES)、受け取った属性情報Aの値型がIPv4アドレスまたはIPv6アドレスであるか確認する(ステップ141)。各値型については、それぞれの値型が取りうる数値範囲や文字・記号、さらにはこれら桁位置や桁数などの特徴に基づき確認すればよい。 When the attribute information A exists in the received attribute information (step 140: YES), it is confirmed whether the value type of the received attribute information A is an IPv4 address or an IPv6 address (step 141). Each value type may be confirmed based on a numerical range, characters / symbols that can be taken by each value type, and features such as the digit position and the number of digits.
ここで、属性情報Aの値型がIPv4アドレスまたはIPv6アドレスである場合(ステップ141:YES)、種別判定部13は、アクセス回線30の回線種別を「α」と判定し(ステップ142)、一連の回線種別判定処理を終了する。
一方、属性情報Aの値型がIPv4アドレスまたはIPv6アドレス以外の場合(ステップ141:NO)、種別判定部13は、回線種別判定不能と判断して、認証要求パケットの破棄などの異常処理を実行した後(ステップ146)、一連の回線種別判定処理を終了する。
Here, when the value type of the attribute information A is an IPv4 address or an IPv6 address (step 141: YES), the
On the other hand, when the value type of the attribute information A is other than the IPv4 address or the IPv6 address (step 141: NO), the
また、ステップ140において、パケット処理部12から受け取った個別記述形式の属性情報に、属性情報Aが存在しない場合(ステップ140:NO)、種別判定部13は、受け取った属性情報に、値型がIPv4アドレスの属性情報Bが存在するか確認する(ステップ143)。
ここで、値型がIPv4アドレスの属性情報Bが存在する場合(ステップ143:YES)、種別判定部13は、受け取った属性情報に、値型が整数形式の属性情報Cが存在するか確認する(ステップ144)。
In
Here, when the attribute information B whose value type is IPv4 address exists (step 143: YES), the
ここで、値型が整数形式の属性情報Cが存在する場合(ステップ144:YES)、種別判定部13は、アクセス回線30の回線種別を「β」と判定し(ステップ145)、一連の回線種別判定処理を終了する。
一方、受け取った属性情報に、値型がIPv4アドレスの属性情報Bが存在しない場合(ステップ143:NO)、および値型が整数形式の属性情報Cが存在しない場合(ステップ144:NO)、種別判定部13は、回線種別判定不能と判断し(ステップ146)、一連の回線種別判定処理を終了する。
Here, when the attribute information C whose value type is an integer format exists (step 144: YES), the
On the other hand, when the attribute information B whose value type is IPv4 address does not exist in the received attribute information (step 143: NO), and when attribute information C whose value type is an integer format does not exist (step 144: NO), The
図9は、種別判定例を示す説明図である。ここでは、前述した図7の装置種別判定処理および図8の回線種別判定処理に基づく種別判定結果が示されている。
例えば、送信元アドレスが「10.0.0.1」で、属性情報Aが「10.0.0.2」すなわち値型が「IPv4アドレス」の場合、装置種別が「X」で回線種別が「α」と判定される。また、送信元アドレスが「10.0.1.1」で、属性情報Aが存在せず、属性情報Bが「10.0.1.2」すなわち値型が「IPv4アドレス」で、属性情報Cが「12345678」すなわち値型が整数の場合、装置種別が「X」で回線種別が「β」と判定される。また、送信元アドレスが「10.0.2.1」で、属性情報Aが「2001::1」すなわち値型が「IPv6アドレス」の場合、装置種別が「Y」で回線種別が「α」と判定される。なお、図9における「−」は、認証要求パケットに、対応する値型の属性情報と該当するものが含まれていないことを示している。
FIG. 9 is an explanatory diagram illustrating a type determination example. Here, the type determination result based on the apparatus type determination process of FIG. 7 and the line type determination process of FIG. 8 described above is shown.
For example, when the transmission source address is “10.0.0.1” and the attribute information A is “10.0.0.2”, that is, the value type is “IPv4 address”, it is determined that the device type is “X” and the line type is “α”. . Further, the source address is “10.0.1.1”, the attribute information A does not exist, the attribute information B is “10.0.1.2”, that is, the value type is “IPv4 address”, and the attribute information C is “12345678”, that is, the value type. Is an integer, it is determined that the device type is “X” and the line type is “β”. Further, when the transmission source address is “10.0.2.1” and the attribute information A is “2001 :: 1”, that is, the value type is “IPv6 address”, it is determined that the device type is “Y” and the line type is “α”. The Note that “-” in FIG. 9 indicates that the authentication request packet does not include the corresponding value type attribute information.
[属性変換動作]
次に、本実施の形態にかかる認証システムの種別判定部13における属性変換動作について説明する。
まず、図10を参照して、属性変換部15での属性変換動作について説明する。図10は、第1の実施の形態にかかる属性変換処理を示すフローチャートである。ここでは、前述した図4の変換ルールに基づいて、パケット処理部12から受け取った属性情報を、個別記述形式から統一記述形式へ変換する場合を例として説明する。
[Attribute conversion operation]
Next, an attribute conversion operation in the
First, the attribute conversion operation in the
属性変換部15は、種別判定部13から種別判定結果を受け取った場合、変換ルールDB16に格納されている変換ルールを参照して、属性変換動作を開始する。なお、図10の属性変換処理は、あくまでも前述した図4の変換ルールを用いる場合に適用される処理手順の一例であって、他の変換ルールを用いる場合には、他の処理手順が適用される。
When the
まず、属性変換部15は、種別判定部13から受け取った種別判定結果の装置種別と回線種別が、変換ルールに存在するか確認する(ステップ150)。
装置種別と回線種別が変換ルールのうちのいずれかの組に存在する場合(ステップ150:YES)、属性変換部15は、変換ルールのうち装置種別と回線種別が存在する組に変換対象の指定が存在するか確認する(ステップ151)。
First, the
When the device type and the line type exist in any one of the conversion rules (step 150: YES), the
ここで、変換ルールのうち装置種別と回線種別が存在する組に変換対象の指定が存在する場合(ステップ151:YES)、属性変換部15は、当該組の変換式に基づいて、変換対象となる属性情報を個別記述形式から統一記述形式へ変換し(ステップ152)、一連の属性変換処理を終了する。
一方、装置種別と回線種別が変換ルールのうちのいずれかの組に存在しない場合(ステップ150:NO)、および変換ルールのうち装置種別と回線種別が存在する組に変換対象の指定が存在しない場合(ステップ151:NO)、属性変換部15は、属性情報変換不能と判断して、認証要求パケットの破棄などの異常処理を実行した後(ステップ153)、一連の属性変換処理を終了する。
Here, when the conversion target exists in the conversion rule that includes the device type and the line type (step 151: YES), the
On the other hand, when the device type and the line type do not exist in any one of the conversion rules (step 150: NO), the conversion target does not exist in the combination of the conversion rule in which the device type and the line type exist. In the case (step 151: NO), the
図11は、属性情報変換例を示す説明図である。ここでは、前述した図10の属性変換処理に基づく属性変換結果が示されている。
例えば、装置種別が「X」で回線種別が「α」と判定された図9のエントリ1の場合、属性情報Aが変換対象となり、元の個別記述形式の属性情報A値「10.0.0.2」が統一記述形式の「IPv4_10.0.0.2」に変換される。また、装置種別が「X」で回線種別が「β」と判定された図9のエントリ2の場合、属性情報Aが変換対象となり、元の個別記述形式の属性情報A値「2001::1」が統一記述形式の「IPv6_2001::1」に変換される。また、装置種別が「Y」で回線種別が「α」と判定された図9のエントリ3の場合、属性情報B,Cが変換対象となり、元の個別記述形式の属性情報B値「10.0.0.2」と属性情報C値「12345678」が統一記述形式の「IPv4_10.0.0.2_12345678」に変換される。
FIG. 11 is an explanatory diagram illustrating an example of attribute information conversion. Here, an attribute conversion result based on the attribute conversion process of FIG. 10 described above is shown.
For example, in the case of
次に、図12を参照して、属性変換部15での属性逆変換動作について説明する。図12は、第1の実施の形態にかかる属性逆変換処理を示すフローチャートである。ここでは、前述した図5の逆変換ルールに基づいて、認証処理部17から受け取った認証処理結果に関する属性情報を、統一記述形式から個別記述形式へ逆変換する場合を例として説明する。
Next, the attribute reverse conversion operation in the
属性変換部15は、認証処理部17から認証処理結果に関する属性情報を受け取った場合、変換ルールDB16に格納されている逆変換ルールを参照して、属性逆変換動作を開始する。なお、図12の属性逆変換処理は、あくまでも前述した図5の逆変換ルールを用いる場合に適用される処理手順の一例であって、他の逆変換ルールを用いる場合には、他の処理手順が適用される。
When the
まず、属性変換部15は、認証処理部17から受け取った属性情報に対応する種別判定結果の装置種別と回線種別が、逆変換ルールに存在するか確認する(ステップ160)。
装置種別と回線種別が逆変換ルールのうちのいずれかの組に存在する場合(ステップ160:YES)、属性変換部15は、逆変換ルールのうち装置種別と回線種別が存在する組に逆変換対象の指定が存在するか確認する(ステップ161)。
First, the
When the device type and the line type exist in any one of the reverse conversion rules (step 160: YES), the
ここで、逆変換ルールのうち装置種別と回線種別が存在する組に逆変換対象の指定が存在する場合(ステップ161:YES)、属性変換部15は、逆変換対象となる属性情報を、統一記述形式から、当該組の値型からなる個別記述形式の属性値へ逆変換し(ステップ162)、一連の属性変換処理を終了する。
一方、装置種別と回線種別が逆変換ルールのうちのいずれかの組に存在しない場合(ステップ160:NO)、および逆変換ルールのうち装置種別と回線種別が存在する組に変換対象の指定が存在しない場合(ステップ161:NO)、属性変換部15は、属性情報逆変換不能と判断して、認証要求パケットの破棄などの異常処理を実行した後(ステップ163)、一連の属性変換処理を終了する。
Here, when the reverse conversion target is specified in the combination of the device type and the line type in the reverse conversion rule (step 161: YES), the
On the other hand, when the device type and the line type do not exist in any of the reverse conversion rules (step 160: NO), the conversion target is specified in the reverse conversion rule in which the device type and the line type exist. If it does not exist (step 161: NO), the
図13は、属性情報逆変換例を示す説明図である。ここでは、前述した図12の属性逆変換処理に基づく属性逆変換結果が示されている。
例えば、装置種別が「X」で回線種別が「α」と判定された図9のエントリ1の場合、属性情報Dが逆変換対象となり、統一記述形式の属性情報D値が「1」の場合には、文字列からなる個別記述形式の「OK」に変換され、統一記述形式の属性情報D値が「0」の場合には、値型が文字列からなる個別記述形式の「NG」に変換される。また、装置種別が「X」で回線種別が「β」と判定された図9のエントリ2の場合も同様である。また、装置種別が「Y」で回線種別が「α」と判定された図9のエントリ3の場合、属性情報Eが変換対象となり、値型が数値からなる個別記述形式の新たな属性情報Eとして「1」が追加される。
FIG. 13 is an explanatory diagram illustrating an example of reverse conversion of attribute information. Here, an attribute reverse conversion result based on the attribute reverse conversion process of FIG. 12 described above is shown.
For example, in the case of
[第1の実施の形態の効果]
このように、本実施の形態は、種別判定部13により、認証要求装置20からの認証要求パケットから抽出した属性情報に基づいて、認証要求装置20の装置種別または/およびアクセス回線30の回線種別を判定し、この種別判定結果に基づいて、属性変換部15により、装置種別または/および回線種別ごとに個別の個別記述形式からなる属性情報を特定の統一記述形式へ変換し、この統一記述形式からなる属性情報に基づいて、認証処理部17により、ユーザ端末40に関する認証処理を行う。
[Effect of the first embodiment]
As described above, according to the present embodiment, the
したがって、レルムに依存せず、異なる種類の認証要求装置20やアクセス回線30が収容される環境であっても、1つの認証システム、さらには1種類の統一記述形式で認証処理する認証処理部で対応できる。このため、異なる種類の認証要求装置20やアクセス回線30をレルムに追加する場合でも、これらに対応する認証処理部17を追加する必要はなく、設備を柔軟かつ効率よく利用することが可能となる。
Therefore, even in an environment where different types of
また、装置種別または/および回線種別に応じて、認証要求パケットから抽出した属性情報に対する統一記述形式への変換要否を決定できることから、変換処理が必要ではない認証パケットについては変換処理の対象外とすることができ、全ての認証要求パケットを変換処理する場合と比較して、不要な処理負担の発生を抑制できる。このため、変換処理が不要な認証要求パケットを多数受信する環境では、変換処理に要する処理負荷を大幅に削減することができる。 In addition, since it is possible to determine whether or not the attribute information extracted from the authentication request packet needs to be converted to a unified description format according to the device type and / or line type, authentication packets that do not require conversion processing are not subject to conversion processing. As compared with the case where all the authentication request packets are converted, the generation of unnecessary processing burden can be suppressed. For this reason, in an environment where a large number of authentication request packets that do not require conversion processing are received, the processing load required for the conversion processing can be greatly reduced.
また、本実施の形態では、種別判定部13により、認証要求装置20のIPアドレスと当該認証要求装置20の装置種別との組からなる装置種別判定ルールを参照し、パケット処理部12で属性情報として抽出した当該認証要求装置20のIPアドレスと組をなす装置種別を、当該認証要求装置20の装置種別として取得するようにしたので、極めて簡素な処理で認証要求装置20の装置種別を精度よく判定することができる。
In the present embodiment, the
また、本実施の形態では、種別判定部13により、パケット処理部12で抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、パケット処理部12で属性情報として抽出した判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置20の回線種別として取得するようにしたので、極めて簡素な処理で認証要求装置20の装置種別を精度よく判定することができる。
Further, in the present embodiment, a line made up of a set of a value type relating to determination target attribute information to be determined among the attribute information extracted by the
また、本実施の形態では、属性変換部15により、認証要求装置20の装置種別または/およびアクセス回線30の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、種別判定部13で得られた装置種別または/および回線種別と組をなす変換対象属性情報および変換式を取得し、パケット処理部12で抽出した変換対象属性情報の値を当該変換式に基づいて統一記述形式へ変換するようにしたので、複雑な処理を必要とすることなく、装置種別または/および回線種別ごとに、任意の属性情報を統一記述形式へ変換することができる。
In the present embodiment, the
また、本実施の形態では、属性変換部15により、種別判定部13での種別判定結果に基づいて、認証処理結果を示す属性情報を個別記述形式へ逆変換し、パケット処理部12により、逆変換された属性情報を含む認証応答パケットを作成して、認証要求装置20へ送信するようにしたので、レルムに依存せず、異なる種類の認証要求装置20やアクセス回線30が収容される環境であっても、装置種別または/および回線種別に対応した個別記述形式の属性情報を認証応答パケットで、認証要求装置20へ返送することができる。
In the present embodiment, the
また、本実施の形態では、属性変換部15により、認証要求装置20の装置種別または/およびアクセス回線30の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、種別判定部13で得られた装置種別または/および回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて個別記述形式へ逆変換するようにしたので、複雑な処理を必要とすることなく、装置種別または/および回線種別ごとに、認証処理結果を示す属性情報を元の個別記述形式へ変換することができる。
Further, in the present embodiment, the
[第2の実施の形態]
次に、本発明の第2の実施の形態にかかる認証システムについて説明する。
第1の実施の形態では、種別判定部13で判定した装置種別または/および回線種別に応じて、属性変換部15で、認証要求パケットから抽出した属性情報を、個別記述形式から統一記述形式へ変換し、この統一記述形式からなる属性情報に基づき認証処理部17で認証処理を行う場合を例として説明した。これは、統一記述形式からなる属性情報に基づき認証処理を行う1つまたは複数の認証処理部17が設けられていることを前提としている
[Second Embodiment]
Next, an authentication system according to the second embodiment of the present invention will be described.
In the first embodiment, the
これに対して、認証処理可能な属性情報の記述形式が異なる認証処理部17を複数用いる場合もある。例えば、統一記述形式の属性情報に対してのみ認証処理を行う認証処理部17や、特定の個別記述形式と統一記述形式の属性情報に対して認証処理を行う認証処理部17を組み合わせて認証システムを構成する場合もある。
本実施の形態では、このような認証処理可能な記述形式が異なる認証処理部17を組み合わせて用いる場合について説明する。
On the other hand, a plurality of
In the present embodiment, a case will be described in which
本実施の形態において、認証処理部17は、種別判定部13で判定した装置種別または/および回線種別に基づいて、これら種別に対応する個別記述形式の属性情報について認証処理可能か否か判定する機能と、当該個別形式について認証処理が不可能な場合には、統一記述形式での属性情報を要求する統一情報要求を属性変換部15に対して通知する機能と、当該個別形式について認証処理が可能な場合には、個別記述形式での属性情報を要求する個別情報要求を属性変換部15に対して通知する機能とを有している。
In the present embodiment, the
また、属性変換部15は、認証処理部17からの統一情報要求に応じて、パケット処理部12で抽出した属性情報を統一記述形式へ変換して、認証処理部17へ渡す機能と、認証処理部17からの個別情報要求に応じて、パケット処理部12で抽出した属性情報を個別記述形式のまま、認証処理部17へ渡す機能とを有している。
認証システム10におけるこのほかの構成については、第1の実施の形態と同様であり、ここでの詳細な説明は省略する。
In addition, the
Other configurations in the
[第2の実施の形態の動作]
次に、図14および図15を参照して、本実施の形態にかかる認証システムの動作について説明する。図14は、第2の実施の形態にかかる認証システムの動作(属性変換要)を示すシーケンス図であり、図6と同じまたは同等部分には同一符号を付してある。図15は、第2の実施の形態にかかる認証システムの動作(属性変換不要)を示すシーケンス図であり、図6と同じまたは同等部分には同一符号を付してある。
[Operation of Second Embodiment]
Next, the operation of the authentication system according to the present embodiment will be described with reference to FIGS. FIG. 14 is a sequence diagram showing the operation (attribute conversion required) of the authentication system according to the second embodiment, and the same or equivalent parts as in FIG. 6 are denoted by the same reference numerals. FIG. 15 is a sequence diagram showing the operation (attribute conversion unnecessary) of the authentication system according to the second embodiment, and the same or equivalent parts as those in FIG. 6 are denoted by the same reference numerals.
ここでは、認証要求装置20からの認証要求パケットに応じて、認証システム10により、当該認証要求パケットに含まれている属性情報を統一記述形式へ変換して認証処理する場合と、個別記述形式のまま認証処理する場合とについて説明する。
Here, in response to the authentication request packet from the
図14に示すように、認証システム10のパケット処理部12は、通信I/F部11を介して認証要求装置20からの認証要求パケットを受信した場合(ステップ100)、当該認証要求パケットから認証処理に必要な各種属性情報を抽出し(ステップ101)、抽出した属性情報を種別判定部13および属性変換部15へ渡す(ステップ102)。この属性情報は、認証要求装置20の装置種別やアクセス回線30の回線種別ごとに個別の個別記述形式で記述されている。
As shown in FIG. 14, when the
各機能部間で属性情報や種別判定結果などの処理情報をやり取りする場合、内部バスを介して機能部間で、直接、送受信してもよく、記憶部18を介して間接的にやり取りしてもよい。特に、認証処理部17を複数備えて並列処理を行う場合には、属性情報や種別判定結果をパケット処理部12や種別判定部13から記憶部18内のバッファへ順次保存し、認証処理が終了している認証処理部17から、適宜、バッファ内の属性情報や種別判定結果を取得するようにしてもよい。
When processing information such as attribute information and type determination results is exchanged between the functional units, they may be directly transmitted / received between the functional units via the internal bus, or indirectly via the
種別判定部13は、パケット処理部12から属性情報を受け取って、判定ルールDB14に格納されている判定ルールを参照して、パケット処理部12で抽出した属性情報に基づいて、認証要求パケットを送信した認証要求装置20に関する装置種別と、認証処理対象となるユーザ端末40が用いたアクセス回線30に関する回線種別を判定する(ステップ103)。
種別判定部13は、このようにして装置種別と回線種別を判定した後、これら種別判定結果を属性変換部15と認証処理部17へ渡す(ステップ104)。
The
After determining the device type and the line type in this way, the
認証処理部17は、種別判定部13から種別判定結果を受け取り、この種別判定結果の装置種別または/および回線種別に基づいて、これら種別に対応する個別記述形式の属性情報について認証処理可能か否か判定する(ステップ105)。この際、認証処理部17は、例えば、当該認証処理部17で認証処理可能な記述形式の属性情報が得られる、装置種別または/および回線種別を、認証処理判定情報として予め設定しておき、この認証処理判定情報を参照して、種別判定部13からの判定情報に対する認証処理の可否を判定すればよい。
The
ここで、認証処理が不可能と判定された場合、認証処理部17は、統一記述形式での属性情報を要求する統一情報要求を属性変換部15に対して通知する(ステップ106)。
属性変換部15は、認証処理部17からの統一情報要求に応じて、変換ルールDB16に格納されている変換ルールを参照して、パケット処理部12で抽出した属性情報のうち変換対象属性情報の値を、元の個別記述形式から統一記述形式へ変換し(ステップ110)、統一記述形式の属性情報を認証処理部17へ渡す(ステップ111)。
この後、認証システム10では、前述した図6のステップ112以降の処理が実行される。
If it is determined that authentication processing is impossible, the
The
Thereafter, in the
一方、図15に示すように、ステップ105において、認証処理が可能と判定された場合、認証処理部17は、個別記述形式での属性情報を要求する個別情報要求を属性変換部15に対して通知する(ステップ107)。
属性変換部15は、認証処理部17からの個別情報要求に応じて、パケット処理部12で抽出した属性情報を、元の個別記述形式のまま認証処理部17へ渡す(ステップ120)。
On the other hand, as shown in FIG. 15, when it is determined in
In response to the individual information request from the
認証処理部17は、属性変換部15から個別記述形式の属性情報を受け取って、ユーザ端末40に関する認証処理を行い(ステップ121)、この認証処理に関する認証処理結果として個別記述形式からなる属性情報を属性変換部15へ渡す(ステップ122)。
属性変換部15は、認証処理部17から個別記述形式の属性情報を受け取って、逆変換処理を行うことなく、個別記述形式の属性情報をパケット処理部12へ渡す(ステップ123)。
The
The
パケット処理部12は、属性変換部15から受け取った個別記述形式の属性情報に基づいて、認証応答パケットを作成し(ステップ124)、通信I/F部11を介して認証要求装置20へ返送する(ステップ125)。
これにより、認証要求装置20では、認証応答パケットで通知された認証結果が認証OKの場合、ユーザ端末40への通信サービス提供のための通信経路確立処理を行い、認証エラーの場合、ユーザ端末40に対して通信サービスの提供ができない旨のエラーメッセージを通知する。
The
As a result, the
[第2の実施の形態の効果]
このように、本実施の形態では、認証処理部17により、種別判定部で得られた装置種別または/および回線種別に基づいて、パケット処理部で抽出した属性情報について認証処理が可能か否か判断し、当該認証処理が不可能な場合には統一記述形式からなる属性情報を要求する統一情報要求を属性変換部15に対して通知し、当該認証処理が可能な場合には個別記述形式からなる属性情報を要求する個別情報要求を属性変換部15に対して通知し、属性変換部15により、統一情報要求が通知された場合、パケット処理部12で抽出した属性情報を統一記述形式への変換して認証処理部17へ出力し、個別情報要求が通知された場合、パケット処理部12で抽出した属性情報を個別記述形式のまま認証処理部17へ出力する。
これにより、認証要求パケットに含まれる属性情報の個別記述形式が、認証処理部17で認証処理可能な場合には、属性変換部15での属性変換処理を省くことができる。
[Effect of the second embodiment]
As described above, in this embodiment, whether or not the
As a result, when the individual description format of the attribute information included in the authentication request packet can be authenticated by the
[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
[Extended embodiment]
The present invention has been described above with reference to the embodiments, but the present invention is not limited to the above embodiments. Various changes that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention.
各実施の形態では、各種機能部が認証システム10を構成する1つの情報装置内に実装されている場合を例として説明したが、これら機能部は、サーバ装置などの複数の情報処理装置に分散して実装してもよい。このようなシステム構成には、通信ネットワークを介してこれら情報処理装置間でデータ通信を行うことにより、各種処理装置をやり取りすればよい。また、これら機能部は、システム構成に応じて、同一機能部を、複数、並列的に設けてもよい。
In each embodiment, the case where various functional units are mounted in one information device constituting the
また、各実施の形態では、認証システム10に対して3つの認証要求装置21,22,23が接続され、これら認証要求装置21,22,23に対してそれぞれ1つずつユーザ端末41,42,43が接続されている場合を例として説明したが、これに限定されるものではない。認証システム10に対して接続される認証要求装置20の数、各認証要求装置20に対して接続されるユーザ端末40の数については、それぞれのレルムに応じて、適宜、変更すればよい。
In each embodiment, three
また、各実施の形態では、VPNなどの通信サービスを提供する際に行う認証処理を例として説明したが、VPN以外の通信サービスにも同様に適用でき、さらには通信サービス以外の認証処理にも適用できる。 In each embodiment, the authentication process performed when providing a communication service such as VPN has been described as an example. However, the present invention can be similarly applied to a communication service other than VPN, and further to an authentication process other than the communication service. Applicable.
10…認証システム、11…通信I/F部、12…パケット処理部、13…種別判定部、14…判定ルールDB、15…属性変換部、16…変換ルールDB、17…認証処理部、18…記憶部、19…ユーザDB、20,21,22,23…認証要求部、30,31,32,33…アクセス回線、40,41,42,43…ユーザ端末。
DESCRIPTION OF
Claims (15)
前記認証要求パケットから前記認証処理に必要な1つ以上の属性情報を抽出するパケット処理部と、
前記属性情報に基づいて、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別を判定する種別判定部と、
前記種別判定結果に基づいて、前記装置種別または/および前記回線種別ごとに個別の個別記述形式からなる前記属性情報を特定の統一記述形式へ変換する属性変換部と、
前記統一記述形式に変換された属性情報に基づいて、前記ユーザ端末に関する認証処理を行う認証処理部と
を備えることを特徴とする認証システム。 In accordance with an authentication request packet from an authentication request device connected to a user terminal via an access line, an authentication system that performs authentication processing of the user terminal,
A packet processing unit that extracts one or more pieces of attribute information necessary for the authentication processing from the authentication request packet;
A type determination unit that determines a device type of the authentication requesting device or / and a line type of the access line based on the attribute information;
Based on the type determination result, an attribute conversion unit that converts the attribute information consisting of individual individual description formats for each of the device types and / or the line types into a specific unified description format;
An authentication system comprising: an authentication processing unit that performs an authentication process on the user terminal based on the attribute information converted into the unified description format.
前記種別判定部は、前記認証要求装置の送信元情報と当該認証要求装置の装置種別との組からなる装置種別判定ルールを参照し、前記パケット処理部で前記属性情報として抽出した当該認証要求装置の送信元情報と組をなす装置種別を、当該認証要求装置の装置種別として取得することを特徴とする認証システム。 The authentication system according to claim 1,
The type determination unit refers to a device type determination rule including a set of transmission source information of the authentication request device and a device type of the authentication request device, and the authentication request device extracted as the attribute information by the packet processing unit An authentication system characterized in that the device type paired with the transmission source information is acquired as the device type of the authentication requesting device.
前記種別判定部は、前記パケット処理部で抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、前記パケット処理部で前記属性情報として抽出した前記判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置の回線種別として取得することを特徴とする認証システム。 The authentication system according to claim 1 or 2,
The type determination unit refers to a line type determination rule including a set of a value type related to determination target attribute information to be determined among the attribute information extracted by the packet processing unit and a line type of the access line, and An authentication system characterized in that a line type paired with a value type of the determination target attribute information extracted as the attribute information by a packet processing unit is acquired as a line type of the authentication requesting apparatus.
前記属性変換部は、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、前記種別判定部で得られた前記装置種別または/および前記回線種別と組をなす変換対象属性情報および変換式を取得し、前記パケット処理部で抽出した前記変換対象属性情報の値を当該変換式に基づいて前記統一記述形式へ変換することを特徴とする認証システム。 The authentication system according to any one of claims 1 to 3,
The attribute conversion unit refers to a conversion rule composed of a set of a device type of the authentication requesting device or / and a line type of the access line, conversion target attribute information to be converted, and a conversion formula thereof, Acquires conversion target attribute information and a conversion formula paired with the device type and / or the line type obtained by the type determination unit, and converts the value of the conversion target attribute information extracted by the packet processing unit into the conversion formula An authentication system characterized in that the system is converted into the unified description format.
前記属性変換部は、前記種別判定結果に基づいて、前記認証処理結果を示す属性情報を前記個別記述形式へ逆変換し、
前記パケット処理部は、前記逆変換された属性情報を含む認証応答パケットを作成して、前記認証要求装置へ送信する
ことを特徴とする認証システム。 An authentication system according to any one of claims 1 to 4, wherein
The attribute conversion unit reversely converts the attribute information indicating the authentication processing result into the individual description format based on the type determination result,
The packet processing unit creates an authentication response packet including the inversely converted attribute information, and transmits the authentication response packet to the authentication requesting device.
前記属性変換部は、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、前記種別判定部で得られた前記装置種別または/および前記回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、前記認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて前記個別記述形式へ逆変換することを特徴とする認証システム。 The authentication system according to claim 5,
The attribute conversion unit includes a reverse conversion rule composed of a set of a device type of the authentication requesting device or / and a line type of the access line, reverse conversion target attribute information to be reverse conversion, a value type, and an attribute value. Referring to the attribute information indicating the authentication processing result by acquiring the reverse conversion target attribute information, the value type, and the attribute value corresponding to the device type or / and the line type obtained by the type determination unit. An authentication system, wherein the value of the reverse conversion target attribute information is reversely converted into the individual description format based on the value type and the attribute value.
前記認証処理部は、前記種別判定部で得られた前記装置種別または/および前記回線種別に基づいて、前記パケット処理部で抽出した前記属性情報について前記認証処理が可能か否か判断し、当該認証処理が不可能な場合には前記統一記述形式からなる属性情報を要求する統一情報要求を前記属性変換部に対して通知し、当該認証処理が可能な場合には前記個別記述形式からなる属性情報を要求する個別情報要求を前記属性変換部に対して通知し、
前記属性変換部は、前記統一情報要求が通知された場合、前記パケット処理部で抽出した前記属性情報を前記統一記述形式への変換して前記認証処理部へ出力し、前記個別情報要求が通知された場合、前記パケット処理部で抽出した前記属性情報を前記個別記述形式のまま前記認証処理部へ出力する
ことを特徴とする認証システム。 The authentication system according to any one of claims 1 to 6,
The authentication processing unit determines whether the authentication process is possible for the attribute information extracted by the packet processing unit based on the device type or / and the line type obtained by the type determination unit, When the authentication process is impossible, the attribute conversion unit is notified of a unified information request for requesting attribute information having the unified description format. When the authentication process is possible, the attribute having the individual description format is sent. Notifying the attribute conversion unit of an individual information request for requesting information,
When the unified information request is notified, the attribute conversion unit converts the attribute information extracted by the packet processing unit into the unified description format and outputs the unified description format to the authentication processing unit, and the individual information request is notified. If so, the attribute information extracted by the packet processing unit is output to the authentication processing unit in the individual description format.
パケット処理部が、前記認証要求パケットから前記認証処理に必要な1つ以上の属性情報を抽出するパケット処理ステップと、
種別判定部が、前記属性情報に基づいて、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別を判定する種別判定ステップと、
属性変換部が、前記種別判定結果に基づいて、前記装置種別または/および前記回線種別ごとに個別の個別記述形式からなる前記属性情報を特定の統一記述形式へ変換する属性変換ステップと、
認証処理部が、前記統一記述形式に変換された属性情報に基づいて、前記ユーザ端末に関する認証処理を行う認証処理ステップと
を備えることを特徴とする認証方法。 In accordance with an authentication request packet from an authentication request device connected to a user terminal via an access line, an authentication method used in an authentication system that performs authentication processing of the user terminal,
A packet processing step in which a packet processing unit extracts one or more pieces of attribute information necessary for the authentication processing from the authentication request packet;
A type determining step for determining a device type of the authentication requesting device or / and a line type of the access line based on the attribute information;
An attribute conversion step for converting, based on the type determination result, the attribute information composed of individual individual description formats for each of the device types and / or the line types into a specific unified description format;
An authentication method comprising: an authentication processing step in which an authentication processing unit performs an authentication process on the user terminal based on the attribute information converted into the unified description format.
前記種別判定ステップは、前記認証要求装置の送信元情報と当該認証要求装置の装置種別との組からなる装置種別判定ルールを参照し、前記パケット処理ステップで前記属性情報として抽出した当該認証要求装置の送信元情報と組をなす装置種別を、当該認証要求装置の装置種別として取得するステップを含むことを特徴とする認証方法。 The authentication method according to claim 8, comprising:
The authentication requesting device extracted in the packet processing step as the attribute information with reference to a device type determination rule consisting of a set of source information of the authentication requesting device and a device type of the authentication requesting device An authentication method comprising: acquiring a device type paired with the transmission source information as the device type of the authentication requesting device.
前記種別判定ステップは、前記パケット処理ステップで抽出する属性情報のうち判定の対象となる判定対象属性情報に関する値型と当該アクセス回線の回線種別との組からなる回線種別判定ルールを参照し、前記パケット処理ステップで前記属性情報として抽出した前記判定対象属性情報の値型と組をなす回線種別を、当該認証要求装置の回線種別として取得するステップを含むことを特徴とする認証方法。 The authentication method according to claim 8 or 9, wherein:
The type determination step refers to a line type determination rule consisting of a set of a value type related to determination target attribute information to be determined among the attribute information extracted in the packet processing step and a line type of the access line, An authentication method, comprising: acquiring a line type paired with a value type of the determination target attribute information extracted as the attribute information in the packet processing step as a line type of the authentication requesting apparatus.
前記属性変換ステップは、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別と、変換の対象となる変換対象属性情報およびその変換式との組からなる変換ルールを参照して、前記種別判定ステップで得られた前記装置種別または/および前記回線種別と組をなす変換対象属性情報および変換式を取得し、前記パケット処理ステップで抽出した前記変換対象属性情報の値を当該変換式に基づいて前記統一記述形式へ変換するステップを含むことを特徴とする認証方法。 An authentication method according to any one of claims 8 to 10, comprising:
The attribute conversion step refers to a conversion rule comprising a set of a device type of the authentication requesting device or / and a line type of the access line, conversion target attribute information to be converted, and a conversion formula thereof, Obtaining the conversion target attribute information and the conversion formula paired with the device type or / and the line type obtained in the type determination step, and converting the value of the conversion target attribute information extracted in the packet processing step into the conversion formula An authentication method comprising a step of converting to the unified description format based on the authentication method.
前記属性変換ステップは、前記種別判定結果に基づいて、前記認証処理結果を示す属性情報を前記個別記述形式へ逆変換するステップを含み、
前記パケット処理ステップは、前記逆変換された属性情報を含む認証応答パケットを作成して、前記認証要求装置へ送信するステップを含む
ことを特徴とする認証方法。 An authentication method according to any one of claims 8 to 11, comprising:
The attribute conversion step includes a step of reversely converting attribute information indicating the authentication processing result into the individual description format based on the type determination result,
The packet processing step includes a step of creating an authentication response packet including the inversely transformed attribute information and transmitting the packet to the authentication requesting device.
前記属性変換ステップは、前記認証要求装置の装置種別または/および前記アクセス回線の回線種別と、逆変換の対象となる逆変換対象属性情報、値型、および属性値の組からなる逆変換ルールを参照して、前記種別判定ステップで得られた前記装置種別または/および前記回線種別に対応する逆変換対象属性情報、値型、および属性値を取得し、前記認証処理結果を示す属性情報のうち当該逆変換対象属性情報の値を当該値型および属性値に基づいて前記個別記述形式へ逆変換するステップを含むことを特徴とする認証方法。 An authentication method according to claim 12, comprising:
The attribute conversion step includes a reverse conversion rule including a set of a device type of the authentication requesting device or / and a line type of the access line and reverse conversion target attribute information, a value type, and an attribute value to be reverse conversion target. Referring to the attribute information indicating the authentication processing result by obtaining the reverse conversion target attribute information, value type, and attribute value corresponding to the device type or / and the line type obtained in the type determining step An authentication method comprising a step of reversely converting the value of the reverse conversion target attribute information into the individual description format based on the value type and the attribute value.
前記認証処理ステップは、前記種別判定ステップで得られた前記装置種別または/および前記回線種別に基づいて、前記パケット処理ステップで抽出した前記属性情報について前記認証処理が可能か否か判断し、当該認証処理が不可能な場合には前記統一記述形式からなる属性情報を要求する統一情報要求を前記属性変換ステップに対して通知し、当該認証処理が可能な場合には前記個別記述形式からなる属性情報を要求する個別情報要求を前記属性変換ステップに対して通知するステップを含み、
前記属性変換ステップは、前記統一情報要求が通知された場合、前記パケット処理ステップで抽出した前記属性情報を前記統一記述形式への変換して前記認証処理ステップへ出力し、前記個別情報要求が通知された場合、前記パケット処理ステップで抽出した前記属性情報を前記個別記述形式のまま前記認証処理ステップへ出力するステップを含む
ことを特徴とする認証方法。 An authentication method according to any one of claims 8 to 13, comprising:
The authentication processing step determines whether the authentication processing is possible for the attribute information extracted in the packet processing step based on the device type or / and the line type obtained in the type determination step, If the authentication process is impossible, the attribute conversion step is notified of a unified information request for requesting attribute information in the unified description format. If the authentication process is possible, the attribute in the individual description format is sent. Notifying the attribute conversion step of an individual information request for requesting information,
In the attribute conversion step, when the unified information request is notified, the attribute information extracted in the packet processing step is converted into the unified description format and output to the authentication processing step, and the individual information request is notified. If so, an authentication method comprising: outputting the attribute information extracted in the packet processing step to the authentication processing step in the individual description format.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009187818A JP4809916B2 (en) | 2009-08-13 | 2009-08-13 | Authentication system, method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009187818A JP4809916B2 (en) | 2009-08-13 | 2009-08-13 | Authentication system, method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011041088A JP2011041088A (en) | 2011-02-24 |
| JP4809916B2 true JP4809916B2 (en) | 2011-11-09 |
Family
ID=43768384
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009187818A Active JP4809916B2 (en) | 2009-08-13 | 2009-08-13 | Authentication system, method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4809916B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108292997B (en) * | 2015-12-18 | 2021-07-09 | 日本电信电话株式会社 | Authentication control system and method, server device, client device, authentication method, and recording medium |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4461034B2 (en) * | 2005-01-31 | 2010-05-12 | 日本電信電話株式会社 | Usage right issuing method, usage right issuing device, and usage right system |
| JP2007267315A (en) * | 2006-03-30 | 2007-10-11 | Alaxala Networks Corp | Multi-authentication function switch device |
-
2009
- 2009-08-13 JP JP2009187818A patent/JP4809916B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011041088A (en) | 2011-02-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10868743B2 (en) | System and method for providing fast platform telemetry data | |
| CN106341233A (en) | Authentication method for client to log into server, device, system and electronic device | |
| CN112104640B (en) | Data processing method, device and equipment of gateway and readable storage medium | |
| CN113472817A (en) | Gateway access method and device for large-scale IPSec and electronic equipment | |
| CN115021831B (en) | Weak network test method, device, system, equipment and storage medium | |
| CN114338682A (en) | Flow identity mark transmission method and device, electronic equipment and storage medium | |
| CN110677337B (en) | Data forwarding method and device, network equipment and computer readable storage medium | |
| WO2025167849A1 (en) | Method and apparatus for implementing data service, electronic device, and storage medium | |
| CN103401859B (en) | A kind of method of protocol conversion and protocol converter | |
| CN109474713B (en) | Message forwarding method and device | |
| CN112073923A (en) | Communication method, device, gateway and readable storage medium compatible with multiple operators | |
| CN113014664A (en) | Gateway adaptation method, device, electronic equipment and storage medium | |
| JP2016144186A (en) | COMMUNICATION INFORMATION CONTROL DEVICE, RELAY SYSTEM, COMMUNICATION INFORMATION CONTROL METHOD, AND COMMUNICATION INFORMATION CONTROL PROGRAM | |
| JP4809916B2 (en) | Authentication system, method, and program | |
| CN116192518A (en) | Network protection method, device, electronic device and computer-readable storage medium | |
| CN111614726B (en) | Data forwarding method, cluster system and storage medium | |
| CN114866472A (en) | Method and system for realizing open source community access in multi-mode network | |
| JP5383923B1 (en) | Information processing apparatus, information processing system, information processing method, and program | |
| CN110780915B (en) | Data processing method, device and storage medium | |
| CN117811722B (en) | Global parameter model construction method, secret key generation method, device and server | |
| CN106936719A (en) | A kind of IP messages strategy matching method | |
| CN115190101B (en) | Device network address management and data transmission method | |
| CN118488019A (en) | Message transmission method and device and electronic equipment | |
| CN117354867A (en) | Data transmission method, device and storage medium | |
| CN113922972A (en) | Data forwarding method and device based on MD5 identification code |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110816 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110819 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140826 Year of fee payment: 3 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 4809916 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |