[go: up one dir, main page]

JP2009267638A - 端末認証・アクセス認証方法および認証システム - Google Patents

端末認証・アクセス認証方法および認証システム Download PDF

Info

Publication number
JP2009267638A
JP2009267638A JP2008113027A JP2008113027A JP2009267638A JP 2009267638 A JP2009267638 A JP 2009267638A JP 2008113027 A JP2008113027 A JP 2008113027A JP 2008113027 A JP2008113027 A JP 2008113027A JP 2009267638 A JP2009267638 A JP 2009267638A
Authority
JP
Japan
Prior art keywords
terminal device
authentication
address
vlan
mac address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008113027A
Other languages
English (en)
Inventor
Seiji Idetani
誠司 出谷
Shinya Tatsumoto
慎也 立元
Takeshi Nakatsuru
毅 中津留
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2008113027A priority Critical patent/JP2009267638A/ja
Publication of JP2009267638A publication Critical patent/JP2009267638A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】 IPアドレスを取得していない端末からのアクセスに対する認証を可能とし、不正な端末からのアクセスや正当な端末による不正な場所からのアクセスを防止する。
【解決手段】 事前にユーザ情報として、端末装置のMACアドレス、端末装置が接続される予定の回線のVLAN−ID、端末装置に払い出すIPアドレスをDB機能部に登録し、端末装置がIPアドレスの設定を要求するDHCP要求にMACアドレスを付加して送信し、端末装置を収容する加入者収容サーバがVLAN−IDを管理する機能を有し、加入者収容サーバが受信したDHCP要求に端末装置が接続される回線のVLAN−IDを付加し、MACアドレスおよびVLAN−IDを付加したDHCP要求を受信する認証手段で、そのMACアドレスおよびVLAN−IDがDB機能部に登録したユーザ情報と一致するか否かの認証を行い、認証成立の場合にIPアドレスを端末装置に払い出す。
【選択図】 図1

Description

本発明は、端末装置がIPネットワークに接続する前に認証を行うための端末認証・アクセス認証方法および認証システムに関する。
次世代ネットワーク(以下「NGN(Next Generation Network) という)は、電話サービスをはじめ固定通信と移動通信を融合したサービスや、今後開発される新しい情報通信サービスを提供する基盤ネットワークである(非特許文献1)。このようなNGNを実現するには、安全性を高めることが重要な課題の一つになる。この安全性を高めるには、正当な端末装置のみがIPネットワークにアクセスすることを許可されるようにすることであり、そのための端末認証およびアクセス認証が重要になる。
この端末認証およびアクセス認証の従来技術には、サーバと複数のクライアント端末とがインターネットを介して接続されるシステムにおいて、クライアント端末のIPアドレスからネットワーク・アドレス(MACアドレス)を求めるARP(Address Resolution Protocol) を利用するものがある。すなわち、サーバが、クライアント端末の端末名、IPアドレスおよびMACアドレスからなるレコードを格納した端末データベースを備え、すでにIPアドレスが払い出された端末からアクセスされると、ARPを使用してアクセスしてきた端末のIPアドレスからその端末のMACアドレスを取得し、端末のIPアドレスと取得したMACアドレスの組合せが、端末データベースを参照して正しいか否かを判定することによって端末を認証する手順である。
これにより、クライアント端末には特別な機能を付加することなく、サーバ側にのみ端末データベースと端末を認証する機能(プログラム)とを付加することにより、例えば端末の利用権の有無を検査することが可能になる(特許文献1)。しかし、NGNにおけるユーザ開通にあっては、まだIPアドレスを取得していない端末からアクセスされたときの端末を認証する必要があるが、すでにIPアドレスの払い出しを受けた端末を対象とする上記の方法は適用することができない。
また、他の端末認証およびアクセス認証技術としては、IPv6アドレスとMACアドレスに基づいてフィルタリングテーブルを参照し、パケットを中継するか廃棄するかを判断するものがある。これにより、アクセスが許可されていない端末からのアクセス、およびなりすましによる侵入者からのアクセスを拒否する高セキュリティなネットワークシステムが構築可能になる。しかし、本技術も先の従来技術と同様にIPv6アドレスの払い出しを受けた端末を対象としており、NGNにおけるユーザ開通の認証に適用することができない。
特開2000−201143号公報 宇治則孝、「豊かなブロードバンド・ユビキタス社会を拓くNGN」、NTT技術ジャーナル、Vol.19, No.12, 2007年12月
従来の端末認証およびアクセス認証技術は、IPアドレスを取得していない端末からアクセスされたときに、その端末を認証することができない。一方、NGNでは、IPアドレスの払い出しを受けていないユーザ開通前に、開通を要求する端末が正当なものであるか否かを認証し、認証成立の端末にのみ開通を許可する、すなわち端末にIPアドレスを払い出してIPネットワークとの接続を可能にする必要がある。
本発明は、IPアドレスを取得していない端末からのアクセスに対する認証を可能とし、不正な端末からのアクセスや正当な端末による不正な場所からのアクセスを防止することができる端末認証・アクセス認証方法および認証システムを提供することを目的とする。
第1の発明の端末認証・アクセス認証方法は、事前にユーザ情報として、端末装置のMACアドレス、端末装置が接続される予定の回線のVLAN−ID、端末装置に払い出すユーザID(IPアドレス)をDB機能部に登録するステップと、端末装置が、IPアドレスの設定を要求するDHCP要求にMACアドレスを付加して送信するステップと、端末装置を収容する加入者収容サーバがVLAN−IDを管理する機能を有し、加入者収容サーバが受信したDHCP要求に端末装置が接続される回線のVLAN−IDを付加するステップと、MACアドレスおよびVLAN−IDを付加したDHCP要求を受信する認証手段で、そのMACアドレスおよびVLAN−IDがDB機能部に登録したユーザ情報と一致するか否かの認証を行い、認証成立の場合にユーザID(IPアドレス)を端末装置に払い出すステップとを有する。
第2の発明は、端末装置を収容しそのVLAN−IDを管理する加入者収容サーバを備え、IPネットワークに接続前の端末装置からのアクセスに対して認証を行う認証システムにおいて、加入者収容サーバは、端末装置からMACアドレスを付加して送信されたDHCP要求を受信し、端末装置のVLAN−IDを付加したDHCP要求を送信する手段を含み、事前にユーザ情報として、端末装置のMACアドレス、端末装置が接続される予定の回線のVLAN−ID、端末装置に払い出すユーザID(IPアドレス)を登録するDB機能手段と、加入者収容サーバから送信されたDHCP要求を受信し、そのMACアドレスおよびVLAN−IDがDB機能手段の登録情報と一致するか否かの認証を行う認証手段と、認証手段で認証成立の場合に、ユーザID(IPアドレス)を端末装置に払い出すIPアドレス払い出し手段とを備える。
ここで、DB機能手段、認証手段およびIPアドレス払い出し手段は、加入者収容サーバが収容する端末装置の呼制御を行う加入者セッション制御サーバに備えられる構成としてもよい。また、DB機能手段および認証手段は、加入者収容サーバが収容する端末装置の呼制御を行う加入者セッション制御サーバに備えられ、IPアドレス払い出し手段はDHCPサーバが有する機能を利用し、認証手段の認証成立に伴うIPアドレス払い出し命令を受けてユーザID(IPアドレス)を端末装置に払い出す構成としてもよい。
本発明は、IPアドレスを取得していない端末装置からアクセスされたときに、そのDHCP要求に付加される端末装置のMACアドレスと、その端末装置が接続されるVLAN−IDを用いて認証を行い、認証成立の端末装置のみに開通を許可するIPアドレスの払い出しを行う。これにより、不正な端末装置のアクセスや、正当な端末装置でも不正な場所からのアクセスを防止することができる。
図1は、本発明の認証システムの実施形態を示す。
図において、ユーザの端末装置3は、加入者ネットワークを介して端末装置3を収容する加入者収容サーバ(以下、SSE(Subscriber Service Edge) という)1を介して、端末装置3の呼制御を行う加入者セッション制御サーバ(以下、SSC(Subscriber Session Control server) という)2に接続される。なお、SSC2は、一般にユーザの呼制御を行うSIPサーバとも呼ばれるものであり、ここではSIPサーバで端末装置3の認証およびユーザ開通処理を行う例を示すが、認証およびユーザ開通処理の一部または全部が他の装置(例えばDHCPサーバ)で行う構成としてもよい。また、本発明が適用されるNGNでは、SSE1よりユーザ側の加入者ネットワークでVLAN(Virtual Local Area Network) が構成されていることを前提とする。
SSE1は、端末装置3からMACアドレスを付加して送信されたDHCP(Dynamic Host Configuration Protocol) 要求を受信し、端末装置3が接続されているVLAN−IDを付加して送信する機能を有し、送受信部11、VLAN−ID管理部12およびVLAN−ID付与部13を備える。
送受信部11は、DHCP要求の送受信を行う機能を有する。VLAN−ID管理部12は、端末装置3が接続されているVLAN−IDを管理する機能を有する。VLAN−ID付与部13は、送受信部11が受信したDHCP要求の回線に基づき、VLAN−ID管理部12が管理するVLAN−IDをDHCP要求に付加する機能を有する。
SSC2は、受信したDHCP要求に付加されたMACアドレスおよびVLAN−IDの組合せが、事前に登録されたユーザ情報の中にあるか否かで認証し、ユーザ開通処理を行う機能を有し、ユーザ情報を登録するDB機能部21、受信部22、本発明の特徴とする認証部23およびIPアドレス払い出し部24を備える。
DB機能部21は、サービス提供者(保守者)の操作により、開通要求のあった端末装置3のMACアドレス、接続予定のVLAN−ID、ユーザID(IPアドレス)を登録する機能を有する。受信部22は、DHCP要求を受信する機能を有する。認証部23は、受信部22が受信したDHCP要求に付加されているMACアドレスとVLAN−IDの組合せをDB機能部21に通知し、登録の有無によって認証を行う機能を有する。IPアドレス払い出し部24は、認証成立の端末装置3に割り当てるIPアドレスを払い出す機能を有する。
なお、図1に点線で示すように、IPアドレス払い出し部24は、SSC(SIPサーバ)2の外部のDHCPサーバ4にある機能を利用する構成としてもよい。また、認証部23およびIPアドレス払い出し部24は、一体の機能としてDHCP機能部としてもよい。さらに、認証部23およびIPアドレス払い出し部24を含むDHCP機能部やDB機能部21は、SSC(SIPサーバ)2の外部装置として構成してもよい。
図2は、本発明の認証システムの処理手順を示す。
まず、ユーザは、サービス提供者に対して、端末装置3の設置場所およびMACアドレス等を通知して開通要求を行う。サービス提供者は、通知された端末装置3の設置場所から接続予定のVLAN−IDを判別し、SSC(SIPサーバ)2のDB機能部21に、当該ユーザ情報としてMACアドレス、VLAN−ID、ユーザID(IPアドレス)を事前に設定する(S1)。
端末装置3は、IPアドレスの設定を要求するDHCP要求(1) にMACアドレスを付加して送信する(S2)。SSE1の送受信部11がこのDHCP要求(1) を受信すると、VLAN−ID付加部13はDHCP要求(1) の回線に対応するVLAN−IDをVLAN−ID管理部12から取得してDHCP要求(1) に付加し、送受信部11から送信する(S3)。SSC(SIPサーバ)2の受信部22がVLAN−IDとMACアドレスを付加したDHCP要求(2) を受信すると、認証部23はDB機能部21にVLAN−IDとMACアドレスを通知し、DB機能部21にVLAN−IDとMACアドレスの組合せが登録されていれば認証成立とする(S4)。IPアドレス払い出し部24は、認証部23から認証成立の通知を受けると、対応するユーザID(IPアドレス)を付加したDHCP回答を端末装置3に送信し、DHCP要求に対するIPアドレスの払い出しを行う(S5)。
このように、IPアドレスを取得していない端末装置からアクセスされたときに、端末装置のMACアドレスと、その端末装置が接続予定のVLAN−IDを用いて認証を行うので、不正な端末装置のアクセスや、正当な端末装置でも不正な場所からのアクセスを防止することができる。
図3は、本発明の認証システムの詳細な処理手順の例を示す。
ここでは、端末装置3およびSSE1は、図1および図2に示す構成と同様の機能を備え、SSC2は、ユーザ情報を登録するDB機能部21、認証処理およびIP払い出しを行うDHCP機能部25、端末装置3との間でREGISTER要求/応答、INVITE要求などの通常の呼処理を行う呼処理機能部26を備えるものとして説明する。
まず、ユーザは、サービス提供者に対して、端末装置3の設置場所およびMACアドレス等を通知して開通要求を行う。サービス提供者は、通知された端末装置3の設置場所から接続予定のVLAN−IDを判別し、SSC(SIPサーバ)2のDB機能部21に、各ユーザごとのユーザ情報として電話番号、MACアドレス、VLAN−ID、ユーザID(IPアドレス)を事前に設定する(S11)。また、DB機能部21は、各ユーザ共通のSIPサーバアドレス(IPアドレス)も登録する。
端末装置3は、MACアドレスを付加してIPアドレスの設定を要求するDHCP要求(1) を送信し(S12)、SSE1がこのDHCP要求(1) を受信すると、DHCP要求(1) にVLAN−IDを付加したDHCP要求(2) を送信する(S13)。SSC(SIPサーバ)2のDHCP機能部25がVLAN−IDとMACアドレスを付加したDHCP要求(2) を受信すると、DB機能部21にVLAN−IDとMACアドレスを通知して認証を受ける(S14)。DB機能部21は、VLAN−IDとMACアドレスの組合せが登録されていれば認証成立とし、対応するユーザID(IPアドレス)およびSIPサーバアドレス(IPアドレス)をDHCP機能部25に応答する(S15)。DHCP機能部25は、このユーザID(IPアドレス)とSIPサーバIPアドレスを付加したDHCP応答を端末装置3に送信し、DHCP要求に対するIPアドレスの払い出しを行う(S16)。
次に、端末装置3は、SIPサーバIPアドレス、ユーザID(IPアドレス)を付加したREGISTER要求を送信し(S17)、SSC(SIPサーバ)2の呼処理機能部26がこのREGISTER要求を受信すると、DB機能部21との間で回線(ユーザ)認証/登録の処理を行い(S18)、REGISTER応答(OK)を端末装置3に送信する(S19)。以上の処理によりユーザ開通処理を終了して発呼処理に入る(S20)。
本発明の認証システムの実施形態を示す図。 本発明の認証システムの実施形態における基本処理手順を示す図。 本発明の認証システムの詳細な処理手順を示す図。
符号の説明
1 加入者収容サーバ(SSE)
2 加入者セッション制御サーバ(SSC)
3 端末装置
4 DHCPサーバ
11 送受信部
12 VLAN−ID管理部
13 VLAN−ID付加部
21 DB機能部
22 受信部
23 認証部
24 IPアドレス払い出し部

Claims (4)

  1. 事前にユーザ情報として、端末装置のMACアドレス、端末装置が接続される予定の回線のVLAN−ID、端末装置に払い出すユーザID(IPアドレス)をDB機能部に登録するステップと、
    前記端末装置が、IPアドレスの設定を要求するDHCP要求にMACアドレスを付加して送信するステップと、
    前記端末装置を収容する加入者収容サーバがVLAN−IDを管理する機能を有し、加入者収容サーバが受信した前記DHCP要求に前記端末装置が接続される回線のVLAN−IDを付加するステップと、
    前記MACアドレスおよび前記VLAN−IDを付加したDHCP要求を受信する認証手段で、そのMACアドレスおよびVLAN−IDが前記DB機能部に登録したユーザ情報と一致するか否かの認証を行い、認証成立の場合に前記ユーザID(IPアドレス)を前記端末装置に払い出すステップと
    を有することを特徴とする端末認証・アクセス認証方法。
  2. 端末装置を収容しそのVLAN−IDを管理する加入者収容サーバを備え、IPネットワークに接続前の端末装置からのアクセスに対して認証を行う認証システムにおいて、
    前記加入者収容サーバは、前記端末装置からMACアドレスを付加して送信されたDHCP要求を受信し、前記端末装置のVLAN−IDを付加したDHCP要求を送信する手段を含み、
    事前にユーザ情報として、端末装置のMACアドレス、端末装置が接続される予定の回線のVLAN−ID、端末装置に払い出すユーザID(IPアドレス)を登録するDB機能手段と、
    前記加入者収容サーバから送信されたDHCP要求を受信し、そのMACアドレスおよびVLAN−IDが前記DB機能手段の登録情報と一致するか否かの認証を行う認証手段と、
    前記認証手段で認証成立の場合に、前記ユーザID(IPアドレス)を前記端末装置に払い出すIPアドレス払い出し手段と
    を備えたことを特徴とする認証システム。
  3. 請求項2に記載の認証システムにおいて、
    前記DB機能手段、前記認証手段および前記IPアドレス払い出し手段は、前記加入者収容サーバが収容する前記端末装置の呼制御を行う加入者セッション制御サーバに備えられた
    ことを特徴とする認証システム。
  4. 請求項2に記載の認証システムにおいて、
    前記DB機能手段および前記認証手段は、前記加入者収容サーバが収容する前記端末装置の呼制御を行う加入者セッション制御サーバに備えられ、
    前記IPアドレス払い出し手段はDHCPサーバが有する機能を利用し、前記認証手段の認証成立に伴うIPアドレス払い出し命令を受けて前記ユーザID(IPアドレス)を前記端末装置に払い出す構成である
    ことを特徴とする認証システム。
JP2008113027A 2008-04-23 2008-04-23 端末認証・アクセス認証方法および認証システム Pending JP2009267638A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008113027A JP2009267638A (ja) 2008-04-23 2008-04-23 端末認証・アクセス認証方法および認証システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008113027A JP2009267638A (ja) 2008-04-23 2008-04-23 端末認証・アクセス認証方法および認証システム

Publications (1)

Publication Number Publication Date
JP2009267638A true JP2009267638A (ja) 2009-11-12

Family

ID=41392955

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008113027A Pending JP2009267638A (ja) 2008-04-23 2008-04-23 端末認証・アクセス認証方法および認証システム

Country Status (1)

Country Link
JP (1) JP2009267638A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2790374A1 (en) 2013-04-11 2014-10-15 Fujitsu Limited Certificate generation method, certificate generation apparatus and information processing apparatus
JP2014230046A (ja) * 2013-05-22 2014-12-08 株式会社ナカヨ ハブ別制御機能を有するipアドレス割当サーバ
CN111277505A (zh) * 2020-01-13 2020-06-12 深圳市康冠智能科技有限公司 基于局域网的多终端联控方法、装置、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005026897A (ja) * 2003-06-30 2005-01-27 Nec Engineering Ltd ネットワーク間接続装置
JP2006005443A (ja) * 2004-06-15 2006-01-05 Nippon Telegr & Teleph Corp <Ntt> 通信制御装置とそのフレーム転送制御方法およびプログラム
JP2006311173A (ja) * 2005-04-28 2006-11-09 Nec Corp Ip電話システム、ユーザ側装置、及び、位置固定方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005026897A (ja) * 2003-06-30 2005-01-27 Nec Engineering Ltd ネットワーク間接続装置
JP2006005443A (ja) * 2004-06-15 2006-01-05 Nippon Telegr & Teleph Corp <Ntt> 通信制御装置とそのフレーム転送制御方法およびプログラム
JP2006311173A (ja) * 2005-04-28 2006-11-09 Nec Corp Ip電話システム、ユーザ側装置、及び、位置固定方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2790374A1 (en) 2013-04-11 2014-10-15 Fujitsu Limited Certificate generation method, certificate generation apparatus and information processing apparatus
US9438583B2 (en) 2013-04-11 2016-09-06 Fujitsu Limited Certificate generation method, certificate generation apparatus, information processing apparatus, and communication device
JP2014230046A (ja) * 2013-05-22 2014-12-08 株式会社ナカヨ ハブ別制御機能を有するipアドレス割当サーバ
CN111277505A (zh) * 2020-01-13 2020-06-12 深圳市康冠智能科技有限公司 基于局域网的多终端联控方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
US12407670B2 (en) Zero sign-on authentication
KR101265305B1 (ko) 부정적인 인터넷 계정 액세스 방지
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
CN100388739C (zh) 实现dhcp地址安全分配的方法及系统
JP4728258B2 (ja) ユーザーがipネットワークに接続する時、ローカル管理ドメインにおいてユーザーに対するアクセス認証を管理するための方法及びシステム
US8583794B2 (en) Apparatus, method, and computer program product for registering user address information
US9065684B2 (en) IP phone terminal, server, authenticating apparatus, communication system, communication method, and recording medium
CN110800331A (zh) 网络验证方法、相关设备及系统
US9032487B2 (en) Method and system for providing service access to a user
US7568092B1 (en) Security policy enforcing DHCP server appliance
CN115996381B (zh) 一种无线专网的网络安全管控方法、系统、装置及介质
US8769623B2 (en) Grouping multiple network addresses of a subscriber into a single communication session
US20080134315A1 (en) Gateway, Network Configuration, And Method For Conrtolling Access To Web Server
CN101141492B (zh) 实现dhcp地址安全分配的方法及系统
US20080282331A1 (en) User Provisioning With Multi-Factor Authentication
US20120106399A1 (en) Identity management system
JP4028421B2 (ja) 音声通信ゲート装置のアドレス管理方法および管理装置並びにプログラム
CN112313984B (zh) 建立接入授权的方法、辅助系统、用户设备以及存储器
JP4965499B2 (ja) 認証システム、認証装置、通信設定装置および認証方法
JP2009267638A (ja) 端末認証・アクセス認証方法および認証システム
JP5715030B2 (ja) アクセス回線特定・認証システム
JP3655868B2 (ja) VoIP通信システムおよび方法およびゲートキ−パおよび認証サーバおよびプログラム
CN102257790B (zh) 用户拨号认证方法、系统和设备
CN117318989A (zh) 一种固话身份验证方法、装置、设备及存储介质
CN102984118B (zh) 验证ip多媒体子系统用户身份的方法及自动配置服务器

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110406

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110412

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110609

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110809

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111206