JP2009031848A - Authentication transfer device - Google Patents
Authentication transfer device Download PDFInfo
- Publication number
- JP2009031848A JP2009031848A JP2007192250A JP2007192250A JP2009031848A JP 2009031848 A JP2009031848 A JP 2009031848A JP 2007192250 A JP2007192250 A JP 2007192250A JP 2007192250 A JP2007192250 A JP 2007192250A JP 2009031848 A JP2009031848 A JP 2009031848A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- server
- transfer
- eap
- subscriber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】
本来、加入者端末からの転送要求を全て認証サーバに転送すると、不正な認証要求が認証転送装置から認証サーバ側へ転送されてしまうことから、DoS攻撃やハッキング等の攻撃対象となる可能性がある。
【解決手段】
加入者端末からの認証要求を認証サーバに転送する認証転送装置は、加入者端末の認証状態情報を記憶する第1記憶部と、加入者端末についての認証処理に応じて認証状態情報を更新し、加入者端末の認証状態情報に基づいて加入者端末からの認証要求の転送処理を行う認証処理部とを備える。
【選択図】図3【Task】
Originally, if all transfer requests from subscriber terminals are transferred to the authentication server, an unauthorized authentication request is transferred from the authentication transfer device to the authentication server side. Therefore, there is a possibility of being a target of attack such as DoS attack or hacking. is there.
[Solution]
An authentication transfer device that transfers an authentication request from a subscriber terminal to an authentication server updates a first storage unit that stores authentication status information of the subscriber terminal and authentication status information according to authentication processing for the subscriber terminal. And an authentication processing unit that performs processing for transferring an authentication request from the subscriber terminal based on the authentication status information of the subscriber terminal.
[Selection] Figure 3
Description
本発明は、加入者装置(例えば、加入者無線装置(MS:モバイル・ステーション))をネットワークに接続する際の認証処理に関する。 The present invention relates to an authentication process when a subscriber device (for example, a subscriber wireless device (MS: mobile station)) is connected to a network.
加入者無線装置をネットワークに接続する通信方式として、IEEE802.16やWiMAXなどの標準規格が知られている。WiMAX等の標準規格は、加入者無線装置がアクセスサービスネットワークASNを介して、コネクティビティサービスネットワーク(CSN)内にある認証サーバと認証処理を行うことを規定している。IETF、IEEE802.16やWiMAXなどの標準規格では、上記の認証処理を拡張認証プロトコル認証(EAP認証:Extensible Authentication Protocol 認証)と定義している。EPA処理はデバイス認証のみを行うWiMAX Single−EAP認証方式と、デバイス認証とユーザ認証の両方を行うWiMAX Double−EAP認証方式の二つの方式がある。 Standards such as IEEE 802.16 and WiMAX are known as communication methods for connecting subscriber wireless devices to a network. Standards such as WiMAX stipulate that subscriber wireless devices perform authentication processing with an authentication server in the connectivity service network (CSN) via the access service network ASN. In standards such as IETF, IEEE 802.16, and WiMAX, the above authentication processing is defined as extended authentication protocol authentication (EAP authentication: Extensible Authentication Protocol authentication). There are two EPA processes: a WiMAX Single-EAP authentication method that performs only device authentication, and a WiMAX Double-EAP authentication method that performs both device authentication and user authentication.
EAP認証はASNが加入者無線装置からの認証要求をCSNに転送処理する。さらにEAP認証はASNがCSN内の認証サーバからの認証結果を加入者無線装置MSに転送処理する。ASN内には認証転送装置があり、認証転送装置(ASN−GWまたはAuthenticator)が上記の転送処理を行う。認証転送装置はEAP認証開始時にMSから通知されるネットワークアクセスアイデンティファイヤ(NAI:Network Access Identifier)から、認証サーバアドレスを抽出し、抽出したアドレスのサーバに認証要求を転送する。 In EAP authentication, ASN forwards an authentication request from a subscriber wireless device to CSN. Further, in the EAP authentication, the ASN transfers the authentication result from the authentication server in the CSN to the subscriber radio apparatus MS. There is an authentication transfer device in the ASN, and the authentication transfer device (ASN-GW or Authenticator) performs the above transfer processing. The authentication transfer apparatus extracts an authentication server address from a network access identifier (NAI) notified from the MS at the start of EAP authentication, and transfers the authentication request to the server of the extracted address.
WiMAX標準方式における上記の認証転送装置は、加入者無線装置からの認証要求を認証サーバに転送するだけなので、認証サーバアドレスが有効な場合は不正な認証要求の転送を防止できない。最終的には、転送先の認証サーバが行う認証処理によって、不正な認証要求はNGとなる可能性が高い。しかしながら、本来、転送すべきでないような不正な認証要求が認証転送装置から認証サーバ側へ転送されてしまうことから、サーバに過負荷を掛けサービスを停止させる攻撃(DoS:Denial of Service)やハッキング等の攻撃対象となる可能性がある。 Since the above authentication transfer device in the WiMAX standard system only transfers the authentication request from the subscriber wireless device to the authentication server, when the authentication server address is valid, transfer of an unauthorized authentication request cannot be prevented. Eventually, an unauthorized authentication request is likely to be NG due to the authentication processing performed by the transfer destination authentication server. However, since an unauthorized authentication request that should not be transferred is transferred from the authentication transfer device to the authentication server side, an attack that overloads the server and stops the service (DoS: Denial of Service) or hacking There is a possibility of becoming an attack target.
公知文献としては特許文献1が知られている。
本発明の目的は、CSNに対して不正な認証要求を遮断する認証転送装置を提供することである。 An object of the present invention is to provide an authentication transfer apparatus that blocks an unauthorized authentication request to a CSN.
本発明は、上述した目的を達成するために以下の構成を採用する。 The present invention adopts the following configuration in order to achieve the above-described object.
加入者端末からの認証要求を認証サーバに転送する認証転送装置は該加入者端末の認証状態情報を記憶する第1記憶部と、該加入者端末についての認証処理に応じて該認証状態情報を更新し、該加入者端末の認証状態情報に基づいて該加入者端末からの認証要求の転送処理を行う認証処理部とを備える。 An authentication transfer apparatus for transferring an authentication request from a subscriber terminal to an authentication server includes a first storage unit that stores authentication status information of the subscriber terminal, and the authentication status information according to an authentication process for the subscriber terminal. An authentication processing unit that updates and performs a transfer process of an authentication request from the subscriber terminal based on the authentication status information of the subscriber terminal.
本発明によれば認証転送装置が不正な認証要求を遮断することができる。従って、上位ネットワークへの認証サーバが、DoS攻撃やハッキング等の攻撃対象となるのを防止することができる。 According to the present invention, an authentication transfer apparatus can block an unauthorized authentication request. Therefore, it is possible to prevent the authentication server for the higher level network from becoming an attack target such as a DoS attack or hacking.
以下、図面を参照して本発明の実施形態について説明する。実施形態の構成は例示であり、本発明は実施形態の構成に限定されない。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. The configuration of the embodiment is an exemplification, and the present invention is not limited to the configuration of the embodiment.
この実施例では、認証順序が規定されているWiMAX Double−EAP認証方式をサポートする認証転送装置(ASN−GW:アクセスサービスネットワークゲートウエイまたはAuthenticator)の認証要求の転送処理において、MSから通知されたNAIから転送先認証サーバのアドレス解決をするとともに、MSの認証状態とNAIから特定された認証サーバ用途との妥当性を検証し、認証要求の転送可否を判断できるようにする。 In this embodiment, the NAI notified from the MS in the transfer process of the authentication request of the authentication transfer apparatus (ASN-GW: Access Service Network Gateway or Authenticator) that supports the WiMAX Double-EAP authentication method in which the authentication order is defined. The address of the transfer destination authentication server is resolved, and the validity of the authentication state of the MS and the use of the authentication server specified from the NAI is verified to determine whether the authentication request can be transferred.
[WiMAXのネットワーク]
図1を用いて、実施形態にかかわるWiMAXのネットワークについて説明する。1は加入者無線装置、2は無線基地局、3はアクセスサービスネットワーク、4は認証転送装置、5はコネクティビティサービスネットワーク、6はルータ、7はデバイス認証用サーバ、8はユーザ認証用サーバをそれぞれ示す。
[WiMAX network]
A WiMAX network according to the embodiment will be described with reference to FIG. 1 is a subscriber wireless device, 2 is a wireless base station, 3 is an access service network, 4 is an authentication transfer device, 5 is a connectivity service network, 6 is a router, 7 is a device authentication server, and 8 is a user authentication server. Show.
加入者無線装置1は少なくともWiMAXなどの標準規格の中に定義されたモバイルステーション(MSまたはSS)を含む。加入者無線装置1は、無線基地局2と無線通信を行い、さらに、通信の立ち上げ時において認証要求を行う。本実施形態では加入者無線装置を用いて説明を行うが、無線を利用しない加入者装置にも応用は可能である。
The
アクセスサービスネットワーク3はWiMAXなどの標準規格の中に定義されたアクセスサービスネットワークを含んでいる。アクセスサービスネットワーク3は無線基地局2、認証転送装置4、デバイス認証用サーバ7を含んでいる。アクセスサービスネットワーク3は加入者無線装置1とコネクティビティサービスネットワーク5の間に設けている。アクセスサービスネットワーク3と加入者無線装置1間はワイヤレスネットワークである。アクセスサービスネットワーク3はネットワークアクセスプロバイダが管理している。
The
無線基地局2はWiMAXなどの標準規格の中に定義されたベースステーション(BS)を含んでいる。無線基地局2はアクセスサービスネットワーク3の中に設ける。無線基地局2は加入者無線装置1と無線通信を行う事と、認証転送装置4とパケットデータをやり取りする機能を有している。
The
認証転送装置4はWiMAXなどの標準規格の中に定義されたASN−GWまたはAuthenticatorを含んでいる。認証転送装置4は標準規格の中に定義された認証用のプロトコル(EAP)で認証処理を行う。認証転送装置4は加入者無線装置1からの認証要求をASN内の認証サーバとコネクティビティサービスネットワーク5(CSN)内の認証サーバに転送処理する。さらに、認証転送装置4はASN内の認証サーバとCSN内の認証サーバからの認証結果を加入者無線装置1に転送処理する。認証転送装置はEAP認証開始時に加入者無線装置1から通知されるネットワークアクセスアイデンティファイヤ(NAI:Network Access Identifier)から、認証サーバのアドレスを抽出する。さらに、認証転送装置は抽出した認証を行う先の認証サーバアドレスと現在と過去の認証の状態(認証を行った順番)から不正な認証要求を検出し、不正な認証要求は認証サーバに転送しない。
The
デバイス認証用サーバ7はWiMAXなどの標準規格の中に定義されたオーセンティフィケーション・オーサライゼーイション・アカウンティング・サーバ(AAA Server)を含んでいる。デバイス認証用サーバ7は認証転送装置4から転送される認証要求の認証処理を行い、認証処理結果を認証転送装置に返す。
The
コネクティビティサービスネットワーク5はWiMAXなどの標準規格の中に定義されたCSNを含でいる。コネクティビティサービスネットワーク5は、ルータ(Router)6とユーザ認証用サーバ8を含んでいる。コネクティビティサービスネットワーク5はネットワークサービスプロバイダーが管理している。
The
ユーザ認証用サーバ8はWiMAXなどの標準規格の中に定義されたオーセンティフィケーション・オーサライゼーイション・アカウンティング・サーバ(AAA Server)を含んでいる。ユーザ認証用サーバ8は認証転送装置4から転送される認証要求の認証処理を行い、認証処理結果を認証転送装置に返す。
[認証シーケンス]
図2を用いて、実施形態のDouble−EAP認証方式シーケンスを説明する。Double−EAP認証方式シーケンスは加入者無線装置1、無線基地局2、認証転送装置4、デバイス認証サーバ7とユーザ認証用サーバ8間での認証シーケンスである。認証シーケンスはステップS1からステップS30の順に行う。
The
[Authentication sequence]
A double-EAP authentication scheme sequence according to the embodiment will be described with reference to FIG. The Double-EAP authentication method sequence is an authentication sequence between the subscriber
ステップS1では、加入者無線装置1が無線基地局2に対して、加入者無線装置1がサポートする基本能力(SBC−REQ)を通知する。ステップS2では、無線基地局2が認証転送装置4に対して、NetEntry MS State Change Requestを送付する。ステップS2.1では、認証転送装置4がSingle−EAPもしくはDouble−EAPのいずれの認証方式を採用するか決定する。ステップS3では、認証転送装置4が無線基地局2に決定した認証方式を送付する。ステップS4では、無線基地局2が加入者無線装置1に決定した認証方式を転送する。ステップS5では、無線基地局2が認証転送装置4に受領通知を出す。以上のようにステップS1〜ステップS5では加入者無線装置1/無線基地局2/認証転送装置4で採用する認証方式(一例として、Authorization−Policy−Support値)を決定し、加入者無線装置1へ通知する。
In step S1, the
ステップS6では、認証転送装置4が、第1段階のEAP認証開始トリガーとなるEAP−リクエスト/アイデンティファイメッセージ(=アイデンティファイ通知要求)を無線基地局2に向けて送信する。
In step S <b> 6, the
ステップS7では、無線基地局2が、第1段階のEAP認証開始トリガーとなるEAP−リクエスト/アイデンティファイメッセージ(=アイデンティファイ通知要求)を加入者無線装置1に向けて送信する。
In step S <b> 7, the
ステップS8では、加入者無線装置1がEAP−リクエスト/アイデンティファイメッセージを受信するとその応答として、EAP−レスポンス/アイデンティファイメッセージ(=アイデンティファイ通知)を無線基地局2に送信する。アイデンティファイとしては、NAIを設定する。WiMAXなどの標準規格ではNAIの中には認証サーバが記載されている領域(Realm)部分がある。NAIのRealm部分には、認証サーバ(デバイス認証サーバやユーザ認証サーバ)のドメイン名が記載してある。(WiMAXなどの標準規格ではドメイン名であるが認証サーバを特定できる情報であれはいかなるもので有ってもよい。例えば認証サーバのアドレス名)
ステップS9では、無線基地局2が加入者無線装置1からEAP−レスポンス/アイデンティファイメッセージを受信すると、そのメッセージを認証転送装置4に転送する。
In step S8, when the
In step S 9, when the
ステップS9.1では、認証転送装置4が加入者無線装置1より取得したNAIのRealm部分のドメイン名からサーバドメイン名、サーバアドレス名、サーバの使用用途を記憶したサーバアドレステーブルを参照して、デバイス認証サーバアドレスを割り出すサーバアドレス解析処理を行う。さらに、サーバアドレス解析処理結果と加入者無線装置1の認証状態に応じて、認証サーバの認証用途の妥当性検証する。認証サーバの認証用途の妥当性検証とは認証要求の中で指定したサーバが認証段階(1回の認証or2回目の認証)の上で正しいか否か、又は、認証の種類(デバイス認証orユーザ認証)の上で正しいか否かを検証する。すなわち、EAPでは認証を行う順番がデバイス認証を行った後にユーザ認証規定されているので、1回目の認証でユーザ認証の要求の場合は不正な認証要求と判定する。さらに、1回目の認証はデバイス認証のためサーバにユーザ認証を行う要求は不正な認証要求と判定する。この判定結果により加入者端末からの認証要求メッセージの転送の可否の判定を行う。
In step S9.1, referring to the server address table storing the server domain name, server address name, and server usage from the domain name of the Realm part of the NAI acquired by the
ステップS10では、認証転送装置4が、加入者無線装置1の認証の妥当性が確認できたとき、デバイス認証サーバ7へ認証要求メッセージを送信する。
In step S <b> 10, the
ステップS11では、加入者無線装置1とデバイス認証サーバ7との間で第1段階デバイス認証を実行する。第1段階デバイス認証は加入者無線装置1がネットワークの正規ユーザーかを確認するために行われる。
In step S <b> 11, first stage device authentication is performed between the
ステップS12では、認証転送装置4がデバイス認証サーバ7よりデバイス認証結果を受信する。ステップS13では、認証転送装置4が、デバイス認証サーバ7より受信したデバイス認証結果を無線基地局2に送信する。ステップS14では、無線基地局2が、認証転送装置4より受信したデバイス認証結果を加入者無線装置1に送信する。
In step S <b> 12, the
ステップS14.1では、認証転送装置4は加入者無線装置1が第1段階認証であるデバイス認証をパスしたことにより、認証転送装置4がEIKを生成する。EIKは、第2段階認証が完了するまでの間に使用される第1段階認証をパスしたことを証明するメッセージ認証に用いられる。
In step S14.1, the
ステップS15では、認証転送装置4がデバイス認証結果及びAK−Context(内容としてはEIKのみ)を無線基地局2に通知し、MSのステータス変更を促す。ステップS16では、無線基地局2が認証転送装置4にデバイス認証結果及びAK−Contextの受領通知を返す。ステップS17では、無線基地局2が加入者無線装置1にデバイス認証結果及びAK−Context転送する。
In step S15, the
尚、上述した、ステップS17以降、加入者無線装置1と無線基地局2間でやり取りされるメッセージには、加入者無線装置1と無線基地局2間で暗号化を行いためのEPAインテグラリーキー(EIK)を含むメッセージ・オーセンティケーション・コード(MAC)が付けられ第1段階認証をパスしたことが証明される。これで第1段階認証手順は完了となる。一例として、本実施形態はチーパー・メッセージ・オーセンティケーション・コード(CMAC)を証明書として用いる。
It should be noted that the message exchanged between the
ステップS18では、加入者無線装置1が、第2段階認証開始メッセージを無線基地局2に送る。ステップS19では、無線基地局2が加入者無線装置1からの第2段階認証開始メッセージを認証転送装置4に送信する。
In step S <b> 18, the
ステップS20では、認証転送装置4が第2段階のEAP認証開始トリガーとなるEAP−Request/Identityメッセージ(=Identity通知要求)を無線基地局2に送信する。ステップS21では、無線基地局2がEAP−Request/Identityメッセージを加入者無線装置1に転送する。
In step S <b> 20, the
ステップS22では、加入者無線装置1が、EAP−Request/Identityメッセージを受信するとその応答として、EAP−Response/Identityメッセージ(=Identity通知)を無線基地局2に送信する。Identityとしては、NAI(Network Access Identifier)を設定する。ここで設定されるNAIのRealm部分には、ユーザ認証サーバのドメイン名(アドレス)が記載されており、ユーザ認証サーバが特定される。ステップS23では、無線基地局2が加入者無線装置1からのEAP−Response/Identityメッセージを認証転送装置4に転送する。
In step S <b> 22, when the
ステップS23.1では、認証転送装置4が加入者無線装置1より取得したNAIのRealm部分のドメイン名からサーバ名、サーバアドレス名、サーバ使用用途を記憶したサーバアドレステーブルを参照して、ユーザ認証サーバアドレスを割り出すサーバアドレス解析処理を行う。さらに、サーバアドレス解析処理結果と加入者無線装置1の認証状態に応じて、認証サーバ用途の妥当性検証する。認証サーバの認証用途の妥当性検証とは認証要求の中で指定したサーバが認証段階(1回の認証or2回目の認証)の上で正しいか否か、又は、認証の種類(デバイス認証orユーザ認証)の上で正しいか否かを検証する。すなわち、EAPでは認証を行う順番がデバイス認証を行った後にユーザ認証規定されているので、2回目の認証でデバイス認証の要求の場合は不正な認証要求と判定する。さらに、2回目の認証はユーザ認証のためサーバにデバイス認証を行う要求は不正な認証要求と判定する。この判定結果により加入者端末からの認証要求メッセージの転送の可否の判定を行う。
In step S23.1, user authentication is performed by referring to the server address table storing the server name, server address name, and server usage from the domain name of the Realm part of the NAI acquired by the
ステップS24では、認証転送装置4が加入者無線装置1の認証の妥当性が確認できたとき、ユーザ認証サーバ8へ認証要求メッセージを送信する。
In step S <b> 24, when the
ステップS25では、加入者無線装置1とユーザ認証サーバ8との間で第2段階ユーザ認証を実行する。
In step S <b> 25, second-stage user authentication is performed between the
ステップS26では、認証転送装置4がユーザ認証サーバ8よりユーザ認証結果を受信する。ステップS27では、認証転送装置4がユーザ認証サーバ8より受信したユーザ認証結果を無線基地局2に転送する。ステップS28では、無線基地局2が認証転送装置4より受信したユーザ認証結果を加入者無線装置1に転送する。
In step S <b> 26, the
ステップS27.1では、認証転送装置4は加入者無線装置1が第2段階認証であるユーザ認証をパスしたことにより、認証転送装置4がKeyを生成し、Security Contextとして格納し、加入者無線装置1の認証ステータスを更新する。
In step S27.1, the
ステップS29では、認証転送装置4が、ユーザ認証結果及びAK−Context(EIK以外)を無線基地局2に転送する。ステップS30では、無線基地局2が加入者無線装置1のステータス変更し、さらに、無線基地局2が認証転送装置4に受領通知を返す。ステップS30が終了することで、第2段階認証手順は完了となる。
In step S29, the
[認証転送装置]
図3は図1及び図2の第1の実施形態の認証転送装置4の構成例を示すブロック図である。認証転送装置4は認証メッセージ処理部10とシステム設定情報データベース11を備えている。
[Authentication transfer device]
FIG. 3 is a block diagram illustrating a configuration example of the
認証メッセージ処理部10は、WiMAX認証中継(Auth Relay)プロトコル処理部10aと、認証処理部10h、認証制御部10b、AAAクライアント10c、サーバアドレス解決処理部10d、MS認証状態判定部10e、MS情報データベース10f、サーバアドレステーブル10gを備えている。
The authentication
WiMAX認証中継プロトコル処理部10aは無線基地局2と認証制御部10bに接続している。WiMAX認証中継プロトコル処理部10aは、無線基地局2から送信された認証中継(AuthRelay)プロトコルで伝送されたパケット受信し、当該パケットからEAPパケットを取り出し、認証制御部10bに渡す。
The WiMAX authentication relay
認証処理部10hは認証制御部10b、サーバアドレス解決処理部10d、MS認証状態判定部10eから構成している。認証処理部10hは図2の処理のステップs9.1とステップs23.1を行っている。
The authentication processing unit 10h includes an authentication control unit 10b, a server address
認証制御部10bは、WiMAX認証中継プロトコル処理部10a、認証制御部10b、AAAクライアント10c、サーバアドレス解決処理部10d、加入者無線装置認証状態判定部10e、加入者無線装置情報データベース10f、サーバアドレステーブル10gとシステム設定情報データベース11に接続している。認証制御部10bは、認証機能全体を制御し、加入者無線装置1の認証状態管理を行う。実施形態においては、加入者無線装置認証状態判定部10eとサーバアドレス解決処理部10dからの結果から、特定された認証サーバが、その加入者無線装置1の認証状態において適切であるか判断し、認証メッセージの転送可否を決定する。
The authentication control unit 10b includes a WiMAX authentication relay
サーバアドレステーブル10gは認証サーバに対応させてドメインとアドレスと認証方式からなる認証状態情報を記憶している。(図7及び10参照)
サーバアドレス解析処理部10dは、認証制御部10bとサーバアドレステーブル10gに接続している。サーバアドレス解析処理部10dは認証制御部10bから通知されたRealm情報に含まれるサーバアドレステーブル10g内を検索し、サーバのIPアドレスと認証状態情報(例えば認証用途情報や、認証段階情報)を認証制御部10bに通知する。
The server address table 10g stores authentication state information including a domain, an address, and an authentication method in association with the authentication server. (See FIGS. 7 and 10)
The server address
加入者無線装置情報データベース10fは各加入者端末について認証状態情報を記憶している。加入者端末の認証状態情報は加入者端末がどの段階の認証までが終了しているかを記憶している。すなわち、加入者端末が未認証状態、デバイス認証完了状態、ユーザ認証完了状態のいずれの状態にあるかを記憶している。これらは、EAPのなかのパケットのやり取りの中で、NAIの情報を抽出した結果に基づき更新される。(図7及び10参照)
加入者無線装置認証状態判定部10eは、認証制御部10bと加入者無線装置情報データベース10fに接続している。加入者無線装置認証状態判定部10eは、加入者無線装置情報データベース10f内の該当する加入者無線装置1に適用された認証方式(Single−EAP or Double−EAP)と加入者無線装置認証状態から、この加入者無線装置1に必要とされる認証形態(デバイス認証orユーザ認証)を判定し、結果を認証制御部10bに通知する。
The subscriber wireless
The subscriber wireless device authentication
AAAクライアント10cは、図1及び図2のデバイス認証サーバ7とユーザ認証サーバ8に接続している。AAAクライアント10cはデバイス認証サーバ7とユーザ認証サーバ8と認証転送装置4のインターフェースであって、認証制御部10bより渡されたEAPパケットやその他情報をAAAプロトコル(例えばRADIUS)でカプセル化し、デバイス認証サーバとユーザ認証サーバへ送信する。
The AAA client 10c is connected to the
システム設定情報データベース11は認証制御部10bに接続している。システム設定情報データベース11は認証転送装置4にシステム設定された情報が格納されたデータベースであり、オペレータ等によって静的に設定することもできる。
The system setting
[認証要求転送処理]
図4は、第1の実施形態の認証転送装置4における認証要求転送処理フローチャートを示している。
[Authentication request transfer processing]
FIG. 4 shows an authentication request transfer process flowchart in the
ステップS401:
ステップS401はWiMAX プロトコル終端処理を行うステップである。まず加入者無線装置1から送信された認証要求メッセージのパケットは、無線基地局2でWiMAX認証中継プロトコルでカプセル化され、認証転送装置4に転送される。認証転送装置4は、WiMAX認証中継プロトコルでカプセルかされたパケットを受信した後、受信パケットに含まれるEAPパケットと加入者無線装置認ID(MSID)を認証制御部10bに送る。
Step S401:
Step S401 is a step of performing WiMAX protocol termination processing. First, the packet of the authentication request message transmitted from the
ステップS402:
ステップS402はEAPパケット処理を行うステップである。EAPパケットとMSIDを受け取った認証制御部10bは、EAPパケットのメッセージコードとデータタイプを解析し、データとして格納されているNAIを取り出し、加入者無線装置情報データベース10fで該当するMSID領域に取り出したNAIを書き込む。更に、認証制御部10bは、MSIDのMS認証状態判定部10eへの通知及び、NAIのRealm領域をサーバアドレス解決処理部10dに通知を行う。
Step S402:
Step S402 is a step for performing EAP packet processing. Upon receiving the EAP packet and the MSID, the authentication control unit 10b analyzes the message code and data type of the EAP packet, extracts the NAI stored as data, and extracts it into the corresponding MSID area in the subscriber wireless
ステップS403:
ステップS403はサーバアドレス検索処理を行うステップである。サーバアドレス解析処理部10dは、受け取ったNAIのRealmに記載されたドメインをキーにして、サーバアドレステーブル10g内を検索し、対応するサーバアドレス及び認証サーバの認証状態情報(例えば、サーバ用途情報)を取り出し、認証制御部10bに検索結果を通知する。
Step S403:
Step S403 is a step of performing a server address search process. The server address
ステップS404:
ステップS404は加入者無線装置認証状態判定処理を行うステップである。S403とほぼ同時に、加入者無線装置認証状態判定部10eは、受け取ったMSIDをキーにして、MS情報データベース10f内を検索して加入者無線装置の認証状態情報を取得し、加入者無線装置に適用した認証方式が示されたAuth−Policy値(Single−EAP or Double−EAP)と加入者無線装置デバイス認証状態及び加入者無線装置ユーザ認証状態を取得し、現時点で本MSに必要とされる認証形態を判定し、判定結果を認証制御部10bに通知する。
Step S404:
Step S404 is a step of performing a subscriber wireless device authentication state determination process. At substantially the same time as S403, the subscriber wireless device authentication
ステップS405:
ステップS405は認証要求の転送可否判断を行うステップである。認証制御部10bは、サーバアドレス解決処理部10dから通知されたサーバIPアドレスとサーバ用途情報及びMS認証状態判定部10eから通知された加入者無線装置1がすべき認証形態(デバイス認証orユーザ認証)から、転送可否を判断し次処理を決める。
Step S405:
Step S405 is a step of determining whether or not the authentication request can be transferred. The authentication control unit 10b includes the server IP address and server usage information notified from the server address
ステップS406:
ステップS406は認証要求をAAAクライアントでの転送処理を行うステップである。AAAクライアント10cは、EAPパケットやその他情報をAAAプロトコル(例えばRADIUS)で通知されたIPアドレスの認証サーバへ送信する。
Step S406:
Step S406 is a step in which the authentication request is transferred by the AAA client. The AAA client 10c transmits the EAP packet and other information to the authentication server having the IP address notified by the AAA protocol (for example, RADIUS).
ステップS407:
ステップS407は認証要求を破棄または再送処理を行うステップである。認証制御10bでの転送可否判断の結果、転送不可となった場合は、その認証要求を破棄もしくは加入者無線装置への再送要求する処理となる。
Step S407:
Step S407 is a step for discarding or retransmitting the authentication request. If transfer is impossible as a result of the transfer permission / inhibition determination in the authentication control 10b, the authentication request is discarded or a request for retransmission to the subscriber wireless device is made.
加入者無線装置認証状態判定処理と認証メッセージ転送可否判断処理は複数の実施形態がある。以下に各実施形態について説明する。
<第1の実施形態>
[第1の実施形態の加入者無線装置認証状態判定処理]
図5は、第1の実施形態の認証転送装置4における加入者無線装置認証状態判定処理の具体例である。図5は図4のステップS404を詳細に説明したフローチャートである。
The subscriber wireless device authentication state determination process and the authentication message transfer permission determination process have a plurality of embodiments. Each embodiment will be described below.
<First Embodiment>
[Subscriber Wireless Device Authentication State Determination Processing of First Embodiment]
FIG. 5 is a specific example of the subscriber wireless device authentication state determination process in the
ステップS501:
まず、MSIDが通知されるとMS情報データベース10f内を検索し、加入者無線装置1の認証方針情報(Auth−Policy情報)と加入者無線装置デバイス認証状態及び加入者無線装置ユーザ認証状態情報を取得する。加入者無線装置情報データベース10fから取得するデバイス認証情報は、デバイス認証状態−未認証、デバイス認証状態−認証不可、デバイス認証状態−認証許可の3つの状態のいずれかがある。加入者無線装置情報データベース10fから取得するユーザ認証状態情報は、ユーザ認証状態−未認証、ユーザ認証状態−認証不可、ユーザ認証状態−認証許可の3つの状態のいずれかがある。
Step S501:
First, when the MSID is notified, the
ステップS502:
次に取得したAuth−Policy情報から加入者無線装置1が実施する認証方式がSingle−EAPもしくはDouble−EAPであるか判別し、振り分ける。Single−EAPであれば、認証制御部10bへ判定結果を通知する。もしDouble−EAPであれば、認証状態判定テーブルにて、その加入者無線装置1に必要とされる認証方法が判定される。
Step S502:
Next, based on the acquired Auth-Policy information, it is determined whether the authentication method performed by the
ステップS503:
認証状態判定テーブルでは、加入者無線装置情報データベース10fのテーブル内のMSコンテキスト(MS−Context)に記載されているMSデバイス認証状態情報とMSユーザ認証状態情報を入力値として、その加入者無線装置のリクエストに必要とされる認証の種類を判定する。
Step S503:
In the authentication status determination table, the MS radio authentication status information and MS user authentication status information described in the MS context (MS-Context) in the table of the subscriber radio
一例として、認証状態判定テーブルの縦軸はデバイス認証状態の3つの状態が記載してあり、d欄はデバイス認証状態−未認証、e欄はデバイス認証状態−認証不許可、f欄はデバイス認証状態−認証許可の状態を示す。認証状態判定テーブルの横軸はユーザ認証状態の3つの状態が記載してあり、a欄はユーザ認証状態−未認証、b欄はユーザ認証状態−認証不許可、c欄はユーザ認証状態−認証許可の状態を示す。ステップS501で取得したユーザ認証状態が未認証でデバイス認証状態が未認証及び認証不可の場合の必要な認証の種類の判定結果はデバイス認証となり、ステップS501で取得したユーザ認証状態が未認証でデバイス認証状態が認証許可の場合の必要な認証の種類の判定結果はユーザ認証となる。ステップS501で取得したユーザ認証状態が認証不許可でデバイス認証状態が未認証、認証不許可の場合の必要な認証の種類の判定結果はデバイス認証となり、ステップS501で取得したユーザ認証状態が認証不許可でデバイス認証状態が認証許可の場合の必要な認証の種類の判定結果はユーザ認証となる。ステップS501で取得したユーザ認証状態が認証許可でデバイス認証状態が未認証、認証不許可、デバイス認証状態が認証許可の場合の必要な認証の種類の判定結果はデバイス認証となる。 As an example, the vertical axis of the authentication status determination table describes the three statuses of device authentication status, the d column is device authentication status-unauthenticated, the e column is device authentication status-authentication disapproved, and the f column is device authentication. Status-Indicates the status of authentication permission. The horizontal axis of the authentication status determination table describes three statuses of user authentication status, a column is user authentication status-unauthenticated, b column is user authentication status-authentication not allowed, and c column is user authentication status-authentication. Indicates permission status. When the user authentication state acquired in step S501 is unauthenticated and the device authentication state is unauthenticated and authentication is impossible, the determination result of the necessary authentication type is device authentication, and the user authentication state acquired in step S501 is unauthenticated and the device When the authentication status is “authentication permitted”, the required authentication type determination result is user authentication. When the user authentication status acquired in step S501 is authentication not permitted, the device authentication status is unauthenticated, and authentication is not permitted, the determination result of the required authentication type is device authentication, and the user authentication status acquired in step S501 is not authenticated. When the device authentication status is “permitted”, the required authentication type determination result is user authentication. When the user authentication state acquired in step S501 is authentication permission, the device authentication state is unauthenticated, authentication is not permitted, and the device authentication state is authentication permission, the required authentication type determination result is device authentication.
ステップS504:
ステップS503の判定結果は、認証制御部10bに通知され、転送可否判断処理を実行する。
[第1の実施形態の認証メッセージ転送可否判断処理]
図6第1実施形態の認証転送装置4における認証メッセージ転送可否判断処理フローチャートである。図6のステップS601とステップS602は図4のステップS406の転送可否判断の具体例を示している。
Step S504:
The determination result in step S503 is notified to the authentication control unit 10b, and a transfer permission / inhibition determination process is executed.
[Authentication Message Transfer Allowability Judgment Processing of First Embodiment]
6 is an authentication message transfer permission determination processing flowchart in the
ステップS601:
認証制御部10bにおける転送可否判断処理は、MS認証状態判定部10eから通知されたMS認証状態判定結果(ステップS404)とサーバアドレス解決処理部10dから通知されたサーバアドレステーブル検索結果(ステップS403)を転送可否判定テーブルに当てはめ、判定結果を求める。
Step S601:
The transfer permission / inhibition determination process in the authentication control unit 10b includes the MS authentication state determination result notified from the MS authentication
一例として、転送可否判定テーブルの縦軸はステップS403で得たIPアドレスとサーバの用途情報からなる4つの状態の判定基準を記載している。転送可否判定テーブルの横軸はステップS404で得たMS認証状態判定結果の3つの状態の判定基準を記載している。横a欄はSingle−EAP認証の判定基準、横b欄はDouble−EAPデバイス認証の判定基準、横c欄はDouble−EAPユーザ認証の判定基準が記載してある。縦d欄はIPアドレスが有り且つサーバの使用用途がデバイス認証の判定基準、縦e欄はIPアドレスが有り且つサーバの使用用途がユーザ認証の判定基準、縦f欄はIPアドレスが有り且つサーバの使用用途が空白の判定基準、縦g欄はIPアドレスが且つサーバの使用用途が空白の判定基準が記載してある。 As an example, the vertical axis of the transfer enable / disable determination table describes the determination criteria for four states including the IP address obtained in step S403 and the usage information of the server. The horizontal axis of the transfer permission determination table describes the determination criteria for the three states of the MS authentication state determination result obtained in step S404. The horizontal a column describes determination criteria for Single-EAP authentication, the horizontal b column describes determination criteria for Double-EAP device authentication, and the horizontal c column describes determination criteria for Double-EAP user authentication. The vertical d column has an IP address and the server usage is a device authentication criterion, the vertical e column has an IP address and the server usage is a user authentication criterion, and the vertical f column has an IP address and a server Is used as a blank determination criterion, and the vertical g column describes a determination criterion for an IP address and a blank server usage.
MS認証状態判定結果がSingle−EAP認証aのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはd、e、fで、gは転送不可能である。MS認証状態判定結果がDouble−EAPデバイス認証bのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはd、で、e、f、gは転送不可能である。MS認証状態判定結果がDouble−EAPユーザ認証cのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはeで、d、f、gは転送不可能である。 When the MS authentication state determination result is Single-EAP authentication a, the authentication request can be transferred to the device authentication server and the user authentication server with d, e, and f, and g cannot be transferred. When the MS authentication state determination result is Double-EAP device authentication b, the authentication request can be transferred to the device authentication server and the user authentication server with d, and e, f, and g cannot be transferred. When the MS authentication state determination result is Double-EAP user authentication c, the authentication request can be transferred to the device authentication server and the user authentication server as e, and d, f, and g cannot be transferred.
ステップS602:
次に求められた判定結果が転送可であれば、AAAクライアント10cでのAAAサーバへの送信依頼をする。転送不可であれば、破棄もしくは再送処理を実行する。
Step S602:
Next, if the obtained determination result is transferable, the AAA client 10c requests transmission to the AAA server. If transfer is impossible, discard or resend processing is executed.
[第1の実施形態の認証転送装置のデータベース保持情報要素]
図7は本実施構成の認証転送装置が保持する情報要素群を示している。
・サーバアドレステーブル:
サーバアドレステーブル10gは、認証サーバのドメインネームとIPアドレスとサーバ用途情報が対応付けられて格納されたデータベースである。サーバアドレステーブル10gは、認証サーバのドメインネーム10g−1と、認証サーバのIPアドレス10g−2と認証サーバのサーバ用途情報10g−3を対応付けている。認証メッセージ転送処理において、サーバアドレステーブル10gは、サーバアドレス解決及びサーバ用途とMS認証状態との妥当性判定処理に用いられる。ここでの用途情報は、認証サーバのドメインネーム10g−1に記載されたサーバがデバイス認証用のサーバかユーザ認証用のサーバかが記載している。
・システム設定情報データベース11:
システム設定情報データベース11は、オペレータ等によって静的に設定される。システム設定情報データベース11の11aの欄は、オペレータが設定した項目の一例として、MSの認証方式を決定するAuth−Policy設定の項目が有る。システム設定情報データベース11の11bの欄は、11aの欄に対応した値が設定される。11aがAuth−Policyの場合はDuble−EAPかSingle−EAPのいずれかが記載される。
・MS情報データベース:
MS情報データベース10fは、MS−Contextが格納されている。MS−Contextは、MS毎に生成されるMSの認証状態やMSに割り当てた情報などが記された情報要素群である。
[Database holding information element of the authentication transfer apparatus of the first embodiment]
FIG. 7 shows an information element group held by the authentication transfer apparatus of this embodiment.
-Server address table:
The server address table 10g is a database in which the authentication server domain name, IP address, and server usage information are stored in association with each other. The server address table 10g associates the authentication
System setting information database 11:
The system setting
・ MS information database:
The
10f−aの項目の欄10f−1行は端末ID(MSID)、10f−2行は認証方針(Auth−Policy)、10f−3行は第1ネットワークアクセスアイデンティファイヤ(NAI(1))、10f−4行は第2ネットワークアクセスアイデンティファイヤ(NAI(2))、10f−5行は認証鍵(AK−Context)、10f−6行はMSデバイス認証状態と10f−7行はMSユーザ認証状態が記載されている。10f−bの欄は、上記の各項目に対応した値が記憶されている。
10f-a
加入者無線端末ID(MSID)10f−1のバリュウの欄10f−bには端末IDが記載してある。認証方針(Auth−Policy)10f−2のバリュウの欄10f−bにはDouble−EAP認証かShingle−EAP認証を行うかが記載されている。本実施形態ではDouble−EAP認証10f−3を行う旨が記載してある。
The terminal ID is described in the
第1ネットワークアクセスアイデンティファイヤ(NAI(1))10f−3、(NAI(2))10f−4のバリュウの欄10f−bには加入者無線装置のアドレスが記載してある。
The
認証鍵(AK−Context)10f−5のバリュウの欄10f−bには認証に用いる鍵が記載してある。MSデバイス認証状態10f−6のバリュウの欄10f−bにはデバイスの認証状態が記載してある。未認証の場合はNot performed、認証の場合はpass,認証できない場合はblockが書かれる。MSユーザ認証状態10f−7のバリュウの欄10f−bにはユーザの認証状態が記載してある。未認証の場合はNot performed、認証の場合はpass,認証できない場合はblockが書かれる。
In the
<第2の実施形態>
第2の実施形態では認証順序が不正な認証要求の順番は認証要求を認証サーバに転送をしない例を示す。第2の実施形態は、予めサーバアドレステーブルに、そのサーバで処理可能な認証段階(1st or 2nd)が定義された状態において、MSからの認証要求(NAI)から割り出された認証サーバとMS−contextの1st認証状態と2nd認証状態とから、MSの要求するサーバが、そのMSの認証状態において、妥当であるか判定し転送可否を判断する。
<Second Embodiment>
The second embodiment shows an example in which the authentication request is not transferred to the authentication server in the order of authentication requests having an incorrect authentication order. In the second embodiment, the authentication server and the MS determined from the authentication request (NAI) from the MS in the state where the authentication stage (1st or 2nd) that can be processed by the server is defined in the server address table in advance. -From the 1st authentication state of the context and the 2nd authentication state, the server requested by the MS determines whether it is valid in the authentication state of the MS and determines whether transfer is possible.
[第2の実施形態のMS認証状態判定処理]
図8は第2の実施形態のMS認証状態判定処理フローチャートである。図8のステップ501のMS情報取得処理とステップ503のテーブル構成が図5のステップ501とステップ503と異なります。
[MS Authentication State Determination Processing of Second Embodiment]
FIG. 8 is an MS authentication state determination process flowchart according to the second embodiment. The MS information acquisition process in
ステップ501:
ステップ501では、加入者無線端末ID(MSID)が通知されるとMS情報データベース10f内を検索し、MSの認証方針情報(Auth−Policy情報)とMS 1st認証状態及びMS 2nd認証状態情報を取得します。
Step 501:
In
ステップ502:
次に、ステップ502では、取得したAuth−Policy情報からMSが実施する認証方式がSingle−EAPもしくはDouble−EAPであるか判別し、振り分けます。Single−EAPであれば、認証制御部10bへ判定結果が通知されます。もしDouble−EAPであれば、MS認証状態判定テーブルにて、そのMSに必要とされる認証段階が判定される。
Step 502:
Next, in
ステップ503:
次に、ステップ503では、MS認証状態判定テーブルでは、MS−Contextから取得したMS 1st認証状態情報とMS 2nd認証状態情報を入力値として、そのMSに必要とされる認証段階を判定する。
Step 503:
Next, in
一例として、認証状態判定テーブルの縦軸はデバイス認証段階の3つの状態が記載してあり、d欄は第1の認証状態−未認証、e欄は第1の認証状態−認証不許可、f欄は第1の認証状態−認証許可の状態を示す。認証状態判定テーブルの横軸はユーザ認証段階の3つの状態が記載してあり、a欄は第2の認証状態−未認証、b欄は第2の認証状態−認証不許可、c欄は第2の認証状態−認証許可の状態を示す。 As an example, the vertical axis of the authentication status determination table describes the three statuses of the device authentication stage, the d column is the first authentication status-unauthenticated, the e column is the first authentication status-authentication not allowed, f The column indicates the first authentication state-authentication permission state. The horizontal axis of the authentication status determination table describes the three statuses of the user authentication stage. The a column indicates the second authentication status-unauthenticated, the b column indicates the second authentication status-authentication not permitted, and the c column indicates the first status. 2 shows the authentication status-authentication permission status.
ステップS501で取得した第2の認証状態が未認証で第1の認証状態が未認証及び認証不可の場合の必要な認証の種類の判定結果は第1の認証となり、ステップS501で取得した第2の認証状態が未認証で第1の認証状態が認証許可の場合の必要な認証の種類の判定結果は第2の認証となる。ステップS501で取得した第2の認証状態が認証不許可で第1の認証状態が未認証及び認証不可の場合の必要な認証の種類の判定結果は第1の認証となり、ステップS501で取得した第2の認証状態が認証不許可で第1の認証状態が認証許可の場合の必要な認証の種類の判定結果は第2の認証となる。ステップS501で取得した第2の認証状態が認証許可で第1の認証状態が未認証の場合の必要な認証の種類の判定結果は第2の認証となり、ステップS501で取得した第2の認証状態が認証許可で第1の認証状態が認証不許可及び認証許可の場合の必要な認証の種類の判定結果は第1の認証となる。 When the second authentication state acquired in step S501 is unauthenticated and the first authentication state is unauthenticated and authentication is impossible, the determination result of the necessary authentication type is the first authentication, and the second authentication state acquired in step S501 When the authentication state is unauthenticated and the first authentication state is authentication permission, the required authentication type determination result is the second authentication. When the second authentication state acquired in step S501 is authentication disapproved and the first authentication state is unauthenticated and unauthenticated, the required authentication type determination result is the first authentication, and the first authentication state acquired in step S501. The determination result of the necessary authentication type when the authentication status of 2 is not authenticated and the first authentication status is authentication enabled is the second authentication. When the second authentication state acquired in step S501 is authentication permission and the first authentication state is unauthenticated, the determination result of the necessary authentication type is the second authentication, and the second authentication state acquired in step S501 When the first authentication status is authentication permission and authentication permission, the required authentication type determination result is the first authentication.
ステップS504:
ステップS503の判定結果は、認証制御部10bに通知され、転送可否判断処理が実行する。
Step S504:
The determination result of step S503 is notified to the authentication control unit 10b, and a transfer permission / inhibition determination process is executed.
[第2の実施形態の認証メッセージ転送可否判断処理]
図9は第2の実施形態の認証メッセージ転送可否判断処理フローチャートである。図9は図6とs601のテーブルの構成が異なるが他は同じである。
[Authentication Message Transfer Allowability Judgment Processing of Second Embodiment]
FIG. 9 is an authentication message transfer permission / inhibition determination flowchart according to the second embodiment. FIG. 9 is the same as FIG. 6 except for the configuration of the table of s601.
認証制御部10bにおける転送可否判断処理は、MS認証状態判定部10eから通知されたMS認証状態判定結果(ステップS404)とサーバアドレス解決処理部10dから通知されたサーバアドレステーブル検索結果(ステップS403)を転送可否判定テーブルに当てはめ、判定結果を求める。
The transfer permission / inhibition determination process in the authentication control unit 10b includes the MS authentication state determination result notified from the MS authentication
一例として、転送可否判定テーブルの縦軸はステップS403で得たIPアドレスとサーバの用途情報からなる4つの状態の判定基準を記載している。転送可否判定テーブルの横軸はステップS404で得たMS認証状態判定結果の3つの状態の判定基準を記載している。横a欄はSingle−EAP認証の判定基準、横b欄はDouble−EAP第1の認証の判定基準、横c欄はDouble−EAP第2の認証の判定基準が記載してある。縦d欄はIPアドレスが有り且つサーバの使用用途が第1の認証の判定基準、縦e欄はIPアドレスが有り且つサーバの使用用途が第2の認証の判定基準、縦f欄はIPアドレスが有り且つサーバの使用用途が空白の判定基準、縦g欄はIPアドレスが且つサーバの使用用途が空白の判定基準が記載してある。 As an example, the vertical axis of the transfer enable / disable determination table describes the determination criteria for four states including the IP address obtained in step S403 and the usage information of the server. The horizontal axis of the transfer permission determination table describes the determination criteria for the three states of the MS authentication state determination result obtained in step S404. The horizontal a column describes the single-EAP authentication criteria, the horizontal b column lists the Double-EAP first authentication criteria, and the horizontal c column lists the Double-EAP second authentication criteria. The vertical d column has an IP address and the server usage is the first authentication criterion, the vertical e column has the IP address and the server usage is the second authentication criterion, and the vertical f column is the IP address And the usage criteria of the server are blank, and the vertical g column describes the judgment criteria of the IP address and blank usage of the server.
MS認証状態判定結果がSingle−EAP認証aのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはd、e、fで、gは転送可能である。MS認証状態判定結果がDouble−EAP第1の認証bのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはd、で、e、f、gは転送不可能である。MS認証状態判定結果がDouble−EAP第2のユーザ認証cのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはe、で、d、f、gは転送不可能である。 When the MS authentication state determination result is Single-EAP authentication a, the authentication request can be transferred to the device authentication server and the user authentication server with d, e, and f, and g can be transferred. When the MS authentication status determination result is Double-EAP first authentication b, the authentication request can be transferred to the device authentication server and the user authentication server at d, and e, f, and g cannot be transferred. When the MS authentication state determination result is Double-EAP second user authentication c, the authentication request can be transferred to the device authentication server and the user authentication server with e, and d, f, and g cannot be transferred.
ステップS602:
次に求められた判定結果が転送可であれば、AAAクライアント10cでのAAAサーバへの送信依頼をする。転送不可であれば、破棄もしくは再送処理を実行する。
Step S602:
Next, if the obtained determination result is transferable, the AAA client 10c requests transmission to the AAA server. If transfer is impossible, discard or resend processing is executed.
図10は、第2の実施形態の認証転送装置が保持する情報要素群を示している。 FIG. 10 illustrates an information element group held by the authentication transfer apparatus according to the second embodiment.
図10が図7と異なる点はサーバアドレステーブル10gで、他は図7と同じである。従って、サーバアドレステーブル10gについて以下に説明する。
・サーバアドレステーブル:
サーバアドレステーブル10gは、認証サーバのドメインネームとIPアドレスとサーバ用途情報が対応付けられて格納されたデータベースである。サーバアドレステーブル10gは、認証サーバのドメインネーム10g−1と、認証サーバのIPアドレス10g−2と認証サーバのサーバ認証段階情報10g−3を対応付けている。ここでの用途情報は、認証サーバのドメインネーム10g−1に記載されたサーバがどの認証段階に用いるサーバかを記載している。第2の実施形態ではdevice.ne.jpのサーバは第2の認証用のサーバで、user.ne.jpのサーバは第1の認証用のサーバである。
<第3の実施形態>
第3の実施形態は、デバイス認証とユーザ認証の両方が必要であるが、認証実行する順序に関して規定がないケースにおける認証メッセージ転送処理を示しており、MSからの認証要求(NAI)から割り出された認証サーバとMS−contextのMSデバイス認証状態とMSユーザ認証状態とから、MSの要求するサーバが、そのMSの認証状態において、妥当であるか判定し転送可否を判断する。
10 differs from FIG. 7 in the server address table 10g, and the other points are the same as those in FIG. Therefore, the server address table 10g will be described below.
-Server address table:
The server address table 10g is a database in which the authentication server domain name, IP address, and server usage information are stored in association with each other. The server address table 10g associates the authentication
<Third Embodiment>
The third embodiment shows an authentication message transfer process in a case where both device authentication and user authentication are required but there is no provision regarding the order of executing authentication, and is calculated from an authentication request (NAI) from the MS. The server requested by the MS determines whether it is valid in the authentication state of the MS from the authenticated authentication server, the MS device authentication state of the MS-context, and the MS user authentication state, and determines whether transfer is possible.
[第3の実施形態のMS認証状態判定処理]
図11に第3の実施形態のMS認証状態判定処理フローチャートである。図11のステップ501のMS情報取得処理とステップ503のテーブル構成が図5のステップ501とステップ503と異なります。
[MS Authentication State Determination Processing of Third Embodiment]
FIG. 11 is an MS authentication state determination process flowchart according to the third embodiment. The MS information acquisition process in
ステップ501:
ステップ501では、MSIDが通知されるとMS情報データベース10f内を検索し、加入者無線装置1のAuth−Policy情報と加入者無線装置デバイス認証状態及び加入者無線装置ユーザ認証状態情報を取得する。加入者無線装置情報データベース10fから取得するデバイス認証情報は、デバイス認証状態−未認証、デバイス認証状態−認証不可、デバイス認証状態−認証許可の3つの状態のいずれかが記載されている。加入者無線装置情報データベース10fから取得するユーザ認証状態情報は、ユーザ認証状態−未認証、ユーザ認証状態−認証不可、ユーザ認証状態−認証許可の3つの状態のいずれかが記載されている。
Step 501:
In
ステップ502:
次に、ステップ502では、取得したAuth−Policy情報からMSが実施する認証方式がSingle−EAPもしくはDouble−EAPであるか判別し、振り分けます。Single−EAPであれば、認証制御部10bへ判定結果が通知されます。もしDouble−EAPであれば、MS認証状態判定テーブルにて、そのMSに必要とされる認証段階が判定される。
Step 502:
Next, in
ステップ503:
認証状態判定テーブルでは、加入者無線装置情報データベース10fのテーブル内のMS−Contextに記載されているMSデバイス認証状態情報とMSユーザ認証状態情報を入力値として、その加入者無線装置のリクエストに必要とされる認証の種類を判定する。
Step 503:
In the authentication status determination table, the MS device authentication status information and the MS user authentication status information described in the MS-Context in the table of the subscriber radio
一例として、認証状態判定テーブルの縦軸はデバイス認証状態の3つの状態が記載してあり、d欄はデバイス認証状態−未認証、e欄はデバイス認証状態−認証不許可、f欄はデバイス認証状態−認証許可の状態を示す。認証状態判定テーブルの横軸はユーザ認証状態の3つの状態が記載してあり、a欄はユーザ認証状態−未認証、b欄はユーザ認証状態−認証不許可、c欄はユーザ認証状態−認証許可の状態を示す。ステップS501で取得したユーザ認証状態が未認証でデバイス認証状態が未認証及び認証不可の場合の必要な認証の種類の判定結果はデバイス認証またはユーザとなり、ステップS501で取得したユーザ認証状態が未認証でデバイス認証状態が認証許可の場合の必要な認証の種類の判定結果はユーザ認証となる。ステップS501で取得したユーザ認証状態が認証不許可でデバイス認証状態が未認証、認証不許可の場合の必要な認証の種類の判定結果はデバイス認証またはユーザ認証となり、ステップS501で取得したユーザ認証状態が認証不許可でデバイス認証状態が認証許可の場合の必要な認証の種類の判定結果はユーザ認証となる。ステップS501で取得したユーザ認証状態が認証許可でデバイス認証状態が未認証、認証不許可、デバイス認証状態が未認証及び認証不許可の場合の必要な認証の種類の判定結果はデバイス認証となり、ステップS501で取得したユーザ認証状態が認証許可でデバイス認証状態が認証許可の場合に必要な認証はデバイス認証またはユーザ認証となる。 As an example, the vertical axis of the authentication status determination table describes the three statuses of device authentication status, the d column is device authentication status-unauthenticated, the e column is device authentication status-authentication disapproved, and the f column is device authentication. Status-Indicates the status of authentication permission. The horizontal axis of the authentication status determination table describes three statuses of user authentication status, a column is user authentication status-unauthenticated, b column is user authentication status-authentication not allowed, and c column is user authentication status-authentication. Indicates permission status. When the user authentication state acquired in step S501 is unauthenticated and the device authentication state is unauthenticated and authentication is impossible, the determination result of the necessary authentication type is device authentication or user, and the user authentication state acquired in step S501 is unauthenticated. When the device authentication status is “authentication permitted”, the required authentication type determination result is user authentication. When the user authentication state acquired in step S501 is authentication not permitted, the device authentication state is unauthenticated, and authentication is not permitted, the required authentication type determination result is device authentication or user authentication, and the user authentication state acquired in step S501 If the authentication is not permitted and the device authentication status is authentication permitted, the determination result of the necessary authentication type is user authentication. When the user authentication state acquired in step S501 is authentication permission, the device authentication state is unauthenticated, authentication is not permitted, and the device authentication state is unauthenticated and authentication is not permitted, the required authentication type determination result is device authentication. The authentication required when the user authentication state acquired in S501 is authentication permission and the device authentication state is authentication permission is device authentication or user authentication.
ステップS504:
ステップS503の判定結果は、認証制御部10bに通知され、転送可否判断処理が実行する。
[第3の実施形態の認証メッセージ転送可否判断処理]
図12は第3の実施形態の認証メッセージ転送可否判断処理フローチャートである。図12は図6とステップ601の転送判定テーブルの構成において異なるが、他は同じ動作を行う。
Step S504:
The determination result of step S503 is notified to the authentication control unit 10b, and a transfer permission / inhibition determination process is executed.
[Authentication Message Transfer Allowability Judgment Processing of Third Embodiment]
FIG. 12 is an authentication message transfer permission / inhibition determination flowchart according to the third embodiment. FIG. 12 differs from FIG. 6 in the structure of the transfer determination table in
図12第3実施形態の認証転送装置4における認証メッセージ転送可否判断処理フローチャートである。図12のステップS601とステップS602は図4のステップS406の転送可否判断の具体例を示している。
12 is an authentication message transfer availability determination processing flowchart in the
ステップS601:
認証制御部10bにおける転送可否判断処理は、MS認証状態判定部10eから通知されたMS認証状態判定結果(ステップS404)とサーバアドレス解決処理部10dから通知されたサーバアドレステーブル検索結果(ステップS403)を転送可否判定テーブルに当てはめ、判定結果を求める。
Step S601:
The transfer permission / inhibition determination process in the authentication control unit 10b includes the MS authentication state determination result notified from the MS authentication
一例として、転送可否判定テーブルの縦軸はステップS403で得たIPアドレスとサーバの用途情報からなる4つの状態の判定基準を記載している。転送可否判定テーブルの横軸はステップS404で得たMS認証状態判定結果の3つの状態の判定基準を記載している。横a欄はSingle−EAP認証の判定基準、横b欄はDouble−EAPデバイス認証の判定基準、横c欄はDouble−EAPユーザ認証の判定基準が記載してある。横h欄はDouble−EAPデバイス認証及びユーザ認証の判定基準が記載してある。縦d欄はIPアドレスが有り且つサーバの使用用途がデバイス認証の判定基準、縦e欄はIPアドレスが有り且つサーバの使用用途がユーザ認証の判定基準、縦f欄はIPアドレスが有り且つサーバの使用用途が空白の判定基準、縦g欄はIPアドレスが且つサーバの使用用途が空白の判定基準が記載してある。 As an example, the vertical axis of the transfer enable / disable determination table describes the determination criteria for four states including the IP address obtained in step S403 and the usage information of the server. The horizontal axis of the transfer permission determination table describes the determination criteria for the three states of the MS authentication state determination result obtained in step S404. The horizontal a column describes determination criteria for Single-EAP authentication, the horizontal b column describes determination criteria for Double-EAP device authentication, and the horizontal c column describes determination criteria for Double-EAP user authentication. The horizontal h column describes determination criteria for Double-EAP device authentication and user authentication. The vertical d column has an IP address and the server usage is a device authentication criterion, the vertical e column has an IP address and the server usage is a user authentication criterion, and the vertical f column has an IP address and a server Is used as a blank determination criterion, and the vertical g column describes a determination criterion for an IP address and a blank server usage.
MS認証状態判定結果がSingle−EAP認証aのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはd、e、fで、gは転送不可能である。MS認証状態判定結果がDouble−EAPデバイス認証bのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはd、で、e、f、gは転送不可能である。MS認証状態判定結果がDouble−EAPユーザ認証cのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはeで、d、f、gは転送不可能である。MS認証状態判定結果がDouble−EAPデバイス認証及びユーザ認証hのとき、デバイス認証サーバとユーザ認証サーバに認証要求が転送可能なのはd、eで、f、gは転送不可である。 When the MS authentication state determination result is Single-EAP authentication a, the authentication request can be transferred to the device authentication server and the user authentication server with d, e, and f, and g cannot be transferred. When the MS authentication state determination result is Double-EAP device authentication b, the authentication request can be transferred to the device authentication server and the user authentication server with d, and e, f, and g cannot be transferred. When the MS authentication state determination result is Double-EAP user authentication c, the authentication request can be transferred to the device authentication server and the user authentication server as e, and d, f, and g cannot be transferred. When the MS authentication state determination result is Double-EAP device authentication and user authentication h, the authentication request can be transferred to the device authentication server and the user authentication server with d and e, and f and g cannot be transferred.
ステップS602:
次に求められた判定結果が転送可であれば、AAAクライアント10cでのAAAサーバへの送信依頼をする。転送不可であれば、破棄もしくは再送処理を実行する。
Step S602:
Next, if the obtained determination result is transferable, the AAA client 10c requests transmission to the AAA server. If transfer is impossible, discard or resend processing is executed.
第3の実施形態の認証転送装置の保持情報要素は第1の実施形態と同じであるため、その説明は省略する。 Since the retained information element of the authentication transfer apparatus of the third embodiment is the same as that of the first embodiment, the description thereof is omitted.
上述した実施形態は、必要に応じて適宜組み合わせることができる。 The above-described embodiments can be appropriately combined as necessary.
1 加入者無線装置
2 無線基地局
3 アクセスサービスネットワーク
4 認証転送装置
5 コネクティビティサービスネットワーク
6 ルータ
7 デバイス認証用サーバ
8 ユーザ認証用サーバ
10 認証メッセージ処理部
10a WiMAX認証中継プロトコル処理部
10b 認証制御部
10c AAAクライアント
10d サーバアドレス解析処理部
10e 加入者無線装置認証状態判定部
10f 加入者無線装置情報データベース
10g サーバアドレステーブル
11 システム設定情報データベース
1
Claims (4)
該加入者端末の認証状態情報を記憶する第1記憶部と、
該加入者端末についての認証処理に応じて該認証状態情報を更新し、該加入者端末の認証状態情報に基づいて該加入者端末からの認証要求の転送処理を行う認証処理部と
を備えたことを特徴とする認証転送装置。 In an authentication transfer device that transfers an authentication request from a subscriber terminal to an authentication server,
A first storage unit for storing authentication status information of the subscriber terminal;
An authentication processing unit that updates the authentication status information according to the authentication process for the subscriber terminal and performs a transfer process of an authentication request from the subscriber terminal based on the authentication status information of the subscriber terminal. An authentication transfer device.
認証処理部の認証要求メッセージの転送の可否は該サーバの該認証段階と該加入者端末の認証状態情報とにより行うことを特徴とする認証転送装置。 The authentication transfer apparatus according to claim 1, wherein an authentication stage of the authentication server is stored in the server address table as the authentication status information corresponding to the authentication server,
An authentication transfer device characterized in that whether or not the authentication request message of the authentication processing unit can be transferred is determined by the authentication stage of the server and the authentication status information of the subscriber terminal.
該認証処理部は該加入者端末の認証状態情報と該認証サーバの認証状態情報により該加入者端末からの認証要求メッセージの転送の可否を行うことを特徴とする認証転送装置。 The authentication transfer device according to claim 1, further comprising a second storage unit that stores authentication state information of the authentication server,
The authentication transfer device, wherein the authentication processing unit determines whether or not to transfer an authentication request message from the subscriber terminal based on the authentication status information of the subscriber terminal and the authentication status information of the authentication server.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007192250A JP2009031848A (en) | 2007-07-24 | 2007-07-24 | Authentication transfer device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007192250A JP2009031848A (en) | 2007-07-24 | 2007-07-24 | Authentication transfer device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009031848A true JP2009031848A (en) | 2009-02-12 |
Family
ID=40402326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007192250A Pending JP2009031848A (en) | 2007-07-24 | 2007-07-24 | Authentication transfer device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009031848A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011010045A (en) * | 2009-06-26 | 2011-01-13 | Hitachi Ltd | Gateway apparatus, and terminal authenticating method using the same |
| CN102026199A (en) * | 2010-12-03 | 2011-04-20 | 中兴通讯股份有限公司 | WiMAX system as well as device and method for defending DDoS attack |
| GB2573187A (en) * | 2018-01-22 | 2019-10-30 | Avaya Inc | Methods and devices for detecting denial of service attacks in secure interactions |
| JP2023516782A (en) * | 2020-03-20 | 2023-04-20 | 維沃移動通信有限公司 | Access control method and communication equipment |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10322328A (en) * | 1997-05-20 | 1998-12-04 | Mitsubishi Electric Corp | Cryptographic communication system and cryptographic communication method |
| JP2004151886A (en) * | 2002-10-29 | 2004-05-27 | Toshiba Corp | Secure communication system, method and program |
| JP2005086656A (en) * | 2003-09-10 | 2005-03-31 | Toshiba Corp | Authentication determination bridge, program, wireless LAN communication system, and wireless LAN communication method |
| JP2006113877A (en) * | 2004-10-15 | 2006-04-27 | Willcom Inc | Connected device authentication system |
-
2007
- 2007-07-24 JP JP2007192250A patent/JP2009031848A/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10322328A (en) * | 1997-05-20 | 1998-12-04 | Mitsubishi Electric Corp | Cryptographic communication system and cryptographic communication method |
| JP2004151886A (en) * | 2002-10-29 | 2004-05-27 | Toshiba Corp | Secure communication system, method and program |
| JP2005086656A (en) * | 2003-09-10 | 2005-03-31 | Toshiba Corp | Authentication determination bridge, program, wireless LAN communication system, and wireless LAN communication method |
| JP2006113877A (en) * | 2004-10-15 | 2006-04-27 | Willcom Inc | Connected device authentication system |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011010045A (en) * | 2009-06-26 | 2011-01-13 | Hitachi Ltd | Gateway apparatus, and terminal authenticating method using the same |
| CN102026199A (en) * | 2010-12-03 | 2011-04-20 | 中兴通讯股份有限公司 | WiMAX system as well as device and method for defending DDoS attack |
| CN102026199B (en) * | 2010-12-03 | 2016-01-13 | 中兴通讯股份有限公司 | The apparatus and method of a kind of WiMAX system and defending DDoS (Distributed Denial of Service) attacks thereof |
| GB2573187A (en) * | 2018-01-22 | 2019-10-30 | Avaya Inc | Methods and devices for detecting denial of service attacks in secure interactions |
| US11108811B2 (en) | 2018-01-22 | 2021-08-31 | Avaya Inc. | Methods and devices for detecting denial of service attacks in secure interactions |
| JP2023516782A (en) * | 2020-03-20 | 2023-04-20 | 維沃移動通信有限公司 | Access control method and communication equipment |
| JP7560567B2 (en) | 2020-03-20 | 2024-10-02 | 維沃移動通信有限公司 | Access control method and communication device |
| JP2024175094A (en) * | 2020-03-20 | 2024-12-17 | 維沃移動通信有限公司 | Access control method and communication device |
| JP7785888B2 (en) | 2020-03-20 | 2025-12-15 | 維沃移動通信有限公司 | Access control method and communication device |
| US12538124B2 (en) | 2020-03-20 | 2026-01-27 | Vivo Mobile Communication Co., Ltd. | Access control method and communications device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11825303B2 (en) | Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus | |
| US11405780B2 (en) | Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus | |
| US9113332B2 (en) | Method and device for managing authentication of a user | |
| US9306748B2 (en) | Authentication method and apparatus in a communication system | |
| US8555064B2 (en) | Security system and method for wireless communication system | |
| US8972582B2 (en) | Method and apparatus enabling reauthentication in a cellular communication system | |
| US8433286B2 (en) | Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network | |
| US20080026724A1 (en) | Method for wireless local area network user set-up session connection and authentication, authorization and accounting server | |
| CN113676901A (en) | Key management method, device and system | |
| EP3387855B1 (en) | Methods and arrangements for authenticating a communication device | |
| DK2924944T3 (en) | Presence authentication | |
| JP2008529368A (en) | User authentication and authorization in communication systems | |
| KR101718096B1 (en) | Method and system for authenticating in wireless communication system | |
| JP2014504391A (en) | Cross-access login controller | |
| JP2024517897A (en) | Method, device and storage medium for authentication of NSWO services | |
| US20070098176A1 (en) | Wireless LAN security system and method | |
| US7848737B2 (en) | Apparatus and method for fraud prevention when accessing through wireless local area networks | |
| US20230413047A1 (en) | Network relay security | |
| JP2009031848A (en) | Authentication transfer device | |
| US8191153B2 (en) | Communication system, server apparatus, information communication method, and program | |
| CN101568116B (en) | Method for obtaining certificate state information and certificate state management system | |
| KR100919329B1 (en) | Methods of authenticating electronic devices in mobile networks | |
| JP5888749B2 (en) | Network connection authentication method and system | |
| CN103974223B (en) | Wireless LAN interacted with fixed network in realize certification and charging method and system | |
| KR100876556B1 (en) | Integrated Authentication Method and System for Handover Support in Wireless Access Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100416 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120516 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120522 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20121016 |