知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024110680
(43)【公開日】2024-08-16
(54)【発明の名称】認証システムおよび認証サーバ
(51)【国際特許分類】
G06F 21/44 20130101AFI20240808BHJP
G06F 21/31 20130101ALI20240808BHJP
G06F 21/60 20130101ALI20240808BHJP
【FI】
G06F21/44
G06F21/31
G06F21/60 360
【審査請求】未請求
【請求項の数】8
【出願形態】OL
(21)【出願番号】P 2023015405
(22)【出願日】2023-02-03
(71)【出願人】
【識別番号】300059979
【氏名又は名称】エイチ・シー・ネットワークス株式会社
(74)【代理人】
【識別番号】110002066
【氏名又は名称】弁理士法人筒井国際特許事務所
(72)【発明者】
【氏名】古橋 涼
(72)【発明者】
【氏名】益子 秀隆
(72)【発明者】
【氏名】江藤 馨
(57)【要約】
【課題】認証強度を柔軟に設定可能な認証サーバおよび認証システムを提供する。
【解決手段】通信端末13は、IEEE802.1X規格に基づくサプリカントとして動作する。認証サーバ10は、IEEE802.1X規格に基づき通信端末13を認証する。認証装置12は、IEEE802.1X規格に基づくオーセティケータとして動作し、通信端末13との間でEAPOLフレームを通信し、認証サーバ10との間でRADIUSパケットを通信する。認証サーバ10は、認証装置12からのRADIUSパケットに含まれるRADIUS属性情報に基づいて複数の認証方式の中から1個の認証方式を選定し、選定した認証方式の使用を通信端末13に提案する。
【選択図】図1
【解決手段】通信端末13は、IEEE802.1X規格に基づくサプリカントとして動作する。認証サーバ10は、IEEE802.1X規格に基づき通信端末13を認証する。認証装置12は、IEEE802.1X規格に基づくオーセティケータとして動作し、通信端末13との間でEAPOLフレームを通信し、認証サーバ10との間でRADIUSパケットを通信する。認証サーバ10は、認証装置12からのRADIUSパケットに含まれるRADIUS属性情報に基づいて複数の認証方式の中から1個の認証方式を選定し、選定した認証方式の使用を通信端末13に提案する。
【選択図】図1
【特許請求の範囲】
【請求項1】
IEEE802.1X規格に基づくサプリカントとして動作する通信端末と、
IEEE802.1X規格に基づき前記通信端末を認証する認証サーバと、
IEEE802.1X規格に基づくオーセティケータとして動作し、前記通信端末との間でEAPOL(Extensible Authentication Protocol Over LAN)フレームを通信し、前記認証サーバとの間でRADIUS(Remote Authentication Dial In User Service)パケットを通信する認証装置と、
を備える認証システムであって、
前記認証サーバは、前記認証装置からの前記RADIUSパケットに含まれるRADIUS属性情報に基づいて複数の認証方式の中から1個の認証方式を選定し、選定した認証方式の使用を前記通信端末に提案する、
認証システム。
IEEE802.1X規格に基づき前記通信端末を認証する認証サーバと、
IEEE802.1X規格に基づくオーセティケータとして動作し、前記通信端末との間でEAPOL(Extensible Authentication Protocol Over LAN)フレームを通信し、前記認証サーバとの間でRADIUS(Remote Authentication Dial In User Service)パケットを通信する認証装置と、
を備える認証システムであって、
前記認証サーバは、前記認証装置からの前記RADIUSパケットに含まれるRADIUS属性情報に基づいて複数の認証方式の中から1個の認証方式を選定し、選定した認証方式の使用を前記通信端末に提案する、
認証システム。
【請求項2】
請求項1に記載の認証システムにおいて、
前記通信端末は、MACアドレスとして、非ランダムMACアドレスまたはランダムMACアドレスを有し、
前記認証装置は、前記通信端末からの前記EAPOLフレームに含まれる前記通信端末のMACアドレスを、前記RADIUS属性情報の一つであるコーリングステーションIDに定め、前記コーリングステーションIDを含んだ前記RADIUSパケットを前記認証サーバへ送信し、
前記認証サーバは、前記コーリングステーションIDの値に基づき、前記通信端末のMACアドレスが前記非ランダムMACアドレスであるか前記ランダムMACアドレスであるかを判別し、前記ランダムMACアドレスである場合には、前記非ランダムMACアドレスである場合よりも認証強度が高い認証方式を選定する、
認証システム。
前記通信端末は、MACアドレスとして、非ランダムMACアドレスまたはランダムMACアドレスを有し、
前記認証装置は、前記通信端末からの前記EAPOLフレームに含まれる前記通信端末のMACアドレスを、前記RADIUS属性情報の一つであるコーリングステーションIDに定め、前記コーリングステーションIDを含んだ前記RADIUSパケットを前記認証サーバへ送信し、
前記認証サーバは、前記コーリングステーションIDの値に基づき、前記通信端末のMACアドレスが前記非ランダムMACアドレスであるか前記ランダムMACアドレスであるかを判別し、前記ランダムMACアドレスである場合には、前記非ランダムMACアドレスである場合よりも認証強度が高い認証方式を選定する、
認証システム。
【請求項3】
請求項2に記載の認証システムにおいて、
前記認証サーバは、前記通信端末のMACアドレスが前記ランダムMACアドレスである場合には、EAP-TLS(EAP-Transport Level Security)を選定し、前記非ランダムMACアドレスである場合には、PEAP(Protected EAP)を選定する、
認証システム。
前記認証サーバは、前記通信端末のMACアドレスが前記ランダムMACアドレスである場合には、EAP-TLS(EAP-Transport Level Security)を選定し、前記非ランダムMACアドレスである場合には、PEAP(Protected EAP)を選定する、
認証システム。
【請求項4】
請求項2に記載の認証システムにおいて、
前記認証サーバは、前記通信端末のMACアドレスが前記ランダムMACアドレスである場合、前記選定した認証方式の使用を前記通信端末に提案したのち、当該提案が前記通信端末によって拒否された際には、他の認証方式への変更を行わず、前記通信端末へ認証失敗を通知する、
認証システム。
前記認証サーバは、前記通信端末のMACアドレスが前記ランダムMACアドレスである場合、前記選定した認証方式の使用を前記通信端末に提案したのち、当該提案が前記通信端末によって拒否された際には、他の認証方式への変更を行わず、前記通信端末へ認証失敗を通知する、
認証システム。
【請求項5】
IEEE802.1X規格に基づき、サプリカントとして動作する通信端末を、オーセティケータを介して認証する認証サーバであって、
前記オーセティケータからのRADIUS(Remote Authentication Dial In User Service)パケットに含まれるRADIUS属性情報の内容を判別する属性情報判別部と、
前記属性情報判別部での判別結果に基づいて複数の認証方式の中から1個の認証方式を選定する認証方式選定部と、
前記認証方式選定部で選定した認証方式の使用を前記サプリカントに提案する認証方式提案部と、
を備える、
認証サーバ。
前記オーセティケータからのRADIUS(Remote Authentication Dial In User Service)パケットに含まれるRADIUS属性情報の内容を判別する属性情報判別部と、
前記属性情報判別部での判別結果に基づいて複数の認証方式の中から1個の認証方式を選定する認証方式選定部と、
前記認証方式選定部で選定した認証方式の使用を前記サプリカントに提案する認証方式提案部と、
を備える、
認証サーバ。
【請求項6】
請求項5に記載の認証サーバにおいて、
前記通信端末は、MACアドレスとして、非ランダムMACアドレスまたはランダムMACアドレスを有し、
前記オーセティケータは、前記通信端末のMACアドレスを、前記RADIUS属性情報の一つであるコーリングステーションIDに定め、前記コーリングステーションIDを含んだ前記RADIUSパケットを前記認証サーバへ送信し、
前記属性情報判別部は、前記コーリングステーションIDの値に基づき、前記通信端末のMACアドレスが前記非ランダムMACアドレスであるか前記ランダムMACアドレスであるかを判別し、
前記認証方式選定部は、前記通信端末のMACアドレスが前記ランダムMACアドレスである場合には、前記非ランダムMACアドレスである場合よりも認証強度が高い認証方式を選定する、
認証サーバ。
前記通信端末は、MACアドレスとして、非ランダムMACアドレスまたはランダムMACアドレスを有し、
前記オーセティケータは、前記通信端末のMACアドレスを、前記RADIUS属性情報の一つであるコーリングステーションIDに定め、前記コーリングステーションIDを含んだ前記RADIUSパケットを前記認証サーバへ送信し、
前記属性情報判別部は、前記コーリングステーションIDの値に基づき、前記通信端末のMACアドレスが前記非ランダムMACアドレスであるか前記ランダムMACアドレスであるかを判別し、
前記認証方式選定部は、前記通信端末のMACアドレスが前記ランダムMACアドレスである場合には、前記非ランダムMACアドレスである場合よりも認証強度が高い認証方式を選定する、
認証サーバ。
【請求項7】
請求項6に記載の認証サーバにおいて、
前記認証方式選定部は、前記通信端末のMACアドレスが前記ランダムMACアドレスである場合には、EAP-TLS(Extensible Authentication Protocol-Transport Level Security)を選定し、前記非ランダムMACアドレスである場合には、PEAP(Protected EAP)を選定する、
認証サーバ。
前記認証方式選定部は、前記通信端末のMACアドレスが前記ランダムMACアドレスである場合には、EAP-TLS(Extensible Authentication Protocol-Transport Level Security)を選定し、前記非ランダムMACアドレスである場合には、PEAP(Protected EAP)を選定する、
認証サーバ。
【請求項8】
請求項6に記載の認証サーバにおいて、
前記認証方式提案部は、前記通信端末のMACアドレスが前記ランダムMACアドレスである場合、前記選定した認証方式の使用を前記通信端末に提案したのち、当該提案が前記通信端末によって拒否された際には、他の認証方式への変更を行わず、前記通信端末へ認証失敗を通知する、
認証サーバ。
前記認証方式提案部は、前記通信端末のMACアドレスが前記ランダムMACアドレスである場合、前記選定した認証方式の使用を前記通信端末に提案したのち、当該提案が前記通信端末によって拒否された際には、他の認証方式への変更を行わず、前記通信端末へ認証失敗を通知する、
認証サーバ。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証システムおよび認証サーバに関する。
【背景技術】
【0002】
特許文献1には、MACアドレスがランダム化された通信端末に対しても接続可否を判断可能な中継装置が示される。当該中継装置は、通信端末からの接続要求に含まれるMACアドレスが登録されたMACアドレスに対応しない場合、一時接続判定用の接続処理を実行して、当該通信端末からホスト名を取得する。そして、当該中継装置は、取得したホスト名が登録されたホスト名に対応する場合に接続を許可する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2022-50946号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
有線LANまたは無線LANを含んだ認証システムでは、IEEE802.1X規格に基づく認証が広く用いられている。IEEE802.1X規格では、EAP(Extensible Authentication Protocol)およびRADIUS(Remote Authentication Dial In User Service)規格を利用して認証が行われる。EAPは、様々な認証方式を利用するための手続きを規定するものである。RADIUS規格は、RADIUSクライアントからの認証要求に対して、RADIUSサーバを用いて認証を行う際の手続きを規定するものである。
【0005】
このような認証システムでは、使用する認証方式によって認証強度を変えることができる。例えば、認証強度が低い認証方式を用いる場合、被認証装置である通信端末に高度な機能を実装する必要がないため、セキュリティレベルが不十分となり得る反面、運用コスト、利便性または汎用性等の観点で有益となる。一方、認証強度が高い認証方式を用いる場合、通信端末に高度な機能を実装する必要があるため、セキュリティレベルは十分となり得るが、運用コスト、利便性または汎用性等の観点で不利益となる。そこで、このようなバランスを考慮して、認証強度を柔軟に設定できる仕組みが望まれる。
【0006】
具体例として、特許文献1に記載されるような、ランダムMACアドレスを有する通信端末Aと非ランダムMACアドレスを有する通信端末Bとが混在した認証システムを想定する。ランダムMACアドレスを有する通信端末Aでは、非ランダムMACアドレスを有する通信端末Bとは異なり、MACアドレスを含んだ通信ログから通信端末の挙動を追跡することは困難となり得る。このため、通信端末Aには、通信端末Bと比べて、認証強度が高い認証方式を適用することが望ましい。ただし、全てを認証強度が高い認証方式に統一した場合、例えば、通信端末Bを用いる際の利便性等が損われる事態や、既存の通信端末Bでは当該認証方式に対応できない事態等が生じ得る。
【0007】
本発明は、このようなことに鑑みてなされたものであり、その目的の一つは、認証強度を柔軟に設定可能な認証サーバおよび認証システムを提供することにある。
【0008】
本発明の前記並びにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。
【課題を解決するための手段】
【0009】
本願において開示される発明のうち、代表的な実施の形態の概要を簡単に説明すれば、次のとおりである。
【0010】
一実施の形態による認証システムは、通信端末と、認証サーバと、認証装置と、を有する。通信端末は、IEEE802.1X規格に基づくサプリカントとして動作する。認証サーバは、IEEE802.1X規格に基づき通信端末を認証する。認証装置は、IEEE802.1X規格に基づくオーセティケータとして動作し、通信端末との間でEAPOLフレームを通信し、認証サーバとの間でRADIUSパケットを通信する。認証サーバは、認証装置からのRADIUSパケットに含まれるRADIUS属性情報に基づいて複数の認証方式の中から1個の認証方式を選定し、選定した認証方式の使用を通信端末に提案する。
【発明の効果】
【0011】
本願において開示される発明のうち、代表的な実施の形態によって得られる効果を簡単に説明すると、認証強度を柔軟に設定可能になる。
【図面の簡単な説明】
【0012】
【図1】一実施の形態による認証システムの構成例および主要な動作例を示す概略図である。
【発明を実施するための形態】
【0013】
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
【0014】
<認証システムの概略>
図1は、一実施の形態による認証システムの構成例および主要な動作例を示す概略図である。図1に示される認証システムは、認証サーバ10と、認証装置12a,12bと、通信端末13a,13bとを備える。認証装置12a,12bと認証サーバ10とは、レイヤ3(L3)のネットワーク11を介して接続される。また、認証装置12a,12bと通信端末13a,13bとは、レイヤ2(L2)のネットワークを介して接続される。明細書では、通信端末13a,13bを通信端末13と総称し、認証装置12a,12bを認証装置12と総称する。
図1は、一実施の形態による認証システムの構成例および主要な動作例を示す概略図である。図1に示される認証システムは、認証サーバ10と、認証装置12a,12bと、通信端末13a,13bとを備える。認証装置12a,12bと認証サーバ10とは、レイヤ3(L3)のネットワーク11を介して接続される。また、認証装置12a,12bと通信端末13a,13bとは、レイヤ2(L2)のネットワークを介して接続される。明細書では、通信端末13a,13bを通信端末13と総称し、認証装置12a,12bを認証装置12と総称する。
【0015】
通信端末13は、IEEE802.1X規格に基づくサプリカントとして動作する。具体的には、通信端末13は、例えば、プロセッサおよびメモリを有し、メモリに格納されたサプリカント用のプログラムをプロセッサにより実行することで、サプリカントとして動作する。この例では、通信端末13aは、パーソナルコンピュータ(PC)等であり、通信端末13bは、スマートフォンやタブレットPC等のモバイル機器である。通信端末13aは、ユーザ14aによって利用され、通信端末13bは、ユーザ14bによって利用される。
【0016】
認証サーバ10は、RADIUSサーバであり、IEEE802.1X規格に基づき、認証装置12を介して通信端末13を認証する。認証装置12は、IEEE802.1X規格に基づくオーセティケータとして動作し、RADIUSクライアントでもある。認証装置12a,12bは、それぞれ、通信端末13a,13bとの間でEAPOL(EAP Over LAN)フレームを通信する。また、認証装置12a,12bは、認証サーバ10との間でRADIUSパケットを通信する。
【0017】
ここで、例えば、認証装置12aは、MAC(Medium Access Control)フレームを有線により中継する認証スイッチであり、認証装置12bは、MACフレームを無線により中継する無線アクセスポイントである。特に、公衆無線LAN等のような無線通信ネットワークで利用される通信端末13は、ユーザのプライバシーを保護する観点等から、ランダムMACアドレスを有する場合がある。このため、この例では、通信端末13bは、ランダムMACアドレスを有しており、通信端末13aは、非ランダムMACアドレスを有している。
【0018】
ランダムMACアドレスは、非ランダムMACアドレスとは異なり、48ビットのMACアドレスにおける(42ビット目,41ビット目)が(1,0)に固定される。すなわち、ランダムMACアドレスは、16進数表示を用い、“X”をドントケア値として、“X2:XX:XX:XX:XX:XX”、“X6:XX:XX:XX:XX:XX”、“XA:XX:XX:XX:XX:XX”、または“XE:XX:XX:XX:XX:XX”のいずれかである。
【0019】
このような認証システムにおいて、通信端末13aの認証を行う場合を想定する。概略的には、まず、通信端末13aは、認証装置12aへ、EAPOLフレームを用いて認証情報を送信する(ステップS101a)。これに応じて、認証装置12aは、様々なRADIUS属性情報を含んだRADIUSパケットを認証サーバ10へ送信する(ステップS102a)。RADIUS属性情報には、EAPOLフレームに含まれる認証情報に加えて、認証装置12aによって付加される認証情報も含まれ得る。
【0020】
続いて、認証サーバ10は、認証装置12aからのRADIUSパケットに含まれるRADIUS属性情報に基づいて、予め設けられる複数の認証方式の中から1個の認証方式を選定する(ステップS103)。そして、認証サーバ10は、選定した認証方式の使用を、認証装置12aを介して通信端末13aに提案する。具体的には、認証サーバ10は、選定した認証方式の使用を提案するためのRADIUSパケットを認証装置12aへ送信する(ステップS104a)。これに応じて、認証装置12aは、当該RADIUSパケットをEAPOLフレームに変換して通信端末13aへ送信する(ステップS105a)。
【0021】
通信端末13bの認証を行う場合も、通信端末13aの場合と同様に、ステップS101a,S102a,S103,S104a,S105aの処理にそれぞれ対応するステップS101b,S102b,S103,S104b,S105bの処理が行われる。ただし、ステップS101a,S105aでは、有線による通信が行われるのに対して、ステップS101b,S105bでは、無線による通信が行われる。
【0022】
このような方式を用いることで、RADIUS属性情報から得られる様々な情報に基づいて、認証強度を柔軟に設定することが可能になる。具体例として、認証装置12は、通信端末13からのEAPOLフレームに含まれる通信端末13のMACアドレスを、RADIUS属性情報の一つであるコーリングステーションIDに定めることができる。そして、認証装置12は、当該コーリングステーションIDを含んだRADIUSパケットを認証サーバ10へ送信することができる(ステップS102a,S102b)。
【0023】
この場合、認証サーバ10は、コーリングステーションIDの値、具体的には、前述した(42ビット目,41ビット目)の値に基づき、通信端末13のMACアドレスが非ランダムMACアドレスであるかランダムMACアドレスであるかを判別することができる。そして、認証サーバ10は、通信端末13のMACアドレスがランダムMACアドレスである場合には、非ランダムMACアドレスである場合よりも認証強度が高い認証方式を選定することができる(ステップS103)。
【0024】
ランダムMACアドレスを有する通信端末13bでは、非ランダムMACアドレスを有する通信端末13aとは異なり、MACアドレスを含んだ通信ログから通信端末13bの挙動を追跡することは困難となり得る。このため、通信端末13bには、通信端末13aと比べて、認証強度が高い認証方式を適用することが望まれる。図1に示される認証システムを用いることで、このような要求を満たすことが可能になる。
【0025】
なお、認証サーバ10に予め設けられる複数の認証方式として、例えば、PEAP(Protected EAP)、EAP-TLS(EAP-Transport Level Security)、EAP-MD5(EAP-Message Digest 5)、EAP-TTLS(EAP-Tunneled TLS)等が挙げられる。PEAPおよびEAP-TTLSは、認証サーバ10におけるサーバ証明書と、通信端末13におけるユーザIDおよびユーザパスワードとを用いた認証方式である。EAP-TLSは、認証サーバ10におけるサーバ証明書と、通信端末13におけるクライアント証明書とを用いた認証方式である。EAP-MD5は、サーバ証明書を用いずに、通信端末13におけるユーザIDおよびユーザパスワードを用いた認証方式である。
【0026】
認証強度は、サーバ証明書およびクライアント証明書を用いるEAP-TLSが最も高く、サーバ証明書もクライアント証明書も用いないEAP-MD5が最も低い。ただし、EAP-TLSを用いる場合、特に、通信端末13に予めクライアント証明書を組み込んでおく必要があるため、運用コスト、利便性または汎用性等の観点で不利益となり得る。また、PEAPは、例えば、Windows(登録商標)等のOSを搭載した通信端末13によって標準でサポートされている。このため、PEAPは、運用コスト、利便性または汎用性等と、認証強度とのバランスに優れた認証方式となっている。
【0027】
このような認証方式が設けられることを前提とすると、認証サーバ10は、通信端末13のMACアドレスがランダムMACアドレスである場合、すなわち通信端末13bを認証する場合には、認証方式としてEAP-TLSを選定することが望ましい。一方、認証サーバ10は、通信端末13のMACアドレスが非ランダムMACアドレスである場合、すなわち通信端末13aを認証する場合には、認証方式としてPEAPを選定することが望ましい。
【0028】
<認証システムの詳細>
図2Aは、図1に示される認証システムにおいて、認証装置12と通信端末13との間の通信で用いられるEAPOLフレームのフォーマット構成例を示す概略図である。図2Aに示されるEAPOLフレーム20は、EAPOLプロトコルに基づくMACフレームでもある。EAPOLフレーム20は、宛先MACアドレス30、送信元MACアドレス31およびEAPメッセージ32の各領域を含んでいる。EAPメッセージ32は、パケットタイプ33およびパケットボディ34の各領域を含んでいる。パケットボディ34は、EAPパケット21を含んでいる。EAPパケット21は、コード35、タイプ36およびデータ37の各領域を含んでいる。
図2Aは、図1に示される認証システムにおいて、認証装置12と通信端末13との間の通信で用いられるEAPOLフレームのフォーマット構成例を示す概略図である。図2Aに示されるEAPOLフレーム20は、EAPOLプロトコルに基づくMACフレームでもある。EAPOLフレーム20は、宛先MACアドレス30、送信元MACアドレス31およびEAPメッセージ32の各領域を含んでいる。EAPメッセージ32は、パケットタイプ33およびパケットボディ34の各領域を含んでいる。パケットボディ34は、EAPパケット21を含んでいる。EAPパケット21は、コード35、タイプ36およびデータ37の各領域を含んでいる。
【0029】
パケットタイプ33では、EAPパケット、EAP開始またはEAP終了等のように、パケットに担わせる機能が設定される。パケットタイプ33によってEAPパケットが設定された場合、EAPパケット21内のコード35によって、EAPリクエスト、EAPレスポンス、EAP成功またはEAP失敗のように、命令または通知の内容が設定される。さらに、タイプ36によって、“Identity”または“NAK”といった通知の内容や、EAP-TLSまたはPEAP等のように、認証方式の種別が設定される。データ37の領域には、コード35またはタイプ36の設定内容に応じた各データが格納される。なお、EAP成功は認証成功を表し、EAP失敗は認証失敗を表す。
【0030】
図2Bは、図1に示される認証システムにおいて、認証装置12と認証サーバ10との間の通信で用いられるRADIUSパケットのフォーマット構成例を示す概略図である。RADIUSパケット26は、図2Bに示されるように、UDP(User Datagram Protocol)パケット25内のUDPデータ42の領域に格納される。UDPパケット25は、UDPデータ42の領域に加えて、送信元ポート40および宛先ポート41の各領域を含んでいる。送信元ポート40および宛先ポート41の各領域には、RADIUSを表す規定値が格納される。
【0031】
RADIUSパケット26は、コード43、認証符号44およびアトリビュート45の各領域を含んでいる。コード43では、RADIUSアクセスリクエスト、RADIUSアクセス許可、RADIUSアクセス拒否、RADIUSアクセスチャレンジ等といったように、命令または通知の内容が設定される。認証符号44の領域は、データの偽造を防止するために用いられる。アトリビュート45は、任意の数であるn個のRADIUS属性情報46[1]~46[n]の領域を含んでいる。明細書では、n個のRADIUS属性情報46[1]~46[n]をRADIUS属性情報46と総称する。各RADIUS属性情報46は、タイプ(T)、長さ(L)および属性値(V)からなるTLV形式で表される。
【0032】
RADIUS属性情報46には、例えば、ユーザID、ユーザパスワード、NAS-IPアドレス、コーリングステーションID、コールドステーションID等を代表に、様々な認証情報が含まれ得る。NAS-IPアドレスは、認証装置12のIPアドレスに定められる。コーリングステーションIDは、前述したように、通信端末13のMACアドレスに定められる。コールドステーションIDは、認証装置12のMACアドレスや、加えて、通信端末13が用いるSSID(Service Set IDentifier)に定められる。
【0033】
また、RADIUS属性情報46には、図2Aに示したEAPメッセージ32の情報を含ませることが可能である。これにより、認証装置12は、通信端末13からのEAPOLフレーム20を受信し、それに含まれるEAPメッセージ32を、RADIUSパケット26に格納して認証サーバ10へ送信することができる。同様に、認証装置12は、認証サーバ10からのRADIUSパケット26を受信し、それに含まれるEAPメッセージ32を表すRADIUS属性情報46を、EAPOLフレーム20に格納して通信端末13へ送信することができる。
【0034】
図3は、図1に示される認証システムにおいて、非ランダムMACアドレスを有する通信端末13aを認証する場合の動作例を示すシーケンス図である。図3において、通信端末13aは、認証装置12aへ、EAP開始を通知する(ステップS201)。EAP開始を通知された認証装置12aは、通信端末13aへ、認証情報の一つであるユーザIDを要求するためのEAPリクエストを送信する(ステップS202)。これに応じて、通信端末13aは、認証装置12aへ、ユーザIDを含んだEAPレスポンスを送信する(ステップS203)。
【0035】
続いて、EAPレスポンスを受信した認証装置12aは、認証サーバ10へ、様々なRADIUS属性情報46を含んだRADIUSアクセスリクエストを送信する(ステップS204)。この際に、RADIUS属性情報46には、EAPレスポンス内のEAPメッセージ32に含まれる認証情報、例えばユーザID等に加えて、コーリングステーションID等も含まれる。詳細には、認証装置12aは、通信端末13aからのEAPOLフレーム20に含まれる通信端末13aのMACアドレス、例えば、送信元MACアドレス31を、コーリングステーションIDに定める。そして、認証装置12aは、認証サーバ10へ、コーリングステーションID等を含んだRADIUSアクセスリクエストを送信する。
【0036】
次いで、RADIUSアクセスリクエストを受信した認証サーバ10は、コーリングステーションIDの値に基づき、通信端末13aのMACアドレスが非ランダムMACアドレスであるかランダムMACアドレスであるかを判別する(ステップS205)。ここでの判別結果は、非ランダムMACアドレスである。このため、認証サーバ10は、認証方式としてPEAPを選定する(ステップS205)。
【0037】
続いて、認証サーバ10は、PEAPの使用を提案するためのRADIUSアクセスチャレンジを認証装置12aへ送信する(ステップS206)。RADIUSアクセスチャレンジを受信した認証装置12aは、PEAPの使用を提案するためのEAPリクエストを通信端末13aへ送信する(ステップS207)。これに応じて、通信端末13aは、PEAPの使用を受諾するためのEAPレスポンスを認証装置12aへ送信する(ステップS208)。
【0038】
次いで、EAPレスポンスを受信した認証装置12aは、PEAPの使用を受諾するためのRADIUSアクセスリクエストを認証サーバ10へ送信する(ステップS209)。これに応じて、認証サーバ10は、PEAP認証の開始を通知するためのRADIUSアクセスチャレンジを認証装置12aへ送信する(ステップS210)。そして、RADIUSアクセスチャレンジを受信した認証装置12aは、PEAP認証の開始を通知するためのEAPリクエストを通信端末13aへ送信する(ステップS211)。
【0039】
以降は、通信端末13aと認証装置12aと認証サーバ10との間で、PEAPで規定される認証シーケンスが実行される(ステップS212)。概略的には、サーバ証明書を用いたTLSネゴシエーションによって、通信端末13aと認証サーバ10との間に暗号化保護を行うためのTLSセッションが構築される。そして、認証サーバ10は、TLSセッションの中で、チャレンジレスポンス方式を用いて通信端末13aにおけるユーザIDおよびユーザパスワードの認証可否を判定する。
【0040】
その結果、認証サーバ10は、認証を許可する場合には、認証成功を表すRADIUSアクセス許可を認証装置12aへ通知し、認証を拒否する場合には、認証失敗を表すRADIUSアクセス拒否を認証装置12aへ通知する。認証装置12aは、RADIUSアクセス許可またはRADIUSアクセス拒否を、それぞれ、EAP成功およびEAP失敗に変換して通信端末13aへ通知する。
【0041】
図4Aおよび図4Bは、図1に示される認証システムにおいて、ランダムMACアドレスを有する通信端末13bを認証する場合の動作例を示すシーケンス図である。図4Aには、通信端末13bにクライアント証明書が組み込まれている場合の動作例が示され、図4Bには、通信端末13bにクライアント証明書が組み込まれていない場合の動作例が示される。
【0042】
図4Aにおいて、まず、図3の場合と同様に、ステップS201~S204の処理が行われる。すなわち、通信端末13bは認証装置12bへEAP開始を通知し、認証装置12bは通信端末13bへEAPリクエストを送信し、通信端末13bは認証装置12bへEAPレスポンスを送信する(ステップS201~S203)。そして、認証装置12bは、認証サーバ10へ、RADIUSアクセスリクエストを送信する(ステップS204)。
【0043】
続いて、RADIUSアクセスリクエストを受信した認証サーバ10は、図3の場合と同様に、コーリングステーションIDの値に基づき、通信端末13bのMACアドレスが非ランダムMACアドレスであるかランダムMACアドレスであるかを判別する(ステップS305)。ここでの判別結果は、図3の場合と異なりランダムMACアドレスである。このため、認証サーバ10は、認証方式としてEAP-TLSを選定する(ステップS305)。
【0044】
その後は、ステップS306~S311において、図3で述べたステップS206~S211の処理と同様の処理が行われる。ただし、ステップS306,S307において、認証サーバ10によって提案される認証方式は、図3の場合とは異なり、EAP-TLSである。また、通信端末13bには、クライアント証明書が組み込まれている。このため、通信端末13bは、認証サーバ10からEAP-TLSの使用を提案されたのち、当該提案を受諾する(ステップS308,S309)。これに応じて、認証サーバ10は、通信端末13bへ、EAP-TLS認証の開始を通知する(ステップS310,S311)。
【0045】
以降は、通信端末13bと、認証装置12bと、認証サーバ10との間で、EAP-TLSで規定される認証シーケンスが実行される(ステップS312)。概略的には、TLSネゴシエーションによって、認証サーバ10からのサーバ証明書の正当性が通信端末13bによって検証され、通信端末13bからのクライアント証明書の正当性が認証サーバ10によって検証される。
【0046】
認証サーバ10は、これらの証明書が正当であった場合には、認証成功を表すRADIUSアクセス許可を認証装置12bへ通知し、いずれかの証明書が不当であった場合には、認証失敗を表すRADIUSアクセス拒否を認証装置12bへ通知する。認証装置12bは、RADIUSアクセス許可またはRADIUSアクセス拒否を、それぞれ、EAP成功およびEAP失敗に変換して通信端末13bへ通知する。
【0047】
図4Bでも、図4Aの場合と同様に、ステップS201~S204、S305~S307の処理が順に行われる。ただし、図4Aの場合と異なり、通信端末13bには、クライアント証明書が組み込まれていない。このため、通信端末13bは、認証サーバ10からEAP-TLSの使用を提案されたのち(ステップS306,S307)、当該提案を拒否する(ステップS408)。
【0048】
詳細には、通信端末13bは、例えば、EAP-TLSの使用を拒否し、かつPEAPの使用を提案するためのEAPレスポンスを認証装置12bへ送信する(ステップS408)。認証装置12bは、当該EAPレスポンスをRADIUSアクセスリクエストに変換して認証サーバ10へ送信する(ステップS409)。ここで、認証サーバ10は、通信端末13bのMACアドレスがランダムMACアドレスであると判別した場合には、EAP-TLSの使用のみを許可し、他の認証方式の使用を禁止する。このため、認証サーバ10は、EAP-TLSの使用を提案したのち、当該提案が通信端末13bによって拒否された場合、他の認証方式、ここではPEAPに変更せずに、認証失敗と判定する。
【0049】
その結果、認証サーバ10は、認証装置12bへ、認証失敗を表すRADIUSアクセス拒否を通知する(ステップS410)。認証装置12bは、RADIUSアクセス拒否をEAP失敗に変換して通信端末13bへ通知する(ステップS411)。その後、認証装置12bは、通信端末13bからの所定のネットワークへのアクセスを遮断する。これにより、ランダムMACアドレスを有する通信端末13bに対して、セキュリティを強化することが可能になる。
【0050】
<変形例について>
図3、図4Aおよび図4Bでは、RADIUS属性情報46の一つであるコーリングステーションID、すなわち通信端末13のMACアドレスに基づいて、提案する認証方式を選定する例を示した。ただし、認証方式を選定するために用いるRADIUS属性情報46は、コーリングステーションIDに限らず、例えば、NAS-IPアドレスや、コールドステーションID等であってもよい。
図3、図4Aおよび図4Bでは、RADIUS属性情報46の一つであるコーリングステーションID、すなわち通信端末13のMACアドレスに基づいて、提案する認証方式を選定する例を示した。ただし、認証方式を選定するために用いるRADIUS属性情報46は、コーリングステーションIDに限らず、例えば、NAS-IPアドレスや、コールドステーションID等であってもよい。
【0051】
これらのRADIUS属性情報46には、認証装置12のIPアドレスおよびMACアドレスや、通信端末13bが使用するSSIDが含まれる。これにより、例えば、複数の認証装置12が設けられる場合に、認証装置12毎に、ひいては、認証装置12毎の単数または複数の通信端末13を単位として認証方式を変えることや、SSID毎に認証方式を変えることが可能になる。
【0052】
また、認証装置12aからのRADIUS属性情報46には、例えば、通信端末13aが接続される物理ポートの識別子等が含まれ得る。この場合、物理ポート毎に、ひいては、物理ポート毎の通信端末13aを単位として認証方式を変えることが可能になる。
【0053】
<認証サーバの詳細>
図5は、図1における認証サーバ10の主要部の構成例を示す機能ブロック図である。図5に示される認証サーバ10は、属性情報判別部50と、認証方式選定部51と、認証方式提案部52と、認証シーケンス実行部53とを備える。これらの各部は、例えば、プロセッサがメモリに格納されたプログラムを実行することで実現される。ただし、これらの各部は、プロセッサによるプログラム処理に限らず、FPGA(Field Programmable Gate Array)、ASIC(Application Specific Integrated Circuit)等によるハードウェア処理で実現されてもよく、プログラム処理とハードウェア処理との組み合わせで実現されてもよい。
図5は、図1における認証サーバ10の主要部の構成例を示す機能ブロック図である。図5に示される認証サーバ10は、属性情報判別部50と、認証方式選定部51と、認証方式提案部52と、認証シーケンス実行部53とを備える。これらの各部は、例えば、プロセッサがメモリに格納されたプログラムを実行することで実現される。ただし、これらの各部は、プロセッサによるプログラム処理に限らず、FPGA(Field Programmable Gate Array)、ASIC(Application Specific Integrated Circuit)等によるハードウェア処理で実現されてもよく、プログラム処理とハードウェア処理との組み合わせで実現されてもよい。
【0054】
属性情報判別部50は、オーセティケータとして動作する認証装置12からのRADIUSパケット26に含まれる、RADIUS属性情報46の内容を判別する。認証方式選定部51は、属性情報判別部50での判別結果に基づいて複数の認証方式の中から1個の認証方式を選定する。すなわち、属性情報判別部50および認証方式選定部51は、例えば、図3に示したステップS205、図4Aおよび図4Bに示したステップS305の処理を実行する。
【0055】
認証方式提案部52は、認証方式選定部51で選定した認証方式の使用を、サプリカントとして動作する通信端末13に提案する。また、認証方式提案部52は、選定した認証方式の使用を通信端末13に提案したのち、当該提案が通信端末13によって拒否された場合、通信端末13へ認証失敗を通知する。ただし、この際に、認証方式提案部52は、認証失敗を通知する前に、属性情報判別部50での判別結果に応じて、他の認証方式へ変更するか否かを定めてもよい。
【0056】
例えば、図3に示したように、属性情報判別部50での判別結果が非ランダムMACアドレスである場合で、ステップS208にて、仮に、PEAPの使用が拒否された際には、認証方式提案部52は、通信端末13aとのネゴシエーションを介して、PEAPを他の認証方式に変更してもよい。一方、図4Bに示したように、属性情報判別部50での判別結果がランダムMACアドレスである場合で、EAP-TLSの使用が拒否された際には、認証方式提案部52は、他の認証方式への変更を行わず、通信端末13bへ認証失敗を通知する。
【0057】
なお、認証方式提案部52は、認証方式の使用の提案が通信端末13によって受諾された場合には、認証方式を確定し、確定した認証方式を用いた認証の開始を通信端末13に通知する。すなわち、認証方式提案部52は、例えば、図3に示したステップS206,S210、図4Aに示したステップS306,S310、図4Bに示したステップS306,S410の処理を実行する。
【0058】
認証シーケンス実行部53は、認証方式提案部52からの確定した認証方式の情報を受けて、当該認証方式に基づく認証シーケンスを実行する。すなわち、認証シーケンス実行部53は、例えば、図3に示したステップS212、図4Aに示したステップS312の処理を実行する。
【0059】
<実施の形態の主要な効果>
以上、実施の形態の方式では、認証サーバ10がRADIUS属性情報46に基づいて複数の認証方式の中から1個の認証方式を選定する。これにより、認証強度を柔軟に設定可能な認証サーバおよび認証システムを実現できる。特に、RADIUS属性情報46に基づいて、通信端末13がランダムMACアドレスを有するか否かを判別し、ランダムMACアドレスを有する場合に限って高い認証強度を有する認証方式を選定することで、運用コスト等の増大を抑制しつつ、セキュリティを強化することが可能になる。
以上、実施の形態の方式では、認証サーバ10がRADIUS属性情報46に基づいて複数の認証方式の中から1個の認証方式を選定する。これにより、認証強度を柔軟に設定可能な認証サーバおよび認証システムを実現できる。特に、RADIUS属性情報46に基づいて、通信端末13がランダムMACアドレスを有するか否かを判別し、ランダムMACアドレスを有する場合に限って高い認証強度を有する認証方式を選定することで、運用コスト等の増大を抑制しつつ、セキュリティを強化することが可能になる。
【0060】
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。例えば、前述した実施の形態は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
【0061】
例えば、前述したプログラムは、非一時的な有形のコンピュータ可読記録媒体に格納された上で、コンピュータに供給され得る。このような記録媒体として、例えば、ハードディスクドライブ等を代表とする磁気記録媒体、DVD(Digital Versatile Disc)やブルーレイディスク等を代表とする光記録媒体、フラッシュメモリ等を代表とする半導体メモリ等が挙げられる。
【符号の説明】
【0062】
10:認証サーバ、12:認証装置、13:通信端末、20:EAPOLフレーム、26:RADIUSパケット、46:RADIUS属性情報、50:属性情報判別部、51:認証方式選定部、52:認証方式提案部
【図1】
【図2A】
【図2B】
【図3】
【図4A】
【図4B】
【図5】