JP2019179519A - Network system and authentication method therefor - Google Patents
Network system and authentication method therefor Download PDFInfo
- Publication number
- JP2019179519A JP2019179519A JP2018070135A JP2018070135A JP2019179519A JP 2019179519 A JP2019179519 A JP 2019179519A JP 2018070135 A JP2018070135 A JP 2018070135A JP 2018070135 A JP2018070135 A JP 2018070135A JP 2019179519 A JP2019179519 A JP 2019179519A
- Authority
- JP
- Japan
- Prior art keywords
- information
- communication device
- client
- server
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ネットワークシステムおよびネットワークシステムの認証方法に関するものである。 The present invention relates to a network system and a network system authentication method.
特許文献1には、利用者識別子IDとパスワードPWとをクライアントから送信し、サーバは該当するIDとPWとが存在することを確認することで利用者認証を行うネットワークアプリケーションシステムにおいて、クライアントはIDとPWとを公開鍵方式のサーバの公開鍵Kpで暗号化してサーバへ送信し、サーバは自分の秘密鍵Ksでそれを復号化することによりIDとPWとを取り出す。また、認証の初めにサーバが乱数Rをクライアントに送信し、クライアントがIDとPWと受信した乱数Rとをふくめて公開鍵Kpで暗号化してサーバへ送信し、サーバは、復号化した乱数R’が先に送信した乱数Rと同じであることを確認する技術が開示されている。
また、特許文献2には、予め利用者が為替レートや天気などの動的パスワードの要素となる動的要因IDの組合せを登録しておき、受信した利用者IDから動的要因IDを取り出しその変動情報を、ネットワークを利用して取得し、動的パスワードを生成する。生成した動的パスワードと受信したパスワードとを比較して、一致したとき本人であることを認証する技術が開示されている。
Also, in
また、特許文献3には、第1のパスワード文字列がユーザから受け取られ、第1のパスワード文字列の対応する基準文字位置を有する1つまたは複数の文字列生成規則が受け取られ、第1のパスワード文字列、文字列生成規則、および第1のパスワード文字列の対応する基準文字位置が、ユーザのログイン資格証明に関連付けられ、認証のため、ユーザに関連付けられた第1のパスワード文字列が受け取られ、第2のパスワード文字列が、すべてユーザに関連付けられた、部分的パスワード文字列、および1つまたは複数の文字列生成規則、ならびにその部分的パスワード文字列の対応する基準文字位置に基づいて生成され、第1のパスワード文字列が第2のパスワード文字列と比較され、それらの文字列が合致した場合、ユーザは、認証される技術が開示されている。
Further, in
ところで、ネットワーク上の機器を特定の相手にのみ接続を許可するには、各機器でパスワードや証明書データを保持する認証機構が用いられる。しかしながら、ネットワーク上の機器の数が増えるにつれ、認証のための共有データの管理コストが増え、適切な保守が困難になる。この結果、多くの機器のパスワードが同一であったり、導入から一度もパスワードが変更されないままであったりと、パスワード漏洩による不正利用というセキュリティリスクが高い状態での運用を招きやすくなる問題がある。 By the way, in order to permit a device on the network to be connected only to a specific partner, an authentication mechanism that holds a password and certificate data in each device is used. However, as the number of devices on the network increases, the management cost of shared data for authentication increases and appropriate maintenance becomes difficult. As a result, there are problems that the passwords of many devices are the same, or that the passwords have not been changed even after the introduction, and that operations with a high security risk of unauthorized use due to password leakage are likely to be invited.
また、認証情報管理の煩雑さを避けるために、機器ごとにパスワードを保持しない動的パスワードを用いる認証方法がある。しかしながら、パスワードが動的であってもパスワード生成アルゴリズムが固定されていると、認証に脆弱性が判明した場合の対応が難しいという問題がある。 In addition, there is an authentication method using a dynamic password that does not hold a password for each device in order to avoid the complexity of authentication information management. However, even if the password is dynamic, if the password generation algorithm is fixed, there is a problem that it is difficult to cope with a case where vulnerability is found in authentication.
また、セッションごとにサーバからパラメータを受け取って符号化パラメータの中で用いる方法では、TELNETやFTP等の既存プロトコル向けのクライアントで利用できないという問題点がある。 Further, the method of receiving parameters from the server for each session and using them in the encoding parameters has a problem that it cannot be used by clients for existing protocols such as TELNET and FTP.
本発明は、以上のような状況に鑑みてなされたものであり、既存のプロトコルとの信和性が高く、セキュリティリスクの低いネットワークシステムおよびネットワークシステムの認証方法を提供することを目的としている。 The present invention has been made in view of the above situation, and an object of the present invention is to provide a network system and a network system authentication method that have high reliability with existing protocols and low security risk.
上記課題を解決するために、本発明は、第1通信装置と第2通信装置を少なくとも有するネットワークシステムにおいて、前記第1通信装置は、第1情報を取得する第1取得手段と、前記第1情報を前記第2通信装置に対して送信する第1送信手段と、前記第1情報とは異なる第2情報を取得する第2取得手段と、前記第1情報と前記第2情報とに対して不可逆な演算処理を施すことで、第3情報を生成する第1生成手段と、前記第3情報を前記第2通信装置に対して送信する第2送信手段と、を有し、前記第2通信装置は、前記第1送信手段によって送信される前記第1情報を受信する第1受信手段と、前記第2情報を取得する第3取得手段と、前記第1情報と前記第2情報とに対して、前記第1生成手段と同一の不可逆な演算処理を施すことで、第4情報を生成する第2生成手段と、前記第3情報と前記第4情報とが一致するか否かを判定することで認証処理を実行する認証手段と、を有する、ことを特徴とする。
このような構成によれば、既存のプロトコルとの信和性が高く、セキュリティリスクの低いネットワークシステムを実現できる。
In order to solve the above-described problem, the present invention provides a network system having at least a first communication device and a second communication device, wherein the first communication device acquires first information, and first First transmission means for transmitting information to the second communication device, second acquisition means for acquiring second information different from the first information, and the first information and the second information A first generation unit configured to generate third information by performing an irreversible calculation process; and a second transmission unit configured to transmit the third information to the second communication device. The apparatus includes: a first receiving unit that receives the first information transmitted by the first transmitting unit; a third acquiring unit that acquires the second information; and the first information and the second information. The same irreversible arithmetic processing as that of the first generation means is performed. And a second generation means for generating fourth information, and an authentication means for executing an authentication process by determining whether or not the third information and the fourth information match. Features.
According to such a configuration, it is possible to realize a network system having high reliability with existing protocols and low security risk.
また、本発明は、前記第1情報は、ログインIDであり、前記第2情報は、ネットワーク情報である、ことを特徴とする。
このような構成によれば、ログインIDに加えてネットワーク情報を用いることで、セキュリティリスクを低減することができる。
In addition, the present invention is characterized in that the first information is a login ID, and the second information is network information.
According to such a configuration, security risk can be reduced by using network information in addition to the login ID.
また、本発明は、前記第1情報は、ログインIDであり、前記第2情報は、日時情報を少なくとも有する、ことを特徴とする。
このような構成によれば、認証の度に異なる日時情報を用いることで、セキュリティリスクを一層低減することができる。
In the invention, it is preferable that the first information is a login ID, and the second information includes at least date information.
According to such a configuration, the security risk can be further reduced by using different date and time information for each authentication.
また、本発明は、前記第1通信装置に係る各手段はプラグインプログラムによって実現され、前記第2通信装置に係る各手段もプラグインプログラムによって実現される、ことを特徴とする。
このような構成によれば、プラグインプログラムとして実装することで、既存のシステムとの信和性を高めるとともに、プラグインプログラムを変更することで、認証に用いる情報を簡易に変更することができる。
Further, the present invention is characterized in that each means related to the first communication device is realized by a plug-in program, and each means related to the second communication device is also realized by a plug-in program.
According to such a configuration, the information used for authentication can be easily changed by implementing the plug-in program to enhance the credibility with the existing system and changing the plug-in program.
また、本発明は、前記不可逆な演算処理は、ハッシュ関数による処理であることを特徴とする。
このような構成によれば、不可逆な演算処理を簡易に実現することができる。
Further, the present invention is characterized in that the irreversible arithmetic processing is processing by a hash function.
According to such a configuration, irreversible arithmetic processing can be easily realized.
また、本発明は、第1通信装置と第2通信装置を少なくとも有するネットワークシステムの認証方法において、前記第1通信装置は、第1情報を取得する第1取得ステップと、前記第1情報を前記第2通信装置に対して送信する第1送信ステップと、前記第1情報とは異なる第2情報を取得する第2取得ステップと、前記第1情報と前記第2情報とに対して不可逆な演算処理を施すことで、第3情報を生成する第1生成ステップと、前記第3情報を前記第2通信装置に対して送信する第2送信ステップと、を有し、前記第2通信装置は、前記第1送信ステップによって送信される前記第1情報を受信する第1受信ステップと、前記第2情報を取得する第3取得ステップと、前記第1情報と前記第2情報とに対して、前記第1生成ステップと同一の不可逆な演算処理を施すことで、第4情報を生成する第2生成ステップと、前記第3情報と前記第4情報とが一致するか否かを判定することで認証処理を実行する認証ステップと、を有する、ことを特徴とする。
このような方法によれば、既存のプロトコルとの信和性が高く、セキュリティリスクの低いネットワークシステムの認証方法を実現できる。
Further, the present invention provides a network system authentication method including at least a first communication device and a second communication device, wherein the first communication device acquires a first information, a first acquisition step, A first transmission step for transmitting to the second communication device, a second acquisition step for acquiring second information different from the first information, and an irreversible operation for the first information and the second information By performing processing, the first generation step of generating third information, and the second transmission step of transmitting the third information to the second communication device, the second communication device, For the first receiving step for receiving the first information transmitted by the first transmitting step, the third acquiring step for acquiring the second information, the first information and the second information, Same as the first generation step The second generation step of generating the fourth information by performing the irreversible arithmetic processing, and the authentication step of executing the authentication processing by determining whether or not the third information and the fourth information match And having.
According to such a method, it is possible to realize an authentication method for a network system that has high reliability with existing protocols and low security risk.
本発明によれば、既存のプロトコルとの信和性が高く、セキュリティリスクの低いネットワークシステムおよびネットワークシステムの認証方法を提供することが可能となる。 ADVANTAGE OF THE INVENTION According to this invention, it becomes possible to provide the authentication method of a network system and a network system with high reliability with the existing protocol and a low security risk.
つぎに、本発明の実施形態について説明する。 Next, an embodiment of the present invention will be described.
(A)本発明の第1実施形態の構成の説明
図1は、本発明の第1実施形態に係るネットワークシステムの構成例を示す図である。図1に示す例では、ネットワークシステム1は、クライアント10、インターネット20、および、サーバ30を有している。
(A) Description of Configuration of First Embodiment of the Present Invention FIG. 1 is a diagram illustrating a configuration example of a network system according to the first embodiment of the present invention. In the example illustrated in FIG. 1, the
ここで、クライアント10は、例えば、管理者によって操作され、インターネット20を介してサーバ30にアクセスし、サーバ30との間で情報の授受を行うコンピュータである。なお、クライアント10は、例えば、多数存在する(例えば、数百のオーダで存在する)サーバ30を管理するための機器として機能する。
Here, the
インターネット20は、例えば、複数のコンピュータネットワーク同士を相互接続したグローバルな情報通信網である。 The Internet 20 is, for example, a global information communication network in which a plurality of computer networks are interconnected.
サーバ30は、クライアント10からの要求に対して所定のサービスを提供する機能を有するコンピュータである。なお、サーバ30は、例えば、多数存在し(例えば、数百のオーダで存在し)、ネットワークの中継機器としての機能を有している。クライアント10は、複数のサーバ30に対してアクセスし、これらのサーバ30に格納されている情報を読み出したり、サーバ30の設定情報を変更したりすることが可能とされている。
The
図2は、図1に示すクライアント10構成例を示す図である。図2の例では、クライアント10は、CPU(Central Processing Unit)11、ROM(Read Only Memory)12、RAM(Random Access Memory)13、不揮発性記憶部14、通信部15、I/F(Interface)16、バス17、入力デバイス18、および、出力デバイス19を有している。
FIG. 2 is a diagram illustrating a configuration example of the
ここで、CPU11は、ROM12および不揮発性記憶部14に格納されているプログラムに基づいて装置の各部を制御する。
Here, the
ROM12は、CPU11が実行する基本的なプログラムおよびデータを格納する不揮発性の半導体記憶装置である。
The ROM 12 is a non-volatile semiconductor storage device that stores basic programs and data executed by the
RAM13は、CPU11が実行中のプログラムや、計算中のデータを一時的に格納する揮発性の半導体記憶装置である。
The RAM 13 is a volatile semiconductor memory device that temporarily stores programs being executed by the
不揮発性記憶部14は、CPU11が実行するプログラムを格納する記憶装置である。なお、不揮発性記憶部14(またはRAM13)には、サーバ30との間で認証処理を実行するためのプログラム等が格納されている。
The
通信部15は、インターネット20を介してサーバ30と通信を行う場合の制御を行う。
The
I/F16は、入力デバイス18から出力される情報を入力するとともに、出力デバイス19に対して情報を出力する。
The I /
バス17は、CPU11、ROM12、RAM13、不揮発性記憶部14、通信部15、および、I/F16を相互に接続し、これらの間で情報の授受を可能とするための接続線群である。
The
入力デバイス18は、例えば、キーボードまたはポインティングデバイス等によって構成され、管理者の操作に応じた情報を生成して出力する。
The
出力デバイス19は、例えば、LCD(Liquid Crystal Display)等によって構成され、テキスト情報および画像情報を表示する。
The
図3は、図1に示すサーバ30の構成例を示す図である。図3に示すように、サーバ30は、CPU31、ROM32、RAM33、不揮発性記憶部34、通信部35、I/F36、および、バス37を有している。
FIG. 3 is a diagram illustrating a configuration example of the
ここで、CPU31は、ROM32および不揮発性記憶部34に格納されているプログラムに基づいて装置の各部を制御する。
Here, the CPU 31 controls each unit of the apparatus based on programs stored in the
ROM32は、CPU31が実行する基本的なプログラムおよびデータを格納する不揮発性の半導体記憶装置である。
The
RAM33は、CPU31が実行中のプログラムや、計算中のデータを一時的に格納する揮発性の半導体記憶装置である。 The RAM 33 is a volatile semiconductor memory device that temporarily stores programs being executed by the CPU 31 and data being calculated.
不揮発性記憶部34は、CPU31が実行するプログラムを格納する記憶装置である。通信部35は、インターネット20を介してクライアント10との間で通信を行う場合の制御を行う。
The
I/F36は、例えば、必要に応じて入力デバイス等が接続され、これらとの間で情報を授受する際に情報の表現形式を適宜変更する。
For example, the I /
バス37は、CPU31、ROM32、RAM33、不揮発性記憶部34、通信部35、および、I/F36を相互に接続し、これらの間で情報の授受を可能とするための接続線群である。
The
(B)本発明の第1実施形態の動作の説明
つぎに、本発明の第1実施形態の動作について説明する。以下では、従来技術の動作について説明した後、本発明の第1実施形態の動作について説明する。
(B) Description of Operation of First Embodiment of the Invention Next, operation of the first embodiment of the present invention will be described. In the following, after explaining the operation of the prior art, the operation of the first embodiment of the present invention will be explained.
図4は、従来技術の動作を説明するための図である。クライアント10がサーバ30に対してアクセスし、認証処理を行う場合、まず、クライアント10は、サーバ30に対して接続要求(connect)を行う(P1)。
FIG. 4 is a diagram for explaining the operation of the prior art. When the
この結果、サーバ30は、クライアント10に対して、ログイン用のID(Identification)の入力を要求する(P2)。この結果、クライアント10では、管理者が、入力デバイス18を操作して、ログイン用のIDを入力し、通信部15を介して送信する。この例では、ログイン用のIDとして“guest”が入力されて送信されている(P3)。
As a result, the
ログイン用のIDを受信したサーバ30は、クライアント10に対して、パスワードを要求する(P4)。この結果、クライアント10では、管理者が入力デバイス18を操作してパスワードを入力し、送信する。この例では、パスワードとして、“passwords”が入力されて送信されている(P5)。
Receiving the login ID, the
パスワードを受信したサーバ30では、アクセスしてきた管理者の正当性を確認するための認証処理を実行する。より詳細には、サーバ30は、クライアント10から受信したIDに対応するIDを不揮発性記憶部34から検索する。そして、該当するIDが見つかった場合には、当該IDに対応付けされて格納されているパスワードを取得する。そして、取得したパスワードと、クライアント10から受信したパスワードとを照合し、これらが一致する場合には、管理者の正当性が認証されたと判定し、クライアント10のアクセスを受け付ける(accept)(P6)。この結果、クライアント10とサーバ30との間で、例えば、情報の授受等が可能になる。
The
ところで、以上のような従来の認証方法では、クライアント10からサーバ30に対してIDとパスワードが送信されるので、例えば、悪意の第三者に、これらの情報を不正に取得される場合がある。また、クライアント10の管理者は、サーバ30毎にIDとパスワードを記憶する必要があることからこれらの情報の管理が煩雑である。また、サーバ30では、IDとパスワードを記憶する必要があることから、例えば、悪意の第三者によるハッキング等が行われた場合には、IDとパスワードが不正に取得される場合がある。
By the way, in the conventional authentication method as described above, since the ID and password are transmitted from the
そこで、本発明の第1実施形態では、パスワードを送信することなく、また、サーバ30がパスワードを記憶することなく認証処理を実行するようにしている。以下では、第1実施形態の動作について、図5を参照して説明する。
Therefore, in the first embodiment of the present invention, the authentication process is executed without transmitting the password and without the
なお、図5に示す認証処理は、例えば、プラグインプログラムとして実装される。このようなプラグインプログラムは、例えば、クライアント10からサーバ30に対して配布され、クライアント10とサーバ30が同じプラグインプログラムを実装して実行することで、図5に示す認証処理を実現することができる。プラグインプログラムには、後述する認証のプロセスが記述されるとともに、パスワードを生成するための手続きと、パスワードを生成する元となる情報についても記述されているので、プラグインプログラムを変更することで、認証プロセスと、パスワードを生成する元となる情報を変更することができる。以下では、クライアント10とサーバ30には、既にプラグインプログラムが実装されていることを前提として動作を説明する。
Note that the authentication process shown in FIG. 5 is implemented as a plug-in program, for example. Such a plug-in program is distributed from the
図5において、クライアント10からサーバ30に対して接続要求[connect]がされると(P1)、サーバ30は、クライアント10に対してログインIDを入力するように要求する(P2)。
In FIG. 5, when a connection request [connect] is made from the
クライアント10では、ログインIDを入力するためのテキストボックス等を出力デバイス19としてのLCDに表示し、入力デバイス18としてのキーボードから入力を受ける。例えば、ログインIDとして、“guest”が入力された場合には、“guest”がクライアント10からサーバ30に対して送信される(P3)。
The
なお、ログインIDとしては、管理者に対して割り当てられたユニークな情報を用いるようにしたり、あるいは、管理者のサーバ30に対するアクセス権限(例えば、情報のダウンロードのみの権限、設定を変更可能な権限等)を示す情報を用いたり、クライアント10の端末単位で割り当てられるユニークな情報を用いるようにしてもよい。もちろん、これ以外の情報を用いるようにしてもよい。
As the login ID, unique information assigned to the administrator is used, or the administrator has access authority to the server 30 (for example, authority to only download information, authority to change settings). Etc.) or unique information assigned to each terminal of the
ログインIDを受信すると、サーバ30は、パスワードを送信するようにクライアント10に要求する(P4)。
When receiving the login ID, the
クライアント10では、パスワードを計算によって算出する。第1実施形態では、クライアント10は、プラグインプログラムに記述された内容に基づいて、以下の式(1)に基づいて、ログインID(いまの例では“guest”)、クライアント10のその時点におけるIPアドレス(以下、「クライアントIP」と称する)、サーバ30のその時点におけるIPアドレス(以下、「サーバIP」と称する)を、所定のハッシュ関数によって処理することで、パスワードを算出する。なお、式(1)において、H()は、括弧内の情報に対してハッシュ処理を施してハッシュ値を返すハッシュ関数を示す。
The
pass=H(ログインID, クライアントIP, サーバIP)・・・(1) pass = H (login ID, client IP, server IP) (1)
以上の処理により、クライアント10は、パスワードとして、例えば、“a0b1c2d3e4f5a6b7c8d9”を得る。このようなパスワードは、クライアント10からサーバ30に送信される(P5)。
Through the above processing, the
サーバ30では、クライアント10と同様に、パスワードを計算によって算出する。第1実施形態では、サーバ30は、クライアント10と共有されるプラグインプログラムに記述された内容に基づいて、前述した式(1)に基づいて、ログインID(いまの例では“guest”)、クライアント10のその時点におけるクライアントIP、サーバ30のその時点におけるサーバIPを、所定のハッシュ関数によって処理することで、パスワードを算出する。その結果、パスワードとして、例えば、“a0b1c2d3e4f5a6b7c8d9”を得る。
In the
サーバ30は、自身の計算によって得たパスワードと、クライアント10から受信したパスワードとを比較し、これらが一致するか否かを判定し、一致する場合には認証に成功したと判定する。いまの例では、自身の計算によって得たパスワードと、クライアント10から受信したパスワードは、ともに“a0b1c2d3e4f5a6b7c8d9”で一致するので、認証に成功したと判定し、クライアント10からのアクセスを許可(accept)する(P6)。
The
認証に成功した場合には、ログインIDに付与されたアクセス権限(例えば、ログインIDを有する管理者のアクセス権限)に応じて、クライアント10は、サーバ30に格納されている情報をダウンロードしたり、サーバ30の設定を変更したりすることができる。
When the authentication is successful, the
以上に説明したように、本発明の第1実施形態では、クライアント10からサーバ30に対して、固定のパスワードを送信しないので、悪意ある第三者にパスワードが漏洩することを防止できる。
As described above, in the first embodiment of the present invention, since a fixed password is not transmitted from the
また、本発明の第1実施形態では、サーバ30がパスワードを記憶していないので、パスワードが悪意ある第三者に漏洩することを防止できる。
In the first embodiment of the present invention, since the
また、本発明の第1実施形態では、IPアドレスからパスワードを算出するようにしたので、接続のタイミングによって変化する可能性があるIPアドレスを使用することで、パスワードが非固定となることから、第三者のなりすましによるアクセスを防止することができる。 In the first embodiment of the present invention, since the password is calculated from the IP address, the password becomes unfixed by using the IP address that may change depending on the connection timing. Access by impersonation of a third party can be prevented.
また、本発明の第1実施形態では、従来のログイン方法と同様の手続きを経るようにしているので、例えば、RFC854で規定されるTELNET(Teletype Network)を流用することができることから、開発コストを低減することができる。 In the first embodiment of the present invention, the same procedure as that of the conventional login method is performed. Therefore, for example, a TELNET (Teletype Network) defined by RFC854 can be used, which reduces the development cost. Can be reduced.
また、本発明の第1実施形態では、図5に示す認証処理を実行するプログラムを、プラグインプログラムとして共有して実装するようにしたので、プラグインプログラムを変更することで、認証プロセスと、パスワードを生成する元となる情報を簡単に変更することができる。これにより、セキュリティリスクを低減することができる。また、サーバ30が多数存在する場合には、プラグインプログラムを変更することで、全てのサーバ30の認証処理を一括して変更することができる。
In the first embodiment of the present invention, since the program for executing the authentication process shown in FIG. 5 is shared and implemented as a plug-in program, by changing the plug-in program, The information from which the password is generated can be easily changed. Thereby, a security risk can be reduced. When there are a large number of
つぎに、図6を参照して、図1に示すクライアント10で実行される処理の一例について説明する。図6に示すフローチャートの処理が開始されると、以下のステップが実行される。
Next, an example of processing executed by the
ステップS10では、CPU11は、通信部15を介してサーバ30にアクセス(接続要求)する。
In step S <b> 10, the
ステップS11では、CPU11は、自身のIPアドレスを取得し、これをクライアントIPとする。
In step S11, the
ステップS12では、CPU11は、サーバ30のIPアドレスを取得し、これをサーバIPとする。
In step S12, the
ステップS13では、CPU11は、サーバ30からのログインIDの要求を待つ。
In step S <b> 13, the
ステップS14では、CPU11は、出力デバイス19としてのLCDに対して、例えば、テキストボックスを表示させ、入力デバイス18としてのキーボードからログインIDの入力を受ける。
In step S <b> 14, the
ステップS15では、CPU11は、通信部15を介して、ステップS14で入力されたログインIDをサーバ30に対して送信する。
In step S <b> 15, the
ステップS16では、CPU11は、ログインID、サーバIP、および、クライアントIPに対して、前述した式(1)に示すハッシュ関数を適用し、得られるハッシュ値をパスワードとする。
In step S <b> 16, the
ステップS17では、CPU11は、サーバ30からのパスワードの要求を待つ。
In step S <b> 17, the
ステップS18では、CPU11は、ハッシュ関数によって算出したパスワードを、サーバ30に対して送信する。この結果、サーバ30では、認証処理が実行される。
In step S <b> 18, the
ステップS19では、CPU11は、認証が成功したか否かを判定し、認証が成功したと判定した場合(ステップS19:Y)にはステップS20に進み、それ以外の場合(ステップS19:N)には処理を終了する。
In step S19, the
ステップS20では、CPU11は、サーバ30との間で情報を送受信する処理を実行する。例えば、ユーザIDに付与されたアクセス権限に基づいて、サーバ30との間で情報を授受したり、サーバ30の設定を変更したりすることができる。
In step S <b> 20, the
つぎに、図7を参照して、図1に示すサーバ30で実行される処理について説明する。図7に示すフローチャートの処理が開始されると、以下のステップが実行される。
Next, processing executed by the
ステップS30では、CPU31は、クライアント10からのアクセスがあったか否かを判定し、アクセスがあったと判定した場合(ステップS30:Y)にはステップS31に進み、それ以外の場合(ステップS30:N)には処理を終了する。
In step S30, the CPU 31 determines whether or not there is an access from the
ステップS31では、CPU31は、クライアント10のIPアドレスを取得し、これをクライアントIPとする。
In step S31, the CPU 31 acquires the IP address of the
ステップS32では、CPU31は、自身のIPアドレスを取得し、これをサーバIPとする。 In step S32, the CPU 31 acquires its own IP address and uses it as the server IP.
ステップS33では、CPU31は、クライアント10に対して、ログインIDを送信するように要求する。この結果、図7のステップS13からステップS14に進み、ログインIDが入力されて、送信される。
In step S33, the CPU 31 requests the
ステップS34では、CPU31は、クライアント10から送信されたログインIDを受信する。
In step S <b> 34, the CPU 31 receives the login ID transmitted from the
ステップS35では、CPU31は、ログインID、サーバIP、および、クライアントIPに対して、前述した式(1)に示すハッシュ関数を適用し、得られるハッシュ値をパスワードとする。 In step S35, the CPU 31 applies the hash function shown in the above-described formula (1) to the login ID, the server IP, and the client IP, and uses the obtained hash value as a password.
ステップS36では、CPU31は、クライアント10に対してパスワードを送信するように要求する。この結果、図6のステップS17からステップS18に進み、クライアント10からパスワードが送信される。
In step S36, the CPU 31 requests the
ステップS37では、CPU31は、クライアント10から送信されたパスワードを受信する。
In step S <b> 37, the CPU 31 receives the password transmitted from the
ステップS38では、CPU31は、ステップS35で計算したパスワードと、ステップS37でクライアント10から受信したパスワードが一致するか否かを判定し、一致すると判定した場合(ステップS37:Y)にはステップS39に進み、それ以外の場合(ステップS37:N)には処理を終了する。
In step S38, the CPU 31 determines whether or not the password calculated in step S35 matches the password received from the
ステップS39では、CPU31は、クライアント10との間で情報を送受信する処理を実行する。例えば、ユーザIDに付与されたアクセス権限に基づいて、クライアント10に対して情報を送信したり、設定の変更を許可したりすることができる。
In step S <b> 39, the CPU 31 executes a process for transmitting / receiving information to / from the
以上の処理によれば、図5を参照して説明した動作を実現することができる。 According to the above processing, the operation described with reference to FIG. 5 can be realized.
(C)本発明の第2実施形態の説明
つぎに、本発明の第2実施形態について説明する。第2実施形態の構成は、図1〜図3に示す第1実施形態と同様であるが、クライアント10およびサーバ30において実行される認証処理が異なっている。以下では、異なる部分を中心に動作の説明を行う。
(C) Description of Second Embodiment of the Present Invention Next, a second embodiment of the present invention will be described. The configuration of the second embodiment is the same as that of the first embodiment shown in FIGS. 1 to 3, but the authentication process executed in the
図8は、第2実施形態の動作を説明するための図である。第2実施形態では、第1実施形態と比較すると、パスワードを生成する元となる情報が異なっている。より詳細には、第2実施形態では、第1実施形態におけるログインID、クライアントIP、サーバIPに加えて、システム名および日時情報を用いることを特徴としている。なお、システム名は、例えば、クライアント10またはサーバ30のドメイン名等を用いることができる。もちろん、これ以外の情報を用いてもよい。また、日時情報としては、例えば、西暦、月、日、時間等の情報を用いることができる。
FIG. 8 is a diagram for explaining the operation of the second embodiment. The second embodiment differs from the first embodiment in information used to generate a password. More specifically, the second embodiment is characterized in that the system name and date / time information are used in addition to the login ID, client IP, and server IP in the first embodiment. For example, the domain name of the
すなわち、第2実施形態では、クライアント10は、プラグインプログラムに記述された内容に基づいて、以下の式(2)に基づいて、ログインID、クライアント10のその時点におけるクライアントIP、サーバ30のその時点におけるサーバIP、システム名(例えば、クライアント10またはサーバ30のドメイン名)、および、日時情報(例えば、“2018/3/10 10:40”)を、所定のハッシュ関数によって処理することで、パスワードを算出する。なお、式(2)において、H()は、式(1)と同様に、括弧内の情報をハッシュ処理してハッシュ値を返すハッシュ関数を示す。
That is, in the second embodiment, the
pass=H(ログインID, クライアントIP, サーバIP, システム名, 日時情報)・・・(2) pass = H (login ID, client IP, server IP, system name, date and time information) (2)
第2実施形態では、パスワードを生成する元となる情報として、システム名を加えるようにしたので、情報の数を増やすことでシステムの堅牢正を一層高めることができる。 In the second embodiment, since the system name is added as the information that is the source of the password, the robustness of the system can be further enhanced by increasing the number of information.
また、第2実施形態では、日時情報を用いるようにした。日時情報は、アクセスした時間によって常に異なることから、パスワードを動的に変化する動的パスワードとすることができることから、セキュリティリスクを一層低減することができる。 In the second embodiment, date information is used. Since the date and time information is always different depending on the access time, the password can be a dynamic password that dynamically changes, so that the security risk can be further reduced.
(C)変形実施形態の説明
以上の各実施形態は一例であって、本発明が上述したような場合のみに限定されるものでないことはいうまでもない。例えば、以上の各実施形態では、図1に示すように、1台のクライアント10と、1台のサーバ30とを例示しているが、複数のクライアント10と複数のサーバ30を有するようにしてもよい。特に、サーバ30が多数(例えば、数百台単位)存在するようにしてもよい。
(C) Description of Modified Embodiment Each of the above embodiments is an example, and it is needless to say that the present invention is not limited to the case described above. For example, in each of the above embodiments, as shown in FIG. 1, one
また、以上の各実施形態では、サーバ30は、アクセスしてきたクライアント10については、認証に成功すれば情報の送受信を許可するようにしたが、例えば、サーバ30がアクセスを許可するクライアント10を特定するためのホワイトリストと、アクセスを許可しないクライアント10を特定するためのブラックリストを不揮発性記憶部34に格納し、これらの情報とともに、認証結果とに基づいて、クライアント10のアクセスの可否を判断するようにしてもよい。
In each of the embodiments described above, the
また、以上の各実施形態に示した、ハッシュ関数によってパスワードを生成する元となる情報はあくまでも一例であって、例示した以外の情報を用いてパスワードを生成するようにしてもよい。 Moreover, the information used as the origin which produces | generates a password with a hash function shown in the above each embodiment is an example to the last, Comprising: You may make it produce | generate a password using information other than illustrated.
また、以上の各実施形態では、認証処理を実行するプラグインプログラムについては、例えば、既に実装されている前提で説明したが、プラグインプログラムを、例えば、クライアント10とサーバ30との間のセッション毎に変更するようにしてもよい。あるいは、所定の周期(例えば、1週間、1ヶ月等)で変更するようにしてもよい。また、管理者の指示によって、プラグインプログラムを変更するようにしてもよい。
In each of the above embodiments, the plug-in program for executing the authentication process has been described on the assumption that it has already been implemented. For example, the plug-in program can be a session between the
また、プラグインプログラムを変更する際には、例えば、図4に示す従来のログインIDとパスワードを用いた認証を行い、プラグインプログラムを変更する権限を有する管理者であることが認証された場合に、プラグインプログラムを変更するようにしてもよい。 Further, when changing the plug-in program, for example, authentication using the conventional login ID and password shown in FIG. 4 is performed, and it is authenticated that the administrator is authorized to change the plug-in program. In addition, the plug-in program may be changed.
また、アクセス権限に応じて、パスワードを生成する元となる情報を変更するようにしてもよい。例えば、低いアクセス権限の場合には、パスワードを生成する元となる情報の種類を少なくし、高いアクセス権限の場合には、パスワードを生成する元となる情報の種類を多くするようにしてもよい。また、前述したプラグインプログラムの変更の頻度についても、高いアクセス権限の場合には頻繁に変更するようにしてもよい。 In addition, the information on which the password is generated may be changed according to the access authority. For example, in the case of a low access authority, the types of information from which passwords are generated may be reduced, and in the case of a high access authority, the types of information from which passwords are generated may be increased. . Further, the frequency of changing the plug-in program described above may be changed frequently in the case of high access authority.
また、以上の第1実施形態では、パスワードを生成する元となる情報としては、ログインIDと、クライアント10とサーバ30のIPアドレスを用いるようにしたが、IPアドレス以外のネットワーク情報を用いるようにしてもよい。例えば、IPアドレスの代わりに、MAC(Media Access Control)を用いるようにしてもよい。もちろん、これ以外のネットワーク情報を用いるようにしてもよい。
In the first embodiment described above, the login ID and the IP addresses of the
また、図6および図7に示すフローチャートの処理は一例であって、本発明がこれらのフローチャートに限定されるものではない。 6 and 7 are examples, and the present invention is not limited to these flowcharts.
1 ネットワークシステム
10 クライアント
11 CPU
12 ROM
13 RAM
14 不揮発性記憶部
15 通信部
16 I/F
17 バス
18 入力デバイス
19 出力デバイス
20 インターネット
30 サーバ
31 CPU
32 ROM
33 RAM
34 不揮発性記憶部
35 通信部
36 I/F
37 バス
1
12 ROM
13 RAM
14
17
32 ROM
33 RAM
34
37 bus
Claims (6)
前記第1通信装置は、
第1情報を取得する第1取得手段と、
前記第1情報を前記第2通信装置に対して送信する第1送信手段と、
前記第1情報とは異なる第2情報を取得する第2取得手段と、
前記第1情報と前記第2情報とに対して不可逆な演算処理を施すことで、第3情報を生成する第1生成手段と、
前記第3情報を前記第2通信装置に対して送信する第2送信手段と、を有し、
前記第2通信装置は、
前記第1送信手段によって送信される前記第1情報を受信する第1受信手段と、
前記第2情報を取得する第3取得手段と、
前記第1情報と前記第2情報とに対して、前記第1生成手段と同一の不可逆な演算処理を施すことで、第4情報を生成する第2生成手段と、
前記第3情報と前記第4情報とが一致するか否かを判定することで認証処理を実行する認証手段と、を有する、
ことを特徴とするネットワークシステム。 In a network system having at least a first communication device and a second communication device,
The first communication device is
First acquisition means for acquiring first information;
First transmission means for transmitting the first information to the second communication device;
Second acquisition means for acquiring second information different from the first information;
First generation means for generating third information by performing irreversible arithmetic processing on the first information and the second information;
Second transmission means for transmitting the third information to the second communication device,
The second communication device is
First receiving means for receiving the first information transmitted by the first transmitting means;
Third acquisition means for acquiring the second information;
A second generation unit that generates fourth information by performing the same irreversible arithmetic processing as the first generation unit on the first information and the second information;
Authentication means for executing authentication processing by determining whether or not the third information and the fourth information match,
A network system characterized by this.
前記第2情報は、ネットワーク情報である、
ことを特徴とする請求項1に記載のネットワークシステム。 The first information is a login ID;
The second information is network information.
The network system according to claim 1.
前記第2情報は、日時情報を少なくとも有する、
ことを特徴とする請求項1に記載のネットワークシステム。 The first information is a login ID;
The second information includes at least date information.
The network system according to claim 1.
前記第2通信装置に係る各手段もプラグインプログラムによって実現される、
ことを特徴とする請求項1乃至3のいずれか1項に記載のネットワークシステム。 Each means according to the first communication device is realized by a plug-in program,
Each means related to the second communication device is also realized by a plug-in program.
The network system according to any one of claims 1 to 3, wherein:
前記第1通信装置は、
第1情報を取得する第1取得ステップと、
前記第1情報を前記第2通信装置に対して送信する第1送信ステップと、
前記第1情報とは異なる第2情報を取得する第2取得ステップと、
前記第1情報と前記第2情報とに対して不可逆な演算処理を施すことで、第3情報を生成する第1生成ステップと、
前記第3情報を前記第2通信装置に対して送信する第2送信ステップと、を有し、
前記第2通信装置は、
前記第1送信ステップによって送信される前記第1情報を受信する第1受信ステップと、
前記第2情報を取得する第3取得ステップと、
前記第1情報と前記第2情報とに対して、前記第1生成ステップと同一の不可逆な演算処理を施すことで、第4情報を生成する第2生成ステップと、
前記第3情報と前記第4情報とが一致するか否かを判定することで認証処理を実行する認証ステップと、を有する、
ことを特徴とするネットワークシステムの認証方法。 In an authentication method for a network system having at least a first communication device and a second communication device,
The first communication device is
A first acquisition step of acquiring first information;
A first transmission step of transmitting the first information to the second communication device;
A second acquisition step of acquiring second information different from the first information;
A first generation step of generating third information by performing irreversible arithmetic processing on the first information and the second information;
A second transmission step of transmitting the third information to the second communication device,
The second communication device is
A first receiving step of receiving the first information transmitted by the first transmitting step;
A third acquisition step of acquiring the second information;
A second generation step of generating fourth information by performing the same irreversible arithmetic processing as in the first generation step on the first information and the second information;
An authentication step of executing an authentication process by determining whether or not the third information and the fourth information match.
An authentication method for a network system.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018070135A JP2019179519A (en) | 2018-03-30 | 2018-03-30 | Network system and authentication method therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018070135A JP2019179519A (en) | 2018-03-30 | 2018-03-30 | Network system and authentication method therefor |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019179519A true JP2019179519A (en) | 2019-10-17 |
Family
ID=68278840
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018070135A Pending JP2019179519A (en) | 2018-03-30 | 2018-03-30 | Network system and authentication method therefor |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2019179519A (en) |
-
2018
- 2018-03-30 JP JP2018070135A patent/JP2019179519A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11411949B2 (en) | Trusted communication session and content delivery | |
US8532620B2 (en) | Trusted mobile device based security | |
US10567370B2 (en) | Certificate authority | |
US9172541B2 (en) | System and method for pool-based identity generation and use for service access | |
RU2307391C2 (en) | Method for remote changing of communication password | |
GB2562454A (en) | Anonymous attestation | |
CN112231692A (en) | Security authentication method, device, equipment and storage medium | |
JP2018092446A (en) | Authentication approval system, information processing apparatus, authentication approval method, and program | |
JP2020057923A (en) | Information communication device, authentication program for information communication device, and authentication method | |
US10154032B2 (en) | Methods for security system-agnostic uniform device identification | |
US20220006654A1 (en) | Method to establish an application level ssl certificate hierarchy between master node and capacity nodes based on hardware level certificate hierarchy | |
WO2023124958A1 (en) | Key update method, server, client and storage medium | |
CN107347073A (en) | A kind of resource information processing method | |
CN107888615B (en) | Safety authentication method for node registration | |
JP2012181662A (en) | Account information cooperation system | |
JP4552785B2 (en) | Encrypted communication management server | |
JP5793593B2 (en) | Network authentication method for securely verifying user identification information | |
JP2019179519A (en) | Network system and authentication method therefor | |
KR101962349B1 (en) | Consolidated Authentication Method based on Certificate | |
US11968302B1 (en) | Method and system for pre-shared key (PSK) based secure communications with domain name system (DNS) authenticator | |
IES20070726A2 (en) | Automated authenticated certificate renewal system | |
CN114005190A (en) | Face recognition method for class attendance system | |
CN114996770A (en) | Identity recognition method based on host management system | |
CN115276998A (en) | Internet of things identity authentication method and device and Internet of things equipment | |
CN116760534A (en) | Data processing method based on identification, terminal equipment, electronic equipment and medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20200117 |