JP2000151677A - Access authentication device for mobile ip system and storage medium - Google Patents
Access authentication device for mobile ip system and storage mediumInfo
- Publication number
- JP2000151677A JP2000151677A JP10320588A JP32058898A JP2000151677A JP 2000151677 A JP2000151677 A JP 2000151677A JP 10320588 A JP10320588 A JP 10320588A JP 32058898 A JP32058898 A JP 32058898A JP 2000151677 A JP2000151677 A JP 2000151677A
- Authority
- JP
- Japan
- Prior art keywords
- mobile
- user
- access
- communication
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は移動IPシステム
のアクセス認証装置、更に詳しくはホームネットワーク
から外部のネットワークに移動した移動クライアントの
アクセス認証の部分に特徴のある移動IPシステムのア
クセス認証装置及び記憶媒体に関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an access authentication device for a mobile IP system, and more particularly, to an access authentication device and a storage device for a mobile IP system characterized in an access authentication portion of a mobile client moved from a home network to an external network. It is about media.
【0002】[0002]
【従来の技術】近年、計算機(PC,WS)の小型・軽
量化による電池駆動が実現し、またインターネットの発
達等に伴う通信インフラストラクチャの整備が進んでき
ている。これにより、例えばあるネットワーク(ホーム
ネットワーク)で使用する計算機(端末あるいはクライ
アント)を他のネットワークに移動させ、インターネッ
ト等を介してホームネットワークに接続して使用するこ
とも可能となっている。2. Description of the Related Art In recent years, batteries (computers, PCs, WSs) are driven by batteries that are smaller and lighter, and communication infrastructures are being developed with the development of the Internet. This makes it possible, for example, to move a computer (terminal or client) used in a certain network (home network) to another network and use it by connecting to the home network via the Internet or the like.
【0003】ここで、クライアントの接続場所が変更さ
れた場合でも、その移動後のクライアント(この場合を
移動クライアントという)があたかもホームネットワー
クに接続されているかのように、すなわち移動前と同様
な計算機環境でアクセスできるようにするために、移動
IPプロトコルが開発されている。移動IPプロトコル
が実現する環境下では、アクセス許可された範囲内で、
他の計算機からアクセスや、他の計算機に対するアクセ
スを移動前と同様に行える。Here, even if the connection location of the client is changed, it is as if the client after the movement (in this case, referred to as a mobile client) is connected to the home network, that is, the same computer as before the movement. Mobile IP protocols have been developed to make them accessible in the environment. Under the environment where the mobile IP protocol is realized, within the range where access is permitted,
Access from another computer and access to another computer can be performed in the same manner as before moving.
【0004】この移動IPプロトコルはIETFに準拠
するものであり、移動IPプロトコルを実現するシステ
ムを移動IPシステムという。移動IPシステムでは、
例えば移動クライアントの移動時にホームネットワーク
に流される通信相手からの移動クライアント宛パケット
を転送エージェントサーバ(ホームエージェントともい
う)が代理受信する。そして、このパケットが転送エー
ジェントから当該移動クライアントの移動先に転送され
ることで上記環境が実現されることになる。[0004] The mobile IP protocol conforms to the IETF, and a system that implements the mobile IP protocol is called a mobile IP system. In the mobile IP system,
For example, a transfer agent server (also referred to as a home agent) receives a packet addressed to a mobile client from a communication partner flowing to a home network when the mobile client moves, by proxy. Then, the environment is realized by transferring the packet from the transfer agent to the destination of the mobile client.
【0005】しかしながら、この転送エージェントサー
バにおける処理に移る前に、移動クライアントとホーム
ネットワークと間の入口(ルータ)において、移動クラ
イアントのユーザ認証、及び、当該移動クライアントが
要求する処理へのアクセス権限を有するかを確認する必
要がある。この認証及び確認は一般的には、ルータ計算
機に設けられるアクセスサーバにて行われる。However, before proceeding to the processing in the transfer agent server, at the entrance (router) between the mobile client and the home network, user authentication of the mobile client and access authority to the processing requested by the mobile client are performed. You need to check if you have one. This authentication and confirmation is generally performed by an access server provided in the router computer.
【0006】図4は一般的なホームネットワークの構成
を示すブロック図である。FIG. 4 is a block diagram showing a configuration of a general home network.
【0007】同図に示すように、各クライアント91や
転送エージェントサーバ92の設けられる社内LAN9
3は、一般には、ファイアウォール94及びルータを介
して公衆ネット96に接続される。例えば社内LAN9
3から外部等のLAN(図示せず)に移動した移動クラ
イアント97は、IPのモバイル機能を実現するため
に、転送エージェントサーバ92に移動登録を行おうと
する。As shown in FIG. 1, an in-house LAN 9 in which each client 91 and a transfer agent server 92 are provided.
3 is generally connected to a public network 96 via a firewall 94 and a router. For example, in-house LAN 9
The mobile client 97 that has moved from 3 to an external LAN (not shown) attempts to register the transfer with the transfer agent server 92 in order to realize the IP mobile function.
【0008】この際、まず、移動クライアント97のユ
ーザ認証がルータに設けられたアクセスサーバ95によ
って行われる。ユーザ認証は、アクセスサーバ95から
バリヤセグメントLAN98上のアクセス認証サーバ9
9へ問合せがされることで実行される。At this time, first, user authentication of the mobile client 97 is performed by the access server 95 provided in the router. The user authentication is performed from the access server 95 to the access authentication server 9 on the barrier segment LAN 98.
9 is executed when an inquiry is made to 9.
【0009】一方、移動クライアントがIPモバイル機
能を実行するために、転送エージェントサーバ92に、
ファイル転送や社内LAN93内の計算機にログイン要
求等をする場合がある。しかし、この場合も、移動クラ
イアント97から転送エージェントサーバ92への処理
要求を直接行えるわけではなく、まず、アクセスサーバ
95からアクセス認証サーバ99に当該ユーザのアクセ
ス権限が確認され、許可された場合のみ転送エージェン
トサーバ92の処理へ移行する。On the other hand, in order for the mobile client to execute the IP mobile function, the transfer agent server 92
In some cases, a file transfer or a log-in request to a computer in the in-house LAN 93 is made. However, also in this case, the processing request from the mobile client 97 to the transfer agent server 92 cannot be made directly. First, the access authority of the user is confirmed from the access server 95 to the access authentication server 99, and only when the user is authorized. The process moves to the transfer agent server 92.
【0010】この従来の処理においては、移動クライア
ント97とアクセスサーバ95との間におけるユーザ認
証は、アクセス認証サーバ99のフォーマットに合致し
たユーザ名とパスワードを接続時の1回のみ確認するこ
とで行われている。In the conventional processing, the user authentication between the mobile client 97 and the access server 95 is performed by confirming a user name and a password conforming to the format of the access authentication server 99 only once at the time of connection. Have been done.
【0011】一方、ファイル転送時等のアクセス権限確
認は、ある方法では、移動クライアント97からのパケ
ット受け付け毎に、アクセスサーバ95がアクセス認証
サーバ99の保持するアクセス許可情報と照らし合わせ
て確認している。また、他の方法では、1回確認された
処理については、アクセスサーバ95にて以降アクセス
許可するようにしている。On the other hand, in a certain method, the access authority confirmation at the time of file transfer or the like is performed by checking the access server 95 against access permission information held by the access authentication server 99 every time a packet is received from the mobile client 97. I have. In another method, the access server 95 permits access to the process confirmed once.
【0012】[0012]
【発明が解決しようとする課題】しかしながら、従来の
アクセス認証処理には、以下のような解決すべき課題が
ある。However, the conventional access authentication processing has the following problems to be solved.
【0013】まず、ユーザ認証処理は、移動クライアン
トから最初の移動登録要求時にのみ実行される。したが
って、悪意の第三者がこの初期登録時の情報のコピー等
を何らかの理由で入手し、その最初のユーザ認証がクリ
アされてしまうと、その時点以降は当該第三者の不正行
為を防ぐことができなくなる。この不都合は、アクセス
許可について、アクセス権限確認を1回のみ行う場合で
も同様に生じる。First, the user authentication process is executed only at the time of the first mobile registration request from the mobile client. Therefore, if a malicious third party obtains a copy of the information at the time of this initial registration for some reason and the initial user authentication is cleared, it is necessary to prevent the third party from performing illegal acts after that point Can not be done. This inconvenience also occurs when the access right is confirmed only once for the access permission.
【0014】一方、移動クライアント97からパケット
受信する度に、アクセスサーバ95がアクセス権限確認
を一々アクセス認証サーバ99に行うようにしたので
は、アクセスサーバ95〜アクセス認証サーバ99間の
通信トラフィックが多くなる。On the other hand, if the access server 95 checks the access authority one by one with the access authentication server 99 each time a packet is received from the mobile client 97, communication traffic between the access server 95 and the access authentication server 99 is large. Become.
【0015】また、従来の移動IPシステムにおいて
は、移動登録通信中はその移動通信処理を維持するため
に、ユーザ認証を伴わない移動登録要求及びその応答が
移動クライアント97〜転送エージェントサーバ92間
で定期的に行われている。そこで、例えばこの移動登録
要求がある度に、アクセスサーバ95からアクセス認証
サーバ99へユーザ確認を行うようにすることが考えら
れる。しかし、これではやはりトラフィックを増加させ
ることになる。また、最初の移動登録要求のパケットに
含まれるユーザ名及びパスワードは暗号化されている
が、この暗号化情報をそのまま利用されたのでは、移動
登録要求の度に、ユーザ認証を行っても不正行為を防止
できない。Further, in the conventional mobile IP system, in order to maintain the mobile communication processing during the mobile registration communication, a mobile registration request without user authentication and its response are transmitted between the mobile client 97 and the transfer agent server 92. It is performed regularly. Therefore, for example, it is conceivable that the access server 95 checks the user with the access authentication server 99 every time there is a transfer registration request. However, this still increases traffic. In addition, the user name and password included in the packet of the first move registration request are encrypted. However, if this encrypted information is used as it is, even if user authentication is performed every time a move registration request is made, it is illegal. Action cannot be prevented.
【0016】さらに、移動クライアント97にて移動ク
ライアント処理を実行させる際には、そのソフトウエア
起動にもユーザ認証が必要である。この起動用のユーザ
認証と、転送エージェントサーバ92への登録のための
ユーザ認証とは別途に必要であるため、ユーザは一々パ
スワード等を入力する必要等があり煩雑である。Further, when the mobile client 97 executes the mobile client processing, the software activation also requires user authentication. Since the user authentication for activation and the user authentication for registration with the transfer agent server 92 are separately required, the user needs to input a password or the like one by one, which is complicated.
【0017】本発明は、このような実情を考慮してなさ
れたもので、移動クライアントのユーザ確認を簡便かつ
定期的に行うことができ、移動登録通信の安全性及び不
正接続防止効果を高めることができるとともに、ホーム
ネットワーク内の通信トラフィックを低減させることが
できる移動IPシステムのアクセス認証装置及び記憶媒
体を提供することを目的とする。The present invention has been made in view of such circumstances, and it is possible to easily and regularly confirm a user of a mobile client, and to enhance the security of mobile registration communication and the effect of preventing unauthorized connection. It is an object of the present invention to provide an access authentication device and a storage medium for a mobile IP system capable of reducing communication traffic in a home network.
【0018】[0018]
【課題を解決するための手段】上記課題を解決するため
に、請求項1に対応する発明は、移動IPプロトコルの
モバイル機能を実現する移動IPシステムにおけるホー
ムネットワーク側のアクセス認証装置についてなされた
ものである。SUMMARY OF THE INVENTION In order to solve the above-mentioned problems, the invention corresponding to claim 1 has been made for an access authentication device on a home network side in a mobile IP system realizing a mobile function of a mobile IP protocol. It is.
【0019】このアクセス認証装置においては、通信開
始時アクセス認証処理手段が、移動登録通信の開始時に
移動クライアントから受信したユーザ認証情報によっ
て、ホームネットワーク上の他の計算機に設けられたア
クセス認証サーバにユーザ認証をさせる。In this access authentication apparatus, the communication start-time access authentication processing means uses the user authentication information received from the mobile client at the start of the mobile registration communication to the access authentication server provided in another computer on the home network. Have the user authenticate.
【0020】その結果ユーザ確認された場合には、移動
クライアントとの移動登録通信が行われている間、前記
通信開始時アクセス認証処理手段によって、ユーザ確認
されたユーザ認証情報がユーザ認証情報データベースに
一時保存される。As a result, when the user is confirmed, while the mobile registration communication with the mobile client is being performed, the user authentication information confirmed by the user by the communication start access authentication processing means is stored in the user authentication information database. Stored temporarily.
【0021】また、移動クライアントから移動登録通信
を維持するための定期的な確認パケットが受信される
と、通信中アクセス認証処理手段によって、当該確認パ
ケットからユーザ認証情報が取り出され、当該ユーザ認
証情報と、ユーザ認証情報データベースに保持されたユ
ーザ認証情報とが比較照合されユーザ確認が行われる。
ここで、当該移動クライアントは不正ユーザであるとの
結果が得られた場合には、移動登録通信を終了させる。When a periodic confirmation packet for maintaining the mobile registration communication is received from the mobile client, the user authentication information is extracted from the confirmation packet by the access authentication processing means during communication, and the user authentication information is obtained. Is compared with the user authentication information held in the user authentication information database, and the user is confirmed.
Here, when the result that the mobile client is an unauthorized user is obtained, the mobile registration communication is terminated.
【0022】したがって、移動クライアントのユーザ確
認を簡便かつ定期的に行うことができ、移動登録通信の
安全性及び不正接続防止効果を高めることができるとと
もに、ホームネットワーク内の通信トラフィックを低減
させることができる。Therefore, the user of the mobile client can be easily and regularly checked, the security of the mobile registration communication and the effect of preventing unauthorized connection can be improved, and the communication traffic in the home network can be reduced. it can.
【0023】次に、請求項2に対応する発明は、請求項
1に対応する発明において、移動クライアントが送出す
るパケット内のユーザ確認情報には、パケット送出毎に
異なる暗号化がなされている移動IPシステムのアクセ
ス認証装置である。Next, a second aspect of the present invention is the mobile terminal according to the first aspect, wherein the user confirmation information in the packet transmitted by the mobile client is encrypted differently for each packet transmission. It is an access authentication device of the IP system.
【0024】本発明はこのような手段を設けたので、移
動登録通信の安全性をより一層高めることができる。According to the present invention, such means are provided, so that the security of mobile registration communication can be further improved.
【0025】次に、請求項3に対応する発明は、請求項
1又は2に対応する発明において、通信開始時アクセス
認証処理手段は、ユーザ確認時にホームネットワーク上
に設けられた他の計算機から当該ユーザについてのアク
セス許可情報を取得し、当該アクセス許可情報を一時的
に、つまり移動クライアントとの移動登録通信が行われ
ている間、アクセス許可情報データベースに保存する。Next, a third aspect of the present invention is the invention according to the first or second aspect, wherein the communication start-time access authentication processing means receives a request from another computer provided on the home network at the time of user confirmation. The access permission information for the user is acquired, and the access permission information is temporarily stored in the access permission information database, that is, during the mobile registration communication with the mobile client.
【0026】また、通信中アクセス認証処理手段は、移
動クライアントから処理要求のパケットを代理受信した
ときには、アクセス情報データベースからアクセス許可
情報を取り出し、そのアクセス許可情報に基づいて要求
された処理を実行するか否かを決定する。When the processing request packet is received by proxy from the mobile client, the access authentication processing means extracts the access permission information from the access information database and executes the requested processing based on the access permission information. Is determined.
【0027】したがって、ホームネットワーク内の通信
トラフィックをより一層低減させることができる。Therefore, communication traffic in the home network can be further reduced.
【0028】次に、請求項4に対応する発明は、移動I
Pプロトコルのモバイル機能を実現する移動IPシステ
ムにおける移動クライアント側のアクセス認証装置につ
いてなされたものである。Next, according to a fourth aspect of the present invention, the moving I
This is an access authentication device on the mobile client side in a mobile IP system that realizes the mobile function of the P protocol.
【0029】このアクセス認証装置においては、通信開
始時アクセス認証処理手段によって、移動登録通信を開
始する際のユーザ認証情報がホームネットワークに送出
されると共に、ホームネットワークから移動登録通信の
許可を受けると、ユーザ認証情報が一時的に、つまり移
動クライアントとの移動登録通信が行われている間、ユ
ーザ認証情報データベースに保存される。In this access authentication apparatus, the user authentication information for starting the mobile registration communication is sent to the home network by the access authentication processing means at the start of communication, and when the permission of the mobile registration communication is received from the home network. The user authentication information is temporarily stored in the user authentication information database, that is, during the mobile registration communication with the mobile client.
【0030】また、移動クライアントから移動登録通信
を維持するための定期的な確認パケットを送信する際
に、通信中アクセス認証処理手段によって、ユーザ認証
情報データベースに保持されるユーザ認証情報が確認パ
ケットに含められる。When a periodic confirmation packet for maintaining the mobile registration communication is transmitted from the mobile client, the user authentication information stored in the user authentication information database is converted into the confirmation packet by the access authentication processing means during communication. Included.
【0031】したがって、本発明は、請求項1〜3の何
れかのホームネットワーク側のアクセス認証装置との組
になることにより、請求項1〜3に係る発明の効果を発
揮させることができる。Therefore, the present invention can exhibit the effects of the inventions according to claims 1 to 3 by forming a pair with the access authentication device on the home network side according to any one of claims 1 to 3.
【0032】次に、請求項5に対応する発明は、請求項
4に対応する発明において、ユーザ認証情報データベー
スは、通信開始時アクセス認証処理手段及び又は通信中
アクセス認証処理手段を起動するためのユーザ認証情報
を、移動登録通信の許可を得るためのユーザ認証情報と
関連づけて保持すると共に、通信開始時アクセス認証処
理手段及び又は通信中アクセス認証処理手段は、起動用
のユーザ認証情報又は通信許可用のユーザ認証情報の何
れかの一方の入力により他方の認証情報をも前記ユーザ
認証情報データベースから取り出して使用するようにな
っている。According to a fifth aspect of the present invention, in the invention according to the fourth aspect, the user authentication information database stores the access authentication processing means at the start of communication and / or the access authentication processing means during communication. The user authentication information is held in association with the user authentication information for obtaining permission of the mobile registration communication, and the access authentication processing means at the start of communication and / or the access authentication processing means during communication provide the user authentication information for activation or the communication permission. When one of the user authentication information is input, the other authentication information is also taken out from the user authentication information database and used.
【0033】したがって、請求項4に係る発明と同様な
作用効果が得られる他、ユーザの認証のための操作を容
易にすることができる。Therefore, the same operation and effect as the invention according to claim 4 can be obtained, and the operation for user authentication can be facilitated.
【0034】次に、請求項6に対応する発明は、請求項
1に対応する発明をコンピュータに実現させるプログラ
ムを記憶した記憶媒体である。Next, the invention corresponding to claim 6 is a storage medium storing a program for causing a computer to realize the invention corresponding to claim 1.
【0035】この記憶媒体から読み出されたプログラム
により制御されるコンピュータは、請求項1の移動IP
システムのアクセス認証装置として機能する。The computer controlled by the program read from the storage medium is a mobile IP according to claim 1.
Functions as an access authentication device for the system.
【0036】次に、請求項7に対応する発明は、請求項
3に対応する発明をコンピュータに実現させるプログラ
ムを記憶した記憶媒体である。Next, the invention corresponding to claim 7 is a storage medium storing a program for causing a computer to realize the invention corresponding to claim 3.
【0037】この記憶媒体から読み出されたプログラム
により制御されるコンピュータは、請求項3の移動IP
システムのアクセス認証装置として機能する。The computer controlled by the program read from the storage medium is preferably a mobile IP.
Functions as an access authentication device for the system.
【0038】[0038]
【発明の実施の形態】以下、本発明の実施の形態につい
て説明する。Embodiments of the present invention will be described below.
【0039】図1は本発明の実施の形態に係る移動IP
システムのアクセス認証装置を適用したネットワークシ
ステムの構成例を示すブロック図である。FIG. 1 shows a mobile IP according to an embodiment of the present invention.
1 is a block diagram illustrating a configuration example of a network system to which a system access authentication device is applied.
【0040】このネットワークシステムは、クライアン
ト1のホームネットワーク2となるLANと、このクラ
イアント1が移動する移動先のLAN(図示せず)とが
インターネット等の公衆ネット3を介して接続されて構
成されている。また、このネットワークシステムは、あ
る程度簡略化されて図示しているが、図4に示したのと
同様に、ファイアウォールを介してクライアント1が接
続されるべき社内LAN等を設けるような構成としても
よい。This network system comprises a LAN serving as a home network 2 of a client 1 and a LAN (not shown) to which the client 1 moves via a public network 3 such as the Internet. ing. Although this network system is shown in a somewhat simplified form, it may be configured such that an in-house LAN or the like to which the client 1 is to be connected via a firewall is provided as shown in FIG. .
【0041】ホームネットワーク2には、公衆ネット3
からホームネットワーク2への入口となるルータ計算機
5と、アクセス認証サーバ6と、当該ホームネットワー
ク2に所属するクライアント1とがデータ伝送路を介し
て接続されている。ここで、クライアント1は、場合に
よりホームネットワーク2のLANから接続解除され、
他のネットワーク(LAN等)に接続されて移動クライ
アント4となる。なお、移動クライアント4は公衆ネッ
ト3に直接接続されてもよい。The home network 2 has a public network 3
, A router computer 5 serving as an entrance to the home network 2, an access authentication server 6, and the client 1 belonging to the home network 2 are connected via a data transmission path. Here, the client 1 is disconnected from the LAN of the home network 2 in some cases,
The mobile client 4 is connected to another network (such as a LAN). Note that the mobile client 4 may be directly connected to the public network 3.
【0042】ここでまず、ルータ計算機5は、一般的な
ルータとしての機能を果たすと共に、転送エージェント
サーバ7が設けられている。Here, first, the router computer 5 functions as a general router, and is provided with a transfer agent server 7.
【0043】転送エージェントサーバ7は、移動したク
ライアント4からの移動登録を受け付け、移動クライア
ント4に対して移動元のホームネットワーク2のパケッ
トを転送する処理やこの処理に連携したアクセス認証処
理を実現する。The transfer agent server 7 accepts the movement registration from the moved client 4 and realizes the processing of transferring the packet of the home network 2 of the movement source to the mobile client 4 and the access authentication processing linked to this processing. .
【0044】このために、転送エージェントサーバ7に
は、転送エージェントサーバ処理部11と、アクセス認
証処理部12、アクセス認証エージェント13と、アク
セス許可情報データベース14と、ユーザアカウント情
報データベース15とが設けられている。For this purpose, the transfer agent server 7 is provided with a transfer agent server processing unit 11, an access authentication processing unit 12, an access authentication agent 13, an access permission information database 14, and a user account information database 15. ing.
【0045】転送エージェントサーバ処理部11は、一
般的な転送エージェント機能を実現するものであり、
(1)移動クライアントからの移動登録要求を受け付け
る機能、(2)移動クライアントからのパケットを認証
・識別しホームネットワークに流す機能、(3)ホーム
ネットワークの移動前のクライアントのパケットを代理
受信し移動しているクライアントへ転送する機能等を備
えている。The transfer agent server processing unit 11 implements a general transfer agent function.
(1) a function of receiving a move registration request from a mobile client; (2) a function of authenticating and identifying a packet from the mobile client and flowing the packet to a home network; and (3) a proxy receiving and moving a packet of a client before the home network moves. It has a function to transfer to the client that is doing it.
【0046】アクセス認証処理部12は、移動クライア
ント4からのユーザ認証情報とアクセス認証サーバ6か
ら得られるアクセス認証情報とを連携させるとともに、
この連携により、移動クライアント4から送出されるパ
ケットに対するアクセス認証処理を行う。このアクセス
認証処理には、ユーザアカウント情報に基づくユーザ認
証処理と、アクセス許可情報に基づくアクセス権限確認
処理によって実現される。The access authentication processing unit 12 links the user authentication information from the mobile client 4 with the access authentication information obtained from the access authentication server 6,
With this cooperation, an access authentication process is performed on a packet transmitted from the mobile client 4. This access authentication process is realized by a user authentication process based on user account information and an access right confirmation process based on access permission information.
【0047】アクセス認証処理部12の行うアクセス認
証処理は、移動クライアント4からの最初の移動登録要
求に対する認証処理と、通信継続中に移動クライアント
4から定期的に発行される移動登録要求パケットの受信
時における認証処理と、ファイル転送等の何らかの処理
要求パケットを受け取ったときに当該ユーザがその権限
を有するかを確認する処理(パケットフィルタリング処
理ともいう)とがある。これらの具体的な動作について
は後述する。The access authentication process performed by the access authentication processing unit 12 includes an authentication process for the first mobile registration request from the mobile client 4 and a reception of a mobile registration request packet periodically issued from the mobile client 4 during communication continuation. And a process of confirming whether the user has the right when receiving a processing request packet such as a file transfer (also referred to as a packet filtering process). These specific operations will be described later.
【0048】アクセス認証エージェント13は、アクセ
ス認証処理部12の依頼により、アクセス認証サーバ6
とのやりとりを実現する通信処理である。移動クライア
ント4からのユーザ認証情報をアクセス認証情報として
アクセス認証サーバ6に問い合わせ、ユーザ認証を行わ
せると共に、当該アクセス認証サーバ6からそのユーザ
についてのアクセス許可情報を入手する。また、このユ
ーザ認証結果や取得したアクセス許可情報をアクセス認
証処理部12に引き渡す。The access authentication agent 13 sends the access authentication server 6 at the request of the access authentication processing unit 12.
This is a communication process for realizing the exchange with the user. The access authentication server 6 is inquired of the user authentication information from the mobile client 4 as the access authentication information to perform the user authentication, and obtains the access permission information for the user from the access authentication server 6. The user authentication result and the obtained access permission information are transferred to the access authentication processing unit 12.
【0049】なお、アクセス許可情報とは、そのユーザ
に許可される処理についてのアクセス権限を示す情報で
ある。例えばユーザAは、ファイル転送は許可される
が、データベースサーバへのログインは許可されない等
といった情報である。Note that the access permission information is information indicating an access right for a process permitted to the user. For example, the user A is information indicating that file transfer is permitted, but login to the database server is not permitted.
【0050】アクセス許可情報データベース13は、ア
クセス認証サーバ6からのアクセス許可情報を移動クラ
イアント4との通信終了まで(移動登録開始から移動登
録終了まで)一時的に保持する。この情報格納及び削除
は、アクセス認証処理部12によって行われる。The access permission information database 13 temporarily stores the access permission information from the access authentication server 6 until the communication with the mobile client 4 is completed (from the start of the mobile registration to the end of the mobile registration). This information storage and deletion is performed by the access authentication processing unit 12.
【0051】ユーザアカウント情報データベース14
は、移動クライアント4からのユーザ認証情報を通信終
了まで一時的に保持しておくデータベースである。具体
的には、移動クライアント4の移動登録開始から移動登
録終了までの通信処理中に、一時的にユーザアカウント
情報(ユーザ名とパスワード)を暗号化状態で保持す
る。当該データベース14における情報格納及び削除
も、アクセス認証処理部12によって行われる。User account information database 14
Is a database for temporarily storing user authentication information from the mobile client 4 until the end of communication. Specifically, the user account information (user name and password) is temporarily stored in an encrypted state during the communication processing from the start of the mobile registration to the end of the mobile registration of the mobile client 4. The storage and deletion of information in the database 14 are also performed by the access authentication processing unit 12.
【0052】アクセス認証サーバ6は、各クライアント
(ユーザ)についてのユーザ認証情報とアクセス許可情
報を保持すると共に、遠隔地からのリモートアクセスに
対してユーザ認証や許可情報提供等のサービスを行うサ
ーバである。すなわちサーバ6は、ユーザ名とパスワー
ドを認証、該当ユーザについてのアクセス許可情報の提
供及びアクセス記録を行う。The access authentication server 6 is a server that holds user authentication information and access permission information for each client (user) and provides services such as user authentication and provision of permission information for remote access from a remote place. is there. That is, the server 6 authenticates the user name and password, provides access permission information for the user, and records access.
【0053】移動クライアント4は、移動することが可
能なコンピュータであり、移動クライアント処理部21
と、ユーザアカウント情報データベース22とを備えて
いる。また、入力装置8を備えている。The mobile client 4 is a mobile computer, and the mobile client processing unit 21
And a user account information database 22. Further, an input device 8 is provided.
【0054】移動クライアント処理部21は、IPモバ
イル機能を実現するクライアント側の処理部であり、処
理要求パケットを送信する等の各種のIPモバイル処理
を実行する。また、アクセス認証処理部23を備えてい
る。The mobile client processing unit 21 is a processing unit on the client side that realizes the IP mobile function, and executes various IP mobile processes such as transmitting a processing request packet. Further, an access authentication processing unit 23 is provided.
【0055】アクセス認証処理部23は、移動クライア
ント4におけるアクセス認証のためのメイン処理部であ
る。すなわち移動登録要求開始時に、最初の移動登録要
求パケットを生成し送信すると共に、そのときのアクセ
ス認証用のユーザ認証情報(ユーザ名とパスワード)を
ユーザアカウント情報データベースに格納する。また、
その後の定期的な移動登録要求パケットの送信も行う。
また、アクセス認証処理部23は、移動登録要求パケッ
トに対して、時間要素を結合して作成された暗号鍵によ
って暗号化を行う。The access authentication processing section 23 is a main processing section for access authentication in the mobile client 4. That is, at the start of the transfer registration request, the first transfer registration request packet is generated and transmitted, and the user authentication information (user name and password) for access authentication at that time is stored in the user account information database. Also,
Thereafter, the mobile station also periodically transmits a movement registration request packet.
Further, the access authentication processing unit 23 encrypts the movement registration request packet using an encryption key created by combining time elements.
【0056】図2は移動クライアントが送出する移動登
録要求パケットのデータ構造例を示す図である。FIG. 2 is a diagram showing an example of the data structure of a move registration request packet sent by a mobile client.
【0057】この移動登録要求パケットは、ヘッダ3
1,モバイル通信における認証情報32,移動前IPア
ドレス33,移動後IPアドレス34及びアクセス認証
フィールド35から構成される。暗号化がなされるの
は、データ32,33,34,35の部分である。ま
た、アクセス認証フィールド35に格納されるユーザア
カウント情報はユーザ名36とパスワード37からな
る。This movement registration request packet has a header 3
1, authentication information 32 for mobile communication, an IP address 33 before movement, an IP address 34 after movement, and an access authentication field 35. The data 32, 33, 34, and 35 are encrypted. The user account information stored in the access authentication field 35 includes a user name 36 and a password 37.
【0058】また、アクセス認証処理部23は、上記ア
クセス認証用の認証情報の他、移動クライアント処理の
起動認証情報についても取り扱い、これらを関係付ける
処理を行う。すなわち、移動クライアント処理の起動に
は、当該クライアント計算機に対するユーザ認証情報が
必要であり、この認証情報は転送エージェントへのアク
セス認証とは異なるものである。The access authentication processing section 23 handles not only the authentication information for the access authentication but also the activation authentication information of the mobile client process, and performs a process of associating them. That is, activation of the mobile client process requires user authentication information for the client computer, and this authentication information is different from access authentication for the transfer agent.
【0059】具体的には、移動クライアント処理の起動
時に認証されたユーザと、転送エージェントへのアクセ
ス認証を要求する同一のユーザとについて、確認証情報
を関連づけ、これらを一体としてユーザアカウント情報
データベース22に一時格納する。そして、通信終了ま
では、これらの認証情報を一体に扱って一々双方の認証
情報の再入力や再読込を不要とする。なお、両認証情報
が共に例えばユーザ名及び同一パスワードからなる等で
同一である場合には、起動認証情報とユーザアカウント
情報とを同一化して、暗号化し転送エージェントサーバ
にパケットを送出する。More specifically, the confirmation information is associated with the user authenticated when the mobile client process is activated and the same user who requests access authentication to the transfer agent, and these are integrated into the user account information database 22. To be stored temporarily. Until the end of the communication, the authentication information is handled as a unit, so that it is not necessary to re-input or re-read the authentication information of each of the authentication information. If both pieces of authentication information are the same, for example, each consisting of a user name and the same password, the activation authentication information and the user account information are identified and encrypted, and the packet is transmitted to the transfer agent server.
【0060】ユーザアカウント情報データベース22
は、転送エージェントサーバ5の保持するユーザアカウ
ント情報と連携して、移動クライアント4のユーザアカ
ウント情報を通信終了まで(移動登録要求開始から移動
登録終了まで)一時的に保持しておくデータベースであ
る。また、上記したように、移動クライアント処理部2
1の起動認証用ユーザ認証情報もアクセス認証用ユーザ
認証情報(ユーザアカウント情報)と関係付けて一時保
存する。User account information database 22
Is a database that cooperates with the user account information held by the transfer agent server 5 and temporarily holds the user account information of the mobile client 4 until the end of the communication (from the start of the transfer registration request to the end of the transfer registration). Also, as described above, the mobile client processing unit 2
The activation authentication user authentication information 1 is also temporarily stored in association with the access authentication user authentication information (user account information).
【0061】次に、以上のように構成された本実施形態
における移動IPシステムのアクセス認証装置の動作に
ついて説明する。Next, the operation of the access authentication device of the mobile IP system configured as described above according to the present embodiment will be described.
【0062】まず、移動クライアント4側の処理につい
て説明する。First, the processing on the mobile client 4 side will be described.
【0063】ホームネットワーク2から外部に持ち出さ
れた移動クライアント4を使ってホームネットワーク2
にアクセスが行われる。このときに、移動クライアント
処理部21が起動される。このプログラム起動の際には
起動認証情報としてユーザ名とパスワードの入力が促さ
れる。この起動認証情報とホームネットワーク2に対す
るアクセス認証用の認証情報とは必ずしも同一である必
要はないが、ここでは同一のユーザ名とパスワードとす
る。Using the mobile client 4 taken out of the home network 2, the home network 2
Is accessed. At this time, the mobile client processing unit 21 is activated. When the program is started, the user is prompted to enter a user name and a password as start authentication information. The activation authentication information and the authentication information for access authentication to the home network 2 do not necessarily have to be the same, but here the same user name and password are used.
【0064】この入力されたユーザ名とパスワードをユ
ーザアカウント情報として移動登録要求(準備)という
パケットが作成され、転送エージェントサーバに送出さ
れる。なお、このときのパケットは図2で示した移動登
録要求パケットと同様なものである。移動登録パケット
においては、ユーザアカウント情報はあらかじめ双方で
取り決めた暗号鍵に時間の要素を結合した鍵で暗号化さ
れている。A packet called a transfer registration request (preparation) is created using the input user name and password as user account information and sent to the transfer agent server. The packet at this time is similar to the movement registration request packet shown in FIG. In the transfer registration packet, the user account information is encrypted with a key obtained by combining a time element with an encryption key determined in advance by both parties.
【0065】また、一時的に移動クライアント4のユー
ザアカウント情報を暗号化したまま情報を保持する。移
動登録要求(準備)パケットを送出した移動クライアン
ト4は、この保持状態で、転送エージェントサーバ7か
らの移動登録許可の応答を待つ。Further, the information is retained while the user account information of the mobile client 4 is temporarily encrypted. The mobile client 4 which has transmitted the transfer registration request (preparation) packet waits for a transfer registration permission response from the transfer agent server 7 in this holding state.
【0066】ここで、転送エージェントサーバ7から移
動登録許可(準備)パケットが受信されると、移動クラ
イアント4により、最初に保持したユーザアカウント情
報を許可とする処理が行われる。さらに、当該情報がユ
ーザアカウント情報データベース22に格納される。Here, when the transfer registration permission (preparation) packet is received from the transfer agent server 7, the mobile client 4 performs a process of permitting the user account information held first. Further, the information is stored in the user account information database 22.
【0067】以降、移動クライアント処理が終了して接
続が切られるまで、移動クライアント21からは登録確
認のための移動登録要求パケットが定期的に出力され
る。このパケット出力において、アクセス認証処理部2
3の処理によって、当該パケットのアクセス認証フィー
ルド35にユーザアカウント情報データベース22に記
録されたユーザアカウント情報が格納される。なお、こ
のユーザアカウント情報は時間を要素とした鍵によって
暗号化されるので、各移動登録要求パケット内のユーザ
アカウント情報は異なるデータとなる。Thereafter, the mobile client 21 periodically outputs a mobile registration request packet for registration confirmation until the mobile client process ends and the connection is disconnected. In this packet output, the access authentication processing unit 2
By the process of 3, the user account information recorded in the user account information database 22 is stored in the access authentication field 35 of the packet. Since this user account information is encrypted with a key having time as an element, the user account information in each transfer registration request packet is different data.
【0068】また、ユーザアカウント情報データベース
22にアクセス認証用ユーザ認証情報が格納される際
に、ソフト起動用のユーザ認証情報も同データベース2
2に格納され、両者が対応するものである旨の情報も記
憶される。なお、この場合は認証情報が同一であるの
で、対応付け情報のみが格納される。これにより、以降
一つの認証のみで、移動クライアント処理部プログラム
の使用者である認証と、ホームネットワーク2への接続
者である認証を行うことが可能となる。When the user authentication information for access authentication is stored in the user account information database 22, the user authentication information for software activation is also stored in the database 2.
2 is stored, and information that the two correspond to each other is also stored. In this case, since the authentication information is the same, only the association information is stored. Thus, it is possible to perform authentication as a user of the mobile client processing unit program and authentication as a user connected to the home network 2 with only one authentication thereafter.
【0069】このようにして移動登録が確立された後、
移動クライアント4からは、上記の定期的な移動登録要
求パケットの他、ファイル転送等の各種処理要求パケッ
トがホームネットワーク2宛に出力される。After the mobile registration is established in this way,
The mobile client 4 outputs various processing request packets, such as file transfer, to the home network 2 in addition to the periodic movement registration request packet.
【0070】そして、移動登録処理の終了等によってホ
ームネットワーク2との接続が切られると、ユーザアカ
ウント情報データベース22内のユーザアカウント情報
等は削除される。When the connection with the home network 2 is cut off due to the end of the transfer registration process, the user account information in the user account information database 22 is deleted.
【0071】次に、ホームネットワーク側の処理につい
て説明する。Next, processing on the home network side will be described.
【0072】図3は本実施形態の移動IPシステムのア
クセス認証装置における処理を示す流れ図である。同図
には主として転送エージェントサーバ7のアクセス認証
処理部12の処理が示される。FIG. 3 is a flowchart showing processing in the access authentication device of the mobile IP system according to the present embodiment. FIG. 2 mainly shows the processing of the access authentication processing unit 12 of the transfer agent server 7.
【0073】まず、移動クライアント4から移動登録要
求(準備)パケットを受信(S1)した転送エージェン
トサーバ7によって同パケットが復号される。この復号
されたアクセス認証情報(ユーザアカウント情報)は、
アクセス認証処理部12によって、アクセス認証エージ
ェント13を介してアクセス認証サーバ6に送られ、同
移動クライアント4とのアクセス許可に問題ないかが問
い合わされる(S2)。First, the transfer agent request packet (preparation) received from the mobile client 4 (S 1) is decoded by the transfer agent server 7 which has received the packet. This decrypted access authentication information (user account information)
The access authentication processing unit 12 sends the data to the access authentication server 6 via the access authentication agent 13 and inquires whether there is any problem with the access permission with the mobile client 4 (S2).
【0074】この結果、アクセス認証サーバ6からアク
セス許可通知を受けると(S3)、アクセス認証処理部
12によって、移動クライアント4からのユーザアカウ
ント情報がユーザアカウントデータベース15に保持さ
れるとともに(S4)、アクセス認証サーバ6から入手
したアクセス許可情報がアクセス許可情報データベース
14に保持される(S5)。As a result, when an access permission notification is received from the access authentication server 6 (S3), the access authentication processing unit 12 holds the user account information from the mobile client 4 in the user account database 15 (S4). The access permission information obtained from the access authentication server 6 is stored in the access permission information database 14 (S5).
【0075】一方、アクセス認証サーバ6からアクセス
不許可の通知を受けると(S3)、拒否パケットが移動
クライアント4に送出され(S13)、終了する。On the other hand, when the access authentication server 6 receives the notification of the access denial (S3), a rejection packet is sent to the mobile client 4 (S13), and the process ends.
【0076】各情報がデータベース14,15に格納さ
れた後(S4,S5)、移動クライアントに移動登録許
可(準備)パケットが応答パケットとして送出される
(S6)。After each information is stored in the databases 14 and 15 (S4, S5), a movement registration permission (preparation) packet is sent to the mobile client as a response packet (S6).
【0077】この許可出力の後、転送エージェントサー
バ7は、移動クライアント4からのパケット待ち状態と
なる(S7)。After the permission output, the transfer agent server 7 waits for a packet from the mobile client 4 (S7).
【0078】ここで、定期的に移動クライアント4から
発行されるべき移動登録要求パケットを受信した場合に
は(S7)、アクセス認証処理部12にてパケットが復
号されユーザアカウント情報が取り出すと共に、ユーザ
アカウント情報データベース15から保存されたユーザ
アカウント情報が取り出され復号、比較される(S
8)。Here, when a mobile registration request packet to be issued periodically from the mobile client 4 is received (S7), the packet is decrypted by the access authentication processing unit 12, the user account information is extracted, and the user account information is extracted. The stored user account information is retrieved from the account information database 15, decrypted and compared (S
8).
【0079】アクセス認証処理部12における上記比較
照合結果からユーザの確認がなされればステップS7に
戻る。一方、ユーザ認証ができない場合には(S9)、
すなわちパケット内のユーザアカウント情報が不正と判
断された場合には、以降の通信が中止され、移動クライ
アント4に拒否パケットが送出される(S14)。これ
と同時にアクセス認証サーバ6と連動して、恒久的なア
クセス拒否状態に遷移する。If the user is confirmed from the result of the comparison and collation in the access authentication processing section 12, the process returns to step S7. On the other hand, if the user cannot be authenticated (S9),
That is, when the user account information in the packet is determined to be invalid, the subsequent communication is stopped, and a reject packet is sent to the mobile client 4 (S14). At the same time, in conjunction with the access authentication server 6, a transition is made to a permanent access denied state.
【0080】このように、定期的な移動登録要求パケッ
トに対応して毎回のアクセス認証処理が行われるが、上
記したようにパケット内のユーザアカウント情報は時間
の要素も入った暗号鍵で暗号されているため、外見には
毎回異なったデータを受信する。As described above, the access authentication process is performed every time in response to the periodic movement registration request packet. As described above, the user account information in the packet is encrypted with the encryption key including the time element. Therefore, different data is received every time in appearance.
【0081】次に、ステップS7の待機状態において、
処理要求パケットを受け取った場合には、アクセス許可
情報データベース14からアクセス許可情報が取り出さ
れ、アクセス認証処理部12にて処理要求の内容と比較
確認(パケットフィルタリング)される(S10)。Next, in the standby state of step S7,
When the processing request packet is received, the access permission information is extracted from the access permission information database 14, and the access authentication processing unit 12 compares and confirms (packet filtering) with the contents of the processing request (S10).
【0082】その結果、当該ユーザに許可される処理
(例えばファイル転送)であった場合には(S10)、
アクセス認証処理部12から転送エージェントサーバ処
理部11にその旨通知され、同エージェントサーバ処理
部11により当該処理が実行され(S12)、再びステ
ップS7に戻る。As a result, if the process is permitted (eg, file transfer) for the user (S10),
The access authentication processing unit 12 notifies the transfer agent server processing unit 11 of the fact, and the agent server processing unit 11 executes the process (S12), and returns to step S7 again.
【0083】一方、当該ユーザには許可されない処理
(例えばサーバ計算機へのログイン)であった場合には
(S10)、その旨の拒否パケットが移動クライアント
4に送出され、ステップS7に戻る。On the other hand, if the process is not permitted to the user (for example, login to the server computer) (S10), a rejection packet to that effect is sent to the mobile client 4, and the process returns to step S7.
【0084】さらに、ステップS7の待機状態におい
て、移動クライアント4から登録削除要求を受けた場合
には、転送エージェントサーバ7のユーザアカウント情
報データベース15及びアクセス許可情報データベース
14における当該移動クライアント4に対応する各情報
がアクセス認証処理部12によって削除され、移動登録
処理が終了する。Further, in the standby state of step S7, when a registration deletion request is received from the mobile client 4, the request corresponds to the mobile client 4 in the user account information database 15 and the access permission information database 14 of the transfer agent server 7. Each piece of information is deleted by the access authentication processing unit 12, and the transfer registration processing ends.
【0085】上述したように、本発明の実施の形態に係
る移動IPシステムのアクセス認証装置は、ユーザのア
クセス認証情報を転送エージェントサーバ7で移動登録
通信中に一時的に保持すると共に、移動クライアント4
からの定期的な移動登録要求パケットにユーザ認証情報
を含ませ、両認証情報を照合してユーザ確認を行うよう
にしたので、簡便な方法でかつ要求パケット受信毎にユ
ーザ確認を行うことができ、移動登録通信の安全性を高
めることができる。これにより、悪意の第三者等による
連続的な接続等の不正接続も防止することができる。ま
た、このユーザ認証方式の採用により、一々アクセス認
証サーバ6にユーザ認証を依頼する必要が無くなり、ホ
ームネットワーク内のトラフィックも低減させることが
できる。As described above, the access authentication apparatus of the mobile IP system according to the embodiment of the present invention temporarily holds the access authentication information of the user during the mobile registration communication in the transfer agent server 7 and also uses the mobile client. 4
The user authentication information is included in the periodic mobile registration request packet from the user, and the user authentication is performed by comparing the two authentication information, so that the user can be verified in a simple manner and every time the request packet is received. Thus, the security of mobile registration communication can be improved. As a result, unauthorized connection such as continuous connection by a malicious third party can be prevented. Also, by adopting this user authentication method, it is not necessary to request the user authentication to the access authentication server 6 one by one, and the traffic in the home network can be reduced.
【0086】また、移動クライアント4と転送エージェ
ントサーバ7との間で送信されるパケット内のユーザア
カウント情報は、その暗号方式(暗号鍵)が時間要素等
により周期的に変更されるので、通信処理中の情報の安
全性を高めることができる。例えば第三者が移動登録要
求パケットを単にコピーしても、これを悪用することは
不可能となる。なお、この暗号方式の変更は時間要素の
鍵を用いる他、種々の方法が考えられる。The user account information in the packet transmitted between the mobile client 4 and the transfer agent server 7 has its encryption method (encryption key) periodically changed by a time element or the like. The security of the information inside can be improved. For example, if a third party simply copies the movement registration request packet, it cannot be exploited. In addition, various methods are conceivable for the change of the encryption method in addition to the use of the key of the time element.
【0087】また、本実施形態のアクセス認証装置は、
アクセス許可情報データベース14を設け、ユーザ認証
時にアクセス認証サーバ6から取得したユーザ許可情報
を一時的に保持するとともに、移動クライアント4から
の処理要求パケット受信時に同データベース14の情報
に基づき処理要求の許否を決定する(パケットフィルタ
リング)ようにしたので、ホームネットワーク2の通信
トラフィックを減少させ、アクセス許可情報をタイムリ
ーに通信処理に反映させることができる。The access authentication device of the present embodiment
An access permission information database 14 is provided to temporarily hold the user permission information acquired from the access authentication server 6 at the time of user authentication, and to permit or deny a processing request based on the information of the database 14 when a processing request packet is received from the mobile client 4. Is determined (packet filtering), the communication traffic of the home network 2 can be reduced, and the access permission information can be reflected in the communication processing in a timely manner.
【0088】さらに、本実施形態のアクセス認証装置
は、その移動クライアントにおいて、移動クライアント
起動時の起動認証情報とアクセス認証情報を連動させる
ようにしたので、ユーザの認証のための操作を容易にす
ることができる。Further, in the access authentication apparatus of the present embodiment, the activation authentication information when the mobile client is activated and the access authentication information are linked in the mobile client, thereby facilitating the operation for user authentication. be able to.
【0089】なお、本発明は、上記各実施の形態に限定
されるものでなく、その要旨を逸脱しない範囲で種々に
変形することが可能である。The present invention is not limited to the above embodiments, but can be variously modified without departing from the scope of the invention.
【0090】例えば移動クライアント4における起動時
やアクセス認証時のユーザ認証情報は、入力装置8から
入力すると説明したが、これらの情報は例えばハードデ
ィスク等の記憶装置に機密的に安全な状態で格納してお
き、そこから読み込ませる形式等としてもよい。For example, it has been described that the user authentication information at the time of activation and access authentication in the mobile client 4 is input from the input device 8, but such information is stored in a storage device such as a hard disk in a confidential and secure state. In advance, it may be a format to be read from there.
【0091】また例えば、実施形態では、アクセス認証
処理部12,アクセス許可情報データベース14,ユー
ザアカウント情報データベース15及びアクセス認証エ
ージェント13を転送エージェントサーバ7上に設ける
ようにしたが、本発明の実現形態はこれに限られるもの
ではない。例えば転送エージェントサーバ自体はアクセ
ス認証処理部12の一部機能と共にホームネットワーク
の他の計算機上に設けるとともに、上記各機能12〜1
5はルータ計算機5に残すようにしてもよい。この場
合、ルータ計算機は、移動クライアント4からの受信パ
ケットのユーザ確認並びにアクセス権限確認を行った
後、当該パケット及び又はユーザ不正通知あるいはアク
セス権限無しの通知を転送エージェントサーバに引き渡
すことになる。For example, in the embodiment, the access authentication processing unit 12, the access permission information database 14, the user account information database 15, and the access authentication agent 13 are provided on the transfer agent server 7. Is not limited to this. For example, the transfer agent server itself is provided on another computer of the home network together with some functions of the access authentication processing unit 12, and each of the above functions 12-1
5 may be left in the router computer 5. In this case, after the router computer confirms the user and access right of the packet received from the mobile client 4, the router computer delivers the packet and / or a notification of improper user or notification of no access right to the transfer agent server.
【0092】また、実施形態に記載した手法は、計算機
(コンピュータ)に実行させることができるプログラム
(ソフトウエア手段)やデータとして記録媒体に格納す
ることが可能である。The method described in the embodiment can be stored in a recording medium as a program (software means) or data which can be executed by a computer (computer).
【0093】ここでいう記憶媒体としては、磁気ディス
ク、フロッピーディスク、ハードディスク、光ディスク
(CD−ROM、CD−R、DVD等)、光磁気ディス
ク(MO等)、半導体メモリ等、プログラムを記憶で
き、かつコンピュータが読み取り可能な記憶媒体であれ
ば、その記憶形式は何れの形態であってもよい。The storage medium mentioned here can store programs such as a magnetic disk, floppy disk, hard disk, optical disk (CD-ROM, CD-R, DVD, etc.), magneto-optical disk (MO, etc.), semiconductor memory, etc. In addition, as long as the storage medium is readable by a computer, the storage form may be any form.
【0094】また、記憶媒体からコンピュータにインス
トールされたプログラムの指示に基づきコンピュータ上
で稼働しているOS(オペレーティングシステム)や、
データベース管理ソフト、ネットワークソフト等のMW
(ミドルウェア)等が本実施形態を実現するための各処
理の一部を実行してもよい。Also, an OS (Operating System) running on the computer based on instructions of a program installed in the computer from the storage medium,
MW for database management software, network software, etc.
(Middleware) or the like may execute a part of each process for realizing the present embodiment.
【0095】さらに、本発明における記憶媒体は、コン
ピュータと独立した媒体に限らず、LANやインターネ
ット等により伝送されたプログラムをダウンロードして
記憶又は一時記憶した記憶媒体も含まれる。Further, the storage medium in the present invention is not limited to a medium independent of a computer, but also includes a storage medium in which a program transmitted via a LAN or the Internet is downloaded and stored or temporarily stored.
【0096】また、記憶媒体は1つに限らず、複数の媒
体から本実施形態における処理が実行される場合も本発
明における記憶媒体に含まれ、媒体構成は何れの構成で
あってもよい。Further, the number of storage media is not limited to one, and the case where the processing in this embodiment is executed from a plurality of media is also included in the storage media of the present invention, and any media configuration may be used.
【0097】なお、本発明におけるコンピュータは、記
憶媒体に記憶されたプログラムに基づき、本実施形態に
おける各処理を実行するものであって、パソコン等の1
つからなる装置、複数の装置がネットワーク接続された
システム等の何れの構成であってもよい。Note that the computer according to the present invention executes each processing in the present embodiment based on a program stored in a storage medium, and is executed by a computer such as a personal computer.
Any configuration such as a single device, a system in which a plurality of devices are connected to a network, or the like may be used.
【0098】また、本発明におけるコンピュータとは、
パソコンに限らず、情報処理機器に含まれる演算処理装
置、マイコン等も含み、プログラムによって本発明の機
能を実現することが可能な機器、装置を総称している。The computer in the present invention is:
It is not limited to a personal computer, but also includes a processing device, a microcomputer, and the like included in an information processing device, and generically refers to a device and a device capable of realizing the functions of the present invention by a program.
【0099】[0099]
【発明の効果】以上詳記したように本発明によれば、移
動クライアントのユーザ確認を簡便かつ定期的に行うこ
とができ、移動登録通信の安全性及び不正接続防止効果
を高めることができるとともに、ホームネットワーク内
の通信トラフィックを低減させることができる移動IP
システムのアクセス認証装置及び記憶媒体を提供するこ
とができる。As described above in detail, according to the present invention, user confirmation of a mobile client can be performed easily and periodically, and the security of mobile registration communication and the effect of preventing unauthorized connection can be improved. Mobile IP that can reduce communication traffic in home network
An access authentication device and a storage medium for the system can be provided.
【図1】本発明の実施の形態に係る移動IPシステムの
アクセス認証装置を適用したネットワークシステムの構
成例を示すブロック図。FIG. 1 is a block diagram showing a configuration example of a network system to which an access authentication device of a mobile IP system according to an embodiment of the present invention is applied.
【図2】移動クライアントが送出する移動登録要求パケ
ットのデータ構造例を示す図。FIG. 2 is a diagram showing an example of a data structure of a movement registration request packet transmitted by a mobile client.
【図3】同実施形態の移動IPシステムのアクセス認証
装置における処理を示す流れ図。FIG. 3 is a flowchart showing processing in the access authentication device of the mobile IP system according to the embodiment.
【図4】一般的なホームネットワークの構成を示すブロ
ック図。FIG. 4 is a block diagram showing a configuration of a general home network.
1…クライアント 2…ホームネットワーク 3…公衆ネット 4…移動クライアント 5…ルータ計算機 6…アクセス認証サーバ 7…転送エージェントサーバ 8…入力装置 11…転送エージェントサーバ処理部 12…アクセス認証処理部 13…アクセス認証エージェント 14…アクセス許可情報データベース 15…ユーザアカウント情報データベース 21…移動クライアント処理部 22…ユーザアカウント情報データベース 23…アクセス認証処理部 31…ヘッダ 32…モバイル通信における認証情報 33…移動前IPアドレス 34…移動後IPアドレス 35…アクセス認証フィールド 36…ユーザ名 37…パスワード DESCRIPTION OF SYMBOLS 1 ... Client 2 ... Home network 3 ... Public network 4 ... Mobile client 5 ... Router computer 6 ... Access authentication server 7 ... Transfer agent server 8 ... Input device 11 ... Transfer agent server processing part 12 ... Access authentication processing part 13 ... Access authentication Agent 14 Access permission information database 15 User account information database 21 Mobile client processing unit 22 User account information database 23 Access authentication processing unit 31 Header 32 Mobile phone authentication information 33 IP address before transfer 34 Mobile After IP address 35 ... Access authentication field 36 ... User name 37 ... Password
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5J104 AA07 KA01 KA09 KA10 NA05 NA27 NA38 PA01 PA07 5K030 GA15 HB19 HC01 HC14 HD03 HD06 5K033 AA08 BA01 CB08 DA05 DA19 DB18 EC03 5K067 AA33 BB00 BB21 EE02 EE04 HH05 HH22 HH23 9A001 EE03 JJ18 JJ25 LL03 ──────────────────────────────────────────────────続 き Continuing on the front page F term (reference) 5J104 AA07 KA01 KA09 KA10 NA05 NA27 NA38 PA01 PA07 5K030 GA15 HB19 HC01 HC14 HD03 HD06 5K033 AA08 BA01 CB08 DA05 DA19 DB18 EC03 5K067 AA33 BB00 BB21 EE02 EE04 HH05H 001 LL03
Claims (7)
現する移動IPシステムにおけるホームネットワーク側
のアクセス認証装置であって、 移動登録通信の開始時に移動クライアントから受信した
ユーザ認証情報によって、前記ホームネットワーク上の
他の計算機に設けられたアクセス認証サーバにユーザ認
証をさせるとともに、その結果ユーザ確認された場合に
は当該ユーザ認証情報を一時的に保存する通信開始時ア
クセス認証処理手段と、 前記移動クライアントとの移動登録通信が行われている
間、前記通信開始時アクセス認証処理手段の保存処理に
より、ユーザ確認されたユーザ認証情報を保持するユー
ザ認証情報データベースと、 前記移動クライアントから移動登録通信を維持するため
の定期的な確認パケットを受信すると、当該確認パケッ
トからユーザ認証情報を取り出すとともに、当該ユーザ
認証情報と、前記ユーザ認証情報データベースに保持さ
れたユーザ認証情報とを比較照合してユーザ確認を行
い、当該移動クライアントが不正ユーザである場合には
移動登録通信を終了させる通信中アクセス認証処理手段
とを備えたことを特徴とする移動IPシステムのアクセ
ス認証装置。1. An access authentication device on a home network side in a mobile IP system for realizing a mobile function of a mobile IP protocol, wherein the access authentication device on the home network is provided by user authentication information received from a mobile client at the start of mobile registration communication. A communication start-time access authentication processing means for causing the access authentication server provided in another computer to perform user authentication, and temporarily storing the user authentication information when the user is confirmed as a result, While the mobile registration communication is being performed, the user authentication information database holding the user authentication information confirmed by the user by the storing process of the communication start access authentication processing means, and the mobile client to maintain the mobile registration communication from the mobile client. Receiving the regular confirmation packet of The user authentication information is extracted from the confirmation packet, and the user authentication information is compared with the user authentication information held in the user authentication information database to perform user confirmation. If the mobile client is an unauthorized user, An access authentication device for a mobile IP system, comprising: a communication access authentication processing means for terminating mobile registration communication.
ト内の前記ユーザ確認情報には、パケット送出毎に異な
る暗号化がなされていることを特徴とする請求項1記載
の移動IPシステムのアクセス認証装置。2. The access authentication device for a mobile IP system according to claim 1, wherein the user confirmation information in the packet transmitted by the mobile client is encrypted differently for each packet transmission.
は、ユーザ確認時にホームネットワーク上に設けられた
他の計算機から当該ユーザについてのアクセス許可情報
を取得し、当該アクセス許可情報を一時的に保存すると
ともに、 前記移動クライアントとの移動登録通信が行われている
間、前記通信開始時アクセス認証処理手段によって取得
されたアクセス許可情報を保持するアクセス許可情報デ
ータベースを備え、 前記通信中アクセス認証処理手段は、前記移動クライア
ントから処理要求のパケットを代理受信したときには、
前記アクセス情報データベースからアクセス許可情報を
取り出し、そのアクセス許可情報に基づいて要求された
処理を実行するか否かを決定することを特徴とする請求
項1又は2記載の移動IPシステムのアクセス認証装
置。3. The communication start-time access authentication processing means acquires access permission information for the user from another computer provided on the home network at the time of user confirmation, and temporarily stores the access permission information. And while the mobile registration communication is being performed with the mobile client, an access permission information database holding access permission information acquired by the communication start-time access authentication processing means is provided. When the processing request packet is received by proxy from the mobile client,
3. The access authentication device for a mobile IP system according to claim 1, wherein access permission information is extracted from the access information database, and whether to execute a requested process is determined based on the access permission information. .
現する移動IPシステムにおける移動クライアント側の
アクセス認証装置であって、 移動登録通信を開始する際のユーザ認証情報をホームネ
ットワークに送出すると共に、ホームネットワークから
移動登録通信の許可を受けると、前記ユーザ認証情報を
一時的に保存する通信開始時アクセス認証処理手段と、 前記移動クライアントとの移動登録通信が行われている
間、前記通信開始時アクセス認証処理手段の保存処理に
より、ユーザ確認されたユーザ認証情報を保持するユー
ザ認証情報データベースと、 前記移動クライアントから移動登録通信を維持するため
の定期的な確認パケットを送信する際に、前記ユーザ認
証情報データベースに保持されるユーザ認証情報を前記
確認パケットに含める通信中アクセス認証処理手段とを
備えたことを特徴とする移動IPシステムのアクセス認
証装置。4. An access authentication device on a mobile client side in a mobile IP system for realizing a mobile function of a mobile IP protocol, wherein user authentication information for starting mobile registration communication is sent to a home network, and a home network is provided. A communication start-time access authentication processing means for temporarily storing the user authentication information when the mobile registration communication is permitted from the mobile client; and the communication start-time access authentication during the mobile registration communication with the mobile client. A user authentication information database that holds user authentication information confirmed by the user by the storage processing of the processing unit; and a user that transmits the user authentication information when a periodic confirmation packet for maintaining mobile registration communication is transmitted from the mobile client. The user authentication information stored in the database is added to the confirmation packet. And an access authentication processing means during communication.
記通信開始時アクセス認証処理手段及び又は前記通信中
アクセス認証処理手段を起動するためのユーザ認証情報
を、前記移動登録通信の許可を得るためのユーザ認証情
報と関連づけて保持すると共に、 前記通信開始時アクセス認証処理手段及び又は前記通信
中アクセス認証処理手段は、起動用のユーザ認証情報又
は通信許可用のユーザ認証情報の何れかの一方の入力に
より他方の認証情報をも前記ユーザ認証情報データベー
スから取り出して使用することを特徴とする請求項4記
載の移動IPシステムのアクセス認証装置。5. The user authentication information database according to claim 1, wherein the user authentication information for activating the communication start access authentication processing means and / or the communication access authentication processing means is provided for the user for obtaining permission for the mobile registration communication. While holding in association with authentication information, the communication start-time access authentication processing means and / or the communication-in-progress access authentication processing means are configured to input either user authentication information for activation or user authentication information for communication permission. 5. The access authentication device for a mobile IP system according to claim 4, wherein the other authentication information is also taken out from the user authentication information database and used.
現させる移動IPシステムにおけるホームネットワーク
側のアクセス認証装置を制御するプログラムであって、 コンピュータに、 移動登録通信の開始時に移動クライアントから受信した
ユーザ認証情報によって、前記ホームネットワーク上の
他の計算機に設けられたアクセス認証サーバにユーザ認
証をさせるとともに、その結果ユーザ確認された場合に
は当該ユーザ認証情報をユーザ認証情報データベースに
一時的に保存させる通信開始時アクセス認証処理手段
と、 前記移動クライアントから移動登録通信を維持させるた
めの定期的な確認パケットが受信されると、当該確認パ
ケットからユーザ認証情報を取り出させるとともに、当
該ユーザ認証情報と、前記ユーザ認証情報データベース
に保持されたユーザ認証情報とを比較照合してユーザ確
認を行わせ、当該移動クライアントが不正ユーザである
場合には移動登録通信を終了させる通信中アクセス認証
処理手段とを有するプログラムを記憶したコンピュータ
読み取り可能な記憶媒体。6. A program for controlling an access authentication device on a home network side in a mobile IP system for realizing a mobile function of a mobile IP protocol, comprising: a user authentication information received from a mobile client at the start of mobile registration communication; With this, a communication start is performed in which an access authentication server provided in another computer on the home network performs user authentication, and when the user is confirmed as a result, the user authentication information is temporarily stored in a user authentication information database. Access authentication processing means, when a periodic confirmation packet for maintaining mobile registration communication is received from the mobile client, user authentication information is extracted from the confirmation packet, and the user authentication information and the user Authentication information database A mobile access authentication processing means for making a user confirmation by comparing and collating with the user authentication information held in the mobile device, and terminating the mobile registration communication when the mobile client is an unauthorized user. Computer readable storage medium.
は、ユーザ確認時にホームネットワーク上に設けられた
他の計算機から当該ユーザについてのアクセス許可情報
を取得させ、当該アクセス許可情報をアクセス許可情報
データベースに一時的に保存させ、 前記通信中アクセス認証処理手段は、前記移動クライア
ントから処理要求のパケットが代理受信されたときに
は、前記アクセス情報データベースからアクセス許可情
報を取り出させ、そのアクセス許可情報に基づいて要求
された処理を実行するか否かを決定させることを特徴と
する請求項6記載のコンピュータ読み取り可能な記憶媒
体。7. The communication start-time access authentication processing means obtains access permission information for the user from another computer provided on the home network at the time of user confirmation, and stores the access permission information in an access permission information database. When a packet of a processing request is received as a proxy from the mobile client, the communication access authentication processing means retrieves access permission information from the access information database, and makes a request based on the access permission information. 7. The computer-readable storage medium according to claim 6, wherein it is determined whether to execute the performed processing.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10320588A JP2000151677A (en) | 1998-11-11 | 1998-11-11 | Access authentication device for mobile ip system and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10320588A JP2000151677A (en) | 1998-11-11 | 1998-11-11 | Access authentication device for mobile ip system and storage medium |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000151677A true JP2000151677A (en) | 2000-05-30 |
Family
ID=18123104
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10320588A Pending JP2000151677A (en) | 1998-11-11 | 1998-11-11 | Access authentication device for mobile ip system and storage medium |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000151677A (en) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002042029A (en) * | 2000-07-24 | 2002-02-08 | Soriton Syst:Kk | Electronic settlement method |
| KR20020020404A (en) * | 2000-09-08 | 2002-03-15 | 윤종용 | Method for composing internet protocol sim card funtion of mobile phone |
| JP2005182259A (en) * | 2003-12-17 | 2005-07-07 | Sony Corp | Information processing system and information processing method, information processor and information processing method, recording medium and program |
| WO2006041080A1 (en) * | 2004-10-12 | 2006-04-20 | Matsushita Electric Industrial Co., Ltd. | Firewall system and firewall control method |
| KR100655568B1 (en) * | 2000-09-22 | 2006-12-08 | 주식회사 케이티 | Apparatus and method of a wireless internet services |
| JP2009181302A (en) * | 2008-01-30 | 2009-08-13 | Nec Corp | Communication network system, communication apparatus, failure cause isolating method, its program, and program recording medium |
| US7810161B2 (en) * | 2001-03-31 | 2010-10-05 | Lg Electronics Inc. | Apparatus and method for moving contents after mutual authentication |
| JP2010273359A (en) * | 2002-12-12 | 2010-12-02 | Qualcomm Inc | Early determination of network support for mobile ip |
| JP2016019120A (en) * | 2014-07-08 | 2016-02-01 | 日本電気通信システム株式会社 | Decryption device, communication system, decryption method, and program |
-
1998
- 1998-11-11 JP JP10320588A patent/JP2000151677A/en active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4616448B2 (en) * | 2000-07-24 | 2011-01-19 | 株式会社ソリトンシステムズ | Electronic payment system and electronic payment method using the same |
| JP2002042029A (en) * | 2000-07-24 | 2002-02-08 | Soriton Syst:Kk | Electronic settlement method |
| KR20020020404A (en) * | 2000-09-08 | 2002-03-15 | 윤종용 | Method for composing internet protocol sim card funtion of mobile phone |
| KR100655568B1 (en) * | 2000-09-22 | 2006-12-08 | 주식회사 케이티 | Apparatus and method of a wireless internet services |
| US7895660B2 (en) | 2001-03-31 | 2011-02-22 | Lg Electronics Inc. | Method and apparatus for moving contents using copy and movement control information |
| US7810161B2 (en) * | 2001-03-31 | 2010-10-05 | Lg Electronics Inc. | Apparatus and method for moving contents after mutual authentication |
| JP2010273359A (en) * | 2002-12-12 | 2010-12-02 | Qualcomm Inc | Early determination of network support for mobile ip |
| JP2005182259A (en) * | 2003-12-17 | 2005-07-07 | Sony Corp | Information processing system and information processing method, information processor and information processing method, recording medium and program |
| JP4661045B2 (en) * | 2003-12-17 | 2011-03-30 | ソニー株式会社 | Information processing system and method, information processing apparatus and method, recording medium, and program |
| WO2006041080A1 (en) * | 2004-10-12 | 2006-04-20 | Matsushita Electric Industrial Co., Ltd. | Firewall system and firewall control method |
| CN101040497B (en) * | 2004-10-12 | 2010-05-12 | 松下电器产业株式会社 | Firewall system and firewall control method |
| US7950053B2 (en) | 2004-10-12 | 2011-05-24 | Panasonic Corporation | Firewall system and firewall control method |
| JP2009181302A (en) * | 2008-01-30 | 2009-08-13 | Nec Corp | Communication network system, communication apparatus, failure cause isolating method, its program, and program recording medium |
| JP2016019120A (en) * | 2014-07-08 | 2016-02-01 | 日本電気通信システム株式会社 | Decryption device, communication system, decryption method, and program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3995338B2 (en) | Network connection control method and system | |
| USRE45532E1 (en) | Mobile host using a virtual single account client and server system for network access and management | |
| US7508767B2 (en) | Access management method and access management server | |
| US6971005B1 (en) | Mobile host using a virtual single account client and server system for network access and management | |
| US8239933B2 (en) | Network protecting authentication proxy | |
| CA2407482C (en) | Security link management in dynamic networks | |
| JP3505058B2 (en) | Network system security management method | |
| US7743404B1 (en) | Method and system for single signon for multiple remote sites of a computer network | |
| JP5494816B2 (en) | COMMUNICATION CONTROL DEVICE, SYSTEM, METHOD, AND PROGRAM | |
| KR100789123B1 (en) | Preventing unauthorized access of computer network resources | |
| RU2412480C2 (en) | System and method of establishing whether server and correspondent have coordinated secure mail | |
| US20040153560A1 (en) | Maintenance interface user authentication method and apparatus in client/server type distribution system | |
| JP2002373153A (en) | Biometric authenticated vlan | |
| US20050081066A1 (en) | Providing credentials | |
| JP2003228520A (en) | Method and system for offline access to secured electronic data | |
| CN101714918A (en) | Safety system for logging in VPN and safety method for logging in VPN | |
| WO2009074082A1 (en) | Access controlling method?system and device | |
| WO2006058493A1 (en) | A method and system for realizing the domain authentication and network authority authentication | |
| JP2009163546A (en) | Gateway, repeating method and program | |
| CN101873216B (en) | Host authentication method, data packet transmission method and receiving method | |
| JP2004062417A (en) | Certification server device, server device and gateway device | |
| JP2000151677A (en) | Access authentication device for mobile ip system and storage medium | |
| US20030226037A1 (en) | Authorization negotiation in multi-domain environment | |
| KR20050068826A (en) | Method of roaming service between public wireless lan and enterprise wireless lan | |
| JPH1185687A (en) | Mobile computer system, read control method and message transmission control method |