JP2002049589A - パスワード供給方法、アクセス認証方法、認証装置およびリモートアクセス認証システム - Google Patents

パスワード供給方法、アクセス認証方法、認証装置およびリモートアクセス認証システム

Info

Publication number
JP2002049589A
JP2002049589A JP2000234817A JP2000234817A JP2002049589A JP 2002049589 A JP2002049589 A JP 2002049589A JP 2000234817 A JP2000234817 A JP 2000234817A JP 2000234817 A JP2000234817 A JP 2000234817A JP 2002049589 A JP2002049589 A JP 2002049589A
Authority
JP
Japan
Prior art keywords
password
authentication
common
user
common password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000234817A
Other languages
English (en)
Inventor
Yoshihiro Yamada
善大 山田
Megumi Hasegawa
恵 長谷川
Midori Matsubayashi
みどり 松林
Takeshi Karasutani
健 烏谷
Kazuhiro Shin
和博 新
Shigeeda Suzuki
慈枝 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2000234817A priority Critical patent/JP2002049589A/ja
Publication of JP2002049589A publication Critical patent/JP2002049589A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 パスワードを簡易に供給する。 【解決手段】 認証サーバ10は、所定周期で共通パス
ワード#1を生成し、これをグループ情報Gj1ととも
に、無線呼出通信網NET1を介して一斉同報送信する
(Sa1)。すると、ページャP1に共通パスワード#
1が表示される。利用者が認証パスワードPSWを入力
すると(Sa4)、パーソナルコンピュータPC1は、
アクセス要求ARを通信網NET2を介してLAN1の
リモートアクセスサーバ20に送信する(Sa5)。リ
モートアクセスサーバ20は、認証パスワードPSWを
含む問い合わせ要求Xを認証サーバ10に送信する。認
証サーバ10は、利用者の正当性を判定し(Sa6)、
判定結果に基づく回答通知Yを返送する(Sa7)。リ
モートアクセスサーバ20は、回答通知Yが正当である
旨を示す場合にアクセスを許可する(ステップSa1
0)。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ローカルエリアネ
ットワーク(LAN)へのアクセスを正規の利用者に対
してのみ許可するのに好適なパスワード供給方法、アク
セス認証方法、認証装置およびリモートアクセス認証シ
ステムに関する。
【0002】
【従来の技術】近年、外部からのアクセスを許容する社
内LANが普及している。この種のLANは、不正なア
クセスを防止するため、利用者からのパスワードやID
を用いて、アクセスを許容するか否かを判定する認証機
能を備えている。しかし、利用者のパスワードやIDが
第三者に盗まれると、許可されていない第三者がLAN
に侵入してくる危険性がある。そこで、一定時間毎に変
化するワンタイムパスワードを利用した認証システムが
提案され、既に実用化されている。この認証システムで
は、各利用者がカード型のパスワード生成装置を各々携
帯し、パスワード生成装置で一定時間毎に生成されるワ
ンタイムパスワードを用いてLANにアクセス要求を行
う一方、LAN内部の認証サーバはワンタイムパスワー
ドの正当性を判定し、その判定結果に基づいてアクセス
を許容している。
【0003】
【発明が解決しようとする課題】ところで、従来の認証
システムでは、認証サーバとパスワード生成装置との間
でワンタイムパスワードの同期を取る必要があるため、
認証サーバおよびパスワード生成装置は正確な時計を内
蔵する必要がある。しかしながら、パスワード生成装置
と認証サーバとのうちいずれか一方の時計が故障する
と、それが復旧したとしとても他方の時計とズレが生じ
るため、時間合わせをやり直す必要がある。特に、認証
サーバの時計が故障した場合には、総ての利用者からパ
スワード生成装置を回収しなければならないため、負担
が大きい。
【0004】また、パスワード生成装置は携帯型である
ため、内蔵する電池から給電を受けて動作するが、電池
が消耗すると時計に狂いが生じ、正確なパスワードを発
生することができない。くわえて、電池交換の際に時計
が止まるためこれを利用者に委ねることができず、回収
して電池交換を行った後に時間合わせ行う必要がある。
すなわち、従来の認証システムではパスワード生成装置
を継続して使用することができないといった問題があっ
た。
【0005】さらに、従来の認証システムでは、パスワ
ード生成装置が非常に高価であるため、大規模な普及に
は至っていないという問題がある。
【0006】本発明は以上の点に鑑みなされたもので、
時間ズレの問題がなく、しかも既存の資源を有効に利用
できるパスワード供給方法、アクセス認証方法、認証装
置およびリモートアクセス認証システムを提供すること
を目的とする。
【0007】
【課題を解決するための手段】上述した課題を解決する
ため、請求項1に記載の発明は、複数の利用者がコンピ
ュータ資源にアクセスするために共通に使用する共通パ
スワードを時間間隔を空けて繰り返し更新し、この更新
を行う毎に、共通パスワードを前記複数の利用者に配信
することを特徴とするパスワード供給方法を提供する。
請求項2に係る発明は、前記複数の利用者をグループに
分け、各グループ毎に、当該グループに属する利用者が
共通に使用する共通パスワードの更新を繰り返し、この
更新を行う毎に、当該グループに属する利用者に共通パ
スワードを配信することを特徴とする請求項1に記載の
パスワード供給方法を提供する。請求項3に係る発明
は、前記共通パスワードを当該グループに属する利用者
に配信する際には、予め登録された当該グループに属す
る利用者の無線呼出端末に対して、当該共通パスワード
を一斉同報送信することを特徴とする請求項2に記載の
パスワード供給方法を提供する。
【0008】請求項4に係る発明は、利用者の正当性を
確認することを条件にコンピュータ資源へのアクセスを
許可するアクセス認証方法において、複数の利用者が前
記コンピュータ資源へのアクセスのために共通に使用す
る共通パスワードを繰り返し更新し、この更新を行う毎
に、各利用者の各無線通信端末に共通パスワードを配信
し、前記複数の利用者のうち前記共通パスワードの配信
を受けた者が、前記共通パスワードに基づいて認証に必
要な認証パスワードを送信してきたときに、前記認証パ
スワードが正当であるか否かを判定し、判定結果に基づ
いて前記コンピュータ資源へのアクセスを許可すること
を特徴とするアクセス認証方法を提供する。請求項5に
係る発明は、前記複数の利用者をグループに分け、各グ
ループ毎に、当該グループに属する利用者が共通に使用
する共通パスワードの更新を繰り返し、この更新を行う
毎に、当該グループに属する利用者に共通パスワードを
配信することを特徴とする請求項4に記載のアクセス認
証方法を提供する。
【0009】請求項6に係る発明は、前記認証パスワー
ドは、前記共通パスワードと各利用者を識別するための
個人パスワードとを含むことを特徴とする請求項4また
は5に記載のアクセス認証方法を提供する。
【0010】請求項7に係る発明は、通信網を介して共
通パスワードを利用者に配信する一方、当該共通パスワ
ードを用いてアクセスを許可するコンピュータシステム
に用いられる認証装置であって、利用者が共通に使用す
る共通パスワードを繰り返し更新する共通パスワード生
成部と、前記共通パスワード生成部によって前記共通パ
スワードが更新される毎に、該共通パスワードを前記通
信網に送信する送信部と、外部から当該コンピュータシ
ステムにアクセス要求があったとき、外部から送信され
る認証パスワードと前記共通パスワードとに基づいて、
当該アクセス要求を許容する否かを判定する判定部とを
備えることを特徴とする認証装置を提供する。
【0011】請求項8に係る発明は、前記共通パスワー
ド生成部は、利用者をグループに分け、各グループ内で
共通に使用する各共通パスワードを繰り返し更新するこ
とを特徴とする請求項7に記載の認証装置を提供する。
請求項9に係る発明は、前記認証パスワードは、前記共
通パスワードと各利用者を識別するための個人パスワー
ドとを含み、前記判定部は、各グループの種別と前記個
人パスワードとを対応付けて記憶する記憶部を備え、前
記認証パスワードから分離した前記個人パスワードに基
づいて、前記記憶部から対応するグループの種別を読み
出し、読み出されたグループの種別に対応する共通パス
ワードを特定し、特定された共通パスワードと前記認証
パスワードから分離した共通パスワードとが一致すると
き、アクセス要求を許容することを特徴とする請求項8
に記載の認証装置を提供する。請求項10に係る発明
は、前記共通パスワード生成部は、各グループのセキュ
リティレベルに応じて、前記共通パスワードのワード長
を定めることを特徴とする請求項8に記載の認証装置を
提供する。請求項11に係る発明は、前記共通パスワー
ド生成部は、各グループのセキュリティレベルに応じ
て、前記共通パスワードの更新周期を定めることを特徴
とする請求項8に記載の認証装置を提供する。
【0012】請求項12に係る発明は、利用者の正当性
を確認してから当該利用者の端末からコンピュータ資源
へアクセスを許可するリモートアクセス認証システムに
おいて、認証サーバおよびリモートアクセスサーバを含
むコンピュータシステムと、前記利用者の無線通信端末
と、前記コンピュータシステムから利用者が共通に使用
する共通パスワードを受信すると、前記各無線通信端末
に対して当該共通パスワードを配信する通信網とを備
え、前記認証サーバは、前記共通パスワードを繰り返し
更新し、この更新を行う毎に、前記共通パスワードを前
記通信網に送信し、前記リモートアクセスサーバは、前
記各無線通信端末への前記共通パスワードの通知によ
り、前記利用者が、前記共通パスワードと当該利用者を
識別するための個人パスワードとを含む認証パスワード
を用いて前記コンピュータシステムに対して行うアクセ
ス要求を受け、前記認証サーバに前記認証パスワードが
正当であるか否かを問い合わせ、前記認証サーバから正
当であると通知を受けた場合にのみ当該アクセス要求を
許容することを特徴とするリモートアクセス認証システ
ムを提供する。
【0013】
【発明の実施の形態】以下、図面を参照しつつ、本発明
の一実施形態であるリモートアクセス認証システムにつ
いて説明する。 <1.リモートアクセス認証システムの概要>図1は実
施形態に係るリモートアクセス認証システムの全体構成
を示すブロック図である。この図に示すようにリモート
アクセス認証システムは、LAN1、無線呼出通信網N
ET1、通信網NET2、および複数の利用者グループ
G1、G2…を含んでいる。利用者グループG1、G2
…は、LAN1に対してアクセスが許可される利用者を
グループ分けしたものであり、各利用者がグループと1
対1に対応しても良いし、あるいは、特定の利用者が複
数のグループに属してもよい。そして、各利用者グルー
プG1、G2…に対して、共通パスワード#1、#2…
が割り当てられる。例えば、利用者グループG1に属す
る各利用者は、共通パスワード#1と個々人を識別する
ための個人パスワードPINを用いて、LAN1にアク
セスすることになる。なお、以下の説明では、利用者が
認証のために用いる共通パスワード#1、#2…と個人
パスワードPINとの組合わせを、認証パスワードPS
Wと称する。また、各利用者グループG1、G2…の種
別を特定する情報をグループ情報Gj1、Gj2…と称
することにする。
【0014】このように利用者をグループ分けし、各利
用者グループG1、G2…に対して共通パスワード#
1、#2…を発行したのは、以下の理由による。第1
に、各利用者毎に異なるパスワードを発行すると、これ
を各利用者毎に通知する必要があるが、共通パスワード
#1、#2…を用いる場合には、後述するように一斉同
報送信によって通知することができるので、パスワード
を簡便に供給することができるからである。
【0015】第2に、各利用者毎に異なるパスワードを
発行すると、これを発行するサーバの負荷が重くなり、
当該サーバで実行する他の処理が遅延するおそれがあ
る。これに対して、共通パスワード#1、#2…を用い
ると、サーバの負荷を大幅に削減することができるから
である。
【0016】第3に、社内で用いられるLANは、例え
ば、社員データベース、顧客データベース、売上データ
ベースといったように各種のコンピュータ資源を有して
いる。そして、利用者は総てのコンピュータ資源にアク
セスできるのではなく、限られた範囲内でコンピュータ
資源にアクセスすることが許される。すなわち、各利用
者に対応してアクセスが許可されるコンピュータ資源が
特定される。一方、外部からのアクセスに対するセキュ
リティは、アクセス可能なコンピュータ資源の範囲が広
い程、高くする必要がある。したがって、アクセス権限
の範囲に応じて利用者をグループ分けし、各利用者グル
ープG1、G2…毎に、セキュリティレベルが異なる共
通パスワード#1、#2…を発行することによって、セ
キュリティとパスワード処理の負荷とのバランスを調整
することができるからである。
【0017】<2.LAN>次に、LAN1は、認証サ
ーバ10、暗証番号データベース11、認証サーバ10
およびリモートアクセスサーバ20を接続するバスBU
Sを備えている。まず、認証サーバ10は、上述した共
通パスワード#1、#2…を所定周期毎に更新しつつ生
成し、これを無線呼出通信網NET1に送信する機能を
有している。また、認証サーバ10は、アクセス要求が
あった利用者から受信した共通パスワード#1、#2…
の正当性を判定する機能を有している。次に、暗証番号
データベース11は、図2に示すように個人パスワード
PINとグループ情報Gj1、Gj2…とを対応付けて
記憶している。したがって、個人パスワードPINを用
いて暗証番号データベース11をアクセスすると、対応
する利用者グループG1、G2…を知ることができる。
次に、リモートアクセスサーバ20は、利用者から認証
パスワードPSWの通知を受け、これを認証サーバ10
に転送して正当であるか否かの問い合わせを行う機能を
有している。また、リモートアクセスサーバ20は、認
証サーバ10から正当であるとの通知を受けた場合にの
み利用者からのアクセス要求を許容する機能を有してい
る。
【0018】図2は、LAN1を構成する主要装置の機
能を示す機能ブロック図である。この図に示すように認
証サーバ10は、共通パスワード生成部110、インタ
ーフェース部120、記憶部130および判定部140
を備えている。共通パスワード生成部110は、共通パ
スワード#1、#2…を所定周期毎に更新しつつ生成
し、グループ情報と共通パスワードとの組(Gj1、#
1)、(Gj2、#2)…を出力する。共通パスワード
生成部110は、専用のDSP(Dgital SignalProseco
r)で構成してもよいし、あるいはソフトウエアにより
実現してもよい。
【0019】ところで、共通パスワード#1、#2…の
ワード長が長い程、セキュリティレベルが向上する。こ
のため、各利用者グループG1、G2…のセキュリティ
レベルに応じてワード長を定めることが好ましい。ま
た、共通パスワード#1、#2…の更新周期が短い程、
セキュリティレベルが向上する。このため、各利用者グ
ループG1、G2…のセキュリティレベルに応じて共通
パスワード#1、#2…の更新周期を定めることが好ま
しい。
【0020】また、この例では、共通パスワード生成部
110は、共通パスワード#1、#2…のワード長およ
び更新周期を個別的に変更し得るように構成されてい
る。従って、必要に応じてワード長または更新周期の個
別的な変更を行うことにより、各利用者グループG1、
G2…のセキュリティレベルを動的に変更することがで
きる。例えば、ある時点から利用者グループG1に売上
データベースへのアクセスを許容する場合には、当該時
点から共通パスワード#1のワード長を長くしたり、あ
るいは共通パスワード#1の更新周期を短くして、セキ
ュリティレベルを上げることが可能である。
【0021】次に、インターフェース部120は、無線
通信網NET1とのインタフェースとして機能し、モデ
ム等によって構成される。そして、送信部120は、共
通パスワード生成部110によって生成されるグループ
情報と共通パスワードとの組(Gj1、#1)、(Gj
2、#2)…を無線通信網NET1に出力する。
【0022】次に、記憶部130は、RAM等によって
構成されており、そこには、グループ情報Gj1、Gj
2…と共通パスワード#1、#2…とが対応付けられて
記憶されている。また、記憶部130は、新たな共通パ
スワード#1、#2…が発行される度に、その記憶内容
が更新されるようになっている。したがって、記憶部1
30を参照すれば、現在の共通パスワード#1、#2…
を知ることができる。
【0023】次に、判定部140は、リモートアクセス
サーバ20からの問い合わせ要求Xに対して回答通知Y
を返送する。問い合わせ要求Xは、認証パスワードPS
Wを含んでいる。判定部130は、認証パスワードPS
Wを構成する共通パスワード#1、#2…と個人パスワ
ードPINとに基づいて、回答通知Yを生成する。具体
的には、まず、判定部140は、認証パスワードPSW
を共通パスワード#1、#2…と個人パスワードPIN
とに分離する。次に、判定部140は、個人パスワード
PINを用いて、暗証番号データベース11にアクセス
して当該個人パスワードPINに対応するグループ情報
Gj1、Gj2…を取得する。この際、暗証番号データ
ベース11から該当する個人パスワードPINが存在し
ない旨の通知を受け取った場合には、判定部140は、
不正である旨の回答通知Yを発行し、これをリモートア
クセスサーバ20に返送する。
【0024】一方、暗証番号データベース11から対応
するグループ情報Gj1、Gj2…を受け取った場合に
は、判定部140は、受け取ったグループ情報Gjを用
いて、記憶部130にアクセスして現時点での共通パス
ワード#1、#2…を取得し、これと認証パスワードP
SWから分離された共通パスワード#1、#2…を比較
し、両者が一致するか否かを判定する。そして、判定部
140は、両者が一致する場合に正当である旨の回答通
知Yを発行する一方、両者が不一致の場合に不正である
旨の回答通知Yを発行して、これをリモートアクセスサ
ーバ20に返送する。
【0025】次に、リモートアクセスサーバ20は、イ
ンターフェース部210とアクセス制御部220とを備
えている。インターフェース部210は、通信網NET
2とのインタフェースとして機能し、モデム等によって
構成される。アクセス制御部220は、インタフェース
部210を介して外部からのアクセス要求を受け取る。
アクセス要求には、認証パスワードPSWが含まれてい
る。アクセス制御部220は、アクセス要求に基づい
て、認証パスワードPSWを含む問い合わせ要求Xを発
行し、これを認証サーバ10に送り、認証サーバ10か
ら回答通知Yを受け取る。そして、アクセス制御部22
0は、正当である旨の回答通知Yを受け取ると、アクセ
スを許可しLAN1と利用者からの通信回線とを接続す
る一方、不正である旨の回答通知Yを受け取ると、アク
セス要求を拒絶しその旨をインターフェース部210を
介してアクセス要求があった利用者に通知する。これに
よって、第三者が不正にLAN1に侵入することを防止
することができる。
【0026】<3.無線呼出通信網および通信網>次
に、図1に示す無線呼出通信網NET1は、その内部に
集中管理局と複数の基地局とを有している。集中管理局
は、一斉同報通信サービスの対象となる各利用者グール
プG1、G2…と各無線呼出端末を識別するためのID
とを対応付けて記憶している。また、集中管理局は、上
述した認証サーバ10から、利用者クループG1、G2
…の種別を特定するグループ情報Gj1、Gj2…と共
通パスワード#1、#2…との組を受け取ると、各利用
者グループG1、G2…に属する各無線呼出端末に対し
て対応する共通パスワード#1、#2…を一斉同報送信
するように基地局を制御する。無線呼出通信網NET1
を共通パスワード#1、#2…の供給に用いたのは、無
線呼出通信網NET1には下り通信回線だけで、上り通
信回線がないものの、共通パスワード#1、#2…の供
給にはこれで十分であり、しかも、インターネットのよ
うに途中で通信情報が読み取られるといったことがない
ため、セキュリティレベルが比較的高く、さらに、一斉
同報送信を容易に行うことができるといった利点がある
からである。
【0027】次に、通信網NET2は、双方向の通信が
行えるものであればどのようなものであってもよいが、
例えば、固定通信網や移動体通信網等が該当する。この
通信網NET2は、利用者のコンピュータおよびLAN
1間の通信を仲介する。これにより、遠隔地にいる利用
者はLAN1にアクセスすることが可能となる。
【0028】<4.利用者グループ>次に、利用者グル
ープG1、G2…について、利用者グループG1を一例
として説明する。図1に示すように利用者グループG1
に属する各利用者は、ページャP1、P2…、携帯型の
パーソナルコンピュータPC1、PC2…を有してい
る。なお、他の利用者グループG2…についても利用者
グループG1と同様である。
【0029】各ページャP1、P2…は、表示部を備え
ており、そこには共通パスワード#1が表示されるよう
になっている。例えば、共通パスワード#1が「123
456789」であるとすれば、利用者グループG1に
係る総てのページャP1、P2…の表示部には、図に示
すように「123456789」が表示される。また、
共通パスワード#1が認証サーバ10によって更新され
ると、更新された共通パスワード#1が各ページャP
1、P2…の表示部に表示されることになる。
【0030】各パーソナルコンピュータPC1、PC2
…は、LAN1との間で通信を行うための通信ソフトお
よびモデムを内蔵している。利用者がLAN1との間で
通信を行う際には、この通信ソフトを起動することにな
る。この通信ソフトは、モデムを制御するとともに、利
用者に対して、個人パスワードPINと共通パスワード
#1との入力を促す画面を表示させる。この表示画面に
従って利用者が個人パスワードPSWと共通パスワード
#1を入力すると、通信ソフトは、これらを認証パスワ
ードPSWとし、これをアクセス要求に含めて、リモー
トアクセスサーバ20に送信するように制御する。
【0031】以上の構成によれば、各ページャP1、P
2…には最新の共通パスワード#1が表示されるので、
利用者は最新の共通パスワード#1を用いてLAN1に
アクセスすることになる。したがって、共通パスワード
#1が第三者に盗まれたとしても、共通パスワード#1
が更新されれば、以前の共通パスワード#1は無効にな
るので、LAN1は高いセキュリティを保つことが可能
となる。
【0032】また、ページャP1、P2…の電池が消耗
して、共通パスワード#1の表示ができなくなったとし
ても、利用者が電池を交換すれば再び共通パスワード#
1を表示することができる。本実施形態では、共通パス
ワード#1はページャP1、P2…自体で生成している
のではなく、認証サーバ10で生成されるから、電池を
交換した後に時間合わせを行う必要がない。このこと
は、認証サーバ10の時計が故障した場合にも同様であ
り、総てのページャP1、P2…を回収して時間合わせ
を行う必要はもとよりない。したがって、パスワード生
成装置を用いた従来の認証システムと比較して、メンテ
ナンスを大幅に簡易化することができる。
【0033】<5.リモートアクセス認証システムの動
作>次に、リモートアクセス認証システムの動作例につ
いて説明する。図3は、当該認証システムの認証シーケ
ンスの一例を示す図である。ここでは、利用者グループ
G1に属し、ページャP1とパーソナルコンピュータP
C1とを有する利用者がLAN1にアクセスする場合を
一例として説明する。まず、認証サーバ10は、所定周
期で共通パスワード#1を生成し、これを利用者グルー
プG1を特定するグループ情報Gj1とともに、無線呼
出通信網NET1に送信する(ステップS1)。する
と、無線呼出通信網NET1の集中管理局がこれを受信
し、グループ情報Gj1に基づいて利用者グループG1
に属する各ページャP1、P2…を特定する(ステップ
S2)。この後、特定された各ページャP1、P2…に
対して共通パスワード#1が一斉同報送信される(ステ
ップS3)。
【0034】これにより、ページャP1に共通パスワー
ド#1が表示され、利用者に対して共通パスワード#1
が供給されることになる。ここで、利用者がLAN1に
対してアクセスしようとする場合には、パーソナルコン
ピュータPC1を操作して通信ソフトを起動し、共通パ
スワード#1と個人パスワードPINからなる認証パス
ワードPSWを入力する(ステップS4)。すると、パ
ーソナルコンピュータPC1は、認証パスワードPSW
を含むアクセス要求ARを通信網NET2を介してLA
N1のリモートアクセスサーバ20に送信する(ステッ
プS5)。
【0035】アクセス要求ARを受け取ったリモートア
クセスサーバ20は、アクセス要求ARから認証パスワ
ードPSWを分離し、分離した認証パスワードPSWを
含む問い合わせ要求Xを認証サーバ10に送信する。認
証サーバ10は、問い合わせ要求Xがあると、利用者の
正当性を判定する(ステップS6)。具体的には、認証
サーバ10は、問い合わせ要求Xから認証パスワードP
SWを分離し、さらに認証パスワードPSWを個人パス
ワードPINと共通パスワード#1とに分離する。続い
て、認証サーバ10は、当該個人パスワードPINに基
づいて、アクセス要求ARを行った利用者が属する利用
者グループの種別を特定し、当該グループで現在有効な
共通パスワード#1と認証パスワードPSWに含まれて
いる共通パスワード#1とを比較する。さらに、認証サ
ーバ10は、両者が一致するときには正当である旨の回
答通知Yを生成する一方、両者が不一致の場合には不正
である旨の回答通知Yを生成し、これをリモートアクセ
スサーバ20に返送する(ステップS7)。
【0036】ここで、回答通知Yが正当である旨を示す
ものであるとすれば、リモートアクセスサーバ20は、
パーソナルコンピュータPC1とLAN1とを接続して
アクセスを許可する(ステップS8)。一方、回答通知
Yが不正である旨を示す場合には、リモートアクセスサ
ーバ20は、パーソナルコンピュータPC1のアクセス
要求を拒否する。これにより、個人パスワードPINが
第三者に盗まれたとしてもLAN1への不正な侵入を防
止することができ、さらに共通パスワード#1が盗まれ
たとしても、共通パスワード#1は所定周期で更新され
るから、不正な侵入を防止することができる。くわえ
て、共通パスワード#1、#2…は、各利用者グループ
G1、G2…毎に一斉同報送信するので、その供給を簡
易なものにすることができる。
【0037】<6.変形例>以上、本発明の一実施形態
を説明したが、本発明は上述した実施形態に限定される
ものではなく、以下に述べる各種の変形が可能である。 (1)上述した実施形態にあっては、認証サーバ10
は、認証パスワードPSWに含まれる共通パスワード#
1、#2…が、最新の共通パスワード#1、#2…と一
致するか否かによって、正当であるか不正であるかを判
定した。しかしながら、認証サーバ10が共通パスワー
ド#1、#2…を生成してから、利用者が認証パスワー
ドPSWを入力してアクセス要求を行うまでには遅れが
あるので、この遅延時間を予め見込んで判定を行っても
よい。例えば、見込まれる遅延時間をT、時刻t1にお
いて認証サーバ10が共通パスワードを#1Aから#1
Bに更新したとすると、認証サーバ10は、時刻t1+
T以前において#1Aを用いて正当性の判定を行い、時
刻t1+Tを超えると#1Bを用いて正当性の判定を行
うようにしてもよい。
【0038】(2)また、認証サーバ10は一つ前の共
通パスワードを考慮して、正当性の判定を行ってもよ
い。図4は、一つ前の共通パスワードを考慮して正当性
の判定を行う場合のフローチャートである。同図におい
て符号Sは認証サーバ10に格納されている共通パスワ
ードであり、符号Uは利用者が入力した共通パスワード
であり、また、それらの添字nはシーケンス番号を示す
ものとする。また、この例の認証サーバ10は図2に示
す記憶部において、現在の共通パスワードSnから3つ
前の共通パスワードSn-3を記憶するものとする。
【0039】利用者のリモートアクセスが開始すると
(ステップSb1)、認証サーバ10は、そこに格納さ
れている最新の共通パスワードSnと利用者が入力した
共通パスワードUnとを比較し(ステップSb2)、両
者が一致する場合には、LAN1へのログインを許可す
る(ステップSb3)。一方、両者が不一致の場合に
は、ステップSb4に進んで、認証サーバ10はそこに
格納されている一つ前の共通パスワードSn-1と利用者
が入力した共通パスワードPnとを比較する(ステップ
Sb4)。
【0040】ここで、両者が一致した場合には、認証サ
ーバ10は利用者に1つ前の共通パスワードUn-1を入
力するように要求する(ステップSb5)。これに従っ
て、利用者が共通パスワードUn-1が入力すると、認証
サーバ10は、共通パスワードSn-2(2つ前)と共通
パスワードUn-1とが一致するか否かを判定する(ステ
ップSb6)。このとき、両者が一致するのであれば、
LAN1へのログインを許可し(ステップSb7)、両
者が不一致であれば、LAN1へのログインを拒否する
(ステップSb8)。
【0041】また、ステップSb4において、Sn-1と
Pnとが不一致であると判定された場合には、共通パス
ワードSn-2(2つ前)と共通パスワードUnとが一致
するか否かについてさらに判定する(ステップSb
9)。そして、この判定結果が不一致を示す場合には、
LAN1へのログインを拒否する(ステップSb1
0)。一方、両者が一致する場合には、認証サーバ10
は利用者に1つ前の共通パスワードUn-1を入力するよ
うに要求し(ステップSb11)。これに従って、利用
者が共通パスワードUn-1が入力すると、認証サーバ1
0は、共通パスワードSn-3(3つ前)と共通パスワー
ドUn-1とが一致するか否かを判定する(ステップSb
12)。このとき、両者が一致するのであれば、LAN
1へのログインを許可し(ステップSb13)、両者が
不一致であれば、LAN1へのログインを拒否する(ス
テップSb14)。
【0042】この例によれば、利用者が過去の共通パス
ワードを用いてアクセス要求を行った場合には、認証サ
ーバ10は、過去の共通パスワードが正当であるか否か
を判定し、正当である場合にはさらに一つ前の共通パス
ワードを要求して、利用者の正当性を判断するから、セ
キュリティレベルの低下を防止しつつ、過去の共通パス
ワードを用いてアクセス要求を行った利用者を救済する
ことが可能となる。
【0043】(3)上記実施形態では、複数の利用者の
無線呼出端末の一斉呼び出しを行い、各利用者の無線呼
出端末に共通パスワードを同時に配信するようにした
が、共通パスワードを配信するための通信手段はこれに
限定されるものではなく、無線によって情報の配信を受
けることができる無線通信端末であればいかなるもので
あってもよい。この無線通信端末としては、無線呼出端
末の他に、携帯電話端末やPDA(personal digital a
ssistant)等が該当する。例えば認証サーバ10が各利
用者の携帯電話端末やPDAの電話番号またはEメール
アドレスを予め記憶し、共通パスワードの更新を行う毎
に、各利用者の携帯電話端末やPDAを呼び出して共通
パスワードを配信するようにしてもよい。ここで、共通
パスワードは各利用者に同時に配信するのが好ましい
が、各利用者に順次配信してもよい。この場合、各利用
者への配信タイミングのずれが生じることになるが、こ
の時間的なずれが共通パスワードの更新周期と比べて十
分に短ければ実用上何ら問題はない。
【0044】(4)上記実施形態では、複数の利用者を
グループ分けし、各グループ毎に共通パスワードの更新
および配信を繰り返すようにしたが、このようなグルー
プ分けをしない態様での実施を妨げるものではない。
【0045】(5)共通パスワードの更新は、一定周期
で行う他、例えば時間帯によって異なった周期で行って
もよい。すなわち、共通パスワードの更新は時間を空け
て繰り返し行えばよく、厳密な意味での周期的な更新を
行う必要はない。
【0046】
【発明の効果】上述したように本発明によれば、各利用
者が共通に使用する共通パスワードを繰り返し更新し、
この更新を行う毎に、共通パスワードを各利用者に配信
するようにしたので、共通パスワードを認証サーバ自体
で管理することができ、利用者が用いるパスワードと認
証サーバが用いるパスワードとの時間ズレを無くすこと
ができる。
【図面の簡単な説明】
【図1】 本発明の一実施形態に係るリモートアクセス
認証システムの全体構成を示すブロック図である。
【図2】 同システムに用いられるLAN1を構成する
主要装置の機能を示す機能ブロック図である。
【図3】 同認証システムの認証シーケンスの一例を示
す図である。
【図4】 変形例に係るリモートアクセス認証システム
において、一つ前の共通パスワードを考慮して正当性の
判定を行う場合のフローチャートである。
【符号の説明】
1…LAN(コンピュータシステム) 10…認証サーバ(認証装置) 110…共通パスワード生成部 120…インターフェース部(送信部) 130…記憶部 140…判定部 20…リモートアクセスサーバ 210…アクセス制御部 220…インターフェース部 PSW…認証パスワード #1、#2…共通パスワード G1、G2…利用者グループ P1、P2…無線呼出端末 PC1、PC2…パーソナルコンピュータ PIN…個人パスワード NET1…無線呼出通信網 NET2…通信網
───────────────────────────────────────────────────── フロントページの続き (72)発明者 松林 みどり 東京都千代田区永田町二丁目11番1号 株 式会社エヌ・ティ・ティ・ドコモ内 (72)発明者 烏谷 健 東京都千代田区永田町二丁目11番1号 株 式会社エヌ・ティ・ティ・ドコモ内 (72)発明者 新 和博 東京都千代田区永田町二丁目11番1号 株 式会社エヌ・ティ・ティ・ドコモ内 (72)発明者 鈴木 慈枝 東京都千代田区永田町二丁目11番1号 株 式会社エヌ・ティ・ティ・ドコモ内 Fターム(参考) 5B085 AC13 AE03 AE23 BG07 5J104 AA16 EA03 EA16 KA01 KA21 MA01 NA05 PA03

Claims (12)

    【特許請求の範囲】
  1. 【請求項1】 複数の利用者がコンピュータ資源にアク
    セスするために共通に使用する共通パスワードを時間間
    隔を空けて繰り返し更新し、この更新を行う毎に、共通
    パスワードを前記複数の利用者に配信することを特徴と
    するパスワード供給方法。
  2. 【請求項2】 前記複数の利用者をグループに分け、各
    グループ毎に、当該グループに属する利用者が共通に使
    用する共通パスワードの更新を繰り返し、この更新を行
    う毎に、当該グループに属する利用者に共通パスワード
    を配信することを特徴とする請求項1に記載のパスワー
    ド供給方法。
  3. 【請求項3】 前記共通パスワードを当該グループに属
    する利用者に配信する際には、予め登録された当該グル
    ープに属する利用者の無線呼出端末に対して、当該共通
    パスワードを一斉同報送信することを特徴とする請求項
    2に記載のパスワード供給方法。
  4. 【請求項4】 利用者の正当性を確認することを条件に
    コンピュータ資源へのアクセスを許可するアクセス認証
    方法において、 複数の利用者が前記コンピュータ資源へのアクセスのた
    めに共通に使用する共通パスワードを繰り返し更新し、
    この更新を行う毎に、各利用者の各無線通信端末に共通
    パスワードを配信し、 前記複数の利用者のうち前記共通パスワードの配信を受
    けた者が、前記共通パスワードに基づいて認証に必要な
    認証パスワードを送信してきたときに、前記認証パスワ
    ードが正当であるか否かを判定し、 判定結果に基づいて前記コンピュータ資源へのアクセス
    を許可することを特徴とするアクセス認証方法。
  5. 【請求項5】 前記複数の利用者をグループに分け、各
    グループ毎に、当該グループに属する利用者が共通に使
    用する共通パスワードの更新を繰り返し、この更新を行
    う毎に、当該グループに属する利用者に共通パスワード
    を配信することを特徴とする請求項4に記載のアクセス
    認証方法。
  6. 【請求項6】 前記認証パスワードは、前記共通パスワ
    ードと各利用者を識別するための個人パスワードとを含
    むことを特徴とする請求項4または5に記載のアクセス
    認証方法。
  7. 【請求項7】 通信網を介して共通パスワードを利用者
    に配信する一方、当該共通パスワードを用いてアクセス
    を許可するコンピュータシステムに用いられる認証装置
    であって、 利用者が共通に使用する共通パスワードを繰り返し更新
    する共通パスワード生成部と、 前記共通パスワード生成部によって前記共通パスワード
    が更新される毎に、該共通パスワードを前記通信網に送
    信する送信部と、 外部から当該コンピュータシステムにアクセス要求があ
    ったとき、外部から送信される認証パスワードと前記共
    通パスワードとに基づいて、当該アクセス要求を許容す
    る否かを判定する判定部とを備えることを特徴とする認
    証装置。
  8. 【請求項8】 前記共通パスワード生成部は、利用者を
    グループに分け、各グループ内で共通に使用する各共通
    パスワードを繰り返し更新することを特徴とする請求項
    7に記載の認証装置。
  9. 【請求項9】 前記認証パスワードは、前記共通パスワ
    ードと各利用者を識別するための個人パスワードとを含
    み、 前記判定部は、各グループの種別と前記個人パスワード
    とを対応付けて記憶する記憶部を備え、前記認証パスワ
    ードから分離した前記個人パスワードに基づいて、前記
    記憶部から対応するグループの種別を読み出し、読み出
    されたグループの種別に対応する共通パスワードを特定
    し、特定された共通パスワードと前記認証パスワードか
    ら分離した共通パスワードとが一致するとき、アクセス
    要求を許容することを特徴とする請求項8に記載の認証
    装置。
  10. 【請求項10】 前記共通パスワード生成部は、各グル
    ープのセキュリティレベルに応じて、前記共通パスワー
    ドのワード長を定めることを特徴とする請求項8に記載
    の認証装置。
  11. 【請求項11】 前記共通パスワード生成部は、各グル
    ープのセキュリティレベルに応じて、前記共通パスワー
    ドの更新周期を定めることを特徴とする請求項8に記載
    の認証装置。
  12. 【請求項12】 利用者の正当性を確認してから当該利
    用者の端末からコンピュータ資源へアクセスを許可する
    リモートアクセス認証システムにおいて、 認証サーバおよびリモートアクセスサーバを含むコンピ
    ュータシステムと、 前記利用者の無線通信端末と、 前記コンピュータシステムから利用者が共通に使用する
    共通パスワードを受信すると、前記各無線通信端末に対
    して当該共通パスワードを配信する通信網とを備え、 前記認証サーバは、前記共通パスワードを繰り返し更新
    し、この更新を行う毎に、前記共通パスワードを前記通
    信網に送信し、 前記リモートアクセスサーバは、前記各無線通信端末へ
    の前記共通パスワードの通知により、前記利用者が、前
    記共通パスワードと当該利用者を識別するための個人パ
    スワードとを含む認証パスワードを用いて前記コンピュ
    ータシステムに対して行うアクセス要求を受け、前記認
    証サーバに前記認証パスワードが正当であるか否かを問
    い合わせ、前記認証サーバから正当であると通知を受け
    た場合にのみ当該アクセス要求を許容することを特徴と
    するリモートアクセス認証システム。
JP2000234817A 2000-08-02 2000-08-02 パスワード供給方法、アクセス認証方法、認証装置およびリモートアクセス認証システム Pending JP2002049589A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000234817A JP2002049589A (ja) 2000-08-02 2000-08-02 パスワード供給方法、アクセス認証方法、認証装置およびリモートアクセス認証システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000234817A JP2002049589A (ja) 2000-08-02 2000-08-02 パスワード供給方法、アクセス認証方法、認証装置およびリモートアクセス認証システム

Publications (1)

Publication Number Publication Date
JP2002049589A true JP2002049589A (ja) 2002-02-15

Family

ID=18727134

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000234817A Pending JP2002049589A (ja) 2000-08-02 2000-08-02 パスワード供給方法、アクセス認証方法、認証装置およびリモートアクセス認証システム

Country Status (1)

Country Link
JP (1) JP2002049589A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006109413A (ja) * 2004-10-05 2006-04-20 Nec Corp グループ要素の認証方法
JP2007336122A (ja) * 2006-06-14 2007-12-27 Fuji Xerox Co Ltd 情報管理ホスト、情報処理装置、情報管理システム、情報管理装置および情報処理プログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006109413A (ja) * 2004-10-05 2006-04-20 Nec Corp グループ要素の認証方法
US8024573B2 (en) 2004-10-05 2011-09-20 Nec Corporation Method for authentication of elements of a group
JP2007336122A (ja) * 2006-06-14 2007-12-27 Fuji Xerox Co Ltd 情報管理ホスト、情報処理装置、情報管理システム、情報管理装置および情報処理プログラム

Similar Documents

Publication Publication Date Title
FI105986B (fi) Tilaajan palveluprofiilit tietoliikennejärjestelmässä
US7945243B2 (en) Mobile communication terminal for protecting private contents and method for controlling the same
CN100399759C (zh) 在使无线公用网和专用网交互工作时提供数据服务的方法和系统
CN1891006B (zh) 在无线通信网络中为时隙消息提供时隙预留的方法和设备
KR20010033764A (ko) 이동 통신 시스템에서의 온 라인 통지
WO2001080525A1 (en) Network access security
US20050144333A1 (en) Method and system for managing access to presence attribute information
CN101631138A (zh) 个人信息代理系统及方法
CN100390694C (zh) 用于访问数据通信系统中的业务的方法和数据通信系统
CN107886602A (zh) 一种开锁方法及系统
JP3153213B1 (ja) 電話回線の制御委譲システム
US20030233336A1 (en) System to retate personal information to a unique identifier
CA2209603C (en) Shared wireless tenant service system
US20100121871A1 (en) Information updating system and information updating method
CN1499855B (zh) 一种接入点和通过接入点连接客户端与广域网的方法
TW405310B (en) Wireless selection call/receipt device and mobile device
EP0995331B1 (en) Recovering group data between mobile systems
JP2003016347A (ja) 地域広告情報配信方法、地域広告情報配信システム及びそのシステムを実装した携帯端末
CN101547262B (zh) 移动通信系统和加入者识别码通知装置
JP2002261933A (ja) 通信方法、通信網におけるトラフィックの分散制御方法、情報配信システム及び情報通信端末
CN107613498A (zh) 一种网络通讯的连接方法及装置
JP2000004482A (ja) Phs位置情報通知システム
JP2002049589A (ja) パスワード供給方法、アクセス認証方法、認証装置およびリモートアクセス認証システム
WO2007148876A1 (en) System for multi-communication using zigbee communication and method of providing service therefor
JP2000341749A (ja) モバイル端末の接続管理方法及び方式

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20040316