JP2003303174A - 端末認証方法および装置 - Google Patents
端末認証方法および装置Info
- Publication number
- JP2003303174A JP2003303174A JP2002105166A JP2002105166A JP2003303174A JP 2003303174 A JP2003303174 A JP 2003303174A JP 2002105166 A JP2002105166 A JP 2002105166A JP 2002105166 A JP2002105166 A JP 2002105166A JP 2003303174 A JP2003303174 A JP 2003303174A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- layer address
- address
- data link
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【課題】 予め登録された場所以外でのネットワークア
クセスを防止できるクライアント端末の認証方法および
認証装置を提供することにある。 【解決手段】 クライアント端末毎の予め登録されたI
PアドレスおよびMACアドレスと、接続すべきルータ
のMACアドレスとの関係を記憶した端末管理テーブル
600を備え、特定のIPアドレスをもつクライアント
端末についての端末認証要求が発生した時、上記IPア
ドレスをもつクライアント端末から該端末のMACアド
レスと現在接続中のルータがもつIPアドレスを取得
し、上記IPアドレスをもつルータに対してMACアド
レスを問合せ、上記端末および接続ルータがもつMAC
アドレスを上記端末管理テーブルに登録されたMACア
ドレスと照合して端末の正当性を判断する端末認証装
置。
クセスを防止できるクライアント端末の認証方法および
認証装置を提供することにある。 【解決手段】 クライアント端末毎の予め登録されたI
PアドレスおよびMACアドレスと、接続すべきルータ
のMACアドレスとの関係を記憶した端末管理テーブル
600を備え、特定のIPアドレスをもつクライアント
端末についての端末認証要求が発生した時、上記IPア
ドレスをもつクライアント端末から該端末のMACアド
レスと現在接続中のルータがもつIPアドレスを取得
し、上記IPアドレスをもつルータに対してMACアド
レスを問合せ、上記端末および接続ルータがもつMAC
アドレスを上記端末管理テーブルに登録されたMACア
ドレスと照合して端末の正当性を判断する端末認証装
置。
Description
【0001】
【発明の属する技術分野】本発明は、端末認証方法およ
び認証装置に関し、更に詳しくは、クライアント端末と
ネットワークとの接続関係の正当性を確認するための端
末認証方法および認証装置に関する。
び認証装置に関し、更に詳しくは、クライアント端末と
ネットワークとの接続関係の正当性を確認するための端
末認証方法および認証装置に関する。
【0002】
【従来の技術】近年、急速に広がりを見せているインタ
ーネットやイントラネットにおいて、コンピュータ、プ
リンタ等のOA機器の他に、携帯端末(モバイル)機
器、情報家電機器、オーディオ機器等、ネットワークの
接続機器の種類が多様化し、機器の小型化も進んでい
る。このため、従来のデスクトップ型端末のようにネッ
トワークへの接続位置を固定した使用形態に加えて、端
末の接続位置を気軽に変更するケースや、携帯端末のよ
うに、街中で使用していた端末をオフィスに持ち帰って
ネットワークに接続するケースも増えてきた。また、ネ
ットワークを利用したホスト/端末間および他の端末と
のデータ送受信に加えて、音楽配信や映像配信など、情
報サーバから端末機器への情報提供サービスの利用も増
えている。
ーネットやイントラネットにおいて、コンピュータ、プ
リンタ等のOA機器の他に、携帯端末(モバイル)機
器、情報家電機器、オーディオ機器等、ネットワークの
接続機器の種類が多様化し、機器の小型化も進んでい
る。このため、従来のデスクトップ型端末のようにネッ
トワークへの接続位置を固定した使用形態に加えて、端
末の接続位置を気軽に変更するケースや、携帯端末のよ
うに、街中で使用していた端末をオフィスに持ち帰って
ネットワークに接続するケースも増えてきた。また、ネ
ットワークを利用したホスト/端末間および他の端末と
のデータ送受信に加えて、音楽配信や映像配信など、情
報サーバから端末機器への情報提供サービスの利用も増
えている。
【0003】上述したコンピュータネットワークでは、
クライアント端末によるネットワークの不正利用および
不正な情報アクセスを防止するために、端末の管理/認
証技術が必要となる。ネットワークに接続されたサー
バ、計算機、情報処理端末あるいは通信機器には、デー
タ送受信用のアドレスとして、例えば、IPアドレスの
ように、ネットワーク層で識別される論理的なアドレス
と、MACアドレスのように、ノード間の通信メッセー
ジで必要となるデータリンク層のアドレスとが割り当て
られている。
クライアント端末によるネットワークの不正利用および
不正な情報アクセスを防止するために、端末の管理/認
証技術が必要となる。ネットワークに接続されたサー
バ、計算機、情報処理端末あるいは通信機器には、デー
タ送受信用のアドレスとして、例えば、IPアドレスの
ように、ネットワーク層で識別される論理的なアドレス
と、MACアドレスのように、ノード間の通信メッセー
ジで必要となるデータリンク層のアドレスとが割り当て
られている。
【0004】従来のクライアント端末の認証方式とし
て、例えば、特開2000−201143号公報では、
クライアント端末のIPアドレスとMACアドレスとの
関係を、管理サーバに予め登録されているIPアドレ
ス、MACアドレスと照合し、IPアドレスとMACア
ドレスの関係が正しければ、クライアント端末によるネ
ットワークの利用を承認するようにしている。IPアド
レスとMACアドレスの関係が予め登録されたものと異
なる場合、クライアント端末によるネットワーク利用と
情報配信サービスが禁止され、必要に応じて、ネットワ
ーク管理者に不正が報知される。
て、例えば、特開2000−201143号公報では、
クライアント端末のIPアドレスとMACアドレスとの
関係を、管理サーバに予め登録されているIPアドレ
ス、MACアドレスと照合し、IPアドレスとMACア
ドレスの関係が正しければ、クライアント端末によるネ
ットワークの利用を承認するようにしている。IPアド
レスとMACアドレスの関係が予め登録されたものと異
なる場合、クライアント端末によるネットワーク利用と
情報配信サービスが禁止され、必要に応じて、ネットワ
ーク管理者に不正が報知される。
【0005】
【発明が解決しようとする課題】上記従来の認証方式で
は、IPアドレスとMACアドレスとの関係が正しけれ
ば、クライアント端末を承認し、ネットワークの利用を
許可しているため、予めアドレス登録した各ユーザは、
自分の端末を任意の場所でネットワークに接続し、サー
バやホストをアクセスすることが可能となる。しかしな
がら、コンピュータネットワークでは、例えば、利用場
所を限定した形で、ソフトウェアの使用や配信映像の受
信を許可するライセンス形態がある。この場合、ソフト
ウェアや情報サービスの提供側としては、クライアント
端末が、ライセンスで許可された場所で使用されている
か否かの判定も含めて、端末を認証する必要があるが、
上記従来の認証技術では、クライアント端末の使用位置
に関する確認能力に欠けている。
は、IPアドレスとMACアドレスとの関係が正しけれ
ば、クライアント端末を承認し、ネットワークの利用を
許可しているため、予めアドレス登録した各ユーザは、
自分の端末を任意の場所でネットワークに接続し、サー
バやホストをアクセスすることが可能となる。しかしな
がら、コンピュータネットワークでは、例えば、利用場
所を限定した形で、ソフトウェアの使用や配信映像の受
信を許可するライセンス形態がある。この場合、ソフト
ウェアや情報サービスの提供側としては、クライアント
端末が、ライセンスで許可された場所で使用されている
か否かの判定も含めて、端末を認証する必要があるが、
上記従来の認証技術では、クライアント端末の使用位置
に関する確認能力に欠けている。
【0006】本発明の目的は、利用場所を限定したソフ
トウェアや情報サービスに適したネットワーク端末の認
証方法および認証装置を提供することにある。本発明の
他の目的は、予め登録された場所以外でのネットワーク
アクセスを防止できるクライアント端末の認証方法およ
び認証装置を提供することにある。
トウェアや情報サービスに適したネットワーク端末の認
証方法および認証装置を提供することにある。本発明の
他の目的は、予め登録された場所以外でのネットワーク
アクセスを防止できるクライアント端末の認証方法およ
び認証装置を提供することにある。
【0007】
【課題を解決するための手段】上記目的を達成するため
に、本発明の端末認証装置は、クライアント端末毎の予
め登録されたネットワーク層アドレスおよびデータリン
ク層アドレスと、接続すべきルータのデータリンク層ア
ドレスとの関係を記憶した端末管理テーブルを備え、特
定のネットワーク層アドレスをもつクライアント端末に
ついての端末認証要求が発生した時、上記ネットワーク
層アドレスをもつクライアント端末から該端末のデータ
リンク層アドレスと現在接続中のルータがもつネットワ
ーク層アドレスを取得し、上記ネットワーク層アドレス
をもつルータに対してデータリンク層アドレスを問合
せ、上記端末および接続ルータがもつデータリンク層ア
ドレスを上記端末管理テーブルに登録されたデータリン
ク層アドレスと照合することを特徴とする。例えば、ク
ライアント端末を収容するネットワークがイーサネット
(登録商標)の場合、ネットワーク層アドレスとしては
IPアドレス、データリンク層アドレスとしてはMAC
アドレスが適用される。
に、本発明の端末認証装置は、クライアント端末毎の予
め登録されたネットワーク層アドレスおよびデータリン
ク層アドレスと、接続すべきルータのデータリンク層ア
ドレスとの関係を記憶した端末管理テーブルを備え、特
定のネットワーク層アドレスをもつクライアント端末に
ついての端末認証要求が発生した時、上記ネットワーク
層アドレスをもつクライアント端末から該端末のデータ
リンク層アドレスと現在接続中のルータがもつネットワ
ーク層アドレスを取得し、上記ネットワーク層アドレス
をもつルータに対してデータリンク層アドレスを問合
せ、上記端末および接続ルータがもつデータリンク層ア
ドレスを上記端末管理テーブルに登録されたデータリン
ク層アドレスと照合することを特徴とする。例えば、ク
ライアント端末を収容するネットワークがイーサネット
(登録商標)の場合、ネットワーク層アドレスとしては
IPアドレス、データリンク層アドレスとしてはMAC
アドレスが適用される。
【0008】本発明の端末認証方法は、認証装置に、各
クライアント端末の予め登録されたネットワーク層アド
レスおよびデータリンク層アドレスと、接続すべきルー
タのデータリンク層アドレスとの関係を記憶しておき、
特定のネットワーク層アドレスをもつクライアント端末
についての端末認証要求が発生した時、上記認証装置
が、上記ネットワーク層アドレスをもつクライアント端
末に対して、該端末のデータリンク層アドレスと現在接
続中のルータがもつネットワーク層アドレスの送信を要
求し、上記ネットワーク層アドレスをもつルータに対し
てデータリンク層アドレスを問合せ、上記端末および接
続ルータがもつデータリンク層アドレスを上記端末管理
テーブルに登録されたデータリンク層アドレスと照合
し、上記端末および接続ルータがもつデータリンク層ア
ドレスが上記端末管理テーブルに登録されたデータリン
ク層アドレスと一致した時、上記クライアントの正当性
を認めることを特徴とする。
クライアント端末の予め登録されたネットワーク層アド
レスおよびデータリンク層アドレスと、接続すべきルー
タのデータリンク層アドレスとの関係を記憶しておき、
特定のネットワーク層アドレスをもつクライアント端末
についての端末認証要求が発生した時、上記認証装置
が、上記ネットワーク層アドレスをもつクライアント端
末に対して、該端末のデータリンク層アドレスと現在接
続中のルータがもつネットワーク層アドレスの送信を要
求し、上記ネットワーク層アドレスをもつルータに対し
てデータリンク層アドレスを問合せ、上記端末および接
続ルータがもつデータリンク層アドレスを上記端末管理
テーブルに登録されたデータリンク層アドレスと照合
し、上記端末および接続ルータがもつデータリンク層ア
ドレスが上記端末管理テーブルに登録されたデータリン
ク層アドレスと一致した時、上記クライアントの正当性
を認めることを特徴とする。
【0009】尚、クライアント端末からのネットワーク
情報(端末データリンク層アドレスとルータネットワー
ク層アドレス)の取得には、例えば、既存プロトコルで
あるSNMP(Simple Network Management Protocol)
を使用できる。また、クライアント端末から取得した該
端末のデータリンク層アドレスについて、上記端末管理
テーブルに登録された該端末のデータリンク層アドレス
と照合し、不一致の場合は上記クライアント端末を否認
し、登録アドレスと一致した場合にのみ、ルータに対す
るデータリンク層アドレスの問合せを行うようにしても
よい。
情報(端末データリンク層アドレスとルータネットワー
ク層アドレス)の取得には、例えば、既存プロトコルで
あるSNMP(Simple Network Management Protocol)
を使用できる。また、クライアント端末から取得した該
端末のデータリンク層アドレスについて、上記端末管理
テーブルに登録された該端末のデータリンク層アドレス
と照合し、不一致の場合は上記クライアント端末を否認
し、登録アドレスと一致した場合にのみ、ルータに対す
るデータリンク層アドレスの問合せを行うようにしても
よい。
【0010】本発明によれば、ネットワークに収容され
る多数のクライアント端末を接続ルータによってセグメ
ント化し、予め登録されたセグメント以外でネットワー
ク接続されたクライアントに対して、ネットワークの利
用を拒否することができるため、端末使用場所を限定し
た形態での情報サービスや情報処理が可能となる。
る多数のクライアント端末を接続ルータによってセグメ
ント化し、予め登録されたセグメント以外でネットワー
ク接続されたクライアントに対して、ネットワークの利
用を拒否することができるため、端末使用場所を限定し
た形態での情報サービスや情報処理が可能となる。
【0011】
【発明の実施の形態】以下、本発明の実施例について図
面を参照して説明する。図1は、本発明が適用されるコ
ンピュータネットワークの1例を示す。コンピュータネ
ットワークは、集線装置となるルータ20(20−1、
20−2、・・・)と、ルータ20を介してネットワーク
(例えば、イーサネット)80に接続される複数のクラ
イアント端末10(10−11、・・・、10−21、1
0−22、・・・)と、上記ネットワーク80に接続され
た複数の情報サーバ31、32および管理サーバ50か
らなる。
面を参照して説明する。図1は、本発明が適用されるコ
ンピュータネットワークの1例を示す。コンピュータネ
ットワークは、集線装置となるルータ20(20−1、
20−2、・・・)と、ルータ20を介してネットワーク
(例えば、イーサネット)80に接続される複数のクラ
イアント端末10(10−11、・・・、10−21、1
0−22、・・・)と、上記ネットワーク80に接続され
た複数の情報サーバ31、32および管理サーバ50か
らなる。
【0012】情報サーバ31、32は、それぞれ情報蓄
積ファイル41、42を備え、クライアント端末からの
要求に応じたサービス情報を提供、その他の情報処理を
実行する。管理サーバ50は、後述する端末管理テーブ
ル600を記憶したファイル60を備え、各情報サーバ
からの要求に応じてクライアント端末の認証を行う。
積ファイル41、42を備え、クライアント端末からの
要求に応じたサービス情報を提供、その他の情報処理を
実行する。管理サーバ50は、後述する端末管理テーブ
ル600を記憶したファイル60を備え、各情報サーバ
からの要求に応じてクライアント端末の認証を行う。
【0013】ここでは、2台の情報サーバ31、32が
ネットワーク80に接続されているが、情報サーバの台
数は任意であり、1つのサーバが、管理サーバ50の機
能と情報サーバ31としての機能を兼ね備えていてもよ
い。また、実施例ではOSI参照モデルにおけるネット
ワーク層のアドレスとしてIPアドレスを使用し、ネッ
トワーク80として、データリンク層のアドレスにMA
C(Media Access Control)アドレスを使用するイーサ
ネットを採用した場合について説明するが、本発明は、
実施例以外のアドレスの組み合せにも適用できること明
らかである。本実施例では、複数のクライアント端末1
0を、それぞれが接続されたルータ20−1、20−
2、・・・に従ってセグメント化し、セグメントを単位と
して端末の使用位置の正当性を判定する。
ネットワーク80に接続されているが、情報サーバの台
数は任意であり、1つのサーバが、管理サーバ50の機
能と情報サーバ31としての機能を兼ね備えていてもよ
い。また、実施例ではOSI参照モデルにおけるネット
ワーク層のアドレスとしてIPアドレスを使用し、ネッ
トワーク80として、データリンク層のアドレスにMA
C(Media Access Control)アドレスを使用するイーサ
ネットを採用した場合について説明するが、本発明は、
実施例以外のアドレスの組み合せにも適用できること明
らかである。本実施例では、複数のクライアント端末1
0を、それぞれが接続されたルータ20−1、20−
2、・・・に従ってセグメント化し、セグメントを単位と
して端末の使用位置の正当性を判定する。
【0014】図2は、管理サーバ50が備える端末管理
テーブル600の内容を示す。端末管理テーブル600
は、予め登録されたクライアント端末と対応した複数の
レコードRE−1、RE−2、・・・からなり、各レコー
ドは、端末ID601、端末IPアドレス602、端末
MACアドレス603、ルータMACアドレス604を
示している。ルータMACアドレス604は、各クライ
アント端末を収容すべきルータのMACアドレスを示し
ており、本発明の端末認証においては、クライアント端
末を使用すべき正式な場所(セグメント)を間接的に意
味している。
テーブル600の内容を示す。端末管理テーブル600
は、予め登録されたクライアント端末と対応した複数の
レコードRE−1、RE−2、・・・からなり、各レコー
ドは、端末ID601、端末IPアドレス602、端末
MACアドレス603、ルータMACアドレス604を
示している。ルータMACアドレス604は、各クライ
アント端末を収容すべきルータのMACアドレスを示し
ており、本発明の端末認証においては、クライアント端
末を使用すべき正式な場所(セグメント)を間接的に意
味している。
【0015】例えば、レコードRE−1は、端末ID
「TERM10-11」を持つクライアント端末は、IPアドレ
スとMACアドレスがそれぞれ「123.123.123.011」と
「00:00:01:FF:FF:11」であり、使用場所限定の情報サ
ービスを受けるためには、MACアドレス「00:00:02:E
E:EE:11」を持つルータを介して、ネットワークに接続
すべきことを意味している。情報サーバ31、32は、
クライアント端末10からアクセスされた時、必要に応
じて、管理サーバ50にクライアント端末のIPアドレ
スを指定して、端末認証を要求する。
「TERM10-11」を持つクライアント端末は、IPアドレ
スとMACアドレスがそれぞれ「123.123.123.011」と
「00:00:01:FF:FF:11」であり、使用場所限定の情報サ
ービスを受けるためには、MACアドレス「00:00:02:E
E:EE:11」を持つルータを介して、ネットワークに接続
すべきことを意味している。情報サーバ31、32は、
クライアント端末10からアクセスされた時、必要に応
じて、管理サーバ50にクライアント端末のIPアドレ
スを指定して、端末認証を要求する。
【0016】図3は、情報サーバからの認証要求に応答
して、管理サーバ50が実行する端末認証ルーチン50
0のプログラムフローチャートを示す。端末認証ルーチ
ン500では、情報サーバが指定したIPアドレスをも
つクライアント端末(例えば、端末10−11)に対し
て、ネットワーク管理プロトコル、例えば、SNMP
(Simple Network Management Protocol)を使用して、
ネットワーク情報の送信を要求する。クライアント端末
からの応答によって、管理サーバ50は、端末10−1
1に割り当てられたMACアドレスと、端末10−11
が現在接続中のルータのIPアドレスを取得できる(ス
テップ501)。
して、管理サーバ50が実行する端末認証ルーチン50
0のプログラムフローチャートを示す。端末認証ルーチ
ン500では、情報サーバが指定したIPアドレスをも
つクライアント端末(例えば、端末10−11)に対し
て、ネットワーク管理プロトコル、例えば、SNMP
(Simple Network Management Protocol)を使用して、
ネットワーク情報の送信を要求する。クライアント端末
からの応答によって、管理サーバ50は、端末10−1
1に割り当てられたMACアドレスと、端末10−11
が現在接続中のルータのIPアドレスを取得できる(ス
テップ501)。
【0017】端末10−11からネットワーク情報を取
得すると、管理サーバ50は、端末10−11のIPア
ドレスと今回取得したMACアドレスとの関係を端末管
理テーブル600に登録されたアドレス602、603
と照合する(ステップ502)。この例では、端末10−
11と対応するレコードRE−1の登録データが参照さ
れる。照合の結果(ステップ503)、IPアドレスと
MACアドレスの関係が登録データと一致しなかった場
合は、端末認証の要求元サーバに対して、指定の端末は
認証できない旨を示すNG応答を返送して(ステップ5
08)、認証処理500を終了する。
得すると、管理サーバ50は、端末10−11のIPア
ドレスと今回取得したMACアドレスとの関係を端末管
理テーブル600に登録されたアドレス602、603
と照合する(ステップ502)。この例では、端末10−
11と対応するレコードRE−1の登録データが参照さ
れる。照合の結果(ステップ503)、IPアドレスと
MACアドレスの関係が登録データと一致しなかった場
合は、端末認証の要求元サーバに対して、指定の端末は
認証できない旨を示すNG応答を返送して(ステップ5
08)、認証処理500を終了する。
【0018】IPアドレスとMACアドレスの関係が登
録データと一致した場合は、ステップ501で取得済み
のルータIPアドレスに従って、端末10−11が現在
接続中のルータに対して、ルータMACアドレスを問い
合わせる(ステップ504)。接続中のルータのMACア
ドレスが判明すると、このアドレスを端末管理テーブル
に登録済みのルータMACアドレス604と照合する
(ステップ505)。この例では、接続中のルータのMA
Cアドレスが、レコードRE−1に登録されたルータM
ACアドレス「00:00:02:EE:EE:11」と一致しているか
否かが判定される。
録データと一致した場合は、ステップ501で取得済み
のルータIPアドレスに従って、端末10−11が現在
接続中のルータに対して、ルータMACアドレスを問い
合わせる(ステップ504)。接続中のルータのMACア
ドレスが判明すると、このアドレスを端末管理テーブル
に登録済みのルータMACアドレス604と照合する
(ステップ505)。この例では、接続中のルータのMA
Cアドレスが、レコードRE−1に登録されたルータM
ACアドレス「00:00:02:EE:EE:11」と一致しているか
否かが判定される。
【0019】照合の結果(ステップ506)、ルータM
ACアドレスが一致した場合は、端末認証の要求元サー
バに対して、指定の端末が認証された旨を示すOK応答
を返送して(ステップ507)、認証処理500を終了
する。ルータMACアドレスが一致しなかった場合は、
指定の端末は認証できない旨を示すNG応答を返送して
(ステップ508)、認証処理500を終了する。
ACアドレスが一致した場合は、端末認証の要求元サー
バに対して、指定の端末が認証された旨を示すOK応答
を返送して(ステップ507)、認証処理500を終了
する。ルータMACアドレスが一致しなかった場合は、
指定の端末は認証できない旨を示すNG応答を返送して
(ステップ508)、認証処理500を終了する。
【0020】クライアント端末の正当性が否認された場
合、例えば、管理サーバ50に接続されたディスプレイ
を通して、ネットワーク管理者に警報メッセージを通知
したり、端末認証の要求元となった情報サーバにおい
て、問題となったクライアント端末への情報サービスの
停止、あるいはクライアント端末との通信の切断などの
措置がとられる。
合、例えば、管理サーバ50に接続されたディスプレイ
を通して、ネットワーク管理者に警報メッセージを通知
したり、端末認証の要求元となった情報サーバにおい
て、問題となったクライアント端末への情報サービスの
停止、あるいはクライアント端末との通信の切断などの
措置がとられる。
【0021】上記実施例では、端末のIPアドレスとM
ACアドレスが、端末管理テーブル600に登録された
アドレス602、603と一致した時(ステップ50
3)、ステップ504〜506を実行したが、端末認証
に2つのモードを設け、第1モードの認証要求に対して
は、ステップ503で一致が確認された時点で要求元に
OK応答を返送し(ステップ507)、第2モードの認
証要求に対してのみ、ステップ504〜506を実行す
るようにしてもよい。
ACアドレスが、端末管理テーブル600に登録された
アドレス602、603と一致した時(ステップ50
3)、ステップ504〜506を実行したが、端末認証
に2つのモードを設け、第1モードの認証要求に対して
は、ステップ503で一致が確認された時点で要求元に
OK応答を返送し(ステップ507)、第2モードの認
証要求に対してのみ、ステップ504〜506を実行す
るようにしてもよい。
【0022】このようにすれば、クライアント端末が予
め登録されたものか否かを判定する従来の端末認証(第
1モード)と、端末接続位置を含めて正当性を判定する
本発明の端末認証(第2モード)とを併用したコンピュ
ータネットワークを構築できる。
め登録されたものか否かを判定する従来の端末認証(第
1モード)と、端末接続位置を含めて正当性を判定する
本発明の端末認証(第2モード)とを併用したコンピュ
ータネットワークを構築できる。
【0023】
【発明の効果】以上の実施例から明らかなように、本発
明では、端末アドレスのみならず、現在接続中のルータ
アドレスについても、予め登録されたアドレスとの一致
を確認するようにしているため、不正端末による情報ア
クセスと正当端末による不正領域からの情報アクセスの
両方を防止することが可能となる。
明では、端末アドレスのみならず、現在接続中のルータ
アドレスについても、予め登録されたアドレスとの一致
を確認するようにしているため、不正端末による情報ア
クセスと正当端末による不正領域からの情報アクセスの
両方を防止することが可能となる。
【0024】
【図1】本発明が適用されるコンピュータネットワーク
の1例を示す図。
の1例を示す図。
【図2】図1に示した管理サーバ50が備える端末管理
テーブル600の1実施例を示す図。
テーブル600の1実施例を示す図。
【図3】管理サーバ50が実行する端末認証ルーチンの
1実施例を示すプログラムフローチャート。
1実施例を示すプログラムフローチャート。
10:クライアント端末、20:ルータ、31:情報サ
ーバ、50:管理サーバ、80:ネットワーク、60
0:端末管理テーブル。
ーバ、50:管理サーバ、80:ネットワーク、60
0:端末管理テーブル。
Claims (5)
- 【請求項1】ルータを介して複数のクライアント端末が
収容されるコンピュータネットワークに接続された端末
認証装置であって、 クライアント端末毎の予め登録されたネットワーク層ア
ドレスおよびデータリンク層アドレスと、接続すべきル
ータのデータリンク層アドレスとの関係を記憶した端末
管理テーブルを備え、 特定のネットワーク層アドレスをもつクライアント端末
についての端末認証要求が発生した時、上記ネットワー
ク層アドレスをもつクライアント端末から該端末のデー
タリンク層アドレスと現在接続中のルータがもつネット
ワーク層アドレスを取得し、上記ネットワーク層アドレ
スをもつルータに対してデータリンク層アドレスを問合
せ、上記端末および接続ルータがもつデータリンク層ア
ドレスを上記端末管理テーブルに登録されたデータリン
ク層アドレスと照合することを特徴とする端末認証装
置。 - 【請求項2】前記ネットワークとしてイーサネット(登
録商標)、前記ネットワーク層アドレスとしてIPアド
レス、前記データリンク層アドレスとしてMACアドレ
スを適用することを特徴とする請求項1に記載の端末認
証装置。 - 【請求項3】ルータを介して複数のクライアント端末が
収容されるコンピュータネットワークに接続された認証
装置における端末認証方法であって、 各クライアント端末の予め登録されたネットワーク層ア
ドレスおよびデータリンク層アドレスと、接続すべきル
ータのデータリンク層アドレスとの関係を記憶してお
き、 特定のネットワーク層アドレスをもつクライアント端末
についての端末認証要求が発生した時、上記ネットワー
ク層アドレスをもつクライアント端末に対して、該端末
のデータリンク層アドレスと現在接続中のルータがもつ
ネットワーク層アドレスの送信を要求し、 上記ネットワーク層アドレスをもつルータに対してデー
タリンク層アドレスを問合せ、 上記端末および接続ルータがもつデータリンク層アドレ
スを上記端末管理テーブルに登録されたデータリンク層
アドレスと照合し、上記端末および接続ルータがもつデ
ータリンク層アドレスが上記端末管理テーブルに登録さ
れたデータリンク層アドレスと一致した時、上記クライ
アントの正当性を認めることを特徴とする端末認証方
法。 - 【請求項4】前記クライアント端末から取得した該端末
のデータリンク層アドレスについて、前記端末管理テー
ブルに登録された該端末のデータリンク層アドレスと照
合し、登録アドレスと一致した場合に、前記ルータに対
するデータリンク層アドレスの問合せを行い、不一致の
場合は、上記クライアント端末を否認することを特徴と
する請求項3に記載の端末認証方法。 - 【請求項5】前記ネットワーク層アドレスとしてIPア
ドレス、前記データリンク層アドレスとしてMACアド
レスを適用することを特徴とする請求項3または請求項
4に記載の端末認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002105166A JP2003303174A (ja) | 2002-04-08 | 2002-04-08 | 端末認証方法および装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002105166A JP2003303174A (ja) | 2002-04-08 | 2002-04-08 | 端末認証方法および装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003303174A true JP2003303174A (ja) | 2003-10-24 |
Family
ID=29389991
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002105166A Pending JP2003303174A (ja) | 2002-04-08 | 2002-04-08 | 端末認証方法および装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003303174A (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005134961A (ja) * | 2003-10-28 | 2005-05-26 | Hitachi Ltd | ストレージ装置及びそのアクセス管理方法 |
| JP2006074399A (ja) * | 2004-09-01 | 2006-03-16 | Matsushita Electric Ind Co Ltd | 端末装置における個人情報削除方法、及び端末装置、個人情報削除プログラム |
| GB2421814A (en) * | 2004-12-30 | 2006-07-05 | Inventec Multimedia & Telecom | Web AV recording device |
| JP2006178976A (ja) * | 2004-12-16 | 2006-07-06 | Samsung Electronics Co Ltd | ホームネットワークにおけるデバイス及びユーザ認証システム並びに方法 |
| JP2007018081A (ja) * | 2005-07-05 | 2007-01-25 | Ttt Kk | ユーザ認証システム、ユーザ認証方法、ユーザ認証方法を実現するためのプログラム、及びプログラムを記憶した記憶媒体 |
| CN1319338C (zh) * | 2003-11-06 | 2007-05-30 | 北京佳讯飞鸿电气有限责任公司 | 网络通信中解决ip地址冲突的方法 |
| JP2009110098A (ja) * | 2007-10-26 | 2009-05-21 | Nec Biglobe Ltd | 認証システム |
| US7844818B2 (en) | 2004-01-06 | 2010-11-30 | Samsung Electronics Co., Ltd. | Authentication apparatus and method for home network devices |
| JP2012205073A (ja) * | 2011-03-25 | 2012-10-22 | Toshiba Corp | ノード装置、サーバ装置およびノード接続管理方法 |
-
2002
- 2002-04-08 JP JP2002105166A patent/JP2003303174A/ja active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005134961A (ja) * | 2003-10-28 | 2005-05-26 | Hitachi Ltd | ストレージ装置及びそのアクセス管理方法 |
| JP4512179B2 (ja) * | 2003-10-28 | 2010-07-28 | 株式会社日立製作所 | ストレージ装置及びそのアクセス管理方法 |
| CN1319338C (zh) * | 2003-11-06 | 2007-05-30 | 北京佳讯飞鸿电气有限责任公司 | 网络通信中解决ip地址冲突的方法 |
| US7844818B2 (en) | 2004-01-06 | 2010-11-30 | Samsung Electronics Co., Ltd. | Authentication apparatus and method for home network devices |
| JP2006074399A (ja) * | 2004-09-01 | 2006-03-16 | Matsushita Electric Ind Co Ltd | 端末装置における個人情報削除方法、及び端末装置、個人情報削除プログラム |
| JP2006178976A (ja) * | 2004-12-16 | 2006-07-06 | Samsung Electronics Co Ltd | ホームネットワークにおけるデバイス及びユーザ認証システム並びに方法 |
| JP4579819B2 (ja) * | 2004-12-16 | 2010-11-10 | 三星電子株式会社 | ホームネットワークにおけるデバイスまたはユーザ認証システム並びに方法 |
| US8495729B2 (en) | 2004-12-16 | 2013-07-23 | Samsung Electronics Co., Ltd. | System for and method of authenticating device and user in home network |
| GB2421814B (en) * | 2004-12-30 | 2007-04-11 | Inventec Multimedia & Telecom | Web AV recording device and method of the same |
| GB2421814A (en) * | 2004-12-30 | 2006-07-05 | Inventec Multimedia & Telecom | Web AV recording device |
| JP2007018081A (ja) * | 2005-07-05 | 2007-01-25 | Ttt Kk | ユーザ認証システム、ユーザ認証方法、ユーザ認証方法を実現するためのプログラム、及びプログラムを記憶した記憶媒体 |
| JP2009110098A (ja) * | 2007-10-26 | 2009-05-21 | Nec Biglobe Ltd | 認証システム |
| JP2012205073A (ja) * | 2011-03-25 | 2012-10-22 | Toshiba Corp | ノード装置、サーバ装置およびノード接続管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9237147B2 (en) | Remote access manager for virtual computing services | |
| US5604490A (en) | Method and system for providing a user access to multiple secured subsystems | |
| US8572710B2 (en) | Pluggable token provider model to implement authentication across multiple web services | |
| US8200818B2 (en) | System providing internet access management with router-based policy enforcement | |
| US9088561B2 (en) | Method and system for authentication in a computer network | |
| US9215234B2 (en) | Security actions based on client identity databases | |
| US20060036847A1 (en) | Service licensing and maintenance for networks | |
| US20080184354A1 (en) | Single sign-on system, information terminal device, single sign-on server, single sign-on utilization method, storage medium, and data signal | |
| US8719948B2 (en) | Method and system for the storage of authentication credentials | |
| US20050033833A1 (en) | Method, system, and program product fo rmanaging device identifiers | |
| JP2004336618A (ja) | 機器間認証システム及び機器間認証方法、通信装置、並びにコンピュータ・プログラム | |
| US7558845B2 (en) | Modifying a DHCP configuration for one system according to a request from another system | |
| JP2003303174A (ja) | 端末認証方法および装置 | |
| US7661125B2 (en) | System for providing and utilizing a network trusted context | |
| US7526560B1 (en) | Method and apparatus for sharing a secure connection between a client and multiple server nodes | |
| JPH11187016A (ja) | ネットワーク認証システム | |
| EP2805447B1 (en) | Integrating server applications with multiple authentication providers | |
| EP1981242B1 (en) | Method and system for securing a commercial grid network | |
| He et al. | A novel service-oriented AAA architecture | |
| CN114006724A (zh) | 一种加密dns解析器发现及认证的方法与系统 | |
| JP2004171524A (ja) | サービス提供装置、サービス提供方法、サービス提供プログラム及び記録媒体 | |
| CN113015164B (zh) | 应用程序认证方法及装置 | |
| JP2002342143A (ja) | アクセス制御システム及びその処理プログラムと記録媒体 | |
| CN116032637A (zh) | 一种基于radius认证的监听方法、装置及设备 | |
| CN113660283A (zh) | 一种合法性认证方法以及装置 |