JP2003308304A - 通信端末及び通信確立方法、並びに通信確立プログラム、通信システム - Google Patents

通信端末及び通信確立方法、並びに通信確立プログラム、通信システム

Info

Publication number
JP2003308304A
JP2003308304A JP2002110455A JP2002110455A JP2003308304A JP 2003308304 A JP2003308304 A JP 2003308304A JP 2002110455 A JP2002110455 A JP 2002110455A JP 2002110455 A JP2002110455 A JP 2002110455A JP 2003308304 A JP2003308304 A JP 2003308304A
Authority
JP
Japan
Prior art keywords
authentication
communication
information
information file
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002110455A
Other languages
English (en)
Other versions
JP2003308304A5 (ja
JP4415527B2 (ja
Inventor
Mitsuyo Ishida
美津代 石田
Yutaka Nakamura
裕 中村
Kenji Nishizono
賢治 西園
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP2002110455A priority Critical patent/JP4415527B2/ja
Publication of JP2003308304A publication Critical patent/JP2003308304A/ja
Publication of JP2003308304A5 publication Critical patent/JP2003308304A5/ja
Application granted granted Critical
Publication of JP4415527B2 publication Critical patent/JP4415527B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 端末起動時のログオン処理を安全とすると共
に、セキュリティに対する信頼性の高いシステムを構築
する。 【解決手段】 ICカード監視部24は、ユーザが保有
するICカード10から認証サーバ2との認証処理に必
要な情報のうち、少なくともユーザごとの固有情報を読
み出してICカード読み取り部31にて入力すると、入
力した固有情報とネットワーク共通情報記憶部25に用
意しておいた通信用共通情報及び認証用共通情報とを用
いて情報ファイル構成部32によりネットワーク情報フ
ァイル41及び認証情報ファイル42を構成する。そし
て、認証クライアント28では、認証サーバ2との間で
認証処理をするに際して、ネットワーク情報ファイル4
1を参照して認証サーバ2との間で通信を行い、認証情
報ファイル42を参照して認証サーバ2との間で認証処
理を行って、認証サーバ2との間の通信を確立して、通
信端末1とアプリケーションサーバ3との通信を確立す
る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、例えばIPSec
(IP(Internet Protocol) security protocol)に準拠
した認証処理及び暗号化処理をすることで、VPN(vi
rtual private network)を構築して通信データを送受
信するための通信端末及び通信確立方法、並びに通信確
立プログラム、通信システムに関する。
【0002】
【従来の技術】近年、クライアント−サーバシステムと
して、IPSecに準拠したプロトコルを実装すること
によりクライアント端末と認証サーバとの間にVPNパ
スを構築して、認証サーバを介してクライアント端末と
アプリケーションサーバとを接続するものが知られてい
る。このようなシステムとしては、例えば特開2002
−44141号公報にて開示されている。
【0003】このような従来の通信システムの一例を図
11に示す。この通信システムでは、クライアント端末
101、認証サーバ102、アプリケーションサーバ1
03が通信回線を介して接続されることにより、クライ
アント端末101のアプリケーション処理部111とア
プリケーションサーバ103との間での通信を実現して
いる。また、この通信システムでは、クライアント端末
101及び認証サーバ102にてIP(Internet Proto
col)を実装しており、RFC(Request For Comment
s)2002〜RFC2005などに準拠したモバイル
IP、IPSecに対応したVPNパス104を構築す
る機能を有している。
【0004】このような通信システムにおけるクライア
ント端末101は、認証クライアント処理部112を起
動して認証サーバ102との間でVPNパス104を構
築するに際して、入力装置113がユーザにより操作さ
れると、起動情報取得部121においてログオン画面を
ユーザに提示してパスワードなどの入力を促す。そし
て、ユーザによりパスワード入力がなされると、認証ク
ライアント処理部112が起動し、予め設定されたファ
イルパスに従って情報ファイル管理部114にて保持し
ているネットワーク情報ファイル131及び認証情報フ
ァイル132を認証・ネットワーク情報取得部122に
て読み出す。
【0005】そして、この通信システムでは、ネットワ
ーク情報ファイル131及び認証情報ファイル132を
用いて、認証処理部123と認証サーバ102の認証処
理部141との間で認証処理をし、鍵交換処理部124
と認証サーバ102の鍵交換処理部142との間で鍵交
換を行う。これにより、クライアント端末101の通信
処理部125と認証サーバ102の通信処理部143と
の間で、アプリケーションサーバ103のIPアドレス
を宛先アドレスとしたIPパケットを暗号化し、暗号化
したデータを用いてIPSecパケットを作成し、更に
IPヘッダを付加してカプセル化したパケットを用いた
通信をすることで、VPNパス104を構築する。
【0006】このような通信システムでは、認証クライ
アント処理部112と認証サーバ102との間に機密保
持性と信頼性の高いデータ通信を実現する。
【0007】
【発明が解決しようとする課題】しかしながら、従来の
通信システムでは、認証クライアント処理部112を入
力装置113にて起動する、すなわち認証クライアント
処理部112へのログオンを手動で入力するパスワード
のみから起動の判定をしており、且つ、ネットワーク情
報ファイル131、認証情報ファイル132及びファイ
ルパスをクライアント端末101内にて保持する構成と
なっていたので、パスワードが漏洩すると、システム内
に侵入されて、不正な通信が行われるという危険性があ
った。
【0008】そこで、本発明は、上述した実情に鑑みて
提案されたものであり、端末起動時のログオン処理を安
全とすると共に、セキュリティに対する信頼性の高いシ
ステムを構築することができる通信端末及び通信確立方
法、並びに通信確立プログラム、通信システムを提供す
ることを目的とする。
【0009】
【課題を解決するための手段】上述の課題を解決するた
めに、本発明に係る通信端末では、ユーザが保有する記
録媒体から認証サーバとの認証処理に必要な情報のう
ち、少なくともユーザごとの固有情報を読み出して入力
する情報入力手段と、上記情報入力手段にて入力した情
報を用いて、認証処理に必要な認証用情報ファイル及び
上記認証サーバとの通信に使用する通信用情報ファイル
を構成する情報ファイル構成手段と、上記情報ファイル
構成手段にて構成された通信用情報ファイルを参照して
上記認証サーバとの間で通信を行い、上記認証用情報フ
ァイルを参照して上記認証サーバとの間で認証処理を行
って、上記認証サーバとの間の通信を確立する通信処理
手段とを備える。
【0010】上述の課題を解決するために、本発明に係
る通信確立方法では、記録媒体がユーザにより装着され
た場合に、ユーザが保有する記録媒体から認証サーバと
の認証処理に必要な情報のうち、少なくともユーザごと
の固有情報を読み出して入力し、入力した情報を用い
て、認証処理に必要な認証用情報ファイル及び上記認証
サーバとの通信に使用する通信用情報ファイルを構成
し、上記通信用情報ファイルを参照して上記認証サーバ
との間で通信を行い、上記認証用情報ファイルを参照し
て上記認証サーバとの間で認証処理を行って、上記認証
サーバとの間の通信を確立する。
【0011】上述の課題を解決するために、本発明に係
る通信確立プログラムでは、ユーザが保有する記録媒体
から認証サーバとの認証処理に必要な情報のうち、少な
くともユーザごとの固有情報を読み出して入力した場合
に、入力した情報を用いて、認証処理に必要な認証用情
報ファイル及び上記認証サーバとの通信に使用する通信
用情報ファイルを構成する情報ファイル構成プログラム
と、上記通信用情報ファイルを参照して上記認証サーバ
との間で通信を行い、上記認証用情報ファイルを参照し
て上記認証サーバとの間で認証処理を行って、上記認証
サーバとの間の通信を確立する通信処理プログラムによ
りコンピュータを動作させる。
【0012】また、本発明に係る通信確立プログラムで
は、コンピュータに読み込ませることにより、上述の通
信確立方法を実行させる。
【0013】請求項27に係る通信システムでは、複数
の通信端末との間で認証処理をして、認証処理の結果に
応じてアプリケーションサーバと通信端末との間の通信
を確立する認証サーバと、ユーザが保有する記録媒体か
ら上記認証サーバとの認証処理に必要な情報のうち、少
なくともユーザごとの固有情報を読み出して入力し、入
力した情報を用いて、認証処理に必要な認証用情報ファ
イル及び上記認証サーバとの通信に使用する通信用情報
ファイルを構成し、上記通信用情報ファイルを参照して
上記認証サーバとの間で通信を行い、上記認証用情報フ
ァイルを参照して上記認証サーバとの間で認証処理を行
う通信端末とを備える。
【0014】
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を参照して説明する。
【0015】本発明は、例えば図1に示すように構成さ
れた通信システムに適用される。
【0016】[通信システムの構成]この通信システム
は、例えばパーソナルコンピュータにて構成された通信
端末1、認証サーバ2及びアプリケーションサーバ3が
通信回線を介して接続されて構成されている。この通信
システムでは、通信端末1と認証サーバ2との間でモバ
イルIP及びIPSecに準拠したVPNパス4を構築
し、認証サーバ2を介して通信端末1とアプリケーショ
ンサーバ3との間でアプリケーションデータを伝送す
る。
【0017】通信端末1とアプリケーションサーバ3と
の間には、図示しない外部エージェント機能を有するル
ータや、ホームエージェント機能を有するルータが配設
される。これらのルータは、通信端末1の移動先のIP
アドレスであるC/OIPアドレス、通信端末1の本拠
のホームIPアドレスを管理し、通信端末1とアプリケ
ーションサーバ3との間でアプリケーションデータを中
継する。これにより、通信端末1は、移動した場合であ
っても、ホームネットワークに接続されたアプリケーシ
ョンサーバ3との間での通信を実現する。
【0018】通信端末1は、ユーザに保有される携帯型
記録媒体であるIC(Integrated Circuit)カード10
が挿入されるICカード着脱機構を有するICカードリ
ーダ21を備える。なお、本例では、携帯型記録媒体と
してICカード10を使用した場合について説明する
が、これに限らず、例えばCD−R(Compact Disc-Rec
ordable)やFD(Floppy Disk)、記録機能を備えるP
DA(Personal DigitalAssistant)を接続した場合で
あっても良い。
【0019】このICカード10は、ICにて構成され
た記憶機構を内蔵している。このICカード10には、
通信端末1のOS(Operation System)にログオンする
ためのOSログオン情報、認証クライアントログオンパ
スワード、ネットワーク情報、認証情報が少なくとも記
憶されている。本例おいて、ICカード10に記憶され
る固有のネットワーク情報は、ホームIPアドレス情報
などである。また、ICカード10に記憶される認証情
報は、通信端末1と認証サーバ2との間で認証処理をす
るに際して使用する認証子である。
【0020】ICカードリーダ21は、ICカード10
がユーザにより装着されると、その内容を読み出す。I
Cカードリーダ21は、OSログオン情報をログオン用
ICカード読み取り部22に出力する。このOSログオ
ン情報は、ログオン用ICカード読み取り部22によっ
てICカードリーダ21から読みとられてログオン部2
3に送られる。ログオン部23では、OSログオン情報
が送られると、図示しない表示部などを用いてユーザに
OSのパスワード入力を促し、入力されたパスワードに
応じてOSを起動させる。これにより、OSによりIC
カード監視部24が起動される。
【0021】このとき、通信端末1では、OSへのログ
オンが完了してOSが起動すると、OSにより図示しな
い記録媒体に格納されたICカード監視プログラムを起
動させることで、ICカード監視部24を起動させる。
【0022】ICカード監視部24は、その機能とし
て、ICカード読み取り部31、情報ファイル構成部3
2、起動部33を有する。ICカード監視部24には、
ICカードリーダ21により読み出して入力した認証ク
ライアントログオンパスワード情報、ホームIPアドレ
ス情報、認証情報が送られる。これらの情報が送られる
と、ICカード読み取り部31は、ネットワーク共通情
報記憶部25に予め記憶しておいた通信用共通情報及び
認証用共通情報を読み出し、読み出した情報と共に認証
クライアントログオンパスワード情報、ホームIPアド
レス情報、認証情報を情報ファイル構成部32に送る。
【0023】通信用共通情報及び認証用共通情報は、異
なるユーザが保有するICカード10に記憶された異な
る固有情報に対して共通して使用される情報である。こ
の通信用共通情報及び認証用共通情報は、予め設定され
た情報であって、例えば、認証サーバ2を区別するため
の認証サーバ識別情報、パケット処理に関するパラメー
タ、モバイルIPに関するパラメータ、例えばISAK
MP(internet security association key managemen
t)などの鍵交換プロトコル、IPSecなどの暗号通
信プロトコルに関するパラメータなどがある。これらの
共通情報は、予めユーザの入力により生成される。
【0024】情報ファイル構成部32では、ICカード
読み取り部31及びネットワーク共通情報記憶部25か
らの情報を用いて、通信端末1と認証サーバ2及びアプ
リケーションサーバ3との通信に必要なネットワーク情
報ファイル41を再構成すると共に、認証サーバ2との
認証処理に必要な認証情報ファイル42を再構成する。
【0025】ネットワーク情報ファイル41及び認証情
報ファイル42は、情報ファイル管理部26に送られ、
情報ファイル管理部26により保持されて管理される。
このネットワーク情報ファイル41及び認証情報ファイ
ル42のパス情報は、情報ファイル構成部32により作
成されて、一時記憶部27に送られる。
【0026】また、情報ファイル構成部32では、IC
カード読み取り部31を介して送られた認証クライアン
トログオンパスワードを一時記憶部27に送る処理をす
る。情報ファイル構成部32にてネットワーク情報ファ
イル41及び認証情報ファイル42の再構成が完了し、
認証クライアントログオンパスワード及びパス情報を一
時記憶部27に格納した状態となると、起動部33で
は、認証クライアント28を起動する。このとき、起動
部33では、OSに認証クライアント28の起動要求を
することで、OSに認証クライアント28を起動させ
る。
【0027】この認証クライアント28は、その機能と
して、起動情報取得部51、認証・ネットワーク情報取
得部52、認証処理部53、鍵交換処理部54、通信処
理部55を有している。この認証クライアント28は、
認証処理をすることで、通信端末1と認証サーバ2及び
アプリケーションサーバ3との間の通信を確立する通信
確立プログラムにて実現する機能にて構成される。
【0028】起動情報取得部51では、起動部33によ
る起動要求に応じて、一時記憶部27に記憶された認証
クライアントログオンパスワードを読みだし、読み出し
た認証クライアントログオンパスワードの正当性を判定
することで、通信利用の正当性を判定する。起動情報取
得部51は、認証クライアントログオンパスワードが正
当であると判定した場合に一時記憶部27からパス情報
を読み出して認証・ネットワーク情報取得部52に送
り、以降の処理を実行させる。
【0029】また、起動情報取得部51では、起動部3
3による起動要求に応じて認証クライアント28を起動
させる場合のみならず、ICカード監視部24から直接
認証クライアントログオンパスワード及びパス情報が送
られたことを検知して認証クライアントログオンパスワ
ードを読みだして認証クライアント28を起動させても
良い。
【0030】一方、起動情報取得部51は、入力装置2
9が手動にて操作されて認証クライアントログオンパス
ワードが入力された場合には、同様に正当性を判定し
て、正当と判定したときにデフォルトのパス情報を読み
出して認証・ネットワーク情報取得部52に送る。この
場合は、ICカード10が挿入されたことによるICカ
ード監視部24は起動せず、情報ファイル管理部26に
保持されているネットワーク情報ファイル41及び認証
情報ファイル42を再構成せずに使用して以降の処理を
実行することになる。
【0031】認証・ネットワーク情報取得部52では、
パス情報が送られると、パス情報に基づいて情報ファイ
ル管理部26にアクセスしてネットワーク情報ファイル
41及び認証情報ファイル42を読み出して認証処理部
53、鍵交換処理部54及び通信処理部55に送る。
【0032】認証処理部53では、RFC(Request Fo
r Comments)2002〜RFC2005などに準拠した
モバイルIPに基づいた処理を行うことで、通信端末1
と認証サーバ2との間にモバイルIP環境を実現する。
このとき、認証処理部53では、固有情報としてICカ
ード10に格納されていた認証子及びホームIPアドレ
スを使用して登録要求パケットを認証サーバ2の認証処
理部61に送信し、認証処理部61から登録応答パケッ
トを受信することにより、認証サーバ2の認証処理部6
1との間での認証処理をする。
【0033】このような認証処理の結果、認証処理部6
1により認証サーバ2を介した通信が許可されると、鍵
交換処理部54では、認証サーバ2の鍵交換処理部62
との間で鍵交換処理をする。このとき、鍵交換処理部5
4では、RFC2401〜RFC2410などに準拠し
た処理をして、データを暗号化、復号するための暗号鍵
を取得する。このような鍵交換処理の結果、暗号鍵、復
号鍵の取得に成功することにより、通信端末1と認証サ
ーバ2との間にVPNパス4を構築したことになる。
【0034】通信処理部55は、上述の認証処理及び鍵
交換処理、アプリケーションサーバ3とのアプリケーシ
ョンデータの伝送に際して、認証サーバ2との間でパケ
ット通信をする。
【0035】アプリケーション処理部30にて作成され
たアプリケーションデータをアプリケーションサーバ3
に送信する場合には、図2に示すように、OSにより、
アプリケーション処理部30にて作成されたアプリケー
ションデータをデータ領域72に格納し、このデータ領
域72の先頭に、IPヘッダ情報領域71を付加してI
Pパケットを作成する。このとき、OSでは、アプリケ
ーションサーバ3のIPアドレスであるサーバIPアド
レスを宛先アドレス領域82に格納し、更にホームIP
アドレスを送信元アドレス領域81に格納する。次い
で、通信処理部55では、OSから送られたIPパケッ
トを鍵交換処理により取得した暗号鍵を用いて暗号化し
て暗号化データを作成する。
【0036】次いで、通信処理部55は、暗号化データ
をデータ領域74に格納し、その先頭にIPSecヘッ
ダ領域73を付加してIPSecパケットを作成する。
このとき、通信処理部55では、認証サーバ2のIPア
ドレスであるサーバIPアドレスを認証情報ファイル4
2から取得して宛先アドレス領域84に格納し、更にホ
ームIPアドレスを送信元アドレス領域83に格納す
る。
【0037】次いで、通信処理部55では、IPSec
パケットをデータ領域76に格納し、その先頭にIPi
nIPヘッダ領域75を付加することでカプセル化して
IPinIPパケットを作成する。このとき、通信処理
部55では、認証サーバ2のIPアドレスであるサーバ
IPアドレスを宛先アドレス領域86に格納し、更に手
動入力などによるC/OIPアドレス(case of IP add
ress)を送信元アドレス領域85に格納する。
【0038】通信システムでは、このように通信処理部
55によりIPinIPパケットを作成して、VPNパ
ス4を介してアプリケーションサーバ3との間でアプリ
ケーションデータを伝送する。これに対し、認証サーバ
2の通信処理部63では、送信元アドレス領域85に格
納されたC/OIPアドレス、送信元アドレス領域83
の送信元アドレス領域83に格納されたホームIPアド
レスから通信端末1からのIPinIPパケットが送信
されたと判定し、カプセル化の開放、暗号化データの復
号をしてIPパケットを復元して、アプリケーションサ
ーバ3に送信する。
【0039】一方、宛先アドレス領域82が通信端末1
のホームIPアドレス、送信元アドレス領域81がアプ
リケーションサーバ3のIPアドレスとなったIPパケ
ットを認証サーバ2にて受信すると、認証サーバ2で
は、先ず、送信元アドレス領域83に認証サーバ2のI
Pアドレスを格納し、宛先アドレス領域84に通信端末
1のホームIPアドレスを格納し、更にデータ領域72
のアプリケーションデータを暗号化してIPSecパケ
ットを作成する。次に、通信処理部63では、送信元ア
ドレス領域85に認証サーバ2のIPアドレス、宛先ア
ドレス領域86に通信端末1のC/OIPアドレスを格
納したIPinIPパケットを作成して通信端末1に送
信する。
【0040】なお、上述した通信端末1では、ネットワ
ーク情報ファイル41及び認証情報ファイル42を構成
する情報の一部であって、ユーザ固有の固有情報をIC
カード10に格納しておき、ICカード10に記憶され
た固有情報とネットワーク共通情報記憶部25に記憶さ
れた共通情報とを用いてネットワーク情報ファイル41
及び認証情報ファイル42を再構成をする場合について
説明したが、これに限らず、固有情報及び共通情報をI
Cカード10に格納しておいても良い。このような場
合、通信端末1では、ICカード10から読み出した情
報のみを用いてネットワーク情報ファイル41及び認証
情報ファイル42を再構成する。
【0041】このような通信端末1によれば、ネットワ
ーク情報ファイル41及び認証情報ファイル42を再構
成するための全情報をICカード10に記憶させるの
で、ICカード10に固有情報のみを記録する場合と比
較して、セキュリティレベルを向上させることができ
る。
【0042】[通信端末1による通信確立処理]つぎ
に、上述した通信システムにおいて、通信端末1により
通信を開始するに際して行う通信確立処理について図3
のフローチャートを参照して説明する。なお、以下の説
明では、固有情報のみがICカード10に記憶され、共
通情報がネットワーク共通情報記憶部25に記憶されて
いる場合について説明する。
【0043】通信端末1は、ICカードリーダ21にI
Cカード10が挿入されることに応じてステップS1以
降の処理を開始し、OSログオン情報がログオン部23
に送られるとステップS2に処理を進める。
【0044】ステップS2では、ログオン部23により
OSのパスワード入力を促すパスワード入力画面をユー
ザに提示してステップS3に処理を進め、正当なパスワ
ード入力がなされていない場合にはステップS2の画面
表示を維持し、正当なパスワード入力がなされた場合に
ステップS4に処理を進める。
【0045】ステップS4では、ログオン部23により
正当なパスワードが入力されたことを認識した後にOS
を起動してログインしてステップS5に処理を進め、更
にICカード監視プログラム(アプリケーション)を立
ち上げてステップS6に処理を進める。
【0046】ステップS6では、通信端末1が前回に利
用されたときに正常に終了していたか否かの判定をIC
カード監視部24により判定する。すなわち、ICカー
ド監視部24では、前回の通信端末1の利用終了時にI
Cカード10から読み出されて一時記憶部27に記憶し
た認証クライアントログオンパスワード及びパス情報が
削除されているか否かを判定し、認証クライアントログ
オンパスワード及びパス情報が正常に削除されておらず
異常終了されていたときにはステップS7に処理を進
め、正常に削除されていたときにはステップS8に処理
を進める。これにより、以前に挿入されたICカード1
0内の固有情報を、今回の利用にて使用不可とする。
【0047】ステップS7では、一時記憶部27に記憶
されたままとなっている認証クライアントログオンパス
ワード及びパス情報を削除して、ステップS8に処理を
進める。これにより、ICカード監視部24は、前回利
用したICカード10に記憶された固有情報に対する第
三者のアクセス可能性を除外する。
【0048】ステップS8では、ICカードリーダ21
からICカード10に記憶されているユーザ固有の認証
クライアントログオンパスワード、ホームIPアドレス
情報、認証情報をICカード読み取り部31により取得
して情報ファイル構成部32に送ってステップS9に処
理を進める。
【0049】ステップS9では、情報ファイル構成部3
2によりICカード読み取り部31からの固有情報とネ
ットワーク共通情報記憶部25に記憶された共通情報と
を用いてネットワーク情報ファイル41及び認証情報フ
ァイル42を再構成して、情報ファイル管理部26に送
り、次いで、ステップS10では、ネットワーク情報フ
ァイル41及び認証情報ファイル42を再構成したこと
に応じて認証クライアントログオンパスワード及びパス
情報を一時記憶部27に格納して、ステップS11に処
理を進める。
【0050】ステップS11では、起動部33により認
証クライアント28を起動する処理をしてステップS1
2に処理を進め、起動情報取得部51により、今回の起
動が手動起動か、ICカード監視部24が起動したこと
による自動起動かの判定をする。このとき、起動情報取
得部51では、自動起動を判定するに際して、起動部3
3による起動要求が発生したか否か、又は、一時記憶部
27に認証クライアント起動ログオンパスワード及びパ
ス情報が一時記憶部27に記憶されたか否かを判定す
る。起動情報取得部51により自動起動であると判定し
た場合には、ステップS13に処理を進め、認証・ネッ
トワーク情報取得部52により一時記憶部27から認証
クライアントログオンパスワード及びパス情報を取得し
てステップS17に処理を進める。
【0051】一方、起動情報取得部51により手動起動
であると判定した場合には、ステップS14に処理を進
め、起動情報取得部51によりパスワード入力画面をユ
ーザに提示してステップS15に処理を進め、正当な認
証クライアントログオンパスワードの入力がなされた場
合にステップS16に処理を進める。ステップS16で
は、予め設定されたデフォルトのネットワーク情報ファ
イル41及び認証情報ファイル42を取得するためのパ
ス情報を認証・ネットワーク情報取得部52にて取得し
てステップS17に処理を進める。
【0052】ステップS17において、認証・ネットワ
ーク情報取得部52は、ステップS13又はステップS
16にて取得したパス情報に基づいて情報ファイル管理
部26からネットワーク情報ファイル41及び認証情報
ファイル42を取得してネットワーク情報及び認証情報
を認証処理部53、鍵交換処理部54及び通信処理部5
5に送ってステップS18に処理を進める。
【0053】ステップS18において、認証処理部53
は、認証情報を用いて認証サーバ2との間で認証処理を
行い、ステップS19において認証処理の結果、認証サ
ーバ2にて認証されたか否かを判定して、認証されなか
った場合にはステップS20に処理を進めてエラー処理
をして処理を終了する。一方、認証サーバ2に認証され
た場合にはステップS21に処理を進める。
【0054】ステップS21では、鍵交換処理部54に
より認証サーバ2との鍵交換処理を行ってステップS2
2に処理を進め、鍵交換が成功しなかったと判定したと
きにはステップS23に処理を進めてエラー処理をして
処理を終了する。一方、認証サーバ2との間での鍵交換
処理が成功した場合にはステップS24に処理を進め
る。
【0055】ステップS24では、ステップS18での
認証処理、ステップS21での鍵交換処理により、VP
Nパス4を構築したアプリケーションサーバ3との通信
が確立し、ステップS25において通信処理部55によ
り図2に示すようなIPinIPパケットによる暗号化
通信を開始する。
【0056】そして、VPNパス4を介した暗号化通信
を終了するログオフ命令がOSにより発生した場合に
は、図4のステップS31の処理を開始し、ICカード
監視部24の情報ファイル構成部32により、ネットワ
ーク情報ファイル41及び認証情報ファイル42を削除
するように情報ファイル管理部26を制御して、ステッ
プS32に処理を進める。
【0057】ステップS32では、情報ファイル構成部
32により、一時記憶部27に記憶しておいた認証クラ
イアントログオンパスワード及びパス情報を削除してス
テップS33に処理を進めてOSからログオフして処理
を終了する。
【0058】[通信端末1による他の通信確立処理]つ
ぎに、上述した通信システムにおいて、通信端末1によ
り通信を開始するに際して行う他の通信確立処理につい
て図5のフローチャートを参照して説明する。なお、上
述と同じ処理については同一符号を付することによりそ
の詳細な説明を省略する。
【0059】この通信確立処理では、ICカード監視部
24を起動した後に、ステップS6及びステップS7の
処理をせずにステップS8〜ステップS11の処理を
し、自動起動された後のステップS17の次のステップ
S41において、認証・ネットワーク情報取得部52に
よりネットワーク情報ファイル41及び認証情報ファイ
ル42を削除してステップS42に処理を進める。
【0060】ステップS42では、一時記憶部27によ
りステップS10にて記憶した認証クライアントログオ
ンパスワード及びパス情報を削除してステップS18に
処理を進める。
【0061】[実施形態の効果]以上、詳細に説明した
ように、本実施形態に係る通信システムによれば、IC
カード10からユーザごとの固有情報を読み出して入力
した場合にネットワーク情報ファイル41及び認証情報
ファイル42を再構成して、通信端末1と認証サーバ2
との通信を確立するので、パスワードの漏洩により認証
クライアント28が起動することなく、ICカード10
が挿入された場合のみに認証クライアント28を起動す
るようにすることができ、通信端末1が起動する時のロ
グオン処理を安全とすると共に、セキュリティに対する
信頼性の高いシステムを構築することができる。
【0062】また、この通信システムによれば、共通情
報を予めネットワーク共通情報記憶部25に記憶してお
き、ICカード10が挿入された場合に共通情報と固有
情報とを用いてネットワーク情報ファイル41及び認証
情報ファイル42を再構成するので、ICカード10に
記録する情報量を少なくして、ICカード10のメモリ
消費量を抑制することができる。
【0063】更に、この通信システムによれば、ICカ
ード10が挿入された場合にはICカード監視部24を
起動してICカード10の固有情報を用いて認証サーバ
2と通信確立し、入力装置29が操作されて起動した場
合には通信端末1内の固有情報を用いて認証サーバ2と
通信確立をするので、ICカード10が挿入されない場
合でもデフォルトの動作をさせることができ、運用の柔
軟性を確保することができる。
【0064】更にまた、この通信システムによれば、I
Cカード10に認証クライアントログオンパスワードを
記録しておき、ネットワーク情報ファイル41及び認証
情報ファイル42を再構成した後に、パス情報及び認証
クライアントログオンパスワードを一時記憶部27に記
憶して認証処理を行うようにしたので、ICカード監視
プログラムと認証処理プログラムとの切り分けを容易と
することができる。したがって、この通信システムによ
れば、既存の認証クライアント28のプログラム変更を
少なくしてICカード監視部24による上述の処理を追
加することができる。
【0065】更にまた、この通信システムによれば、起
動部33から直接認証クライアントログオンパスワード
及びパス情報が送られたことを認証クライアント28に
より検知して認証処理を行うので、一時記憶部27に記
憶することなく、固有情報に対するセキュリティをより
向上させることができる。
【0066】更にまた、この通信システムによれば、一
時記憶部27に記憶した認証クライアントログオンパス
ワード及びパス情報を認証クライアント28又はICカ
ード監視部24により消去するので、通信が終了した後
にネットワーク情報ファイル41及び認証情報ファイル
42がそのまま保存されてICカード10に記憶された
固有情報が漏洩することを防止することができる。
【0067】[通信システムの他の実施形態]つぎに、
通信システムの他の実施形態について説明する。なお、
上述の実施形態と同様の部分については同一符号を付す
ることによりその詳細な説明を省略する。
【0068】上述した通信システムは、図6に示すよう
に、ICカード10に通信端末1と接続する認証サーバ
2を識別するための認証サーバ識別情報を格納した場
合、通信端末1は、認証情報として認証サーバ識別情報
を読み出して認証情報ファイル42を再構成する。これ
により、この通信システムによれば、通信端末1の設定
に拘わらず、ユーザが指定する認証サーバ2を介してア
プリケーションサーバ3との接続を確立することができ
る。また、この通信システムによれば、ICカード10
ごとに通信端末1の接続先を異なるものにすることがで
き、ICカード10を挿入させることで通信端末1の接
続先を制限することができる。
【0069】これに対し、他の通信システムでは、図7
に示すように、通信端末1との通信確立が可能な認証サ
ーバ2A、2B、2Cが存在し、各認証サーバ2A、2
B、2Cにそれぞれ異なるアプリケーションサーバ3
A、3B、3Cが接続されている場合、ICカード10
に複数の認証サーバA識別情報、認証サーバB識別情
報、認証サーバC識別情報を格納しておく。ここで、各
アプリケーションサーバ3A、3B、3Cは、通信端末
1のアプリケーション処理部30にて使用する複数のア
プリケーションに対応しており、例えばそれぞれの用途
が異なるものである。
【0070】そして、このICカード10が挿入された
場合には、通信端末1は、複数の認証サーバ2と接続可
能とするために、複数の認証サーバA識別情報、認証サ
ーバB識別情報、認証サーバC識別情報を含む認証情報
ファイル42を情報ファイル構成部32により再構成す
る。
【0071】認証処理をするときには、認証処理部53
は、接続する認証サーバ2の選択を促す認証サーバ選択
入力表示などをして、入力装置29からの命令に従って
認証処理をする認証サーバ2を選択する。また、認証処
理部53は、接続する認証サーバ2の選択を促すに際し
て、通信確立を要求するアプリケーションサーバ3や、
通信が確立した後に使用するアプリケーションの選択を
促すことにより、アプリケーションサーバ3に接続され
た認証サーバ2を選択させても良い。
【0072】このような通信システムによれば、単一の
ICカード10に複数の認証サーバ識別情報を記憶した
ので、例えばユーザに接続を希望するアプリケーション
サーバ3を選択させるのみで複数の認証サーバ2から接
続先を指定させることができ、ユーザの利便性を向上さ
せることができる。
【0073】更に他の通信システムは、図8に示すよう
に、単一の認証サーバ2に対して複数の通信端末1A、
通信端末1B、通信端末1Cが接続され、更に認証サー
バ2に複数のアプリケーションサーバ3A、アプリケー
ションサーバ3B、アプリケーションサーバ3Cが接続
されている場合、認証サーバ2により各通信端末1のア
クセス制御を行う。
【0074】この認証サーバ2は、図9に示すような各
通信端末1に対応する認証クライアント28を識別する
認証クライアント識別情報と、アクセス許可のレベルを
示すアクセスレベルとを対応づけたテーブルを保持して
いる。このアクセス許可レベルは、図10に示すよう
に、各アクセスレベル(1〜3)に対応して、アプリケ
ーションサーバ3A、アプリケーションサーバ3B、ア
プリケーションサーバ3Cごとのアクセス許可/不許可
を示す。認証サーバ2の認証処理部61では、通信端末
1の認証処理部53からの登録要求及び接続先のアプリ
ケーションサーバ3を示す情報を受け付けた場合に、図
9のテーブルから認証クライアント識別情報を参照して
アクセルレベルを認識し、図10のテーブルからアクセ
スレベルに対するアクセス許可/不許可を認識する。
【0075】そして、認証サーバ2の認証処理部61で
は、アクセス許可と判定した場合にはそのまま認証処理
を進め、アクセス不許可と判定した場合にはその旨を通
信端末1に通知する。
【0076】このような通信システムによれば、各通信
端末1の認証クライアント28ごとに、各アプリケーシ
ョンサーバ3に対するアクセス許可/不許可を判定する
ので、通信端末1の各アプリケーションサーバ3へのア
クセス制御をすることができる。
【0077】なお、上述の実施の形態は本発明の一例で
ある。このため、本発明は、上述の実施形態に限定され
ることはなく、この実施の形態以外であっても、本発明
に係る技術的思想を逸脱しない範囲であれば、設計等に
応じて種々の変更が可能であることは勿論である。
【0078】
【発明の効果】請求項1に係る通信端末によれば、ユー
ザにより記録媒体が挿入された場合に、ユーザごとの固
有情報を読み出して認証用情報ファイル及び通信用情報
ファイルを構成して認証サーバとの間の通信を確立する
ので、パスワードなどの漏洩により認証処理を行うよう
なことがなく、記録媒体が挿入された場合のみに認証処
理をするようにすることができ、起動時のログオン処理
を安全とすると共に、セキュリティに対する信頼性の高
いシステムを構築することができる。
【0079】請求項2に係る通信端末によれば、通信処
理手段により認証サーバとの間で鍵交換処理をし、鍵交
換処理の結果に従って暗号化処理をするので、請求項1
と同様に、記録媒体が挿入された場合のみに認証処理及
び鍵交換処理をするようにすることができ、起動時のロ
グオン処理を安全とすると共に、セキュリティに対する
信頼性の高いシステムを構築することができる。
【0080】請求項3に係る通信端末によれば、固有情
報としてホームアドレスを記録媒体から読み出して入力
した場合に、このホームアドレスを用いて通信用情報フ
ァイルを構成するので、請求項1と同様に、ホームアド
レスを用いた通信処理をするようにすることができ、起
動時のログオン処理を安全とすると共に、セキュリティ
に対する信頼性の高いシステムを構築することができ
る。
【0081】請求項4に係る通信端末によれば、認証用
共通情報及び通信用共通情報を予め記憶しておき、記憶
したおいた共通情報と記録媒体から入力した認証用固有
情報及び通信用固有情報を用いて認証用情報ファイル及
び通信用情報ファイルを構成するので、記録媒体に記録
する情報量を少なくして、記録媒体のメモリ消費量を抑
制することができる。
【0082】請求項5に係る通信端末によれば、記録媒
体からパスワード、認証用固有情報及び通信用固有情
報、認証用共通情報及び通信用共通情報を読み出して入
力した場合に、情報ファイル構成手段により認証用情報
ファイル及び通信用情報ファイルを生成するようにした
ので、記録媒体に固有情報のみを記録する場合と比較し
て、セキュリティレベルを向上させることができる。
【0083】請求項6に係る通信端末によれば、通信処
理手段により、情報ファイル構成手段からの指示に応じ
て、ファイル管理手段に保持された認証用情報ファイル
及び通信用情報ファイルを読み出して認証処理を行うの
で、記録媒体が挿入されない場合でもデフォルトの動作
をさせることができ、運用の柔軟性を確保することがで
きる。
【0084】請求項7に係る通信端末によれば、通信利
用の正当性を判定するためのパスワードを固有情報とし
て入力した場合、情報ファイル構成手段により認証用情
報ファイル及び通信用情報ファイルを構成したことに応
じてパスワード及び認証用情報ファイル及び通信用情報
ファイルについてのパス情報を一時記憶手段に記憶し
て、通信処理手段による認証処理を開始するようにした
ので、情報ファイルを構成するプログラムと認証処理を
するプログラムとの切り分けを容易とすることができ、
既存の認証処理をするプログラムの設計変更を少なくす
ることができる。
【0085】請求項8に係る通信端末によれば、認証処
理の終了後に、一時記憶手段に記憶されたパスワード及
びパス情報を通信処理手段により消去するようにしたの
で、通信が終了した後に通信用情報ファイル及び認証用
情報ファイルがそのまま保存されて携帯用記録媒体に記
憶された固有情報が漏洩することを防止することができ
る。
【0086】請求項9に係る通信端末によれば、通信処
理手段の認証処理の終了後に、一時記憶手段に記憶され
た認証用情報ファイル及び通信用情報ファイルを情報フ
ァイル構成手段により消去するようにしたので、通信が
終了した後に通信用情報ファイル及び認証用情報ファイ
ルがそのまま保存されて携帯用記録媒体に記憶された固
有情報が漏洩することを防止することができる。
【0087】請求項10に係る通信端末によれば、通信
利用の正当性を判定するためのパスワードを固有情報と
して入力した場合に、パスワード、認証用情報ファイル
及び通信用情報ファイルについてのパス情報を情報ファ
イル構成手段から通信処理手段に送って認証処理を開始
するようにしたので、パスワード及びパス情報を一旦記
憶する必要なく、セキュリティを向上させることができ
る。
【0088】請求項11に係る通信端末によれば、認証
サーバ識別情報を記録媒体から読み出して入力した場合
に、認証サーバ識別情報により特定される認証サーバに
接続を制限して認証処理をして通信を確立するので、既
存の設定に拘わらず、ユーザが指定する認証サーバを介
してアプリケーションサーバとの接続を確立することが
でき、更に、記録媒体ごとに通信端末の接続先を異なる
ものにすることができ、記録媒体を挿入させることで通
信端末の接続先を制限することができる。
【0089】請求項12に係る通信端末によれば、各ア
プリケーションサーバに対応した各認証サーバを識別す
る認証サーバ識別情報を記録媒体から複数読み出して入
力した場合に、各認証サーバ識別情報により特定される
各認証サーバとの間で認証処理をして、ユーザに選択さ
れたアプリケーションサーバとの間の通信を確立するよ
うにしたので、ユーザに接続を希望するアプリケーショ
ンサーバを選択させるのみで複数の認証サーバから接続
先を指定させることができ、ユーザの利便性を向上させ
ることができる。
【0090】請求項13に係る通信確立方法によれば、
記録媒体から固有情報を読み出して入力し、認証用情報
ファイル及び認証サーバとの通信に使用する通信用情報
ファイルを構成し、通信用情報ファイルを参照して認証
サーバとの間で通信を行い、認証用情報ファイルを参照
して認証サーバとの間で認証処理を行って、認証サーバ
との間の通信を確立するので、パスワードなどの漏洩に
より認証処理を行うようなことがなく、記録媒体が挿入
された場合のみに認証処理をするようにすることがで
き、起動時のログオン処理を安全とすると共に、セキュ
リティに対する信頼性の高いシステムを構築することが
できる。
【0091】請求項14に係る通信確立方法によれば、
記録媒体が挿入された場合に、認証サーバとの間で鍵交
換処理をし、鍵交換処理の結果に従って暗号化処理をす
るので、請求項13と同様に、記録媒体が挿入された場
合のみに認証処理及び鍵交換処理をするようにすること
ができ、起動時のログオン処理を安全とすると共に、セ
キュリティに対する信頼性の高いシステムを構築するこ
とができる。
【0092】請求項15に係る通信確立方法によれば、
記録媒体が挿入された場合に、ホームアドレスを用いて
通信用情報ファイルを構成するので、請求項1と同様
に、ホームアドレスを用いた通信処理をするようにする
ことができ、起動時のログオン処理を安全とすると共
に、セキュリティに対する信頼性の高いシステムを構築
することができる。
【0093】請求項16に係る通信確立方法によれば、
異なるユーザが保有する記録媒体に記憶された異なる固
有情報に対して共通して使用する認証用共通情報及び通
信用共通情報予め記憶しておき、入力した認証用固有情
報と予め記憶した認証用共通情報とを用いて認証用情報
ファイルを構成すると共に、入力した通信用固有情報と
予め記憶した通信用共通情報とを用いて通信用情報ファ
イルを構成するので、記録媒体に記録する情報量を少な
くして、記録媒体のメモリ消費量を抑制することができ
る。
【0094】請求項17に係る通信確立方法によれば、
通信利用の正当性を判定するためのパスワード、認証サ
ーバとの間にて認証処理をするに際して使用する認証用
固有情報、及び認証サーバとの間で通信処理をするに際
して使用する通信用固有情報、各通信確立方法にて共通
した情報である認証用共通情報及び通信用共通情報を記
録媒体から読み出して入力した場合に、入力した情報か
ら認証用情報ファイル及び通信用情報ファイルを生成す
るので、記録媒体に固有情報のみを記録する場合と比較
して、セキュリティレベルを向上させることができる。
【0095】請求項18に係る通信確立方法によれば、
認証用情報ファイル及び通信用情報ファイルを構成した
ことに応じた指示に従って、認証用情報ファイル及び通
信用情報ファイルをファイルシステムから読み出して認
証処理を行うので、記録媒体が挿入されない場合でもデ
フォルトの動作をさせることができ、運用の柔軟性を確
保することができる。
【0096】請求項19に係る通信確立方法によれば、
認証用情報ファイル及び通信用情報ファイルを構成した
後に、入力したパスワード、認証用情報ファイル及び通
信用情報ファイルについてのパス情報を一時記憶し、認
証処理をするに際して、一時記憶したパスワード及びパ
ス情報を読み出すようにしたので、情報ファイルを構成
するプログラムと認証処理をするプログラムとの切り分
けを容易とすることができ、既存の認証処理をするプロ
グラムの設計変更を少なくすることができる。
【0097】請求項20に係る通信確立方法によれば、
認証処理の終了後に、認証処理モジュールによって、一
時記憶した認証用情報ファイル及び通信用情報ファイル
を消去するようにしたので、通信が終了した後に通信用
情報ファイル及び認証用情報ファイルがそのまま保存さ
れて携帯用記録媒体に記憶された固有情報が漏洩するこ
とを防止することができる。
【0098】請求項21に係る通信確立方法によれば、
認証処理の終了後に、情報ファイル構成モジュールによ
って、一時記憶した認証用情報ファイル及び通信用情報
ファイルを消去するようにしたので、通信が終了した後
に通信用情報ファイル及び認証用情報ファイルがそのま
ま保存されて携帯用記録媒体に記憶された固有情報が漏
洩することを防止することができる。
【0099】請求項22に係る通信確立方法によれば、
通信利用の正当性を判定するためのパスワードを認証サ
ーバとの認証処理に必要な情報と共に記録媒体から読み
出して入力し、認証用情報ファイル及び通信用情報ファ
イルを構成したことに応じて、入力したパスワード、及
び認証用情報ファイル及び通信用情報ファイルについて
のパス情報を入力し、パスワード及びパス情報の入力に
応じて認証処理を開始するようにしたので、パスワード
及びパス情報を一旦記憶する必要なく、セキュリティを
向上させることができる。
【0100】請求項23に係る通信確立方法によれば、
認証サーバを識別する認証サーバ識別情報を、認証サー
バとの認証処理に必要な情報と共に記録媒体から読み出
して入力した場合に、入力した認証サーバ識別情報によ
り特定される認証サーバに接続を制限して認証処理をし
て通信を確立するので、既存の設定に拘わらず、ユーザ
が指定する認証サーバを介してアプリケーションサーバ
との接続を確立することができ、更に、記録媒体ごとに
通信端末の接続先を異なるものにすることができ、記録
媒体を挿入させることで通信端末の接続先を制限するこ
とができる。
【0101】請求項24に係る通信確立方法によれば、
認証処理によって通信を確立する各アプリケーションサ
ーバに対応した各認証サーバを識別する認証サーバ識別
情報を、認証サーバとの認証処理に必要な情報と共に記
録媒体から読み出して入力した場合、入力した各認証サ
ーバ識別情報により特定される各認証サーバとの間で認
証処理をして、ユーザに選択されたアプリケーションサ
ーバとの間の通信を確立するので、ユーザに接続を希望
するアプリケーションサーバを選択させるのみで複数の
認証サーバから接続先を指定させることができ、ユーザ
の利便性を向上させることができる。
【0102】請求項25に係る通信確立プログラムによ
れば、ユーザが保有する記録媒体から認証サーバとの認
証処理に必要な情報のうち、少なくともユーザごとの固
有情報を読み出して入力した場合に、入力した情報を用
いて、認証処理に必要な認証用情報ファイル及び認証サ
ーバとの通信に使用する通信用情報ファイルを構成する
情報ファイル構成プログラムと、通信用情報ファイルを
参照して認証サーバとの間で通信を行い、認証用情報フ
ァイルを参照して認証サーバとの間で認証処理を行っ
て、認証サーバとの間の通信を確立する通信処理プログ
ラムとにて構成したので、パスワードなどの漏洩により
認証処理を行うようなことがなく、記録媒体が挿入され
た場合のみに認証処理をするようにすることができ、起
動時のログオン処理を安全とすると共に、セキュリティ
に対する信頼性の高いシステムを構築することができ
る。
【0103】請求項26に係る通信確立プログラムによ
れば、コンピュータに、請求項13〜請求項24の何れ
かに記載の通信確立方法を実行させるので、上述の通信
確立方法での効果を発揮させることができる。
【0104】請求項27に係る通信システムによれば、
複数の通信端末との間で認証処理をして、認証処理の結
果に応じてアプリケーションサーバと通信端末との間の
通信を確立する認証サーバと、ユーザが保有する記録媒
体から認証サーバとの認証処理に必要な情報のうち、少
なくともユーザごとの固有情報を読み出して入力し、入
力した情報を用いて、認証処理に必要な認証用情報ファ
イル及び認証サーバとの通信に使用する通信用情報ファ
イルを構成し、通信用情報ファイルを参照して認証サー
バとの間で通信を行い、認証用情報ファイルを参照して
認証サーバとの間で認証処理を行う通信端末とからなる
ので、パスワードなどの漏洩により通信端末にて認証処
理を行うようなことがなく、記録媒体が挿入された場合
のみに認証処理をするようにすることができ、起動時の
ログオン処理を安全とすると共に、セキュリティに対す
る信頼性の高くすることができる。
【0105】請求項28に係る通信システムによれば、
認証サーバにてアクセス許可レベルと、認証処理に必要
な情報との関係を予め設定しておき、アクセス許可レベ
ルを参照して各通信端末のアプリケーションサーバへの
アクセスを制限するので、各通信端末ごとに、各アプリ
ケーションサーバに対するアクセス許可/不許可を判定
するので、通信端末の各アプリケーションサーバへのア
クセス制御をすることができる。
【0106】請求項29に係る通信システムによれば、
記録媒体にはユーザ毎の固有情報としてホームアドレス
が記憶され、認証サーバは、アクセス許可レベルとホー
ムアドレスとの関係を予め設定しておき、ホームアドレ
スに応じて通信端末のアプリケーションサーバへのアク
セスを制限するので、通信端末の各アプリケーションサ
ーバへのアクセス制御をすることができる。
【図面の簡単な説明】
【図1】本発明を適用した通信システム及び通信端末の
構成を示す機能ブロック図である。
【図2】通信端末の通信処理部及び認証サーバの通信処
理部によるパケット作成処理について説明するための図
である。
【図3】本発明を適用した通信端末による通信確立処理
において、ICカードが挿入されてから暗号通信を開始
するまでの処理手順を示すフローチャートである。
【図4】本発明を適用した通信端末による通信確立処理
において、暗号通信を終了するときの処理手順を示すフ
ローチャートである。
【図5】本発明を適用した通信端末による通信確立処理
において、ICカードが挿入されてから暗号通信を開始
するまでの他の処理手順を示すフローチャートである。
【図6】本発明を適用した通信システムの他の実施形態
について説明するためのブロック図である。
【図7】本発明を適用した通信システムの更に他の実施
形態について説明するためのブロック図である。
【図8】本発明を適用した通信システムの更に他の実施
形態について説明するためのブロック図である。
【図9】認証サーバにて保持している認証クライアント
識別情報とアクセスレベルとを対応づけたテーブルにつ
いて説明するための図である。
【図10】認証サーバにて保持している各アクセスレベ
ルと各アプリケーションサーバごとのアクセス許可/不
許可を示すテーブルについて説明するための図である。
【図11】従来の通信システムを示すブロック図であ
る。
【符号の説明】
1 通信端末 2 認証サーバ 3 アプリケーションサーバ 4 VPNパス 10 ICカード 21 ICカードリーダ 22 ログオン用ICカード読み取り部 23 ログオン部 24 ICカード監視部 25 ネットワーク共通情報記憶部 26 情報ファイル管理部 27 一時記憶部 28 認証クライアント 29 入力装置 30 アプリケーション処理部 31 ICカード読み取り部 32 情報ファイル構成部 33 起動部 41 ネットワーク情報ファイル 42 認証情報ファイル 51 起動情報取得部 52 認証・ネットワーク情報取得部 53 認証処理部 54 鍵交換処理部 55 通信処理部 61 認証処理部 62 鍵交換処理部 63 通信処理部 71 IPヘッダ情報領域 72,74,76 データ領域 73 IPSecヘッダ領域 75 IPinIPヘッダ領域 81,83,85 送信元アドレス領域 82,84,86 宛先アドレス領域
───────────────────────────────────────────────────── フロントページの続き (72)発明者 西園 賢治 大阪府門真市大字門真1048番地 松下電工 株式会社内 Fターム(参考) 5B085 AE02 AE09 AE12 AE23 BA07 BG02 BG07 5J104 AA07 KA01 NA35 NA36 PA07

Claims (29)

    【特許請求の範囲】
  1. 【請求項1】 ユーザが保有する記録媒体から認証サー
    バとの認証処理に必要な情報のうち、少なくともユーザ
    ごとの固有情報を読み出して入力する情報入力手段と、 上記情報入力手段にて入力した情報を用いて、認証処理
    に必要な認証用情報ファイル及び上記認証サーバとの通
    信に使用する通信用情報ファイルを構成する情報ファイ
    ル構成手段と、 上記情報ファイル構成手段にて構成された通信用情報フ
    ァイルを参照して上記認証サーバとの間で通信を行い、
    上記認証用情報ファイルを参照して上記認証サーバとの
    間で認証処理を行って、上記認証サーバとの間の通信を
    確立する通信処理手段とを備えることを特徴とする通信
    端末。
  2. 【請求項2】 上記通信処理手段は、認証処理結果に基
    づいて上記認証サーバとの間で鍵交換処理をし、鍵交換
    処理の結果に従って暗号化処理をする鍵交換手段を更に
    備えることを特徴とする請求項1に記載の通信端末。
  3. 【請求項3】 上記情報入力手段は、上記固有情報とし
    てホームアドレスを上記記録媒体から読み出して入力
    し、 上記情報ファイル構成手段は、上記情報入力手段にて入
    力したホームアドレスを用いて通信用情報ファイルを構
    成することを特徴とする請求項1に記載の通信端末。
  4. 【請求項4】 異なるユーザが保有する記録媒体に記憶
    された異なる固有情報に対して共通して使用される上記
    認証用共通情報及び通信用共通情報を記憶する共通情報
    記憶手段を更に備え、 上記情報入力手段は、通信利用の正当性を判定するため
    のパスワード、認証サーバとの間にて認証処理をするに
    際して使用する認証用固有情報、及び認証サーバとの間
    で通信処理をするに際して使用する通信用固有情報を上
    記記録媒体から読み出して入力し、 上記情報ファイル構成手段は、上記情報入力手段にて入
    力したパスワードから通信利用の正当性が判定された場
    合に、上記情報入力手段にて入力した認証用固有情報と
    上記共通情報記憶手段に記憶された認証用共通情報とを
    用いて認証用情報ファイルを構成すると共に、上記情報
    入力手段にて入力した通信用固有情報と上記共通情報記
    憶手段に記憶された通信用共通情報とを用いて通信用情
    報ファイルを構成することを特徴とする請求項1に記載
    の通信端末。
  5. 【請求項5】 上記情報入力手段は、通信利用の正当性
    を判定するためのパスワード、認証サーバとの間にて認
    証処理をするに際して使用する認証用固有情報、及び認
    証サーバとの間で通信処理をするに際して使用する通信
    用固有情報、各通信端末にて共通した情報である認証用
    共通情報及び通信用共通情報を上記記録媒体から読み出
    して入力し、 上記情報ファイル構成手段は、上記情報入力手段にて入
    力した情報から認証用情報ファイル及び通信用情報ファ
    イルを生成することを特徴とする請求項1に記載の通信
    端末。
  6. 【請求項6】 少なくとも上記情報ファイル構成手段に
    作成された認証用情報ファイル及び通信用情報ファイル
    を内部に保持して管理するファイル管理手段を更に備
    え、 上記通信処理手段は、上記情報ファイル構成手段からの
    指示に応じて、上記ファイル管理手段に保持された認証
    用情報ファイル及び通信用情報ファイルを読み出して認
    証処理を行うことを特徴とする請求項1に記載の通信端
    末。
  7. 【請求項7】 上記情報入力手段は、通信利用の正当性
    を判定するためのパスワードを上記固有情報として入力
    し、 上記情報ファイル構成手段は、上記認証用情報ファイル
    及び通信用情報ファイルを構成したことに応じて、上記
    情報入力手段にて入力したパスワード、上記認証用情報
    ファイル及び通信用情報ファイルについてのパス情報を
    一時記憶手段に記憶し、 上記通信処理手段は、上記一時記憶手段にパスワード及
    びパス情報が入力された場合に当該パスワード及びパス
    情報を読み出して認証処理を開始することを特徴とする
    請求項1に記載の通信端末。
  8. 【請求項8】 上記通信処理手段は、認証処理の終了後
    に上記一時記憶手段に記憶されたパスワード及びパス情
    報を消去することを特徴とする請求項7に記載の通信端
    末。
  9. 【請求項9】 上記情報ファイル構成手段は、上記通信
    処理手段の認証処理の終了後に上記一時記憶手段に記憶
    された認証用情報ファイル及び通信用情報ファイルを消
    去することを特徴とする請求項7に記載の通信端末。
  10. 【請求項10】 上記情報入力手段は、通信利用の正当
    性を判定するためのパスワードを上記固有情報として入
    力し、 上記情報ファイル構成手段は、上記認証用情報ファイル
    及び通信用情報ファイルを構成したことに応じて、上記
    情報入力手段にて入力したパスワード、上記認証用情報
    ファイル及び通信用情報ファイルについてのパス情報
    を、上記通信処理手段に送り、 上記通信処理手段は、上記情報ファイル構成手段からの
    パスワード及びパス情報の入力に応じて認証処理を開始
    することを特徴とする請求項1に記載の通信端末。
  11. 【請求項11】 上記情報入力手段は、上記通信処理手
    段との間で認証処理をする認証サーバを識別する認証サ
    ーバ識別情報を上記記録媒体から読み出して入力し、 上記通信処理手段は、上記情報入力手段にて入力した認
    証サーバ識別情報により特定される認証サーバに接続し
    て認証処理をして通信を確立することを特徴とする請求
    項1に記載の通信端末。
  12. 【請求項12】 上記情報入力手段は、上記通信処理手
    段での認証処理によって通信を確立する各アプリケーシ
    ョンサーバに対応した各認証サーバを識別する認証サー
    バ識別情報を上記記録媒体から複数読み出して入力し、 上記通信処理手段は、上記情報入力手段にて入力した各
    認証サーバ識別情報により特定される各認証サーバとの
    間で認証処理をして、ユーザに選択されたアプリケーシ
    ョンサーバとの間の通信を確立することを特徴とする請
    求項1に記載の通信端末。
  13. 【請求項13】 ユーザが保有する記録媒体から認証サ
    ーバとの認証処理に必要な情報のうち、少なくともユー
    ザごとの固有情報を読み出して入力し、 入力した情報を用いて、認証処理に必要な認証用情報フ
    ァイル及び上記認証サーバとの通信に使用する通信用情
    報ファイルを構成し、 上記通信用情報ファイルを参照して上記認証サーバとの
    間で通信を行い、上記認証用情報ファイルを参照して上
    記認証サーバとの間で認証処理を行って、上記認証サー
    バとの間の通信を確立することを特徴とする通信確立方
    法。
  14. 【請求項14】 認証処理の後、認証処理結果に基づい
    て上記認証サーバとの間で鍵交換処理をし、 鍵交換処理の結果に従って暗号化処理をすることを特徴
    とする請求項13に記載の通信確立方法。
  15. 【請求項15】 ホームアドレスを認証サーバとの認証
    処理に必要な情報と共に上記記録媒体から読み出し、 入力したホームアドレスを用いて通信用情報ファイルを
    構成することを特徴とする請求項13に記載の通信確立
    方法。
  16. 【請求項16】 異なるユーザが保有する記録媒体に記
    憶された異なる固有情報に対して共通して使用する上記
    認証用共通情報及び通信用共通情報予め記憶しておき、 通信利用の正当性を判定するためのパスワード、上記認
    証サーバとの間にて認証処理をするに際して使用する認
    証用固有情報、及び上記認証サーバとの間で通信処理を
    するに際して使用する通信用固有情報を上記記録媒体か
    ら読み出した場合に、 上記記録媒体から入力したパスワードを参照して通信利
    用の正当性を判定し、 入力した認証用固有情報と予め記憶した認証用共通情報
    とを用いて認証用情報ファイルを構成すると共に、入力
    した通信用固有情報と予め記憶した通信用共通情報とを
    用いて通信用情報ファイルを構成することを特徴とする
    請求項13に記載の通信確立方法。
  17. 【請求項17】 通信利用の正当性を判定するためのパ
    スワード、認証サーバとの間にて認証処理をするに際し
    て使用する認証用固有情報、及び認証サーバとの間で通
    信処理をするに際して使用する通信用固有情報、各通信
    確立方法にて共通した情報である認証用共通情報及び通
    信用共通情報を上記記録媒体から読み出して入力した場
    合に、 入力した情報から認証用情報ファイル及び通信用情報フ
    ァイルを生成することを特徴とする請求項13に記載の
    通信確立方法。
  18. 【請求項18】 認証用情報ファイル及び通信用情報フ
    ァイルを構成したことに応じた指示に従って、認証用情
    報ファイル及び通信用情報ファイルをファイルシステム
    から読み出して認証処理を行うことを特徴とする請求項
    13に記載の通信確立方法。
  19. 【請求項19】 通信利用の正当性を判定するためのパ
    スワードを認証サーバとの認証処理に必要な情報と共に
    上記記録媒体から読み出して入力し、 上記認証用情報ファイル及び通信用情報ファイルを構成
    した後に、 入力したパスワード、上記認証用情報ファイル及び通信
    用情報ファイルについてのパス情報を一時記憶し、 認証処理をするに際して、一時記憶したパスワード及び
    パス情報を読み出すことを特徴とする請求項13に記載
    の通信確立方法。
  20. 【請求項20】 認証処理の終了後に、 認証処理モジュールによって、一時記憶した上記認証用
    情報ファイル及び通信用情報ファイルを消去することを
    特徴とする請求項19に記載の通信確立方法。
  21. 【請求項21】 認証処理の終了後に、 情報ファイル構成モジュールによって、一時記憶した上
    記認証用情報ファイル及び通信用情報ファイルを消去す
    ることを特徴とする請求項19に記載の通信確立方法。
  22. 【請求項22】 通信利用の正当性を判定するためのパ
    スワードを上記認証サーバとの認証処理に必要な情報と
    共に上記記録媒体から読み出して入力し、 上記認証用情報ファイル及び通信用情報ファイルを構成
    したことに応じて、入力したパスワード、及び上記認証
    用情報ファイル及び通信用情報ファイルについてのパス
    情報を入力し、 パスワード及びパス情報の入力に応じて認証処理を開始
    することを特徴とする請求項13に記載の通信確立方
    法。
  23. 【請求項23】 上記認証サーバを識別する認証サーバ
    識別情報を、上記認証サーバとの認証処理に必要な情報
    と共に上記記録媒体から読み出して入力し、 入力した上記認証サーバ識別情報により特定される上記
    認証サーバに接続を制限して認証処理をして通信を確立
    することを特徴とする請求項13に記載の通信確立方
    法。
  24. 【請求項24】 認証処理によって通信を確立する各ア
    プリケーションサーバに対応した各認証サーバを識別す
    る認証サーバ識別情報を、上記認証サーバとの認証処理
    に必要な情報と共に上記記録媒体から読み出して入力
    し、 入力した各認証サーバ識別情報により特定される各認証
    サーバとの間で認証処理をして、ユーザに選択されたア
    プリケーションサーバとの間の通信を確立することを特
    徴とする請求項13に記載の通信確立方法。
  25. 【請求項25】 ユーザが保有する記録媒体から認証サ
    ーバとの認証処理に必要な情報のうち、少なくともユー
    ザごとの固有情報を読み出して入力した場合に、入力し
    た情報を用いて、認証処理に必要な認証用情報ファイル
    及び上記認証サーバとの通信に使用する通信用情報ファ
    イルを構成する情報ファイル構成プログラムと、 上記通信用情報ファイルを参照して上記認証サーバとの
    間で通信を行い、上記認証用情報ファイルを参照して上
    記認証サーバとの間で認証処理を行って、上記認証サー
    バとの間の通信を確立する通信処理プログラムとを有す
    ることを特徴とする通信確立プログラム。
  26. 【請求項26】 コンピュータに、請求項13〜請求項
    24の何れかに記載の通信確立方法を実行させるための
    コンピュータ読み取り可能な通信確立プログラム。
  27. 【請求項27】 複数の通信端末との間で認証処理をし
    て、認証処理の結果に応じてアプリケーションサーバと
    通信端末との間の通信を確立する認証サーバと、 ユーザが保有する記録媒体から上記認証サーバとの認証
    処理に必要な情報のうち、少なくともユーザごとの固有
    情報を読み出して入力し、入力した情報を用いて、認証
    処理に必要な認証用情報ファイル及び上記認証サーバと
    の通信に使用する通信用情報ファイルを構成し、上記通
    信用情報ファイルを参照して上記認証サーバとの間で通
    信を行い、上記認証用情報ファイルを参照して上記認証
    サーバとの間で認証処理を行う通信端末とを備えること
    を特徴とする通信システム。
  28. 【請求項28】 上記認証サーバは、アプリケーション
    サーバとのアクセス許可の程度を示すアクセス許可レベ
    ルと、認証処理に必要な情報との関係を予め設定してお
    き、上記通信端末との認証処理にて上記記録媒体に記録
    された認証処理に必要な情報を取得して、上記アクセス
    許可レベルを参照して上記各通信端末の上記アプリケー
    ションサーバへのアクセスを制限することを特徴とする
    請求項27に記載の通信システム。
  29. 【請求項29】 上記記録媒体にはユーザ毎の固有情報
    としてホームアドレスが記憶され、 上記認証サーバは、上記アクセス許可レベルと上記ホー
    ムアドレスとの関係を予め設定しておくことを特徴とす
    る請求項27に記載の通信システム。
JP2002110455A 2002-04-12 2002-04-12 通信端末及び通信確立プログラム、通信システム Expired - Fee Related JP4415527B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002110455A JP4415527B2 (ja) 2002-04-12 2002-04-12 通信端末及び通信確立プログラム、通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002110455A JP4415527B2 (ja) 2002-04-12 2002-04-12 通信端末及び通信確立プログラム、通信システム

Publications (3)

Publication Number Publication Date
JP2003308304A true JP2003308304A (ja) 2003-10-31
JP2003308304A5 JP2003308304A5 (ja) 2005-09-22
JP4415527B2 JP4415527B2 (ja) 2010-02-17

Family

ID=29393591

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002110455A Expired - Fee Related JP4415527B2 (ja) 2002-04-12 2002-04-12 通信端末及び通信確立プログラム、通信システム

Country Status (1)

Country Link
JP (1) JP4415527B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005328108A (ja) * 2004-05-12 2005-11-24 Nec Corp ネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法
JP2006099641A (ja) * 2004-09-30 2006-04-13 Felica Networks Inc 通信システム、サーバ装置、クライアント装置、通信方法、並びにプログラム
JP2006113759A (ja) * 2004-10-13 2006-04-27 Pioneer Electronic Corp ネットワーク管理システム及びそのデータ共有方法
JP2008518351A (ja) * 2004-10-29 2008-05-29 韓國電子通信研究院 ホームネットワークシステムにおけるユーザー認証方法及びそのシステム
WO2011048645A1 (ja) * 2009-10-19 2011-04-28 Suginaka Junko 端末管理システム及び端末管理方法

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005328108A (ja) * 2004-05-12 2005-11-24 Nec Corp ネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法
JP4572086B2 (ja) * 2004-05-12 2010-10-27 Necインフロンティア株式会社 ネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法
JP2006099641A (ja) * 2004-09-30 2006-04-13 Felica Networks Inc 通信システム、サーバ装置、クライアント装置、通信方法、並びにプログラム
JP4636531B2 (ja) * 2004-09-30 2011-02-23 フェリカネットワークス株式会社 通信システム、サーバ装置、クライアント装置、通信方法、並びにプログラム
JP2006113759A (ja) * 2004-10-13 2006-04-27 Pioneer Electronic Corp ネットワーク管理システム及びそのデータ共有方法
JP2008518351A (ja) * 2004-10-29 2008-05-29 韓國電子通信研究院 ホームネットワークシステムにおけるユーザー認証方法及びそのシステム
WO2011048645A1 (ja) * 2009-10-19 2011-04-28 Suginaka Junko 端末管理システム及び端末管理方法
CN102687159A (zh) * 2009-10-19 2012-09-19 杉中顺子 终端管理系统及终端管理方法
JPWO2011048645A1 (ja) * 2009-10-19 2013-03-07 順子 杉中 端末管理システム及び端末管理方法

Also Published As

Publication number Publication date
JP4415527B2 (ja) 2010-02-17

Similar Documents

Publication Publication Date Title
US6981144B2 (en) System console device authentication in a network environment
KR101474226B1 (ko) 원격 리소스에 대한 이용가능한 보안 액세스를 위한 웜홀디바이스들
US7581099B2 (en) Secure object for convenient identification
US10038681B2 (en) Method for managing an access from a remote device to data accessible from a local device and corresponding system
US8800013B2 (en) Devolved authentication
US20090158033A1 (en) Method and apparatus for performing secure communication using one time password
US20140075513A1 (en) Device token protocol for authorization and persistent authentication shared across applications
JPWO2005101217A1 (ja) アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置
US10050944B2 (en) Process to access a data storage device of a cloud computer system with the help of a modified Domain Name System (DNS)
JP2007503637A (ja) クレデンシャルを提供する方法、システム、認証サーバ、及びゲートウェイ
JP4916020B2 (ja) リモートアクセスシステム、これに使用する補助記憶装置、リモートアクセス方法
JP3833652B2 (ja) ネットワークシステム、サーバ装置、および認証方法
US11496299B2 (en) Method and chip for authenticating to a device and corresponding authentication device and system
EP2741465B1 (en) Method and device for managing secure communications in dynamic network environments
JP4415527B2 (ja) 通信端末及び通信確立プログラム、通信システム
CN112565209B (zh) 一种网元设备访问控制方法及设备
EP3198398B1 (en) Access to software applications
JP2002208921A (ja) Vpnデータ通信方法および私設網構築システム
JP2004355396A (ja) 情報機器用セキュリティ確保方法およびシステム、ならびに情報機器用セキュリティ確保プログラム
Cisco Configuring Digital Certification
JP6162611B2 (ja) 通信制御サーバ、通信制御方法、及びプログラム
JP4202980B2 (ja) モジュール起動装置、方法およびシステム
JP2010217595A (ja) 情報処理装置、情報処理方法およびプログラム
CN117221628A (zh) 用于从网络摄像机提供数据的方法以及设备
Carrel et al. Operations T. Dahm Internet-Draft A. Ota Intended status: Standards Track Google Inc Expires: April 4, 2016 D. Medway Gash Cisco Systems, Inc.

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050408

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050408

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081028

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090714

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090908

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091104

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091117

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121204

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees