JP2004078426A - ユーザ認証方法及びシステム - Google Patents
ユーザ認証方法及びシステム Download PDFInfo
- Publication number
- JP2004078426A JP2004078426A JP2002235902A JP2002235902A JP2004078426A JP 2004078426 A JP2004078426 A JP 2004078426A JP 2002235902 A JP2002235902 A JP 2002235902A JP 2002235902 A JP2002235902 A JP 2002235902A JP 2004078426 A JP2004078426 A JP 2004078426A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- dependent
- data
- independent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】認証時の認証方式の違いを問わず共通的なユーザ認証を可能とするユーザ認証方法及びシステムを提供する。
【解決手段】各認証装置10,20の認証手段及び認証データを、該認証装置の認証方式に依存する認証方式依存ロジック11,21及び認証方式依存データ12,22と、認証方式に依存しない認証方式共通ロジック13,23及び認証方式共通データ31とに分離しておき、ユーザからの認証要求があった場合に前記認証方式共通ロジック13,23及び認証方式依存データ31を用いてユーザ認証を行うことにより、認証方式間での認証を統一化する。
【選択図】 図1
【解決手段】各認証装置10,20の認証手段及び認証データを、該認証装置の認証方式に依存する認証方式依存ロジック11,21及び認証方式依存データ12,22と、認証方式に依存しない認証方式共通ロジック13,23及び認証方式共通データ31とに分離しておき、ユーザからの認証要求があった場合に前記認証方式共通ロジック13,23及び認証方式依存データ31を用いてユーザ認証を行うことにより、認証方式間での認証を統一化する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明はユーザ認証の技術に関する。
【0002】
【従来の技術】
近年、高速なワイヤレスブロードバンドアクセスの一つとして無線LANが注目されており、公衆サービスへの適用も考えられている。このようなサービスでは、アクセスポイントと呼ばれる無線接続機器を介してユーザ端末をLANに接続し、このLANを介してインターネットに接続可能としている。ユーザが該公衆無線LANスポットを利用する場合には、通常、アクセスポイントを介してLANに接続する際に、LAN上に設けた認証装置によりユーザ認証を行う。そして、認証されたユーザのユーザ端末のみが公衆無線LANスポットを利用可能であった。
【0003】
【発明が解決しようとする課題】
しかし、認証装置におけるユーザ認証方式にはパスワードやディジタル証明書を使用した方法など種々の認証方式が存在しており、それぞれに互換性がないため、同一事業者内で複数の認証方式が混在した場合、ユーザに対して共通的な認証ができないという問題点がある。
【0004】
一方、事業者間でのローミングを考えた場合に、事業者間でユーザ認証方式が違う場合が考えられ、その場合でも事業者間で連携してユーザを認証する方法が必要である。
【0005】
さらに、事業者間にまたがるサービス提供を考えた場合、連携する事業者間で互いの事業者のユーザ認証結果を確認する手段が必要であるため、ユーザ認証結果の正当性を事業者間で確認する必要がある。
【0006】
本発明は、上記事情に鑑みてなされたものであり、その目的とするところは、認証時の認証方式の違いを問わず共通的なユーザ認証を可能とするユーザ認証方法及びシステムを提供することにある。
【0007】
【課題を解決するための手段】
上記目的を達成するために、本発明は、予め、各認証装置の認証手段及び認証データを、該認証装置の認証方式に依存する依存認証手段及び依存認証データと、該認証装置の認証方式に依存しない非依存認証手段及び非依存認証データとに分離しておき、ユーザからの認証要求があった場合に前記非依存認証手段及び非依存認証データを用いてユーザ認証を行うことにより、認証方式間での認証を統一化する。
【0008】
また、依存認証手段及び依存認証データによる認証を行う認証装置(依存認証装置)と、非依存認証手段及び非依存認証データによる認証を行う認証装置(非依存認証装置)との間で送受信されるユーザ認証情報及び認証結果に対して、ディジタル証明書を用いて署名を付加することにより、認証装置間の認証が可能となる。
【0009】
【発明の実施の形態】
(第1の実施の形態)
本発明の第1の実施の形態について図面を参照して説明する。本実施の形態では、無線LANを利用した公衆無線LANスポットを一の事業者が運営する場合であって、しかも全ての公衆無線LANスポットにおける認証方式が統一されていない場合について例示する。
【0010】
図1は第1の実施の形態に係る認証システムの構成図である。図1に示すように、この認証システムでは、無線LANインタフェイス(図示省略)を備えたユーザ端末1が、各アクセスポイント19,29を介して当該無線LANに参加する際にユーザ認証を行う。各アクセスポイント19,29による構築される無線LANはインターネットなどのネットワーク(図示省略)に接続しており、認証をパスしたユーザ端末は無線LANを介してネットワークに接続可能となる。
【0011】
本実施の形態では、アクセスポイント19による無線LANにおける認証方式とアクセスポイント29による無線LANにおける認証方式とが互いに異なっている場合について説明する。すなわち、アクセスポイント19に接続した認証装置10は認証方式Aを採用し、アクセスポイント20に接続した認証装置20は認証方式Bを採用している。認証方式の一例として、本実施の形態では、認証方式AとしてIEEE802.1x認証を用い、認証方式Bとしてパスワード認証を用いている。
【0012】
各認証装置10,20は、それぞれ各認証方式に依存する認証手段と認証データと、各認証方式で共通な、換言すれば各認証方式に依存しない認証手段を備えている。具体的には、図1に示すように、認証装置10は、認証方式Aに依存する認証ロジックである認証方式A依存ロジック11と、該ロジック11で利用する認証方式A依存データ12と、認証方式A及びBで共通な認証方式共通ロジック13とを備えている。同様に、認証装置20は、認証方式Bに依存する認証ロジックである認証方式B依存ロジック21と、該ロジック21で利用する認証方式B依存データ22と、認証方式A及びBで共通な認証方式共通ロジック23とを備えている。
【0013】
また、本認証システムでは、前記認証装置10,20の認証方式共通ロジック13,23で利用する認証方式共通データ31を備えた認証装置30を備えている。この認証装置30の認証方式共通データ31は、各認証装置10,20の認証方式共通ロジック13,23からアクセス可能となっている。
【0014】
次に、本認証システムにおける各装置の認証データの一例について図2〜図4を参照して説明する。図2はユーザ端末における認証データの一例を示す図、図3は認証装置10における認証方式A依存データ12の一例を示す図、図4は認証装置30における認証方式共通データ31の一例を示す図である。
【0015】
ユーザ端末1は、該端末のユーザと事業者との契約等に応じた認証データを有する。図2(a)では2つの認証方式をサポートするユーザの認証データを、図2(b)では1つの認証方式しかサポートしないユーザの認証データを例示している。図2に示すように、認証データは、認証方式共通データと認証方式依存データに大別される。認証方式共通データは前記認証装置10,20の認証方式共通ロジック13,23で用いられ、また、認証方式依存データは前記認証装置10,20の認証方式依存ロジック11,21で用いられる。認証方式依存データは、そのユーザにサポートされる複数の認証データを含んでいる。
【0016】
認証方式共通データは、例えば図2に示すように、ユーザを一意に識別するユーザID,当該ユーザの契約サービスタイプ、契約上そのユーザが二重ログインを許可されているか否か、使用する一以上の認証方式、認証用データなどが挙げられる。また、認証方式依存データは、前記使用認証方式の各々で使用される認証データである。例えば、図2(a)の例では、パスワード認証用のパスワードと、IEEE802.1x認証用の当該ユーザのディジタル証明書が認証方式依存データとして保存されている。
【0017】
次に、認証装置10における認証方式A依存データ12について図3を参照して説明する。図3に示すように、認証方式A依存データ12は、認証方式A(本実施の形態ではIEEE802.1x認証)をサポートしているユーザについて、当該認証方式Aについての認証データを保持している。また、認証装置20における認証方式B依存データ22について、同様に、認証方式B(本実施の形態ではパスワード認証)をサポートしているユーザについて、当該認証方式Bについての認証データを保持している。なお、認証装置20における認証方式B依存データ22については図示を省略した。
【0018】
次に、認証装置30における認証方式共通データ31について図4を参照して説明する。図4に示すように、認証方式共通データ31は、認証方式A及び認証方式Bで共通の認証データ、すなわち、両方式に依存しない認証データを保持している。認証方式共通データ31は、認証方式A又は認証方式Bがサポートされる全てのユーザについて保持される。
【0019】
次に、本実施の形態に係る認証システムを用いた認証動作について図1を参照して説明する。ここでは、アクセスポイント29の無線LANエリア内にあったユーザ端末1がアクセスポイント19の無線LANエリア内に移動した場合について説明する。この場合、ユーザ端末1が無線LANエリア内に移動したことを検出すると、認証動作が開始される。ユーザ端末1の検出方法としては、ユーザ端末1が検出を行う方法であっても、アクセスポイント19が行う方法であってもよい。
【0020】
まず、認証装置10の認証方式A依存ロジック11は、ユーザ端末1から該端末1の認証データを受信すると、まず、該認証データに含まれる認証方式依存データ及び認証方式A依存データ12を用いて認証方式Aに係るユーザ認証を行う(ステップS1)。そして、該ユーザ認証をパスすると、認証方式A依存ロジック11は、ユーザ端末1から受信した認証データを認証方式共通ロジック13に通知する。認証方式共通ロジック13は、認証装置30に当該ユーザに関する認証方式共通データ31を問い合わせ(ステップS2)、問い合わせた認証方式共通データ31及びユーザからの認証データを用いてユーザ認証を行う(ステップS3)。
【0021】
以上のステップにより、ユーザ端末1がアクセスポイント19の無線LANエリア内に移動すると、該ユーザ端末1に関してユーザ認証が行われる。ここで、ユーザ認証は、認証装置10における認証方式Aに依存した認証だけでなく、認証装置10及び20の各認証方式に依存しない(つまり共通の)認証も行われるため、ユーザ端末1がアクセスポイントを移動しても共通のサービスを提供できる。すなわち、各認証装置の認証方式が異なる環境下においても共通的なユーザ認証が可能となるので、このような環境下においてユーザに共通的なサービスを提供できる。
【0022】
なお、本実施の形態では、認証方式共通データ31を認証装置30に配置するとともに、各認証装置10,20の認証方式共通ロジックはユーザ認証のたびに前記認証装置30にアクセスしていたが、図5に示すように、各認証装置10,20が認証装置30から認証方式共通データ31をローカルにコピーし、このローカルの認証方式共通データ14,24を用いて、共通認証を行うようにしてもよい。
【0023】
(第2の実施の形態)
本発明の第2の実施の形態について図面を参照する。図6は、第2の実施の形態に係る認証システムの構成図である。なお、図中、第1の実施の形態と同様の装置には同じ符号を付した。
【0024】
本実施の形態に係る認証システムが、第1の実施の形態に係るものと相違する点は、認証装置の(又は認証装置の事業者の)認証を実施する点にある。これにより、共通のユーザ認証について複数の事業者間でセキュアに実施できる。
【0025】
本実施の形態では、図2に示すように、認証装置10は事業者100に、認証装置20は事業者200に、認証装置30は事業者300に属するものとする。また、この認証システムでは、認証装置間の認証を実施するために、認証事業者400に属する認証局装置40を用いる。認証局装置40は、CA(Certification Authority:認証局)及びRA(Registration Authority:登録局)として機能する。
【0026】
各認証装置10,20は、それぞれ各認証方式に依存する認証手段と認証データを備えている。具体的には、図6に示すように、認証装置10は、認証方式Aに依存する認証ロジックである認証方式A依存ロジック11と、該ロジック11で利用する認証方式A依存データ12とを備えている。同様に、認証装置20は、認証方式Bに依存する認証ロジックである認証方式B依存ロジック21と、該ロジック21で利用する認証方式B依存データ22とを備えている。認証方式の一例として、本実施の形態では、認証方式AとしてIEEE802.1x認証を用い、認証方式Bとしてパスワード認証を用いている。また、各認証装置10,20は、ディジタル証明書15を保持している。具体的には、各認証装置10は、図7に示すように、前記認証局装置40のCA証明書と、自身の装置証明書とを備えている。このCA証明書は、自身の認証装置10,20用にディジタル証明書を発行したCA(認証局)のディジタル証明書である。また、装置証明書は、自身を証明するディジタル証明書である。
【0027】
認証装置30は、認証方式A及びBで共通な認証方式共通ロジック32と、該ロジック32による認証で用いる認証方式共通データ31とを備えている。
【0028】
上記各認証装置10,20,30における認証方式依存データ12,22及び認証方式共通データ31のデータ構造は、図3及び図4に例示した第1の実施の形態と同様である。
【0029】
次に、認証装置10,30へのディジタル証明書の発行について図6及び図8のシーケンス図を参照して説明する。このディジタル証明書の発行は、ユーザ認証に先立ち予め実施しておくものである。
【0030】
図8に示すように、認証装置10の事業者100が認証局装置40に対してディジタル証明書の発行を申請すると(図8のステップS21a)、該申請に応じて認証局装置40は事業者100に対してディジタル証明書を発行する(図6のステップS10a,図8のステップS22a)。同様に、認証装置30の事業者300が認証局装置40に対してディジタル証明書の発行を申請すると(図8のステップS21b)、該申請に応じて認証局装置40は事業者300に対してディジタル証明書を発行する(図6のステップS10b,図8のステップS22b)。なお、図8では、事業者100・事業者300の順でディジタル認証書を発行しているが、ディジタル証明書の発行は各事業者が独立に行えばよく、その順序性は不問である。
【0031】
次に、本実施の形態に係る認証システムを用いた認証動作について図6及び図9を参照して説明する。ここでは、アクセスポイント29の無線LANエリア内にあったユーザ端末1がアクセスポイント19の無線LANエリア内に移動した場合について説明する。この場合、ユーザ端末1が無線LANエリア内に移動したことを検出すると、認証動作が開始される。ユーザ端末1の検出方法としては、ユーザ端末1が検出を行う方法であっても、アクセスポイント19が行う方法であってもよい。
【0032】
まず、認証装置10の認証方式A依存ロジック11は、ユーザ端末1から該端末1の認証要求データを受信すると、該認証要求データに含まれる認証方式依存データ及び認証方式A依存データ12を用いて認証方式Aに係るユーザ認証を行う(図6のステップS11,図9のステップS31)。そして、該ユーザ認証をパスすると、認証方式A依存ロジック11は、認証結果に対して事業者100の署名をし、ユーザ端末1から受信した認証要求データと、前記署名と、事業者100のディジタル証明書を事業者300の認証装置30に送信する(図6のステップS12,図9のステップS32)。本実施の形態では、認証要求データをハッシュし、自身の秘密鍵で暗号化することにより署名を行った。
【0033】
次に、認証装置30の認証方式共通ロジック32は、受信した認証要求データ及び認証方式共通データ31を用いてユーザ認証を行うとともに、受信した署名及びディジタル証明書を用いて認証装置10の事業者100の認証を行う(図6のステップS13,図9のステップS33)。ここで、事業者100の認証は、事業者100による署名を事業者100のディジタル署名に添付されている公開鍵で復号化することにより前記ハッシュ値を復号し、該復号したハッシュ値と、受信した認証要求データをハッシュした値とを比較することにより、事業者100の正当性を確認する。
【0034】
次に、認証装置30の認証方式共通ロジック32は、ユーザ認証及び事業者の認証がOKとなった時点で、認証OKを通知する認証応答データと、事業者300の署名を生成する(図9のステップS34)。ここで、事業者300の署名は、認証応答データをハッシュし、事業者300の秘密鍵で暗号化することにより行う。そして、認証応答データと、該署名と、事業者300のディジタル証明書を事業者100の認証装置10に返信する。
【0035】
認証装置10の認証方式A依存ロジック11は、認証装置30から応答を受信すると、事業者300による署名を事業者300のディジタル署名に添付されている公開鍵で復号化することによりハッシュ値を復号し、該復号したハッシュ値と、受信した認証応答データをハッシュした値とを比較することにより、事業者300の正当性を確認する(図9のステップS35)。そして、事業者300の認証がOKの場合、事業者300の認証装置30から受信した認証応答データをユーザ端末1に返信する。
【0036】
以上のステップにより、各認証装置の認証方式及び事業者が異なる環境下においても、共通的なユーザ認証が可能となるので、このような環境下においてユーザに共通的なサービスを提供できる。
【0037】
以上本発明の実施の形態について説明したが、本発明はこれらの実施形態に限定されるものではない。例えば、上記各実施の形態では、認証方式としてパスワード認証、IEEE802.1x認証を例示したが、他の認証形式であってもよい。他の認証方式としては、チャレンジ&レスポンス認証、MACアドレス認証(無線LAN端末のMACアドレスを使用した認証)、ワンタイムパスワード認証、Kerbreos認証などが挙げられる。
【0038】
【発明の効果】
以上詳述したように、本発明によれば、各認証方式に依存しない認証を行うことで、各認証方式間での認証の統一が可能となり、認証方式の違いによるユーザ認証の差異を吸収することができる。また、認証装置間でディジタル証明書を用いた認証を行うので、認証装置を運営する事業者間でもセキュアに認証を行うことができる。
【図面の簡単な説明】
【図1】第1の実施の形態に係る認証システムの構成図
【図2】ユーザ端末で管理される認証データの一例を説明する図
【図3】認証装置で管理される認証方式依存データの一例を説明する図
【図4】認証装置で管理される認証方式共通データの一例を説明する図
【図5】第1の実施の形態の他の例に係る認証システムの構成図
【図6】第2の実施の形態に係る認証システムの構成図
【図7】認証装置で管理されるディジタル証明書の一例を説明する図
【図8】ディジタル証明書の発行を説明するシーケンス図
【図9】認証の流れを説明するシーケンス図
【符号の説明】
1…ユーザ端末,10,20,30…認証装置、11…認証方式A依存ロジック、12…認証方式A依存データ、13,23,32…認証方式共通ロジック、14,24,31…認証方式共通データ、15…ディジタル証明書、21…認証方式B依存ロジック、22…認証方式B依存データ、19,29…アクセスポイント、40…認証局装置、100,200,300,400…事業者
【発明の属する技術分野】
本発明はユーザ認証の技術に関する。
【0002】
【従来の技術】
近年、高速なワイヤレスブロードバンドアクセスの一つとして無線LANが注目されており、公衆サービスへの適用も考えられている。このようなサービスでは、アクセスポイントと呼ばれる無線接続機器を介してユーザ端末をLANに接続し、このLANを介してインターネットに接続可能としている。ユーザが該公衆無線LANスポットを利用する場合には、通常、アクセスポイントを介してLANに接続する際に、LAN上に設けた認証装置によりユーザ認証を行う。そして、認証されたユーザのユーザ端末のみが公衆無線LANスポットを利用可能であった。
【0003】
【発明が解決しようとする課題】
しかし、認証装置におけるユーザ認証方式にはパスワードやディジタル証明書を使用した方法など種々の認証方式が存在しており、それぞれに互換性がないため、同一事業者内で複数の認証方式が混在した場合、ユーザに対して共通的な認証ができないという問題点がある。
【0004】
一方、事業者間でのローミングを考えた場合に、事業者間でユーザ認証方式が違う場合が考えられ、その場合でも事業者間で連携してユーザを認証する方法が必要である。
【0005】
さらに、事業者間にまたがるサービス提供を考えた場合、連携する事業者間で互いの事業者のユーザ認証結果を確認する手段が必要であるため、ユーザ認証結果の正当性を事業者間で確認する必要がある。
【0006】
本発明は、上記事情に鑑みてなされたものであり、その目的とするところは、認証時の認証方式の違いを問わず共通的なユーザ認証を可能とするユーザ認証方法及びシステムを提供することにある。
【0007】
【課題を解決するための手段】
上記目的を達成するために、本発明は、予め、各認証装置の認証手段及び認証データを、該認証装置の認証方式に依存する依存認証手段及び依存認証データと、該認証装置の認証方式に依存しない非依存認証手段及び非依存認証データとに分離しておき、ユーザからの認証要求があった場合に前記非依存認証手段及び非依存認証データを用いてユーザ認証を行うことにより、認証方式間での認証を統一化する。
【0008】
また、依存認証手段及び依存認証データによる認証を行う認証装置(依存認証装置)と、非依存認証手段及び非依存認証データによる認証を行う認証装置(非依存認証装置)との間で送受信されるユーザ認証情報及び認証結果に対して、ディジタル証明書を用いて署名を付加することにより、認証装置間の認証が可能となる。
【0009】
【発明の実施の形態】
(第1の実施の形態)
本発明の第1の実施の形態について図面を参照して説明する。本実施の形態では、無線LANを利用した公衆無線LANスポットを一の事業者が運営する場合であって、しかも全ての公衆無線LANスポットにおける認証方式が統一されていない場合について例示する。
【0010】
図1は第1の実施の形態に係る認証システムの構成図である。図1に示すように、この認証システムでは、無線LANインタフェイス(図示省略)を備えたユーザ端末1が、各アクセスポイント19,29を介して当該無線LANに参加する際にユーザ認証を行う。各アクセスポイント19,29による構築される無線LANはインターネットなどのネットワーク(図示省略)に接続しており、認証をパスしたユーザ端末は無線LANを介してネットワークに接続可能となる。
【0011】
本実施の形態では、アクセスポイント19による無線LANにおける認証方式とアクセスポイント29による無線LANにおける認証方式とが互いに異なっている場合について説明する。すなわち、アクセスポイント19に接続した認証装置10は認証方式Aを採用し、アクセスポイント20に接続した認証装置20は認証方式Bを採用している。認証方式の一例として、本実施の形態では、認証方式AとしてIEEE802.1x認証を用い、認証方式Bとしてパスワード認証を用いている。
【0012】
各認証装置10,20は、それぞれ各認証方式に依存する認証手段と認証データと、各認証方式で共通な、換言すれば各認証方式に依存しない認証手段を備えている。具体的には、図1に示すように、認証装置10は、認証方式Aに依存する認証ロジックである認証方式A依存ロジック11と、該ロジック11で利用する認証方式A依存データ12と、認証方式A及びBで共通な認証方式共通ロジック13とを備えている。同様に、認証装置20は、認証方式Bに依存する認証ロジックである認証方式B依存ロジック21と、該ロジック21で利用する認証方式B依存データ22と、認証方式A及びBで共通な認証方式共通ロジック23とを備えている。
【0013】
また、本認証システムでは、前記認証装置10,20の認証方式共通ロジック13,23で利用する認証方式共通データ31を備えた認証装置30を備えている。この認証装置30の認証方式共通データ31は、各認証装置10,20の認証方式共通ロジック13,23からアクセス可能となっている。
【0014】
次に、本認証システムにおける各装置の認証データの一例について図2〜図4を参照して説明する。図2はユーザ端末における認証データの一例を示す図、図3は認証装置10における認証方式A依存データ12の一例を示す図、図4は認証装置30における認証方式共通データ31の一例を示す図である。
【0015】
ユーザ端末1は、該端末のユーザと事業者との契約等に応じた認証データを有する。図2(a)では2つの認証方式をサポートするユーザの認証データを、図2(b)では1つの認証方式しかサポートしないユーザの認証データを例示している。図2に示すように、認証データは、認証方式共通データと認証方式依存データに大別される。認証方式共通データは前記認証装置10,20の認証方式共通ロジック13,23で用いられ、また、認証方式依存データは前記認証装置10,20の認証方式依存ロジック11,21で用いられる。認証方式依存データは、そのユーザにサポートされる複数の認証データを含んでいる。
【0016】
認証方式共通データは、例えば図2に示すように、ユーザを一意に識別するユーザID,当該ユーザの契約サービスタイプ、契約上そのユーザが二重ログインを許可されているか否か、使用する一以上の認証方式、認証用データなどが挙げられる。また、認証方式依存データは、前記使用認証方式の各々で使用される認証データである。例えば、図2(a)の例では、パスワード認証用のパスワードと、IEEE802.1x認証用の当該ユーザのディジタル証明書が認証方式依存データとして保存されている。
【0017】
次に、認証装置10における認証方式A依存データ12について図3を参照して説明する。図3に示すように、認証方式A依存データ12は、認証方式A(本実施の形態ではIEEE802.1x認証)をサポートしているユーザについて、当該認証方式Aについての認証データを保持している。また、認証装置20における認証方式B依存データ22について、同様に、認証方式B(本実施の形態ではパスワード認証)をサポートしているユーザについて、当該認証方式Bについての認証データを保持している。なお、認証装置20における認証方式B依存データ22については図示を省略した。
【0018】
次に、認証装置30における認証方式共通データ31について図4を参照して説明する。図4に示すように、認証方式共通データ31は、認証方式A及び認証方式Bで共通の認証データ、すなわち、両方式に依存しない認証データを保持している。認証方式共通データ31は、認証方式A又は認証方式Bがサポートされる全てのユーザについて保持される。
【0019】
次に、本実施の形態に係る認証システムを用いた認証動作について図1を参照して説明する。ここでは、アクセスポイント29の無線LANエリア内にあったユーザ端末1がアクセスポイント19の無線LANエリア内に移動した場合について説明する。この場合、ユーザ端末1が無線LANエリア内に移動したことを検出すると、認証動作が開始される。ユーザ端末1の検出方法としては、ユーザ端末1が検出を行う方法であっても、アクセスポイント19が行う方法であってもよい。
【0020】
まず、認証装置10の認証方式A依存ロジック11は、ユーザ端末1から該端末1の認証データを受信すると、まず、該認証データに含まれる認証方式依存データ及び認証方式A依存データ12を用いて認証方式Aに係るユーザ認証を行う(ステップS1)。そして、該ユーザ認証をパスすると、認証方式A依存ロジック11は、ユーザ端末1から受信した認証データを認証方式共通ロジック13に通知する。認証方式共通ロジック13は、認証装置30に当該ユーザに関する認証方式共通データ31を問い合わせ(ステップS2)、問い合わせた認証方式共通データ31及びユーザからの認証データを用いてユーザ認証を行う(ステップS3)。
【0021】
以上のステップにより、ユーザ端末1がアクセスポイント19の無線LANエリア内に移動すると、該ユーザ端末1に関してユーザ認証が行われる。ここで、ユーザ認証は、認証装置10における認証方式Aに依存した認証だけでなく、認証装置10及び20の各認証方式に依存しない(つまり共通の)認証も行われるため、ユーザ端末1がアクセスポイントを移動しても共通のサービスを提供できる。すなわち、各認証装置の認証方式が異なる環境下においても共通的なユーザ認証が可能となるので、このような環境下においてユーザに共通的なサービスを提供できる。
【0022】
なお、本実施の形態では、認証方式共通データ31を認証装置30に配置するとともに、各認証装置10,20の認証方式共通ロジックはユーザ認証のたびに前記認証装置30にアクセスしていたが、図5に示すように、各認証装置10,20が認証装置30から認証方式共通データ31をローカルにコピーし、このローカルの認証方式共通データ14,24を用いて、共通認証を行うようにしてもよい。
【0023】
(第2の実施の形態)
本発明の第2の実施の形態について図面を参照する。図6は、第2の実施の形態に係る認証システムの構成図である。なお、図中、第1の実施の形態と同様の装置には同じ符号を付した。
【0024】
本実施の形態に係る認証システムが、第1の実施の形態に係るものと相違する点は、認証装置の(又は認証装置の事業者の)認証を実施する点にある。これにより、共通のユーザ認証について複数の事業者間でセキュアに実施できる。
【0025】
本実施の形態では、図2に示すように、認証装置10は事業者100に、認証装置20は事業者200に、認証装置30は事業者300に属するものとする。また、この認証システムでは、認証装置間の認証を実施するために、認証事業者400に属する認証局装置40を用いる。認証局装置40は、CA(Certification Authority:認証局)及びRA(Registration Authority:登録局)として機能する。
【0026】
各認証装置10,20は、それぞれ各認証方式に依存する認証手段と認証データを備えている。具体的には、図6に示すように、認証装置10は、認証方式Aに依存する認証ロジックである認証方式A依存ロジック11と、該ロジック11で利用する認証方式A依存データ12とを備えている。同様に、認証装置20は、認証方式Bに依存する認証ロジックである認証方式B依存ロジック21と、該ロジック21で利用する認証方式B依存データ22とを備えている。認証方式の一例として、本実施の形態では、認証方式AとしてIEEE802.1x認証を用い、認証方式Bとしてパスワード認証を用いている。また、各認証装置10,20は、ディジタル証明書15を保持している。具体的には、各認証装置10は、図7に示すように、前記認証局装置40のCA証明書と、自身の装置証明書とを備えている。このCA証明書は、自身の認証装置10,20用にディジタル証明書を発行したCA(認証局)のディジタル証明書である。また、装置証明書は、自身を証明するディジタル証明書である。
【0027】
認証装置30は、認証方式A及びBで共通な認証方式共通ロジック32と、該ロジック32による認証で用いる認証方式共通データ31とを備えている。
【0028】
上記各認証装置10,20,30における認証方式依存データ12,22及び認証方式共通データ31のデータ構造は、図3及び図4に例示した第1の実施の形態と同様である。
【0029】
次に、認証装置10,30へのディジタル証明書の発行について図6及び図8のシーケンス図を参照して説明する。このディジタル証明書の発行は、ユーザ認証に先立ち予め実施しておくものである。
【0030】
図8に示すように、認証装置10の事業者100が認証局装置40に対してディジタル証明書の発行を申請すると(図8のステップS21a)、該申請に応じて認証局装置40は事業者100に対してディジタル証明書を発行する(図6のステップS10a,図8のステップS22a)。同様に、認証装置30の事業者300が認証局装置40に対してディジタル証明書の発行を申請すると(図8のステップS21b)、該申請に応じて認証局装置40は事業者300に対してディジタル証明書を発行する(図6のステップS10b,図8のステップS22b)。なお、図8では、事業者100・事業者300の順でディジタル認証書を発行しているが、ディジタル証明書の発行は各事業者が独立に行えばよく、その順序性は不問である。
【0031】
次に、本実施の形態に係る認証システムを用いた認証動作について図6及び図9を参照して説明する。ここでは、アクセスポイント29の無線LANエリア内にあったユーザ端末1がアクセスポイント19の無線LANエリア内に移動した場合について説明する。この場合、ユーザ端末1が無線LANエリア内に移動したことを検出すると、認証動作が開始される。ユーザ端末1の検出方法としては、ユーザ端末1が検出を行う方法であっても、アクセスポイント19が行う方法であってもよい。
【0032】
まず、認証装置10の認証方式A依存ロジック11は、ユーザ端末1から該端末1の認証要求データを受信すると、該認証要求データに含まれる認証方式依存データ及び認証方式A依存データ12を用いて認証方式Aに係るユーザ認証を行う(図6のステップS11,図9のステップS31)。そして、該ユーザ認証をパスすると、認証方式A依存ロジック11は、認証結果に対して事業者100の署名をし、ユーザ端末1から受信した認証要求データと、前記署名と、事業者100のディジタル証明書を事業者300の認証装置30に送信する(図6のステップS12,図9のステップS32)。本実施の形態では、認証要求データをハッシュし、自身の秘密鍵で暗号化することにより署名を行った。
【0033】
次に、認証装置30の認証方式共通ロジック32は、受信した認証要求データ及び認証方式共通データ31を用いてユーザ認証を行うとともに、受信した署名及びディジタル証明書を用いて認証装置10の事業者100の認証を行う(図6のステップS13,図9のステップS33)。ここで、事業者100の認証は、事業者100による署名を事業者100のディジタル署名に添付されている公開鍵で復号化することにより前記ハッシュ値を復号し、該復号したハッシュ値と、受信した認証要求データをハッシュした値とを比較することにより、事業者100の正当性を確認する。
【0034】
次に、認証装置30の認証方式共通ロジック32は、ユーザ認証及び事業者の認証がOKとなった時点で、認証OKを通知する認証応答データと、事業者300の署名を生成する(図9のステップS34)。ここで、事業者300の署名は、認証応答データをハッシュし、事業者300の秘密鍵で暗号化することにより行う。そして、認証応答データと、該署名と、事業者300のディジタル証明書を事業者100の認証装置10に返信する。
【0035】
認証装置10の認証方式A依存ロジック11は、認証装置30から応答を受信すると、事業者300による署名を事業者300のディジタル署名に添付されている公開鍵で復号化することによりハッシュ値を復号し、該復号したハッシュ値と、受信した認証応答データをハッシュした値とを比較することにより、事業者300の正当性を確認する(図9のステップS35)。そして、事業者300の認証がOKの場合、事業者300の認証装置30から受信した認証応答データをユーザ端末1に返信する。
【0036】
以上のステップにより、各認証装置の認証方式及び事業者が異なる環境下においても、共通的なユーザ認証が可能となるので、このような環境下においてユーザに共通的なサービスを提供できる。
【0037】
以上本発明の実施の形態について説明したが、本発明はこれらの実施形態に限定されるものではない。例えば、上記各実施の形態では、認証方式としてパスワード認証、IEEE802.1x認証を例示したが、他の認証形式であってもよい。他の認証方式としては、チャレンジ&レスポンス認証、MACアドレス認証(無線LAN端末のMACアドレスを使用した認証)、ワンタイムパスワード認証、Kerbreos認証などが挙げられる。
【0038】
【発明の効果】
以上詳述したように、本発明によれば、各認証方式に依存しない認証を行うことで、各認証方式間での認証の統一が可能となり、認証方式の違いによるユーザ認証の差異を吸収することができる。また、認証装置間でディジタル証明書を用いた認証を行うので、認証装置を運営する事業者間でもセキュアに認証を行うことができる。
【図面の簡単な説明】
【図1】第1の実施の形態に係る認証システムの構成図
【図2】ユーザ端末で管理される認証データの一例を説明する図
【図3】認証装置で管理される認証方式依存データの一例を説明する図
【図4】認証装置で管理される認証方式共通データの一例を説明する図
【図5】第1の実施の形態の他の例に係る認証システムの構成図
【図6】第2の実施の形態に係る認証システムの構成図
【図7】認証装置で管理されるディジタル証明書の一例を説明する図
【図8】ディジタル証明書の発行を説明するシーケンス図
【図9】認証の流れを説明するシーケンス図
【符号の説明】
1…ユーザ端末,10,20,30…認証装置、11…認証方式A依存ロジック、12…認証方式A依存データ、13,23,32…認証方式共通ロジック、14,24,31…認証方式共通データ、15…ディジタル証明書、21…認証方式B依存ロジック、22…認証方式B依存データ、19,29…アクセスポイント、40…認証局装置、100,200,300,400…事業者
Claims (6)
- 認証方式が統一されていない複数の認証装置を用いて各認証装置間で統一したユーザ認証を行う方法であって、
予め、各認証装置の認証手段及び認証データを、該認証装置の認証方式に依存する依存認証手段及び依存認証データと、該認証装置の認証方式に依存しない非依存認証手段及び非依存認証データとに分離しておき、
ユーザからの認証要求があった場合に前記非依存認証手段及び非依存認証データを用いてユーザ認証を行うステップを含む
ことを特徴とするユーザ認証方法。 - 各々の認証方式に依存する依存認証手段及び依存認証データを備えた複数の依存認証装置と、
前記依存認証装置の各認証方式に依存しない非依存認証手段及び非依存認証データを備えた非依存認証装置と、
一の依存認証装置と接続するとともにユーザ端末とネットワークとを接続する端末接続装置とを備え、
ユーザ端末がネットワークに接続する際には端末接続装置と接続している依存認証装置の依存認証手段及び依存認証データによりユーザ認証を行うとともに、非依存認証装置の非依存認証手段及び非依存認証データによりユーザ認証を行うことを特徴とするユーザ認証システム。 - 前記端末接続装置とユーザ端末間は無線により接続されることを特徴とする請求項2記載のユーザ認証システム。
- ユーザ端末が一の端末接続装置の通信エリアから他の端末接続装置の通信エリアに移動した場合、前記他の端末接続装置とユーザ端末間でユーザ認証を行う
ことを特徴とする請求項3記載のユーザ認証システム。 - 前記依存認証装置は、公開鍵暗号方式で使用されるディジタル証明書を発行する認証局装置から、自身を証明するディジタル証明書を取得し、ユーザ端末からのユーザ認証情報に対して前記ディジタル証明書から生成した自身の署名を付して該ユーザ認証情報を非依存認証装置に送信する
ことを特徴とする請求項2乃至4何れか1項記載のユーザ認証システム。 - 前記非依存認証装置は、公開鍵暗号方式で使用されるディジタル証明書を発行する認証局装置から、自身を証明するディジタル証明書を取得し、前記依存認証装置から受信したユーザ認証情報に応じて生成した認証結果に対して前記ディジタル証明書から生成した自身の署名を付して該認証結果を送信元の依存認証装置に送信する
ことを特徴とする請求項5記載のユーザ認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002235902A JP2004078426A (ja) | 2002-08-13 | 2002-08-13 | ユーザ認証方法及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002235902A JP2004078426A (ja) | 2002-08-13 | 2002-08-13 | ユーザ認証方法及びシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004078426A true JP2004078426A (ja) | 2004-03-11 |
Family
ID=32020262
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002235902A Pending JP2004078426A (ja) | 2002-08-13 | 2002-08-13 | ユーザ認証方法及びシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004078426A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006268671A (ja) * | 2005-03-25 | 2006-10-05 | Oki Electric Ind Co Ltd | ログイン制御システムおよびログイン制御方法 |
| JP2008515357A (ja) * | 2004-10-01 | 2008-05-08 | インテル・コーポレーション | 集中型wlan−wwan相互作用ネットワークにおけるユーザの証明書の初期化、配布、および、配信のためのシステムおよび方法 |
| US8478991B2 (en) | 2006-12-20 | 2013-07-02 | Canon Kabushiki Kaisha | Management apparatus for managing wireless parameter, control method for the management apparatus, and computer program for instructing computer to execute the control method |
| WO2015136800A1 (ja) * | 2014-03-13 | 2015-09-17 | 株式会社日立ソリューションズ | 認証装置、認証システム及び認証方法 |
| JP6005232B1 (ja) * | 2015-09-18 | 2016-10-12 | ヤフー株式会社 | リカバリシステム、サーバ装置、端末装置、リカバリ方法及びリカバリプログラム |
| JP2018045696A (ja) * | 2017-10-16 | 2018-03-22 | キヤノン株式会社 | 情報処理装置 |
-
2002
- 2002-08-13 JP JP2002235902A patent/JP2004078426A/ja active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008515357A (ja) * | 2004-10-01 | 2008-05-08 | インテル・コーポレーション | 集中型wlan−wwan相互作用ネットワークにおけるユーザの証明書の初期化、配布、および、配信のためのシステムおよび方法 |
| JP4792037B2 (ja) * | 2004-10-01 | 2011-10-12 | インテル・コーポレーション | 集中型wlan−wwan相互作用ネットワークにおけるユーザの証明書の初期化、配布、および、配信のためのシステムおよび方法 |
| JP2006268671A (ja) * | 2005-03-25 | 2006-10-05 | Oki Electric Ind Co Ltd | ログイン制御システムおよびログイン制御方法 |
| JP4716767B2 (ja) * | 2005-03-25 | 2011-07-06 | 沖電気工業株式会社 | ログイン制御システムおよびログイン制御方法 |
| US8478991B2 (en) | 2006-12-20 | 2013-07-02 | Canon Kabushiki Kaisha | Management apparatus for managing wireless parameter, control method for the management apparatus, and computer program for instructing computer to execute the control method |
| WO2015136800A1 (ja) * | 2014-03-13 | 2015-09-17 | 株式会社日立ソリューションズ | 認証装置、認証システム及び認証方法 |
| JP2015176233A (ja) * | 2014-03-13 | 2015-10-05 | 株式会社日立ソリューションズ | 認証装置、認証システム及び認証方法 |
| JP6005232B1 (ja) * | 2015-09-18 | 2016-10-12 | ヤフー株式会社 | リカバリシステム、サーバ装置、端末装置、リカバリ方法及びリカバリプログラム |
| JP2017059153A (ja) * | 2015-09-18 | 2017-03-23 | ヤフー株式会社 | リカバリシステム、サーバ装置、端末装置、リカバリ方法及びリカバリプログラム |
| JP2018045696A (ja) * | 2017-10-16 | 2018-03-22 | キヤノン株式会社 | 情報処理装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10945127B2 (en) | Exclusive preshared key authentication | |
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| WO2017190616A1 (zh) | 无线网络连接方法、无线接入点、服务器及系统 | |
| RU2417422C2 (ru) | Услуга распределенной единой регистрации в сети | |
| JP4777729B2 (ja) | 設定情報配布装置、方法、プログラム及び媒体 | |
| US8176328B2 (en) | Authentication of access points in wireless local area networks | |
| US7587598B2 (en) | Interlayer fast authentication or re-authentication for network communication | |
| EP1935143B1 (en) | Virtual lan override in a multiple bssid mode of operation | |
| KR101438243B1 (ko) | Sim 기반 인증방법 | |
| EP1641210A1 (en) | Configuration information distribution apparatus and configuration information reception program | |
| US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
| WO2005096644A1 (fr) | Procede d'etablissement d'une association de securite entre l'abonne itinerant et le serveur du reseau visite | |
| JP2009246988A (ja) | Wlan相互接続における識別情報の保護方法 | |
| ES2366649T3 (es) | Método y dispositivo para poner en práctica una autentificación de dominio y de privilegio de acceso a red. | |
| WO2009152749A1 (zh) | 一种绑定认证的方法、系统和装置 | |
| WO2008080351A1 (fr) | Procédé d'exploitation de réseau local sans fil basé sur une infrastructure d'authentification et de confidentialité de wlan (wapi) | |
| JP2010503317A (ja) | ネットワーク信用証明書を提供するシステムおよび方法 | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| CN101247295A (zh) | 一种在无线局域网获得接入控制器信息的方法和装置 | |
| JP5319456B2 (ja) | 通信システム、その制御方法、基地局装置及びプログラム | |
| KR20050010859A (ko) | 계층적 인증을 이용하는 브로커-기반 연동 | |
| JP2004078426A (ja) | ユーザ認証方法及びシステム | |
| Kuntze et al. | On the automatic establishment of security relations for devices | |
| JP4769550B2 (ja) | デバイス管理システム、デバイス管理方法、コンピュータプログラム、及びコンピュータ読み取り可能な記憶媒体 | |
| WO2011127732A1 (zh) | 下一代网络中多接入认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040806 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070709 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070731 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20071211 |