JP2004171071A - 情報処理装置及び認証方法及びネットワークシステム - Google Patents
情報処理装置及び認証方法及びネットワークシステム Download PDFInfo
- Publication number
- JP2004171071A JP2004171071A JP2002332984A JP2002332984A JP2004171071A JP 2004171071 A JP2004171071 A JP 2004171071A JP 2002332984 A JP2002332984 A JP 2002332984A JP 2002332984 A JP2002332984 A JP 2002332984A JP 2004171071 A JP2004171071 A JP 2004171071A
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- server
- information
- client
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【課題】本発明は、独立した複数のネットワークシステムにおいて接続されるとともにその安全性を高くした認証方法を提供することを目的とする。
【解決手段】サーバ装置1となる情報処理装置をネットワークシステムに接続したとき、この接続をネットワーク接続制御部3で確認する。そして、アクセス許可した情報処理装置であるクライアント装置2それぞれに対して、パスワード生成部6でパスワードを生成する。このパスワードとセッションリスト7から得られるアカウントと自己ホスト情報記憶部5に格納したIPアドレスとによるクライアントセッションをクライアントセッション生成部8で生成してクライアント装置2に送信する。
【選択図】 図1
【解決手段】サーバ装置1となる情報処理装置をネットワークシステムに接続したとき、この接続をネットワーク接続制御部3で確認する。そして、アクセス許可した情報処理装置であるクライアント装置2それぞれに対して、パスワード生成部6でパスワードを生成する。このパスワードとセッションリスト7から得られるアカウントと自己ホスト情報記憶部5に格納したIPアドレスとによるクライアントセッションをクライアントセッション生成部8で生成してクライアント装置2に送信する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、コンピュータや携帯端末を含む複数の情報処理装置が相互に通信を行うために構築されるネットワークシステムに関するもので、このネットワークシステムにおける情報処理装置及び認証方法に関する。
【0002】
【従来の技術】
複数のコンピュータなどの情報処理装置によって構築されたネットワークシステムにおいて、各情報処理装置間でデータのやりとりが行われる際、それぞれの情報処理装置は、データ取得を行う側であるクライアント装置と、取得されるデータを保持している側であるサーバ装置とのいずれかの立場となる。このとき、クライアント装置となる情報処理装置(以下、「クライアント装置」とする)は、取得するデータを保持しているサーバ装置となる情報処理装置(以下、「サーバ装置」とする)を、そのサーバ装置のIPアドレスやホスト名で特定する。そして、特定したサーバ装置に対して、サーバ装置にアクセス可能なクライアント装置であることを認証させるために、アカウントやパスワードなどのユーザー情報をサーバ装置に送信する。よって、サーバ装置は、クライアント装置より送信されるユーザー情報より認証動作を行い、アクセス可能なクライアント装置であると判断するとアクセスを許可し、保持しているデータがクライアント装置に取得される。
【0003】
このようなサーバ装置及びクライアント装置の関係を、図7に示す。図7において、サーバ装置101は、ネットワーク接続制御部103によってクライアント装置102からのアクセスを待ち受ける。そして、クライアント装置102がサーバログイン部105によってサーバ装置101のIPアドレスを指定すると、サーバ装置101はネットワーク接続制御部103によってクライアント装置102と通信接続する。その後、ログイン処理部104によってクライアント装置102にパスワード及びアカウントの要求を行うと、クライアント装置102からユーザーによって入力されたアカウントやパスワードがサーバログイン部105からサーバ装置101に与えられる。このアカウントやパスワードがサーバ装置101で受信されると、ログイン処理部104で認証処理が成される。そして、クライアント装置102がサーバ装置101によって認証されると、ネットワーク接続制御部103によってアクセス許可信号がクライアント装置102に与えられ、クライアント装置102がデータを取得することが可能となる。
【0004】
又、従来の技術として、相互に接続された複数のネットワークシステム間でのアクセス管理を行う権限対応関係管理サーバを備えて、複数のネットワークシステム間のアクセス権を統合管理するアクセス権限統合管理方法が提案されている(特許文献1参照)。又、従来の技術として、データを複数のサーバ装置で分散管理するネットワークシステムにおいて、直接接続されたサーバ装置に対する必要最小限の環境設定を行った後、接続が確認されたサーバ装置の環境を自動収集して、ネットワークシステムの環境定義の登録又は更新を行うサーバ装置が提案されている(特許文献2参照)。
【0005】
【特許文献1】
特開平11−24978号公報
【特許文献2】
特開2000−29808号公報
【0006】
【発明が解決しようとする課題】
近年、ノートパソコンやPDA(Personal Digital Assistants)などの可搬性の高い情報処理装置に対する開発が進み、無線ネットワークなどを利用して容易にネットワーク端末として利用することが可能となっている。よって、このような可搬性の高い情報処理装置によって、別々に構成されるLAN(Local AreaNetwork)に加わったり外れたりすることが頻繁に行われることがある。
【0007】
このことより、図7の例を含む従来のネットワークシステムにおいては、クライアント装置がサーバ装置にアクセスするためのIPアドレスやホスト名及び認証を行うためのアカウントやパスワードなどを記憶する必要がある。そのため、クライアント装置が複数のネットワークを利用する場合、それぞれのネットワークに接続するための情報を記憶する必要があるとともに、これらの情報が漏洩する恐れがあり、その安全性が低くなる。
【0008】
又、特許文献1に記載のネットワークシステムでは、権限対応関係管理サーバが必要であるとともに、各ネットワークが相互に接続されている必要がある。よって、接続されていないネットワークに接続を変更する場合、権限対応関係管理サーバの管理下になく、特許文献1による効果を得ることができない。又、特許文献2に記載のネットワークシステムでは、直接接続されたサーバのIPアドレスなどの情報を管理者が定義して登録する必要がある。よって、相互に接続されていない別のネットワークに接続する度に管理者が情報を入力する必要があり、接続するネットワークを頻繁に換える場合、煩雑なものとなる。
【0009】
このような問題を鑑みて、本発明は、独立した複数のネットワークシステムにおいて接続されるとともにその安全性を高くした認証方法を提供することを目的とする。又、本発明は、この認証方法を利用する情報処理装置を提供することを別の目的とする。又、本発明は、上述の認証方法又は情報処理装置によって構成されるネットワークシステムを提供することを別の目的とする。
【0010】
【課題を解決するための手段】
上記目的を達成するために本発明の情報処理装置は、自機器にアクセス許可したクライアントとなる情報処理装置をネットワークシステム上で特定するクライアント用ホスト情報を複数記録したホスト情報記録部と、前記クライアントとなる情報処理装置それぞれを認証するための認証情報を生成する認証情報生成部と、を備え、前記ネットワークシステムに接続されたとき、当該ネットワークシステム上で自機器が特定されるサーバ用ホスト情報を取得するとともに、前記認証情報生成部において前記クライアントとなる情報処理装置それぞれに対する認証情報を生成し、前記クライアントとなる情報処理装置それぞれに対して、前記サーバ用ホスト情報と前記クライアントとなる各情報処理装置の認証情報とを送信することを特徴とする。
【0011】
この構成によると、ネットワークシステムに接続したとき、アクセス許可した情報処理装置に対して、認証情報生成部で認証情報を生成するとともに、ホスト情報記録部で記録したそのクライアント用ホスト情報によりネットワークシステム上の位置を認識し、特定されるサーバ用ホスト情報と認証情報を送信する。このような認証情報において、特定のアカウントとサーバとなる情報処理装置がネットワークシステムに接続されるたびに変更されるパスワードとによって構成されるものとしても構わない。
【0012】
又、このような情報処理装置において、前記クライアントとなる情報処理装置それぞれから認証情報を受信するとともに、受信した当該認証情報と前記認証情報生成部で生成した前記認証情報とを比較することによって認証を行う認証部を備える。よって、ネットワークシステムに接続されると、一旦、アクセス許可した情報処理装置に対して、生成した認証情報をサーバ用ホスト情報とともに送信する。そして、この認証情報を受信した情報処理装置より送信された認証情報によって、アクセス許可した情報処理装置であるか否かの認証を行う。
【0013】
又、前記認証生成部において、前記認証情報を生成開始する時刻に基づいて前記認証情報を生成するようにしても構わない。このとき、所定の時刻を起点として認証情報の生成開始時刻を1次元の数値に変換した後、この1次元の数値を利用して乱数を求めて前記認証情報を生成するようにしても構わない。更に、前記認証情報の生成開始時刻による前記1次元の数値に基づく乱数を利用して、文字列を生成し、当該文字列を前記認証情報としても構わない。
【0014】
又、本発明の情報処理装置は、ネットワークシステムに接続されたサーバとなる情報処理装置においてアクセスが許可され、当該サーバとなる情報処理装置のクライアントとなる情報処理装置において、前記サーバとなる情報処理装置を前記ネットワークシステム上で特定するサーバ用ホスト情報と前記サーバとなる情報処理装置での認証に利用される認証情報とを受信した後、前記サーバ用ホスト情報によって特定した前記サーバとなる情報処理装置に対して、前記認証情報を送信することを特徴とする。
【0015】
この構成によると、上述のように構成されるサーバとなる情報処理装置より送信されるサーバ用ホスト情報より、サーバとなる情報処理装置を特定するとともに、このサーバとなる情報処理装置に認証されるように、サーバとなる情報処理装置より送信された認証情報を送信する。
【0016】
又、本発明のネットワークシステムは、上述のように構成される情報処理装置をサーバ又はクライアントとして備えることを特徴とする。
【0017】
又、本発明の認証方法は、サーバとなる情報処理装置と当該サーバとなる情報処理装置によってアクセスが許可されたクライアントとなる複数の情報処理装置とによって構成されるネットワークシステムにおける前記クライアントとなる情報処理装置の認証方法において、前記サーバとなる情報処理装置が前記ネットワークシステムに接続されて、前記サーバとなる情報処理装置を前記ネットワークシステム上で特定するサーバ用ホスト情報が前記サーバとなる情報処理装置で取得される第1ステップと、前記サーバとなる情報処理装置が前記クライアントとなる情報処理装置それぞれに対して認証動作を行う際に使用する認証情報を生成する第2ステップと、前記サーバとなる情報処理装置が前記クライアントとなる情報処理装置それぞれに対して、前記第1ステップで得られた前記サーバ用ホスト情報と前記第2ステップで生成された前記認証情報とを送信する第3ステップと、前記クライアントとなる情報処理装置それぞれが、前記第3ステップで前記サーバとなる情報処理装置から送信された前記サーバ用ホスト情報と前記認証情報とを受信する第4ステップと、前記クライアントとなる情報処理装置それぞれが、前記第4ステップで受信された前記サーバ用ホスト情報によって特定される前記サーバとなる情報処理装置に対して、同じく前記第4ステップで受信された前記クライアントとなる情報処理装置それぞれに対して生成された前記認証情報を送信する第5ステップと、前記サーバとなる情報処理装置が、前記第5ステップにおいて前記クライアントとなる情報処理装置それぞれから送信された前記認証情報に基づいて前記クライアントとなる情報処理装置の認証を行う第6ステップと、によって構成されることを特徴とする。
【0018】
このような認証方法において、前記第3ステップにおいて、前記認証情報を生成開始する時刻に基づいて前記認証情報を生成するようにしても構わない。
【0019】
又、本発明のネットワークシステムは、上述のような認証方法を利用して、前記サーバとなる情報処理装置が前記クライアントとなる情報処理装置の認証を行うことを特徴とする。
【0020】
【発明の実施の形態】
本発明の実施形態について、図面を参照して以下に説明する。図1は、本実施形態におけるネットワークシステムの構成を示すブロック図である。図1のネットワークシステムにおいて、図7に示す従来のネットワークシステムと同様、情報処理装置において、サーバ装置1となるものとクライアント装置2となるものがある。
【0021】
このとき、サーバ装置1は、クライアント装置2からのネットワーク接続要求を確認するネットワーク接続制御部3と、認証動作を行うログイン処理部4と、サーバ装置1のIPアドレスやホスト名などのネットワーク位置を特定するためのホスト情報を記憶する自己ホスト情報記憶部5と、ネットワークシステムに接続したときにパスワードを生成するパスワード生成部6と、アクセス許可したクライアント装置2それぞれのネットワーク位置を特定するためのホスト情報及びクライアント装置2それぞれに対して設定されたアカウントを記憶するセッションリスト7と、自己ホスト情報部記憶部5で記録されたIPアドレスとパスワード生成部6で生成されたパスワードとセッションリスト7からのアカウントとによるクライアントセッションを生成するクライアントセッション生成部8と、クライアントセッション生成部8で生成されたクライアントセッションを記録するセッション記憶部9とを備える。
【0022】
又、クライアント装置2は、サーバ装置1に対してログイン動作を行うサーバログイン部10と、サーバ装置1で生成されて送信されるクライアントセッションを受信するとともに解析してアカウント及びパスワードを確認するクライアントセッション受信部11とを備える。このように、サーバ装置1及びクライアント装置2それぞれが構成されるときのネットワークシステムにおける動作を、以下に説明する。
【0023】
サーバ装置1のセッションリスト7において、図2のように、アクセス許可しているクライアント装置2それぞれのネットワーク位置を示すIPアドレス及びアカウントが記憶されている。このとき、ネットワークシステム毎にアクセス許可されたクライアント装置2のIPアドレス及びアカウントが記憶されている。即ち、ネットワークシステムN1では、IPアドレス”192.168.0.101”及び”192.168.0.102”となるクライアント装置2のアカウントが同一の”user1”とされるとともに、IPアドレス”192.168.0.103”となるクライアント装置2のアカウントが”root”とされる。又、ネットワークシステムN2では、IPアドレス”192.168.1.201”、”192.168.1.202”、”192.168.1.203”となるクライアント装置2のアカウントがそれぞれ”user11”、”user12”、”user13”とされる。尚、図2の例では2つのネットワークシステムに対して接続されるものとするが、3つ以上についても同様である。
【0024】
まず、サーバ装置1をネットワークシステムに接続したときのクライアントセッション生成動作について、図3のフローチャートに基づいて説明する。サーバ装置1がネットワークシステムに接続されると、ネットワーク接続制御部3によって接続が確認され、接続したネットワークシステムが確認される(STEP1)。このとき、サーバ装置1は、ネットワーク接続制御部3に格納されている複数のネットワーク接続用ファイルを順番に使用して接続動作を行い、接続可能となったネットワーク接続用ファイルを確認することによって、接続したネットワークシステムを確認する。又、ユーザーによってネットワークシステムを特定する入力が行われて、特定されたネットワークシステムに接続するためのネットワーク接続用ファイルを使用してネットワークシステムに接続し、ネットワークシステムを確認するようにしても構わない。
【0025】
このように接続したネットワークシステムにおいて割り当てられたサーバ装置1のIPアドレスをネットワーク接続制御部3で取得すると、自己ホスト情報記憶部5に記録する(STEP2)。そして、接続したネットワークシステム内でアクセス許可したクライアント装置2に対するクライアントセッションをクライアントセッション生成部8において生成する(STEP3)。
【0026】
このとき、クライアントセッション生成部8に、自己ホスト情報記憶部5にSTEP2で記憶されたIPアドレスと、パスワード生成部6で生成されたパスワードと、セッションリスト7より得られるアカウントが与えられて、IPアドレスとパスワードとアカウントによるクライアントセッションが生成される。又、パスワード生成部6は、図4のように、現在時刻を取得して1次元の数値に変換する時刻処理部15と、時刻処理部15で得られた1次元の数値を種として乱数を発生する乱数発生部16と、乱数発生部16で発生した乱数に基づいて複数のアルファベットや数字による文字列をパスワードとして生成する文字列変換部17とを備える。
【0027】
このような構成のパスワード生成部6では、時刻処理部15において、例えば1970年1月1日0時0分0秒を起点として経過した秒数を1次元の数値として用いる。そして、乱数発生部16において時刻処理部15から与えられた1次元の数値を種として乱数を発生させる。このとき、1つ目に求めた乱数に基づいて文字列変換部17で生成する文字列の文字数を設定し、この文字数分、乱数を発生させる。よって、乱数発生部16で発生された複数の乱数が文字列変換部17に与えられると、この複数の乱数に基づく文字列が設定されてパスワードが生成される。
【0028】
このようにしてクライアントセッションが生成されると、セッション記憶部9において、生成されたクライアントセッションが、送信されるクライアント装置2に対応づけて記録される(STEP4)。このとき、例えば、送信されるクライアント装置2のIPアドレスとともに記録するようにして、送信されるクライアント装置2に対応するように、クライアントセッションが記録されるようにしても構わない。又、このクライアントセッション全体でなく、クライアントセッションを構成するパスワードとアカウントのみがセッション記憶部9に記録されるようにしても構わない。
【0029】
更に、クライアントセッション生成部8で生成されたクライアントセッションは、クライアントセッション生成部8よりクライアント装置2に対して送信される(STEP5)。このとき、クライアントセッションを生成する際に、セッションリスト7よりアカウントとともに得られたクライアント装置2のIPアドレスによってクライアントセッションを送信するクライアント装置2を特定する。そして、このIPアドレスによって特定したクライアント装置2に対して、生成したクライアントセッションを送信する。
【0030】
このように、1つのクライアント装置2に対するクライアントセッションをクライアントセッション生成部8において生成して、セッション記憶部9に記憶するとともにクライアント装置2に送信すると、セッションリスト7を参照してクライアントセッションが生成されていないクライアント装置2を検索する(STEP6)。このとき、クライアントセッションが生成されていないクライアント装置2が確認されると(Yes)、STEP3に移行して、このクライアント装置2に対してクライアントセッションが生成される。又、アクセス許可したクライアント装置2全てに対してクライアントセッションが生成されたことが確認されると(No)、クライアントセッション生成動作を終了する。
【0031】
図3のフローチャートに基づいて動作するとき、まず、サーバ1がネットワーク接続制御部3においてネットワークシステムN1に接続したことが確認する。このとき、サーバ1のIPアドレス”192.168.0.200”を取得すると、自己ホスト情報記憶部5に記録する。そして、ネットワークシステムN1においてアクセス許可したクライアント装置2に対するクライアントセッションを生成する。よって、まず、IPアドレス”192.168.0.101”のクライアント装置2に対するクライアントセッションが生成される。
【0032】
このとき、パスワード生成部6において現在時刻よりパスワード”WKNE0PxcRUIv”といったパスワードが生成されると、IPアドレス”192.168.0.101”のクライアント装置2に対するクライアントセッションは、サーバ装置1のIPアドレス”192.168.0.200”と、アカウント”user1”と、パスワード”WKNE0PxcRUIv”とによって構成される。そして、生成されたクライアントセッションがセッション記憶部9にIPアドレス”192.168.0.101”に対応するように記録されるとともに、IPアドレス”192.168.0.101”のクライアント装置2に送信される。
【0033】
次に、IPアドレス”192.168.0.102”のクライアント装置2に対するクライアントセッションが生成される。このとき、このIPアドレス”192.168.0.102”のクライアント装置2のクライアントセッションが生成開始する際の現在時刻がパスワード生成部6で確認されてパスワードが生成される。そして、この生成されたパスワードと、サーバ装置1のIPアドレス”192.168.0.200”と、アカウント”user1”とによって、クライアントセッションを生成する。このようにして生成されたクライアントセッションがIPアドレス”192.168.0.102”に対応してセッション記憶部9に記録されるとともに、IPアドレス”192.168.0.102”のクライアント装置2に送信される。
【0034】
更に、IPアドレス”192.168.0.103”のクライアント装置2に対するクライアントセッションが生成される。このとき、このIPアドレス”192.168.0.103”のクライアント装置2のクライアントセッションが生成開始する際の現在時刻がパスワード生成部6で確認されてパスワードが生成される。そして、この生成されたパスワードと、サーバ装置1のIPアドレス”192.168.0.200”と、アカウント”root”とによって、クライアントセッションを生成する。このようにして生成されたクライアントセッションがIPアドレス”192.168.0.103”に対応してセッション記憶部9に記録されるとともに、IPアドレス”192.168.0.103”のクライアント装置2に送信される。
【0035】
このIPアドレス”192.168.0.103”のクライアント装置2に対するクライアントセッションが生成されると、ネットワークシステムN1内でアクセス許可したクライアント全てに対してクライアントセッションが生成されたこととなる。よって、図3のフローチャートに基づくクライアントセッション生成動作が終了する。
【0036】
このように、サーバ装置1においてアクセス許可されたクライアント装置2に対してクライアントセッションが生成されて、クライアント装置2に送信されると、クライアントセッションを受信したクライアント装置2それぞれにおいて、図5のフローチャートに基づくログイン処理動作を行う。このクライアント装置2におけるログイン処理動作を、以下に説明する。
【0037】
クライアント2は、クライアントセッションをクライアントセッション受信部11において受信すると(STEP7)、このクライアントセッションを解析して、サーバ装置1のIPアドレスとクライアント装置2に割り当てられたアカウント及びパスワードとを確認する(STEP8)。そして、このとき確認されたIPアドレス及びアカウント及びパスワードをサーバログイン部10に与えると、まず、サーバログイン部10において、IPアドレスによってサーバ装置1を特定し、サーバ装置1にログイン要求を行う(STEP9)。このとき、クライアント装置2に与えられているIPアドレスをサーバ装置1に送信する。その後、サーバ装置1からのアカウント及びパスワードの送信要求がサーバログイン部10で受信されると(STEP10)、STEP8で確認されたアカウント及びパスワードをサーバログイン部10よりサーバ装置1に送信する(STEP11)。
【0038】
即ち、IPアドレス”192.168.0.101”のクライアント装置2が、サーバ装置1からのクライアントセッションをクライアントセッション受信部11において受信すると、サーバ装置1のIPアドレス”192.168.0.200”と、クライアント装置2に対して設定されたアカウント”user1”及びパスワード”WKNE0PxcRUIv”が確認される。そして、このIPアドレス”192.168.0.200”、アカウント”user1”、パスワード”WKNE0PxcRUIv”がサーバログイン部10に与えられると、まず、IPアドレス”192.168.0.200”によってサーバ装置1を特定して、ログイン要求を行うとともに、クライアント装置2のIPアドレス”192.168.0.101”を送信する。
【0039】
その後、サーバ装置1からアカウント及びパスワードの送信が要求されると、アカウント”user1”及びパスワード”WKNE0PxcRUIv”をサーバ装置1に送信する。このようにして、IPアドレス”192.168.0.101”のクライアント装置2がログイン動作を行う。尚、IPアドレス”192.168.0.102”、”192.168.0.103”のクライアント装置2それぞれについても同様の動作を行うことで、サーバ装置1に対してログイン動作を行う。
【0040】
このように、サーバ装置1から送信されるクライアントセッションを受信して、ログイン動作を行っているとき、サーバ装置1では、アクセス許可したクライアント装置2でのみ解除することができる暗号化をクライアントセッションに施して送信するようにしても構わない。このように暗号化されたクライアントセッションをクライアント装置2で受信すると、サーバ装置1によってアクセス許可したクライアント装置2のみがその暗号化を解除することができ、クライアントセッションの内容を解析することができる。
【0041】
又、サーバ装置1では、このようにクライアント装置2からログイン動作を行われるとき、図6のフローチャートに基づく認証動作を行う。このサーバ装置1の認証動作を以下に説明する。
【0042】
クライアント装置2がSTEP9の動作(図5)を行ってログイン要求を行うと、このログイン要求をクライアント装置2のIPアドレスとともにネットワーク接続制御部3で受信する(STEP12)。そして、パスワード及びアカウントを要求する信号をログイン処理部4より送信する(STEP13)。その後、クライアント装置2がSTEP11の動作(図5)を行ってアカウントとパスワードを送信すると、このアカウント及びパスワードをログイン処理部4で受信する(STESP14)。
【0043】
その後、まず、セッションリスト7又はセッション記憶部9によってSTEP12で受信したIPアドレスよりアクセス許可したクライアント装置2であるか否かを確認する(STEP15)。このとき、受信したIPアドレスがアクセス許可したクライアント装置2のIPアドレスに一致すると(Yes)、そのIPアドレスのクライアント装置2に設定したクライアントセッションをセッション記憶部9で確認して、そのクライアントセッションに含まれるアカウント及びパスワードを読み出す(STEP16)。
【0044】
このようにセッション記憶部9よりアカウント及びパスワードを読み出すと、ログイン処理部4では、まず、受信したアカウントとセッション記憶部9からのアカウントとを比較して一致するか否かが確認される(STEP17)。このとき、一致して受信したアカウントが正しいものであることが確認されると(Yes)、受信したパスワードとセッション記憶部9からのパスワードとを比較して一致するか否かが確認される(STEP18)。そして、一致して受信したパスワードが正しいものであることが確認されると(Yes)、クライアント装置2を認証してアクセス権を与える(STEP19)。
【0045】
又、STEP15において受信したIPアドレスよりアクセス許可したクライアント装置でないことが確認されたとき(No)、又は、STEP17において受信したアカウントがセッション記憶部9からのアカウントと一致しなかったとき(No)、又は、STEP18において受信したパスワードがセッション記憶部9からのパスワードと一致しなかったとき(No)、不正なクライアント装置であるとして認証せず、アクセス権を与えない(STEP20)。
【0046】
即ち、IPアドレス”192.168.0.101”のクライアント装置2からログイン要求があるとき、このログイン要求とともにIPアドレス”192.168.0.101”を受信する。そして、アカウント及びパスワードを要求すると、クライアント装置2からアカウント”user1”及びパスワード”WKNE0PxcRUIv”が送信される。そして、まず、IPアドレス”192.168.0.101”よりアクセス許可したクライアント装置2であることを認識する。
【0047】
その後、セッション記憶部9よりIPアドレス”192.168.0.101”のクライアント装置2に対して設定したアカウント”user1”及びパスワード”WKNE0PxcRUIv”を読み出す。よって、受信したアカウント及びパスワードが一致したことを確認するので、IPアドレス”192.168.0.101”のクライアント装置2にアクセス権を与える。サーバ装置1において、このような認証動作がIPアドレス”192.168.0.102”、”192.168.0.103”のクライアント装置2それぞれに対しても行われ、アクセス許可したクライアント装置2全てを認証する。このように認証されたクライアント装置2は、サーバ装置1のデータに自由にアクセス可能となる。尚、このような認証動作を行う際、IPアドレスよりアクセス許可したクライアント装置2であることを確認した後に、アカウント及びパスワードの要求を行うようにしても構わない。
【0048】
このように、サーバ装置1及びクライアント装置2が動作することによって、サーバ装置1のセッションリスト7に登録されていない情報処理装置は、サーバ装置1よりクライアントセッションを受信することがなく、サーバ装置1にアクセスすることができない。又、アカウントを詐称して不正なアクセスが成されたとしても、サーバ装置1がネットワークに接続されるたびにパスワードが生成されるため、パスワードまで詐称することができない。よって、サーバ装置1への不正なアクセスを防ぐことができる。
【0049】
【発明の効果】
本発明によると、サーバ用ホスト情報などのサーバ装置となる情報処理装置に関する情報を、接続するネットワークシステムそれぞれに格納させる必要がないため、この情報処理装置に関する情報がネットワークシステムより漏洩することがなく、ネットワークシステムにおける安全性を高くすることができる。又、アクセス許可した情報処理装置を認証するための認証情報を、ネットワークシステムに接続するたびに生成するため、ネットワークシステムにおける安全性をより高くすることができる。
【図面の簡単な説明】
【図1】本発明の実施形態における情報処理装置によるネットワークシステムの構成を示すブロック図。
【図2】図1におけるサーバ装置内のセッションリストの構成を示す図。
【図3】図1におけるサーバ装置のクライアントセッション生成動作を示すフローチャート。
【図4】図1におけるサーバ装置内のパスワード生成部の構成を示すブロック図。
【図5】図1におけるクライアント装置のログイン動作を示すフローチャート。
【図6】図1におけるサーバ装置の認証動作を示すフローチャート。
【図7】従来の情報処理装置によるネットワークシステムの構成を示すブロック図。
【符号の説明】
1 サーバ装置
2 クライアント装置
3 ネットワーク接続制御部
4 ログイン処理部
5 自己ホスト情報記憶部
6 パスワード生成部
7 セッションリスト
8 クライアントセッション生成部
9 セッション記憶部
10 サーバログイン部
11 クライアントセッション受信部
【発明の属する技術分野】
本発明は、コンピュータや携帯端末を含む複数の情報処理装置が相互に通信を行うために構築されるネットワークシステムに関するもので、このネットワークシステムにおける情報処理装置及び認証方法に関する。
【0002】
【従来の技術】
複数のコンピュータなどの情報処理装置によって構築されたネットワークシステムにおいて、各情報処理装置間でデータのやりとりが行われる際、それぞれの情報処理装置は、データ取得を行う側であるクライアント装置と、取得されるデータを保持している側であるサーバ装置とのいずれかの立場となる。このとき、クライアント装置となる情報処理装置(以下、「クライアント装置」とする)は、取得するデータを保持しているサーバ装置となる情報処理装置(以下、「サーバ装置」とする)を、そのサーバ装置のIPアドレスやホスト名で特定する。そして、特定したサーバ装置に対して、サーバ装置にアクセス可能なクライアント装置であることを認証させるために、アカウントやパスワードなどのユーザー情報をサーバ装置に送信する。よって、サーバ装置は、クライアント装置より送信されるユーザー情報より認証動作を行い、アクセス可能なクライアント装置であると判断するとアクセスを許可し、保持しているデータがクライアント装置に取得される。
【0003】
このようなサーバ装置及びクライアント装置の関係を、図7に示す。図7において、サーバ装置101は、ネットワーク接続制御部103によってクライアント装置102からのアクセスを待ち受ける。そして、クライアント装置102がサーバログイン部105によってサーバ装置101のIPアドレスを指定すると、サーバ装置101はネットワーク接続制御部103によってクライアント装置102と通信接続する。その後、ログイン処理部104によってクライアント装置102にパスワード及びアカウントの要求を行うと、クライアント装置102からユーザーによって入力されたアカウントやパスワードがサーバログイン部105からサーバ装置101に与えられる。このアカウントやパスワードがサーバ装置101で受信されると、ログイン処理部104で認証処理が成される。そして、クライアント装置102がサーバ装置101によって認証されると、ネットワーク接続制御部103によってアクセス許可信号がクライアント装置102に与えられ、クライアント装置102がデータを取得することが可能となる。
【0004】
又、従来の技術として、相互に接続された複数のネットワークシステム間でのアクセス管理を行う権限対応関係管理サーバを備えて、複数のネットワークシステム間のアクセス権を統合管理するアクセス権限統合管理方法が提案されている(特許文献1参照)。又、従来の技術として、データを複数のサーバ装置で分散管理するネットワークシステムにおいて、直接接続されたサーバ装置に対する必要最小限の環境設定を行った後、接続が確認されたサーバ装置の環境を自動収集して、ネットワークシステムの環境定義の登録又は更新を行うサーバ装置が提案されている(特許文献2参照)。
【0005】
【特許文献1】
特開平11−24978号公報
【特許文献2】
特開2000−29808号公報
【0006】
【発明が解決しようとする課題】
近年、ノートパソコンやPDA(Personal Digital Assistants)などの可搬性の高い情報処理装置に対する開発が進み、無線ネットワークなどを利用して容易にネットワーク端末として利用することが可能となっている。よって、このような可搬性の高い情報処理装置によって、別々に構成されるLAN(Local AreaNetwork)に加わったり外れたりすることが頻繁に行われることがある。
【0007】
このことより、図7の例を含む従来のネットワークシステムにおいては、クライアント装置がサーバ装置にアクセスするためのIPアドレスやホスト名及び認証を行うためのアカウントやパスワードなどを記憶する必要がある。そのため、クライアント装置が複数のネットワークを利用する場合、それぞれのネットワークに接続するための情報を記憶する必要があるとともに、これらの情報が漏洩する恐れがあり、その安全性が低くなる。
【0008】
又、特許文献1に記載のネットワークシステムでは、権限対応関係管理サーバが必要であるとともに、各ネットワークが相互に接続されている必要がある。よって、接続されていないネットワークに接続を変更する場合、権限対応関係管理サーバの管理下になく、特許文献1による効果を得ることができない。又、特許文献2に記載のネットワークシステムでは、直接接続されたサーバのIPアドレスなどの情報を管理者が定義して登録する必要がある。よって、相互に接続されていない別のネットワークに接続する度に管理者が情報を入力する必要があり、接続するネットワークを頻繁に換える場合、煩雑なものとなる。
【0009】
このような問題を鑑みて、本発明は、独立した複数のネットワークシステムにおいて接続されるとともにその安全性を高くした認証方法を提供することを目的とする。又、本発明は、この認証方法を利用する情報処理装置を提供することを別の目的とする。又、本発明は、上述の認証方法又は情報処理装置によって構成されるネットワークシステムを提供することを別の目的とする。
【0010】
【課題を解決するための手段】
上記目的を達成するために本発明の情報処理装置は、自機器にアクセス許可したクライアントとなる情報処理装置をネットワークシステム上で特定するクライアント用ホスト情報を複数記録したホスト情報記録部と、前記クライアントとなる情報処理装置それぞれを認証するための認証情報を生成する認証情報生成部と、を備え、前記ネットワークシステムに接続されたとき、当該ネットワークシステム上で自機器が特定されるサーバ用ホスト情報を取得するとともに、前記認証情報生成部において前記クライアントとなる情報処理装置それぞれに対する認証情報を生成し、前記クライアントとなる情報処理装置それぞれに対して、前記サーバ用ホスト情報と前記クライアントとなる各情報処理装置の認証情報とを送信することを特徴とする。
【0011】
この構成によると、ネットワークシステムに接続したとき、アクセス許可した情報処理装置に対して、認証情報生成部で認証情報を生成するとともに、ホスト情報記録部で記録したそのクライアント用ホスト情報によりネットワークシステム上の位置を認識し、特定されるサーバ用ホスト情報と認証情報を送信する。このような認証情報において、特定のアカウントとサーバとなる情報処理装置がネットワークシステムに接続されるたびに変更されるパスワードとによって構成されるものとしても構わない。
【0012】
又、このような情報処理装置において、前記クライアントとなる情報処理装置それぞれから認証情報を受信するとともに、受信した当該認証情報と前記認証情報生成部で生成した前記認証情報とを比較することによって認証を行う認証部を備える。よって、ネットワークシステムに接続されると、一旦、アクセス許可した情報処理装置に対して、生成した認証情報をサーバ用ホスト情報とともに送信する。そして、この認証情報を受信した情報処理装置より送信された認証情報によって、アクセス許可した情報処理装置であるか否かの認証を行う。
【0013】
又、前記認証生成部において、前記認証情報を生成開始する時刻に基づいて前記認証情報を生成するようにしても構わない。このとき、所定の時刻を起点として認証情報の生成開始時刻を1次元の数値に変換した後、この1次元の数値を利用して乱数を求めて前記認証情報を生成するようにしても構わない。更に、前記認証情報の生成開始時刻による前記1次元の数値に基づく乱数を利用して、文字列を生成し、当該文字列を前記認証情報としても構わない。
【0014】
又、本発明の情報処理装置は、ネットワークシステムに接続されたサーバとなる情報処理装置においてアクセスが許可され、当該サーバとなる情報処理装置のクライアントとなる情報処理装置において、前記サーバとなる情報処理装置を前記ネットワークシステム上で特定するサーバ用ホスト情報と前記サーバとなる情報処理装置での認証に利用される認証情報とを受信した後、前記サーバ用ホスト情報によって特定した前記サーバとなる情報処理装置に対して、前記認証情報を送信することを特徴とする。
【0015】
この構成によると、上述のように構成されるサーバとなる情報処理装置より送信されるサーバ用ホスト情報より、サーバとなる情報処理装置を特定するとともに、このサーバとなる情報処理装置に認証されるように、サーバとなる情報処理装置より送信された認証情報を送信する。
【0016】
又、本発明のネットワークシステムは、上述のように構成される情報処理装置をサーバ又はクライアントとして備えることを特徴とする。
【0017】
又、本発明の認証方法は、サーバとなる情報処理装置と当該サーバとなる情報処理装置によってアクセスが許可されたクライアントとなる複数の情報処理装置とによって構成されるネットワークシステムにおける前記クライアントとなる情報処理装置の認証方法において、前記サーバとなる情報処理装置が前記ネットワークシステムに接続されて、前記サーバとなる情報処理装置を前記ネットワークシステム上で特定するサーバ用ホスト情報が前記サーバとなる情報処理装置で取得される第1ステップと、前記サーバとなる情報処理装置が前記クライアントとなる情報処理装置それぞれに対して認証動作を行う際に使用する認証情報を生成する第2ステップと、前記サーバとなる情報処理装置が前記クライアントとなる情報処理装置それぞれに対して、前記第1ステップで得られた前記サーバ用ホスト情報と前記第2ステップで生成された前記認証情報とを送信する第3ステップと、前記クライアントとなる情報処理装置それぞれが、前記第3ステップで前記サーバとなる情報処理装置から送信された前記サーバ用ホスト情報と前記認証情報とを受信する第4ステップと、前記クライアントとなる情報処理装置それぞれが、前記第4ステップで受信された前記サーバ用ホスト情報によって特定される前記サーバとなる情報処理装置に対して、同じく前記第4ステップで受信された前記クライアントとなる情報処理装置それぞれに対して生成された前記認証情報を送信する第5ステップと、前記サーバとなる情報処理装置が、前記第5ステップにおいて前記クライアントとなる情報処理装置それぞれから送信された前記認証情報に基づいて前記クライアントとなる情報処理装置の認証を行う第6ステップと、によって構成されることを特徴とする。
【0018】
このような認証方法において、前記第3ステップにおいて、前記認証情報を生成開始する時刻に基づいて前記認証情報を生成するようにしても構わない。
【0019】
又、本発明のネットワークシステムは、上述のような認証方法を利用して、前記サーバとなる情報処理装置が前記クライアントとなる情報処理装置の認証を行うことを特徴とする。
【0020】
【発明の実施の形態】
本発明の実施形態について、図面を参照して以下に説明する。図1は、本実施形態におけるネットワークシステムの構成を示すブロック図である。図1のネットワークシステムにおいて、図7に示す従来のネットワークシステムと同様、情報処理装置において、サーバ装置1となるものとクライアント装置2となるものがある。
【0021】
このとき、サーバ装置1は、クライアント装置2からのネットワーク接続要求を確認するネットワーク接続制御部3と、認証動作を行うログイン処理部4と、サーバ装置1のIPアドレスやホスト名などのネットワーク位置を特定するためのホスト情報を記憶する自己ホスト情報記憶部5と、ネットワークシステムに接続したときにパスワードを生成するパスワード生成部6と、アクセス許可したクライアント装置2それぞれのネットワーク位置を特定するためのホスト情報及びクライアント装置2それぞれに対して設定されたアカウントを記憶するセッションリスト7と、自己ホスト情報部記憶部5で記録されたIPアドレスとパスワード生成部6で生成されたパスワードとセッションリスト7からのアカウントとによるクライアントセッションを生成するクライアントセッション生成部8と、クライアントセッション生成部8で生成されたクライアントセッションを記録するセッション記憶部9とを備える。
【0022】
又、クライアント装置2は、サーバ装置1に対してログイン動作を行うサーバログイン部10と、サーバ装置1で生成されて送信されるクライアントセッションを受信するとともに解析してアカウント及びパスワードを確認するクライアントセッション受信部11とを備える。このように、サーバ装置1及びクライアント装置2それぞれが構成されるときのネットワークシステムにおける動作を、以下に説明する。
【0023】
サーバ装置1のセッションリスト7において、図2のように、アクセス許可しているクライアント装置2それぞれのネットワーク位置を示すIPアドレス及びアカウントが記憶されている。このとき、ネットワークシステム毎にアクセス許可されたクライアント装置2のIPアドレス及びアカウントが記憶されている。即ち、ネットワークシステムN1では、IPアドレス”192.168.0.101”及び”192.168.0.102”となるクライアント装置2のアカウントが同一の”user1”とされるとともに、IPアドレス”192.168.0.103”となるクライアント装置2のアカウントが”root”とされる。又、ネットワークシステムN2では、IPアドレス”192.168.1.201”、”192.168.1.202”、”192.168.1.203”となるクライアント装置2のアカウントがそれぞれ”user11”、”user12”、”user13”とされる。尚、図2の例では2つのネットワークシステムに対して接続されるものとするが、3つ以上についても同様である。
【0024】
まず、サーバ装置1をネットワークシステムに接続したときのクライアントセッション生成動作について、図3のフローチャートに基づいて説明する。サーバ装置1がネットワークシステムに接続されると、ネットワーク接続制御部3によって接続が確認され、接続したネットワークシステムが確認される(STEP1)。このとき、サーバ装置1は、ネットワーク接続制御部3に格納されている複数のネットワーク接続用ファイルを順番に使用して接続動作を行い、接続可能となったネットワーク接続用ファイルを確認することによって、接続したネットワークシステムを確認する。又、ユーザーによってネットワークシステムを特定する入力が行われて、特定されたネットワークシステムに接続するためのネットワーク接続用ファイルを使用してネットワークシステムに接続し、ネットワークシステムを確認するようにしても構わない。
【0025】
このように接続したネットワークシステムにおいて割り当てられたサーバ装置1のIPアドレスをネットワーク接続制御部3で取得すると、自己ホスト情報記憶部5に記録する(STEP2)。そして、接続したネットワークシステム内でアクセス許可したクライアント装置2に対するクライアントセッションをクライアントセッション生成部8において生成する(STEP3)。
【0026】
このとき、クライアントセッション生成部8に、自己ホスト情報記憶部5にSTEP2で記憶されたIPアドレスと、パスワード生成部6で生成されたパスワードと、セッションリスト7より得られるアカウントが与えられて、IPアドレスとパスワードとアカウントによるクライアントセッションが生成される。又、パスワード生成部6は、図4のように、現在時刻を取得して1次元の数値に変換する時刻処理部15と、時刻処理部15で得られた1次元の数値を種として乱数を発生する乱数発生部16と、乱数発生部16で発生した乱数に基づいて複数のアルファベットや数字による文字列をパスワードとして生成する文字列変換部17とを備える。
【0027】
このような構成のパスワード生成部6では、時刻処理部15において、例えば1970年1月1日0時0分0秒を起点として経過した秒数を1次元の数値として用いる。そして、乱数発生部16において時刻処理部15から与えられた1次元の数値を種として乱数を発生させる。このとき、1つ目に求めた乱数に基づいて文字列変換部17で生成する文字列の文字数を設定し、この文字数分、乱数を発生させる。よって、乱数発生部16で発生された複数の乱数が文字列変換部17に与えられると、この複数の乱数に基づく文字列が設定されてパスワードが生成される。
【0028】
このようにしてクライアントセッションが生成されると、セッション記憶部9において、生成されたクライアントセッションが、送信されるクライアント装置2に対応づけて記録される(STEP4)。このとき、例えば、送信されるクライアント装置2のIPアドレスとともに記録するようにして、送信されるクライアント装置2に対応するように、クライアントセッションが記録されるようにしても構わない。又、このクライアントセッション全体でなく、クライアントセッションを構成するパスワードとアカウントのみがセッション記憶部9に記録されるようにしても構わない。
【0029】
更に、クライアントセッション生成部8で生成されたクライアントセッションは、クライアントセッション生成部8よりクライアント装置2に対して送信される(STEP5)。このとき、クライアントセッションを生成する際に、セッションリスト7よりアカウントとともに得られたクライアント装置2のIPアドレスによってクライアントセッションを送信するクライアント装置2を特定する。そして、このIPアドレスによって特定したクライアント装置2に対して、生成したクライアントセッションを送信する。
【0030】
このように、1つのクライアント装置2に対するクライアントセッションをクライアントセッション生成部8において生成して、セッション記憶部9に記憶するとともにクライアント装置2に送信すると、セッションリスト7を参照してクライアントセッションが生成されていないクライアント装置2を検索する(STEP6)。このとき、クライアントセッションが生成されていないクライアント装置2が確認されると(Yes)、STEP3に移行して、このクライアント装置2に対してクライアントセッションが生成される。又、アクセス許可したクライアント装置2全てに対してクライアントセッションが生成されたことが確認されると(No)、クライアントセッション生成動作を終了する。
【0031】
図3のフローチャートに基づいて動作するとき、まず、サーバ1がネットワーク接続制御部3においてネットワークシステムN1に接続したことが確認する。このとき、サーバ1のIPアドレス”192.168.0.200”を取得すると、自己ホスト情報記憶部5に記録する。そして、ネットワークシステムN1においてアクセス許可したクライアント装置2に対するクライアントセッションを生成する。よって、まず、IPアドレス”192.168.0.101”のクライアント装置2に対するクライアントセッションが生成される。
【0032】
このとき、パスワード生成部6において現在時刻よりパスワード”WKNE0PxcRUIv”といったパスワードが生成されると、IPアドレス”192.168.0.101”のクライアント装置2に対するクライアントセッションは、サーバ装置1のIPアドレス”192.168.0.200”と、アカウント”user1”と、パスワード”WKNE0PxcRUIv”とによって構成される。そして、生成されたクライアントセッションがセッション記憶部9にIPアドレス”192.168.0.101”に対応するように記録されるとともに、IPアドレス”192.168.0.101”のクライアント装置2に送信される。
【0033】
次に、IPアドレス”192.168.0.102”のクライアント装置2に対するクライアントセッションが生成される。このとき、このIPアドレス”192.168.0.102”のクライアント装置2のクライアントセッションが生成開始する際の現在時刻がパスワード生成部6で確認されてパスワードが生成される。そして、この生成されたパスワードと、サーバ装置1のIPアドレス”192.168.0.200”と、アカウント”user1”とによって、クライアントセッションを生成する。このようにして生成されたクライアントセッションがIPアドレス”192.168.0.102”に対応してセッション記憶部9に記録されるとともに、IPアドレス”192.168.0.102”のクライアント装置2に送信される。
【0034】
更に、IPアドレス”192.168.0.103”のクライアント装置2に対するクライアントセッションが生成される。このとき、このIPアドレス”192.168.0.103”のクライアント装置2のクライアントセッションが生成開始する際の現在時刻がパスワード生成部6で確認されてパスワードが生成される。そして、この生成されたパスワードと、サーバ装置1のIPアドレス”192.168.0.200”と、アカウント”root”とによって、クライアントセッションを生成する。このようにして生成されたクライアントセッションがIPアドレス”192.168.0.103”に対応してセッション記憶部9に記録されるとともに、IPアドレス”192.168.0.103”のクライアント装置2に送信される。
【0035】
このIPアドレス”192.168.0.103”のクライアント装置2に対するクライアントセッションが生成されると、ネットワークシステムN1内でアクセス許可したクライアント全てに対してクライアントセッションが生成されたこととなる。よって、図3のフローチャートに基づくクライアントセッション生成動作が終了する。
【0036】
このように、サーバ装置1においてアクセス許可されたクライアント装置2に対してクライアントセッションが生成されて、クライアント装置2に送信されると、クライアントセッションを受信したクライアント装置2それぞれにおいて、図5のフローチャートに基づくログイン処理動作を行う。このクライアント装置2におけるログイン処理動作を、以下に説明する。
【0037】
クライアント2は、クライアントセッションをクライアントセッション受信部11において受信すると(STEP7)、このクライアントセッションを解析して、サーバ装置1のIPアドレスとクライアント装置2に割り当てられたアカウント及びパスワードとを確認する(STEP8)。そして、このとき確認されたIPアドレス及びアカウント及びパスワードをサーバログイン部10に与えると、まず、サーバログイン部10において、IPアドレスによってサーバ装置1を特定し、サーバ装置1にログイン要求を行う(STEP9)。このとき、クライアント装置2に与えられているIPアドレスをサーバ装置1に送信する。その後、サーバ装置1からのアカウント及びパスワードの送信要求がサーバログイン部10で受信されると(STEP10)、STEP8で確認されたアカウント及びパスワードをサーバログイン部10よりサーバ装置1に送信する(STEP11)。
【0038】
即ち、IPアドレス”192.168.0.101”のクライアント装置2が、サーバ装置1からのクライアントセッションをクライアントセッション受信部11において受信すると、サーバ装置1のIPアドレス”192.168.0.200”と、クライアント装置2に対して設定されたアカウント”user1”及びパスワード”WKNE0PxcRUIv”が確認される。そして、このIPアドレス”192.168.0.200”、アカウント”user1”、パスワード”WKNE0PxcRUIv”がサーバログイン部10に与えられると、まず、IPアドレス”192.168.0.200”によってサーバ装置1を特定して、ログイン要求を行うとともに、クライアント装置2のIPアドレス”192.168.0.101”を送信する。
【0039】
その後、サーバ装置1からアカウント及びパスワードの送信が要求されると、アカウント”user1”及びパスワード”WKNE0PxcRUIv”をサーバ装置1に送信する。このようにして、IPアドレス”192.168.0.101”のクライアント装置2がログイン動作を行う。尚、IPアドレス”192.168.0.102”、”192.168.0.103”のクライアント装置2それぞれについても同様の動作を行うことで、サーバ装置1に対してログイン動作を行う。
【0040】
このように、サーバ装置1から送信されるクライアントセッションを受信して、ログイン動作を行っているとき、サーバ装置1では、アクセス許可したクライアント装置2でのみ解除することができる暗号化をクライアントセッションに施して送信するようにしても構わない。このように暗号化されたクライアントセッションをクライアント装置2で受信すると、サーバ装置1によってアクセス許可したクライアント装置2のみがその暗号化を解除することができ、クライアントセッションの内容を解析することができる。
【0041】
又、サーバ装置1では、このようにクライアント装置2からログイン動作を行われるとき、図6のフローチャートに基づく認証動作を行う。このサーバ装置1の認証動作を以下に説明する。
【0042】
クライアント装置2がSTEP9の動作(図5)を行ってログイン要求を行うと、このログイン要求をクライアント装置2のIPアドレスとともにネットワーク接続制御部3で受信する(STEP12)。そして、パスワード及びアカウントを要求する信号をログイン処理部4より送信する(STEP13)。その後、クライアント装置2がSTEP11の動作(図5)を行ってアカウントとパスワードを送信すると、このアカウント及びパスワードをログイン処理部4で受信する(STESP14)。
【0043】
その後、まず、セッションリスト7又はセッション記憶部9によってSTEP12で受信したIPアドレスよりアクセス許可したクライアント装置2であるか否かを確認する(STEP15)。このとき、受信したIPアドレスがアクセス許可したクライアント装置2のIPアドレスに一致すると(Yes)、そのIPアドレスのクライアント装置2に設定したクライアントセッションをセッション記憶部9で確認して、そのクライアントセッションに含まれるアカウント及びパスワードを読み出す(STEP16)。
【0044】
このようにセッション記憶部9よりアカウント及びパスワードを読み出すと、ログイン処理部4では、まず、受信したアカウントとセッション記憶部9からのアカウントとを比較して一致するか否かが確認される(STEP17)。このとき、一致して受信したアカウントが正しいものであることが確認されると(Yes)、受信したパスワードとセッション記憶部9からのパスワードとを比較して一致するか否かが確認される(STEP18)。そして、一致して受信したパスワードが正しいものであることが確認されると(Yes)、クライアント装置2を認証してアクセス権を与える(STEP19)。
【0045】
又、STEP15において受信したIPアドレスよりアクセス許可したクライアント装置でないことが確認されたとき(No)、又は、STEP17において受信したアカウントがセッション記憶部9からのアカウントと一致しなかったとき(No)、又は、STEP18において受信したパスワードがセッション記憶部9からのパスワードと一致しなかったとき(No)、不正なクライアント装置であるとして認証せず、アクセス権を与えない(STEP20)。
【0046】
即ち、IPアドレス”192.168.0.101”のクライアント装置2からログイン要求があるとき、このログイン要求とともにIPアドレス”192.168.0.101”を受信する。そして、アカウント及びパスワードを要求すると、クライアント装置2からアカウント”user1”及びパスワード”WKNE0PxcRUIv”が送信される。そして、まず、IPアドレス”192.168.0.101”よりアクセス許可したクライアント装置2であることを認識する。
【0047】
その後、セッション記憶部9よりIPアドレス”192.168.0.101”のクライアント装置2に対して設定したアカウント”user1”及びパスワード”WKNE0PxcRUIv”を読み出す。よって、受信したアカウント及びパスワードが一致したことを確認するので、IPアドレス”192.168.0.101”のクライアント装置2にアクセス権を与える。サーバ装置1において、このような認証動作がIPアドレス”192.168.0.102”、”192.168.0.103”のクライアント装置2それぞれに対しても行われ、アクセス許可したクライアント装置2全てを認証する。このように認証されたクライアント装置2は、サーバ装置1のデータに自由にアクセス可能となる。尚、このような認証動作を行う際、IPアドレスよりアクセス許可したクライアント装置2であることを確認した後に、アカウント及びパスワードの要求を行うようにしても構わない。
【0048】
このように、サーバ装置1及びクライアント装置2が動作することによって、サーバ装置1のセッションリスト7に登録されていない情報処理装置は、サーバ装置1よりクライアントセッションを受信することがなく、サーバ装置1にアクセスすることができない。又、アカウントを詐称して不正なアクセスが成されたとしても、サーバ装置1がネットワークに接続されるたびにパスワードが生成されるため、パスワードまで詐称することができない。よって、サーバ装置1への不正なアクセスを防ぐことができる。
【0049】
【発明の効果】
本発明によると、サーバ用ホスト情報などのサーバ装置となる情報処理装置に関する情報を、接続するネットワークシステムそれぞれに格納させる必要がないため、この情報処理装置に関する情報がネットワークシステムより漏洩することがなく、ネットワークシステムにおける安全性を高くすることができる。又、アクセス許可した情報処理装置を認証するための認証情報を、ネットワークシステムに接続するたびに生成するため、ネットワークシステムにおける安全性をより高くすることができる。
【図面の簡単な説明】
【図1】本発明の実施形態における情報処理装置によるネットワークシステムの構成を示すブロック図。
【図2】図1におけるサーバ装置内のセッションリストの構成を示す図。
【図3】図1におけるサーバ装置のクライアントセッション生成動作を示すフローチャート。
【図4】図1におけるサーバ装置内のパスワード生成部の構成を示すブロック図。
【図5】図1におけるクライアント装置のログイン動作を示すフローチャート。
【図6】図1におけるサーバ装置の認証動作を示すフローチャート。
【図7】従来の情報処理装置によるネットワークシステムの構成を示すブロック図。
【符号の説明】
1 サーバ装置
2 クライアント装置
3 ネットワーク接続制御部
4 ログイン処理部
5 自己ホスト情報記憶部
6 パスワード生成部
7 セッションリスト
8 クライアントセッション生成部
9 セッション記憶部
10 サーバログイン部
11 クライアントセッション受信部
Claims (8)
- 自機器にアクセス許可したクライアントとなる情報処理装置をネットワークシステム上で特定するクライアント用ホスト情報を複数記録したホスト情報記録部と、
前記クライアントとなる情報処理装置それぞれを認証するための認証情報を生成する認証情報生成部と、
を備え、
前記ネットワークシステムに接続されたとき、当該ネットワークシステム上で自機器が特定されるサーバ用ホスト情報を取得するとともに、前記認証情報生成部において前記クライアントとなる情報処理装置それぞれに対する認証情報を生成し、前記クライアントとなる情報処理装置それぞれに対して、前記サーバ用ホスト情報と前記クライアントとなる各情報処理装置の認証情報とを送信することを特徴とする情報処理装置。 - 前記クライアントとなる情報処理装置それぞれから認証情報を受信するとともに、受信した当該認証情報と前記認証情報生成部で生成した前記認証情報とを比較することによって認証を行う認証部を備えることを特徴とする請求項1に記載の情報処理装置。
- 前記認証生成部において、前記認証情報を生成開始する時刻に基づいて前記認証情報を生成することを特徴とする請求項1または請求項2に記載の情報処理装置。
- ネットワークシステムに接続されたサーバとなる情報処理装置においてアクセスが許可され、当該サーバとなる情報処理装置のクライアントとなる情報処理装置において、
前記サーバとなる情報処理装置を前記ネットワークシステム上で特定するサーバ用ホスト情報と前記サーバとなる情報処理装置での認証に利用される認証情報とを受信した後、
前記サーバ用ホスト情報によって特定した前記サーバとなる情報処理装置に対して、前記認証情報を送信することを特徴とする情報処理装置。 - 請求項1〜請求項3のいずれかに記載の情報処理装置をサーバとするとともに、請求項4に記載の情報処理装置をクライアントとすることを特徴とするネットワークシステム。
- サーバとなる情報処理装置と当該サーバとなる情報処理装置によってアクセスが許可されたクライアントとなる複数の情報処理装置とによって構成されるネットワークシステムにおける前記クライアントとなる情報処理装置の認証方法において、
前記サーバとなる情報処理装置が前記ネットワークシステムに接続されて、前記サーバとなる情報処理装置を前記ネットワークシステム上で特定するサーバ用ホスト情報が前記サーバとなる情報処理装置で取得される第1ステップと、
前記サーバとなる情報処理装置が前記クライアントとなる情報処理装置それぞれに対して認証動作を行う際に使用する認証情報を生成する第2ステップと、
前記サーバとなる情報処理装置が前記クライアントとなる情報処理装置それぞれに対して、前記第1ステップで得られた前記サーバ用ホスト情報と前記第2ステップで生成された前記認証情報とを送信する第3ステップと、
前記クライアントとなる情報処理装置それぞれが、前記第3ステップで前記サーバとなる情報処理装置から送信された前記サーバ用ホスト情報と前記認証情報とを受信する第4ステップと、
前記クライアントとなる情報処理装置それぞれが、前記第4ステップで受信された前記サーバ用ホスト情報によって特定される前記サーバとなる情報処理装置に対して、同じく前記第4ステップで受信された前記クライアントとなる情報処理装置それぞれに対して生成された前記認証情報を送信する第5ステップと、
前記サーバとなる情報処理装置が、前記第5ステップにおいて前記クライアントとなる情報処理装置それぞれから送信された前記認証情報に基づいて前記クライアントとなる情報処理装置の認証を行う第6ステップと、
によって構成されることを特徴とする認証方法。 - 前記第3ステップにおいて、前記認証情報を生成開始する時刻に基づいて前記認証情報を生成することを特徴とする請求項6に記載の認証方法。
- 請求項6又は請求項7に記載の認証方法を利用して、前記サーバとなる情報処理装置が前記クライアントとなる情報処理装置の認証を行うことを特徴とするネットワークシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002332984A JP2004171071A (ja) | 2002-11-18 | 2002-11-18 | 情報処理装置及び認証方法及びネットワークシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002332984A JP2004171071A (ja) | 2002-11-18 | 2002-11-18 | 情報処理装置及び認証方法及びネットワークシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004171071A true JP2004171071A (ja) | 2004-06-17 |
| JP2004171071A5 JP2004171071A5 (ja) | 2006-02-16 |
Family
ID=32697819
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002332984A Pending JP2004171071A (ja) | 2002-11-18 | 2002-11-18 | 情報処理装置及び認証方法及びネットワークシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004171071A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006190076A (ja) * | 2005-01-06 | 2006-07-20 | Nec Corp | リスト管理サーバ、リスト管理システム、リスト管理方法およびプログラム |
| US7701598B2 (en) | 2004-12-28 | 2010-04-20 | Kyocera Mita Corporation | Image forming device and storage medium storing control program for image forming device |
-
2002
- 2002-11-18 JP JP2002332984A patent/JP2004171071A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7701598B2 (en) | 2004-12-28 | 2010-04-20 | Kyocera Mita Corporation | Image forming device and storage medium storing control program for image forming device |
| JP2006190076A (ja) * | 2005-01-06 | 2006-07-20 | Nec Corp | リスト管理サーバ、リスト管理システム、リスト管理方法およびプログラム |
| JP4544417B2 (ja) * | 2005-01-06 | 2010-09-15 | 日本電気株式会社 | リスト管理サーバ、リスト管理システム、リスト管理方法およびプログラム |
| US7814120B2 (en) | 2005-01-06 | 2010-10-12 | Nec Corporation | List management server for managing updating of list by third-party terminal, list management system, list managing method, and program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8484708B2 (en) | Delegating authentication using a challenge/response protocol | |
| US9954687B2 (en) | Establishing a wireless connection to a wireless access point | |
| CN110049016B (zh) | 区块链的数据查询方法、装置、系统、设备及存储介质 | |
| US8347403B2 (en) | Single point authentication for web service policy definition | |
| US8532620B2 (en) | Trusted mobile device based security | |
| US20090158033A1 (en) | Method and apparatus for performing secure communication using one time password | |
| US9762567B2 (en) | Wireless communication of a user identifier and encrypted time-sensitive data | |
| US20040186880A1 (en) | Management apparatus, terminal apparatus, and management system | |
| EP2278523A2 (en) | Network access protection | |
| CN108880822A (zh) | 一种身份认证方法、装置、系统及一种智能无线设备 | |
| JP2007102778A (ja) | ユーザ認証システムおよびその方法 | |
| CA2516718A1 (en) | Secure object for convenient identification | |
| CN112491881A (zh) | 跨平台单点登录方法、系统、电子设备及存储介质 | |
| JP2013541908A (ja) | ユーザアカウント回復 | |
| JP7170550B2 (ja) | 管理装置およびその制御方法 | |
| JP2006215795A (ja) | サーバ装置、制御方法およびプログラム | |
| KR100858146B1 (ko) | 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치 | |
| KR102372503B1 (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
| CN109729045B (zh) | 单点登录方法、系统、服务器以及存储介质 | |
| JP4998314B2 (ja) | 通信制御方法および通信制御プログラム | |
| CN110807210B (zh) | 一种信息处理方法、平台、系统及计算机存储介质 | |
| JP2016139910A (ja) | 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム | |
| KR20100053703A (ko) | Otp 클라이언트기반의 공중 무선랜 서비스망 사용자 인증 시스템 및 방법 | |
| CN112565209B (zh) | 一种网元设备访问控制方法及设备 | |
| KR100993333B1 (ko) | 인터넷 접속 도구를 고려한 사용자 인증 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051118 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051219 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20070822 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090203 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090224 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090825 |