JP2005020668A - Network communication program and network communication card - Google Patents

Network communication program and network communication card Download PDF

Info

Publication number
JP2005020668A
JP2005020668A JP2003186375A JP2003186375A JP2005020668A JP 2005020668 A JP2005020668 A JP 2005020668A JP 2003186375 A JP2003186375 A JP 2003186375A JP 2003186375 A JP2003186375 A JP 2003186375A JP 2005020668 A JP2005020668 A JP 2005020668A
Authority
JP
Japan
Prior art keywords
server
lan
identification information
access point
lan card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003186375A
Other languages
Japanese (ja)
Inventor
Yu Kitamura
祐 北村
Jiro Nishiyama
治朗 西山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SWCC Corp
Original Assignee
Showa Electric Wire and Cable Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Showa Electric Wire and Cable Co filed Critical Showa Electric Wire and Cable Co
Priority to JP2003186375A priority Critical patent/JP2005020668A/en
Publication of JP2005020668A publication Critical patent/JP2005020668A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a card utilization communication system which can freely make a connection to an in-house LAN at a place enabling connecting environments to a wireless LAN and can retain sufficient security. <P>SOLUTION: The following processing is executed: processing for receiving an automatically added IP address and establishing an Internet connection when user information is transmitted from a terminal having a LAN card to a given Internet access point (hereinafter, referred to as an IAP), processing for requesting a specific server to make a connection to a managed LAN through the IAP, processing for transmitting encrypted user information to the server in response to a request from the server, the user information being different from information having been transmitted to the IAP, and processing for establishing a network connection after authenticating the server. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、インターネットを通じて社内LANと接続をし、社外においても、社内にいるのと同様の環境でLANが利用できる、ネットワーク通信プログラムとネットワーク通信カードに関する。
【0002】
【従来の技術】
イントラネットと呼ばれる企業内ネットワークでは、各端末装置にそれぞれ所定のIPアドレス(Internet Protocol Address)を設定しユーザ識別情報やパスワードを使用して、一定のセキュリティを保持した通信が行われるようになっている。無線LANを採用する場合にも、各端末装置にLANカードを装着し、同様のネットワークを構築する(特許文献1)。
【0003】
【特許文献1】
特開2001−333107号公報
【0004】
【発明が解決しようとする課題】
ところで、上記のような従来の技術には、次のような解決すべき課題があった。
近年、ホテルや駅あるいは、レストランなどにおいて、ホットスポットと呼ばれる、無線LANを利用したブロードバンド通信の可能なサービスが次々と開始されている。このホットスポットでは、貸与された無線LANカードをユーザの携帯するコンピュータに装着することによって、ブロードバンド無線通信が可能になる。無線LANカードを内蔵しているコンピュータはそのまま利用できる。LANカードは、指定されたアクセスポイントを通じて認証サーバに接続要求をする。認証サーバでは、LANカードを認識し、一定の認証手順を経て、IPアドレスを付与する。これによって、ユーザの所持する携帯用のパーソナルコンピュータがネットワークに接続される。
【0005】
企業に所属するものが、出張先等の企業外において、企業内のネットワークと接続しようとすれば、例えば、PHS(Personal Handy−phone System)を用いた携帯電話ネットワークを利用する。しかしながら、通信速度は、64キロバイトであり、ブロードバンドに比べて遅い上に、通信料が高価である、という問題がある。上記のようなホットスポットにおいて、ブロードバンドを利用した通信が行えるようにすることが好ましい。
【0006】
本発明は以上の点に着目してなされたもので、無線LANネットワークへの接続環境が提供される場所で自由に社内LANに接続をし、かつ、十分なセキュリティを保持することができるカード利用通信システムを提供することを目的とする。
【0007】
【課題を解決するための手段】
本発明は次の構成により上記の課題を解決する。
〈構成1〉
LANカードを装着した端末装置から、任意のインターネットアクセスポイントに対して、ユーザ識別情報と暗証情報とが送信されたとき、自動的に付与されるIPアドレスを受け入れて、上記インターネットアクセスポイントを通じたインターネット接続を確立させる処理と、上記インターネットアクセスポイントを通じて、特定のサーバに対して、当該サーバの管理するLANへの接続要求をする処理と、上記サーバからの要求に従って、予め、上記LANカード内の読み出し専用記録領域に記録された暗号化されたユーザ識別情報と暗証情報であって、上記インターネットアクセスポイントに送出したものとは異なるものを、上記サーバに送信する処理と、上記サーバの認証処理後に、上記LANを通じたネットワーク接続を確立させる処理とを実行することを特徴とするネットワーク通信プログラム。
【0008】
このユーザは、特定のサーバの管理するLANに接続をしてネットワーク通信をする。そのために、LANカードを使用する。LANカード内には、予め、読み出し専用記録領域に、暗号化されたユーザ識別情報と暗証情報が記録されている。読み出し専用記録領域は、特定の情報書き込み装置のみにより情報の読み書きが可能な領域であって、常時は自由に情報の読み書きをすることができない領域である。ハードウエア構成は任意である。ここに、LANカードとその持ち主を特定し認証処理することができるユーザ識別情報と暗証情報とが、暗号化して書き込まれる。従って、LAN接続のためのユーザ識別情報と暗証情報の秘密が保護される。インターネットを通じてサーバと接続をするときは、予め任意のインターネットアクセスポイントとインターネットへの接続を確立しておく。このときは、一般のサービスプロバイダと契約をして取得したユーザ識別情報と暗証情報を使用する。その後、特定のサーバにログインをする。このとき、サーバからログイン用のユーザ識別情報と暗証情報が要求される。そのユーザ識別情報と暗証情報は、LANカード内に暗号化されて書き込まれているから、サーバ以外は読み取ることができない。サーバの認証処理後は、LANに接続された端末装置として任意の通信処理が許容される。
【0009】
〈構成2〉
構成1に記載のネットワーク通信プログラムにおいて、上記LANカードには、そのLANカードを特定するMACアドレスが記録されており、上記特定のサーバでは、上記暗号化されたユーザ識別情報と暗証情報に加えて、上記MACアドレスが登録されていることを認証処理の条件とすることを特徴とするネットワーク通信プログラム。
【0010】
ユーザ識別情報と暗証情報とMACアドレスとが一致したときのみ認証されるようにすると、そのLANカードを使用した端末装置だけが通信可能になる。故に、セキュリティがより高まる。
【0011】
〈構成3〉
インターネットアクセスポイントを通じて特定のサーバにより読み取られて認証処理に使用されるものであって、暗号化されたユーザ識別情報と暗証情報を、固有の手順で記録した、読み出し専用記録領域を備えることを特徴とするLANカード。
【0012】
暗号化されたユーザ識別情報と暗証情報は、例えば、記憶装置上のアドレスであって、上記特定のサーバのみが知るアドレスに記録される。固有の手順とは最も基本的な方法では読み出すことができない手順であればよく、読み出し開始アドレスをシフトさせておくだけでもよい。
【0013】
【発明の実施の形態】
以下、本発明の実施の形態を具体例を用いて説明する。
図1は、本発明のネットワーク通信カードを使用した通信開始手順を示すシーケンスチャートである。
VPN(Virtual Private Network)サーバ11は、社内LANへの接続を管理するサーバである。アクセスポイントサーバ12は、ホットスポットなどに設けられているサーバである。端末装置13を利用してこのホットスポットを経由して社内LANに接続をし、通信を行おうとする。この図1のシーケンスを説明する前に、図2を用いて端末装置に装着されるLANカードの構成やシステム全体の構成を説明する。
【0014】
図2(a)は、端末装置13に接続されるLANカード20のブロック構造図である。また、図2(b)は、ネットワーク上で使用されるアドレスの説明図である。
LANカード20には、暗号化されたユーザ識別情報と暗証情報を含むユーザ情報21が記録されている。これは、後で説明するようにLANカード20に設けられたメモリの所定のアドレスに記録される。ユーザ識別情報というのは、いわゆるユーザIDのことである。このユーザIDは、専ら社内LANに使用される。暗証情報も専ら社内LANに使用されるパスワードである。
【0015】
LANカード20には、この他にMACアドレス(Media Access Control address)22が記憶されている。これは、LANカードに製造時に付与されるユニークなアドレスである。このアドレスを用いると、全てのLANカードを区別することが可能になる。即ち、同一のMACアドレスを持つLANカードを所有している利用者が一人しかいない。従って、LANカード20を所持する利用者が正当な利用者である以上、本人を識別するために利用できる。ネットワーク接続部23は、アンテナ24を通じて無線LANと接続する環境を設定する動作を行う部分である。LANカード20は、モバイルコンピュータなどからなる端末装置13に装着される。
【0016】
端末装置13では、通信制御プログラム15を動作させて、無線LANとの接続を開始し、さらに、インターネットを通じて社内LANとの接続を制御する。なお、図2(b)に示すように、端末装置13は、インターネット上では、インターネットで使用されるユニークなアドレス(IPアドレス)であるグローバルアドレスを使用して通信を行う。一方、社内LANにおいては、インターネット上では通用しないが、社内LAN中で通用する所定のプライベートアドレスが通信に利用される。このアドレスもIPアドレスの一種である。VPNサーバ11においては、アドレス変換テーブル30を用意し、プライベートアドレスと端末装置13のグローバルアドレスとの対応関係を情報として保持し、端末装置13をあたかもLANに直接接続された端末装置であるように動作させる。
【0017】
図3は、ネットワークの具体的な構成例を示す説明図である。
図3に示すように、インターネットなどのネットワークには、上記のVPNサーバ11が接続されている。VPNサーバ11は、社内に設けられたLAN6を通じて、様々な端末装置3、4、5と外部との通信を制御する。インターネット1には、ホットスポットなどに設けられたアクセスポイントにあるサーバ12が接続されている。このサーバ12は、無線送受信装置17を利用して、多数の端末装置と接続される。端末装置13には、LANカード20が装着されている。無線送受信装置17のアンテナ18とLANカード20のアンテナ24を利用して、無線通信が行われ、端末装置13が無線によりアクセスポイントサーバ12と通信をし、接続される。
【0018】
以上のシステムでは、予め社内のLAN6(ローカルエリアネットワーク)で、例えば、無線LANが可能なネットワークカードを利用することができる環境を整えておく。そのネットワークカード20を従業員が自分の携帯型端末装置13に装着して外出したとする。外出先のホットスポットで、先ず、仮に与えられたユーザID(U−ID)とパスワード(暗証情報;PASS)を用いて、アクセスポイントに接続し、サーバ12をアクセスして、インターネット1への接続許可を得る。無償で利用できるホットスポットの場合にはユーザIDとパスワードがその場で与えられる。予め利用契約をしているホットスポットの場合にはユーザIDとパスワードを利用者側で準備しておく。
【0019】
図1において、先ず始めに端末装置13をホットスポットにおいて起動し、ステップS1でアクセスポイントサーバ12に対し接続要求を行う。アクセスポイントサーバ12は、端末装置13に対し、IDリクエストを行う(ステップS2)。端末装置13は、用意されたユーザIDとパスワードをアクセスポイントサーバ12に送信する。このユーザIDとパスワードは、アクセスポイントを経由したインターネットの接続のみに利用されればよい。その後、ステップS4で、端末装置13によるインターネットへの接続が確立する。
【0020】
こうしてインターネット1への接続を確立した後、企業のVPNサーバ11に対し、接続要求を行う。VPNは、バーチャルプライベートネットワークと呼ばれ、インターネットや公衆回線などを利用して、仮想的な専用回線を構築する。通信は、暗号化処理により行う。ネットワークカード20から接続要求がインターネット1を通じてVPNサーバ11に達すると、ステップS6で、VPNサーバ11からユーザIDを要求するIDリクエストが送信される。ステップS7で、ネットワークカードからは、暗号化されたユーザID(U−ID)とパスワード(PASS)とがVPNサーバに送信される。VPNサーバ11では、この内容を受信して、予め登録された管理データを利用して認証処理を行い(ステップS8)、端末装置13に認証通知を行う(ステップS9)。
【0021】
認証処理が完了すると、サーバの管理するLANと従業員の端末装置13との接続が確立される。ここで、改めて、VPNサーバでは、従業員の端末装置13に対し、プライベートアドレスの設定を行う(ステップS10)。端末装置13をインターネットに接続した時点ではグローバルアドレスが設定されている。即ち、既にインターネット上で有効なユニークなIPアドレスが設定されている。一方、社内のLAN上に接続されたのと同様の動作環境を得るために、社内LAN固有のIPアドレスであるプライベートアドレスが設定される。このプライベートアドレスはインターネット上ではその機能を保証されていないから、アドレス変換テーブル30等をVPNサーバ11側で用意すればよい。
【0022】
この接続は、ホットスポットにおけるブロードバンドネットワーク接続システムを利用するため、高速で快適な通信環境が設定できる。従って、図1のステップS11で従業員の端末装置を社内のLANに対して、社内にいるのと同様の動作環境で接続することが可能になる。
【0023】
図4は、よりセキュリティを高めたシステムの具体例を示す説明図である。図4(a)は、VPNサーバ側に設けられた認証テーブル30を示す。ここには、予め従業員のユーザID31と暗証コード32とMACアドレス33とを関連付けたデータを記憶しておく。外部から接続すると予想される全ての従業員についてこうしたデータを記録しておく。なお、MACアドレス33は、LANカードを特定するアドレスである。これは、例えば、LANカードを共用する従業員がいれば、同一のものが重複していても構わない。
【0024】
この例では、ユーザID31と暗証コード32とMACアドレス33の組み合わせによってどの従業員がアクセスを要求しているかを特定し、認証処理を実行する。図4(b)に示したフローチャートは、そのVPNサーバに送る認証処理を説明するためのものである。先ず、ステップS21において、利用者の端末装置から利用要求を受信するとステップS22において、LANカードの中に書き込まれた暗号化されたユーザIDと暗証コードの読み取り手順を取得する。これは、VPNサーバの所定の記憶装置に記憶しておけばよい。
【0025】
この手順は、例えば、読み出し開始アドレスを指定したり、あるいは、メモリ中に何らかの特別な読み出し手順が記憶されているようなものでもよい。もちろん暗号化によって単にそのまま読み出されたとしても直ちにユーザIDと暗証コードを第三者に知られることはない。しかしながら、より高いセキュリティを図るために、このような方法をとる。ステップS23では、暗号化ユーザIDとパスワードを取得する。
【0026】
なお、形式的には、VPNサーバがLANカードの所定の領域のデータを読むという動作になるが、実際には、VPNサーバから所定のアドレスに記録されたデータの要求を行い、LANカードを制御する。端末装置の通信プログラムが、該当する部分のデータを読み出して、VPNサーバに送るという手順が実行される。VPNサーバは、そのユーザIDと暗証コードを受信すると、ステップS24において、予め用意されたプログラムを用いて暗号を解読する。
【0027】
次にステップS25において、LANカードのMACアドレスを取得する。これもユーザIDや暗証コードを取得したのと同様の手順で行えばよい。ステップS26では、図4(a)に示した認証テーブル30を参照して、本人確認を行う。ここで、認証が確立すると、ステップS27からステップS28に進み、通信を開始するためにプライベートアドレスを設定する。認証されない場合には、エラーメッセージの送信といったエラー処理が行われる。プライベートアドレス設定後は、ステップS29において認証通知が行われる。こうして、図1のステップS11に示したような状態になり、端末装置からLANを自由に利用できることになる。
【0028】
また、認証処理に、例えば、LANカードのMACアドレスを利用する。MACアドレスは、LANカード固有のアドレスであって、ユーザIDや暗証情報と組み合わせることによってユーザ認証をいっそう確実にできる。また、ネットワークカードのROMに、暗号化されたユーザIDと暗号化された暗証情報とを書き込んでおき、これをVPNサーバで読み出すようにすれば、非常にセキュリティの高いログイン処理が可能になる。特に、決められただけ書き込みアドレスをシフトさせたり、複雑な書き込み手順を予め決めておけば、LANカードから、悪意の第三者が暗号化されたユーザIDと暗号化された暗証情報を容易に読み出すことができない。このようなカードへの暗号化パスワード書き込み処理などは、特定の定められた端末装置でのみ行えるようにするとよい。
【0029】
以上のようなLANカードを利用することにより、例えば、ホテルやレストラン、空港、鉄道の駅、など様々な場所に設けられたホットスポットを利用し、自社のLANに接続をして、任意の業務が可能になる。また、他の会社の企業内ネットワークを利用して、いわゆる企業内ホットスポットを通じた通信も可能になる。
【0030】
なお、上記のコンピュータプログラムは、それぞれ独立したプログラムモジュールを組み合わせて構成してもよいし、全体を一体化したプログラムにより構成してもよい。コンピュータプログラムにより制御される処理の全部または一部を同等の機能を備えるハードウエアで構成しても構わない。また、上記のコンピュータプログラムは、既存のアプリケーションプログラムに組み込んで使用してもよい。上記のような本発明を実現するためのコンピュータプログラムは、例えばCD−ROMのようなコンピュータで読み取り可能な記録媒体に記録して、任意の情報処理装置にインストールして利用することができる。また、ネットワークを通じて任意のコンピュータのメモリ中にダウンロードして利用することもできる。
【図面の簡単な説明】
【図1】本発明に係るネットワーク通信カードを使用した通信開始手順を示すシーケンスチャートである。
【図2】LANカード及びシステム全体の各構成を示す図で、(a)は端末装置に接続されるLANカードのブロック図、(b)はネットワーク上で使用されるアドレスの説明図である。
【図3】ネットワークの具体的な構成例を示す説明図である。
【図4】セキュリティを高めたシステムの具体例を示す図で、(a)はVPNサーバ側に設けられた認証テーブルを示す説明図、(b)はそのVPNサーバに送る認証処理を説明するためのフローチャートである。
【符号の説明】
11 VPNサーバ
12 アクセスポイントサーバ
13 端末装置
15 通信制御プログラム
17 無線送受信装置
18、24 アンテナ
20 LANカード
21 ユーザ情報
22 MACアドレス
23 ネットワーク接続部
30 アドレス変換テーブル
31 ユーザID
32 暗証コード
33 MACアドレス[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a network communication program and a network communication card that connect to an in-house LAN through the Internet and can use the LAN outside the company in the same environment as in the office.
[0002]
[Prior art]
In an intra-company network called an intranet, a predetermined IP address (Internet Protocol Address) is set for each terminal device, and communication with a certain level of security is performed using user identification information and a password. . Even when a wireless LAN is employed, a LAN card is attached to each terminal device to construct a similar network (Patent Document 1).
[0003]
[Patent Document 1]
JP 2001-333107 A
[Problems to be solved by the invention]
By the way, the conventional techniques as described above have the following problems to be solved.
In recent years, services capable of broadband communication using a wireless LAN called hot spots have been started one after another at hotels, stations, restaurants, and the like. In this hot spot, broadband wireless communication becomes possible by installing a lent wireless LAN card in a computer carried by the user. Computers with built-in wireless LAN cards can be used as they are. The LAN card issues a connection request to the authentication server through the designated access point. The authentication server recognizes the LAN card and assigns an IP address through a certain authentication procedure. Thus, the portable personal computer owned by the user is connected to the network.
[0005]
If a person belonging to a company wants to connect to a network in the company outside the company such as a business trip destination, for example, a cellular phone network using PHS (Personal Handy-phone System) is used. However, there is a problem that the communication speed is 64 kilobytes, which is slower than the broadband and the communication fee is expensive. It is preferable to enable communication using broadband in the hot spot as described above.
[0006]
The present invention has been made paying attention to the above points, and the use of a card that can freely connect to an in-house LAN in a place where a connection environment to a wireless LAN network is provided and can maintain sufficient security. An object is to provide a communication system.
[0007]
[Means for Solving the Problems]
The present invention solves the above problems by the following configuration.
<Configuration 1>
When user identification information and personal identification information are transmitted from a terminal device equipped with a LAN card to an arbitrary Internet access point, an IP address automatically assigned is accepted and the Internet through the Internet access point is accepted. A process for establishing a connection, a process for requesting a connection to a LAN managed by the server through the Internet access point, and reading in the LAN card in advance according to a request from the server The process of transmitting the encrypted user identification information and password information recorded in the dedicated recording area to the server different from the one sent to the Internet access point, and the authentication process of the server, Establish a network connection through the LAN Network communication program and executes the process.
[0008]
This user connects to a LAN managed by a specific server and performs network communication. For this purpose, a LAN card is used. In the LAN card, encrypted user identification information and personal identification information are recorded in advance in a read-only recording area. The read-only recording area is an area where information can be read and written only by a specific information writing device, and information cannot be freely read and written at all times. The hardware configuration is arbitrary. Here, user identification information and personal identification information that can identify and authenticate the LAN card and its owner are written in encrypted form. Therefore, the secret of the user identification information and password information for LAN connection is protected. When connecting to a server via the Internet, a connection to an Internet access point is established in advance. At this time, user identification information and personal identification information obtained by contracting with a general service provider are used. Then log in to a specific server. At this time, login server identification information and personal identification information are requested from the server. Since the user identification information and the password information are encrypted and written in the LAN card, only the server can read them. After the server authentication process, an arbitrary communication process is allowed as a terminal device connected to the LAN.
[0009]
<Configuration 2>
In the network communication program according to Configuration 1, the LAN card stores a MAC address that identifies the LAN card. In the specific server, in addition to the encrypted user identification information and password information, A network communication program characterized in that the MAC address is registered as a condition for authentication processing.
[0010]
If authentication is performed only when the user identification information, the password information, and the MAC address match, only the terminal device using the LAN card can communicate. Therefore, security is further increased.
[0011]
<Configuration 3>
A read-only recording area that is read by a specific server through an Internet access point and used for authentication processing, and that records encrypted user identification information and personal identification information in a unique procedure. LAN card.
[0012]
The encrypted user identification information and personal identification information are recorded, for example, at addresses on the storage device and only known by the specific server. The unique procedure may be a procedure that cannot be read by the most basic method, and it is only necessary to shift the read start address.
[0013]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described using specific examples.
FIG. 1 is a sequence chart showing a communication start procedure using the network communication card of the present invention.
A VPN (Virtual Private Network) server 11 is a server that manages connection to an in-house LAN. The access point server 12 is a server provided in a hot spot or the like. The terminal device 13 is used to connect to the in-house LAN via this hot spot and try to communicate. Before describing the sequence of FIG. 1, the configuration of the LAN card mounted on the terminal device and the configuration of the entire system will be described with reference to FIG.
[0014]
FIG. 2A is a block structure diagram of the LAN card 20 connected to the terminal device 13. FIG. 2B is an explanatory diagram of addresses used on the network.
The LAN card 20 stores user information 21 including encrypted user identification information and personal identification information. This is recorded at a predetermined address in a memory provided in the LAN card 20 as will be described later. The user identification information is a so-called user ID. This user ID is exclusively used for the in-house LAN. The password information is also a password used exclusively for the in-house LAN.
[0015]
In addition, a MAC address (Media Access Control address) 22 is stored in the LAN card 20. This is a unique address assigned to the LAN card at the time of manufacture. If this address is used, all LAN cards can be distinguished. That is, there is only one user who owns a LAN card having the same MAC address. Therefore, as long as the user who owns the LAN card 20 is a valid user, it can be used to identify the person. The network connection unit 23 is a part that performs an operation of setting an environment for connection to the wireless LAN through the antenna 24. The LAN card 20 is attached to a terminal device 13 composed of a mobile computer or the like.
[0016]
The terminal device 13 starts the connection with the wireless LAN by operating the communication control program 15 and further controls the connection with the in-house LAN through the Internet. As shown in FIG. 2B, on the Internet, the terminal device 13 performs communication using a global address that is a unique address (IP address) used on the Internet. On the other hand, the in-house LAN does not work on the Internet, but a predetermined private address that works in the in-house LAN is used for communication. This address is also a kind of IP address. In the VPN server 11, an address conversion table 30 is prepared, the correspondence between the private address and the global address of the terminal device 13 is held as information, and the terminal device 13 is as if it is a terminal device directly connected to the LAN. Make it work.
[0017]
FIG. 3 is an explanatory diagram illustrating a specific configuration example of the network.
As shown in FIG. 3, the VPN server 11 is connected to a network such as the Internet. The VPN server 11 controls communication between the various terminal devices 3, 4, 5 and the outside through a LAN 6 provided in the company. A server 12 at an access point provided in a hot spot or the like is connected to the Internet 1. The server 12 is connected to a large number of terminal devices using a wireless transmission / reception device 17. A LAN card 20 is attached to the terminal device 13. Wireless communication is performed using the antenna 18 of the wireless transmission / reception device 17 and the antenna 24 of the LAN card 20, and the terminal device 13 communicates with the access point server 12 wirelessly and is connected.
[0018]
In the above system, an environment in which, for example, a network card capable of wireless LAN can be used in the in-house LAN 6 (local area network) is prepared. It is assumed that the employee goes out with the network card 20 attached to his / her portable terminal device 13. At a hot spot outside the office, first, a user ID (U-ID) and a password (password information; PASS) are used to connect to the access point, access the server 12, and connect to the Internet 1. get permission. In the case of a hot spot that can be used free of charge, a user ID and a password are given on the spot. In the case of a hot spot for which a use contract has been made in advance, a user ID and a password are prepared on the user side.
[0019]
In FIG. 1, first, the terminal device 13 is activated in a hot spot, and a connection request is made to the access point server 12 in step S1. The access point server 12 makes an ID request to the terminal device 13 (step S2). The terminal device 13 transmits the prepared user ID and password to the access point server 12. This user ID and password need only be used for Internet connection via an access point. Thereafter, in step S4, connection to the Internet by the terminal device 13 is established.
[0020]
After establishing a connection to the Internet 1 in this way, a connection request is made to the corporate VPN server 11. The VPN is called a virtual private network, and constructs a virtual dedicated line using the Internet or a public line. Communication is performed by encryption processing. When a connection request from the network card 20 reaches the VPN server 11 through the Internet 1, an ID request for requesting a user ID is transmitted from the VPN server 11 in step S6. In step S7, the encrypted user ID (U-ID) and password (PASS) are transmitted from the network card to the VPN server. The VPN server 11 receives this content, performs authentication processing using pre-registered management data (step S8), and notifies the terminal device 13 of authentication (step S9).
[0021]
When the authentication process is completed, a connection between the LAN managed by the server and the terminal device 13 of the employee is established. Here, in the VPN server, a private address is set for the employee terminal device 13 (step S10). When the terminal device 13 is connected to the Internet, a global address is set. That is, a unique IP address effective on the Internet has already been set. On the other hand, in order to obtain the same operating environment as that connected to the in-house LAN, a private address that is an IP address unique to the in-house LAN is set. Since the function of this private address is not guaranteed on the Internet, the address conversion table 30 or the like may be prepared on the VPN server 11 side.
[0022]
Since this connection uses a broadband network connection system at a hot spot, a high-speed and comfortable communication environment can be set. Accordingly, in step S11 in FIG. 1, the employee terminal device can be connected to the in-house LAN in the same operating environment as in the office.
[0023]
FIG. 4 is an explanatory diagram showing a specific example of a system with higher security. FIG. 4A shows an authentication table 30 provided on the VPN server side. Here, data in which the user ID 31 of the employee, the password 32 and the MAC address 33 are associated in advance is stored. Record this data for all employees expected to connect from outside. The MAC address 33 is an address that identifies a LAN card. For example, if there are employees who share a LAN card, the same thing may be duplicated.
[0024]
In this example, the employee is requested to access by the combination of the user ID 31, the password 32, and the MAC address 33, and the authentication process is executed. The flowchart shown in FIG. 4B is for explaining the authentication process sent to the VPN server. First, when a use request is received from the user's terminal device in step S21, a reading procedure of the encrypted user ID and password written in the LAN card is acquired in step S22. This may be stored in a predetermined storage device of the VPN server.
[0025]
This procedure may be such that, for example, a read start address is designated or some special read procedure is stored in the memory. Of course, even if the data is simply read as it is by encryption, the user ID and the password are not immediately known to a third party. However, such a method is adopted in order to achieve higher security. In step S23, an encrypted user ID and password are acquired.
[0026]
Note that the VPN server reads the data in a predetermined area of the LAN card, but in reality, the VPN server requests the data recorded at a predetermined address and controls the LAN card. To do. A procedure is executed in which the communication program of the terminal device reads out the corresponding data and sends it to the VPN server. When the VPN server receives the user ID and the password, it decrypts the cipher using a program prepared in advance in step S24.
[0027]
Next, in step S25, the MAC address of the LAN card is acquired. This may be performed in the same procedure as that for acquiring the user ID and password. In step S26, identity verification is performed with reference to the authentication table 30 shown in FIG. Here, when authentication is established, the process proceeds from step S27 to step S28, and a private address is set in order to start communication. If not authenticated, error processing such as transmission of an error message is performed. After setting the private address, authentication notification is made in step S29. Thus, the state shown in step S11 of FIG. 1 is obtained, and the LAN can be freely used from the terminal device.
[0028]
Further, for example, the MAC address of the LAN card is used for the authentication process. The MAC address is an address unique to the LAN card, and user authentication can be further ensured by combining it with a user ID and password information. Also, if the encrypted user ID and the encrypted personal identification information are written in the ROM of the network card and read out by the VPN server, the login process with very high security becomes possible. In particular, if a write address is shifted by a predetermined amount or a complicated write procedure is determined in advance, a malicious third party can easily obtain an encrypted user ID and encrypted password information from a LAN card. Cannot read. Such an encryption password writing process on the card may be performed only by a specific terminal device.
[0029]
By using the LAN card as described above, you can use hotspots provided at various locations such as hotels, restaurants, airports, railway stations, etc. Is possible. In addition, it is possible to communicate through a so-called hot spot in the company using an in-company network of another company.
[0030]
In addition, said computer program may be comprised combining a respectively independent program module, and may be comprised by the program which integrated the whole. All or part of the processing controlled by the computer program may be configured by hardware having equivalent functions. Further, the above computer program may be used by being incorporated into an existing application program. The computer program for realizing the present invention as described above can be recorded on a computer-readable recording medium such as a CD-ROM and installed in any information processing apparatus for use. It can also be downloaded and used in the memory of any computer through the network.
[Brief description of the drawings]
FIG. 1 is a sequence chart showing a communication start procedure using a network communication card according to the present invention.
2A and 2B are diagrams showing configurations of a LAN card and the entire system, in which FIG. 2A is a block diagram of a LAN card connected to a terminal device, and FIG. 2B is an explanatory diagram of addresses used on a network;
FIG. 3 is an explanatory diagram illustrating a specific configuration example of a network.
4A and 4B are diagrams showing a specific example of a system with increased security, in which FIG. 4A is an explanatory diagram showing an authentication table provided on the VPN server side, and FIG. It is a flowchart of.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 11 VPN server 12 Access point server 13 Terminal device 15 Communication control program 17 Wireless transmission / reception apparatus 18, 24 Antenna 20 LAN card 21 User information 22 MAC address 23 Network connection part 30 Address conversion table 31 User ID
32 PIN 33 MAC address

Claims (3)

LANカードを装着した端末装置から、任意のインターネットアクセスポイントに対して、ユーザ識別情報と暗証情報とが送信されたとき、自動的に付与されるIPアドレスを受け入れて、前記インターネットアクセスポイントを通じたインターネット接続を確立させる処理と、
前記インターネットアクセスポイントを通じて、特定のサーバに対して、当該サーバの管理するLANへの接続要求をする処理と、
前記サーバからの要求に従って、予め、前記LANカード内の読み出し専用記録領域に記録された暗号化されたユーザ識別情報と暗証情報であって、前記インターネットアクセスポイントに送出したものとは異なるものを、前記サーバに送信する処理と、
前記サーバの認証処理後に、前記LANを通じたネットワーク接続を確立させる処理とを実行することを特徴とするネットワーク通信プログラム。When user identification information and personal identification information are transmitted from a terminal device equipped with a LAN card to an arbitrary Internet access point, an IP address automatically assigned is accepted and the Internet through the Internet access point is accepted. Processing to establish a connection;
A process of requesting connection to a LAN managed by the server with respect to a specific server through the Internet access point;
In accordance with a request from the server, previously encrypted user identification information and password information recorded in a read-only recording area in the LAN card, which is different from the one sent to the Internet access point, Processing to send to the server;
A network communication program that executes a process of establishing a network connection through the LAN after an authentication process of the server. 請求項1に記載のネットワーク通信プログラムにおいて、
前記LANカードには、そのLANカードを特定するMACアドレスが記録されており、前記特定のサーバでは、前記暗号化されたユーザ識別情報と暗証情報に加えて、前記MACアドレスが登録されていることを認証処理の条件とすることを特徴とするネットワーク通信プログラム。The network communication program according to claim 1,
The LAN card records a MAC address that identifies the LAN card, and the specific server registers the MAC address in addition to the encrypted user identification information and password information. As a condition for authentication processing. インターネットアクセスポイントを通じて特定のサーバにより読み取られて認証処理に使用されるものであって、暗号化されたユーザ識別情報と暗証情報を、固有の手順で記録した、読み出し専用記録領域を備えることを特徴とするLANカード。A read-only recording area that is read by a specific server through an Internet access point and used for authentication processing, and that records encrypted user identification information and personal identification information in a unique procedure. LAN card.
JP2003186375A 2003-06-30 2003-06-30 Network communication program and network communication card Pending JP2005020668A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003186375A JP2005020668A (en) 2003-06-30 2003-06-30 Network communication program and network communication card

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003186375A JP2005020668A (en) 2003-06-30 2003-06-30 Network communication program and network communication card

Publications (1)

Publication Number Publication Date
JP2005020668A true JP2005020668A (en) 2005-01-20

Family

ID=34185519

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003186375A Pending JP2005020668A (en) 2003-06-30 2003-06-30 Network communication program and network communication card

Country Status (1)

Country Link
JP (1) JP2005020668A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007018081A (en) * 2005-07-05 2007-01-25 Ttt Kk User authentication system, user authentication method, program for achieving the same, and storage medium storing program
JP2008035426A (en) * 2006-07-31 2008-02-14 Casio Comput Co Ltd Communication control apparatus, image display device, image generator, communication control system, and communication control method and program
JP2012151784A (en) * 2011-01-21 2012-08-09 Ricoh Co Ltd Network system and communication method therefor

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007018081A (en) * 2005-07-05 2007-01-25 Ttt Kk User authentication system, user authentication method, program for achieving the same, and storage medium storing program
JP2008035426A (en) * 2006-07-31 2008-02-14 Casio Comput Co Ltd Communication control apparatus, image display device, image generator, communication control system, and communication control method and program
JP2012151784A (en) * 2011-01-21 2012-08-09 Ricoh Co Ltd Network system and communication method therefor

Similar Documents

Publication Publication Date Title
US7231203B2 (en) Method and software program product for mutual authentication in a communications network
JP4384117B2 (en) Data processing system user authentication method and system
KR100494558B1 (en) The method and system for performing authentification to obtain access to public wireless LAN
US8285992B2 (en) Method and apparatuses for secure, anonymous wireless LAN (WLAN) access
US8191124B2 (en) Systems and methods for acquiring network credentials
US9769172B2 (en) Method of accessing a network securely from a personal device, a personal device, a network server and an access point
US8244212B2 (en) Communication method, communication apparatus, cell phone terminal, and communication system for performing connection via a network
JPWO2006101065A1 (en) Connection parameter setting system, method thereof, access point, server, wireless terminal, and parameter setting device
JP2010532107A (en) Secure transfer of soft SIM credentials
KR100819678B1 (en) Authentification Method of Public Wireless LAN Service using CDMA authentification information
WO2009074082A1 (en) Access controlling method?system and device
CA2647684A1 (en) Secure wireless guest access
KR100834270B1 (en) Method and system for providing virtual private network services based on mobile communication and mobile terminal for the same
WO2008030527A2 (en) Systems and methods for acquiring network credentials
US20180124032A1 (en) Method for authenticating internet users
ES2353855T3 (en) USER AUTHENTICATION PROCEDURE AND DEVICE.
JP5388088B2 (en) Communication terminal device, management device, communication method, management method, and computer program.
JPH11252068A (en) Data communication system, constitution device and recording medium
JP2000102072A (en) Mobile communication method, mobile communication equipment and recording medium recording mobile communication program
JP2005020668A (en) Network communication program and network communication card
JP2003242118A (en) Communication system, relay device, and program
JP4002844B2 (en) Gateway device and network connection method
US11354667B2 (en) Method for internet user authentication
JP6318640B2 (en) Wireless connection apparatus, method for controlling wireless connection apparatus, and network system
JP3798397B2 (en) Access management system and access management device