JP2005227993A - Access authentication method for network system - Google Patents
Access authentication method for network system Download PDFInfo
- Publication number
- JP2005227993A JP2005227993A JP2004035417A JP2004035417A JP2005227993A JP 2005227993 A JP2005227993 A JP 2005227993A JP 2004035417 A JP2004035417 A JP 2004035417A JP 2004035417 A JP2004035417 A JP 2004035417A JP 2005227993 A JP2005227993 A JP 2005227993A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- access
- protection target
- client communication
- communication device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、情報ネットワークのセキュリティ確保が要求されるネットワークシステムに係り、特に、いわゆるクライアント認証技術に属するアクセス認証方法及びアクセス認証サービス方法に関する。 The present invention relates to a network system in which security of an information network is required, and more particularly to an access authentication method and an access authentication service method belonging to so-called client authentication technology.
インターネット上に公開されたサーバにおけるセキュリティの主たるものは、ユーザアクセスの認証の問題である。従来のネットワークシステムにあっては、サーバ(アクセス保護対象装置)自身がアクセス認証機能を持ち、ネットワーク接続装置を経由してユーザ端末(認証クライアント通信装置)からのアクセスを受けたとき、ユーザ本人の認証を行う。その際のユーザ認証には、認証情報として、(1) ユーザパスワード、(2) ユーザIDとパスワードの組み合わせ、(3) 電子証明書を使用した方法がよく用いられる(例えば、非特許文献1、非特許文献2参照)。
The main security of a server published on the Internet is a problem of user access authentication. In the conventional network system, when the server (access protection target device) itself has an access authentication function and receives access from the user terminal (authentication client communication device) via the network connection device, Authenticate. For the user authentication at that time, a method using (1) a user password, (2) a combination of a user ID and a password, and (3) an electronic certificate is often used as authentication information (for example, Non-Patent
しかしながら、上記のような従来のネットワークシステムに用いられるアクセス認証方法では、クライアント(ユーザ)本人の認証を行う際に、アクセス保護対象装置(サーバ)にアクセスする全ての人が認証情報さえ知っていれば、他人のなりすましが可能であるという問題がある(問題1)。また、認証を利用するには、事前にアクセス保護対象装置へクライアントの認証情報を登録しておかなければならないという情報管理上の問題がある(問題2)。さらに、正確に目的のクライアントに渡す必要がある情報が確かに目的のクライアントに渡されたことを実証する根拠となる情報にかけるという問題がある(問題3)。 However, in the access authentication method used in the conventional network system as described above, when the client (user) is authenticated, all the persons who access the access protection target device (server) know even the authentication information. Then, there is a problem that impersonation of other people is possible (problem 1). In addition, in order to use authentication, there is an information management problem that client authentication information must be registered in advance in an access protection target device (Problem 2). Furthermore, there is a problem that information that needs to be accurately passed to the target client is applied to information that is a basis for demonstrating that the information has been passed to the target client (problem 3).
本発明は、上記の問題を解決するために、クライアント本人の認証において、他人のなりすましを排除し、アクセス保護対象装置側のクライアント管理を容易にすることができ、しかも情報送付結果を確認可能なネットワークシステムのアクセス認証方法を提供することを目的とする。 In order to solve the above problems, the present invention eliminates the impersonation of another person in the authentication of the client, can facilitate the client management on the access protection target device side, and can confirm the information transmission result. An object of the present invention is to provide an access authentication method for a network system.
上記の目的を達成するために本発明に係るネットワークシステムのアクセス認証方法は、以下のように構成される。
(1)ネットワーク上に配置されたネットワーク接続装置により、アクセス保護対象装置及びクライアント通信装置間の接続及び通信制御を行うネットワークシステムに用いられ、前記アクセス保護対象装置が、前記クライアント通信装置から自装置宛にアクセス要求があったとき、そのアクセス要求に付加される発信元アドレス情報を認証情報として前記ネットワーク接続装置に送信すること、前記ネットワーク接続装置が前記認証情報を受け付けて認証を実行し、その認証結果を前記アクセス保護対象装置に送信すること、前記アクセス保護対象装置が前記認証結果に基づいて前記クライアント通信装置のアクセスが不正か否かを判断し、不正と判断した場合にはアクセスを遮断することを具備する。
In order to achieve the above object, an access authentication method for a network system according to the present invention is configured as follows.
(1) Used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network, and the access protection target device is connected to the own device from the client communication device. When there is an access request addressed to, the source address information added to the access request is transmitted as authentication information to the network connection device, the network connection device accepts the authentication information and executes authentication, Sending an authentication result to the access protection target device; and determining whether the access of the client communication device is illegal based on the authentication result, and blocking the access if it is determined to be illegal To do.
(2)ネットワーク上に配置されたネットワーク接続装置により、アクセス保護対象装置及びクライアント通信装置間の接続及び通信制御を行うネットワークシステムに用いられ、前記アクセス保護対象装置がアクセス元または通信中のクライアント通信装置に認証情報を要求し、この要求に応答して前記クライアント通信装置からの認証情報を受けた場合に、当該認証情報を前記ネットワーク接続装置に送信すること、前記ネットワーク接続装置が前記認証情報を受け付けて認証を実行し、その認証結果を前記アクセス保護対象装置に送信すること、前記アクセス保護対象装置が前記認証結果に基づいて前記クライアント通信装置のアクセスまたは通信が不正か否かを判断し、不正と判断した場合にはアクセスまたは通信を遮断することを具備する。 (2) Client communication used in a network system for performing connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network, and the access protection target device is an access source or communicating Requesting authentication information from the device, and receiving authentication information from the client communication device in response to the request, transmitting the authentication information to the network connection device; Receiving and executing authentication, transmitting the authentication result to the access protection target device, determining whether the access protection target device is unauthorized to access or communicate with the client communication device based on the authentication result; If it is determined to be illegal, it will block access or communication. To Bei.
(3)ネットワーク上に配置されたネットワーク接続装置により、アクセス保護対象装置及びクライアント通信装置間の接続及び通信制御を行うネットワークシステムに用いられ、前記アクセス保護対象装置がアクセス元または通信中のクライアント通信装置に認証情報を要求すること、前記アクセス保護対象装置のクライアント通信装置への認証情報要求及びこの要求に応答して前記クライアント通信装置から送信される認証情報を検知して認証を実行し、その認証結果が適正の場合には認証結果を認証情報に付加して前記アクセス保護対象装置に送信し、不正の場合には認証結果を付加することなく認証情報を前記アクセス保護対象装置に送信するか、あるいは認証情報の送信を遮断すること、前記アクセス保護対象装置が前記認証情報と共に当該情報に付加される認証結果に基づいて前記クライアント通信装置のアクセスまたは通信が不正か否かを判断し、不正と判断した場合にはアクセスまたは通信を遮断することを具備する。 (3) Client communication used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network, and the access protection target device is an access source or communicating Requesting authentication information from the device, requesting authentication information to the client communication device of the access protection target device and detecting authentication information transmitted from the client communication device in response to the request, and executing authentication, Whether the authentication result is added to the authentication information and transmitted to the access protection target device if the authentication result is proper, or if the authentication result is invalid, the authentication information is transmitted to the access protection target device without adding the authentication result Or blocking the transmission of authentication information, the access protection target device is the authentication information Together based on The added authentication result to the information to determine incorrect or not access or communication of the client communications device comprises a blocking access or communication when determining that illegal.
(4)ネットワーク上に配置されたネットワーク接続装置により、アクセス保護対象装置及びクライアント通信装置間の接続及び通信制御を行うネットワークシステムに用いられ、前記ネットワーク接続装置が前記アクセス保護対象装置に代わって前記クライアント通信装置に対する認証処理を行う認証サービスを行うものとし、そのサービス内容として、前記アクセス保護対象装置からアクセス元または通信中のクライアント通信装置に要求して得られた認証情報の送付を受けた場合に、認証を実行し、その認証結果を前記アクセス保護対象装置に送信する。 (4) Used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network, and the network connection device is replaced with the access protection target device. When an authentication service for performing an authentication process for a client communication device is performed, and as the service content, authentication information obtained by requesting an access source or a communicating client communication device from the access protection target device is received. Then, the authentication is executed, and the authentication result is transmitted to the access protection target device.
(5)ネットワーク上に配置されたネットワーク接続装置により、アクセス保護対象装置及びクライアント通信装置間の接続及び通信制御を行うネットワークシステムに用いられ、前記ネットワーク接続装置が前記アクセス保護対象装置に代わって前記クライアント通信装置に対する認証処理を行う認証サービスを行うものとし、そのサービス内容として、前記アクセス保護対象装置からアクセス元または通信中のクライアント通信装置への認証情報の要求、及び前記クライアント通信装置からの認証情報応答を自動的に検知して認証を実行し、その認証結果が適正の場合には認証結果を認証情報に付加して前記アクセス保護対象装置に送信し、不正の場合には認証結果を付加することなく認証情報を前記アクセス保護対象装置に送信するか、あるいは認証情報の送信を遮断する。 (5) Used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network, and the network connection device replaces the access protection target device. An authentication service for performing an authentication process for a client communication device is performed, and as the service content, a request for authentication information from the access protection target device to an access source or a communicating client communication device, and authentication from the client communication device Information response is automatically detected and authentication is performed. If the authentication result is appropriate, the authentication result is added to the authentication information and transmitted to the access protection target device. If the authentication result is invalid, the authentication result is added. Whether authentication information is transmitted to the access protection target device without performing authentication Or blocking the transmission of authentication information.
(6)(1)〜(5)のいずれかにおいて、前記ネットワークの少なくとも一部はインターネット・プロトコル(IP)で運用され、前記認証は前記クライアント通信装置のIPアドレス及び接続回線情報に基づいて行う。
(7)(1)〜(5)のいずれかにおいて、前記ネットワーク接続装置は、予め前記クライアント通信装置に付与されるアカウントと接続回線の識別子に基づいて認証処理を実行する。
(6) In any one of (1) to (5), at least a part of the network is operated by an Internet protocol (IP), and the authentication is performed based on an IP address and connection line information of the client communication device. .
(7) In any one of (1) to (5), the network connection device executes an authentication process based on an account previously given to the client communication device and an identifier of the connection line.
(8)(7)において、前記ネットワーク接続装置は、前記認証処理にパスワードを併用する。
(9)(1)〜(5)のいずれかにおいて、前記アクセス保護対象装置へ認証結果を送信する際に、電子署名を付加する。
(8) In (7), the network connection device also uses a password for the authentication process.
(9) In any one of (1) to (5), an electronic signature is added when an authentication result is transmitted to the access protection target device.
本発明によれば、クライアント本人の認証において、他人のなりすましを排除し、アクセス保護対象装置側のクライアント管理を容易にすることができ、しかも情報送付結果を確認可能なネットワークシステムのアクセス認証方法を提供することを提供することができる。 According to the present invention, there is provided an access authentication method for a network system that can eliminate impersonation of another person in the authentication of the client, facilitate client management on the access protection target device side, and can confirm the information transmission result. Can be provided.
以下、図面を参照して本発明の一実施形態を詳細に説明する。
(第1の実施形態)
図1は本発明に係る第1の実施形態のネットワークシステムの構成とアクセス認証方法のシーケンスを示す図である。このネットワークシステムでは、ユーザ端末であるクライアント通信装置11が例えば電話回線を通じてネットワーク接続装置12に接続され、このネットワーク接続装置12がIP通信路13を介してアクセス保護対象装置(例えばWWWサーバ)14に接続される。
Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings.
(First embodiment)
FIG. 1 is a diagram showing a configuration of a network system and a sequence of an access authentication method according to the first embodiment of the present invention. In this network system, a
ネットワーク接続装置12は、クライアント通信装置11をアクセス保護対象装置14に接続し、回線接続により両者の通信を可能とするものであり、本発明では、アクセス保護対象装置14に代わってクライアント通信装置11が正規ユーザか否かを認証する認証機能を有することを特徴とする。
The
以下、図1に示すシーケンスに従って、本発明の認証機能について説明する。
上記ネットワーク接続装置12は、クライアント通信装置11の通信及び接続情報(例:認証クライアントのIPアドレス、セッションに関する情報、電話番号もしくは電話番号を一意に識別できる情報等)を保持している。アクセス保護対象装置14は、クライアント通信装置11からサーバ接続のためのアクセス要求A1があったとき、もしくはクライアント通信装置11との通信開始後に、そのクライアント通信装置11に対して認証情報要求A2を送信する。
Hereinafter, the authentication function of the present invention will be described according to the sequence shown in FIG.
The
ここで、認証情報要求A2に対してクライアント通信装置11から応答がない場合には、アクセス要求元あるいは通信中のクライアント通信装置11は正規ユーザでないと判断し、アクセスを拒否して回線接続を遮断する。クライアント通信装置11から認証情報の応答A3があった場合、アクセス保護対象装置14は受け取った認証情報をネットワーク接続装置12に送り(A4)、認証処理を依頼する。
Here, when there is no response from the
認証情報A4を受け取ったネットワーク接続装置12は、クライアント通信装置11の通信及び接続情報を基に認証情報の適否判定による認証処理を実行し、その認証処理結果A5をアクセス保護対象装置14に通知する。この通知を受けたアクセス保護対象装置14は、認証処理結果A5からアクセス要求元あるいは通信中のクライアント通信装置11が正規ユーザか不正ユーザかを判断し、正規ユーザならばクライアント通信装置11と回線を接続して通信可能状態とする(A6)。
The
本実施形態のアクセス認証方法について、第1の具体例を説明する。
まず、アクセス保護対象装置14としてWWWサーバを想定し、このWWWサーバ14は接続してきたクライアント通信装置11のIPアドレスにより、自分自身の提供するWWWサービスへのアクセスの許可あるいは非許可を決めているとする。一般のIP通信は、クライアントとなる発信元IPアドレスを擬装することができるため、第三者でも特定のクライアントになりすますことができ、これらのIPアドレスによる認証だけではサーバを保護するためには不適当だと言われている。本実施形態のアクセス認証方法によれば、このIPアドレスを使った認証だけでも、悪意のある第三者からサーバ14へのアクセスから保護することが可能となる。
A first specific example of the access authentication method of this embodiment will be described.
First, a WWW server is assumed as the access
ここで、ネットワーク接続装置12はダイヤルアップ接続等を実現するリモートアクセス装置であり、クライアント通信装置11が接続された回線の識別子(電話番号等)と、クライアント通信装置11が利用しているIPアドレスの組を、回線情報として管理しているとする。
Here, the
クライアント通信装置11が、アクセス保護対象となるサーバ14に接続する際、当該サーバ14からの要求により、認証情報として自分自身のIPアドレス情報を通知する。この通知の際、リモートアクセス装置12は、この通信内容とIPアドレス、使われた回線の識別子を通信記録として保存する。アクセス保護対象となるサーバ14は、通知されたIPアドレスが本物かどうか確認するために、リモートアクセス装置12に対し、認証情報として、クライアント通信装置11からの通信内容と送られたIPアドレスを送付する。
When the
この認証情報を受けて、リモートアクセス装置12は、通信記録を検索して該当の通信記録があることを確認し、また回線情報を検索してIPアドレスと回線の識別子を比較することで、クライアント通信装置11が送付したIPアドレスが本物であることを確認する。また、該当の通信記録が存在しない場合、あるいは、IPアドレスと回線の識別子が相違する場合には、リモートアクセス装置12はIPアドレスが偽のものであると判断する。
Receiving this authentication information, the
リモートアクセス装置12は、認証処理結果として、IPアドレスが本物か偽かの情報をアクセス保護対象となるサーバ14に送付する。これにより、サーバ14は接続してきたクライアント通信装置11が正規のIPアドレスを使用していることを判断でき、このIPアドレスを用いてアクセスの許可を判断することで、正規のユーザに対して情報およびサービスの提供ができることとなる。
As a result of the authentication process, the
もし、悪意のあるユーザがIPアドレスを擬装してサーバ14にアクセスしてきた場合、サーバ14は認証情報をリモートアクセス装置12に送付し、そのIPアドレスを持つ本当のクライアント通信装置11かどうか判定させる。リモートアクセス装置12は、この通知を受けて、該当するIPアドレスの通信記録があるか否かを判定し、無い場合にはIPアドレスが偽であることをサーバ14に確認する。もし該当の通信記録がある場合でも、回線情報を検索して、該当IPアドレスが使われた回線識別子と一致しない場合、使われたIPアドレスが偽であることをサーバ14に通知する。
If a malicious user accesses the
サーバ14が認証情報の要求を送った際、IPアドレスを偽装した通信装置11がリモートアクセス装置12を経由していなければ、その応答は得られない。この場合においても、サーバ14はIPアドレスが擬装されていると判断し、クライアントからのアクセスを拒否する。これらの処理により、悪意のあるユーザがIPアドレスを擬装した場合でも、正規ユーザになりすましてサーバ14へアクセスすることができないようにすることができる。
When the
ここで、悪意のあるユーザがリモートアクセス装置12になりすまし、認証情報に対して正規のIPアドレスであるとの回答を擬装してサーバ14へのアクセスを試みる脅威が考えられる。この脅威については、例えば、リモートアクセス装置12からの回答に公開鍵を付加することで解決可能である。この場合、サーバ14はリモートアクセス装置12の公開鍵を保持する必要があるが、一般に、クライアント数に比べてリモートアクセス装置12の数は大幅に少ないと考えられ、クライアントの認証情報を管理する場合に比較して、必要な認証情報の量を大幅に減らすことが可能になる。
次に、本実施形態のアクセス認証方法における第2の具体例を説明する。
Here, there is a threat that a malicious user impersonates the
Next, a second specific example in the access authentication method of this embodiment will be described.
通常のIP通信では、クライアント通信装置11がサーバ14へのアクセス時に発信元を示す自己のIPアドレスを送信する。したがって、送信元IPアドレスを認証情報に見立てることで、上記のような認証を全く意識せずに使うこともできる。この場合、クライアント通信装置11が通常のWWWアクセスを開始するだけで、サーバ14に発信元のIPアドレスが届くため、サーバ14は取得した発信元IPアドレスについてリモートアクセス装置12に認証をかけることで、クライアント通信装置11のIPアドレスによる認証が可能となる。
In normal IP communication, the
図2に上記IPアドレスを利用した認証方法の流れを示す。まず、クライアント通信装置11がサーバ14にアクセス要求(B1)を発する。このとき、アクセス要求(B1)には、発信元を示すIPアドレスが付加される。このアクセス要求(B1)は、リモートアクセス装置12、IP通信路13を介してサーバ14に送られる。サーバ14はアクセス要求(B1)を受けると、アクセス要求(B1)に付加されている発信元IPアドレスを識別して、このIPアドレスそのものを認証情報(B2)としてリモートアクセス装置12に送り、認証処理を依頼する。
FIG. 2 shows a flow of an authentication method using the IP address. First, the
認証情報B2を受け取ったリモートアクセス装置12は、クライアント通信装置11の通信及び接続情報を基に認証情報の適否判定による認証処理を実行し、その認証処理結果(+電子署名)B3をサーバ14に通知する。この通知を受けたサーバ14は、認証処理結果B3からアクセス要求元あるいは通信中のクライアント通信装置11が正規ユーザか不正ユーザかを判断し、正規ユーザならばクライアント通信装置11と回線を接続して通信可能状態とする(B4)。
Receiving the authentication information B2, the
次に、本実施形態のアクセス認証方法における第3の具体例を説明する。
この具体例では、クライアント通信装置11のユーザが、ネットワーク上で唯一のアカウント名、例えばメールアドレスに相当するシングルアカウントを持っており、アクセス保護対象装置であるサーバ14は、シングルアカウントによりWWWサービスへの許可あるいは非許可を決めているとする。また、クライアント通信装置11のユーザは、ネットワーク接続装置であるリモートアクセス装置12にも他のサーバにも同じシングルアカウントを持っており、このシングルアカウントに対するパスワードがリモートアクセス装置やサーバ毎に別であると管理が煩雑なため、一意にパスワードを決めておきたいものとする。
Next, a third specific example in the access authentication method of this embodiment will be described.
In this specific example, the user of the
一方、ネットワーク接続装置であるリモートアクセス装置12は、クライアント通信装置11がリモートアクセス装置12に接続を申請した際、シングルアカウントにより認証されるとする。正常にシングルアカウントにより認証されたクライアント通信装置11について、リモートアクセス装置12は、認証したシングルアカウントと回線の識別子(電話番号等)の組を、回線情報として管理しているとする。
On the other hand, it is assumed that the
認証されたクライアント通信装置11が、アクセス保護対象となるサーバ14に接続する際、認証情報としてシングルアカウントを通知する。この通知の際、リモートアクセス装置12は、この通信内容と共にシングルアカウント及び使用回線の識別子を通信記録として保存する。アクセス保護対象となるサーバ14は、通知されたシングルアカウントが本物かどうか確認するために、リモートアクセス装置12に対して、通信内容と送られたシングルアカウントを認証情報として送付する。
When the authenticated
この認証情報を受けたリモートアクセス装置12は、通信記録を検索して該当の通信記録があることを確認し、また回線情報を検索して、該シングルアカウントと回線の識別子を比較することで、クライアント通信装置11が送付したシングルアカウントが本物であることを確認する。また、該当の通信記録が存在しない場合、あるいは、シングルアカウントと回線の識別子が相違する場合には、リモートアクセス装置12はシングルアカウントが偽のものであると判断する。
Upon receiving this authentication information, the
リモートアクセス装置が、認証処理結果として、シングルアカウントが本物か偽かの情報をアクセス保護対象となるサーバ14に送付することで、サーバ14は接続してきたクライアント通信装置11が正規のシングルアカウントを使用していることを判断することができ、当該シングルアカウントを用いてアクセスの許可を判断することで、正規のユーザに対して情報及びサービスの提供ができることとなる。この認証方法によれば、サーバ14はクライアント通信装置11のシングルアカウントのパスワードを管理する必要がなくなり、ユーザはリモートアクセス装置12に対してパスワードを設定することにより、本認証方法を使用するサーバ全てにアクセスすることが可能となる。
As a result of the authentication processing, the remote access device sends information indicating whether the single account is genuine or fake to the access
上記実施形態において、ネットワーク接続装置12は、認証機能をサービスとして提供することができる。この場合のネットワーク接続装置12の処理の流れを図3に示す。
ネットワーク接続装置12は、まず、クライアント通信装置11からアクセス保護対象装置14へのアクセス要求を監視し(ステップS11)、アクセス要求があった場合にはクライアント通信装置11の通信及び接続情報を保持しておく(ステップS12)。続いて、アクセス保護対象装置14から、クライアント通信装置11からのアクセス要求に対して認証情報を要求して受け取った認証情報の送付を監視し(ステップS13)、認証情報の送付を受けた場合には、先に保持したクライアント通信装置11の通信及び接続情報を基に認証情報の適否判定による認証処理を実行する(ステップS14)。認証の結果、認証情報に対応する通信及び接続情報があった場合には適正と判定し、対応する通信及び接続情報がなかった場合には不正と判定して、それぞれの判定結果をアクセス保護対象装置14に通知する(ステップS15)。
In the above embodiment, the
The
以上のように、ネットワーク接続装置12において、アクセス保護対象装置14の認証処理を代行し、認証結果を通知するサービスを提供することで、アクセス保護対象装置14は多数のクライアント通信装置のアクセス認証管理から開放され、かつ不正なアクセスを確実に排除することが可能となる。
As described above, the access
(第2の実施形態)
図4は本発明に係る第2の実施形態のネットワークシステムの構成とアクセス認証方法のシーケンスを示す図である。このネットワークシステムは、第1の実施形態と同様に、ユーザ端末であるクライアント通信装置11が例えば電話回線を通じてネットワーク接続装置12に接続され、このネットワーク接続装置12がIP通信路13を介してアクセス保護対象装置(例えばWWWサーバ)14に接続される。
(Second Embodiment)
FIG. 4 is a diagram showing a network system configuration and an access authentication method sequence according to the second embodiment of the present invention. In this network system, as in the first embodiment, a
ネットワーク接続装置12は、クライアント通信装置11をアクセス保護対象装置14に接続し、回線接続により両者の通信を可能とするものであり、本発明では、アクセス保護対象装置14に代わってクライアント通信装置11が正規ユーザか否かを認証する認証機能を有することを特徴とする。
The
以下、図4に示すシーケンスに従って、本発明の認証機能について説明する。
上記ネットワーク接続装置12は、クライアント通信装置11の通信及び接続情報(例:認証クライアントのIPアドレス、セッションに関する情報、電話番号もしくは電話番号を一意に識別できる情報等)を保持している。アクセス保護対象装置14は、クライアント通信装置11からサーバ接続要求C1があったとき、そのクライアント通信装置11に対して認証情報要求C2を送信する。
Hereinafter, the authentication function of the present invention will be described in accordance with the sequence shown in FIG.
The
ここで、ネットワーク接続装置12は、アクセス保護対象装置14からクライアント通信装置11への認証情報要求C2の送信と、この認証情報要C2に対するクライアント通信装置11からの応答C3を検知し、クライアント通信装置11から認証情報の応答があった場合、受け取った認証情報について、クライアント通信装置11の通信及び接続情報を基に適否判定による認証処理を実行し、その認証処理結果C4をアクセス保護対象装置14に通知する。
Here, the
この通知を受けたアクセス保護対象装置14は、認証処理結果C4からアクセス要求元のクライアント通信装置11が正規ユーザか不正ユーザかを判断し、正規ユーザならばクライアント通信装置11と回線を接続して通信可能状態とする(C5)。
本実施形態のアクセス認証方法における第1の具体例を説明する。
Upon receiving this notification, the access
A first specific example in the access authentication method of this embodiment will be described.
第1の実施形態のアクセス認証方法における第1の具体例と同様に、アクセス保護対象となるサーバ14が、接続してきたクライアント通信装置11のIPアドレスにより、自分自身の提供するWWWサービスへのアクセスの許可あるいは非許可を決めているとする。ネットワーク接続装置であるリモートアクセス装置12は、認証クライアントが接続された回線の識別子(電話番号等)と、認証クライアントが利用しているIPアドレスの組を、回線情報として管理しているとする。
As in the first specific example of the access authentication method of the first embodiment, the
クライアント通信装置11が、アクセス保護対象となるサーバ14に接続する際、認証情報として自分自身のIPアドレス情報を通知する。この通知の際、リモートアクセス装置12は、回線情報を検索して、使われている回線とIPアドレスの組が存在することを確認し、存在すればIPアドレスが擬装されていないと判断する。また回線情報を検索して、使われている回線が該当のIPアドレスのものでないと判断した場合、IPアドレスが擬装されていると判断する。このIPアドレスが擬装されているかどうかの判断を認証処理結果として、クライアント通信装置11からサーバ14への通信に付加することで、サーバ14はIPアドレスが本物であるかどうか確認することが可能となる。
When the
ここで、IPアドレスが擬装されている場合、リモートアクセス装置12は、認証情報および認証処理結果をサーバ14に送らないようにするという方法もある。クライアント通信装置11からサーバ14への通信が届かない場合には、サーバ14がサービスを提供することができず、結果としてサーバ14に対してIPアドレスを擬装したクライアント通信装置11からのアクセスを排除することができる。
Here, when the IP address is disguised, there is a method in which the
もし、悪意のあるユーザがIPアドレスを擬装してサーバ14へのアクセスを試みる場合には、その悪意のあるユーザが使うクライアント通信装置11はサーバ14からの要求に応答して認証情報をサーバ14に送付する。このとき、リモートアクセス装置12は、その認証情報応答を検知して、回線情報を検索し、IPアドレスが擬装されていることを確認することができる。このため、サーバ14にIPアドレスが擬装されていることを認証処理結果として通知するか、あるいは認証情報のサーバ14への通知を遮断することで、IPアドレスを擬装したクライアント通信装置11から、サーバ14へアクセスさせないようにすることができる。
If a malicious user attempts to access the
もし、この通信がリモートアクセス装置12を通過しなかった場合、認証情報に認証処理結果が付与されないため、サーバ14はアクセスが不正ユーザであると判定してそのアクセスを拒否し、擬装したIPアドレスを使ったクライアントからの通信を拒絶することが可能となる。これにより、悪意のあるユーザがIPアドレスを擬装した場合にでも、正規ユーザになりすましてサーバ14へアクセスすることができないようにすることができる。
If this communication does not pass through the
本実施形態のアクセス認証方法は、クライアント通信装置11から認証情報が送られた際、通信が経由するネットワーク接続装置12により直ちに認証が行われるため、第1の実施形態のアクセス認証方法と比べて、ネットワーク接続装置12で管理すべき情報の種類が少なくて済むという利点がある。但し、サーバ14により認証方式が異なる場合には、ネットワーク接続装置12が付加すべき認証情報を予め決めることができないため、うまく機能しないという問題がある。全てのアクセス保護対象のサーバが同じデータに基づく認証を行う場合には、本実施形態のアクセス認証方法の方が簡易な認証を可能とする。
In the access authentication method of this embodiment, when authentication information is sent from the
本実施形態のアクセス認証方法における第2の具体例として、第1の実施形態のアクセス認証方法における第2の具体例と同様に、シングルアカウントを利用することが考えられるが、第2の実施形態のアクセス認証方法の第1の具体例と同様に動作するものであるため、説明は割愛する。 As a second specific example of the access authentication method of the present embodiment, it is conceivable to use a single account as in the second specific example of the access authentication method of the first embodiment. Since it operates in the same manner as the first specific example of the access authentication method, the description thereof is omitted.
上記実施形態においても、ネットワーク接続装置12は、認証機能をサービスとして提供することができる。この場合のネットワーク接続装置12の処理の流れを図5に示す。
ネットワーク接続装置12は、まず、クライアント通信装置11からアクセス保護対象装置14へのアクセス要求を監視し(ステップS21)、アクセス要求があった場合にはクライアント通信装置11の通信及び接続情報を保持しておく(ステップS22)。続いて、アクセス保護対象装置14からクライアント通信装置11への認証情報要求、クライアント通信装置11からアクセス保護対象装置14への認証情報送付を監視し(ステップS23)、認証情報の送付を受けた場合には、先に保持したクライアント通信装置11の通信及び接続情報を基に認証情報の適否判定による認証処理を実行する(ステップS24,S25)。
Also in the above embodiment, the
The
認証の結果、認証情報に対応する通信及び接続情報があった場合には適正と判定し、認証情報に適正判定結果を付加してアクセス保護対象装置14へ通知する(ステップS26)。対応する通信及び接続情報がなかった場合には不正と判定して、認証情報のアクセス保護対象装置14への送信を遮断する(ステップS27)。
If there is communication and connection information corresponding to the authentication information as a result of authentication, it is determined to be appropriate, and the appropriate determination result is added to the authentication information and notified to the access protection target apparatus 14 (step S26). If there is no corresponding communication and connection information, it is determined to be illegal and the transmission of the authentication information to the access
以上のように、ネットワーク接続装置12において、アクセス保護対象装置14の認証処理を代行し、適正の場合のみ認証情報に認証結果を付加して通知するサービスを提供することで、アクセス保護対象装置14は多数のクライアント通信装置のアクセス認証管理から開放され、かつ不正なアクセスを確実に排除することが可能となる。
As described above, the
次に発明の効果として、どのような環境で、どの様に本発明が利用されるのかについて詳細に説明を行う。
一般にインターネットに接続し、公開しているサーバは不特定多数のユーザからのアクセスを受け付けている。しかしサーバによっては、特定のユーザにのみアクセスを許可したいケースや、またサーバの提供するコンテンツの種類によっては、正確に目的のユーザに情報を渡す必要があるケースも考えられる。
Next, as an effect of the invention, in what environment and how the present invention is used will be described in detail.
Generally, a server that is connected to the Internet and is open to the public accepts access from an unspecified number of users. However, depending on the server, there may be cases where it is desired to permit access only to a specific user, or depending on the type of content provided by the server, it is necessary to accurately pass information to the target user.
現在、そのようなニーズに答える仕組みとして、ユーザがアクセスしてきた際に、ユーザIDとパスワードの組み合わせや、電子証明書を使用したアクセス認証が用いられている。しかし、従来方式では、他人のユーザIDとパスワード、もしくは電子証明書用の鍵を手に入さえすれば、他人になりすますことが可能であるという問題(問題1)や、認証を利用するには事前にサーバへユーザの認証情報を登録していなければならないという情報管理の問題(問題2)、また正確に目的のユーザに渡す必要がある情報を確かに目的のユーザに渡したことを実証する根拠となる情報にかけるという問題(問題3)がある。 Currently, as a mechanism for answering such needs, when a user accesses, a combination of a user ID and a password, or access authentication using an electronic certificate is used. However, with the conventional method, it is possible to impersonate another person (Problem 1), or to use authentication, as long as you have another person's user ID and password or electronic certificate key. Demonstrate that the information management problem (problem 2) that user authentication information must be registered in advance on the server and that the information that needs to be accurately passed to the target user has been passed to the target user. There is a problem (problem 3) that the information is applied to the basis information.
本発明は、サーバへのアクセス認証に従来技術の認証の他に、ネットワーク接続装置の保持するユーザの通信及び接続情報(例:認証クライアントのIPアドレス、セッションに関する情報、電話番号もしくは電話番号を一意に識別できる情報等)を利用した認証を行うことで、正規の場所からの正規のユーザのアクセスのみ許可することが可能となる(問題1の解決)。また、サーバとネットワーク接続装置間に信頼関係を築けば、サーバ側にユーザ情報を登録せずにアクセス認証を実現することが可能となる(問題2の解決)。また、ユーザの電話番号もしくは電話番号を一意に識別できる情報を利用してアクセス認証を行うことで、ユーザの所在情報とリンクした高度な認証が可能となる(問題3の解決)。 The present invention uniquely identifies user communication and connection information (eg, IP address of an authentication client, information on a session, telephone number or telephone number) held in a network connection device in addition to authentication in the prior art for access authentication to a server. It is possible to permit only the access of the authorized user from the authorized location (solution of Problem 1). Further, if a trust relationship is established between the server and the network connection device, access authentication can be realized without registering user information on the server side (solution of Problem 2). Further, by performing access authentication using the user's telephone number or information that can uniquely identify the telephone number, high-level authentication linked to the user's location information becomes possible (solution of Problem 3).
尚、本発明は上記実施形態に限定されるものではない。例えばIP通信路やインターネットに限定されず、他のプロトコルによる通信路やLAN,WAN等のネットワークにも適用可能である。 The present invention is not limited to the above embodiment. For example, the present invention is not limited to an IP communication path or the Internet, but can be applied to a communication path using another protocol or a network such as a LAN or WAN.
11…クライアント通信装置(ユーザ端末)、12…ネットワーク接続装置、13…IP通信路、14…アクセス保護対象装置(WWWサーバ)。
DESCRIPTION OF
Claims (9)
前記アクセス保護対象装置が、前記クライアント通信装置から自装置宛にアクセス要求があったとき、そのアクセス要求に付加される発信元アドレス情報を認証情報として前記ネットワーク接続装置に送信すること、
前記ネットワーク接続装置が前記認証情報を受け付けて認証を実行し、その認証結果を前記アクセス保護対象装置に送信すること、
前記アクセス保護対象装置が前記認証結果に基づいて前記クライアント通信装置のアクセスが不正か否かを判断し、不正と判断した場合にはアクセスを遮断すること、
を具備することを特徴とするネットワークシステムのアクセス認証方法。 Used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network,
When the access protection target device has an access request addressed to the own device from the client communication device, the source address information added to the access request is transmitted as authentication information to the network connection device;
The network connection device accepts the authentication information and executes authentication, and transmits the authentication result to the access protection target device;
The access protection target device determines whether or not the access of the client communication device is unauthorized based on the authentication result, and blocks the access when it is determined to be unauthorized,
An access authentication method for a network system, comprising:
前記アクセス保護対象装置がアクセス元または通信中のクライアント通信装置に認証情報を要求し、この要求に応答して前記クライアント通信装置からの認証情報を受けた場合に、当該認証情報を前記ネットワーク接続装置に送信すること、
前記ネットワーク接続装置が前記認証情報を受け付けて認証を実行し、その認証結果を前記アクセス保護対象装置に送信すること、
前記アクセス保護対象装置が前記認証結果に基づいて前記クライアント通信装置のアクセスまたは通信が不正か否かを判断し、不正と判断した場合にはアクセスまたは通信を遮断すること、
を具備することを特徴とするネットワークシステムのアクセス認証方法。 Used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network,
When the access protection target device requests authentication information from an access source or a communicating client communication device and receives authentication information from the client communication device in response to the request, the authentication information is sent to the network connection device. Sending to
The network connection device accepts the authentication information and executes authentication, and transmits the authentication result to the access protection target device;
The access protection target device determines whether the access or communication of the client communication device is unauthorized based on the authentication result, and if it is determined to be unauthorized, blocks access or communication;
An access authentication method for a network system, comprising:
前記アクセス保護対象装置がアクセス元または通信中のクライアント通信装置に認証情報を要求すること、
前記アクセス保護対象装置のクライアント通信装置への認証情報要求及びこの要求に応答して前記クライアント通信装置から送信される認証情報を検知して認証を実行し、その認証結果が適正の場合には認証結果を認証情報に付加して前記アクセス保護対象装置に送信し、不正の場合には認証結果を付加することなく認証情報を前記アクセス保護対象装置に送信するか、あるいは認証情報の送信を遮断すること、
前記アクセス保護対象装置が前記認証情報と共に当該情報に付加される認証結果に基づいて前記クライアント通信装置のアクセスまたは通信が不正か否かを判断し、不正と判断した場合にはアクセスまたは通信を遮断すること、
を具備することを特徴とするネットワークシステムのアクセス認証方法。 Used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network,
The access protection target device requests authentication information from an access source or a communicating client communication device;
An authentication information request to the client communication device of the access protection target device and authentication information transmitted from the client communication device in response to the request is detected and authentication is performed. If the authentication result is appropriate, authentication is performed. The result is added to the authentication information and transmitted to the access protection target device. In the case of fraud, the authentication information is transmitted to the access protection target device without adding the authentication result, or the authentication information transmission is blocked. about,
The access protection target device determines whether the access or communication of the client communication device is illegal based on the authentication result added to the information together with the authentication information. If it is determined to be illegal, the access or communication is blocked. To do,
An access authentication method for a network system, comprising:
前記ネットワーク接続装置が前記アクセス保護対象装置に代わって前記クライアント通信装置に対する認証処理を行う認証サービスを行うものとし、そのサービス内容として、前記アクセス保護対象装置からアクセス元または通信中のクライアント通信装置に要求して得られた認証情報の送付を受けた場合に、認証を実行し、その認証結果を前記アクセス保護対象装置に送信することを特徴とするネットワークシステムのアクセス認証方法。 Used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network,
The network connection device performs an authentication service for performing authentication processing on the client communication device on behalf of the access protection target device, and the service content from the access protection target device to an access source or a communicating client communication device An access authentication method for a network system, wherein when authentication information obtained by request is received, authentication is executed, and the authentication result is transmitted to the access protection target device.
前記ネットワーク接続装置が前記アクセス保護対象装置に代わって前記クライアント通信装置に対する認証処理を行う認証サービスを行うものとし、そのサービス内容として、前記アクセス保護対象装置からアクセス元または通信中のクライアント通信装置への認証情報の要求、及び前記クライアント通信装置からの認証情報応答を自動的に検知して認証を実行し、その認証結果が適正の場合には認証結果を認証情報に付加して前記アクセス保護対象装置に送信し、不正の場合には認証結果を付加することなく認証情報を前記アクセス保護対象装置に送信するか、あるいは認証情報の送信を遮断することを特徴とするネットワークシステムのアクセス認証方法。 Used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network,
The network connection device performs an authentication service for performing authentication processing on the client communication device in place of the access protection target device, and the service content is from the access protection target device to an access source or a communicating client communication device. Authentication information request and authentication information response from the client communication device are automatically detected to perform authentication, and if the authentication result is appropriate, the authentication result is added to the authentication information and the access protection target An access authentication method for a network system, characterized in that authentication information is transmitted to the access protection target device without adding an authentication result in the case of fraud, or transmission of authentication information is blocked.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004035417A JP2005227993A (en) | 2004-02-12 | 2004-02-12 | Access authentication method for network system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004035417A JP2005227993A (en) | 2004-02-12 | 2004-02-12 | Access authentication method for network system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005227993A true JP2005227993A (en) | 2005-08-25 |
Family
ID=35002671
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004035417A Pending JP2005227993A (en) | 2004-02-12 | 2004-02-12 | Access authentication method for network system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005227993A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010140218A (en) * | 2008-12-11 | 2010-06-24 | Nippon Telegr & Teleph Corp <Ntt> | User authentication method, user authentication system, service providing device, and authentication controller |
JP2012165566A (en) * | 2011-02-07 | 2012-08-30 | Mitsubishi Electric Corp | Power system protection control system and protection control device |
JP2014501959A (en) * | 2010-11-11 | 2014-01-23 | エヌイーシー ヨーロッパ リミテッド | Method and system for providing service access to a user |
-
2004
- 2004-02-12 JP JP2004035417A patent/JP2005227993A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010140218A (en) * | 2008-12-11 | 2010-06-24 | Nippon Telegr & Teleph Corp <Ntt> | User authentication method, user authentication system, service providing device, and authentication controller |
JP2014501959A (en) * | 2010-11-11 | 2014-01-23 | エヌイーシー ヨーロッパ リミテッド | Method and system for providing service access to a user |
JP2012165566A (en) * | 2011-02-07 | 2012-08-30 | Mitsubishi Electric Corp | Power system protection control system and protection control device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11216514B2 (en) | Secure DNS query | |
CN101495956B (en) | Extended one-time password method and apparatus | |
US9692743B2 (en) | Securing organizational computing assets over a network using virtual domains | |
CA2736582C (en) | Authorization of server operations | |
US8813181B2 (en) | Electronic verification systems | |
US20120324545A1 (en) | Automated security privilege setting for remote system users | |
US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
EP2417747B1 (en) | Authenticating a node in a communication network | |
JP4698751B2 (en) | Access control system, authentication server system, and access control program | |
US20100031041A1 (en) | Method and system for securing internet communication from hacking attacks | |
JP2008181310A (en) | Authentication server and authentication program | |
US10873497B2 (en) | Systems and methods for maintaining communication links | |
CN112910867A (en) | Double verification method for trusted equipment to access application | |
US8635454B2 (en) | Authentication systems and methods using a packet telephony device | |
CN106789858B (en) | Access control method and device and server | |
KR101001197B1 (en) | System and method for log-in control | |
US9686270B2 (en) | Authentication systems and methods using a packet telephony device | |
KR101619928B1 (en) | Remote control system of mobile | |
JP2005227993A (en) | Access authentication method for network system | |
US20080060060A1 (en) | Automated Security privilege setting for remote system users | |
WO2014073948A1 (en) | System and method for managing public network | |
JP2005222100A (en) | Client server system, server device and communication control method | |
JP5359292B2 (en) | ACCESS CONTROL SYSTEM, ACCESS CONTROL DEVICE, ACCESS CONTROL METHOD, AND PROGRAM | |
CN117061140A (en) | Penetration defense method and related device | |
KR20130101665A (en) | Intranet security management system, blocking server therefor, and security method thereof |