JP2005227993A - Access authentication method for network system - Google Patents

Access authentication method for network system Download PDF

Info

Publication number
JP2005227993A
JP2005227993A JP2004035417A JP2004035417A JP2005227993A JP 2005227993 A JP2005227993 A JP 2005227993A JP 2004035417 A JP2004035417 A JP 2004035417A JP 2004035417 A JP2004035417 A JP 2004035417A JP 2005227993 A JP2005227993 A JP 2005227993A
Authority
JP
Japan
Prior art keywords
authentication
access
protection target
client communication
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004035417A
Other languages
Japanese (ja)
Inventor
Fumiyuki Taneshige
文之 種茂
Takayuki Nagayoshi
孝行 永吉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone East Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone East Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Nippon Telegraph and Telephone East Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004035417A priority Critical patent/JP2005227993A/en
Publication of JP2005227993A publication Critical patent/JP2005227993A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To facilitate client management at an access protection target device side by eliminating spoofing at the time of client authentication. <P>SOLUTION: A server 14 being an access protection target transmits an authentication information request A2 when an access request A1 is made from client communication equipment 11, and transmits authentication information A3 from the client communication equipment 11 to network connection equipment 12 (A4). The network connection device 12 performs the authentication processing of authentication information A4 based on the communication and connection information of the client communication equipment 11, and notifies the server 14 of the identification processing result A5. The server 14 determines whether or not the client communication equipment 11 being the access origin is a normal user from the authentication processing result A5, and when the client communication equipment 11 is the normal user, the client communication equipment 11 is connected to a line so that a communication enabled state can be set (A6). <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、情報ネットワークのセキュリティ確保が要求されるネットワークシステムに係り、特に、いわゆるクライアント認証技術に属するアクセス認証方法及びアクセス認証サービス方法に関する。   The present invention relates to a network system in which security of an information network is required, and more particularly to an access authentication method and an access authentication service method belonging to so-called client authentication technology.

インターネット上に公開されたサーバにおけるセキュリティの主たるものは、ユーザアクセスの認証の問題である。従来のネットワークシステムにあっては、サーバ(アクセス保護対象装置)自身がアクセス認証機能を持ち、ネットワーク接続装置を経由してユーザ端末(認証クライアント通信装置)からのアクセスを受けたとき、ユーザ本人の認証を行う。その際のユーザ認証には、認証情報として、(1) ユーザパスワード、(2) ユーザIDとパスワードの組み合わせ、(3) 電子証明書を使用した方法がよく用いられる(例えば、非特許文献1、非特許文献2参照)。   The main security of a server published on the Internet is a problem of user access authentication. In the conventional network system, when the server (access protection target device) itself has an access authentication function and receives access from the user terminal (authentication client communication device) via the network connection device, Authenticate. For the user authentication at that time, a method using (1) a user password, (2) a combination of a user ID and a password, and (3) an electronic certificate is often used as authentication information (for example, Non-Patent Document 1, Non-patent document 2).

Larry J. Hughes, Jr. 著「インターネットセキュリティ」p.68-93、1997年2月21日 株式会社インプレス発行、ISBN4-8443-4916-3“Internet Security” by Larry J. Hughes, Jr., p.68-93, February 21, 1997, published by Impress Inc., ISBN4-8443-4916-3

Deborah Russell / G. T. Gangemi Sr. 共著「コンピュータセキュリティの基礎」p.81-93、1994年12月1日 株式会社アスキー発行、ISBN4-7561-0299-9Deborah Russell / G. T. Gangemi Sr., “Basics of Computer Security” p.81-93, December 1, 1994, ASCII Inc., ISBN4-7561-0299-9

しかしながら、上記のような従来のネットワークシステムに用いられるアクセス認証方法では、クライアント(ユーザ)本人の認証を行う際に、アクセス保護対象装置(サーバ)にアクセスする全ての人が認証情報さえ知っていれば、他人のなりすましが可能であるという問題がある(問題1)。また、認証を利用するには、事前にアクセス保護対象装置へクライアントの認証情報を登録しておかなければならないという情報管理上の問題がある(問題2)。さらに、正確に目的のクライアントに渡す必要がある情報が確かに目的のクライアントに渡されたことを実証する根拠となる情報にかけるという問題がある(問題3)。   However, in the access authentication method used in the conventional network system as described above, when the client (user) is authenticated, all the persons who access the access protection target device (server) know even the authentication information. Then, there is a problem that impersonation of other people is possible (problem 1). In addition, in order to use authentication, there is an information management problem that client authentication information must be registered in advance in an access protection target device (Problem 2). Furthermore, there is a problem that information that needs to be accurately passed to the target client is applied to information that is a basis for demonstrating that the information has been passed to the target client (problem 3).

本発明は、上記の問題を解決するために、クライアント本人の認証において、他人のなりすましを排除し、アクセス保護対象装置側のクライアント管理を容易にすることができ、しかも情報送付結果を確認可能なネットワークシステムのアクセス認証方法を提供することを目的とする。   In order to solve the above problems, the present invention eliminates the impersonation of another person in the authentication of the client, can facilitate the client management on the access protection target device side, and can confirm the information transmission result. An object of the present invention is to provide an access authentication method for a network system.

上記の目的を達成するために本発明に係るネットワークシステムのアクセス認証方法は、以下のように構成される。
(1)ネットワーク上に配置されたネットワーク接続装置により、アクセス保護対象装置及びクライアント通信装置間の接続及び通信制御を行うネットワークシステムに用いられ、前記アクセス保護対象装置が、前記クライアント通信装置から自装置宛にアクセス要求があったとき、そのアクセス要求に付加される発信元アドレス情報を認証情報として前記ネットワーク接続装置に送信すること、前記ネットワーク接続装置が前記認証情報を受け付けて認証を実行し、その認証結果を前記アクセス保護対象装置に送信すること、前記アクセス保護対象装置が前記認証結果に基づいて前記クライアント通信装置のアクセスが不正か否かを判断し、不正と判断した場合にはアクセスを遮断することを具備する。 In order to achieve the above object, an access authentication method for a network system according to the present invention is configured as follows.
(1) Used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network, and the access protection target device is connected to the own device from the client communication device. When there is an access request addressed to, the source address information added to the access request is transmitted as authentication information to the network connection device, the network connection device accepts the authentication information and executes authentication, Sending an authentication result to the access protection target device; and determining whether the access of the client communication device is illegal based on the authentication result, and blocking the access if it is determined to be illegal To do.

(2)ネットワーク上に配置されたネットワーク接続装置により、アクセス保護対象装置及びクライアント通信装置間の接続及び通信制御を行うネットワークシステムに用いられ、前記アクセス保護対象装置がアクセス元または通信中のクライアント通信装置に認証情報を要求し、この要求に応答して前記クライアント通信装置からの認証情報を受けた場合に、当該認証情報を前記ネットワーク接続装置に送信すること、前記ネットワーク接続装置が前記認証情報を受け付けて認証を実行し、その認証結果を前記アクセス保護対象装置に送信すること、前記アクセス保護対象装置が前記認証結果に基づいて前記クライアント通信装置のアクセスまたは通信が不正か否かを判断し、不正と判断した場合にはアクセスまたは通信を遮断することを具備する。   (2) Client communication used in a network system for performing connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network, and the access protection target device is an access source or communicating Requesting authentication information from the device, and receiving authentication information from the client communication device in response to the request, transmitting the authentication information to the network connection device; Receiving and executing authentication, transmitting the authentication result to the access protection target device, determining whether the access protection target device is unauthorized to access or communicate with the client communication device based on the authentication result; If it is determined to be illegal, it will block access or communication. To Bei.

(3)ネットワーク上に配置されたネットワーク接続装置により、アクセス保護対象装置及びクライアント通信装置間の接続及び通信制御を行うネットワークシステムに用いられ、前記アクセス保護対象装置がアクセス元または通信中のクライアント通信装置に認証情報を要求すること、前記アクセス保護対象装置のクライアント通信装置への認証情報要求及びこの要求に応答して前記クライアント通信装置から送信される認証情報を検知して認証を実行し、その認証結果が適正の場合には認証結果を認証情報に付加して前記アクセス保護対象装置に送信し、不正の場合には認証結果を付加することなく認証情報を前記アクセス保護対象装置に送信するか、あるいは認証情報の送信を遮断すること、前記アクセス保護対象装置が前記認証情報と共に当該情報に付加される認証結果に基づいて前記クライアント通信装置のアクセスまたは通信が不正か否かを判断し、不正と判断した場合にはアクセスまたは通信を遮断することを具備する。   (3) Client communication used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network, and the access protection target device is an access source or communicating Requesting authentication information from the device, requesting authentication information to the client communication device of the access protection target device and detecting authentication information transmitted from the client communication device in response to the request, and executing authentication, Whether the authentication result is added to the authentication information and transmitted to the access protection target device if the authentication result is proper, or if the authentication result is invalid, the authentication information is transmitted to the access protection target device without adding the authentication result Or blocking the transmission of authentication information, the access protection target device is the authentication information Together based on The added authentication result to the information to determine incorrect or not access or communication of the client communications device comprises a blocking access or communication when determining that illegal.

(4)ネットワーク上に配置されたネットワーク接続装置により、アクセス保護対象装置及びクライアント通信装置間の接続及び通信制御を行うネットワークシステムに用いられ、前記ネットワーク接続装置が前記アクセス保護対象装置に代わって前記クライアント通信装置に対する認証処理を行う認証サービスを行うものとし、そのサービス内容として、前記アクセス保護対象装置からアクセス元または通信中のクライアント通信装置に要求して得られた認証情報の送付を受けた場合に、認証を実行し、その認証結果を前記アクセス保護対象装置に送信する。   (4) Used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network, and the network connection device is replaced with the access protection target device. When an authentication service for performing an authentication process for a client communication device is performed, and as the service content, authentication information obtained by requesting an access source or a communicating client communication device from the access protection target device is received. Then, the authentication is executed, and the authentication result is transmitted to the access protection target device.

(5)ネットワーク上に配置されたネットワーク接続装置により、アクセス保護対象装置及びクライアント通信装置間の接続及び通信制御を行うネットワークシステムに用いられ、前記ネットワーク接続装置が前記アクセス保護対象装置に代わって前記クライアント通信装置に対する認証処理を行う認証サービスを行うものとし、そのサービス内容として、前記アクセス保護対象装置からアクセス元または通信中のクライアント通信装置への認証情報の要求、及び前記クライアント通信装置からの認証情報応答を自動的に検知して認証を実行し、その認証結果が適正の場合には認証結果を認証情報に付加して前記アクセス保護対象装置に送信し、不正の場合には認証結果を付加することなく認証情報を前記アクセス保護対象装置に送信するか、あるいは認証情報の送信を遮断する。   (5) Used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network, and the network connection device replaces the access protection target device. An authentication service for performing an authentication process for a client communication device is performed, and as the service content, a request for authentication information from the access protection target device to an access source or a communicating client communication device, and authentication from the client communication device Information response is automatically detected and authentication is performed. If the authentication result is appropriate, the authentication result is added to the authentication information and transmitted to the access protection target device. If the authentication result is invalid, the authentication result is added. Whether authentication information is transmitted to the access protection target device without performing authentication Or blocking the transmission of authentication information.

(6)(1)〜(5)のいずれかにおいて、前記ネットワークの少なくとも一部はインターネット・プロトコル(IP)で運用され、前記認証は前記クライアント通信装置のIPアドレス及び接続回線情報に基づいて行う。
(7)(1)〜(5)のいずれかにおいて、前記ネットワーク接続装置は、予め前記クライアント通信装置に付与されるアカウントと接続回線の識別子に基づいて認証処理を実行する。 (6) In any one of (1) to (5), at least a part of the network is operated by an Internet protocol (IP), and the authentication is performed based on an IP address and connection line information of the client communication device. .
(7) In any one of (1) to (5), the network connection device executes an authentication process based on an account previously given to the client communication device and an identifier of the connection line.

(8)(7)において、前記ネットワーク接続装置は、前記認証処理にパスワードを併用する。
(9)(1)〜(5)のいずれかにおいて、前記アクセス保護対象装置へ認証結果を送信する際に、電子署名を付加する。 (8) In (7), the network connection device also uses a password for the authentication process.
(9) In any one of (1) to (5), an electronic signature is added when an authentication result is transmitted to the access protection target device.

本発明によれば、クライアント本人の認証において、他人のなりすましを排除し、アクセス保護対象装置側のクライアント管理を容易にすることができ、しかも情報送付結果を確認可能なネットワークシステムのアクセス認証方法を提供することを提供することができる。   According to the present invention, there is provided an access authentication method for a network system that can eliminate impersonation of another person in the authentication of the client, facilitate client management on the access protection target device side, and can confirm the information transmission result. Can be provided.

以下、図面を参照して本発明の一実施形態を詳細に説明する。
(第1の実施形態)
図1は本発明に係る第1の実施形態のネットワークシステムの構成とアクセス認証方法のシーケンスを示す図である。このネットワークシステムでは、ユーザ端末であるクライアント通信装置11が例えば電話回線を通じてネットワーク接続装置12に接続され、このネットワーク接続装置12がIP通信路13を介してアクセス保護対象装置(例えばWWWサーバ)14に接続される。 Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings.
(First embodiment)
FIG. 1 is a diagram showing a configuration of a network system and a sequence of an access authentication method according to the first embodiment of the present invention. In this network system, a client communication device 11 as a user terminal is connected to a network connection device 12 through a telephone line, for example, and this network connection device 12 is connected to an access protection target device (for example, a WWW server) 14 via an IP communication path 13. Connected.

ネットワーク接続装置12は、クライアント通信装置11をアクセス保護対象装置14に接続し、回線接続により両者の通信を可能とするものであり、本発明では、アクセス保護対象装置14に代わってクライアント通信装置11が正規ユーザか否かを認証する認証機能を有することを特徴とする。   The network connection device 12 connects the client communication device 11 to the access protection target device 14 and enables communication between the two by line connection. In the present invention, the client communication device 11 replaces the access protection target device 14. It has the authentication function which authenticates whether or not is a regular user.

以下、図1に示すシーケンスに従って、本発明の認証機能について説明する。
上記ネットワーク接続装置12は、クライアント通信装置11の通信及び接続情報(例:認証クライアントのIPアドレス、セッションに関する情報、電話番号もしくは電話番号を一意に識別できる情報等)を保持している。アクセス保護対象装置14は、クライアント通信装置11からサーバ接続のためのアクセス要求A1があったとき、もしくはクライアント通信装置11との通信開始後に、そのクライアント通信装置11に対して認証情報要求A2を送信する。 Hereinafter, the authentication function of the present invention will be described according to the sequence shown in FIG.
The network connection device 12 holds communication and connection information of the client communication device 11 (for example, an IP address of an authentication client, information on a session, a telephone number or information that can uniquely identify a telephone number). The access protection target device 14 transmits an authentication information request A2 to the client communication device 11 when there is an access request A1 for server connection from the client communication device 11 or after communication with the client communication device 11 is started. To do.

ここで、認証情報要求A2に対してクライアント通信装置11から応答がない場合には、アクセス要求元あるいは通信中のクライアント通信装置11は正規ユーザでないと判断し、アクセスを拒否して回線接続を遮断する。クライアント通信装置11から認証情報の応答A3があった場合、アクセス保護対象装置14は受け取った認証情報をネットワーク接続装置12に送り(A4)、認証処理を依頼する。   Here, when there is no response from the client communication device 11 to the authentication information request A2, it is determined that the access request source or the client communication device 11 in communication is not an authorized user, and the access is refused and the line connection is blocked. To do. When the authentication information response A3 is received from the client communication device 11, the access protection target device 14 sends the received authentication information to the network connection device 12 (A4) and requests an authentication process.

認証情報A4を受け取ったネットワーク接続装置12は、クライアント通信装置11の通信及び接続情報を基に認証情報の適否判定による認証処理を実行し、その認証処理結果A5をアクセス保護対象装置14に通知する。この通知を受けたアクセス保護対象装置14は、認証処理結果A5からアクセス要求元あるいは通信中のクライアント通信装置11が正規ユーザか不正ユーザかを判断し、正規ユーザならばクライアント通信装置11と回線を接続して通信可能状態とする(A6)。   The network connection device 12 that has received the authentication information A4 executes an authentication process by determining whether the authentication information is appropriate based on the communication and connection information of the client communication device 11, and notifies the access protection target device 14 of the authentication processing result A5. . Upon receiving this notification, the access protection target device 14 determines whether the access request source or the client communication device 11 in communication is an authorized user or an unauthorized user from the authentication processing result A5. Connect and enable communication (A6).

本実施形態のアクセス認証方法について、第1の具体例を説明する。
まず、アクセス保護対象装置14としてWWWサーバを想定し、このWWWサーバ14は接続してきたクライアント通信装置11のIPアドレスにより、自分自身の提供するWWWサービスへのアクセスの許可あるいは非許可を決めているとする。一般のIP通信は、クライアントとなる発信元IPアドレスを擬装することができるため、第三者でも特定のクライアントになりすますことができ、これらのIPアドレスによる認証だけではサーバを保護するためには不適当だと言われている。本実施形態のアクセス認証方法によれば、このIPアドレスを使った認証だけでも、悪意のある第三者からサーバ14へのアクセスから保護することが可能となる。 A first specific example of the access authentication method of this embodiment will be described.
First, a WWW server is assumed as the access protection target device 14, and this WWW server 14 determines whether to permit or not permit access to the WWW service provided by the WWW server 14 based on the IP address of the connected client communication device 11. And In general IP communication, a source IP address that becomes a client can be disguised, so even a third party can impersonate a specific client. Authentication by these IP addresses alone is not sufficient to protect the server. It is said that it is appropriate. According to the access authentication method of the present embodiment, it is possible to protect against access from the malicious third party to the server 14 only by using the IP address.

ここで、ネットワーク接続装置12はダイヤルアップ接続等を実現するリモートアクセス装置であり、クライアント通信装置11が接続された回線の識別子(電話番号等)と、クライアント通信装置11が利用しているIPアドレスの組を、回線情報として管理しているとする。   Here, the network connection device 12 is a remote access device that realizes dial-up connection, etc., and the identifier (telephone number etc.) of the line to which the client communication device 11 is connected and the IP address used by the client communication device 11 Are managed as line information.

クライアント通信装置11が、アクセス保護対象となるサーバ14に接続する際、当該サーバ14からの要求により、認証情報として自分自身のIPアドレス情報を通知する。この通知の際、リモートアクセス装置12は、この通信内容とIPアドレス、使われた回線の識別子を通信記録として保存する。アクセス保護対象となるサーバ14は、通知されたIPアドレスが本物かどうか確認するために、リモートアクセス装置12に対し、認証情報として、クライアント通信装置11からの通信内容と送られたIPアドレスを送付する。   When the client communication device 11 connects to the server 14 that is an access protection target, the client communication device 11 notifies its own IP address information as authentication information in response to a request from the server 14. At the time of this notification, the remote access device 12 stores the communication contents, the IP address, and the identifier of the used line as a communication record. The server 14 subject to access protection sends the communication contents from the client communication device 11 and the sent IP address as authentication information to the remote access device 12 to confirm whether the notified IP address is authentic. To do.

この認証情報を受けて、リモートアクセス装置12は、通信記録を検索して該当の通信記録があることを確認し、また回線情報を検索してIPアドレスと回線の識別子を比較することで、クライアント通信装置11が送付したIPアドレスが本物であることを確認する。また、該当の通信記録が存在しない場合、あるいは、IPアドレスと回線の識別子が相違する場合には、リモートアクセス装置12はIPアドレスが偽のものであると判断する。   Receiving this authentication information, the remote access device 12 searches the communication record to confirm that the corresponding communication record exists, and also searches the line information and compares the IP address with the line identifier, so that the client Confirm that the IP address sent by the communication device 11 is authentic. If the corresponding communication record does not exist, or if the IP address and the line identifier are different, the remote access device 12 determines that the IP address is false.

リモートアクセス装置12は、認証処理結果として、IPアドレスが本物か偽かの情報をアクセス保護対象となるサーバ14に送付する。これにより、サーバ14は接続してきたクライアント通信装置11が正規のIPアドレスを使用していることを判断でき、このIPアドレスを用いてアクセスの許可を判断することで、正規のユーザに対して情報およびサービスの提供ができることとなる。   As a result of the authentication process, the remote access device 12 sends information on whether the IP address is genuine or fake to the server 14 to be protected for access. As a result, the server 14 can determine that the connected client communication apparatus 11 is using a regular IP address, and by using this IP address to determine whether access is permitted, information can be provided to the regular user. And the provision of services.

もし、悪意のあるユーザがIPアドレスを擬装してサーバ14にアクセスしてきた場合、サーバ14は認証情報をリモートアクセス装置12に送付し、そのIPアドレスを持つ本当のクライアント通信装置11かどうか判定させる。リモートアクセス装置12は、この通知を受けて、該当するIPアドレスの通信記録があるか否かを判定し、無い場合にはIPアドレスが偽であることをサーバ14に確認する。もし該当の通信記録がある場合でも、回線情報を検索して、該当IPアドレスが使われた回線識別子と一致しない場合、使われたIPアドレスが偽であることをサーバ14に通知する。   If a malicious user accesses the server 14 by impersonating an IP address, the server 14 sends authentication information to the remote access device 12 to determine whether the client communication device 11 has the IP address. . Upon receiving this notification, the remote access device 12 determines whether or not there is a communication record of the corresponding IP address, and if there is not, confirms to the server 14 that the IP address is false. Even if the corresponding communication record exists, the line information is searched, and if the corresponding IP address does not match the used line identifier, the server 14 is notified that the used IP address is false.

サーバ14が認証情報の要求を送った際、IPアドレスを偽装した通信装置11がリモートアクセス装置12を経由していなければ、その応答は得られない。この場合においても、サーバ14はIPアドレスが擬装されていると判断し、クライアントからのアクセスを拒否する。これらの処理により、悪意のあるユーザがIPアドレスを擬装した場合でも、正規ユーザになりすましてサーバ14へアクセスすることができないようにすることができる。   When the server 14 sends a request for authentication information, a response cannot be obtained unless the communication device 11 with a forged IP address passes through the remote access device 12. Even in this case, the server 14 determines that the IP address is disguised, and rejects the access from the client. With these processes, even when a malicious user impersonates an IP address, it is possible to prevent access to the server 14 by impersonating a regular user.

ここで、悪意のあるユーザがリモートアクセス装置12になりすまし、認証情報に対して正規のIPアドレスであるとの回答を擬装してサーバ14へのアクセスを試みる脅威が考えられる。この脅威については、例えば、リモートアクセス装置12からの回答に公開鍵を付加することで解決可能である。この場合、サーバ14はリモートアクセス装置12の公開鍵を保持する必要があるが、一般に、クライアント数に比べてリモートアクセス装置12の数は大幅に少ないと考えられ、クライアントの認証情報を管理する場合に比較して、必要な認証情報の量を大幅に減らすことが可能になる。
次に、本実施形態のアクセス認証方法における第2の具体例を説明する。 Here, there is a threat that a malicious user impersonates the remote access device 12 and attempts to access the server 14 by impersonating a reply that the authentication information is a legitimate IP address. This threat can be solved, for example, by adding a public key to the response from the remote access device 12. In this case, the server 14 needs to hold the public key of the remote access device 12, but generally, the number of remote access devices 12 is considered to be significantly smaller than the number of clients, and the client authentication information is managed. Compared to the above, the amount of required authentication information can be greatly reduced.
Next, a second specific example in the access authentication method of this embodiment will be described.

通常のIP通信では、クライアント通信装置11がサーバ14へのアクセス時に発信元を示す自己のIPアドレスを送信する。したがって、送信元IPアドレスを認証情報に見立てることで、上記のような認証を全く意識せずに使うこともできる。この場合、クライアント通信装置11が通常のWWWアクセスを開始するだけで、サーバ14に発信元のIPアドレスが届くため、サーバ14は取得した発信元IPアドレスについてリモートアクセス装置12に認証をかけることで、クライアント通信装置11のIPアドレスによる認証が可能となる。   In normal IP communication, the client communication device 11 transmits its own IP address indicating the source when accessing the server 14. Therefore, by using the source IP address as authentication information, it is possible to use the authentication without being conscious of the above. In this case, since the client communication device 11 simply starts normal WWW access and the source IP address reaches the server 14, the server 14 authenticates the remote access device 12 with respect to the acquired source IP address. Authentication by the IP address of the client communication device 11 can be performed.

図2に上記IPアドレスを利用した認証方法の流れを示す。まず、クライアント通信装置11がサーバ14にアクセス要求(B1)を発する。このとき、アクセス要求(B1)には、発信元を示すIPアドレスが付加される。このアクセス要求(B1)は、リモートアクセス装置12、IP通信路13を介してサーバ14に送られる。サーバ14はアクセス要求(B1)を受けると、アクセス要求(B1)に付加されている発信元IPアドレスを識別して、このIPアドレスそのものを認証情報(B2)としてリモートアクセス装置12に送り、認証処理を依頼する。   FIG. 2 shows a flow of an authentication method using the IP address. First, the client communication device 11 issues an access request (B1) to the server 14. At this time, an IP address indicating the transmission source is added to the access request (B1). This access request (B 1) is sent to the server 14 via the remote access device 12 and the IP communication path 13. Upon receiving the access request (B1), the server 14 identifies the source IP address added to the access request (B1) and sends the IP address itself as authentication information (B2) to the remote access device 12 for authentication. Request processing.

認証情報B2を受け取ったリモートアクセス装置12は、クライアント通信装置11の通信及び接続情報を基に認証情報の適否判定による認証処理を実行し、その認証処理結果(+電子署名)B3をサーバ14に通知する。この通知を受けたサーバ14は、認証処理結果B3からアクセス要求元あるいは通信中のクライアント通信装置11が正規ユーザか不正ユーザかを判断し、正規ユーザならばクライアント通信装置11と回線を接続して通信可能状態とする(B4)。   Receiving the authentication information B2, the remote access device 12 executes authentication processing based on the authentication information appropriateness determination based on the communication and connection information of the client communication device 11, and sends the authentication processing result (+ electronic signature) B3 to the server 14. Notice. Upon receiving this notification, the server 14 determines from the authentication processing result B3 whether the access request source or the communicating client communication device 11 is an authorized user or an unauthorized user, and if it is an authorized user, connects the client communication device 11 and a line. The communication is enabled (B4).

次に、本実施形態のアクセス認証方法における第3の具体例を説明する。
この具体例では、クライアント通信装置11のユーザが、ネットワーク上で唯一のアカウント名、例えばメールアドレスに相当するシングルアカウントを持っており、アクセス保護対象装置であるサーバ14は、シングルアカウントによりWWWサービスへの許可あるいは非許可を決めているとする。また、クライアント通信装置11のユーザは、ネットワーク接続装置であるリモートアクセス装置12にも他のサーバにも同じシングルアカウントを持っており、このシングルアカウントに対するパスワードがリモートアクセス装置やサーバ毎に別であると管理が煩雑なため、一意にパスワードを決めておきたいものとする。 Next, a third specific example in the access authentication method of this embodiment will be described.
In this specific example, the user of the client communication device 11 has a single account corresponding to a unique account name on the network, for example, an e-mail address, and the server 14 that is an access protection target device goes to the WWW service with a single account. Suppose you decide whether to allow or not. Further, the user of the client communication device 11 has the same single account in both the remote access device 12 which is a network connection device and other servers, and the password for this single account is different for each remote access device and server. Because it is complicated to manage, it is assumed that you want to decide a password uniquely.

一方、ネットワーク接続装置であるリモートアクセス装置12は、クライアント通信装置11がリモートアクセス装置12に接続を申請した際、シングルアカウントにより認証されるとする。正常にシングルアカウントにより認証されたクライアント通信装置11について、リモートアクセス装置12は、認証したシングルアカウントと回線の識別子(電話番号等)の組を、回線情報として管理しているとする。   On the other hand, it is assumed that the remote access device 12 that is a network connection device is authenticated by a single account when the client communication device 11 requests connection to the remote access device 12. Assume that the remote access device 12 manages a pair of an authenticated single account and a line identifier (telephone number or the like) as line information for the client communication apparatus 11 that is normally authenticated by a single account.

認証されたクライアント通信装置11が、アクセス保護対象となるサーバ14に接続する際、認証情報としてシングルアカウントを通知する。この通知の際、リモートアクセス装置12は、この通信内容と共にシングルアカウント及び使用回線の識別子を通信記録として保存する。アクセス保護対象となるサーバ14は、通知されたシングルアカウントが本物かどうか確認するために、リモートアクセス装置12に対して、通信内容と送られたシングルアカウントを認証情報として送付する。   When the authenticated client communication apparatus 11 connects to the server 14 that is an access protection target, it notifies a single account as authentication information. At the time of this notification, the remote access device 12 stores the single account and the identifier of the used line as a communication record together with the communication contents. The server 14 as an access protection target sends the communication contents and the sent single account as authentication information to the remote access device 12 in order to confirm whether the notified single account is authentic.

この認証情報を受けたリモートアクセス装置12は、通信記録を検索して該当の通信記録があることを確認し、また回線情報を検索して、該シングルアカウントと回線の識別子を比較することで、クライアント通信装置11が送付したシングルアカウントが本物であることを確認する。また、該当の通信記録が存在しない場合、あるいは、シングルアカウントと回線の識別子が相違する場合には、リモートアクセス装置12はシングルアカウントが偽のものであると判断する。   Upon receiving this authentication information, the remote access device 12 searches the communication record to confirm that the corresponding communication record exists, searches the line information, and compares the single account with the line identifier. It is confirmed that the single account sent by the client communication device 11 is authentic. If the corresponding communication record does not exist, or if the single account and the line identifier are different, the remote access device 12 determines that the single account is false.

リモートアクセス装置が、認証処理結果として、シングルアカウントが本物か偽かの情報をアクセス保護対象となるサーバ14に送付することで、サーバ14は接続してきたクライアント通信装置11が正規のシングルアカウントを使用していることを判断することができ、当該シングルアカウントを用いてアクセスの許可を判断することで、正規のユーザに対して情報及びサービスの提供ができることとなる。この認証方法によれば、サーバ14はクライアント通信装置11のシングルアカウントのパスワードを管理する必要がなくなり、ユーザはリモートアクセス装置12に対してパスワードを設定することにより、本認証方法を使用するサーバ全てにアクセスすることが可能となる。   As a result of the authentication processing, the remote access device sends information indicating whether the single account is genuine or fake to the access protection target server 14, so that the client communication device 11 to which the server 14 is connected uses a regular single account. It is possible to determine whether or not the user is authorized, and to determine access permission using the single account, information and services can be provided to authorized users. According to this authentication method, the server 14 does not need to manage the password for the single account of the client communication device 11, and the user sets the password for the remote access device 12, so that all servers using this authentication method can be used. Can be accessed.

上記実施形態において、ネットワーク接続装置12は、認証機能をサービスとして提供することができる。この場合のネットワーク接続装置12の処理の流れを図3に示す。
ネットワーク接続装置12は、まず、クライアント通信装置11からアクセス保護対象装置14へのアクセス要求を監視し(ステップS11)、アクセス要求があった場合にはクライアント通信装置11の通信及び接続情報を保持しておく(ステップS12)。続いて、アクセス保護対象装置14から、クライアント通信装置11からのアクセス要求に対して認証情報を要求して受け取った認証情報の送付を監視し(ステップS13)、認証情報の送付を受けた場合には、先に保持したクライアント通信装置11の通信及び接続情報を基に認証情報の適否判定による認証処理を実行する(ステップS14)。認証の結果、認証情報に対応する通信及び接続情報があった場合には適正と判定し、対応する通信及び接続情報がなかった場合には不正と判定して、それぞれの判定結果をアクセス保護対象装置14に通知する(ステップS15)。 In the above embodiment, the network connection device 12 can provide an authentication function as a service. FIG. 3 shows a processing flow of the network connection device 12 in this case.
The network connection device 12 first monitors an access request from the client communication device 11 to the access protection target device 14 (step S11), and holds the communication and connection information of the client communication device 11 when there is an access request. (Step S12). Subsequently, the authentication information received from the access protection target device 14 in response to the access request from the client communication device 11 is monitored (step S13), and when the authentication information is received. Performs authentication processing based on the determination of whether or not the authentication information is appropriate based on the communication and connection information of the client communication device 11 held in advance (step S14). If there is communication and connection information corresponding to the authentication information as a result of authentication, it is determined to be appropriate, and if there is no corresponding communication and connection information, it is determined to be invalid, and each determination result is subject to access protection. The device 14 is notified (step S15).

以上のように、ネットワーク接続装置12において、アクセス保護対象装置14の認証処理を代行し、認証結果を通知するサービスを提供することで、アクセス保護対象装置14は多数のクライアント通信装置のアクセス認証管理から開放され、かつ不正なアクセスを確実に排除することが可能となる。   As described above, the access protection target device 14 provides access authentication management for a large number of client communication devices by providing the service for performing the authentication process of the access protection target device 14 in the network connection device 12 and notifying the authentication result. And unauthorized access can be surely eliminated.

(第2の実施形態)
図4は本発明に係る第2の実施形態のネットワークシステムの構成とアクセス認証方法のシーケンスを示す図である。このネットワークシステムは、第1の実施形態と同様に、ユーザ端末であるクライアント通信装置11が例えば電話回線を通じてネットワーク接続装置12に接続され、このネットワーク接続装置12がIP通信路13を介してアクセス保護対象装置(例えばWWWサーバ)14に接続される。 (Second Embodiment)
FIG. 4 is a diagram showing a network system configuration and an access authentication method sequence according to the second embodiment of the present invention. In this network system, as in the first embodiment, a client communication device 11 that is a user terminal is connected to a network connection device 12 through a telephone line, for example, and this network connection device 12 is protected for access via an IP communication path 13. It is connected to a target device (for example, a WWW server) 14.

ネットワーク接続装置12は、クライアント通信装置11をアクセス保護対象装置14に接続し、回線接続により両者の通信を可能とするものであり、本発明では、アクセス保護対象装置14に代わってクライアント通信装置11が正規ユーザか否かを認証する認証機能を有することを特徴とする。   The network connection device 12 connects the client communication device 11 to the access protection target device 14 and enables communication between the two by line connection. In the present invention, the client communication device 11 replaces the access protection target device 14. It has the authentication function which authenticates whether or not is a regular user.

以下、図4に示すシーケンスに従って、本発明の認証機能について説明する。
上記ネットワーク接続装置12は、クライアント通信装置11の通信及び接続情報(例:認証クライアントのIPアドレス、セッションに関する情報、電話番号もしくは電話番号を一意に識別できる情報等)を保持している。アクセス保護対象装置14は、クライアント通信装置11からサーバ接続要求C1があったとき、そのクライアント通信装置11に対して認証情報要求C2を送信する。 Hereinafter, the authentication function of the present invention will be described in accordance with the sequence shown in FIG.
The network connection device 12 holds communication and connection information of the client communication device 11 (for example, an IP address of an authentication client, information on a session, a telephone number or information that can uniquely identify a telephone number). When there is a server connection request C1 from the client communication device 11, the access protection target device 14 transmits an authentication information request C2 to the client communication device 11.

ここで、ネットワーク接続装置12は、アクセス保護対象装置14からクライアント通信装置11への認証情報要求C2の送信と、この認証情報要C2に対するクライアント通信装置11からの応答C3を検知し、クライアント通信装置11から認証情報の応答があった場合、受け取った認証情報について、クライアント通信装置11の通信及び接続情報を基に適否判定による認証処理を実行し、その認証処理結果C4をアクセス保護対象装置14に通知する。   Here, the network connection device 12 detects the transmission of the authentication information request C2 from the access protection target device 14 to the client communication device 11 and the response C3 from the client communication device 11 to this authentication information requirement C2, and the client communication device 11 receives authentication information response, the authentication processing is performed on the received authentication information based on the communication and connection information of the client communication device 11, and the authentication processing result C4 is sent to the access protection target device 14. Notice.

この通知を受けたアクセス保護対象装置14は、認証処理結果C4からアクセス要求元のクライアント通信装置11が正規ユーザか不正ユーザかを判断し、正規ユーザならばクライアント通信装置11と回線を接続して通信可能状態とする(C5)。
本実施形態のアクセス認証方法における第1の具体例を説明する。 Upon receiving this notification, the access protection target device 14 determines from the authentication processing result C4 whether the client communication device 11 as the access request source is a regular user or an unauthorized user, and if it is a regular user, connects the client communication device 11 and a line. The communication is enabled (C5).
A first specific example in the access authentication method of this embodiment will be described.

第1の実施形態のアクセス認証方法における第1の具体例と同様に、アクセス保護対象となるサーバ14が、接続してきたクライアント通信装置11のIPアドレスにより、自分自身の提供するWWWサービスへのアクセスの許可あるいは非許可を決めているとする。ネットワーク接続装置であるリモートアクセス装置12は、認証クライアントが接続された回線の識別子(電話番号等)と、認証クライアントが利用しているIPアドレスの組を、回線情報として管理しているとする。   As in the first specific example of the access authentication method of the first embodiment, the server 14 that is the access protection target accesses the WWW service provided by itself by the IP address of the client communication device 11 to which the server 14 is connected. Suppose you decide whether to allow or not. It is assumed that the remote access device 12 that is a network connection device manages, as line information, a set of a line identifier (telephone number or the like) to which the authentication client is connected and an IP address used by the authentication client.

クライアント通信装置11が、アクセス保護対象となるサーバ14に接続する際、認証情報として自分自身のIPアドレス情報を通知する。この通知の際、リモートアクセス装置12は、回線情報を検索して、使われている回線とIPアドレスの組が存在することを確認し、存在すればIPアドレスが擬装されていないと判断する。また回線情報を検索して、使われている回線が該当のIPアドレスのものでないと判断した場合、IPアドレスが擬装されていると判断する。このIPアドレスが擬装されているかどうかの判断を認証処理結果として、クライアント通信装置11からサーバ14への通信に付加することで、サーバ14はIPアドレスが本物であるかどうか確認することが可能となる。   When the client communication device 11 connects to the server 14 to be protected for access, it notifies its own IP address information as authentication information. At the time of this notification, the remote access device 12 searches the line information, confirms that the combination of the used line and the IP address exists, and if it exists, determines that the IP address is not impersonated. If the line information is searched and it is determined that the line being used does not have the corresponding IP address, it is determined that the IP address is impersonated. By adding the determination as to whether or not the IP address is impersonated to the communication from the client communication apparatus 11 to the server 14 as an authentication processing result, the server 14 can check whether the IP address is authentic. Become.

ここで、IPアドレスが擬装されている場合、リモートアクセス装置12は、認証情報および認証処理結果をサーバ14に送らないようにするという方法もある。クライアント通信装置11からサーバ14への通信が届かない場合には、サーバ14がサービスを提供することができず、結果としてサーバ14に対してIPアドレスを擬装したクライアント通信装置11からのアクセスを排除することができる。   Here, when the IP address is disguised, there is a method in which the remote access device 12 is configured not to send the authentication information and the authentication processing result to the server 14. When the communication from the client communication device 11 to the server 14 does not reach, the server 14 cannot provide the service, and as a result, the access from the client communication device 11 that impersonates the IP address for the server 14 is excluded. can do.

もし、悪意のあるユーザがIPアドレスを擬装してサーバ14へのアクセスを試みる場合には、その悪意のあるユーザが使うクライアント通信装置11はサーバ14からの要求に応答して認証情報をサーバ14に送付する。このとき、リモートアクセス装置12は、その認証情報応答を検知して、回線情報を検索し、IPアドレスが擬装されていることを確認することができる。このため、サーバ14にIPアドレスが擬装されていることを認証処理結果として通知するか、あるいは認証情報のサーバ14への通知を遮断することで、IPアドレスを擬装したクライアント通信装置11から、サーバ14へアクセスさせないようにすることができる。   If a malicious user attempts to access the server 14 by impersonating the IP address, the client communication device 11 used by the malicious user sends authentication information to the server 14 in response to a request from the server 14. Send to. At this time, the remote access device 12 can detect the authentication information response, search the line information, and confirm that the IP address is impersonated. For this reason, the server 14 notifies the server 14 that the IP address is impersonated as an authentication processing result, or blocks the notification of the authentication information to the server 14 so that the client communication device 11 that impersonates the IP address 14 can be prevented from accessing.

もし、この通信がリモートアクセス装置12を通過しなかった場合、認証情報に認証処理結果が付与されないため、サーバ14はアクセスが不正ユーザであると判定してそのアクセスを拒否し、擬装したIPアドレスを使ったクライアントからの通信を拒絶することが可能となる。これにより、悪意のあるユーザがIPアドレスを擬装した場合にでも、正規ユーザになりすましてサーバ14へアクセスすることができないようにすることができる。   If this communication does not pass through the remote access device 12, since the authentication processing result is not given to the authentication information, the server 14 determines that the access is an unauthorized user, rejects the access, and impersonates the IP address It is possible to refuse communication from clients using. Thereby, even when a malicious user impersonates an IP address, it is possible to prevent access to the server 14 by impersonating a regular user.

本実施形態のアクセス認証方法は、クライアント通信装置11から認証情報が送られた際、通信が経由するネットワーク接続装置12により直ちに認証が行われるため、第1の実施形態のアクセス認証方法と比べて、ネットワーク接続装置12で管理すべき情報の種類が少なくて済むという利点がある。但し、サーバ14により認証方式が異なる場合には、ネットワーク接続装置12が付加すべき認証情報を予め決めることができないため、うまく機能しないという問題がある。全てのアクセス保護対象のサーバが同じデータに基づく認証を行う場合には、本実施形態のアクセス認証方法の方が簡易な認証を可能とする。   In the access authentication method of this embodiment, when authentication information is sent from the client communication device 11, authentication is immediately performed by the network connection device 12 through which communication passes, and therefore, compared with the access authentication method of the first embodiment. There is an advantage that the number of types of information to be managed by the network connection device 12 is small. However, when the authentication method differs depending on the server 14, the authentication information to be added by the network connection device 12 cannot be determined in advance, so that there is a problem that it does not function well. When all the access protection target servers perform authentication based on the same data, the access authentication method of the present embodiment enables simple authentication.

本実施形態のアクセス認証方法における第2の具体例として、第1の実施形態のアクセス認証方法における第2の具体例と同様に、シングルアカウントを利用することが考えられるが、第2の実施形態のアクセス認証方法の第1の具体例と同様に動作するものであるため、説明は割愛する。   As a second specific example of the access authentication method of the present embodiment, it is conceivable to use a single account as in the second specific example of the access authentication method of the first embodiment. Since it operates in the same manner as the first specific example of the access authentication method, the description thereof is omitted.

上記実施形態においても、ネットワーク接続装置12は、認証機能をサービスとして提供することができる。この場合のネットワーク接続装置12の処理の流れを図5に示す。
ネットワーク接続装置12は、まず、クライアント通信装置11からアクセス保護対象装置14へのアクセス要求を監視し(ステップS21)、アクセス要求があった場合にはクライアント通信装置11の通信及び接続情報を保持しておく(ステップS22)。続いて、アクセス保護対象装置14からクライアント通信装置11への認証情報要求、クライアント通信装置11からアクセス保護対象装置14への認証情報送付を監視し(ステップS23)、認証情報の送付を受けた場合には、先に保持したクライアント通信装置11の通信及び接続情報を基に認証情報の適否判定による認証処理を実行する(ステップS24,S25)。 Also in the above embodiment, the network connection device 12 can provide an authentication function as a service. FIG. 5 shows a processing flow of the network connection device 12 in this case.
The network connection device 12 first monitors an access request from the client communication device 11 to the access protection target device 14 (step S21), and holds the communication and connection information of the client communication device 11 when there is an access request. (Step S22). Subsequently, the authentication information request from the access protection target device 14 to the client communication device 11 is monitored, and the authentication information sending from the client communication device 11 to the access protection target device 14 is monitored (step S23). In step S24, S25, authentication processing is performed by determining whether or not the authentication information is appropriate based on the communication and connection information of the client communication apparatus 11 held in advance.

認証の結果、認証情報に対応する通信及び接続情報があった場合には適正と判定し、認証情報に適正判定結果を付加してアクセス保護対象装置14へ通知する(ステップS26)。対応する通信及び接続情報がなかった場合には不正と判定して、認証情報のアクセス保護対象装置14への送信を遮断する(ステップS27)。   If there is communication and connection information corresponding to the authentication information as a result of authentication, it is determined to be appropriate, and the appropriate determination result is added to the authentication information and notified to the access protection target apparatus 14 (step S26). If there is no corresponding communication and connection information, it is determined to be illegal and the transmission of the authentication information to the access protection target apparatus 14 is blocked (step S27).

以上のように、ネットワーク接続装置12において、アクセス保護対象装置14の認証処理を代行し、適正の場合のみ認証情報に認証結果を付加して通知するサービスを提供することで、アクセス保護対象装置14は多数のクライアント通信装置のアクセス認証管理から開放され、かつ不正なアクセスを確実に排除することが可能となる。   As described above, the network connection device 12 performs the authentication process for the access protection target device 14 and provides a service for notifying the authentication information with the authentication result only when it is appropriate, thereby providing the access protection target device 14. Can be freed from the access authentication management of a large number of client communication devices, and unauthorized access can be reliably eliminated.

次に発明の効果として、どのような環境で、どの様に本発明が利用されるのかについて詳細に説明を行う。
一般にインターネットに接続し、公開しているサーバは不特定多数のユーザからのアクセスを受け付けている。しかしサーバによっては、特定のユーザにのみアクセスを許可したいケースや、またサーバの提供するコンテンツの種類によっては、正確に目的のユーザに情報を渡す必要があるケースも考えられる。 Next, as an effect of the invention, in what environment and how the present invention is used will be described in detail.
Generally, a server that is connected to the Internet and is open to the public accepts access from an unspecified number of users. However, depending on the server, there may be cases where it is desired to permit access only to a specific user, or depending on the type of content provided by the server, it is necessary to accurately pass information to the target user.

現在、そのようなニーズに答える仕組みとして、ユーザがアクセスしてきた際に、ユーザIDとパスワードの組み合わせや、電子証明書を使用したアクセス認証が用いられている。しかし、従来方式では、他人のユーザIDとパスワード、もしくは電子証明書用の鍵を手に入さえすれば、他人になりすますことが可能であるという問題(問題1)や、認証を利用するには事前にサーバへユーザの認証情報を登録していなければならないという情報管理の問題(問題2)、また正確に目的のユーザに渡す必要がある情報を確かに目的のユーザに渡したことを実証する根拠となる情報にかけるという問題(問題3)がある。   Currently, as a mechanism for answering such needs, when a user accesses, a combination of a user ID and a password, or access authentication using an electronic certificate is used. However, with the conventional method, it is possible to impersonate another person (Problem 1), or to use authentication, as long as you have another person's user ID and password or electronic certificate key. Demonstrate that the information management problem (problem 2) that user authentication information must be registered in advance on the server and that the information that needs to be accurately passed to the target user has been passed to the target user. There is a problem (problem 3) that the information is applied to the basis information.

本発明は、サーバへのアクセス認証に従来技術の認証の他に、ネットワーク接続装置の保持するユーザの通信及び接続情報(例:認証クライアントのIPアドレス、セッションに関する情報、電話番号もしくは電話番号を一意に識別できる情報等)を利用した認証を行うことで、正規の場所からの正規のユーザのアクセスのみ許可することが可能となる(問題1の解決)。また、サーバとネットワーク接続装置間に信頼関係を築けば、サーバ側にユーザ情報を登録せずにアクセス認証を実現することが可能となる(問題2の解決)。また、ユーザの電話番号もしくは電話番号を一意に識別できる情報を利用してアクセス認証を行うことで、ユーザの所在情報とリンクした高度な認証が可能となる(問題3の解決)。   The present invention uniquely identifies user communication and connection information (eg, IP address of an authentication client, information on a session, telephone number or telephone number) held in a network connection device in addition to authentication in the prior art for access authentication to a server. It is possible to permit only the access of the authorized user from the authorized location (solution of Problem 1). Further, if a trust relationship is established between the server and the network connection device, access authentication can be realized without registering user information on the server side (solution of Problem 2). Further, by performing access authentication using the user's telephone number or information that can uniquely identify the telephone number, high-level authentication linked to the user's location information becomes possible (solution of Problem 3).

尚、本発明は上記実施形態に限定されるものではない。例えばIP通信路やインターネットに限定されず、他のプロトコルによる通信路やLAN,WAN等のネットワークにも適用可能である。   The present invention is not limited to the above embodiment. For example, the present invention is not limited to an IP communication path or the Internet, but can be applied to a communication path using another protocol or a network such as a LAN or WAN.

本発明に係る第1の実施形態のネットワークシステム構成とアクセス認証方法のシーケンスを示す図。The figure which shows the sequence of the network system structure of 1st Embodiment which concerns on this invention, and an access authentication method. 上記第1の実施形態のシステム構成でIPアドレスを利用した認証方法のシーケンスを示す図。The figure which shows the sequence of the authentication method using an IP address with the system configuration | structure of the said 1st Embodiment. 上記第1の実施形態のネットワーク接続装置で実施可能な認証サービスにおける処理の流れを示すフローチャート。The flowchart which shows the flow of a process in the authentication service which can be implemented with the network connection apparatus of the said 1st Embodiment. 本発明に係る第2の実施形態のネットワークシステム構成とアクセス認証方法のシーケンスを示す図。The figure which shows the sequence of the network system structure of 2nd Embodiment which concerns on this invention, and an access authentication method. 上記第1の実施形態のネットワーク接続装置で実施可能な認証サービスにおける処理の流れを示すフローチャート。The flowchart which shows the flow of a process in the authentication service which can be implemented with the network connection apparatus of the said 1st Embodiment.

符号の説明Explanation of symbols

11…クライアント通信装置(ユーザ端末)、12…ネットワーク接続装置、13…IP通信路、14…アクセス保護対象装置(WWWサーバ)。   DESCRIPTION OF SYMBOLS 11 ... Client communication apparatus (user terminal), 12 ... Network connection apparatus, 13 ... IP communication path, 14 ... Access protection object apparatus (WWW server).

Claims (9)

ネットワーク上に配置されたネットワーク接続装置により、アクセス保護対象装置及びクライアント通信装置間の接続及び通信制御を行うネットワークシステムに用いられ、
前記アクセス保護対象装置が、前記クライアント通信装置から自装置宛にアクセス要求があったとき、そのアクセス要求に付加される発信元アドレス情報を認証情報として前記ネットワーク接続装置に送信すること、
前記ネットワーク接続装置が前記認証情報を受け付けて認証を実行し、その認証結果を前記アクセス保護対象装置に送信すること、
前記アクセス保護対象装置が前記認証結果に基づいて前記クライアント通信装置のアクセスが不正か否かを判断し、不正と判断した場合にはアクセスを遮断すること、
を具備することを特徴とするネットワークシステムのアクセス認証方法。 Used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network,
When the access protection target device has an access request addressed to the own device from the client communication device, the source address information added to the access request is transmitted as authentication information to the network connection device;
The network connection device accepts the authentication information and executes authentication, and transmits the authentication result to the access protection target device;
The access protection target device determines whether or not the access of the client communication device is unauthorized based on the authentication result, and blocks the access when it is determined to be unauthorized,
An access authentication method for a network system, comprising: ネットワーク上に配置されたネットワーク接続装置により、アクセス保護対象装置及びクライアント通信装置間の接続及び通信制御を行うネットワークシステムに用いられ、
前記アクセス保護対象装置がアクセス元または通信中のクライアント通信装置に認証情報を要求し、この要求に応答して前記クライアント通信装置からの認証情報を受けた場合に、当該認証情報を前記ネットワーク接続装置に送信すること、
前記ネットワーク接続装置が前記認証情報を受け付けて認証を実行し、その認証結果を前記アクセス保護対象装置に送信すること、
前記アクセス保護対象装置が前記認証結果に基づいて前記クライアント通信装置のアクセスまたは通信が不正か否かを判断し、不正と判断した場合にはアクセスまたは通信を遮断すること、
を具備することを特徴とするネットワークシステムのアクセス認証方法。 Used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network,
When the access protection target device requests authentication information from an access source or a communicating client communication device and receives authentication information from the client communication device in response to the request, the authentication information is sent to the network connection device. Sending to
The network connection device accepts the authentication information and executes authentication, and transmits the authentication result to the access protection target device;
The access protection target device determines whether the access or communication of the client communication device is unauthorized based on the authentication result, and if it is determined to be unauthorized, blocks access or communication;
An access authentication method for a network system, comprising: ネットワーク上に配置されたネットワーク接続装置により、アクセス保護対象装置及びクライアント通信装置間の接続及び通信制御を行うネットワークシステムに用いられ、
前記アクセス保護対象装置がアクセス元または通信中のクライアント通信装置に認証情報を要求すること、
前記アクセス保護対象装置のクライアント通信装置への認証情報要求及びこの要求に応答して前記クライアント通信装置から送信される認証情報を検知して認証を実行し、その認証結果が適正の場合には認証結果を認証情報に付加して前記アクセス保護対象装置に送信し、不正の場合には認証結果を付加することなく認証情報を前記アクセス保護対象装置に送信するか、あるいは認証情報の送信を遮断すること、
前記アクセス保護対象装置が前記認証情報と共に当該情報に付加される認証結果に基づいて前記クライアント通信装置のアクセスまたは通信が不正か否かを判断し、不正と判断した場合にはアクセスまたは通信を遮断すること、
を具備することを特徴とするネットワークシステムのアクセス認証方法。 Used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network,
The access protection target device requests authentication information from an access source or a communicating client communication device;
An authentication information request to the client communication device of the access protection target device and authentication information transmitted from the client communication device in response to the request is detected and authentication is performed. If the authentication result is appropriate, authentication is performed. The result is added to the authentication information and transmitted to the access protection target device. In the case of fraud, the authentication information is transmitted to the access protection target device without adding the authentication result, or the authentication information transmission is blocked. about,
The access protection target device determines whether the access or communication of the client communication device is illegal based on the authentication result added to the information together with the authentication information. If it is determined to be illegal, the access or communication is blocked. To do,
An access authentication method for a network system, comprising: ネットワーク上に配置されたネットワーク接続装置により、アクセス保護対象装置及びクライアント通信装置間の接続及び通信制御を行うネットワークシステムに用いられ、
前記ネットワーク接続装置が前記アクセス保護対象装置に代わって前記クライアント通信装置に対する認証処理を行う認証サービスを行うものとし、そのサービス内容として、前記アクセス保護対象装置からアクセス元または通信中のクライアント通信装置に要求して得られた認証情報の送付を受けた場合に、認証を実行し、その認証結果を前記アクセス保護対象装置に送信することを特徴とするネットワークシステムのアクセス認証方法。 Used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network,
The network connection device performs an authentication service for performing authentication processing on the client communication device on behalf of the access protection target device, and the service content from the access protection target device to an access source or a communicating client communication device An access authentication method for a network system, wherein when authentication information obtained by request is received, authentication is executed, and the authentication result is transmitted to the access protection target device. ネットワーク上に配置されたネットワーク接続装置により、アクセス保護対象装置及びクライアント通信装置間の接続及び通信制御を行うネットワークシステムに用いられ、
前記ネットワーク接続装置が前記アクセス保護対象装置に代わって前記クライアント通信装置に対する認証処理を行う認証サービスを行うものとし、そのサービス内容として、前記アクセス保護対象装置からアクセス元または通信中のクライアント通信装置への認証情報の要求、及び前記クライアント通信装置からの認証情報応答を自動的に検知して認証を実行し、その認証結果が適正の場合には認証結果を認証情報に付加して前記アクセス保護対象装置に送信し、不正の場合には認証結果を付加することなく認証情報を前記アクセス保護対象装置に送信するか、あるいは認証情報の送信を遮断することを特徴とするネットワークシステムのアクセス認証方法。 Used in a network system that performs connection and communication control between an access protection target device and a client communication device by a network connection device arranged on the network,
The network connection device performs an authentication service for performing authentication processing on the client communication device in place of the access protection target device, and the service content is from the access protection target device to an access source or a communicating client communication device. Authentication information request and authentication information response from the client communication device are automatically detected to perform authentication, and if the authentication result is appropriate, the authentication result is added to the authentication information and the access protection target An access authentication method for a network system, characterized in that authentication information is transmitted to the access protection target device without adding an authentication result in the case of fraud, or transmission of authentication information is blocked. 前記ネットワークの少なくとも一部はインターネット・プロトコル(IP)で運用され、前記認証は前記クライアント通信装置のIPアドレス及び接続回線情報に基づいて行うことを特徴とする請求項1乃至5のいずれか記載のネットワークシステムのアクセス認証方法。   6. The network according to claim 1, wherein at least a part of the network is operated by an Internet protocol (IP), and the authentication is performed based on an IP address and connection line information of the client communication device. Network system access authentication method. 前記ネットワーク接続装置は、予め前記クライアント通信装置に付与されるアカウントと接続回線の識別子に基づいて認証処理を実行することを特徴とする請求項1乃至5のいずれか記載のネットワークシステムのアクセス認証方法。   6. The network system access authentication method according to claim 1, wherein the network connection device executes an authentication process based on an account previously given to the client communication device and an identifier of a connection line. . 前記ネットワーク接続装置は、前記認証処理にパスワードを併用することを特徴とする請求項7記載のネットワークシステムのアクセス認証方法。   8. The network system access authentication method according to claim 7, wherein the network connection device uses a password together with the authentication processing. 前記ネットワーク接続装置は、前記アクセス保護対象装置へ認証結果を送信する際に、電子署名を付加することを特徴とする請求項1乃至5のいずれか記載のネットワークシステムのアクセス認証方法。   6. The network system access authentication method according to claim 1, wherein the network connection apparatus adds an electronic signature when transmitting an authentication result to the access protection target apparatus.
JP2004035417A 2004-02-12 2004-02-12 Access authentication method for network system Pending JP2005227993A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004035417A JP2005227993A (en) 2004-02-12 2004-02-12 Access authentication method for network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004035417A JP2005227993A (en) 2004-02-12 2004-02-12 Access authentication method for network system

Publications (1)

Publication Number Publication Date
JP2005227993A true JP2005227993A (en) 2005-08-25

Family

ID=35002671

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004035417A Pending JP2005227993A (en) 2004-02-12 2004-02-12 Access authentication method for network system

Country Status (1)

Country Link
JP (1) JP2005227993A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010140218A (en) * 2008-12-11 2010-06-24 Nippon Telegr & Teleph Corp <Ntt> User authentication method, user authentication system, service providing device, and authentication controller
JP2012165566A (en) * 2011-02-07 2012-08-30 Mitsubishi Electric Corp Power system protection control system and protection control device
JP2014501959A (en) * 2010-11-11 2014-01-23 エヌイーシー ヨーロッパ リミテッド Method and system for providing service access to a user

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010140218A (en) * 2008-12-11 2010-06-24 Nippon Telegr & Teleph Corp <Ntt> User authentication method, user authentication system, service providing device, and authentication controller
JP2014501959A (en) * 2010-11-11 2014-01-23 エヌイーシー ヨーロッパ リミテッド Method and system for providing service access to a user
JP2012165566A (en) * 2011-02-07 2012-08-30 Mitsubishi Electric Corp Power system protection control system and protection control device

Similar Documents

Publication Publication Date Title
US11216514B2 (en) Secure DNS query
CN101495956B (en) Extended one-time password method and apparatus
US9692743B2 (en) Securing organizational computing assets over a network using virtual domains
CA2736582C (en) Authorization of server operations
US8813181B2 (en) Electronic verification systems
US20120324545A1 (en) Automated security privilege setting for remote system users
US20140020067A1 (en) Apparatus and method for controlling traffic based on captcha
EP2417747B1 (en) Authenticating a node in a communication network
JP4698751B2 (en) Access control system, authentication server system, and access control program
US20100031041A1 (en) Method and system for securing internet communication from hacking attacks
JP2008181310A (en) Authentication server and authentication program
US10873497B2 (en) Systems and methods for maintaining communication links
CN112910867A (en) Double verification method for trusted equipment to access application
US8635454B2 (en) Authentication systems and methods using a packet telephony device
CN106789858B (en) Access control method and device and server
KR101001197B1 (en) System and method for log-in control
US9686270B2 (en) Authentication systems and methods using a packet telephony device
KR101619928B1 (en) Remote control system of mobile
JP2005227993A (en) Access authentication method for network system
US20080060060A1 (en) Automated Security privilege setting for remote system users
WO2014073948A1 (en) System and method for managing public network
JP2005222100A (en) Client server system, server device and communication control method
JP5359292B2 (en) ACCESS CONTROL SYSTEM, ACCESS CONTROL DEVICE, ACCESS CONTROL METHOD, AND PROGRAM
CN117061140A (en) Penetration defense method and related device
KR20130101665A (en) Intranet security management system, blocking server therefor, and security method thereof