JP2005309974A - ネットワーク装置、ネットワーク装置を用いた認証方法、認証プログラム、および記録媒体 - Google Patents

ネットワーク装置、ネットワーク装置を用いた認証方法、認証プログラム、および記録媒体 Download PDF

Info

Publication number
JP2005309974A
JP2005309974A JP2004128528A JP2004128528A JP2005309974A JP 2005309974 A JP2005309974 A JP 2005309974A JP 2004128528 A JP2004128528 A JP 2004128528A JP 2004128528 A JP2004128528 A JP 2004128528A JP 2005309974 A JP2005309974 A JP 2005309974A
Authority
JP
Japan
Prior art keywords
packet
communication terminal
authentication
authentication code
network device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004128528A
Other languages
English (en)
Inventor
Masato Kamiya
正人 神谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004128528A priority Critical patent/JP2005309974A/ja
Publication of JP2005309974A publication Critical patent/JP2005309974A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 待ち受けポートを常時開放することなく、かつ接続要求を随時受信することが可能なネットワーク装置および認証方法を提供する。
【解決手段】 インターネットを介して他の通信端末とパケットの送受信を行うネットワーク装置の接続しようとする通信端末を認証する認証方法で、通信端末から送信されるN個(Nは2以上の整数)のパケットに関して、n番目(1≦n≦N)に送信されたパケットの認証用の項目および文字列を設定した認証コードを管理し、通信端末から送信されたN個のパケットのパケット情報を記録・保持して、認証コードのn番目の認証用の項目の文字列と、保持しているn番目のパケット情報の該当項目の文字列を照合し、一致した場合に通信端末を認証する。
【選択図】 図1

Description

本発明は、ネットワーク装置、ネットワーク装置を用いた認証方法、認証プログラム、および記録媒体に関し、特に、IP(Internet Protocol)網におけるコネクション待ち受け側で待ち受けポートを常時開放する必要がないという点において安全な認証方法に適用して有効な技術に関するものである。
従来、インターネット等のネットワークの普及により、前記ネットワークを介して他の通信端末と通信を行うことが可能なネットワーク装置が増えつつある。前記ネットワーク装置はこれまで、パーソナル・コンピュータ、PDA(Personal Digital Assistance)、携帯電話等の情報端末およびそれらの周辺機器が主であったが、近年、たとえば、エアコンディショナーや家庭用ビデオデッキのような家電機器も増えつつある。
前記ネットワーク装置は、インターネットを介して他の通信端末と通信を行うことができる。そのため、たとえば、図9(a)に示すように、外出先から前記通信端末3を用い、インターネット2を介して自宅に設置されたネットワーク装置1にアクセスし、前記ネットワーク装置1を操作することができる。このとき、前記ネットワーク装置1がパーソナル・コンピュータ等の前記情報端末であれば、たとえば、外出先から前記ネットワーク装置1から情報を取り出す、あるいは書き込むといった操作ができる。また、前記ネットワーク装置1が前記家電機器であれば、たとえば、外出先から前記家電機器を操作することができる。
しかしながら、前記通信端末3からインターネット2を介して前記ネットワーク装置1にアクセスできるようにするためには、一般に、前記ネットワーク装置1、もしくはその前に設置されたゲートウェイ装置の、前記通信端末3からの接続要求を受信するための待ち受けポートを常時開放しておく必要がある。そのため、ポートスキャン等により開放されているポートを検知した第三者の通信端末7が、たとえば、図9(a)に示したように、そのポートを利用して前記ネットワーク装置1に不正なアクセスを試みる可能性が高い。また、前記不正なアクセスの他にも、たとえば、コンピュータ・ウイルス等の不正なプログラムが自動的に侵入したりして、前記ネットワーク装置1が被害を受ける可能性が高い。
そこで、近年は、たとえば、不正アクセス防止やコンピュータ・ウイルスの侵入防止等のセキュリティに対する技術力の高い第三者が、図9(b)に示すように、ポータルサイト等の登録サーバ8を設置する方法が提案されている(たとえば、非特許文献1を参照。)。この方法では、エンドユーザが前記通信端末3を用いて、前記ネットワーク装置1に直接アクセスするのではなく、前記登録サーバ8に情報を送信する。そして、前記ネットワーク装置1は、前記登録サーバ8に定期的にアクセスして前記通信端末3からのメッセージを受け取る。そのため、前記ネットワーク装置1は、前記登録サーバ8にアクセスするときだけポートを開放すればよく、不正なアクセスやコンピュータ・ウイルスの進入機会を低減することができる。また、前記登録サーバ8は、前記セキュリティに対する技術力の高い第三者が設置しているため、前記登録サーバ8に対して不正なアクセスを試みた通信端末7からの情報は受け付けない。そのため、正規のエンドユーザが前記登録サーバ8に送信した情報を改ざんされたり、前記ネットワーク装置1に対して不正な情報を送信されたりすることを防げる。
"リモート録画予約サービス「iCommand」", [online], Sony Communication Network, [平成16年4月19日検索], インターネット<URL: http://www.so-net.ne.jp/tv/manual/icom.html>
しかしながら、前記従来技術のうち、前記非特許文献1に記載されたような方法は、前記ネットワーク装置の代理として前記通信端末からの情報(要求)を受け付ける登録サーバを設置する必要がある。そのため、前記登録サーバを設置した第三者における前記登録サーバの管理コストや維持コストが増大するという問題がある。
また、前記非特許文献1に記載されたような方法は、前記ネットワーク装置が定期的に前記登録サーバに対してアクセスをする必要がある。そのため、前記エンドユーザが前記登録サーバに送信した情報(要求)が、前記ネットワーク装置に到着するまでに時間を要し、即時性に欠ける場合がでてくる。即時性を向上させるためには、前記ネットワーク装置が前記登録サーバへアクセスする頻度を上げればよいが、その場合前記登録サーバの処理量が増加し、負荷が非常に高くなるという問題がある。
本発明の目的は、前記待ち受けポートを常時開放することなく、かつ前記インターネットを介した通信端末からの接続要求を随時受信することが可能なネットワーク装置および認証方法を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面によって明らかになるであろう。
本願において開示される発明の概略を説明すれば、以下の通りである。
(1) インターネットを介して他の通信端末とパケットの送受信を行うパケット送受信手段と、前記インターネットを介して接続しようとする通信端末を認証する認証手段とを備えるネットワーク装置であって、前記認証手段は、前記通信端末から送信されるN個(Nは2以上の整数)のパケットに関して、n番目(1≦n≦N)に送信されたパケットの認証用の項目および文字列を設定した認証コードを管理する認証コード管理手段と、前記通信端末から送信されたN個のパケットのパケット情報を、前記通信端末から送信された順に並べたフロー記録を保持するフロー記録保持手段と、前記認証コードのn番目の認証用の項目の文字列と、前記フロー保持手段で保持している前記通信端末のフロー記録のn番目のパケット情報の該当項目の文字列を照合し、1番目からN番目までの全ての項目の文字列が一致した場合に前記通信端末を認証する認証コード照合手段と、前記パケットを送信した通信端末が認証済みの端末であるか否かの判定、および認証済みでない場合に前記フロー記録の作成、ならびに前記認証コード照合手段への認証依頼を行うフロー管理手段とを備えるネットワーク装置である。
(2) インターネットを介して他の通信端末とパケットの送受信を行うことが可能なネットワーク装置に、前記インターネットを介して接続しようとする通信端末を認証する認証方法であって、前記ネットワーク装置で、前記通信端末から送信されるN個(Nは2以上の整数)のパケットに関して、n番目(1≦n≦N)に送信されたパケットの認証用の項目および文字列を設定した認証コードを生成し、管理するステップ1と、前記通信端末から送信されたN個のパケットのパケット情報を、前記通信端末から送信された順に並べたフロー記録を生成し、保持するステップ2と、前記認証コードのn番目の認証用の項目の文字列と、前記通信端末のフロー記録のn番目のパケット情報の該当項目の文字列を照合し、全ての項目の文字列が一致した場合に前記通信端末を認証するステップ3と、前記ステップ3で前記通信端末を認証した場合にのみ、前記認証コードと関連づけられた通信ポートを開放するステップ4とを有する認証方法である。
本発明のネットワーク装置は、前記(1)に記載したように、前記通信端末から送信されたN個のパケットを用いて前記通信端末を認証する。そのため、認証コードを知らない第三者の通信端末が、前記認証コードと一致するような順番でN個のパケットを送信することは難しく、前記第三者の通信端末による不正なアクセスを低減することができる。また、前記ネットワーク装置自身が前記認証手段を備えるため、インターネット上などに設けられた他のサーバを利用しなくてもよく、前記通信端末から直接、前記ネットワーク装置にアクセスし、パケット(要求)を送信することができる。
またこのとき、前記ネットワーク装置は、たとえば、ゲートウェイ装置のように、ホームネットワーク等でネットワークに対応した端末を前記インターネットに接続するときの中継装置のようなものであってもよい。この場合、前記ネットワーク装置は、前記パケット送受信手段および前記認証手段に加え、前記パケットを送信した通信端末が認証済みの場合に、前記通信端末が送信したパケットを、前記ネットワーク装置に接続され、かつ前記パケットを送信した通信端末とは異なる通信端末に転送するパケット転送手段を備える。
また、前記認証コード管理手段は、あらかじめ設定された認証コードを管理する代わりに、前記認証コードを生成するための条件を管理する生成条件管理手段と、前記通信端末から送信されたパケットに基づいて前記認証コードを生成する認証コード生成手段を備えていてもよい。このようにすることで、前記認証コードを動的に変えることができる。
また、前記(1)のネットワーク装置を用いて、前記通信端末を認証するときには、たとえば、前記(2)に記載したようなステップ1からステップ4の処理を行う。このようにすることで、正規の通信端末からアクセス要求があったときに、必要な通信ポートだけを開放することができ、第三者の通信端末による不正なアクセスを低減することができる。
またこのとき、前記ステップ4は、前記ステップ3で認証した通信端末に対してのみ前記通信ポートを開放することで、前記開放した通信ポートを利用した不正なアクセスを防ぐことができる。
またこのとき、前記ステップ1は、同一の項目の同一の文字列が2回以上連続しない認証コードを生成し、前記ステップ3は、前記フロー記録で同一のパケット情報が連続している場合、そのパケット情報を1つのパケット情報と見なして照合してもよい。このようにすることで、タイムアウト等により前記通信端末が同一のパケットを再度送信した場合でも、前記通信端末が正規な通信端末であれば認証することができる。
またこのとき、前記ステップ1は、たとえば、TCPパケットの宛先ポート番号を組み合わせて認証コードを生成することができる。また、その他にも、たとえば、UDPパケットの宛先ポート番号を組み合わせて認証コードを生成してもよい。
また、前記ステップ1は、前記通信端末から送信されたパケットに含まれる項目のうち、2つ以上の項目を組み合わせて認証コードを生成してもよい。この場合、前記ステップ1は、たとえば、TCPパケットの宛先ポート番号およびUDPパケットの宛先ポート番号を組み合わせて認証コードを生成する。
また、前記ステップ1は、m番目(2≦m≦N)に送信されたパケットの認証用の文字列を、m−1番目以前に送信された2個以上のパケットの認証用の文字列と関連づけた認証コードを生成してもよい。このようにすると、たとえば、第三者の通信端末が不正アクセスを試みようとしたときに、前記認証コードを特定することが難しくなる。またこのとき、前記ステップ4は、1番目に送信されたパケットで指定された宛先ポート番号のポートを開放してもよい。
また、前記ステップ1は、前記ネットワーク装置と前記通信端末で、前記認証コードの生成条件および時刻情報を登録するステップと、前記通信端末から送信されたパケットの時刻情報と前記ネットワーク装置の時刻情報を照合し、前記各時刻情報の差があらかじめ定められた閾値以下の場合、前記時刻情報と前記認証コードの生成条件に基づき認証コードを生成するステップとを有してもよい。このようにすると、不正アクセスを試みようとする第三者の通信端末に、正規の通信端末の認証手順を傍受された場合でも、傍受したパケットを用い不正アクセスを防ぐことができる。このとき、前記時刻情報の差は、たとえば、前記通信端末がパケットを生成した時刻と、前記ネットワーク装置が前記通信端末からの最初のパケットを受信した時刻の差とすればよい。
また、前記時刻情報等を用いて動的に認証コードを生成する場合、1度認証に使用した認証コードを認証後あらかじめ定められた期間使用できないようにすることで、前記正規の通信端末の認証手順を傍受された場合でも、傍受したパケットを用いた不正アクセスを防ぐ効果がさらに高くなる。
また、前記(1)のネットワーク装置は、たとえば、コンピュータとプログラムを用いて実現することもできる。この場合、前記(2)に記載されたような各ステップを、コンピュータに実行させる認証プログラムを作成し、前記コンピュータで実行させればよい。またこのとき、前記認証プログラムは、たとえば、磁気的、電気的、光学的な記録媒体に前記コンピュータで読み取り可能な状態で記録して提供することもできるし、インターネット等のネットワークを介して提供することもできる。
以下、本発明について、図面を参照して実施の形態(実施例)とともに詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは、同一符号を付け、その繰り返しの説明は省略する。
本発明のネットワーク装置は、認証手段が設けられており、インターネットを介して前記ネットワーク装置に接続要求を送信した通信端末の認証をし、認証に成功した場合にのみ待ち受けポートを開放する。このとき、前記通信端末の認証に用いる認証コードは、前記通信端末から送信された複数のパケットに含まれる項目の文字列の組み合わせとする。そして、前記各パケットの認証用項目の文字列を前記パケットの送信順に並べたときに、前記認証コードと一致した場合にのみ前記通信端末を認証する。このようにすることで、前記ネットワーク装置の待ち受けポートが常時開放した状態になることを防ぎ、不正アクセスやコンピュータ・ウイルスの侵入機会を低減する。
図1および図2は、本発明による実施例1のネットワーク装置の概略構成を示す模式図であり、図1(a)はネットワーク装置の適用例を示す図、図1(b)はネットワーク装置の構成例を示す図、図2(a)、図2(b)、図2(c)はそれぞれ認証コードの一例を示す図である。
図1(a)において、1はネットワーク装置、2はインターネット、3は通信端末である。また、図1(b)において、101はパケット送受信手段、102は認証手段、102Aは認証コード管理手段、102Bはフロー記録保持手段、102Cは認証コード照合手段、102Dはフロー管理手段、102Eはパケット返信手段、102Fはポリシーテーブル、103はパケット処理手段である。
本実施例1のネットワーク装置1は、たとえば、図1(a)に示すように、インターネット2に直接接続されたネットワーク装置である。このとき、エンドユーザは、パーソナル・コンピュータや携帯電話等の通信端末3を用いて、前記インターネット2を介し、前記ネットワーク装置1に直接アクセスすることができる。
このとき、前記ネットワーク装置1は、たとえば、図1(b)に示すように、前記インターネット2を介して他の通信端末3とのパケットの送受信を行うパケット送受信手段101と、前記ネットワーク装置1にアクセスした通信端末3を認証する認証手段102と、前記認証手段102で認証された通信端末3から送信されたパケットを処理するパケット処理手段103とを備える。またこのとき、前記ネットワーク装置1は、通常、前記通信端末3からのアクセス要求を受信するためのポートを除く全てのポートを閉じた状態であり、前記認証手段102で認証された場合にのみ、あらかじめ定められたポートを開放するようになっているとする。
また、前記認証手段102は、前記インターネット2を介した接続を要求する通信端末3を認証するための認証コードを管理する認証コード管理手段102Aと、前記通信端末3から送信されたパケットから抽出したパケット情報を前記通信端末3からの送信順に並べたフロー記録を保持するフロー記録保持手段102Bと、前記フロー記録と前記認証コードを照合する認証コード照合手段102Cと、前記パケットを送信した通信端末3が認証済みの端末か否かの判定、前記フロー記録の作成、前記照合要求等を行うフロー管理手段102Dとを備える。また、前記認証手段102は、前記各手段102A,102B,102C,102Dに加え、たとえば、認証されていない通信端末から送信されたパケットに対する返信をするパケット返信手段102Eと、前記パケットの返信に関する条件(ポリシー)を保持するポリシーテーブル102Fとを備える。
また、本実施例1のネットワーク装置1では、前記通信端末3から送信されたN個(Nは2以上の整数)のパケットを用いて前記通信端末3の認証を行う。このとき、前記認証コード管理手段102Aで管理する認証コードは、前記通信端末3から送信されたn番目(1≦n≦N)のパケットで認証に用いる項目とその文字列を設定したものとする。このとき、前記通信端末3の認証に3個のパケットを用い、前記認証用の項目としてTCPパケットの宛先ポート番号を用いるとすると、前記認証コードは、たとえば、図2(a)に示すように、前記通信端末3が最初に送信したパケットの宛先TCPポート番号が80番、2番目に送信したパケットの宛先TCPポート番号が12345番、3番目に送信したパケットの宛先TCPポート番号が3785番というように設定することができる。またこのとき、前記認証コードは、図2(a)に示したように、前記認証コードで認証した場合に開放する待ち受けポート番号と関連づけておく。図2(a)に示した認証コードの場合、認証に成功したら80番のポートを開放するように関連づけられている。
また、前記認証コードは、前記TCPパケットの宛先ポート番号に限らず、たとえば、UDPパケットの宛先ポート番号を用いてもよい。このとき、前記通信端末3の認証に3個のパケットを用いるとすると、前記認証コードは、たとえば、図2(b)に示すように、前記通信端末3が最初に送信したパケットの宛先UDPポート番号が1280番、2番目に送信したパケットの宛先UDPポート番号が21245番、3番目に送信したパケットの宛先UDPポート番号が6382番というように設定することができる。そして、前記通信端末が図2(b)に示したような順番でパケットを送信した場合は、前記通信端末3を認証し、たとえば、80番のポートを開放する。
また、前記認証コードは、前記TCPパケットの宛先ポート番号と前記UDPパケットのポート番号を組み合わせて用いてもよい。このとき、たとえば、前記通信端末3の認証に4個のパケットを用いるとすると、前記認証コードは、たとえば、図2(c)に示すように、前記通信端末3が最初に送信したパケットの宛先UDPポート番号が1280番、2番目に送信したパケットの宛先TCPポート番号が4563番、3番目に送信したパケットの宛先TCPポート番号が8989番、4番目に送信したパケットのUDPポート番号が21245番というように設定することができる。そして、前記通信端末3が図2(c)に示したような順番でパケットを送信した場合は、前記通信端末3を認証し、たとえば、80番のポートを開放する。
なお、図2(a)、図2(b)、図2(c)に示した認証コードは、認証コードの一例であり、TCPパケットの宛先ポート番号やUDPパケットの宛先ポート番号に限らず、他の項目およびその文字列の順番を設定してもよい。また、認証に用いるパケットも、3個または4個に限らず、5個以上であってもよい。
図3は、本実施例1のネットワーク装置の認証手段の動作を説明するためのフロー図である。
本実施例1のネットワーク装置1を用いて、前記インターネット2を介して前記ネットワーク装置1への接続を要求する通信端末3を認証するときには、あらかじめ、図2(a)、図2(b)、図2(c)に示したような認証コードを生成し、前記認証コード管理手段102Aで保持しておく。また、前記認証コードは、たとえば、前記ネットワーク装置1への接続を許可する正規の通信端末にも登録しておく。
このとき、前記他の通信端末3がインターネット2を介して前記ネットワーク装置1に接続要求のパケットを送信し、そのパケットを前記ネットワーク装置1が受信すると、前記ネットワーク装置1は、まず、図3に示すように、受信したパケットからパケット情報を抽出する(ステップ401)。前記ステップ401は、前記認証手段102のフロー管理手段102Dで行う。また、抽出するパケット情報は、たとえば、前記パケットの送信元IPアドレスやポート番号等のヘッダ情報とする。
前記パケット情報を抽出したら、次に、抽出したパケット情報を参照して、前記パケットを送信した通信端末3が認証済みの端末であるか否かを判定する(ステップ402)。このとき、前記認証済みの端末の情報は、たとえば、前記フロー記録保持手段102Bで保持しておく。そして、前記通信端末3から送信されたパケット情報と前記フロー記録保持手段102Bで保持している情報を照合し、一致した場合に認証済みの端末であると判定する。前記ステップ402で、前記パケットを送信した通信端末3が認証済みの端末であると判定された場合、前記パケットを前記フロー管理手段102Dから前記パケット処理手段103に転送し、前記パケットに記述された処理を行わせる(ステップ403)。前記ステップ403では、たとえば、前記パケットで指定された動作を前記ネットワーク装置1に実行させる。
一方、前記ステップ402で、前記パケットを送信した通信端末3が認証済みでない端末であると判定された場合、前記パケット情報をフロー記録として前記フロー記録保持手段102Bで保持する(ステップ404)。このとき、前記フロー記録保持手段102Bに、前記パケットを送信した通信端末3が送信した他のパケットに関するフロー記録をすでに保持しているのであれば、そのフロー記録に前記パケット情報を追加する。またこのとき、前記フロー記録の各パケット情報は、前記通信端末3が送信した順に並べて保持する。
前記ステップ404の処理が済んだら、次に、前記フロー記録保持手段102Bで保持している前記通信端末3に関するフロー記録を前記認証コード照合手段102Cに渡し(ステップ405)、前記認証コードと照合して(ステップ406)、一致するか否かを判定する(ステップ407)。前記ステップ406では、たとえば、まず、前記認証コード管理手段102Aで管理している認証コードの1つを選択し、その認証コードの1番目に設定されている認証用の項目の文字列と、前記フロー記録の最初のパケットの認証用の項目の文字列を比較する。そして、それらが一致する場合は、前記認証コードの2番目に設定されている項目の文字列と前記フロー記録の2番目のパケットの項目の文字列を比較する。こうして、前記全ての項目の文字列が一致した場合、前記通信端末3を認証する。前記通信端末3を認証したら、前記通信端末3のフロー記録に認証済みであることを示す情報を追加し、前記フロー記録保持手段102Bで保持する(ステップ408)。また、前記ステップ408の処理が済んだら、前記通信端末3が送信したパケットを前記パケット返信手段102Eに渡す(ステップ409)。
一方、前記選択した認証コードの項目の文字列と前記フロー記録の項目の文字列が途中で一致しなくなった場合、あるいは前記フロー記録に比較するパケットがない場合は、前記認証コードでは認証できない。そのため、前記認証コード管理手段102Aで他の認証コードを保持している場合は、別の認証コードを用いて前記ステップ406およびステップ407の処理を繰り返す。そして、全ての項目の文字列が一致する認証コードがあれば、前記ステップ408およびステップ409の処理を行う。また、全ての認証コードで前記ステップ406およびステップ407の処理を行った結果、全ての項目の文字列が一致する認証コードがなかった場合、前記ステップ408の処理をとばして、前記ステップ409の処理を行う。
また、前記パケット返信手段102Eでは、前記ステップ409において前記通信端末3が送信したパケットを受け取ると、前記ポリシーテーブル102Fを参照し、前記通信端末3に対してパケットを返信するか否かの判定をする(ステップ410)。このとき、前記ポリシーテーブル102Fにおいて、前記通信端末3にパケットを返信するように設定されているとすれば、前記パケット返信手段102Eは、RSTフラグを立てたパケットを生成し、前記パケット送受信手段101を介して前記通信端末3に生成したパケットを返信し(ステップ411)、次のパケットを受信するまで待機する。また、前記ポリシーテーブルにおいて、前記通信端末3にパケットを返信しないように設定されているとすれば、前記パケット返信手段102Eは、前記通信端末3から送信されたパケットを破棄し(ステップ412)、次のパケットを受信するまで待機する。
図4および図5は、本実施例1のネットワーク装置における認証手順を説明するための模式図であり、図4は正規の通信端末からアクセスを試みた場合のシーケンス図、図5は不正なアクセスを試みた場合のシーケンス図である。
本実施例1のネットワーク装置1では、たとえば、図2(a)、図2(b)、図2(c)に示したような認証コードを用い、図3に示したような手順で前記ネットワーク装置1にアクセスを試みた通信端末3の認証を行う。そこで次に、図2(a)に示したような認証コードが設定されている場合の前記ネットワーク装置1における具体的な認証手順を説明する。
まず、前記通信端末(以下、端末Aという)が認証コードを保持している場合、あるいは前記端末Aは認証コードを保持していないが前記端末Aを操作するユーザが前記ネットワーク装置1に保持されている認証コードを知っている場合を説明する。このとき、前記端末Aは、まず、前記ネットワーク装置1とのコネクションを確立するために、SYNフラグを立てたパケットを生成し、前記ネットワーク装置1に送信する。またこのとき、前記SYNフラグを立てたパケットは、前記認証コードの1番目に指定されている認証用の項目、すなわち宛先TCPポート番号を80番として前記ネットワーク装置1に送信する。このパケットを受信した前記ネットワーク装置1は、図3に示したような処理を行う。このとき、前記端末Aから送信されたパケットは1つである。そのため、前記ステップ406の照合を行うと、図5に示したように、前記端末Aからのフロー記録と前記認証コードは一致しない。そこで、前記ネットワーク装置1は、前記フロー記録を前記フロー記録保持手段102Bに保持させた後、前記端末AにRSTフラグを立てたパケットを返信する。
前記端末Aは、たとえば、図4に示したように、前記宛先TCPポート番号を80番にしたパケットに対する返信パケットを受信すると、再びSYNフラグを立てたパケットを生成し、前記ネットワーク装置1に送信する。このとき、前記端末Aが送信するパケットは、前記ネットワーク装置1に対して2回目に送信するパケットであるため、このパケットは、前記認証コードの2番目に指定されている認証用の項目、すなわち宛先TCPポート番号を12345番として前記ネットワーク装置1に送信する。このパケットを受信した前記ネットワーク装置1は再び、図3に示したような処理を行う。このとき、前記端末Aから送信されたパケットは2つであり、前記端末Aのフロー記録は、最初に送信した宛先TCPポート番号が80番のパケットのパケット情報と、2番目に送信した宛先TCPポート番号が12345番のパケットのパケット情報が記録されている。このときも、前記ステップ406の照合を行うと、図5に示したように、前記端末Aからのフロー記録と前記認証コードは一致しない。そこで、前記ネットワーク装置1は、前記フロー記録を前記フロー記録保持手段102Bに保持させた後、前記端末AにRSTフラグを立てたパケットを返信する。
前記端末Aは、たとえば、図4に示したように、前記宛先TCPポート番号を12345番にしたパケットに対する返信パケットを受信すると、再びSYNフラグを立てたパケットを生成し、前記ネットワーク装置1に送信する。このとき、前記端末Aが送信するパケットは、前記ネットワーク装置1に対して3回目に送信するパケットであるため、前記認証コードの3番目に指定されている認証用の項目、すなわち宛先TCPポート番号を3785番とし、SYNフラグを立てたパケットを生成して前記ネットワーク装置1に送信する。このパケットを受信した前記ネットワーク装置1は再び、図3に示したような処理を行う。このとき、前記端末Aから送信されたパケットは3つになり、前記端末Aのフロー記録は、最初に送信した宛先TCPポート番号が80番のパケットのパケット情報、2番目に送信した宛先TCPポート番号が12345番のパケットのパケット情報、および3番目に送信した宛先TCPポート番号が3785番のパケットのパケット情報が記録されている。そのため、前記ステップ406の照合を行うと、図5に示したように、前記端末Aからのフロー記録と前記認証コードが一致する。そこで、前記ネットワーク装置1は、前記フロー記録に認証済みであることを示す情報を追加して前記フロー記録保持手段102Bに保持させた後、前記端末AにRSTフラグを立てたパケットを返信する。また、前記ネットワーク装置1は、前記端末Aにパケットを返信した後、たとえば、前記認証コードと関連づけされた80番のポートを待ち受けポートとして開放する。またこのとき、前記待ち受けポートは、たとえば、前記認証に成功した端末Aに対してのみ開放することが好ましい。このようにすることで、前記待ち受けポートを開放している間に、開放されているポートを利用して他の通信端末に不正なアクセスをされることを防げる。
前記端末Aは、たとえば、図4に示したように、前記宛先TCPポート番号を3875番にしたパケットを送信し、そのパケットに対する返信パケットを受信すると、前記ネットワーク装置1が前記端末Aを認証したと判断する。そこで、前記端末Aは、前記ネットワーク装置1とのTCPコネクションを確立するために、宛先TCPポート番号を前記認証コードと関連づけられた待ち受けポート(80番)にしたパケットを前記ネットワーク装置1に送信する。このとき、前記ネットワーク装置1は前記端末Aを認証し、待ち受けポート(80番)を開放しているので、前記ネットワーク装置1は、前記待ち受けポートを開放していることを示すパケットを前記端末Aに返信する。前記端末Aは、この返信パケットを受け取ると、前記待ち受けポートに対して、たとえば、前記ネットワーク装置1を操作するための命令が記述されたパケット等を送信し、前記ネットワーク装置1を操作(リモートコントロール)することが可能となる。
また、詳細な説明は省略するが、前記端末Aが前記ネットワーク装置1の開放された待ち受けポートを利用した後、前記ネットワーク装置は、前記端末Aとの接続が切断された時点、あるいは前記端末Aからの最後のパケットを受信してからあらかじめ定められた時間が経過した時点で前記開放したポートを閉じる。
次に、前記ネットワーク装置1に保持されている認証コードを知らないユーザが、前記認証コードを保持していない通信端末(以下、端末Bという)を用いて前記ネットワーク装置1にアクセスした場合を説明する。このとき、前記端末Bは、前記端末Aと同様に、前記ネットワーク装置1とのコネクションを確立するために、SYNフラグを立てたパケットを生成し、前記ネットワーク装置1に送信する。ところが、前記端末Bあるいはそのユーザは、認証コードがわからない。また、前記認証コードの1番目に指定されている認証用の項目、すなわち宛先TCPポート番号には、0から65535のいずれかを指定しなければならない。そのため、前記端末Bが最初に送信するパケットの宛先TCPポート番号が、前記認証コードの1番目に指定されている宛先TCPポートの番号と一致している可能性は低い。そのため、前記ネットワーク装置1が前記端末Bを認証する可能性は低い。つまり、本実施例1のネットワーク装置1では、前記認証コードが図2(a)に示したような設定になっている場合、前記端末Bから最初に送信したパケットの宛先TCPポート番号が80番でなければ、それ以降に前記端末Bが連続してパケットを送信しても、前記端末Bは認証されず、前記ネットワーク装置1が待ち受けポートを開放することはない。そのため、たとえば、前記端末Bを用いて前記ネットワーク装置1に不正なアクセスをされる可能性を低減することができる。特に、前記認証コードの1番目の宛先TCPポート番号を、利用頻度の低いポート番号にしておけば、前記端末Bから最初に送信されたパケットの宛先TCPポート番号と前記認証コードの1番目の宛先TCPポート番号が一致する可能性が低くなり、不正アクセスの防止に有効である。
ただし、前記認証コードの認証用の項目として前記宛先TCPポート番号を指定した場合、前記端末Bから最初のパケットを送信するときに、たとえば、図5に示すように、前記最初のパケットの宛先TCPポート番号が、前記認証コードの1番目の宛先TCPポート番号と一致する可能性がある。しかしながら、本実施例1のネットワーク装置1では、前記端末Bから続けて送信するパケットの宛先TCPポート番号が、前記認証コードの2番目以降の宛先TCPポート番号と一致しないと認証されない。このとき、たとえば、前記端末Bが2番目に送信するパケットにおいて、図5に示したように、前記宛先TCPポート番号が13579番となっていれば、前記認証コードの2番目の宛先TCPポート番号(12345番)とは異なるので、この場合も、連続して3つのパケットを送信しても前記端末Bは認証されず、前記ネットワーク装置1が待ち受けポートを開放することはない。つまり、前記認証コードを知らないユーザが前記端末Bを用いて前記ネットワーク装置1にアクセスする場合、たとえば、3つのパケットを連続して前記ネットワーク装置1に送信しても、各パケットの宛先TCPポート番号をパケットの送信順に並べたときに、前記認証コードで指定されている宛先TCPポート番号の順番と一致する可能性は低い。そのため、前記認証コードを知らないユーザが前記端末Bを用いて前記ネットワーク装置1に不正なアクセスを試みても、前記端末Bが認証される可能性は低い。
以上説明したように、本実施例1のネットワーク装置1によれば、前記ネットワーク装置1へのアクセスを試みた通信端末3は、連続して複数のパケットを送信し、かつ、前記各パケットの認証用の項目の文字列を送信順に並べたときに前記認証コードと一致しなければ前記ネットワーク装置1に認証されない。また、前記ネットワーク装置1は、アクセスを試みた前記通信端末3を認証した場合にのみ、指定された待ち受けポートを開放する。そのため、前記認証コードを知らない第三者に、前記認証コードを保持していない通信端末(端末B)を用いて前記ネットワーク装置1に不正なアクセスをされる可能性が低減する。
また、本実施例1のネットワーク装置1を用いて認証を行い、待ち受けポートを開放するときには、前記認証した端末に対してのみ開放することが好ましいが、全ての通信端末に対して開放してもよい。このようにすることで、たとえば、携帯電話のように接続のたびにIPアドレスが異なる可能性がある通信端末を用いた場合においても、認証後にアクセスすることが可能となる。
また、本実施例1のネットワーク装置1を用いた認証方法では、前記認証コードと開放する待ち受けポートのポート番号を関連づけていたいが、これに限らず、たとえば、前記認証コードを用いて前記通信端末3を認証した後、前記通信端末3から送信されたパケットで指定されている待ち受けポートを開放するようにしてもよい。
また、従来の前記ネットワーク装置1等における端末の認証では、たとえば、英数字や数種の記号を組み合わせたパスワードを用いるのが一般的である。このとき、たとえば、aからz、AからZまでのアルファベット、0から9までの数字、!、_、&、$、%の67文字が利用可能であり、これらの文字を用いて6文字のパスワードを作成する場合、その組み合わせは67の6乗通りである。それに対し、本実施例1のように、たとえば、TCPパケットのポート番号を利用する場合、1つのパケットで指定できる宛先ポート番号は、0から65535までの65536通りである。そのため、たとえば、6つのパケットのTCPポート番号で認証する場合、その組み合わせは65536の6乗となる。つまり、本実施例1の認証方法では、従来の英数字等を利用したパスワードよりも複雑な認証コードを用いることで、前記認証コードの解読を困難にすることができる。
また、前記認証コードを設定する場合、認証用の項目は、たとえば、図2(a)、図2(b)、図2(c)に示したような、前記TCPパケットの宛先ポート番号、前記UDPパケットの宛先ポート番号、もしくはそれらの組み合わせに限らず、前記通信端末3から送信されたパケットに含まれるその他のパケット情報(項目)を用いてもよい。一般的なTCPパケットでは、TCPコネクションを確立するために送信する最初のパケットには必ずSYNフラグが付加されるが、このような制約を取り除くことで、たとえば、TCPパケットのシーケンス番号、ACK番号、データオフセットフィールド、リザーブフィールド、コントロールビット、ウインドウサイズ、チェックサム、緊急ポインタフィールド、オプションフィールド等を用いた認証コードを設定することも可能である。このようにすると、たとえば、1番目のパケットのTCPポート番号とSYNフラグ、2番目のパケットのTCPポート番号とFINフラグ、3番目のパケットのTCPポート番号とRSTフラグを認証コードとすることも可能である。
また、本実施例1では、前記正規の通信端末に認証コードを登録しておく場合を例に挙げたが、前記正規の通信端末に前記認証コードを登録する代わりに、たとえば、前記正規の通信端末のユーザが前記認証コードを覚えておき、前記正規の通信端末を用いて前記ネットワーク装置1へアクセスするときに、たとえば、前記正規の通信端末のインターネット・ブラウザ等を用いて前記認証コードに沿った接続動作を行ってもよい。このとき、たとえば、前記ネットワーク装置1のIPアドレスが192.168.1.1であるとし、前記認証コードが図2(a)に示したようなコードであるとすれば、前記通信端末3を用いるユーザは、前記通信端末3のインターネット・ブラウザにおいて、たとえば、http://192.168.1.1:80、http://192.168.1.1:12345、http://192.168.1.1:3785の順にアドレスを指定して前記ネットワーク装置1への接続を行うことで前記通信端末3を認証することができる。このようにすれば、前記正規の通信端末が前記認証コードを保持しないため、前記通信端末から認証コードが漏洩することもでき、認証コードの安全性が向上する。
図6は、本発明による実施例2のネットワーク装置の概略構成を示す模式図であり、図6(a)はネットワーク装置の他の適用例を示す図、図6(b)は図6(a)のように適用する場合のネットワーク装置の構成例を示す図である。
本実施例2のネットワーク装置1は、たとえば、図6(a)に示すように、ホームネットワーク等の第1ネットワーク5内に設置された他のネットワーク装置(以下、ネットワーク対応端末という)6A,6Bとインターネット2の接続を中継する装置である。このとき、前記ネットワーク装置1はゲートウェイ装置としての機能を持ち、エンドユーザは、パーソナル・コンピュータや携帯電話等の前記第1ネットワーク5外の通信端末3を用いて、前記インターネット2および前記ネットワーク装置1を介して、前記ネットワーク対応端末6A,6Bにアクセスすることができる。
本実施例2のネットワーク装置1も、基本的には、図6(b)に示すように、前記パケット送受信手段101と、前記認証手段102と、前記パケット処理手段103とを備える。このとき、前記パケット送受信手段101および認証手段102は、前記実施例1で説明した各手段102A,102B,102C,102D,102E,102Fと同等であるため、詳細な説明は省略する。また、本実施例2のネットワーク装置1において、前記パケット処理手段103は、前記実施例1のネットワーク装置1と異なり、前記通信端末3から送信されたパケットを前記ネットワーク対応端末6A,6Bに転送するとともに、前記ネットワーク対応端末6A,6Bから送信されたパケットを前記通信端末3に転送するパケット転送手段であるとする。
また、本実施例2のネットワーク装置1において、前記認証コード管理手段102Aで管理する認証コードも、前記実施例1で説明した認証コードと同じでよいため、詳細な説明は省略する。
また、本実施例2のネットワーク装置1における認証手段102の動作も、前記実施例1で説明した動作と同じであるため、詳細な説明は省略する。ただし、本実施例2のネットワーク装置1の場合、たとえば、図3に示したステップ402において前記パケットを受信した通信端末3が認証済みの端末であると判定した場合、前記ステップ403では、たとえば、受信したパケットのIPヘッダのIPアドレスを前記第1ネットワーク5内のアドレス体系のIPアドレスに変換して前記ネットワーク対応端末6A,6Bに転送する。前記ステップ403の処理は、前記パケット処理手段(パケット転送手段)103で行う。
図7は、本実施例2のネットワーク装置における認証手順を説明するための模式図であり、正規の通信端末からアクセスを試みた場合のシーケンス図である。
本実施例2のようなネットワーク構成の場合、前記通信端末3が前記ネットワーク対応端末6A,6Bにアクセスするためには、まず、前記インターネット2を介して前記ネットワーク装置1にアクセスする必要がある。そして、前記ネットワーク装置1において前記通信端末3が認証された場合に限り、前記通信端末3から送信されたパケットが、前記ネットワーク装置1から前記ネットワーク対応端末6A,6Bに転送される。つまり、本実施例2の場合、前記通信端末3は、まず、図7に示すように、前記ネットワーク装置1との接続を確立するためのSYNフラグを立てたパケットを生成し、前記ネットワーク装置1に送信する。このとき、前記認証コードは、たとえば、図2(a)に示したような認証コードとする。またこのとき、前記通信端末(以下、端末Aという)が認証コードを保持している、あるいは前記端末Aは認証コードを保持していないが前記端末Aを操作するユーザが前記ネットワーク装置に保持されている認証コードを知っているのであれば、前記SYNフラグを立てたパケットは、前記認証コードの1番目に指定されている認証用の項目、すなわち宛先TCPポート番号を80番として前記ネットワーク装置1に送信する。
前記端末Aからのパケットを受信した前記ネットワーク装置1は、図3に示したような処理を行う。そして、前記端末Aのフロー記録を前記フロー記録保持手段102Bに保持させた後、前記端末AにRSTフラグを立てたパケットを返信する。
その後、前記端末Aから3回目のパケット、すなわち宛先TCPポート番号を3785番としたパケットを前記ネットワーク装置1に送信し、前記ネットワーク装置1がそのパケットに対する返信パケットを送信し、待ち受けポートを開放するところまでは、前記実施例1と同じであるため、詳細な説明は省略する。
前記端末Aは、たとえば、図7に示したように、前記宛先TCPポート番号を3875番にしたパケットを送信し、そのパケットに対する返信パケットを受信すると、前記ネットワーク装置1が前記端末Aを認証したと判断する。そこで、前記端末Aは、前記ネットワーク装置1とのTCPコネクションを確立するために、宛先TCPポート番号を前記認証コードと関連づけられた待ち受けポート(80番)にしたパケットを前記ネットワーク装置1に送信する。このとき、前記ネットワーク装置1は前記端末Aを認証し、待ち受けポート(80番)を開放しているので、前記ネットワーク装置1は、前記待ち受けポートを開放していることを示すパケットを前記端末Aに返信する。前記端末Aは、この返信パケットを受け取ると、前記ネットワーク対応端末6A,6Bに対して送信するパケットを生成する。そして、生成したパケットを前記ネットワーク装置1の開放されている待ち受けポートに対して送信する。前記ネットワーク装置1は、前記端末Aから送信されたパケットを受信すると、前記認証手段102で前記端末Aが認証済みの端末であると判定される。そして、受信したパケットはパケット処理手段(パケット転送手段)103に転送する。このパケットを受信した前記パケット処理手段103は、たとえば、前記パケットのIPヘッダに記述されたIPアドレスを変換し、前記パケット送受信手段101を介して指定されたネットワーク対応端末6A,6Bに転送する。また、図示は省略するが、前記端末Aからのパケットを受信した前記ネットワーク対応端末6A,6Bは、前記パケットで指定された処理を行う。
また、詳細な説明は省略するが、前記端末Aが前記ネットワーク装置の開放された待ち受けポートを利用した後、前記ネットワーク装置は、前記端末Aとの接続が切断された時点、あるいは前記端末Aからの最後のパケットを受信してからあらかじめ定められた時間が経過した時点で前記開放したポートを閉じる。
また、詳細な説明は省略するが、前記ネットワーク装置に保持されている認証コードを知らないユーザが、前記認証コードを保持していない通信端末(以下、端末Bという)を用いて前記ネットワーク装置にアクセスした場合は、前記実施例1と同様に、前記端末Bが前記ネットワーク装置に認証される可能性は低い。そのため、前記端末Bを用いて前記ネットワーク対応端末に不正なアクセスをされる可能性を低減することができる。
以上説明したように、本実施例2のネットワーク装置1によれば、前記ネットワーク装置1へのアクセスを試みた通信端末3は、連続して複数のパケットを送信し、かつ、前記各パケットの認証用の項目の文字列を送信順に並べたときに前記認証コードと一致しなければ前記ネットワーク装置1に認証されない。また、前記ネットワーク装置1は、アクセスを試みた前記通信端末3を認証した場合にのみ、指定された待ち受けポートを開放する。そのため、前記認証コードを知らない第三者に、前記認証コードを保持していない通信端末(端末B)を用いて前記ネットワーク装置1に不正なアクセスをされる可能性が低減する。その結果、たとえば、ホームネットワークのように、複数のネットワーク対応端末6A,6Bで構成されるネットワークでも、前記ネットワーク対応端末6A,6Bへの不正なアクセスを低減することができる。また、本実施例2のネットワーク装置1のように、前記第1ネットワーク5内の複数のネットワーク対応端末6A,6Bとインターネット2の接続を中継するネットワーク装置(ゲートウェイ装置)において前記通信端末の認証を行うことで、前記各ネットワーク対応端末6A,6Bは前記認証手段102を持たなくてもよくなる。
また、本実施例2のネットワーク装置1を用いて認証を行い、待ち受けポートを開放するときにも、前記認証した端末に対してのみ開放することが好ましいが、全ての通信端末に対して開放してもよい。このようにすることで、たとえば、携帯電話のように接続のたびにIPアドレスが異なる可能性がある通信端末を用いた場合においても、認証後にアクセスすることが可能となる。
また、本実施例2のネットワーク装置1を用いた認証方法でも、たとえば、前記認証コードを用いて前記通信端末3を認証した後、前記通信端末3から送信されたパケットで指定されている待ち受けポートを開放するようにしてもよい。
また、前記認証コードを設定する場合、認証用の項目は、たとえば、図2(a)、図2(b)、図2(c)に示したような、前記TCPパケットの宛先ポート番号、前記UDPパケットの宛先ポート番号、もしくはそれらの組み合わせに限らず、前記通信端末3から送信されたパケットに含まれるその他のパケット情報(項目)を用いてもよい。一般的なTCPパケットでは、TCPコネクションを確立するために送信する最初のパケットには必ずSYNフラグが付加されるが、このような制約を取り除くことで、たとえば、TCPパケットのシーケンス番号、ACK番号、データオフセットフィールド、リザーブフィールド、コントロールビット、ウインドウサイズ、チェックサム、緊急ポインタフィールド、オプションフィールド等を用いた認証コードを設定することも可能である。このようにすると、たとえば、1番目のパケットのTCPポート番号とSYNフラグ、2番目のパケットのTCPポート番号とFINフラグ、3番目のパケットのTCPポート番号とRSTフラグを認証コードとすることも可能である。
また、本実施例2の認証方法の場合も、前記ネットワーク装置1に接続を試みる正規の通信端末に前記認証コードを登録しておいてもよいし、前記正規の通信端末に前記認証コードを登録する代わりに、たとえば、前記正規の通信端末のユーザが前記認証コードを覚えておき、前記正規の通信端末を用いて前記ネットワーク装置1へアクセスするときに、たとえば、前記正規の通信端末のインターネット・ブラウザ等を用いて前記認証コードに沿った接続動作を行ってもよい。このとき、たとえば、前記ネットワーク装置1のIPアドレスが192.168.1.1であるとし、前記認証コードが図2(a)に示したようなコードであるとすれば、前記通信端末3を用いるユーザは、前記通信端末3のインターネット・ブラウザにおいて、たとえば、http://192.168.1.1:80、http://192.168.1.1:12345、http://192.168.1.1:3785の順にアドレスを指定して前記ネットワーク装置1への接続を行うことで前記通信端末3を認証することができる。このようにすれば、前記正規の通信端末が前記認証コードを保持しないため、前記通信端末から認証コードが漏洩することもでき、認証コードの安全性が向上する。
図8は、本発明による実施例3のネットワーク装置における認証手順を説明するための模式図であり、通信端末からアクセスを試みた場合のシーケンス図である。
前記実施例1および前記実施例2では、前記通信端末3から前記ネットワーク装置1にパケットを送信した後、前記ネットワーク装置1からRSTフラグを立てた返信パケットを受信してから、次のパケットを送信する場合を例に挙げて説明したが、前記ネットワーク装置1や前記通信端末3と前記ネットワーク装置1の間のネットワークの状態によっては、前記RSTフラグを立てた返信パケットが前記通信端末3に到達するまでの時間が長くなる場合がある。また、前記通信端末3等で用いられる一般的なインターネット閲覧ソフト(ブラウザ)の場合、あらかじめ定められた時間内に前記ネットワーク装置1からのパケットが返ってこない場合、直前に送信したパケットを自動的に再送信することがある。このような場合、たとえば、前記通信端末3から1回目のパケットを前記ネットワーク装置1に送信した後、あらかじめ定められた時間内に前記ネットワーク装置1から返信パケットが返ってこないと、前記通信端末3は、前記1回目のパケットを再度前記ネットワーク装置1に送信してしまう。そうすると、前記実施例1や実施例2の方法の場合、前記ネットワーク装置1は、再度送信した1回目のパケットを2回目のパケットとしてしまい、前記通信端末3が正規の端末であっても認証に失敗してしまう。そこで、本実施例3では、このような問題を防ぐための認証方法について説明する。
本実施例3のネットワーク装置1を用いた認証方法では、前記認証コードを設定するときに、同一の項目および文字列が2回以上連続しないように設定する。すなわち、認証コードの1番目の項目がTCPパケットの宛先ポート番号で、ポート番号(文字列)が80番であるとすると、2番目の項目はTCPパケットの宛先ポート番号で、ポート番号が80番とはならないようにする。またこのとき、前記2番目の項目は、TCPパケットの宛先ポート番号でもよいが、ポート番号は80番以外の番号とする。
また、このような条件で認証コードを設定した場合、前記フロー記録を保持するときに、たとえば、パケット情報が同一のパケットに関しては1つのパケットとして保持する。このようにすることで、前記通信端末3が同じパケットを再送した場合の認証の失敗を防ぐことができる。
以上のような処理を具体的に説明すると、たとえば、図8に示すように、まず、前記通信端末(端末A)からSYNフラグを立て、宛先TCPポート番号を80番としたパケットを前記ネットワーク装置1に送信したとする。このとき、あらかじめ定められた時間内に、前記ネットワーク装置1からRSTフラグを立てた返信パケットが前記端末Aに届かず、タイムアウトしたとする。このとき、前記端末Aは、SYNフラグを立て、宛先TCPポート番号を80番としたパケットを前記ネットワーク装置1に再度送信する。このとき、前記ネットワーク装置1が、前記実施例1で説明したような処理を行うとすると、前記端末Aが再度送信したパケットは2回目のパケットととらえてしまう。そのため、認証コードと照合するときに、最初のパケットの宛先TCPポート番号が80番、2度目のパケットの宛先TCPポート番号が80番として照合してしまい、前記端末Aの認証に失敗してしまう。
そこで、本実施例3のような方法をとると、前記端末Aが再度送信したパケットは、前記端末Aが最初に送信したパケットと同一であるため、前記ネットワーク装置1は、図8に示したように、前記端末Aが再度送信したパケットを無視して前記認証コードとの照合を行う。また、その後、たとえば、前記端末Aから宛先TCPポート番号が12345番のパケットを受信した前記ネットワーク装置1において、フロー記録と認証コードを照合する場合、図8に示した例では、前記ネットワーク装置1からみると前記宛先TCPポート番号が12345番のパケットは前記端末Aから3番目に送信されたパケットであるが、1番目に送信されたパケットと2番目に送信されたパケットが同一のパケットである。そのため、前記ネットワーク装置1は、前記宛先TCPポート番号が12345番のパケットを2番目に送信されたパケットとして照合する。同様に、前記ネットワーク装置1は、宛先TCPポート番号が3785番のパケットも3番目に送信されたパケットとして照合する。そのため、前記端末Aが前記認証コードで指定された順序でパケットを送信すれば、前記ネットワーク装置1は前記端末Aを認証することができる。
以上説明したように、本実施例3のネットワーク装置1を用いた認証方法では、前記端末Aが、あらかじめ定められた時間内に前記ネットワーク装置1からの返信パケットを受信できず、同一のパケットを再度送信した場合でも、前記端末Aを認証することができる。
前記実施例1から実施例3のネットワーク装置1を用いた認証方法では、前記ネットワーク装置1は、前記通信端末3からパケットを受信し、フロー記録と認証コードの照合を行った後、前記通信端末3に対してRSTフラグを立てたパケットを返信していた。しかしながら、この方法では、第三者による不正なアクセスのように、前記認証コードを知らない第三者が前記認証コードを保持していない通信端末を用いて前記ネットワーク装置1にアクセスを試みた場合も、前記RSTフラグを立てたパケットを返信してしまう。そのため、前記不正なアクセスを試みる通信端末に対して、前記ネットワーク装置1の存在が明らかになってしまい、ポートスキャン等を実行されたり、正規の通信端末3がアクセスするときのアクセス方法を傍受されたりする可能性がある。
そのため、たとえば、前記ネットワーク装置1のポリシーテーブル102Fで、前記RSTフラグを立てたパケットを返信しないように設定しておけば、前記通信端末3は、前記ネットワーク装置1からの返信パケットを受信することはない。そのため、不正なアクセスを試みた通信端末に対して前記ネットワーク装置1の存在を隠すことができる。ただし、前記ポリシーテーブル102Fの設定を、たとえば、全ての通信端末に対してRSTフラグを立てたパケットを返信しないように設定した場合、前記通信端末は、前記実施例3で説明したような再送を行わずに、あらかじめ定められた時間間隔で強制的に各パケットを送信するように設定する必要がある。そのため、前記ポリシーテーブル102Fの設定は、正規のユーザが使用する通信端末3からのパケットに対してはRSTフラグを立てたパケットを返信し、それ以外の通信端末からのパケットに対しては返信しないように設定しておいてもよい。
前記実施例1から実施例4のネットワーク装置1を用いた認証方法では、前記認証コードがあらかじめ決定されている。そのため、前記認証コードを用いて繰り返しアクセスを行うと、不正アクセスを試みる通信端末による傍受等で認証コードを第三者に知られてしまう可能性がある。このような問題を解決するためには、たとえば、定期的に認証コードを変えればよいが、認証する通信端末が多い場合、変更作業に時間がかかり、効率的ではない。
そこで、本実施例5では、たとえば、図2(a)に示したような認証コードを決定する代わりに、認証コードの条件を設定する方法を説明する。認証コードの条件としては、たとえば、前記通信端末3から送信された複数個のパケットのうち、最初のいくつかを認証コード生成キーとして利用し、それらの認証コード生成キーを用いて、続くパケットの認証用の文字列(値)を指定する方法がある。このような方法では、たとえば、認証コードの認証項目をTCPパケットの宛先ポート番号とした場合、前記通信端末3から送信された最初の3つのパケットでは、前記宛先ポート番号を任意に選べるようにし、次の4番目のパケットの宛先ポート番号は、前記最初の3つのパケットの宛先ポート番号の和とするような方法がある。つまり、たとえば、1番目のパケットで宛先TCPポート番号を80番、2番目のパケットで宛先TCPポート番号を123番、3番目のパケットで宛先TCPポート番号を557番とした場合、4番目のパケットの宛先ポート番号が760番であれば認証するという方法である。この方法だと、4番目の宛先ポート番号が、1番目から3番目のパケットの宛先ポート番号の和になっていればよいので、1番目から3番目までのパケットの宛先ポート番号は、接続するたびに変えることができる。そのため、同じ認証コードを長期にわたって使用する可能性が減り、認証コードの安全性を向上させることができる。
前記実施例5では、前記認証コードの条件を設定し、管理する方法について説明したが、この方法を使うと、1つの条件で任意のポートを開放させることも可能である。つまり、前記実施例5で説明したように、たとえば、4番目のパケットの宛先ポート番号が、1番目から3番目のパケットの宛先ポート番号の和である場合に認証するという条件を設定したときに、たとえば、その条件に、1番目のパケットの宛先ポート番号を開放すると言う条件を付加する。こうすると、前記ネットワーク装置は、たとえば、1番目のパケットで宛先TCPポート番号を80番、2番目のパケットで宛先TCPポート番号を123番、3番目のパケットで宛先TCPポート番号を557番とした場合、4番目のパケットの宛先ポート番号が760番であると、それらのパケットを送信した通信端末を認証するとともに、1番目のパケットの宛先ポート番号である80番を待ち受けポートとして開放する。同様に、たとえば、1番目のパケットで宛先TCPポート番号を125番、2番目のパケットで宛先TCPポート番号を1055番、3番目のパケットで宛先TCPポート番号を920番とした場合、4番目のパケットの宛先ポート番号が2100番であると、それらのパケットを送信した通信端末は認証され、1番目のパケットの宛先ポート番号である125番を待ち受けポートとして開放する。このようにすると、認証コードと開放するポートを関連づける必要がなく、認証コードに関して1つの条件を設定しておけばよい。そのため、認証コードと開放するポートの対応関係の管理が容易になる。
前記実施例1や実施例2の認証方法では、前記認証コードが固定されているため、前記認証コードを知らない第三者の端末が、正規の通信端末(端末A)のアクセス手順を傍受することにより、前記第三者に認証コードを知られてしまう可能性がある。また、前記実施例5や実施例6の認証方法でも、認証コードはランダムであるが条件、すなわち前記通信端末から送信するパケットには規則性があるため、傍受されて前記第三者に認証コードの条件を解明されてしまう可能性がある。また、これまでの方法では、正規の通信端末3とネットワーク装置1の間での認証手続きにおいて、前記通信端末3から送信された全てのパケットを傍受されてしまうと、そのパケットと同じパケットを送信することで、前記第三者の通信端末の不正なアクセスを許してしまう。そこで、本実施例では、正規の通信端末3から送信されるパケットを傍受した第三者が、同じパケットを送信しても前記ネットワーク装置1にアクセスできないようにする認証方法について説明する。
本実施例7の認証方法では、前記ネットワーク装置1と前記通信端末3で、たとえば、実施例5で説明したような認証コードの生成条件のアルゴリズムを共有するとともに、NTP(Network Time Protocol)やGPS(Global Positioning System)等を用いて互いの時刻を同時刻(正確な時刻)に設定しておく。このとき、前記認証コードの生成条件のアルゴリズムは、前記ネットワーク装置1および通信端末3の時刻情報を用いて動的に前記認証コードを生成するようなアルゴリズムとする。
このような方法の場合、前記通信端末3は、まず、開放を希望するポート番号を指定したパケットに、前記通信端末3の保持する時刻情報を付加して前記ネットワーク装置1に送信する。次に、前記ネットワーク装置1は、前記通信端末3から送信されたパケットで指定されているポート番号と関連づけられた認証コードの生成条件のアルゴリズムを呼び出し、前記ネットワーク装置1の持つ時刻情報と前記通信端末3からのパケットに含まれる時刻情報を照合する。このとき、前記ネットワーク装置1は、前記ネットワーク装置1の時刻情報と前記パケットの時刻情報の差が、あらかじめ定められた閾値以下であった場合、前記呼び出したアルゴリズムを用いて、前記通信端末3からの時刻情報と指定されたポート番号に対する認証コードを生成する。
このとき、正規の通信端末3と前記ネットワーク装置1は、前記NTP等を用いて同時刻に設定されている。そのため、前記時刻情報の差の閾値は、1秒以下の非常に短い時間に設定することができる。つまり、前記正規の通信端末3が送信したパケットが有効なのは、前記正規の通信端末3がパケットを送信した時刻から1秒程度の非常に短い時間である。そのため、たとえば、第三者の通信端末が前記正規の通信端末3からのパケットを傍受したとしても、傍受したパケットと同じパケットを前記ネットワーク装置1に送信するときには、前記パケットに含まれる時刻情報と前記ネットワーク装置1の時刻情報の差が閾値よりも大きくなり、前記認証コードは生成されない。
また、本実施例7のような方法で認証する場合、前記正規の通信端末3から送信するパケットには時刻情報を付加しなくてもよい。前記NTP等を利用して前記ネットワーク装置1および前記通信端末3の時刻を同期している場合、一般に、前記通信端末3でパケットを生成して送信した時刻と、そのパケットを前記ネットワーク装置1で受信する時刻はほぼ同時刻であり、その差は最大でも1秒程度である。そのため、たとえば、1秒単位、あるいは2秒単位の時刻情報で生成される認証コードが変わるようなアルゴリズムを用いれば、前記通信端末3から送信するパケットに時刻情報を付加しなくても、前記通信端末3がパケットを送信するために認証コードを生成する時刻と、前記ネットワーク装置1がパケットを受信して認証コードを生成する時刻が同時刻となり、同じ認証コードが生成される。ただし、前記通信端末3と前記ネットワーク装置1の間のリンクやノードで遅延が生じると、前記通信端末3が認証コードを生成した時刻と前記ネットワーク装置1がパケットを受信した時刻とが異なり、異なる認証コードが生成される可能性がある。このような問題を防ぐためには、前述のように、前記通信端末3が認証コードを生成した時刻を示すような時刻情報を付加しておくことが好ましい。
また、本実施例7のような方法で認証する場合、たとえば、ある時刻情報および呼び出したアルゴリズムで認証コードを生成し、前記通信端末を認証した後、その認証コードをあらかじめ定められた期間、使用できなくなるようにしてもよい。このようにすれば、もし、前記第三者の通信端末が前記正規の通信端末3からのパケットを傍受し、傍受したパケットを前記ネットワーク装置1に送信したときに、前記パケットに含まれる時刻情報と前記ネットワーク装置1の時刻情報の差が閾値以下の場合でも、前記認証コードは生成されない。
以上、本発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において、種々変更可能であることはもちろんである。
たとえば、前記実施例1および実施例2で説明したネットワーク装置1は、たとえば、コンピュータとプログラムを用いて実現することもできる。この場合、前記実施例1から実施例7のいずれかに記載されたような認証方法の各ステップを、コンピュータに実行させる認証プログラムを作成し、前記コンピュータで実行させればよい。またこのとき、前記認証プログラムは、たとえば、磁気的、電気的、光学的な記録媒体に前記コンピュータで読み取り可能な状態で記録して提供することもできるし、インターネット等のネットワークを介して提供することもできる。
本発明による実施例1のネットワーク装置の概略構成を示す模式図であり、図1(a)はネットワーク装置の適用例を示す図、図1(b)はネットワーク装置の構成例を示す図である。 本発明による実施例1のネットワーク装置の概略構成を示す模式図であり、図2(a)、図2(b)、図2(c)はそれぞれ認証コードの一例を示す図である。 本実施例1のネットワーク装置の認証手段の動作を説明するためのフロー図である。 本実施例1のネットワーク装置における認証手順を説明するための模式図であり、正規の通信端末からアクセスを試みた場合のシーケンス図である。 本実施例1のネットワーク装置における認証手順を説明するための模式図であり、不正なアクセスを試みた場合のシーケンス図である。 本発明による実施例2のネットワーク装置の概略構成を示す模式図であり、図6(a)はネットワーク装置の他の適用例を示す図、図6(b)は図6(a)のように適用する場合のネットワーク装置の構成例を示す図である。 本実施例2のネットワーク装置における認証手順を説明するための模式図であり、正規の通信端末からアクセスを試みた場合のシーケンス図である。 本発明による実施例3のネットワーク装置における認証手順を説明するための模式図であり、通信端末からアクセスを試みた場合のシーケンス図である。 従来のネットワーク装置における不正なアクセスを防止する方法を説明するための模式図である。
符号の説明
1…ネットワーク装置
101…パケット送受信手段
102…認証手段
102A…認証コード管理手段
102B…フロー記録保持手段
102C…認証コード照合手段
102D…フロー管理手段
102E…パケット返信手段
102F…ポリシーテーブル
103…パケット処理手段
2…インターネット
3…正規の通信端末
5…第1ネットワーク
6A,6B…ネットワーク対応端末
7…不正なアクセスを試みる通信端末
8…登録サーバ

Claims (15)

  1. インターネットを介して他の通信端末とパケットの送受信を行うパケット送受信手段と、前記インターネットを介して接続しようとする通信端末を認証する認証手段とを備えるネットワーク装置であって、
    前記認証手段は、前記通信端末から送信されるN個(Nは2以上の整数)のパケットに関して、n番目(1≦n≦N)に送信されたパケットの認証用の項目および文字列を設定した認証コードを管理する認証コード管理手段と、
    前記通信端末から送信されたN個のパケットのパケット情報を、前記通信端末から送信された順に並べたフロー記録を保持するフロー記録保持手段と、
    前記認証コードのn番目の認証用の項目の文字列と、前記フロー保持手段で保持している前記通信端末のフロー記録のn番目のパケット情報の該当項目の文字列を照合し、1番目からN番目までの全ての項目の文字列が一致した場合に前記通信端末を認証する認証コード照合手段と、
    前記パケットを送信した通信端末が認証済みの端末であるか否かの判定、および認証済みでない場合に前記フロー記録の作成、ならびに前記認証コード照合手段への認証依頼を行うフロー管理手段とを備えることを特徴とするネットワーク装置。
  2. 前記パケット送受信手段および前記認証手段に加え、前記パケットを送信した通信端末が認証済みの場合に、前記通信端末が送信したパケットを、前記ネットワーク装置に接続され、かつ前記パケットを送信した通信端末とは異なる通信端末に転送するパケット転送手段を備えることを特徴とする請求項1に記載のネットワーク装置。
  3. 前記認証コード管理手段は、前記認証コードを生成するための条件を管理する生成条件管理手段と、前記通信端末から送信されたパケットに基づいて前記認証コードを生成する認証コード生成手段を備えることを特徴とする請求項1または請求項2に記載のネットワーク装置。
  4. インターネットを介して他の通信端末とパケットの送受信を行うことが可能なネットワーク装置に、前記インターネットを介して接続しようとする通信端末を認証する認証方法であって、
    前記ネットワーク装置で、前記通信端末から送信されるN個(Nは2以上の整数)のパケットに関して、n番目(1≦n≦N)に送信されたパケットの認証用の項目および文字列を設定した認証コードを生成し、管理するステップ1と、
    前記通信端末から送信されたN個のパケットのパケット情報を、前記通信端末から送信された順に並べたフロー記録を生成し、保持するステップ2と、
    前記認証コードのn番目の認証用の項目の文字列と、前記通信端末のフロー記録のn番目のパケット情報の該当項目の文字列を照合し、1番目からN番目までの全ての項目の文字列が一致した場合に前記通信端末を認証するステップ3と、
    前記ステップ3で前記通信端末を認証した場合にのみ、前記認証コードと関連づけられた通信ポートを開放するステップ4とを有することを特徴とする認証方法。
  5. 前記ステップ4は、前記ステップ3で認証した通信端末に対してのみ前記通信ポートを開放することを特徴とする請求項4に記載の認証方法。
  6. 前記ステップ1は、同一の項目の同一の文字列が2回以上連続しない認証コードを生成し、
    前記ステップ3は、前記フロー記録で同一のパケット情報が連続している場合、そのパケット情報を1つのパケット情報と見なして照合することを特徴とする請求項4または請求項5に記載の認証方法。
  7. 前記ステップ1は、TCPパケットの宛先ポート番号を組み合わせて認証コードを生成することを特徴とする請求項4乃至請求項6のいずれか1項に記載の認証方法。
  8. 前記ステップ1は、UDPパケットの宛先ポート番号を組み合わせて認証コードを生成することを特徴とする請求項4乃至請求項6のいずれか1項に記載の認証方法。
  9. 前記ステップ1は、前記通信端末から送信されたパケットに含まれる項目のうち、2つ以上の項目を組み合わせて認証コードを生成することを特徴とする請求項4乃至請求項6のいずれか1項に記載の認証方法。
  10. 前記ステップ1は、TCPパケットの宛先ポート番号およびUDPパケットの宛先ポート番号を組み合わせて認証コードを生成することを特徴とする請求項9に記載の認証方法。
  11. 前記ステップ1は、m番目(2≦m≦N)に送信されたパケットの認証用の文字列を、m−1番目以前に送信された2個以上のパケットの認証用の文字列と関連づけた認証コードを生成することを特徴とする請求項4乃至請求項10のいずれか1項に記載の認証方法。
  12. 前記ステップ4は、1番目に送信されたパケットで指定された宛先ポート番号のポートを開放することを特徴とする請求項11に記載の認証方法。
  13. 前記ステップ1は、前記ネットワーク装置と前記通信端末で、前記認証コードの生成条件および時刻情報を登録するステップと、
    前記通信端末から送信されたパケットの時刻情報と前記ネットワーク装置の時刻情報を照合し、前記各時刻情報の差があらかじめ定められた閾値以下の場合、前記時刻情報と前記認証コードの生成条件に基づき認証コードを生成するステップとを有することを特徴とする請求項4乃至請求項12のいずれか1項に記載の認証方法。
  14. 請求項4乃至請求項13のいずれかに記載された各ステップを、コンピュータに実行させる認証プログラム。
  15. 請求項14の認証プログラムが、前記コンピュータで読み取り可能な状態で記録された記録媒体。
JP2004128528A 2004-04-23 2004-04-23 ネットワーク装置、ネットワーク装置を用いた認証方法、認証プログラム、および記録媒体 Pending JP2005309974A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004128528A JP2005309974A (ja) 2004-04-23 2004-04-23 ネットワーク装置、ネットワーク装置を用いた認証方法、認証プログラム、および記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004128528A JP2005309974A (ja) 2004-04-23 2004-04-23 ネットワーク装置、ネットワーク装置を用いた認証方法、認証プログラム、および記録媒体

Publications (1)

Publication Number Publication Date
JP2005309974A true JP2005309974A (ja) 2005-11-04

Family

ID=35438651

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004128528A Pending JP2005309974A (ja) 2004-04-23 2004-04-23 ネットワーク装置、ネットワーク装置を用いた認証方法、認証プログラム、および記録媒体

Country Status (1)

Country Link
JP (1) JP2005309974A (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008533784A (ja) * 2005-03-10 2008-08-21 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータシステムにおける通信のための方法、システム、及びコンピュータプログラム
JP2010015513A (ja) * 2008-07-07 2010-01-21 Nippon Telegr & Teleph Corp <Ntt> マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム
JP2011009856A (ja) * 2009-06-23 2011-01-13 Nec Corp 機器制御装置、機器制御装置の制御方法および制御プログラムならびに機器制御プログラム実行システム
JP2011048526A (ja) * 2009-08-26 2011-03-10 Fujitsu Ltd 情報装置及び認証プログラム
JP2011186571A (ja) * 2010-03-05 2011-09-22 Hitachi Ltd サーバ、クライアントシステム
JP2012014278A (ja) * 2010-06-29 2012-01-19 Lenovo Singapore Pte Ltd コンピュータへのアクセス方法およびコンピュータ
JP2013206260A (ja) * 2012-03-29 2013-10-07 Nippon Telegraph & Telephone West Corp ファイアウォールを利用した認証方法

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008533784A (ja) * 2005-03-10 2008-08-21 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータシステムにおける通信のための方法、システム、及びコンピュータプログラム
US7945676B2 (en) 2005-03-10 2011-05-17 International Business Machines Corporation Processing requests transmitted using a first communication protocol directed to an application that uses a second communication protocol
US8510376B2 (en) 2005-03-10 2013-08-13 International Business Machines Corporation Processing requests transmitted using a first communication directed to an application that uses a second communication protocol
JP2010015513A (ja) * 2008-07-07 2010-01-21 Nippon Telegr & Teleph Corp <Ntt> マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム
JP2011009856A (ja) * 2009-06-23 2011-01-13 Nec Corp 機器制御装置、機器制御装置の制御方法および制御プログラムならびに機器制御プログラム実行システム
JP2011048526A (ja) * 2009-08-26 2011-03-10 Fujitsu Ltd 情報装置及び認証プログラム
JP2011186571A (ja) * 2010-03-05 2011-09-22 Hitachi Ltd サーバ、クライアントシステム
JP2012014278A (ja) * 2010-06-29 2012-01-19 Lenovo Singapore Pte Ltd コンピュータへのアクセス方法およびコンピュータ
JP2013206260A (ja) * 2012-03-29 2013-10-07 Nippon Telegraph & Telephone West Corp ファイアウォールを利用した認証方法

Similar Documents

Publication Publication Date Title
CN102638473B (zh) 一种用户数据授权方法、装置及系统
WO2019047513A1 (zh) 一种互联网防攻击方法及认证服务器
US20210168611A1 (en) Method for securely sharing a url
KR20000016949A (ko) 이동성장치의국소서비스에대한액세스제어를제공하기위한방법및장치
US20050144441A1 (en) Presence validation to assist in protecting against Denial of Service (DOS) attacks
CN107508822B (zh) 访问控制方法及装置
CN105554098A (zh) 一种设备配置方法、服务器及系统
CN104410622A (zh) 登陆Web系统的安全认证方法、客户端及系统
CN104954386A (zh) 一种网络反劫持方法及装置
JP2008181310A (ja) 認証サーバおよび認証プログラム
JP4698751B2 (ja) アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
CN110943840A (zh) 一种签名验证方法及系统
KR20200125279A (ko) 블록 체인기반의 사용자 인증 방법, 시스템
JP2005309974A (ja) ネットワーク装置、ネットワーク装置を用いた認証方法、認証プログラム、および記録媒体
US9143510B2 (en) Secure identification of intranet network
CN112423277B (zh) 蓝牙网状网络中的安全证书恢复
CN101217532B (zh) 一种防止网络攻击的数据传输方法及系统
US20200053578A1 (en) Verification of wireless network connection
CN114039773B (zh) 连接建立方法、装置、设备及计算机可读存储介质
EP3815297B1 (en) Authentication through secure sharing of digital secrets previously established between devices
JP2010117988A (ja) 高度な認証およびセキュアーな仮想化ネットワーク形成のシステムおよび方法
JP2003162490A (ja) 制御装置、その方法及び制御プログラム
JP2023081604A (ja) 認証システム、認証端末、認証サーバ及び認証プログラム
KR100358927B1 (ko) 안전한 도메인 네임 시스템에서의 네이밍 정보 인증방법및 네임 서버
JP2005227993A (ja) ネットワークシステムのアクセス認証方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060802

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091023

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091027

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100309