JP2007018081A - User authentication system, user authentication method, program for achieving the same, and storage medium storing program - Google Patents

User authentication system, user authentication method, program for achieving the same, and storage medium storing program Download PDF

Info

Publication number
JP2007018081A
JP2007018081A JP2005196500A JP2005196500A JP2007018081A JP 2007018081 A JP2007018081 A JP 2007018081A JP 2005196500 A JP2005196500 A JP 2005196500A JP 2005196500 A JP2005196500 A JP 2005196500A JP 2007018081 A JP2007018081 A JP 2007018081A
Authority
JP
Japan
Prior art keywords
lan
client terminal
information
user authentication
device information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005196500A
Other languages
Japanese (ja)
Inventor
Hirotsugu Ozaki
博嗣 尾崎
Keiko Ogawa
恵子 小川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
TTT KK
Original Assignee
TTT KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by TTT KK filed Critical TTT KK
Priority to JP2005196500A priority Critical patent/JP2007018081A/en
Publication of JP2007018081A publication Critical patent/JP2007018081A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To enable only a client terminal connected to a normal LAN to be connected to a server via a network, and to receive information of the server. <P>SOLUTION: The client terminal 11 connected to the normal LAN 10 has LAN equipment dependence information, such as an IP or MAC address of a server, or the like connected to a router 30 and other LANs besides user authentication information, such as a user ID and a password. The server device 70 stores the user authentication information and the LAN equipment dependence information in the storage means 74 as a table, compares the equipment information, which is transmitted from the client terminal when connection is requested, with the information in the table, and determines whether the client terminal can be connected. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、LAN(Local Area Network)・インターネット(Internet)等の通信回線を介して、サーバとクライアント端末間の通信を行うクライアント・サーバシステムにおけるセキュリティシステムに関し、特に、第三者の「なりすまし」による不正アクセスを防止するためのクライアント端末の認証システム及び認証方法、より詳細には、クライアント端末が盗難された場合であっても、クライアント端末に依存するユーザ認証情報だけでなく、盗難されたクライアント端末が正規に帰属するLANの機器情報等を認証情報として利用することにより、セキュリティを確保した安全な認証システム及び認証方法に関する。   The present invention relates to a security system in a client / server system that performs communication between a server and a client terminal via a communication line such as a LAN (Local Area Network) and the Internet (Internet), and more particularly, “impersonation” of a third party. Client terminal authentication system and authentication method for preventing unauthorized access by a user, more specifically, even when a client terminal is stolen, not only user authentication information depending on the client terminal but also a stolen client The present invention relates to a secure authentication system and an authentication method in which security is ensured by using, as authentication information, device information of a LAN to which a terminal properly belongs.

クライアント端末の認証を行う手段としては、ユーザIDとパスワードを用いる方法が最も一般的である。
クライアント端末からの接続要求を受信したサーバ装置は、最初に、そのサーバ装置内のテーブルに保存したユーザIDとパスワードが受信要求を行ったクライアント端末のユーザID及びパスワードと一致するか否かを判定する。 As a means for authenticating the client terminal, a method using a user ID and a password is the most common.
The server device that has received the connection request from the client terminal first determines whether or not the user ID and password stored in the table in the server device match the user ID and password of the client terminal that has made the reception request. To do.

クライアント端末から送られたユーザID及びパスワードがサーバ装置内のテーブルに保存されているユーザID及びパスワードと一致した場合には、通信処理を継続し、不一致の場合には、認証に失敗したことをクライアント端末に返信する。   When the user ID and password sent from the client terminal match the user ID and password stored in the table in the server device, the communication process is continued. Reply to the client terminal.

また、通信相手を特定する手段として、ユーザIDとパスワードの他には、指紋や虹彩等、ユーザ情報としてのバイオメトリクスを認証する方法もある(例えば、特許文献1を参照)。
更には、Ethernetの物理アドレスであるMAC(Media Access Control)アドレスやホストネーム等の機器情報を利用してクライアント端末を認証する方法や、アプリケーションに関連付けられたソフトウエアキーを利用してクライアント端末を認証する方法がある。 As a means for specifying a communication partner, there is a method of authenticating biometrics as user information such as a fingerprint and an iris in addition to a user ID and a password (see, for example, Patent Document 1).
In addition, a method for authenticating a client terminal using device information such as a MAC (Media Access Control) address or host name, which is a physical address of Ethernet, or a client key using a software key associated with an application. There is a way to authenticate.

また、ユーザIDとパスワードに加えて、前記バイオメトリククス等のユーザ情報を組み合わせて認証を行うことにより、高度のセキュリティを確保しようとすることも行われている。
すなわち、これらのユーザ情報に基づきクライアント端末の認証を行うことにより、アクセス権をもたない利用者のサービス利用や情報取得を防止することができるようになる。
特開2004−30070号公報 Further, in addition to the user ID and password, an attempt is made to secure a high level of security by performing authentication by combining user information such as the biometrics.
That is, by authenticating the client terminal based on the user information, it is possible to prevent the use of the service and the information acquisition of the user who does not have the access right.
JP 2004-30070 A

しかし、クライアント端末自体が盗難にあったような場合には、端末を盗んだ者(第三者)が、アクセス権限のある者に成り済まし、盗んだ端末からサーバ装置に不正アクセスを行うこともあり得る。この盗まれたクライアント端末には、ユーザIDやパスワードが保存されていることが多く、更には機器情報やソフトウエアキーもクライアント端末に依存しているため、第三者が盗んだクライアント端末を利用する限り、接続要求のあったサーバ装置はその接続要求が真正であるとして認証してしまう。このため、アクセス権をもたない利用者に対しても、サービス利用や情報取得を許可する恐れが生じることになる。   However, if the client terminal itself is stolen, the person who steals the terminal (third party) may impersonate the person who has access authority and may illegally access the server device from the stolen terminal. obtain. This stolen client terminal often stores a user ID and password, and device information and software keys also depend on the client terminal, so use a client terminal stolen by a third party As long as the connection request is made, the server apparatus authenticates that the connection request is authentic. For this reason, a user who does not have an access right may be permitted to use the service or acquire information.

また、ユーザID及びパスワードがクライアント端末に保存されていない場合であっても、第三者が権限のある者が使ったユーザIDやパスワードを盗み見ることにより情報が漏洩することがある。更にまた、機器情報やソフトウエアキーによってセキュリティを確保する場合でも、クライアント端末に依存する情報を通信する端末間あるいは端末とサーバ間の互いの認証に利用する限り、上述したような理由で高度なセキュリティを確保することができないという問題がある。   Even if the user ID and password are not stored in the client terminal, information may be leaked by stealing the user ID and password used by an authorized person by a third party. Furthermore, even when security is ensured by device information or software key, as long as the information depending on the client terminal is used for mutual authentication between the terminals that communicate with each other or between the terminal and the server, it is highly sophisticated for the reasons described above. There is a problem that security cannot be ensured.

本発明の目的は、クライアント端末が盗難され、その盗まれたクライアント端末に依存する認証情報を利用して特定のサーバ装置にアクセスする場合であっても、第三者の成りすましを予防でき、一定レベルのセキュリティを確保することができる認証システム、認証方法、及びこれらの認証を実現するためのプログラム及びその記録媒体を提供することにある。   An object of the present invention is to prevent impersonation of a third party even when a client terminal is stolen and a specific server device is accessed using authentication information that depends on the stolen client terminal. It is an object of the present invention to provide an authentication system, an authentication method, a program for realizing these authentications, and a recording medium thereof that can ensure a level of security.

上記課題を解決し、本発明の目的を達成するため、本発明の認証システムは、クライアント端末からサーバ装置に接続要求があったときに、その接続要求を行ったクライアント端末がLAN内のクライアント端末であることを認証するための認証システムであって、このクライアント端末により予め特定されたユーザ認証情報を記憶するユーザ認証情報記憶手段と、LANに依存するLAN依存機器情報を当該クライアント端末により特定されるユーザ認証情報に対応させて記憶するLAN依存機器情報記憶手段と、クライアント端末からサーバ装置に接続要求があったときに、該接続要求時のLAN依存機器情報を検知するLAN依存機器情報検出手段と、この接続要求時のLAN依存機器情報が当該クライアント端末のユーザ認証情報に対応するLAN依存機器情報である場合には接続を許可し、接続要求時のLAN依存機器情報が当該クライアント端末のユーザ認証情報に対応するLAN依存機器情報でない場合には接続を拒否する認証手段と、をサーバ装置内に有することを特徴するものである。すなわち、本発明の認証システムは、指定されたLAN内のクライアント端末からはサーバ装置に接続できるものの、指定されたLAN以外のLANに収容されているクライアント端末からはサーバ装置に接続要求があっても接続することができないようになっている。   In order to solve the above-described problems and achieve the object of the present invention, the authentication system of the present invention is configured such that when a connection request is made from the client terminal to the server device, the client terminal that has made the connection request An authentication system for authenticating that the user authentication information storage means stores user authentication information specified in advance by the client terminal, and LAN dependent device information that depends on the LAN is specified by the client terminal. LAN-dependent device information storage means for storing corresponding user authentication information, and LAN-dependent device information detection means for detecting LAN-dependent device information at the time of a connection request when a client terminal makes a connection request to the server device And the LAN-dependent device information at the time of the connection request is the user authentication information of the client terminal. Authentication means for permitting connection if the corresponding LAN-dependent device information is accepted, and rejecting connection if the LAN-dependent device information at the time of the connection request is not LAN-dependent device information corresponding to the user authentication information of the client terminal; In the server device. That is, the authentication system of the present invention can connect to a server device from a client terminal in a designated LAN, but there is a connection request to the server device from a client terminal accommodated in a LAN other than the designated LAN. Can not even be connected.

また、本発明認証システムにおけるサーバ装置は、正規のユーザ認証情報及び正規のLAN依存機器情報をLAN構築時にサーバ装置内の記憶装置にテーブルとして記憶するようにしている。更に、正規のLAN内にクライアント端末を増設する場合には、サーバ装置は、増設時に正規のユーザ認証情報及び正規のLAN依存機器情報をLAN構築時にサーバ内の記憶装置に記憶するようにする。   The server device in the authentication system of the present invention stores the legitimate user authentication information and the legitimate LAN-dependent device information as a table in a storage device in the server apparatus at the time of LAN construction. Further, when a client terminal is added in a regular LAN, the server device stores regular user authentication information and regular LAN-dependent device information in a storage device in the server when the LAN is constructed.

ここで、本発明の認証システムに用いられるLAN依存機器情報は、クライアント端末が帰属するLANに固有の機器情報であり、LAN内に設けられるルータのMACアドレス又はIPアドレス、LANに接続されたゲートウエイ装置のMACアドレス又はIPアドレス、LANに接続されたサーバのMACアドレス、あるいはLANに接続されたクライアント端末のMACアドレス等である。更には、インターネット中継局のルータ又はゲートウエイ装置のIPアドレスを用いることもできる。
本発明の認証システムでは、上述した正規のLAN外では得られない情報を認証情報として利用しているので、端末をLAN外に持ち出した第三者が正規のLAN外から不正なアクセスをしても、その接続要求を拒否することができるのである。 Here, the LAN dependent device information used in the authentication system of the present invention is device information unique to the LAN to which the client terminal belongs, and is the MAC address or IP address of the router provided in the LAN, and the gateway connected to the LAN. The MAC address or IP address of the device, the MAC address of a server connected to the LAN, or the MAC address of a client terminal connected to the LAN. Furthermore, the IP address of the router or gateway device of the Internet relay station can be used.
In the authentication system of the present invention, the information that cannot be obtained outside the regular LAN is used as the authentication information. Therefore, a third party who took the terminal out of the LAN makes unauthorized access from outside the regular LAN. The connection request can be rejected.

また、本発明は、クライアント端末からサーバ装置に接続要求があったときに、この接続要求をおこなったクライアント端末がLAN内の正規のクライアント端末であることを認証するための認証方法であって、当該クライアント端末により予め特定されたユーザ認証情報を記憶するステップと、LANに依存するLAN依存機器情報をユーザ認証情報に対応させて記憶するステップと、クライアント端末からサーバ装置に接続要求があったときに、該接続要求時のLAN依存機器情報を検出するステップと、当該クライアント端末からの接続要求時のLAN依存機器情報がサーバ内に記憶されているクライアント端末のユーザ認証情報に対応するLAN依存機器情報である場合には接続を許可し、クライアント端末からの接続要求時のLAN依存機器情報がサーバ内に記憶されているユーザ認証情報に対応するLAN依存機器情報でない場合には接続を拒否することを特徴するユーザ認証方法である。   Further, the present invention is an authentication method for authenticating that a client terminal that has made a connection request is a legitimate client terminal in the LAN when a connection request is made from the client terminal to the server device, A step of storing user authentication information specified in advance by the client terminal, a step of storing LAN-dependent device information depending on the LAN in association with the user authentication information, and when there is a connection request from the client terminal to the server device A step of detecting LAN dependent device information at the time of the connection request, and a LAN dependent device corresponding to the user authentication information of the client terminal in which the LAN dependent device information at the time of the connection request from the client terminal is stored in the server If it is information, the connection is permitted and the LA at the time of the connection request from the client terminal When dependency device information is not LAN dependent device information corresponding to the user authentication information stored in the server is a user authentication process for said refusing the connection.

さらに、本発明は、前記認証方法をコンピュータに実行させるプログラム及び当該プログラムを記憶したコンピュータ読み取り可能な記憶媒体を含んでいる。   Furthermore, the present invention includes a program that causes a computer to execute the authentication method and a computer-readable storage medium that stores the program.

本発明の認証システムによれば、正規のLANに接続されているクライアント端末が盗まれ、この盗難端末が他のLANに接続されてサーバ装置にアクセスされた場合などには、サーバ装置内に記憶されている当該クライアント端末が保有するユーザ認証情報と対応するLAN依存機器情報と、盗難端末から送られてくるLAN依存機器情報とが比較されて、両者が不一致となることにより、盗難端末からの不正アクセスが防止される。すなわち、正規のユーザ認証情報及び正規のLAN依存機器情報は、サーバ装置に記憶されており、外部のクライアント端末から正規のLAN機器依存情報と異なるLAN依存機器情報が送られてくる場合には、サーバ装置は接続要求を拒否することができるのである。   According to the authentication system of the present invention, when a client terminal connected to a legitimate LAN is stolen and this stolen terminal is connected to another LAN and accessed to the server device, the server device stores it. The LAN-dependent device information corresponding to the user authentication information held by the client terminal and the LAN-dependent device information sent from the theft terminal are compared, and the two do not match. Unauthorized access is prevented. That is, regular user authentication information and regular LAN dependent device information are stored in the server device, and when LAN dependent device information different from regular LAN device dependent information is sent from an external client terminal, The server device can reject the connection request.

例えば、正規のLANに接続されているクライアント端末をLAN外に持ち出した第三者が、外部からLAN内のコンピュータまたはサーバ装置に不正アクセスをしようとしても、そのような場合には必ず当該LAN内のサーバ装置が正規であると認証していないルータやゲートウエイ装置を経由しなければならなくなるので、当該LAN内のコンピュータやサーバ装置にアクセスすることはできない。   For example, even if a third party who takes a client terminal connected to a regular LAN out of the LAN tries to gain unauthorized access to a computer or server device in the LAN from outside, in such a case, always Since the server device must pass through a router or gateway device that is not authenticated as authentic, the computer or server device in the LAN cannot be accessed.

このように、本発明の認証システムによれば、ユーザID、パスワード等のユーザ認証情報とともに、クライアント端末が接続している正規のLANに固有のLAN依存機器情報を利用しているので、不正アクセスの防止など高度なセキュリティを実現することが可能である。   As described above, according to the authentication system of the present invention, since the LAN-dependent device information specific to the regular LAN to which the client terminal is connected is used together with the user authentication information such as the user ID and password, unauthorized access is made. It is possible to realize high-level security such as prevention.

以下、図面を参照して本発明による認証システム及び認証方法の実施例について説明する。本実施例では、以下、クライアント端末がLAN(Local Area Network)内に配置されているものとして説明するが、本発明は、クライアント端末がISP(Internet Service Provider)を介してインターネットに直接接続される場合でも利用可能である。   Embodiments of an authentication system and an authentication method according to the present invention will be described below with reference to the drawings. In the present embodiment, the client terminal is described below as being disposed in a LAN (Local Area Network). However, in the present invention, the client terminal is directly connected to the Internet via an ISP (Internet Service Provider). Even if available.

図1は、本発明による認証システムをクライアント・サーバシステムに適用した構成例を示すブロック図である。LAN10内には、複数のクライアント端末11,12と、DNS(Domain Name Server)サーバ13及びDHCP(Dynamic Host Configuration Protocol)サーバ14が専用のネットワークを介して接続されている。なお、LAN10は無線LANとして構築されていてもよい。このDNSサーバ14は、自分が管理するネットワークに接続されたコンピュータのドメイン名とIPアドレスを持っており、クライアント端末11、12に対してIPアドレスを与えるサーバである。   FIG. 1 is a block diagram showing a configuration example in which an authentication system according to the present invention is applied to a client / server system. In the LAN 10, a plurality of client terminals 11, 12, a DNS (Domain Name Server) server 13 and a DHCP (Dynamic Host Configuration Protocol) server 14 are connected via a dedicated network. The LAN 10 may be constructed as a wireless LAN. The DNS server 14 has a domain name and an IP address of a computer connected to a network managed by the DNS server 14 and gives an IP address to the client terminals 11 and 12.

また、DHCPサーバ14は、インターネットに一時的に接続するコンピュータに、IPアドレスなど必要な情報を自動的に割り当てるプロトコルサーバである。コンピュータがネットワークから離れた場合、つまり接続が切断された場合には、配布したIPアドレスを回収して、次にネットワークに接続されるコンピュータに割り当てるようにする。   The DHCP server 14 is a protocol server that automatically assigns necessary information such as an IP address to a computer that is temporarily connected to the Internet. When the computer leaves the network, that is, when the connection is cut off, the distributed IP address is collected and assigned to the next computer connected to the network.

図1に示すように、LAN10は、ルータ20を介して、LAN10以外のネットワーク30(例えば、インターネット)に接続されている。ルータ20は、例えば、ゲートウエイ装置として機能しており、このルータ20にLAN10内のサーバや端末が接続される。   As shown in FIG. 1, the LAN 10 is connected to a network 30 (for example, the Internet) other than the LAN 10 via a router 20. The router 20 functions as, for example, a gateway device, and a server or a terminal in the LAN 10 is connected to the router 20.

ネットワーク30は、ルータやゲートウエイ装置等を介して、LAN10に接続されるほか、他のLAN50やサーバ装置70に接続されている。ここで、他のLAN50とは、盗難されたクライアント端末12が接続されるLANを想定している。LAN50はルータ60を介してネットワーク30(例えば、インターネット)に接続されている。   The network 30 is connected to the LAN 10 via a router, a gateway device, etc., and is connected to another LAN 50 and the server device 70. Here, the other LAN 50 is assumed to be a LAN to which the stolen client terminal 12 is connected. The LAN 50 is connected to the network 30 (for example, the Internet) via the router 60.

また、サーバ装置70は、インターネット30とルータ20を介してLAN10に収容されているクライアント端末11、12とVPN(Virtual Private Network)を構成している。すなわち、クライアント端末11、12は、サーバ装置70のサービスや情報を利用する際に、サーバ装置70に対して接続要求を行うことができる。そして、サーバ装置70は、クライアント端末11,12のユーザ認証を行った後、通信を許可するか拒否するかを判断して、以後の処理を行うようにしている。
このサーバ装置70は、認証サーバとして、その他のサーバ装置やホストコンピュータへの接続を許可するように構成することも可能である。 The server device 70 constitutes a VPN (Virtual Private Network) with the client terminals 11 and 12 accommodated in the LAN 10 via the Internet 30 and the router 20. That is, the client terminals 11 and 12 can make a connection request to the server device 70 when using services and information of the server device 70. Then, after performing user authentication of the client terminals 11 and 12, the server device 70 determines whether to permit or reject communication, and performs subsequent processing.
The server device 70 can also be configured to permit connection to other server devices or host computers as an authentication server.

また、LAN10内において、クライアント端末11、12、サーバ13、14には、Ethernetの物理アドレスであるMAC(Media Access Control)アドレス及びプライベートIPアドレスが付与されており、LAN10内のネットワークでは、MACアドレス及びプライベートIPアドレスによって、クライアント端末同士及びLAN内サーバとの情報通信が行われる。   In the LAN 10, the client terminals 11, 12 and the servers 13, 14 are assigned a MAC (Media Access Control) address and a private IP address, which are Ethernet physical addresses. In the network in the LAN 10, the MAC address In addition, information communication is performed between the client terminals and the server in the LAN using the private IP address.

このMACアドレスについては、ARP(Address Resolution Protocol)のプロトコルを利用することで、ルータ等のネットワーク機器のMACアドレスを取得して、これをLAN依存機器情報として利用するようにしている。ここで、ARPは、IPアドレスからMACアドレスを求めるのに使われるプロトコルである。   For this MAC address, the MAC address of a network device such as a router is obtained by using an ARP (Address Resolution Protocol) protocol, and this is used as LAN-dependent device information. Here, ARP is a protocol used to obtain a MAC address from an IP address.

これらのクライアント装置11、12では、例えば、HTTP(Hiper Text Transfer Protocol)やTelenet等のアプリケーションソフトウエアが動作可能とされている。そして、クライアント端末11、12がLAN10の外部にある、例えばサーバ装置70との通信を行う場合には、ルータ20は、クライアント端末11、12が有するプライベートIPアドレスをNAT(Network Address Translation)、IPマスカレード等でグローバルIPアドレスに変換して、ネットワーク30上にIPパケットを送り出す。このルータ20には、MAC(Media Access Control)アドレスとグローバルIPアドレスが付与されている。ここでNATとは、インターネットに接続された企業内の複数のコンピュータで1つのグローバルIPアドレスを共有する技術である。   In these client apparatuses 11 and 12, for example, application software such as HTTP (Hiper Text Transfer Protocol) and Telenet can operate. When the client terminals 11 and 12 are outside the LAN 10 and communicate with, for example, the server device 70, the router 20 converts the private IP addresses of the client terminals 11 and 12 into NAT (Network Address Translation), IP It is converted into a global IP address by masquerading or the like, and an IP packet is sent out on the network 30. The router 20 is assigned a MAC (Media Access Control) address and a global IP address. Here, NAT is a technology for sharing one global IP address among a plurality of computers in a company connected to the Internet.

また、LAN50内においても、例えば、DNSサーバ51には、MACアドレス及びプライベートIPアドレスが付与されており、LAN50内のネットワークでは、このDNAサーバ51に付与されたMACアドレス及びプライベートIPアドレスによって、クライアント端末同士及びLAN内サーバとの情報通信が行われている。更に、LAN50に接続されるルータ60にも、LAN10に接続されるルータ20と同様に、MACアドレスとグローバルIPアドレスが付与されているので、ルータ60に付与されたMACアドレスとグローバルIPアドレスを用いてクライアント端末同士及びクライアント端末とLAN内サーバとの情報通信を行うこともできる。   Also in the LAN 50, for example, the DNS server 51 is assigned a MAC address and a private IP address, and in the network in the LAN 50, the MAC address and the private IP address assigned to the DNA server 51 are used as a client. Information communication is performed between terminals and a server in the LAN. Furthermore, since the MAC address and the global IP address are assigned to the router 60 connected to the LAN 50, similarly to the router 20 connected to the LAN 10, the MAC address and the global IP address assigned to the router 60 are used. Thus, information communication between client terminals and between client terminals and a LAN server can be performed.

また、サーバ装置70においても、クライアント端末11、12と同様に、HTTPやTelnet等のプロセスが動作可能である。そして、サーバ装置70は、クライアント端末11、12から接続要求があるとユーザ認証を行い、認証が成功した場合にのみ、各アプリケーションを接続するポート番号に対応するサービスの通信処理を行う。このポート番号はTCPレベルの多重識別子であり、特定のアプリケーションごとに予約されている番号であるが、1024番以上のポート番号は特定のアプリケーションが予約されていないため、各アプリケーションが自由に使うことができる番号である。   Also in the server device 70, processes such as HTTP and Telnet can operate as in the client terminals 11 and 12. Then, when there is a connection request from the client terminals 11 and 12, the server device 70 performs user authentication, and performs communication processing of a service corresponding to a port number for connecting each application only when the authentication is successful. This port number is a TCP level multiple identifier and is a number reserved for each specific application, but since a specific application is not reserved for a port number of 1024 or higher, each application can use it freely. It is a number that can be.

また、サーバ装置70は、通信制御手段71、LAN依存機器情報検出手段72、認証手段73、記憶手段74を備えている。通信制御手段71は、サーバ装置70をネットワーク30に接続する制御を行う手段であり、LAN依存機器情報検出手段72は、ネットワークを介して送信されたLAN依存機器情報を、記憶手段74に記憶されているLAN依存機器情報と比較するために、検出する手段である。   Further, the server device 70 includes a communication control unit 71, a LAN dependent device information detection unit 72, an authentication unit 73, and a storage unit 74. The communication control means 71 is a means for controlling the server device 70 to be connected to the network 30, and the LAN dependent device information detection means 72 is stored in the storage means 74 with the LAN dependent device information transmitted via the network. It is a means for detecting in order to compare with the LAN dependent device information.

また、LAN依存機器情報検出手段72は、LAN内にクライアント端末を増設するときなどに、新規にユーザ認証情報及びLAN依存機器情報を受信したときには、受信したユーザ認証情報に対応させてLAN依存機器情報を記憶手段74に記憶するようにしている。認証手段73は、サーバ装置70がネットワークを通して受信したユーザIDやパスワード等のユーザ認証情報あるいはMACアドレスのようなLAN依存機器情報を、記憶手段74に予め記憶されているユーザ認証情報あるいはLAN依存機器情報と比較する手段であり、この比較の結果、両者が一致した場合のみ、ユーザ認証あるいはLAN依存機器情報の認証に成功したとされる。   Further, the LAN dependent device information detection means 72, when newly receiving user authentication information and LAN dependent device information, such as when adding a client terminal in the LAN, corresponds to the received user authentication information. Information is stored in the storage means 74. The authentication unit 73 stores user authentication information such as a user ID and a password received by the server device 70 through the network or LAN dependent device information such as a MAC address in advance. It is a means for comparing with information, and it is assumed that the user authentication or the LAN-dependent device information authentication is successful only when the two match as a result of the comparison.

なお、記憶手段74に記憶されるユーザ認証情報としては、ユーザID、パスワードのほかに、指紋・虹彩・手の平静脈のような生体認証情報等が含まれる。また、LAN依存機器情報としては、CPUのID(製品番号)、ルータやゲートウエイ機器等のMACアドレス等が含まれる。なお、その他にも、クライアント端末に帰属するユーザ情報や機器情報があれば、LAN依存機器情報検出手段72は上記ユーザ認証情報と併せて記憶手段74に記憶するようにしている。   Note that the user authentication information stored in the storage unit 74 includes biometric authentication information such as fingerprints, irises, and palm veins in addition to the user ID and password. The LAN-dependent device information includes a CPU ID (product number), a MAC address of a router, gateway device, and the like. In addition, if there is user information or device information belonging to the client terminal, the LAN-dependent device information detecting unit 72 stores it in the storage unit 74 together with the user authentication information.

本発明の実施の形態例では、LAN依存機器情報を「ネットワーク鍵」と称して、これを認証情報として利用している。この「ネットワーク鍵」としては、例えば、LANに接続されている機器情報、すなわちルータやゲートウエイ装置のMACアドレス又はIPアドレス、サーバやクライアント端末のMACアドレス等が用いられる。更に、この「ネットワーク鍵」として、ネットワークを介してクライアント端末間あるいはクライアント端末とサーバ間でやり取りされる機器情報、例えば、インターネット中継局のルータ又はゲートウエイ装置のIPアドレスを用いることも可能である。   In the embodiment of the present invention, the LAN-dependent device information is referred to as a “network key” and is used as authentication information. As this “network key”, for example, device information connected to the LAN, that is, the MAC address or IP address of a router or gateway device, the MAC address of a server or client terminal, or the like is used. Furthermore, as this “network key”, it is also possible to use device information exchanged between client terminals or between a client terminal and a server via a network, for example, an IP address of a router or gateway device of an Internet relay station.

このLAN機器依存情報について更に詳しく説明すると、第1に、正規であると認められるLANに依存する機器情報として、例えば、
(a)ネットワーク30に接続されているルータ20のMACアドレス。
(b)ネットワーク30に接続されているルータ20のグローバルIPアドレス。
(c)ネットワーク30に接続されているゲートウエイ装置(図示せず)のMACアドレス。
(d)ネットワーク30に接続されているゲートウエイ装置(図示せず)のグローバルIPアドレス。
等が挙げられる。これらのLAN依存機器情報は記憶手段74に記憶されている。 The LAN device-dependent information will be described in more detail. First, as the device information that depends on the LAN recognized as legitimate, for example,
(A) The MAC address of the router 20 connected to the network 30.
(B) The global IP address of the router 20 connected to the network 30.
(C) The MAC address of a gateway device (not shown) connected to the network 30.
(D) A global IP address of a gateway device (not shown) connected to the network 30.
Etc. The LAN dependent device information is stored in the storage unit 74.

また、他にLAN依存機器情報として考えられるものには、LANに接続されている機器情報がある。例えば、
(e)LAN10又はLAN50に接続されているDNSサーバ13、51、DHCPサーバ14、不図示のメールサーバ、ファイヤウォール、スイッチ(MACアドレスを有するもの)などのLAN内機器のいずれかのMACアドレス。
(f)LAN50に接続されている盗難されたクライアント端末12以外のクライアント端末のMACアドレス。
(g)LAN10に接続されているクライアント端末11、12のMACアドレス。
等が挙げられる。
なお、以上説明したような認証情報として用いることができるLAN内機器のMACアドレスは、ARP(Address Resolution Protocol)プロトコルを用いて取得することが可能である。 In addition, information that can be considered as LAN-dependent device information includes device information connected to the LAN. For example,
(E) The MAC address of any of the devices in the LAN such as the DNS servers 13 and 51, the DHCP server 14, the mail server (not shown), the firewall, and the switch (having the MAC address) connected to the LAN 10 or the LAN 50.
(F) MAC address of a client terminal other than the stolen client terminal 12 connected to the LAN 50.
(G) MAC addresses of the client terminals 11 and 12 connected to the LAN 10.
Etc.
Note that the MAC address of the device in the LAN that can be used as the authentication information as described above can be acquired using the ARP (Address Resolution Protocol) protocol.

ここで、ARPは、アドレス解決プロトコルと呼ばれるプロトコルであり、既知の32ビットのIPアドレス情報から未知のデータリンク・アドレス、例えばEthernetの48ビットのMACアドレスを取得するプロトコルである。RARPは逆にMACアドレスからIPアドレスを知るためのプロトコルである。   Here, ARP is a protocol called an address resolution protocol, and obtains an unknown data link address, for example, a 48-bit MAC address of Ethernet from known 32-bit IP address information. Conversely, RARP is a protocol for obtaining an IP address from a MAC address.

図1のLAN50に接続されるクライアント端末12(実線)は、LAN10に接続されていたクライアント端末12が無断で持ち出されたことを示している。つまり、この盗難されたクライアント端末12は、正規のLAN10内に存在せず、異なったLAN50内に存在していることを示している。そのため、クライアント端末12は、LAN50に接続されているルータ60にLAN内機器のMACアドレスを要求するのであるが、ルータ60自体はクライアント端末12を認識することができないため、クライアント端末12にMACアドレスを返信することができない。このように、ルータ60からMACアドレスの返信ができないことをもって、クライアント端末12からの接続要求が不正であることが判別されるわけである。   The client terminal 12 (solid line) connected to the LAN 50 in FIG. 1 indicates that the client terminal 12 connected to the LAN 10 has been taken out without permission. That is, this shows that the stolen client terminal 12 does not exist in the regular LAN 10 but exists in a different LAN 50. For this reason, the client terminal 12 requests the MAC address of the device in the LAN from the router 60 connected to the LAN 50. However, since the router 60 itself cannot recognize the client terminal 12, the client terminal 12 receives the MAC address. Can't reply. As described above, when the MAC address cannot be returned from the router 60, it is determined that the connection request from the client terminal 12 is invalid.

仮に、ルータ60が盗難されたクライアント端末12を認識することができて、MACアドレスの返信機能を備えていたとしても、正規のLAN内のサーバやクライアント端末のMACアドレス(例えば、図1におけるLAN10に接続されているDNAサーバ13やクライアント端末11のMACアドレス)が返信できない場合には、同様にクライアント端末12からの接続要求が不正であることが判別されることになる。   Even if the router 60 can recognize the stolen client terminal 12 and has a MAC address return function, the MAC address of the server or client terminal in the regular LAN (for example, the LAN 10 in FIG. 1). If the MAC address of the DNA server 13 or the client terminal 11 connected to the client cannot be returned, it is similarly determined that the connection request from the client terminal 12 is invalid.

さらに、サーバ装置70は、正規のLAN10に接続されるルータ20に、当該クライアント端末12のMACアドレスを要求するようにしている。このような要求がサーバ装置70からあると、ルータ20は、LAN10内にクライアント端末12が存在するときは応答することができるが、LAN10内にクライアント端末12が存在しないときは応答することができない。このように、LAN10に接続されたルータからの応答がないことを持って、サーバ装置70は、LAN50に接続されたクライアント端末12からの接続要求が不正であることを判別するのである。   Further, the server device 70 requests the MAC address of the client terminal 12 from the router 20 connected to the regular LAN 10. If there is such a request from the server device 70, the router 20 can respond when the client terminal 12 exists in the LAN 10, but cannot respond when the client terminal 12 does not exist in the LAN 10. . As described above, the server device 70 determines that the connection request from the client terminal 12 connected to the LAN 50 is invalid in response to the absence of a response from the router connected to the LAN 10.

さらに、図1に示す本発明の実施の形態例では、LAN依存機器情報として、サーバ装置70に到達するまでの中継機器40,41,42の機器情報を利用することができる。この場合、LAN依存機器情報として、サーバ装置70に到達するまでのネットワーク30に接続されている中継局40〜42のIPアドレスを利用することができる。   Further, in the embodiment of the present invention shown in FIG. 1, the device information of the relay devices 40, 41, 42 until reaching the server device 70 can be used as the LAN dependent device information. In this case, the IP addresses of the relay stations 40 to 42 connected to the network 30 until reaching the server device 70 can be used as the LAN dependent device information.

通常のIPパケットの送受信においては、例えば、同じLAN内でのクライアント端末とサーバあるいはクライアント端末間の通信ではなく、インターネットを介した他のLANに接続されているクライアント端末又はサーバとの間で通信が行われる。このような場合には、ルータのMACアドレスを利用せずに、グローバルなIPアドレスを利用して、IPパケットの送受信が行われるのが一般的である。   In normal IP packet transmission / reception, for example, communication between a client terminal and a server connected to another LAN via the Internet, not communication between a client terminal and a server or client terminal in the same LAN. Is done. In such a case, IP packets are generally transmitted and received using a global IP address without using the MAC address of the router.

そのため、IPパケットのヘッダ部分又はペイロード部分にLAN内に存在する機器情報のMACアドレスを通信履歴として搭載することにより、MACアドレスをLAN依存機器情報として利用することができるようにしている。この場合、サーバ等のLAN内機器がグローバルIPアドレスを利用している場合には、このLAN内機器のグローバルIPアドレスをLAN依存機器情報として利用するようにする。そして、クライアント端末がネットに接続したか、ネットから離れたかによってIPアドレスを設定したり回収したりする動的なIPアドレスは利用しないようにしている。   For this reason, the MAC address of the device information existing in the LAN is mounted as the communication history in the header portion or the payload portion of the IP packet so that the MAC address can be used as the LAN-dependent device information. In this case, when a device in the LAN such as a server uses a global IP address, the global IP address of the device in the LAN is used as LAN-dependent device information. A dynamic IP address that sets or collects an IP address depending on whether the client terminal is connected to the net or is away from the net is not used.

図2は、サーバ装置70の記憶手段74に記憶されているユーザ認証情報及びLAN依存機器情報テーブルの構成例を示したものである。
本発明の実施の形態例においては、ユーザ認証情報として、ユーザID(図2では、「ID」)及びパスワード(図2では、「PW」)を採用している。他にユーザ認証情報となりうるものとしては、CPUのID、MACアドレス、指紋・虹彩・手の平静脈のような生体認証情報等が含まれる。これらのユーザ認証情報は、あくまでもクライアント端末に依存する情報であり、LANに依存する情報ではない。 FIG. 2 shows a configuration example of the user authentication information and the LAN-dependent device information table stored in the storage unit 74 of the server device 70.
In the embodiment of the present invention, a user ID (“ID” in FIG. 2) and a password (“PW” in FIG. 2) are adopted as user authentication information. Other items that can be user authentication information include CPU ID, MAC address, biometric authentication information such as fingerprint, iris, and palm vein. These pieces of user authentication information are only information that depends on the client terminal, and are not information that depends on the LAN.

これらクライアント端末に関係する認証情報に対して、LAN依存機器情報とは、上述したように、いわゆる「ネットワーク鍵」と呼ぶものであり、本実施の形態例では、ルータのMACアドレスやLAN内機器(例えば、サーバ)のMACアドレスがそれに相当する。他のLAN機器依存情報として、ルータのIPアドレスを利用することもできる。   With respect to the authentication information related to these client terminals, the LAN-dependent device information is referred to as a so-called “network key” as described above. In the present embodiment, the router MAC address and the LAN internal device The MAC address of (for example, server) corresponds to it. The router IP address can also be used as other LAN device-dependent information.

図2に示すように、サーバ装置70の記憶手段74は、例えば、クライアント端末に識別番号「0001」を付与し、ユーザ認証情報としてのIDに「user01」及びパスワードに「.pswd01」を割り当てて記憶している。また、記憶手段74は、これらの識別番号「0001」、「user01」、「.pswd01」に対応させて、正規の設定情報としてルータのMACアドレス「00-11-22-33-44-55」及びLAN内機器(例えば、サーバ)のMACアドレス「01-23-45-67-89-AB」等を記憶させ、テーブルとして保有している。
また、上述のルータのMACアドレスやLAN内機器のMACアドレスの代わりに、例えば図1のネットワーク30に接続されている中継機器40等のIPアドレスをLAN機器依存情報として記憶させることも可能である。 As shown in FIG. 2, the storage unit 74 of the server device 70 assigns an identification number “0001” to the client terminal, assigns “user01” to the ID as user authentication information, and “.pswd01” to the password, for example. I remember it. In addition, the storage unit 74 associates these identification numbers “0001”, “user01”, and “.pswd01” with the MAC address “00-11-22-33-44-55” of the router as regular setting information. In addition, the MAC address “01-23-45-67-89-AB” of the devices in the LAN (for example, server) is stored and held as a table.
Further, instead of the above-described router MAC address or LAN device MAC address, for example, the IP address of the relay device 40 or the like connected to the network 30 in FIG. 1 can be stored as LAN device-dependent information. .

また、このサーバ装置70の記憶手段74は、前記ユーザ認証情報及びLAN依存機器情報をLAN構築時やクライアント端末増設時に記憶する。さらに、記憶手段74に接続要求頻度を記憶させることもできる。
接続要求頻度とは、ユーザ認証情報又はLAN依存機器情報を認証した通信経歴であり、認証履歴のないクライアント端末や認証履歴の極端に少ないクライアント端末から接続要求があったときに接続を拒否したり、警告を発したりするために利用するものである。また、接続要求頻度に閾値を設定し、その閾値を基準して接続要求の許可又は拒否を行うこともできる。 The storage unit 74 of the server device 70 stores the user authentication information and the LAN-dependent device information when the LAN is constructed or when client terminals are added. Further, the connection request frequency can be stored in the storage unit 74.
The connection request frequency is a communication history in which user authentication information or LAN-dependent device information is authenticated, and when a connection request is made from a client terminal having no authentication history or a client terminal having an extremely small authentication history, connection is rejected. It is used to issue a warning. It is also possible to set a threshold value for the connection request frequency and permit or reject the connection request based on the threshold value.

次に、本発明の実施の形態例の動作を図3のフローチャートに基づいて説明する。図3のフローチャートは、接続要求があったクライアント端末に接続された機器情報、すなわち、ルータのIPアドレス及びMACアドレスをLAN依存機器情報として利用した場合の実施の形態例の動作を説明するための図である。   Next, the operation of the embodiment of the present invention will be described based on the flowchart of FIG. FIG. 3 is a flowchart for explaining the operation of the embodiment in the case where the device information connected to the client terminal that has made a connection request, that is, the IP address and MAC address of the router is used as LAN-dependent device information. FIG.

まず、例えば、盗難されたクライアント端末12(図1参照)が、サーバ装置70が提供するサービスあるいは情報を取得しようとする場合、サーバ装置70に対して接続要求を行った(ステップS101)場合について説明する。この場合、IPSecやSSL(Secure Socket Layer)を用いた秘匿通信経路を使用することが可能であるが、IPSecやSSLを使用することなしにクライアント端末12から接続要求がなされる場合もありうる。   First, for example, when the stolen client terminal 12 (see FIG. 1) tries to acquire a service or information provided by the server device 70, a connection request is made to the server device 70 (step S101). explain. In this case, a secret communication path using IPSec or SSL (Secure Socket Layer) can be used, but a connection request may be made from the client terminal 12 without using IPSec or SSL.

サーバ装置70は、クライアント端末12からの接続要求を受信すると(ステップS201)は、接続要求があったクライアント端末12に対して、そのクライアント端末12が持つユーザ認証情報を送信するように要求する(ステップS202)。ここで、ユーザ認証情報とは、例えば、ユーザIDとパスワードである。つまり、サーバ装置70はクライアント端末12に対して、ユーザIDとパスワードを送るように指示する。この指示があると、クライアント端末12の表示画面に、サーバ装置70からのユーザ認証情報の要求があったことが表示され(ステップS102)、クライアント端末12の利用者は、この画面表示にしたがって、ユーザ認証情報を入力してサーバ装置70にそのユーザ認証情報を送信する(ステップS103)。   When the server device 70 receives the connection request from the client terminal 12 (step S201), the server device 70 requests the client terminal 12 that has made the connection request to transmit the user authentication information that the client terminal 12 has ( Step S202). Here, the user authentication information is, for example, a user ID and a password. That is, the server device 70 instructs the client terminal 12 to send the user ID and password. When this instruction is given, it is displayed on the display screen of the client terminal 12 that there is a request for user authentication information from the server device 70 (step S102), and the user of the client terminal 12 follows the screen display according to this screen display. The user authentication information is input and transmitted to the server device 70 (step S103).

続いて、サーバ装置70は、クライアント端末12が送信したユーザIDとパスワードからなるユーザ認証情報を受信するとともに、クライアント端末12から送信されるルータのIPアドレス及びルータのMACアドレスを受信する(ステップS203)。このルータのIPアドレスとMACアドレスは、クライアント端末12のLAN機器依存情報としてサーバ内の記憶手段74に一時的に保存される。
なお、ルータのIPアドレス及びMACアドレスは、ユーザ認証情報受信時ではなく、接続要求があったときに受信して一時的に保存しておいてもよい。 Subsequently, the server device 70 receives the user authentication information including the user ID and the password transmitted from the client terminal 12, and receives the router IP address and the router MAC address transmitted from the client terminal 12 (step S203). ). The IP address and MAC address of this router are temporarily stored in the storage means 74 in the server as LAN device dependent information of the client terminal 12.
Note that the IP address and MAC address of the router may be received and temporarily stored when a connection request is made, not when user authentication information is received.

次に、サーバ装置70は、ユーザ認証情報、つまりユーザIDとパスワードが記憶手段74に登録されているものと一致するか否かを判断する(ステップS204)。この判断ステップS204において、記憶手段74に記憶されているユーザ認証情報が受信されたと判断された場合には、次に、記憶手段74に記憶したテーブルから、LAN依存機器情報であるルータのIPアドレス及びMACアドレスを抽出し、これと受信したルータのIPアドレス及びMACアドレス比較検証する。すなわち、まず、受信したルータのIPアドレスが記憶手段74に記憶されているルータのIPアドレスに一致するか否かが判断される(ステップS205)。この判断ステップS205において、送信されたルータのIPアドレスが記憶手段74に記憶されているIPアドレスに一致していると判断された場合は、LAN機器依存情報の認証の第一段階に成功したことになる。判断ステップS205でルータのIPアドレスの認証に成功した場合は、続いて、送信されたルータのMACアドレスがサーバ装置70のログ記憶手段に記憶されているルータのMACアドレス、例えば、「00-11-22-33-44-55」に一致するか否かが判断される(ステップS206)。そして、判断ステップS204からS206までの認証に成功すると、サーバ装置70に対して接続要求を行ったクライアント端末12はサーバ装置70にアクセスできるクライアント端末であると判断され、認証許可通知がクライアント端末12に送られて(ステップS208)、サーバ装置側の処理が終了する。   Next, the server device 70 determines whether or not the user authentication information, that is, the user ID and password match those registered in the storage unit 74 (step S204). If it is determined in this determination step S204 that the user authentication information stored in the storage unit 74 has been received, then the router IP address that is LAN-dependent device information is stored in the table stored in the storage unit 74. The MAC address is extracted, and the IP address and MAC address of the received router are compared and verified. That is, it is first determined whether or not the received router IP address matches the router IP address stored in the storage means 74 (step S205). If it is determined in this determination step S205 that the IP address of the transmitted router matches the IP address stored in the storage means 74, the first stage of authentication of the LAN device dependent information has been successful. become. If the authentication of the IP address of the router is successful in the determination step S205, the MAC address of the router stored in the log storage means of the server device 70, for example, “00-11” is subsequently transmitted. -22-33-44-55 "is determined (step S206). When the authentication from the determination steps S204 to S206 is successful, it is determined that the client terminal 12 that has made a connection request to the server device 70 is a client terminal that can access the server device 70, and an authentication permission notification is sent to the client terminal 12. (Step S208), the processing on the server device side ends.

サーバ側から認証許可通知を受信したクライアント端末12は、サーバ装置70への接続処理を実行し(ステップS104)クライアント端末側の処理を終了する。
判断ステップS204〜S206のいずれかの認証に失敗した場合には、サーバ装置70に対して接続要求を行ったクライアント端末12はサーバ装置70へのアクセス権限がないと判定され、クライアント端末側に受付拒否の通知が送信される(ステップS207)。
このように、図3に示す実施形態例では、ユーザ認証情報、ルータのIPアドレス、ルータのMACアドレスが順次認証され、全ての認証に成功しないと接続が許可されないので、セキュリティの高い通信を行うことができる。 The client terminal 12 that has received the authentication permission notification from the server side executes connection processing to the server device 70 (step S104), and ends the processing on the client terminal side.
If the authentication in any one of the determination steps S204 to S206 fails, it is determined that the client terminal 12 that has made a connection request to the server device 70 does not have access authority to the server device 70, and is accepted by the client terminal side. A rejection notification is transmitted (step S207).
In this way, in the embodiment shown in FIG. 3, the user authentication information, the router IP address, and the router MAC address are sequentially authenticated, and connection is not permitted unless all the authentications are successful. be able to.

すなわち、図1に示すように、正規なLAN10にあったクライアント端末12が、LAN10外に持ち出され、端末を持ち出した第三者が正規でないLAN50からサーバ装置70に接続しようとしても、サーバ装置70にアクセスしようとする第三者は、LAN50からクライアント端末20の正規のルータ20のIPアドレスあるいはMACアドレスを取得することはできない。このため、判断ステップS204でユーザ認証情報の認証に成功しても、判断ステップS205のルータのIPアドレスの認証又は判断ステップS206のルータのMACアドレスの認証に失敗することになり、結局、サーバ装置側からクライアント端末12に対してステップS207の受付拒否通知が送信されることになる。   That is, as shown in FIG. 1, even if the client terminal 12 that was in the regular LAN 10 is taken out of the LAN 10 and a third party who has taken out the terminal tries to connect to the server device 70 from the non-regular LAN 50, the server device 70 A third party who wants to access cannot obtain the IP address or MAC address of the regular router 20 of the client terminal 20 from the LAN 50. For this reason, even if the authentication of the user authentication information is successful in the determination step S204, the authentication of the IP address of the router in the determination step S205 or the authentication of the MAC address of the router in the determination step S206 fails. The acceptance rejection notification in step S207 is transmitted from the side to the client terminal 12.

次に、図4のフローチャートに基づいて、本発明の第2の実施形態の例を説明する。
この第2の実施の形態例は、接続要求があったクライアント端末が接続されたルータ等の機器情報ではなく、図1に示すクライアント端末12が収容されていた正規のLAN10に接続された機器、例えばDNSサーバ13のMACアドレスをLAN依存機器情報として利用する例を示すものである。この第2の実施形態例では、サーバ装置70が正規のLAN10のルータ20とのやり取りを行って、クライアント端末の接続の許可又は拒否を決定している。 Next, an example of the second embodiment of the present invention will be described based on the flowchart of FIG.
This second embodiment is not the device information such as the router to which the client terminal that requested the connection is connected, but the device connected to the regular LAN 10 in which the client terminal 12 shown in FIG. For example, an example in which the MAC address of the DNS server 13 is used as LAN-dependent device information is shown. In this second embodiment, the server device 70 exchanges with the router 20 of the regular LAN 10 to determine whether to permit or reject the connection of the client terminal.

まず、盗難されたクライアント端末12からサーバ装置70に対して接続要求があると(ステップS111)、サーバ装置70はその接続要求を受け付け(ステップS211)、ユーザ認証情報の送信をクライアント端末12に要求する(ステップS212)。クライアント端末12は、サーバ装置70からのユーザ認証情報の要求を表示し(ステップS112)、ユーザID及びパスワードなどのユーザ認証情報をサーバ装置70に送信する(ステップS113)。サーバ装置70はクライアント端末12からのユーザ認証情報を受信する(ステップS213)。以上のステップS111からS213までのステップは、図3のフローチャートに示したプロセスと同じであるので、詳細な説明は省略する。   First, when there is a connection request from the stolen client terminal 12 to the server device 70 (step S111), the server device 70 accepts the connection request (step S211) and requests the client terminal 12 to transmit user authentication information. (Step S212). The client terminal 12 displays a request for user authentication information from the server device 70 (step S112), and transmits user authentication information such as a user ID and password to the server device 70 (step S113). The server device 70 receives user authentication information from the client terminal 12 (step S213). The steps from S111 to S213 are the same as the process shown in the flowchart of FIG.

この第2の実施の形態例では、クライアント端末からユーザ認証情報を受け付けたサーバ装置70は、受信したユーザ認証情報に基づいて、そのクライアント端末12が存在しているはずの正規のLANのルータ、例えば、図1の例では、クライアント端末12が存在しているはずのLAN10のルータ20に対して、接続要求のあったクライアント端末12のMACアドレスを要求する(ステップS214)。   In the second embodiment, the server device 70 that has received the user authentication information from the client terminal, based on the received user authentication information, the router of the regular LAN where the client terminal 12 should exist, For example, in the example of FIG. 1, the MAC address of the client terminal 12 that has made a connection request is requested to the router 20 of the LAN 10 where the client terminal 12 should exist (step S214).

正規のLAN10のルータ20は、サーバ装置70からの要求を受け付け(ステップS311)、MACアドレスの要求があったクライアント端末12がLAN10に接続している正規の端末であるか否かを調べ、クライアント端末12が正規の端末であればそれに対応するMACアドレスをサーバ装置70に通知する(ステップS312)。この判定、すなわち、クライアント端末12が現にLAN10内で稼動している端末であるか否かの判定は、接続要求のあったクライアント端末12のプライベートIPアドレスを用いて、そのIPアドレスに対応するMACアドレスが何かをLAN10内に広く伝える(ブロードキャスト)することにより行われる。   The router 20 of the legitimate LAN 10 receives the request from the server device 70 (step S311), checks whether the client terminal 12 that has requested the MAC address is a legitimate terminal connected to the LAN 10, and the client If the terminal 12 is a legitimate terminal, the corresponding MAC address is notified to the server device 70 (step S312). This determination, that is, whether or not the client terminal 12 is actually a terminal operating in the LAN 10 is determined by using the private IP address of the client terminal 12 that has made a connection request, and the MAC address corresponding to the IP address. This is done by widely broadcasting (broadcasting) what the address is in the LAN 10.

続いて、サーバ装置70は、正規のLAN10のルータ20からの上記回答を受け付けると(ステップS215)、受信したユーザ認証情報の認証、つまり受信したユーザID及びパスワードが記憶手段74のテーブル(図2参照。)に記憶されているユーザIDとパスワードに一致しているか否か判断を行う(ステップS216)。このユーザ認証情報の認証判断に失敗した場合は、受付拒否通知がクライアント端末側に送られることになるが(ステップS218)、この判断ステップS216でユーザ認証情報の認証に成功すると、続いて正規のLAN10のルータ20から受信した情報に基づいてMACアドレスの有無が判定される(ステップS217)。つまり、接続要求を行ったクライアント端末12が本来存在しているはずのLAN10内のものであるかどうかが判定される。   Subsequently, when the server device 70 receives the answer from the router 20 of the regular LAN 10 (step S215), the authentication of the received user authentication information, that is, the received user ID and password are stored in the table of the storage means 74 (FIG. 2). It is determined whether or not the user ID and password stored in (refer to FIG. 4) match (step S216). If this user authentication information authentication judgment fails, an acceptance refusal notice is sent to the client terminal side (step S218). If the user authentication information authentication succeeds in this judgment step S216, then the normal authentication is sent. The presence / absence of a MAC address is determined based on the information received from the router 20 of the LAN 10 (step S217). That is, it is determined whether or not the client terminal 12 that has made the connection request is in the LAN 10 that should originally exist.

そして、この判断ステップS217において、正規のLAN10のルータ20から送信されたMACアドレスが、クライアント端末12が保有するMACアドレスと一致する場合は、LAN機器依存情報、つまり「ネットワーク鍵」が一致したと判定され、サーバ装置70はクライアント端末12に対して、認証許可通知を送る(ステップS219)。この接続許可通知を受けたクライアント端末12はサーバ装置70への接続を行う(ステップS114)。
しかし、判断ステップS217において、正規のLAN10のルータ20から送信されたMACアドレスが、クライアント端末12が保有するMACアドレスと一致しない場合は、盗難されたクライアント端末12が正規のLAN10内ではなく、別のLAN、例えばLAN50(図1参照)からアクセスしようとしていると判断され、サーバ装置70は接続要求があったクライアント端末12からの接続を拒否し、その旨をクライアント端末12に通知する。なお、このクライアント端末12への接続拒否通知は必ずしも必要としないものである。 In this determination step S217, if the MAC address transmitted from the router 20 of the regular LAN 10 matches the MAC address held by the client terminal 12, the LAN device dependent information, that is, the “network key” matches. The server device 70 sends an authentication permission notification to the client terminal 12 (step S219). Receiving this connection permission notification, the client terminal 12 connects to the server device 70 (step S114).
However, in the determination step S217, if the MAC address transmitted from the router 20 of the regular LAN 10 does not match the MAC address held by the client terminal 12, the stolen client terminal 12 is not in the regular LAN 10, and The server device 70 rejects the connection from the client terminal 12 that requested the connection, and notifies the client terminal 12 to that effect. The connection rejection notification to the client terminal 12 is not necessarily required.

ここで、正規のLAN10のルータ20は、LAN10内で所定のクライアント端末12が稼働している場合には、そのクライアント端末12のMACアドレスを取得してサーバ装置70に送信するが、例えば、盗難によって、本来稼働しているはずのクライアント端末12がLAN内に存在しない場合は、ルータ20は、LAN10内にブロードキャストした要求に対して応答を受けない。このような場合、サーバ装置70に判定結果を通知することができないので、サーバ装置70は、一定時間応答がない場合には、クライアント端末が正規のLAN内に存在しないと判断し、受付拒否通知をクライアント端末に送信するようにすることも可能である。   Here, when a predetermined client terminal 12 is operating in the LAN 10, the router 20 of the regular LAN 10 acquires the MAC address of the client terminal 12 and transmits it to the server device 70. Thus, if the client terminal 12 that should be operating does not exist in the LAN, the router 20 does not receive a response to the request broadcast in the LAN 10. In such a case, since the determination result cannot be notified to the server device 70, the server device 70 determines that the client terminal does not exist in the regular LAN when there is no response for a certain period of time, and receives an acceptance refusal notification. Can be transmitted to the client terminal.

図5は、本発明の第3の実施形態の例を説明するためのフローチャートであり、ネットワーク中継機器40〜42のIPアドレスをLAN依存機器情報(ネットワーク鍵)として利用する例である。言うまでもなく、図1に示すクライアント端末12から送られるIPパケットは、ネットワーク30上の中継機器40〜42の1つ又は複数を経由して、サーバ装置70に送られる。   FIG. 5 is a flowchart for explaining an example of the third embodiment of the present invention, in which the IP addresses of the network relay devices 40 to 42 are used as LAN-dependent device information (network key). Needless to say, the IP packet sent from the client terminal 12 shown in FIG. 1 is sent to the server device 70 via one or more of the relay devices 40 to 42 on the network 30.

盗難されたクライアント端末12が、サーバ装置70が提供するサービスあるいは情報を取得しようとする場合、正規のLAN10以外のエリア、例えば、他のLAN50からサーバ装置70に対して接続要求が行われる(ステップS121)。   When the stolen client terminal 12 attempts to acquire the service or information provided by the server device 70, a connection request is made to the server device 70 from an area other than the regular LAN 10, for example, another LAN 50 (step). S121).

サーバ装置70はこの接続要求を受信すると(ステップS221)、図3で説明した第1の実施の形態例と同様に、接続要求があったクライアント端末12に対して、ユーザ認証情報を要求する(ステップS222)。すると、クライアント端末12の表示画面上に、ユーザ認証情報要求の表示が行われ(ステップS122)、クライアント端末12の利用者は、画面表示にしたがって、ユーザ認証情報を入力してサーバ装置70に送信する(ステップS123)。   Upon receiving this connection request (step S221), the server device 70 requests user authentication information from the client terminal 12 that has made the connection request, as in the first embodiment described with reference to FIG. Step S222). Then, the user authentication information request is displayed on the display screen of the client terminal 12 (step S122), and the user of the client terminal 12 inputs the user authentication information and transmits it to the server device 70 according to the screen display. (Step S123).

次に、サーバ装置70は、クライアント端末12が送信したIPパケットを受信するが、このとき、クライアント端末12のIPアドレスを受信するとともに、IPパケットの経路となったルータやゲートウエイ装置等の中継装置40〜42のIPアドレスやMACアドレスを受信する(ステップS223)。
そして、クライアント端末12からの接続要求の度に、中継機器40〜42のIPアドレスやMACアドレスをログとして記憶手段74に記憶する。 Next, the server device 70 receives the IP packet transmitted by the client terminal 12. At this time, the server device 70 receives the IP address of the client terminal 12, and at the same time, receives a relay device such as a router or gateway device that is the route of the IP packet. 40 to 42 IP addresses and MAC addresses are received (step S223).
Each time a connection request is made from the client terminal 12, the IP address or MAC address of the relay device 40 to 42 is stored in the storage unit 74 as a log.

次に、サーバ装置70において、ユーザ認証情報としてのユーザID及びパスワード等に基づいてユーザ認証情報の認証が行われる(ステップS224)。つまり、受信したユーザIDとパスワードが記憶手段74に記憶されているユーザID及びパスワードに一致しているか否かが判断される。判断ステップS224で、ユーザ認証情報の認証が成功した場合は、続いて、中継機器のIPアドレスの検証が行われる(ステップS225)。ここでは、受信した中継機器のIPアドレスと記憶手段74に記憶されている中継装置のIPアドレス、例えば、図2に示す中継装置のIPアドレス「123.124.125.126」が参照され、比較検証される。両者が一致した場合は、LAN依存機器情報の認証に成功したとされる。   Next, in the server device 70, the user authentication information is authenticated based on the user ID and the password as the user authentication information (step S224). That is, it is determined whether or not the received user ID and password match the user ID and password stored in the storage unit 74. If the authentication of the user authentication information is successful in the determination step S224, the IP address of the relay device is subsequently verified (step S225). Here, the IP address of the relay device received and the IP address of the relay device stored in the storage means 74, for example, the IP address “123.124.125.126” of the relay device shown in FIG. If the two match, it is assumed that the LAN-dependent device information has been successfully authenticated.

この、判断ステップS225の認証に成功すると、接続要求を行ったクライアント端末12はサーバ装置70にアクセスできるクライアント端末であると判断され、サーバ装置70は、クライアント端末12に対して接続許可通知を行う(ステップS227)。しかし、判断ステップS224のユーザ認証及び判断ステップS225の中継機器のIPアドレスのいずれかの認証に失敗すると、サーバ装置70は、クライアント端末12に対して受付拒否通知を送信する(ステップS226)。なお、この受付拒否通知は、必ずしもクライアント端末12に送らないで、サーバ装置70において単に接続を受け付けないだけにすることもある。   If the authentication in the determination step S225 is successful, it is determined that the client terminal 12 that has made the connection request is a client terminal that can access the server apparatus 70, and the server apparatus 70 notifies the client terminal 12 of a connection permission. (Step S227). However, if the user authentication in the determination step S224 and the authentication of either the IP address of the relay device in the determination step S225 fail, the server device 70 transmits an acceptance rejection notification to the client terminal 12 (step S226). Note that the acceptance refusal notification is not necessarily sent to the client terminal 12, and the server device 70 may simply not accept the connection.

以上、本発明の3つの実施形態の例を出して、特定のLAN依存機器情報を利用してクライアント端末の不正アクセスを防止することを説明したが、本発明は、第1〜第3の実施形態例のLAN依存機器情報の複数を組み合わせて認証を行うことにより一層高度なセキュリティを確保することができる。また、本発明は、例えばトランスポート層にあるTCPを用いて接続要求する場合を中心に説明しているが、同じくトランスポート層にあるUDPを用いた通信においても適用できるものである。   As described above, examples of the three embodiments of the present invention have been described to prevent unauthorized access of client terminals using specific LAN-dependent device information. However, the present invention is not limited to the first to third embodiments. A higher level of security can be ensured by performing authentication by combining a plurality of pieces of LAN-dependent device information in the embodiment. Further, although the present invention has been described centering on a case where a connection request is made using TCP in the transport layer, for example, the present invention can also be applied to communication using UDP in the transport layer.

なお、本発明は上述した実施の形態例に限定されるものではなく、特許請求の範囲に記載した本発明の要旨を逸脱しない限りにおいて、他の多くの実施の形態が含まれることは言うまでもない。   The present invention is not limited to the above-described embodiments, and it goes without saying that many other embodiments are included without departing from the gist of the present invention described in the claims. .

本発明による認証システムをクライアント・サーバシステムに適用した構成例を示すブロック図である。It is a block diagram which shows the structural example which applied the authentication system by this invention to the client server system. 本発明のサーバ装置におけるログ記憶手段に記憶されるユーザ認証情報及びLAN依存機器情報のテーブル構成図である。It is a table block diagram of the user authentication information and LAN dependence apparatus information which are memorize | stored in the log memory | storage means in the server apparatus of this invention. 本発明の第1の実施の形態例の動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of the 1st Example of this invention. 本発明の第2の実施の形態例の動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of the 2nd Example of this invention. 本発明の第3の実施の形態例の動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of the 3rd Embodiment of this invention.

符号の説明Explanation of symbols

10 正規のLAN
11 盗難にあっていないクライアント端末
12 盗難されたクライアント端末
13,14 正規のLAN内のサーバ
20 正規のLANに接続されるルータ
30 インターネット等のネットワーク
40,41,42 IPパケットの中継機器
50 盗難されたクライアント端末が接続されるLAN
51 盗難されたクライアント端末が接続されるLAN内のサーバ
60 盗難されたクライアント端末が接続されるLAN内のルータ 10 Regular LAN
11 Client terminal 12 that has not been stolen 12 Client terminal 13 and 14 that has been stolen Server 20 in a legitimate LAN Router 30 that is connected to the legitimate LAN Network 40, 41, 42 such as the Internet IP packet relay device 50 Theft LAN to which the client terminal is connected
51 Server 60 in LAN to which a stolen client terminal is connected Router in LAN to which a stolen client terminal is connected

Claims (12)

クライアント端末からサーバ装置に接続要求があったときに、前記クライアント端末がLAN内のクライアント端末であることを認証するための認証システムであって、
前記クライアント端末により予め特定されたユーザ認証情報を記憶するユーザ認証情報記憶手段と、
前記LANに依存するLAN依存機器情報を前記ユーザ認証情報に対応させて記憶するLAN依存機器情報記憶手段と、
前記クライアント端末から前記サーバ装置に接続要求があったときに、該接続要求時のLAN依存機器情報を検知するLAN依存機器情報検出手段と、
前記接続要求時のLAN依存機器情報が前記ユーザ認証情報に対応するLAN依存機器情報である場合には接続を許可し、前記接続要求時のLAN依存機器情報が前記ユーザ認証情報に対応するLAN依存機器情報でない場合には接続を拒否する認証手段と、
をサーバ装置内に有することを特徴するユーザ認証システム。 An authentication system for authenticating that the client terminal is a client terminal in a LAN when a connection request is made from the client terminal to the server device,
User authentication information storage means for storing user authentication information specified in advance by the client terminal;
LAN-dependent device information storage means for storing LAN-dependent device information depending on the LAN in association with the user authentication information;
LAN-dependent device information detecting means for detecting LAN-dependent device information at the time of the connection request when there is a connection request from the client terminal to the server device;
If the LAN dependent device information at the time of the connection request is LAN dependent device information corresponding to the user authentication information, the connection is permitted, and the LAN dependent device information at the time of the connection request corresponds to the LAN dependency corresponding to the user authentication information. If it is not device information, the authentication means to refuse the connection,
In the server device. 前記サーバ装置は、LAN構築時に前記ユーザ認証情報を記憶するとともに、該ユーザ認証情報に対応させて前記LAN依存機器情報を記憶することを特徴する請求項1に記載のユーザ認証システム。   The user authentication system according to claim 1, wherein the server device stores the user authentication information at the time of LAN construction and stores the LAN-dependent device information in association with the user authentication information. 前記サーバ装置は、LAN内にクライアント端末を増設するときに、前記ユーザ認証情報を記憶するとともに、該ユーザ認証情報に対応させて前記LAN依存機器情報を記憶することを特徴する請求項1に記載のユーザ認証システム。   The server device stores the user authentication information when adding a client terminal in a LAN, and stores the LAN dependent device information corresponding to the user authentication information. User authentication system. 前記LAN依存機器情報は、LANに接続されるルータのMACアドレス又はIPアドレスであることを特徴とする請求項1〜3のいずれかに記載のユーザ認証システム。   The user authentication system according to claim 1, wherein the LAN dependent device information is a MAC address or an IP address of a router connected to the LAN. 前記LAN依存機器情報は、LANに接続されるゲートウエイ装置のMACアドレス又はIPアドレスであることを特徴とする請求項1〜3のいずれかに記載のユーザ認証システム。   The user authentication system according to claim 1, wherein the LAN dependent device information is a MAC address or an IP address of a gateway device connected to the LAN. 前記LAN依存機器情報は、LANに接続されるサーバのMACアドレスであることを特徴とする請求項1〜3のいずれかに記載のユーザ認証システム。   The user authentication system according to claim 1, wherein the LAN dependent device information is a MAC address of a server connected to the LAN. 前記LAN依存機器情報は、LANに接続されるクライアント端末のMACアドレスであることを特徴とする請求項1〜3に記載のユーザ認証システム。   The user authentication system according to claim 1, wherein the LAN dependent device information is a MAC address of a client terminal connected to the LAN. 前記サーバ装置は、前記LAN依存機器情報記憶手段に記憶されている前記クライアント端末のユーザ認証情報に対応するLAN依存機器情報を参照して、前記クライアント端末が収容される正規のLANのルータ又はゲートウエイ装置に前記接続要求を行ったクライアント端末のMACアドレスを要求し、
前記認証手段は、前記MACアドレスが前記ユーザ認証情報に対応して前記サーバ装置が記憶するLAN依存機器情報である場合には接続を許可し、前記MACアドレスが前記ユーザ認証情報に対応するLAN依存機器情報でない場合には接続を拒否することを特徴する、請求項7に記載のユーザ認証システム。 The server device refers to LAN-dependent device information corresponding to the user authentication information of the client terminal stored in the LAN-dependent device information storage means, and is a router or gateway of a regular LAN in which the client terminal is accommodated. Request the MAC address of the client terminal that made the connection request to the device,
The authentication means permits connection when the MAC address is LAN-dependent device information stored in the server device corresponding to the user authentication information, and the MAC address corresponds to the LAN-dependent device information corresponding to the user authentication information. 8. The user authentication system according to claim 7, wherein connection is rejected when the information is not device information. クライアント端末からサーバ装置に接続要求があったときに、前記クライアント端末がLAN内のクライアント端末であることを認証するための認証方法であって、
前記クライアント端末により予め特定されたユーザ認証情報を記憶するステップと、
前記LANに依存するLAN依存機器情報を前記ユーザ認証情報に対応させて記憶するステップと、
前記クライアント端末から前記サーバ装置に接続要求があったときに、該接続要求時のLAN依存機器情報を検出するステップと、
前記接続要求時のLAN依存機器情報が前記ユーザ認証情報に対応するLAN依存機器情報である場合には接続を許可し、前記接続要求時のLAN依存機器情報が前記ユーザ認証情報に対応するLAN依存機器情報でない場合には接続を拒否することを特徴するユーザ認証方法。 An authentication method for authenticating that the client terminal is a client terminal in a LAN when a connection request is made from the client terminal to the server device,
Storing user authentication information specified in advance by the client terminal;
Storing LAN-dependent device information depending on the LAN in association with the user authentication information;
Detecting a LAN-dependent device information at the time of the connection request when there is a connection request from the client terminal to the server device;
If the LAN dependent device information at the time of the connection request is LAN dependent device information corresponding to the user authentication information, the connection is permitted, and the LAN dependent device information at the time of the connection request corresponds to the LAN dependency corresponding to the user authentication information. A user authentication method characterized by rejecting a connection if the device information is not used. 前記LAN依存機器情報は、LANに接続されたクライアント端末のMACアドレスであり、前記クライアント端末から前記サーバ装置に接続要求があったとき、前記サーバ装置は、前記サーバ装置内に記憶されているユーザ認証情報に対応するLAN依存機器情報を参照して、前記接続要求を行った前記クライアント端末が収容される正規のLANのルータ又はゲートウエイ装置に前記クライアント端末のMACアドレスを要求し、
前記MACアドレスが、前記ユーザ認証情報に対応して前記サーバ装置が記憶するLAN依存機器情報である場合には接続を許可し、前記MACアドレスが前記ユーザ認証情報に対応するLAN依存機器情報でない場合には接続を拒否することを特徴する請求項9に記載のユーザ認証方法。 The LAN dependent device information is a MAC address of a client terminal connected to the LAN. When a connection request is made from the client terminal to the server device, the server device is a user stored in the server device. Referring to the LAN-dependent device information corresponding to the authentication information, request the MAC address of the client terminal from the router or gateway device of the regular LAN in which the client terminal that has made the connection request is accommodated,
When the MAC address is LAN-dependent device information stored in the server device corresponding to the user authentication information, connection is permitted, and when the MAC address is not LAN-dependent device information corresponding to the user authentication information The user authentication method according to claim 9, wherein the connection is rejected. クライアント端末からサーバ装置に接続要求があったときに、前記クライアント端末がLAN内のクライアント端末であることを認証する機能をコンピュータに実行させるためのプログラムであって、
前記クライアント端末により予め特定されたユーザ認証情報を記憶する機能と、
前記LANに依存するLAN依存機器情報を前記ユーザ認証情報に対応させて記憶する機能と、
前記クライアント端末から前記サーバ装置に接続要求があったときに、該接続要求時のLAN依存機器情報を検出する機能と、
前記接続要求時のLAN依存機器情報が前記ユーザ認証情報に対応するLAN依存機器情報である場合には接続を許可し、前記接続要求時のLAN依存機器情報が前記ユーザ認証情報に対応するLAN依存機器情報でない場合には接続を拒否する機能を、
コンピュータに実行させるプログラム。 A program for causing a computer to execute a function of authenticating that a client terminal is a client terminal in a LAN when a connection request is made from a client terminal to a server device,
A function of storing user authentication information specified in advance by the client terminal;
A function of storing LAN-dependent device information depending on the LAN in association with the user authentication information;
When there is a connection request from the client terminal to the server device, a function of detecting LAN-dependent device information at the time of the connection request;
If the LAN dependent device information at the time of the connection request is LAN dependent device information corresponding to the user authentication information, the connection is permitted, and the LAN dependent device information at the time of the connection request corresponds to the LAN dependency corresponding to the user authentication information. If it is not device information, the function to refuse connection,
A program to be executed by a computer. 請求項11に記載したプログラムを記憶したコンピュータ読み取り可能な記憶媒体。   A computer-readable storage medium storing the program according to claim 11.
JP2005196500A 2005-07-05 2005-07-05 User authentication system, user authentication method, program for achieving the same, and storage medium storing program Pending JP2007018081A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005196500A JP2007018081A (en) 2005-07-05 2005-07-05 User authentication system, user authentication method, program for achieving the same, and storage medium storing program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005196500A JP2007018081A (en) 2005-07-05 2005-07-05 User authentication system, user authentication method, program for achieving the same, and storage medium storing program

Publications (1)

Publication Number Publication Date
JP2007018081A true JP2007018081A (en) 2007-01-25

Family

ID=37755221

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005196500A Pending JP2007018081A (en) 2005-07-05 2005-07-05 User authentication system, user authentication method, program for achieving the same, and storage medium storing program

Country Status (1)

Country Link
JP (1) JP2007018081A (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009027504A (en) * 2007-07-20 2009-02-05 Nec Corp Terminal find system
JP2011090614A (en) * 2009-10-26 2011-05-06 Mitsubishi Electric Corp Gateway device, management server, and system for monitoring the gateway device
JP2011175383A (en) * 2010-02-23 2011-09-08 Nippon Telegr & Teleph Corp <Ntt> Address intensive system and message transmission source authentication method
JP2011211306A (en) * 2010-03-29 2011-10-20 Brother Industries Ltd Vpn router, communication system, and communication program
JP2011243071A (en) * 2010-05-20 2011-12-01 Konami Digital Entertainment Co Ltd Game system, server device, log-in method, and program
JP2012085003A (en) * 2010-10-07 2012-04-26 Icom Inc Sip apparatus
JP2012515977A (en) * 2009-01-21 2012-07-12 リン,チュン−ユ Cybercrime detection prevention method and system established by telephone number code, authorization code and source identification code
JP2012205073A (en) * 2011-03-25 2012-10-22 Toshiba Corp Node device, server apparatus, and node connection management method
JP2015069586A (en) * 2013-09-30 2015-04-13 株式会社Pfu Server device, registration method, control program, and communication system
US20210036988A1 (en) * 2019-07-29 2021-02-04 Cable Television Laboratories, Inc Systems and methods for obtaining permanent mac addresses

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003303174A (en) * 2002-04-08 2003-10-24 Hitachi Hybrid Network Co Ltd Method and device for authenticating terminal
JP2005020668A (en) * 2003-06-30 2005-01-20 Showa Electric Wire & Cable Co Ltd Network communication program and network communication card

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003303174A (en) * 2002-04-08 2003-10-24 Hitachi Hybrid Network Co Ltd Method and device for authenticating terminal
JP2005020668A (en) * 2003-06-30 2005-01-20 Showa Electric Wire & Cable Co Ltd Network communication program and network communication card

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009027504A (en) * 2007-07-20 2009-02-05 Nec Corp Terminal find system
JP2012515977A (en) * 2009-01-21 2012-07-12 リン,チュン−ユ Cybercrime detection prevention method and system established by telephone number code, authorization code and source identification code
JP2011090614A (en) * 2009-10-26 2011-05-06 Mitsubishi Electric Corp Gateway device, management server, and system for monitoring the gateway device
JP2011175383A (en) * 2010-02-23 2011-09-08 Nippon Telegr & Teleph Corp <Ntt> Address intensive system and message transmission source authentication method
JP2011211306A (en) * 2010-03-29 2011-10-20 Brother Industries Ltd Vpn router, communication system, and communication program
JP2011243071A (en) * 2010-05-20 2011-12-01 Konami Digital Entertainment Co Ltd Game system, server device, log-in method, and program
JP2012085003A (en) * 2010-10-07 2012-04-26 Icom Inc Sip apparatus
JP2012205073A (en) * 2011-03-25 2012-10-22 Toshiba Corp Node device, server apparatus, and node connection management method
JP2015069586A (en) * 2013-09-30 2015-04-13 株式会社Pfu Server device, registration method, control program, and communication system
US20210036988A1 (en) * 2019-07-29 2021-02-04 Cable Television Laboratories, Inc Systems and methods for obtaining permanent mac addresses
US11706255B2 (en) * 2019-07-29 2023-07-18 Cable Television Laboratories, Inc. Systems and methods for obtaining permanent MAC addresses

Similar Documents

Publication Publication Date Title
US7194004B1 (en) Method for managing network access
JP2007018081A (en) User authentication system, user authentication method, program for achieving the same, and storage medium storing program
US6393484B1 (en) System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks
US6745333B1 (en) Method for detecting unauthorized network access by having a NIC monitor for packets purporting to be from itself
US10708780B2 (en) Registration of an internet of things (IoT) device using a physically uncloneable function
US7124197B2 (en) Security apparatus and method for local area networks
US7207061B2 (en) State machine for accessing a stealth firewall
US7542468B1 (en) Dynamic host configuration protocol with security
US7448076B2 (en) Peer connected device for protecting access to local area networks
JP4071966B2 (en) Wired network and method for providing authenticated access to wireless network clients
US8935748B2 (en) Secure DNS query
US7934258B2 (en) System and method for remote authentication security management
US20090183247A1 (en) System and method for biometric based network security
Baitha et al. Session hijacking and prevention technique
US20020157007A1 (en) User authentication system and user authentication method used therefor
KR20170015340A (en) Method and network element for improved access to communication networks
US20070097904A1 (en) Wireless nodes with active authentication and associated methods
US20100088399A1 (en) Enterprise security setup with prequalified and authenticated peer group enabled for secure DHCP and secure ARP/RARP
WO2004095803A1 (en) Techniques for offering seamless accesses in enterprise hot spots for both guest users and local users
Hijazi et al. Address resolution protocol spoofing attacks and security approaches: A survey
WO2015174100A1 (en) Packet transfer device, packet transfer system, and packet transfer method
EP2369808A1 (en) Method of securing access to data or a service that is accessible via a device implementing the method and corresponding device
Rupal et al. Detection and prevention of ARP poisoning in dynamic IP configuration
KR100856918B1 (en) Method for IP address authentication in IPv6 network, and IPv6 network system
Allen et al. Securing a wireless network

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20080313

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080702

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090507

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090515

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20101216

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110614

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110615

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110803

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110823