JP2007018081A - User authentication system, user authentication method, program for achieving the same, and storage medium storing program - Google Patents
User authentication system, user authentication method, program for achieving the same, and storage medium storing program Download PDFInfo
- Publication number
- JP2007018081A JP2007018081A JP2005196500A JP2005196500A JP2007018081A JP 2007018081 A JP2007018081 A JP 2007018081A JP 2005196500 A JP2005196500 A JP 2005196500A JP 2005196500 A JP2005196500 A JP 2005196500A JP 2007018081 A JP2007018081 A JP 2007018081A
- Authority
- JP
- Japan
- Prior art keywords
- lan
- client terminal
- information
- user authentication
- device information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、LAN(Local Area Network)・インターネット(Internet)等の通信回線を介して、サーバとクライアント端末間の通信を行うクライアント・サーバシステムにおけるセキュリティシステムに関し、特に、第三者の「なりすまし」による不正アクセスを防止するためのクライアント端末の認証システム及び認証方法、より詳細には、クライアント端末が盗難された場合であっても、クライアント端末に依存するユーザ認証情報だけでなく、盗難されたクライアント端末が正規に帰属するLANの機器情報等を認証情報として利用することにより、セキュリティを確保した安全な認証システム及び認証方法に関する。 The present invention relates to a security system in a client / server system that performs communication between a server and a client terminal via a communication line such as a LAN (Local Area Network) and the Internet (Internet), and more particularly, “impersonation” of a third party. Client terminal authentication system and authentication method for preventing unauthorized access by a user, more specifically, even when a client terminal is stolen, not only user authentication information depending on the client terminal but also a stolen client The present invention relates to a secure authentication system and an authentication method in which security is ensured by using, as authentication information, device information of a LAN to which a terminal properly belongs.
クライアント端末の認証を行う手段としては、ユーザIDとパスワードを用いる方法が最も一般的である。
クライアント端末からの接続要求を受信したサーバ装置は、最初に、そのサーバ装置内のテーブルに保存したユーザIDとパスワードが受信要求を行ったクライアント端末のユーザID及びパスワードと一致するか否かを判定する。
As a means for authenticating the client terminal, a method using a user ID and a password is the most common.
The server device that has received the connection request from the client terminal first determines whether or not the user ID and password stored in the table in the server device match the user ID and password of the client terminal that has made the reception request. To do.
クライアント端末から送られたユーザID及びパスワードがサーバ装置内のテーブルに保存されているユーザID及びパスワードと一致した場合には、通信処理を継続し、不一致の場合には、認証に失敗したことをクライアント端末に返信する。 When the user ID and password sent from the client terminal match the user ID and password stored in the table in the server device, the communication process is continued. Reply to the client terminal.
また、通信相手を特定する手段として、ユーザIDとパスワードの他には、指紋や虹彩等、ユーザ情報としてのバイオメトリクスを認証する方法もある(例えば、特許文献1を参照)。
更には、Ethernetの物理アドレスであるMAC(Media Access Control)アドレスやホストネーム等の機器情報を利用してクライアント端末を認証する方法や、アプリケーションに関連付けられたソフトウエアキーを利用してクライアント端末を認証する方法がある。
As a means for specifying a communication partner, there is a method of authenticating biometrics as user information such as a fingerprint and an iris in addition to a user ID and a password (see, for example, Patent Document 1).
In addition, a method for authenticating a client terminal using device information such as a MAC (Media Access Control) address or host name, which is a physical address of Ethernet, or a client key using a software key associated with an application. There is a way to authenticate.
また、ユーザIDとパスワードに加えて、前記バイオメトリククス等のユーザ情報を組み合わせて認証を行うことにより、高度のセキュリティを確保しようとすることも行われている。
すなわち、これらのユーザ情報に基づきクライアント端末の認証を行うことにより、アクセス権をもたない利用者のサービス利用や情報取得を防止することができるようになる。
That is, by authenticating the client terminal based on the user information, it is possible to prevent the use of the service and the information acquisition of the user who does not have the access right.
しかし、クライアント端末自体が盗難にあったような場合には、端末を盗んだ者(第三者)が、アクセス権限のある者に成り済まし、盗んだ端末からサーバ装置に不正アクセスを行うこともあり得る。この盗まれたクライアント端末には、ユーザIDやパスワードが保存されていることが多く、更には機器情報やソフトウエアキーもクライアント端末に依存しているため、第三者が盗んだクライアント端末を利用する限り、接続要求のあったサーバ装置はその接続要求が真正であるとして認証してしまう。このため、アクセス権をもたない利用者に対しても、サービス利用や情報取得を許可する恐れが生じることになる。 However, if the client terminal itself is stolen, the person who steals the terminal (third party) may impersonate the person who has access authority and may illegally access the server device from the stolen terminal. obtain. This stolen client terminal often stores a user ID and password, and device information and software keys also depend on the client terminal, so use a client terminal stolen by a third party As long as the connection request is made, the server apparatus authenticates that the connection request is authentic. For this reason, a user who does not have an access right may be permitted to use the service or acquire information.
また、ユーザID及びパスワードがクライアント端末に保存されていない場合であっても、第三者が権限のある者が使ったユーザIDやパスワードを盗み見ることにより情報が漏洩することがある。更にまた、機器情報やソフトウエアキーによってセキュリティを確保する場合でも、クライアント端末に依存する情報を通信する端末間あるいは端末とサーバ間の互いの認証に利用する限り、上述したような理由で高度なセキュリティを確保することができないという問題がある。 Even if the user ID and password are not stored in the client terminal, information may be leaked by stealing the user ID and password used by an authorized person by a third party. Furthermore, even when security is ensured by device information or software key, as long as the information depending on the client terminal is used for mutual authentication between the terminals that communicate with each other or between the terminal and the server, it is highly sophisticated for the reasons described above. There is a problem that security cannot be ensured.
本発明の目的は、クライアント端末が盗難され、その盗まれたクライアント端末に依存する認証情報を利用して特定のサーバ装置にアクセスする場合であっても、第三者の成りすましを予防でき、一定レベルのセキュリティを確保することができる認証システム、認証方法、及びこれらの認証を実現するためのプログラム及びその記録媒体を提供することにある。 An object of the present invention is to prevent impersonation of a third party even when a client terminal is stolen and a specific server device is accessed using authentication information that depends on the stolen client terminal. It is an object of the present invention to provide an authentication system, an authentication method, a program for realizing these authentications, and a recording medium thereof that can ensure a level of security.
上記課題を解決し、本発明の目的を達成するため、本発明の認証システムは、クライアント端末からサーバ装置に接続要求があったときに、その接続要求を行ったクライアント端末がLAN内のクライアント端末であることを認証するための認証システムであって、このクライアント端末により予め特定されたユーザ認証情報を記憶するユーザ認証情報記憶手段と、LANに依存するLAN依存機器情報を当該クライアント端末により特定されるユーザ認証情報に対応させて記憶するLAN依存機器情報記憶手段と、クライアント端末からサーバ装置に接続要求があったときに、該接続要求時のLAN依存機器情報を検知するLAN依存機器情報検出手段と、この接続要求時のLAN依存機器情報が当該クライアント端末のユーザ認証情報に対応するLAN依存機器情報である場合には接続を許可し、接続要求時のLAN依存機器情報が当該クライアント端末のユーザ認証情報に対応するLAN依存機器情報でない場合には接続を拒否する認証手段と、をサーバ装置内に有することを特徴するものである。すなわち、本発明の認証システムは、指定されたLAN内のクライアント端末からはサーバ装置に接続できるものの、指定されたLAN以外のLANに収容されているクライアント端末からはサーバ装置に接続要求があっても接続することができないようになっている。 In order to solve the above-described problems and achieve the object of the present invention, the authentication system of the present invention is configured such that when a connection request is made from the client terminal to the server device, the client terminal that has made the connection request An authentication system for authenticating that the user authentication information storage means stores user authentication information specified in advance by the client terminal, and LAN dependent device information that depends on the LAN is specified by the client terminal. LAN-dependent device information storage means for storing corresponding user authentication information, and LAN-dependent device information detection means for detecting LAN-dependent device information at the time of a connection request when a client terminal makes a connection request to the server device And the LAN-dependent device information at the time of the connection request is the user authentication information of the client terminal. Authentication means for permitting connection if the corresponding LAN-dependent device information is accepted, and rejecting connection if the LAN-dependent device information at the time of the connection request is not LAN-dependent device information corresponding to the user authentication information of the client terminal; In the server device. That is, the authentication system of the present invention can connect to a server device from a client terminal in a designated LAN, but there is a connection request to the server device from a client terminal accommodated in a LAN other than the designated LAN. Can not even be connected.
また、本発明認証システムにおけるサーバ装置は、正規のユーザ認証情報及び正規のLAN依存機器情報をLAN構築時にサーバ装置内の記憶装置にテーブルとして記憶するようにしている。更に、正規のLAN内にクライアント端末を増設する場合には、サーバ装置は、増設時に正規のユーザ認証情報及び正規のLAN依存機器情報をLAN構築時にサーバ内の記憶装置に記憶するようにする。 The server device in the authentication system of the present invention stores the legitimate user authentication information and the legitimate LAN-dependent device information as a table in a storage device in the server apparatus at the time of LAN construction. Further, when a client terminal is added in a regular LAN, the server device stores regular user authentication information and regular LAN-dependent device information in a storage device in the server when the LAN is constructed.
ここで、本発明の認証システムに用いられるLAN依存機器情報は、クライアント端末が帰属するLANに固有の機器情報であり、LAN内に設けられるルータのMACアドレス又はIPアドレス、LANに接続されたゲートウエイ装置のMACアドレス又はIPアドレス、LANに接続されたサーバのMACアドレス、あるいはLANに接続されたクライアント端末のMACアドレス等である。更には、インターネット中継局のルータ又はゲートウエイ装置のIPアドレスを用いることもできる。
本発明の認証システムでは、上述した正規のLAN外では得られない情報を認証情報として利用しているので、端末をLAN外に持ち出した第三者が正規のLAN外から不正なアクセスをしても、その接続要求を拒否することができるのである。
Here, the LAN dependent device information used in the authentication system of the present invention is device information unique to the LAN to which the client terminal belongs, and is the MAC address or IP address of the router provided in the LAN, and the gateway connected to the LAN. The MAC address or IP address of the device, the MAC address of a server connected to the LAN, or the MAC address of a client terminal connected to the LAN. Furthermore, the IP address of the router or gateway device of the Internet relay station can be used.
In the authentication system of the present invention, the information that cannot be obtained outside the regular LAN is used as the authentication information. Therefore, a third party who took the terminal out of the LAN makes unauthorized access from outside the regular LAN. The connection request can be rejected.
また、本発明は、クライアント端末からサーバ装置に接続要求があったときに、この接続要求をおこなったクライアント端末がLAN内の正規のクライアント端末であることを認証するための認証方法であって、当該クライアント端末により予め特定されたユーザ認証情報を記憶するステップと、LANに依存するLAN依存機器情報をユーザ認証情報に対応させて記憶するステップと、クライアント端末からサーバ装置に接続要求があったときに、該接続要求時のLAN依存機器情報を検出するステップと、当該クライアント端末からの接続要求時のLAN依存機器情報がサーバ内に記憶されているクライアント端末のユーザ認証情報に対応するLAN依存機器情報である場合には接続を許可し、クライアント端末からの接続要求時のLAN依存機器情報がサーバ内に記憶されているユーザ認証情報に対応するLAN依存機器情報でない場合には接続を拒否することを特徴するユーザ認証方法である。 Further, the present invention is an authentication method for authenticating that a client terminal that has made a connection request is a legitimate client terminal in the LAN when a connection request is made from the client terminal to the server device, A step of storing user authentication information specified in advance by the client terminal, a step of storing LAN-dependent device information depending on the LAN in association with the user authentication information, and when there is a connection request from the client terminal to the server device A step of detecting LAN dependent device information at the time of the connection request, and a LAN dependent device corresponding to the user authentication information of the client terminal in which the LAN dependent device information at the time of the connection request from the client terminal is stored in the server If it is information, the connection is permitted and the LA at the time of the connection request from the client terminal When dependency device information is not LAN dependent device information corresponding to the user authentication information stored in the server is a user authentication process for said refusing the connection.
さらに、本発明は、前記認証方法をコンピュータに実行させるプログラム及び当該プログラムを記憶したコンピュータ読み取り可能な記憶媒体を含んでいる。 Furthermore, the present invention includes a program that causes a computer to execute the authentication method and a computer-readable storage medium that stores the program.
本発明の認証システムによれば、正規のLANに接続されているクライアント端末が盗まれ、この盗難端末が他のLANに接続されてサーバ装置にアクセスされた場合などには、サーバ装置内に記憶されている当該クライアント端末が保有するユーザ認証情報と対応するLAN依存機器情報と、盗難端末から送られてくるLAN依存機器情報とが比較されて、両者が不一致となることにより、盗難端末からの不正アクセスが防止される。すなわち、正規のユーザ認証情報及び正規のLAN依存機器情報は、サーバ装置に記憶されており、外部のクライアント端末から正規のLAN機器依存情報と異なるLAN依存機器情報が送られてくる場合には、サーバ装置は接続要求を拒否することができるのである。 According to the authentication system of the present invention, when a client terminal connected to a legitimate LAN is stolen and this stolen terminal is connected to another LAN and accessed to the server device, the server device stores it. The LAN-dependent device information corresponding to the user authentication information held by the client terminal and the LAN-dependent device information sent from the theft terminal are compared, and the two do not match. Unauthorized access is prevented. That is, regular user authentication information and regular LAN dependent device information are stored in the server device, and when LAN dependent device information different from regular LAN device dependent information is sent from an external client terminal, The server device can reject the connection request.
例えば、正規のLANに接続されているクライアント端末をLAN外に持ち出した第三者が、外部からLAN内のコンピュータまたはサーバ装置に不正アクセスをしようとしても、そのような場合には必ず当該LAN内のサーバ装置が正規であると認証していないルータやゲートウエイ装置を経由しなければならなくなるので、当該LAN内のコンピュータやサーバ装置にアクセスすることはできない。 For example, even if a third party who takes a client terminal connected to a regular LAN out of the LAN tries to gain unauthorized access to a computer or server device in the LAN from outside, in such a case, always Since the server device must pass through a router or gateway device that is not authenticated as authentic, the computer or server device in the LAN cannot be accessed.
このように、本発明の認証システムによれば、ユーザID、パスワード等のユーザ認証情報とともに、クライアント端末が接続している正規のLANに固有のLAN依存機器情報を利用しているので、不正アクセスの防止など高度なセキュリティを実現することが可能である。 As described above, according to the authentication system of the present invention, since the LAN-dependent device information specific to the regular LAN to which the client terminal is connected is used together with the user authentication information such as the user ID and password, unauthorized access is made. It is possible to realize high-level security such as prevention.
以下、図面を参照して本発明による認証システム及び認証方法の実施例について説明する。本実施例では、以下、クライアント端末がLAN(Local Area Network)内に配置されているものとして説明するが、本発明は、クライアント端末がISP(Internet Service Provider)を介してインターネットに直接接続される場合でも利用可能である。 Embodiments of an authentication system and an authentication method according to the present invention will be described below with reference to the drawings. In the present embodiment, the client terminal is described below as being disposed in a LAN (Local Area Network). However, in the present invention, the client terminal is directly connected to the Internet via an ISP (Internet Service Provider). Even if available.
図1は、本発明による認証システムをクライアント・サーバシステムに適用した構成例を示すブロック図である。LAN10内には、複数のクライアント端末11,12と、DNS(Domain Name Server)サーバ13及びDHCP(Dynamic Host Configuration Protocol)サーバ14が専用のネットワークを介して接続されている。なお、LAN10は無線LANとして構築されていてもよい。このDNSサーバ14は、自分が管理するネットワークに接続されたコンピュータのドメイン名とIPアドレスを持っており、クライアント端末11、12に対してIPアドレスを与えるサーバである。
FIG. 1 is a block diagram showing a configuration example in which an authentication system according to the present invention is applied to a client / server system. In the
また、DHCPサーバ14は、インターネットに一時的に接続するコンピュータに、IPアドレスなど必要な情報を自動的に割り当てるプロトコルサーバである。コンピュータがネットワークから離れた場合、つまり接続が切断された場合には、配布したIPアドレスを回収して、次にネットワークに接続されるコンピュータに割り当てるようにする。
The DHCP
図1に示すように、LAN10は、ルータ20を介して、LAN10以外のネットワーク30(例えば、インターネット)に接続されている。ルータ20は、例えば、ゲートウエイ装置として機能しており、このルータ20にLAN10内のサーバや端末が接続される。
As shown in FIG. 1, the
ネットワーク30は、ルータやゲートウエイ装置等を介して、LAN10に接続されるほか、他のLAN50やサーバ装置70に接続されている。ここで、他のLAN50とは、盗難されたクライアント端末12が接続されるLANを想定している。LAN50はルータ60を介してネットワーク30(例えば、インターネット)に接続されている。
The
また、サーバ装置70は、インターネット30とルータ20を介してLAN10に収容されているクライアント端末11、12とVPN(Virtual Private Network)を構成している。すなわち、クライアント端末11、12は、サーバ装置70のサービスや情報を利用する際に、サーバ装置70に対して接続要求を行うことができる。そして、サーバ装置70は、クライアント端末11,12のユーザ認証を行った後、通信を許可するか拒否するかを判断して、以後の処理を行うようにしている。
このサーバ装置70は、認証サーバとして、その他のサーバ装置やホストコンピュータへの接続を許可するように構成することも可能である。
The
The
また、LAN10内において、クライアント端末11、12、サーバ13、14には、Ethernetの物理アドレスであるMAC(Media Access Control)アドレス及びプライベートIPアドレスが付与されており、LAN10内のネットワークでは、MACアドレス及びプライベートIPアドレスによって、クライアント端末同士及びLAN内サーバとの情報通信が行われる。
In the
このMACアドレスについては、ARP(Address Resolution Protocol)のプロトコルを利用することで、ルータ等のネットワーク機器のMACアドレスを取得して、これをLAN依存機器情報として利用するようにしている。ここで、ARPは、IPアドレスからMACアドレスを求めるのに使われるプロトコルである。 For this MAC address, the MAC address of a network device such as a router is obtained by using an ARP (Address Resolution Protocol) protocol, and this is used as LAN-dependent device information. Here, ARP is a protocol used to obtain a MAC address from an IP address.
これらのクライアント装置11、12では、例えば、HTTP(Hiper Text Transfer Protocol)やTelenet等のアプリケーションソフトウエアが動作可能とされている。そして、クライアント端末11、12がLAN10の外部にある、例えばサーバ装置70との通信を行う場合には、ルータ20は、クライアント端末11、12が有するプライベートIPアドレスをNAT(Network Address Translation)、IPマスカレード等でグローバルIPアドレスに変換して、ネットワーク30上にIPパケットを送り出す。このルータ20には、MAC(Media Access Control)アドレスとグローバルIPアドレスが付与されている。ここでNATとは、インターネットに接続された企業内の複数のコンピュータで1つのグローバルIPアドレスを共有する技術である。
In these
また、LAN50内においても、例えば、DNSサーバ51には、MACアドレス及びプライベートIPアドレスが付与されており、LAN50内のネットワークでは、このDNAサーバ51に付与されたMACアドレス及びプライベートIPアドレスによって、クライアント端末同士及びLAN内サーバとの情報通信が行われている。更に、LAN50に接続されるルータ60にも、LAN10に接続されるルータ20と同様に、MACアドレスとグローバルIPアドレスが付与されているので、ルータ60に付与されたMACアドレスとグローバルIPアドレスを用いてクライアント端末同士及びクライアント端末とLAN内サーバとの情報通信を行うこともできる。
Also in the
また、サーバ装置70においても、クライアント端末11、12と同様に、HTTPやTelnet等のプロセスが動作可能である。そして、サーバ装置70は、クライアント端末11、12から接続要求があるとユーザ認証を行い、認証が成功した場合にのみ、各アプリケーションを接続するポート番号に対応するサービスの通信処理を行う。このポート番号はTCPレベルの多重識別子であり、特定のアプリケーションごとに予約されている番号であるが、1024番以上のポート番号は特定のアプリケーションが予約されていないため、各アプリケーションが自由に使うことができる番号である。
Also in the
また、サーバ装置70は、通信制御手段71、LAN依存機器情報検出手段72、認証手段73、記憶手段74を備えている。通信制御手段71は、サーバ装置70をネットワーク30に接続する制御を行う手段であり、LAN依存機器情報検出手段72は、ネットワークを介して送信されたLAN依存機器情報を、記憶手段74に記憶されているLAN依存機器情報と比較するために、検出する手段である。
Further, the
また、LAN依存機器情報検出手段72は、LAN内にクライアント端末を増設するときなどに、新規にユーザ認証情報及びLAN依存機器情報を受信したときには、受信したユーザ認証情報に対応させてLAN依存機器情報を記憶手段74に記憶するようにしている。認証手段73は、サーバ装置70がネットワークを通して受信したユーザIDやパスワード等のユーザ認証情報あるいはMACアドレスのようなLAN依存機器情報を、記憶手段74に予め記憶されているユーザ認証情報あるいはLAN依存機器情報と比較する手段であり、この比較の結果、両者が一致した場合のみ、ユーザ認証あるいはLAN依存機器情報の認証に成功したとされる。
Further, the LAN dependent device information detection means 72, when newly receiving user authentication information and LAN dependent device information, such as when adding a client terminal in the LAN, corresponds to the received user authentication information. Information is stored in the storage means 74. The
なお、記憶手段74に記憶されるユーザ認証情報としては、ユーザID、パスワードのほかに、指紋・虹彩・手の平静脈のような生体認証情報等が含まれる。また、LAN依存機器情報としては、CPUのID(製品番号)、ルータやゲートウエイ機器等のMACアドレス等が含まれる。なお、その他にも、クライアント端末に帰属するユーザ情報や機器情報があれば、LAN依存機器情報検出手段72は上記ユーザ認証情報と併せて記憶手段74に記憶するようにしている。
Note that the user authentication information stored in the
本発明の実施の形態例では、LAN依存機器情報を「ネットワーク鍵」と称して、これを認証情報として利用している。この「ネットワーク鍵」としては、例えば、LANに接続されている機器情報、すなわちルータやゲートウエイ装置のMACアドレス又はIPアドレス、サーバやクライアント端末のMACアドレス等が用いられる。更に、この「ネットワーク鍵」として、ネットワークを介してクライアント端末間あるいはクライアント端末とサーバ間でやり取りされる機器情報、例えば、インターネット中継局のルータ又はゲートウエイ装置のIPアドレスを用いることも可能である。 In the embodiment of the present invention, the LAN-dependent device information is referred to as a “network key” and is used as authentication information. As this “network key”, for example, device information connected to the LAN, that is, the MAC address or IP address of a router or gateway device, the MAC address of a server or client terminal, or the like is used. Furthermore, as this “network key”, it is also possible to use device information exchanged between client terminals or between a client terminal and a server via a network, for example, an IP address of a router or gateway device of an Internet relay station.
このLAN機器依存情報について更に詳しく説明すると、第1に、正規であると認められるLANに依存する機器情報として、例えば、
(a)ネットワーク30に接続されているルータ20のMACアドレス。
(b)ネットワーク30に接続されているルータ20のグローバルIPアドレス。
(c)ネットワーク30に接続されているゲートウエイ装置(図示せず)のMACアドレス。
(d)ネットワーク30に接続されているゲートウエイ装置(図示せず)のグローバルIPアドレス。
等が挙げられる。これらのLAN依存機器情報は記憶手段74に記憶されている。
The LAN device-dependent information will be described in more detail. First, as the device information that depends on the LAN recognized as legitimate, for example,
(A) The MAC address of the
(B) The global IP address of the
(C) The MAC address of a gateway device (not shown) connected to the
(D) A global IP address of a gateway device (not shown) connected to the
Etc. The LAN dependent device information is stored in the
また、他にLAN依存機器情報として考えられるものには、LANに接続されている機器情報がある。例えば、
(e)LAN10又はLAN50に接続されているDNSサーバ13、51、DHCPサーバ14、不図示のメールサーバ、ファイヤウォール、スイッチ(MACアドレスを有するもの)などのLAN内機器のいずれかのMACアドレス。
(f)LAN50に接続されている盗難されたクライアント端末12以外のクライアント端末のMACアドレス。
(g)LAN10に接続されているクライアント端末11、12のMACアドレス。
等が挙げられる。
なお、以上説明したような認証情報として用いることができるLAN内機器のMACアドレスは、ARP(Address Resolution Protocol)プロトコルを用いて取得することが可能である。
In addition, information that can be considered as LAN-dependent device information includes device information connected to the LAN. For example,
(E) The MAC address of any of the devices in the LAN such as the
(F) MAC address of a client terminal other than the stolen
(G) MAC addresses of the
Etc.
Note that the MAC address of the device in the LAN that can be used as the authentication information as described above can be acquired using the ARP (Address Resolution Protocol) protocol.
ここで、ARPは、アドレス解決プロトコルと呼ばれるプロトコルであり、既知の32ビットのIPアドレス情報から未知のデータリンク・アドレス、例えばEthernetの48ビットのMACアドレスを取得するプロトコルである。RARPは逆にMACアドレスからIPアドレスを知るためのプロトコルである。 Here, ARP is a protocol called an address resolution protocol, and obtains an unknown data link address, for example, a 48-bit MAC address of Ethernet from known 32-bit IP address information. Conversely, RARP is a protocol for obtaining an IP address from a MAC address.
図1のLAN50に接続されるクライアント端末12(実線)は、LAN10に接続されていたクライアント端末12が無断で持ち出されたことを示している。つまり、この盗難されたクライアント端末12は、正規のLAN10内に存在せず、異なったLAN50内に存在していることを示している。そのため、クライアント端末12は、LAN50に接続されているルータ60にLAN内機器のMACアドレスを要求するのであるが、ルータ60自体はクライアント端末12を認識することができないため、クライアント端末12にMACアドレスを返信することができない。このように、ルータ60からMACアドレスの返信ができないことをもって、クライアント端末12からの接続要求が不正であることが判別されるわけである。
The client terminal 12 (solid line) connected to the
仮に、ルータ60が盗難されたクライアント端末12を認識することができて、MACアドレスの返信機能を備えていたとしても、正規のLAN内のサーバやクライアント端末のMACアドレス(例えば、図1におけるLAN10に接続されているDNAサーバ13やクライアント端末11のMACアドレス)が返信できない場合には、同様にクライアント端末12からの接続要求が不正であることが判別されることになる。
Even if the
さらに、サーバ装置70は、正規のLAN10に接続されるルータ20に、当該クライアント端末12のMACアドレスを要求するようにしている。このような要求がサーバ装置70からあると、ルータ20は、LAN10内にクライアント端末12が存在するときは応答することができるが、LAN10内にクライアント端末12が存在しないときは応答することができない。このように、LAN10に接続されたルータからの応答がないことを持って、サーバ装置70は、LAN50に接続されたクライアント端末12からの接続要求が不正であることを判別するのである。
Further, the
さらに、図1に示す本発明の実施の形態例では、LAN依存機器情報として、サーバ装置70に到達するまでの中継機器40,41,42の機器情報を利用することができる。この場合、LAN依存機器情報として、サーバ装置70に到達するまでのネットワーク30に接続されている中継局40〜42のIPアドレスを利用することができる。
Further, in the embodiment of the present invention shown in FIG. 1, the device information of the
通常のIPパケットの送受信においては、例えば、同じLAN内でのクライアント端末とサーバあるいはクライアント端末間の通信ではなく、インターネットを介した他のLANに接続されているクライアント端末又はサーバとの間で通信が行われる。このような場合には、ルータのMACアドレスを利用せずに、グローバルなIPアドレスを利用して、IPパケットの送受信が行われるのが一般的である。 In normal IP packet transmission / reception, for example, communication between a client terminal and a server connected to another LAN via the Internet, not communication between a client terminal and a server or client terminal in the same LAN. Is done. In such a case, IP packets are generally transmitted and received using a global IP address without using the MAC address of the router.
そのため、IPパケットのヘッダ部分又はペイロード部分にLAN内に存在する機器情報のMACアドレスを通信履歴として搭載することにより、MACアドレスをLAN依存機器情報として利用することができるようにしている。この場合、サーバ等のLAN内機器がグローバルIPアドレスを利用している場合には、このLAN内機器のグローバルIPアドレスをLAN依存機器情報として利用するようにする。そして、クライアント端末がネットに接続したか、ネットから離れたかによってIPアドレスを設定したり回収したりする動的なIPアドレスは利用しないようにしている。 For this reason, the MAC address of the device information existing in the LAN is mounted as the communication history in the header portion or the payload portion of the IP packet so that the MAC address can be used as the LAN-dependent device information. In this case, when a device in the LAN such as a server uses a global IP address, the global IP address of the device in the LAN is used as LAN-dependent device information. A dynamic IP address that sets or collects an IP address depending on whether the client terminal is connected to the net or is away from the net is not used.
図2は、サーバ装置70の記憶手段74に記憶されているユーザ認証情報及びLAN依存機器情報テーブルの構成例を示したものである。
本発明の実施の形態例においては、ユーザ認証情報として、ユーザID(図2では、「ID」)及びパスワード(図2では、「PW」)を採用している。他にユーザ認証情報となりうるものとしては、CPUのID、MACアドレス、指紋・虹彩・手の平静脈のような生体認証情報等が含まれる。これらのユーザ認証情報は、あくまでもクライアント端末に依存する情報であり、LANに依存する情報ではない。
FIG. 2 shows a configuration example of the user authentication information and the LAN-dependent device information table stored in the
In the embodiment of the present invention, a user ID (“ID” in FIG. 2) and a password (“PW” in FIG. 2) are adopted as user authentication information. Other items that can be user authentication information include CPU ID, MAC address, biometric authentication information such as fingerprint, iris, and palm vein. These pieces of user authentication information are only information that depends on the client terminal, and are not information that depends on the LAN.
これらクライアント端末に関係する認証情報に対して、LAN依存機器情報とは、上述したように、いわゆる「ネットワーク鍵」と呼ぶものであり、本実施の形態例では、ルータのMACアドレスやLAN内機器(例えば、サーバ)のMACアドレスがそれに相当する。他のLAN機器依存情報として、ルータのIPアドレスを利用することもできる。 With respect to the authentication information related to these client terminals, the LAN-dependent device information is referred to as a so-called “network key” as described above. In the present embodiment, the router MAC address and the LAN internal device The MAC address of (for example, server) corresponds to it. The router IP address can also be used as other LAN device-dependent information.
図2に示すように、サーバ装置70の記憶手段74は、例えば、クライアント端末に識別番号「0001」を付与し、ユーザ認証情報としてのIDに「user01」及びパスワードに「.pswd01」を割り当てて記憶している。また、記憶手段74は、これらの識別番号「0001」、「user01」、「.pswd01」に対応させて、正規の設定情報としてルータのMACアドレス「00-11-22-33-44-55」及びLAN内機器(例えば、サーバ)のMACアドレス「01-23-45-67-89-AB」等を記憶させ、テーブルとして保有している。
また、上述のルータのMACアドレスやLAN内機器のMACアドレスの代わりに、例えば図1のネットワーク30に接続されている中継機器40等のIPアドレスをLAN機器依存情報として記憶させることも可能である。
As shown in FIG. 2, the
Further, instead of the above-described router MAC address or LAN device MAC address, for example, the IP address of the
また、このサーバ装置70の記憶手段74は、前記ユーザ認証情報及びLAN依存機器情報をLAN構築時やクライアント端末増設時に記憶する。さらに、記憶手段74に接続要求頻度を記憶させることもできる。
接続要求頻度とは、ユーザ認証情報又はLAN依存機器情報を認証した通信経歴であり、認証履歴のないクライアント端末や認証履歴の極端に少ないクライアント端末から接続要求があったときに接続を拒否したり、警告を発したりするために利用するものである。また、接続要求頻度に閾値を設定し、その閾値を基準して接続要求の許可又は拒否を行うこともできる。
The
The connection request frequency is a communication history in which user authentication information or LAN-dependent device information is authenticated, and when a connection request is made from a client terminal having no authentication history or a client terminal having an extremely small authentication history, connection is rejected. It is used to issue a warning. It is also possible to set a threshold value for the connection request frequency and permit or reject the connection request based on the threshold value.
次に、本発明の実施の形態例の動作を図3のフローチャートに基づいて説明する。図3のフローチャートは、接続要求があったクライアント端末に接続された機器情報、すなわち、ルータのIPアドレス及びMACアドレスをLAN依存機器情報として利用した場合の実施の形態例の動作を説明するための図である。 Next, the operation of the embodiment of the present invention will be described based on the flowchart of FIG. FIG. 3 is a flowchart for explaining the operation of the embodiment in the case where the device information connected to the client terminal that has made a connection request, that is, the IP address and MAC address of the router is used as LAN-dependent device information. FIG.
まず、例えば、盗難されたクライアント端末12(図1参照)が、サーバ装置70が提供するサービスあるいは情報を取得しようとする場合、サーバ装置70に対して接続要求を行った(ステップS101)場合について説明する。この場合、IPSecやSSL(Secure Socket Layer)を用いた秘匿通信経路を使用することが可能であるが、IPSecやSSLを使用することなしにクライアント端末12から接続要求がなされる場合もありうる。
First, for example, when the stolen client terminal 12 (see FIG. 1) tries to acquire a service or information provided by the
サーバ装置70は、クライアント端末12からの接続要求を受信すると(ステップS201)は、接続要求があったクライアント端末12に対して、そのクライアント端末12が持つユーザ認証情報を送信するように要求する(ステップS202)。ここで、ユーザ認証情報とは、例えば、ユーザIDとパスワードである。つまり、サーバ装置70はクライアント端末12に対して、ユーザIDとパスワードを送るように指示する。この指示があると、クライアント端末12の表示画面に、サーバ装置70からのユーザ認証情報の要求があったことが表示され(ステップS102)、クライアント端末12の利用者は、この画面表示にしたがって、ユーザ認証情報を入力してサーバ装置70にそのユーザ認証情報を送信する(ステップS103)。
When the
続いて、サーバ装置70は、クライアント端末12が送信したユーザIDとパスワードからなるユーザ認証情報を受信するとともに、クライアント端末12から送信されるルータのIPアドレス及びルータのMACアドレスを受信する(ステップS203)。このルータのIPアドレスとMACアドレスは、クライアント端末12のLAN機器依存情報としてサーバ内の記憶手段74に一時的に保存される。
なお、ルータのIPアドレス及びMACアドレスは、ユーザ認証情報受信時ではなく、接続要求があったときに受信して一時的に保存しておいてもよい。
Subsequently, the
Note that the IP address and MAC address of the router may be received and temporarily stored when a connection request is made, not when user authentication information is received.
次に、サーバ装置70は、ユーザ認証情報、つまりユーザIDとパスワードが記憶手段74に登録されているものと一致するか否かを判断する(ステップS204)。この判断ステップS204において、記憶手段74に記憶されているユーザ認証情報が受信されたと判断された場合には、次に、記憶手段74に記憶したテーブルから、LAN依存機器情報であるルータのIPアドレス及びMACアドレスを抽出し、これと受信したルータのIPアドレス及びMACアドレス比較検証する。すなわち、まず、受信したルータのIPアドレスが記憶手段74に記憶されているルータのIPアドレスに一致するか否かが判断される(ステップS205)。この判断ステップS205において、送信されたルータのIPアドレスが記憶手段74に記憶されているIPアドレスに一致していると判断された場合は、LAN機器依存情報の認証の第一段階に成功したことになる。判断ステップS205でルータのIPアドレスの認証に成功した場合は、続いて、送信されたルータのMACアドレスがサーバ装置70のログ記憶手段に記憶されているルータのMACアドレス、例えば、「00-11-22-33-44-55」に一致するか否かが判断される(ステップS206)。そして、判断ステップS204からS206までの認証に成功すると、サーバ装置70に対して接続要求を行ったクライアント端末12はサーバ装置70にアクセスできるクライアント端末であると判断され、認証許可通知がクライアント端末12に送られて(ステップS208)、サーバ装置側の処理が終了する。
Next, the
サーバ側から認証許可通知を受信したクライアント端末12は、サーバ装置70への接続処理を実行し(ステップS104)クライアント端末側の処理を終了する。
判断ステップS204〜S206のいずれかの認証に失敗した場合には、サーバ装置70に対して接続要求を行ったクライアント端末12はサーバ装置70へのアクセス権限がないと判定され、クライアント端末側に受付拒否の通知が送信される(ステップS207)。
このように、図3に示す実施形態例では、ユーザ認証情報、ルータのIPアドレス、ルータのMACアドレスが順次認証され、全ての認証に成功しないと接続が許可されないので、セキュリティの高い通信を行うことができる。
The
If the authentication in any one of the determination steps S204 to S206 fails, it is determined that the
In this way, in the embodiment shown in FIG. 3, the user authentication information, the router IP address, and the router MAC address are sequentially authenticated, and connection is not permitted unless all the authentications are successful. be able to.
すなわち、図1に示すように、正規なLAN10にあったクライアント端末12が、LAN10外に持ち出され、端末を持ち出した第三者が正規でないLAN50からサーバ装置70に接続しようとしても、サーバ装置70にアクセスしようとする第三者は、LAN50からクライアント端末20の正規のルータ20のIPアドレスあるいはMACアドレスを取得することはできない。このため、判断ステップS204でユーザ認証情報の認証に成功しても、判断ステップS205のルータのIPアドレスの認証又は判断ステップS206のルータのMACアドレスの認証に失敗することになり、結局、サーバ装置側からクライアント端末12に対してステップS207の受付拒否通知が送信されることになる。
That is, as shown in FIG. 1, even if the
次に、図4のフローチャートに基づいて、本発明の第2の実施形態の例を説明する。
この第2の実施の形態例は、接続要求があったクライアント端末が接続されたルータ等の機器情報ではなく、図1に示すクライアント端末12が収容されていた正規のLAN10に接続された機器、例えばDNSサーバ13のMACアドレスをLAN依存機器情報として利用する例を示すものである。この第2の実施形態例では、サーバ装置70が正規のLAN10のルータ20とのやり取りを行って、クライアント端末の接続の許可又は拒否を決定している。
Next, an example of the second embodiment of the present invention will be described based on the flowchart of FIG.
This second embodiment is not the device information such as the router to which the client terminal that requested the connection is connected, but the device connected to the
まず、盗難されたクライアント端末12からサーバ装置70に対して接続要求があると(ステップS111)、サーバ装置70はその接続要求を受け付け(ステップS211)、ユーザ認証情報の送信をクライアント端末12に要求する(ステップS212)。クライアント端末12は、サーバ装置70からのユーザ認証情報の要求を表示し(ステップS112)、ユーザID及びパスワードなどのユーザ認証情報をサーバ装置70に送信する(ステップS113)。サーバ装置70はクライアント端末12からのユーザ認証情報を受信する(ステップS213)。以上のステップS111からS213までのステップは、図3のフローチャートに示したプロセスと同じであるので、詳細な説明は省略する。
First, when there is a connection request from the stolen
この第2の実施の形態例では、クライアント端末からユーザ認証情報を受け付けたサーバ装置70は、受信したユーザ認証情報に基づいて、そのクライアント端末12が存在しているはずの正規のLANのルータ、例えば、図1の例では、クライアント端末12が存在しているはずのLAN10のルータ20に対して、接続要求のあったクライアント端末12のMACアドレスを要求する(ステップS214)。
In the second embodiment, the
正規のLAN10のルータ20は、サーバ装置70からの要求を受け付け(ステップS311)、MACアドレスの要求があったクライアント端末12がLAN10に接続している正規の端末であるか否かを調べ、クライアント端末12が正規の端末であればそれに対応するMACアドレスをサーバ装置70に通知する(ステップS312)。この判定、すなわち、クライアント端末12が現にLAN10内で稼動している端末であるか否かの判定は、接続要求のあったクライアント端末12のプライベートIPアドレスを用いて、そのIPアドレスに対応するMACアドレスが何かをLAN10内に広く伝える(ブロードキャスト)することにより行われる。
The
続いて、サーバ装置70は、正規のLAN10のルータ20からの上記回答を受け付けると(ステップS215)、受信したユーザ認証情報の認証、つまり受信したユーザID及びパスワードが記憶手段74のテーブル(図2参照。)に記憶されているユーザIDとパスワードに一致しているか否か判断を行う(ステップS216)。このユーザ認証情報の認証判断に失敗した場合は、受付拒否通知がクライアント端末側に送られることになるが(ステップS218)、この判断ステップS216でユーザ認証情報の認証に成功すると、続いて正規のLAN10のルータ20から受信した情報に基づいてMACアドレスの有無が判定される(ステップS217)。つまり、接続要求を行ったクライアント端末12が本来存在しているはずのLAN10内のものであるかどうかが判定される。
Subsequently, when the
そして、この判断ステップS217において、正規のLAN10のルータ20から送信されたMACアドレスが、クライアント端末12が保有するMACアドレスと一致する場合は、LAN機器依存情報、つまり「ネットワーク鍵」が一致したと判定され、サーバ装置70はクライアント端末12に対して、認証許可通知を送る(ステップS219)。この接続許可通知を受けたクライアント端末12はサーバ装置70への接続を行う(ステップS114)。
しかし、判断ステップS217において、正規のLAN10のルータ20から送信されたMACアドレスが、クライアント端末12が保有するMACアドレスと一致しない場合は、盗難されたクライアント端末12が正規のLAN10内ではなく、別のLAN、例えばLAN50(図1参照)からアクセスしようとしていると判断され、サーバ装置70は接続要求があったクライアント端末12からの接続を拒否し、その旨をクライアント端末12に通知する。なお、このクライアント端末12への接続拒否通知は必ずしも必要としないものである。
In this determination step S217, if the MAC address transmitted from the
However, in the determination step S217, if the MAC address transmitted from the
ここで、正規のLAN10のルータ20は、LAN10内で所定のクライアント端末12が稼働している場合には、そのクライアント端末12のMACアドレスを取得してサーバ装置70に送信するが、例えば、盗難によって、本来稼働しているはずのクライアント端末12がLAN内に存在しない場合は、ルータ20は、LAN10内にブロードキャストした要求に対して応答を受けない。このような場合、サーバ装置70に判定結果を通知することができないので、サーバ装置70は、一定時間応答がない場合には、クライアント端末が正規のLAN内に存在しないと判断し、受付拒否通知をクライアント端末に送信するようにすることも可能である。
Here, when a
図5は、本発明の第3の実施形態の例を説明するためのフローチャートであり、ネットワーク中継機器40〜42のIPアドレスをLAN依存機器情報(ネットワーク鍵)として利用する例である。言うまでもなく、図1に示すクライアント端末12から送られるIPパケットは、ネットワーク30上の中継機器40〜42の1つ又は複数を経由して、サーバ装置70に送られる。
FIG. 5 is a flowchart for explaining an example of the third embodiment of the present invention, in which the IP addresses of the
盗難されたクライアント端末12が、サーバ装置70が提供するサービスあるいは情報を取得しようとする場合、正規のLAN10以外のエリア、例えば、他のLAN50からサーバ装置70に対して接続要求が行われる(ステップS121)。
When the stolen
サーバ装置70はこの接続要求を受信すると(ステップS221)、図3で説明した第1の実施の形態例と同様に、接続要求があったクライアント端末12に対して、ユーザ認証情報を要求する(ステップS222)。すると、クライアント端末12の表示画面上に、ユーザ認証情報要求の表示が行われ(ステップS122)、クライアント端末12の利用者は、画面表示にしたがって、ユーザ認証情報を入力してサーバ装置70に送信する(ステップS123)。
Upon receiving this connection request (step S221), the
次に、サーバ装置70は、クライアント端末12が送信したIPパケットを受信するが、このとき、クライアント端末12のIPアドレスを受信するとともに、IPパケットの経路となったルータやゲートウエイ装置等の中継装置40〜42のIPアドレスやMACアドレスを受信する(ステップS223)。
そして、クライアント端末12からの接続要求の度に、中継機器40〜42のIPアドレスやMACアドレスをログとして記憶手段74に記憶する。
Next, the
Each time a connection request is made from the
次に、サーバ装置70において、ユーザ認証情報としてのユーザID及びパスワード等に基づいてユーザ認証情報の認証が行われる(ステップS224)。つまり、受信したユーザIDとパスワードが記憶手段74に記憶されているユーザID及びパスワードに一致しているか否かが判断される。判断ステップS224で、ユーザ認証情報の認証が成功した場合は、続いて、中継機器のIPアドレスの検証が行われる(ステップS225)。ここでは、受信した中継機器のIPアドレスと記憶手段74に記憶されている中継装置のIPアドレス、例えば、図2に示す中継装置のIPアドレス「123.124.125.126」が参照され、比較検証される。両者が一致した場合は、LAN依存機器情報の認証に成功したとされる。
Next, in the
この、判断ステップS225の認証に成功すると、接続要求を行ったクライアント端末12はサーバ装置70にアクセスできるクライアント端末であると判断され、サーバ装置70は、クライアント端末12に対して接続許可通知を行う(ステップS227)。しかし、判断ステップS224のユーザ認証及び判断ステップS225の中継機器のIPアドレスのいずれかの認証に失敗すると、サーバ装置70は、クライアント端末12に対して受付拒否通知を送信する(ステップS226)。なお、この受付拒否通知は、必ずしもクライアント端末12に送らないで、サーバ装置70において単に接続を受け付けないだけにすることもある。
If the authentication in the determination step S225 is successful, it is determined that the
以上、本発明の3つの実施形態の例を出して、特定のLAN依存機器情報を利用してクライアント端末の不正アクセスを防止することを説明したが、本発明は、第1〜第3の実施形態例のLAN依存機器情報の複数を組み合わせて認証を行うことにより一層高度なセキュリティを確保することができる。また、本発明は、例えばトランスポート層にあるTCPを用いて接続要求する場合を中心に説明しているが、同じくトランスポート層にあるUDPを用いた通信においても適用できるものである。 As described above, examples of the three embodiments of the present invention have been described to prevent unauthorized access of client terminals using specific LAN-dependent device information. However, the present invention is not limited to the first to third embodiments. A higher level of security can be ensured by performing authentication by combining a plurality of pieces of LAN-dependent device information in the embodiment. Further, although the present invention has been described centering on a case where a connection request is made using TCP in the transport layer, for example, the present invention can also be applied to communication using UDP in the transport layer.
なお、本発明は上述した実施の形態例に限定されるものではなく、特許請求の範囲に記載した本発明の要旨を逸脱しない限りにおいて、他の多くの実施の形態が含まれることは言うまでもない。 The present invention is not limited to the above-described embodiments, and it goes without saying that many other embodiments are included without departing from the gist of the present invention described in the claims. .
10 正規のLAN
11 盗難にあっていないクライアント端末
12 盗難されたクライアント端末
13,14 正規のLAN内のサーバ
20 正規のLANに接続されるルータ
30 インターネット等のネットワーク
40,41,42 IPパケットの中継機器
50 盗難されたクライアント端末が接続されるLAN
51 盗難されたクライアント端末が接続されるLAN内のサーバ
60 盗難されたクライアント端末が接続されるLAN内のルータ
10 Regular LAN
11
51
Claims (12)
前記クライアント端末により予め特定されたユーザ認証情報を記憶するユーザ認証情報記憶手段と、
前記LANに依存するLAN依存機器情報を前記ユーザ認証情報に対応させて記憶するLAN依存機器情報記憶手段と、
前記クライアント端末から前記サーバ装置に接続要求があったときに、該接続要求時のLAN依存機器情報を検知するLAN依存機器情報検出手段と、
前記接続要求時のLAN依存機器情報が前記ユーザ認証情報に対応するLAN依存機器情報である場合には接続を許可し、前記接続要求時のLAN依存機器情報が前記ユーザ認証情報に対応するLAN依存機器情報でない場合には接続を拒否する認証手段と、
をサーバ装置内に有することを特徴するユーザ認証システム。 An authentication system for authenticating that the client terminal is a client terminal in a LAN when a connection request is made from the client terminal to the server device,
User authentication information storage means for storing user authentication information specified in advance by the client terminal;
LAN-dependent device information storage means for storing LAN-dependent device information depending on the LAN in association with the user authentication information;
LAN-dependent device information detecting means for detecting LAN-dependent device information at the time of the connection request when there is a connection request from the client terminal to the server device;
If the LAN dependent device information at the time of the connection request is LAN dependent device information corresponding to the user authentication information, the connection is permitted, and the LAN dependent device information at the time of the connection request corresponds to the LAN dependency corresponding to the user authentication information. If it is not device information, the authentication means to refuse the connection,
In the server device.
前記認証手段は、前記MACアドレスが前記ユーザ認証情報に対応して前記サーバ装置が記憶するLAN依存機器情報である場合には接続を許可し、前記MACアドレスが前記ユーザ認証情報に対応するLAN依存機器情報でない場合には接続を拒否することを特徴する、請求項7に記載のユーザ認証システム。 The server device refers to LAN-dependent device information corresponding to the user authentication information of the client terminal stored in the LAN-dependent device information storage means, and is a router or gateway of a regular LAN in which the client terminal is accommodated. Request the MAC address of the client terminal that made the connection request to the device,
The authentication means permits connection when the MAC address is LAN-dependent device information stored in the server device corresponding to the user authentication information, and the MAC address corresponds to the LAN-dependent device information corresponding to the user authentication information. 8. The user authentication system according to claim 7, wherein connection is rejected when the information is not device information.
前記クライアント端末により予め特定されたユーザ認証情報を記憶するステップと、
前記LANに依存するLAN依存機器情報を前記ユーザ認証情報に対応させて記憶するステップと、
前記クライアント端末から前記サーバ装置に接続要求があったときに、該接続要求時のLAN依存機器情報を検出するステップと、
前記接続要求時のLAN依存機器情報が前記ユーザ認証情報に対応するLAN依存機器情報である場合には接続を許可し、前記接続要求時のLAN依存機器情報が前記ユーザ認証情報に対応するLAN依存機器情報でない場合には接続を拒否することを特徴するユーザ認証方法。 An authentication method for authenticating that the client terminal is a client terminal in a LAN when a connection request is made from the client terminal to the server device,
Storing user authentication information specified in advance by the client terminal;
Storing LAN-dependent device information depending on the LAN in association with the user authentication information;
Detecting a LAN-dependent device information at the time of the connection request when there is a connection request from the client terminal to the server device;
If the LAN dependent device information at the time of the connection request is LAN dependent device information corresponding to the user authentication information, the connection is permitted, and the LAN dependent device information at the time of the connection request corresponds to the LAN dependency corresponding to the user authentication information. A user authentication method characterized by rejecting a connection if the device information is not used.
前記MACアドレスが、前記ユーザ認証情報に対応して前記サーバ装置が記憶するLAN依存機器情報である場合には接続を許可し、前記MACアドレスが前記ユーザ認証情報に対応するLAN依存機器情報でない場合には接続を拒否することを特徴する請求項9に記載のユーザ認証方法。 The LAN dependent device information is a MAC address of a client terminal connected to the LAN. When a connection request is made from the client terminal to the server device, the server device is a user stored in the server device. Referring to the LAN-dependent device information corresponding to the authentication information, request the MAC address of the client terminal from the router or gateway device of the regular LAN in which the client terminal that has made the connection request is accommodated,
When the MAC address is LAN-dependent device information stored in the server device corresponding to the user authentication information, connection is permitted, and when the MAC address is not LAN-dependent device information corresponding to the user authentication information The user authentication method according to claim 9, wherein the connection is rejected.
前記クライアント端末により予め特定されたユーザ認証情報を記憶する機能と、
前記LANに依存するLAN依存機器情報を前記ユーザ認証情報に対応させて記憶する機能と、
前記クライアント端末から前記サーバ装置に接続要求があったときに、該接続要求時のLAN依存機器情報を検出する機能と、
前記接続要求時のLAN依存機器情報が前記ユーザ認証情報に対応するLAN依存機器情報である場合には接続を許可し、前記接続要求時のLAN依存機器情報が前記ユーザ認証情報に対応するLAN依存機器情報でない場合には接続を拒否する機能を、
コンピュータに実行させるプログラム。 A program for causing a computer to execute a function of authenticating that a client terminal is a client terminal in a LAN when a connection request is made from a client terminal to a server device,
A function of storing user authentication information specified in advance by the client terminal;
A function of storing LAN-dependent device information depending on the LAN in association with the user authentication information;
When there is a connection request from the client terminal to the server device, a function of detecting LAN-dependent device information at the time of the connection request;
If the LAN dependent device information at the time of the connection request is LAN dependent device information corresponding to the user authentication information, the connection is permitted, and the LAN dependent device information at the time of the connection request corresponds to the LAN dependency corresponding to the user authentication information. If it is not device information, the function to refuse connection,
A program to be executed by a computer.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005196500A JP2007018081A (en) | 2005-07-05 | 2005-07-05 | User authentication system, user authentication method, program for achieving the same, and storage medium storing program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005196500A JP2007018081A (en) | 2005-07-05 | 2005-07-05 | User authentication system, user authentication method, program for achieving the same, and storage medium storing program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007018081A true JP2007018081A (en) | 2007-01-25 |
Family
ID=37755221
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005196500A Pending JP2007018081A (en) | 2005-07-05 | 2005-07-05 | User authentication system, user authentication method, program for achieving the same, and storage medium storing program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007018081A (en) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009027504A (en) * | 2007-07-20 | 2009-02-05 | Nec Corp | Terminal find system |
JP2011090614A (en) * | 2009-10-26 | 2011-05-06 | Mitsubishi Electric Corp | Gateway device, management server, and system for monitoring the gateway device |
JP2011175383A (en) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | Address intensive system and message transmission source authentication method |
JP2011211306A (en) * | 2010-03-29 | 2011-10-20 | Brother Industries Ltd | Vpn router, communication system, and communication program |
JP2011243071A (en) * | 2010-05-20 | 2011-12-01 | Konami Digital Entertainment Co Ltd | Game system, server device, log-in method, and program |
JP2012085003A (en) * | 2010-10-07 | 2012-04-26 | Icom Inc | Sip apparatus |
JP2012515977A (en) * | 2009-01-21 | 2012-07-12 | リン,チュン−ユ | Cybercrime detection prevention method and system established by telephone number code, authorization code and source identification code |
JP2012205073A (en) * | 2011-03-25 | 2012-10-22 | Toshiba Corp | Node device, server apparatus, and node connection management method |
JP2015069586A (en) * | 2013-09-30 | 2015-04-13 | 株式会社Pfu | Server device, registration method, control program, and communication system |
US20210036988A1 (en) * | 2019-07-29 | 2021-02-04 | Cable Television Laboratories, Inc | Systems and methods for obtaining permanent mac addresses |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003303174A (en) * | 2002-04-08 | 2003-10-24 | Hitachi Hybrid Network Co Ltd | Method and device for authenticating terminal |
JP2005020668A (en) * | 2003-06-30 | 2005-01-20 | Showa Electric Wire & Cable Co Ltd | Network communication program and network communication card |
-
2005
- 2005-07-05 JP JP2005196500A patent/JP2007018081A/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003303174A (en) * | 2002-04-08 | 2003-10-24 | Hitachi Hybrid Network Co Ltd | Method and device for authenticating terminal |
JP2005020668A (en) * | 2003-06-30 | 2005-01-20 | Showa Electric Wire & Cable Co Ltd | Network communication program and network communication card |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009027504A (en) * | 2007-07-20 | 2009-02-05 | Nec Corp | Terminal find system |
JP2012515977A (en) * | 2009-01-21 | 2012-07-12 | リン,チュン−ユ | Cybercrime detection prevention method and system established by telephone number code, authorization code and source identification code |
JP2011090614A (en) * | 2009-10-26 | 2011-05-06 | Mitsubishi Electric Corp | Gateway device, management server, and system for monitoring the gateway device |
JP2011175383A (en) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | Address intensive system and message transmission source authentication method |
JP2011211306A (en) * | 2010-03-29 | 2011-10-20 | Brother Industries Ltd | Vpn router, communication system, and communication program |
JP2011243071A (en) * | 2010-05-20 | 2011-12-01 | Konami Digital Entertainment Co Ltd | Game system, server device, log-in method, and program |
JP2012085003A (en) * | 2010-10-07 | 2012-04-26 | Icom Inc | Sip apparatus |
JP2012205073A (en) * | 2011-03-25 | 2012-10-22 | Toshiba Corp | Node device, server apparatus, and node connection management method |
JP2015069586A (en) * | 2013-09-30 | 2015-04-13 | 株式会社Pfu | Server device, registration method, control program, and communication system |
US20210036988A1 (en) * | 2019-07-29 | 2021-02-04 | Cable Television Laboratories, Inc | Systems and methods for obtaining permanent mac addresses |
US11706255B2 (en) * | 2019-07-29 | 2023-07-18 | Cable Television Laboratories, Inc. | Systems and methods for obtaining permanent MAC addresses |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7194004B1 (en) | Method for managing network access | |
JP2007018081A (en) | User authentication system, user authentication method, program for achieving the same, and storage medium storing program | |
US6393484B1 (en) | System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks | |
US6745333B1 (en) | Method for detecting unauthorized network access by having a NIC monitor for packets purporting to be from itself | |
US10708780B2 (en) | Registration of an internet of things (IoT) device using a physically uncloneable function | |
US7124197B2 (en) | Security apparatus and method for local area networks | |
US7207061B2 (en) | State machine for accessing a stealth firewall | |
US7542468B1 (en) | Dynamic host configuration protocol with security | |
US7448076B2 (en) | Peer connected device for protecting access to local area networks | |
JP4071966B2 (en) | Wired network and method for providing authenticated access to wireless network clients | |
US8935748B2 (en) | Secure DNS query | |
US7934258B2 (en) | System and method for remote authentication security management | |
US20090183247A1 (en) | System and method for biometric based network security | |
Baitha et al. | Session hijacking and prevention technique | |
US20020157007A1 (en) | User authentication system and user authentication method used therefor | |
KR20170015340A (en) | Method and network element for improved access to communication networks | |
US20070097904A1 (en) | Wireless nodes with active authentication and associated methods | |
US20100088399A1 (en) | Enterprise security setup with prequalified and authenticated peer group enabled for secure DHCP and secure ARP/RARP | |
WO2004095803A1 (en) | Techniques for offering seamless accesses in enterprise hot spots for both guest users and local users | |
Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
WO2015174100A1 (en) | Packet transfer device, packet transfer system, and packet transfer method | |
EP2369808A1 (en) | Method of securing access to data or a service that is accessible via a device implementing the method and corresponding device | |
Rupal et al. | Detection and prevention of ARP poisoning in dynamic IP configuration | |
KR100856918B1 (en) | Method for IP address authentication in IPv6 network, and IPv6 network system | |
Allen et al. | Securing a wireless network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20080313 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080702 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090507 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20090515 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20101216 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110107 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110208 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110614 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110615 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110803 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110823 |