JP2010045542A - Authentication system, connection controller, authentication device, and transfer device - Google Patents
Authentication system, connection controller, authentication device, and transfer device Download PDFInfo
- Publication number
- JP2010045542A JP2010045542A JP2008207416A JP2008207416A JP2010045542A JP 2010045542 A JP2010045542 A JP 2010045542A JP 2008207416 A JP2008207416 A JP 2008207416A JP 2008207416 A JP2008207416 A JP 2008207416A JP 2010045542 A JP2010045542 A JP 2010045542A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- control device
- authentication request
- connection control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012546 transfer Methods 0.000 title claims description 74
- 230000004044 response Effects 0.000 claims description 69
- 238000000034 method Methods 0.000 claims description 52
- 238000012545 processing Methods 0.000 claims description 37
- 238000012795 verification Methods 0.000 claims description 32
- 230000008569 process Effects 0.000 claims description 17
- 238000004891 communication Methods 0.000 description 36
- 238000010586 diagram Methods 0.000 description 21
- 230000005540 biological transmission Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Abstract
Description
この発明は、利用者が利用する利用者端末がネットワークに接続するのに際して、当該利用者の認証を認証装置に要求する接続制御装置と、前記接続制御装置からの認証要求に応じて前記利用者を認証する認証装置とから構成される認証システム、接続制御装置、認証装置および転送装置に関する。 The present invention relates to a connection control device that requests an authentication device to authenticate a user terminal used by a user when connected to a network, and the user in response to an authentication request from the connection control device. The present invention relates to an authentication system, a connection control device, an authentication device, and a transfer device, each of which comprises an authentication device that authenticates the device.
従来より、例えば、接続許可した端末装置に対して近隣マップを提供したり、課金や決済時の本人性確認などを行ったりと、端末装置の位置(利用者のロケーション)に応じて情報を選択的に提供したり、なりすましのリスク判定をしたりするなどのサービスが行われている。 Conventionally, for example, providing a neighborhood map to a terminal device that has been permitted to connect, checking the identity of the user at the time of billing or payment, etc., and selecting information according to the location of the terminal device (user location) Services such as providing information and determining the risk of impersonation are being provided.
このようなサービス提供手法としては、例えば、DHCPサーバによるIPアドレス払い出しの際に、IPアドレス払い出し先の端末装置のロケーション情報を、端末装置のロケーション情報を記憶するロケーション情報管理装置に通知する手法がある。具体的には、端末装置は、接続装置(アクセスポイント)に対してネットワーク接続を要求し、接続装置は、この要求を受けて、当該端末装置のIPアドレス払い出しをDHCPサーバに依頼する。すると、DHCPサーバは、端末装置にIPアドレスを払い出すとともに、IPアドレスの払い出しを要求した接続装置に関するロケーション情報をロケーション情報管理装置に通知する。このようにすることで、ロケーション情報管理装置は、ネットワークに接続した端末装置のロケーション情報を記憶することができ、端末装置の位置に応じて各種サービスを提供することができる。 As such a service providing method, for example, when an IP address is issued by a DHCP server, a method of notifying location information of a terminal device to which an IP address is issued to a location information management device that stores the location information of the terminal device is available. is there. Specifically, the terminal device requests a network connection to the connection device (access point), and the connection device requests the DHCP server to issue an IP address of the terminal device in response to this request. Then, the DHCP server pays out the IP address to the terminal device, and notifies the location information management device of the location information related to the connection device that has requested the IP address payout. By doing in this way, the location information management device can store the location information of the terminal device connected to the network, and can provide various services according to the position of the terminal device.
しかしながら、上記した従来の技術は、虚偽の報告や改ざんを防止することができず、取得したロケーション情報の信用性が低いという課題があった。 However, the above-described conventional technology cannot prevent false reporting or falsification, and has a problem that the reliability of the acquired location information is low.
具体的には、上記した非特許文献1では、端末装置の言い値の登録情報に依存しており、端末装置利用者の故意による虚偽のロケーション情報の登録、あるいは、他社による虚偽のロケーション情報の登録などが起こりうる。 Specifically, in Non-Patent Document 1 described above, the terminal device user's intentional registration of false location information or the registration of false location information by another company depends on the terminal device's bid price registration information. Etc. can occur.
また、例えば、ダイアルインユーザサービスの遠隔認証(RADIUS:Remote Authentication Dial In User Service)における認証手順において、端末装置のロケーション情報をロケーション情報管理装置に通知する手法が考えられる。具体的には、端末装置のネットワーク接続時の認証において、端末装置から接続要求を受信した端末接続装置(アクセスポイント)は、当該端末装置の認証要求を認証サーバに送信するのに際して、当該認証要求信号に自装置の識別子(NAS−ID:Network Access Server−ID)を挿入して送信する。このようにすることで、認証サーバは、端末接続装置から受信したNAS−IDから認証対象の端末装置が、どの端末接続装置に接続を試みているかを把握することができ、そのロケーション情報をロケーション情報管理装置に記憶することが考えられる。 In addition, for example, a method of notifying location information management device of location information of a terminal device in an authentication procedure in remote authentication (RADIUS: Remote Authentication Dial In User Service) of a dial-in user service is conceivable. Specifically, in the authentication when the terminal device is connected to the network, the terminal connection device (access point) that has received the connection request from the terminal device transmits the authentication request when transmitting the authentication request of the terminal device to the authentication server. An identifier of the own device (NAS-ID: Network Access Server-ID) is inserted into the signal and transmitted. By doing in this way, the authentication server can grasp to which terminal connection device the terminal device to be authenticated is trying to connect from the NAS-ID received from the terminal connection device, and the location information is stored in the location information. It is conceivable to store the information in the information management apparatus.
ところが、この手法では、端末接続装置と認証サーバとの間の経路において、NAS−IDの値が改ざんされる恐れがあり、特に、両者の間に認証プロキシを介在させる形態では、当該認証プロキシにおいてNAS−IDの値の改ざんが極めて容易であり、取得するNAS−IDの値の信用性が低い。その結果、NAS−IDに基づいて取得されるロケーション情報の信用性も低くなる。 However, with this technique, there is a risk that the value of the NAS-ID may be tampered with in the path between the terminal connection device and the authentication server. It is very easy to falsify the value of the NAS-ID, and the reliability of the acquired NAS-ID value is low. As a result, the reliability of the location information acquired based on the NAS-ID is also lowered.
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、情報改ざんを防止するとともに、信用性の高いロケーション情報を取得することが可能である認証システム、接続制御装置、認証装置および転送装置を提供することを目的とする。 Therefore, the present invention has been made to solve the above-described problems of the prior art, and prevents authentication of information and can acquire highly reliable location information and a connection control device. An object is to provide an authentication device and a transfer device.
上述した課題を解決し、目的を達成するため、本発明は、利用者が利用する利用者端末がネットワークに接続するのに際して、当該利用者の認証を認証装置に要求する接続制御装置と、前記接続制御装置からの認証要求に応じて前記利用者を認証する認証装置とから構成される認証システムであって、前記接続制御装置は、前記利用者端末から認証要求を受信した場合に、自装置を一意に識別する識別子に電子署名を付加した位置特定情報を生成する位置特定情報生成手段と、前記位置特定情報生成手段により生成された位置特定情報を前記認証要求に付加して前記認証装置に送信する認証要求手段と、を備え、前記認証装置は、前記接続制御装置に接続される利用者端末の利用者に対応付けて、当該利用者端末が接続される接続制御装置の位置情報を記憶する利用者情報記憶手段と、前記接続制御装置の識別子に対応付けて、前記接続制御装置の公開鍵と位置情報とを記憶する制御装置情報記憶手段と、前記接続制御装置から受信した認証要求に基づいて、前記利用者端末の利用者が正当な利用者であるか否かを認証する利用者認証手段と、前記接続制御装置から受信した認証要求から検出した識別子に対応する公開鍵を前記制御装置情報記憶手段から取得し、取得した公開鍵を用いて、前記受信した認証要求に付加されている電子署名が正当な情報であるか否かを検証する電子署名検証手段と、前記利用者認証手段により前記利用者端末の利用者が正当な利用者であると判定され、かつ、前記電子署名検証手段により前記電子署名が正当な情報であると検証された場合に、前記認証要求に含まれる識別子に対応する位置情報を前記制御装置情報記憶手段から取得し、取得した位置情報と、前記認証要求に基づいて特定した利用者とを対応付けて前記利用者情報記憶手段に格納する位置情報格納手段と、を備えたことを特徴とする。 In order to solve the above-described problems and achieve the object, the present invention provides a connection control device that requests an authentication device for authentication of a user when a user terminal used by the user connects to the network, An authentication system configured to authenticate the user in response to an authentication request from a connection control device, wherein the connection control device receives the authentication request from the user terminal; Position specifying information generating means for generating position specifying information with an electronic signature added to an identifier for uniquely identifying the position identification information, and adding the position specifying information generated by the position specifying information generating means to the authentication request to the authentication device. Authentication request means for transmitting, wherein the authentication device is associated with a user of a user terminal connected to the connection control device, and is connected to the user control terminal. User information storage means for storing location information, control device information storage means for storing the public key and location information of the connection control device in association with the identifier of the connection control device, and received from the connection control device A user authentication means for authenticating whether or not the user of the user terminal is a valid user based on the authentication request, and a public corresponding to the identifier detected from the authentication request received from the connection control device An electronic signature verification unit that acquires a key from the control device information storage unit and verifies whether the electronic signature added to the received authentication request is valid information using the acquired public key; When the user authentication means determines that the user of the user terminal is a valid user, and the electronic signature verification means verifies that the electronic signature is valid information, The location information corresponding to the identifier included in the certificate request is acquired from the control device information storage unit, and the acquired location information is associated with the user specified based on the authentication request in the user information storage unit. And a position information storage means for storing.
また、本発明は、利用者が利用する利用者端末がネットワークに接続するのに際して、当該利用者の認証を認証装置に要求する接続制御装置と、前記接続制御装置から送信された認証要求を認証装置に転送する転送装置と、前記転送装置から受信した認証要求に応じて前記利用者を認証する認証装置とから構成される認証システムであって、前記接続制御装置は、前記利用者端末から認証要求を受信した場合に、自装置を一意に識別する識別子を前記認証要求に付加して前記転送装置に送信する認証要求手段と、を備え、前記転送装置は、前記接続制御装置の識別子に対応付けて、前記接続制御装置の位置情報を記憶する位置情報記憶手段と、前記接続制御装置から認証要求を受信した場合に、当該認証要求に含まれる識別子に対応する位置情報を前記位置情報記憶手段から取得する位置情報取得手段と、前記位置情報取得手段により取得された位置情報に電子署名を付加した位置特定情報を生成し、生成した位置特定情報を前記接続制御装置から受信した認証要求に付加して認証装置に転送する転送手段と、を備え、前記認証装置は、前記接続制御装置に接続される利用者端末の利用者に対応付けて、当該利用者端末が接続される接続制御装置の位置情報を記憶する利用者情報記憶手段と、前記転送装置に対応付けて、前記転送装置の公開鍵を記憶する転送装置情報記憶手段と、前記転送装置から受信した認証要求に基づいて、前記利用者端末の利用者が正当な利用者であるか否かを認証する利用者認証手段と、前記転送装置から認証要求を受信した場合に、当該認証要求に基づいて転送装置を特定し、特定した転送装置に対応する公開鍵を前記転送装置情報記憶手段から取得して、取得した公開鍵を用いて、前記認証要求に付加されている電子署名が正当な情報であるか否かを検証する電子署名検証手段と、前記利用者認証手段により前記利用者端末の利用者が正当な利用者であると判定され、かつ、前記電子署名検証手段により前記電子署名が正当な情報であると検証された場合に、前記認証要求から取得した位置情報と、前記認証要求に基づいて特定した利用者とを対応付けて前記利用者情報記憶手段に格納する位置情報格納手段と、を備えたことを特徴とする。 The present invention also provides a connection control device that requests an authentication device to authenticate the user terminal used by the user to connect to the network, and an authentication request transmitted from the connection control device. An authentication system comprising a transfer device that transfers to a device and an authentication device that authenticates the user in response to an authentication request received from the transfer device, wherein the connection control device authenticates from the user terminal. Authentication request means for adding an identifier for uniquely identifying the own device to the authentication request and transmitting the request to the transfer device when the request is received, the transfer device corresponding to the identifier of the connection control device In addition, the position information storage means for storing the position information of the connection control device, and the position corresponding to the identifier included in the authentication request when the authentication request is received from the connection control device Position information acquisition means for acquiring information from the position information storage means, position specifying information obtained by adding an electronic signature to the position information acquired by the position information acquiring means, and generating the position specifying information as the connection control device Transfer means for adding to the authentication request received from the authentication device and transferring it to the authentication device. The authentication device is associated with the user of the user terminal connected to the connection control device, and the user terminal User information storage means for storing location information of the connection control device to be connected, transfer device information storage means for storing the public key of the transfer device in association with the transfer device, and authentication received from the transfer device Based on the request, the user authentication means for authenticating whether or not the user of the user terminal is a valid user, and when receiving the authentication request from the transfer device, The transfer device is identified, the public key corresponding to the identified transfer device is acquired from the transfer device information storage means, and the electronic signature added to the authentication request is valid using the acquired public key. An electronic signature verifying unit for verifying whether the user terminal is a valid user by the user authentication unit, and the electronic signature is verified by the electronic signature verification unit. Position information storage means for storing the position information acquired from the authentication request and the user specified based on the authentication request in association with each other and stored in the user information storage means when it is verified that the information is valid And.
本発明によれば、情報改ざんを防止するとともに、信用性の高いロケーション情報を取得することが可能である。 According to the present invention, it is possible to prevent falsification of information and acquire highly reliable location information.
以下に添付図面を参照して、この発明に係る認証システム、接続制御装置、認証装置および転送装置の実施例を詳細に説明する。なお、以下では、本実施例で用いる主要な用語、本実施例に係る認証システムの概要および特徴、認証システムの構成および処理の流れを順に説明し、最後に本実施例に対する種々の変形例を説明する。 Exemplary embodiments of an authentication system, a connection control device, an authentication device, and a transfer device according to the present invention will be described below in detail with reference to the accompanying drawings. In the following, the main terms used in the present embodiment, the outline and features of the authentication system according to the present embodiment, the configuration of the authentication system and the flow of processing will be described in order, and finally various modifications to the present embodiment will be described. explain.
[用語の説明]
まず最初に、本実施例で用いる主要な用語を説明する。本実施例で用いる「認証システム(特許請求の範囲に記載の「認証システム」に対応する。)」とは、無線通信を行う端末と端末接続装置(アクセスポイント)とが無線通信により接続され、当該アクセスポイントと通信制御装置(RADIUS-Proxy)とがネットワーク1を介して通信可能に接続され、ネットワーク1に接続されるネットワーク2を介して通信制御装置(RADIUSサーバ)とロケーション情報管理装置とが通信可能に接続されて構成される。
[Explanation of terms]
First, main terms used in this embodiment will be described. The “authentication system (corresponding to the“ authentication system ”recited in the claims”) used in the present embodiment is a wireless communication terminal and a terminal connection device (access point) connected by wireless communication. The access point and the communication control device (RADIUS-Proxy) are communicably connected via the network 1, and the communication control device (RADIUS server) and the location information management device are connected via the network 2 connected to the network 1. It is configured to be communicably connected.
「端末」とは、無線通信を行う通信装置であり、例えば、既知のパーソナルコンピュータ、ワークステーション、携帯電話、PHS端末、移動体通信端末またはPDAなどの装置である。また、「端末A」には、当該端末(端末の利用者)を一意に識別する識別子として「ID=001」が割り当てられており、「端末B」には、「ID=002」が割り当てられている。つまり、これらの端末は、アクセスポイントに接続する際に、これらのIDを用いて接続することで、アクセスポイント側でユーザ認識を行うことができる。 The “terminal” is a communication device that performs wireless communication, and is, for example, a known personal computer, workstation, mobile phone, PHS terminal, mobile communication terminal, or PDA. Further, “ID = 001” is assigned to “terminal A” as an identifier for uniquely identifying the terminal (terminal user), and “ID = 002” is assigned to “terminal B”. ing. That is, these terminals can perform user recognition on the access point side by connecting using these IDs when connecting to the access point.
「端末接続装置(アクセスポイント)」とは、無線LAN(Local Area Network)で各端末間を接続したり、他のネットワークである有線LANに接続する無線機、いわゆる、無線LANアクセスポイントなどの装置である。この「アクセスポイント」は、端末から接続要求を受け付けると、当該端末を管理下におく認証サーバ(ここでは、RADIUSサーバ)に対して、接続要求を受け付けた端末の認証要求(ここでは、RADIUSパケット)を送信する。そして、「アクセスポイント」は、認証サーバから認証許可応答を受信した場合に、端末とネットワーク(ここでは、ネットワーク1とネットワーク2)とを接続する。 “Terminal connection device (access point)” refers to a wireless device that connects terminals via a wireless local area network (LAN) or a wired LAN that is another network, such as a so-called wireless LAN access point. It is. When this "access point" accepts a connection request from a terminal, the authentication request (here, a RADIUS packet) of the terminal that accepted the connection request is sent to an authentication server (in this case, a RADIUS server) that manages the terminal. ). Then, when the “access point” receives the authentication permission response from the authentication server, the “access point” connects the terminal and the network (here, the network 1 and the network 2).
「通信制御装置(RADIUS-Proxy)」とは、アクセスポイントから受け付けたパケットと転送先に転送するプロキシサーバである。具体的には、「RADIUS-Proxy」は、アクセスポイントから受け付けた認証要求を示すRADIUSパケットをRADIUSサーバに転送したり、RADIUSサーバから受信した認証結果を示すRADIUSパケットをアクセスポイントに転送したりする。 The “communication control device (RADIUS-Proxy)” is a proxy server that transfers a packet received from an access point and a transfer destination. Specifically, “RADIUS-Proxy” transfers a RADIUS packet indicating an authentication request received from the access point to the RADIUS server, or transfers a RADIUS packet indicating the authentication result received from the RADIUS server to the access point. .
「通信制御装置(RADIUSサーバ)」は、RADIUS-Proxyから転送されてきた認証要求に対して認証処理を実施して認証結果を応答するサーバ装置である。具体的には、「RADIUSサーバ」は、RADIUS-Proxyから転送されてきた認証要求を示すRADIUSパケットから端末のIDなどを取得し、取得したIDを用いて、EAP-TLS(Extensible Authentication Protocol―Transport Layer Security)やEAP-TTLS(Extensible Authentication Protocol―Tunneled Transport Layer Security)、EAP-PEAP(Extensible Authentication Protocol―Protected EAP)、EAP-AKA(EAP―Authentication and Key Agreement)、CHAP(Challenge Handshake Authentication Protocol)、PAP(Password Authentication Protocol)などの様々な認証方式を用いて認証を行い、その結果をRADIUS-Proxyを介してアクセスポイントに送信する。 The “communication control device (RADIUS server)” is a server device that performs an authentication process on an authentication request transferred from the RADIUS-Proxy and responds with an authentication result. Specifically, the “RADIUS server” acquires the terminal ID and the like from the RADIUS packet indicating the authentication request transferred from the RADIUS-Proxy, and uses the acquired ID, EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), EAP-TTLS (Extensible Authentication Protocol—Tunneled Transport Layer Security), EAP-PEAP (Extensible Authentication Protocol—Protected EAP), EAP-AKA (EAP—Authentication and Key Agreement), CHAP (Challenge Handshake Authentication Protocol), Authentication is performed using various authentication methods such as PAP (Password Authentication Protocol), and the result is transmitted to the access point via RADIUS-Proxy.
「ロケーション情報管理装置」とは、ネットワークに接続された端末の位置情報(ロケーション情報)を記憶するサーバ装置である。具体的には、端末が接続されたアクセスポイントに基づいて、当該端末が接続されたロケーションを特定し、接続された端末とロケーションとを対応付けて記憶する。このように「ロケーション情報管理装置」に記憶されたロケーションは、端末に対して周辺マップを提供したり、周辺の店舗情報や天気情報などを通知するサービスに利用することができる。 The “location information management device” is a server device that stores position information (location information) of terminals connected to the network. Specifically, based on the access point to which the terminal is connected, the location to which the terminal is connected is specified, and the connected terminal and the location are stored in association with each other. In this way, the location stored in the “location information management device” can be used for a service that provides a peripheral map to the terminal, and notifies peripheral store information, weather information, and the like.
また、上記した「通信制御装置(RADIUSサーバ)」と「ロケーション情報管理装置」とは、別の筐体で実現されていてもよく、同じ筐体で一つのサーバ装置として実現されていてもよい。また、本実施例では、RADIUSプロトコルを例にして説明しているが、本発明はこれに限定されるものではなく、発明を特定する機能が実施されている装置であればよく、また、様々な認証プロトコルを用いることができる。 In addition, the above-mentioned “communication control device (RADIUS server)” and “location information management device” may be realized in different cases, or may be realized as one server device in the same case. . In this embodiment, the RADIUS protocol has been described as an example. However, the present invention is not limited to this, and any device that implements a function for specifying the invention may be used. Any authentication protocol can be used.
[認証システムの概要および特徴]
次に、図1を用いて、実施例に係る認証システムの概要および特徴を説明する。図1は、実施例1に係る認証システムの全体構成を示すシステム構成図である。
[Outline and features of authentication system]
Next, the outline and characteristics of the authentication system according to the embodiment will be described with reference to FIG. FIG. 1 is a system configuration diagram illustrating the overall configuration of the authentication system according to the first embodiment.
図1に示すように、この認証システムは、無線通信を行う端末Aと端末Bと端末接続装置(アクセスポイント)とが無線通信により接続され、当該アクセスポイントと通信制御装置(RADIUS-Proxy)とがネットワーク1を介して通信可能に接続され、ネットワーク1に接続されるネットワーク2を介して通信制御装置(RADIUSサーバ)とロケーション情報管理装置とが通信可能に接続されて構成される。 As shown in FIG. 1, in this authentication system, a terminal A and a terminal B that perform wireless communication and a terminal connection device (access point) are connected by wireless communication, and the access point and a communication control device (RADIUS-Proxy) Are communicably connected via a network 1, and a communication control device (RADIUS server) and a location information management device are communicably connected via a network 2 connected to the network 1.
また、ここで示すネットワーク1やネットワーク2とは、社内LANと公衆ネットワーク(インターネットなど)であってもよく、また、社内LAN同士であってもよく、ネットワークの種類を限定するものではない。また、図1に示した各種装置の数などもこれに限定されるものではない。なお、図1に示した「R」とは、2つ以上の異なるネットワーク間を相互接続する通信機器(ルータ:Router)である。 Further, the network 1 and the network 2 shown here may be an in-house LAN and a public network (such as the Internet), or may be in-house LANs, and the types of networks are not limited. Further, the number of various devices shown in FIG. 1 is not limited to this. Note that “R” illustrated in FIG. 1 is a communication device (router) that interconnects two or more different networks.
このような構成において、実施例1に係る認証システムは、上記したように、利用者が利用する端末がネットワークに接続するのに際して、当該端末の認証をRADIUSサーバに要求するアクセスポイントと、アクセスポイントからの認証要求に応じて端末を認証するRADIUSサーバとから構成されることを概要とするものであり、特に、情報改ざんを防止するとともに、信用性の高いロケーション情報を取得することが可能である点に主たる特徴がある。 In such a configuration, as described above, the authentication system according to the first embodiment includes an access point that requests the RADIUS server to authenticate the terminal when the terminal used by the user connects to the network, and the access point. It consists of a RADIUS server that authenticates the terminal in response to an authentication request from, and in particular, it can prevent information tampering and acquire highly reliable location information. The point has the main feature.
この主たる特徴を具体的に説明すると、アクセスポイントには、当該アクセスポイントを一意に識別する識別子として、「装置ID=AAA」が記憶されている。そして、RADIUSサーバは、アクセスポイントを一意に識別する装置識別子に対応付けて、アクセスポイントの公開鍵と位置情報とを記憶する。具体的に例を挙げると、RADIUSサーバは、『アクセスポイントを一意に識別する「装置ID」、当該アクセスポイントの公開鍵を示す「鍵情報」、当該アクセスポイントが設置されている場所を示す「位置情報」』として「AAA、鍵AAA、東京都千代田区○○」などを記憶する。 The main feature will be specifically described. In the access point, “device ID = AAA” is stored as an identifier for uniquely identifying the access point. Then, the RADIUS server stores the access point public key and location information in association with a device identifier that uniquely identifies the access point. As a specific example, the RADIUS server reads: “a device ID that uniquely identifies an access point,“ key information ”that indicates the public key of the access point, and a location where the access point is installed“ “AAA, key AAA, Chiyoda-ku Tokyo, etc.” is stored as “location information” ”.
このような状態において、アクセスポイントは、端末から認証要求を受信した場合に、自装置を一意に識別する装置識別子に電子署名を付加した位置特定情報を生成し、生成された位置特定情報を認証要求に付加してRADIUSサーバに送信する(図1の(1)〜(3)参照)。 In such a state, when the access point receives an authentication request from the terminal, the access point generates location specifying information in which an electronic signature is added to a device identifier that uniquely identifies the own device, and authenticates the generated location specifying information. It is added to the request and transmitted to the RADIUS server (see (1) to (3) in FIG. 1).
上記した例で具体的に説明すると、端末Aは、アクセスポイントに対して接続要求を送信する。そして、この接続要求を受けたアクセスポイントは、端末Aから利用者IDである「ID=001」を取得するとともに、自装置を一意に識別する「装置ID=AAA」に対して自装置の秘密鍵で電子署名を付加する。続いて、アクセスポイントは、端末Aを利用する利用者IDである「ID=001」と、「装置ID=AAA」+「電子署名」とを含めた認証要求をRADIUS-Proxyに送信する。そして、RADIUS-Proxyは、アクセスポイントから受け付けた認証要求をRADIUSサーバに転送する。 Specifically, in the above example, the terminal A transmits a connection request to the access point. Then, the access point that has received this connection request obtains the user ID “ID = 001” from the terminal A, and at the same time, secretly identifies its own device with respect to “device ID = AAA” that uniquely identifies its own device. Add an electronic signature with a key. Subsequently, the access point transmits an authentication request including “ID = 001”, which is a user ID using the terminal A, and “apparatus ID = AAA” + “electronic signature” to the RADIUS-Proxy. Then, the RADIUS-Proxy transfers the authentication request received from the access point to the RADIUS server.
そして、RADIUSサーバは、アクセスポイントから受信した認証要求に基づいて、端末の利用者が正当な利用者であるか否かを認証するとともに、アクセスポイントから受信した認証要求に含まれる装置識別子に対応する公開鍵を取得し、取得した公開鍵を用いて、受信した認証要求に含まれる電子署名が正当な情報であるか否かを検証する(図1の(4)参照)。 The RADIUS server authenticates whether or not the terminal user is a valid user based on the authentication request received from the access point, and supports the device identifier included in the authentication request received from the access point. The public key to be acquired is acquired, and using the acquired public key, it is verified whether the electronic signature included in the received authentication request is valid information (see (4) in FIG. 1).
上記した例で具体的に説明すると、RADIUSサーバは、アクセスポイントから受信した認証要求に含まれる「ID=001」を取得し、上記した認証方式のいずれかの方式(例えば、EAP-TLS)を用いて、端末Aの利用者が正当な利用者であるか否かを認証する。続いて、RADIUSサーバは、アクセスポイントから受信した認証要求に含まれる「装置ID=AAA」に対応する公開鍵「鍵AAA」を取得し、取得した「鍵AAA」を用いて、受信した認証要求に含まれる電子署名が正当な情報であるか否かを検証する。なお、ここでは、端末Aの利用者は正当な利用者であり、電子署名は正当な署名であると判定されたとする。 Specifically, in the above example, the RADIUS server obtains “ID = 001” included in the authentication request received from the access point, and uses one of the above authentication methods (for example, EAP-TLS). It is used to authenticate whether the user of terminal A is a legitimate user. Subsequently, the RADIUS server acquires the public key “key AAA” corresponding to “device ID = AAA” included in the authentication request received from the access point, and uses the acquired “key AAA” to receive the received authentication request. It is verified whether or not the electronic signature included in is valid information. Here, it is assumed that the user of the terminal A is a valid user and the electronic signature is determined to be a valid signature.
続いて、RADIUSサーバは、端末の利用者が正当な利用者であると判定され、かつ、電子署名が正当な情報であると検証された場合に、認証要求に含まれる装置識別子に対応する位置情報を取得する(図1の(5)参照)。 Subsequently, the RADIUS server determines the position corresponding to the device identifier included in the authentication request when it is determined that the user of the terminal is a valid user and the electronic signature is verified as valid information. Information is acquired (see (5) in FIG. 1).
上記した例で具体的に説明すると、RADIUSサーバは、端末の利用者が正当な利用者であると判定され、かつ、電子署名が正当な情報であると検証された場合に、認証要求に含まれる「装置ID=AAA」に対応する位置情報「東京都千代田区○○」を取得する。そして、RADIUSサーバは、認証要求に含まれる利用者ID「ID=001」を取得し、取得した「ID=001」に対応付けて、取得した位置情報「東京都千代田区○○」をロケーション情報としてロケーション情報管理装置に格納する。 Specifically, in the above example, the RADIUS server is included in the authentication request when it is determined that the terminal user is a valid user and the electronic signature is verified as valid information. The location information “Chiyoda-ku Tokyo XX” corresponding to “device ID = AAA” is acquired. The RADIUS server acquires the user ID “ID = 001” included in the authentication request, associates it with the acquired “ID = 001”, and uses the acquired location information “Chiyoda-ku Tokyo ○○” as location information. Is stored in the location information management device.
そして、ロケーション情報管理装置は、RADIUSサーバにより取得された位置情報と、認証要求に基づいて特定した利用者端末とを対応付けて格納する(図1の(6)参照)。具体的に例を挙げると、ロケーション情報管理装置は、認証要求に含まれる取得された「ID=001」と、RADIUSサーバにより取得された位置情報「東京都千代田区○○」と対応付けて格納する。 Then, the location information management device stores the location information acquired by the RADIUS server in association with the user terminal specified based on the authentication request (see (6) in FIG. 1). To give a specific example, the location information management device stores the acquired “ID = 001” included in the authentication request in association with the location information “Chiyoda-ku Tokyo XX” acquired by the RADIUS server. To do.
その後、RADIUSサーバは、認証要求の応答として認証結果(認証許可)をRADIUS-Proxyを介してアクセスポイントに送信し、アクセスポイントは、当該認証結果により端末Aの接続を許可する(図1の(7)〜(9)参照)。上記した例で具体的に説明すると、RADIUSサーバは、認証要求の応答として認証結果(認証許可)をRADIUS-Proxyに送信し、RADIUS-Proxyは、受信した認証結果をアクセスポイントに転送する。すると、アクセスポイントは、受信した認証結果が「認証許可」であることを根拠に、端末Aとの接続を開始する。そうすることで、端末Aは、ネットワーク1やネットワーク2に接続される各装置と通信を行うことができ、また、ロケーションに応じた各種サービスを利用することができる。 Thereafter, the RADIUS server transmits an authentication result (authentication permission) as a response to the authentication request to the access point via the RADIUS-Proxy, and the access point permits the connection of the terminal A based on the authentication result ((( 7) to (9)). More specifically, the RADIUS server transmits an authentication result (authentication permission) to the RADIUS-Proxy as a response to the authentication request, and the RADIUS-Proxy transfers the received authentication result to the access point. Then, the access point starts connection with the terminal A on the basis that the received authentication result is “authentication permitted”. By doing so, the terminal A can communicate with each device connected to the network 1 and the network 2 and can use various services according to the location.
このように、実施例1に係る認証システムは、複数のネットワークや装置を介した場合であっても、アクセスポイントが署名した電子署名を用いて位置情報(ロケーション情報)をRADIUSサーバに送信することができる結果、上記した主たる特徴のごとく、情報改ざんを防止するとともに、信用性の高いロケーション情報を取得することが可能である。 As described above, the authentication system according to the first embodiment transmits the position information (location information) to the RADIUS server using the electronic signature signed by the access point even when the authentication system is connected via a plurality of networks and devices. As a result, as described above, it is possible to prevent falsification of information and obtain highly reliable location information.
[認証システムの構成]
次に、図2を用いて、図1に示した認証システムの構成を説明する。図2は、実施例1に係る認証システムの構成を示すブロック図である。図2に示すように、この認証システムは、アクセスポイント10と、RADIUS-Proxy20と、RADIUSサーバ30と、ロケーション情報管理装置40とから構成されている。なお、RADIUS-Proxy20については、RADIUSプロコルを転送するプロキシサーバと同様の構成を有するので、ここでは詳細な説明は省略する。
[Configuration of authentication system]
Next, the configuration of the authentication system shown in FIG. 1 will be described with reference to FIG. FIG. 2 is a block diagram illustrating the configuration of the authentication system according to the first embodiment. As shown in FIG. 2, the authentication system includes an
(アクセスポイントの構成)
図2に示すように、アクセスポイント10は、無線通信制御I/F部11と、通信制御I/F部12と、記憶部15と、制御部16とから構成される。
(Access point configuration)
As shown in FIG. 2, the
無線通信制御I/F部11は、端末との間でやり取りする無線通信を制御する。具体的に例を挙げれば、無線通信制御I/F部11は、端末Aから接続要求や認証要求を受信したり、端末Aに対して認証結果を送信したりするなど、端末Aから送信される各種パケットを受信したり、端末Aに対して各種パケットを送信したりする。
The wireless communication control I /
通信制御I/F部12は、ネットワークに接続される各装置との間でやり取りする各種情報に関する通信を制御する。具体的に例を挙げれば、通信制御I/F部12は、ネットワーク1に接続されるRADIUS-Proxy20に対して認証要求を送信したり、ネットワーク1に接続されるRADIUS-Proxy20から認証結果を受信したりするなど、ネットワーク1に各種パケットを送信したり、ネットワーク1から各種パケットを受信したりする。
The communication control I /
記憶部15は、制御部16による各種処理に必要なデータおよびプログラム、自装置の秘密鍵などを格納するとともに、特に本発明に密接に関連するものとしては、装置ID15aを備える。装置ID15aは、当該アクセスポイント10を一意に識別する識別子を記憶するものであり、上記した例で具体的に説明すると、「装置ID=AAA」などを記憶する。
The storage unit 15 stores data and programs necessary for various processes performed by the control unit 16, a private key of the own device, and the like, and particularly includes a device ID 15a that is closely related to the present invention. The device ID 15a stores an identifier for uniquely identifying the
制御部16は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、特に本発明に密接に関連するものとしては、接続制御部16aと、情報生成部16bと、認証要求部16cとを備え、これらによって種々の処理を実行する。 The control unit 16 has an internal memory for storing a control program such as an OS (Operating System), a program that defines various processing procedures, and necessary data, and is particularly closely related to the present invention. A connection control unit 16a, an information generation unit 16b, and an authentication request unit 16c are provided, and various processes are executed by these.
接続制御部16aは、端末から接続要求や認証要求を受信したり、認証が許可された端末から送信されるパケットをネットワークに転送したりする。上記した例で具体的に説明すると、接続制御部16aは、端末から接続要求であるEAPOL-Startを無線通信制御I/F部11を介して受信すると、当該端末に対してEAP-Identity-reqを無線通信制御I/F部11を介して送信して、ID(ユーザID)を含む認証要求「EAP-Identity」を端末から受信する。また、接続制御部16aは、認証が許可された端末からパケットを受信すると、受信したパケットをネットワーク1を介して送信先に転送したりする。
The connection control unit 16a receives a connection request or an authentication request from a terminal, or forwards a packet transmitted from a terminal permitted for authentication to the network. Specifically, in the above example, when the connection control unit 16a receives EAPOL-Start, which is a connection request, from the terminal via the wireless communication control I /
また、接続制御部16aは、RADIUSサーバ30からEAL-TLSによる認証処理(EAPネゴシエーション)が実施されると、当該EAPネゴシエーションに基づいて送受信されるRADIUSサーバ30−端末間の各種パケットを転送制御する。
Further, when authentication processing (EAP negotiation) by EAL-TLS is performed from the
情報生成部16bは、利用者端末から認証要求を受信した場合に、自装置を一意に識別する装置識別子に電子署名を付加した位置特定情報を生成する。上記した例で具体的に説明すると、情報生成部16bは、接続制御部16aによって端末Aから送信された認証要求が受信されると、自装置を一意に識別する装置ID(AAA)を装置ID15aから取得するとともに、記憶部15から秘密鍵(鍵AAA)を取得する。そして、情報生成部16bは、取得した秘密鍵を用いて装置ID(AAA)に電子署名を付加して位置特定情報を生成する。 When receiving an authentication request from the user terminal, the information generating unit 16b generates position specifying information in which an electronic signature is added to a device identifier that uniquely identifies the own device. Specifically, in the above example, when the authentication request transmitted from the terminal A is received by the connection control unit 16a, the information generation unit 16b determines the device ID (AAA) that uniquely identifies the device itself as the device ID 15a. And a secret key (key AAA) is acquired from the storage unit 15. Then, the information generating unit 16b generates position specifying information by adding an electronic signature to the device ID (AAA) using the acquired secret key.
認証要求部16cは、情報生成部16bにより生成された位置特定情報を認証要求に付加してRADIUSサーバ30に送信する。上記した例で具体的に説明すると、認証要求部16cは、情報生成部16bにより生成された位置特定情報「装置ID(AAA)+電子署名」を付加した認証要求「ID=001、装置ID(AAA)+電子署名」をRADIUSパケットとしてRADIUS-Proxy20に送信する。その後、この認証要求は、RADIUS-Proxy20によりRADIUSサーバ30に転送される。
The authentication request unit 16 c adds the position specifying information generated by the information generation unit 16 b to the authentication request and transmits it to the
(RADIUSサーバの構成)
図2に示すように、RADIUSサーバ30は、通信制御I/F部31と、記憶部32と、制御部33とから構成される。通信制御I/F部31は、ネットワークに接続される各装置との間でやり取りする各種情報に関する通信を制御する。具体的に例を挙げれば、通信制御I/F部31は、ネットワーク1に接続されるRADIUS-Proxy20からネットワーク2を介して認証要求を受信したり、ネットワーク2に接続されるロケーション情報管理装置40に対してロケーション情報を送信したりするなど、ネットワーク2に各種パケットを送信したり、ネットワーク2から各種パケットを受信したりする。
(RADIUS server configuration)
As shown in FIG. 2, the
記憶部32は、制御部33による各種処理に必要なデータおよびプログラムなどを格納するとともに、特に本発明に密接に関連するものとしては、位置情報DB32aを備える。
The
位置情報DB32aは、アクセスポイント10を一意に識別する前記装置識別子に対応付けて、アクセスポイント10の公開鍵と位置情報とを記憶する。具体的に例を挙げると、位置情報DB32aは、図3に示すように、『アクセスポイントを一意に識別する「装置ID」、当該アクセスポイントの公開鍵を示す「鍵情報」、当該アクセスポイントが設置されている場所を示す「位置情報」』として「AAA、鍵AAA、東京都千代田区○○」などを記憶する。また、上記した各種のデータやパラメータを含む情報については、特記する場合を除いて、当該装置やシステムの管理者により任意に設定することができる。なお、図3は、位置情報DBに記憶される情報の例を示す図である。
The location information DB 32 a stores the public key and location information of the
制御部33は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、特に本発明に密接に関連するものとしては、利用者認証部33aと、電子署名検証部33bと、位置情報取得部33cとを備え、これらによって種々の処理を実行する。
The
利用者認証部33aは、当該認証要求の送信元である、アクセスポイント10を介して当該端末を利用するユーザの認証を実施し、その結果を位置情報取得部33cに通知する。上記した例で具体的に説明すると、利用者認証部33aは、アクセスポイント10から認証要求を受信すると、当該認証要求からID(001)を取得する。そして、利用者認証部33aは、このID(001)から端末を特定し、特定した端末との間で、例えば、EAPネゴシエーションなどの認証処理を実施してユーザ認証を行い、その結果を位置情報取得部33cに通知する。
The user authentication unit 33a authenticates the user who uses the terminal via the
電子署名検証部33bは、アクセスポイント10から受信した認証要求に含まれる装置識別子に対応する公開鍵を位置情報DB32aから取得し、取得した公開鍵を用いて、受信した認証要求に含まれる電子署名が正当な情報であるか否かを検証する。上記した例で具体的に説明すると、電子署名検証部33bは、アクセスポイント10から受信した認証要求に含まれる「装置ID=AAA」に対応する公開鍵「鍵AAA」を位置情報DB32aから取得する。続いて、電子署名検証部33bは、取得した「鍵AAA」を用いて、受信した認証要求に含まれる電子署名が正当な情報であるか否か(電子署名が復号できるか否か)を検証する。検証した結果、電子署名が正当な情報である場合には、電子署名検証部33bは、取得された装置識別子を位置情報取得部33cに通知する。
The electronic signature verification unit 33b acquires the public key corresponding to the device identifier included in the authentication request received from the
位置情報取得部33cは、端末の利用者が正当な利用者であると判定され、かつ、電子署名が正当な情報であると認証された場合に、認証要求に含まれる装置識別子に対応する位置情報を取得し、取得した位置情報をロケーション管理装置40に送信する。上記した例で具体的に説明すると、位置情報取得部33cは、利用者認証部33aにより端末の利用者が正当な利用者であると判定されたことが通知され、かつ、電子署名検証部33bにより電子署名が正当な情報であると検証されたことが通知された場合に、アクセスポイント10から受信した認証要求に含まれる「装置ID=AAA」に対応する位置情報「東京都千代田区○○」を位置情報DB32aから取得する。そして、位置情報取得部33cは、アクセスポイント10から受信した認証要求に含まれる利用者ID「ID=001」を取得し、取得した「ID=001」に対応付けて、取得した位置情報「東京都千代田区○○」をロケーション情報としてロケーション情報管理装置40に送信する。
The position information acquisition unit 33c determines that the terminal user is a valid user and the position corresponding to the device identifier included in the authentication request when the electronic signature is authenticated as valid information. Information is acquired, and the acquired position information is transmitted to the
また、位置情報取得部33cは、ロケーション情報の格納が完了したことを示すロケーション情報格納完了通知をロケーション情報管理装置40から受信した場合に、当該ロケーション情報に対応する端末やアクセスポイント10に対して、認証許可応答を示すRADIUSパケットを応答する。一方、利用者認証部33aまたは電子署名検証部33bから認証拒否の通知を受けた場合には、当該端末やアクセスポイント10に対して認証拒否を示すRADIUSパケット(Access-Reject)を応答する。
Further, when the location information acquisition unit 33c receives a location information storage completion notification indicating that the storage of the location information has been completed from the location
なお、ここでは、位置情報取得部33cは、ロケーション情報格納完了通知をロケーション情報管理装置40から受信した場合に、認証許可応答を示すRADIUSパケットを応答するとしたが、本発明はこれに限定されるものではない。例えば、位置情報取得部33cは、取得したロケーション情報をロケーション情報管理装置40に送信した時点で、当該ロケーション情報に対応する端末やアクセスポイント10に対して、認証許可応答を示すRADIUSパケットを応答してもよい。
Here, when the location information acquisition unit 33c receives a location information storage completion notification from the location
(ロケーション情報管理装置の構成)
図2に示すように、ロケーション情報管理装置40は、通信制御I/F部41と、記憶部42と、制御部43とから構成される。通信制御I/F部41は、ネットワークに接続される各装置との間でやり取りする各種情報に関する通信を制御する。具体的に例を挙げれば、通信制御I/F部41は、ネットワーク2に接続されるRADIUSサーバ30からロケーション情報を受信したり、RADIUSサーバ30に対してロケーション情報格納完了通知を送信したりするなど、ネットワーク2に各種パケットを送信したり、ネットワーク2から各種パケットを受信したりする。
(Configuration of location information management device)
As shown in FIG. 2, the location
記憶部42は、制御部43による各種処理に必要なデータおよびプログラムなどを格納するとともに、特に本発明に密接に関連するものとしては、ロケーション情報DB42aを備える。
The
ロケーション情報DB42aは、認証が許可されてロケーション情報が取得された端末に対応付けて、当該端末が位置する(接続される)位置情報を記憶する。具体的に例を挙げると、ロケーション情報DB42aは、図4に示すように、『利用者を一意に識別する「ユーザID」、当該端末の位置情報を示す「ロケーション情報」』として「ID=001、東京都千代田区○○」などを記憶する。また、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。なお、図4は、ロケーション情報DBに記憶される情報の例を示す図である。
The
制御部43は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、特に本発明に密接に関連するものとしては、応答部43aを備え、これらによって種々の処理を実行する。
The control unit 43 has a control program such as an OS (Operating System), a program that defines various processing procedures, and an internal memory for storing necessary data. In particular, the control unit 43 is closely related to the present invention. A
応答部43aは、RADIUSサーバ30から通知されたロケーション情報をロケーション情報DB42aに格納する。上記した例で具体的に説明すると、応答部43aは、「ID=001」と位置情報「東京都千代田区○○」とから構成されるロケーション情報をRADIUSサーバ30から受信すると、当該「ID=001」に対応付けて位置情報「東京都千代田区○○」をロケーション情報DB42aに格納する。そして、応答部43aは、ロケーション情報の格納が終了すると、ロケーション情報格納完了通知をRADIUSサーバ30に送信する。
The
[認証システムによる処理]
次に、図5を用いて、認証システムによる処理を説明する。図5は、実施例1に係る認証システムによる処理の流れを示すシーケンス図である。なお、ここでは、EAP-TLSを例にして説明するが、本発明はこれに限定されるものではなく、様々な認証方式を用いることができる。
[Processing by authentication system]
Next, processing by the authentication system will be described with reference to FIG. FIG. 5 is a sequence diagram illustrating the flow of processing by the authentication system according to the first embodiment. Although EAP-TLS is described here as an example, the present invention is not limited to this, and various authentication methods can be used.
図5に示すように、端末は、接続要求であるEAPOL-Startをアクセスポイント10に送信する(ステップS101)。すると、アクセスポイント10は、当該接続要求の応答として、ユーザIDと認証要求を要求するEAP-Identity-reqを端末に送信し(ステップS102)、このメッセージを受信した端末は、ユーザIDを付加した認証要求「EAP-Identity」をアクセスポイント10に送信する(ステップS103)。
As shown in FIG. 5, the terminal transmits EAPOL-Start, which is a connection request, to the access point 10 (step S101). Then, as a response to the connection request, the
そして、アクセスポイント10は、端末から認証要求を受信した場合に、自装置を一意に識別する装置IDに電子署名を付加した位置特定情報を生成して(ステップS104)、当該位置特定情報を付加した認証要求であるRADIUSパケットをAccess-requestとしてRADIUS-Proxy20に送信し(ステップS105)、RADIUS-Proxy20は、アクセスポイント10から受信したAccess-requestをRADIUSサーバ30に転送する(ステップS106)。
When the
このようにして、認証要求(Access-request)を受信したRADIUSサーバ30は、EAPネゴシエーションにより端末との間で相互認証を行う(ステップS107)。
In this way, the
このEAPネゴシエーションについて具体的に例を挙げて説明すると、Access-requestを受信したRADIUSサーバ30は、アクセスポイント10に対してRADIUSアクセスチャレンジを送信し、アクセスポイント10は、EAPリクエストを端末に送信する。そして、これを受信した端末は、EAPレスポンス(Client_hello)をアクセスポイント10に送信し、アクセスポイント10は、RADIUSアクセスリクエスト(レスポンススルー)をRADIUSサーバ30に送信する。すると、RADIUSサーバ30は、このRADIUSアクセスリクエスト受けて、RADIUSアクセスチャレンジ(サーバ証明書)をアクセスポイント10に送信し、アクセスポイント10は、EAPリクエスト(リクエストスルー)を端末に送信する。
The EAP negotiation will be described with a specific example. The
そして、端末は、EAPリクエストの応答として、EAPレスポンス(クライアント証明書)をアクセスポイント10に送信し、アクセスポイント10は、RADIUSアクセスリクエスト(レスポンススルー)をRADIUSサーバ30に送信する。その後、RADIUSサーバ30は、アクセスポイント10に対してRADIUSアクセスチャレンジ(暗号方式)を送信し、アクセスポイント10は、端末に対してEAPリクエスト(リクエストスルー)を端末に送信する。このようにすることで、RADIUSサーバ30と端末とは相互認証を行うことができる。
Then, the terminal transmits an EAP response (client certificate) to the
図5に戻り、ユーザ認証を行ったRADIUSサーバ30は、アクセスポイント10からRADIUS-Proxy20を介して受信した認証要求に含まれる装置IDに対応する公開鍵を位置情報DB32aから取得し、取得した公開鍵を用いて、受信した認証要求に含まれる電子署名が正当な情報であるか否かを検証する(ステップS108)。
Returning to FIG. 5, the
そして、RADIUSサーバ30は、端末を正当なユーザであり、電子署名は正当な情報であると検証した場合に、認証要求に含まれる装置IDに対応する位置情報(ロケーション情報)を位置情報DB32aから取得し(ステップS109)、認証要求に含まれるID(ユーザID)と取得したロケーション情報とをロケーション情報管理装置40に送信する(ステップS110)。
When the
すると、ロケーション情報管理装置40は、受信したID(ユーザID)とロケーション情報とを対応付けてロケーション情報DB42aに格納するとともに(ステップS111)、ロケーション情報格納完了通知をRADIUSサーバ30に送信する(ステップS112)。
Then, the location
そうして、このロケーション情報格納完了通知を受信したRADIUSサーバ30は、認証許可応答を示すRADIUSパケットであるAccess-AcceptをRADIUS-Proxy20に送信し(ステップS113)、RADIUS-Proxy20は、このAccess-Acceptをアクセスポイント10に転送し(ステップS114)、アクセスポイント10は、接続許可応答を示すEAPパケットであるEAP-Successを端末に送信する(ステップS115)。このようにすることで、端末は、アクセスポイント10を介してネットワークに接続される各装置と通信を行うことができる。
Then, the
[実施例1による効果]
このように、実施例1によれば、アクセスポイント10は、端末から認証要求を受信した場合に、自装置を一意に識別する装置IDに電子署名を付加した位置特定情報を生成し、生成された位置特定情報を認証要求に付加してRADIUSサーバ30に送信する。そして、RADIUSサーバ30は、アクセスポイント10を一意に識別する装置IDに対応付けて、アクセスポイント10の公開鍵と位置情報とを記憶する位置情報DB32aを備え、アクセスポイント10から受信した認証要求に基づいて、端末の利用者が正当な利用者であるか否かを認証し、また、アクセスポイント10から受信した認証要求に含まれる装置IDに対応する公開鍵を位置情報DB32aから取得し、取得した公開鍵を用いて、受信した認証要求に含まれる電子署名が正当な情報であるか否かを検証し、端末の利用者が正当な利用者であると判定され、かつ、電子署名が正当な情報であると検証された場合に、認証要求に含まれる装置IDに対応する位置情報を位置情報DB32aから取得する。その結果、複数のネットワークや装置を介した場合であっても、アクセスポイント10が署名した電子署名を用いて位置情報(ロケーション情報)をRADIUSサーバ30に送信することができる結果、情報改ざんを防止するとともに、信用性の高いロケーション情報を取得することが可能である。
[Effects of Example 1]
As described above, according to the first embodiment, when the
ところで、実施例1では、アクセスポイント10が電子署名を付加した位置特定情報を生成する場合について説明したが、本発明はこれに限定されるものではなく、RADIUS-Proxy20が電子署名を付加した位置特定情報を生成することもできる。
By the way, in the first embodiment, the case where the
そこで、実施例2では、図6と図7とを用いて、RADIUS-Proxy20が電子署名を付加した位置特定情報を生成する場合について説明する。図6と図7は、実施例2に係る認証システムにおける処理の流れを示すシーケンス図である。
Therefore, in the second embodiment, a case will be described in which the RADIUS-
(RADIUS-Proxy20による位置特定情報生成)
まず、図6を用いて、RADIUS-Proxy20が電子署名を付加した位置特定情報を生成する場合について説明する。また、実施例1と同様、RADIUS-Proxy20は、アクセスポイント10を一意に識別する装置IDに対応付けて、アクセスポイント10の位置情報とを記憶する。具体的に例を挙げると、RADIUS-Proxy20は、『アクセスポイント10を一意に識別する「装置ID」、当該アクセスポイントが設置されている場所を示す「位置情報」』として「AAA、東京都千代田区○○」などと記憶する。
(Generate location information by RADIUS-Proxy20)
First, a case where the RADIUS-
そして、RADIUSサーバ30は、RADIUS-Proxy20に対応付けて、RADIUS-Proxy20の公開鍵を記憶するプロキシ情報DBを有する。具体的に例を挙げれば、RADIUSサーバ30のプロキシ情報DBは、『RADIUS-Proxy20を一意に識別する「IPアドレス」、当該RADIUS-Proxy20の公開鍵を示す「鍵情報」』として「192.168.1.1、鍵XXX」などを記憶する。
The
このような構成において、図6に示すように、端末は、実施例1で説明したステップS101〜ステップS103と同様に、ステップS201〜ステップS203において、認証要求をアクセスポイント10に送信し、アクセスポイント10は、Access-requestをRADIUS-Proxy20に送信する(ステップS204)。
In such a configuration, as illustrated in FIG. 6, the terminal transmits an authentication request to the
そして、RADIUS-Proxy20は、認証要求を送信したアクセスポイント10との間で共通に保持する共通鍵を用いて認証処理(Shared Secret)を実施することで、当該アクセスポイント10およびアクセスポイント10を一意に識別する装置IDを特定し、特定した装置IDに対応する位置情報に電子署名を付加した位置特定情報を生成し(ステップS205)、アクセスポイント10から受信したAccess-requestに付加してRADIUSサーバ30に送信する(ステップS206)。
The RADIUS-
その後、認証要求(Access-request)を受信したRADIUSサーバ30は、実施例1と同様の手法で、EAPネゴシエーションにより端末との間で相互認証を行う(ステップS207)。
Thereafter, the
続いて、相互認証を行ったRADIUSサーバ30は、RADIUS−Proxy20から受信した認証要求から送信元のIPアドレス(192.168.1.1)を取得し、取得したIPアドレス(192.168.1.1)により特定されるRADIUS−Proxy20の公開鍵(鍵XXX)をプロキシ情報DBから取得して、RADIUS−Proxy20から受信した認証要求に付加されている電子署名が正当な情報であるか否かを検証する(ステップS208)。
Subsequently, the
そして、RADIUSサーバ30は、端末の利用者が正当なユーザであり、電子署名が正当な情報であると確認された場合に、認証要求に含まれるID(ユーザID)と認証要求に含まれる位置情報とをロケーション情報管理装置40に送信する(ステップS209)。
The
すると、ロケーション情報管理装置40は、受信したID(ユーザID)と位置情報とを対応付けてロケーション情報DB42aに格納するとともに(ステップS210)、ロケーション情報格納完了通知をRADIUSサーバ30に送信する(ステップS211)。
Then, the location
そうして、このロケーション情報格納完了通知を受信したRADIUSサーバ30は、認証許可応答を示すRADIUSパケットであるAccess-AcceptをRADIUS-Proxy20に送信し(ステップS212)、RADIUS-Proxy20は、このAccess-Acceptをアクセスポイント10に転送し(ステップS213)、アクセスポイント10は、接続許可応答を示すEAPパケットであるEAP-Successを端末に送信する(ステップS214)。このようにすることで、端末は、アクセスポイント10を介してネットワークに接続される各装置と通信を行うことができる。
Then, the
(RADIUS-Proxy20による電子署名)
次に、図7を用いて、図6で説明した手法とは異なる手法で、RADIUS-Proxy20が電子署名を付加した位置特定情報を生成する場合について説明する。ここでは、実施例1同様、アクセスポイント10が、当該アクセスポイント10を一意に識別する識別子「装置ID=AAA」などを記憶する。また、RADIUS-Proxy20は、アクセスポイント10を一意に識別する装置IDに対応付けて位置情報(例えば、東京都千代田区○○など)を記憶する。
(Digital signature by RADIUS-Proxy20)
Next, a case where the RADIUS-
さらに、RADIUSサーバ30は、RADIUS-Proxy20に対応付けて、RADIUS-Proxy20の公開鍵を記憶するプロキシ情報DBを有する。具体的に例を挙げれば、RADIUSサーバ30のプロキシ情報DBは、『RADIUS-Proxy20を一意に識別する「IPアドレス」、当該RADIUS-Proxy20の公開鍵を示す「鍵情報」』として「192.168.1.1、鍵XXX」などを記憶する。
Further, the
このような構成において、図7に示すように、端末は、実施例1で説明したステップS101〜ステップS103と同様、ステップS301〜ステップS303において、認証要求をアクセスポイント10に送信する。すると、アクセスポイント10は、Access-requestに自装置の装置IDを付加してRADIUS-Proxy20に送信する(ステップS304)。
In such a configuration, as illustrated in FIG. 7, the terminal transmits an authentication request to the
そして、RADIUS-Proxy20は、受信したAccess-requestからアクセスポイント10の装置IDに対応する位置情報(例えば、東京都千代田区○○)を取得するとともに、取得した位置情報に自身の秘密鍵で作成した電子署名を付加して位置特定情報を生成する(ステップS305とステップS306)。続いて、RADIUS-Proxy20は、受信したAccess-requestに作成した位置特定情報を付加してRADIUSサーバ30に送信する(ステップS307)。
Then, the RADIUS-
その後、認証要求(Access-request)を受信したRADIUSサーバ30は、実施例1と同様の手法で、EAPネゴシエーションにより端末との間で相互認証を行う(ステップS308)。
Thereafter, the
続いて、相互認証を行ったRADIUSサーバ30は、RADIUS-Proxy20から受信した認証要求のIPアドレス(192.168.1.1)などからRADIUS-Proxy20を特定し、特定したRADIUS-Proxy20に対応する公開鍵をプロキシDBから取得して、受信した認証要求に含まれる電子署名が正当な情報であるか否かを検証する(ステップS309)。なお、認証要求のIPアドレスからRADIUS-Proxy20を特定するだけでなく、ヘッダ情報などから特定するようにしてもよい。
Subsequently, the
そして、RADIUSサーバ30は、端末の利用者が正当なユーザであり、電子署名が正当な情報であると確認された場合に、認証要求に付加されている位置情報(例えば、東京都千代田区○○)とID(ユーザID)と取得して、ロケーション情報管理装置40に送信する(ステップS310)。
Then, the
すると、ロケーション情報管理装置40は、受信したID(ユーザID)と位置情報とを対応付けてロケーション情報DB42aに格納するとともに(ステップS311)、ロケーション情報格納完了通知をRADIUSサーバ30に送信する(ステップS312)。
Then, the location
そうして、このロケーション情報格納完了通知を受信したRADIUSサーバ30は、認証許可応答を示すRADIUSパケットであるAccess-AcceptをRADIUS-Proxy20に送信し(ステップS313)、RADIUS-Proxy20は、このAccess-Acceptをアクセスポイント10に転送し(ステップS314)、アクセスポイント10は、接続許可応答を示すEAPパケットであるEAP-Successを端末に送信する(ステップS315)。このようにすることで、端末は、アクセスポイント10を介してネットワークに接続される各装置と通信を行うことができる。
Then, the
なお、実施例2では、位置情報を住所等の地理的情報として扱っているが、アクセスポイント10の識別情報(例えば、アクセスポイント10の装置IDなど)であってもよい。このように、位置情報を当該識別情報として扱う場合、RADIUSサーバ30は、アクセスポイント10の識別情報と当該アクセスポイント10の地理的情報を対応付けてDBで管理しておく。そうすることにより、RADIUSサーバ30は、上記した利用者認証や署名検証を実施した後、RADIUS-Proxy20から受信した識別情報より、当該DBにアクセスして対応する地理的情報を取得し、ロケーション情報管理装置40は、実施例2と同様の手法で、ユーザIDと地理的情報(ロケーション情報)を格納することができる。
In the second embodiment, the position information is handled as geographical information such as an address, but may be identification information of the access point 10 (for example, a device ID of the access point 10). As described above, when the position information is handled as the identification information, the
(実施例2による効果)
このように、実施例2によれば、アクセスポイント10は、端末から認証要求を受信した場合に、自装置を一意に識別する装置IDを付加した認証要求をRADIUS-Proxy20に送信する。また、RADIUS-Proxy20は、アクセスポイント10から認証要求を受信した場合に、アクセスポイント10の装置IDに対応する位置情報を取得し、取得した位置情報と電子署名とを当該認証要求に付加してRADIUSサーバ30に転送する。そして、RADIUSサーバ30は、RADIUS-Proxy20それぞれに対応付けて、RADIUS-Proxy20の公開鍵を記憶するプロキシDBとを有し、RADIUS-Proxy20から受信した認証要求に基づいて、端末が正当な利用者であるか否かを認証し、RADIUS-Proxy20から認証要求を受信した場合に、当該認証要求に基づいてRADIUS-Proxy20を特定し、特定したRADIUS-Proxy20に対応する公開鍵をプロキシDBから取得し、取得した公開鍵を用いて、認証要求に付加されている電子署名が正当な情報であるか否かを検証し、端末が正当な利用者であると判定され、かつ、電子署名が正当な情報であると検証された場合に、認証要求に含まれる位置情報を取得する。そして、ロケーション情報管理装置40は、RADIUSサーバ30により取得された位置情報と、認証要求に基づいて特定した端末とを対応付けて格納する。その結果、情報改ざんを防止するとともに、信用性の高いロケーション情報を取得することが可能である。
(Effects of Example 2)
As described above, according to the second embodiment, when the
また、実施例2によれば、RADIUS-Proxy20は、アクセスポイント10から装置IDが付加されていない認証要求を受信した場合に、当該認証要求を送信したアクセスポイント10との間で、当該アクセスポイント10と共通に保持する共通鍵を用いて認証処理を実施することで、当該アクセスポイント10を特定する。また、RADIUS-Proxy20は、アクセスポイント10から認証要求を受信した場合に、特定されたアクセスポイント10に対応する装置IDに電子署名を付加した位置特定情報を生成し、生成した位置特定情報を認証要求に付加してRADIUSサーバ30に転送する。その結果、例えば、アクセスポイント10から送信された認証要求にアクセスポイント10を示す装置IDが付加されていない場合やアクセスポイント10は信頼できない装置であるがRADIUS-Proxy20が信頼できる装置である場合などでも、RADIUS-Proxy20にてアクセスポイント10を正確に特定した上で、認証要求をRADIUSサーバ30に送信することができる。また、情報改ざんを防止するとともに、信用性の高いロケーション情報を取得することが可能である。
Further, according to the second embodiment, when the RADIUS-
ところで、実施例1と2では、装置IDに電子署名を付加することで、情報改ざんを防止する場合について説明したが、本発明はこれに限定されるものではなく、不正利用者による再送攻撃を強固に防止することもできる。 In the first and second embodiments, the case where information falsification is prevented by adding an electronic signature to a device ID has been described. However, the present invention is not limited to this, and a replay attack by an unauthorized user is performed. It can also be prevented firmly.
そこで、実施例3では、図8〜図10を用いて、不正利用者による再送攻撃を強固に防止する例について説明する。 Therefore, in the third embodiment, an example in which a retransmission attack by an unauthorized user is strongly prevented will be described with reference to FIGS.
(シーケンス番号付与)
まず、図8を用いて、電子署名の他にシーケンス番号を付加することで、不正利用者による再送攻撃を強固に防止する例について説明する。図8は、シーケンス番号を用いた認証システムにおける処理の流れを示すシーケンス図である。
(Sequence number assignment)
First, an example in which a retransmission attack by an unauthorized user is strongly prevented by adding a sequence number in addition to an electronic signature will be described with reference to FIG. FIG. 8 is a sequence diagram showing a flow of processing in the authentication system using the sequence number.
ここで、実施例1と異なる点は、RADIUSサーバは、アクセスポイントを一意に識別する装置IDに対応付けて、アクセスポイントの公開鍵と位置情報と、さらにインクリメントしたシーケンス番号を位置情報DB32aに記憶している点である。具体的には、RADIUSサーバは、アクセスポイントから受信した認証要求に対して許可応答を応答した場合に、当該アクセスポイントの装置IDに対応付けて記憶するシーケンス番号をインクリメントする。例えば、後述する処理において、RADIUSサーバは、シーケンス番号として「900」を記憶している場合に、アクセスポイントから受信した認証要求に対して許可応答を応答すると、当該シーケンス番号をインクリメントした「901」を新たに対応付けて記憶することとなる。 Here, the difference from the first embodiment is that the RADIUS server stores the access point public key and position information, and further incremented sequence number in the position information DB 32a in association with the device ID for uniquely identifying the access point. This is the point. Specifically, when the RADIUS server responds with an authorization response to the authentication request received from the access point, the RADIUS server increments the sequence number stored in association with the device ID of the access point. For example, in the process to be described later, when the RADIUS server stores “900” as the sequence number, if the authorization response is returned to the authentication request received from the access point, “901” is obtained by incrementing the sequence number. Are newly associated with each other and stored.
このような構成において、図8に示すように、端末は、実施例1で説明したステップS101〜ステップS103と同様、ステップS401〜ステップS403において、認証要求をアクセスポイント10に送信する。
In such a configuration, as illustrated in FIG. 8, the terminal transmits an authentication request to the
すると、アクセスポイント10は、自装置を一意に識別する「装置ID」と「シーケンス番号」とに対して自装置の秘密鍵で電子署名を付加して位置特定情報を生成する(ステップS404)。続いて、アクセスポイント10は、端末の「ID(ユーザID)」と、アクセスポイント10の「装置ID」+「シーケンス番号」+「電子署名」とを含めた認証要求「Access-request」をRADIUS-Proxy20に送信する(ステップS405)。この際、アクセスポイント10は、メモリなどに記憶する前回送信時の「シーケンス番号」をインクリメントして送信する。例えば、アクセスポイント10は、記憶する「シーケンス番号」が「1000」の場合には、インクリメントしたシーケンス番号「1001」を付加して送信することとなる。
Then, the
そして、RADIUS-Proxy20は、アクセスポイント10から受け付けたAccess-requestをRADIUSサーバ30に転送する(ステップS406)。
Then, the RADIUS-
その後、認証要求(Access-request)を受信したRADIUSサーバ30は、実施例1と同様の手法で、EAPネゴシエーションにより端末との間で相互認証を行う(ステップS407)。
Thereafter, the
続いて、ユーザ認証を行ったRADIUSサーバ30は、RADIUS-Proxy20から受信した認証要求に含まれる装置IDに対応する公開鍵を取得し、取得した公開鍵を用いて、受信した認証要求に含まれる電子署名が正当な情報であるか否かを検証する(ステップS408)。
Subsequently, the
さらに、RADIUSサーバ30は、取得した公開鍵を用いて認証要求から得られたシーケンス番号と、アクセスポイント10に対応付けて自装置の位置情報DB32aに記憶しているシーケンス番号とが一致するか否かを確認する(ステップS409)。
Further, the
こうして、RADIUSサーバ30は、端末の利用者が正当なユーザであり、電子署名が正当な情報であると確認された場合に、RADIUS-Proxy20から受信した認証要求に含まれる装置IDに対応するシーケンス番号をインクリメントする(ステップS410)。
Thus, the
その後、RADIUSサーバ30は、認証要求に含まれる装置IDに対応する位置情報(ロケーション情報)を位置情報DB32aから取得するとともに(ステップS411)、取得した位置情報に対応する、認証要求に含まれるID(ユーザID)と取得したロケーション情報とをロケーション情報管理装置40に送信する(ステップS412とステップS413)。
Thereafter, the
例えば、RADIUSサーバは、上記した処理を「シーケンス番号=1000」で行った場合には、当該アクセスポイントを一意に識別する装置ID「AAA」に対応付けて記憶するシーケンス番号「1000」をインクリメントした「1001」を新たなシーケンス番号として更新する。 For example, when the RADIUS server performs the above processing with “sequence number = 1000”, it increments the sequence number “1000” stored in association with the device ID “AAA” that uniquely identifies the access point. “1001” is updated as a new sequence number.
その後のロケーション情報管理装置40が完了通知を送信し、RADIUSサーバ30が認証許可応答を送信するステップS413〜ステップS417までの処理は、実施例1で説明したステップS111〜ステップS115までの処理と同様であるので、ここでは省略する。
The subsequent processing from Step S413 to Step S417 in which the location
このように、アクセスポイント10は、端末から認証要求を受信した場合に、装置IDとシーケンス番号とに電子署名を付加した位置特定情報を生成し、RADIUSサーバ30は、認証要求に含まれる装置IDに対応付けて記憶されるシーケンス番号と、公開鍵を用いて得られた受信された認証要求に含まれるシーケンス番号とが一致する場合に、認証要求に含まれる装置識別子に対応する位置情報を取得するので、不正利用者による再送攻撃を強固に防止することが可能である。
As described above, when the
つまり、アクセスポイントは、前回送信した認証要求に含まれるシーケンス番号をインクリメントして送信し、RADIUSサーバは、前回認証許可を行ったアクセスポイントに対応するシーケンス番号をインクリメントして記憶していることとなる。例えば、不正なユーザが、アクセスポイントまたはRADIUSサーバからシーケンス番号を盗んだとしても、不正なユーザが、入手した認証要求((装置ID+シーケンス番号)+電子署名)をサーバに送信しても、すでにサーバ側のシーケンス番号がインクリメントされてしまっているため、再利用ができない。また、不正なユーザが、再送タイミングで、もしシーケンス番号を知りえたとしても、電子署名を付け直すことができないため、サーバによる署名検証で失敗する。その結果、不正利用者による再送攻撃を強固に防止することが可能である。 In other words, the access point increments and transmits the sequence number included in the authentication request transmitted last time, and the RADIUS server increments and stores the sequence number corresponding to the access point that permitted the previous authentication. Become. For example, even if an unauthorized user steals a sequence number from an access point or a RADIUS server, even if an unauthorized user sends the obtained authentication request ((device ID + sequence number) + electronic signature) to the server, Since the sequence number on the server side has been incremented, it cannot be reused. Further, even if an unauthorized user knows the sequence number at the retransmission timing, the electronic signature cannot be re-added, so the signature verification by the server fails. As a result, it is possible to firmly prevent retransmission attacks by unauthorized users.
(チャレンジレスポンスによる認証)
次に、図9を用いて、チャレンジレスポンスによる情報改ざんをさらに強固に防止する例について説明する。図9は、チャレンジレスポンスによる認証を用いた認証システムにおける処理の流れを示すシーケンス図である。
(Authentication by challenge response)
Next, an example in which information falsification due to a challenge response is more firmly prevented will be described with reference to FIG. FIG. 9 is a sequence diagram showing a flow of processing in an authentication system using authentication by challenge response.
図9に示すように、ステップS501〜ステップS506までの処理は、図8で説明したステップS401〜ステップS406と同様であるので、ここでは詳細な説明は省略する。 As shown in FIG. 9, the processing from step S501 to step S506 is the same as that from step S401 to step S406 described in FIG.
認証要求(Access-request)を受信したRADIUSサーバ30は、Access-challenge(チャレンジ)をアクセスポイント10を介して端末に送信し(ステップS507とステップS508)、端末では、このチャレンジと共有秘密鍵でレスポンスを生成してサーバも返信する(ステップS509とステップS510)、アクセスポイント10では、レスポンスを計算して、計算したレスポンスをRADIUSサーバ30に送信する(ステップS511とステップS512)。
The
すると、RADIUSサーバ30は、自装置が送信したチャレンジからレスポンスを計算し、計算したレスポンスとアクセスポイント10から受信したレスポンスとが一致するか否かにより、不正利用者からの再送攻撃でなく、正当な端末からの要求であることを確認する(ステップS513)。
Then, the
この後の署名検証、シーケンス番号確認、ロケーション情報取得、認証許可応答の処理であるステップS514〜ステップS523までの処理は、図8で説明したステップS408〜ステップS417までの処理と同様であるので、ここでは詳細な説明は省略する。 The subsequent processing from step S514 to step S523, which is the signature verification, sequence number confirmation, location information acquisition, and authentication permission response processing, is the same as the processing from step S408 to step S417 described in FIG. Detailed description is omitted here.
このように、RADIUSサーバ30は、アクセスポイント10から認証要求を受信した場合に、端末に対してチャレンジ値を送信した後に、端末から受信するレスポンス値に基づいて、不正利用者からの再送攻撃でなく、正当な端末からの要求であることを確認するので、不正利用者による再送攻撃を強固に防止することが可能である。
As described above, when the
(有効期限の判定)
次に、図10を用いて、アクセスポイント10による署名時刻から一定時間内(有効期限)に受信した認証要求か否かを判定することで、不正利用者による再送攻撃を強固に防止する例について説明する。図10は、有効期限を用いた認証システムにおける処理の流れを示すシーケンス図である。
(Determination of expiration date)
Next, with reference to FIG. 10, an example of strongly preventing a replay attack by an unauthorized user by determining whether or not the authentication request is received within a certain period of time (expiration date) from the signature time by the
図10に示すように、ステップS601〜ステップS603までの処理は、図8で説明したステップS401〜ステップS403と同様であるので、ここでは詳細な説明は省略する。 As shown in FIG. 10, the processing from step S601 to step S603 is the same as that from step S401 to step S403 described in FIG.
そして、端末から認証要求を受信したアクセスポイント10は、自装置を一意に識別する装置IDと現在時刻(署名時刻)とに電子署名を付加した位置特定情報を生成して(ステップS604)、当該位置特定情報を付加した認証要求をAccess-requestとしてRADIUS-Proxy20に送信し(ステップS605)、RADIUS-Proxy20は、アクセスポイント10から受信したAccess-requestをRADIUSサーバ30に転送する(ステップS606)。
Then, the
このようにして、認証要求(Access-request)を受信したRADIUSサーバ30は、実施例1と同様、EAPネゴシエーションにより端末との間で相互認証を行うとともに、署名検証を行う(ステップS607とステップS608)。
In this way, the
さらに、RADIUSサーバ30は、RADIUS-Proxy20から受信した認証要求に含まれる署名時刻と現在時刻との差が所定の範囲内か否かを判定する(ステップS609)。例えば、RADIUSサーバ30は、署名時刻と現在時刻との差が「5分以内」であれば有効期限範囲内、それ以外は有効期限範囲外と判定する。
Further, the
この後のロケーション情報取得、認証許可応答の処理であるステップS610〜ステップS616までの処理は、図8で説明したステップS411〜ステップS417までの処理と同様であるので、ここでは詳細な説明は省略する。 The subsequent processing from step S610 to step S616, which is the location information acquisition and authentication permission response processing, is the same as the processing from step S411 to step S417 described in FIG. To do.
このように、アクセスポイント10は、端末から認証要求を受信した場合に、装置IDと署名時刻とに電子署名を付加した位置特定情報を生成し、RADIUSサーバ30は、さらに、取得された公開鍵を用いて得られた認証要求に含まれる署名時刻と、現在時刻とを比較し、比較結果が所定の範囲内である場合に、認証要求に含まれる装置IDに対応する位置情報を位置情報DB32aから取得するので、署名時刻から時間がかかっているような不正な認証パケットを検出することが可能である。
As described above, when the
また、上記では、アクセスポイントは、署名時刻を付加して認証要求を送信し、RADIUSサーバは、受信した認証要求に付加されている署名時刻と、実際に認証要求を受信した現在時刻とを比較して、署名時刻から所定の時間内に認証要求を受信したか否かを判定する例について説明した。本発明は、この手法に限定されるものではなく、例えば、アクセスポイントは、有効期限を付加して認証要求を送信し、RADIUSサーバは、実際に認証要求を受信した現在時刻が付加されている有効期限を超過しているか否かを判定することもできる。 In the above, the access point adds the signature time and transmits the authentication request, and the RADIUS server compares the signature time added to the received authentication request with the current time when the authentication request is actually received. Thus, an example in which it is determined whether or not an authentication request has been received within a predetermined time from the signature time has been described. The present invention is not limited to this method. For example, the access point adds an expiration date and transmits an authentication request, and the RADIUS server is added with the current time when the authentication request is actually received. It can also be determined whether or not the expiration date has been exceeded.
ところで、本システムは、実施例1〜実施例3で説明したネットワーク構成以外にも様々なネットワーク構成に適用することができる。そこで、実施例4では、実施例1〜実施例3とは異なるネットワーク構成に適用した認証システムの全体構成ついて説明する。なお、ここで図示するネットワーク構成も例示であり、これに限定されるものではない。 By the way, this system can be applied to various network configurations other than the network configurations described in the first to third embodiments. Thus, in the fourth embodiment, an overall configuration of an authentication system applied to a network configuration different from that of the first to third embodiments will be described. The network configuration shown here is also an example, and the present invention is not limited to this.
(RADIUS-Proxyが存在しない場合)
まず、図11を用いて、RADIUS-Proxyが存在しない場合の例について説明する。図11に示すように、実施例4に係る認証システムは、アクセスポイントとRADIUSサーバ、ロケーション情報管理装置とがネットワーク1を介して相互に通信可能に接続されている。なお、図11は、実施例4に係る認証システムの全体構成を説明する図である。
(When RADIUS-Proxy does not exist)
First, an example in which the RADIUS-Proxy does not exist will be described using FIG. As illustrated in FIG. 11, in the authentication system according to the fourth embodiment, an access point, a RADIUS server, and a location information management device are connected to each other via a network 1 so that they can communicate with each other. FIG. 11 is a diagram illustrating the overall configuration of the authentication system according to the fourth embodiment.
このような構成の場合、実施例1とは異なり、アクセスポイントが、署名付き位置特定情報を生成して、RADIUSサーバに直接送信することとなる。この後のRADIUSサーバで実施される処理は、実施例1と同様であるので、ここでは詳細な説明は省略する。 In such a configuration, unlike the first embodiment, the access point generates signed location specifying information and transmits it directly to the RADIUS server. Subsequent processing performed by the RADIUS server is the same as that of the first embodiment, and thus detailed description thereof is omitted here.
また、図11の場合も、アクセスポイントが署名付き位置特定情報を生成して、RADIUSサーバに直接送信する点だけが実施例1〜実施例3と異なる点であるため、実施例2や実施例3で説明した様々な例についても、同様に適用することができる。 Also in the case of FIG. 11, the only difference from the first to third embodiments is that the access point generates signed location specifying information and directly transmits it to the RADIUS server. The various examples described in 3 can be similarly applied.
(RADIUS-Proxyが2装置以上存在する場合)
次に、図12を用いて、RADIUS-Proxyが2装置以上存在する場合の例について説明する。図12に示すように、実施例4に係る認証システムは、アクセスポイントとRADIUSサーバ、ロケーション情報管理装置とが複数のネットワークを介して相互に通信可能に接続されており、それぞれにネットワークにはRADIUS-Proxyが接続されている。なお、図12は、実施例4に係る認証システムの全体構成を説明する図である。
(When there are two or more RADIUS-Proxy)
Next, an example in which there are two or more RADIUS-Proxy devices will be described with reference to FIG. As shown in FIG. 12, in the authentication system according to the fourth embodiment, an access point, a RADIUS server, and a location information management device are connected via a plurality of networks so that they can communicate with each other. -Proxy is connected. FIG. 12 is a diagram illustrating the overall configuration of the authentication system according to the fourth embodiment.
このような構成の場合、アクセスポイントが、署名付き位置特定情報を生成して、RADIUS-Proxyを複数介して、RADIUSサーバに送信することとなる。この後のRADIUSサーバで実施される処理は、実施例1と同様であるので、ここでは詳細な説明は省略する。 In such a configuration, the access point generates signed location specifying information and transmits it to the RADIUS server via a plurality of RADIUS-Proxy. Subsequent processing performed by the RADIUS server is the same as that of the first embodiment, and thus detailed description thereof is omitted here.
また、この場合、それぞれのRADIUS-Proxyは、実施例1と同様、アクセスポイントから受信した認証要求(RADIUSパケット)を単に転送するように構成してもよく、実施例2と同様、署名付き位置特定情報を生成してRADIUSサーバに送信するように構成してもよい。また、図12の場合も、実施例2や実施例3で説明した様々な例についても、同様に適用することができる。 In this case, each RADIUS-Proxy may be configured to simply forward the authentication request (RADIUS packet) received from the access point as in the first embodiment. The specific information may be generated and transmitted to the RADIUS server. Also in the case of FIG. 12, the same can be applied to the various examples described in the second and third embodiments.
このように、アクセスポイントとRADIUSサーバとの間に、RADIUS-Proxyが複数台接続されていたり、複数のネットワークが接続されていたりする場合には、位置特定情報の改ざんやなりすましの危険性が高まるが、本システムを適用することで、情報改ざんを強固に防止するとともに、信用性の高いロケーション情報を取得することが可能である。また、一般的にアクセスポイントは全国に散らばって設置されるが、RADIUS-Proxyはそれらのアクセスポイントを集約させる形で設置されることとなる。そのため、アクセスポイントに署名機能を搭載するよりも、RADIUS-Proxyに機能追加した方がコストダウンに繋がるという効果も期待できる。 In this way, if multiple RADIUS-Proxy or multiple networks are connected between the access point and the RADIUS server, the risk of falsification of location information and spoofing increases. However, by applying this system, it is possible to firmly prevent information falsification and acquire highly reliable location information. In general, access points are scattered throughout the country, but the RADIUS-Proxy is installed in a form that aggregates these access points. Therefore, it can be expected that adding a function to RADIUS-Proxy will lead to cost reduction rather than installing a signature function at the access point.
実施例5では、上記した本システムを適用した様々なサービス形態について説明する。 In the fifth embodiment, various service modes to which the above-described system is applied will be described.
(ローミングサービス)
まず、図13を用いて、本システムを適用したローミングサービスの例について説明する。なお、図13は、認証システムを適用したローミングサービスの例を示す図である。
(Roaming service)
First, an example of a roaming service to which the present system is applied will be described with reference to FIG. FIG. 13 is a diagram illustrating an example of a roaming service to which the authentication system is applied.
図13には、企業間ローミングやネットワーク接続サービス間ローミングの例を示している。図13に示すように、端末装置は、当該端末装置の利用者が加入(所属)しているX社とは別のA社およびB社の管理下にある端末接続装置(アクセスポイント、RADIUSクライアント)に接続する形態を図示している。 FIG. 13 shows examples of roaming between companies and roaming between network connection services. As shown in FIG. 13, the terminal device is a terminal connection device (access point, RADIUS client managed by Company A and Company B different from Company X to which the user of the terminal device is subscribed (affiliated). ) Is illustrated.
このような場合、端末接続装置から送信された端末装置とRADIUSサーバ間の認証のためのメッセージ(認証要求、署名付き位置特定情報)は、ローミング先であるA社またはB社のRADIUSプロキシにより中継されることとなる。 In such a case, a message (authentication request, signed location specifying information) for authentication between the terminal device and the RADIUS server transmitted from the terminal connection device is relayed by the RADIUS proxy of company A or company B that is the roaming destination. Will be.
このような場合、端末接続装置とRADIUSサーバとの間に、管理会社が異なるネットワークが存在するため、位置特定情報の改ざんやなりすましの危険性が高まるが、本システムを適用することで、情報改ざんを強固に防止することが可能である。 In such a case, because there is a network with a different management company between the terminal connection device and the RADIUS server, the risk of falsification of location information and spoofing increases, but information falsification can be achieved by applying this system. Can be firmly prevented.
(広域ネットワーク接続サービス)
次に、図14を用いて、本システムを適用した広域ネットワーク接続サービスの例について説明する。なお、図14は、認証システムを適用した広域ネットワーク接続サービスの例を示す図である。
(Wide area network connection service)
Next, an example of a wide area network connection service to which the present system is applied will be described with reference to FIG. FIG. 14 is a diagram illustrating an example of a wide area network connection service to which the authentication system is applied.
図14では、多数の接続拠点を持ち、広域に展開されるネットワークサービスの例を示しており、この認証システムにおける端末接続装置(アクセスポイント、RADIUSクライアント)がWAN(Wide Area Network)に集約され、さらにそれら複数のWANが広域ネットワークに集約されているという階層構造を示している。 FIG. 14 shows an example of a network service having a large number of connection bases and deployed in a wide area. Terminal connection devices (access points, RADIUS clients) in this authentication system are aggregated in a WAN (Wide Area Network), Furthermore, a hierarchical structure in which the plurality of WANs are aggregated in a wide area network is shown.
このような構成の場合、端末装置の認証とロケーション管理とは一般的に広域ネットワーク側で実施される。また、端末装置とRADIUSサーバ間の認証のためのメッセージは、途中のRADIUSプロキシにより中継される。このような場合、中継するRADIUSプロキシ、RADIUSサーバ、端末接続装置との管理者が同一であることが多いが、このようなサービスであっても、情報改ざんを強固に防止するとともに、信用性の高いロケーション情報を取得することが可能である。 In such a configuration, authentication of the terminal device and location management are generally performed on the wide area network side. In addition, a message for authentication between the terminal device and the RADIUS server is relayed by an intermediate RADIUS proxy. In such cases, the administrator of the relaying RADIUS proxy, RADIUS server, and terminal connection device is often the same, but even with such a service, information falsification is firmly prevented and reliability is ensured. It is possible to obtain high location information.
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に示すように、(1)RADIUS-Proxyによるアクセスポイント識別手法、(2)アクセスポイントごとの認証方式、(3)RADIUS-Proxyによる不正利用者の防止、(4)電子署名付加手法、(5)認証許可応答送信タイミング、(6)システム構成等、(7)プログラムにそれぞれ区分けして異なる実施例を説明する。 Although the embodiments of the present invention have been described so far, the present invention may be implemented in various different forms other than the embodiments described above. Therefore, as shown below, (1) Access point identification method by RADIUS-Proxy, (2) Authentication method for each access point, (3) Prevention of unauthorized users by RADIUS-Proxy, (4) Digital signature addition method (5) Authentication permission response transmission timing, (6) System configuration, etc. (7) Different embodiments will be described by being divided into programs.
(1)RADIUS-Proxyによるアクセスポイント識別手法
例えば、実施例2の図6では、RADIUS-Proxyとアクセスポイントとの間において、Shared Secretで認証した結果からアクセスポイントを識別して位置特定情報を生成する場合について説明したが、本発明はこれに限定されるものではない。例えば、RADIUS-Proxyは、アクセスポイントとの間においてRADIUSプロトコルによる認証を行って、RADIUSプロトコルの信号のソースIPアドレスで識別した結果からアクセスポイントを識別して位置特定情報を生成することもできる。また、RADIUS-Proxyは、アクセスポイントが挿入するAVP(NAS-Identifier)やCalled Station−Idにより識別した結果から位置特定情報を生成することもできる。
(1) Access Point Identification Method Using RADIUS-Proxy For example, in FIG. 6 of the second embodiment, location identification information is generated by identifying an access point based on the result of authentication by Shared Secret between RADIUS-Proxy and access point. However, the present invention is not limited to this. For example, the RADIUS-Proxy can authenticate with the access point using the RADIUS protocol, identify the access point based on the result of identification with the source IP address of the RADIUS protocol signal, and generate location specifying information. The RADIUS-Proxy can also generate location specifying information from the result of identification by an AVP (NAS-Identifier) or Called Station-Id inserted by the access point.
(2)アクセスポイントごとの認証方式
また、例えば、本システムにおけるRADIUSサーバは、装置IDに対応付けて、さらに認証方式を記憶し、アクセスポイントから受信した認証要求から装置IDを取得し、取得した装置IDに対応付けて記憶される認証方式を用いて、端末の利用者が正当な利用者であるか否かを認証することもできる。このようにすることで、企業内LANに接続されていないアクセスポイントに対しては強固な認証を行い、企業内LANに接続されているアクセスポイントに対しては簡易な認証を行うなどの制御ができる。
(2) Authentication method for each access point For example, the RADIUS server in this system further stores the authentication method in association with the device ID, and acquires the device ID from the authentication request received from the access point. It is also possible to authenticate whether the user of the terminal is a valid user by using an authentication method stored in association with the device ID. By doing this, control such as strong authentication is performed for access points that are not connected to the corporate LAN, and simple authentication is performed for access points that are connected to the corporate LAN. it can.
また、RADIUSサーバは、装置IDに対応付けて複数の認証方式を記憶していてもよい。このようにすることで、ネットワークの状況(LANなのかWANなのかなど)に適した認証強度の認証方式を選択して認証することもでき、また、認証方式を端末(ユーザ)に選択させることもできる。 Further, the RADIUS server may store a plurality of authentication methods in association with the device ID. In this way, it is possible to select and authenticate an authentication method with an authentication strength suitable for the network status (LAN or WAN, etc.), and also allow the terminal (user) to select the authentication method. You can also.
(3)RADIUS-Proxyによる不正利用者の防止
また、実施例3では、アクセスポイントにおいて不正利用者による再送攻撃を強固に防止する例について説明したが、本発明はこれに限定されるものではなく、RADIUS-Proxyにおいても同様に、不正利用者による再送攻撃を強固に防止することができる。
(3) Prevention of unauthorized users by RADIUS-Proxy In the third embodiment, an example in which a retransmission attack by an unauthorized user is strongly prevented at the access point has been described. However, the present invention is not limited to this. Similarly, in the RADIUS-Proxy, it is possible to firmly prevent a replay attack by an unauthorized user.
具体的には、実施例2で説明したRADIUS-Proxyが、実施例3と同様の手法によりシーケンス番号や署名時刻の付与、または、チャレンジレスポンスを行うことにより、不正利用者による再送攻撃を強固に防止することもできる。また、システム上にRADIUS-Proxyが複数存在する場合は、それぞれのRADIUS-Proxyが上記したシーケンス番号や署名時刻の付与、または、チャレンジレスポンスを行うこともでき、いずれかのRADIUS-Proxyのみが行うようにすることもできる。 Specifically, the RADIUS-Proxy described in the second embodiment assigns a sequence number and a signature time or performs a challenge response in the same manner as in the third embodiment, thereby strengthening a retransmission attack by an unauthorized user. It can also be prevented. In addition, when there are multiple RADIUS-Proxy on the system, each RADIUS-Proxy can give the above sequence number and signature time, or can perform a challenge response, and only one of the RADIUS-Proxy performs It can also be done.
(4)電子署名付加手法
また、実施例1では、アクセスポイントが電子署名を付加し、実施例2では、RADIUS-Proxyが電子署名を付加する例について説明したが、どちらかのみが電子署名を付加できることに限定されるものではなく、アクセスポイントとRADIUS-Proxyとの両方が電子署名を付加して、認証要求をRADIUSサーバに送信することもできる。その場合、RADIUSサーバは、アクセスポイントの公開鍵(位置情報DB32a)と、RADIUS-Proxyの公開鍵(プロキシDB)との両方を記憶している。そうすることにより、情報改ざんをより強固に防止するとともに、より信用性の高いロケーション情報を取得することが可能である。
(4) Electronic Signature Adding Method In the first embodiment, an example is described in which the access point adds an electronic signature, and in the second embodiment, the RADIUS-Proxy adds an electronic signature. However, only one of them adds an electronic signature. The access point and the RADIUS-Proxy can both add an electronic signature and send an authentication request to the RADIUS server. In this case, the RADIUS server stores both the access point public key (location information DB 32a) and the RADIUS-Proxy public key (proxy DB). By doing so, it is possible to more firmly prevent location information alteration and obtain more reliable location information.
また、複数のRADIUS-Proxyが存在する場合には、全てのRADIUS-Proxyが電子署名を付加してもよいし、いずれかのRADIUS-Proxyのみが電子署名を付加してもよく、電子署名を付加するRADIUS-Proxyについては任意に設定することができる。例えば、3台のRADIUS-Proxyが存在し、全てのRADIUS-Proxyが電子署名を付加する場合、RADIUSサーバは、全てのRADIUS-Proxyに対応する公開鍵を保持しておくことにより、付加された電子署名が正当な署名であるか否かを検証することができる。また、例えば、RADIUSサーバは、全てのRADIUS-Proxyに対応する公開鍵を保持しておくことで、3台のRADIUS-Proxyのうち2台だけが電子署名を付加した場合であっても、付加された電子署名が正当な署名であるか否かを検証することができる。 Also, when there are multiple RADIUS-Proxy, all RADIUS-Proxy may add an electronic signature, or only one of the RADIUS-Proxy may add an electronic signature. The added RADIUS-Proxy can be set arbitrarily. For example, if there are three RADIUS-Proxy and all RADIUS-Proxy adds an electronic signature, the RADIUS server is added by keeping the public key corresponding to all RADIUS-Proxy. It is possible to verify whether the electronic signature is a valid signature. In addition, for example, the RADIUS server holds public keys corresponding to all RADIUS-Proxy, so even if only two of the three RADIUS-Proxy add a digital signature It is possible to verify whether or not the digital signature is a valid signature.
(5)認証許可応答送信タイミング
また、実施例1〜3では、RADIUSサーバは、ロケーション情報格納完了通知をロケーション情報管理装置40から受信した場合に、認証許可応答を示すRADIUSパケットを応答するとしたが、本発明はこれに限定されるものではない。例えば、RADIUSサーバは、取得したロケーション情報をロケーション情報管理装置に送信した時点で、当該ロケーション情報に対応する端末Aやアクセスポイント10に対して、認証許可応答を示すRADIUSパケットを応答してもよい。
(5) Authentication permission response transmission timing In the first to third embodiments, when the RADIUS server receives a location information storage completion notification from the location
(6)システム構成等
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて、当該装置やシステムの管理者により任意に設定することができる。
(6) System configuration etc. In addition, among the processes described in the present embodiment, all or a part of the processes described as being automatically performed can be manually performed or manually performed. All or a part of the processing described as a thing can also be automatically performed by a known method. In addition, the processing procedures, control procedures, specific names, and information including various data and parameters shown in the above documents and drawings are arbitrarily determined by the administrator of the device or system unless otherwise specified. Can be set.
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合(例えば、アクセスポイントの接続制御部と認証要求部とを統合するなど)して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。 Each component of each illustrated device is functionally conceptual and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. It can be configured by integrating (for example, integrating a connection control unit and an authentication request unit of an access point). Further, all or any part of each processing function performed in each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as hardware by wired logic.
(7)プログラム
なお、本実施例で説明した認証制御方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
(7) Program The authentication control method described in the present embodiment can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. This program can be distributed via a network such as the Internet. The program can also be executed by being recorded on a computer-readable recording medium such as a hard disk, a flexible disk (FD), a CD-ROM, an MO, and a DVD and being read from the recording medium by the computer.
以上のように、本発明に係る認証システム、接続制御装置、認証装置および転送装置は、利用者が利用する利用者端末がネットワークに接続するのに際して、当該利用者端末の認証に有用であり、特に、情報改ざんを防止するとともに、信用性の高いロケーション情報を取得することに適する。 As described above, the authentication system, the connection control device, the authentication device, and the transfer device according to the present invention are useful for authentication of the user terminal when the user terminal used by the user connects to the network, In particular, it is suitable for preventing falsification of information and acquiring highly reliable location information.
10 アクセスポイント
11 無線通信制御I/F部
12 通信制御I/F部
15 記憶部
15a 装置ID
16 制御部
16a 接続制御部
16b 情報生成部
16c 認証要求部
20 RADIUS-Proxy
30 RADIUSサーバ
31 通信制御I/F部
32 記憶部
32a 位置情報DB
33 制御部
33a 利用者認証部
33b 電子署名検証部
33c 位置情報取得部
40 ロケーション情報管理装置
41 通信制御I/F部
42 記憶部
42a ロケーション情報DB
43 制御部
43a 応答部
10
16 Control Unit 16a Connection Control Unit 16b Information Generation Unit 16c
30
33 control unit 33a user authentication unit 33b electronic signature verification unit 33c location
43
Claims (14)
前記接続制御装置は、
前記利用者端末から認証要求を受信した場合に、自装置を一意に識別する識別子に電子署名を付加した位置特定情報を生成する位置特定情報生成手段と、
前記位置特定情報生成手段により生成された位置特定情報を前記認証要求に付加して前記認証装置に送信する認証要求手段と、を備え
前記認証装置は、
前記接続制御装置に接続される利用者端末の利用者に対応付けて、当該利用者端末が接続される接続制御装置の位置情報を記憶する利用者情報記憶手段と、
前記接続制御装置の識別子に対応付けて、前記接続制御装置の公開鍵と位置情報とを記憶する制御装置情報記憶手段と、
前記接続制御装置から受信した認証要求に基づいて、前記利用者端末の利用者が正当な利用者であるか否かを認証する利用者認証手段と、
前記接続制御装置から受信した認証要求から検出した識別子に対応する公開鍵を前記制御装置情報記憶手段から取得し、取得した公開鍵を用いて、前記受信した認証要求に付加されている電子署名が正当な情報であるか否かを検証する電子署名検証手段と、
前記利用者認証手段により前記利用者端末の利用者が正当な利用者であると判定され、かつ、前記電子署名検証手段により前記電子署名が正当な情報であると検証された場合に、前記認証要求に含まれる識別子に対応する位置情報を前記制御装置情報記憶手段から取得し、取得した位置情報と、前記認証要求に基づいて特定した利用者とを対応付けて前記利用者情報記憶手段に格納する位置情報格納手段と、
を備えたことを特徴とする認証システム。 When a user terminal used by a user connects to a network, a connection control device that requests the authentication device to authenticate the user, and authentication that authenticates the user in response to an authentication request from the connection control device An authentication system comprising a device,
The connection control device includes:
Position specifying information generating means for generating position specifying information in which an electronic signature is added to an identifier for uniquely identifying the own device when an authentication request is received from the user terminal;
Authentication request means for adding the position specifying information generated by the position specifying information generating means to the authentication request and transmitting it to the authentication apparatus, the authentication apparatus comprising:
User information storage means for storing location information of the connection control device to which the user terminal is connected in association with the user of the user terminal connected to the connection control device;
Control device information storage means for storing a public key and position information of the connection control device in association with the identifier of the connection control device;
User authentication means for authenticating whether or not the user of the user terminal is a valid user based on the authentication request received from the connection control device;
A public key corresponding to the identifier detected from the authentication request received from the connection control device is acquired from the control device information storage means, and an electronic signature added to the received authentication request is acquired using the acquired public key. An electronic signature verification means for verifying whether the information is legitimate,
When the user authentication means determines that the user of the user terminal is a valid user and the electronic signature verification means verifies that the electronic signature is valid information, the authentication is performed. Position information corresponding to an identifier included in the request is acquired from the control device information storage unit, and the acquired position information and the user specified based on the authentication request are associated with each other and stored in the user information storage unit Position information storage means for
An authentication system characterized by comprising:
利用者が利用する利用者端末がネットワークに接続するのに際して、当該利用者の認証を認証装置に要求する接続制御装置と、前記接続制御装置から送信された認証要求を認証装置に転送する転送装置と、前記転送装置から受信した認証要求に応じて前記利用者を認証する認証装置とから構成される認証システムであって、
前記接続制御装置は、
前記利用者端末から認証要求を受信した場合に、自装置を一意に識別する識別子を前記認証要求に付加して前記転送装置に送信する認証要求手段と、を備え
前記転送装置は、
前記接続制御装置の識別子に対応付けて、前記接続制御装置の位置情報を記憶する位置情報記憶手段と、
前記接続制御装置から認証要求を受信した場合に、当該認証要求に含まれる識別子に対応する位置情報を前記位置情報記憶手段から取得する位置情報取得手段と、
前記位置情報取得手段により取得された位置情報に電子署名を付加した位置特定情報を生成し、生成した位置特定情報を前記接続制御装置から受信した認証要求に付加して認証装置に転送する転送手段と、を備え、
前記認証装置は、
前記接続制御装置に接続される利用者端末の利用者に対応付けて、当該利用者端末が接続される接続制御装置の位置情報を記憶する利用者情報記憶手段と、
前記転送装置に対応付けて、前記転送装置の公開鍵を記憶する転送装置情報記憶手段と、
前記転送装置から受信した認証要求に基づいて、前記利用者端末の利用者が正当な利用者であるか否かを認証する利用者認証手段と、
前記転送装置から認証要求を受信した場合に、当該認証要求に基づいて転送装置を特定し、特定した転送装置に対応する公開鍵を前記転送装置情報記憶手段から取得して、取得した公開鍵を用いて、前記認証要求に付加されている電子署名が正当な情報であるか否かを検証する電子署名検証手段と、
前記利用者認証手段により前記利用者端末の利用者が正当な利用者であると判定され、かつ、前記電子署名検証手段により前記電子署名が正当な情報であると検証された場合に、前記認証要求から取得した位置情報と、前記認証要求に基づいて特定した利用者とを対応付けて前記利用者情報記憶手段に格納する位置情報格納手段と、
を備えたことを特徴とする認証システム。 (The proxy adds the electronic signature and transfers it)
When a user terminal used by a user connects to a network, a connection control device that requests the authentication device to authenticate the user, and a transfer device that transfers the authentication request transmitted from the connection control device to the authentication device And an authentication system configured to authenticate the user in response to an authentication request received from the transfer device,
The connection control device includes:
An authentication request unit that, when receiving an authentication request from the user terminal, adds an identifier for uniquely identifying its own device to the authentication request and transmits the authentication request to the transfer device, the transfer device comprising:
Position information storage means for storing position information of the connection control device in association with the identifier of the connection control device;
Position information acquisition means for acquiring position information corresponding to an identifier included in the authentication request from the position information storage means when an authentication request is received from the connection control device;
Transfer means for generating position specifying information by adding an electronic signature to the position information acquired by the position information acquiring means, and adding the generated position specifying information to the authentication request received from the connection control device and transferring it to the authentication device And comprising
The authentication device
User information storage means for storing location information of the connection control device to which the user terminal is connected in association with the user of the user terminal connected to the connection control device;
Transfer device information storage means for storing a public key of the transfer device in association with the transfer device;
User authentication means for authenticating whether or not the user of the user terminal is a valid user based on the authentication request received from the transfer device;
When an authentication request is received from the transfer device, the transfer device is specified based on the authentication request, a public key corresponding to the specified transfer device is acquired from the transfer device information storage unit, and the acquired public key is An electronic signature verification means for verifying whether the electronic signature added to the authentication request is valid information;
When the user authentication means determines that the user of the user terminal is a valid user and the electronic signature verification means verifies that the electronic signature is valid information, the authentication is performed. Position information storage means for storing the position information acquired from the request in association with the user specified based on the authentication request in the user information storage means;
An authentication system characterized by comprising:
前記認証装置は、前記接続制御装置の識別子に対応付けて、前記接続制御装置の公開鍵を記憶する制御装置情報記憶手段をさらに備え、
前記接続制御装置の認証要求手段は、前記利用者端末から認証要求を受信した場合に、自装置を一意に識別する識別子に電子署名を付加した位置特定情報を生成し、
前記認証装置の電子署名検証手段は、前記転送装置から認証要求を受信した場合に、当該認証要求から検出した識別子に対応する公開鍵を前記制御装置情報記憶手段から取得し、取得した公開鍵を用いて、前記受信した認証要求に付加されている前記接続制御装置の電子署名が正当な情報であるか否かをさらに検証することを特徴とする請求項2に記載の認証システム。 (Access points also transfer with an electronic signature)
The authentication device further includes a control device information storage unit that stores a public key of the connection control device in association with an identifier of the connection control device,
When the authentication request means of the connection control device receives an authentication request from the user terminal, it generates location specifying information with an electronic signature added to an identifier that uniquely identifies the device,
When receiving an authentication request from the transfer device, the electronic signature verification unit of the authentication device acquires a public key corresponding to the identifier detected from the authentication request from the control device information storage unit, and acquires the acquired public key. 3. The authentication system according to claim 2, wherein the authentication system further verifies whether or not the electronic signature of the connection control device added to the received authentication request is valid information.
前記転送装置は、前記接続制御装置から識別子が付加されていない認証要求を受信した場合に、当該認証要求を送信した接続制御装置との間で、当該接続制御装置と共通に保持する共通鍵を用いて認証処理を実施することで、当該接続制御装置を特定する特定手段をさらに備え、
前記転送装置の位置情報取得手段は、前記接続制御装置から識別子が付加されていない認証要求を受信した場合に、前記特定手段により特定された識別子に対応する位置情報を前記位置情報記憶手段から取得することを特徴とする請求項2または3に記載の認証システム。 (Identify the access point by Shared Secret)
When the transfer device receives an authentication request without an identifier from the connection control device, the transfer device uses a common key held in common with the connection control device with the connection control device that transmitted the authentication request. By using the authentication process by using, further comprising a specifying means for specifying the connection control device,
The location information acquisition unit of the transfer device acquires, from the location information storage unit, location information corresponding to the identifier specified by the specification unit when receiving an authentication request without an identifier added from the connection control device. The authentication system according to claim 2 or 3, wherein:
前記認証装置の制御装置情報記憶手段は、前記接続制御装置に対応付けて、前記位置情報格納手段によりインクリメントされるシーケンス番号をさらに記憶するものであって、
前記接続制御装置の位置特定情報生成手段は、前記利用者端末から認証要求を受信した場合に、前記識別子と前記インクリメントしたシーケンス番号に電子署名を付加した位置特定情報を生成し、
前記認証装置の位置情報格納手段は、前記電子署名検証手段により検出された識別子に対応付けて前記制御装置情報記憶手段に記憶されるシーケンス番号と、前記電子署名検証手段により取得された公開鍵を用いて前記認証要求から得られたシーケンス番号とが一致する場合に、前記取得した位置情報に対応付けて前記制御装置情報記憶手段に記憶されるシーケンス番号をインクリメントして、前記識別子に対応する位置情報を取得し、取得した位置情報と前記特定した利用者とを対応付けて前記利用者情報記憶手段に格納することを特徴とする請求項1または3に記載の認証システム。 (Sequence number: Processing at the access point)
The control device information storage means of the authentication device further stores a sequence number incremented by the position information storage means in association with the connection control device,
The location specifying information generating means of the connection control device generates location specifying information in which an electronic signature is added to the identifier and the incremented sequence number when an authentication request is received from the user terminal,
The location information storage unit of the authentication device includes a sequence number stored in the control device information storage unit in association with the identifier detected by the electronic signature verification unit, and a public key acquired by the electronic signature verification unit. A position corresponding to the identifier by incrementing a sequence number stored in the control device information storage means in association with the acquired position information when the sequence number obtained from the authentication request is matched with The authentication system according to claim 1 or 3, wherein information is acquired, and the acquired position information and the specified user are stored in the user information storage unit in association with each other.
前記接続制御装置は、前記認証装置からチャレンジ値を受信した場合に、前記認証装置との間で共有に保持する共有鍵を用いて、レスポンス値を応答する応答手段と、
前記認証装置は、前記電子署名検証手段により検出された識別子に対応する接続制御装置に対してチャレンジ値を送信し、前記接続制御装置からレスポンス値を受信した場合に、前記共有鍵を用いて当該レスポンス値が正当な値か否かを判定する判定手段と、をさらに備え、
前記認証装置の位置情報格納手段は、さらに、前記判定手段により受信されたレスポンス値が正当なレスポンス値であると判定された場合に、前記識別子に対応する位置情報を取得し、取得した位置情報と前記特定した利用者とを対応付けて前記利用者情報記憶手段に格納することを特徴とする請求項1または3に記載の認証システム。 (Challenge response: Processing at the access point)
The connection control device, when receiving a challenge value from the authentication device, using a shared key held in common with the authentication device, a response means for responding a response value;
When the authentication device transmits a challenge value to the connection control device corresponding to the identifier detected by the electronic signature verification means and receives a response value from the connection control device, the authentication device uses the shared key to Determination means for determining whether or not the response value is a valid value,
The position information storage means of the authentication device further acquires position information corresponding to the identifier when the response value received by the determination means is determined to be a valid response value, and the acquired position information 4. The authentication system according to claim 1, wherein the identified user is stored in the user information storage unit in association with each other.
前記接続制御装置の認証要求手段は、前記電子署名を付加した署名時刻をさらに前記認証要求に付加して前記転送装置に送信し、
前記認証装置の位置情報格納手段は、さらに、前記電子署名検証手段により取得された署名時刻と現在時刻とを比較し、比較結果が所定の範囲内である場合に、前記識別子に対応する位置情報を取得し、取得した位置情報と前記特定した利用者とを対応付けて前記利用者情報記憶手段に格納することを特徴とする請求項1または3に記載の認証システム。 (Expiration date: Processing at the access point)
The authentication request means of the connection control device further adds a signature time to which the electronic signature is added to the authentication request and transmits it to the transfer device,
The location information storage means of the authentication device further compares the signature time acquired by the electronic signature verification means with the current time, and if the comparison result is within a predetermined range, the location information corresponding to the identifier The authentication system according to claim 1, wherein the acquired position information and the specified user are associated with each other and stored in the user information storage unit.
前記認証装置の転送装置情報記憶手段は、前記転送装置に対応付けて、前記位置情報格納手段によりインクリメントされるシーケンス番号をさらに記憶するものであって、
前記転送装置の転送手段は、前記位置情報にインクリメントしたシーケンス番号と電子署名を付加して認証装置に転送し、
前記認証装置の位置情報格納手段は、前記電子署名検証手段により特定された転送装置に対応付けて前記転送装置情報記憶手段に記憶されるシーケンス番号と、前記電子署名検証手段により取得された公開鍵を用いて前記認証要求から得られたシーケンス番号とが一致する場合に、前記認証要求を送信した転送装置に対応付けて前記転送装置情報記憶手段に記憶されるシーケンス番号をインクリメントして、前記認証要求から取得した位置情報と前記認証要求に基づいて特定した利用者とを対応付けて前記利用者情報記憶手段に格納することを特徴とする請求項2に記載の認証システム。 (Sequence number: Processing in proxy)
The transfer device information storage means of the authentication device further stores a sequence number incremented by the position information storage means in association with the transfer device,
The transfer means of the transfer device adds an incremented sequence number and an electronic signature to the position information and transfers it to the authentication device,
The location information storage unit of the authentication device includes a sequence number stored in the transfer device information storage unit in association with the transfer device specified by the electronic signature verification unit, and a public key acquired by the electronic signature verification unit And the sequence number obtained from the authentication request is used to increment the sequence number stored in the transfer device information storage means in association with the transfer device that transmitted the authentication request, and The authentication system according to claim 2, wherein the location information acquired from the request and the user specified based on the authentication request are associated with each other and stored in the user information storage unit.
前記転送装置は、前記認証装置からチャレンジ値を受信した場合に、前記認証装置との間で共有に保持する共有鍵を用いて、レスポンス値を応答する応答手段と、
前記認証装置は、前記電子署名検証手段により特定された転送装置に対してチャレンジ値を送信し、前記転送装置からレスポンス値を受信した場合に、前記共有鍵を用いて当該レスポンス値が正当な値か否かを判定する判定手段と、をさらに備え、
前記認証装置の位置情報格納手段は、さらに、前記判定手段により受信されたレスポンス値が正当なレスポンス値であると判定された場合に、前記認証要求から取得した位置情報と前記認証要求に基づいて特定した利用者とを対応付けて前記利用者情報記憶手段に格納することを特徴とする請求項2に記載の認証システム。 (Challenge response: proxy processing)
The transfer device, when receiving a challenge value from the authentication device, using a shared key held in common with the authentication device, a response means for responding a response value;
The authentication device transmits a challenge value to the transfer device specified by the electronic signature verification means, and when the response value is received from the transfer device, the response value is a valid value using the shared key. Determination means for determining whether or not,
The position information storage unit of the authentication device further includes, based on the position information acquired from the authentication request and the authentication request, when the response value received by the determination unit is determined to be a valid response value. The authentication system according to claim 2, wherein the identified user is stored in the user information storage unit in association with the specified user.
前記転送装置の転送手段は、前記接続制御装置から認証要求を受信した場合に、署名時刻に電子署名を付加した位置特定情報を生成し、
前記認証装置の位置情報取得手段は、さらに、前記電子署名検証手段により取得された署名時刻と現在時刻とを比較し、比較結果が所定の範囲内である場合に、前記識別子に対応する位置情報を取得し、取得した位置情報と前記特定した利用者とを対応付けて前記利用者情報記憶手段に格納することを特徴とする請求項2に記載の認証システム。 (Expiration date: Processing by proxy)
When the transfer unit of the transfer device receives an authentication request from the connection control device, it generates location specifying information with an electronic signature added to the signature time,
The location information acquisition unit of the authentication device further compares the signature time acquired by the electronic signature verification unit with the current time, and if the comparison result is within a predetermined range, the location information corresponding to the identifier The authentication system according to claim 2, wherein the acquired location information and the specified user are stored in the user information storage unit in association with each other.
前記認証装置は、前記接続制御装置の識別子に対応付けて、前記接続制御装置との間で実施する認証方式を記憶する認証方式記憶手段をさらに備え、
前記認証装置の利用者認証手段は、前記電子署名検証手段により検出された識別子に対応付けて前記認証方式記憶手段に記憶される認証方式を用いて、前記利用者端末の利用者が正当な利用者であるか否かを認証することを特徴とする請求項1〜10のいずれか一つに記載の認証システム。 (Authentication method)
The authentication device further includes an authentication method storage unit that stores an authentication method performed with the connection control device in association with the identifier of the connection control device,
The user authentication unit of the authentication apparatus uses the authentication method stored in the authentication method storage unit in association with the identifier detected by the electronic signature verification unit, and the user of the user terminal uses the The authentication system according to claim 1, wherein the authentication system authenticates whether the user is a person.
利用者が利用する利用者端末がネットワークに接続するのに際して、当該利用者の認証を認証装置に要求する接続制御装置と、前記接続制御装置からの認証要求に応じて前記利用者を認証する認証装置とから構成される認証システムにおける前記接続制御装置であって、
前記利用者端末から認証要求を受信した場合に、自装置を一意に識別する識別子に電子署名を付加した位置特定情報を生成する位置特定情報生成手段と、
前記位置特定情報生成手段により生成された位置特定情報を前記認証要求に付加して前記認証装置に送信する認証要求手段と、
を備えたことを特徴とする接続制御装置。 (Claim of connection control device)
When a user terminal used by a user connects to a network, a connection control device that requests the authentication device to authenticate the user, and authentication that authenticates the user in response to an authentication request from the connection control device A connection control device in an authentication system comprising a device,
Position specifying information generating means for generating position specifying information in which an electronic signature is added to an identifier for uniquely identifying the own device when an authentication request is received from the user terminal;
Authentication request means for adding the position specifying information generated by the position specifying information generating means to the authentication request and transmitting it to the authentication device;
A connection control device comprising:
利用者が利用する利用者端末がネットワークに接続するのに際して、当該利用者の認証を認証装置に要求する接続制御装置と、前記接続制御装置からの認証要求に応じて前記利用者を認証する認証装置とから構成される認証システムにおける前記認証装置であって、
前記接続制御装置に接続される利用者端末の利用者に対応付けて、当該利用者端末が接続される接続制御装置の位置情報を記憶する利用者情報記憶手段と、
前記接続制御装置の識別子に対応付けて、前記接続制御装置の公開鍵と位置情報とを記憶する制御装置情報記憶手段と、
前記接続制御装置から受信した認証要求に基づいて、前記利用者端末の利用者が正当な利用者であるか否かを認証する利用者認証手段と、
前記接続制御装置から受信した認証要求から検出した識別子に対応する公開鍵を前記制御装置情報記憶手段から取得し、取得した公開鍵を用いて、前記受信した認証要求に付加されている電子署名が正当な情報であるか否かを検証する電子署名検証手段と、
前記利用者認証手段により前記利用者端末の利用者が正当な利用者であると判定され、かつ、前記電子署名検証手段により前記電子署名が正当な情報であると検証された場合に、前記認証要求に含まれる識別子に対応する位置情報を前記制御装置情報記憶手段から取得し、取得した位置情報と、前記認証要求に基づいて特定した利用者とを対応付けて前記利用者情報記憶手段に格納する位置情報格納手段と、
を備えたことを特徴とする認証装置。 (Device claim of authentication device)
When a user terminal used by a user connects to a network, a connection control device that requests the authentication device to authenticate the user, and authentication that authenticates the user in response to an authentication request from the connection control device An authentication device in an authentication system comprising a device,
User information storage means for storing location information of the connection control device to which the user terminal is connected in association with the user of the user terminal connected to the connection control device;
Control device information storage means for storing a public key and position information of the connection control device in association with the identifier of the connection control device;
User authentication means for authenticating whether or not the user of the user terminal is a valid user based on the authentication request received from the connection control device;
A public key corresponding to the identifier detected from the authentication request received from the connection control device is acquired from the control device information storage means, and an electronic signature added to the received authentication request is acquired using the acquired public key. An electronic signature verification means for verifying whether the information is legitimate,
When the user authentication means determines that the user of the user terminal is a valid user and the electronic signature verification means verifies that the electronic signature is valid information, the authentication is performed. Position information corresponding to an identifier included in the request is acquired from the control device information storage unit, and the acquired position information and the user specified based on the authentication request are associated with each other and stored in the user information storage unit Position information storage means for
An authentication apparatus comprising:
利用者が利用する利用者端末がネットワークに接続するのに際して、当該利用者の認証を認証装置に要求する接続制御装置と、前記接続制御装置から送信された認証要求を認証装置に転送する転送装置と、前記転送装置から受信した認証要求に応じて前記利用者を認証する認証装置とから構成される認証システムにおける転送装置であって、
前記接続制御装置の識別子に対応付けて、前記接続制御装置の位置情報を記憶する位置情報記憶手段と、
前記接続制御装置から認証要求を受信した場合に、当該認証要求に含まれる識別子に対応する位置情報を前記位置情報記憶手段から取得する位置情報取得手段と、
前記位置情報取得手段により取得された位置情報に電子署名を付加した位置特定情報を生成し、生成した位置特定情報を前記接続制御装置から受信した認証要求に付加して認証装置に転送する転送手段と、
を備えたことを特徴とする転送装置。 (Transfer device claim)
When a user terminal used by a user connects to a network, a connection control device that requests the authentication device to authenticate the user, and a transfer device that transfers the authentication request transmitted from the connection control device to the authentication device And a transfer device in an authentication system comprising an authentication device that authenticates the user in response to an authentication request received from the transfer device,
Position information storage means for storing position information of the connection control device in association with the identifier of the connection control device;
Position information acquisition means for acquiring position information corresponding to an identifier included in the authentication request from the position information storage means when an authentication request is received from the connection control device;
Transfer means for generating position specifying information by adding an electronic signature to the position information acquired by the position information acquiring means, and adding the generated position specifying information to the authentication request received from the connection control device and transferring it to the authentication device When,
A transfer device comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008207416A JP4987820B2 (en) | 2008-08-11 | 2008-08-11 | Authentication system, connection control device, authentication device, and transfer device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008207416A JP4987820B2 (en) | 2008-08-11 | 2008-08-11 | Authentication system, connection control device, authentication device, and transfer device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010045542A true JP2010045542A (en) | 2010-02-25 |
| JP4987820B2 JP4987820B2 (en) | 2012-07-25 |
Family
ID=42016571
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008207416A Expired - Fee Related JP4987820B2 (en) | 2008-08-11 | 2008-08-11 | Authentication system, connection control device, authentication device, and transfer device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4987820B2 (en) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012175313A (en) * | 2011-02-21 | 2012-09-10 | Kddi Corp | Presence certification system, presence certification method, and program |
| WO2013179854A1 (en) * | 2012-05-30 | 2013-12-05 | クラリオン株式会社 | Authentication device and authentication program |
| JP2015222552A (en) * | 2014-05-23 | 2015-12-10 | 三菱電機ビルテクノサービス株式会社 | Authentication system, authentication server, device, and program |
| JP2016513317A (en) * | 2013-02-06 | 2016-05-12 | アップル インコーポレイテッド | Apparatus and method for secure element transaction and asset management |
| JPWO2014010050A1 (en) * | 2012-07-11 | 2016-06-20 | パイオニア株式会社 | Information updating system and method, automobile, charger, and server device |
| JP2016535547A (en) * | 2013-09-12 | 2016-11-10 | ザ・ボーイング・カンパニーThe Boeing Company | Method for authenticating operations performed on a subject computing device |
| CN111630812A (en) * | 2018-01-15 | 2020-09-04 | 三菱日立电力系统株式会社 | Remote service system |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008530919A (en) * | 2005-02-21 | 2008-08-07 | 西安西▲電▼捷通▲無▼綫▲網▼絡通信有限公司 | Access authentication method suitable for wired and wireless networks |
| JP2008283495A (en) * | 2007-05-10 | 2008-11-20 | Nippon Telegr & Teleph Corp <Ntt> | System and method for packet transfer |
-
2008
- 2008-08-11 JP JP2008207416A patent/JP4987820B2/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008530919A (en) * | 2005-02-21 | 2008-08-07 | 西安西▲電▼捷通▲無▼綫▲網▼絡通信有限公司 | Access authentication method suitable for wired and wireless networks |
| JP2008283495A (en) * | 2007-05-10 | 2008-11-20 | Nippon Telegr & Teleph Corp <Ntt> | System and method for packet transfer |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012175313A (en) * | 2011-02-21 | 2012-09-10 | Kddi Corp | Presence certification system, presence certification method, and program |
| US9621531B2 (en) | 2012-05-30 | 2017-04-11 | Clarion Co., Ltd. | Authentication device and authentication program |
| JP2013250640A (en) * | 2012-05-30 | 2013-12-12 | Clarion Co Ltd | Authentication device and authentication program |
| CN104350502A (en) * | 2012-05-30 | 2015-02-11 | 歌乐株式会社 | Authentication device and authentication program |
| WO2013179854A1 (en) * | 2012-05-30 | 2013-12-05 | クラリオン株式会社 | Authentication device and authentication program |
| JPWO2014010050A1 (en) * | 2012-07-11 | 2016-06-20 | パイオニア株式会社 | Information updating system and method, automobile, charger, and server device |
| JP2016513317A (en) * | 2013-02-06 | 2016-05-12 | アップル インコーポレイテッド | Apparatus and method for secure element transaction and asset management |
| US9619799B2 (en) | 2013-02-06 | 2017-04-11 | Apple Inc. | Apparatus and methods for secure element transactions and management of assets |
| US11068883B2 (en) | 2013-02-06 | 2021-07-20 | Apple Inc. | Apparatus and methods for secure element transactions and management of assets |
| JP2016535547A (en) * | 2013-09-12 | 2016-11-10 | ザ・ボーイング・カンパニーThe Boeing Company | Method for authenticating operations performed on a subject computing device |
| JP2015222552A (en) * | 2014-05-23 | 2015-12-10 | 三菱電機ビルテクノサービス株式会社 | Authentication system, authentication server, device, and program |
| CN111630812A (en) * | 2018-01-15 | 2020-09-04 | 三菱日立电力系统株式会社 | Remote service system |
| CN111630812B (en) * | 2018-01-15 | 2023-03-28 | 三菱重工业株式会社 | Remote service system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4987820B2 (en) | 2012-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4801147B2 (en) | Method, system, network node and computer program for delivering a certificate | |
| JP4777729B2 (en) | Setting information distribution apparatus, method, program, and medium | |
| CN107409137B (en) | For using application specific network insertion voucher to the device and method by guarantee connectivity of wireless network | |
| CN107409136B (en) | For using application specific network insertion voucher to the device and method by guarantee connectivity of wireless network | |
| US20180167812A1 (en) | Wireless network authorization using a trusted authenticator | |
| US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| JP5688087B2 (en) | Method and apparatus for reliable authentication and logon | |
| KR20180095873A (en) | Wireless network access method and apparatus, and storage medium | |
| JP4987820B2 (en) | Authentication system, connection control device, authentication device, and transfer device | |
| WO2013056674A1 (en) | Centralized security management method and system for third party application and corresponding communication system | |
| KR20120091635A (en) | Authentication method and apparatus in wireless communication system | |
| JP2006351009A (en) | Communication method through untrusted access station | |
| JP2006086907A (en) | Setting information distribution device and method, program, medium, and setting information receiving program | |
| JP4870427B2 (en) | Digital certificate exchange method, terminal device, and program | |
| WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| JP4906581B2 (en) | Authentication system | |
| CN101771722B (en) | System and method for WAPI terminal to access Web application site | |
| JP4019266B2 (en) | Data transmission method | |
| JP2009217722A (en) | Authentication processing system, authentication device, management device, authentication processing method, authentication processing program and management processing program | |
| US11146536B2 (en) | Method and a system for managing user identities for use during communication between two web browsers | |
| KR101692161B1 (en) | System and method for authorization using beacon transmitter and one-time password | |
| CN108183925B (en) | IoT-based narrowband communication method | |
| JPWO2014207929A1 (en) | Information processing apparatus, terminal, information processing system, and information processing method | |
| JP2007310619A (en) | Authentication method and authentication system using the same | |
| JP4793024B2 (en) | User authentication method, authentication server and system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110520 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110520 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120424 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120425 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4987820 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150511 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |