JP2010231396A - Communication system, communication device and authentication device - Google Patents

Communication system, communication device and authentication device Download PDF

Info

Publication number
JP2010231396A
JP2010231396A JP2009076870A JP2009076870A JP2010231396A JP 2010231396 A JP2010231396 A JP 2010231396A JP 2009076870 A JP2009076870 A JP 2009076870A JP 2009076870 A JP2009076870 A JP 2009076870A JP 2010231396 A JP2010231396 A JP 2010231396A
Authority
JP
Japan
Prior art keywords
authentication
communication device
specific information
communication
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009076870A
Other languages
Japanese (ja)
Inventor
Osamu Hiroki
修 廣木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Networks Co Ltd
Original Assignee
Oki Networks Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Networks Co Ltd filed Critical Oki Networks Co Ltd
Priority to JP2009076870A priority Critical patent/JP2010231396A/en
Publication of JP2010231396A publication Critical patent/JP2010231396A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To restrict a use place of a communication device to be connected to a connection destination network at low cost. <P>SOLUTION: This communication system includes the communication device, and an authentication device performing authentication related to whether or not to connect the communication device to the connection destination network. The communication device has: a means generating position peculiar information related to an installed position based on peripheral communication device identification information; and a means imparting at least the position peculiar information when requesting the authentication from the authentication device. The authentication device has: a means storing position peculiar information related to a position for performing the authentication wherein the connection to the connection destination network is permitted to the communication device; and a means deciding an authentication result based on at least a collation result of the position peculiar information when the authentication is requested from the communication device. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、通信システム、通信装置及び認証装置に関し、例えば、通信端末を収容して接続先のネットワークに接続させるリモートアクセスポイントに適用し得る。   The present invention relates to a communication system, a communication apparatus, and an authentication apparatus, and can be applied to, for example, a remote access point that accommodates a communication terminal and connects it to a connection destination network.

例えば、外出先等からクライアント端末を接続先のネットワーク(例えば、社内ネットワーク)にリモートアクセスさせるための通信装置(例えば、リモートアクセスポイント装置)は、社外の不特定の場所で使用される可能性があり、セキュリティの面から使用場所を限定(例.在宅勤務用途につき使用する場所を社員の自宅に制限)し使用の制限をさせる企業がある。   For example, a communication device (for example, a remote access point device) for remotely accessing a client terminal from a destination or the like to a connection destination network (for example, an in-house network) may be used in an unspecified location outside the company. There are companies that restrict the use by restricting the use location from the viewpoint of security (eg, restricting the use location for telecommuting use to the employee's home).

従来のリモートアクセスの使用場所を制限する方式としては、例えば、特許文献1に記載されている認証方法が挙げられる。特許文献1においては、クライアント端末(個人認証装置)の使用場所を特定し使用場所の制限をするために、GPS(Global Positioning System)受信機を内蔵、もしくはGPS接続インタフェースを具備しGPS受信機を接続して、クライアント端末の位置情報をGPS受信機より取得し、クライアント端末は、接続先のネットワークに接続する際に、認証装置に認証情報としてその位置情報を送信する。そして、認証装置側では、クライアント端末から送信された位置情報に応じて接続先ネットワークに接続させるか否かの認証を行う。   As a conventional method for restricting the place of use of remote access, for example, an authentication method described in Patent Document 1 can be cited. In Patent Document 1, a GPS (Global Positioning System) receiver is built-in or a GPS receiver is provided with a GPS connection interface in order to identify a use place of a client terminal (personal authentication device) and limit the use place. The client terminal is connected to acquire position information of the client terminal from the GPS receiver, and the client terminal transmits the position information as authentication information to the authentication device when connecting to the connection destination network. On the authentication device side, authentication is performed as to whether or not to connect to the connection destination network in accordance with the position information transmitted from the client terminal.

特開2007−220075号公報JP 2007-220075 A

しかしながら、特許文献1に記載の方式では、GPS衛星からの電波が微弱であるため,屋内での電波の減衰により測位ができず位置情報取得が困難な場合が多く、結果リモートアクセスポイントの使用場所を屋内にしようとする場合には問題になる。   However, in the method described in Patent Document 1, since the radio wave from the GPS satellite is weak, it is often difficult to obtain the position information due to the attenuation of the radio wave indoors, and as a result, the location where the remote access point is used It will be a problem if you try to indoors.

また、リモートアクセスポイントにGPS受信機を内蔵、もしくは外部に接続しなければならず機器のコストも高価になる。   In addition, a GPS receiver must be built in the remote access point or connected to the outside, and the cost of the equipment becomes expensive.

そのため、低コストで、接続先ネットワークに接続しようとする通信装置の使用場所を制限することができる通信システム、通信装置及び認証装置が望まれている。   Therefore, there is a demand for a communication system, a communication apparatus, and an authentication apparatus that can limit the use place of the communication apparatus to be connected to the connection destination network at low cost.

第1の本発明の通信システムは、(1)通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムにおいて、(2)上記通信装置は、(2−1)上記通信装置の周辺に配置されている周辺通信装置のそれぞれから、周辺通信装置識別情報を保持する識別情報保持手段と、(2−2)上記識別情報保持手段が保持した周辺通信装置識別情報に基づいて、上記通信装置が設置されている位置に係る位置固有情報を生成する位置固有情報生成手段と、(2−3)上記認証装置に認証を依頼する際に、上記認証装置に、少なくとも上記位置固有情報生成手段が生成した位置固有情報を与える認証依頼手段とを有し、(3)上記認証装置は、(3−1)上記通信装置に対して上記接続先ネットワークへの接続を許可する認証を行う接続許可位置に係る位置固有情報が格納されている位置固有情報格納手段と、(3−2)上記通信装置から認証を依頼された際に、上記通信装置から与えられた位置固有情報と、上記位置固有情報格納手段に格納されている位置固有情報とを照合し、少なくともその照合結果に基づいて、認証結果の判定を行う認証判定手段とを有することを特徴とする。   A communication system according to a first aspect of the present invention is a communication system including (1) a communication device and an authentication device that performs authentication relating to whether or not the communication device is connected to a connection destination network. (2-1) Identification information holding means for holding peripheral communication device identification information from each of the peripheral communication devices arranged around the communication device, and (2-2) The identification information holding means And (2-3) when requesting authentication from the authentication device, position specific information generating means for generating position specific information related to the position where the communication device is installed, based on the peripheral communication device identification information. Authentication request means for providing at least the position specific information generated by the position specific information generation means to the authentication apparatus, and (3) the authentication apparatus is (3-1) the connection destination to the communication apparatus. Net Position-specific information storage means for storing position-specific information related to a connection-permitted position that performs authentication for permitting connection to a workpiece; and (3-2) the communication device when authentication is requested from the communication device. And authentication determination means for verifying the authentication result based on at least the result of the verification, and the position specific information stored in the position specific information storage means. Features.

第2の本発明の通信装置は、(1)通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムを構成する上記通信装置において、(2)上記通信装置の周辺に配置されている周辺通信装置のそれぞれから、周辺通信装置識別情報を保持する識別情報保持手段と、(3)上記識別情報保持手段が保持した周辺通信装置識別情報に基づいて、上記通信装置が設置されている位置に係る位置固有情報を生成する位置固有情報生成手段と、(4)上記認証装置に認証を依頼する際に、上記認証装置に、少なくとも上記位置固有情報生成手段が生成した位置固有情報を与える認証依頼手段とを有することを特徴とする。   The communication apparatus according to a second aspect of the present invention is the communication apparatus constituting the communication system including (1) a communication apparatus and an authentication apparatus that performs authentication relating to whether or not the communication apparatus is connected to a connection destination network. (2) Identification information holding means for holding peripheral communication apparatus identification information from each of the peripheral communication apparatuses arranged around the communication apparatus, and (3) Peripheral communication apparatus identification information held by the identification information holding means And (4) at the time of requesting the authentication apparatus to perform authentication, at least the position of the position is determined by the authentication apparatus. And an authentication requesting unit that provides the position specific information generated by the specific information generating unit.

第3の本発明の認証装置は、(1)通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムを構成する上記認証装置において、(2)上記通信装置に対して上記接続先ネットワークへの接続を許可する認証を行う接続許可位置に係る位置固有情報として、上記接続許可位置の周辺に配置されている周辺通信装置の周辺通信装置識別情報が格納されている位置固有情報格納手段と、(3)上記通信装置から認証を依頼された際に、上記通信装置から与えられた位置固有情報と、上記位置固有情報格納手段に格納されている位置固有情報とを照合し、少なくともその照合結果に基づいて、認証結果の判定を行う認証判定手段とを有することを特徴とする。   The authentication apparatus according to the third aspect of the present invention is the authentication apparatus constituting the communication system comprising (1) a communication apparatus and an authentication apparatus that performs authentication relating to whether or not the communication apparatus is connected to a connection destination network. (2) Peripheral communication device of the peripheral communication device arranged around the connection permission position as position specific information related to the connection permission position for performing authentication for permitting connection to the connection destination network with respect to the communication device A position-specific information storage means for storing identification information; and (3) a position-specific information given from the communication apparatus when authentication is requested from the communication apparatus, and a position-specific information storage means. And authentication determination means for determining an authentication result based at least on the result of the comparison.

低コストで、接続先ネットワークに接続しようとする通信装置の使用場所を制限する。   At low cost, limit the place of use of the communication device to connect to the destination network.

第1の実施形態に係る通信システムの全体構成について示したブロック図である。1 is a block diagram showing an overall configuration of a communication system according to a first embodiment. 第1の実施形態に係るリモートアクセスポイント(通信装置)内部の機能的構成について示したブロック図である。It is the block diagram shown about the functional structure inside the remote access point (communication apparatus) which concerns on 1st Embodiment. 第1の実施形態に係る位置固有情報の構成例について示した説明図である。It is explanatory drawing shown about the structural example of the position specific information which concerns on 1st Embodiment. 第1の実施形態の通信システムにおける認証動作について説明したフローチャートである。It is the flowchart explaining the authentication operation | movement in the communication system of 1st Embodiment. 第2の実施形態に係るリモートアクセスポイント(通信装置)内部の機能的構成について示したブロック図である。It is the block diagram shown about the functional structure inside the remote access point (communication apparatus) which concerns on 2nd Embodiment. 第2の実施形態に係る位置固有情報の構成例について示した説明図である。It is explanatory drawing shown about the structural example of the position specific information which concerns on 2nd Embodiment.

(A)第1の実施形態
以下、本発明による通信システム、通信装置及び認証装置の第1の実施形態を、図面を参照しながら詳述する。なお、第1の実施形態の収容装置は、リモートアクセスポイントである。なお、第1の実施形態においては、本発明の通信装置をリモートアクセスポイントに適用した場合の例について説明している。
(A) First Embodiment Hereinafter, a first embodiment of a communication system, a communication device, and an authentication device according to the present invention will be described in detail with reference to the drawings. Note that the accommodation apparatus of the first embodiment is a remote access point. In the first embodiment, an example in which the communication apparatus of the present invention is applied to a remote access point is described.

(A−1)第1の実施形態の構成
図1は、この実施形態の通信システムの全体構成を示すブロック図である。
(A-1) Configuration of the First Embodiment FIG. 1 is a block diagram showing the overall configuration of the communication system of this embodiment.

図1に示す通信システムでは、所定の位置(ユーザの自宅等)に設置されたリモートアクセスポイント2に収容されたクライアント端末3を、VPN接続によりインターネット9を経由して、接続先の社内ネットワーク10(例えば、クライアント端末3のユーザが所属する社内のネットワーク)に接続させる。   In the communication system shown in FIG. 1, a client terminal 3 accommodated in a remote access point 2 installed at a predetermined position (such as a user's home) is connected via a VPN connection to the in-house network 10 via the Internet 9. (For example, an internal network to which the user of the client terminal 3 belongs) is connected.

クライアント端末3としては、例えば、既存のパソコン(ノートパソコン等)等の端末を適用することができる。   As the client terminal 3, for example, a terminal such as an existing personal computer (notebook personal computer or the like) can be applied.

第1の実施形態においては、例として、図1に示すように、リモートアクセスポイント2、クライアント端末3、自宅用端末7、ブロードバンドルータ4が、クライアント端末3のユーザの自宅に配置されているものとする。   In the first embodiment, as an example, as shown in FIG. 1, a remote access point 2, a client terminal 3, a home terminal 7, and a broadband router 4 are arranged at the user's home of the client terminal 3. And

自宅用端末7は、例えば、既存のパソコン(デスクトップパソコン等)等の端末を適用することができる。   As the home terminal 7, for example, a terminal such as an existing personal computer (desktop personal computer or the like) can be applied.

また、図1に示すように、リモートアクセスポイント2、ブロードバンドルータ4、自宅用端末7は、自宅内有線LAN11に接続されているものとする。図1において図示は省略しているが、自宅内有線LAN11は、ハブ等の装置により構成するようにしても良いし、ブロードバンドルータ4の配下に直接配線されたものであってもよく、その形式は限定されないものである。   As shown in FIG. 1, it is assumed that the remote access point 2, the broadband router 4, and the home terminal 7 are connected to the home wired LAN 11. Although not shown in FIG. 1, the home wired LAN 11 may be configured by a device such as a hub, or may be directly wired under the broadband router 4. Is not limited.

ブロードバンドルータ4は、配下の通信装置や通信端末を、インターネット9にアクセスさせるものであり、例えば、既存のブロードバンドルータを適用することができる。自宅用端末7は、ブロードバンドルータ4の配下の通信端末であり、例えば、既存のパソコン等の端末を適用することができる。   The broadband router 4 allows a subordinate communication device or communication terminal to access the Internet 9. For example, an existing broadband router can be applied. The home terminal 7 is a communication terminal under the broadband router 4, and for example, an existing terminal such as a personal computer can be applied.

リモートアクセスポイント2は、ブロードバンドルータ4に配下に配置されており、クライアント端末3を収容して、クライアント端末3を、社内ネットワーク10に接続させる通信装置である。リモートアクセスポイント2は、社内ネットワーク10との間でVPNトンネルを構成し、クライアント端末3を、そのVPNトンネルを介して社内ネットワーク10に接続させるものである。   The remote access point 2 is arranged under the broadband router 4 and is a communication device that accommodates the client terminal 3 and connects the client terminal 3 to the in-house network 10. The remote access point 2 forms a VPN tunnel with the in-house network 10 and connects the client terminal 3 to the in-house network 10 via the VPN tunnel.

図1では、社内ネットワーク10に、VPNゲートウェイ5、認証装置6、社内サーバ群8が配置されている。   In FIG. 1, a VPN gateway 5, an authentication device 6, and an in-house server group 8 are arranged in the in-house network 10.

VPNゲートウェイ5は、インターネット9上の通信装置を、社内ネットワーク10にVPN接続させるためのゲートウェイである。VPNゲートウェイ5としては、例えば、既存のVPNゲートウェイ装置や、VPNゲートウェイ機能を備えるサーバ等を適用することができる。   The VPN gateway 5 is a gateway for connecting a communication device on the Internet 9 to the corporate network 10 through a VPN. As the VPN gateway 5, for example, an existing VPN gateway device or a server having a VPN gateway function can be applied.

図1において、VPNゲートウェイ5は、リモートアクセスポイント2からの認証要求を受付け、その認証要求に際して、リモートアクセスポイント2から認証情報が与えられると、その認証情報に基づいて認証依頼を認証装置6に行い、認証装置6から認証OKの応答があった場合にのみ、リモートアクセスポイント2の接続要求に応じてVPN接続を行い、リモートアクセスポイント2(クライアント端末3)を社内ネットワーク10に接続させる。なお、リモートアクセスポイント2からの認証要求における認証情報には、少なくとも、リモートアクセスポイント2の位置に係る情報(以下、「位置固有情報」という)が含まれている。なお、位置固有情報の詳細については、後述する。   In FIG. 1, the VPN gateway 5 receives an authentication request from the remote access point 2 and when authentication information is given from the remote access point 2 at the time of the authentication request, an authentication request is sent to the authentication device 6 based on the authentication information. Only when an authentication OK response is received from the authentication device 6, VPN connection is performed in response to the connection request of the remote access point 2, and the remote access point 2 (client terminal 3) is connected to the in-house network 10. Note that the authentication information in the authentication request from the remote access point 2 includes at least information related to the position of the remote access point 2 (hereinafter referred to as “location-specific information”). Details of the position specific information will be described later.

認証装置6は、上述の通り、VPNゲートウェイ5の依頼に応じて、VPNゲートウェイ5に認証OK又は認証NG等の応答を行うものである。   As described above, the authentication device 6 makes a response such as authentication OK or authentication NG to the VPN gateway 5 in response to a request from the VPN gateway 5.

認証装置6は、認証依頼に係る通信装置(例えば、リモートアクセスポイント2)ごとの認証情報を格納する認証情報格納部61を備えている。   The authentication device 6 includes an authentication information storage unit 61 that stores authentication information for each communication device (for example, remote access point 2) related to the authentication request.

認証装置6では、少なくともVPNゲートウェイ5からの認証依頼と共に与えられた認証情報と、認証情報格納部61に格納している認証情報との照合結果を用いて、認証OK又は認証NGの判断を行う。上述の通り、リモートアクセスポイント2からの認証要求における認証情報には、少なくとも位置固有情報が含まれており、認証情報格納部61に格納される認証情報にも少なくとも位置固有情報が含まれている。すなわち、認証装置6は、少なくとも、リモートアクセスポイント2から与えられた位置固有情報と、認証情報格納部61に格納されているリモートアクセスポイント2に係る位置固有情報とを照合した結果を、認証OK又は認証NGの判断に用いる(その他の方式と組み合わせて認証の判断をするようにしても良い)。なお、認証装置6における位置固有情報の照合方法については後述する。   In the authentication device 6, authentication OK or authentication NG is determined using at least the verification information given together with the authentication request from the VPN gateway 5 and the authentication information stored in the authentication information storage unit 61. . As described above, the authentication information in the authentication request from the remote access point 2 includes at least location specific information, and the authentication information stored in the authentication information storage unit 61 also includes at least location specific information. . That is, the authentication device 6 authenticates at least the result of collating the position specific information given from the remote access point 2 with the position specific information related to the remote access point 2 stored in the authentication information storage unit 61. Alternatively, it is used for determination of authentication NG (authentication determination may be made in combination with other methods). In addition, the collation method of the position specific information in the authentication device 6 will be described later.

社内サーバ群8は、クライアント端末3がアクセスしようとするアプリケーションサーバやファイルサーバ等のサーバ群である。社内サーバ群8におけるサーバの機能や台数は、限定されないものである。   The in-house server group 8 is a server group such as an application server or a file server to be accessed by the client terminal 3. The functions and number of servers in the in-house server group 8 are not limited.

次に、リモートアクセスポイント2の構成の詳細及び、「位置固有情報」の詳細について説明する。   Next, details of the configuration of the remote access point 2 and details of the “location specific information” will be described.

図2は、リモートアクセスポイント2内部の機能的構成について示した説明図である。   FIG. 2 is an explanatory diagram showing a functional configuration inside the remote access point 2.

リモートアクセスポイント2は、既存のVPNトンネリング制御可能なルータやアクセスポイント等のネットワーク装置に、位置固有情報を生成する機能と、VPNトンネリングを作成する際にVPNゲートウェイ5へ認証を要求する際の認証情報に、少なくとも生成した位置固有情報を含ませる機能を付加することにより構築することができる。   The remote access point 2 has a function of generating location-specific information in an existing network device such as a router or access point that can control VPN tunneling, and authentication when requesting the VPN gateway 5 for authentication when creating VPN tunneling. The information can be constructed by adding a function of including at least the generated position specific information.

リモートアクセスポイント2は、主制御部21、位置固有情報保持部22(MACアドレス保持部221、位置固有情報出力部222)、WAN側I/F制御部25、WAN側I/F23、LAN側I/F制御部26、LAN側I/F34を有している。   The remote access point 2 includes a main control unit 21, a position specific information holding unit 22 (MAC address holding unit 221, position specific information output unit 222), a WAN side I / F control unit 25, a WAN side I / F 23, and a LAN side I. / F control unit 26 and LAN side I / F 34.

図2において、リモートアクセスポイント2は、例えば、ハードウェア的な通信部の他は、通信処理やデータ処理等(主制御部21の機能にかかるプログラム)を実行するためのCPU、ROM、RAM等を有しており、CPUが実行するプログラム(位置固有情報保持部22の機能に係るプログラムを含む)がインストールされている。上述したプログラムを含め、リモートアクセスポイント2の機能的構成を示すと図2に示すようになる。なお、主制御部21、位置固有情報保持部22は全てソフトウェアにより構築しても良いし、一部又は全部をハードウェアにより構築しても良い。   In FIG. 2, the remote access point 2 is, for example, a CPU, ROM, RAM, etc. for executing communication processing, data processing, etc. (programs related to the functions of the main control unit 21) in addition to the hardware communication unit. And a program executed by the CPU (including a program related to the function of the position-specific information holding unit 22) is installed. A functional configuration of the remote access point 2 including the above-described program is as shown in FIG. The main control unit 21 and the position specific information holding unit 22 may all be constructed by software, or part or all may be constructed by hardware.

WAN側I/F23、LAN側I/F34は、リモートアクセスポイント2における有線LANインタフェースである。WAN側I/F23は、インターネット9側(ブロードバンドルータ4)と接続するためのインタフェースであり、LAN側I/F34は、LAN側(クライアント端末3)と接続するためのインタフェースである。   The WAN side I / F 23 and the LAN side I / F 34 are wired LAN interfaces in the remote access point 2. The WAN side I / F 23 is an interface for connecting to the Internet 9 side (broadband router 4), and the LAN side I / F 34 is an interface for connecting to the LAN side (client terminal 3).

WAN側I/F制御部25、LAN側I/F制御部26は、それぞれWAN側I/F23、LAN側I/F34の物理層などに係る制御を行うものであり、例えば、既存のルータやアクセスポイント等のネットワーク装置において、LANインタフェースの物理層などに係る制御を行うチップ等が該当する。   The WAN side I / F control unit 25 and the LAN side I / F control unit 26 perform control related to the physical layer of the WAN side I / F 23 and the LAN side I / F 34, respectively. In a network device such as an access point, this corresponds to a chip that performs control related to the physical layer of the LAN interface.

主制御部21は、リモートアクセスポイント2の動作全体を制御する機能を担っている。主制御部21としては、例えば、既存のVPNトンネリング制御可能なルータやアクセスポイント等のネットワーク装置において全体動作の制御を行う制御部に、認証装置6(VPNゲートウェイ5)へ認証を要求する際の認証情報に、少なくとも後述する位置固有情報保持部22が生成した位置固有情報を含ませる機能(プログラム)を付加することにより構築しても良い。   The main control unit 21 has a function of controlling the entire operation of the remote access point 2. As the main control unit 21, for example, when requesting authentication to the authentication device 6 (VPN gateway 5), a control unit that controls the overall operation in a network device such as an existing router capable of VPN tunneling control or an access point. The authentication information may be constructed by adding a function (program) that includes at least position-specific information generated by the position-specific information holding unit 22 described later.

位置固有情報保持部22は、位置固有情報を生成する機能を担っている。   The position specific information holding unit 22 has a function of generating position specific information.

位置固有情報保持部22が生成する位置固有情報には、リモートアクセスポイント2の周辺に設置されている通信装置(以下、「周辺通信装置」という)の固有の識別情報(以下、「周辺装置識別情報」という)が含まれている。第1の実施形態においては、周辺通信装置識別情報としては、周辺通信装置のMACアドレスを適用するものとして説明するが、周辺装置識別情報は、これに限定されず、周辺通信装置固有の他の情報(例えば、シリアルナンバーや電子証明書等)を適用するようにしても良いし、複数種類の情報を組み合わせて適用するようにしても良い。例えば、図1においては、リモートアクセスポイント2の周辺通信装置としては、リモートアクセスポイントが接続されている自宅ネットワークN3内の他の通信装置であるブロードバンドルータ4、自宅用端末7が該当する。位置固有情報保持部22は、全ての周辺通信装置の周辺通信装置識別情報に基づいて位置固有情報を生成する。   The position-specific information generated by the position-specific information holding unit 22 includes unique identification information (hereinafter, “peripheral device identification”) of communication devices (hereinafter referred to as “peripheral communication devices”) installed around the remote access point 2. Information ”). In the first embodiment, the peripheral communication device identification information is described as applying the MAC address of the peripheral communication device. However, the peripheral device identification information is not limited to this, and other peripheral communication device-specific information may be used. Information (for example, a serial number or an electronic certificate) may be applied, or a plurality of types of information may be applied in combination. For example, in FIG. 1, the peripheral communication device of the remote access point 2 corresponds to the broadband router 4 and the home terminal 7 which are other communication devices in the home network N3 to which the remote access point is connected. The position specific information holding unit 22 generates position specific information based on peripheral communication device identification information of all peripheral communication devices.

図3は、リモートアクセスポイント2に係る位置固有情報の構成例について示した説明図である。   FIG. 3 is an explanatory diagram showing a configuration example of position specific information related to the remote access point 2.

図3では、位置固有情報に含まれている「アドレスA1」は、ブロードバンドルータ4のMACアドレス(LAN側)を示しており、「アドレスA2」は、自宅用端末7のMACアドレスを示しているものとする。   In FIG. 3, “address A1” included in the position-specific information indicates the MAC address (LAN side) of the broadband router 4, and “address A2” indicates the MAC address of the home terminal 7. Shall.

位置固有情報としては、例えば、図3に示すように、単に全ての周辺通信装置識別情報を並べたデータでも良いし、全ての周辺装置識別情報をまとめて暗号化や圧縮などの加工を施したデータであってもよく、全ての周辺通信装置の周辺通信装置識別情報に基づいた情報であれば、その形式は問われないものである。   As the position-specific information, for example, as shown in FIG. 3, it may be data in which all peripheral communication device identification information is simply arranged, or all peripheral device identification information is collectively processed such as encryption and compression. Data may be used, and the format is not limited as long as the information is based on the peripheral communication device identification information of all the peripheral communication devices.

そして、MACアドレス保持部221は、位置固有情報保持部22において、周辺通信装置の周辺通信装置識別情報(MACアドレス)を保持する機能を担っている。   The MAC address holding unit 221 has a function of holding the peripheral communication device identification information (MAC address) of the peripheral communication device in the position specific information holding unit 22.

MACアドレス保持部221が、周辺通信装置のMACアドレスを保持する方法としては、例えば、WAN側I/F部23を監視して、WAN側I/F部23に到達したパケット(イーサネット(登録商標)フレーム)の内容から、周辺通信装置のMACアドレスを抽出するようにしても良い。例えば、自宅内有線LAN11が既存のリピータハブで構成されている場合には、自宅内有線LAN11上で発生したパケットは、全てWAN側I/F部23にも到達するので、MACアドレス保持部221では、それらのパケットの内容から周辺通信装置のMACアドレスを抽出することができる。また、例えば、自宅内有線LAN11が既存のスイッチングハブ(いわゆるレイヤ2スイッチ等)で構成されている場合でも、リモートアクセスポイント2を送信先とするパケットや、自宅内有線LAN11上で発生したブロードキャストパケットは、WAN側I/F部23に到達するので、MACアドレス保持部221では、それらのパケットの内容から周辺通信装置のMACアドレスを抽出することができる。   As a method for the MAC address holding unit 221 to hold the MAC address of the peripheral communication device, for example, the WAN side I / F unit 23 is monitored and a packet (Ethernet (registered trademark) that reaches the WAN side I / F unit 23 is monitored. The MAC address of the peripheral communication device may be extracted from the content of () frame). For example, when the home wired LAN 11 is configured with an existing repeater hub, all packets generated on the home wired LAN 11 reach the WAN side I / F unit 23, so the MAC address holding unit 221. Then, the MAC address of the peripheral communication device can be extracted from the contents of those packets. Further, for example, even when the home wired LAN 11 is configured by an existing switching hub (so-called layer 2 switch or the like), a packet having the remote access point 2 as a transmission destination or a broadcast packet generated on the home wired LAN 11 Arrives at the WAN side I / F unit 23, the MAC address holding unit 221 can extract the MAC address of the peripheral communication device from the contents of those packets.

また、リモートアクセスポイント2においては、受動的にWAN側I/F部23に到達したパケットを監視するだけでなく、能動的に自宅内有線LAN11上の通信装置を検索して、周辺通信装置のMACアドレスを取得するようにしても良い。リモートアクセスポイント2が能動的に自宅内有線LAN11上の通信装置を検索する方法としては、例えば、自宅内有線LAN11のブロードキャストアドレスを宛先として、Ping(ICMP ECHO)を送信して、周辺通信装置からの応答パケットを取得するようすることなどが挙げられる。このように、MACアドレス保持部221において、周辺通信装置のMACアドレスを保持する手段は、上述のような受動的や能動的な方法であっても良く、限定されないものである。   In addition, the remote access point 2 not only passively monitors packets that have reached the WAN-side I / F unit 23 but also actively searches for communication devices on the home wired LAN 11 and You may make it acquire a MAC address. As a method for the remote access point 2 to actively search for a communication device on the home wired LAN 11, for example, a Ping (ICMP ECHO) is transmitted with the broadcast address of the home wired LAN 11 as a destination, and from the peripheral communication device For example, obtaining a response packet. Thus, the means for holding the MAC address of the peripheral communication device in the MAC address holding unit 221 may be a passive or active method as described above, and is not limited.

MACアドレス保持部221により、保持された全てのMACアドレスは位置固有情報出力部222へ入力される。そして、位置固有情報出力部222は、MACアドレス保持部221から入力された全てのMACアドレスをまとめて位置固有情報を生成し、主制御部21に引き渡す。   All the MAC addresses held by the MAC address holding unit 221 are input to the position specific information output unit 222. Then, the position specific information output unit 222 generates position specific information by collecting all the MAC addresses input from the MAC address holding unit 221 and delivers the position specific information to the main control unit 21.

次に、認証装置6における、認証方法の詳細について説明する。   Next, details of the authentication method in the authentication device 6 will be described.

上述の通り、認証装置6では、少なくとも、リモートアクセスポイント2から与えられた位置固有情報と、認証情報格納部61に格納されているリモートアクセスポイント2に係る位置固有情報とを照合した結果を、認証OK又は認証NGの判断に用いる。   As described above, in the authentication device 6, at least the position specific information given from the remote access point 2 and the position specific information related to the remote access point 2 stored in the authentication information storage unit 61 are collated. Used for judgment of authentication OK or authentication NG.

例えば、認証装置6では、リモートアクセスポイント2から与えられた位置固有情報が図3に示すような「アドレスA1+アドレスA2」という情報であり、認証情報格納部61に格納されているリモートアクセスポイント2に係る位置固有情報も「アドレスA1+アドレスA2」と全く同じ場合には、認証OKと判断しても良い。   For example, in the authentication device 6, the position-specific information given from the remote access point 2 is information “address A 1 + address A 2” as shown in FIG. 3, and the remote access point 2 stored in the authentication information storage unit 61. If the position-specific information related to is exactly the same as “address A1 + address A2,” authentication OK may be determined.

また、認証装置6では、リモートアクセスポイント2から与えられた位置固有情報に、少なくとも認証情報格納部61に格納されている位置固有情報のMACアドレスが含まれている場合にも認証OKと判断するようにしても良い。例えば、認証装置6では、認証情報格納部61に格納されている位置固有情報が「アドレスA1」のみで、リモートアクセスポイント2から与えられた位置固有情報が「アドレスA1+アドレスA2」であった場合には、少なくとも認証情報格納部61に格納されている位置固有情報のMACアドレスが含まれていると判断でき、認証OKと判断するようにしても良い。また、位置固有情報においてMACアドレスが記載される順番も限定せずに照合するようにしても良い。   The authentication device 6 also determines that the authentication is OK even when the location-specific information given from the remote access point 2 includes at least the MAC address of the location-specific information stored in the authentication information storage unit 61. You may do it. For example, in the authentication device 6, the location unique information stored in the authentication information storage unit 61 is only “address A 1”, and the location unique information given from the remote access point 2 is “address A 1 + address A 2”. It can be determined that at least the MAC address of the position specific information stored in the authentication information storage unit 61 is included, and authentication OK may be determined. Further, the order in which the MAC addresses are described in the position specific information may be collated without being limited.

また、認証情報格納部61には、認証要求をするクライアント側の通信装置(例えば、リモートアクセスポイント2)ごとに、位置固有情報を格納するようにしても良い。例えば、リモートアクセスポイント2の識別情報(例えば、製造番号、ID、MACアドレス等)と、リモートアクセスポイント2の位置固有情報を対応付けて格納するようにしても良い。そして、認証装置6では、リモートアクセスポイント2からの認証依頼と共に、リモートアクセスポイント2の識別情報が与えられると、その識別情報をキーとして、リモートアクセスポイント2に係る位置固有情報を検索するようにしても良い。   Further, the location information may be stored in the authentication information storage unit 61 for each communication device (for example, remote access point 2) on the client side that makes an authentication request. For example, identification information (for example, a manufacturing number, ID, MAC address, etc.) of the remote access point 2 and position specific information of the remote access point 2 may be stored in association with each other. Then, when the identification information of the remote access point 2 is given together with the authentication request from the remote access point 2, the authentication device 6 searches for the position-specific information related to the remote access point 2 using the identification information as a key. May be.

また、認証装置6では、認証情報格納部61に、リモートアクセスポイント2に係る位置固有情報を複数格納し、複数の位置固有情報のうちいずれか1つと、リモートアクセスポイント2から与えられた位置固有情報とが一致した場合に認証OKと判定するようにしても良い。   Further, in the authentication device 6, a plurality of location-specific information related to the remote access point 2 is stored in the authentication information storage unit 61, and any one of the plurality of location-specific information and the location-specific information given from the remote access point 2 are stored. It may be determined that the authentication is OK when the information matches.

なお、認証装置6では上述の位置固有情報の照合結果の他、既存のパスワード認証等の他の認証方式と組み合わせて認証を行うようにしても良い。また、リモートアクセスポイント2に対する認証が認証OKの結果であった場合でも、さらに、その配下のクライアント端末3に対する認証(例えば、パスワード認証等)を行うようにしても良い。   The authentication device 6 may perform authentication in combination with other authentication methods such as existing password authentication in addition to the above-described collation result of the position specific information. Further, even when the authentication for the remote access point 2 is a result of the authentication OK, the authentication (for example, password authentication) for the subordinate client terminal 3 may be performed.

(A−2)第1の実施形態の動作
次に、以上のような構成を有する第1の実施形態の通信システム1における認証の動作を説明する。
(A-2) Operation of the First Embodiment Next, an authentication operation in the communication system 1 of the first embodiment having the above configuration will be described.

図4は、通信システム1における、リモートアクセスポイント2と認証装置6との間の認証に係る動作について示したフローチャートである。   FIG. 4 is a flowchart showing an operation related to authentication between the remote access point 2 and the authentication device 6 in the communication system 1.

なお、図4のフローチャートにおいては、認証情報格納部61には、リモートアクセスポイント2に係る位置固有情報として、予め上述の図3に示すものが登録されているものとして説明する。また、図4においては、説明を簡易にするため図示を省略しているがリモートアクセスポイント2と認証装置6との間の認証に係る通信は、実際には、VPNゲートウェイ5が間に介在している。   In the flowchart of FIG. 4, the authentication information storage unit 61 will be described assuming that the information shown in FIG. 3 described above is registered in advance as the position-specific information related to the remote access point 2. Further, in FIG. 4, illustration is omitted for the sake of simplicity, but communication related to authentication between the remote access point 2 and the authentication device 6 is actually interposed between the VPN gateway 5. ing.

まず、リモートアクセスポイント2から、VPNゲートウェイ5を介して、認証装置6に認証依頼があり(S101)、認証装置6からリモートアクセスポイント2に、その認証要求に対して確認応答があったものとする(S102)。   First, there is an authentication request from the remote access point 2 to the authentication device 6 via the VPN gateway 5 (S101), and the authentication device 6 has received a confirmation response to the authentication request from the remote access point 2. (S102).

次に、リモートアクセスポイント2では、位置固有情報保持部22により保持された周辺通信装置の周辺通信装置識別情報(MACアドレス)に基づいて位置固有情報が生成され(図3と同様の内容が生成される)、その位置固有情報が、認証装置6に与えられる(S103)。なお、位置固有情報保持部22は、予め位置固有情報を保持しておいても良いし、認証の都度生成するようにしても良く、位置固有情報を生成するタイミングは限定されないものである。また、位置固有情報保持部22が予め位置固有情報を生成する場合には、その位置固有情報に有効期限を設けて、有効期限を経過した位置固有情報を廃棄するようにしても良い。   Next, in the remote access point 2, position specific information is generated based on the peripheral communication device identification information (MAC address) of the peripheral communication device held by the position specific information holding unit 22 (the same contents as FIG. 3 are generated). The position specific information is given to the authentication device 6 (S103). The position-specific information holding unit 22 may hold position-specific information in advance or may be generated every time authentication is performed, and the timing for generating the position-specific information is not limited. When the position specific information holding unit 22 generates position specific information in advance, an expiration date may be provided for the position specific information, and the position specific information after the expiration date may be discarded.

次に、認証装置6では、認証情報格納部61に格納されているリモートアクセスポイント2に係る位置固有情報と、上述のステップS103においてリモートアクセスポイント2から与えられた位置固有情報とを照合し、一致する場合には認証OKと判定し、一致しない場合には認証NGと判定し(S104)認証結果をリモートアクセスポイント2に通知する(S105)。   Next, the authentication device 6 collates the position specific information related to the remote access point 2 stored in the authentication information storage unit 61 with the position specific information given from the remote access point 2 in step S103 described above, If they match, it is determined that the authentication is OK, and if they do not match, it is determined that the authentication is NG (S104), and the authentication result is notified to the remote access point 2 (S105).

上述のステップS105において、認証OKの場合には、その後リモートアクセスポイント2とVPNゲートウェイ5との間でVPN接続が開始され、リモートアクセスポイント2の配下のクライアント端末3は、社内ネットワーク10にアクセスし、社内サーバ群8等を利用することができるが、認証NGの場合には、リモートアクセスポイント2とVPNゲートウェイ5との間でVPN接続されることはない。   In the above-described step S105, in the case of authentication OK, VPN connection is then started between the remote access point 2 and the VPN gateway 5, and the client terminal 3 under the remote access point 2 accesses the corporate network 10. In-house server group 8 and the like can be used, but in the case of authentication NG, VPN connection is not made between remote access point 2 and VPN gateway 5.

ここでは、リモートアクセスポイント2から認証装置6に与えられた位置固有情報と、認証装置6において、リモートアクセスポイント2に係るものとして登録されている位置固有情報とは、いずれも上述の図3に示す内容であるので、認証OKという結果となる。   Here, both the location-specific information given from the remote access point 2 to the authentication device 6 and the location-specific information registered as related to the remote access point 2 in the authentication device 6 are both shown in FIG. Since the content is shown, the result is authentication OK.

(A−3)第1の実施形態の効果
第1の実施形態によれば、以下のような効果を奏することができる。
(A-3) Effects of First Embodiment According to the first embodiment, the following effects can be achieved.

認証装置6では、登録を許可しても良い位置の位置固有情報、すなわち格納している位置固有情報と、リモートアクセスポイント2から与えられた位置固有情報が一致しない場合には、認証NGの判断をするので、例えば、リモートアクセスポイント2が盗難され、パスワード等も流出してしまった場合でも、設置場所や接続箇所が異なれば生成される位置固有情報も異なるため、第三者による不正アクセスの防止をすることができる。   The authentication device 6 determines the authentication NG when the position-specific information of the position where registration is permitted, that is, the stored position-specific information does not match the position-specific information given from the remote access point 2. For example, even if the remote access point 2 is stolen and a password etc. is leaked, the location-specific information generated differs depending on the installation location and connection location. Can be prevented.

通信システム1では、リモートアクセスポイント2(クライアント端末3)の位置固有情報として、リモートアクセスポイント2の周辺の通信装置のMACアドレスを用いているので、リモートアクセスポイント2にGPS受信機を内蔵、もしくは外部接続することなく、リモートアクセスポイント2の使用場所の制限をすることが可能であり、認証に係るコストを低減することができる。   In the communication system 1, since the MAC address of the communication device around the remote access point 2 is used as the position-specific information of the remote access point 2 (client terminal 3), the remote access point 2 has a built-in GPS receiver, or Without using an external connection, it is possible to limit the place where the remote access point 2 is used, and the cost for authentication can be reduced.

また、通信システム1では、GPSを利用せずに、リモートアクセスポイント2(クライアント端末3)の位置固有情報を生成することができるので、GPSを利用しないのでGPSの位置情報が受信できない様な電波状況の屋内環境下において、リモートアクセスポイント2(クライアント端末3)の使用を許可する場合でも、リモートアクセスポイント2の使用場所を管理することが可能になる。   In addition, since the communication system 1 can generate the position-specific information of the remote access point 2 (client terminal 3) without using the GPS, the radio waves that cannot receive the GPS position information because the GPS is not used. Even when the use of the remote access point 2 (client terminal 3) is permitted under the indoor environment, it is possible to manage the place where the remote access point 2 is used.

また、通信システム1では、位置固有情報とし周辺通信装置のMACアドレスを用いているが、MACアドレスは、通常は、その装置やインタフェース固有の情報であるため同じMACアドレスの装置が存在することはなく、また、IPアドレスのように変更することは非常に困難であることから、位置固有情報の捏造を防止することができる。   Further, in the communication system 1, the MAC address of the peripheral communication device is used as the position specific information. However, since the MAC address is usually information specific to the device and the interface, there is no device having the same MAC address. In addition, since it is very difficult to change the IP address as in the case of IP address, it is possible to prevent forgery of position specific information.

(B)第2の実施形態
以下、本発明による通信システム、通信装置及び認証装置の第2の実施形態を、図面を参照しながら詳述する。なお、第1の実施形態の収容装置は、リモートアクセスポイントである。なお、第1の実施形態においては、本発明の通信装置をリモートアクセスポイントに適用した場合の例について説明している。
(B) Second Embodiment Hereinafter, a second embodiment of a communication system, a communication device, and an authentication device according to the present invention will be described in detail with reference to the drawings. Note that the accommodation apparatus of the first embodiment is a remote access point. In the first embodiment, an example in which the communication apparatus of the present invention is applied to a remote access point is described.

(B−1)第2の実施形態の構成
図5は、この実施形態の通信システム1Aの全体構成を示すブロック図であり、上述した図1との同一、対応部分には同一、対応符号を付して示している。
(B-1) Configuration of the Second Embodiment FIG. 5 is a block diagram showing the overall configuration of the communication system 1A of this embodiment. The same and corresponding parts as those in FIG. It is attached.

第2の実施形態の通信システム1Aでは、リモートアクセスポイント2Aがクライアント端末3Aと無線通信LANで接続され、さらに、リモートアクセスポイント2Aはインターネット9へ携帯電話網(携帯電話端末4A)を経由して接続される点であり、有線LANを使用せずにリモートアクセスを実施する点で第1の実施形態と異なっている。   In the communication system 1A of the second embodiment, a remote access point 2A is connected to a client terminal 3A via a wireless communication LAN, and the remote access point 2A further connects to the Internet 9 via a mobile phone network (mobile phone terminal 4A). This is different from the first embodiment in that remote access is performed without using a wired LAN.

また、リモートアクセスポイント2Aの周辺には、無線LANアクセスポイント9と、無線LANアクセスポイント9に収容されている自宅用端末7Aが配置されているものとする。なお、無線LANアクセスポイント9は既存の無線LANに対応したアクセスポイント装置であり、自宅用端末7Aも、既存の無線LANに対応したパソコン等の端末であるものとする。   Further, it is assumed that a wireless LAN access point 9 and a home terminal 7A accommodated in the wireless LAN access point 9 are arranged around the remote access point 2A. The wireless LAN access point 9 is an access point device compatible with an existing wireless LAN, and the home terminal 7A is also a terminal such as a personal computer compatible with the existing wireless LAN.

また、携帯電話端末4Aは、配下の通信装置を携帯電話網を介してインターネットに接続させてデータ通信させることができる既存の携帯電話端末を適用することができる。   In addition, the mobile phone terminal 4A can be an existing mobile phone terminal capable of data communication by connecting a subordinate communication device to the Internet via a mobile phone network.

なお、図5において、リモートアクセスポイント2A、クライアント端末3A、自宅用端末7A、無線LANアクセスポイント9は、同じ無線LAN方式に対応しているものとする。採用される無線LAN方方式は限定されないが、例えば、IEEE 802.11シリーズ等の方式を適用したものであっても良い。   In FIG. 5, it is assumed that the remote access point 2A, the client terminal 3A, the home terminal 7A, and the wireless LAN access point 9 are compatible with the same wireless LAN system. The adopted wireless LAN method is not limited. For example, a method such as IEEE 802.11 series may be applied.

また、図5において、社内ネットワーク10側の構成(VPNゲートウェイ5、認証装置6、社内サーバ群8)については、第1の実施形態と同様のものを適用することができるので、詳しい説明を省略する。   In FIG. 5, the same configuration as that of the first embodiment can be applied to the configuration on the in-house network 10 side (VPN gateway 5, authentication device 6, in-house server group 8), and detailed description thereof is omitted. To do.

図6は、リモートアクセスポイント2A内部の機能的構成について示した説明図であり、上述した図2との同一、対応部分には同一、対応符号を付して示している。   FIG. 6 is an explanatory diagram showing the functional configuration inside the remote access point 2A, and the same and corresponding parts as in FIG. 2 described above are shown with the same and corresponding reference numerals.

リモートアクセスポイント2Aは、主制御部21A、位置固有情報保持部22A、WAN側I/F部23A、LAN側I/F部24Aを有している。   The remote access point 2A includes a main control unit 21A, a position specific information holding unit 22A, a WAN side I / F unit 23A, and a LAN side I / F unit 24A.

WAN側I/F部23Aは、携帯電話端末4Aに接続するためのコネクタ235と、I/F回路234と、携帯電話データ通信制御部233を有している。WAN側I/F部23Aは、既存のアクセスポイントやパソコン等の通信装置において、携帯電話端末経由でインターネット等に接続するためのインタフェースを適用することができる。   The WAN-side I / F unit 23A includes a connector 235 for connecting to the mobile phone terminal 4A, an I / F circuit 234, and a mobile phone data communication control unit 233. The WAN-side I / F unit 23A can apply an interface for connecting to the Internet or the like via a mobile phone terminal in an existing communication device such as an access point or a personal computer.

LAN側I/F部24Aは、無線LAN用の接続アンテナ及び回路を有するRF回路244、無線LAN通信制御部243有している。LAN側I/F部24Aは、既存のアクセスポイントやパソコン等の通信装置における、無線LAN接続するためのインタフェースを適用することができる。   The LAN side I / F unit 24A includes an RF circuit 244 having a connection antenna and a circuit for a wireless LAN, and a wireless LAN communication control unit 243. The LAN side I / F unit 24A can apply an interface for wireless LAN connection in a communication device such as an existing access point or a personal computer.

主制御部21Aは、リモートアクセスポイント2Aが有するインタフェース(WAN側I/F部23A、LAN側I/F部24A)の種類の差異から発生する制御内容が異なる点で、第1の実施形態のものと異なっている。   The main control unit 21A is different from that of the first embodiment in that the control content generated due to the difference in the type of interface (WAN side I / F unit 23A, LAN side I / F unit 24A) of the remote access point 2A is different. It is different from the one.

第1の実施形態の位置固有情報保持部22は、WAN側I/F部23に到達したパケットをモニタして、周辺通信装置のMACアドレスを取得していたが、第2の実施形態では、リモートアクセスポイント2AはLAN側のインタフェースが、有線LANではなく無線LANを採用しているので、周辺通信装置のMACアドレスを取得が第1の実施形態と異なっている。   The location specific information holding unit 22 of the first embodiment monitors the packet that has reached the WAN-side I / F unit 23 and acquires the MAC address of the peripheral communication device. In the second embodiment, Since the remote access point 2A employs a wireless LAN instead of a wired LAN as an interface on the LAN side, the acquisition of the MAC address of the peripheral communication device is different from the first embodiment.

位置固有情報保持部22Aは、MACアドレス保持部221A及び位置固有情報出力部222を有しているが、位置固有情報出力部222については第1の実施形態と同様のものであるので詳しい説明は省略する。   The position-specific information holding unit 22A includes a MAC address holding unit 221A and a position-specific information output unit 222. Since the position-specific information output unit 222 is the same as that of the first embodiment, a detailed description will be given. Omitted.

MACアドレス保持部221Aは、LAN側I/F部24Aをモニタし、リモートアクセスポイント2A等の周辺の無線LANに対応した通信装置によるビーコンパケットの内容から、MACアドレスを抽出保持する点で第1の実施形態のものと異なっている。そして、MACアドレス保持部221Aは、第1の実施形態のMACアドレス保持部221と同様に、保持したMACアドレスをまとめて位置固有情報出力部222に与え、位置固有情報出力部222において第1の実施形態と同様に位置固有情報が生成される。   The MAC address holding unit 221A is the first in that it monitors the LAN side I / F unit 24A and extracts and holds the MAC address from the content of the beacon packet by the communication device corresponding to the peripheral wireless LAN such as the remote access point 2A. It differs from that of the embodiment. Then, similarly to the MAC address holding unit 221 of the first embodiment, the MAC address holding unit 221A collectively holds the held MAC addresses to the position specific information output unit 222, and the position specific information output unit 222 performs the first operation. Position specific information is generated as in the embodiment.

(B−2)第2の実施形態の動作
次に、以上のような構成を有する第2の実施形態の通信システム1Aにおける認証の動作を説明する。
(B-2) Operation | movement of 2nd Embodiment Next, the operation | movement of the authentication in the communication system 1A of 2nd Embodiment which has the above structures is demonstrated.

通信システム1Aにおける、リモートアクセスポイント2Aと認証装置6との間の認証に係る動作についても上述の図4のフローチャートにより示すことができるため詳しい説明を省略する。第1の実施形態との差異としては、上述のステップS103において、位置固有情報保持部22A(MACアドレス保持部221A)が、周辺通信装置のMACアドレスを無線LANのビーコンパケットに基づいて保持する点である。   The operation related to the authentication between the remote access point 2A and the authentication device 6 in the communication system 1A can also be shown by the flowchart of FIG. As a difference from the first embodiment, in the above-described step S103, the position specific information holding unit 22A (MAC address holding unit 221A) holds the MAC address of the peripheral communication device based on the beacon packet of the wireless LAN. It is.

(B−3)第2の実施形態の効果
第2の実施形態によれば、第1の実施形態の効果に加えて以下のような効果を奏することができる。
(B-3) Effects of Second Embodiment According to the second embodiment, the following effects can be obtained in addition to the effects of the first embodiment.

リモートアクセスポイント2Aは、無線LAN上の周辺通信装置からMACアドレスを取得し、位置固有情報を作成できるので、有線LANに対応していなくても、リモートアクセスポイント2Aの使用場所を管理することができる。   Since the remote access point 2A can acquire a MAC address from a peripheral communication device on the wireless LAN and create position-specific information, the remote access point 2A can manage the usage location of the remote access point 2A even if it does not support the wired LAN. it can.

(C)他の実施形態
本発明は、上記の各実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
(C) Other Embodiments The present invention is not limited to the above-described embodiments, and may include modified embodiments as exemplified below.

(C−1)第1の実施形態ではリモートアクセスポイントが接続されている周辺機器の固有情報としてMACアドレスを利用する例を示したが、IPアドレス(例えば、グローバルIPアドレス)を用いるようにしても良い。 (C-1) In the first embodiment, the MAC address is used as the specific information of the peripheral device to which the remote access point is connected. However, an IP address (for example, a global IP address) is used. Also good.

(C−2)上記の各実施形態においては、本発明の通信装置をリモートアクセスポイントに適用した例について説明したが、例えば、他の通信装置(例えば、図1におけるクライアント端末3)に適用するようにしても良い。 (C-2) In each of the above embodiments, the example in which the communication apparatus of the present invention is applied to a remote access point has been described. However, for example, the present invention is applied to another communication apparatus (for example, the client terminal 3 in FIG. 1). You may do it.

例えば、上述の図1で言えば、クライアント端末3が直接社内ネットワーク10にVPN接続する場合に、リクライアント端末3にモートアクセスポイント2の位置固有情報保持部22を備え、位置固有情報保持部22が保持した位置固有情報を用いて認証を受けるようにしても良い。   For example, referring to FIG. 1 described above, when the client terminal 3 is directly connected to the in-house network 10 through the VPN, the reclient terminal 3 includes the position specific information holding unit 22 of the mote access point 2 and the position specific information holding unit 22. May be authenticated using the position-specific information held by the user.

(C−3)上記の各実施形態においては、リモートアクセスポイントはVPNゲートウェイとの間でVPNトンネルを確立し、VPN接続を介して社内ネットワークに接続しているが、VPNを用いずにアクセスするようにしても良い。その場合、社内ネットワークでは、VPNゲートウェイではなく、ゲートウェイ(ファイやウォール等)を備えて、リモートアクセスポイント2との間の通信を確立するようにしても良い。 (C-3) In each of the above embodiments, the remote access point establishes a VPN tunnel with the VPN gateway and is connected to the in-house network through the VPN connection, but accesses without using the VPN. You may do it. In this case, the in-house network may be provided with a gateway (such as a file or a wall) instead of the VPN gateway to establish communication with the remote access point 2.

(C−4)第1の実施形態においては、リモートアクセスポイントは、位置固有情報として有線LAN上を流れるパケットに基づいて周辺通信装置のMACアドレスを保持し、第2の実施形態においては、リモートアクセスポイントは、位置固有情報として無線LAN上のビーコンパケット等に基づいて周辺通信装置のMACアドレスを保持しているが、リモートアクセスポイントが有線LAN及び無線LANの両方に対応する場合には、無線及び有線の両方のLANのパケットを用いた位置固有情報を適用するようにしても良い。 (C-4) In the first embodiment, the remote access point holds the MAC address of the peripheral communication device based on the packet flowing on the wired LAN as the position-specific information. In the second embodiment, the remote access point The access point holds the MAC address of the peripheral communication device based on the beacon packet on the wireless LAN as position specific information. However, if the remote access point supports both the wired LAN and the wireless LAN, the access point Alternatively, position-specific information using both LAN and wired LAN packets may be applied.

1…通信システム、2…リモートアクセスポイント、3…クライアント端末、4…ブロードバンドルータ、5…VPNゲートウェイ、6…認証装置、61…認証情報格納部、7…自宅用端末、8…社内サーバ群、9…インターネット、10…社内ネットワーク(接続先ネットワーク)、11…自宅内有線LAN。   DESCRIPTION OF SYMBOLS 1 ... Communication system, 2 ... Remote access point, 3 ... Client terminal, 4 ... Broadband router, 5 ... VPN gateway, 6 ... Authentication apparatus, 61 ... Authentication information storage part, 7 ... Home terminal, 8 ... In-house server group, 9 ... Internet, 10 ... In-house network (destination network), 11 ... Home wired LAN.

Claims (7)

通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムにおいて、
上記通信装置は、
上記通信装置の周辺に配置されている周辺通信装置のそれぞれから、周辺通信装置識別情報を保持する識別情報保持手段と、
上記識別情報保持手段が保持した周辺通信装置識別情報に基づいて、上記通信装置が設置されている位置に係る位置固有情報を生成する位置固有情報生成手段と、
上記認証装置に認証を依頼する際に、上記認証装置に、少なくとも上記位置固有情報生成手段が生成した位置固有情報を与える認証依頼手段とを有し、
上記認証装置は、
上記通信装置に対して上記接続先ネットワークへの接続を許可する認証を行う接続許可位置に係る位置固有情報が格納されている位置固有情報格納手段と、
上記通信装置から認証を依頼された際に、上記通信装置から与えられた位置固有情報と、上記位置固有情報格納手段に格納されている位置固有情報とを照合し、少なくともその照合結果に基づいて、認証結果の判定を行う認証判定手段とを有する
ことを特徴とする通信システム。
In a communication system comprising a communication device and an authentication device for performing authentication relating to whether or not to connect the communication device to a connection destination network,
The communication device is
Identification information holding means for holding peripheral communication device identification information from each of the peripheral communication devices arranged around the communication device,
Based on the peripheral communication device identification information held by the identification information holding unit, position specific information generation means for generating position specific information related to the position where the communication device is installed;
When requesting authentication from the authentication device, the authentication device has authentication request means for giving at least the position specific information generated by the position specific information generation means,
The authentication device
Position-specific information storage means for storing position-specific information related to a connection-permitted position that performs authentication for permitting connection to the connection destination network with respect to the communication device;
When authentication is requested from the communication device, the location-specific information given from the communication device is collated with the location-specific information stored in the location-specific information storage means, and at least based on the collation result An authentication determination means for determining an authentication result.
上記識別情報保持手段が保持する、周辺通信装置識別情報は、周辺通信装置のMACアドレスであることを特徴とする請求項1に記載の通信システム。     2. The communication system according to claim 1, wherein the peripheral communication device identification information held by the identification information holding means is a MAC address of the peripheral communication device. 上記通信装置が少なくとも有線LANに対応した通信装置である場合に、
上記識別情報保持手段において、上記通信装置と同一の有線LAN上に接続されている通信装置の識別情報を、周辺通信装置の周辺通信装置識別情報として保持する
ことを特徴とする請求項2に記載の通信システム。
When the communication device is a communication device compatible with at least a wired LAN,
The identification information holding unit holds identification information of a communication device connected on the same wired LAN as the communication device as peripheral communication device identification information of the peripheral communication device. Communication system.
上記通信装置が、少なくとも無線LANに対応した通信装置である場合に、
上記識別情報保持手段では、当該通信装置が直接受信したビーコンパケットの送信元の通信装置の識別情報を、周辺通信装置の周辺通信装置識別情報として保持する
ことを特徴とする請求項2に記載の通信システム。
When the communication device is a communication device compatible with at least a wireless LAN,
The said identification information holding | maintenance means hold | maintains the identification information of the communication apparatus of the transmission source of the beacon packet which the said communication apparatus received directly as peripheral communication apparatus identification information of a peripheral communication apparatus. Communications system.
上記通信装置は、配下に通信端末を収容し、上記通信端末を上記接続先ネットワークに接続させるものであることを特徴とする請求項1〜4のいずれかに記載の通信システム。   The communication system according to any one of claims 1 to 4, wherein the communication device accommodates a communication terminal under control and connects the communication terminal to the connection destination network. 通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムを構成する上記通信装置において、
上記通信装置の周辺に配置されている周辺通信装置のそれぞれから、周辺通信装置識別情報を保持する識別情報保持手段と、
上記識別情報保持手段が保持した周辺通信装置識別情報に基づいて、上記通信装置が設置されている位置に係る位置固有情報を生成する位置固有情報生成手段と、
上記認証装置に認証を依頼する際に、上記認証装置に、少なくとも上記位置固有情報生成手段が生成した位置固有情報を与える認証依頼手段と
を有することを特徴とする通信装置。
In the communication device that constitutes a communication system comprising a communication device and an authentication device that performs authentication related to whether or not to connect the communication device to a connection destination network,
Identification information holding means for holding peripheral communication device identification information from each of the peripheral communication devices arranged around the communication device,
Based on the peripheral communication device identification information held by the identification information holding unit, position specific information generation means for generating position specific information related to the position where the communication device is installed;
A communication apparatus, comprising: authentication requesting means for providing at least position-specific information generated by the position-specific information generating means to the authentication apparatus when requesting authentication from the authentication apparatus.
通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムを構成する上記認証装置において、
上記通信装置に対して上記接続先ネットワークへの接続を許可する認証を行う接続許可位置に係る位置固有情報として、上記接続許可位置の周辺に配置されている周辺通信装置の周辺通信装置識別情報が格納されている位置固有情報格納手段と、
上記通信装置から認証を依頼された際に、上記通信装置から与えられた位置固有情報と、上記位置固有情報格納手段に格納されている位置固有情報とを照合し、少なくともその照合結果に基づいて、認証結果の判定を行う認証判定手段と
を有することを特徴とする認証装置。
In the above-mentioned authentication device constituting a communication system comprising a communication device and an authentication device that performs authentication relating to whether or not to connect the communication device to a connection destination network,
Peripheral communication device identification information of peripheral communication devices arranged around the connection-permitted position as position-specific information related to a connection-permitted position that performs authentication for permitting connection to the connection destination network with respect to the communication device. The stored location-specific information storage means;
When authentication is requested from the communication device, the location-specific information given from the communication device is collated with the location-specific information stored in the location-specific information storage means, and at least based on the collation result And an authentication determination means for determining an authentication result.
JP2009076870A 2009-03-26 2009-03-26 Communication system, communication device and authentication device Pending JP2010231396A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009076870A JP2010231396A (en) 2009-03-26 2009-03-26 Communication system, communication device and authentication device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009076870A JP2010231396A (en) 2009-03-26 2009-03-26 Communication system, communication device and authentication device

Publications (1)

Publication Number Publication Date
JP2010231396A true JP2010231396A (en) 2010-10-14

Family

ID=43047162

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009076870A Pending JP2010231396A (en) 2009-03-26 2009-03-26 Communication system, communication device and authentication device

Country Status (1)

Country Link
JP (1) JP2010231396A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012050063A1 (en) 2010-10-14 2012-04-19 カルソニックカンセイ株式会社 Electric compressor
WO2014207929A1 (en) * 2013-06-28 2014-12-31 富士通株式会社 Information processing device, terminal, information processing system, and information processing method
JP2015032227A (en) * 2013-08-05 2015-02-16 富士通株式会社 Terminal device, authentication device, authentication processing system, and authentication processing method
WO2017014164A1 (en) * 2015-07-17 2017-01-26 日本電気株式会社 Communication system, communication device, communication method, terminal, and program
WO2017014163A1 (en) * 2015-07-17 2017-01-26 日本電気株式会社 Communication system, communication device, communication method, terminal, and program
JP2017531937A (en) * 2014-09-05 2017-10-26 アルカテル−ルーセント Distributed and mobile virtual fence

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012050063A1 (en) 2010-10-14 2012-04-19 カルソニックカンセイ株式会社 Electric compressor
WO2014207929A1 (en) * 2013-06-28 2014-12-31 富士通株式会社 Information processing device, terminal, information processing system, and information processing method
JP6056970B2 (en) * 2013-06-28 2017-01-11 富士通株式会社 Information processing apparatus, terminal, information processing system, and information processing method
JP2015032227A (en) * 2013-08-05 2015-02-16 富士通株式会社 Terminal device, authentication device, authentication processing system, and authentication processing method
JP2017531937A (en) * 2014-09-05 2017-10-26 アルカテル−ルーセント Distributed and mobile virtual fence
WO2017014164A1 (en) * 2015-07-17 2017-01-26 日本電気株式会社 Communication system, communication device, communication method, terminal, and program
WO2017014163A1 (en) * 2015-07-17 2017-01-26 日本電気株式会社 Communication system, communication device, communication method, terminal, and program
JPWO2017014163A1 (en) * 2015-07-17 2018-04-26 日本電気株式会社 Communication system, communication apparatus, communication method, terminal, program
JPWO2017014164A1 (en) * 2015-07-17 2018-07-05 日本電気株式会社 Communication system, communication apparatus, communication method, terminal, program
US10313156B2 (en) 2015-07-17 2019-06-04 Nec Corporation Communication system, communication apparatus, communication method, terminal, non-transitory medium
US10764088B2 (en) 2015-07-17 2020-09-01 Nec Corporation Communication system, communication apparatus, communication method, terminal, non-transitory medium
US11870604B2 (en) 2015-07-17 2024-01-09 Nec Corpoation Communication system, communication device, communication method, terminal, non-transitory medium for providing secure communication in a network

Similar Documents

Publication Publication Date Title
US10491583B2 (en) Provisioning remote access points
CN104506510B (en) Method and device for equipment authentication and authentication service system
CN101127600B (en) A method for user access authentication
CN1531245B (en) Server, terminal controller and terminal weight determiner
CN102457507B (en) Cloud computing resources secure sharing method, Apparatus and system
CN105100052B (en) Server, mobile phone terminal and its account number and apparatus bound execution, control method
KR101438343B1 (en) Method of assigning a user key in a convergence network
US9549318B2 (en) System and method for delayed device registration on a network
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
JP2010231396A (en) Communication system, communication device and authentication device
CN103428203A (en) Access control method and device
JP2006203300A (en) Transfer apparatus, accessibility determining method and program
US8627423B2 (en) Authorizing remote access points
JP7535022B2 (en) Apparatus, method and program for remotely managing devices
WO2021104152A1 (en) Methods for application login and application visiting application server, and electronic device
CN104662871A (en) Method and device for securely accessing a web service
JP2023015376A (en) Device and method for mediating setting of authentication information
CN104468619A (en) Method and gateway for achieving dual-stack web authentication
JP2006180095A (en) Gateway, and access control method of web server
KR20130018703A (en) Method of securing access to data or services that are accessible via a device implementing the method and corresponding device
TW201935907A (en) Network system
CN103607403A (en) Method, device and system for using safety domain in NAT network environment
CN102123153B (en) Method, device and system for authenticating IPv4/IPv6 (internet protocol version 4/internet protocol version 6) dual-stack host
WO2011017921A1 (en) System and method for visiting a visited service provider
CN105991631B (en) A kind of client device access authentication method and device