JP2013105250A - アクセス回線特定・認証システム - Google Patents

アクセス回線特定・認証システム Download PDF

Info

Publication number
JP2013105250A
JP2013105250A JP2011247495A JP2011247495A JP2013105250A JP 2013105250 A JP2013105250 A JP 2013105250A JP 2011247495 A JP2011247495 A JP 2011247495A JP 2011247495 A JP2011247495 A JP 2011247495A JP 2013105250 A JP2013105250 A JP 2013105250A
Authority
JP
Japan
Prior art keywords
address
line
information
user
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011247495A
Other languages
English (en)
Other versions
JP5715030B2 (ja
Inventor
Shuichi Okamoto
修一 岡本
Michiaki Hayashi
通秋 林
Nobutaka Matsumoto
延孝 松本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2011247495A priority Critical patent/JP5715030B2/ja
Publication of JP2013105250A publication Critical patent/JP2013105250A/ja
Application granted granted Critical
Publication of JP5715030B2 publication Critical patent/JP5715030B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

【課題】接続元情報が動的に割り当てられるネットワークにおいてもIPバージョンに依存することなく、シンプルな仕組みでアクセス回線の特定・認証を可能にする。
【解決手段】アクセスNW機器13は、HGW12のMACアドレスが偽装でなければ、ユーザ端末装置16の接続を許可すると共に、アドレス払出し装置14にアドレス払出し要求を送信する。アドレス払出し装置14は、事前準備時に、HGW12にアドレスを払出すと共に、払出しアドレス情報をアクセス回線特定・認証装置15に送信する。アクセス回線特定・認証装置15は、払出しアドレス情報とユーザ基本情報の紐付情報を登録し、回線認証時に、サービス提供サーバ19から回線認証要求を受け、紐付情報とエッジルータ17が保持するアドレスを用いて偽装アドレスと回線をチェックし、その結果をサービス提供サーバ19に返す。
【選択図】図1

Description

本発明は、アクセス回線特定・認証システムに関し、特に、接続元に対して接続元情報が動的に割り当てられる固定系ネットワークにおいてもIPバージョンに依存することなく、シンプルな仕組みで接続元アクセス回線を特定・認証することができるアクセス回線特定・認証システムに関する。
DHCP(dynamic host configuration protocol)では、接続元のユーザ端末装置がネットワークに接続されたとき、接続元に対してIPアドレスなどの接続元情報が動的に割り当てられる。また、インターネットなどのIP通信においては、偽装IPアドレスや偽装MACアドレスにより接続元なりすましが行われる恐れがある。
光ファイバや電気導線などからなる通信ケーブルを物理的に接続して構成される固定系ネットワークにおいて、接続元に対してIPアドレスなどの接続元情報が動的に割り当てられる場合でも、接続元アクセス回線を特定する共に、偽装IPアドレスや偽装MACアドレスによるアクセスを防ぐ仕組みを備え、接続元を保証することが要求される。しかし、DHPCのような固定系ネットワークでは、接続元に対して接続元情報が動的に割り当てられ、また、接続元なりすましが行われる恐れもあるので、接続元情報によりアクセス回線を特定することは困難である。
特許文献1には、パスワードなどを利用せず、IPv6ネットワークの回線認証を利用してIPv4ネットワークにおいてサービス提供の制御を可能にする通信システムが提案されている。これでは、IPv6ルータによる回線認証によって接続元端末装置の信頼性を担保し、IPv6ネットワークに接続された回線認証局が接続元端末装置からの証明書発行要求に従って回線証明書を発行し、接続元端末装置が回線証明書を受けてそれ含むサービス提供要求をIPv4ネットワークに送信してサービスプロバイダシステムからサービス提供を受ける。
特許文献2には、サービス利用者によるアサーションの使い回し行為や正規サービス提供者に成りすまして行われるフィッシング行為を防止する利用者回線認証システムが提案されている。これでは、サービス提供者の利用者回線認証装置が利用者端末から利用者IDを含むログイン要求を受信し、アサーション要求(チャレンジ、リンクID)を利用者端末に送信する。利用者端末は、アサーション要求を回線事業者のネットワーク管理装置に転送する。回線事業者は、ネットワーク管理装置とサービス管理装置を用いて正しい回線からのアクセスであることを保証するアサーション(チャレンジ、リンクID、電子署名)を生成してアサーション要求に対する応答として利用者端末に送信する。利用者端末は、このアサーションを含む回線認証要求をサービス提供者の利用者回線認証装置に送信して回線認証を受ける。
特開2006−25010号公報 特開2008−42819号公報
特許文献1の通信システムでは、IPv6ルータにおいて、接続元端末装置からの証明書発行要求中の回線識別子が接続元端末装置を収容する回線に予め付与された回線識別子に一致するか否かを認証し、この認証を元に証明書発行要求を認証局に転送し、認証局が回線証明書を接続元端末装置に送信する。これにより接続元端末装置の信頼性を担保することができる。
しかし、特許文献1で提案されている通信システムでは、偽装IPアドレスや偽装MACアドレスによる第3者のなりすましを防止し、接続元端末装置の信頼性を担保するために、IPv6ルータが備える接続元アクセス回線を特定する仕組み(回線認証機能)を利用する。その仕組みは、IPv6で特有なものであるので、特許文献1の通信システムは、IPv6ネットワークやIPv6プロトコルを必須とし、ネットワーク環境やユーザ属性によってはそれを適用できないという課題がある。
特許文献2で提案されている利用者回線認証システムでは、利用者端末が、サービス提供者の利用者回線認証装置にログイン要求を送信し、それに対する応答として送信されるアサーション要求を受信して回線事業者のサービス管理装置に転送し、さらに、回線事業者からアサーション要求に対する応答として送信されるアサーションを受信し、受信されたアサーションを元にサービス提供者に回線認証要求を送信する。このように、特許文献2で提案されている利用者回線認証システムでは、回線事業者とサービス提供者の間に利用者端末が介在して回線認証を行うので、利用者端末に特別な仕組みやアプリケーションを組み込む必要があるという課題がある。
本発明の目的は、接続元に対して接続元情報が動的に割り当てられるネットワークにおいてもIPバージョンに依存することなく、シンプルな仕組みで接続元アクセス回線の特定・認証ができるアクセス回線特定・認証システムを提供することにある。
上記課題を解決するため、本発明は、ユーザ情報管理装置、宅内サーバ、アクセスネットワーク機器、アドレス払出し装置およびアクセス回線特定・認証装置を備え、前記ユーザ情報管理装置は、ユーザ端末装置が接続された回線の回線ID、前記宅内サーバのMACアドレスおよび前記ユーザ端末装置がネットワーク接続に利用するエッジルータの接続エッジルータ情報を含むユーザ基本情報を格納し、前記宅内サーバは、前記アドレス払出し装置が払出したアドレスを前記ユーザ端末装置に割り当て、前記アクセスネットワーク機器は、前記宅内サーバのMACアドレスが偽装アドレスでないかどうかをチェックする機能を有し、偽装アドレスでない場合に、前記ユーザ端末装置がネットワークに接続されることを許可すると共に、前記アドレス払出し装置にアドレス払出し要求を送信し、前記アドレス払出し装置は、前記アクセスネットワーク機器からのアドレス払出し要求に従って前記宅内サーバにアドレスを払出すと共に、払出したアドレスと前記宅内サーバのMACアドレスのペアを払出しアドレス情報として前記アクセス回線特定・認証装置に送信し、前記アクセス回線特定・認証装置は、回線認証要求に先立つ事前準備時に、前記ユーザ情報管理装置から取得されるユーザ基本情報のうち、前記アドレス払出し装置からの払出しアドレス情報中のMACアドレスに対応するユーザ基本情報を該払出しアドレス情報に紐付けして紐付情報として登録し、回線認証要求時に、ユーザIDに対して回線IDを保持するサービス提供サーバから、ユーザ端末装置から送信された接続/サービス要求中のユーザIDに対応する回線IDと前記接続/サービス要求中のアドレスを含む回線認証要求を受け、前記紐付情報およびエッジルータで保持されているアドレスを用いて、該回線認証要求中のアドレスが偽装アドレスでないかどうか、さらに前記紐付情報中の回線IDが前記回線認証要求中の回線IDに一致するかどうかをチェックし、その結果を前記回線認証要求に対する回答として前記サービス提供サーバに返すことを特徴としている。
また、本発明は、前記ユーザ基本情報が、さらに回線住所情報を含み、前記アクセス回線特定・認証装置は、回線認証要求時に、ユーザIDに対して回線IDおよびユーザ住所情報を保持するサービス提供サーバから、ユーザ端末装置から送信された接続/サービス要求中のユーザIDに対応する回線IDとユーザ住所情報および前記接続/サービス要求中のアドレスを含む回線認証要求を受け、前記紐付情報およびエッジルータで保持されているアドレスを用いて、該回線認証要求中のアドレスが偽装アドレスでないかどうか、前記紐付情報中の回線IDが前記回線認証要求中の回線IDに一致するかどうか、さらに前記紐付情報中の回線住所情報が前記回線認証要求中のユーザ住所情報に一致するかどうかをチェックし、その結果を前記回線認証要求に対する回答として前記サービス提供サーバに返すことを特徴としている。
さらに、本発明は、前記前記アドレス払出し装置が、前記宅内サーバの仕様がIPv4でもIPv6でも対応可能であることを特徴としている。
本発明によれば、接続元に対して接続元情報が動的に割り当てられるネットワークにおいてもIPバージョンに依存することなく、シンプルな仕組みで接続元アクセス回線を特定・認証することができる。
また、ユーザ端末装置に特別な仕組みやアプリケーションを組み込む必要がなく、ユーザは、通常のログイン手順でサービス提供サーバにアクセスするだけでよく、それにより回線認証を受けてサービス提供サーバが提供するサービスを受けることができる。
さらに、回線認証時に、回線住所情報とユーザ住所情報を照合するようにすることにより、ユーザ住所情報に一致する回線住所情報の回線からのアクセスに限定したサービス提供が可能になる。
本発明に係るアクセス回線特定・認証システムの一実施形態の構成を示すブロック図である。 図1のアクセス回線特定・認証システムの事前準備時の動作を示すシーケンス図である。 図1のアクセス回線特定・認証システムの認証要求時の動作を示すシーケンス図である。
本発明は、IPアドレスは動的に割り当てられて変化するが、回線IDは固定であり、宅内サーバ(home gate way:以下、HGWと称する)のMACアドレスを接続元ごとに固定すると、回線IDは、HGWのMACアドレスと1:1に対応するという点に着目し、それを利用してアクセス回線の特定・認証を行うものである。
以下、図面を参照して本発明を説明する。図1は、本発明に係るアクセス回線特定・認証システムの一実施形態の構成を示すブロック図である。
本実施形態のアクセス回線特定・認証システムは、ユーザ情報管理装置11、HGW12、アクセスネットワーク機器(アクセスNW機器)13、アドレス払出し装置14およびアクセス回線特定・認証装置15を備える。
ユーザ情報管理装置11は、各ユーザのユーザ情報を収容し、管理する。ユーザ情報には、ユーザ端末装置(接続元端末装置)を収容する回線ID、回線工事などの際に必要とされた回線住所情報、HGWのMACアドレス、ユーザ端末装置をネットワーク接続するエッジルータの情報(接続エッジルータ情報)などのユーザ基本情報が含まれる。それらの情報は、通信事業者(キャリア)とユーザとのネットワーク使用契約に従って設定され、ユーザごとに紐付けられている。
HGW12は、通信事業者により提供される機器であり、宅内ネットワークと通信事業者ネットワークの境界に配設される。HGW12には通信事業者により予め個別にMACアドレスが割り当てられており、このMACアドレスは、ユーザ側で変更することはできない。宅内ネットワークには、接続元としてのユーザ端末装置16が接続される。ここでは1つのユーザ端末装置が図示されているが、複数のユーザ端末装置が接続されることもある。
アクセスNW機器13は、HGW12とエッジルータ17の間に配設され、HGW12のMACアドレスが偽装MACアドレスでないかどうか、すなわち、HGW12として正規HGWが接続されているかどうかをチェックする機能を有する。アクセスNW機器13は、HGW12のMACアドレスが偽装MACアドレスでないことを確認すれば、ユーザ端末装置16からインターネットなどのネットワーク(以下では、インターネットと称する)18への接続を許可すると共に、アドレス払出し装置14にアドレス払出し要求を送信してユーザ端末装置16に対するIPアドレスの払出しを要求する。このチェックには、IEEE802.1xでの標準化規格を利用することができる。IEEE802.1xではポートベースのネットワークアクセス制御について規定している。これによればダイナミックなポートベースセキュリティが可能となり、偽装MACアドレスによるネットワークアクセスを防ぐことができる。
アクセスNW機器13によりユーザ端末装置16からインターネット18への接続が許可されれば、ユーザ端末装置16は、HGW12、アクセスNW機器13、エッジルータ17およびインターネット18を通してサービス提供サーバ19にアクセスすることができる。HGW12のMACアドレスが偽装MACアドレスである場合、すなわち、正規HGWが接続されていない場合には、ユーザ端末装置16から接続/サービス要求が送信されても、そのインターネット18への接続は拒否される。
アドレス払出し装置14は、アクセスNW機器13からのアドレス払出し要求に従ってユーザ端末装置16に対するIPアドレスを払出す。このIPアドレスは、HGW12によりユーザ端末装置16に割り当てられる。回線認証要求時には、ここで割り当てられたIPアドレスを含む接続/サービス要求がユーザ側から送信される。また、アドレス払出し装置14は、払出しアドレス情報をアクセス回線特定・認証装置15に送信する。払出しアドレス情報は、ユーザ端末装置16に対して払出したIPアドレスとHGW12のMACアドレスのペアからなる。
アクセス回線特定・認証装置15は、ユーザ情報管理装置11により登録されたユーザ基本情報のうち、アドレス払出し装置14から送信された払出しアドレス情報中のHGW12のMACアドレスと同じMACアドレスを有するユーザ基本情報を払い出しアドレス情報に紐付けし、紐付情報として登録する。すなわち、紐付情報は、ユーザごとに紐付けられた、回線ID(固定)−回線住所情報(固定)−HGWのMACアドレス(固定)−IPアドレス(可変)からなる。なお、これらの情報を登録するデータベース(DB)は、外部装置として構成してもよい。
エッジルータ17は、ユーザ側とインターネット18の境界に位置し、その間の接続を確立し、また、ここを通る接続/サービス要求のMACアドレスとIPアドレスを保持する。
サービス提供サーバ19は、ユーザから予め郵送やその他の方法で提供された回線ID(ユーザ端末装置を収容する回線ID)をユーザIDに対応させて保持する。サービス提供サーバ19は、ユーザ端末装置16から送信される接続/サービス要求を受信すると、インターネット18とは別の経路(コントロールプレーン)で回線認証要求をアクセス回線特定・認証装置15に送信し、それに対する回答を受信する。接続/サービス要求は、ユーザIDとIPアドレスを含み、回線認証要求は、接続/サービス要求中のユーザIDに対応して保持している回線IDと接続/サービス要求中のIPアドレスを含む。ここで、回線特定・認証装置15でのアクセス回線の特定・認証の結果、ユーザ端末装置16からのアクセスが正規アクセス回線からのアクセスであるという回答が返されれば、サービス提供サーバ19は、ユーザ端末装置16からの接続/サービス要求に応じる。
アクセス回線特定・認証装置15は、サービス提供サーバ19からの回線認証要求を受信し、回線認証要求中のIPアドレスと回線IDが正規組み合わせであるかどうかを判定する。ここで、IPアドレスと回線IDの正規組み合わせであると判定された場合、正規アクセス回線からのアクセスであるという回答をサービス提供サーバ19に返す。そうでない場合には、正規アクセス回線からのアクセスではないという回答をサービス提供サーバ19に返す。IPアドレスと回線IDが正規組み合わせであるかどうかの判定の処理については、後で説明する。
図2は、図1のアクセス回線特定・認証システムにおける事前準備時の動作を示すシーケンス図である。事前準備時では、以下に説明するように、ユーザの意識なしに、システム内で自動的に、ユーザ端末装置に対するIPアドレスの払出し、MAC偽装チェック、ユーザ情報管理装置からのユーザ基本情報とアドレス払出し装置からの払出しアドレス情報の登録が実行される。
図2に示すように、まず、アクセス回線特定・認証装置15は、ユーザ情報管理装置11からユーザ基本情報である回線ID、回線住所情報、HGW12のMACアドレス、接続エッジルータ情報を取得し、ユーザごとに登録する(S1)。
アクセスNW機器13は、HGW12の起動時ならびに起動後一定時間経過ごとに、HGW12との間でHGW12が正規HGWであるかどうか、すなわち、HGW12のMACアドレスが偽装MACアドレスでないかどうかのチェックを行う(S2)。ここで、MACアドレスが偽装MACアドレスでない、すなわち、HGW12として正規HGWが接続されていれば、アクセスNW機器13は、ユーザ端末装置16からインターネット18への接続を許可すると共に、アドレス払出し装置14にアドレス払出し要求を送信し、ユーザ端末装置16に対するIPアドレスの払出しを要求する(S3)。しかし、MACアドレスが偽装MACアドレスである、すなわち、HGW12として不正HGWが接続されると、何らかの不正を行おうとしているとして、アクセスNW機器13は、ユーザ端末装置16から接続/サービス要求が送信されても、そのインターネット18への接続を拒否する。
アドレス払出し装置14は、アクセスNW機器13からのアドレス払出し要求に従い、HGW12にユーザ端末装置16に対するIPアドレスを払出す(S4)。なお、アドレス払出し装置14を、HGW12の仕様に合わせ、IPv4/IPv6何れのIPアドレスも払出しできるように構成しておくことにより、IPv4とIPv6の両者に対処できる。アドレス払出し装置14により払い出されたIPアドレスは、ユーザ端末装置16に割り当てられる。したがって、回線認証要求時には、ここで割り当てられたIPアドレスを含む接続/サービス要求がユーザ側から送信される。また、アドレス払出し装置14は、HGW12に払出したIPアドレスとHGW12のMACアドレスのペアを払出しアドレス情報としてアクセス回線特定・認証装置15に送信する。
アクセス回線特定・認証装置15は、(S1)でユーザ情報管理装置11により登録されたユーザ基本情報のうち、アドレス払出し装置14から送信された払出しアドレス情報中のHGW12のMACアドレスと同じMACアドレスを有するユーザ基本情報を払い出しアドレス情報に紐付けし、紐付情報として登録する(S5)。すなわち、紐付情報は、ユーザごとに紐付けられた、回線ID(固定)−回線住所情報(固定)−HGWのMACアドレス(固定)−IPアドレス(可変)からなる。
図3は、図1のアクセス回線特定・認証システムにおける認証要求時の動作を示すシーケンス図である。回線認証要求時には、以下に説明するように、ユーザ端末装置からの接続/サービス要求に対してアクセス回線の特定・認証を行い、サービス提供サーバによるサービス提供を許可あるいは拒否する。なお、サービス提供サーバは、ユーザから提供された回線IDをユーザIDに対応させて予め保持している。
図3に示すように、まず、ユーザは、サービス提供サーバ19によるサービス提供を受けるため、ユーザ端末装置16からHGW12、アクセスNW機器13、エッジルータ17およびインターネット18を介してサービス提供サーバ19に接続/サービス要求を送信する(S6)。接続/サービス要求は、ユーザIDとIPアドレスを含む。これは、ユーザに特別な操作を要求することなく、通常のアクセスと同様の操作で送信される。エッジルータ17は、この接続/サービス要求に伴うアドレス(IPアドレスとMACアドレス)を保持する機能を有する。
サービス提供サーバ19は、予め保持しているユーザIDと回線IDの対応から、接続/サービス要求中のユーザIDに対応する回線IDを取得し、この回線IDとIPアドレスを含む回線認証要求をアクセス回線特定・認証装置15に送信する(S7)。ここで、IPアドレスは、接続/サービス要求中のものである。
アクセス回線特定・認証装置15は、サービス提供サーバ19からの回線認証要求を受信し、まず、回線認証要求中のIPアドレス(接続/サービス要求中のIPアドレス)が偽装IPアドレスでないかどうかをチェックする(S8)。このチェックは、接続/サービス要求が送信されたエッジルータ17を回線認証要求中のIPアドレスから特定し、該エッジルータ17が該IPアドレスに対応して保持しているMACアドレスを取得し、取得されたMACアドレスとIPアドレスのペアが(S5)で登録されたMACアドレスとIPアドレスのペアと一致するかどうかを照合することで実現できる。ここで、IPアドレスが偽装IPアドレスでなければ、両者のIPアドレスとMACアドレスのペアは一致し、IPアドレスが偽装IPアドレスであれば、両者のIPアドレスとMACアドレスのペアは一致しない。
IPアドレスが偽装IPアドレスでないと判定されれば、アクセス回線特定・認証装置15は、(S1)ならびに(S5)で登録された紐付情報(回線ID(固定)−回線住所情報(固定)−HGW12のMACアドレス(固定)−IPアドレス(可変))を確認し、回線認証を行う(S9)。回線認証は、IPアドレス偽装チェックの際のMACアドレスと同じMACアドレスを有する紐付情報の回線IDが回線認証要求中の回線IDに一致するかどうかを照合することで実現できる。すなわち、上記紐付情報の回線IDが回線認証要求中の回線IDに一致すれば、サービス提供サーバ19に予め保持された回線IDの回線からの接続/サービス要求であることが分かる。
次に、アクセス回線特定・認証装置15は、回線認証要求に対する回答をサービス提供サーバ19に返す(S10)。サービス提供サーバ19は、この回答に従って、ユーザ端末装置16からの接続/サービス要求を許可あるいは拒否する(S11)。
以上のように、HGWのMACアドレスおよびIPアドレスが偽装アドレスでなく、サービス提供サーバ19が予め保持している回線からのアクセスであれば、サービス提供サーバ19からユーザ端末装置16へのサービス提供が許可され、そうでなければ、サービス提供が拒否される。
以上、実施形態について説明したが、本発明は、上記実施形態に限定されるものではない。例えば、(S1)ならびに(S5)で登録される紐付情報は、回線住所情報を含むので、これを利用して接続元情報を割り出すことができる。
また、上記実施形態では、HGWのMACアドレスおよびIPアドレスが偽装アドレスでなく、サービス提供サーバ19が予め保持している回線からのアクセスであることを条件としてサービス提供を許可するようにしているが、さらに、ユーザ住所を条件としてサービス提供を許可するようにすることもできる。
これは、回線IDに加えてユーザ住所情報をサービス提供サーバ19に保持させることで実現できる。この場合、回線認証要求にユーザ住所情報を含ませてアクセス回線・認証装置15に送信し、アクセス回線・認証装置15では、紐付情報の回線IDが回線認証要求中の回線IDに一致するかどうかの照合に加えて、紐付情報の回線住所情報がユーザ住所情報に一致するかどうかの照合を行い、両者の照合結果に応じてサービス提供を許可あるいは拒否するようにすればよい。
これによれば、例えば、在宅勤務などの場合に、勤務先(社員データベース)に登録してあるユーザの自宅住所と回線住所とが一致するかどうかをチェックし、ユーザの自宅に限定してサービス提供サーバ19へのアクセスを許可するようにできる。
なお、サービス提供サーバ19がユーザIDに対して保持する回線IDは、回線IDそのものでなくてもよく、回線を識別し得る情報ならばどのようなものでもよい。また、ユーザ住所情報は、地名番地に限らず、一定エリアを示すエリアコードなどのエリア特定情報でもよく、その場合には、回線住所がエリアに含まれるかどうかを照合すればよい。
以上の説明から明らかなように、アドレス払出し装置やアクセス回線特定・認証装置は、どのようなIPバージョンでも動作可能にすることができるので、IPv4やIPv6といったIPバージョンに縛られることなく、アクセス回線を特定・認証することができる。また、ユーザ端末装置は、通常のログイン手順でサービス提供サーバにアクセスするだけでよいので、特別な仕組みやアプリケーションを組み込む必要がない。さらに、サービス提供サーバは、ユーザから提供される回線ID(あるいは回線IDとユーザ住所情報)をユーザIDに対応させて保持するだけでよく、特殊な情報の送受を必要としない。
11・・・ユーザ情報管理装置、12・・・宅内サーバ(HGW)、13・・・アクセスネットワーク機器、14・・・アドレス払出し装置、15・・・アクセス回線特定・認証装置、16・・・ユーザ端末装置、17・・・エッジルータ、18・・・ネットワーク(インターネット)、19・・・サービス提供サーバ

Claims (3)

  1. ユーザ情報管理装置、宅内サーバ、アクセスネットワーク機器、アドレス払出し装置およびアクセス回線特定・認証装置を備え、
    前記ユーザ情報管理装置は、ユーザ端末装置が接続された回線の回線ID、前記宅内サーバのMACアドレスおよび前記ユーザ端末装置がネットワーク接続に利用するエッジルータの接続エッジルータ情報を含むユーザ基本情報を格納し、
    前記宅内サーバは、前記アドレス払出し装置が払出したアドレスを前記ユーザ端末装置に割り当て、
    前記アクセスネットワーク機器は、前記宅内サーバのMACアドレスが偽装アドレスでないかどうかをチェックする機能を有し、偽装アドレスでない場合に、前記ユーザ端末装置がネットワークに接続されることを許可すると共に、前記アドレス払出し装置にアドレス払出し要求を送信し、
    前記アドレス払出し装置は、前記アクセスネットワーク機器からのアドレス払出し要求に従って前記宅内サーバにアドレスを払出すと共に、払出したアドレスと前記宅内サーバのMACアドレスのペアを払出しアドレス情報として前記アクセス回線特定・認証装置に送信し、
    前記アクセス回線特定・認証装置は、
    回線認証要求に先立つ事前準備時に、前記ユーザ情報管理装置から取得されるユーザ基本情報のうち、前記アドレス払出し装置からの払出しアドレス情報中のMACアドレスに対応するユーザ基本情報を該払出しアドレス情報に紐付けして紐付情報として登録し、
    回線認証要求時に、ユーザIDに対して回線IDを保持するサービス提供サーバから、ユーザ端末装置から送信された接続/サービス要求中のユーザIDに対応する回線IDと前記接続/サービス要求中のアドレスを含む回線認証要求を受け、前記紐付情報およびエッジルータで保持されているアドレスを用いて、該回線認証要求中のアドレスが偽装アドレスでないかどうか、さらに前記紐付情報中の回線IDが前記回線認証要求中の回線IDに一致するかどうかをチェックし、その結果を前記回線認証要求に対する回答として前記サービス提供サーバに返すことを特徴とするアクセス回線特定・認証システム。
  2. 前記ユーザ基本情報は、さらに回線住所情報を含み、
    前記アクセス回線特定・認証装置は、
    回線認証要求時に、ユーザIDに対して回線IDおよびユーザ住所情報を保持するサービス提供サーバから、ユーザ端末装置から送信された接続/サービス要求中のユーザIDに対応する回線IDとユーザ住所情報および前記接続/サービス要求中のアドレスを含む回線認証要求を受け、前記紐付情報およびエッジルータで保持されているアドレスを用いて、該回線認証要求中のアドレスが偽装アドレスでないかどうか、前記紐付情報中の回線IDが前記回線認証要求中の回線IDに一致するかどうか、さらに前記紐付情報中の回線住所情報が前記回線認証要求中のユーザ住所情報に一致するかどうかをチェックし、その結果を前記回線認証要求に対する回答として前記サービス提供サーバに返すことを特徴とする請求項1に記載のアクセス回線特定・認証システム。
  3. 前記前記アドレス払出し装置は、前記宅内サーバの仕様がIPv4でもIPv6でも対応可能であることを特徴とする請求項1または2に記載のアクセス回線特定・認証システム。
JP2011247495A 2011-11-11 2011-11-11 アクセス回線特定・認証システム Expired - Fee Related JP5715030B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011247495A JP5715030B2 (ja) 2011-11-11 2011-11-11 アクセス回線特定・認証システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011247495A JP5715030B2 (ja) 2011-11-11 2011-11-11 アクセス回線特定・認証システム

Publications (2)

Publication Number Publication Date
JP2013105250A true JP2013105250A (ja) 2013-05-30
JP5715030B2 JP5715030B2 (ja) 2015-05-07

Family

ID=48624761

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011247495A Expired - Fee Related JP5715030B2 (ja) 2011-11-11 2011-11-11 アクセス回線特定・認証システム

Country Status (1)

Country Link
JP (1) JP5715030B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2015056601A1 (ja) * 2013-10-16 2017-03-09 日本電信電話株式会社 鍵装置、鍵クラウドシステム、復号方法、およびプログラム
JP2017083945A (ja) * 2015-10-23 2017-05-18 ビッグローブ株式会社 認証システム、認証方法およびプログラム
JP2018026140A (ja) * 2017-08-29 2018-02-15 ビッグローブ株式会社 認証システム、認証方法およびプログラム
JP2020004434A (ja) * 2019-09-02 2020-01-09 ビッグローブ株式会社 認証システム、認証方法およびプログラム

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008015934A (ja) * 2006-07-07 2008-01-24 Nippon Telegr & Teleph Corp <Ntt> サービスシステムおよびサービスシステム制御方法
JP2008282166A (ja) * 2007-05-09 2008-11-20 Nippon Telegr & Teleph Corp <Ntt> 認証システム
JP2009043043A (ja) * 2007-08-09 2009-02-26 Nec Corp Sipを用いた認証システムおよび認証方法
JP2010268084A (ja) * 2009-05-12 2010-11-25 Nippon Telegr & Teleph Corp <Ntt> ユーザ認証システム、プロキシ装置、ユーザ認証方法およびプログラム
JP2011040040A (ja) * 2009-07-16 2011-02-24 Hitachi Ltd 情報処理方法および情報処理システム
JP2012073754A (ja) * 2010-09-28 2012-04-12 Nippon Telegr & Teleph Corp <Ntt> 認証システムおよび認証方法
JP2012208601A (ja) * 2011-03-29 2012-10-25 Nippon Telegraph & Telephone West Corp 個人情報提供装置及び個人情報提供方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008015934A (ja) * 2006-07-07 2008-01-24 Nippon Telegr & Teleph Corp <Ntt> サービスシステムおよびサービスシステム制御方法
JP2008282166A (ja) * 2007-05-09 2008-11-20 Nippon Telegr & Teleph Corp <Ntt> 認証システム
JP2009043043A (ja) * 2007-08-09 2009-02-26 Nec Corp Sipを用いた認証システムおよび認証方法
JP2010268084A (ja) * 2009-05-12 2010-11-25 Nippon Telegr & Teleph Corp <Ntt> ユーザ認証システム、プロキシ装置、ユーザ認証方法およびプログラム
JP2011040040A (ja) * 2009-07-16 2011-02-24 Hitachi Ltd 情報処理方法および情報処理システム
JP2012073754A (ja) * 2010-09-28 2012-04-12 Nippon Telegr & Teleph Corp <Ntt> 認証システムおよび認証方法
JP2012208601A (ja) * 2011-03-29 2012-10-25 Nippon Telegraph & Telephone West Corp 個人情報提供装置及び個人情報提供方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSND200900655005; '高速モバイル通信からNGNまで最新の認証技術を解剖する' 日経NETWORK No. 114, 200909, pp. 26-33 *
JPN6015007701; '高速モバイル通信からNGNまで最新の認証技術を解剖する' 日経NETWORK No. 114, 200909, pp. 26-33 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2015056601A1 (ja) * 2013-10-16 2017-03-09 日本電信電話株式会社 鍵装置、鍵クラウドシステム、復号方法、およびプログラム
US10686604B2 (en) 2013-10-16 2020-06-16 Nippon Telegraph And Telephone Corporation Key device, key cloud system, decryption method, and program
JP2017083945A (ja) * 2015-10-23 2017-05-18 ビッグローブ株式会社 認証システム、認証方法およびプログラム
JP2018026140A (ja) * 2017-08-29 2018-02-15 ビッグローブ株式会社 認証システム、認証方法およびプログラム
JP2020004434A (ja) * 2019-09-02 2020-01-09 ビッグローブ株式会社 認証システム、認証方法およびプログラム

Also Published As

Publication number Publication date
JP5715030B2 (ja) 2015-05-07

Similar Documents

Publication Publication Date Title
US7542468B1 (en) Dynamic host configuration protocol with security
JP6526248B2 (ja) サーバ及びプログラム
US7720464B2 (en) System and method for providing differentiated service levels to wireless devices in a wireless network
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
US7568092B1 (en) Security policy enforcing DHCP server appliance
CN110800331A (zh) 网络验证方法、相关设备及系统
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
WO2013056674A1 (zh) 第三方应用的集中式安全管理方法和系统及相应通信系统
US9548982B1 (en) Secure controlled access to authentication servers
CN103428211A (zh) 基于交换机的网络认证系统及其认证方法
US10404684B1 (en) Mobile device management registration
CN103916853A (zh) 一种无线局域网中接入节点的控制方法及通信系统
CN103179554A (zh) 无线宽带网络接入控制方法、装置与网络设备
JP5715030B2 (ja) アクセス回線特定・認証システム
CN108011873A (zh) 一种基于集合覆盖的非法连接判断方法
CN109067729B (zh) 一种认证方法及装置
US11394747B2 (en) Method for setting up a communication channel between a server device and a client device
JP4028421B2 (ja) 音声通信ゲート装置のアドレス管理方法および管理装置並びにプログラム
CN104092687A (zh) 一种bgp会话建立方法和装置
WO2011023228A1 (en) Identity management system
KR20090014625A (ko) 사설 네트워크를 갖는 네트워크에서의 인증 시스템 및 방법
CN111158786A (zh) 一种微服务项目接入方法和平台
US11882447B2 (en) Computer-implemented method and network access server for connecting a network component to a network with an extended network access identifier
JP4768547B2 (ja) 通信装置の認証システム
JP2009267638A (ja) 端末認証・アクセス認証方法および認証システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140725

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150304

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150312

R150 Certificate of patent or registration of utility model

Ref document number: 5715030

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees