JP2016057835A - Equipment authentication access control system for specific equipment - Google Patents

Equipment authentication access control system for specific equipment Download PDF

Info

Publication number
JP2016057835A
JP2016057835A JP2014183565A JP2014183565A JP2016057835A JP 2016057835 A JP2016057835 A JP 2016057835A JP 2014183565 A JP2014183565 A JP 2014183565A JP 2014183565 A JP2014183565 A JP 2014183565A JP 2016057835 A JP2016057835 A JP 2016057835A
Authority
JP
Japan
Prior art keywords
device authentication
access control
information
authentication information
client terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014183565A
Other languages
Japanese (ja)
Inventor
正勝 小川
Masakatsu Ogawa
正勝 小川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Solutions Ltd
Original Assignee
Hitachi Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Solutions Ltd filed Critical Hitachi Solutions Ltd
Priority to JP2014183565A priority Critical patent/JP2016057835A/en
Publication of JP2016057835A publication Critical patent/JP2016057835A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To solve the problem that it is necessary to register information for authentication including terminal information in advance under control to connect only a specific terminal to a network service server.SOLUTION: A client terminal transmits connection information including the URL of a network service server to an access control system and an equipment authentication system in the case of requesting service use. An access control system generates equipment authentication information on the basis of connection information from the client terminal when determining that equipment authentication is necessary, and makes an inquiry request to the equipment authentication system, and determines the propriety of connection to the server on the basis of an inquiry result. The equipment authentication system generates equipment authentication information on the basis of connection information from the client terminal, stores the equipment authentication information in an equipment authentication information management DB, inquires whether or not the equipment authentication information whose inquiry request has been made by the access control system is stored in the equipment authentication information management DB, and transmits the inquiry result.SELECTED DRAWING: Figure 1

Description

本発明は、固定型あるいは移動型のクライアント端末に対し、特定機器によるネットワークサービスサーバへのアクセスについて機器認証に基づきアクセス権を付与する機器認証アクセス制御システムに関するものである。   The present invention relates to a device authentication access control system that gives an access right to a fixed or mobile client terminal based on device authentication for access to a network service server by a specific device.

スマートフォンやタブレット端末等のクライアント端末の普及に伴い、場所にとらわれず簡単にネットワークサービスサーバへのアクセスができるようになってきている。しかし、機密性を必要とするサービスに対して不特定のクライアント端末からのアクセスを禁止する必要があるため、機密性を必要とするサービスを利用するクライアント端末の機器認証システムが普及してきている。   With the spread of client terminals such as smartphones and tablet terminals, it has become possible to easily access a network service server regardless of location. However, since it is necessary to prohibit access from unspecified client terminals to services that require confidentiality, device authentication systems for client terminals that use services that require confidentiality have become widespread.

図7は、特許文献1に記載された機器認証システムを表すブロック構成図であり、サービスを利用するクライアント端末701と、クライアント端末701の機器認証を行う機器認証サーバ702と、クライアント端末701にサービスを提供するサービスサーバ703とから構成されている。この機器認証システムにおいては、クライアント端末701の機器ID(Identification)と機器認証の暗号鍵生成に必要とするパスフレーズを機器認証サーバ702に登録しておく。   FIG. 7 is a block configuration diagram showing a device authentication system described in Patent Document 1. A client terminal 701 that uses a service, a device authentication server 702 that performs device authentication of the client terminal 701, and a service to the client terminal 701. And a service server 703 that provides the service. In this device authentication system, a device ID (Identification) of the client terminal 701 and a passphrase necessary for generating an encryption key for device authentication are registered in the device authentication server 702.

クライアント端末701からサービスサーバ703にサービスを要求すると、サービスサーバ703は機器認証サーバ702での機器認証を要求する。クライアント端末701は、機器認証サーバ702に機器認証を行ってもらい、機器認証結果をサービスサーバ703に送信する。サービスサーバ703は、クライアント端末701から機器認証結果を受信し、これが確かに機器認証サーバ702で行ったものであることを機器認証サーバ702で確認した後、サービスの提供を開始する。クライアント端末701と機器認証サーバ702は、パスフレーズを共有しており、クライアント端末701と機器認証サーバ702は、それぞれ相手がパスフレーズを記憶していることを確認することにより、相互に認証を行う。   When a service is requested from the client terminal 701 to the service server 703, the service server 703 requests device authentication at the device authentication server 702. The client terminal 701 causes the device authentication server 702 to perform device authentication, and transmits a device authentication result to the service server 703. The service server 703 receives the device authentication result from the client terminal 701, and after confirming with the device authentication server 702 that this is indeed performed by the device authentication server 702, starts providing the service. The client terminal 701 and the device authentication server 702 share a passphrase, and the client terminal 701 and the device authentication server 702 authenticate each other by confirming that the other party stores the passphrase. .

特開2005−102163号公報JP 2005-102163 A

ところで、個人所有のスマートフォンやタブレット端末等のクライアント端末の普及に伴い、個人所有のクライアント端末を会社業務に利用しようとするBYOD(Bring your own device)と呼ばれる動きが出てきている。しかし、個人所有のクライアント端末の機器固有情報を機器認証システムに登録することに抵抗を感じる者も少なからず存在するため、BYODの普及を妨げる要因の一つとなっている。   By the way, with the widespread use of client terminals such as personally-owned smartphones and tablet terminals, a movement called BYOD (Bring your own device) that attempts to use personally-owned client terminals for business operations has emerged. However, many people feel resistance to registering device-specific information of personally owned client terminals in the device authentication system, which is one of the factors that hinder the spread of BYOD.

また、大量のクライアント端末を保有する企業の場合、クライアント端末の入れ替えのたびに発生する認証用の機器固有情報の登録及び削除が大きな負担となっている。   In the case of a company having a large number of client terminals, registration and deletion of device-specific information for authentication that occurs every time the client terminals are replaced is a heavy burden.

別の方法として、認証用の機器固有情報を登録した認証専用の外部接続機器をクライアント端末に接続することにより、機器固有情報の代わりに利用するという方法もある。しかし、認証専用の外部接続機器は紛失等の危険性があり、機器管理の手間がかえって増えるおそれもある。また、スマートフォンでは認証用の外部機器自体が提供されていないものもあり、根本的な解決にはなっていない。   As another method, there is a method in which an external connection device dedicated for authentication in which device-specific information for authentication is registered is connected to the client terminal and used instead of the device-specific information. However, there is a risk that the external connection device dedicated for authentication may be lost, and there is a risk that the time and effort for device management will increase. Some smartphones do not provide an external device for authentication itself, which is not a fundamental solution.

本発明の目的は、機器認証システムに対し事前に認証用の機器固有情報を登録せずとも、特定機器によるネットワークサービスサーバへのアクセスについて機器認証に基づきアクセス権を付与することができる、特定機器の機器認証アクセス制御システムを提供することにある。   An object of the present invention is to provide a specific device that can grant an access right based on device authentication for access to a network service server by a specific device without registering device-specific information for authentication in advance in the device authentication system. An apparatus authentication access control system is provided.

上記目的を達成するために、本発明は、以下の構成を提供する。
本発明の態様は、クライアント端末と、前記クライアント端末とそれぞれが接続するとともに互いに接続するアクセス制御システム及び機器認証システムと、を備え、前記クライアント端末は、前記アクセス制御システム経由にてネットワークサービスサーバに接続する機器認証アクセス制御システムであって、
前記クライアント端末は、ネットワークサービスサーバにサービス使用要求を行う際、当該ネットワークサービスサーバのURLを含む接続情報を前記アクセス制御システム及び前記機器認証システムにそれぞれ送信する接続情報送信手段を備え、
前記アクセス制御システムは、特定機器についての機器認証を実施するネットワークサービスサーバのURLを予め登録したアクセス制御対象管理DBと、前記クライアント端末から接続情報を受信した際、前記接続情報に含まれるURLを基に前記アクセス制御対象管理DBの照会を行い機器認証が必要か否かを判定するアクセス制御判定手段と、機器認証が必要と判定した場合、前記接続情報を基に機器認証情報を生成する第1の機器認証情報生成手段と、前記第1の機器認証情報生成手段により生成した機器認証情報の照会を前記機器認証システムに要求する機器情報照会要求手段と、前記機器認証システムから受信した照会結果を基に、クライアント端末のサービス使用要求のネットワークサービスサーバへの接続の可否を決定する手段と、を備え、
前記機器認証システムは、前記クライアント端末から接続情報を受信した際、前記接続情報を基に機器認証情報を生成する第2の機器認証情報生成手段と、前記第2の機器認証情報生成手段により生成した機器認証情報を機器認証情報管理DBに格納する機器認証情報格納手段と、前記アクセス制御システムから照会要求のあった機器認証情報が機器認証情報管理DBに格納されているか否かを照会し、照会結果を前記アクセス制御システムに送信する機器認証情報照会手段と、を備えたことを特徴とする。 In order to achieve the above object, the present invention provides the following configurations.
An aspect of the present invention includes a client terminal and an access control system and a device authentication system that are connected to and connected to each other, and the client terminal is connected to a network service server via the access control system. A device authentication access control system to be connected,
The client terminal comprises connection information transmitting means for transmitting connection information including a URL of the network service server to the access control system and the device authentication system when making a service use request to the network service server,
When the access control system receives connection information from the client terminal and the access control target management DB in which the URL of the network service server that performs device authentication for the specific device is registered in advance, the access control system stores the URL included in the connection information. An access control determination means for determining whether or not device authentication is necessary by inquiring the access control target management DB based on the above, and generating device authentication information based on the connection information when it is determined that device authentication is necessary. 1 device authentication information generation means, device information inquiry request means for requesting the device authentication system to make an inquiry about the device authentication information generated by the first device authentication information generation means, and the inquiry result received from the device authentication system Based on the above, determine whether or not the client terminal service use request can be connected to the network service server Includes a stage, a,
The device authentication system is generated by a second device authentication information generation unit that generates device authentication information based on the connection information when the connection information is received from the client terminal, and the second device authentication information generation unit. A device authentication information storage unit that stores the device authentication information in the device authentication information management DB, and inquires whether the device authentication information requested by the access control system is stored in the device authentication information management DB; Device authentication information inquiry means for transmitting an inquiry result to the access control system.

上記態様において、前記機器認証システムが前記アクセス制御対象管理DBを照会する手段を備える場合、前記機器認証システムは、前記クライアント端末から接続情報を受信した際、前記接続情報に含まれるURLを基に前記アクセス制御対象管理DBの照会を行い機器認証が必要か否かを判定し、機器認証が必要と判定した場合にのみ、前記第2の機器認証情報生成手段により、前記接続情報を基に機器認証情報を生成することを特徴とする。   In the above aspect, when the device authentication system includes means for inquiring the access control target management DB, the device authentication system receives connection information from the client terminal based on a URL included in the connection information. The second device authentication information generating means determines the device based on the connection information only when it is determined whether device authentication is necessary by inquiring the access control object management DB and device authentication is necessary. The authentication information is generated.

上記態様において、前記アクセス制御システムの前記第1の機器認証情報生成手段は、前記接続情報を基に暗号化することにより機器認証情報を生成し、前記機器認証システムの前記機器認証情報照会手段は、前記アクセス制御システムからの照会要求に含まれる機器認証情報を復号化した後、前記機器認証情報管理DBに対する照会を行うことを特徴とする。   In the above aspect, the first device authentication information generation unit of the access control system generates device authentication information by encrypting based on the connection information, and the device authentication information inquiry unit of the device authentication system includes: The device authentication information included in the inquiry request from the access control system is decrypted, and then the device authentication information management DB is inquired.

上記態様において、前記クライアント端末における前記接続情報送信手段は、予め当該クライアント端末にインストールされたプログラムにより実現されることを特徴とする。   In the above aspect, the connection information transmitting means in the client terminal is realized by a program installed in advance in the client terminal.

本発明の、ネットワーク経由での特定機器の機器認証アクセス制御システムによれば、次のような効果がある。
事前にクライアント端末の機器固有情報を登録していなくても、所定の接続情報生成プログラムをクライアント端末にインストールしておくことにより、接続情報生成プログラムをインストールしたクライアント端末からのみネットワークサービスサーバへ接続させるようにアクセス制御することができる。 According to the device authentication access control system for a specific device via the network of the present invention, the following effects can be obtained.
Even if the device-specific information of the client terminal is not registered in advance, a predetermined connection information generation program is installed in the client terminal so that only the client terminal that has installed the connection information generation program can connect to the network service server. Access control can be performed.

図1は、本発明の一実施の形態例を示すシステム構成図である。FIG. 1 is a system configuration diagram showing an embodiment of the present invention. 図2は、クライアント端末から渡す接続情報の構成図である。FIG. 2 is a configuration diagram of connection information passed from the client terminal. 図3は、アクセス制御対象管理データベースに格納しているデータの構成図である。FIG. 3 is a configuration diagram of data stored in the access control target management database. 図4は、機器認証情報管理データベースに格納しているデータの構成図である。FIG. 4 is a configuration diagram of data stored in the device authentication information management database. 図5は、本発明による機器認証手順のフローチャートである。FIG. 5 is a flowchart of a device authentication procedure according to the present invention. 図6は、本発明による機器認証手順を説明するためのブロック構成図である。FIG. 6 is a block diagram for explaining a device authentication procedure according to the present invention. 図7は、従来の機器認証システムの概略構成図である。FIG. 7 is a schematic configuration diagram of a conventional device authentication system.

以下、本発明を適用した特定機器の機器認証アクセス制御システムの一実施の形態について説明する。図1は、本発明の実施の形態の一例を示すシステム構成図である。   Hereinafter, an embodiment of a device authentication access control system for a specific device to which the present invention is applied will be described. FIG. 1 is a system configuration diagram showing an example of an embodiment of the present invention.

特定機器の機器認証アクセス制御システムは、クライアント端末1と、アクセス制御システム3と、機器認証システム4と、を備えている。クライアント端末1には、接続情報生成プログラム2がインストールされており、それにより適宜のネットワークを介してアクセス制御システム3及び機器認証システム4とそれぞれ接続する。アクセス制御システム3と機器認証システム4は互いに接続している。クライアント端末1は、スマートフォンやタブレット端末等の移動型の機器であっても、固定型の機器であってもよい。アクセス制御システム3及び機器認証システム4は、所定の機能を実現するプログラムをインストールしたコンピュータであり、CPUが所定のプログラムを読み込み実行することにより、図1の各機能処理部を実現する。   The device authentication access control system for a specific device includes a client terminal 1, an access control system 3, and a device authentication system 4. A connection information generation program 2 is installed in the client terminal 1 and thereby connects to the access control system 3 and the device authentication system 4 via an appropriate network. The access control system 3 and the device authentication system 4 are connected to each other. The client terminal 1 may be a mobile device such as a smartphone or a tablet terminal, or may be a fixed device. The access control system 3 and the device authentication system 4 are computers in which a program that realizes a predetermined function is installed. The CPU reads and executes the predetermined program, thereby realizing each function processing unit in FIG.

ネットワークサービスサーバ5は、アクセス制御システム3と接続している。ネットワークサービスサーバ5は、ネットワークを介してクライアント端末1に対して所定のサービスを提供可能なサーバである。ここでは、1つのURLに対応するサービス提供機能を、1つのサーバとみなすこととする。図1では1つのネットワークサービスサーバ5のみを示しているが、多数存在することを前提としている。多数のネットワークサービスサーバ5には、特定機器についての機器認証を実施するものと、実施しないものが含まれる。クライアント端末1は、これらの各種ネットワークサービスサーバのいずれかに対し、所定のサービス使用要求を行うべく接続する。   The network service server 5 is connected to the access control system 3. The network service server 5 is a server that can provide a predetermined service to the client terminal 1 via the network. Here, the service providing function corresponding to one URL is regarded as one server. Although only one network service server 5 is shown in FIG. 1, it is assumed that there are many. Many network service servers 5 include those that perform device authentication for specific devices and those that do not. The client terminal 1 connects to one of these various network service servers to make a predetermined service use request.

アクセス制御システム3は、特定機器についての機器認証を実施するネットワークサービスサーバのURL(Uniform Resource Locator)を登録したアクセス制御対象管理DB(データベース)6を有する。   The access control system 3 has an access control target management DB (database) 6 in which URLs (Uniform Resource Locators) of network service servers that perform device authentication for specific devices are registered.

機器認証システム4は、クライアント端末1から受信した接続情報を基に生成した機器認証情報を格納する機器認証情報管理DB7を有する。なお、図1に示す本発明の一例においては、機器認証システム4がアクセス制御対象管理DB6を参照しない構成としているが、別の例においては、機器認証システム4が、アクセス制御対象管理DB6を参照できる構成としてもよい(点線で示す)。   The device authentication system 4 includes a device authentication information management DB 7 that stores device authentication information generated based on connection information received from the client terminal 1. In the example of the present invention illustrated in FIG. 1, the device authentication system 4 does not refer to the access control object management DB 6. However, in another example, the device authentication system 4 refers to the access control object management DB 6. It is good also as a structure which can be shown (it shows with a dotted line).

クライアント端末1とネットワークサービスサーバ5は、アクセス制御システム3を経由して接続しており、アクセス制御システム3はゲートウェイとして機能している。   The client terminal 1 and the network service server 5 are connected via the access control system 3, and the access control system 3 functions as a gateway.

クライアント端末1にインストールされている接続情報生成プログラム2は、クライアント端末1がサービス使用要求のためにネットワークサービスサーバ5に接続した際、その接続情報を、アクセス制御システム3及び機器認証システム4にそれぞれ送信する接続情報送信部8を備えている。   The connection information generation program 2 installed in the client terminal 1 sends the connection information to the access control system 3 and the device authentication system 4 when the client terminal 1 connects to the network service server 5 for a service use request. A connection information transmission unit 8 for transmission is provided.

アクセス制御システム3は、クライアント端末1からネットワークサービスサーバ5への接続要求があった場合に機器認証が必要かどうかをアクセス制御対象管理DB6に照会をして判定するアクセス制御判定部9と、クライアント端末1から受信した接続情報を基に機器認証情報を生成する機器認証情報生成部10と、機器認証情報生成部10で生成した機器認証情報の照会を機器認証システム4に要求する機器情報照会要求部11とを備えている。   The access control system 3 includes an access control determination unit 9 that determines whether or not device authentication is necessary when there is a connection request from the client terminal 1 to the network service server 5, and makes an inquiry to the access control target management DB 6, and a client A device authentication information generation unit 10 that generates device authentication information based on the connection information received from the terminal 1, and a device information inquiry request that requests the device authentication system 4 to query the device authentication information generated by the device authentication information generation unit 10. Part 11.

機器認証システム4は、クライアント端末1から受信した接続情報を基に機器認証情報を生成する機器認証情報生成部12と、機器認証情報生成部12で生成した機器認証情報を機器認証情報管理DB7に登録する機器認証情報格納部13と、アクセス制御システム3の機器情報照会要求部11から要求のあった機器認証情報が機器認証情報管理DB7に登録されているかを検索し、照会する機器認証情報照会部14とを備えている。   The device authentication system 4 includes a device authentication information generation unit 12 that generates device authentication information based on connection information received from the client terminal 1, and device authentication information generated by the device authentication information generation unit 12 in the device authentication information management DB 7. The device authentication information storage unit 13 to be registered and the device authentication information requested by the device information inquiry request unit 11 of the access control system 3 are searched for whether the device authentication information is registered in the device authentication information management DB 7, and the device authentication information inquiry to be inquired is made. Part 14.

図2は、上記機器認証情報の基情報となる接続情報201の内容を示す図である。接続情報は、クライアント端末1がネットワークサービスサーバに接続する際のパケット情報から取得する。   FIG. 2 is a diagram showing the contents of the connection information 201 which is the basic information of the device authentication information. The connection information is acquired from packet information when the client terminal 1 connects to the network service server.

図2では、ファイルサーバのプロトコルであるSMB/CIFのパケット情報から取得したクライアントIPアドレス202、ポート番号203、ユーザID204、プロセスID205、マルチプレックスID206を例として挙げている。アクセス制御システム3の機器情報生成部10及び機器認証システム4の機器認証情報生成部12では、これらの接続情報を連結し、それぞれ機器認証情報を生成する。   In FIG. 2, a client IP address 202, a port number 203, a user ID 204, a process ID 205, and a multiplex ID 206 acquired from SMB / CIF packet information that is a file server protocol are exemplified. The device information generation unit 10 of the access control system 3 and the device authentication information generation unit 12 of the device authentication system 4 connect these pieces of connection information and generate device authentication information, respectively.

図3は、アクセス制御システム3のアクセス制御対象管理DB6に予め登録されたアクセス制御対象情報301を示す図である。アクセス制御対象情報301として、アクセス制御対象サービスURL302a〜302cで示すURLが登録される。なお、アクセス制御対象サービスURL302a〜302cについては、図3には3件しか記載していないが4件以上の任意の件数のアクセス制御対象サービスURLを登録することができる。   FIG. 3 is a diagram showing the access control target information 301 registered in advance in the access control target management DB 6 of the access control system 3. As the access control target information 301, URLs indicated by access control target service URLs 302a to 302c are registered. Although only three cases are illustrated in FIG. 3 for the access control target service URLs 302a to 302c, an arbitrary number of access control target service URLs of four or more can be registered.

アクセス制御システム3のアクセス制御判定部9は、クライアント端末1からサービス要求があったネットワークサービスサーバ5のURLがアクセス制御対象サービスURL302a〜302cのいずれかに合致するか否かを判定する。合致していた場合は、機器認証情報生成部10が機器認証情報を生成し、機器情報照会要求部11が機器認証情報の照会を機器認証システム4に要求する。   The access control determination unit 9 of the access control system 3 determines whether the URL of the network service server 5 requested by the client terminal 1 matches any of the access control target service URLs 302a to 302c. If they match, the device authentication information generation unit 10 generates device authentication information, and the device information inquiry request unit 11 requests the device authentication system 4 to inquire about device authentication information.

図4は、機器認証システム4の機器認証情報管理DB7に格納される機器認証情報蓄積情報401を示す図である。機器認証情報蓄積情報401は、機器認証情報生成部12で生成した機器認証情報402と、機器認証情報402を生成し格納した日時を示す機器認証情報格納日時403を登録する。機器認証情報登録日時403は、登録した機器認証情報を削除する決定を行うために用いる。   FIG. 4 is a diagram showing device authentication information storage information 401 stored in the device authentication information management DB 7 of the device authentication system 4. The device authentication information accumulation information 401 registers the device authentication information 402 generated by the device authentication information generation unit 12 and the device authentication information storage date 403 indicating the date and time when the device authentication information 402 is generated and stored. The device authentication information registration date and time 403 is used to make a decision to delete the registered device authentication information.

なお、一例では、機器認証システム4は、クライアント端末1から受信した全ての接続情報について機器認証情報生成部12が機器認証情報を生成し、生成した機器認証情報を機器認証情報格納部13が機器認証情報管理DB7に格納する。   In one example, in the device authentication system 4, the device authentication information generation unit 12 generates device authentication information for all connection information received from the client terminal 1, and the device authentication information storage unit 13 generates the device authentication information. Stored in the authentication information management DB 7.

また、別の例として、機器認証システム4がアクセス制御対象管理DB6を参照可能である場合、機器認証システム4は、クライアント端末1から接続情報を受信したとき、アクセス制御対象管理DB6を参照し、接続情報に含まれるURLがアクセス制御対象サービスURL302a〜302cのいずれかに合致するか否かを判定する。合致していた場合にのみ、機器認証情報生成部12が機器認証情報を生成し、生成した機器認証情報を機器認証情報格納部13が機器認証情報管理DB7に格納する。   As another example, when the device authentication system 4 can refer to the access control object management DB 6, the device authentication system 4 refers to the access control object management DB 6 when receiving connection information from the client terminal 1, and It is determined whether or not the URL included in the connection information matches any of the access control target service URLs 302a to 302c. Only when they match, the device authentication information generation unit 12 generates device authentication information, and the device authentication information storage unit 13 stores the generated device authentication information in the device authentication information management DB 7.

図5は、本発明による機器認証手順の流れの一例を示す。図6は、本発明による機器認証手順をブロック図として示している。   FIG. 5 shows an example of the flow of a device authentication procedure according to the present invention. FIG. 6 shows a device authentication procedure according to the present invention as a block diagram.

図5では、一例として、図1の機器認証システム4が、アクセス制御対象管理DB6を参照可能である場合の流れを示す。   FIG. 5 shows a flow when the device authentication system 4 of FIG. 1 can refer to the access control object management DB 6 as an example.

クライアント端末からネットワークサービスサーバへのサービス使用要求が発行される(ステップ501)と、アクセス制御システムは、サービス使用要求から取得した接続情報に含まれるURLを基にアクセス制御対象情報DBを参照し、アクセス制御対象(機器認証が必要)か否かを判定する(ステップ502)。アクセス制御対象でない場合は、サービス使用要求(ステップ511)を実施する。アクセス制御対象の場合、公開鍵を取得しクライアント端末から送信されてきた接続情報を基にこれを暗号化することにより機器認証情報を生成する(ステップ503)。   When a service use request from the client terminal to the network service server is issued (step 501), the access control system refers to the access control target information DB based on the URL included in the connection information acquired from the service use request, It is determined whether it is an access control target (device authentication is required) (step 502). If it is not an access control target, a service use request (step 511) is executed. In the case of an access control target, device authentication information is generated by acquiring a public key and encrypting it based on connection information transmitted from the client terminal (step 503).

接続情報5成プログラムをインストールされているクライアント端末では、ステップ501のネットワークサービスサーバへ使用要求を出した後、機器認証システムに接続情報を転送する(ステップ504)。機器認証システムは、接続情報を受け取ると、接続情報に含まれるURLを基にアクセス制御対象情報DBを参照し、アクセス制御対象(機器認証が必要)か否かを判定する(ステップ505)。接続情報に含まれるURLがアクセス制御の対象外であった場合は、この時点でそのまま処理を終了する。   In the client terminal in which the connection information 5-component program is installed, after making a use request to the network service server in step 501, the connection information is transferred to the device authentication system (step 504). When the device authentication system receives the connection information, the device authentication system refers to the access control target information DB based on the URL included in the connection information, and determines whether or not the device is an access control target (device authentication is required) (step 505). If the URL included in the connection information is not subject to access control, the process is terminated at this point.

接続情報に含まれるURLがアクセス制御対象であった場合、接続情報から機器認証情報を生成(ステップ506)し、機器認証情報管理DBに格納する(ステップ507)。   If the URL included in the connection information is an access control target, device authentication information is generated from the connection information (step 506) and stored in the device authentication information management DB (step 507).

アクセス制御システムは、ステップ503の機器認証情報を生成したのち、機器認証情報の照会要求を機器認証システムに出す(ステップ508)。照会要求には機器認証情報が含まれる。   After generating the device authentication information in step 503, the access control system issues a device authentication information inquiry request to the device authentication system (step 508). The inquiry request includes device authentication information.

機器認証システムはアクセス制御システムから受け取った機器認証情報を復号化し、機器認証情報管理DBに格納されているか否かを確認(ステップ509)し、照会結果をアクセス制御システムに返信する(ステップ510)。接続情報生成プログラムをインストールされているクライアント端末については、機器認証情報DBに機器認証情報が格納されているため、照会結果は「機器認証完了」となる。ここで、接続情報生成プログラムをインストールしていないクライアント端末の場合は、機器認証システムに接続情報を送信していないため、機器認証情報DBに機器認証情報は格納されておらず、照会結果は「機器認証未完了」となる。   The device authentication system decrypts the device authentication information received from the access control system, checks whether it is stored in the device authentication information management DB (step 509), and returns the inquiry result to the access control system (step 510). . For the client terminal in which the connection information generation program is installed, since the device authentication information is stored in the device authentication information DB, the inquiry result is “device authentication complete”. Here, in the case of a client terminal in which the connection information generation program is not installed, since the connection information is not transmitted to the device authentication system, the device authentication information is not stored in the device authentication information DB, and the inquiry result is “ Device authentication is not complete ”.

アクセス制御システムは、機器認証システムからの照会結果を基に、機器認証が完了していると判定できた場合は、ネットワークサービスサーバへの使用要求を送信する(ステップ511、512)。   If the access control system determines that the device authentication has been completed based on the inquiry result from the device authentication system, the access control system transmits a use request to the network service server (steps 511 and 512).

1 クライアント端末、2 接続情報送信プログラム、3 アクセス制御システム、4 機器認証システム、5 ネットワークサービスサーバ、6 アクセス制御対象管理DB、7 機器認証情報管理DB、8 接続情報送信部   1 client terminal, 2 connection information transmission program, 3 access control system, 4 device authentication system, 5 network service server, 6 access control object management DB, 7 device authentication information management DB, 8 connection information transmission unit

Claims (4)

クライアント端末と、前記クライアント端末とそれぞれが接続するとともに互いに接続するアクセス制御システム及び機器認証システムと、を備え、前記クライアント端末は、前記アクセス制御システム経由にてネットワークサービスサーバに接続する機器認証アクセス制御システムであって、
前記クライアント端末は、ネットワークサービスサーバにサービス使用要求を行う際、当該ネットワークサービスサーバのURLを含む接続情報を前記アクセス制御システム及び前記機器認証システムにそれぞれ送信する接続情報送信手段を備え、
前記アクセス制御システムは、
特定機器についての機器認証を実施するネットワークサービスサーバのURLを予め登録したアクセス制御対象管理DBと、
前記クライアント端末から接続情報を受信した際、前記接続情報に含まれるURLを基に前記アクセス制御対象管理DBの照会を行い機器認証が必要か否かを判定するアクセス制御判定手段と、
機器認証が必要と判定した場合、前記接続情報を基に機器認証情報を生成する第1の機器認証情報生成手段と、
前記第1の機器認証情報生成手段により生成した機器認証情報の照会を前記機器認証システムに要求する機器情報照会要求手段と、
前記機器認証システムから受信した照会結果を基に、クライアント端末のサービス使用要求のネットワークサービスサーバへの接続の可否を決定する手段と、を備え、
前記機器認証システムは、
前記クライアント端末から接続情報を受信した際、前記接続情報を基に機器認証情報を生成する第2の機器認証情報生成手段と、
前記第2の機器認証情報生成手段により生成した機器認証情報を機器認証情報管理DBに格納する機器認証情報格納手段と、
前記アクセス制御システムから照会要求のあった機器認証情報が機器認証情報管理DBに格納されているか否かを照会し、照会結果を前記アクセス制御システムに送信する機器認証情報照会手段と、を備えたことを特徴とする
特定機器の機器認証アクセス制御システム。 A client terminal, and an access control system and a device authentication system that are connected to each other and connected to each other, wherein the client terminal is connected to a network service server via the access control system. A system,
The client terminal comprises connection information transmitting means for transmitting connection information including a URL of the network service server to the access control system and the device authentication system when making a service use request to the network service server,
The access control system includes:
An access control target management DB in which URLs of network service servers that perform device authentication for specific devices are registered in advance;
An access control determination unit that, when receiving connection information from the client terminal, inquires of the access control object management DB based on a URL included in the connection information and determines whether device authentication is necessary;
If it is determined that device authentication is necessary, first device authentication information generating means for generating device authentication information based on the connection information;
Device information inquiry requesting means for requesting the device authentication system to inquire about the device authentication information generated by the first device authentication information generating means;
Means for determining whether or not to connect to the network service server of the service use request of the client terminal based on the inquiry result received from the device authentication system,
The device authentication system includes:
A second device authentication information generating means for generating device authentication information based on the connection information when connection information is received from the client terminal;
Device authentication information storage means for storing the device authentication information generated by the second device authentication information generation means in the device authentication information management DB;
Device authentication information inquiry means for inquiring whether or not the device authentication information requested by the access control system is stored in the device authentication information management DB and transmitting the inquiry result to the access control system. A device authentication access control system for specific devices. 前記機器認証システムが前記アクセス制御対象管理DBを照会する手段を備える場合、
前記機器認証システムは、前記クライアント端末から接続情報を受信した際、前記接続情報に含まれるURLを基に前記アクセス制御対象管理DBの照会を行い機器認証が必要か否かを判定し、機器認証が必要と判定した場合にのみ、前記第2の機器認証情報生成手段により、前記接続情報を基に機器認証情報を生成することを特徴とする
請求項1に記載の特定機器の機器認証アクセス制御システム。 When the device authentication system includes means for inquiring the access control target management DB,
When the device authentication system receives connection information from the client terminal, the device authentication system queries the access control object management DB based on the URL included in the connection information to determine whether device authentication is necessary, and device authentication 2. The device authentication access control for a specific device according to claim 1, wherein the device authentication information is generated based on the connection information by the second device authentication information generation unit only when it is determined that the device authentication is necessary. system. 前記アクセス制御システムの前記第1の機器認証情報生成手段は、前記接続情報を基に暗号化することにより機器認証情報を生成し、前記機器認証システムの前記機器認証情報照会手段は、前記アクセス制御システムからの照会要求に含まれる機器認証情報を復号化した後、前記機器認証情報管理DBに対する照会を行うことを特徴とする
請求項1又は2に記載の特定機器の機器認証アクセス制御システム。 The first device authentication information generating unit of the access control system generates device authentication information by encrypting based on the connection information, and the device authentication information inquiry unit of the device authentication system includes the access control. 3. The device authentication access control system for a specific device according to claim 1, wherein the device authentication information included in the inquiry request from the system is decrypted, and then the device authentication information management DB is referred to. 前記クライアント端末における前記接続情報送信手段は、予め当該クライアント端末にインストールされたプログラムにより実現されることを特徴とする請求項1〜3のいずれかに記載の特定機器の機器認証アクセス制御システム。   The device authentication access control system for a specific device according to any one of claims 1 to 3, wherein the connection information transmission means in the client terminal is realized by a program installed in the client terminal in advance.
JP2014183565A 2014-09-09 2014-09-09 Equipment authentication access control system for specific equipment Pending JP2016057835A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014183565A JP2016057835A (en) 2014-09-09 2014-09-09 Equipment authentication access control system for specific equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014183565A JP2016057835A (en) 2014-09-09 2014-09-09 Equipment authentication access control system for specific equipment

Publications (1)

Publication Number Publication Date
JP2016057835A true JP2016057835A (en) 2016-04-21

Family

ID=55758610

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014183565A Pending JP2016057835A (en) 2014-09-09 2014-09-09 Equipment authentication access control system for specific equipment

Country Status (1)

Country Link
JP (1) JP2016057835A (en)

Similar Documents

Publication Publication Date Title
JP6612358B2 (en) Method, network access device, application server, and non-volatile computer readable storage medium for causing a network access device to access a wireless network access point
KR101819556B1 (en) Apparatus and method for supporting family cloud in cloud computing system
TWI654534B (en) Identity authentication method, device and server
EP2534864B1 (en) Seamless mobile subscriber identification
US20160373431A1 (en) Method to enroll a certificate to a device using scep and respective management application
US11489831B2 (en) Communication system and computer readable storage medium
TWI592046B (en) Network sharing device, system and method
US20160315915A1 (en) Method for accessing a data memory of a cloud computer system using a modified domain name system (dns)
US10560528B2 (en) Cloud-based management of access to a data storage system on a local network
US20150381716A1 (en) Method and system for sharing files over p2p
CN104247485A (en) Network application function authorisation in a generic bootstrapping architecture
US10666755B2 (en) Method and apparatus for secure content caching and delivery
US10594682B2 (en) Obtaining data for connection to a device via a network
JP4847483B2 (en) Personal attribute information providing system and personal attribute information providing method
CN107888615B (en) Safety authentication method for node registration
US20190306110A1 (en) Experience differentiation
CN111049789A (en) Domain name access method and device
CN110198540B (en) Portal authentication method and device
US20160105407A1 (en) Information processing apparatus, terminal, information processing system, and information processing method
US10530765B2 (en) Securing connections to unsecure internet resources
EA032424B1 (en) Method and system for determining that a sim and a sip client are co-located in the same mobile equipment
JP2016057835A (en) Equipment authentication access control system for specific equipment
KR20200045648A (en) Apparatus and method for generating encryption key in sip based call service
CN114978741B (en) Inter-system authentication method and system
CN109274765B (en) Data transmission method, equipment and system