JP2023110316A - ネットワーク認証装置、認証方法およびプログラム - Google Patents

ネットワーク認証装置、認証方法およびプログラム Download PDF

Info

Publication number
JP2023110316A
JP2023110316A JP2022011682A JP2022011682A JP2023110316A JP 2023110316 A JP2023110316 A JP 2023110316A JP 2022011682 A JP2022011682 A JP 2022011682A JP 2022011682 A JP2022011682 A JP 2022011682A JP 2023110316 A JP2023110316 A JP 2023110316A
Authority
JP
Japan
Prior art keywords
network
identification information
user
communication unit
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022011682A
Other languages
English (en)
Inventor
崇博 南
Takahiro Minami
尚 川原
Nao Kawahara
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sharp Corp
Original Assignee
Sharp Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sharp Corp filed Critical Sharp Corp
Priority to JP2022011682A priority Critical patent/JP2023110316A/ja
Publication of JP2023110316A publication Critical patent/JP2023110316A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】キーデバイスなどを不要とし、2段階認証による安全な認証を行えるネットワーク認証装置を提供する。【解決手段】認証サーバは、第1ネットワークを介して通信可能な第3通信部、第2ネットワークを介して通信可能な第4通信部及びメモリを備える。メモリには、個々のユーザに応するユーザID、第1ネットワークの識別情報であるLANパスワード、第2ネットワークの識別情報であるメッシュID及びユーザのデバイスの識別情報であるデバイスIDを含む照合テーブルが予め設定されている。ユーザ端末から、第1ネットワークを通してユーザIDとLANパスワードを含むネットワーク接続要求が送信される。認証サーバは、接続要求を送信してきたユーザ端末のユーザIDに対応するLANパスワード及びメッシュIDがすべて照会テーブルに登録されていると判断したとき、そのユーザ端末に対して、認証OKを通知して、LAN接続を許可する。【選択図】図5

Description

この発明は、ネットワーク認証装置、認証方法およびプログラムに関し、特に、2段階認証方式による、ネットワーク認証装置、認証方法およびプログラムに関する。
ウェブサイトへのログインを実施する際には、一般的な2段階認証方法として、SMS(Short Message Service)で伝達した情報を入力させる方式、またサイトでログイン後にトークン発行デバイスのランダム値を追加認証に利用する方式などがある。
また、特許文献1では、WAN(Wide Area Network)接続認証のために、ブルートゥースメッシュネットワーク(Bluetooth(商標)Mesh Network)を利用する技術が示されている。
上記の2段階認証の方法では、どちらも異なる通信経路で認証を求めることにより、セキュリティ性を向上しているが、ユーザ自らが操作する内容が増えるため、ユーザの利便性は低下する。また、追加の認証を促す必要があるため、攻撃者にからは2段階目の認証方法が見えることとなり、解析ヒントを与えてしまうという問題がある。
これに対して、特許文献1の技術では、このような問題はない。
特開2020‐195045号公報
しかしながら、特許文献1の技術では、WAN接続許可は2段階の認証ではないし、キーデバイスが別途必要であり利便性を損なう。
それゆえに、この発明の主たる目的は、新規な、ネットワーク認証装置、認証方法およびプログラムを提供することである。
この発明の他の目的は、キーデバイスなどを不要とし、2段階認証による安全な認証を行える、ネットワーク認証装置、認証方法およびプログラムを提供することである。
第1の発明は、第1ネットワークを介して通信可能な第1通信部および第1ネットワークとは異なる第2ネットワークを介して通信可能な第2通信部を有するクライエント装置からのウェブサイトへのアクセスを認証するネットワーク認証装置であって、第1ネットワークを介して通信可能な第3通信部、第2ネットワークを介して通信可能な第4通信部、クライエント装置のユーザのユーザ識別情報と、ユーザ識別情報にそれぞれ個別に対応する第1ネットワークに関する第1ネットワーク識別情報、第2ネットワークに関する第2ネットワーク識別情報およびユーザのデバイスを識別するためのデバイス識別情報を予め登録している照合テーブル、第3通信部および第4通信部の一方が第1ネットワーク識別情報および第2ネットワーク識別情報の一方を受信したとき、照会テーブルに登録されている第1ネットワーク識別情報および第2ネットワーク識別情報の他方の識別情報が一方の識別情報に対応しているかどうか判断する第1判断手段、第1判断手段で一方の識別情報に対応する他方の識別情報が照合テーブルに登録されていると判断したとき、さらに照合テーブルを参照して、ユーザ識別情報と第1ネットワーク識別情報および第2ネットワーク識別情報の他方とが一致しているかどうか判断する第2判断手段、および第2判断手段でユーザ識別情報と第1ネットワーク識別情報および第2ネットワーク識別情報の他方とが一致していると判断したとき、クライエント装置のウェブサイトへのアクセスを許可する許可手段を備える、ネットワーク認証装置である。
第1の発明によれば、照会テーブルを参照することによって、認証装置での第2段階目の認証を隠蔽できるので、2段階認証でありながら、安全なネットワーク認証が可能になる。
第2の発明は第1の発明に従属し、第1判断手段で照会テーブルに登録されている他方の識別情報が一方の識別情報に対応すると判断しなかったとき、または第2判断手段でユーザ識別情報と第1ネットワーク識別情報および第2ネットワーク識別情報の他方とが一致していると判断しなかったとき、クライエント装置のウェブサイトへのアクセスを不許可とする不許可手段をさらに備える、ネットワーク認証装置である。
第3の発明は、第1または第2の発明に従属し、第1判断手段は、一方の識別情報を受信したとき、照会テーブルを参照して一方の識別情報に対応する他方の識別情報が登録されているかどうか判断する登録判断手段を含む、ネットワーク認証装置である。
第4の発明は、第1または第2の発明に従属し、第1判断手段は、一方の識別情報を受信したとき、照会テーブルを参照して一方の識別情報に対応する他方の識別情報に対応するデバイス識別情報が示すデバイスへ第3通信部および第4通信部のいずれかによって応答要求を送信し、その応答要求に対して応答があるかどうか判断する応答判断手段を含む、ネットワーク認証装置である。
第5の発明は、第1または第2の発明に従属し、第1判断手段は、一方の識別情報を受信したとき、さらに一方の識別情報に対応する他方の識別情報を伴う接続要求があるかどうか判断する接続要求受信判断手段を含む、ネットワーク認証装置である。
第6の発明は、第1ネットワークを介して通信可能な第1通信部および第1ネットワークとは異なる第2ネットワークを介して通信可能な第2通信部を有するクライエント装置からのウェブサイトへのアクセスを認証するネットワーク認証装置のための認証プログラムであって、認証装置は、第1ネットワークを介して通信可能な第3通信部、第2ネットワークを介して通信可能な第4通信部、およびクライエント装置のユーザのユーザ識別情報と、ユーザ識別情報にそれぞれ個別に対応する第1ネットワークに関する第1ネットワーク識別情報、第2ネットワークに関する第2ネットワーク識別情報およびユーザのデバイスを識別するためのデバイス識別情報を予め登録している照合テーブルを備え、認証プログラムは認証装置のコンピュータを、第3通信部および第4通信部の一方が第1ネットワーク識別情報および第2ネットワーク識別情報の一方を受信したとき、照会テーブルに登録されている第1ネットワーク識別情報および第2ネットワーク識別情報の他方の識別情報が一方の識別情報に対応しているかどうか判断する第1判断手段、第1判断手段で一方の識別情報に対応する他方の識別情報が照合テーブルに登録されていると判断したとき、さらに照合テーブルを参照して、ユーザ識別情報と第1ネットワーク識別情報および第2ネットワーク識別情報の他方とが一致しているかどうか判断する第2判断手段、および第2判断手段でユーザ識別情報と第1ネットワーク識別情報および第2ネットワーク識別情報の他方とが一致していると判断したとき、クライエント装置のウェブサイトへのアクセスを許可する許可手段として機能させる、認証プログラムである。
第7の発明は、第1ネットワークを介して通信可能な第1通信部および第1ネットワークとは異なる第2ネットワークを介して通信可能な第2通信部を有するクライエント装置からのウェブサイトへのアクセスを認証するネットワーク認証装置を用いた認証方法であって、認証装置は、第1ネットワークを介して通信可能な第3通信部、第2ネットワークを介して通信可能な第4通信部、およびクライエント装置のユーザのユーザ識別情報と、ユーザ識別情報にそれぞれ個別に対応する第1ネットワークに関する第1ネットワーク識別情報、第2ネットワークに関する第2ネットワーク識別情報およびユーザのデバイスを識別するためのデバイス識別情報を予め登録している照合テーブルを備え、認証方法は、第3通信部および第4通信部の一方が第1ネットワーク識別情報および第2ネットワーク識別情報の一方を受信したとき、照会テーブルに登録されている第1ネットワーク識別情報および第2ネットワーク識別情報の他方の識別情報が一方の識別情報に対応しているかどうか判断する第1判断ステップ、第1判断ステップで一方の識別情報に対応する他方の識別情報が照合テーブルに登録されていると判断したとき、さらに照合テーブルを参照して、ユーザ識別情報と第1ネットワーク識別情報および第2ネットワーク識別情報の他方とが一致しているかどうか判断する第2判断ステップ、および 第2判断ステップでユーザ識別情報と第1ネットワーク識別情報および第2ネットワーク識別情報の他方とが一致していると判断したとき、クライエント装置のウェブサイトへのアクセスを許可する許可ステップを含む、認証方法である。
この発明によれば、2段階目の方式は隠蔽されているので、安全性が高い。また、キーデバイスのような付属の機器が不要であり、ユーザの利便性が損なわれることがない。
図1はこの発明の一実施例に係るネットワークシステムの一例を示すブロック図である。 図2はこの実施例におけるユーザ端末および認証サーバの関係を示すブロック図である。 図3は認証サーバのメモリのメモリマップの一例を示す図解図である。 図4は認証サーバのメモリに設定される照会テーブルの一例を示す図解図である。 図5はこの実施例における認証サーバの認証部の動作の一例を示すフロー図である。 図6はこの実施例における認証サーバの認証部の動作の他の例を示すフロー図である。図である。 図7はこの実施例における認証サーバの認証部の動作のその他の例を示すフロー図である。 図8は実施例の応用例における認証サーバの動作の一例を示すフロー図である。 図9は実施例の他の応用例における認証サーバの動作の一例を示すフロー図である。 図10は実施例のその他の応用例における認証サーバの動作の一例を示すフロー図である。 図11はこの発明の他の実施例に係るネットワークシステムの一例を示すブロック図である。
図1を参照して、この発明の一実施例であるネットワークシステム10は、2つの異なる系統のネットワーク12および14によって構成される。
このネットワーク12および14を通して、クライエント装置、たとえばユーザ端末16、携帯端末18および複合機(MFP)20がウェブサイト(Web Site)の一例としてのデータベース22にアクセスする。このとき、認証サーバ24がこれらのユーザデバイスないしクライエント装置16、18または20のデータベース22へのアクセスを認証する。
図2を参照して、認証サーバ24と、その認証サーバ24による認証を受ける端末の代表例としてのユーザ端末16との関係を詳細に説明する。
ユーザ端末16は、制御部26を含み、制御部26はたとえばCPUおよびメモリ当データ構成されるコンピュータである。制御部26にはユーザインタフェース28が接続される。ユーザインタフェース28は、一例として、キーボードやタッチパネルなどの入力手段と、ディスプレイやスピーカなどの出力手段を含む。
ユーザ端末16は、さらに、第1通信部30および第2通信部32を含む。第1通信部30は、たとえばWi‐Fi(商品名)またはEthernet(商品名)のような第1ネットワーク12を使ってデータを送受信する通信部である。第2通信部32は、たとえばBluetooth Mesh Network(商品名、以下、「BTメッシュ」)のような第2ネットワーク14を使ってデータを送受信する通信部である。
認証サーバ24は、認証部34を含み、この認証部34は、CPU36およびメモリ38等からなるコンピュータである。認証サーバ24は、さらに、第3通信部40および第4通信部42を含む。第3通信部40は、第1ネットワーク12を介して、たとえばユーザ端末16の第1通信部30と通信可能な通信部である。第4通信部42は、第2ネットワーク14を介して、たとえばユーザ端末16の第2通信部32と通信可能な通信部である。
第1ネットワーク12としてのWi‐FiまたはEthernetはよく知られているように、無線LANを構築するためなどに利用される比較的長い通信距離で比較的速い通信速度を持つネットワークである。これに対して第2ネットワーク14としてのBTメッシュは、本来比較的短い通信距離や比較的遅い通信速度のBluetooth(商品名。以下「BT」ということがある。)を多数のノードによってメッシュに構成したネットワークである。つまり、第1ネットワーク12および第2ネットワーク14は、それぞれ別系統のネットワークである。したがって、これらの第1ネットワーク12および第2ネットワーク14を介して通信する、第1通信部30ならびに第3通信部40と第2通信部32ならびに第4通信部42は、それぞれ、系統(階層)の異なる通信部である。
図3は、認証サーバ24のメモリ38のメモリマップである。このメモリ38は、プログラム記憶領域46およびデータ記憶領域48を含む。
プログラム記憶領域46には、全体制御プログラム50a、通信プログラム50b、認証プログラム50c、…を含む。
全体制御プログラム50aは、この認証サーバ24の全体の制御のためのプログラムであり、場合によっては、通信や認証の制御をも含むものではあるが、ここでは、便宜上、通信プログラム50bおよび認証プログラム50cとは分けて示した。
通信プログラム50bは、第3通信部40および第4通信部42を制御して、たとえばユーザ端末16や、携帯端末18、MFP20(図1)などとの通信を制御するためのプログラムである。
認証プログラム50cは、ユーザ端末16や、携帯端末28、MFP20(図1)などとの通信を通して。これらがデータベース22にアクセスしてもよいかどうかを決定(認証)する。
データ記憶領域48には、バッファ領域52aおよび照会テーブル領域52b等が形成される。
バッファ領域52aは、第3通信部40および第4通信部42を通して受信したデータ等を一時的に記憶する。
照会テーブル領域52bは、図4に示すような照会テーブル54が予め設定される。
照会テーブル54は、ユーザID、LANへのアクセスパスワード(LANパスワード)、ユーザに紐づけられたBTメッシュへのアクセス機能を持ったデバイスのデバイスIDおよびそのようなメッシュネットワークアクセス機能を持ったデバイスのBTメッシュ上でのID(メッシュID)のそれぞれを照合可能なテーブルである。
このような照会テーブル54は、各認証サーバ24に対して、予め記憶されている。
図4を参照して、照合テーブル54は、その認証サーバ24が担当する複数のユーザのID(識別情報)を含み、その複数のユーザIDの各々に個別に対応する、
LANパスワード、メッシュIDおよびデバイスIDを記憶する。
LANパスワードは、第1ネットワーク12がLANの場合の、ユーザIDに対応する、パスワードであり、第1ネットワーク12に関する固有の第1ネットワーク識別情報である。実施例では、第1ネットワーク12に関する第1ネットワーク識別情報の代表としてLANパスワードを用いて説明する。
メッシュIDは、第2ネットワーク14がBTメッシュの場合の、ユーザIDに対応する、IDであり、第2ネットワーク14に関する固有の第2ネットワーク識別情報である。実施例では、第2ネットワーク14に関する第2ネットワーク識別情報の代表としてメッシュIDを用いて説明する。
デバイスIDは、ユーザIDに対応するユーザのデバイス(パソコン、携帯端末(スマホ)、MFP等)を識別するための識別情報である。ユーザのデバイスは、ユーザが現に所持しているデバイスの他、ユーザが所有しているデバイスまたはユーザの使用が許容されているデバイスなどを含む。
照会テーブル54内のデータの一例として、「1」のユーザIDを有するユーザ端末16のLANパスワードは「aaaaaaaaa」であり、メッシュIDは「MID1」IDであり、デバイスIDは「DEV1」であると登録されている。
このような照会テーブル54がメモリ38の照会テーブル領域52bに予め設定されている。
次に図5のフロー図を参照して、ユーザIDとメッシュIDとの照合により認証する場合の、認証サーバ24(認証部34)の動作の一例を説明する。
なお、図5‐図7に示す2段階認証は、主として、通信プログラム50bおよび認証プログラム50cに基づいて認証部34が実行するものであり、いずれの場合も1段階目の認証として第2ネットワーク14であるBTメッシュもしくはそれに関連する情報を用い、2段階目の認証としてユーザIDおよび第1ネットワーク12としてのLANのパスワード(LANパスワード)の照合を行うこととしている。しかしながら、この順序は逆であってもよいことを予め指摘しておく。つまり、第1ネットワーク12での認証と第2ネットワーク14での認証のどちらが先でもよい。
図5の実施例は、簡単にいうと、1段階目の認証として、LAN経由の接続要求を行ったユーザIDと対応する、現時点で有効なメッシュIDが照合テーブル54上に存在するかの判定結果を用いる、2段階認証の実施例である。
最初のステップS1では、たとえばユーザ端末16の第1通信部30から第1ネットワーク12を通して送信されてきたネットワーク接続要求を第3通信部40を通して、認証部34が受信する。このネットワーク接続要求には、ユーザIDおよびLANパスワードが含まれる。このユーザIDおよびLANパスワードは、メモリ38のバッファ領域52aに一時的に記憶される。
そこで、認証部34は、続くステップS2で、このユーザIDに対応するメッシュIDがあるかどうか、照合テーブル54を参照して判断する。このステップS2が登録判断手段である。
このステップS2で“YES”を判断した場合、つまりステップS1で受信したユーザIDに対応するメッシュIDが照合テーブル54に登録されていると判断したとき、次のステップS3で、認証部34は、ステップS1で受信したユーザIDとLANパスワードが一致しているかどうか、照合テーブル54を参照して、判断する。
ステップS2およびS3でともに“YES”を判断したとき、つまり、接続要求を送信してきたユーザ端末16のユーザIDに個別的に対応するLANパスワードおよびメッシュIDがすべて照会テーブル54に登録されていると判断したとき、認証部34は、ステップS4で、そのユーザ端末16に対して、認証OK(認証成功)を通知して、LAN接続を許可する。
これに対して、ステップS2およびステップS3の少なくとも1つの判断ステップで“NO”を判断したとき、認証部34はステップS5で、ユーザ端末16に対して、認証NG(認証失敗)を通知して、LAN接続を不許可とする。
このように、この実施例でも2つの要素で認証を行う2段階認証であるが、照会テーブルを利用しているため、2段階目の認証方法は隠蔽されている。そのため、仮にこのネットワークシステム10に対する攻撃があっても、その攻撃者に対して2段階目の方式は隠蔽されているので、攻撃者のランダムな攻撃で認証OKを獲得することはできない。
また、この実施例では、メッシュネットワークへの参加承認済みを利用するので、アプリ毎の個別認証は不要であるとともに、キーデバイスにあたる機器は不要であり、ユーザの利便性は一層改善されている。
図6の実施例は、簡単にいうと、1段階目の認証として、LAN経由の接続要求を行ったユーザIDと対応する、現時点で有効なBTメッシュのメッシュID(照合テーブル54で分かる)に対して認証サーバ24よりBTメッシュからアクセスを行い、これに対する応答の有無を判定結果として用いる、実施例である。
最初のステップS11では、図5のステップS1と同様に、第3通信部40を通してユーザ端末16からの接続要求を受信する。このユーザIDおよびLANパスワードは、メモリ38のバッファ領域52aに一時的に記憶される。
次に、ステップS12で、認証サーバ24の認証部34は、第4通信部42を制御して、第2ネットワーク14を通して、そのユーザ端末16に接続要求を送信する。ステップS12が応答要求送信手段を構成する。
その後、ステップS13で、認証サーバ24からの第2ネットワーク14経由の接続要求に対して、当該のユーザ端末16から応答があったかどうか判断する。このステップS13が応答判断手段を構成する。
ステップS13において、ユーザ端末16からの応答があると判断したとき、認証部34は、続くステップS14で、図5のステップS3と同様にして、ステップS11で受信したユーザIDとLANパスワードが一致しているかどうか、照合テーブル54を参照して、判断する。
ステップS13およびS14でともに“YES”を判断したとき、つまり、接続要求を送信してきたユーザ端末16のユーザIDに個別的に対応するLANパスワードおよびメッシュIDがすべて照会テーブル54に登録されていると判断したとき、認証部34は、ステップS15で、そのユーザ端末16に対して、認証OKを通知して、LAN接続を許可する。つまり、このステップS15を実行する認証部34は、(アクセス)許可手段を構成する。
これに対して、ステップS13およびステップS14の少なくとも1つの判断ステップで“NO”を判断したとき、認証部34は、ステップS16で、ユーザ端末16に対して、認証NGを通知して、LAN接続を不許可とする。つまり、このステップS16を実行する認証部34は、(アクセス)不許可手段を構成する。
この実施例においても、2段階目の認証方式が隠蔽されているので、安全なネットワークシステムが得られる。
さらに、図7を参照して、別の実施例について説明する。
図7の実施例は、1段階目の認証として、第1ネットワーク12、たとえばLAN経由の接続要求と併せて、第2ネットワーク14、たとえばBTメッシュ経由の接続要求がユーザ端末16から行われる、実施例である。
最初のステップS21で、図5のステップS1と同様の、ユーザ端末16からの接続要求を受信する。
次いで、ユーザ端末16から送信される、BTメッシュ経由で送信される接続要求を受信する。つまり、ユーザ端末16の制御部26(図2)は、ステップS21で、第1通信部30から第1ネットワーク12を介して、認証サーバ24に接続要求を送信するとともに、ステップS22で、第2通信部32から第2ネットワーク14を介して、認証サーバ24に接続要求を送信する
したがって、この時点で、認証サーバ24のメモリ38のバッファ領域52aには、ユーザID、LANパスワードおよびメッシュIDが一時的に記憶されている。
そして、認証サーバ24は、ステップS23で、ステップS22で受信した接続要求のメッシュIDがステップS21で受信したユーザIDからのものかどうか判断する。つまり、記憶しているユーザIDに対応すると想定できる(照合テーブル54を参照して)メッシュIDを伴う接続要求であったかどうか判断する。このステップS23が接続要求受信判断手段を構成する。
その後、図5のステップS3、S4およびS5と同様のステップS24、S25およびS26が実行され、ユーザ端末16に対して、認証OKまたは認証NGが通知される。
上述の実施例において、図5のステップS2、図6のステップS13または図7のステップS23を実行する認証部34が第1判断手段を構成し、図5のステップS3、図6のステップS14または図7のステップS24を実行する認証部34が第2判断手段を構成する。
このような実施例の応用例として、図8に、BTメッシュ参加認証に用いるキーと、参加認証対象であるデバイスが一致した例としてスマートフォンを第2ネットワーク14であるBTメッシュに参加させる実施例を示す。
たとえば、オフィスや工場などの構内への入り口に設置された読み取り機(図示せず)にスマートフォン18(図1)をかざすことによって、そのデバイス(スマートフォン18)のデバイスIDが認証サーバ24に送られる。
ステップS31で、認証サーバ24は、照合テーブル54を参照して、そのデバイスIDがBTメッシュ(第2ネットワーク14)への参加を許可されているのかを判定する。このステップS31で“YES”を判断したとき、つまり、そのスマートフォン18がBTメッシュへの参加が許可されているのであれば、次のステップS32でBTメッシュへの参加(プロビジョニング)を実行する。ただし、プロビジョニングはどのように行われてもかまわない。
その後、ステップS33でそのプビジョニングがOKかどうか判断する。このステップS33で“YES”を判断したとき、認証サーバ24は、ステップS34で、照合テーブル54(図4)へそのスマートフォン18のデバイスIDに対応してメッシュIDを登録する。
ただし、ステップS33で“NO”を判断したとき、つまりプロビジョニングに失敗したときには、ステップS35で、スマートフォン18のBTメッシュへの参加を不承認とする。この不承認は、該当のスマートフォン18にメッセージとして通知されてもよい。
同様の応用例として、図9には、認証に用いるキーとして、NFC(近距離無線通信)等の非接触通信機能を備えた社員証を用い、その社員証が該当するユーザIDと紐づけられたデバイスを参加認証対象とする場合の実施例を示す。
たとえば、オフィスや工場などの構内への入り口に設置された読み取り機(図示せず)に社員証をかざすことによって、ユーザID(社員証番号)が認証サーバ24に送られる。認証サーバ24の認証部34は、ステップS41で、そのユーザIDがBTメッシュ(第2ネットワーク14)への参加を許可されたデバイス、たとえばPC(パソコン)(図示せず)所有しているのかを判断する。この判断は、照合テーブル54にユーザIDに対応するデバイスIDが登録されているかどうかに基づいて判断できる。
そして、ステップS41で“YES”を判断したとき、認証部34は、次のステップS42で、そのデバイスIDに対応するメッシュIDを用いて、その社員の所有するPC(構内いずれかの場所にある対象デバイス)へのアクセスを一定期間試み、アクセス可能かどうか、判断する。つまり、ステップS42で“NO”を判断したとき、たとえばメモリ38のデータ記憶領域48に設けたタイマ(図示せず)による一定時間内(ステップS43)に応答があるかどうか判断する。
ステップS42で“YES”の判断をしたとき、認証サーバ24は、ステップS44およびS45で、先の実施例のステップS32およびS33と同様の処理を実行して、ステップS45で“YES”を判断したとき、認証サーバ24は、ステップS46で、照合テーブル54(図4)へその社員が所有するPCのデバイスIDに対応してメッシュIDを登録する。
ステップS43でタイムアウトを検出したとき、またはステップS45で“NO”を判断したとき、ステップS47で、そのPCのBTメッシュへの参加を不承認とする。この不承認は、該当のPCにメッセージとして通知されてもよい。
図8および図9の実施例では、スマートフォン18またはたとえばNFC付の社員証を前述のような読み取り機にかざすことによって、ユーザIDを認証サーバ24に伝えるようにしたが、図10の実施例では、スマートフォン18、PC(図示せず)、MFP20(図1)などに設けた読み取り機(図示せず)によって、ユーザの生体情報(指紋、掌紋、声紋など)を読み取ることによって、ユーザIDを認証サーバ24に伝える。
その後は、図9のステップS41‐S47と同様のステップS51‐S57を実行して、該当するデバイスのデバイスIDへのBTメッシュへの参加を承認し、または不承認とする。
なお、図8‐図10に示す実施例において、該当するデバイス、スマートフォン18、NFC付の社員証、MFP20などのBTメッシュへのアクセスが許可される有効期間あるいはメッシュIDを登録した(ステップS34、S46またはS56)照合テーブル54が有効である期間を1日とするタイムアウト期間を設けてもよい。
さらに、前記の読み取り機を構内への入口に設置した場合には、構外への出門時に認証時と同様の読み取り機へ再度スマートフォンや社員証をかざすことでこれらを無効とするようにしてもよい。
もしくは、該当するユーザIDを有するユーザの退勤処理時に無効とするようにしてもよい。
上述の実施例では、ユーザ端末16のようなデバイスに、第2通信部32を内蔵し、その第2通信部32から第2ネットワーク14を通して、認証サーバ24と通信したが、そのような第2通信部32を内蔵しないデバイスにもこの発明は適用できる。
図11はこの発明の他の実施例を示すブロック図である。この実施例のネットワークシステム10は、ユーザのデバイスの一例としてのユーザ端末16がUSB/NFCポート32Aを備え、そのUSB/NFCポート32Aに装着された、たとえばBTトングルのような第2ネットワーク参加デバイス32Bで第2通信部を構成するようにしている。ただし、「ドングル」とは、よく知られているように、コンピュータのUSBポートのような外部接続端子に差し込んで特定の機能を提供する
小型装置であり、ソフトウエアの不正使用を防止するために用いる認証装置、インターフェースの変換を行う装置あるいは無線通信を行う装置などがある。したがって、この実施例で使用されるBTトングルは、コンピュータ等の外部接続端子に接続された無線通信を行う小型装置ということができる。
この実施例では、ユーザ端末16はこの第2ネットワーク参加デバイス32Bを第2通信部32として使用し、認証サーバ24とのデータのやり取りを行うことができるのだ、認証サーバ24としては、図5‐図10で説明した動作を変更することなく、実行することができる。
10 …ネットワークシステム
12 …第1ネットワーク
14 …第2ネットワーク
16 …ユーザ端末
18 …携帯端末
20 …MFP(複合機)
22 …データベース
24 …認証サーバ
26 …制御部
30、40 …第1通信部
32、42 …第2通信部
32A …USBポート
32B …第2ネットワーク参加デバイス
34 …認証部

Claims (7)

  1. 第1ネットワークを介して通信可能な第1通信部および前記第1ネットワークとは異なる第2ネットワークを介して通信可能な第2通信部を有するクライエント装置からのウェブサイトへのアクセスを認証するネットワーク認証装置であって、
    前記第1ネットワークを介して通信可能な第3通信部、
    前記第2ネットワークを介して通信可能な第4通信部、
    前記クライエント装置のユーザのユーザ識別情報と、前記ユーザ識別情報にそれぞれ個別に対応する前記第1ネットワークに関する第1ネットワーク識別情報、前記第2ネットワークに関する第2ネットワーク識別情報および前記ユーザのデバイスを識別するためのデバイス識別情報を予め登録している照合テーブル、
    前記第3通信部および前記第4通信部の一方が前記第1ネットワーク識別情報および前記第2ネットワーク識別情報の一方を受信したとき、前記照会テーブルに登録されている前記第1ネットワーク識別情報および前記第2ネットワーク識別情報の他方の識別情報が前記一方の識別情報に対応しているかどうか判断する第1判断手段、
    前記第1判断手段で前記一方の識別情報に対応する前記他方の識別情報が前記照合テーブルに登録されていると判断したとき、さらに前記照合テーブルを参照して、前記ユーザ識別情報と前記第1ネットワーク識別情報および前記第2ネットワーク識別情報の他方とが一致しているかどうか判断する第2判断手段、および
    前記第2判断手段で前記ユーザ識別情報と前記第1ネットワーク識別情報および前記第2ネットワーク識別情報の他方とが一致していると判断したとき、前記クライエント装置の前記ウェブサイトへのアクセスを許可する許可手段を備える、ネットワーク認証装置。
  2. 第1判断手段で前記照会テーブルに登録されている前記他方の識別情報が前記一方の識別情報に対応すると判断しなかったとき、または前記第2判断手段で前記ユーザ識別情報と前記第1ネットワーク識別情報および前記第2ネットワーク識別情報の他方とが一致していると判断しなかったとき、前記クライエント装置の前記ウェブサイトへのアクセスを不許可とする不許可手段をさらに備える、請求項1記載のネットワーク認証装置。
  3. 前記第1判断手段は、前記一方の識別情報を受信したとき、前記照会テーブルを参照して前記一方の識別情報に対応する前記他方の識別情報が登録されているかどうか判断する登録判断手段を含む、請求項1または2記載のネットワーク認証装置。
  4. 前記第1判断手段は、前記一方の識別情報を受信したとき、前記照会テーブルを参照して前記一方の識別情報に対応する前記他方の識別情報に対応するデバイス識別情報が示すデバイスへ前記第3通信部および前記第4通信部のいずれかによって応答要求を送信し、その応答要求に対して応答があるかどうか判断する応答判断手段を含む、請求項1または2記載のネットワーク認証装置。
  5. 前記第1判断手段は、前記一方の識別情報を受信したとき、さらに前記一方の識別情報に対応する前記他方の識別情報を伴う接続要求があるかどうか判断する接続要求受信判断手段を含む、請求項1または2記載のネットワーク認証装置。
  6. 第1ネットワークを介して通信可能な第1通信部および前記第1ネットワークとは異なる第2ネットワークを介して通信可能な第2通信部を有するクライエント装置からのウェブサイトへのアクセスを認証するネットワーク認証装置のための認証プログラムであって、前記認証装置は、前記第1ネットワークを介して通信可能な第3通信部、前記第2ネットワークを介して通信可能な第4通信部、および前記クライエント装置のユーザのユーザ識別情報と、前記ユーザ識別情報にそれぞれ個別に対応する前記第1ネットワークに関する第1ネットワーク識別情報、前記第2ネットワークに関する第2ネットワーク識別情報および前記ユーザのデバイスを識別するためのデバイス識別情報を予め登録している照合テーブルを備え、前記認証プログラムは前記認証装置のコンピュータを、
    前記第3通信部および前記第4通信部の一方が前記第1ネットワーク識別情報および前記第2ネットワーク識別情報の一方を受信したとき、前記照会テーブルに登録されている前記第1ネットワーク識別情報および前記第2ネットワーク識別情報の他方の識別情報が前記一方の識別情報に対応しているかどうか判断する第1判断手段、
    前記第1判断手段で前記一方の識別情報に対応する前記他方の識別情報が前記照合テーブルに登録されていると判断したとき、さらに前記照合テーブルを参照して、前記ユーザ識別情報と前記第1ネットワーク識別情報および前記第2ネットワーク識別情報の他方とが一致しているかどうか判断する第2判断手段、および
    前記第2判断手段で前記ユーザ識別情報と前記第1ネットワーク識別情報および前記第2ネットワーク識別情報の他方とが一致していると判断したとき、前記クライエント装置の前記ウェブサイトへのアクセスを許可する許可手段として機能させる、認証プログラム。
  7. 第1ネットワークを介して通信可能な第1通信部および前記第1ネットワークとは異なる第2ネットワークを介して通信可能な第2通信部を有するクライエント装置からのウェブサイトへのアクセスを認証するネットワーク認証装置を用いた認証方法であって、前記認証装置は、前記第1ネットワークを介して通信可能な第3通信部、前記第2ネットワークを介して通信可能な第4通信部、および前記クライエント装置のユーザのユーザ識別情報と、前記ユーザ識別情報にそれぞれ個別に対応する前記第1ネットワークに関する第1ネットワーク識別情報、前記第2ネットワークに関する第2ネットワーク識別情報および前記ユーザのデバイスを識別するためのデバイス識別情報を予め登録している照合テーブルを備え、前記認証方法は、
    前記第3通信部および前記第4通信部の一方が前記第1ネットワーク識別情報および前記第2ネットワーク識別情報の一方を受信したとき、前記照会テーブルに登録されている前記第1ネットワーク識別情報および前記第2ネットワーク識別情報の他方の識別情報が前記一方の識別情報に対応しているかどうか判断する第1判断ステップ、
    前記第1判断ステップで前記一方の識別情報に対応する前記他方の識別情報が前記照合テーブルに登録されていると判断したとき、さらに前記照合テーブルを参照して、前記ユーザ識別情報と前記第1ネットワーク識別情報および前記第2ネットワーク識別情報の他方とが一致しているかどうか判断する第2判断ステップ、および
    前記第2判断ステップで前記ユーザ識別情報と前記第1ネットワーク識別情報および前記第2ネットワーク識別情報の他方とが一致していると判断したとき、前記クライエント装置の前記ウェブサイトへのアクセスを許可する許可ステップを含む、認証方法。
JP2022011682A 2022-01-28 2022-01-28 ネットワーク認証装置、認証方法およびプログラム Pending JP2023110316A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022011682A JP2023110316A (ja) 2022-01-28 2022-01-28 ネットワーク認証装置、認証方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022011682A JP2023110316A (ja) 2022-01-28 2022-01-28 ネットワーク認証装置、認証方法およびプログラム

Publications (1)

Publication Number Publication Date
JP2023110316A true JP2023110316A (ja) 2023-08-09

Family

ID=87546404

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022011682A Pending JP2023110316A (ja) 2022-01-28 2022-01-28 ネットワーク認証装置、認証方法およびプログラム

Country Status (1)

Country Link
JP (1) JP2023110316A (ja)

Similar Documents

Publication Publication Date Title
US10645581B2 (en) Method and apparatus for remote portable wireless device authentication
AU2009294201B2 (en) Authorization of server operations
US20170171755A1 (en) Authentication apparatus with a bluetooth interface
US20090174525A1 (en) Communication system and communication method
US11811777B2 (en) Multi-factor authentication using confidant verification of user identity
JP4960738B2 (ja) 認証システム、認証方法および認証プログラム
CN107395634B (zh) 一种可穿戴设备的无口令身份认证方法
KR102372503B1 (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
EP2974418B1 (en) Method and apparatus for remote portable wireless device authentication
WO2018126616A1 (zh) 一种共享方法、装置及系统
KR20220167366A (ko) 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템
WO2020161395A1 (en) Method for controlling an access device and an access system
JP2023110316A (ja) ネットワーク認証装置、認証方法およびプログラム
JP6005232B1 (ja) リカバリシステム、サーバ装置、端末装置、リカバリ方法及びリカバリプログラム
KR101368122B1 (ko) 이동 통신 단말기를 이용한 컴퓨터에서의 보안 방법 및 이를 위한 컴퓨터
TWI696963B (zh) 票證發行與入場驗證系統與方法及使用於票證發行與入場驗證系統之用戶終端裝置
JP6237870B2 (ja) 情報処理装置、端末装置及びプログラム
JP2017060097A (ja) 継承システム、サーバ装置、端末装置、継承方法及び継承プログラム
KR101719063B1 (ko) 디바이스의 제어 시스템 및 방법
WO2012121497A2 (ko) 고유식별자 기반 인증시스템 및 방법
EP3815297B1 (en) Authentication through secure sharing of digital secrets previously established between devices
KR20140023085A (ko) 사용자 인증 방법, 인증 서버 및 사용자 인증 시스템
US20230344827A1 (en) Multi-user biometric authentication
US20240106823A1 (en) Sharing a biometric token across platforms and devices for authentication
JP2023166888A (ja) 認証システムおよび認証システムを含む通信システム