JP4139947B2 - セキュリティシステム - Google Patents
セキュリティシステム Download PDFInfo
- Publication number
- JP4139947B2 JP4139947B2 JP2002159247A JP2002159247A JP4139947B2 JP 4139947 B2 JP4139947 B2 JP 4139947B2 JP 2002159247 A JP2002159247 A JP 2002159247A JP 2002159247 A JP2002159247 A JP 2002159247A JP 4139947 B2 JP4139947 B2 JP 4139947B2
- Authority
- JP
- Japan
- Prior art keywords
- user terminal
- network
- user
- server
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、パソコン等の利用者端末からネットワークサービスを受けようとする場合におけるセキュリティシステムに関する。
【0002】
【従来の技術】
インターネット等のネットワークを用いて、ネットワーク上にサービスを提供した場合、セキュリティに対する不安が常に付きまとう。インターネットは物理的な位置に関係なく利用できるが、反面、そのことがデメリットとなり、国際的なサイバーテロなどの標的にされ易いからである。従って、セキュリティの確保が重要視される金融情報や個人情報、企業内機密情報等には多大な投資が必要となっている。
【0003】
従来、図5に示すように、パソコン等の利用者端末からインターネットを介してネットワークサーバにアクセスして、ネットワーク上に提供されているサービスを利用する場合には、利用者個人やネットワークサーバを認証するためのパスワードや証明書など、電子情報にてセキュリティを確保するようにしている。
【0004】
しかし、この従来技術には、第1に、必要なセキュリティ確保のための電子情報さえ入手すれば、物理的な位置に関係なく、どこからでもネットワークサービスを不正利用できるという問題点がある。その結果、国や地域を越えて犯罪が可能となり犯罪捜査が難しくする。また、セキュリティホール(Security Hole)等のシステムの脆弱性をついて「なりすまし」が可能となる。
【0005】
【発明が解決しようとする課題】
この種の問題点の解消を図った従来技術として、特開2002-7931に記載されている「認証システム」が知られている。このシステムは、キャッシュカードやクレジットカードを利用するときに、GPS機能を備えたPHS,携帯電話等の無線端末によって利用者の存在位置を特定し、その位置情報と所定のカード取扱機の位置情報との一致を検証することによる利用者認証を、これまでのパスワード等による利用者認証と併用したものである。
【0006】
しかし、この従来技術では、キャッシュカード等が使用される装置は、カード取扱機のように、利用者の意向とは無関係に固定されたものに限られている。従って、図5に示したようにパソコン等の利用者端末からネットワークサーバにアクセスするような利用形態には対応できない。
【0007】
本発明の目的は、パソコン等の利用者端末からネットワークサーバにアクセスしてネットワークサービスを受けようとする場合に、利用者端末の位置情報を利用者認証のために使用できるセキュリティシステムを提供することにある。
【0010】
【課題を解決するための手段】
本発明のセキュリティシステムは、利用者端末とネットワークサーバの間,ネットワークサーバとセキュリティサーバの間,セキュリティサーバと利用者端末の間をそれぞれ第1,第2,第3の通信ネットワークで接続したセキュリティシステムであって、利用者端末は、該利用者端末の位置情報をセキュリティサーバに予め登録するためにネットワークサーバに送信する機能と、該利用者端末のユニークな識別子をネットワークサーバに自動的に送信する機能と、ネットワークサーバが第1の通信ネットワーク上に提供しているサービスを利用する機能とを有し、ネットワークサーバは、利用者端末から受け取った認証情報によって一次的な利用者認証を行い、その結果を前記利用者端末に送信する機能と、第2の通信ネットワークを介してセキュリティサーバにユニークな識別子対応の認証要求を行う機能と、該認証要求に対するセキュリティサーバによる二次的な利用者認証の結果により利用者端末へのネットワークサービスを開始する機能とを有し、セキュリティサーバは、利用者端末の位置情報をユニークな識別子と対応付けて登録しておく機能と、ネットワークサーバから認証要求を受け取ると、ユニークな識別子に対応する利用者端末の位置情報の取得を第3の通信ネットワーク上の基地局に対して要求し、得られた利用者端末の位置情報と、予め登録している利用者端末の位置情報との一致もしくは一定の関連性を検証することによって二次的な利用者認証を行う機能を有し、ネットワークサーバにおいて一次的な利用者認証ができたとき、利用者端末は位置情報通知モードを「許可」に切り替えてネットワークサーバに通知し、これによりネットワークサーバは認証要求を行うことを特徴とする。
【0011】
本発明では、利用者が予め任意に登録した利用者端末の位置情報と、現に使用している利用者端末の位置情報とを照合することとしたため、パソコン等の利用者端末からネットワークサーバにアクセスしてネットワークサービスを受けようとする場合に、電子的な認証情報以外に利用者端末の位置情報という物理的な情報を利用者認証のために使用できるようになる。
【0014】
【発明の実施の形態】
次に、本発明の実施例について図面を参照しながら説明する。
【0015】
[実施例の構成]
図1に示す本発明の第1の実施例は、利用者端末10と、利用者端末10に取り付けられた通信端末11と、ネットワークサーバ20と、セキュリティサーバ30と、基地局40と、利用者端末10とネットワークサーバ20を接続するインターネット等の広域な通信ネットワーク100と、ネットワークサーバ20とセキュリティサーバ30を接続するローカルなLAN等の通信ネットワーク101と、セキュリティサーバ30および基地局40を介した通信端末11が接続される携帯電話網等の通信ネットワーク200とから構成されている。
【0016】
利用者端末10はパーソナルコンピュータ等の情報処理装置である。利用者端末10は、ネットワークサーバ20がネットワーク100上に提供しているサービスを利用する機能を備え、そのサービスを利用するための認証情報(ユーザID,パスワード等)をネットワークサーバ20へ送信することができる。また、利用者端末10は、通信端末11の電話番号等のユニークな識別子を通信ネットワーク100経由でネットワークサーバ20に送付する機能を有する。更に、利用者端末10は、利用者端末の位置情報をセキュリティサーバ30に予め登録するためにネットワークサーバ20に送信する機能を有する。
【0017】
通信端末11は、電話番号等のユニークな識別子が登録された携帯電話等であって、基地局40との間で無線で通信する機能を有する。特に、位置情報通知モードを有し、それを「許可」に切り替えることによって、基地局40からの位置情報要求に応答し、通信端末11の位置情報(利用者端末10の位置情報でもある)が基地局40によって取得されるのを許容し、また「不許可」に切り替えることによって、基地局40からの位置情報要求に応答しないようにできる。
【0018】
ネットワークサーバ20は、ワークステーション・サーバ等の情報処理装置によって構成される。ネットワークサーバ20は、登録された会員利用者によって使用され、通信ネットワーク100上に各種のサービスを提供して会員の利用に供する。また、その前提として、利用者端末10が送出した認証情報を受け取る機能を有し、受け取った認証情報によって一次的な利用者の認証を行う。更に、通信ネットワーク200を介してセキュリティサーバ30のサービスを利用する機能を有し、セキュリティサーバ30による二次的な利用者の認証の結果により、利用者端末10へのサービスを開始する。
【0019】
セキュリティサーバ30は、ワークステーション・サーバ等の情報処理装置によって構成される。セキュリティサーバ30は、ネットワークサーバ20から認証要求を受け取ると、通信ネットワーク200を介して基地局40に通信端末11の位置情報の取得を依頼する。そして、得られた通信端末11の位置情報と、予めデータベースに登録されている通信端末11の位置情報との一致もしくは一定の関連性を検証することによって二次的な利用者認証を行う。位置情報は、イメージを図2に示すように、ユーザIDと対応付けられてデータベースに登録される。
【0020】
真正な利用者が使用する通信端末11の位置情報は、予め登録されている通信端末11の位置情報と一致もしくは一定の関連性を有する。しかし、不正な利用者が使用する利用者端末10は、真正な利用者が使用する利用者端末10とは異なり、従って通信端末11の位置情報も異なる筈であり、セキュリティサーバ30における位置情報の検証において一致もしくは関連性を検出できない。この結果、ユーザID,パスワード等の認証情報が不正利用されて一次的な利用者認証ができたとしても、二次的な利用者認証が阻止されるのである。
【0021】
基地局40は、セキュリティサーバ30からの位置情報の取得依頼により、無線通信にて利用者端末10の位置情報を取得してセキュリティサーバ30に送信する機能を有している。この場合、通信端末11の位置情報通知モードは「許可」に設定されていることが必要とされる。
【0022】
[実施例の動作]
次に、以上のように構成されている本実施例の動作について、図3に示すフローチャートに沿って説明する。
【0023】
先ず、会員は、通信端末11の位置情報をネットワークサーバ20に予め申告する。この位置情報は、基地局によって取得される通信端末11の位置情報そのものであってもよく、また、通信端末11の位置情報に含まれる国,地方,都道府県,市町村,区もしくは字,○○宅等を指定することもできる。外国や他の都道府県等での不正使用を阻止することにも意義があるからである。ネットワークサーバ20は、位置情報を通信ネットワーク100経由で受信すると、その会員のユーザIDとともにセキュリティサーバ30に送信する。セキュリティサーバ30は、ユーザIDと位置情報とを紐付けてデータベースに登録する。
【0024】
図3は、第1の実施例において、ネットワークサーバ20によるサービスを受けようとする場合のフローチャートである。当初、通信端末11の位置情報通知モードは「不許可」に設定されている。サービス利用者は、利用者端末10を介して、ネットワークサーバが通信ネットワーク100上に開設しているネットワークサービスにアクセスする(図3のステップA1)。これに応答して、ネットワークサーバ20は認証情報であるユーザIDとパスワードの入力要求を利用者端末10に送信する(ステップA2)。
【0025】
サービス利用者が利用者IDとパスワードを利用者端末10に入力すると、利用者端末10はネットワークサーバ20に利用者IDとパスワードを送信する(ステップA3)。ネットワークサーバ20は、ユーザIDとパスワードを検証し、その結果を利用者端末10に送信する(ステップA4)。送信の内容は、認証できなかったときは利用者端末10に利用不可を伝えるものであり、また認証(一次的な利用者の認証)ができたときは位置情報を要求するものである。
【0026】
この要求を受けると、利用者端末10は基地局40からの位置情報要求に対応するため、通信端末11の位置情報通知モードを「許可」に切り替え、その旨をネットワークサーバ20に通知する(ステップA5)。このとき通信端末11の電話番号が利用者端末10によって自動的にネットワークサーバ20に通知される。
【0027】
次に、ネットワークサーバ20は、認証要求をセキュリティサーバ30に送信する(ステップA6)。このときの認証要求には、ユーザIDおよび通信端末11の電話番号が含まれる。セキュリティサーバ30は、通信端末11の電話番号で特定される通信端末11の位置情報要求を携帯電話網200上の電話基地局40にを送信する(ステップA7)。基地局40は、要求された通信端末11の位置情報を無線通信にて確認し、セキュリティサーバ30に送信する(ステップA8)。
【0028】
セキュリティサーバ30は、ネットワークサーバ20からの認証要求(ステップA6)に含まれているユーザID対応の位置情報をデータベースから検索し、基地局40から得られた位置情報と照合し、照合結果をネットワークサーバ20に送信する(ステップA9)。照合の結果、データベースに登録されている位置情報と、基地局40から得られた位置情報とが一致もしくは関連付けられなかったときは、認証情報が不正に使用されたとする。これは、不正者が真正利用者の通信端末11を使用するとは考えられないことから、位置情報の照合結果を二次的な利用者認証に使用したものである。例えば、東京・府中工場向けのネットワークサービスが長野県から利用された場合は怪しいと判断する。
【0029】
ネッワークサーバ20は、セキュリティサーバ30から受信した二次的な利用者認証の結果を利用者端末10に送信する(ステップA10)。認証ができなかった場合の送信の内容は利用不可の旨を伝えるものであり、これにより、認証情報を不正に使用した者がネットワークサーバ20によるサービスを受けるためのアクセスをしても受け付けられないことになる。認証できた場合には、ネットワークサーバ20はネットワークサービスの提供を開始する(ステップA11)。最後に、サービスを利用者端末10は、基地局40からの位置情報要求に応答しないようにするため、通信端末11の位置情報通知モードを「不許可」に切り替える(ステップA12)。
【0030】
[第2の実施例]
次に、本発明の第2の実施例について説明する。第2の実施例は、第1の実施例におけるような一次な利用者認証および二次的な利用者認証を行うことなく、しかし基地局によって得られた通信端末11の位置情報をネットワークサーバ20に記録した上でネットワークサービスを開始するものである。
【0031】
基本的なシステム構成は図1と異なるところがない。前述のように、利用者端末10は、利用者端末10に接続された通信端末11の電話番号等のユニークな識別子を、通信ネットワーク100を介してネットワークサーバ20に送付する機能を有する。ネットワークサーバ20は、通信端末11の識別子よりセキュリティサーバ30にネットワーク101を介して位置情報を要求し、得られた位置情報を記録するのである。
【0032】
図4は、第2の実施例において、ネットワークサーバ20によるサービスを受けようとする場合のフローチャートである。サービス利用者は、利用者端末10を介して、ネットワークサーバが通信ネットワーク100上に開設しているネットワークサービスにアクセスする(図4のステップB1)。
【0033】
すると、ネットワークサーバ20は、位置情報取得要求をセキュリティサーバ30に送信する(ステップB2)。すなわち、ユーザIDおよびパスワードの要求(図1のステップA2)を行うこともせず、従って一時的な利用者認証を行うこともない。このときのセキュリティサーバ30への認証要求には、ユーザIDおよび通信端末11の電話番号が含まれる。
【0034】
セキュリティサーバ30は、通信端末11の電話番号で特定される通信端末11の位置情報要求を携帯電話網200上の電話基地局40にを送信する(ステップB3)。基地局40は、要求された通信端末11の位置情報を無線通信にて確認し、セキュリティサーバ30に送信する(ステップB4)。
【0035】
セキュリティサーバ30は、基地局によって取得された通信端末11の位置情報をネットワークサーバ20に転送する(ステップB5)だけであって、それを使った二次的な利用者認証(図1のステップA9)は行わない。
【0036】
ネットワークサーバ20は、セキュリティサーバ30から転送されてきた通信端末11の位置情報をネットワークサーバ20内に記録する(ステップB6)。そして、ネットワークサーバ20は、通信ネットワーク100上にて提供されるネットワークサービスを利用者端末10に提供する(ステップB7)。
【0037】
以上のように、第2の実施例は利用者認証を行わずに、いわば野放し状態でネットワークサービスを開始する。しかし、通信端末11の位置情報を記録していくことにより、不正使用があった場合の犯罪捜査を容易化したのである。これにより、利用者端末10が移動した場合であっても、いちいち位置情報をデータベースに登録しておかなくとも犯罪の追及が可能となる。
【0038】
[その他の実施例]
以上の実施例において利用者端末10と通信端末11とは別個のものとしているが、このことは必須条件ではなく、通信機能を備えていない利用者端末10に対して意義がある。従って、利用者端末10が通信端末11と同様な機能を備えていれば通信端末11は不要である。
【0039】
また、第1の実施例と第2の実施例とを併合した実施例も考えられる。第1の実施例における一次的な利用者認証をパスし、かつ二次的な利用者認証をパスしなかった「なりすまし」不正者についても放置せず、第2の実施例によって探索の余地を残すことにも意義があるからである。
【0040】
【発明の効果】
本発明の第1の効果は、利用者が予め任意に登録した利用者端末の位置情報と、現に使用している利用者端末の位置情報とを照合することとしたため、パソコン等の利用者端末からネットワークサーバにアクセスしてネットワークサービスを受けようとする場合に、電子的な認証情報以外に利用者端末の位置情報という物理的な情報を利用者認証のために使用できるということである。これにより、本発明のシステムの安全性が確保される限り、特定の関係者や会員などに価値ある情報を安全に提供することができる。また、国や地域を越えて認証情報の不正利用をすることができなくなり、いわゆる国際サーバーテロ等の問題を解決することができる。
【0041】
また、本発明の第2の効果は、現に使用している利用者端末の位置情報を自動的に記録しておくことにより、たとえ利用者の認証をしておかなくとも、犯罪の捜査を容易にできるということである。不正利用者が有効にネットワークサービスを享受するには、不正利用者は登録されている位置と同じ位置に移動する必要があるので通常の犯罪捜査と同様に逮捕が容易になり、また、不正利用者が移動しなくとも利用者端末の位置情報から探索ができので逮捕が可能になるからである。
【図面の簡単な説明】
【図1】本発明による第1の実施例のシステム構成を示す図
【図2】本発明におけるセキュリティサーバのデータベースに対応付けられて登録されているユーザIDと位置情報のイメージ図
【図3】第1の実施例において、ネットワークサーバ20によるサービスを受けようとする場合のフローチャート
【図4】第2の実施例において、ネットワークサーバ20によるサービスを受けようとする場合のフローチャート
【図5】従来のシステム構成図
【符号の説明】
10 利用者端末
11 通信端末
20 ネットワークサーバ
30 セキュリティサーバ
40 基地局
100 通信ネットワーク
101 通信ネットワーク
200 通信ネットワーク
【発明の属する技術分野】
本発明は、パソコン等の利用者端末からネットワークサービスを受けようとする場合におけるセキュリティシステムに関する。
【0002】
【従来の技術】
インターネット等のネットワークを用いて、ネットワーク上にサービスを提供した場合、セキュリティに対する不安が常に付きまとう。インターネットは物理的な位置に関係なく利用できるが、反面、そのことがデメリットとなり、国際的なサイバーテロなどの標的にされ易いからである。従って、セキュリティの確保が重要視される金融情報や個人情報、企業内機密情報等には多大な投資が必要となっている。
【0003】
従来、図5に示すように、パソコン等の利用者端末からインターネットを介してネットワークサーバにアクセスして、ネットワーク上に提供されているサービスを利用する場合には、利用者個人やネットワークサーバを認証するためのパスワードや証明書など、電子情報にてセキュリティを確保するようにしている。
【0004】
しかし、この従来技術には、第1に、必要なセキュリティ確保のための電子情報さえ入手すれば、物理的な位置に関係なく、どこからでもネットワークサービスを不正利用できるという問題点がある。その結果、国や地域を越えて犯罪が可能となり犯罪捜査が難しくする。また、セキュリティホール(Security Hole)等のシステムの脆弱性をついて「なりすまし」が可能となる。
【0005】
【発明が解決しようとする課題】
この種の問題点の解消を図った従来技術として、特開2002-7931に記載されている「認証システム」が知られている。このシステムは、キャッシュカードやクレジットカードを利用するときに、GPS機能を備えたPHS,携帯電話等の無線端末によって利用者の存在位置を特定し、その位置情報と所定のカード取扱機の位置情報との一致を検証することによる利用者認証を、これまでのパスワード等による利用者認証と併用したものである。
【0006】
しかし、この従来技術では、キャッシュカード等が使用される装置は、カード取扱機のように、利用者の意向とは無関係に固定されたものに限られている。従って、図5に示したようにパソコン等の利用者端末からネットワークサーバにアクセスするような利用形態には対応できない。
【0007】
本発明の目的は、パソコン等の利用者端末からネットワークサーバにアクセスしてネットワークサービスを受けようとする場合に、利用者端末の位置情報を利用者認証のために使用できるセキュリティシステムを提供することにある。
【0010】
【課題を解決するための手段】
本発明のセキュリティシステムは、利用者端末とネットワークサーバの間,ネットワークサーバとセキュリティサーバの間,セキュリティサーバと利用者端末の間をそれぞれ第1,第2,第3の通信ネットワークで接続したセキュリティシステムであって、利用者端末は、該利用者端末の位置情報をセキュリティサーバに予め登録するためにネットワークサーバに送信する機能と、該利用者端末のユニークな識別子をネットワークサーバに自動的に送信する機能と、ネットワークサーバが第1の通信ネットワーク上に提供しているサービスを利用する機能とを有し、ネットワークサーバは、利用者端末から受け取った認証情報によって一次的な利用者認証を行い、その結果を前記利用者端末に送信する機能と、第2の通信ネットワークを介してセキュリティサーバにユニークな識別子対応の認証要求を行う機能と、該認証要求に対するセキュリティサーバによる二次的な利用者認証の結果により利用者端末へのネットワークサービスを開始する機能とを有し、セキュリティサーバは、利用者端末の位置情報をユニークな識別子と対応付けて登録しておく機能と、ネットワークサーバから認証要求を受け取ると、ユニークな識別子に対応する利用者端末の位置情報の取得を第3の通信ネットワーク上の基地局に対して要求し、得られた利用者端末の位置情報と、予め登録している利用者端末の位置情報との一致もしくは一定の関連性を検証することによって二次的な利用者認証を行う機能を有し、ネットワークサーバにおいて一次的な利用者認証ができたとき、利用者端末は位置情報通知モードを「許可」に切り替えてネットワークサーバに通知し、これによりネットワークサーバは認証要求を行うことを特徴とする。
【0011】
本発明では、利用者が予め任意に登録した利用者端末の位置情報と、現に使用している利用者端末の位置情報とを照合することとしたため、パソコン等の利用者端末からネットワークサーバにアクセスしてネットワークサービスを受けようとする場合に、電子的な認証情報以外に利用者端末の位置情報という物理的な情報を利用者認証のために使用できるようになる。
【0014】
【発明の実施の形態】
次に、本発明の実施例について図面を参照しながら説明する。
【0015】
[実施例の構成]
図1に示す本発明の第1の実施例は、利用者端末10と、利用者端末10に取り付けられた通信端末11と、ネットワークサーバ20と、セキュリティサーバ30と、基地局40と、利用者端末10とネットワークサーバ20を接続するインターネット等の広域な通信ネットワーク100と、ネットワークサーバ20とセキュリティサーバ30を接続するローカルなLAN等の通信ネットワーク101と、セキュリティサーバ30および基地局40を介した通信端末11が接続される携帯電話網等の通信ネットワーク200とから構成されている。
【0016】
利用者端末10はパーソナルコンピュータ等の情報処理装置である。利用者端末10は、ネットワークサーバ20がネットワーク100上に提供しているサービスを利用する機能を備え、そのサービスを利用するための認証情報(ユーザID,パスワード等)をネットワークサーバ20へ送信することができる。また、利用者端末10は、通信端末11の電話番号等のユニークな識別子を通信ネットワーク100経由でネットワークサーバ20に送付する機能を有する。更に、利用者端末10は、利用者端末の位置情報をセキュリティサーバ30に予め登録するためにネットワークサーバ20に送信する機能を有する。
【0017】
通信端末11は、電話番号等のユニークな識別子が登録された携帯電話等であって、基地局40との間で無線で通信する機能を有する。特に、位置情報通知モードを有し、それを「許可」に切り替えることによって、基地局40からの位置情報要求に応答し、通信端末11の位置情報(利用者端末10の位置情報でもある)が基地局40によって取得されるのを許容し、また「不許可」に切り替えることによって、基地局40からの位置情報要求に応答しないようにできる。
【0018】
ネットワークサーバ20は、ワークステーション・サーバ等の情報処理装置によって構成される。ネットワークサーバ20は、登録された会員利用者によって使用され、通信ネットワーク100上に各種のサービスを提供して会員の利用に供する。また、その前提として、利用者端末10が送出した認証情報を受け取る機能を有し、受け取った認証情報によって一次的な利用者の認証を行う。更に、通信ネットワーク200を介してセキュリティサーバ30のサービスを利用する機能を有し、セキュリティサーバ30による二次的な利用者の認証の結果により、利用者端末10へのサービスを開始する。
【0019】
セキュリティサーバ30は、ワークステーション・サーバ等の情報処理装置によって構成される。セキュリティサーバ30は、ネットワークサーバ20から認証要求を受け取ると、通信ネットワーク200を介して基地局40に通信端末11の位置情報の取得を依頼する。そして、得られた通信端末11の位置情報と、予めデータベースに登録されている通信端末11の位置情報との一致もしくは一定の関連性を検証することによって二次的な利用者認証を行う。位置情報は、イメージを図2に示すように、ユーザIDと対応付けられてデータベースに登録される。
【0020】
真正な利用者が使用する通信端末11の位置情報は、予め登録されている通信端末11の位置情報と一致もしくは一定の関連性を有する。しかし、不正な利用者が使用する利用者端末10は、真正な利用者が使用する利用者端末10とは異なり、従って通信端末11の位置情報も異なる筈であり、セキュリティサーバ30における位置情報の検証において一致もしくは関連性を検出できない。この結果、ユーザID,パスワード等の認証情報が不正利用されて一次的な利用者認証ができたとしても、二次的な利用者認証が阻止されるのである。
【0021】
基地局40は、セキュリティサーバ30からの位置情報の取得依頼により、無線通信にて利用者端末10の位置情報を取得してセキュリティサーバ30に送信する機能を有している。この場合、通信端末11の位置情報通知モードは「許可」に設定されていることが必要とされる。
【0022】
[実施例の動作]
次に、以上のように構成されている本実施例の動作について、図3に示すフローチャートに沿って説明する。
【0023】
先ず、会員は、通信端末11の位置情報をネットワークサーバ20に予め申告する。この位置情報は、基地局によって取得される通信端末11の位置情報そのものであってもよく、また、通信端末11の位置情報に含まれる国,地方,都道府県,市町村,区もしくは字,○○宅等を指定することもできる。外国や他の都道府県等での不正使用を阻止することにも意義があるからである。ネットワークサーバ20は、位置情報を通信ネットワーク100経由で受信すると、その会員のユーザIDとともにセキュリティサーバ30に送信する。セキュリティサーバ30は、ユーザIDと位置情報とを紐付けてデータベースに登録する。
【0024】
図3は、第1の実施例において、ネットワークサーバ20によるサービスを受けようとする場合のフローチャートである。当初、通信端末11の位置情報通知モードは「不許可」に設定されている。サービス利用者は、利用者端末10を介して、ネットワークサーバが通信ネットワーク100上に開設しているネットワークサービスにアクセスする(図3のステップA1)。これに応答して、ネットワークサーバ20は認証情報であるユーザIDとパスワードの入力要求を利用者端末10に送信する(ステップA2)。
【0025】
サービス利用者が利用者IDとパスワードを利用者端末10に入力すると、利用者端末10はネットワークサーバ20に利用者IDとパスワードを送信する(ステップA3)。ネットワークサーバ20は、ユーザIDとパスワードを検証し、その結果を利用者端末10に送信する(ステップA4)。送信の内容は、認証できなかったときは利用者端末10に利用不可を伝えるものであり、また認証(一次的な利用者の認証)ができたときは位置情報を要求するものである。
【0026】
この要求を受けると、利用者端末10は基地局40からの位置情報要求に対応するため、通信端末11の位置情報通知モードを「許可」に切り替え、その旨をネットワークサーバ20に通知する(ステップA5)。このとき通信端末11の電話番号が利用者端末10によって自動的にネットワークサーバ20に通知される。
【0027】
次に、ネットワークサーバ20は、認証要求をセキュリティサーバ30に送信する(ステップA6)。このときの認証要求には、ユーザIDおよび通信端末11の電話番号が含まれる。セキュリティサーバ30は、通信端末11の電話番号で特定される通信端末11の位置情報要求を携帯電話網200上の電話基地局40にを送信する(ステップA7)。基地局40は、要求された通信端末11の位置情報を無線通信にて確認し、セキュリティサーバ30に送信する(ステップA8)。
【0028】
セキュリティサーバ30は、ネットワークサーバ20からの認証要求(ステップA6)に含まれているユーザID対応の位置情報をデータベースから検索し、基地局40から得られた位置情報と照合し、照合結果をネットワークサーバ20に送信する(ステップA9)。照合の結果、データベースに登録されている位置情報と、基地局40から得られた位置情報とが一致もしくは関連付けられなかったときは、認証情報が不正に使用されたとする。これは、不正者が真正利用者の通信端末11を使用するとは考えられないことから、位置情報の照合結果を二次的な利用者認証に使用したものである。例えば、東京・府中工場向けのネットワークサービスが長野県から利用された場合は怪しいと判断する。
【0029】
ネッワークサーバ20は、セキュリティサーバ30から受信した二次的な利用者認証の結果を利用者端末10に送信する(ステップA10)。認証ができなかった場合の送信の内容は利用不可の旨を伝えるものであり、これにより、認証情報を不正に使用した者がネットワークサーバ20によるサービスを受けるためのアクセスをしても受け付けられないことになる。認証できた場合には、ネットワークサーバ20はネットワークサービスの提供を開始する(ステップA11)。最後に、サービスを利用者端末10は、基地局40からの位置情報要求に応答しないようにするため、通信端末11の位置情報通知モードを「不許可」に切り替える(ステップA12)。
【0030】
[第2の実施例]
次に、本発明の第2の実施例について説明する。第2の実施例は、第1の実施例におけるような一次な利用者認証および二次的な利用者認証を行うことなく、しかし基地局によって得られた通信端末11の位置情報をネットワークサーバ20に記録した上でネットワークサービスを開始するものである。
【0031】
基本的なシステム構成は図1と異なるところがない。前述のように、利用者端末10は、利用者端末10に接続された通信端末11の電話番号等のユニークな識別子を、通信ネットワーク100を介してネットワークサーバ20に送付する機能を有する。ネットワークサーバ20は、通信端末11の識別子よりセキュリティサーバ30にネットワーク101を介して位置情報を要求し、得られた位置情報を記録するのである。
【0032】
図4は、第2の実施例において、ネットワークサーバ20によるサービスを受けようとする場合のフローチャートである。サービス利用者は、利用者端末10を介して、ネットワークサーバが通信ネットワーク100上に開設しているネットワークサービスにアクセスする(図4のステップB1)。
【0033】
すると、ネットワークサーバ20は、位置情報取得要求をセキュリティサーバ30に送信する(ステップB2)。すなわち、ユーザIDおよびパスワードの要求(図1のステップA2)を行うこともせず、従って一時的な利用者認証を行うこともない。このときのセキュリティサーバ30への認証要求には、ユーザIDおよび通信端末11の電話番号が含まれる。
【0034】
セキュリティサーバ30は、通信端末11の電話番号で特定される通信端末11の位置情報要求を携帯電話網200上の電話基地局40にを送信する(ステップB3)。基地局40は、要求された通信端末11の位置情報を無線通信にて確認し、セキュリティサーバ30に送信する(ステップB4)。
【0035】
セキュリティサーバ30は、基地局によって取得された通信端末11の位置情報をネットワークサーバ20に転送する(ステップB5)だけであって、それを使った二次的な利用者認証(図1のステップA9)は行わない。
【0036】
ネットワークサーバ20は、セキュリティサーバ30から転送されてきた通信端末11の位置情報をネットワークサーバ20内に記録する(ステップB6)。そして、ネットワークサーバ20は、通信ネットワーク100上にて提供されるネットワークサービスを利用者端末10に提供する(ステップB7)。
【0037】
以上のように、第2の実施例は利用者認証を行わずに、いわば野放し状態でネットワークサービスを開始する。しかし、通信端末11の位置情報を記録していくことにより、不正使用があった場合の犯罪捜査を容易化したのである。これにより、利用者端末10が移動した場合であっても、いちいち位置情報をデータベースに登録しておかなくとも犯罪の追及が可能となる。
【0038】
[その他の実施例]
以上の実施例において利用者端末10と通信端末11とは別個のものとしているが、このことは必須条件ではなく、通信機能を備えていない利用者端末10に対して意義がある。従って、利用者端末10が通信端末11と同様な機能を備えていれば通信端末11は不要である。
【0039】
また、第1の実施例と第2の実施例とを併合した実施例も考えられる。第1の実施例における一次的な利用者認証をパスし、かつ二次的な利用者認証をパスしなかった「なりすまし」不正者についても放置せず、第2の実施例によって探索の余地を残すことにも意義があるからである。
【0040】
【発明の効果】
本発明の第1の効果は、利用者が予め任意に登録した利用者端末の位置情報と、現に使用している利用者端末の位置情報とを照合することとしたため、パソコン等の利用者端末からネットワークサーバにアクセスしてネットワークサービスを受けようとする場合に、電子的な認証情報以外に利用者端末の位置情報という物理的な情報を利用者認証のために使用できるということである。これにより、本発明のシステムの安全性が確保される限り、特定の関係者や会員などに価値ある情報を安全に提供することができる。また、国や地域を越えて認証情報の不正利用をすることができなくなり、いわゆる国際サーバーテロ等の問題を解決することができる。
【0041】
また、本発明の第2の効果は、現に使用している利用者端末の位置情報を自動的に記録しておくことにより、たとえ利用者の認証をしておかなくとも、犯罪の捜査を容易にできるということである。不正利用者が有効にネットワークサービスを享受するには、不正利用者は登録されている位置と同じ位置に移動する必要があるので通常の犯罪捜査と同様に逮捕が容易になり、また、不正利用者が移動しなくとも利用者端末の位置情報から探索ができので逮捕が可能になるからである。
【図面の簡単な説明】
【図1】本発明による第1の実施例のシステム構成を示す図
【図2】本発明におけるセキュリティサーバのデータベースに対応付けられて登録されているユーザIDと位置情報のイメージ図
【図3】第1の実施例において、ネットワークサーバ20によるサービスを受けようとする場合のフローチャート
【図4】第2の実施例において、ネットワークサーバ20によるサービスを受けようとする場合のフローチャート
【図5】従来のシステム構成図
【符号の説明】
10 利用者端末
11 通信端末
20 ネットワークサーバ
30 セキュリティサーバ
40 基地局
100 通信ネットワーク
101 通信ネットワーク
200 通信ネットワーク
Claims (1)
- 利用者端末とネットワークサーバの間,前記ネットワークサーバとセキュリティサーバの間,前記セキュリティサーバと前記利用者端末の間をそれぞれ第1,第2,第3の通信ネットワークで接続したセキュリティシステムであって、
前記利用者端末は、該利用者端末の位置情報を前記セキュリティサーバに予め登録するために前記ネットワークサーバに送信する機能と、該利用者端末のユニークな識別子を前記ネットワークサーバに自動的に送信する機能と、前記ネットワークサーバが前記第1の通信ネットワーク上に提供しているサービスを利用する機能とを有し、
前記ネットワークサーバは、前記利用者端末から受け取った認証情報によって一次的な利用者認証を行い、その結果を前記利用者端末に送信する機能と、前記第2の通信ネットワークを介して前記セキュリティサーバに前記ユニークな識別子対応の認証要求を行う機能と、該認証要求に対する前記セキュリティサーバによる二次的な利用者認証の結果により前記利用者端末へのネットワークサービスを開始する機能とを有し、
前記セキュリティサーバは、前記利用者端末の位置情報を前記ユニークな識別子と対応付けて登録しておく機能と、前記ネットワークサーバから認証要求を受け取ると、前記ユニークな識別子に対応する利用者端末の位置情報の取得を前記第3の通信ネットワーク上の基地局に対して要求し、得られた利用者端末の位置情報と、予め登録している利用者端末の位置情報との一致もしくは一定の関連性を検証することによって前記二次的な利用者認証を行う機能を有し、
前記ネットワークサーバにおいて前記一次的な利用者認証ができたとき、前記利用者端末は位置情報通知モードを「許可」に切り替えて前記ネットワークサーバに通知し、これによりネットワークサーバは前記認証要求を行うことを特徴とするセキュリティシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002159247A JP4139947B2 (ja) | 2002-05-31 | 2002-05-31 | セキュリティシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002159247A JP4139947B2 (ja) | 2002-05-31 | 2002-05-31 | セキュリティシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004005141A JP2004005141A (ja) | 2004-01-08 |
| JP4139947B2 true JP4139947B2 (ja) | 2008-08-27 |
Family
ID=30429100
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002159247A Expired - Fee Related JP4139947B2 (ja) | 2002-05-31 | 2002-05-31 | セキュリティシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4139947B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102009040477A1 (de) * | 2009-09-08 | 2011-03-10 | Deutsche Telekom Ag | Authentifizierung im Mobilfunknetz durch Authentifizierungszelle |
-
2002
- 2002-05-31 JP JP2002159247A patent/JP4139947B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004005141A (ja) | 2004-01-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7559081B2 (en) | Method and apparatus for authenticating a user at an access terminal | |
| JP5001491B2 (ja) | クレジットカード認証システム、クレジットカード認証端末および認証サーバ | |
| KR100392792B1 (ko) | 제 2접속경로를 이용한 사용자인증시스템 및 사용자인증방법 | |
| JP3479634B2 (ja) | 本人認証方法および本人認証システム | |
| KR101630913B1 (ko) | 통신 세션을 검증하기 위한 방법, 디바이스 및 시스템 | |
| US20030018918A1 (en) | Authentication system, authentication agent apparatus, and terminal | |
| US20050138394A1 (en) | Biometric access control using a mobile telephone terminal | |
| JP2006318489A (ja) | サービスユーザのidの認証を確認する方法および装置 | |
| JP2002229951A (ja) | 本人認証システム | |
| JP2002101091A (ja) | ユーザ認証方法およびユーザ認証プログラム | |
| US20120144470A1 (en) | User authentication method using location information | |
| KR100320119B1 (ko) | 아이디 도용 감지 시스템 및 방법, 그 프로그램 소스를기록한 기록매체 | |
| AU2003244089B2 (en) | Connection service providing system and connection service providing method | |
| JP2003284141A (ja) | 携帯通信端末用認証装置 | |
| JP2002245006A (ja) | 認証システム、認証方法、プログラム及びその記録媒体 | |
| JP4139947B2 (ja) | セキュリティシステム | |
| JP2004185454A (ja) | ユーザ認証方法 | |
| JP2000349926A (ja) | ダイヤルアップ接続用サーバ | |
| US20100162376A1 (en) | Authentication system and method using device identification information in ubiquitous environment | |
| WO2008004672A1 (fr) | Procédé d'authentification d'utilisateur, système d'authentification d'utilisateur, dispositif d'authentification d'utilisateur et programme d'authentification d'utilisateur | |
| JPH11289328A (ja) | 認証管理装置 | |
| JP2002176492A (ja) | 携帯電話機による端末ユーザ認証方式,方法およびユーザ認証プログラムを記録した記録媒体 | |
| JP4409813B2 (ja) | 仲介機を用いたクライアントサーバシステム | |
| JP2002297920A (ja) | 取引確認システム | |
| JP2001244926A (ja) | 移動電話機およびその認証情報処理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040426 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070330 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070409 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070608 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080221 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080421 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080514 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080527 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110620 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110620 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120620 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120620 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130620 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |