JP4291803B2 - 認証システム、端末、認証サーバ、認証方法及びプログラム - Google Patents
認証システム、端末、認証サーバ、認証方法及びプログラム Download PDFInfo
- Publication number
- JP4291803B2 JP4291803B2 JP2005239192A JP2005239192A JP4291803B2 JP 4291803 B2 JP4291803 B2 JP 4291803B2 JP 2005239192 A JP2005239192 A JP 2005239192A JP 2005239192 A JP2005239192 A JP 2005239192A JP 4291803 B2 JP4291803 B2 JP 4291803B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- mac address
- address
- unit
- biometric information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、認証システム、端末、認証方法、プログラム及び認証サーバに関する。特に、本発明は、端末が通信することを認証サーバにより認証する認証システム、端末、認証方法、プログラム及び認証サーバに関する。
通信端末等の端末を利用する利用者を認証する場合に、生体情報を用いることが知られている。例えば、利用者に関する生体情報を登録して保存し、端末を利用するときに利用者の生体情報を取得して、予め保存されている生体情報を参照して、利用者を認証するシステムが知られている(例えば、特許文献1を参照)。
特開2003−186845公報
しかしながら、端末の通信を管理サーバが生体情報を用いて認証する場合に、端末を単体で利用するための認証に用いる生体情報を取得した後に、端末が通信するための認証を管理サーバ等に問い合せるべく、端末において別個に生体情報を取得して管理サーバに送信しており、時間と手間がかかっていた。
上記課題を解決するために、本発明の第1の形態においては、端末が通信することを認証サーバにより認証する認証システムであって、端末は、生体情報に基づいて仮想MACアドレスを生成する手順を格納する生成手順格納部、利用者の生体情報を取得する生体情報取得部、生体情報取得部が取得した生体情報を、生成手順格納部に格納されている手順に適用することにより仮想MACアドレスを生成するアドレス生成部、及び、認証サーバと通信する場合に、アドレス生成部が生成した仮想MACアドレスを認証サーバに送信するアドレス送信部を備え、認証サーバは、通信を許可する端末のMACアドレスである許可MACアドレスを格納するアドレス格納部、及び、端末から送信された仮想MACアドレスがアドレス格納部に格納された許可MACアドレスに含まれるか否かを判断し、含まれる場合に端末が通信することを許可する通信判断部を備える。これにより、端末の通信の認証に、生体情報に基づいて生成される仮想MACアドレスを用いるので、簡便に認証のセキュリティーの向上を図ることができる。
端末は、当該端末の利用を許可する生体情報を格納する生体情報格納部、及び、生体情報取得部により取得された生体情報が生体情報格納部に格納された生体情報に含まれるか否かを判断し、含まれる場合に端末の利用を許可する利用判断部を更に備えてもよい。これにより、端末の利用を許可する認証にも、生体情報に基づいて生成される仮想MACアドレスを用いるので、認証のセキュリティーをより強化しつつ認証の処理を簡素化できる。また、端末を単体で利用するために取得した生体情報を、通信の認証にも用いるので、アクセス解析等のセキュリティーに関する管理運用の処理を簡素化できる。
アドレス生成部は、所定のハッシュ関数を格納しており、ハッシュ関数を用いて生体情報から所定のビット数を有する仮想MACアドレスを生成してもよい。これにより、既存のハッシュ関数を用いるので、生体情報から簡便に仮想MACアドレスを生成することができる。
アドレス生成部は、生成手順格納部に格納されている手順を特定する生成手順特定情報を埋め込んだ仮想MACアドレスを生成し、アドレス格納部は、生成手順特定情報に対応付けて許可MACアドレスを格納してもよい。これにより、異なる生成手順によって仮想MACアドレスが生成された場合に、認証サーバは、それぞれの生成手順によって生成された仮想MACアドレスを確実に認証することができる。また、認証サーバは、所定の生成手順によって生成された仮想MACアドレスについて、認証の可否を設定することにより、簡便に認証のセキュリティーの向上を図ることもできる。
アドレス格納部は、予め定められた生成手順特定情報を格納しており、通信判断部は、端末から送信された生成手順特定情報がアドレス格納部に格納された生成手順特定情報と異なるか否かを判断し、認証サーバは、端末から送信された生成手順特定情報がアドレス格納部に格納された生成手順特定情報と異なる場合にはその旨を示す警告を端末に出力する生成手順警告部を更に備えてもよい。これにより、仮想MACアドレスを生成する生成手順が予め定められたものでない場合に、予め定められた生成手順を適用すべき旨を通知することができる。
アドレス格納部は、許可MACアドレスに対応付けて、利用者を特定する利用者特定情報を格納してもよい。これにより、ネットワークを流れているデータから、迅速に利用者を特定できる。
上記課題を解決するために、本発明の第2の形態においては、認証サーバにより通信が認証される端末あって、前記端末は、生体情報に基づいて仮想MACアドレスを生成する手順を格納する生成手順格納部、利用者の生体情報を取得する生体情報取得部、前記生体情報取得部が取得した前記生体情報を、前記生成手順格納部に格納されている前記手順に適用することにより仮想MACアドレスを生成するアドレス生成部、及び、前記認証サーバと通信する場合に、前記アドレス生成部が生成した前記仮想MACアドレスを前記認証サーバに送信するアドレス送信部を備える。これにより、第1の形態と同様の効果を得ることができる。
上記課題を解決するために、本発明の第3の形態においては、端末が通信することを認証する認証サーバであって、前記認証サーバは、通信を許可する端末のMACアドレスである許可MACアドレスを格納するアドレス格納部、及び、前記端末から送信された仮想MACアドレスが前記アドレス格納部に格納された許可MACアドレスに含まれるか否かを判断し、含まれる場合に端末が通信することを許可する通信判断部を備える。これにより、第1の形態と同様の効果を得ることができる。
上記課題を解決するために、本発明の第4の形態においては、端末が通信することを認証サーバにより認証する認証方法であって、前記端末は、生体情報に基づいて仮想MACアドレスを生成する手順を格納し、利用者の生体情報を取得し、前記取得した前記生体情報を、前記格納されている前記手順に適用することにより仮想MACアドレスを生成し、前記認証サーバと通信する場合に、前記生成した前記仮想MACアドレスを前記認証サーバに送信し、前記認証サーバは、通信を許可する端末のMACアドレスである許可MACアドレスを格納し、前記端末から送信された仮想MACアドレスが前記格納された許可MACアドレスに含まれるか否かを判断し、含まれる場合に端末が通信することを許可する。これにより、第1の形態と同様の効果を得ることができる。
上記課題を解決するために、本発明の第5の形態においては、認証サーバにより通信が認証されるコンピュータを制御するプログラムであって、生体情報に基づいて仮想MACアドレスを生成する手順を格納する生成手順格納機能、利用者の生体情報を取得する生体情報取得部、前記生体情報取得部が取得した前記生体情報を、前記生成手順格納機能によって格納されている前記手順に適用することにより仮想MACアドレスを生成するアドレス生成機能、及び、前記認証サーバと通信する場合に、前記アドレス生成機能によって生成した前記仮想MACアドレスを前記認証サーバに送信するアドレス送信機能を実現させる。これにより、第1の形態と同様の効果を得ることができる。
上記課題を解決するために、本発明の第6の形態においては、端末が通信することを認証するコンピュータを制御するプログラムであって、通信を許可する端末のMACアドレスである許可MACアドレスを格納するアドレス格納機能、及び、前記端末から送信された仮想MACアドレスが前記アドレス格納機能によって格納された許可MACアドレスに含まれるか否かを判断し、含まれる場合に端末が通信することを許可する通信判断機能を実現させる。これにより、第1の形態と同様の効果を得ることができる。
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではなく、これらの特徴群のサブコンビネーションもまた、発明となりうる。
以上の説明から明らかなように、本発明によれば、端末の通信の認証に、生体情報に基づいて生成される仮想MACアドレスを用いるので、簡便に認証のセキュリティーの向上を図ることができる。
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではなく、また実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。
図1は、認証システム10を含むネットワーク構成図の一例を示す。ネットワーク100は、認証システム10、セキュリティー等を管理する管理者端末80、及び端末20によりアクセスされるデータベース等を格納等する業務サーバ90を有する。管理者端末80は、認証システム10及び業務サーバ90を管理する。業務サーバ90は、認証システム10により認証された端末20に対して、業務に関するデータを送信する等の通信を行う。
認証システム10は、利用者により利用される端末20、端末20の通信を認証する認証サーバ50、及び、端末20へIPアドレスを貸与するDHCPサーバ70を備える。認証システム10は、端末20が業務サーバ90及び外部のネットワーク110と通信することを認証サーバ50により認証する。端末20は、有線、又はアクセスポイントを介して無線によって通信する。ネットワーク100において、認証サーバ50、DHCPサーバ及び管理者端末80が別体でなく、認証サーバ50が、DHCPサーバ70及び管理者端末80の機能を備えていてもよい。
ネットワーク100は、業務サーバ90等の通信機器を介して、ネットワーク110と接続する。ネットワーク100は、有線又は無線のLAN、例えばEthernet(登録商標)等を示す。ネットワーク110は、ネットワーク100と異なるネットワークアドレスを有するLAN、WAN、インターネット等を示す。
図2は、端末20のブロック図の一例を示す。端末20は、生体情報に基づいて仮想MACアドレスを生成する手順(以下、「生成手順」という。)を格納する生成手順格納部30、利用者の生体情報を取得する生体情報取得部22、生体情報取得部22が取得した生体情報を、生成手順格納部30に格納されている生成手順に適用することにより仮想MACアドレスを生成するアドレス生成部28、及び、認証サーバ50と通信する場合に、アドレス生成部28が生成した仮想MACアドレスを認証サーバ50に送信するアドレス送信部32を備える。端末20は、LANカード等に割り当てられているMACアドレスにかえて、仮想MACアドレスを用いて通信する。
生体情報取得部22は、端末20の利用者の生体情報を取得する。生体情報取得部22は、端末20と一体であってもよいし、端末20と別体で、生体情報を有線又は無線により端末20に送信してもよい。ここで生体情報は、利用者を特定する身体的特徴に関する情報、例えば、指紋、虹彩、声紋、掌形、静脈等の情報をいう。
アドレス生成部28は生体情報取得部22が取得した生体情報から、仮想MACアドレスを生成する。図2に示す形態において、アドレス生成部28は、所定のハッシュ関数を格納する。この場合に、アドレス生成部28は、このハッシュ関数を用いて生体情報から所定のビット数を有する仮想MACアドレス及び許可MACアドレスを生成する。例えば、IEEE802.3で規格化されたMACアドレスは48ビットの長さを有するので、当該通信プロトコルを利用する場合に、アドレス生成部28は、生体情報を符号化し、当該数値から仮想MACアドレス及び許可MACアドレスとして48ビットの長さを有する数値を生成する。ここで、アドレス生成部28は、他のビット長及びフォーマットを有するMACアドレスを用いて通信する通信プロトコルを利用した通信をする場合には、符号化した生体情報から他のハッシュ関数を用いて、当該他のビット長及びフォーマットを有する仮想MACアドレス及び許可MACアドレスを生成してもよい。
アドレス生成部28は、生成手順格納部30に格納されている生成手順を特定する生成手順特定情報(以下、「生成手順ID」という。)を埋め込んだ仮想MACアドレスを生成することが好ましい。例えば、アドレス生成部28は、生成手順特定情報によってハッシュ関数を特定する。またアドレス生成部28は、生成手順IDを埋め込んだ許可MACアドレスを生成することが好ましい。
端末20は、当該端末20の利用を許可する生体情報を格納する生体情報格納部26、及び、生体情報取得部22により取得された生体情報が生体情報格納部26に格納された生体情報に含まれるか否かを判断し、含まれる場合に端末20の利用を許可する利用判断部24を更に備える。この利用判断部24は、端末20の利用を許可する利用判断の結果を利用者に表示する。
また端末20は、後述する通信判断部52からの通知、後述する生成手順警告部56からの警告等を受信して利用者に表示する端末側通信認証部34を更に備える。端末側通信認証部34は、所定の場合に、DHCPサーバ70に対してIPアドレスの貸与を要求する。例えば、端末側通信認証部34は、サーバ側通信認証部58から、通信判断部52が、送信された仮想MACアドレスが格納された許可MACアドレスに含まれると判断した旨の通知を受けた場合に、DHCPサーバ70に対してIPアドレスの貸与を要求する。
図3は、認証サーバ50のブロック図の一例を示す。通信を許可する端末20のMACアドレスである許可MACアドレスを格納するアドレス格納部54、及び、端末20から送信された仮想MACアドレスがアドレス格納部54に格納された許可MACアドレスに含まれるか否かを判断し、含まれる場合に通信を許可する通信判断部52を備える。認証サーバ50は、通信判断部52によるこの判断結果を端末20に通知するサーバ側通信認証部58を更に備える。
アドレス格納部54は、また、予め定められた生成手順IDを格納する。アドレス格納部54は、例えば、管理者端末80の利用者(以下、「管理者」という)が管理者端末80に入力した生成手順IDを、管理者端末80から受信して、予め定められた生成手順IDとして格納する。なお、予め定められた生成手順IDは、例えば、仮想MACアドレスを生成する最新の生成手順を示す生成手順IDであってもよい。
通信判断部52は、端末20から送信された生成手段ID及び仮想MACアドレスがアドレス格納部54において当該生成手段IDに対応付けて格納された許可MACアドレスに含まれるか否かを判断し、含まれる場合に通信を許可する。また、通信判断部52は、端末20から送信された生成手順IDが、アドレス格納部54に格納された、予め定められた生成手順IDと異なるか否かを判断する。
認証サーバ50は、端末20から送信された生成手順IDがアドレス格納部54に格納された、予め定められた生成手順IDと異なる場合にはその旨を示す警告を当該端末20に出力する生成手順警告部56と、端末20の利用者を特定する利用者特定部60とを更に備える。
図4は、アドレス格納部54に格納される情報の一例を示す。アドレス格納部54は、生成手順IDに対応付けて許可MACアドレスを格納する。図4に示す形態において、アドレス格納部54は、生成手順ID「A1」に対応付けて、許可MACアドレス「A11A21」、「A1D0B6」、「A1903F」等を格納する。ここで、許可MACアドレスの先頭の2文字(16ビット)「A1」は、生成手順ID「A1」が埋め込まれていることを示す。ただし、生成手順IDは、識別に有効な情報量を確保する観点から、数ビット程度であることが好ましい。
これにより、異なる生成手順によって生成された仮想MACアドレスについて、認証サーバ50は、それぞれの生成手順毎に、確実に認証することができる。また、認証サーバ50は、特定の仮想MACアドレスを、迅速に検索することができる。
アドレス格納部54は、予め定められた生成手順IDを格納する。図4においては具体的には、アドレス格納部54は、予め定められた生成手順ID「A1」を格納する。
これにより、仮想MACアドレスを生成する生成手順が更新された場合に、更新前の生成手順を適用して仮想MACアドレスを生成している端末20に対して、新規の生成手順を適用すべき旨を通知することができる。
アドレス格納部54は、許可MACアドレスに対応付けて、利用者を特定する利用者特定情報(以下、「利用者ID」という。)を格納する。図4に示す形態において、アドレス格納部54は、許可MACアドレス「A11A21」に対応付けて利用者ID「Y080」、許可MACアドレス「A1D0B6」に対応付けて利用者ID「Y042」、許可MACアドレス「A1903F」に対応付けて利用者ID「Y020」等を格納する。これにより、ネットワークを流れているデータから、迅速に利用者を特定できる。アドレス格納部54は、例えば、登録の手続において端末20から生成手順ID、仮想MACアドレス及び利用者IDを受信し、この仮想MACアドレスを許可MACアドレスとして、生成手順ID及び利用者IDに対応付けて格納する。
図5は、端末20おいて生体情報を登録するフローチャートの一例である。このフローチャートにおいて、まず、生体情報取得部22は、端末20の利用者の指紋情報を取得する(S100)。より詳しくは、生体情報取得部22は、例えば、光で指の表面を照射し、指の表面の凹凸による反射光をカメラで撮像して指紋画像を生成する。さらに、生体情報取得部22は、取得した指紋画像に、2値化、細線化処理等の既知の画像処理を施してもよい。
生体情報取得部22は、指紋情報を取得するときに利用者IDも取得する。この場合に、生体情報取得部22は、端末20に利用者IDの入力を促す画面を表示し、この画面に対して利用者から入力された利用者IDを取得する。
次に、生体情報取得部22は、指紋情報を登録する(S102)。例えば、生体情報取得部22は、取得した指紋画像を指紋文様パターンに基づいて符号化して生体情報格納部26に格納する。なお、生体情報取得部22は、さらに利用者IDに対応付けて指紋情報を登録してもよい。
図6は、許可MACアドレスを登録するフローチャートの一例である。このフローチャートにおいて、まず、生体情報取得部22は、利用者の指紋情報を取得する(S150)。生体情報取得部22は、指紋情報を取得するときに利用者IDも取得する。生体情報取得部22が指紋情報及び利用者IDを取得する動作については、図5のステップS100と同じであるので、説明を省略する。生体情報取得部22は、取得した指紋情報、及び利用者IDをアドレス生成部28に供給する。
アドレス生成部28は、許可MACアドレスを生成する(S152)。具体的には、アドレス生成部28は、生成手順格納部30に格納されている生成手順を、生体情報取得部22により取得された指紋情報に適用することにより許可MACアドレスを生成する。例えば、まず、アドレス生成部28は、生成手順格納部30に格納されているハッシュ関数(例えばMD5)を用いて、取得された指紋情報を入力値として、128ビットの出力値(ハッシュ値)を取得する。そして、アドレス生成部28は、取得した128ビットの上位の48ビットを抜き出して、48ビットの許可MACアドレスを生成する。これにより、既存のハッシュ関数を用いるので、生体情報から簡便に許可MACアドレスを生成することができる。
アドレス生成部28が他の手順で許可MACアドレスを生成してもよい。例えば、生成手順格納部30は、48ビットの出力値を取得するハッシュ関数を格納し、アドレス生成部28は、このハッシュ関数を用いて、48ビットの出力値を取得する。そして、アドレス生成部28は、取得した48ビットを全部用いて、48ビットの許可MACアドレスを生成してもよい。また、生成手順格納部30は、24ビットの出力値を取得するハッシュ関数を格納し、アドレス生成部28は、このハッシュ関数を用いて、24ビットの出力値を取得する。そして、アドレス生成部28は、取得した24ビットを、許可MACアドレスの上位の24ビット、下位の24ビットとすることにより、48ビットの許可MACアドレスを生成してもよい。
アドレス生成部28は、生成手順格納部30に格納されている生成手順IDを埋め込んだ許可MACアドレスを生成してもよい。具体的には、アドレス生成部28は、上記手順によって生成された48ビットの許可MACアドレスの上位の16ビットを、生成手順格納部30に格納されている生成手順IDの値、例えば「A1」を示す16ビットの値で上書きすることにより、生成手順IDを埋め込んだ48ビットの許可MACアドレスを生成する。
アドレス生成部28は、生体情報取得部22から供給された利用者ID、生成手順格納部30から取得した生成手順ID、及び生成した許可MACアドレスをアドレス送信部32に供給する。そして、アドレス送信部32は、アドレス生成部28から供給された利用者ID、生成手順ID、及び許可MACアドレスを認証サーバ50のアドレス格納部54に送信する(S154)。
具体的には、例えば、ネットワーク100がEthernet(登録商標)の場合には、アドレス送信部32は、アドレス生成部28から供給された許可MACアドレスをEthernetフレームのヘッダの送信元MACアドレスとして、認証サーバ50へ当該Ethernetフレームを送信する。また、例えば、アドレス送信部32は、許可MACアドレスを送信元MACアドレスとして送信することにかえて、又は、加えて、認証サーバ50へ送信するEthernetフレームのデータ(ペイロード)として、アドレス生成部28から供給された許可MACアドレスを送信してもよい。そして認証サーバ50は、当該Ethernetフレームを受け取る。なお、ネットワーク100上の他の管理者端末80等の装置は、当該MACフレームを廃棄してもよい。
アドレス格納部54は、許可MACアドレスを登録する(S156)。この場合に、まず、アドレス格納部54は、アドレス送信部32から、利用者ID、生成手順ID、及び許可MACアドレスを受信する。アドレス格納部54は、受信した生成手順ID及び利用者IDに対応付けて受信した許可MACアドレスを格納する。
以上、図6に示す通信の登録の形態において、生体情報自体はネットワーク100、110上に流れないので、生体情報の秘匿性を向上させることができる。
なお、図6のステップS152及びS154に替えて、アドレス送信部32が生体情報及び利用者IDを認証サーバ50に送信し、認証サーバ50が当該生体情報に基づいて許可MACアドレスを生成し、アドレス格納部54に格納してもよい。
図7は、端末20を使用する認証、及び通信の認証のフローチャートの一例である。本フローチャーは、端末20の「初期画面」に対して利用者からの利用の要求があった場合に開始する。ここで、「初期画面」は、当該端末20の使用、及び通信ができない状態を示す表示である。端末20は、電源の投入時等において起動する場合、または、当該端末20に対する操作の入力を所定の時間に受け付けなかった場合に、「初期画面」を表示して、認証を要求することが好ましい。この場合に、端末20は、OSへのログイン時、または、BIOSの起動時に、認証を要求してもよい。
生体情報取得部22は、利用者の指紋情報を取得する(S200)。生体情報取得部22が指紋情報を取得する動作は、図5に記載したステップS100と同じなので説明を省略する。
利用判断部24は、取得された指紋情報が格納された指紋情報に含まれるか否か判断する(S202)。例えば、利用判断部24は、取得された指紋情報を検索キーとして、生体情報格納部26がこの指紋情報と同一の指紋情報を格納しているか否かを検索する。
ステップS202において、利用判断部24は、取得された指紋情報が格納された指紋情報に含まれると判断した場合(S202:Yes)、利用判断部24は、端末20の利用を許可する(S208)。具体的には、例えば、利用判断部24は、取得された指紋情報が格納された指紋情報に含まれると判断した場合、端末20は、「初期画面」から、端末20の使用ができる旨を利用者に示す、「ローカル画面」に表示を切り替える。端末20は、「ローカル画面」を表示しているときは、端末20上で動作するアプリケーションプログラムの利用を許可する。ただし端末20は、「ローカル画面」を表示しているときは、業務サーバ90に格納されたデータベースを利用することができない。利用判断部24は、「ローカル画面」に、端末20の単体としての利用が許可された旨を示す、記号等を表示してもよい。
次に、アドレス生成部28は、ステップS200において生体情報取得部22が取得した生体情報に基づいて、仮想MACアドレスを生成する(S210)。アドレス生成部28が仮想MACアドレスを生成する動作は、図6のステップS152においてアドレス生成部28が許可MACアドレスを生成する動作と同じなので、説明を省略する。アドレス生成部28は、生成した仮想MACアドレスをアドレス送信部32に供給する。そしてアドレス送信部32は、仮想MACアドレスを認証サーバ50に送信する(S212)。アドレス送信部32が仮想MACアドレスを認証サーバ50に送信する動作は、図6のステップS154に記載した仮想MACアドレスを認証サーバ50に送信する動作と同じなので説明を省略する。
通信判断部52は、アドレス生成部28から送信された仮想MACアドレスが、アドレス格納部54に格納された許可MACアドレスに含まれるか否かを判断する(S214)。例えば、通信判断部52は、受信した仮想MACアドレスを検索キーとして、アドレス格納部54がこの仮想MACアドレスと同一の許可MACアドレスを格納しているか否かを検索する。
ここで通信判断部52は、仮想MACアドレスに埋め込まれた生成手順IDを抽出し、この生成手順と同一の生成手順IDに対応付けられた許可MACアドレスを検索する。これにより、認証サーバ50は、特定の仮想MACアドレスを、迅速に検索することができる。
ステップS214において、通信判断部52は、送信された仮想MACアドレスが格納された許可MACアドレスに含まれると判断した場合(S214:Yes)、通信判断部52は、端末20の通信を許可する(S218)。
より詳しくは、通信判断部52は、アドレス生成部28から送信された仮想MACアドレスがアドレス格納部54に格納された許可MACアドレスに含まれると判断した場合、通信判断部52は、サーバ側通信認証部58を介して端末20の端末側通信認証部34に、その旨を通知する。通知を受けた端末側通信認証部34は、アドレス生成部28又はアドレス送信部32等から、仮想MACアドレスを取得する。端末側通信認証部34は、この仮想MACアドレスを用いて、IPを貸与する旨の要求をDHCPサーバ70に送信してDHCPサーバ70からIPアドレスを貸与される。
IPアドレスを貸与された端末20は、例えば、送信元MACアドレスとして仮想MACアドレスを用いて、また、送信元IPアドレスとして貸与されたIPアドレスを用いて、業務サーバ90と通信し、業務サーバ90に格納されたデータベースを利用する。
端末側通信認証部34は、他の手順でDHCPサーバ70からIPアドレスを貸与されてもよい。他の手順として、通信判断部52は、送信された仮想MACアドレスが格納された許可MACアドレスに含まれると判断した場合、通信判断部52は、サーバ側通信認証部58にこの仮想MACアドレスを供給してもよい。サーバ側通信認証部58は、供給された仮想MACアドレスを用いて端末20に対してIPを貸与する旨の要求を生成してDHCPサーバ70に送信してもよい。そして、この仮想MACアドレスで特定される端末20の端末側通信認証部34は、DHCPサーバ70からIPアドレスを貸与されてもよい。
DHCPサーバ70は、貸与したIPアドレスに対応付けて、端末20の仮想MACアドレス、及び、貸与期間を履歴情報として記録する。
端末20は、DHCPサーバ70からIPアドレスを取得したときに、「ローカル画面」から、通信を許可された旨を利用者に示す、非図示の「通信画面」に表示を切り替える。なお、「ローカル画面」に、通信を許可された旨を利用者に示す、所定の記号を表示した画面が「通信画面」であってもよい。
ステップS214において、通信判断部52は、送信された仮想MACアドレスが格納された許可MACアドレスに含まれていないと判断した場合(S214:No)、端末20の通信を許可しない(S216)。例えば、通信判断部52は、送信された仮想MACアドレスが格納された許可MACアドレスに含まれていないと判断した場合、サーバ側通信認証部58を介して端末20の端末側通信認証部34に、その旨を通知する。通知を受けた端末側通信認証部34は、通信を許可しない旨のエラーを表示する。ここで本フローチャートは終了する。なお、この場合端末20は、「ローカル画面」を表示し続ける。
また、通信判断部52は、送信された生成手順IDが予め定められた生成手順IDと異なるか否か判断する(S220)。ステップS220において、通信判断部52は、送信された生成手順IDが予め定められた生成手順IDと異なると判断した場合(S220:Yes)、生成手順警告部56は、その旨を示す警告を端末20に出力する(S222)。より詳しくは、通信判断部52は、送信された生成手順IDが予め定められた生成手順IDと異なると判断した場合、通信判断部52は、生成手順警告部56にその旨を通知する。通知を受けた生成手順警告部56は、例えば、送信された生成手順IDが予め定められた生成手順IDと異なる旨を記載した電子メールを端末20に送信する。ここで本フローチャートは終了する。なお、端末20の端末側通信認証部34は、この電子メールを受信してもよい。
これにより、仮想MACアドレスを生成する生成手順が更新された場合に、更新前の生成手順を適用して仮想MACアドレスを生成している端末20に対して、新規の生成手順を適用すべき旨を通知することができる。ステップS214からS220の動作において、認証サーバ50は、仮想MACアドレスを生成した生成手順IDに応じて通信を許可することにより、簡便にセキュリティーの向上を図ることもできる。
ステップS220において、生成手順警告部56は、送信された生成手順IDが予め定められた生成手順IDと異ならないと判断した場合(S220:No)、生成手順警告部56は警告を端末20に出力することなく、本フローチャートは終了する。
ステップS202において、利用判断部24は、取得された指紋情報が格納された指紋情報に含まれていないと判断した場合(S202:No)、端末20の利用を許可しない(S204)。利用判断部24は、利用者に端末20の利用が許可されなかった旨のエラーを表示する(S206)。ここで本プローチャートは終了する。なお、この場合には端末20は「初期画面」を表示し続ける。
以上、端末20の通信の認証に、生体情報の一例としての指紋情報に基づいて生成される仮想MACアドレスを用いるので、簡便に認証のセキュリティーの向上を図ることができる。また、端末20の利用を許可する認証にも、生体情報の一例としての指紋情報に基づいて生成される仮想MACアドレスを用いるので、セキュリティーをより強化しつつ認証の処理を簡素化できる。つまり、端末20を単体で利用するために取得した生体情報を、通信の認証にも用いるので、アクセス解析等のセキュリティーに関する管理運用の処理を簡素化できる。また、通信の認証において、生体情報自体はネットワーク100、110上に流れないので、生体情報の秘匿性を向上させることができる。
図8は、端末20を使用する認証、及び通信の認証のフローチャートの一例である。本フローチャーは、図7に記載したフローチャートで示す動作の別例を示す。ステップS300からステップS312までの動作は、図7に記載したステップS200からステップS212までの動作と同じなので説明を省略する。
ステップS312においてアドレス送信部32から仮想MACアドレスを受信した通信判断部52は、次に、送信された生成手順IDが予め定められた生成手順IDと異なるか否か判断する(S314)。この動作は、図7に記載したステップS220と同じなので説明を省略する。
ステップS314において、通信判断部52は、送信された生成手順IDが予め定められた生成手順IDと異なると判断した場合(S314:Yes)、生成手順警告部56は、その旨を示す警告を端末20に出力する(S316)。ステップS316の動作は、図7に記載したステップS222と同じなので説明を省略する。ここで本フローチャートは終了する。
ステップS314において、生成手順警告部56は、送信された生成手順IDが予め定められた生成手順IDと異ならないと判断した場合(S314:No)、通信判断部52は、アドレス生成部28から送信された仮想MACアドレスが、アドレス格納部54に格納された許可MACアドレスに含まれるか否かを判断する(S318)。ステップS218の動作は、図7に記載したステップS214と同じなので説明を省略する。
ステップS318において、通信判断部52は、送信された仮想MACアドレスが格納された許可MACアドレスに含まれると判断した場合(S318:Yes)、通信判断部52は、端末20の通信を許可する(S322)。ステップS322の動作は、図7に記載したステップS218と同じなので説明を省略する。ここで本フローチャートは終了する。
ステップS318において、通信判断部52は、送信された仮想MACアドレスが格納された許可MACアドレスに含まれていないと判断した場合(S318:No)、端末20の通信を許可しない(S320)。ステップS320の動作は、図7に記載したステップS216と同じなので説明を省略する。ここで本フローチャートは終了する。
図8に記載の形態によれば、仮想MACアドレスを生成する生成手順が更新された場合に、更新前の生成手順を適用して仮想MACアドレスを生成している端末20に対して、通信を制限することができる。これにより、簡便にセキュリティーの向上を図ることもできる。
図9は、利用者を特定するフローチャートの一例である。本フローチャートは、管理者が、特定時刻に、業務サーバ90に格納されたデータベース等へアクセスした利用者を特定すべく、管理者がこのアクセスした端末20のIPアドレスを取得したところから開始する。
管理者端末80は、仮想MACアドレスを取得する(S400)。より詳しくは、管理者端末80は、例えば、ネットワーク100を流れていた、調査対象のデータに含まれている仮想MACアドレスを取得する。そして、管理者端末80は、取得した仮想MACアドレスを認証サーバ50の利用者特定部60に送信する。このネットワーク100を流れる調査対象のデータは、Ethernet(登録商標)の場合には、データサイズ、タイプ(Type)等によらず、Ethernetフレームでよい。
また、管理者は、例えば、ネットワーク110を流れていた、調査対象のデータに含まれているIPアドレス、特定時刻を電子メール等によって入手する。管理者端末80は、例えば、DHCPサーバ70が有する履歴情報を参照することによって、当該特定時刻に当該IPアドレスを貸与されていた仮想MACアドレスを取得する。そして、管理者端末80は、取得した仮想MACアドレスを認証サーバ50の利用者特定部60に送信する。
利用者特定部60は利用者IDを取得する(S402)。より詳細には、管理者端末80から仮想MACアドレスを受信した利用者特定部60は、この仮想MACアドレスと同一の値を有する許可MACアドレスに対応付けて格納されている利用者IDを、アドレス格納部54から取得する。ここで本フローチャートは終了する。なお、利用者特定部60は、取得した利用者IDを管理者端末80に送信することが好ましい。
これにより、ネットワーク100及びネットワーク110を流れているデータから、迅速に利用者を特定できる。つまり、端末20が属するネットワーク100を流れていたデータに含まれる仮想MACアドレスを参照して、直接的に、利用者を特定できる。また、端末20が属するネットワーク100と異なるネットワーク110を流れていたデータに含まれるIPアドレスから仮想MACアドレスを取得すれば、迅速に、利用者を特定できる。
利用者特定部60は、受信した仮想MACアドレスに埋め込まれた生成手順IDを活用して、アドレス格納部54に格納された利用者IDを取得することが好ましい。これにより、認証サーバ50は、特定の仮想MACアドレスを、迅速に検索することができる。
以上、上記実施形態によれば、端末20の通信の認証に、生体情報に基づいて生成される仮想MACアドレスを用いるので、簡便に認証のセキュリティーの向上を図ることができる。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが当業者に明らかである。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
10 認証システム
20 端末
22 生体情報取得部
24 利用判断部
26 生体情報格納部
28 アドレス生成部
30 生成手順格納部
32 アドレス送信部
34 端末側通信認証部
50 認証サーバ
52 通信判断部
54 アドレス格納部
56 生成手順警告部
58 サーバ側通信認証部
60 利用者特定部
70 DHCPサーバ
80 管理者端末
90 業務サーバ
100 ネットワーク
110 ネットワーク
20 端末
22 生体情報取得部
24 利用判断部
26 生体情報格納部
28 アドレス生成部
30 生成手順格納部
32 アドレス送信部
34 端末側通信認証部
50 認証サーバ
52 通信判断部
54 アドレス格納部
56 生成手順警告部
58 サーバ側通信認証部
60 利用者特定部
70 DHCPサーバ
80 管理者端末
90 業務サーバ
100 ネットワーク
110 ネットワーク
Claims (9)
- 端末が通信することを認証サーバにより認証する認証システムであって、
前記端末は、生体情報に基づいて仮想MACアドレスを生成する手順を格納する生成手順格納部、利用者の生体情報を取得する生体情報取得部、前記生体情報取得部が取得した前記生体情報を、前記生成手順格納部に格納されている前記手順に適用することにより仮想MACアドレスを生成するアドレス生成部、及び、前記認証サーバと通信する場合に、前記アドレス生成部が生成した前記仮想MACアドレスを前記認証サーバに送信するアドレス送信部を備え、
前記認証サーバは、通信を許可する端末のMACアドレスである許可MACアドレスを格納するアドレス格納部、及び、前記端末から送信された仮想MACアドレスが前記アドレス格納部に格納された許可MACアドレスに含まれるか否かを判断し、含まれる場合に端末が通信することを許可する通信判断部を備える認証システム。 - 前記端末は、当該端末の利用を許可する生体情報を格納する生体情報格納部、及び、前記生体情報取得部により取得された前記生体情報が前記生体情報格納部に格納された生体情報に含まれるか否かを判断し、含まれる場合に前記端末の利用を許可する利用判断部を更に備える請求項1に記載の認証システム。
- 前記アドレス生成部は、所定のハッシュ関数を格納しており、前記ハッシュ関数を用いて前記生体情報から所定のビット数を有する仮想MACアドレスを生成する請求項1に記載の認証システム。
- 前記アドレス生成部は、前記生成手順格納部に格納されている前記手順を特定する生成手順特定情報を埋め込んだ仮想MACアドレスを生成し、
前記アドレス格納部は、前記生成手順特定情報に対応付けて前記許可MACアドレスを格納する請求項1に記載の認証システム。 - 前記アドレス格納部は、予め定められた生成手順特定情報を格納しており、
前記通信判断部は、前記端末から送信された前記生成手順特定情報が前記アドレス格納部に格納された生成手順特定情報と異なるか否かを判断し、
前記認証サーバは、前記端末から送信された前記生成手順特定情報が前記アドレス格納部に格納された生成手順特定情報と異なる場合にはその旨を示す警告を前記端末に出力する生成手順警告部を更に備える請求項4に記載の認証システム。 - 前記アドレス格納部は、前記許可MACアドレスに対応付けて、前記利用者を特定する利用者特定情報を格納する請求項1に記載の認証システム。
- 認証サーバと通信する端末であって、
生体情報に基づいて仮想MACアドレスを生成する手順を格納する生成手順格納部と、
利用者の生体情報を取得する生体情報取得部と、
前記生体情報取得部が取得した前記生体情報を、前記生成手順格納部に格納されている前記手順に適用することにより仮想MACアドレスを生成するアドレス生成部と、
前記認証サーバと通信する場合に、前記アドレス生成部が生成した前記仮想MACアドレスを前記認証サーバに送信するアドレス送信部と
を備える端末。 - 端末が通信することを認証サーバにより認証する認証方法であって、
前記端末は、生体情報に基づいて仮想MACアドレスを生成する手順を格納し、
前記端末は、利用者の生体情報を取得し、前記取得した前記生体情報を、前記格納されている前記手順に適用することにより仮想MACアドレスを生成し、
前記端末は、前記認証サーバと通信する場合に、前記生成した前記仮想MACアドレスを前記認証サーバに送信し、
前記認証サーバは、通信を許可する端末のMACアドレスである許可MACアドレスを格納し、
前記認証サーバは、前記端末から送信された仮想MACアドレスが前記格納された許可MACアドレスに含まれるか否かを判断し、含まれる場合に端末が通信することを許可する認証方法。 - 認証サーバと通信する端末を制御するプログラムであって、前記端末に、
生体情報に基づいて仮想MACアドレスを生成する手順を格納する生成手順格納機能、
利用者の生体情報を取得する生体情報取得機能、
前記生体情報取得機能が取得した前記生体情報を、前記生成手順格納機能によって格納されている前記手順に適用することにより仮想MACアドレスを生成するアドレス生成機能、及び、
前記認証サーバと通信する場合に、前記アドレス生成機能によって生成した前記仮想MACアドレスを前記認証サーバに送信するアドレス送信機能
を実現させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005239192A JP4291803B2 (ja) | 2005-08-19 | 2005-08-19 | 認証システム、端末、認証サーバ、認証方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005239192A JP4291803B2 (ja) | 2005-08-19 | 2005-08-19 | 認証システム、端末、認証サーバ、認証方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007052743A JP2007052743A (ja) | 2007-03-01 |
| JP4291803B2 true JP4291803B2 (ja) | 2009-07-08 |
Family
ID=37917123
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005239192A Expired - Fee Related JP4291803B2 (ja) | 2005-08-19 | 2005-08-19 | 認証システム、端末、認証サーバ、認証方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4291803B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190108324A1 (en) * | 2017-10-11 | 2019-04-11 | Qualcomm Incorporated | Systems and methods for context-based device address generation |
| WO2022200704A1 (fr) * | 2021-03-25 | 2022-09-29 | Orange Sa | Contrôle d'accès à un réseau de communication sans fil par authentification fondée sur une empreinte biométrique d'un utilisateur |
| US11599321B2 (en) | 2018-02-23 | 2023-03-07 | Samsung Electronics Co., Ltd | Electronic device and operating method therefor |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453212A (zh) * | 2015-08-11 | 2017-02-22 | 中兴通讯股份有限公司 | 一种实现无线连接的方法及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001014272A (ja) * | 1999-07-02 | 2001-01-19 | Nec Corp | ユーザ認証システムおよびユーザ認証方法、および記録媒体 |
| JP3570310B2 (ja) * | 1999-10-05 | 2004-09-29 | 日本電気株式会社 | 無線lanシステムにおける認証方法と認証装置 |
| JP4426030B2 (ja) * | 1999-10-15 | 2010-03-03 | 富士通株式会社 | 生体情報を用いた認証装置及びその方法 |
| JP2003046533A (ja) * | 2001-08-02 | 2003-02-14 | Nec Commun Syst Ltd | ネットワークシステム、その認証方法及びそのプログラム |
| JP3967914B2 (ja) * | 2001-12-14 | 2007-08-29 | 富士通株式会社 | バイオメトリクス認証システム及び方法 |
| JP4201518B2 (ja) * | 2002-03-29 | 2008-12-24 | 富士通株式会社 | パスワード変換処理装置 |
| JP2004310202A (ja) * | 2003-04-02 | 2004-11-04 | Nec Corp | 個人認証システムおよび方法 |
-
2005
- 2005-08-19 JP JP2005239192A patent/JP4291803B2/ja not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190108324A1 (en) * | 2017-10-11 | 2019-04-11 | Qualcomm Incorporated | Systems and methods for context-based device address generation |
| WO2019074590A1 (en) * | 2017-10-11 | 2019-04-18 | Qualcomm Incorporated | SYSTEMS AND METHODS OF DEVICE ADDRESS GENERATION BASED ON THE CONTEXT |
| US10546110B2 (en) | 2017-10-11 | 2020-01-28 | Qualcomm Incorporated | Systems and methods for context-based device address generation |
| CN111201767A (zh) * | 2017-10-11 | 2020-05-26 | 高通股份有限公司 | 用于基于上下文的设备地址生成的系统和方法 |
| CN111201767B (zh) * | 2017-10-11 | 2021-05-07 | 高通股份有限公司 | 用于基于上下文的设备地址生成的系统和方法 |
| US11599321B2 (en) | 2018-02-23 | 2023-03-07 | Samsung Electronics Co., Ltd | Electronic device and operating method therefor |
| WO2022200704A1 (fr) * | 2021-03-25 | 2022-09-29 | Orange Sa | Contrôle d'accès à un réseau de communication sans fil par authentification fondée sur une empreinte biométrique d'un utilisateur |
| FR3121304A1 (fr) * | 2021-03-25 | 2022-09-30 | Orange | Contrôle d’accès à un réseau de communication sans fil par authentification fondée sur une empreinte biométrique d’un utilisateur |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007052743A (ja) | 2007-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10904007B2 (en) | Authentication device based on biometric information, control server connected to the same, and login method based on biometric information thereof | |
| JP4932413B2 (ja) | 環境移行システム、端末装置、情報処理装置、管理サーバ、可搬型記憶媒体 | |
| JP6012888B2 (ja) | 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム | |
| US20120108208A1 (en) | Bluetooth authentication system and method | |
| CA2568797A1 (en) | Data communication method and system | |
| KR101966379B1 (ko) | 생체 정보 기반 인증 장치, 이와 연동하는 제어 서버 및 어플리케이션 서버, 그리고 이들의 동작 방법 | |
| JP6168079B2 (ja) | 印刷システム、印刷機器検索プログラム、および記録媒体 | |
| JP4291803B2 (ja) | 認証システム、端末、認証サーバ、認証方法及びプログラム | |
| US11877154B2 (en) | Identifying trusted service set identifiers for wireless networks | |
| JP2010034901A (ja) | 通信制御装置、通信制御方法および通信制御処理プログラム | |
| JP2022031777A (ja) | 情報処理方法、情報処理プログラム、情報処理装置及び情報処理システム | |
| CN113315624A (zh) | 一种基于多点协作机制的数据安全管理方法及系统 | |
| CN1914604A (zh) | 具有生物信息识别装置的便携式个人服务器装置 | |
| JP5388088B2 (ja) | 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。 | |
| US20090192993A1 (en) | Method and system for setting domain name and network device thereof | |
| TWI672037B (zh) | 用於識別網路中的設備的方法及裝置 | |
| TWI463414B (zh) | 射頻識別讀取器 | |
| JP2000322353A (ja) | 情報提供装置、情報提供サービス認証方法及び情報提供サービス認証プログラムを記録した記録媒体 | |
| JP6776689B2 (ja) | 情報処理装置、セキュリティシステム及びプログラム | |
| US20240106823A1 (en) | Sharing a biometric token across platforms and devices for authentication | |
| TWI818750B (zh) | 驗證裝置及方法 | |
| KR102403640B1 (ko) | 컨텐츠 정보 저장 장치 및 이를 이용한 컨텐츠 실행 시스템과 방법 | |
| JP2012138729A (ja) | データ処理装置、プログラム、およびデータ処理システム | |
| JP7124174B1 (ja) | 多要素認証のための方法および装置 | |
| CN102638371B (zh) | 用户配置方法和装置、通信方法和装置、网络管理站 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081225 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090106 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090219 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090317 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090403 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120410 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120410 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120410 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130410 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130410 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130410 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140410 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |