JP4336874B2 - Configuration information providing system, configuration information management server, access authentication server, client, and program - Google Patents

Configuration information providing system, configuration information management server, access authentication server, client, and program Download PDF

Info

Publication number
JP4336874B2
JP4336874B2 JP2002357565A JP2002357565A JP4336874B2 JP 4336874 B2 JP4336874 B2 JP 4336874B2 JP 2002357565 A JP2002357565 A JP 2002357565A JP 2002357565 A JP2002357565 A JP 2002357565A JP 4336874 B2 JP4336874 B2 JP 4336874B2
Authority
JP
Japan
Prior art keywords
information
configuration information
client
key
acquisition request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002357565A
Other languages
Japanese (ja)
Other versions
JP2004193832A (en
Inventor
正剛 名倉
浩 北村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2002357565A priority Critical patent/JP4336874B2/en
Publication of JP2004193832A publication Critical patent/JP2004193832A/en
Application granted granted Critical
Publication of JP4336874B2 publication Critical patent/JP4336874B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、クライアントがネットワークの構成情報をネットワーク上のサーバから取得し、自クライアントに設定する技術に関し、特に、クライアントが安全な構成情報に基づいて設定を行えるようにした技術に関する。
【0002】
【従来の技術】
クライアントがネットワークに接続する際、サーバからネットワークの構成情報を取得し、自クライアントに設定するということは従来から行われている。例えば、DHCP(Dynamic Host Configuration Protocol)に従ってIPアドレスを取得したり、IETF RFC1970に従ってルータのIPアドレスを取得し、それらを自クライアントに設定するということが行われている。
【0003】
図6を参照して上述した従来の技術を説明する。
【0004】
クライアント100は、ネットワークに接続(追加)されると、設定を行うために必要な構成情報をネットワーク上の他の装置から取得し、自動設定するクライアントであり、情報取得要求送信部101と、情報受信部102と、情報設定部103とを含んでいる。
【0005】
構成情報管理サーバ110a,110bは、ネットワークの構成情報を管理するサーバであり、情報取得要求受信部111a,111bと、情報送信部112a,112bと、各種の構成情報が格納されている情報記憶部113a,113bとを含んでいる。
【0006】
クライアント100は、ネットワークに接続されると、情報取得要求送信部101を使用してネットワーク上に情報取得要求を送信する。この情報取得要求には、取得を要求する構成情報の種別が含まれている。
【0007】
構成情報管理サーバ110a,110bは、クライアント100からの情報取得要求を情報取得要求受信部111a,111bで受信すると、上記要求に含まれている種別の構成情報を自サーバで管理しているか否かを調べる。今、例えば、上記種別の構成情報が構成情報管理サーバ110aで管理されていたとすると、構成情報管理サーバ110aは、情報記憶部113aから上記種別の構成情報を取り出し、情報送信部112aを使用して要求元のクライアント100に送信する。
【0008】
クライアント100内の情報設定部103は、情報受信部102が構成情報管理サーバ110aからの構成情報を受信すると、それを自クライアントに設定する。
【0009】
このように、新しくネットワークに追加されたクライアント100は、そのネットワークの構成情報を取得し、自クライアントに設定することができる。
【0010】
しかし、図6に示した従来の技術は、クライアントが構成情報を取得する際、いかなる認証処理も行っていないため、クライアントが取得した構成情報の正当性,安全性が問題になる。つまり、クライアントからの情報取得要求に応答して不正な構成情報を発信する通信装置がネットワークに接続されている可能性もあり、このような場合、図6に示した従来の技術では、クライアントが取得した構成情報の正当性,安全性を保証することはできない。このような問題は、ホットスポットサービス等のアドホックなネットワークにおいて発生する危険性が高い。
【0011】
図7を参照して、図6に示した従来の技術をホットスポットサービスに適用した場合の問題点について説明する。ホットスポットサービスは、携帯型の情報端末を持った利用者が、町中で自由にネットワークに接続することを可能にさせるため、近年様々な施設において展開されている。このようなアドホックなネットワークにおいては、誰でもネットワーク上に通信装置を追加できるので、悪意を持ったユーザや、間違った設定を行っているユーザが、ネットワークに通信装置を追加することが考えられる。
【0012】
図7の通信装置200は、悪意を持ったユーザがネットワークに接続した通信装置であり、情報取得要求受信部221と、情報送信部222とを含んでいる。なお、他の図6と同一符号は同一部分を表している。
【0013】
構成情報管理サーバ110aで管理されている構成情報を取得するために、クライアント100が情報取得要求(種別情報を含む)をネットワーク上に送出すると、この情報取得要求は、構成情報管理サーバ110aだけでなく、構成情報管理サーバ110bや悪意を持ったユーザの通信装置220でも受信される。
【0014】
悪意を持ったユーザの通信装置220は、情報取得要求受信部221で情報取得要求を受信すると、情報送信部222を使用して不正な構成情報をクライアント100へ送信する。一方、構成情報管理サーバ110aは、情報取得要求受信部111aで情報取得要求を受信すると、要求された種別の構成情報を情報記憶部113aから取り出し、情報送信部112aを使用して要求元のクライアント100に送信する。また、構成情報管理サーバ110bは、要求された種別の構成情報を管理していないので、情報取得要求を無視する。
【0015】
この結果、クライアント100には、悪意を持ったユーザの通信装置220から不正な構成情報が送られてくると共に、構成情報管理サーバ110aから正当な構成情報が送られてくる。今、クライアント100内の情報受信部102が、通信装置220からの不正な構成情報を受信したとすると、情報設定部103は、この誤った構成情報を用いて設定を行ってしまう。例えば、クライアント100が、ルータのIPアドレスを要求した場合において、悪意を持ったユーザの通信装置220が、自装置のIPアドレスをルータのIPアドレスとした構成情報をクライアント100に送信し、この誤った構成情報に従ってクライアント100が設定を行ってしまうと、クライアント100から送信されるパケットは、悪意を持ったユーザの通信装置220に集められてしまう。
【0016】
ところで、上述したような問題点を解決するために、例えば、公開鍵と秘密鍵とを用いた認証技術を利用することが考えられる(例えば、特許文献1、非特許文献1参照)。
【0017】
即ち、クライアント100に構成情報管理サーバ110aの公開鍵K110aと、構成情報管理サーバ110bの公開鍵K110bとを登録しておく。
【0018】
構成情報管理サーバ110aは、構成情報をクライアント100に送信する際、自サーバの公開鍵K110aに対応する秘密鍵H110aを用いて構成情報を暗号化することにより認証情報N110aを生成し、この認証情報N110aを構成情報に付加してクライアント100に送信する。また、構成情報管理サーバ110bは、クライアント100に構成情報を送信する際、自サーバの公開鍵K110bに対応する秘密鍵H110bを用いて構成情報を暗号化することにより認証情報N110bを生成し、この認証情報N110bを構成情報に付加してクライアント100に送信する。
【0019】
クライアント100は、構成情報を受信すると、それに付加されている認証情報を、先ず、公開鍵K110aを用いて復号する。そして、復号結果が構成情報と一致した場合は、受信した構成情報が正当なものであると判断し、それを用いて設定を行う。これに対して、復号結果と構成情報とが一致しなかった場合は、公開鍵K110bを用いて認証情報を復号する。そして、復号結果が構成情報と一致した場合は、受信した構成情報が正当なものであると判断し、それを用いて設定を行う。公開鍵K110aを用いた復号結果も、公開鍵K110bを用いた復号結果も構成情報と一致しなかった場合には、受信した構成情報は、正当なものでないと判断し、破棄する。
【0020】
【特許文献1】
特開2002−49590号公報
【非特許文献1】
辻井重男、笠原正雄編著,「暗号と情報セキュリティ」,初版第5刷,株式会社昭晃堂,1997年4月10日,p.132−133
【0021】
【発明が解決しようとする課題】
公開鍵及び秘密鍵を用いた認証技術を利用することにより、クライアントは、正当性,安全性が保証された構成情報を使用して設定処理を行うことが可能になる。しかしながら、上述した認証技術を利用する場合には、クライアントのユーザが何らかの方法により、各構成情報管理サーバの公開鍵を取得し、クライアントに登録しておく必要があるため、ユーザの負担が大きくなると共に、取得漏れが発生する危険性もある。
【0022】
そこで、本発明の目的は、鍵情報を用いた認証技術を利用する場合において必要になる、各構成情報管理サーバの鍵情報の取得作業を、クライアントのユーザに負担をかけず、且つ確実に行えるようにすることにある。
【0023】
【課題を解決するための手段】
本発明にかかる第1の構成情報提供システムは、
アクセス認証サーバと、構成情報管理サーバと、クライアントとを含む構成情報提供システムであって、
前記アクセス認証サーバが、
前記構成情報管理サーバの鍵情報を管理し、前記クライアントからの鍵取得要求に応答して前記構成情報管理サーバの鍵情報を要求元のクライアントに送信する手段を備え、
前記構成情報管理サーバが、
構成情報を管理し、前記クライアントから情報取得要求が送られてきたとき、該情報取得要求によって要求されている構成情報に、該構成情報と前記鍵情報とを用いて生成した認証情報を付加して前記クライアントへ送信する手段を備え、
前記クライアントが、
前記アクセス認証サーバに対して鍵取得要求を送信し、該鍵取得要求に応答して前記アクセス認証サーバから送られてきた前記構成情報管理サーバの鍵情報を管理する手段と、
情報取得要求を送信し、該情報取得要求に応答して返信されてきた構成情報に付加されている認証情報と前記管理している鍵情報とに基づいて、前記構成情報の正当性を判定する手段とを備えたことを特徴とする。
【0024】
より具体的には、本発明にかかる第2の構成情報提供システムは、
アクセス認証サーバと、それぞれが異なる種別の構成情報を管理している複数の構成情報管理サーバと、クライアントとを含む構成情報提供システムであって、
前記アクセス認証サーバが、
前記各構成情報管理サーバそれぞれの鍵情報を管理し、前記クライアントからの鍵取得要求に応答して前記各構成情報管理サーバそれぞれの鍵情報を前記クライアントに送信する手段を備え、
前記各構成情報管理サーバが、
クライアントからの情報取得要求によって要求されている種別の構成情報を自サーバで管理している場合には、前記情報取得要求によって要求されている種別の構成情報に、該構成情報と自サーバの鍵情報とを用いて生成した認証情報を付加して前記クライアントへ送信する手段を備え、
前記クライアントが、
前記アクセス認証サーバに対して鍵取得要求を送信し、該鍵取得要求に応答して前記アクセス認証サーバから送られてきた前記各構成情報管理サーバそれぞれの鍵情報を管理する手段と、
取得を要求する構成情報の種別を含む情報取得要求を送信し、該情報取得要求に応答して返信されてきた構成情報に付加されている認証情報と前記管理している鍵情報とに基づいて、前記構成情報の正当性を判定する手段とを備えたことを特徴とする。
【0025】
また、本発明にかかる第3の構成情報提供システムは、第2の構成情報提供システムにおいて、
前記構成情報管理サーバは、前記クライアントに送信する構成情報を自サーバの鍵情報を用いて暗号化することにより前記認証情報を生成することを特徴とする。
【0026】
また、本発明にかかる第4の構成情報提供システムは、第3の構成情報提供システムにおいて、
前記クライアントは、前記管理している各構成情報管理サーバの鍵情報の中に、前記認証情報に対して復号処理を行った際の復号結果が前記構成情報と同一になる鍵情報が存在する場合、前記構成情報を正当な構成情報であると判定することを特徴とする。
【0027】
また、本発明にかかる第5の構成情報提供システムは、第1乃至第5の構成情報提供システムの何れか1つにおいて、
前記アクセス認証サーバは、鍵情報を前記クライアントに送信する際、前記クライアントとL2認証を行うことにより確立したコネクションを使用することを特徴とする。
【0028】
【作用】
構成情報管理サーバの鍵情報は、アクセス認証サーバによって一括管理されているので、構成情報管理サーバが多数存在する場合であっても、クライアントは、アクセス認証サーバに対して鍵取得要求を送信するだけで、全ての構成情報管理サーバの鍵情報を取得することができ、クライアントのユーザの負担を低減できる。また、アクセス認証サーバからクライアントへ鍵情報を送信する際、L2認証によって確立されたコネクションを使用するので、安全に鍵情報をクライアントへ送信することができる。また、構成情報管理サーバは、構成情報をクライアントに送信する際、認証情報を付加するので、クライアントは、構成情報の正当性を確認することができる。
【0029】
【発明の実施の形態】
次に本発明の実施の形態について図面を参照して詳細に説明する。
【0030】
図1は本発明にかかる構成情報提供システムの実施例のブロック図であり、クライアント300と、複数の構成情報管理サーバ310a,310bと、アクセス認証サーバ320とから構成されている。
【0031】
クライアント300は、情報取得要求送信部301と、情報受信部302と、認証情報検証部303と、公開鍵記憶部304と、公開鍵取得要求部305と、情報設定部306と、アクセス認証クライアント部307と、記録媒体308とを備えている。
【0032】
公開鍵記憶部304には、アクセス認証サーバ320の公開鍵K320と、構成情報管理サーバ310aの公開鍵K310aと、構成情報管理サーバ320bの公開鍵K310bとが格納される。
【0033】
アクセス認証クライアント部307は、IEEE 802.1xのような、OSI参照モデルの2層のアクセス認証(L2認証)を用いて、アクセス認証サーバ320との間に安全なコネクションを確立する機能を有する。より具体的には、ネットワークへの接続時に、アクセス認証サーバ320の公開鍵K320で暗号化したパスワード及びユーザIDを含む認証要求をアクセス認証サーバ320へ送信する機能や、認証要求に対してOKを示す応答がアクセス認証サーバ320から送られてくることにより、アクセス認証サーバ320との間のコネクションを確立する機能を有する。
【0034】
公開鍵取得要求部305は、L2認証によって確立されたコネクションを介してアクセス認証サーバ320に公開鍵取得要求を送信する機能や、公開鍵取得要求に応答してアクセス認証サーバ320から送られてくる構成情報管理サーバ310a,310bの公開鍵K310a,K310bを公開鍵記憶部304に格納する機能を有する。
【0035】
情報取得要求送信部301は、構成情報の取得を要求する情報取得要求をアクセス認証サーバ320経由でネットワーク上に送信する機能を有する。
【0036】
情報受信部302は、アクセス認証サーバ320を介して送られてくる構成情報を受信する機能を有する。
【0037】
認証情報検証部303は、情報受信部302が受信した構成情報に付加されている認証情報と、公開鍵記憶部304に格納されている公開鍵K310a,K310bとに基づいて、上記構成情報の正当性を検証する機能を有する。
【0038】
情報設定部306は、認証情報検証部303によって正当性が確認された構成情報に基づいて設定処理を行う機能を有する。
【0039】
記録媒体308は、ディスク、半導体メモリ、その他の記録媒体であり、コンピュータをクライアント300として機能させるためのプログラムが記録されている。このプログラムは、コンピュータによって読み取られ、その動作を制御することにより、コンピュータ上に情報取得要求送信部301,情報受信部302,認証情報検証部303,公開鍵取得要求部305,情報設定部306,アクセス認証クライアント部307を実現する。
【0040】
アクセス認証サーバ320は、中継部321と、認証要求受信部322と、認証応答送信部323と、認証情報検証部324と、認証情報記憶部325と、公開鍵管理部326と、鍵記憶部327と、記録媒体328とを備えている。
【0041】
鍵記憶部327には、自サーバ320の公開鍵K320と、公開鍵K320と対になる秘密鍵H320と、構成情報管理サーバ310a,310bの公開鍵K310a,K310bとが格納されている。
【0042】
認証情報記憶部325には、L2認証を行う際に使用するパスワードとユーザIDとの対が格納されている。
【0043】
公開鍵管理部326は、クライアント300からの公開鍵取得要求に応答して、構成情報管理サーバ310a,310bの公開鍵K310a,K310bをクライアント300へ送信する機能を有する。
【0044】
中継部321は、クライアント300から送られてくる情報取得要求をネットワークへ送出する機能や、ネットワーク上のクライアント300宛の構成情報をクライアント300へ送信する機能を有する。
【0045】
認証要求受信部322は、クライアント300から送られてくる認証要求を受信する機能を有する。
【0046】
認証情報検証部324は、認証要求受信部322が受信したクライアント300からの認証要求と、認証情報記憶部325の内容とに基づいて、クライアント300が正当なクライアントであるか否かを検証する機能を有する。
【0047】
認証応答送信部323は、認証情報検証部324の検証結果を、認証応答としてクライアント300へ送信する機能を有する。
【0048】
記録媒体328は、ディスク,半導体メモリ,その他の記録媒体であり、コンピュータをアクセス認証サーバ320として機能させるためのプログラムが記録されている。このプログラムは、コンピュータによって読み取られ、その動作を制御することで、コンピュータ上に中継部321,認証要求受信部322,認証応答送信部323,認証情報検証部324,公開鍵管理部326を実現する。
【0049】
構成情報管理サーバ310a,320bは、情報取得要求受信部311a,311bと、情報送信部312a,312bと、情報記憶部313a,313bと、認証情報付加部314a,314bと、鍵記憶部315a,315bと、記録媒体316a,316bとを備えている。
【0050】
情報記憶部313a,313bには、異なる種別の構成情報が格納されている。
【0051】
鍵記憶部315aには、構成情報管理サーバ310a固有の公開鍵K310aと、公開鍵K310aと対になる秘密鍵H310aとが格納されている。また、鍵記憶部315bには、構成情報管理サーバ310b固有の公開鍵K310bと、公開鍵K310bと対になる秘密鍵H310bとが格納されている。
【0052】
情報取得要求受信部311a,311bは、クライアント300から送られてくる情報取得要求を受信する機能を有する。
【0053】
認証情報付加部314aは、情報取得要求受信部311aがクライアント300からの情報取得要求を受信した時、この情報取得要求によって要求されている種別の構成情報を自サーバで管理しているか否かを判定する機能や、自サーバで管理している場合には、情報記憶部313aから該当する構成情報を取り出す機能や、取り出した構成情報と、鍵記憶部315aに格納されている秘密鍵H310aとに基づいて認証情報N310aを生成する機能や、構成情報に認証情報N310aを付加して情報送信部312aに渡す機能を有する。また、認証情報付加部314bも、構成情報付加部314aと同様の機能を有する。
【0054】
情報送信部312aは、認証情報付加部314aから渡された認証情報N310aの付加された構成情報をクライアント300へ送信する機能を有する。また、情報送信部312bは、認証情報付加部314bから渡された認証情報N310bの付加された構成情報をクライアント300へ送信する機能を有する。
【0055】
記録媒体316aは、ディスク,半導体メモリ,その他の記録媒体であり、コンピュータを構成情報管理サーバ310aとして機能させるためのプログラムが記録されている。このプログラムは、コンピュータによって読み取られ、その動作を制御することで、コンピュータ上に、情報取得要求受信部311a,情報送信部312a,認証情報付加部314aを実現する。また、記録媒体316bにも同様のプログラムが記録されている。
【0056】
【実施例の動作説明】
次に本実施例の動作について詳細に説明する。
【0057】
まず、クライアント300のユーザは、通信を行うために、物理的にケーブルなどを接続したり、無線 LAN のエリアに装置を移動したり、装置の電源を入れるなどの処理を行い、ネットワークに新たに参加するクライアント300をネットワークに接続する。
【0058】
次に、クライアント300のユーザは、アクセス認証クライアント部307を起動する。これにより、アクセス認証クライアント部307は、認証情報(公開鍵記憶部304に格納されているアクセス認証サーバ320の公開鍵K320でパスワード及びユーザIDを暗号化したもの)を含む認証要求をアクセス認証サーバ320に送信する(ステップA1)。ここで、アクセス認証サーバ320の公開鍵K320は、クライアント300のユーザが何らかの方法で事前に取得し、公開鍵記憶部304に格納しておくものである(例えば、公開鍵K320の記録されたフレキシブルディスクをアクセス認証サーバ320の管理者などから取得し、このフレキシブルディスクに記録されている公開鍵K320を公開鍵記憶部304に格納する)。
【0059】
アクセス認証サーバ320内の認証情報検証部324は、認証要求受信部322がクライアント300からの認証要求を受信すると(ステップA2)、この認証要求に含まれている認証情報を検証する(ステップA3)。即ち、公開鍵K320によって暗号化されている認証情報(パスワードとユーザIDの対)を秘密鍵H320によって復号し、復号されたパスワードとユーザIDとの対が認証情報記憶部325に登録されているか否かを調べることにより、認証情報を検証する。その後、認証情報検証部324は、認証応答送信部323を使用して応答(認証情報の検証結果)をクライアント300に返す(ステップA4)。この応答は、クライアント300内のアクセス認証クライアント部307で受信され、応答がOKを示すものである場合には、クライアント300とアクセス認証サーバ320との間に安全なコネクションが確立される。即ち、クライアント300とアクセス認証サーバ320との間にL2認証による安全なコネクションが確立することになる。
【0060】
その後、公開鍵取得要求部305がL2認証によって確立されたコネクションを使用してアクセス認証サーバ320に公開鍵取得要求を送信する(ステップA5)。
【0061】
アクセス認証サーバ320内の公開鍵管理部326は、クライアント300から公開鍵取得要求が送られてくると、鍵記憶部327から構成情報管理サーバ310a,310bの公開鍵K310a,K310bを取り出し、L2認証によって確立した安全なコネクションを介してクライアント300へ送信する(ステップA6)。
【0062】
クライアント300内の公開鍵取得要求部305は、アクセス認証サーバ320から送られてきた構成情報管理サーバ310a,310bの公開鍵K310a,公開鍵K310bを公開鍵記憶部304に格納する(ステップA7)。
【0063】
その後、クライアント300のユーザは、取得を要求する構成情報の種別(例えば、ホットスポット内でのプロキシサーバのIPアドレスとする)をキーボード等(図示せず)から入力する。これにより、情報取得要求送信部301は、上記種別を含む情報取得要求を送信する(ステップA8)。この情報取得要求は、アクセス認証サーバ320内の中継部321を介してネットワーク上に送出される。
【0064】
今、例えば、図4に示すように、悪意を持ったユーザの通信装置430がネットワークに接続されているとする。この通信装置430は、情報取得要求受信部431と、情報送信部432とを含んでいる。
【0065】
ネットワーク上に送出された情報取得要求は、構成情報管理サーバ310a,310b内の情報取得要求受信部311a,311bで受信されると共に、悪意を持ったユーザの通信装置430内の情報取得要求受信部431でも受信される(ステップA9〜A11)。
【0066】
構成情報管理サーバ310a,310bでは、クライアント300からの情報取得要求を受信すると、認証情報付加部314a,314bが、上記情報取得要求によって要求されている種別の構成情報を自サーバで管理しているか否かを判定する(図3、ステップA12,A13)。今、構成情報管理サーバ310aが要求された種別の構成情報(ホットスポット内のプロキシサーバのIPアドレス)を管理しているとすると、認証情報付加部314aはステップA14の処理を行い、一方、認証情報付加部314bは処理を終了する。ステップA14において、認証情報付加部314aは、要求されているプロキシサーバのIPアドレスxを情報記憶部313aから取り出し、更に、このIPアドレスxを鍵記憶部315aに格納されている秘密鍵H310a(構成情報管理サーバ310a固有の秘密鍵)で暗号化することにより、認証情報N310aを生成する。その後、認証情報付加部314aは、構成情報(IPアドレスx)に認証情報N310aを付加し、情報送信部312aに渡す。これにより、情報送信部312aは、認証情報N310aの付加されたIPアドレスxを要求元のクライアント300へ送信する(ステップA15)。
【0067】
一方、悪意を持ったユーザの通信装置430では、クライアント300からの情報取得要求を受信すると、不正な構成情報をクライアント300に送信する(ステップA16)。
【0068】
ステップA15において構成情報管理サーバ310aから送信された正当な構成情報及びステップA16において通信装置430から送信された不正な構成情報は、アクセス認証サーバ320内の中継部321を介してクライアント300へ送信される。
【0069】
クライアント300内の認証情報検証部303は、情報受信部302が通信装置430からの不正な構成情報を受信すると(ステップA17)、検証処理を行う(ステップA18)。ここで、認証情報検証部303が行う検証処理について詳しく説明する。
【0070】
先ず、認証情報検証部303は、受信した構成情報に認証情報が付加されているか否かを調べる(図5,ステップB1)。そして、認証情報が付加されていない場合には、受信した構成情報は不正な構成情報であると認識する(ステップB1がNO、ステップB7)。これに対して、認証情報が付加されている場合(ステップB1がYES)は、公開鍵記憶部304に格納されている構成情報管理サーバ310a,310bの公開鍵K310a,K310bの1つに注目し、注目した公開鍵を用いて認証情報を復号する(ステップB3,B4)。そして、復号結果と構成情報とが一致すれば、受信した構成情報を正当なものであると認識する(ステップB5がYES,B6)。これに対して一致しなかった場合(ステップB5がNO)は、未注目の公開鍵の1つに注目し、上述と同様の処理を行う。そして、全ての公開鍵を用いても、認証情報の復号結果と構成情報とが一致しなかった場合(ステップB2がNO)は、受信した構成情報は不正なものであると認識する(ステップB7)。以上が認証情報検証部303で行う検証処理の詳細である。
【0071】
従って、悪意のある通信装置430から送られてきた構成情報が、認証情報を含まないものであれば、ステップB1の判断結果がNOとなるので、認証情報検証部303は、受信した構成情報を不正な構成情報と認識する(ステップB7)。また、通信装置430から送られてきた構成情報に認証情報が付加されていても、公開鍵K310a,K310bを使用した認証情報に対する復号処理結果と構成情報とが一致することはないので(ステップB2がNO)、認証情報検証部303は、受信した構成情報を不正な構成情報と認識することになる(ステップB7)。認証情報検証部303は、受信した構成情報を不正な構成情報であると認識すると、それを破棄する(図3、ステップA19)。
【0072】
また、認証情報検証部303は、情報受信部302が構成情報管理サーバ310aからの、認証情報N310aの付加された構成情報(IPアドレスx)を受信した場合も、検証処理を行う(ステップA20、A21)。この場合、認証情報N310aを公開鍵K310aにより復号した復号結果と構成情報とが一致するので、認証情報検証部303は、受信した構成情報を正当な構成情報と認識する(図5のステップB5がYES、ステップB6)。これにより、情報設定部306が受信した構成情報(IPアドレスx)に基づいてプロキシの設定を行う(図3、ステップA22)。
【0073】
上述したように、本実施例においては、新たにネットワークに参加するクライアント300は、L2認証によって確立された安全なコネクションを介して、構成情報を管理している各構成情報管理サーバ310a,310bの公開鍵を取得するようにしているので、どのような通信装置が接続されているか分からないホットスポットサービスのようなアドホックなネットワークに参加する場合においても、クライアント300は、構成情報を管理している各構成情報管理サーバの公開鍵を安全に取得することができる。また、本実施例では、各構成情報管理サーバ310a,310bが、構成情報の送信時に、自サーバ固有の秘密鍵H310a,H310bを用いて生成した認証情報N310a,N310bを構成情報に付加し、クライアント300が、構成情報の受信時に、公開鍵を用いて認証情報を検証を行うようにしているので、悪意を持ったユーザの通信装置430等から送られてくる不正な構成情報に従った設定が行われないようにすることができる。
【0074】
【発明の効果】
本発明の第1の効果は、構成情報管理サーバの鍵情報の取得作業を、クライアントのユーザに負担をかけず、且つ確実に行えるという点である。
【0075】
その理由は、構成情報管理サーバの鍵情報をアクセス認証サーバで一括管理しており、クライアントは、構成情報管理サーバが多数存在する場合であっても、アクセス認証サーバに対して鍵取得要求を送信するだけで、全ての構成情報管理サーバの鍵情報を取得することができるからである。
【0076】
本発明の第2の効果は、構成情報管理サーバの鍵情報をクライアントが安全に取得できるという点である。
【0077】
その理由は、L2認証によって確立されたコネクションを使用して鍵情報を取得するようにしているからである。
【0078】
本発明の第3の効果は、悪意を持ったユーザに通信装置や、設定が間違っている通信装置から送られてくる不正な構成情報に従った設定処理を確実に防ぐことができるという点である。
【0079】
その理由は、構成情報管理サーバが、構成情報の送信時に、自サーバ固有の鍵情報を用いて生成した認証情報を構成情報に付加し、クライアントが構成情報の受信時に、構成情報管理サーバの鍵情報を用いて受信した構成情報の正当性を検証するようにしているからである。
【図面の簡単な説明】
【図1】本発明の実施例のブロック図である。
【図2】実施例の処理例を示す流れ図である。
【図3】実施例の処理例を示す流れ図である。
【図4】図1に示した実施例において、悪意を持ったユーザの通信装置がネットワークに接続された場合の構成例を示すブロック図である。
【図5】検証処理の処理例を示す流れ図である。
【図6】従来の技術を説明するためのブロック図である。
【図7】従来の技術の問題点を説明するためのブロック図である。
【符号の説明】
100…クライアント
101…情報取得要求送信部
102…情報受信部
103…情報設定部
110a,110b…構成情報管理サーバ
111a,111b…情報取得要求受信部
112a,112b…情報送信部
113a,113b…情報記憶部
220…通信装置
221…情報取得要求受信部
222…情報送信部
300…クライアント
301…情報取得要求送信部
302…情報受信部
303…認証情報検証部
304…公開鍵記憶部
305…公開鍵取得要求部
306…情報設定部
307…アクセス認証クライアント部
308…記録媒体
310a,310b…構成情報管理サーバ
311a,311b…情報取得要求受信部
312a,312b…情報送信部
313a,313b…情報記憶部
314a,314b…認証情報付加部
315a,315b…鍵記憶部
316a,316b…記録媒体
320…アクセス認証サーバ
321…中継部
322…認証要求受信部
323…認証応答送信部
324…認証情報検証部
325…認証情報記憶部
326…公開鍵管理部
327…鍵記憶部
328…記録媒体
430…通信装置
431…情報取得要求受信部
432…情報送信部[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a technique in which a client acquires network configuration information from a server on the network and sets it in its own client, and more particularly, to a technique in which a client can perform setting based on secure configuration information.
[0002]
[Prior art]
Conventionally, when a client connects to a network, it acquires network configuration information from a server and sets it as its own client. For example, an IP address is acquired in accordance with DHCP (Dynamic Host Configuration Protocol), or an IP address of a router is acquired in accordance with IETF RFC1970, and these are set in the own client.
[0003]
The conventional technique described above will be described with reference to FIG.
[0004]
When connected (added) to the network, the client 100 is a client that acquires configuration information necessary for setting from another device on the network and automatically sets the configuration information. A receiving unit 102 and an information setting unit 103 are included.
[0005]
The configuration information management servers 110a and 110b are servers that manage network configuration information. The information acquisition request reception units 111a and 111b, the information transmission units 112a and 112b, and an information storage unit that stores various types of configuration information. 113a and 113b.
[0006]
When connected to the network, the client 100 transmits an information acquisition request over the network using the information acquisition request transmission unit 101. This information acquisition request includes the type of configuration information for which acquisition is requested.
[0007]
When the information acquisition request from the client 100 is received by the information acquisition request receiving units 111a and 111b, the configuration information management servers 110a and 110b determine whether or not the type of configuration information included in the request is managed by the own server. Check out. Now, for example, if the configuration information of the type is managed by the configuration information management server 110a, the configuration information management server 110a takes out the configuration information of the type from the information storage unit 113a and uses the information transmission unit 112a. Transmit to the requesting client 100.
[0008]
When the information receiving unit 102 receives the configuration information from the configuration information management server 110a, the information setting unit 103 in the client 100 sets it to its own client.
[0009]
As described above, the client 100 newly added to the network can acquire the configuration information of the network and set it as its own client.
[0010]
However, since the conventional technique shown in FIG. 6 does not perform any authentication process when the client acquires the configuration information, the validity and security of the configuration information acquired by the client are problematic. That is, there is a possibility that a communication device that transmits illegal configuration information in response to an information acquisition request from the client is connected to the network. In such a case, in the conventional technique shown in FIG. The correctness and safety of the acquired configuration information cannot be guaranteed. Such a problem has a high risk of occurring in an ad hoc network such as a hot spot service.
[0011]
With reference to FIG. 7, a problem when the conventional technique shown in FIG. 6 is applied to a hot spot service will be described. The hot spot service has been developed in various facilities in recent years in order to allow a user with a portable information terminal to freely connect to a network in a town. In such an ad hoc network, anyone can add a communication device on the network. Therefore, it is conceivable that a malicious user or a user who makes a wrong setting adds a communication device to the network.
[0012]
7 is a communication device in which a malicious user is connected to a network, and includes an information acquisition request reception unit 221 and an information transmission unit 222. In addition, the same code | symbol as the other FIG. 6 represents the same part.
[0013]
When the client 100 sends an information acquisition request (including type information) over the network to acquire the configuration information managed by the configuration information management server 110a, the information acquisition request is sent only by the configuration information management server 110a. Instead, it is also received by the configuration information management server 110b and the malicious user communication device 220.
[0014]
When the communication device 220 of the malicious user receives the information acquisition request at the information acquisition request receiving unit 221, the communication device 220 transmits illegal configuration information to the client 100 using the information transmission unit 222. On the other hand, when the information acquisition request receiving unit 111a receives the information acquisition request, the configuration information management server 110a retrieves the requested type of configuration information from the information storage unit 113a and uses the information transmission unit 112a to request the requesting client. To 100. Also, the configuration information management server 110b ignores the information acquisition request because it does not manage the requested type of configuration information.
[0015]
As a result, unauthorized configuration information is sent to the client 100 from the malicious user communication device 220, and valid configuration information is sent from the configuration information management server 110a. If the information receiving unit 102 in the client 100 receives incorrect configuration information from the communication device 220, the information setting unit 103 performs setting using the incorrect configuration information. For example, when the client 100 requests the IP address of the router, the malicious user communication device 220 transmits configuration information in which the IP address of the own device is the IP address of the router to the client 100, and this error If the client 100 performs the setting according to the configuration information, the packets transmitted from the client 100 are collected in the malicious user communication device 220.
[0016]
By the way, in order to solve the above-described problems, for example, it is conceivable to use an authentication technique using a public key and a secret key (see, for example, Patent Document 1 and Non-Patent Document 1).
[0017]
That is, the public key K110a of the configuration information management server 110a and the public key K110b of the configuration information management server 110b are registered in the client 100.
[0018]
When transmitting the configuration information to the client 100, the configuration information management server 110a generates the authentication information N110a by encrypting the configuration information using the secret key H110a corresponding to the public key K110a of the server, and this authentication information N110a is added to the configuration information and transmitted to the client 100. Further, when transmitting the configuration information to the client 100, the configuration information management server 110b generates authentication information N110b by encrypting the configuration information using the secret key H110b corresponding to the public key K110b of the server itself, The authentication information N110b is added to the configuration information and transmitted to the client 100.
[0019]
Upon receiving the configuration information, the client 100 first decrypts the authentication information added thereto using the public key K110a. If the decryption result matches the configuration information, it is determined that the received configuration information is valid, and settings are made using that information. On the other hand, if the decryption result does not match the configuration information, the authentication information is decrypted using the public key K110b. If the decryption result matches the configuration information, it is determined that the received configuration information is valid, and settings are made using that information. If neither the decryption result using the public key K110a nor the decryption result using the public key K110b matches the configuration information, the received configuration information is determined to be invalid and discarded.
[0020]
[Patent Document 1]
JP 2002-49590 A
[Non-Patent Document 1]
Written by Shigeo Sakurai and Masao Kasahara, “Cryptography and Information Security”, first edition, 5th edition, Shoshodo Co., Ltd., April 10, 1997, p. 132-133
[0021]
[Problems to be solved by the invention]
By using an authentication technique using a public key and a private key, a client can perform setting processing using configuration information that is guaranteed to be valid and secure. However, when using the above-described authentication technology, it is necessary for the client user to acquire the public key of each configuration information management server by some method and register it in the client, which increases the burden on the user. At the same time, there is a risk of acquisition omission.
[0022]
Therefore, an object of the present invention is to perform the key information acquisition operation of each configuration information management server, which is necessary when using an authentication technique using key information, without burdening the client user and reliably. There is in doing so.
[0023]
[Means for Solving the Problems]
A first configuration information providing system according to the present invention includes:
A configuration information providing system including an access authentication server, a configuration information management server, and a client,
The access authentication server is
Means for managing the key information of the configuration information management server and transmitting the key information of the configuration information management server to the requesting client in response to a key acquisition request from the client;
The configuration information management server is
When configuration information is managed and an information acquisition request is sent from the client, authentication information generated using the configuration information and the key information is added to the configuration information requested by the information acquisition request. Means for transmitting to the client,
The client
Means for transmitting a key acquisition request to the access authentication server and managing key information of the configuration information management server sent from the access authentication server in response to the key acquisition request;
Sending an information acquisition request, and determining the validity of the configuration information based on the authentication information added to the configuration information returned in response to the information acquisition request and the managed key information Means.
[0024]
More specifically, the second configuration information providing system according to the present invention is:
A configuration information providing system including an access authentication server, a plurality of configuration information management servers each managing different types of configuration information, and a client,
The access authentication server is
Means for managing the key information of each of the configuration information management servers, and transmitting the key information of each of the configuration information management servers to the client in response to a key acquisition request from the client;
Each of the configuration information management servers
When the configuration information of the type requested by the information acquisition request from the client is managed by the local server, the configuration information and the key of the local server are included in the configuration information of the type requested by the information acquisition request. Means for adding authentication information generated using the information and transmitting to the client,
The client
Means for transmitting a key acquisition request to the access authentication server, and managing key information of each of the configuration information management servers sent from the access authentication server in response to the key acquisition request;
Based on the authentication information added to the configuration information returned in response to the information acquisition request and the managed key information, the information acquisition request including the type of configuration information requesting acquisition is transmitted. And means for determining the validity of the configuration information.
[0025]
Further, a third configuration information providing system according to the present invention is the second configuration information providing system,
The configuration information management server generates the authentication information by encrypting configuration information to be transmitted to the client using key information of its own server.
[0026]
Further, a fourth configuration information providing system according to the present invention is the third configuration information providing system,
When the client has key information in which the decryption result when the decryption process is performed on the authentication information is the same as the configuration information in the key information of each managed configuration information management server The configuration information is determined to be valid configuration information.
[0027]
Further, a fifth configuration information providing system according to the present invention is any one of the first to fifth configuration information providing systems.
The access authentication server uses a connection established by performing L2 authentication with the client when transmitting key information to the client.
[0028]
[Action]
Since the key information of the configuration information management server is collectively managed by the access authentication server, even when there are a large number of configuration information management servers, the client only sends a key acquisition request to the access authentication server. Thus, the key information of all the configuration information management servers can be acquired, and the burden on the client user can be reduced. Further, when the key information is transmitted from the access authentication server to the client, the connection established by the L2 authentication is used, so that the key information can be safely transmitted to the client. Further, since the configuration information management server adds authentication information when transmitting the configuration information to the client, the client can check the validity of the configuration information.
[0029]
DETAILED DESCRIPTION OF THE INVENTION
Next, embodiments of the present invention will be described in detail with reference to the drawings.
[0030]
FIG. 1 is a block diagram of an embodiment of a configuration information providing system according to the present invention, which includes a client 300, a plurality of configuration information management servers 310a and 310b, and an access authentication server 320.
[0031]
The client 300 includes an information acquisition request transmission unit 301, an information reception unit 302, an authentication information verification unit 303, a public key storage unit 304, a public key acquisition request unit 305, an information setting unit 306, and an access authentication client unit. 307 and a recording medium 308.
[0032]
The public key storage unit 304 stores the public key K320 of the access authentication server 320, the public key K310a of the configuration information management server 310a, and the public key K310b of the configuration information management server 320b.
[0033]
The access authentication client unit 307 has a function of establishing a secure connection with the access authentication server 320 using two-layer access authentication (L2 authentication) of the OSI reference model such as IEEE 802.1x. More specifically, at the time of connection to the network, a function for transmitting an authentication request including a password and a user ID encrypted with the public key K320 of the access authentication server 320 to the access authentication server 320, or OK for the authentication request. When the response shown is sent from the access authentication server 320, it has a function of establishing a connection with the access authentication server 320.
[0034]
The public key acquisition request unit 305 has a function of transmitting a public key acquisition request to the access authentication server 320 via a connection established by L2 authentication, and is sent from the access authentication server 320 in response to the public key acquisition request. It has a function of storing the public keys K310a and K310b of the configuration information management servers 310a and 310b in the public key storage unit 304.
[0035]
The information acquisition request transmission unit 301 has a function of transmitting an information acquisition request for acquiring configuration information to the network via the access authentication server 320.
[0036]
The information receiving unit 302 has a function of receiving configuration information sent via the access authentication server 320.
[0037]
The authentication information verification unit 303 authenticates the configuration information based on the authentication information added to the configuration information received by the information reception unit 302 and the public keys K310a and K310b stored in the public key storage unit 304. It has a function to verify the sex.
[0038]
The information setting unit 306 has a function of performing setting processing based on configuration information whose validity is confirmed by the authentication information verification unit 303.
[0039]
The recording medium 308 is a disk, semiconductor memory, or other recording medium, and stores a program for causing the computer to function as the client 300. This program is read by a computer, and by controlling its operation, an information acquisition request transmission unit 301, an information reception unit 302, an authentication information verification unit 303, a public key acquisition request unit 305, an information setting unit 306, An access authentication client unit 307 is realized.
[0040]
The access authentication server 320 includes a relay unit 321, an authentication request reception unit 322, an authentication response transmission unit 323, an authentication information verification unit 324, an authentication information storage unit 325, a public key management unit 326, and a key storage unit 327. And a recording medium 328.
[0041]
The key storage unit 327 stores a public key K320 of the server 320, a secret key H320 paired with the public key K320, and public keys K310a and K310b of the configuration information management servers 310a and 310b.
[0042]
The authentication information storage unit 325 stores a pair of a password and a user ID used when performing L2 authentication.
[0043]
The public key management unit 326 has a function of transmitting the public keys K310a and K310b of the configuration information management servers 310a and 310b to the client 300 in response to a public key acquisition request from the client 300.
[0044]
The relay unit 321 has a function of sending an information acquisition request sent from the client 300 to the network and a function of sending configuration information addressed to the client 300 on the network to the client 300.
[0045]
The authentication request receiving unit 322 has a function of receiving an authentication request sent from the client 300.
[0046]
The authentication information verification unit 324 has a function of verifying whether or not the client 300 is a legitimate client based on the authentication request from the client 300 received by the authentication request reception unit 322 and the contents of the authentication information storage unit 325. Have
[0047]
The authentication response transmission unit 323 has a function of transmitting the verification result of the authentication information verification unit 324 to the client 300 as an authentication response.
[0048]
The recording medium 328 is a disk, semiconductor memory, or other recording medium, and stores a program for causing the computer to function as the access authentication server 320. This program is read by a computer and the operation is controlled to realize a relay unit 321, an authentication request receiving unit 322, an authentication response transmitting unit 323, an authentication information verification unit 324, and a public key management unit 326 on the computer. .
[0049]
The configuration information management servers 310a and 320b include information acquisition request reception units 311a and 311b, information transmission units 312a and 312b, information storage units 313a and 313b, authentication information addition units 314a and 314b, and key storage units 315a and 315b. And recording media 316a and 316b.
[0050]
Different types of configuration information are stored in the information storage units 313a and 313b.
[0051]
The key storage unit 315a stores a public key K310a unique to the configuration information management server 310a and a secret key H310a that is paired with the public key K310a. The key storage unit 315b stores a public key K310b unique to the configuration information management server 310b and a secret key H310b that is paired with the public key K310b.
[0052]
The information acquisition request receiving units 311 a and 311 b have a function of receiving an information acquisition request sent from the client 300.
[0053]
When the information acquisition request receiving unit 311a receives the information acquisition request from the client 300, the authentication information adding unit 314a determines whether or not the configuration information of the type requested by the information acquisition request is managed by the own server. In the case of the function to determine, or when managed by the own server, the function to extract the corresponding configuration information from the information storage unit 313a, the extracted configuration information, and the secret key H310a stored in the key storage unit 315a A function for generating the authentication information N310a based on the authentication information N310a based on the configuration information and passing the information to the information transmission unit 312a. The authentication information adding unit 314b also has the same function as the configuration information adding unit 314a.
[0054]
The information transmitting unit 312a has a function of transmitting the configuration information to which the authentication information N310a passed from the authentication information adding unit 314a is added to the client 300. The information transmitting unit 312b has a function of transmitting the configuration information to which the authentication information N310b passed from the authentication information adding unit 314b is added to the client 300.
[0055]
The recording medium 316a is a disk, semiconductor memory, or other recording medium, and stores a program for causing the computer to function as the configuration information management server 310a. This program is read by a computer and controls its operation to realize an information acquisition request receiving unit 311a, an information transmitting unit 312a, and an authentication information adding unit 314a on the computer. A similar program is also recorded on the recording medium 316b.
[0056]
[Description of operation of the embodiment]
Next, the operation of this embodiment will be described in detail.
[0057]
First, the user of the client 300 performs a process such as physically connecting a cable, moving the device to a wireless LAN area, turning on the device, etc. for communication. The participating client 300 is connected to the network.
[0058]
Next, the user of the client 300 activates the access authentication client unit 307. As a result, the access authentication client unit 307 sends an authentication request including authentication information (encrypted password and user ID with the public key K320 of the access authentication server 320 stored in the public key storage unit 304) to the access authentication server. 320 (step A1). Here, the public key K320 of the access authentication server 320 is acquired in advance by the user of the client 300 by some method and stored in the public key storage unit 304 (for example, the flexible key recorded with the public key K320). The disk is acquired from the administrator of the access authentication server 320 and the public key K320 recorded on the flexible disk is stored in the public key storage unit 304).
[0059]
When the authentication request receiving unit 322 receives the authentication request from the client 300 (step A2), the authentication information verification unit 324 in the access authentication server 320 verifies the authentication information included in the authentication request (step A3). . That is, whether the authentication information (password and user ID pair) encrypted with the public key K320 is decrypted with the secret key H320, and the decrypted password and user ID pair is registered in the authentication information storage unit 325. The authentication information is verified by checking whether or not. Thereafter, the authentication information verification unit 324 uses the authentication response transmission unit 323 to return a response (verification result of the authentication information) to the client 300 (step A4). This response is received by the access authentication client unit 307 in the client 300. If the response indicates OK, a secure connection is established between the client 300 and the access authentication server 320. That is, a secure connection by L2 authentication is established between the client 300 and the access authentication server 320.
[0060]
Thereafter, the public key acquisition request unit 305 transmits a public key acquisition request to the access authentication server 320 using a connection established by L2 authentication (step A5).
[0061]
When a public key acquisition request is sent from the client 300, the public key management unit 326 in the access authentication server 320 extracts the public keys K310a and K310b of the configuration information management servers 310a and 310b from the key storage unit 327, and performs L2 authentication. Is transmitted to the client 300 through the secure connection established by (step A6).
[0062]
The public key acquisition request unit 305 in the client 300 stores the public key K310a and public key K310b of the configuration information management servers 310a and 310b sent from the access authentication server 320 in the public key storage unit 304 (step A7).
[0063]
Thereafter, the user of the client 300 inputs the type of configuration information to be acquired (for example, the IP address of the proxy server in the hot spot) from a keyboard or the like (not shown). As a result, the information acquisition request transmission unit 301 transmits an information acquisition request including the type (step A8). This information acquisition request is sent over the network via the relay unit 321 in the access authentication server 320.
[0064]
Now, for example, as shown in FIG. 4, it is assumed that a communication device 430 of a malicious user is connected to the network. The communication device 430 includes an information acquisition request reception unit 431 and an information transmission unit 432.
[0065]
The information acquisition request sent over the network is received by the information acquisition request receiving units 311a and 311b in the configuration information management servers 310a and 310b, and the information acquisition request receiving unit in the malicious user communication device 430 is received. 431 is also received (steps A9 to A11).
[0066]
When the configuration information management servers 310a and 310b receive the information acquisition request from the client 300, are the authentication information addition units 314a and 314b managing the type of configuration information requested by the information acquisition request by the server itself? It is determined whether or not (FIG. 3, steps A12 and A13). Now, assuming that the configuration information management server 310a manages the requested type of configuration information (IP address of the proxy server in the hot spot), the authentication information adding unit 314a performs the process of step A14, The information adding unit 314b ends the process. In step A14, the authentication information adding unit 314a extracts the IP address x of the requested proxy server from the information storage unit 313a, and further extracts the IP address x from the secret key H310a (configuration) stored in the key storage unit 315a. The authentication information N310a is generated by encryption with a secret key unique to the information management server 310a. After that, the authentication information adding unit 314a adds the authentication information N310a to the configuration information (IP address x) and passes it to the information transmitting unit 312a. As a result, the information transmitting unit 312a transmits the IP address x to which the authentication information N310a is added to the requesting client 300 (step A15).
[0067]
On the other hand, when the communication device 430 of a malicious user receives an information acquisition request from the client 300, it transmits unauthorized configuration information to the client 300 (step A16).
[0068]
The valid configuration information transmitted from the configuration information management server 310a in step A15 and the illegal configuration information transmitted from the communication device 430 in step A16 are transmitted to the client 300 via the relay unit 321 in the access authentication server 320. The
[0069]
When the information receiving unit 302 receives unauthorized configuration information from the communication device 430 (step A17), the authentication information verification unit 303 in the client 300 performs verification processing (step A18). Here, the verification process performed by the authentication information verification unit 303 will be described in detail.
[0070]
First, the authentication information verification unit 303 checks whether authentication information is added to the received configuration information (step B1 in FIG. 5). If no authentication information is added, the received configuration information is recognized as incorrect configuration information (step B1 is NO, step B7). On the other hand, when the authentication information is added (YES in step B1), attention is paid to one of the public keys K310a and K310b of the configuration information management servers 310a and 310b stored in the public key storage unit 304. The authentication information is decrypted using the noticed public key (steps B3 and B4). If the decryption result matches the configuration information, the received configuration information is recognized as valid (step B5 is YES, B6). If they do not match (NO in step B5), attention is paid to one of the unfocused public keys, and the same processing as described above is performed. If the decryption result of the authentication information and the configuration information do not match even if all the public keys are used (step B2 is NO), the received configuration information is recognized as illegal (step B7). ). The details of the verification process performed by the authentication information verification unit 303 have been described above.
[0071]
Therefore, if the configuration information sent from the malicious communication device 430 does not include authentication information, the determination result in step B1 is NO, so the authentication information verification unit 303 displays the received configuration information. It is recognized as illegal configuration information (step B7). Even if the authentication information is added to the configuration information sent from the communication device 430, the decryption processing result for the authentication information using the public keys K310a and K310b does not match the configuration information (step B2). NO), the authentication information verification unit 303 recognizes the received configuration information as incorrect configuration information (step B7). When the authentication information verification unit 303 recognizes that the received configuration information is incorrect configuration information, the authentication information verification unit 303 discards the configuration information (FIG. 3, step A19).
[0072]
The authentication information verification unit 303 also performs verification processing when the information reception unit 302 receives the configuration information (IP address x) to which the authentication information N310a is added from the configuration information management server 310a (step A20, A21). In this case, since the decryption result obtained by decrypting the authentication information N310a with the public key K310a matches the configuration information, the authentication information verification unit 303 recognizes the received configuration information as valid configuration information (step B5 in FIG. 5 is performed). YES, step B6). As a result, the proxy is set based on the configuration information (IP address x) received by the information setting unit 306 (FIG. 3, step A22).
[0073]
As described above, in the present embodiment, the client 300 newly joining the network uses the configuration information management servers 310a and 310b that manage the configuration information via the secure connection established by the L2 authentication. Since the public key is obtained, the client 300 manages the configuration information even when participating in an ad hoc network such as a hotspot service where it is not known what communication device is connected. The public key of each configuration information management server can be acquired safely. In this embodiment, the configuration information management servers 310a and 310b add authentication information N310a and N310b generated by using their own secret keys H310a and H310b to the configuration information when the configuration information is transmitted. Since 300 verifies the authentication information using the public key when receiving the configuration information, the setting according to the unauthorized configuration information sent from the malicious user communication device 430 or the like is performed. You can prevent it from happening.
[0074]
【The invention's effect】
The first effect of the present invention is that the key information acquisition operation of the configuration information management server can be performed reliably without imposing a burden on the client user.
[0075]
The reason is that the key information of the configuration information management server is collectively managed by the access authentication server, and the client sends a key acquisition request to the access authentication server even when there are many configuration information management servers. This is because the key information of all the configuration information management servers can be acquired simply by doing this.
[0076]
The second effect of the present invention is that the client can safely obtain the key information of the configuration information management server.
[0077]
The reason is that key information is acquired using a connection established by L2 authentication.
[0078]
The third effect of the present invention is that it is possible to reliably prevent setting processing in accordance with unauthorized configuration information sent from a communication device or a communication device with incorrect settings to a malicious user. is there.
[0079]
The reason is that the configuration information management server adds the authentication information generated using the key information unique to the server to the configuration information when transmitting the configuration information, and the client receives the configuration information and receives the configuration information management key. This is because the validity of the configuration information received using the information is verified.
[Brief description of the drawings]
FIG. 1 is a block diagram of an embodiment of the present invention.
FIG. 2 is a flowchart showing a processing example of the embodiment.
FIG. 3 is a flowchart showing a processing example of the embodiment.
4 is a block diagram showing a configuration example when a malicious user communication device is connected to a network in the embodiment shown in FIG. 1; FIG.
FIG. 5 is a flowchart showing a processing example of verification processing;
FIG. 6 is a block diagram for explaining a conventional technique.
FIG. 7 is a block diagram for explaining a problem of a conventional technique.
[Explanation of symbols]
100: Client
101 ... Information acquisition request transmission unit
102. Information receiving unit
103. Information setting section
110a, 110b ... Configuration information management server
111a, 111b ... Information acquisition request receiver
112a, 112b ... Information transmission unit
113a, 113b ... Information storage unit
220: Communication device
221 ... Information acquisition request receiver
222: Information transmission unit
300 ... Client
301 ... Information acquisition request transmission unit
302. Information receiving unit
303 ... Authentication information verification unit
304: Public key storage unit
305 ... Public key acquisition request part
306 ... Information setting section
307 ... Access authentication client part
308 ... Recording medium
310a, 310b ... Configuration information management server
311a, 311b ... Information acquisition request receiver
312a, 312b ... Information transmission unit
313a, 313b ... Information storage unit
314a, 314b ... Authentication information adding unit
315a, 315b ... key storage unit
316a, 316b ... Recording medium
320 ... Access authentication server
321 ... Relay part
322 ... Authentication request receiver
323 ... Authentication response transmitter
324 ... Authentication information verification unit
325 ... Authentication information storage unit
326. Public key management unit
327: Key storage unit
328 ... Recording medium
430 ... Communication device
431 ... Information acquisition request receiver
432 ... Information transmitter

Claims (11)

アクセス認証サーバと、構成情報管理サーバと、クライアントとを含む構成情報提供システムであって、
前記アクセス認証サーバが、
前記構成情報管理サーバの鍵情報を管理し、前記クライアントからの鍵取得要求に応答して前記構成情報管理サーバの鍵情報を要求元のクライアントに送信する手段を備え、
前記構成情報管理サーバが、
構成情報を管理し、前記クライアントから情報取得要求が送られてきたとき、該情報取得要求によって要求されている構成情報に、該構成情報と前記鍵情報とを用いて生成した認証情報を付加して前記クライアントへ送信する手段を備え、
前記クライアントが、
前記アクセス認証サーバに対して鍵取得要求を送信し、該鍵取得要求に応答して前記アクセス認証サーバから送られてきた前記構成情報管理サーバの鍵情報を管理する手段と、
情報取得要求を送信し、該情報取得要求に応答して返信されてきた構成情報に付加されている認証情報と前記管理している鍵情報とに基づいて、前記構成情報の正当性を判定する手段とを備えたことを特徴とする構成情報提供システム。A configuration information providing system including an access authentication server, a configuration information management server, and a client,
The access authentication server is
Means for managing the key information of the configuration information management server and transmitting the key information of the configuration information management server to the requesting client in response to a key acquisition request from the client;
The configuration information management server is
When configuration information is managed and an information acquisition request is sent from the client, authentication information generated using the configuration information and the key information is added to the configuration information requested by the information acquisition request. Means for transmitting to the client,
The client
Means for transmitting a key acquisition request to the access authentication server and managing key information of the configuration information management server sent from the access authentication server in response to the key acquisition request;
Sending an information acquisition request, and determining the validity of the configuration information based on the authentication information added to the configuration information returned in response to the information acquisition request and the managed key information And a configuration information providing system. アクセス認証サーバと、それぞれが異なる種別の構成情報を管理している複数の構成情報管理サーバと、クライアントとを含む構成情報提供システムであって、
前記アクセス認証サーバが、
前記各構成情報管理サーバそれぞれの鍵情報を管理し、前記クライアントからの鍵取得要求に応答して前記各構成情報管理サーバそれぞれの鍵情報を前記クライアントに送信する手段を備え、
前記各構成情報管理サーバが、
クライアントからの情報取得要求によって要求されている種別の構成情報を自サーバで管理している場合には、前記情報取得要求によって要求されている種別の構成情報に、該構成情報と自サーバの鍵情報とを用いて生成した認証情報を付加して前記クライアントへ送信する手段を備え、
前記クライアントが、
前記アクセス認証サーバに対して鍵取得要求を送信し、該鍵取得要求に応答して前記アクセス認証サーバから送られてきた前記各構成情報管理サーバそれぞれの鍵情報を管理する手段と、
取得を要求する構成情報の種別を含む情報取得要求を送信し、該情報取得要求に応答して返信されてきた構成情報に付加されている認証情報と前記管理している鍵情報とに基づいて、前記構成情報の正当性を判定する手段とを備えたことを特徴とする構成情報提供システム。A configuration information providing system including an access authentication server, a plurality of configuration information management servers each managing different types of configuration information, and a client,
The access authentication server is
Means for managing the key information of each of the configuration information management servers, and transmitting the key information of each of the configuration information management servers to the client in response to a key acquisition request from the client;
Each of the configuration information management servers
When the configuration information of the type requested by the information acquisition request from the client is managed by the local server, the configuration information and the key of the local server are included in the configuration information of the type requested by the information acquisition request. Means for adding authentication information generated using the information and transmitting to the client,
The client
Means for transmitting a key acquisition request to the access authentication server, and managing key information of each of the configuration information management servers sent from the access authentication server in response to the key acquisition request;
Based on the authentication information added to the configuration information returned in response to the information acquisition request and the managed key information, the information acquisition request including the type of configuration information requesting acquisition is transmitted. A configuration information providing system comprising: means for determining validity of the configuration information. 請求項2記載の構成情報提供システムにおいて、
前記構成情報管理サーバは、前記クライアントに送信する構成情報を自サーバの鍵情報を用いて暗号化することにより前記認証情報を生成することを特徴とする構成情報提供システム。The configuration information providing system according to claim 2,
The configuration information management system, wherein the configuration information management server generates the authentication information by encrypting configuration information to be transmitted to the client using key information of the server itself. 請求項3記載の構成情報提供システムにおいて、
前記クライアントは、前記管理している各構成情報管理サーバの鍵情報の中に、前記認証情報に対して復号処理を行った際の復号結果が前記構成情報と同一になる鍵情報が存在する場合、前記構成情報を正当な構成情報であると判定することを特徴とする構成情報提供システム。The configuration information providing system according to claim 3,
When the client has key information in which the decryption result when the decryption process is performed on the authentication information is the same as the configuration information in the key information of each managed configuration information management server A configuration information providing system for determining that the configuration information is valid configuration information. 請求項1乃至4記載の何れか1つの構成情報提供システムにおいて、
前記アクセス認証サーバは、鍵情報を前記クライアントに送信する際、前記クライアントとL2認証を行うことにより確立したコネクションを使用することを特徴とする構成情報提供システム。The configuration information providing system according to any one of claims 1 to 4,
The access authentication server uses a connection established by performing L2 authentication with the client when transmitting key information to the client. 構成情報管理サーバの鍵情報を管理し、クライアントからの鍵取得要求に応答して前記構成情報管理サーバの鍵情報を要求元のクライアントに送信する手段を備えたアクセス認証サーバと、構成情報管理サーバと、前記アクセス認証サーバに対して鍵取得要求を送信し、該鍵取得要求に応答して前記アクセス認証サーバから送られてきた前記構成情報管理サーバの鍵情報を管理する手段、および情報取得要求を送信し、該情報取得要求に応答して返信されてきた構成情報に付加されている認証情報と前記管理している鍵情報とに基づいて、前記構成情報の正当性を判定する手段を備えたクライアントとを含む構成情報提供システムの構成要素である構成情報管理サーバであって、
構成情報を管理し、前記クライアントから情報取得要求が送られてきたとき、該情報取得要求によって要求されている構成情報に、該構成情報と前記鍵情報とを用いて生成した認証情報を付加して前記クライアントへ送信する手段を備えたことを特徴とする構成情報管理サーバ。An access authentication server comprising means for managing key information of the configuration information management server and transmitting the key information of the configuration information management server to the requesting client in response to a key acquisition request from the client; and a configuration information management server And means for managing the key information of the configuration information management server transmitted from the access authentication server in response to the key acquisition request, and an information acquisition request And means for determining the validity of the configuration information based on the authentication information added to the configuration information returned in response to the information acquisition request and the managed key information A configuration information management server that is a component of a configuration information providing system including a client,
When configuration information is managed and an information acquisition request is sent from the client, authentication information generated using the configuration information and the key information is added to the configuration information requested by the information acquisition request. A configuration information management server comprising means for transmitting to the client. アクセス認証サーバと、構成情報を管理し、クライアントから情報取得要求が送られてきたとき、該情報取得要求によって要求されている構成情報に、該構成情報と鍵情報とを用いて生成した認証情報を付加して前記クライアントへ送信する手段を備えた構成情報管理サーバと、前記アクセス認証サーバに対して鍵取得要求を送信し、該鍵取得要求に応答して前記アクセス認証サーバから送られてきた前記構成情報管理サーバの鍵情報を管理する手段、および情報取得要求を送信し、該情報取得要求に応答して返信されてきた構成情報に付加されている認証情報と前記管理している鍵情報とに基づいて、前記構成情報の正当性を判定する手段を備えたクライアントとを含む構成情報提供システムの構成要素であるアクセス認証サーバであって、
前記構成情報管理サーバの鍵情報を管理し、前記クライアントからの鍵取得要求に応答して前記構成情報管理サーバの鍵情報を要求元のクライアントに送信する手段を備えたことを特徴とするアクセス認証サーバ。Authentication information generated by using the configuration information and the key information in the configuration information requested by the information acquisition request when the information acquisition request is sent from the client, managing the configuration information and the access authentication server A configuration information management server provided with a means for adding to the client and transmitting to the client and a key acquisition request to the access authentication server, and sent from the access authentication server in response to the key acquisition request Means for managing the key information of the configuration information management server, and authentication information added to the configuration information sent in response to the information acquisition request and returned in response to the information acquisition request, and the managed key information And an access authentication server that is a component of a configuration information providing system including a client having means for determining the validity of the configuration information based on
Access authentication, comprising: means for managing key information of the configuration information management server and transmitting key information of the configuration information management server to a requesting client in response to a key acquisition request from the client server. 構成情報管理サーバの鍵情報を管理し、クライアントからの鍵取得要求に応答して前記構成情報管理サーバの鍵情報を要求元のクライアントに送信する手段を備えたアクセス認証サーバと、構成情報を管理し、前記クライアントから情報取得要求が送られてきたとき、該情報取得要求によって要求されている構成情報に、該構成情報と前記鍵情報とを用いて生成した認証情報を付加して前記クライアントへ送信する手段を備えた構成情報管理サーバと、クライアントとを含む構成情報提供システムの構成要素であるクライアントであって、
前記アクセス認証サーバに対して鍵取得要求を送信し、該鍵取得要求に応答して前記アクセス認証サーバから送られてきた前記構成情報管理サーバの鍵情報を管理する手段と、
情報取得要求を送信し、該情報取得要求に応答して返信されてきた構成情報に付加されている認証情報と前記管理している鍵情報とに基づいて、前記構成情報の正当性を判定する手段とを備えたことを特徴とするクライアント。Managing the configuration information management server and the access authentication server having means for transmitting the configuration information management server key information to the requesting client in response to a key acquisition request from the client, and managing the configuration information When an information acquisition request is sent from the client, the authentication information generated using the configuration information and the key information is added to the configuration information requested by the information acquisition request to the client. A client that is a component of a configuration information providing system including a configuration information management server having means for transmitting and a client,
Means for transmitting a key acquisition request to the access authentication server and managing key information of the configuration information management server sent from the access authentication server in response to the key acquisition request;
Sending an information acquisition request, and determining the validity of the configuration information based on the authentication information added to the configuration information returned in response to the information acquisition request and the managed key information And a client. 構成情報管理サーバの鍵情報を管理し、クライアントからの鍵取得要求に応答して前記構成情報管理サーバの鍵情報を要求元のクライアントに送信する手段を備えたアクセス認証サーバと、構成情報管理サーバと、前記アクセス認証サーバに対して鍵取得要求を送信し、該鍵取得要求に応答して前記アクセス認証サーバから送られてきた前記構成情報管理サーバの鍵情報を管理する手段、および情報取得要求を送信し、該情報取得要求に応答して返信されてきた構成情報に付加されている認証情報と前記管理している鍵情報とに基づいて、前記構成情報の正当性を判定する手段を備えたクライアントとを含む構成情報提供システムの構成要素である構成情報管理サーバをコンピュータによって実現するためのプログラムであって、
前記コンピュータを、
構成情報を管理し、前記クライアントから情報取得要求が送られてきたとき、該情報取得要求によって要求されている構成情報に、該構成情報と前記鍵情報とを用いて生成した認証情報を付加して前記クライアントへ送信する手段として機能させるためのプログラム。An access authentication server comprising means for managing key information of the configuration information management server and transmitting the key information of the configuration information management server to the requesting client in response to a key acquisition request from the client; and a configuration information management server And means for managing the key information of the configuration information management server transmitted from the access authentication server in response to the key acquisition request, and an information acquisition request And means for determining the validity of the configuration information based on the authentication information added to the configuration information returned in response to the information acquisition request and the managed key information A configuration information management server, which is a component of a configuration information providing system including a client, for realizing a configuration information management server by a computer,
The computer,
When configuration information is managed and an information acquisition request is sent from the client, authentication information generated using the configuration information and the key information is added to the configuration information requested by the information acquisition request. And a program for functioning as means for transmitting to the client. アクセス認証サーバと、構成情報を管理し、クライアントから情報取得要求が送られてきたとき、該情報取得要求によって要求されている構成情報に、該構成情報と鍵情報とを用いて生成した認証情報を付加して前記クライアントへ送信する手段を備えた構成情報管理サーバと、前記アクセス認証サーバに対して鍵取得要求を送信し、該鍵取得要求に応答して前記アクセス認証サーバから送られてきた前記構成情報管理サーバの鍵情報を管理する手段、および情報取得要求を送信し、該情報取得要求に応答して返信されてきた構成情報に付加されている認証情報と前記管理している前記構成情報管理サーバの鍵情報とに基づいて、前記構成情報の正当性を判定する手段を備えたクライアントとを含む構成情報提供システムの構成要素であるアクセス認証サーバをコンピュータによって実現するためのプログラムであって、
前記コンピュータを、
前記構成情報管理サーバの鍵情報を管理し、前記クライアントからの鍵取得要求に応答して前記構成情報管理サーバの鍵情報を要求元のクライアントに送信する手段として機能させるためのプログラム。Authentication information generated by using the configuration information and the key information in the configuration information requested by the information acquisition request when the information acquisition request is sent from the client, managing the configuration information and the access authentication server A configuration information management server provided with a means for adding to the client and transmitting to the client and a key acquisition request to the access authentication server, and sent from the access authentication server in response to the key acquisition request Means for managing key information of the configuration information management server, and authentication information added to configuration information transmitted in response to the information acquisition request and returned in response to the information acquisition request, and the managed configuration And a client having a means for determining the validity of the configuration information based on the key information of the information management server. A program for realizing the processes authentication server by the computer,
The computer,
A program for managing key information of the configuration information management server and functioning as means for transmitting the key information of the configuration information management server to a requesting client in response to a key acquisition request from the client. 構成情報管理サーバの鍵情報を管理し、クライアントからの取得要求に応答して前記構成情報管理サーバの鍵情報を要求元のクライアントに送信する手段を備えたアクセス認証サーバと、構成情報を管理し、前記クライアントから情報取得要求が送られてきたとき、該情報取得要求によって要求されている構成情報に、該構成情報と前記鍵情報とを用いて生成した認証情報を付加して前記クライアントへ送信する手段を備えた構成情報管理サーバと、クライアントとを含む構成情報提供システムの構成要素であるクライアントをコンピュータによって実現するためのプログラムであって、
前記コンピュータを、
前記アクセス認証サーバに対して鍵取得要求を送信し、該鍵取得要求に応答して前記アクセス認証サーバから送られてきた前記構成情報管理サーバの鍵情報を管理する手段、
情報取得要求を送信し、該情報取得要求に応答して返信されてきた構成情報に付加されている認証情報と前記管理している鍵情報とに基づいて、前記構成情報の正当性を判定する手段として機能させるためのプログラム。An access authentication server having means for managing key information of the configuration information management server and transmitting the key information of the configuration information management server to the requesting client in response to an acquisition request from the client, and managing the configuration information When an information acquisition request is sent from the client, authentication information generated by using the configuration information and the key information is added to the configuration information requested by the information acquisition request and transmitted to the client A program for realizing a client which is a component of a configuration information providing system including a configuration information management server and a client including a means,
The computer,
Means for transmitting a key acquisition request to the access authentication server and managing key information of the configuration information management server sent from the access authentication server in response to the key acquisition request;
Sending an information acquisition request, and determining the validity of the configuration information based on the authentication information added to the configuration information returned in response to the information acquisition request and the managed key information Program to function as a means.
JP2002357565A 2002-12-10 2002-12-10 Configuration information providing system, configuration information management server, access authentication server, client, and program Expired - Fee Related JP4336874B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002357565A JP4336874B2 (en) 2002-12-10 2002-12-10 Configuration information providing system, configuration information management server, access authentication server, client, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002357565A JP4336874B2 (en) 2002-12-10 2002-12-10 Configuration information providing system, configuration information management server, access authentication server, client, and program

Publications (2)

Publication Number Publication Date
JP2004193832A JP2004193832A (en) 2004-07-08
JP4336874B2 true JP4336874B2 (en) 2009-09-30

Family

ID=32757529

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002357565A Expired - Fee Related JP4336874B2 (en) 2002-12-10 2002-12-10 Configuration information providing system, configuration information management server, access authentication server, client, and program

Country Status (1)

Country Link
JP (1) JP4336874B2 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4736370B2 (en) * 2004-07-27 2011-07-27 株式会社日立製作所 Hosting environment construction method and computer system
JP2006260321A (en) * 2005-03-18 2006-09-28 Nec Corp Service providing system and user authentication method therefor
JP4930279B2 (en) * 2007-08-22 2012-05-16 日本電気株式会社 Server, configuration information distribution source distribution authentication method, agent, configuration information distribution destination distribution authentication method, program, and configuration information distribution system
JP5453995B2 (en) * 2009-08-11 2014-03-26 富士ゼロックス株式会社 Device management system, managed device, and program
JP5249477B2 (en) * 2013-02-12 2013-07-31 キヤノン株式会社 Printer, system, control method therefor, and program
JP2016131311A (en) * 2015-01-14 2016-07-21 日本電信電話株式会社 User terminal, server device, communication system, communication method, and program

Also Published As

Publication number Publication date
JP2004193832A (en) 2004-07-08

Similar Documents

Publication Publication Date Title
EP1959368B1 (en) Security link management in dynamic networks
US7760882B2 (en) Systems and methods for mutual authentication of network nodes
KR101038612B1 (en) Information processing device, information processing method
US8024488B2 (en) Methods and apparatus to validate configuration of computerized devices
JP4487490B2 (en) Information processing apparatus, access control processing method, information processing method, and computer program
JP4907895B2 (en) Method and system for recovering password-protected private data over a communication network without exposing the private data
JP5009294B2 (en) Distributed single sign-on service
JP4674044B2 (en) System and method for providing a key management protocol that allows a client to verify authorization
US20050235363A1 (en) Network, device, and/or user authentication in a secure communication network
US20110289314A1 (en) Proxy authentication network
JP2008516476A (en) Method and system for allowing multimedia group broadcast
JP5602165B2 (en) Method and apparatus for protecting network communications
WO2011037226A1 (en) Access control system, authentication server system, and access control program
JP2001186122A (en) Authentication system and authentication method
JP2004158025A (en) Network system, server device, and authentication method
JP4336874B2 (en) Configuration information providing system, configuration information management server, access authentication server, client, and program
JP3914193B2 (en) Method for performing encrypted communication with authentication, authentication system and method
JP2009104509A (en) Terminal authentication system and terminal authentication method
Ts'o et al. Telnet Authentication Option
JP2004147252A (en) Electronic certificate, forming method therefor, and authentication system by electronic certificate
TWI723494B (en) Client verification system and its verification method
WO2005041482A1 (en) An authentication method for information storing application and a ic card authentication hardware
JP2004173247A (en) Data communication apparatus, communication terminal and data communication program
TWI448128B (en) Method and apparatus for interworking authorization of dual stack operation
JP6495157B2 (en) Communication system and communication method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051115

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090514

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20090514

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090602

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090615

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120710

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120710

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130710

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees