JP4566322B2 - User authentication system - Google Patents

User authentication system Download PDF

Info

Publication number
JP4566322B2
JP4566322B2 JP2000075555A JP2000075555A JP4566322B2 JP 4566322 B2 JP4566322 B2 JP 4566322B2 JP 2000075555 A JP2000075555 A JP 2000075555A JP 2000075555 A JP2000075555 A JP 2000075555A JP 4566322 B2 JP4566322 B2 JP 4566322B2
Authority
JP
Japan
Prior art keywords
identification information
user
user authentication
dedicated line
transmitted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000075555A
Other languages
Japanese (ja)
Other versions
JP2001268075A (en
Inventor
栄一 宮廣
哲郎 大迫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kyocera Communication Systems Co Ltd
Original Assignee
Kyocera Communication Systems Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kyocera Communication Systems Co Ltd filed Critical Kyocera Communication Systems Co Ltd
Priority to JP2000075555A priority Critical patent/JP4566322B2/en
Publication of JP2001268075A publication Critical patent/JP2001268075A/en
Application granted granted Critical
Publication of JP4566322B2 publication Critical patent/JP4566322B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

【0001】
【発明の技術分野】
この発明はインターネットなどのネットワークを用いてサービスを提供するサービスシステムにおける利用者認証に関するものであり、特に、不正利用防止に関する。
【0002】
【従来の技術】
図1に、インターネットを利用した従来の利用者認証システムを示す。利用者端末2は、インターネット利用可能な携帯電話やパーソナルコンピューター等である。利用者端末2は、電話網14を介して変換装置4に接続されており、変換装置4は、インターネット6に接続されている。そして、インターネット6には、利用者認証装置8とサービス提供装置10がそれぞれ接続されており、利用者認証装置8とサービス提供装置10はLAN16で接続されている。
【0003】
利用者端末2がサービス提供装置10のサービスを利用するにあたっては、その前提として利用者認証を行う必要がある。このため、利用者端末2は、まず、利用者端末2を特定するための識別子を変換装置4に送信する。それを受けた変換装置4は、ネットワーク上で利用者端末を一意に特定するために、利用者端末2に対するIPアドレスの配布と、送信された識別子にIPアドレスを付与したものである認証キーを、電話網からインターネットへのプロトコル変換を行う。そして、変換装置4は、認証キーをインターネット6を介して利用者認証装置8に送信する。その認証キーを受けた利用者認証装置8は、利用者認証を行い、認証が終了した後にはサービス提供装置10が利用者端末2に対してサービスの提供を行う。すなわち、利用者認証装置8は、利用者端末2から送られてくる認証キーが真正なものでなければ利用者の認証を拒否し、真正のものであればサービス利用を許可する。
【0004】
ここで、利用者端末としては、インターネット利用可能な携帯電話やパーソナルコンピューター等の仕様が異なる様々なものが存在する。したがって、そのような種々の利用者端末から同じ情報にアクセスする場合を考慮した結果として、利用者認証装置はインターネット経由ですべてのアクセスを取り扱うのが好ましいと考えられる。
【0005】
一方、利用者端末がパーソナルコンピューターの場合は、認証キーとしてパスワードやID が用いられるのが一般的であるが、インターネット利用可能な携帯電話の場合は利用者の操作簡便化のため電話番号により一意に特定される加入者IDが用いられることがある。
【0006】
【発明が解決しようとする課題】
しかしながら、従来の利用者認証システムには次のような問題があった。
【0007】
パーソナルコンピューターが認証キーとして送信するパスワードやIDと比較すると、インターネット利用可能な携帯電話が認証キーとして送信する電話番号により一意に特定される加入者IDは、偽造が比較的容易な変数としてインターネット上を流れるため、悪意の利用者が、正規の携帯電話の利用者になりすまして不正利用を行う懸念が生じる。
【0008】
すなわち、図1のインターネット6を流れている加入者IDを不正利用端末12(不正プログラムを備えたパーソナルコンピューター等)により取得した悪意の利用者が、その不正利用端末12を操作して正規の携帯電話の利用者になりすまして利用者認証装置8にアクセスしてサービスの提供を受けた場合には正規の利用者が不測の損害を被るおそれがある。特にそのサービスが有料である場合には、不正利用をされた利用者が、サービスの提供を受けていないにもかかわらず料金を負担しなければならないという事態が懸念されるという問題がある。
【0009】
なお、このような問題は、インターネット利用可能な携帯電話と違って、パーソナルコンピューター等は、不正利用者がそのパーソナルコンピューターのプログラムの変更を行うことができる可能性がある、ということを背景としているものである。
【0010】
このような状況は、インターネット利用可能な携帯電話の利用者にとっては不安要因となるものであり、また、今後増加すると予想される、携帯電話によってインターネットを利用したサービスの提供を受けるというシステムの発達を阻害する要因として懸念される。
【0011】
この発明は、上記のような問題に鑑みて、不正利用を防止することのできる利用者認証システムを提供することを目的とする。
【0012】
【課題を解決するための手段および発明の効果】
(1)この発明の利用者認証システムは、
端末装置、
端末装置に対して専用線を介して接続された識別情報付加装置、
識別情報付加装置に対して通信路を介して接続された識別情報選択送信装置、
識別情報付加装置に対して専用線を介して接続されるとともに識別情報選択送信装置に対しても専用線を介して接続された利用者認証装置、
を備えた利用者認証システムであって、
端末装置は、
識別情報付加装置に対して利用者情報を送信する利用者情報送信手段を備え、
識別情報付加装置は、
端末装置から送信された利用者情報に対して識別情報を付加する識別情報付加手段と、
識別情報付加手段によって得られた利用者識別情報を通信路を介して識別情報選択送信装置に向けて送信する通信路経由利用者識別情報送信手段と、
前記利用者識別情報を専用線を介して利用者認証装置に対しても送信する専用線経由利用者識別情報送信手段とを備え、
識別情報選択送信装置は、
識別情報付加装置が付加する識別情報を含んだ利用者識別情報は利用者認証装置に送信しないが前記識別情報以外の識別情報を含んだ利用者識別情報は利用者認証装置に送信する利用者識別情報選択送信手段を備え、
利用者認証装置は、
識別情報付加装置または識別情報選択送信装置から専用線を介して送信される利用者識別情報を受けて利用者認証を行う利用者認証手段、
を備えたことを特徴としている。
【0013】
これにより、通信路を流れている利用者識別情報を不正に取得した悪意の利用者が、正規の端末装置の利用者になりすまして利用者認証を受けることを試みた場合でも、利用者認証はされないことになる。
【0014】
なぜならば、悪意の利用者が送信する利用者識別情報は、本発明における識別情報付加装置とは別の経由で通信路に送信されることになるのであるから、専用線経由による送信はされない。さらに、その不正に取得した利用者識別情報に含まれる識別情報は、本発明における識別情報付加装置が付加する識別情報と同一のものであるから、識別情報選択送信装置はその利用者識別情報を利用者認証装置に送信しないからである。
【0015】
そして、一方の専用線を流れている利用者識別情報は第三者に取得されることがなく、安全に利用者認証装置に送信される。したがって、なりすましによる不正利用を防止することができる。
【0016】
また、通信路と専用線から同じ情報が利用者認証装置に送信されることがないので、利用者識別情報の衝突等といったシステム上の不都合は生じない。
【0017】
さらに、利用者識別情報が偽造容易なものであっても不正利用を防止することができるので、利用者識別情報は簡易なものでよい一方で、端末装置の利用者の操作簡便化が図られるとともに、信頼性の高いシステムが構築できる。
【0018】
また、従来の利用者認証システムに、専用線と識別情報選択送信装置を設けるだけでよいのであるから、構成がシンプルであり低コストで不正利用の防止をすることができる。
【0019】
(2)この発明の識別情報付加装置は、さらに、
利用者識別情報を通信路を介して識別情報選択送信装置に向けて送信するかまたは専用線を介して利用者認証装置に対して送信するかのいずれかを選択する送信経由選択手段、
を備えたことを特徴としている。
【0020】
これにより、専用線を介して利用者識別情報を利用者認証装置に送信する場合には、利用者識別情報の安全性がより確実に確保される。すなわち、利用者識別情報が通信路上を流れた場合には、第三者が不正にその情報を取得する可能性があるが、専用線のみが経由として選択される場合にはそのような危険性はない。
【0021】
(3)この発明の利用者認証システムの識別情報選択送信装置は、
識別情報付加装置が付加する識別情報を記憶した記憶部、
を備えており、
識別情報選択送信手段は、前記記憶部を参照することによって、利用者認証装置に送信する利用者識別情報と送信しない利用者識別情報とを選択することを特徴としている。
【0022】
したがって、様々な仕様の利用者端末が新たに加わったり、使用されなくなった場合に、識別情報選択送信装置が利用者認証装置に送信しない利用者識別情報の設定や更新を行う際には、記憶部における識別情報の記憶内容の設定や更新のみで対応できる。
【0023】
(4)この発明の利用者認証システムは、
識別情報付加装置が付加する識別情報が更新された場合には、
識別情報付加装置は、さらに、
更新された識別情報を専用線を介して識別情報選択送信装置に対して送信する更新識別情報送信手段を備え、
識別情報選択送信装置は、さらに、
前記記憶部の更新を前記送信された更新識別情報に基づいて行う選択送信識別情報更新手段、
を備えたことを特徴としている。
【0024】
したがって、識別情報選択送信装置が利用者認証装置に送信しない利用者識別情報を、新たに設定する場合だけでなく、端末装置の仕様が異なる様々なものが新たに加わったり減ったりした場合においても、その記憶部の記憶内容の更新を簡易かつ迅速に行うことができる。
【0025】
また、更新された利用者識別情報は専用線のみを介して識別情報選択送信装置に送信されるから情報の安全性が確保される。すなわち、更新された識別情報が通信路上を流れた場合には、それを取得した第三者がその更新情報に変更を加えたり等することにより本システムが正常に機能しないようにされるおそれがあるが、本発明によればそのような危険性はない。
【0026】
(5)この発明の利用者認証システムにおける識別情報は、IPアドレスであることを特徴としている。
【0027】
ここで、IPアドレスは、識別情報付加装置が利用者情報に付加するものであり、コンピューターが管理・理解しやすい数字等によって表されるものであるから、識別情報選択送信装置に記憶させる内容の規格が統一化され、識別情報のデータ更新が容易であるとともに記憶容量を少なくすることができ、識別情報選択送信手段の処理を迅速化することができる。
【0028】
(6)用語の定義
この発明において、
「端末装置」とは、サービスの提供を受ける側の装置であって、インターネット等のネットワークに接続可能な装置をいう。実施形態では、図2の携帯電話20とパーソナルコンピューター21の利用者端末がこれに該当する。
【0029】
「通信路」とは、無線、有線を問わず、2以上の装置との通信を行うためのものをいい、インターネットのように開放されたものだけでなく、LANのように閉じられたものも含む概念である。実施形態では、図2のインターネット26がこれに該当する。
【0030】
「専用線」とは、無線、有線を問わず、2以上の装置との通信を行うためのものをいうが、閉じられた回線のみに限定されインターネットのように開放されたものは含まない概念であり、情報通信を行う2点間が閉じられた回線における電話網、LAN等をいう。実施形態では、図2の電話網22、27、専用線34、LAN36がこれに該当する。
【0031】
「利用者情報」とは、端末装置の利用者を特定するために端末装置から送信される識別子であり、電話番号やID、パスワード、デジタル証明書等をいう。実施形態では、図6のステップS1の電話番号がこれに該当する。
【0032】
「識別情報」とは、端末装置から送信される電話番号等の識別子に対して付加される情報であり、ネットワーク上で利用者端末を一意に特定するためのアドレスをいう。実施形態では、図6のステップS3のIPアドレスがこれに該当する。
【0033】
「識別情報付加装置」とは、実施形態においては図2の変換装置23および24が該当する。
【0034】
「利用者識別情報」とは、端末装置の利用者を特定するために端末装置から送信される識別子に対して、ネットワーク上で利用者端末を一意に特定するためのアドレスが付与された情報をいう。実施形態では、図6のステップS5の認証キーがこれに該当する。
【0035】
「識別情報選択送信装置」とは、実施形態においては図2のIPアドレスフィルタリング装置28が該当する。
【0036】
「送信経由選択手段」とは、実施形態においては図2のルーター29が該当する。
【0037】
「識別情報付加装置が付加する識別情報を記憶した記憶部」とは、実施形態においては図7のIPアドレスフィルタリングテーブルが該当する。
【0038】
【発明の実施の形態】
(1)利用者認証システムの実施形態の構成
本発明に係る利用者認証システムの実施形態を図面に基づいて説明する。図2に、この発明の一実施形態による利用者認証システムの構成を示す。携帯電話20とパーソナルコンピューター21は、利用者端末である。携帯電話20は、電話網22を介して変換装置24に接続されており、パーソナルコンピューター21は、電話網27を介して変換装置23に接続されている。携帯電話20は、インターネット利用可能であり、パーソナルコンピューター21は、通常の電話によるダイヤルアップ接続または常時接続によってインターネット利用可能である。つまり、携帯電話20は変換装置24を介して、パーソナルコンピューター21は変換装置23を介して、それぞれがインターネット26に接続可能となっている。なお、変換装置24には、専用線34またはインターネット26のいずれかの経由を選択するためのルーター29が設けられている
一方、利用者認証等を行う、IPアドレスフィルタリング装置28と、利用者認証装置30、サービス提供装置32とは、管理センター38内に設置されており、それぞれの装置は、管理センター38内のLAN36によってお互いに接続されている。また、IPアドレスフィルタリング装置28は、インターネット26とも接続されており、LAN36は、専用線34に接続されている。
【0039】
変換装置23、24は、一般的には電話通信事業者によって運営されている。
また、管理センター38は、電話通信事業者などの公共性の高い組織やその認定業者などが運営することが好ましい。
【0040】
(2)パーソナルコンピューター21等のハードウェア構成
図3に、パーソナルコンピューター21のハードウェア構成を示す。パーソナルコンピューター21は、メモリ40、ディスプレイ42、通信回路44、キーボード/マウス46、CPU48、ハードディスク(記録装置)50、CD-ROMドライブ52を備えている。また、ハードディスク50には、オペレーティングシステム(マイクロソフト社のWindows98など)、ウェブを閲覧するためのブラウザプログラムが格納されている。このブラウザプログラムは、CD-ROMドライブ52を介して、CD-ROM54からインストールされたものである。通信回路44は、インターネット26に接続するための回路である。
【0041】
変換装置23および24、利用者認証装置30、サービス提供装置32も、それぞれ、図3に示すハードウェア構成と同様である。ただし、変換装置23および24においては、ハードディスクにIPアドレスとプロトコル変換プログラムが記録されており、利用者認証装置30においては、ハードディスクに利用者認証プログラムが記録されており、サービス提供装置32においては、ハードディスクにサービス提供のためのサービス提供ウェブサーバープログラムが記録されている。
【0042】
(3)IPアドレスフィルタリング装置28のハードウェア構成
図4に、IPアドレスフィルタリング装置28のハードウェア構成を示す。IPアドレスフィルタリング装置28は、表示パネル90、メモリ92、通信回路94、スイッチ96、CPU98を備えている。通信回路94は、インターネット26に接続するための回路である。
【0043】
(4)携帯電話20の構成
図5に、携帯電話20のブロック図を示す。入出力デバイスとして、液晶ディスプレイ62、テンキー/スイッチ64、マイク66、スピーカ(通話用)68、スピーカ(着信音用)70が設けられている。音声符号化回路74は、マイク66からの音声を送信のために符号化し、受信した音声信号を復号化してスピーカ68から出力するための回路である。マイクロブラウザ72は、記録装置に記録されたプログラムであって、サービス提供ウェブからのデータを閲覧するためのものである。無線通信回路76は、音声やデータを無線通信によって送信しまたは受信するための回路である。シリアルデータ通信回路78は、外部のパーソナルコンピューター84との通信を行うための回路である。メモリ80には、利用者自身の電話番号、電話帳などが記録されている。制御回路86は、これらの回路を制御する。また、バッテリー82は、各部に電源を供給する。
【0044】
(5)携帯電話20から利用者認証を受ける場合の処理
図6に、利用者端末としての携帯電話20から利用者認証を受ける場合の処理を示す。この処理は利用者端末がサービス提供装置32からサービスの提供を受ける際の前提となるものである。
【0045】
まず、利用者は、携帯電話20を操作して変換装置24に接続し、利用者認証装置30への接続要求と利用者認証のための識別子である電話番号を送信する(ステップS1)。変換装置24は、これを受けて接続許可(ステップS2)と、電話番号に対するIPアドレスの付与(ステップS3)と携帯電話20に対するIPアドレスの配布(ステップS4)を行う。
ここで、変換装置24は、携帯電話20に対して配布するIPアドレスをあらかじめハードディスクにプールしており、携帯電話20からの接続要求がある度毎にそのプールしているIPアドレスから空いているものを選択して配布している。
【0046】
そして、識別子である電話番号は、加入者IDに変換されるとともに(ステップS5)、電話網からインターネットプロトコルへプロトコル変換される(ステップS6)。ここで、加入者IDは、通信事業者が、利用者の電話番号と一意に対応づけて付与している識別子である。そして、認証キーとしての、加入者IDとIPアドレスは、専用線34とLAN36を介して利用者認証装置30に送信される(ステップS7)。
【0047】
このとき、変換装置24は、前記認証キーをインターネット26には送信しない。これは、変換装置24に設けられたルーター29によるものである。すなわち、前記ステップS1の接続要求に含まれるあて先のIPアドレスが、利用者認証装置30やサービス提供装置32のアドレスであれば、認証キーの送信経由として専用線34のみを選択するようにルーター29が設定されていることによる。
【0048】
したがって、携帯電話20から送信された認証キーは、専用線34経由(ステップS7)のみで利用者認証装置30に送信されて利用者認証が行われる(ステップS11)。
【0049】
(6)なりすましによる不正利用の防止について
次に、本実施形態の構成により、携帯電話の利用者へのなりすましによる不正利用を防止できることを説明する。
【0050】
ここで、携帯電話の利用者へのなりすましによる不正利用は、正規に利用者認証されるべき携帯電話20の利用者が本システム以外の他のインターネットサービス等を利用するときに、インターネット26上に送信されることになる認証キーを、パーソナルコンピューター等の不正利用端末25を操作する悪意の利用者が取得することによって行われる。つまり、不正利用端末25を操作する悪意の利用者は、インターネット26上を流れる認証キーとしての加入者IDとIPアドレスを、不正利用端末25内の不正プログラムによって取得・解読する。そして、パーソナルコンピューター等の不正プログラムにより、あたかもその取得した加入者IDとIPアドレスが発信元であるかのようになりすまして変換装置23にアクセスをし、変換装置23から本来割り当てられるIPアドレスとは異なるIPアドレスとして、不正にインターネットに侵入すること等によって行われる。
【0051】
しかし、そのようななりすましの不正利用によるサービスの提供を受けることを試みた場合でも、その認証キーは利用者認証装置30には送信されない。
【0052】
これは、以下に説明するIPアドレスフィルタリング装置28の構成によるものである。
【0053】
IPアドレスフィルタリング装置28は、送信された認証キーを受けてフィルタリングを行う。これは、IPアドレスフィルタリング装置28のメモリ92に記憶されている、図7に例示するようなIPアドレスフィルタリングテーブルを参照して行うものである。
【0054】
図7のIPアドレスフィルタリングテーブルには、Reject(禁止)のAction をする場合の、発信元のIPアドレスのカラムが記録されており、このIPアドレスは変換装置24がプールしているIPアドレスと同一である。このReject(禁止)のAction は、認証キーがインターネット26から送信された場合、その認証キーがカラムに記録されたものと同一のIPアドレスを含んでいれば、その認証キーを利用者認証装置30に送信しないという動作を行わせるものである。例えば、図7のIPアドレスフィルタリングテーブルにおいては、認証キー中の発信元のIPアドレスが、192.168.1.5であればその認証キーは利用者認証装置30には送信されない。一方、認証キー中の発信元のIPアドレスが、193.100.1.1であればその認証キーは利用者認証装置30に送信されることになる。
【0055】
これにより、パーソナルコンピュター等による携帯電話の利用者へのなりすましの不正利用で認証キーを送信しても、それを受ける変換装置23はその認証キーをインターネット26のみを経由として利用者認証装置30に向けて送信する一方で、その認証キーは、IPアドレスフィルタリングテーブル中に記録されている、本来携帯電話20に割り当てられるIPアドレスを含んでいるため、それを受信したIPアドレスフィルタリング装置28はその認証キーを利用者認証装置に送信しない(ステップS9)。すなわち、利用者認証はされないことになる。
【0056】
(7)本実施形態による効果について
以上のように、本実施形態によれば、パーソナルコンピューター等による携帯電話の利用者へのなりすましの不正利用を防止することができる。
【0057】
また、インターネット26と専用線34から同じ情報が利用者認証装置30に送信されることがないので、IPパケットの衝突等といったシステム上の不都合は生じない。
【0058】
さらに、利用者認証のために送信する情報が加入者IDやIPアドレスである場合のように比較的偽造容易なものであっても不正利用がされないので、特別に携帯電話を操作してパスワードを送信する等の手間の必要がなく利用者の操作簡便化が図られるとともに、信頼性の高いシステムが構築できる。
【0059】
そして、従来の利用者認証システムに専用線とIPアドレスフィルタリング装置を設けるだけでよいのであるから、構成がシンプルであり低コストで不正利用の防止ができる。
【0060】
さらに、変換装置24に設けられたルーター29により、専用線34が経由として選択された場合には認証キーの安全性がより確実に確保される。すなわち、認証キーがインターネット26上を流れた場合には、第三者が不正にその認証キーを取得する可能性があるが、専用線34のみが経由として選択される場合にはそのような危険性はない。
【0061】
なお、専用線34が経由として選択されて利用者認証がされた場合に、利用者認証終了後の携帯電話20に対する情報の送信を行う経路としては管理センター38内の専用線34を使用するのが通常である。かかる場合に、専用線34の通信トラフィックに負荷がかかる可能性があるが、その負荷を分散するために以下のような構成を採用することもできる。
【0062】
例えば、利用者認証装置30やサービス提供装置32のCPU等の制御により、それらが送信する情報送信量等に一定の制限値を設けておき、情報送信量等がその制限値を越える場合には情報送信経由としてインターネット26を選択させることによって専用線34の通信トラフィックの負荷を分散させることができる。
また、本実施形態においては示していないが、管理センター38内のLAN36と、専用線34およびインターネット26とを中継する複数のルーターを備えることによって、ルーター間で互いに遅延時間等をやり取りさせ、携帯電話20に対する情報の送信を行う経路として、専用線34またはインターネット26のいずれが最適かを選択させることによって専用線34の通信トラフィックの負荷を分散させることができる。これにより、携帯電話20の利用者数が増加した場合にも、迅速かつ安定したシステムの運営が可能である。
【0063】
また、IPアドレスフィルタリング装置28は、IPアドレスフィルタリングテーブルを備えているから、様々な仕様の携帯電話が新たに加わったり使用されなくなった場合に、IPアドレスフィルタリング装置28が利用者認証装置30に送信しない認証キーの設定や更新を行う際には、IPアドレスフィルタリングテーブルの記憶内容の更新のみで対応できる。
【0064】
ここで、IPアドレスは、変換装置24にあらかじめプールされたものであり、コンピューターが管理・理解しやすい数字等によって表されるものであるから、IPアドレスフィルタリング装置28に記憶させる内容の規格が統一化され、IPアドレスフィルタリングテーブルの記憶内容の更新が容易であるとともに、記憶容量を少なくすることができ、IPアドレスフィルタリング装置のフィルタリング処理を迅速化することができる。
【0065】
なお、本実施形態におけるIPアドレスフィルタリングテーブルには、Reject(禁止)するものの発信元のIPアドレスのカラムを記録しているが、これに限定されるものではない。例えば、Accept(送信する)のAction を指令するカラムや、あて先のIPアドレスのカラム、対象サービス(TCPポート番号)のカラムをこのテーブルに併せて記録してもよい。このようにした場合には、あて先のIPアドレスのカラムには、利用者認証装置30やサービス提供装置32内のサービス提供ウェブに割り当てられているIPアドレス等を、対象サービスのカラムには、httpやmail等のサービスの種類を記録することができる。
【0066】
なお、本実施形態においては、変換装置24にルーター29が設けられている場合を説明したが、ルーターを設けていない場合であっても本システムは実施可能である。なぜならば、この場合変換装置24は、認証キーを専用線34経由だけでなくインターネット26経由にも送信することになるが、インターネット26経由で認証キーを受けるIPアドレスフィルタリング装置28は、上述したように、変換装置24が付与するIPアドレスを含んだその認証キーを利用者認証装置30に送信しないのであるから、結果として上記実施形態と同様の効果を奏することになるからである。
【0067】
(8)パーソナルコンピューター21から利用者認証を受ける場合の処理
パーソナルコンピューター21が利用者認証を受ける場合の構成では、図2に示すように、パーソナルコンピューター21に接続された変換装置23はインターネット26のみに接続され、携帯電話20の場合と違って専用線34の経由による認証キーの送信はない。
【0068】
また、利用者認証のための識別子としては、IDとパスワードが要求されることが多い。これは、パーソナルコンピューターにはキーボードが通常備えられているから、利用者がIDやパスワードの入力を容易に行うことができる一方で、利用者認証をより確実に行うためである。
【0069】
パーソナルコンピューター21から利用者認証を受ける場合の処理では、変換装置23は、利用者端末が携帯電話である場合と同様に、認証キーを受けて、接続許可と認証キーに対するIPアドレスの付与、パーソナルコンピューター21に対するIPアドレスの配布とを行う。そして、認証キーはプロトコル変換され、インターネット26を介してIPアドレスフィルタリング装置28に送信される。このとき、そのIPアドレスはIPアドレスフィルタリングテーブルに含まれているものと同一ではないから、LAN36を介して利用者認証装置30に送信されることになる。これは、すなわち、IPアドレスフィルタリング装置内のIPアドレスフィルタリングテーブルには、変換装置24にプールされているIPアドレスが記録されており、一方の変換装置23にプールされているIPアドレスが記録されていないのであるから、パーソナルコンピューターを発信元とする認証キーは、IPアドレスフィルタリング装置28による、送信しない(禁止)という動作の対象にならないことによるものである。
【0070】
このように、本実施形態においては、携帯電話20が利用者端末の場合には専用線34を経由して認証キーを送信等することによってなりすましによる不正利用を防止している一方で、パーソナルコンピューター21が利用者端末の場合には専用線34経由による認証キーの送信をしていない。これは、上記のように、携帯電話の場合は、利用者認証のために送信する認証キーが加入者IDやIPアドレスのように比較的偽造容易なものだからである。したがって、実施形態としてはこれに限られるものではない。例えば、使用される認証キーが偽造容易である等の事情により、なりすましによる不正利用がなされる懸念のあるその他の端末装置であっても、本実施形態における、携帯電話20から利用者認証を受ける場合の構成と同様の構成を採用することにより不正利用を防止することができる。
【0071】
(9)IPアドレスフィルタリング装置28のIPアドレスフィルタリングテーブルの記録内容を更新する場合の処理
図8に、IPアドレスフィルタリング装置28のIPアドレスフィルタリングテーブルの記録内容を更新する場合の処理を示す。携帯電話20から送信される電話番号に対して、変換装置24が付与するIPアドレスが増えたり減ったりした等の更新があった場合には、変換装置24のプールするIPアドレスが更新される(ステップS50)。そして、変換装置24のハードディスクのプログラムによって、更新されたIPアドレスのデータが専用線34とLAN36を介してIPアドレスフィルタリング装置28に送信され(ステップS51)、更新されたIPアドレスのデータを受信したIPアドレスフィルタリング装置28は、IPアドレスフィルタリングテーブルの内容の更新を行う(ステップS52)。
【0072】
したがって、IPアドレスフィルタリング装置28が利用者認証装置30に送信しない認証キーを、新たに設定する場合だけでなく、携帯電話の仕様が異なる様々なものが新たに加わったり減ったりした場合においても、IPアドレスフィルタリングテーブルの記憶内容の更新を簡易かつ迅速に行うことができる。
【0073】
また、更新されたIPアドレスのデータは、専用線34とLAN36のみを介してIPアドレスフィルタリング装置28に送信されるから、データの安全性が確保される。すなわち、更新されたIPアドレスがインターネット26上を流れた場合には、それを取得した第三者が不正利用端末25を操作してそのデータに変更を加えたりする等することにより本システムが正常に機能しなくなるようにされるおそれがあるが、本実施形態によればそのような危険性はない。
【図面の簡単な説明】
【図1】 従来の利用者認証システムを示す図である。
【図2】 本発明の一実施形態による利用者認証システムを示す図である。
【図3】 利用者端末としてのパーソナルコンピューターのハードウェア構成を示す図である。
【図4】 IPアドレスフィルタリング装置のハードウェア構成を示す図である。
【図5】 利用者端末としての携帯電話のブロック図を示す図である。
【図6】利用者認証を受ける場合の処理を示す図である。
【図7】 IPアドレスのフィルタリングテーブルの内容を示す図である。
【図8】 IPアドレスフィルタリング装置のIPアドレスフィルタリングテーブルの記録内容を更新する場合の処理を示す図である。
【符号の説明】
20・・・携帯電話
21・・・パーソナルコンピューター
23、24・・・変換装置
28・・・IPアドレスフィルタリング装置
30・・・利用者認証装置
32・・・サービス提供装置
38・・・管理センター
29・・・ルーター
22・・・電話網
26・・・インターネット
34・・・専用線
36・・・LAN
25・・・不正利用端末[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to user authentication in a service system that provides a service using a network such as the Internet, and more particularly to prevention of unauthorized use.
[0002]
[Prior art]
FIG. 1 shows a conventional user authentication system using the Internet. The user terminal 2 is a mobile phone or a personal computer that can use the Internet. The user terminal 2 is connected to the conversion device 4 via the telephone network 14, and the conversion device 4 is connected to the Internet 6. A user authentication device 8 and a service providing device 10 are connected to the Internet 6, and the user authentication device 8 and the service providing device 10 are connected via a LAN 16.
[0003]
When the user terminal 2 uses the service of the service providing apparatus 10, it is necessary to perform user authentication as a precondition. For this reason, the user terminal 2 first transmits an identifier for specifying the user terminal 2 to the conversion device 4. Upon receiving the request, the conversion device 4 distributes the IP address to the user terminal 2 in order to uniquely identify the user terminal on the network, and an authentication key obtained by adding the IP address to the transmitted identifier. Protocol conversion from the telephone network to the Internet. Then, the conversion device 4 transmits the authentication key to the user authentication device 8 via the Internet 6. The user authentication device 8 that has received the authentication key performs user authentication, and the service providing device 10 provides the service to the user terminal 2 after the authentication is completed. That is, the user authentication device 8 rejects user authentication unless the authentication key sent from the user terminal 2 is authentic, and permits service use if the authentication key is authentic.
[0004]
Here, there are various types of user terminals with different specifications, such as mobile phones and personal computers that can be used on the Internet. Therefore, as a result of considering the case where the same information is accessed from such various user terminals, it is considered preferable that the user authentication apparatus handles all accesses via the Internet.
[0005]
On the other hand, when the user terminal is a personal computer, a password or ID is generally used as an authentication key. However, in the case of a mobile phone that can be used on the Internet, it is uniquely identified by a telephone number to simplify the operation of the user. May be used.
[0006]
[Problems to be solved by the invention]
However, the conventional user authentication system has the following problems.
[0007]
Compared with passwords and IDs sent by personal computers as authentication keys, subscriber IDs that are uniquely identified by phone numbers sent by mobile phones that can use the Internet as authentication keys are on the Internet as variables that are relatively easy to forge. Therefore, there is a concern that a malicious user impersonates a legitimate mobile phone user and illegally uses it.
[0008]
That is, a malicious user who has acquired the subscriber ID flowing through the Internet 6 in FIG. 1 using an unauthorized use terminal 12 (such as a personal computer equipped with an unauthorized program) operates the unauthorized use terminal 12 to carry out a regular mobile phone. If the user is impersonated as a telephone user and accesses the user authentication device 8 to receive service, the authorized user may suffer unexpected damage. In particular, when the service is charged, there is a problem that there is a concern that a user who has been illegally used must pay the fee even though the service is not provided.
[0009]
In addition, such a problem is based on the fact that unlike a mobile phone that can use the Internet, a personal computer or the like may allow an unauthorized user to change the program of the personal computer. Is.
[0010]
Such a situation is an anxiety factor for users of mobile phones that can use the Internet, and the development of systems that are expected to increase in the future and that receive services using the Internet through mobile phones. Concern as a factor to hinder.
[0011]
An object of this invention is to provide the user authentication system which can prevent unauthorized use in view of the above problems.
[0012]
[Means for Solving the Problems and Effects of the Invention]
(1) The user authentication system of the present invention is
Terminal device,
An identification information adding device connected to the terminal device via a dedicated line;
An identification information selection transmission device connected to the identification information addition device via a communication path;
A user authentication device connected to the identification information adding device via a dedicated line and also connected to the identification information selecting / transmitting device via a dedicated line;
A user authentication system comprising:
The terminal device
User information transmission means for transmitting user information to the identification information adding device,
The identification information adding device
Identification information adding means for adding identification information to user information transmitted from the terminal device;
A user identification information transmitting unit via a communication path for transmitting the user identification information obtained by the identification information adding unit to the identification information selection transmitting device via the communication path;
A dedicated line user identification information transmitting means for transmitting the user identification information to a user authentication device via a dedicated line;
The identification information selection transmission device
User identification information including identification information added by the identification information adding apparatus is not transmitted to the user authentication apparatus, but user identification information including identification information other than the identification information is transmitted to the user authentication apparatus. Comprising information selection transmission means,
User authentication device
User authentication means for receiving user identification information transmitted from the identification information adding device or the identification information selecting / transmitting device via a dedicated line and performing user authentication;
It is characterized by having.
[0013]
As a result, even if a malicious user who has illegally obtained user identification information flowing through a communication channel attempts to receive user authentication by impersonating a legitimate terminal device user, Will not be.
[0014]
This is because the user identification information transmitted by the malicious user is transmitted to the communication path via a different route from the identification information adding apparatus according to the present invention, and therefore is not transmitted via the dedicated line. Furthermore, since the identification information included in the illegally acquired user identification information is the same as the identification information added by the identification information adding device in the present invention, the identification information selection transmitting device uses the user identification information. This is because it is not transmitted to the user authentication device.
[0015]
Then, the user identification information flowing on one of the dedicated lines is not acquired by a third party and is safely transmitted to the user authentication device. Therefore, unauthorized use due to impersonation can be prevented.
[0016]
In addition, since the same information is not transmitted from the communication path and the dedicated line to the user authentication device, there is no inconvenience on the system such as collision of user identification information.
[0017]
Furthermore, even if the user identification information can be easily counterfeited, unauthorized use can be prevented. Therefore, the user identification information can be simple, but the operation of the user of the terminal device can be simplified. At the same time, a highly reliable system can be constructed.
[0018]
In addition, since it is only necessary to provide the conventional user authentication system with a dedicated line and an identification information selection / transmission device, the configuration is simple and unauthorized use can be prevented at low cost.
[0019]
(2) The identification information adding device of the present invention further includes:
A transmission via selection means for selecting whether to transmit user identification information to an identification information selection transmission device via a communication path or to a user authentication device via a dedicated line;
It is characterized by having.
[0020]
Thereby, when transmitting user identification information to a user authentication apparatus via a dedicated line, the safety of user identification information is ensured more reliably. In other words, when user identification information flows on a communication path, there is a possibility that a third party may obtain the information illegally. There is no.
[0021]
(3) The identification information selection transmission device of the user authentication system of the present invention is:
A storage unit storing identification information added by the identification information adding device;
With
The identification information selection transmission means selects the user identification information to be transmitted to the user authentication device and the user identification information not to be transmitted by referring to the storage unit.
[0022]
Therefore, when a user terminal with various specifications is newly added or is no longer used, when the identification information selection transmission device sets or updates user identification information that is not transmitted to the user authentication device, it is stored. This can be handled only by setting or updating the storage contents of the identification information in the section.
[0023]
(4) The user authentication system of the present invention
When the identification information added by the identification information addition device is updated,
The identification information adding device further includes:
The update identification information transmitting means for transmitting the updated identification information to the identification information selection transmission device via a dedicated line,
The identification information selection transmission device further includes:
Selective transmission identification information updating means for performing update of the storage unit based on the transmitted update identification information;
It is characterized by having.
[0024]
Therefore, not only when the identification information selection transmission device does not transmit user identification information to the user authentication device, but also when various items with different terminal device specifications are newly added or reduced. The storage contents of the storage unit can be updated easily and quickly.
[0025]
In addition, since the updated user identification information is transmitted to the identification information selecting / transmitting apparatus only through the dedicated line, the safety of the information is ensured. In other words, when the updated identification information flows on the communication path, the third party who acquired it may change the update information, etc., and the system may not function properly. There is no such danger according to the present invention.
[0026]
(5) The identification information in the user authentication system of the present invention is an IP address.
[0027]
Here, the IP address is added to the user information by the identification information adding device and is represented by a number that can be easily managed and understood by the computer. The standard is unified, the data of the identification information can be easily updated, the storage capacity can be reduced, and the processing of the identification information selection / transmission means can be speeded up.
[0028]
(6) Definition of terms
In this invention,
The “terminal device” is a device that receives service provision and can be connected to a network such as the Internet. In the embodiment, the user terminal of the mobile phone 20 and the personal computer 21 in FIG. 2 corresponds to this.
[0029]
"Communication channel" means a device that communicates with two or more devices, whether wireless or wired, and is not only open like the Internet but also closed like a LAN It is a concept that includes. In the embodiment, the Internet 26 in FIG. 2 corresponds to this.
[0030]
"Dedicated line" refers to a device for communicating with two or more devices regardless of whether it is wireless or wired, but it is limited to only a closed line and does not include those that are open like the Internet. It means a telephone network, a LAN, etc. in a line where the two points for information communication are closed. In the embodiment, this corresponds to the telephone networks 22 and 27, the dedicated line 34, and the LAN 36 shown in FIG.
[0031]
“User information” is an identifier transmitted from the terminal device to identify the user of the terminal device, and refers to a telephone number, ID, password, digital certificate, and the like. In the embodiment, this corresponds to the telephone number in step S1 of FIG.
[0032]
“Identification information” is information added to an identifier such as a telephone number transmitted from a terminal device, and refers to an address for uniquely identifying a user terminal on a network. In the embodiment, this corresponds to the IP address in step S3 in FIG.
[0033]
The “identification information adding device” corresponds to the conversion devices 23 and 24 in FIG. 2 in the embodiment.
[0034]
“User identification information” is information in which an address for uniquely identifying a user terminal on a network is given to an identifier transmitted from the terminal apparatus to identify a user of the terminal device. Say. In the embodiment, this corresponds to the authentication key in step S5 in FIG.
[0035]
The “identification information selection / transmission device” corresponds to the IP address filtering device 28 of FIG. 2 in the embodiment.
[0036]
The “transmission selection means” corresponds to the router 29 in FIG. 2 in the embodiment.
[0037]
The “storage unit storing the identification information added by the identification information adding device” corresponds to the IP address filtering table of FIG. 7 in the embodiment.
[0038]
DETAILED DESCRIPTION OF THE INVENTION
(1) Configuration of embodiment of user authentication system
An embodiment of a user authentication system according to the present invention will be described with reference to the drawings. FIG. 2 shows the configuration of a user authentication system according to an embodiment of the present invention. The mobile phone 20 and the personal computer 21 are user terminals. The cellular phone 20 is connected to the conversion device 24 via the telephone network 22, and the personal computer 21 is connected to the conversion device 23 via the telephone network 27. The mobile phone 20 can use the Internet, and the personal computer 21 can use the Internet by dial-up connection or regular connection using a normal telephone. That is, the mobile phone 20 can be connected to the Internet 26 via the conversion device 24, and the personal computer 21 can be connected to the Internet 26 via the conversion device 23. Note that the conversion device 24 is provided with a router 29 for selecting either the dedicated line 34 or the Internet 26.
On the other hand, the IP address filtering device 28, the user authentication device 30, and the service providing device 32 that perform user authentication and the like are installed in the management center 38, and each device is a LAN 36 in the management center 38. Are connected to each other by. The IP address filtering device 28 is also connected to the Internet 26, and the LAN 36 is connected to a dedicated line 34.
[0039]
The conversion devices 23 and 24 are generally operated by a telephone carrier.
Moreover, it is preferable that the management center 38 is operated by a highly public organization such as a telecommunications carrier or an authorized contractor.
[0040]
(2) Hardware configuration of personal computer 21 and the like
FIG. 3 shows a hardware configuration of the personal computer 21. The personal computer 21 includes a memory 40, a display 42, a communication circuit 44, a keyboard / mouse 46, a CPU 48, a hard disk (recording device) 50, and a CD-ROM drive 52. The hard disk 50 stores an operating system (such as Microsoft Windows 98) and a browser program for browsing the web. This browser program is installed from the CD-ROM 54 via the CD-ROM drive 52. The communication circuit 44 is a circuit for connecting to the Internet 26.
[0041]
The conversion devices 23 and 24, the user authentication device 30, and the service providing device 32 have the same hardware configuration as that shown in FIG. However, in the conversion devices 23 and 24, an IP address and a protocol conversion program are recorded on the hard disk. In the user authentication device 30, a user authentication program is recorded on the hard disk. The service providing web server program for providing the service is recorded on the hard disk.
[0042]
(3) Hardware configuration of the IP address filtering device 28
FIG. 4 shows a hardware configuration of the IP address filtering device 28. The IP address filtering device 28 includes a display panel 90, a memory 92, a communication circuit 94, a switch 96, and a CPU 98. The communication circuit 94 is a circuit for connecting to the Internet 26.
[0043]
(4) Configuration of mobile phone 20
FIG. 5 shows a block diagram of the mobile phone 20. As input / output devices, a liquid crystal display 62, a numeric keypad / switch 64, a microphone 66, a speaker (for calling) 68, and a speaker (for ringing tone) 70 are provided. The voice encoding circuit 74 is a circuit for encoding the voice from the microphone 66 for transmission, decoding the received voice signal, and outputting it from the speaker 68. The micro browser 72 is a program recorded in the recording device, and is used for browsing data from the service providing web. The wireless communication circuit 76 is a circuit for transmitting or receiving voice and data by wireless communication. The serial data communication circuit 78 is a circuit for communicating with an external personal computer 84. The memory 80 stores the user's own telephone number, telephone directory, and the like. The control circuit 86 controls these circuits. The battery 82 supplies power to each unit.
[0044]
(5) Processing when receiving user authentication from the mobile phone 20
FIG. 6 shows processing when user authentication is received from the mobile phone 20 as a user terminal. This process is a precondition when the user terminal receives a service provided from the service providing apparatus 32.
[0045]
First, the user operates the mobile phone 20 to connect to the conversion device 24, and transmits a connection request to the user authentication device 30 and a telephone number that is an identifier for user authentication (step S1). In response to this, the converter 24 permits connection (step S2), assigns an IP address to the telephone number (step S3), and distributes the IP address to the mobile phone 20 (step S4).
Here, the conversion device 24 pools IP addresses to be distributed to the mobile phone 20 in the hard disk in advance, and is free from the pooled IP address every time there is a connection request from the mobile phone 20. Select and distribute things.
[0046]
Then, the telephone number as the identifier is converted into a subscriber ID (step S5), and protocol conversion from the telephone network to the Internet protocol is performed (step S6). Here, the subscriber ID is an identifier that is assigned by the communication carrier so as to be uniquely associated with the telephone number of the user. Then, the subscriber ID and the IP address as the authentication key are transmitted to the user authentication device 30 via the dedicated line 34 and the LAN 36 (step S7).
[0047]
At this time, the conversion device 24 does not transmit the authentication key to the Internet 26. This is due to the router 29 provided in the conversion device 24. That is, if the destination IP address included in the connection request in step S1 is the address of the user authentication device 30 or the service providing device 32, the router 29 selects only the dedicated line 34 through the transmission of the authentication key. Depends on the setting.
[0048]
Therefore, the authentication key transmitted from the mobile phone 20 is transmitted only to the user authentication device 30 via the dedicated line 34 (step S7), and user authentication is performed (step S11).
[0049]
(6) About prevention of unauthorized use by impersonation
Next, it will be described that the configuration of this embodiment can prevent unauthorized use due to impersonation of a mobile phone user.
[0050]
Here, unauthorized use due to impersonation of a mobile phone user can be performed on the Internet 26 when the user of the mobile phone 20 to be properly authenticated by the user uses an Internet service other than this system. The authentication key to be transmitted is obtained by a malicious user operating the unauthorized use terminal 25 such as a personal computer. That is, a malicious user who operates the unauthorized use terminal 25 acquires and decodes the subscriber ID and the IP address as an authentication key flowing on the Internet 26 by an unauthorized program in the unauthorized use terminal 25. Then, an unauthorized program such as a personal computer accesses the conversion device 23 as if the acquired subscriber ID and IP address were the source, and the IP address originally assigned from the conversion device 23 is This is done by illegally entering the Internet as a different IP address.
[0051]
However, even when an attempt is made to receive provision of a service through unauthorized use of such impersonation, the authentication key is not transmitted to the user authentication device 30.
[0052]
This is due to the configuration of the IP address filtering device 28 described below.
[0053]
The IP address filtering device 28 performs filtering in response to the transmitted authentication key. This is performed with reference to the IP address filtering table illustrated in FIG. 7 stored in the memory 92 of the IP address filtering device 28.
[0054]
In the IP address filtering table of FIG. 7, the column of the IP address of the transmission source when the action of Reject (prohibition) is recorded, this IP address is the same as the IP address pooled by the conversion device 24. It is. When the authentication key is transmitted from the Internet 26, this Reject (prohibited) action is used if the authentication key includes the same IP address as that recorded in the column. The operation of not transmitting to is performed. For example, in the IP address filtering table of FIG. 7, if the source IP address in the authentication key is 192.168.1.5, the authentication key is not transmitted to the user authentication device 30. On the other hand, if the source IP address in the authentication key is 193.100.1.1, the authentication key is transmitted to the user authentication device 30.
[0055]
As a result, even if an authentication key is transmitted by impersonation of impersonation to a mobile phone user by a personal computer or the like, the conversion device 23 that receives it transmits the authentication key to the user authentication device 30 via the Internet 26 only. Since the authentication key includes the IP address originally recorded in the IP address filtering table and assigned to the mobile phone 20, the IP address filtering device 28 that has received the authentication key transmits the authentication key. The key is not transmitted to the user authentication device (step S9). That is, user authentication is not performed.
[0056]
(7) Effects of this embodiment
As described above, according to the present embodiment, it is possible to prevent unauthorized use of impersonation of a mobile phone user by a personal computer or the like.
[0057]
Further, since the same information is not transmitted from the Internet 26 and the dedicated line 34 to the user authentication device 30, there is no inconvenience on the system such as IP packet collision.
[0058]
Furthermore, even if the information sent for user authentication is a subscriber ID or IP address, even if it is relatively easy to forge, it will not be used illegally. There is no need for transmission and the like, so that the operation of the user can be simplified and a highly reliable system can be constructed.
[0059]
Since the conventional user authentication system only needs to be provided with a dedicated line and an IP address filtering device, the configuration is simple and unauthorized use can be prevented at low cost.
[0060]
Furthermore, when the dedicated line 34 is selected as being routed by the router 29 provided in the conversion device 24, the security of the authentication key is more reliably ensured. In other words, when the authentication key flows on the Internet 26, there is a possibility that a third party may obtain the authentication key illegally. There is no sex.
[0061]
In addition, when the dedicated line 34 is selected as a route and user authentication is performed, the dedicated line 34 in the management center 38 is used as a route for transmitting information to the mobile phone 20 after the user authentication is completed. Is normal. In such a case, there is a possibility that a load is applied to the communication traffic of the dedicated line 34. In order to distribute the load, the following configuration may be employed.
[0062]
For example, when the user authentication device 30 or the service providing device 32 is controlled by a CPU or the like, a certain limit value is set for the information transmission amount transmitted by the user authentication device 30 and the information transmission amount exceeds the limit value. By selecting the Internet 26 via information transmission, the load of communication traffic on the dedicated line 34 can be distributed.
Although not shown in this embodiment, by providing a plurality of routers that relay the LAN 36 in the management center 38, the dedicated line 34, and the Internet 26, the routers can exchange delay times and the like with each other. The load of communication traffic on the dedicated line 34 can be distributed by selecting which of the dedicated line 34 and the Internet 26 is optimal as a route for transmitting information to the telephone 20. Thereby, even when the number of users of the mobile phone 20 increases, the system can be operated quickly and stably.
[0063]
In addition, since the IP address filtering device 28 includes an IP address filtering table, the IP address filtering device 28 transmits to the user authentication device 30 when mobile phones with various specifications are newly added or are not used. When setting or updating the authentication key that is not to be performed, it is possible to respond only by updating the stored contents of the IP address filtering table.
[0064]
Here, the IP address is pre-pooled in the conversion device 24 and is represented by a number that can be easily managed and understood by the computer, so the standard of the content stored in the IP address filtering device 28 is unified. Thus, it is easy to update the storage contents of the IP address filtering table, the storage capacity can be reduced, and the filtering process of the IP address filtering device can be speeded up.
[0065]
Although the IP address filtering table in the present embodiment records the column of the IP address of the sender that is rejected, the present invention is not limited to this. For example, a column for instructing an action of Accept (send), a column for a destination IP address, and a column for a target service (TCP port number) may be recorded together in this table. In this case, the IP address assigned to the service providing web in the user authentication device 30 or the service providing device 32 is displayed in the destination IP address column, and the target service column is http The type of service such as mail or mail can be recorded.
[0066]
In the present embodiment, the case where the router 29 is provided in the conversion device 24 has been described. However, the present system can be implemented even when the router is not provided. This is because, in this case, the conversion device 24 transmits the authentication key not only via the dedicated line 34 but also via the Internet 26. However, the IP address filtering device 28 that receives the authentication key via the Internet 26 is as described above. In addition, the authentication key including the IP address assigned by the conversion device 24 is not transmitted to the user authentication device 30, and as a result, the same effect as that of the above-described embodiment is obtained.
[0067]
(8) Processing when receiving user authentication from the personal computer 21
In the configuration in which the personal computer 21 receives user authentication, as shown in FIG. 2, the conversion device 23 connected to the personal computer 21 is connected only to the Internet 26, and unlike the case of the mobile phone 20, the dedicated line 34. No authentication key is sent via.
[0068]
Further, an ID and a password are often required as an identifier for user authentication. This is because a personal computer is usually provided with a keyboard, so that a user can easily input an ID and a password, but user authentication is performed more reliably.
[0069]
In the process when receiving user authentication from the personal computer 21, the conversion device 23 receives the authentication key, as in the case where the user terminal is a mobile phone, and grants a connection permission and an IP address for the authentication key, and personal IP address distribution to the computer 21 is performed. The authentication key is converted into a protocol and transmitted to the IP address filtering device 28 via the Internet 26. At this time, since the IP address is not the same as that included in the IP address filtering table, the IP address is transmitted to the user authentication apparatus 30 via the LAN 36. That is, in the IP address filtering table in the IP address filtering device, the IP address pooled in the conversion device 24 is recorded, and the IP address pooled in one conversion device 23 is recorded. This is because the authentication key originating from the personal computer is not subject to the operation of not transmitting (prohibited) by the IP address filtering device 28.
[0070]
As described above, in the present embodiment, when the mobile phone 20 is a user terminal, unauthorized use due to impersonation is prevented by transmitting an authentication key or the like via the dedicated line 34. When 21 is a user terminal, the authentication key is not transmitted via the dedicated line 34. This is because, as described above, in the case of a mobile phone, an authentication key transmitted for user authentication is relatively easy to forge like a subscriber ID or IP address. Therefore, the embodiment is not limited to this. For example, even in the case of other terminal devices that are likely to be used illegally by impersonation due to the fact that the authentication key used is easy to forge, the user authentication is received from the mobile phone 20 in this embodiment. Unauthorized use can be prevented by adopting a configuration similar to that in the case.
[0071]
(9) Processing when updating the recorded contents of the IP address filtering table of the IP address filtering device 28
FIG. 8 shows a process when the recorded contents of the IP address filtering table of the IP address filtering device 28 are updated. When the telephone number transmitted from the mobile phone 20 is updated such that the IP address assigned by the conversion device 24 is increased or decreased, the IP address pooled by the conversion device 24 is updated ( Step S50). Then, the updated IP address data is transmitted to the IP address filtering device 28 via the dedicated line 34 and the LAN 36 by the hard disk program of the conversion device 24 (step S51), and the updated IP address data is received. The IP address filtering device 28 updates the contents of the IP address filtering table (step S52).
[0072]
Therefore, not only when the authentication key that the IP address filtering device 28 does not transmit to the user authentication device 30 is newly set, but also when various items with different mobile phone specifications are newly added or reduced, The contents stored in the IP address filtering table can be updated easily and quickly.
[0073]
Further, since the updated IP address data is transmitted to the IP address filtering device 28 only through the dedicated line 34 and the LAN 36, the safety of the data is ensured. That is, when the updated IP address flows on the Internet 26, the third party who has acquired the IP address operates the unauthorized use terminal 25 to change the data, etc. However, according to the present embodiment, there is no such danger.
[Brief description of the drawings]
FIG. 1 is a diagram showing a conventional user authentication system.
FIG. 2 is a diagram illustrating a user authentication system according to an embodiment of the present invention.
FIG. 3 is a diagram illustrating a hardware configuration of a personal computer as a user terminal.
FIG. 4 is a diagram illustrating a hardware configuration of an IP address filtering device.
FIG. 5 is a block diagram of a mobile phone as a user terminal.
FIG. 6 is a diagram showing processing when receiving user authentication.
FIG. 7 is a diagram showing the contents of an IP address filtering table.
FIG. 8 is a diagram showing processing when updating the recorded contents of the IP address filtering table of the IP address filtering device.
[Explanation of symbols]
20 ... Mobile phone
21 ... Personal computer
23, 24 ... Conversion device
28 ... IP address filtering device
30: User authentication device
32. Service providing device
38 ... Management Center
29 ... Router
22 ... Telephone network
26 ... Internet
34 ... Dedicated line
36 ... LAN
25 ... Unauthorized terminal

Claims (8)

端末装置、
端末装置に対して専用線を介して接続された識別情報付加装置、
識別情報付加装置に対して通信路を介して接続された識別情報選択送信装置、
識別情報付加装置に対して専用線を介して接続されるとともに識別情報選択送信装置に対しても専用線を介して接続された利用者認証装置、
を備えた利用者認証システムであって、
端末装置は、
識別情報付加装置に対して利用者情報を送信する利用者情報送信手段を備え、
識別情報付加装置は、
端末装置から送信された利用者情報に対して識別情報を付加する識別情報付加手段と、
識別情報付加手段によって得られた利用者識別情報を通信路を介して識別情報選択送信装置に向けて送信する通信路経由利用者識別情報送信手段と、
前記利用者識別情報を専用線を介して利用者認証装置に対して送信する専用線経由利用者識別情報送信手段とを備え、
識別情報選択送信装置は、
識別情報付加装置が付加する識別情報を含んだ利用者識別情報は利用者認証装置に送信しないが前記識別情報以外の識別情報を含んだ利用者識別情報は利用者認証装置に送信する利用者識別情報選択送信手段を備え、
利用者認証装置は、
識別情報付加装置または識別情報選択送信装置から専用線を介して送信される利用者識別情報を受けて利用者認証を行う利用者認証手段、
を備えたことを特徴とする利用者認証システム。Terminal device,
An identification information adding device connected to the terminal device via a dedicated line;
An identification information selection transmission device connected to the identification information addition device via a communication path;
A user authentication device connected to the identification information adding device via a dedicated line and also connected to the identification information selecting / transmitting device via a dedicated line;
A user authentication system comprising:
The terminal device
User information transmission means for transmitting user information to the identification information adding device,
The identification information adding device
Identification information adding means for adding identification information to user information transmitted from the terminal device;
A user identification information transmitting unit via a communication path for transmitting the user identification information obtained by the identification information adding unit to the identification information selection transmitting device via the communication path;
A dedicated line user identification information transmitting means for transmitting the user identification information to the user authentication device via a dedicated line;
The identification information selection transmission device
User identification information including identification information added by the identification information adding apparatus is not transmitted to the user authentication apparatus, but user identification information including identification information other than the identification information is transmitted to the user authentication apparatus. Comprising information selection transmission means,
User authentication device
User authentication means for receiving user identification information transmitted from the identification information adding device or the identification information selecting / transmitting device via a dedicated line and performing user authentication;
A user authentication system comprising: 請求項1の識別情報付加装置において、さらに、
利用者識別情報を通信路を介して識別情報選択送信装置に向けて送信するかまたは専用線を介して利用者認証装置に対して送信するかのいずれかを選択する送信経由選択手段、
を備えたことを特徴とするもの。The identification information adding device according to claim 1, further comprising:
A transmission via selection means for selecting whether to transmit user identification information to an identification information selection transmission device via a communication path or to a user authentication device via a dedicated line;
Characterized by comprising. 識別情報付加装置に対して通信路を介して接続されるとともに、利用者認証装置に対して専用線を介して接続された識別情報選択送信装置において、
識別情報付加装置が付加する識別情報を含んだ利用者識別情報は利用者認証装置に送信しないが前記識別情報以外の識別情報を含んだ利用者識別情報は利用者認証装置に送信する利用者識別情報選択送信手段、
を備えたことを特徴とする識別情報選択送信装置。In the identification information selection transmission device connected to the identification information adding device via a communication path and connected to the user authentication device via a dedicated line,
User identification information including identification information added by the identification information adding apparatus is not transmitted to the user authentication apparatus, but user identification information including identification information other than the identification information is transmitted to the user authentication apparatus. Information selection transmission means,
An identification information selecting / transmitting apparatus comprising: 請求項1〜3のいずれかの識別情報選択送信装置において、さらに、
識別情報付加装置が付加する識別情報を記憶した記憶部、
を備えており、
識別情報選択送信手段は、前記記憶部を参照することによって、利用者認証装置に送信する利用者識別情報と送信しない利用者識別情報とを選択することを特徴とするもの。In the identification information selection transmission device according to any one of claims 1 to 3,
A storage unit storing identification information added by the identification information adding device;
With
The identification information selection transmission means selects user identification information to be transmitted to the user authentication device and user identification information not to be transmitted by referring to the storage unit. 請求項4の利用者認証システムにおいて、
識別情報付加装置が付加する識別情報が更新された場合には、
識別情報付加装置は、さらに、
更新された識別情報を専用線を介して識別情報選択送信装置に対して送信する更新識別情報送信手段を備え、
識別情報選択送信装置は、さらに、
前記記憶部の更新を前記送信された更新識別情報に基づいて行う選択送信識別情報更新手段、
を備えたことを特徴とする利用者認証システム。In the user authentication system of claim 4,
When the identification information added by the identification information addition device is updated,
The identification information adding device further includes:
The update identification information transmitting means for transmitting the updated identification information to the identification information selection transmission device via a dedicated line,
The identification information selection transmission device further includes:
Selective transmission identification information updating means for performing update of the storage unit based on the transmitted update identification information;
A user authentication system comprising: 請求項1〜5のいずれかの利用者認証システムにおいて、
識別情報選択送信装置と利用者認証装置が一体の装置として構成されていることを特徴とする利用者認証システム。In the user authentication system according to any one of claims 1 to 5,
A user authentication system, wherein an identification information selection transmission device and a user authentication device are configured as an integrated device. 請求項1〜6において、
識別情報は、IPアドレスであることを特徴とするもの。In Claims 1-6,
The identification information is an IP address. 端末装置の利用者を、端末装置に接続された利用者認証装置によって認証する利用者認証方法であって、
端末装置が利用者認証を受ける際には、
端末装置からの利用者情報に識別情報を付加して、通信路または専用線経由により利用者認証装置に向けて送り、
通信路経由により送られた前記識別情報を有する利用者情報は利用者認証装置に送られず、専用線経由により送られた利用者情報は利用者認証装置に送られ、
利用者認証装置は、専用線経由により送られた前記利用者情報に基づいて利用者認証を行う利用者認証方法。A user authentication method for authenticating a user of a terminal device by a user authentication device connected to the terminal device,
When the terminal device receives user authentication,
Add identification information to the user information from the terminal device and send it to the user authentication device via the communication path or dedicated line,
The user information having the identification information sent via the communication path is not sent to the user authentication device, and the user information sent via the dedicated line is sent to the user authentication device,
A user authentication device is a user authentication method for performing user authentication based on the user information sent via a dedicated line.
JP2000075555A 2000-03-17 2000-03-17 User authentication system Expired - Fee Related JP4566322B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000075555A JP4566322B2 (en) 2000-03-17 2000-03-17 User authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000075555A JP4566322B2 (en) 2000-03-17 2000-03-17 User authentication system

Publications (2)

Publication Number Publication Date
JP2001268075A JP2001268075A (en) 2001-09-28
JP4566322B2 true JP4566322B2 (en) 2010-10-20

Family

ID=18593432

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000075555A Expired - Fee Related JP4566322B2 (en) 2000-03-17 2000-03-17 User authentication system

Country Status (1)

Country Link
JP (1) JP4566322B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3923835B2 (en) 2001-07-24 2007-06-06 株式会社エヌ・ティ・ティ・ドコモ Communication system, gateway, data relay method, program, and recording medium
CN1559038A (en) 2002-07-29 2004-12-29 ������������ʽ���� Internet communication system, Internet communication method, session management server, wireless communication device, communication relay server, and program
US6968177B2 (en) * 2002-11-19 2005-11-22 Microsoft Corporation Transport agnostic authentication of wireless devices
JP4507623B2 (en) * 2003-03-05 2010-07-21 富士ゼロックス株式会社 Network connection system
KR101009261B1 (en) * 2009-05-07 2011-01-25 (주)위즈앤테크 Certificate-based network access control system using network filtering device

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10294759A (en) * 1997-04-18 1998-11-04 Casio Comput Co Ltd Address assignment system and device
JPH1132087A (en) * 1997-07-11 1999-02-02 Ntt Mobil Commun Network Inc Data communication system
JPH11355436A (en) * 1998-03-11 1999-12-24 At & T Corp Method and system for easily accessing internet from telephone network
JPH11355353A (en) * 1998-04-30 1999-12-24 Alcatel Cit Method for using pair consisting of call number and internet transmission address

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10294759A (en) * 1997-04-18 1998-11-04 Casio Comput Co Ltd Address assignment system and device
JPH1132087A (en) * 1997-07-11 1999-02-02 Ntt Mobil Commun Network Inc Data communication system
JPH11355436A (en) * 1998-03-11 1999-12-24 At & T Corp Method and system for easily accessing internet from telephone network
JPH11355353A (en) * 1998-04-30 1999-12-24 Alcatel Cit Method for using pair consisting of call number and internet transmission address

Also Published As

Publication number Publication date
JP2001268075A (en) 2001-09-28

Similar Documents

Publication Publication Date Title
EP3008935B1 (en) Mobile device authentication in heterogeneous communication networks scenario
US6292833B1 (en) Method and apparatus for providing access control to local services of mobile devices
US8091116B2 (en) Communication system and method
TWI323999B (en)
US8744053B2 (en) Methods, apparatus, and computer program products for providing dynamic replacement communication identification service
CN100435508C (en) Method and equipment for safety Internetwork protocol communication in call processing system
KR101630913B1 (en) A method, device and system for verifying communication sessions
US9065684B2 (en) IP phone terminal, server, authenticating apparatus, communication system, communication method, and recording medium
JP2001502479A (en) Method and system for communication access restriction
CN104081714A (en) Network mediated multi-device shared authentication
AU2004244645A1 (en) Method and system for providing data service in interworking wireless public and private networks
WO2006112761A1 (en) Method and system for electronic reauthentication of a communication party
EP1705857B1 (en) Terminal and terminal management apparatus in ubiquitous communication system
JP2002082910A (en) System and method for authenticating user
JP4566322B2 (en) User authentication system
JP3332221B2 (en) Mobile terminal connection management method and method
JP2004166226A (en) Method and system for controlling online access from terminal user to content service
JP2007280094A (en) Authentication system using ip network
US7949114B2 (en) Granting privileges to a telecommunications terminal based on the relationship of a first signal to a second signal
US7627120B2 (en) Enhanced security for voice mail passwords
JP2008242641A (en) Authentication approval system
JPH11341151A (en) Dial-up connection authentication system
JPH11110354A (en) Server and storage medium recording program
JP2004343440A (en) Communication control method and system thereof
JP2001282998A (en) Service system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070312

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100720

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100804

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130813

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees