JP4906581B2 - 認証システム - Google Patents

認証システム Download PDF

Info

Publication number
JP4906581B2
JP4906581B2 JP2007124913A JP2007124913A JP4906581B2 JP 4906581 B2 JP4906581 B2 JP 4906581B2 JP 2007124913 A JP2007124913 A JP 2007124913A JP 2007124913 A JP2007124913 A JP 2007124913A JP 4906581 B2 JP4906581 B2 JP 4906581B2
Authority
JP
Japan
Prior art keywords
service request
route information
information
route
usage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007124913A
Other languages
English (en)
Other versions
JP2008282166A (ja
Inventor
広和 北見
正久 川島
嘉人 大嶋
淳也 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007124913A priority Critical patent/JP4906581B2/ja
Publication of JP2008282166A publication Critical patent/JP2008282166A/ja
Application granted granted Critical
Publication of JP4906581B2 publication Critical patent/JP4906581B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、認証システムに関する。
従来より、利用者端末と、利用者端末にサービス(例えば、電話接続サービス、メッセージ交換サービス、コンテンツのダウンロードサービスなど)を提供するサービス提供装置とをネットワークを介して通信可能に接続させる構成において、利用者端末がサービス提供装置にサービスの提供を受けることを要求するにあたっては、サービス提供装置が利用者端末を認証することが必要であるとされる。具体的には、サービス提供装置は、どの利用者端末(もしくは、利用者端末を利用する利用者)からサービス要求されているのか、また、その利用者端末(利用者)にサービスを利用する権限があるのか等を検証することを目的として、利用者端末を認証する。このような認証においては、サービス提供装置が利用者端末を認証する度に、認証のための処理や手順を利用者端末に要求することが一般的であった。しかしながら、近年では、認証のための処理や手順を認証する度に要求する必要のない「暗黙認証」という技術が提案されている。
例えば、特許文献1には、利用者端末とサービス提供装置との間に配置されたネットワーク接続装置が、まず、利用者端末のIP(Internet Protocol)アドレスによって利用者端末を識別し、次に、当該IPアドレスがサービス提供装置によって許可されたIPアドレスであることを確認することで認証を行う手法が開示されている。もっとも、上記した手法は、IPアドレスと利用者端末とが固定的に割り当てられていることを前提とするものであった。すなわち、上記した手法は、利用者端末の認証にIPアドレスを用い、どのIPアドレスからサービス要求が行われたかによって、どの利用者端末によるサービス要求であるかを判断するものであった。そうであるとすると、上記した手法は、利用者端末が移動するなどして同一の利用者端末が異なるIPアドレスを利用する場合や、タイミングは異なるものの複数の利用者端末が同一のIPアドレスを利用する場合など、利用者端末のアドレス情報が動的に変化する場合の認証に対応するものではない。
このため、特許文献1では、ネットワーク接続装置が、まず、利用者端末のアカウントによって利用者端末(利用者)を識別し、次に、当該アカウントがサービス提供装置によって許可されたアカウントであることを確認することで認証を行う手法をさらに開示している。具体的に説明すると、ネットワーク接続装置は、サービス提供装置によって許可されたアカウントを、予め記憶部に登録して記憶している。また、ネットワーク接続装置は、利用者端末をネットワークに接続するように制御した際に、アカウントと、当該アカウントを付与された利用者が利用する利用者端末が接続する回線の識別子とを対応づけて、回線情報として、予め記憶部に登録して記憶している。さらに、ネットワーク接続装置は、利用者端末からサービス提供装置に対して送信されたサービス要求を転送する際に、サービス要求が現に送信されてきた使用回線の識別子とアカウントとの組み合わせを、通信記録として、記憶部に記憶する。
このような構成のもと、サービス提供装置は、サービス要求を利用者端末から受信すると、当該サービス要求の送信元であるアカウントを包含する問い合わせを、ネットワーク接続装置に送信する。すると、ネットワーク接続装置は、まず、問い合わせに包含されるアカウントに基づいて、当該アカウントが、予め記憶部に登録して記憶している許可されたアカウントであるか否かを識別する。次に、ネットワーク接続装置は、正当な利用者端末であるかを確認することを目的として、問い合わせに包含されるアカウントに基づいて、当該アカウントに対応づけて回線情報として予め記憶部に登録して記憶している回線の識別子と、当該アカウントに対応づけて通信記録として記憶部に記憶している使用回線の識別子とを照合して、通信記録にあるアカウントが詐称されていないか否かを確認する。
特開2005−227993号公報
ところで、上記した従来の技術では、以下に説明するように、予め記憶している利用者端末の通信経路が無効な情報となった場合に、当該無効な情報を悪用して行われる攻撃を防止した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することができないという課題があった。具体的に例を挙げて説明すると、上記したように、特許文献1の手法では、ネットワーク接続装置は、利用者端末をネットワークに接続するように制御した際に、アカウントと回線の識別子とを対応づけて、予め記憶部に登録して記憶している。例えば、この後、利用者端末とネットワークとの接続が切断されたことによって、アカウントと回線の識別子との対応づけが実際の対応づけとは異なる状態になった場合に(予め記憶部に記憶している情報が無効な情報となった場合に)、悪意者によって、無効な情報となっている回線の識別子と同じ通信経路で、当該回線の識別子と対応づけられて記憶されているアカウントを利用した「なりすまし」が行われたとする。このような場合、特許文献1の手法では、ネットワーク接続装置は、この悪意者によってなりすまされた問い合わせに包含されるアカウントに基づいて、当該アカウントに対応づけて記憶している回線の識別子と、当該アカウントに対応づけて通信記録として記憶部に記憶している使用回線の識別子とを照合して、通信記録にあるアカウント(悪意者によってなりすまされたアカウント)が詐称されていないと判定してしまう。
そこで、この発明は、上記した従来技術の課題を解決するためになされたものであり、予め記憶している利用者端末の通信経路が無効な情報となった場合に、当該無効な情報を悪用して行われる攻撃を防止した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することが可能な認証システムを提供することを第一の目的とする。
ところで、上記した従来の技術では、以下に説明するように、ネットワーク接続装置の負荷を軽減した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することができないという課題もあった。具体的に説明すると、特許文献1の手法では、ネットワーク接続装置は、サービス要求をサービス提供装置に転送する際に、サービス要求が現に送信されてきた使用回線の識別子とアカウントとの組み合わせを、通信記録として記憶部に記憶しておかなければならない。しかも、この記憶は、通信記録にあるアカウントが詐称されていないか否かを確認する前の段階で行われるものである。そうであるとすると、例えば、不正な端末が、大量のサービス要求を送信するような攻撃を行った場合に、ネットワーク接続装置では、サービス要求ごとに通信記録を記憶することから、ネットワーク接続装置の負荷が高くなってしまい、サービスの品質を維持できなくなる可能性がある。
そこで、この発明は、上記した従来技術の課題をも解決するためになされたものであり、ネットワーク接続装置の負荷を軽減した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することが可能な認証システムを提供することを第二の目的とする。
上述した課題を解決し、目的を達成するため、請求項1に係る発明は、利用者によって利用される利用者端末をネットワークに接続するように制御することで、当該利用者端末に対して当該ネットワークの接続を伴うサービスを提供するサービス提供装置と当該利用者端末とを当該ネットワークを介して通信可能に接続させる構成において、当該ネットワークに接続するように制御された当該利用者端末の当該ネットワーク上における通信経路を示す利用経路情報と、前記サービスの提供を受けることを要求するサービス要求が現に送信されてきた通信経路を示すサービス要求元経路情報とが一致すると照合したことを条件として、当該サービス要求を送信した当該利用者端末に対して前記サービスを提供するように前記サービス提供装置が設定を行う認証システムであって、前記利用者端末を現に利用している利用者を前記構成と関連して当該利用者端末に付与されるネットワークアドレスとは異なる情報で当該ネットワーク上で一意に識別する利用者識別子と、前記利用経路情報とを対応づけて記憶する利用経路情報記憶手段と、前記ネットワークに接続することを要求するネットワーク接続要求を前記利用者識別子とともに前記利用者端末から受信すると、前記利用経路情報を前記利用経路情報記憶手段に登録することを要求する利用経路登録要求を当該利用者識別子とともに送信する利用経路情報登録要求手段と、前記利用経路情報登録要求手段によって送信された前記利用経路登録要求を前記利用者識別子とともに受信すると、当該利用経路登録要求が送信されてきた通信経路を取得し、取得した当該通信経路を前記利用経路情報として、当該利用経路登録要求とともに送信されてきた前記利用者識別子と対応づけて前記利用経路情報記憶手段に登録する利用経路情報登録手段と、前記サービス要求の送信先として、当該サービス要求を前記利用者識別子とともに前記利用者端末から受信するサービス要求受信手段と、前記利用経路情報記憶手段によって記憶されている前記利用者識別子と前記利用経路情報との対応づけが、有効な情報であるか、あるいは、無効な情報であるかを判定する有効無効判定手段と、前記サービス要求受信手段によって前記サービス要求が受信されると、受信された当該サービス要求に包含されている前記利用者識別子に基づいて、当該利用者識別子に対応づけて前記利用経路情報記憶手段に記憶されている利用経路情報を、当該利用経路情報が前記有効無効判定手段によって有効な情報であると判定されていることを条件として取得する利用経路情報取得手段と、前記サービス要求受信手段によって前記サービス要求が受信されると、受信された当該サービス要求が現に送信されてきた通信経路を示す前記サービス要求元経路情報を取得するサービス要求元経路情報取得手段と、前記利用経路情報取得手段によって取得された前記利用経路情報と前記サービス要求元経路情報取得手段によって取得されたサービス要求元経路情報とが一致するか否かを判定し、当該判定が一致する場合に前記照合が一致であるとし、当該判定が一致しない場合および/または前記利用経路情報が前記利用経路取得手段によって取得されなかった場合に前記照合が不一致であるとする経路照合手段と、前記経路照合手段によって前記利用経路情報と前記サービス要求元経路情報との照合が一致であるとされたことを条件として、当該利用経路情報および当該サービス要求元経路情報の取得に用いられたサービス要求を送信した利用者端末に対して、前記サービスを提供するように設定を行うサービス提供手段と、を備えたことを特徴とする。
また、請求項2に係る発明は、上記の発明において、前記利用経路情報記憶手段は、前記利用者識別子と前記利用経路情報とを対応づけて記憶する他に、当該対応づけが当該利用経路情報記憶手段に記憶されている期間に関する情報をさらに対応づけて記憶し、前記有効無効判定手段は、前記期間が所定の期間を超過しているか否かを判定し、当該判定の結果前記期間を超過していない場合には、前記対応づけを有効な情報と判定し、当該判定の結果前記期間を超過している場合には、前記対応づけを無効な情報と判定することを特徴とする。
また、請求項3に係る発明は、上記の発明において、前記利用者端末を前記ネットワークに接続するように制御した後に、当該利用者端末の当該ネットワークにおける接続状態に関する情報を更新することを要求する更新要求を、前記利用経路情報登録要求手段から周期的に受信する更新要求受信手段をさらに備え、前記利用経路情報記憶手段は、前記更新要求受信手段によって前記更新要求が受信されると、前記期間に関する情報を、当該更新要求を受信した更新時刻から当該期間を起算するように更新して記憶することをさらに特徴とする。
また、請求項4に係る発明は、上記の発明において、前記構成と関連して前記利用者端末に付与されるネットワークアドレスと、当該ネットワークアドレスを付与された利用者端末が当該構成で通信経路とするはずの通信経路情報とを対応づけて記憶するアドレス通信経路情報記憶手段をさらに備え、前記サービス要求元経路情報取得手段は、当該サービス要求に包含されている利用者端末のネットワークアドレスに基づいて、当該ネットワークアドレスに対応づけて前記アドレス通信経路情報記憶手段によって記憶されている通信経路情報を前記サービス要求元経路情報として取得することを特徴とする。
また、請求項5に係る発明は、上記の発明において、前記サービス要求を当該サービス要求の送信先に向けて転送する際に受信すると、当該サービス要求の通信経路を示すサービス要求通信経路情報を当該サービス要求に付加し、当該サービス要求を前記送信先に向けて転送するサービス要求転送手段をさらに備え、前記サービス要求受信手段は、前記サービス要求転送手段によって前記サービス要求通信経路情報を付加された上で転送された前記サービス要求を受信し、前記サービス要求元経路情報取得手段は、前記サービス要求に付加されている前記サービス要求通信経路情報を前記サービス要求元経路情報として取得することを特徴とする。
また、請求項6に係る発明は、上記の発明において、前記サービス要求転送手段は、電子署名付きで前記サービス要求通信経路情報を前記サービス要求に付加して転送し、前記サービス要求受信手段は、前記電子署名付きのサービス要求を受信し、前記サービス要求元経路情報取得手段は、前記サービス要求の電子署名を検証した上で、前記サービス要求通信経路情報を前記サービス要求元経路情報として取得することを特徴とする。
また、請求項7に係る発明は、上記の発明において、前記利用経路情報登録手段は、前記利用者端末が、当該利用者端末を現に利用している利用者を一意に識別する利用者識別子と対応づけられて前記利用経路情報記憶手段に既に記憶されている前記利用経路情報が示す通信経路とは異なる新規の通信経路によって前記ネットワークに接続するように制御された時に、当該新規の通信経路を前記利用経路情報として前記利用経路情報記憶手段に追加するように前記利用者識別子と対応づけて登録し、前記経路照合手段は、所定の利用者識別子に対応づけられて前記利用経路情報記憶手段に記憶されている前記利用経路情報が複数である場合には、当該複数の利用経路情報各々と前記サービス要求元経路情報とが一致するか否かを判定し、いずれか一つの前記利用経路情報と前記サービス要求元経路情報との前記判定が一致する場合に、前記照合が一致であるとすることをさらに特徴とする。
また、請求項8に係る発明は、上記の発明において、前記利用経路情報登録手段は、前記利用者端末が、当該利用者端末を現に利用している利用者を一意に識別する利用者識別子と対応づけられて前記利用経路情報記憶手段に既に記憶されている前記利用経路情報が示す通信経路とは異なる新規の通信経路によって前記ネットワークに接続するように制御された時に、当該新規の通信経路を前記利用経路情報として前記利用者識別子と対応づけて前記利用経路情報記憶手段に登録するとともに、当該利用者識別子と対応づけて前記利用経路情報記憶手段に既に記憶されている前記利用経路情報を無効化または前記利用経路情報記憶手段から削除することをさらに特徴とする。
請求項1の発明によれば、利用者によって利用される利用者端末をネットワークに接続するように制御することで、当該利用者端末に対して当該ネットワークの接続を伴うサービスを提供するサービス提供装置と当該利用者端末とを当該ネットワークを介して通信可能に接続させる構成において、当該ネットワークに接続するように制御された当該利用者端末の当該ネットワーク上における通信経路を示す利用経路情報と、前記サービスの提供を受けることを要求するサービス要求が現に送信されてきた通信経路を示すサービス要求元経路情報とが一致すると照合したことを条件として、当該サービス要求を送信した当該利用者端末に対して前記サービスを提供するように前記サービス提供装置が設定を行う認証システムであって、前記利用者端末を現に利用している利用者を前記構成と関連して当該利用者端末に付与されるネットワークアドレスとは異なる情報で当該ネットワーク上で一意に識別する利用者識別子と、前記利用経路情報とを対応づけて記憶し、前記ネットワークに接続することを要求するネットワーク接続要求を前記利用者識別子とともに前記利用者端末から受信すると、前記利用経路情報を登録することを要求する利用経路登録要求を当該利用者識別子とともに送信し、送信された前記利用経路登録要求を前記利用者識別子とともに受信すると、当該利用経路登録要求が送信されてきた通信経路を取得し、取得した当該通信経路を前記利用経路情報として、当該利用経路登録要求とともに送信されてきた前記利用者識別子と対応づけて登録し、前記サービス要求の送信先として、当該サービス要求を前記利用者識別子とともに前記利用者端末から受信し、記憶されている前記利用者識別子と前記利用経路情報との対応づけが、有効な情報であるか、あるいは、無効な情報であるかを判定し、前記サービス要求が受信されると、受信された当該サービス要求に包含されている前記利用者識別子に基づいて、当該利用者識別子に対応づけて記憶されている利用経路情報を、当該利用経路情報が有効な情報であると判定されていることを条件として取得し、前記サービス要求が受信されると、受信された当該サービス要求が現に送信されてきた通信経路を示す前記サービス要求元経路情報を取得し、取得された前記利用経路情報と取得されたサービス要求元経路情報とが一致するか否かを判定し、当該判定が一致する場合に前記照合が一致であるとし、当該判定が一致しない場合および/または前記利用経路情報が取得されなかった場合に前記照合が不一致であるとし、前記利用経路情報と前記サービス要求元経路情報との照合が一致であるとされたことを条件として、当該利用経路情報および当該サービス要求元経路情報の取得に用いられたサービス要求を送信した利用者端末に対して、前記サービスを提供するように設定を行うので、予め記憶している利用者端末の通信経路が無効な情報となった場合に、当該無効な情報を悪用して行われる攻撃を防止した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することが可能になる。
具体的に例を挙げて説明すると、利用者端末とネットワークとの接続が切断されたことによって、利用者識別子と利用経路情報との対応づけが実際の対応づけとは異なる状態になった場合に(予め記憶部に記憶している情報が無効な情報となった場合に)、悪意者によって、無効な情報となっている利用経路情報と同じ通信経路で、当該利用経路情報と対応づけられて記憶されている正規の利用者識別子を利用した「なりすまし」が行われたとする。このような場合に、請求項1の発明によれば、当該利用経路情報が無効な情報となったことを判定することから、認証システムは、悪意者によってなりすまされた問い合わせに包含される利用者識別子に対応づけて記憶している利用経路情報を取得して照合を行うことはない。したがって、サービス要求を送信した利用者識別子(悪意者によってなりすまされた利用者識別子)が詐称されていないと誤判定してしまう事態を回避することが可能になる。
また、請求項2の発明によれば、前記利用者識別子と前記利用経路情報とを対応づけて記憶する他に、当該対応づけが記憶されている期間に関する情報をさらに対応づけて記憶し、前記期間が所定の期間を超過しているか否かを判定し、当該判定の結果前記期間を超過していない場合には、前記対応づけを有効な情報と判定し、当該判定の結果前記期間を超過している場合には、前記対応づけを無効な情報と判定するので、有効期間を管理するという簡易な手法によって、予め記憶している利用者端末の通信経路が無効な情報となった場合に、当該無効な情報を悪用して行われる攻撃を防止した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することが可能になる。
また、例えば、仮に、認証システムが、利用者端末がネットワークに接続している接続状態について、「接続」や「切断」などの状態変化を示す信号を受信することのみによって、対応づけを有効な情報であるか無効な情報であるかを判定する手法を採用しているとすると、当該信号の転送がエラーとなった場合などに、認証システムにおいて無効化すべき利用経路情報が、有効な情報として残存してしまうことになる。一方、請求項2の発明によれば、認証システムは、有効期間をベースとして、対応づけを有効な情報であるか無効な情報であるかを判定する手法を採用しているので、上記の転送エラーが発生したとしても、一定時間後には当該対応づけは無効化されることから、当該無効な情報を悪用して行われる攻撃を防止することが可能になる。
また、請求項3の発明によれば、前記利用者端末を前記ネットワークに接続するように制御した後に、当該利用者端末の当該ネットワークにおける接続状態に関する情報を更新することを要求する更新要求を周期的に受信し、前記更新要求が受信されると、前記期間に関する情報を、当該更新要求を受信した更新時刻から当該期間を起算するように更新して記憶するので、上記の効果に加え、期間に関する情報を適切に更新することが可能になる。
また、利用者端末がネットワークに継続して接続している継続時間は、毎回一定となるものではないことから、例えば、仮に、認証システムが、利用者端末がネットワーク接続を開始した時点からの期間を有効期間と比較する手法を採用しているとすると、運用パラメータである有効期間を適切に決定することが難しくなるおそれがある(つまり、例えば、30分といった有効期間を超過しても継続してサービスの提供を受けたい利用者端末であっても、30分を超過すると強制的にネットワークを切断されてしまうなど)。一方、請求項3の発明によれば、認証システムは、周期的に有効期限をアップデートする手法を採用しているので、上記のような所定の有効期間を超過する場合のニーズにも対応することが可能になり、有効期間を適切に決定することが可能になるなど、運用面においても有効な効果を奏する。
また、請求項4の発明によれば、前記構成と関連して前記利用者端末に付与されるネットワークアドレスと、当該ネットワークアドレスを付与された利用者端末が当該構成で通信経路とするはずの通信経路情報とを対応づけて記憶し、当該サービス要求に包含されている利用者端末のネットワークアドレスに基づいて、当該ネットワークアドレスに対応づけて記憶されている通信経路情報を前記サービス要求元経路情報として取得するので、上記の効果に加え、ネットワークアドレスと通信経路情報とを事前に登録しておくことで、ネットワーク接続装置の負荷を軽減した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することが可能になる。
言い換えると、請求項4の発明によれば、通信経路上の装置は、パケットを転送する機能のみを備えていればよいことから、サービス要求の通信経路を示す情報をサービス要求に付加する手法に比較して、ネットワーク接続装置の負荷を軽減した上で、簡易に、利用者端末のアドレス情報が動的に変化する場合の認証に対応することが可能になる。
また、請求項5の発明によれば、前記サービス要求を当該サービス要求の送信先に向けて転送する際に受信すると、当該サービス要求の通信経路を示すサービス要求通信経路情報を当該サービス要求に付加し、当該サービス要求を前記送信先に向けて転送し、前記サービス要求通信経路情報を付加された上で転送された前記サービス要求を受信し、前記サービス要求に付加されている前記サービス要求通信経路情報を前記サービス要求元経路情報として取得するので、ネットワークアドレスと通信経路情報とを事前に登録しておかなくても、ネットワーク接続装置の負荷を軽減した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することが可能になる。
言い換えると、請求項5の発明によれば、ネットワークトポロジ設計変更(例えば、拠点ごとのネットワークアドレス体系が変更された場合など)の影響を受けないことから、ネットワークアドレスと通信経路情報とを事前に登録しておく手法に比較して、ネットワーク接続装置の負荷を軽減した上で、柔軟に、利用者端末のアドレス情報が動的に変化する場合の認証に対応することが可能になる。
また、請求項6の発明によれば、電子署名付きで前記サービス要求通信経路情報を前記サービス要求に付加して転送し、前記電子署名付きのサービス要求を受信し、前記サービス要求の電子署名を検証した上で、前記サービス要求通信経路情報を前記サービス要求元経路情報として取得するので、上記の効果に加え、サービス要求通信経路情報の信頼性を向上させることが可能になる。
また、請求項7の発明によれば、前記利用者端末が、当該利用者端末を現に利用している利用者を一意に識別する利用者識別子と対応づけられて既に記憶されている前記利用経路情報が示す通信経路とは異なる新規の通信経路によって前記ネットワークに接続するように制御された時に、当該新規の通信経路を前記利用経路情報として追加するように前記利用者識別子と対応づけて登録し、所定の利用者識別子に対応づけられて記憶されている前記利用経路情報が複数である場合には、当該複数の利用経路情報各々と前記サービス要求元経路情報とが一致するか否かを判定し、いずれか一つの前記利用経路情報と前記サービス要求元経路情報との前記判定が一致する場合に、前記照合が一致であるとするので、上記の効果に加え、新規利用経路情報を適切に記憶部に記憶させることが可能になる。
具体的に説明すると、請求項7の発明によれば、利用者端末が、同時に、複数のネットワーク接続を保持することが可能になり、例えば、あるアクセスポイントから次のアクセスポイント間へ移動するタイミングにおいても、利用者端末は、サービスをシームレスに継続することが可能になる。
また、請求項8の発明によれば、前記利用者端末が、当該利用者端末を現に利用している利用者を一意に識別する利用者識別子と対応づけられて既に記憶されている前記利用経路情報が示す通信経路とは異なる新規の通信経路によって前記ネットワークに接続するように制御された時に、当該新規の通信経路を前記利用経路情報として前記利用者識別子と対応づけて前記利用経路情報記憶手段に登録するとともに、当該利用者識別子と対応づけて前記利用経路情報記憶手段に既に記憶されている前記利用経路情報を無効化または前記利用経路情報記憶手段から削除するので、上記の効果に加え、新規利用経路情報をより安全に記憶部に記憶させることが可能になる。
言い換えると、請求項8の発明によれば、各利用者の利用経路情報は常に一つに限定されることから、例えば、悪意者によって、他の通信経路からサービス要求が送信された場合などに、当該サービス要求が悪意者による「なりすまし」であることを検出することが可能になる。
以下に添付図面を参照して、この発明に係る認証システムの実施例を詳細に説明する。なお、以下では、実施例で用いる主要な用語、実施例1に係る認証システムの概要および特徴、実施例1に係る認証システムの構成、実施例1に係る認証システムによる処理の手順、実施例1の効果を順に説明し、続いて、他の実施例について説明する。
[用語の説明]
まず最初に、以下の実施例で用いる主要な用語を説明する。以下の実施例において、「利用者端末」は、市販のPC(Personal Computer)や電話端末、あるいは、IP(Internet Protocol)電話端末などで実現されるものであり、「サービス提供装置」は、市販のPCやWS(workstation)などで実現されるものである。両者が、有線LAN(Local Area Network)や無線LAN、インターネットや公衆交換電話網、あるいはIP網などのネットワークを介して通信可能に接続される構成において、「サービス提供装置」は、ネットワークの接続を伴うサービスを「利用者端末」に提供する。例えば、「サービス提供装置」は、電話接続サービスや、メッセージ交換サービス、あるいは、コンテンツのダウンロードサービスなどのサービスを、「利用者端末」に提供する。なお、以下の実施例においては、「サービス提供装置」の一例として、「SIP(Session Initiation Protocol)サーバ」を想定している。
ところで、「利用者端末」が「サービス提供装置」にサービスの提供を受けることを要求するにあたっては、「利用者端末」を認証する必要がある。このような認証には各種レベルが存在すると考えられるが、本発明に係る「認証システム」は、「利用者端末」を利用する利用者をネットワーク上で一意に識別する「アカウント」(特許請求の範囲に記載の「利用者識別子」に対応する)が、単に「サービス提供装置」によって許可された「アカウント」であることを確認するのみでは足りず、「アカウント」が詐称されていないことの確認まで行うものである。具体的には、「アカウント」で一意に識別される利用者が利用する「利用者端末」のネットワーク上における通信経路を示す「利用経路情報」と、同一の「アカウント」からのサービス要求(サービスの提供を受けることを要求するメッセージ)が現に送信されてきた通信経路を示す「サービス要求元経路情報」とが一致するか否かを照合することで、「アカウント」が詐称されていないことの確認を行うのである。
言い換えると、「利用経路情報」は、アクセスポイントなどのネットワーク接続装置が別途行った認証によって認証された「利用者端末」について、通信経路を示すものであり、正しい情報であることが保証されている情報である。本発明に係る「認証システム」は、この正しい情報を、「利用者端末」を利用する利用者を一意に識別する「アカウント」と対応づけて登録して記憶している。一方、「サービス要求元経路情報」は、サービス要求が現に送信されてきた通信経路を示すものであり、正しい情報であることが未だ保証されていない情報である。そこで、本発明に係る「認証システム」は、正しい情報であることが保証されている「利用経路情報」と、正しい情報であることが未だ保証されていない「サービス要求元経路情報」とを照合し、両者が一致すると照合したことを条件として、サービス要求を送信した「アカウント」が詐称されていないことを確認し、当該「アカウント」で一意に識別される利用者によって利用される「利用者端末」にサービスを提供するように、サービス提供装置が設定を行うのである。
ところで、上記したように、「利用経路情報」は、アクセスポイントなどのネットワーク接続装置が別途行った認証によって認証された「利用者端末」について、通信経路を示すものであり、正しい情報であることが保証されている情報でなければならない。しかしながら、例えば、利用者端末とネットワークとの接続が切断された場合などには、当該「利用経路情報」は、もはや正しい情報であることが保証されている情報であるとはいえなくなるおそれがある。このようなことから、本発明に係る「認証ステム」が、いかにして、「利用経路情報」を「正しい情報であることが保証されている情報」とすべきかが重要となってくる。このため、本発明に係る「認証システム」は、以下に説明するように、この点について解決することを主たる特徴としている。
なお、「サービス要求元経路情報」は、サービス要求が現に送信されてきた通信経路を示すものであることから、このような情報を「認証システム」がいかにして取得するかも重要となってくる。つまり、本発明に係る「認証システム」が実際に運用される場面を想定するとわかるように、「認証システム」は、多数の「利用者端末」の認証を行わなければならないことから、単に「サービス要求元経路情報」を取得すればよいというものではない。例えば、不正な端末が大量のサービス要求を送信するような攻撃を行った場合などに、「アクセスポイント」などのネットワーク接続装置の負荷が高くなれば、サービスの品質を維持できなくなる可能性がある。したがって、「認証システム」は、ネットワーク接続装置の負荷を軽減した上で、「サービス要求元経路情報」を取得する仕組みでなければならないといえる。このため、本発明に係る「認証システム」は、以下に説明するように、この点についても解決している。
[実施例1に係る認証システムの概要および特徴]
続いて、図1を用いて、実施例1に係る認証システムの概要および特徴を説明する。図1は、実施例1に係る認証システムの概要および特徴を説明するための図である。なお、以下の実施例1においては、「利用経路情報」を管理する装置として「利用経路管理装置」や、「サービス要求元経路情報」を管理する装置として「サービス要求元経路管理装置」が登場するが、本発明に係る「認証システム」は、必ずしも、「アクセスポイント」と「利用経路管理装置」と「サービス要求元経路装置」と「サービス提供装置」とで構成されなければならないものではない。後に例示するように、本発明に係る「認証システム」が備えるべき機能がいかなる装置で実現されるかといった点については、当該「認証システム」の運用形態などによって適宜変更されてよい。
実施例1に係る認証システムは、上記したように、利用者端末をネットワークに接続するように制御することで、サービス提供装置と利用者端末とをネットワークを介して通信可能に接続させる構成において、ネットワークに接続するように制御された利用者端末のネットワーク上における通信経路を示す利用経路情報と、サービス要求が現に送信されてきた通信経路を示すサービス要求元経路情報とが一致すると照合したことを条件として、サービス要求を送信した利用者端末に対してサービスを提供するようにサービス提供装置が設定を行うことを概要とし、予め記憶している利用経路情報が無効な情報となった場合に、当該無効な情報を悪用して行われる攻撃を防止した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することを主たる特徴とする。
この主たる特徴について簡単に説明すると、まず、実施例1に係る認証システムは、図1に示すように、利用経路管理装置が、アカウント(『利用者ID』)と利用経路情報(『利用経路』)とを対応づけて記憶する利用経路記憶部(特許請求の範囲に記載の「利用経路情報記憶手段」に対応する)を備えている。図1には図示していないが、実施例1に係る認証システムは、ネットワークに接続することを要求するとともに利用経路情報を登録することを要求する利用経路登録要求をアカウントとともに利用者端末から受信すると、当該利用経路登録要求が送信されてきた通信経路を取得し、取得した通信経路を利用経路情報として、アカウントと利用経路情報とを対応づけて、利用経路記憶部に登録する。なお、本発明における「アカウント」とは、利用者端末を現に利用している利用者をネットワーク上で一意に識別する利用者識別子のことであって、ネットワークの構成と関連して利用者端末に付与されるネットワークアドレス(例えば、IPアドレスなど)とは異なる情報のことである。
例えば、利用経路記憶部は、アカウントとして『User2』と、利用経路情報として『Line20A』とを対応づけて記憶している。例えば、これは、アクセスポイント(例えば、無線LANのアクセスポイントなど)が、『User2』で識別される利用者によって利用される利用者端末から利用経路登録要求を受信すると、当該利用者端末とRADIUS(Remote Authentication Dial In User Service)サーバとしての機能を兼ね備えた利用経路管理装置との間で別途相互認証が行われ、相互認証に成功した当該利用者端末をネットワークに接続するように制御する際に、アクセスポイントが、『User2』と利用経路情報『Line20A』(この利用経路情報は、例えば、アクセスポイントが把握することが可能な情報であると考える)とを対応づけて、利用経路記憶部に登録したものである。
また、実施例1に係る認証システムは、図1に示すように、サービス要求元経路管理装置が、IPアドレスと通信経路情報(『経路』)とを対応づけて記憶するアドレス通信経路情報記憶部(特許請求の範囲に記載の「アドレス通信経路情報記憶手段」に対応する)を備えている。ここで、IPアドレスは、ネットワークの構成と関連して利用者端末に付与されるネットワークアドレスとしての意味を持つ。また、通信経路情報は、ネットワークアドレスを付与された利用者端末が、ネットワークの構成で通信経路とするはずの通信経路情報としての意味を持つ。つまり、例えば、図1の例で説明すると、IPアドレス『10.1.2.10』、『10.1.2.20』、および『10.1.2.30』を付与される利用者端末は、実施例1におけるネットワークの構成では、『Line20A』を通信経路とするはずであることが、通信経路と固定的な関係を有するものとして予め規定されており、アドレス通信経路情報記憶部が、予め規定されている情報としてかかる情報を記憶していることになる。
ところで、本発明に係る認証システムは、利用経路登録要求段階と、サービス要求段階との2つの段階に分けて考えることができる。すなわち、本発明に係る認証システムは、利用経路登録要求段階において、利用経路情報とアカウントとの対応づけが利用経路記憶部に登録されたことを前提として、サービス要求段階へと移行する。
そこで、次に、サービス要求段階について説明すると、まず、利用者端末は、サービス提供装置によって提供されるサービスの提供を受けることを要求するサービス要求を、アカウントとともに送信先に送信する(図1の(1)を参照)。実施例1においては、サービス要求の送信先はサービス提供装置であることを前提とするので、例えば、利用者端末は、サービス要求を『User2』とともにサービス提供装置に送信する。
すると、サービス提供装置が、サービス要求の送信先として、サービス要求をアカウントとともに利用者端末から受信すると(図1の(2)を参照)、利用経路管理装置は、受信したサービス要求に包含されているアカウントに基づいて、アカウントに対応づけて利用経路記憶部に記憶している利用経路情報を取得する(図1の(3)−2を参照)。例えば、利用経路管理装置は、サービス要求に包含されている『User2』に基づいて、『User2』に対応づけて利用経路記憶部に記憶している利用経路情報『Line20A』を取得する。
ここで、利用経路管理装置は、利用経路情報の取得に先立ち、利用経路記憶部に記憶している利用者識別子と利用経路情報との対応づけが、有効な情報であるか、あるいは、無効な情報であるかを判定する(図1の(3)−1を参照)。また、利用経路管理装置は、利用経路情報が有効な情報であると判定されていることを条件として、利用経路情報を取得する。このようにすることで、本発明に係る認証システムは、予め記憶している利用経路情報が無効な情報となった場合に、当該無効な情報を悪用して行われる攻撃を防止するのである。
一方、サービス提供装置が、サービス要求を受信すると(図1の(2)を参照)、サービス要求元経路管理装置が、サービス要求の送信元を示す情報として、受信したサービス要求に包含されている利用者端末のIPアドレスに基づいて、IPアドレスに対応づけてアドレス通信経路情報記憶部によって記憶されている通信経路情報を、サービス要求元経路情報として取得する(図1の(3)−3を参照)。例えば、サービス要求元管理装置は、サービス要求に包含されている『10.1.2.20』に基づいて、『10.1.2.20』に対応づけてアドレス通信経路情報記憶部に記憶されている通信経路情報『Line20A』を取得する。
そして、サービス提供装置は、利用経路管理装置によって取得された利用経路情報と、サービス要求元経路管理装置によって取得されたサービス要求元経路情報とが一致するか否かを照合する(図1の(4)を参照)。例えば、サービス提供装置は、利用経路情報(『Line20A』)とサービス要求元経路情報(『Line20A』)とが一致するか否かを照合する。
その後、図1には図示していないが、サービス提供装置は、利用経路情報とサービス要求元経路情報とが一致すると照合されたことを条件として、利用経路情報およびサービス要求元経路情報の取得に用いられたサービス要求を送信した利用者端末に対して、サービスを提供するように設定を行う。例えば、図1の例で説明すると、利用経路情報(『Line20A』)とサービス要求元経路情報(『Line20A』)とが一致すると照合されるので、サービス提供装置は、『User2』で識別される利用者が利用する利用者端末に対して、サービスを提供するように設定を行う。
このようにして、実施例1に係る認証システムは、予め記憶している利用者端末の通信経路が無効な情報となった場合に、当該無効な情報を悪用して行われる攻撃を防止した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することが可能になる。
[実施例1に係る認証システムの構成]
次に、図2〜4を用いて、実施例1に係る認証システムの構成を説明する。図2は、実施例1に係る認証システムの構成を示すブロック図であり、図3は、利用経路記憶部を説明するための図であり、図4は、アドレス通信経路情報記憶部を説明するための図である。
まず、図2を用いて、実施例1に係る認証システムの構成について説明すると、実施例1に係る認証システムは、利用者端末10と、アクセスポイント20と、利用経路管理装置30と、サービス要求元経路管理装置40と、サービス提供装置50とから構成され(なお、利用者端末10は認証システムには含まれず、認証システムによってサービス提供装置50と通信可能に接続されるものである)、利用者端末10とアクセスポイント20とがネットワーク60を介して接続され、アクセスポイント20と、利用経路管理装置30、サービス要求元経路管理装置40、およびサービス提供装置50とが、ネットワーク70を介して接続される。以下では、利用者端末10、アクセスポイント20、利用経路管理装置30、サービス要求元経路管理装置40、およびサービス提供装置50各々について、順に説明する。
[利用者端末10]
実施例1における利用者端末10は、図2に示すように、通信部11と、ネットワーク接続要求部12と、サービス要求部13とを備える。
通信部11は、一般的な通信用のインタフェースおよびライブラリを備え、利用者端末10とその他の装置との間の通信を制御する。
ネットワーク接続要求部12は、ネットワーク70に接続することを要求するネットワーク接続要求を送信する。具体的には、ネットワーク接続要求部12は、ネットワーク接続要求を、利用者端末10を利用する利用者のアカウントとともに送信する。なお、実施例1においては、ネットワーク接続要求部12は、ネットワーク接続要求を、アクセスポイント20に送信する。
サービス要求部13は、サービスの提供を受けることを要求するサービス要求を送信する。ここで、サービス要求とは、サービス提供装置50によって提供されるサービスの提供を受けることを要求するメッセージのことである。具体的には、サービス要求部13は、サービス要求を、利用者端末10を利用する利用者のアカウントとともに送信する。なお、実施例1においては、サービス要求部13は、サービス要求を、サービス提供装置50に送信する。
[アクセスポイント20]
実施例1におけるアクセスポイント20は、図2に示すように、通信部21と、利用経路登録要求部22とを備える。なお、利用経路登録要求部22は、特許請求の範囲に記載の「利用経路情報登録要求手段」に対応する。
通信部21は、一般的な通信用のインタフェースおよびライブラリを備え、アクセスポイント20とその他の装置との間の通信を制御する。
利用経路登録要求部22は、利用経路情報を登録することを要求する利用経路登録要求を送信する。ここで、利用経路情報とは、利用者端末10のネットワーク70上における通信経路を示す情報のことである。具体的には、利用経路登録要求部22は、ネットワーク接続要求をアカウントとともに利用者端末10から受信すると、利用経路登録要求を当該アカウントとともに送信する。なお、実施例1においては、利用経路登録要求部22は、利用経路登録要求を、利用経路管理装置30に送信する。
[利用経路管理装置30]
実施例1における利用経路管理装置30は、図2に示すように、通信部31と、利用経路登録部32と、利用経路記憶部33と、有効無効判定部34と、利用経路情報取得部35とを備える。なお、利用経路登録部32は、特許請求の範囲に記載の「利用経路情報登録手段」に対応し、利用経路記憶部33は、特許請求の範囲に記載の「利用経路情報記憶手段」に対応し、有効無効判定部34は、特許請求の範囲に記載の「有効無効判定手段」に対応し、利用経路情報取得部35は、特許請求の範囲に記載の「利用経路情報取得手段」に対応する。
通信部31は、一般的な通信用のインタフェースおよびライブラリを備え、利用経路管理装置30とその他の装置との間の通信を制御する。
利用経路登録部32は、利用経路情報とアカウントとを対応づけて、利用経路記憶部33に登録する。具体的には、利用経路登録部32は、利用経路登録要求をアカウントとともにアクセスポイント20から受信すると、利用経路登録要求が送信されてきた通信経路を取得し、取得した通信経路を利用経路情報として、利用経路登録要求とともに送信されてきたアカウントと対応づけて、利用経路記憶部33に登録する。ここで、アカウントについて改めて説明すると、本発明におけるアカウントは、利用者端末10を現に利用している利用者を、ネットワーク60やネットワーク70の構成と関連して利用者端末10に付与されるIPアドレスとは異なる情報で、ネットワーク70上で一意に識別するものである。
例えば、利用経路登録部32は、アクセスポイント20から利用経路登録要求を受信すると、利用者端末10とRADIUSサーバとしての機能を兼ね備えた利用経路管理装置30との間で別途相互認証を行わせ、相互認証に成功した利用者端末10をネットワーク70に接続するようにアクセスポイント20が制御する際に、アカウントと、利用経路登録部32が把握することが可能な利用経路情報とを対応づけて、利用経路記憶部33に登録する。
利用経路記憶部33は、アカウントと利用経路情報とを対応づけて記憶する。具体的には、利用経路記憶部33は、利用経路登録部32によって登録されることで、アカウントと利用経路情報とを対応づけて記憶し、記憶したこれらの情報は、サービス提供装置50の経路照合部53による処理に利用されるなどする。
ここで、実施例1における利用経路記憶部33は、アカウントと利用経路情報とを対応づけて記憶する他に、当該対応づけが利用経路記憶部33に記憶されている期間に関する情報をさらに対応づけて記憶する。具体的に説明すると、実施例1における利用経路管理装置30は、利用者端末10をネットワーク70に接続するように制御した後に、利用者端末10のネットワーク70における接続状態に関する情報を更新することを要求する更新要求を周期的に受信する更新要求受信部を備えている(図2においては図示を省略している)。利用経路記憶部33は、当該更新要求受信部によって更新要求が受信されると、期間に関する情報を、更新要求を受信した更新時刻から期間を起算するように更新して記憶する。
具体的に例を挙げて説明すると、例えば、利用者端末10が無線LANに接続するように制御されると、アクセスポイント20は、RADIUSサーバとしての機能を兼ね備えた利用経路管理装置30に対して、「Accounting−Start」を送信する。その後、アクセスポイント20は、利用者端末10が無線LANに接続している場合には、利用経路管理装置30に対して、一定の間隔で、「Accounting−Interim−Update」を送信する。また、利用者端末10が明示的に切断を行うなどすると、アクセスポイント20は、利用経路管理装置30に対して、「Accounting−Stop」を送信する。上記した更新要求受信部は、「Accounting−Interim−Update」を受信するものである。
このような仕組みを前提とした場合、利用経路記憶部33は、更新要求受信部によって「Accounting−Interim−Update」が受信されると、期間に関する情報を、「Accounting−Interim−Update」を受信した時刻から期間を起算するように更新して記憶する。
例えば、利用経路記憶部33は、図3に示すように、アカウント(『利用者ID』)と利用経路情報(『利用経路』)と期間に関する情報(『更新時刻』)とを対応づけて記憶する。具体的に例を挙げて説明すると、図3に示すように、例えば、利用経路記憶部33は、アカウント『User1』や『User2』と、利用経路情報『Line20A』と、期間に関する情報『2007.5.1 09:30』や『2007.5.1 15:20』を対応づけて記憶する。この『2007.5.1 09:30』や『2007.5.1 15:20』は、更新要求受信部によって「Accounting−Interim−Update」が受信された時刻である。
なお、例えば、利用者端末10と無線のアクセスポイント20との間の電波状況の悪化等により、再接続要求を行った場合には、利用者端末10とRADIUSサーバ30との間で再認証処理が実行される。この再認証処理は、通常の接続認証と類似しているが、利用者端末10とRADIUSサーバ30との間でやりとりされるデータが多少異なることから、再認証処理であることが判別される。この再認証処理が実行され、再認証が成功すると、利用経路記憶部33は、期間に関する情報を、再認証が成功した時刻から期間を起算するように更新して記憶するなどする。
有効無効判定部34は、利用経路記憶部33に記憶されている対応づけが、有効な情報であるか、あるいは、無効な情報であるかを判定する。具体的には、実施例1における有効無効判定部34は、サービス提供装置50のサービス提供部52によって利用者端末10から送信されたサービス要求が受信されると、利用経路記憶部33に記憶されている利用者識別子と利用経路情報との対応づけが、有効な情報であるか、あるいは、無効な情報であるかを判定し、判定した判定結果を、利用経路情報取得部35に送信する。
具体的に例を挙げて説明すると、例えば、有効無効判定部34は、利用経路記憶部33に記憶されている対応づけの有効期間を管理し、対応づけが利用経路記憶部33に記憶されている期間が有効期間を超過しているか否かを判定し、判定の結果、有効期間を超過していない場合には、利用経路情報を有効な情報と判定し、判定の結果、有効期間を超過している場合には、利用経路情報を無効な情報と判定する。
例えば、有効無効判定部34は、有効期間を管理し、利用経路記憶部33に記憶されている更新時刻と現在時刻とから対応づけが利用経路記憶部33に記憶されている期間を算出し、管理している有効期間と算出した期間とを比較することで、対応づけが、有効な情報であるか、あるいは、無効な情報であるかを判定する。
利用経路情報取得部35は、利用経路記憶部33に記憶されている利用経路情報を取得する。具体的には、利用経路情報取得部35は、サービス提供装置50のサービス提供部52によって利用者端末10から送信されたサービス要求が受信されると、受信されたサービス要求に包含されているアカウントに基づいて、当該アカウントに対応づけて利用経路記憶部33に記憶されている利用経路情報を、当該利用経路情報が有効無効判定部34によって有効な情報であると判定されていることを条件として取得し、取得した利用経路情報を、サービス提供装置50の経路照合部53に送信する。
例えば、利用経路情報取得部35は、アカウント『User2』の利用者によって利用される利用者端末10から送信されたサービス要求が受信されると、アカウント『User2』に基づいて、アカウント『User2』に対応づけて利用経路記憶部33に記憶されている利用経路情報『Line20A』を、利用経路情報『Line20A』が有効無効判定部34によって有効な情報であると判定されていることを条件として取得し、取得した利用経路情報『Line20A』を送信する。
[サービス要求元経路管理装置40]
実施例1におけるサービス要求元経路管理装置40は、図2に示すように、通信部41と、アドレス通信経路情報記憶部42と、サービス要求元経路情報取得部43とを備える。なお、アドレス通信経路情報記憶部42は、特許請求の範囲に記載の「アドレス通信経路情報記憶手段」に対応し、サービス要求元経路情報取得部43は、特許請求の範囲に記載の「サービス要求元経路情報取得手段」に対応する。
通信部41は、一般的な通信用のインタフェースおよびライブラリを備え、サービス要求元経路管理装置40とその他の装置との間の通信を制御する。
アドレス通信経路情報記憶部42は、IPアドレスと通信経路情報とを対応づけて記憶する。具体的には、アドレス通信経路情報記憶部42は、ネットワーク60やネットワーク70の構成と関連して利用者端末10に付与されるIPアドレスと、IPアドレスを付与された利用者端末10が当該構成で通信経路とするはずの通信経路情報とを対応づけて記憶しており、記憶しているこれらの情報は、サービス要求元経路情報取得部43による処理に利用されるなどする。なお、アドレス通信経路情報記憶部42は、例えば、認証システムの運用管理者などによって入力されることなどによって、これらの情報を予め記憶している。
例えば、アドレス通信経路情報記憶部42は、図4に示すように、IPアドレスと通信経路情報(『経路』)とを対応づけて記憶する。具体的に例を挙げて説明すると、図4に示すように、例えば、アドレス通信経路情報記憶部42は、IPアドレス『10.1.2.10』、『10.1.2.20』、および『10.1.2.30』と、通信経路情報『Line20A』とを対応づけて記憶する。
サービス要求元経路情報取得部43は、サービス要求元経路情報を取得する。具体的には、サービス要求元経路情報取得部43は、サービス提供装置50のサービス提供部52によって利用者端末10から送信されたサービス要求が受信されると、受信されたサービス要求に包含されている利用者端末10のIPアドレスに基づいて、当該IPアドレスに対応づけてアドレス通信経路情報記憶部42によって記憶されている通信経路情報を、サービス要求元経路情報として取得し、取得したサービス要求元経路情報を、サービス提供装置50の経路照合部53に送信する。
例えば、サービス要求元経路情報取得部43は、IPアドレス『10.1.2.20』の利用者端末10から送信されたサービス要求が受信されると、IPアドレス『10.1.2.20』に基づいて、IPアドレス『10.1.2.20』に対応づけてアドレス通信経路情報記憶部42に記憶されている利用経路情報『Line20A』を取得し、取得した利用経路情報『Line20A』を送信する。
[サービス提供装置50]
実施例1におけるサービス提供装置50は、図2に示すように、通信部51と、サービス提供部52と、経路照合部53とを備える。なお、実施例1におけるサービス提供部52は、特許請求の範囲に記載の「サービス要求受信手段」と「サービス提供手段」とに対応し、経路照合部53は、特許請求の範囲に記載の「経路照合手段」に対応する。
通信部51は、一般的な通信用のインタフェースおよびライブラリを備え、サービス提供装置50とその他の装置との間の通信を制御する。
サービス提供部52は、サービス要求の送信先として、サービス要求を受信する。また、サービス提供部52は、サービス要求を送信した利用者端末10に対して、サービスを提供するように設定を行う。具体的には、サービス提供部52は、サービス要求の送信先として、サービス要求をアカウントとともに利用者端末10から受信する。また、サービス提供部52は、経路照合部53によって利用経路情報とサービス要求元経路情報とが一致すると照合されたことを条件として、利用経路情報およびサービス要求元経路情報の取得に用いられたサービス要求を送信した利用者端末10に対して、サービスを提供するように設定を行う。
経路照合部53は、利用経路情報とサービス要求元経路情報とが一致するか否かを照合する。具体的には、経路照合部53は、利用経路情報取得部35によって取得された利用経路情報と、サービス要求元経路情報取得部43によって取得されたサービス要求元経路情報とが一致するか否かを照合し、照合した結果を、サービス提供部52に送信する。
例えば、経路照合部53は、利用経路情報取得部35によって取得された利用経路情報『Line20A』と、サービス要求元経路情報取得部43によって取得されたサービス要求元経路情報『Line20A』とが一致するか否かを照合し、一致すると照合した結果を、サービス提供部52に送信する。サービス提供部52においては、この結果を受けて、利用経路情報およびサービス要求元経路情報の取得に用いられたサービス要求を送信した利用者端末10(例えば、『User2』)に対して、サービスを提供するように設定を行う。
[実施例1に係る認証システムによる処理の手順]
これまで、実施例1に係る認証システムを構成する各装置や各部について簡単に説明してきたが、以下では、図5〜7を用いて、実施例1に係る認証システムによる処理の手順を詳述する。図5は、実施例1に係る認証システムによる処理の手順(利用経路登録要求段階)を示すシーケンス図であり、図6は、実施例1に係る認証システムによる処理の手順(サービス要求段階)を示すシーケンス図であり、図7は、実施例1に係る認証システムの各部間の情報の流れを説明するための図である。
もっとも、実施例1においては、アクセスポイント20として無線LANのアクセスポイントを前提とし、また、利用経路管理装置30がRADIUSサーバとしての機能を兼ね備え、利用者端末10と利用経路管理装置30(RADIUSサーバ)との間で、IEEE802.1x(Institute of Electrical and Electronic Engineers 802.1x)による相互認証が行われることを前提とし、さらに、サービス提供装置50がSIPサーバであることを前提として説明するものであるが、本発明はこれに限られるものではない。利用者端末10とアクセスポイント20との間が有線LANの場合や、利用者端末10とネットワーク接続装置との間でその他の相互認証(例えば、アカウントとパスワードによる認証など)が行われる場合や、サービス提供装置50がWWWサーバである場合など、いずれでもよい。つまり、本発明は、特定のネットワークや相互認証の方式、サービス提供装置のサービス内容等に依存するものではない。
[利用経路登録要求段階]
まず、利用者端末10のネットワーク接続要求部12が、ネットワーク70に接続することを要求するネットワーク接続要求の一環として、『EAPOL(Extensible Authentication Protocol over LAN)-Start』を、アクセスポイント20に送信する(ステップS101)。すると、アクセスポイント20は、『EAPOL-Start』に対する応答として、アカウント(以下、利用者IDという)を送信することを要求する『EAP-Req/Identity』を、利用者端末10に送信する(ステップS102)。
次に、利用者端末10のネットワーク接続要求部12が、『EAP−Resp』を、利用者ID(例えば、『User2』)とともに、アクセスポイント20に送信する(ステップS103)。
すると、アクセスポイント20の利用経路登録要求部22は、利用経路情報を付与した上で(ステップS104)、利用経路情報を利用経路管理装置30の利用経路記憶部33に登録することを要求する利用経路登録要求を、利用者IDとともに利用経路管理装置30に送信する(ステップS105)。例えば、利用経路登録要求部22は、『EAP−Resp/RADIUS』に、アクセスポイント20のIPアドレスを利用経路情報として付与するなどした上で、利用経路登録要求を送信する。
続いて、利用者端末10と利用経路管理装置30(RADIUSサーバ)との間で、『EAP-TLS(Transport Layer Security)』による相互認証処理が実行される(ステップS106)。
この相互認証が成功すると、利用経路管理装置30の利用経路登録部32は、利用経路登録要求が送信されてきた通信経路を取得し、取得した通信経路(例えば、『Line20A』)を利用経路情報として、利用経路登録要求とともに送信されてきた利用者ID(『User2』)と利用経路情報(『Line20A』)とを対応づけて、利用経路管理装置30の利用経路記憶部33に登録する(ステップS107)。すると、利用経路記憶部33は、利用者ID(『User2』)と利用経路情報(『Line20A』)とを対応づけて記憶する。
なお、実施例1における利用経路記憶部33は、利用者IDと利用経路情報とを対応づけて記憶する他に、当該対応づけが利用経路記憶部33に記憶されている期間に関する情報をさらに対応づけて記憶する。例えば、利用経路記憶部33は、期間に関する情報として、当該対応づけの更新時刻(初回については登録時刻。例えば、『2007.5.1 15:20』)をさらに対応づけて記憶する。
その後、利用経路管理装置30は、利用経路登録の結果を、『EAP-Success/RADIUS』などでアクセスポイント20に通知し(ステップS108)、アクセスポイント20は、『EAP-Success』を利用者端末10に送信する(ステップS109)。
なお、実施例1においては、アクセスポイント20の利用経路登録要求部22が、RADIUSプロトコルに、アクセスポイント20のIPアドレスを利用経路情報として付与するなどした上で、利用経路登録要求を送信する手法を説明した。この手法によれば、利用経路管理装置30の利用経路登録部32は、利用経路情報に付与されたアクセスポイント20のIPアドレスを参照するなどして、通信経路を取得することになる。もっとも、本発明はこの手法に限られるものではない。例えば、利用経路管理装置30の利用経路登録部32が、利用経路登録要求の発IPアドレスを取得することで、アクセスポイント20のIPアドレスを取得し、通信経路を取得する手法などでもよい。
[サービス要求段階]
次に、利用者端末10のサービス要求部13が、サービスの提供を受けることを要求するサービス要求の一環として、『REGISTER要求』を、利用者ID(『User2』)とともに、サービス提供装置50のサービス提供部52に送信する(ステップS151)。
すると、サービス提供装置50(SIPサーバ)のサービス提供部52は、サービス要求の送信先として、サービス要求である『REGISTER要求』を利用者ID(『User2』)とともに受信し(ステップS151)、『REGISTER要求』に包含されている利用者端末10のIPアドレス(『10.1.2.20』)を取得し、IPアドレス(『10.1.2.20』)を包含するメッセージを、サービス要求元経路管理装置40に送信する(ステップS152)。
次に、サービス要求元経路管理装置40のサービス要求元経路情報取得部43は、サービス要求の送信元を示す情報として『REGISTER要求』に包含されている利用者端末10のIPアドレス(『10.1.2.20』)に基づいてアドレス通信経路情報記憶部42を検索し(ステップS153)、当該IPアドレス(『10.1.2.20』)に対応づけてアドレス通信経路情報記憶部42に記憶されている通信経路情報『Line20A』を、サービス要求元経路情報として取得し、サービス提供装置50の経路照合部53に送信する(ステップS154)。
また、サービス提供装置50(SIPサーバ)のサービス提供部52は、『REGISTER要求』に包含されている利用者端末10の利用者ID(『User2』)を取得し、利用者ID(『User2』)を包含するメッセージを、利用経路管理装置30に送信する(ステップS155)。
次に、利用経路管理装置30の利用経路情報取得部35は、利用者ID(『User2』)に基づいて利用経路記憶部33を検索する(ステップS156)。この時、利用経路管理装置30の有効無効判定部34が、利用経路記憶部33によって記憶されている利用者IDと利用経路情報との対応づけが、有効な情報であるか、あるいは、無効な情報であるかを判定している。そして、利用経路情報取得部35は、当該利用者ID(『User2』)に対応づけて利用経路記憶部33に記憶されている利用経路情報(『Line20A』)を、当該利用経路情報が有効無効判定部34によって有効な情報であると判定されていることを条件として取得し、サービス提供装置50の経路照合部53に送信する(ステップS157)。なお、アクセスポイント20は、有効無効判定部34によって、対応づけが無効な情報であると判定した場合には、利用経路記憶部33に記憶している対応づけを無効化または削除する。
サービス提供装置50の経路照合部53は、ステップS154で受信したサービス要求元経路情報と、ステップS157で受信した利用経路情報とが一致するか否かを照合する(ステップS158)。
そして、サービス提供装置50のサービス提供部52は、経路照合部53において、利用経路情報とサービス要求元経路情報との照合が一致であるとされたことを条件として、当該利用経路情報およびサービス要求元経路情報の取得に用いられたサービス要求を送信した利用者端末10に対して、サービスを提供するように設定を行う。
例えば、サービス提供装置50のサービス提供部52は、照合が一致であるとされると(ステップS158肯定)、『REGISTER登録』を完了し(ステップS159)、その後、登録結果として、『REGISTER完了通信メッセージ 200 OK』を利用者端末10に送信するなどする(ステップS160)。仮に、『REGISTER要求』に包含される利用者IDが『User3』であった場合などで、ステップS157で受信した利用経路情報が『Line20B』である場合など、サービス提供装置50のサービス提供部52は、照合が不一致であるとされると(ステップS158否定)、『REGISTER登録』を完了せずに、登録結果を利用者端末10に通知するなどする。
以上が、実施例1に係る認証システムによる処理の手順の一例を詳述したものであるが、例えば、ステップS152〜S154までに行われたサービス要求元経路を取得する手順と、ステップS155〜157までに行われた利用経路を取得する手順とが、入れ替わった手順によっても、本発明を同様に適用することができる。
つまり、本発明に係る認証システムにおいては、各部間の情報の流れが、図7に示すようになればよいのである。なお、図7において、矢印は、情報の流れる方向を示すものであり、吹き出しは、情報の中身を示すものであり、点線の吹き出しが、通常の情報であるのに対し、実線の吹き出しは、本発明における認証(照合)で用いられる「利用経路情報」と「サービス要求元経路情報」とを強調しているものである。
図7について簡単に説明すると、利用経路登録要求段階において、ネットワークに接続することを要求するネットワーク接続要求部12(ただし、ネットワーク接続要求部12は、認証システムを構成する部ではない)が、ネットワーク接続要求を利用者IDとともに利用経路登録要求部22に送信すると、利用経路登録要求部22が、利用経路登録要求を利用経路登録部32に送信し、利用経路登録部32が、利用経路登録要求が送信されてきた通信経路を取得し、取得した通信経路を利用経路情報として、利用者IDと対応づけて利用経路記憶部33に登録する。
一方、サービス要求段階において、サービスの提供を受けることを要求するサービス要求部13(ただし、サービス要求部13は、認証システムを構成する部ではない)が、サービス要求を利用者IDとともにサービス提供部52に送信すると、サービス提供部52は、利用者IDを包含するサービス要求を、経路照合部53に送信する。
経路照合部53が、利用者IDを利用経路情報取得部35に送信すると、利用経路情報取得部35は、受信した利用者IDに基づいて、利用者IDに対応づけて利用経路記憶部33に記憶されている利用経路情報を取得する。この時、有効無効判定部34が、利用経路記憶部33によって記憶されている利用者IDと利用経路情報との対応づけが、有効な情報であるか、あるいは、無効な情報であるかを判定している。そして、利用経路情報取得部35は、利用経路情報を、利用経路情報が有効無効判定部34によって有効な情報であると判定されていることを条件として取得し、取得した利用経路情報を、経路照合部53に送信する。
また、経路照合部53が、サービス要求(サービス要求の送信元を示すIPアドレスを包含する)をサービス要求元経路情報取得部43に送信すると、サービス要求元経路情報取得部43は、受信したIPアドレスに基づいて、IPアドレスに対応づけてアドレス通信経路情報記憶部42に記憶されているサービス要求元経路情報を取得する。サービス要求元経路情報取得部43は、取得したサービス要求元経路情報を、経路照合部53に送信する。
経路照合部53は、利用経路情報取得部35によって取得された利用経路情報と、サービス要求元経路情報取得部43によって取得されたサービス要求元経路情報とが一致するか否かを判定し、判定が一致する場合に照合が一致であるとし、判定が一致しない場合や利用経路情報が利用経路情報取得部35によって取得されなかった場合に照合が不一致であるとする照合結果を、サービス提供部52に送信する。
こうして、本発明に係る認証システムは、当該利用者の情報として有効な情報であることが判定されている利用経路情報とサービス要求元経路情報とを照合し、両者が一致すると照合したことを条件として、サービス要求を送信した利用者IDが詐称されていないことを確認し、当該利用者IDで一意に識別される利用者によって利用される利用者端末にサービスを提供するように、サービス提供装置が設定を行う。
なお、これまで、実施例1においては、上記してきたような各部が、図2に示すように構成されていることを前提として説明してきた。しかしながら、本発明はこれに限られるものではない。例えば、本発明に係る認証システムにおいては、各部が、図8に示すように構成されていてもよい。図2と図8とを比較するとわかるように、図8に示す認証システムにおいては、利用経路管理装置30やサービス要求元経路管理装置40に相当する機能が、サービス提供装置150に統括して構成されている。なお、本発明に係る認証システムにおいては、図2や図8に示す構成以外の他の構成などによって構成されていてもよい。
[実施例1の効果]
上記してきたように、実施例1によれば、利用者によって利用される利用者端末をネットワークに接続するように制御することで、当該利用者端末に対して当該ネットワークの接続を伴うサービスを提供するサービス提供装置と当該利用者端末とを当該ネットワークを介して通信可能に接続させる構成において、当該ネットワークに接続するように制御された当該利用者端末の当該ネットワーク上における通信経路を示す利用経路情報と、前記サービスの提供を受けることを要求するサービス要求が現に送信されてきた通信経路を示すサービス要求元経路情報とが一致すると照合したことを条件として、当該サービス要求を送信した当該利用者端末に対して前記サービスを提供するように前記サービス提供装置が設定を行う認証システムであって、前記利用者端末を現に利用している利用者を前記構成と関連して当該利用者端末に付与されるネットワークアドレスとは異なる情報で当該ネットワーク上で一意に識別する利用者識別子と、前記利用経路情報とを対応づけて記憶し、前記ネットワークに接続することを要求するネットワーク接続要求を前記利用者識別子とともに前記利用者端末から受信すると、前記利用経路情報を登録することを要求する利用経路登録要求を当該利用者識別子とともに送信し、送信された前記利用経路登録要求を前記利用者識別子とともに受信すると、当該利用経路登録要求が送信されてきた通信経路を取得し、取得した当該通信経路を前記利用経路情報として、当該利用経路登録要求とともに送信されてきた前記利用者識別子と対応づけて登録し、前記サービス要求の送信先として、当該サービス要求を前記利用者識別子とともに前記利用者端末から受信し、記憶されている前記利用者識別子と前記利用経路情報との対応づけが、有効な情報であるか、あるいは、無効な情報であるかを判定し、前記サービス要求が受信されると、受信された当該サービス要求に包含されている前記利用者識別子に基づいて、当該利用者識別子に対応づけて記憶されている利用経路情報を、当該利用経路情報が有効な情報であると判定されていることを条件として取得し、前記サービス要求が受信されると、受信された当該サービス要求が現に送信されてきた通信経路を示す前記サービス要求元経路情報を取得し、取得された前記利用経路情報と取得されたサービス要求元経路情報とが一致するか否かを判定し、当該判定が一致する場合に前記照合が一致であるとし、当該判定が一致しない場合および/または前記利用経路情報が取得されなかった場合に前記照合が不一致であるとし、前記利用経路情報と前記サービス要求元経路情報との照合が一致であるとされたことを条件として、当該利用経路情報および当該サービス要求元経路情報の取得に用いられたサービス要求を送信した利用者端末に対して、前記サービスを提供するように設定を行うので、予め記憶している利用者端末の通信経路が無効な情報となった場合に、当該無効な情報を悪用して行われる攻撃を防止した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することが可能になる。
具体的に例を挙げて説明すると、利用者端末とネットワークとの接続が切断されたことによって、利用者識別子と利用経路情報との対応づけが実際の対応づけとは異なる状態になった場合に(予め記憶部に記憶している情報が無効な情報となった場合に)、悪意者によって、無効な情報となっている利用経路情報と同じ通信経路で、当該利用経路情報と対応づけられて記憶されている正規の利用者識別子を利用した「なりすまし」が行われたとする。このような場合に、請求項1の発明によれば、当該利用経路情報が無効な情報となったことを判定することから、認証システムは、悪意者によってなりすまされた問い合わせに包含される利用者識別子に対応づけて記憶している利用経路情報を取得して照合を行うことはない。したがって、サービス要求を送信した利用者識別子(悪意者によってなりすまされた利用者識別子)が詐称されていないと誤判定してしまう事態を回避することが可能になる。
すなわち、実施例1によれば、利用者認証において、他人の成りすましを排除し、サービス提供装置側の利用者認証処理を容易にすることができ、利用者の移動などに伴う利用場所の動的な変化にも対応した利用者認証方法を提供することが可能になる。
また、実施例1によれば、前記利用者識別子と前記利用経路情報とを対応づけて記憶する他に、当該対応づけが記憶されている期間に関する情報をさらに対応づけて記憶し、前記期間が所定の期間を超過しているか否かを判定し、当該判定の結果前記期間を超過していない場合には、前記対応づけを有効な情報と判定し、当該判定の結果前記期間を超過している場合には、前記対応づけを無効な情報と判定するので、有効期間を管理するという簡易な手法によって、予め記憶している利用者端末の通信経路が無効な情報となった場合に、当該無効な情報を悪用して行われる攻撃を防止した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することが可能になる。
また、例えば、仮に、認証システムが、利用者端末がネットワークに接続している接続状態について、「接続」や「切断」などの状態変化を示す信号を受信することのみによって、対応づけを有効な情報であるか無効な情報であるかを判定する手法を採用しているとすると、当該信号の転送がエラーとなった場合などに、認証システムにおいて無効化すべき利用経路情報が、有効な情報として残存してしまうことになる。一方、実施例1によれば、認証システムは、有効期間をベースとして、対応づけを有効な情報であるか無効な情報であるかを判定する手法を採用しているので、上記の転送エラーが発生したとしても、一定時間後には当該対応づけは無効化されることから、当該無効な情報を悪用して行われる攻撃を防止することが可能になる。
また、実施例1によれば、前記利用者端末を前記ネットワークに接続するように制御した後に、当該利用者端末の当該ネットワークにおける接続状態に関する情報を更新することを要求する更新要求を周期的に受信し、前記更新要求が受信されると、前記期間に関する情報を、当該更新要求を受信した更新時刻から当該期間を起算するように更新して記憶するので、上記の効果に加え、期間に関する情報を適切に更新することが可能になる。
また、利用者端末がネットワークに継続して接続している継続時間は、毎回一定となるものではないことから、例えば、仮に、認証システムが、利用者端末がネットワーク接続を開始した時点からの期間を有効期間と比較する手法を採用しているとすると、運用パラメータである有効期間を適切に決定することが難しくなるおそれがある(つまり、例えば、30分といった有効期間を超過しても継続してサービスの提供を受けたい利用者端末であっても、30分を超過すると強制的にネットワークを切断されてしまうなど)。一方、請求項3の発明によれば、認証システムは、周期的に有効期限をアップデートする手法を採用しているので、上記のような所定の有効期間を超過する場合のニーズにも対応することが可能になり、有効期間を適切に決定することが可能になるなど、運用面においても有効な効果を奏する。
また、実施例1によれば、前記構成と関連して前記利用者端末に付与されるネットワークアドレスと、当該ネットワークアドレスを付与された利用者端末が当該構成で通信経路とするはずの通信経路情報とを対応づけて記憶し、当該サービス要求に包含されている利用者端末のネットワークアドレスに基づいて、当該ネットワークアドレスに対応づけて記憶されている通信経路情報を前記サービス要求元経路情報として取得するので、上記の効果に加え、ネットワークアドレスと通信経路情報とを事前に登録しておくことで、ネットワーク接続装置の負荷を軽減した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することが可能になる。
言い換えると、実施例1によれば、通信経路上の装置は、パケットを転送する機能のみを備えていればよいことから、サービス要求の通信経路を示す情報をサービス要求に付加する手法に比較して、ネットワーク接続装置の負荷を軽減した上で、簡易に、利用者端末のアドレス情報が動的に変化する場合の認証に対応することが可能になる。
これまで、実施例1として、本発明に係る認証システムが、サービス要求元経路情報を、IPアドレスと通信経路情報とを対応づけて記憶するアドレス通信経路情報記憶部などから取得する手法について説明してきた。しかしながら、本発明はこれに限られるものではない。そこで、次に、実施例2として、本発明に係る認証システムが、サービス要求元経路情報を、サービス要求に付加されている情報から取得する手法について、図9〜16を用いて説明する。図9は、実施例2に係る認証システムの概要および特徴を説明するための図である。
[実施例2に係る認証システムの概要および特徴]
実施例2に係る認証システムも、実施例1に係る認証システムと同様、予め記憶している利用経路情報が無効な情報となった場合に、当該無効な情報を悪用して行われる攻撃を防止した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することを主たる特徴とする。ここで、図1と図9とを比較するとわかるように、実施例2に係る認証システムにおいては、ルータとサービス要求元経路保証装置とが、構成要素として新たに追加されている。
実施例2に係る認証システムの主たる特徴について簡単に説明すると、まず、実施例2に係る認証システムは、実施例1と同様に、利用経路管理装置が、アカウントと利用経路情報とを対応づけて記憶する利用経路記憶部を備えている。しかしながら、実施例2に係る認証システムは、実施例1と異なり、サービス要求元経路管理装置が、IPアドレスと通信経路情報とを対応づけて記憶するアドレス通信経路情報記憶部を備える必要がない。
また、実施例2に係る認証システムは、実施例1と異なり、図9に示すように、サービス要求元経路保証装置が、VLANID(Virtual LAN ID)と通信経路情報(『経路』)とを対応づけて記憶するVLAN管理部を備えている。ここで、VLANIDとは、アクセスポイントとルータとの間で付与されているIDとしての意味を持つ。また、通信経路情報は、所定のVLANIDを付与されたアクセスポイントを経由する利用者端末が、ネットワークの構成で通信経路とするはずの通信経路情報であり、サービス要求の通信経路を示すサービス要求通信経路情報としての意味を持つ。つまり、例えば、図9の例で説明すると、VLANID『10』を付与されているアクセスポイントを経由する利用者端末は、実施例2におけるネットワークの構成では、『Line20A』を通信経路とするはずであることを、VLANID管理部が記憶していることになる。
そこで、サービス要求段階について説明すると、まず、利用者端末は、実施例1と同様、サービス要求を、アカウントとともに送信先に送信する(図9の(1)を参照)。
すると、実施例2に係る認証システムにおいては、サービス要求元経路保証装置が、サービス要求を当該サービス要求の送信先に向けて転送する際に受信すると、サービス要求の通信経路を示すサービス要求通信経路情報を電子署名付きでサービス要求に付加し、その後、サービス要求を送信先に向けて転送する(図9の(2)を参照)。
例えば、サービス要求元経路保証装置は、サービス要求を利用者端末から受信すると、受信したサービス要求が経由してきたアクセスポイントに基づいて、当該アクセスポイントに付与されたVLANIDに対応づけてVLAN管理部に記憶されている通信経路情報を取得する。例えば、サービス要求元経路保証装置は、VLANID『10』に基づいて、VLANID『10』に対応づけてVLAN管理部に記憶されている通信経路情報『Line20A』を取得する。そして、サービス要求元経路保証装置は、取得した通信経路情報『Line20A』をサービス要求に付加し、電子署名付きで送信先のサービス提供装置に転送する。
すると、サービス提供装置が、サービス要求の送信先として、サービス要求をアカウントとともに利用者端末から受信すると(図9の(3)を参照)、実施例1と同様、利用経路管理装置は、受信したサービス要求に包含されているアカウントに基づいて、アカウントに対応づけて利用経路記憶部に記憶されている利用経路情報を取得する(図9の(5)−2を参照)。
ここで、利用経路管理装置は、利用経路情報の取得に先立ち、利用経路記憶部に記憶している利用者識別子と利用経路情報との対応づけが、有効な情報であるか、あるいは、無効な情報であるかを判定する(図1の(5)−1を参照)。また、利用経路管理装置は、利用経路情報が有効な情報であると判定されていることを条件として、利用経路情報を取得する。このようにすることで、本発明に係る認証システムは、予め記憶している利用経路情報が無効な情報となった場合に、当該無効な情報を悪用して行われる攻撃を防止するのである。
一方、サービス提供装置が、サービス要求を受信すると(図9の(3)を参照)、実施例1と異なり、サービス要求元経路装置が、サービス要求の電子署名を検証した上で(図9の(4)を参照)、サービス要求に付加されたサービス要求元通信経路情報『Line20A』をサービス要求元経路情報として取得する(図9の(5)−3を参照)。
その後は、実施例1と同様、サービス提供装置は、利用経路管理装置によって取得された利用経路情報と、サービス要求元経路管理装置によって取得されたサービス要求元経路情報とが一致するか否かを照合し(図9の(6)を参照)、一致すると照合されたことを条件として、利用経路情報およびサービス要求元経路情報の取得に用いられたサービス要求を送信した利用者端末に対して、サービスを提供するように設定を行う。
このようにして、実施例2に係る認証システムは、実施例1の効果に加え、ネットワークトポロジ設計変更(例えば、拠点ごとのネットワークアドレス体系が変更された場合など)の影響を受けないことから、ネットワークアドレスと通信経路情報とを事前に登録しておく手法に比較して、ネットワーク接続装置の負荷を軽減した上で、柔軟に、利用者端末のアドレス情報が動的に変化する場合の認証に対応することが可能になる。
[実施例2に係る認証システムの構成]
次に、図10〜12を用いて、実施例2に係る認証システムの構成を説明する。図10は、実施例2に係る認証システムの構成を示すブロック図であり、図11は、VLAN管理部を説明するための図であり、図12は、電子署名の検証について説明するための図である。なお、実施例2に係る認証システムの構成を説明するにあたっては、実施例1に係る認証システムの構成との違いを主に説明することとする。
図10に示すように、実施例2に係る認証システムにおいては、ルータ280とサービス要求元経路保証装置290とが、構成要素として新たに追加されている。実施例2においては、このサービス要求経路保証装置290が、通信部291と、VLAN管理部292と、サービス要求転送部293(特許請求の範囲に記載の「サービス要求転送手段」に対応する)とを備えている。
通信部291は、一般的な通信用のインタフェースおよびライブラリを備え、サービス要求元経路保証装置290とその他の装置との間の通信を制御する。
VLAN管理部292は、VLANIDと通信経路情報とを対応づけて記憶する。具体的には、VLAN管理部292は、例えば、ネットワークの運用管理者などによって予め登録されることなどで、VLANIDと通信経路情報とを対応づけて記憶し、記憶したこれらの情報は、サービス提供装置250の経路照合部253による処理に利用されるなどする。ここで、VLANIDとは、アクセスポイント220とルータ280との間で付与されているIDとしての意味を持つ。また、通信経路情報は、所定のVLANIDを付与されたアクセスポイント220を経由する利用者端末210が、ネットワークの構成で通信経路とするはずの通信経路情報であり、サービス要求の通信経路を示すサービス要求通信経路情報としての意味を持つ。
例えば、VLAN管理部292は、図11に示すように、VLANIDと通信経路情報(『通信経路』)とを対応づけて記憶する。具体的に例を挙げて説明すると、図11に示すように、例えば、VLAN管理部292は、VLANID『10』と、通信経路情報『Line20A』とを対応づけて記憶する。
サービス要求転送部293は、サービス要求の通信経路を示すサービス要求通信経路情報をサービス要求に付加し、サービス要求を送信先に向けて転送する。具体的には、サービス要求転送部は、サービス要求をサービス要求の送信先に向けて転送する際に受信すると、電子署名付きでサービス要求通信経路情報をサービス要求に付加し、その後、送信先のサービス提供装置250に向けて転送する。
例えば、サービス要求転送部293は、受信したサービス要求が経由してきたアクセスポイント220に基づいて、当該アクセスポイント220に付与されたVLANIDに対応づけてVLAN管理部292に記憶されている通信経路情報を取得する。例えば、サービス要求転送部293は、VLANID『10』に基づいて、『10』に対応づけてVLAN管理部292に記憶されている通信経路情報『Line20A』を取得する。そして、サービス要求転送部293は、取得した通信経路情報『Line20A』をサービス要求に付加し、電子署名付きで送信先のサービス提供装置250に転送する。
実施例2におけるサービス要求元経路管理装置240のサービス要求元経路情報取得部243は、サービス要求の電子署名を検証した上で、サービス要求に付加されている通信経路情報を、サービス要求元経路情報として取得する。
この電子署名の検証について具体的に例を挙げて説明すると、例えば、サービス要求転送部293が、図12の(1)に示すように、サービス要求にサービス要求の通信経路を示すサービス要求通信経路情報『Line20A』を付加し、図12の(2)に示すように、サービス要求通信経路情報が付加されたサービス要求全体をハッシュ化し、このハッシュ値に対して、サービス要求元経路保証装置290の秘密鍵SKey90Aで電子署名を付与するとする。
サービス要求転送部293が、図12の(3)に示すように、電子署名付きのサービス要求をサービス提供装置250に転送すると、サービス要求元経路管理装置240のサービス要求元経路情報取得部243は、図12の(4)に示すように、秘密鍵SKey90Aに対応する公開鍵PKey90Aでハッシュ値を取り出し、これとは別に、サービス要求通信経路情報が付加されたサービス要求全体をハッシュ化し、ハッシュ値同士を比較することで、電子署名を検証する。
なお、上記した電子署名の検証はあくまで一例にすぎず、本発明に係る認証システムは、その他の手法で電子署名を付与し、その他の手法で電子署名を検証してもよい。また、実施例2においては、サービス要求転送部293が電子署名付きでサービス要求を転送する手法を説明したが、本発明はこれに限られるものではなく、サービス要求転送部293が、単にサービス要求通信経路情報をサービス要求に付加して転送する手法(電子署名を付与しない手法)にも、本発明を同様に適用することができる。この場合には、サービス要求元経路管理装置240のサービス要求元経路情報取得部243は、電子署名を検証することなくサービス要求元経路情報を取得する。
[実施例2に係る認証システムによる処理の手順]
これまで、実施例2に係る認証システムを構成する各装置や各部について簡単に説明してきたが、以下では、図13〜15を用いて、実施例2に係る認証システムによる処理の手順を詳述する。図13は、実施例2に係る認証システムによる処理の手順(利用経路登録要求段階)を示すシーケンス図であり、図14は、実施例2に係る認証システムによる処理の手順(サービス要求段階)を示すシーケンス図であり、図15は、実施例2に係る認証システムの各部間の情報の流れを説明するための図である。
[利用経路登録要求段階]
実施例2に係る認証システムにおける利用登録要求段階の処理の手順は、実施例1に係る認証システムにおける利用登録要求段階の処理の手順と同じである(図5を参照)。そこで、簡単に説明すると、まず、実施例1と同様、利用者端末210のネットワーク接続要求部212が、ネットワーク接続要求の一環として『EAPOL-Start』をアクセスポイント220に送信し(ステップS201)、すると、アクセスポイント220は、『EAPOL-Start』に対する応答として、利用者IDを送信することを要求する『EAP-Req/Identity』を、利用者端末210に送信し(ステップS202)、次に、利用者端末210のネットワーク接続要求部12が、『EAP−Resp』を、利用者IDとともに、アクセスポイント220に送信し(ステップS203)、すると、アクセスポイント220の利用経路登録要求部222は、利用経路情報を付与した上で(ステップS204)、利用経路登録要求を、利用者IDとともに利用経路管理装置230に送信し(ステップS205)、続いて、利用者端末210と利用経路管理装置230との間で相互認証処理が実行され(ステップS206)、相互認証が成功した場合、利用経路管理装置230の利用経路登録部232は、利用経路登録要求が送信されてきた通信経路を取得し、取得した通信経路を利用経路情報として、利用経路登録要求とともに送信されてきた利用者IDと利用経路情報とを対応づけて、利用経路管理装置230の利用経路記憶部233に登録し(ステップS207)、その後、利用経路管理装置230は、利用経路登録の結果を、アクセスポイント220に通知し(ステップS208)、アクセスポイント220は、『EAP-Success』を利用者端末210に送信する(ステップS209)。
[サービス要求段階]
次に、実施例1と同様、利用者端末210のサービス要求部213が、サービスの提供を受けることを要求するサービス要求の一環として、『REGISTER要求』を、利用者ID(『User2』)とともに、サービス提供装置250のサービス提供部252に送信する(ステップS251)。
すると、ルータ280が、利用者端末210から送信されたサービス要求を受信し、サービス要求元経路保証装置290に転送する(ステップS252)。そして、サービス要求元経路保証装置290のサービス要求転送部293は、VLAN ID『10』に基づいて、『10』に対応づけてVLAN管理部292に記憶されている通信経路情報『Line20A』を取得し、取得した通信経路情報『Line20A』をサービス要求に付加し(ステップS253)、サービス要求元経路保証装置290の持つ秘密鍵SKey90Aによる電子署名を付与して(ステップS254)、サービス要求をルータ280に返信する(ステップS255)。
続いて、ルータ280は、サービス要求元経路保証装置290から受信した電子署名付きのサービス要求を、サービス要求の送信先であるサービス提供装置250に向けて転送する(ステップS256)。
すると、サービス提供装置250(SIPサーバ)のサービス提供部252は、サービス要求の送信先として、サービス要求である『REGISTER要求』を利用者ID(『User2』)、サービス要求元通信経路情報(『Line20A』)、電子署名とともに受信し(ステップS256)、受信したこれらの情報を、サービス要求元経路管理装置240に送信する(ステップS257)。
すると、サービス要求元経路管理装置240のサービス要求元経路情報取得部243は、まず、サービス要求元経路保証装置290の秘密鍵SKey90Aに対応する公開鍵PKey90Aで電子署名を検証し(ステップS258)、データの改ざんが検出されなければ、サービス要求に付加されたサービス要求元通信経路情報『Line20A』を、サービス要求元経路情報として取得し(ステップS259)、サービス提供装置250の経路照合部253に送信する(ステップS260)。
また、実施例1と同様、サービス提供装置250(SIPサーバ)のサービス提供部252は、『REGISTER要求』に包含されている利用者端末210の利用者ID(『User2』)を取得し、利用者ID(『User2』)を包含するメッセージを、利用経路管理装置230に送信する(ステップS261)。
次に、実施例1と同様、利用経路管理装置230の利用経路情報取得部235は、利用者ID(『User2』)に基づいて利用経路記憶部233を検索する(ステップS262)。この時、利用経路管理装置230の有効無効判定部234が、利用経路記憶部233によって記憶されている利用者IDと利用経路情報との対応づけが、有効な情報であるか、あるいは、無効な情報であるかを判定している。そして、利用経路情報取得部235は、当該利用者ID(『User2』)に対応づけて利用経路記憶部233に記憶されている利用経路情報(『Line20A』)を、当該利用経路情報が有効無効判定部234によって有効な情報であると判定されていることを条件として取得し、サービス提供装置250の経路照合部253に送信する(ステップS263)。
そして、実施例1と同様、サービス提供装置250のサービス提供部252は、経路照合部253において、利用経路情報とサービス要求元経路情報とが一致すると照合されたことを条件として、当該利用経路情報およびサービス要求元経路情報の取得に用いられたサービス要求を送信した利用者端末210に対して、サービスを提供するように設定を行う(ステップS264〜S267)。
以上が、実施例2に係る認証システムによる処理の手順の一例を詳述したものであるが、例えば、ステップS257〜S260までに行われたサービス要求元経路を取得する手順と、ステップS261〜S263までに行われた利用経路を取得する手順とが、入れ替わった手順によっても、本発明を同様に適用することができる。
つまり、本発明に係る認証システムにおいては、各部間の情報の流れが、図15に示すようになればよいのである。図15について実施例1との違いを主に説明すると、サービス要求段階において、サービスの提供を受けることを要求するサービス要求部213(ただし、サービス要求部213は、認証システムを構成する部ではない)が、サービス要求を利用者IDとともにサービス提供部252に送信すると、サービス要求をサービス要求の送信先に向けて転送する際に受信したサービス要求転送部292が、当該サービス要求の通信経路を示すサービス要求通信経路情報をサービス要求に付加し、その後、サービス要求を送信先であるサービス提供部252に向けて転送する。
すると、サービス提供部252の経路照合部253が、サービス要求(サービス要求通信経路情報が付加されている)をサービス要求元経路情報取得部243に送信すると、サービス要求元経路情報取得部243は、サービス要求に付加されたサービス要求通信経路情報からサービス要求元経路情報を取得する。サービス要求元経路情報取得部243は、取得したサービス要求元経路情報を、経路照合部253に送信する。
経路照合部253は、利用経路情報取得部235によって取得された利用経路情報と、サービス要求元経路情報取得部243によって取得されたサービス要求元経路情報とが一致するか否かを照合し、一致するか、不一致であるかの照合結果を、サービス提供部252に送信する。
こうして、本発明に係る認証システムは、当該利用者の情報として有効な情報であることが判定されている利用経路情報とサービス要求元経路情報とを照合し、両者が一致すると照合したことを条件として、サービス要求を送信した利用者IDが詐称されていないことを確認し、当該利用者IDで一意に識別される利用者によって利用される利用者端末にサービスを提供するように、サービス提供装置が設定を行う。
なお、これまで、実施例2においては、上記してきたような各部が、図10に示すように構成されていることを前提として説明してきた。しかしながら、本発明はこれに限られるものではない。例えば、本発明に係る認証システムにおいては、各部が、図16に示すように構成されていてもよい。図10と図16とを比較するとわかるように、図16に示す認証システムにおいては、利用経路管理装置230やサービス要求元経路管理装置240に相当する機能が、サービス提供装置350に統括して構成されている。なお、本発明に係る認証システムにおいては、図10や図16に示す構成以外の他の構成などによって構成されていてもよい。
[実施例2の効果]
上記してきたように、実施例2によれば、前記サービス要求を当該サービス要求の送信先に向けて転送する際に受信すると、当該サービス要求の通信経路を示すサービス要求通信経路情報を当該サービス要求に付加し、当該サービス要求を前記送信先に向けて転送し、前記サービス要求通信経路情報を付加された上で転送された前記サービス要求を受信し、前記サービス要求に付加されている前記サービス要求通信経路情報を前記サービス要求元経路情報として取得するので、ネットワークアドレスと通信経路情報とを事前に登録しておかなくても、ネットワーク接続装置の負荷を軽減した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することが可能になる。
言い換えると、実施例2によれば、ネットワークトポロジ設計変更(例えば、拠点ごとのネットワークアドレス体系が変更された場合など)の影響を受けないことから、ネットワークアドレスと通信経路情報とを事前に登録しておく手法に比較して、ネットワーク接続装置の負荷を軽減した上で、柔軟に、利用者端末のアドレス情報が動的に変化する場合の認証に対応することが可能になる。
また、実施例2によれば、電子署名付きで前記サービス要求通信経路情報を前記サービス要求に付加して転送し、前記電子署名付きのサービス要求を受信し、前記サービス要求の電子署名を検証した上で、前記サービス要求通信経路情報を前記サービス要求元経路情報として取得するので、上記の効果に加え、サービス要求通信経路情報の信頼性を向上させることが可能になる。
これまで、実施例1や2として、本発明に係る認証システムが、サービス要求元経路管理装置のアドレス通信経路情報記憶部に記憶されている情報や、利用経路管理装置の利用経路記憶部に記憶されている情報、あるいは、サービス要求元経路保証装置によって付加された情報などを用いて、利用経路情報とサービス要求元経路情報との照合を行う手法について説明してきた。しかしながら、本発明はこれに限られるものではない。例えば、サービス要求元経路装置や利用経路管理装置、あるいは、サービス要求元経路保証装置などによる複雑な手順を踏まずに、アクセスポイントのみで簡単に照合を行う手法にも、本発明を同様に適用することができる。そこで、次に、実施例3として、本発明に係る認証システムが、アクセスポイントのみで簡単に照合を行う手法について、図17〜21を用いて説明する。図17は、実施例3に係る認証システムの概要および特徴を説明するための図である。
[実施例3に係る認証システムの概要および特徴]
実施例3に係る認証システムも、実施例1や2に係る認証システムと同様、予め記憶している利用経路情報が無効な情報となった場合に、当該無効な情報を悪用して行われる攻撃を防止した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することを主たる特徴とする。ここで、図17をみるとわかるように、実施例3に係る認証システムにおいては、サービス要求元経路管理装置、利用経路管理装置、およびサービス要求元経路保証装置は、構成要素となっていない。なお、実施例1や2で利用経路管理装置が兼ね備えていたRADIUSサーバとしての機能は、独立のRADIUSサーバとして、認証システムの構成要素となっている。
実施例3に係る認証システムの主たる特徴について簡単に説明すると、まず、実施例3に係る認証システムは、アクセスポイントが、アカウントと利用経路情報とを対応づけて記憶する利用経路記憶部を備えている。例えば、利用経路記憶部は、アカウントとして『User2』とIPアドレス『10.1.2.20』とを対応づけて記憶している。例えば、これは、アクセスポイントが、『User2』で識別される利用者によって利用される利用者端末から利用経路登録要求を受信すると、当該利用者端末とRADIUSサーバとの間で別途相互認証が行われ、相互認証に成功した当該利用者端末をネットワークに接続するように制御する際に、アクセスポイントが、利用者端末にIPアドレス『10.1.2.20』を割り当て、『User2』とIPアドレス『10.1.2.20』とを対応づけて、利用経路記憶部に登録したものである。
次に、サービス要求段階について説明すると、まず、利用者端末は、実施例1と同様、サービス要求を、アカウントとともに送信先に送信する(図17の(1)を参照)。
すると、実施例3に係る認証システムにおいては、アクセスポイントが、サービス要求の送信先として、サービス要求をアカウントとともに利用者端末から受信する(図17の(2)を参照)。
そして、アクセスポイントは、受信したサービス要求に包含されているアカウントに基づいて、アカウントに対応づけてアクセスポイント自身の利用経路記憶部に記憶されている利用経路情報を取得する(図17の(4)を参照)。
ここで、アクセスポイントは、利用経路情報の取得に先立ち、利用経路記憶部に記憶している利用者識別子と利用経路情報との対応づけが、有効な情報であるか、あるいは、無効な情報であるかを判定する(図1の(3)を参照)。また、アクセスポイントは、利用経路情報が有効な情報であると判定されていることを条件として、利用経路情報を取得する。このようにすることで、本発明に係る認証システムは、予め記憶している利用経路情報が無効な情報となった場合に、当該無効な情報を悪用して行われる攻撃を防止するのである。
一方、アクセスポイントは、サービス要求を受信すると(図17の(2)を参照)、サービス要求に包含されている情報であって、サービス要求の送信元を示す送信元IPアドレスを、サービス要求元経路情報として取得する。
その後は、実施例1と同様、アクセスポイントは、取得した利用経路情報と、取得したサービス要求元経路情報とが一致するか否かを照合し(図17の(5)を参照)、一致すると照合されたことを条件として、利用経路情報およびサービス要求元経路情報の取得に用いられたサービス要求を送信した利用者端末に対して、サービスを提供するように設定を行う。
このようにして、実施例3に係る認証システムは、実施例1の効果に加え、アクセスポイントのみで照合を行う手法であるので、例えば、アクセスポイントを運用管理するネットワーク事業者が、本発明に係る認証システムの大半を実施し、照合の結果のみを、サービス事業者が運用管理するサービス提供装置に送信する、といった運用形態に対応することも可能になる。
[実施例3に係る認証システムの構成]
次に、図18および19を用いて、実施例3に係る認証システムの構成を説明する。図18は、実施例3に係る認証システムの構成を示すブロック図であり、図19は、利用経路記憶部を説明するための図である。なお、実施例3に係る認証システムの構成を説明するにあたっては、実施例1や2に係る認証システムの構成との違いを主に説明することとする。
図18に示すように、実施例3に係る認証システムにおいては、アクセスポイント420が、通信部421や利用経路登録要求/登録部422のみならず、利用経路記憶部423と有効無効判定部424とサービス要求受信部425と利用経路情報取得部426とサービス要求元経路情報取得部427と経路照合部428とIPアドレス割り当て部429とをさらに備える。これらの各部の機能は、実施例1や実施例2に係る認証システムとほぼ同様であるが、実施例1に係る認証システムにおいては、サービス提供装置50のサービス提供部52が、サービス要求の送信先としてサービス要求を受信する機能と、サービスを提供するように設定を行う機能との双方を備えていたが、実施例3に係る認証システムにおいては、これらの機能が、アクセスポイント420とサービス提供装置450とに分散されている点が異なっている。すなわち、アクセスポイント420のサービス要求受信部425が、サービス要求の送信先としてサービス要求を受信する機能を備え(特許請求の範囲に記載の「サービス要求受信手段」に対応する)、サービス提供装置450のサービス提供部452が、サービスを提供するように設定を行う機能を備えている(特許請求の範囲に記載の「サービス提供手段」に対応する)。
また、利用経路記憶部423は、実施例1と同様、アカウントと利用経路情報とを対応づけて記憶するが、実施例1と異なり、利用経路情報として、IPアドレスを記憶する。例えば、利用経路記憶部423は、図19に示すように、アカウント(『利用者ID』)と利用経路情報(『IPアドレス』)とを対応づけて記憶する。
具合的に例を挙げて説明すると、利用経路記憶部423は、図19に示すように、アカウントとして『User2』とIPアドレス『10.1.2.20』とを対応づけて記憶している。例えば、これは、アクセスポイント420が、『User2』で識別される利用者によって利用される利用者端末410から利用経路登録要求を受信すると、当該利用者端末410とRADIUSサーバ430との間で別途相互認証が行われ、相互認証に成功した当該利用者端末410をネットワーク470に接続するように制御する際に、アクセスポイント420が、利用者端末410にIPアドレス『10.1.2.20』を払い出し、『User2』とIPアドレス『10.1.2.20』とを対応づけて、利用経路記憶部423に登録したものである。
また、IPアドレス割り当て部429は、利用者端末410に対して、IPアドレスの割り当てを行う。具体的には、IPアドレス割り当て部429は、まず、利用者端末410とRADIUSサーバ430との間で行われた相互認証処理が成功した旨を、RADIUSサーバ430から通知されたことを契機として、利用者端末410から既に受信しているアカウントとMAC(Media Access Control)アドレスとを対応づけて記憶部に登録する。次に、IPアドレス割り当て部429は、DHCP(Dynamic Host Configuration Protocol)によるIPアドレスの払い出しを要求するIPアドレス払い出し要求を、利用者端末410のMACアドレスとともに利用者端末410から受信すると、記憶部に記憶しているアカウントとMACアドレスとの対応づけから当該MACアドレスを検索し、検索に成功した場合には、利用者端末410に対してIPアドレスの割り当てを行う。そして、IPアドレス割り当て部429は、IPアドレスの割り当てを行った旨を、利用経路登録要求/登録部422に送信する。なお、MACアドレスの検索に失敗した場合には、IPアドレス割り当て部429は、利用者端末410に対してIPアドレスの割り当てを行わず、許否することになる。
[実施例3に係る認証システムによる処理の手順]
これまで、実施例3に係る認証システムを構成する各装置や各部について簡単に説明してきたが、以下では、図20および21を用いて、実施例3に係る認証システムによる処理の手順を詳述する。図20は、実施例3に係る認証システムによる処理の手順(利用経路登録要求段階)を示すシーケンス図であり、図21は、実施例3に係る認証システムによる処理の手順(サービス要求段階)を示すシーケンス図である。
[利用経路登録要求段階]
まず、実施例1と同様、利用者端末410のネットワーク接続要求部412が、ネットワーク接続要求の一環として『EAPOL-Start』をアクセスポイント420に送信し(ステップS301)、すると、アクセスポイント420は、『EAPOL-Start』に対する応答として、利用者IDを送信することを要求する『EAP-Req/Identity』を、利用者端末410に送信し(ステップS302)、次に、利用者端末410のネットワーク接続要求部412が、『EAP−Resp』を、利用者IDとともに、アクセスポイント420に送信する(ステップS303)。
続いて、アクセスポイント420は、ネットワーク接続要求部412から受信した『EAP−Resp』をRADIUSプロトコルにのせ、『EAP-Resp/RADIUS』を、RADIUSサーバ430に送信する(ステップS304)。次に、利用者端末410とRADIUSサーバ430との間で相互認証処理が実行され(ステップS305)、相互認証が成功した場合、RADIUSサーバ430は、『EAP−Success/RADIUS』を、アクセスポイント420に送信する(ステップS306)。
すると、アクセスポイント420のIPアドレス割り当て部429は、利用者端末410とRADIUSサーバ430との間で行われた相互認証処理が成功した旨を、RADIUSサーバ430から通知されたことを契機として、利用者端末410から既に受信しているアカウントとMACアドレス(ステップS303の『EAP−Resp』とともに受信している)とを対応づけて記憶部に登録する(ステップS307)。続いて、IPアドレス割り当て部429は、『EAP−Success』を、利用者端末410に送信する(ステップS308)。
次に、IPアドレス割り当て部429は、DHCPによるIPアドレスの払い出しを要求するIPアドレス払い出し要求を、利用者端末410のMACアドレスとともに利用者端末410から受信すると(ステップS309)、記憶部に記憶しているアカウントとMACアドレスとの対応づけから当該MACアドレスを検索する(ステップS310)。検索に成功した場合には、IPアドレス割り当て部429は、利用者端末410に対してIPアドレスの割り当てを行う(ステップS311)。なお、MACアドレスの検索に失敗した場合には、IPアドレス割り当て部429は、利用者端末410に対してIPアドレスの割り当てを行わず、許否することになる。
ここでは、検索に成功したものとすると、続いて、アクセスポイント420の利用経路登録要求/登録部422は、IPアドレス割り当て部429において、IPアドレスの割り当てに成功したことを契機として、IPアドレスを割り当てられた利用者端末410の利用者IDと、利用経路情報としてのIPアドレスとを対応づけて、利用経路記憶部423に登録する(ステップS312)。その後、アクセスポイント420は、DHCPによるIPアドレス払い出しの結果を、利用者端末410に送信する(ステップS313)。
[サービス要求段階]
次に、利用者端末410のサービス要求部413が、サービスの提供を受けることを要求するサービス要求として、『REGISTER要求』を、利用者ID『User2』とともに、アクセスポイント420のサービス要求受信部425に送信する(ステップS351)。なお、サービス要求の送信先は、実施例1や2と異なり、サービス提供装置450ではなく、アクセスポイント420である。
すると、アクセスポイント420のサービス要求受信部425は、利用者端末410から送信されたサービス要求を受信し、アクセスポイント420のサービス要求元経路情報取得部427は、『REGISTER要求』の送信元を示す送信元IPアドレス(以下、発IPアドレスという)を、サービス要求から取得する(ステップS352)。例えば、サービス要求元経路情報取得部427は、発IPアドレス『10.1.2.20』をサービス要求元経路情報として取得し、経路照合部428に送信する。
また、アクセスポイント420のサービス要求受信部425は、利用者端末410から送信されたサービス要求を受信し、『REGISTER要求』に包含されている利用者端末410の利用者ID『User2』を取得し、利用経路情報取得部426に送信する。すると、利用経路情報取得部426は、利用者ID『User2』に基づいて、利用者ID『User2』に対応づけて利用経路記憶部423に記憶されているIPアドレス『10.1.2.20』を検索する(ステップS353)。
この時、アクセスポイント420の有効無効判定部424が、利用経路記憶部423によって記憶されている利用者IDと利用経路情報との対応づけが、有効な情報であるか、あるいは、無効な情報であるかを判定している。そして、利用経路情報取得部426は、当該利用者ID(『User2』)に対応づけて利用経路記憶部423に記憶されている利用経路情報(『10.1.2.20』)を、当該利用経路情報が有効無効判定部424によって有効な情報であると判定されていることを条件として取得する(ステップS353)。なお、アクセスポイント420は、有効無効判定部424によって、対応づけが無効な情報であると判定した場合には、利用経路記憶部423に記憶している対応づけを無効化または削除するとともに、記憶部に記憶しているアカウントとMACアドレスとの対応づけについても、無効化または削除する。
そして、経路照合部428は、利用経路情報とサービス要求元経路情報とが一致するか否かを照合する(ステップS354)。一致すると照合されると(ステップS354肯定)、経路照合部428は、照合結果が一致したとの照合結果の通知を兼ねて、サービス要求である『REGISTER要求』をサービス提供装置450に転送し(ステップS355)、サービス提供装置450は、『REGISTER要求』を受信すると、『REGISTER登録』を行い(ステップS356)、登録結果を、アクセスポイント420を経由して(ステップS357)、利用者端末410に送信する(ステップS358)。
仮に、『REGISTER要求』に含まれている利用者IDが『User3』などであった場合には、経路照合部428による照合結果が不一致となるので、アクセスポイント420は、『REGISTER要求』をサービス提供装置450に転送せずに、結果を、利用者端末410に送信する(ステップS358)。
なお、図20には図示しなかったが、利用経路登録要求段階において、実施例1や2に係る認証システムと同様、アクセスポイント420が、利用者IDとIPアドレスとの対応づけをRADIUSサーバ430に送信し、RADIUSサーバ430が、利用者IDとIPアドレスとの対応づけを記憶部に登録して、登録結果を利用者端末410に送信してもよい。
この場合には、サービス要求段階において、アクセスポイント420は、利用者IDに対応するIPアドレスを、RADIUSサーバ430に問い合わせることで取得してもよいし、アクセスポイント420自身も重複して利用者IDとIPアドレスとの対応づけを記憶部に登録しているのであれば、RADIUSサーバ430に問い合わせることなく、記憶部に登録しているIPアドレスを検索するのみでもよい。
なお、これまで、実施例3においては、上記してきたような各部が、図18に示すように構成されていることを前提として説明してきた。しかしながら、本発明はこれに限られるものではない。例えば、本発明に係る認証システムにおいては、経路照合部428が、アクセスポイント420に備えられるのではなく、サービス提供装置450に備えられていてもよい。この場合には、図21のステップS354で説明した照合は、アクセスポイント420ではなく、サービス提供装置450において行われることになる。
これまで、実施例1に係る認証システム(サービス要求元経路管理装置のアドレス通信経路情報記憶部に記憶されている情報を用いて照合を行う手法)、実施例2に係る認証システム(サービス要求元経路保証装置によって付加された情報を用いて照合を行う手法)、あるいは、実施例3に係る認証システム(アクセスポイントのみで照合を行う手法)を説明してきたが、本発明に係る認証システムは、これらの手法のうちのいくつかを選択したり、組み合わせたりするなどしてもよい。
すなわち、例えば、図22のように、サービス提供装置が、複数の利用者端末に対してサービスを提供しており、これらの利用者端末が、各々異なるアクセスポイントに接続している場合などには、これらの利用者端末を各々異なる手法によって認証する(上から、実施例1に係る認証システムによる手法、実施例2に係る認証システムによる手法、実施例3に係る認証システムによる手法)ことで、サービス提供装置がサービスを提供するように設定を行うこともできる。
ところで、これまで、実施例1〜4の説明に際しては、利用経路情報とアカウントとの対応づけを利用経路記憶部にどのように記憶させるかなどについて、詳述してこなかった。そこで、以下では、実施例5に係る認証システムが、利用経路情報とアカウントとの対応づけを利用経路記憶部にどのように記憶させるか、詳述する。
ここで、実施例5における利用経路記憶部は、利用者識別子(『利用者ID』)と利用経路情報(『利用経路』)とを対応づけて記憶する他に、対応づけが、利用経路情報記憶部に記憶されている期間(『更新時刻』)を、さらに対応づけて記憶している。
例えば、図23の例で説明すると、利用者ID『User1』の利用経路情報が『Line20A』であるという情報は、『2007.5.1 09:30』に更新された情報である。また、利用者ID『User3』の利用経路情報が『Line20B』であるという情報は、『2007.5.1 15:31』に更新された情報である。
ここで、実施例5において、利用経路情報取得部は、利用経路情報が有効な情報であると判定されていることを条件として、利用経路情報を取得する、との運用がなされている。利用経路情報取得部が利用経路情報を取得することができなければ、照合することもできなくなり、結果的に、利用者端末からのサービス要求を拒否することになる。
実施例5における利用経路登録部は、新規の通信経路を利用経路記憶部に登録する。具体的には、利用経路登録部は、アクセスポイントが、利用者端末を、既に利用経路記憶部に記憶されている利用経路情報が示す通信経路とは異なる新規の通信経路によってネットワークに接続するように制御した時に、新規の通信経路を示す新規利用経路情報を、利用経路記憶部に追加するように、アカウントと対応づけて登録する。
例えば、図23に示すように、利用者ID『User3』の利用者端末は、利用経路情報『Line20B』として既に登録されているが、アクセスポイントが、当該利用者端末を、『Line20C』によってネットワークに接続するように制御した時に、新規利用経路登録部は、図23に示すように、『User3』と『Line20C』との対応づけを、利用経路記憶部に追加するように登録する。
この時、経路照合部は、所定の利用者識別子に対応づけられて利用経路記憶部に記憶されている利用経路情報が複数である場合には、複数の利用経路情報各々とサービス要求元経路情報とが一致するか否かを判定し、いずれか一つの利用経路情報とサービス要求元経路情報との判定が一致する場合に、照合が一致であるとする。
この場合には、新規利用経路情報を適切に記憶部に記憶させることが可能になる。具体的に説明すると、利用者端末が、同時に、複数のネットワーク接続を保持することが可能になり、例えば、あるアクセスポイントから次のアクセスポイント間へ移動するタイミングにおいても、利用者端末は、サービスをシームレスに継続することが可能になる。
なお、利用経路登録部は、図24に示すように、新規の通信経路を利用経路記憶部に登録してもよい。具体的には、利用経路登録部は、アクセスポイントが、利用者端末を、既に利用経路記憶部に記憶されている利用経路情報が示す通信経路とは異なる新規の通信経路によってネットワークに接続するように制御した時に、新規の通信経路を示す新規利用経路情報を、アカウントと対応づけて利用経路記憶部に登録するとともに、アカウントと対応づけて利用経路記憶部に既に記憶されている利用経路情報を、無効化または削除する。
例えば、図24に示すように、利用者ID『User3』と利用経路情報『Line20B』との対応づけは、利用者ID『User3』と利用経路情報『Line20C』との対応づけによって上書きされる。
この場合には、新規利用経路情報をより安全に記憶部に記憶させることが可能になる。言い換えると、各利用者の利用経路情報は常に一つに限定されることから、例えば、悪意者によって、他の通信経路からサービス要求が送信された場合などに、当該サービス要求が悪意者による「なりすまし」であることを検出することが可能になる。
[他の実施例]
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。
[サービス要求元経路情報取得]
これまで、実施例1においては、本発明に係る認証システムが、サービス要求元経路情報を、IPアドレスと通信経路情報とを対応づけて記憶するアドレス通信経路情報記憶部などから取得する手法を説明し、実施例2においては、本発明に係る認証システムが、サービス要求元経路情報を、サービス要求に付加されている情報から取得する手法について説明してきた。しかしながら、本発明はこれに限られるものではない。例えば、IPアドレスと通信経路情報との対応づけを管理しているサーバがネットワーク上に接続されていることを前提とし、本発明に係る認証システムが、サービス要求元経路情報を、当該サーバから取得する手法などにも、本発明を同様に適用することができる。このサーバは、静的な対応づけを管理する場合も動的な対応づけを管理する場合もあることから、本発明に係る認証システムは、対応づけが静的な場合であっても動的な場合であっても、サービス要求元経路情報を取得することができる。
[有効無効判定]
実施例1においては、利用経路管理装置が更新要求受信部を備え、利用経路記憶部が、更新要求受信部によって「Accounting−Interim−Update」が受信されると、期間に関する情報を、「Accounting−Interim−Update」を受信した時刻から期間を起算するように更新して記憶し、有効無効判定部は、利用経路記憶部に記憶されている期間が所定の期間を超過しているか否かを判定し、判定の結果、所定の期間を超過していない場合には、利用経路情報を有効な情報と判定し、判定の結果、所定の期間を超過している場合には、利利用経路情報を無効な情報と判定する手法を説明したが、本発明はこれに限られるものではない。
例えば、実施例1と異なり、更新要求受信部によって「Accounting−Interim−Update」を受信したか否かについては利用経路記憶部が関与しないことを前提とし、有効無効判定部が、利用経路記憶部に記憶されている期間が所定の期間を超過しているか否かを判定し、判定の結果、所定の期間を超過していない場合には、利用経路情報を有効な情報と判定し、判定の結果、所定の期間を超過している場合には、利用経路情報を無効な情報と判定する手法でもよい。
また、例えば、実施例1において説明したように、利用者端末が無線LANに接続するように制御されると、アクセスポイントは、RADIUSサーバとしての機能を兼ね備えた利用経路管理装置に対して、「Accounting−Start」を送信し、また、利用者端末が明示的に切断を行うなどすると、アクセスポイントは、利用経路管理装置に対して、「Accounting−Stop」を送信するので、これらの情報を利用して、有効無効判定部が、対応づけが有効な情報であるか、無効な情報であるかを判定してもよい。
すなわち、例えば、更新要求受信部によって「Accounting−Start」が受信されると、有効無効判定部が、対応づけを有効な情報と判定する。また、更新要求受信部によって「Accounting−Stop」が受信されると、有効無効判定部が、対応づけを無効な情報と判定し、利用経路管理装置は、当該対応づけを無効化または削除するなどする。
また、例えば、アクセスポイントが、アクセスポイントの電源が切れて再起動する際に、「アクセスポイントの電源が切れた」旨を利用経路管理装置(RADIUSサーバ)に通知する機能を備えていれば、有効無効判定部は、所定の期間によって利用経路情報を判定しなくてもよい。
また、例えば、利用経路管理装置(RADIUSサーバ)が、アクセスポイントとの接続確認を一定間隔で行う機能を備えていれば、アクセスポイントの電源が切れたことや、アクセスポイントとRADIUSサーバとの接続状態を正確に確認することができ、有効無効判定部は、所定の期間によって利用経路情報を判定しなくてもよい。
[システム構成等]
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示(例えば、図2など)の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
なお、本実施例で説明した認証方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、本発明に係る認証システムは、利用者端末をネットワークに接続するように制御することで、当該利用者端末に対して当該ネットワークの接続を伴うサービスを提供するサービス提供装置と当該利用者端末とを当該ネットワークを介して通信可能に接続させる構成において、ネットワークに接続するように制御された利用者端末のネットワーク上における通信経路を示す利用経路情報と、サービスの提供を受けることを要求するサービス要求が現に送信されてきた通信経路を示すサービス要求元経路情報とが一致すると照合したことを条件として、サービス要求を送信した利用者端末に対してサービスを提供するようにサービス提供装置が設定を行うことに有用であり、特に、予め記憶している利用者端末の通信経路が無効な情報となった場合に、当該無効な情報を悪用して行われる攻撃を防止した上で、利用者端末のアドレス情報が動的に変化する場合の認証に対応することに適する。
実施例1に係る認証システムの概要および特徴を説明するための図である。 実施例1に係る認証システムの構成を示すブロック図である。 利用経路記憶部を説明するための図である。 アドレス通信経路情報記憶部を説明するための図である。 実施例1に係る認証システムによる処理の手順(利用経路登録要求段階)を示すシーケンス図である。 実施例1に係る認証システムによる処理の手順(サービス要求段階)を示すシーケンス図である。 実施例1に係る認証システムの各部間の情報の流れを説明するための図である。 実施例1に係る認証システムの他の構成を示すブロック図である。 実施例2に係る認証システムの概要および特徴を説明するための図である。 実施例2に係る認証システムの構成を示すブロック図である。 VLAN管理部を説明するための図である。 電子署名の検証について説明するための図である。 実施例2に係る認証システムによる処理の手順(利用経路登録要求段階)を示すシーケンス図である。 実施例2に係る認証システムによる処理の手順(サービス要求段階)を示すシーケンス図である。 実施例2に係る認証システムの各部間の情報の流れを説明するための図である。 実施例2に係る認証システムの他の構成を示すブロック図である。 実施例3に係る認証システムの概要および特徴を説明するための図である。 実施例3に係る認証システムの構成を示すブロック図である。 利用経路記憶部を説明するための図である。 実施例3に係る認証システムによる処理の手順(利用経路登録要求段階)を示すシーケンス図である。 実施例3に係る認証システムによる処理の手順(サービス要求段階)を示すシーケンス図である。 実施例4に係る認証システムによる構成を説明するための図である。 実施例5における利用経路記憶部を説明するための図である。 実施例5における利用経路記憶部を説明するための図である。
符号の説明
10 利用者端末
11 通信部
12 ネットワーク接続要求部
13 サービス要求部
20 アクセスポイント
21 通信部
22 利用経路登録要求部
30 利用経路管理装置
31 通信部
32 利用経路登録部
33 利用経路記憶部
34 有効無効判定部
35 利用経路情報取得部
40 サービス要求元経路管理装置
41 通信部
42 アドレス通信経路情報記憶部
43 サービス要求元経路情報取得部
50 サービス提供装置
51 通信部
52 サービス提供部
53 経路照合部
60 ネットワーク
70 ネットワーク

Claims (8)

  1. 利用者によって利用される利用者端末をネットワークに接続するように制御することで、当該利用者端末に対して当該ネットワークの接続を伴うサービスを提供するサービス提供装置と当該利用者端末とを当該ネットワークを介して通信可能に接続させる構成において、当該ネットワークに接続するように制御された当該利用者端末の当該ネットワーク上における通信経路を示す利用経路情報と、前記サービスの提供を受けることを要求するサービス要求が現に送信されてきた通信経路を示すサービス要求元経路情報とが一致すると照合したことを条件として、当該サービス要求を送信した当該利用者端末に対して前記サービスを提供するように前記サービス提供装置が設定を行う認証システムであって、
    前記利用者端末を現に利用している利用者を前記構成と関連して当該利用者端末に付与されるネットワークアドレスとは異なる情報で当該ネットワーク上で一意に識別する利用者識別子と、前記利用経路情報とを対応づけて記憶する利用経路情報記憶手段と、
    前記ネットワークに接続することを要求するネットワーク接続要求を前記利用者識別子とともに前記利用者端末から受信すると、前記利用経路情報を前記利用経路情報記憶手段に登録することを要求する利用経路登録要求を当該利用者識別子とともに送信する利用経路情報登録要求手段と、
    前記利用経路情報登録要求手段によって送信された前記利用経路登録要求を前記利用者識別子とともに受信すると、当該利用経路登録要求が送信されてきた通信経路を取得し、取得した当該通信経路を前記利用経路情報として、当該利用経路登録要求とともに送信されてきた前記利用者識別子と対応づけて前記利用経路情報記憶手段に登録する利用経路情報登録手段と、
    前記サービス要求の送信先として、当該サービス要求を前記利用者識別子とともに前記利用者端末から受信するサービス要求受信手段と、
    前記利用経路情報記憶手段によって記憶されている前記利用者識別子と前記利用経路情報との対応づけが、有効な情報であるか、あるいは、無効な情報であるかを判定する有効無効判定手段と、
    前記サービス要求受信手段によって前記サービス要求が受信されると、受信された当該サービス要求に包含されている前記利用者識別子に基づいて、当該利用者識別子に対応づけて前記利用経路情報記憶手段に記憶されている利用経路情報を、当該利用経路情報が前記有効無効判定手段によって有効な情報であると判定されていることを条件として取得する利用経路情報取得手段と、
    前記サービス要求受信手段によって前記サービス要求が受信されると、受信された当該サービス要求が現に送信されてきた通信経路を示す前記サービス要求元経路情報を取得するサービス要求元経路情報取得手段と、
    前記利用経路情報取得手段によって取得された前記利用経路情報と前記サービス要求元経路情報取得手段によって取得されたサービス要求元経路情報とが一致するか否かを判定し、当該判定が一致する場合に前記照合が一致であるとし、当該判定が一致しない場合および/または前記利用経路情報が前記利用経路取得手段によって取得されなかった場合に前記照合が不一致であるとする経路照合手段と、
    前記経路照合手段によって前記利用経路情報と前記サービス要求元経路情報との照合が一致であるとされたことを条件として、当該利用経路情報および当該サービス要求元経路情報の取得に用いられたサービス要求を送信した利用者端末に対して、前記サービスを提供するように設定を行うサービス提供手段と、
    を備えたことを特徴とする認証システム。
  2. 前記利用経路情報記憶手段は、前記利用者識別子と前記利用経路情報とを対応づけて記憶する他に、当該対応づけが当該利用経路情報記憶手段に記憶されている期間に関する情報をさらに対応づけて記憶し、
    前記有効無効判定手段は、前記期間が所定の期間を超過しているか否かを判定し、当該判定の結果前記期間を超過していない場合には、前記対応づけを有効な情報と判定し、当該判定の結果前記期間を超過している場合には、前記対応づけを無効な情報と判定することを特徴とする請求項1に記載の認証システム。
  3. 前記利用者端末を前記ネットワークに接続するように制御した後に、当該利用者端末の当該ネットワークにおける接続状態に関する情報を更新することを要求する更新要求を、前記利用経路情報登録要求手段から周期的に受信する更新要求受信手段をさらに備え、
    前記利用経路情報記憶手段は、前記更新要求受信手段によって前記更新要求が受信されると、前記期間に関する情報を、当該更新要求を受信した更新時刻から当該期間を起算するように更新して記憶することをさらに特徴とする請求項2に記載の認証システム。
  4. 前記構成と関連して前記利用者端末に付与されるネットワークアドレスと、当該ネットワークアドレスを付与された利用者端末が当該構成で通信経路とするはずの通信経路情報とを対応づけて記憶するアドレス通信経路情報記憶手段をさらに備え、
    前記サービス要求元経路情報取得手段は、当該サービス要求に包含されている利用者端末のネットワークアドレスに基づいて、当該ネットワークアドレスに対応づけて前記アドレス通信経路情報記憶手段によって記憶されている通信経路情報を前記サービス要求元経路情報として取得することを特徴とする請求項1〜3のいずれか一つに記載の認証システム。
  5. 前記サービス要求を当該サービス要求の送信先に向けて転送する際に受信すると、当該サービス要求の通信経路を示すサービス要求通信経路情報を当該サービス要求に付加し、当該サービス要求を前記送信先に向けて転送するサービス要求転送手段をさらに備え、
    前記サービス要求受信手段は、前記サービス要求転送手段によって前記サービス要求通信経路情報を付加された上で転送された前記サービス要求を受信し、
    前記サービス要求元経路情報取得手段は、前記サービス要求に付加されている前記サービス要求通信経路情報を前記サービス要求元経路情報として取得することを特徴とする請求項1〜3のいずれか一つに記載の認証システム。
  6. 前記サービス要求転送手段は、電子署名付きで前記サービス要求通信経路情報を前記サービス要求に付加して転送し、
    前記サービス要求受信手段は、前記電子署名付きのサービス要求を受信し、
    前記サービス要求元経路情報取得手段は、前記サービス要求の電子署名を検証した上で、前記サービス要求通信経路情報を前記サービス要求元経路情報として取得することを特徴とする請求項5に記載の認証システム。
  7. 前記利用経路情報登録手段は、前記利用者端末が、当該利用者端末を現に利用している利用者を一意に識別する利用者識別子と対応づけられて前記利用経路情報記憶手段に既に記憶されている前記利用経路情報が示す通信経路とは異なる新規の通信経路によって前記ネットワークに接続するように制御された時に、当該新規の通信経路を前記利用経路情報として前記利用経路情報記憶手段に追加するように前記利用者識別子と対応づけて登録し、
    前記経路照合手段は、所定の利用者識別子に対応づけられて前記利用経路情報記憶手段に記憶されている前記利用経路情報が複数である場合には、当該複数の利用経路情報各々と前記サービス要求元経路情報とが一致するか否かを判定し、いずれか一つの前記利用経路情報と前記サービス要求元経路情報との前記判定が一致する場合に、前記照合が一致であるとすることをさらに特徴とする請求項1〜6のいずれか一つに記載の認証システム。
  8. 前記利用経路情報登録手段は、前記利用者端末が、当該利用者端末を現に利用している利用者を一意に識別する利用者識別子と対応づけられて前記利用経路情報記憶手段に既に記憶されている前記利用経路情報が示す通信経路とは異なる新規の通信経路によって前記ネットワークに接続するように制御された時に、当該新規の通信経路を前記利用経路情報として前記利用者識別子と対応づけて前記利用経路情報記憶手段に登録するとともに、当該利用者識別子と対応づけて前記利用経路情報記憶手段に既に記憶されている前記利用経路情報を無効化または前記利用経路情報記憶手段から削除することをさらに特徴とする請求項1〜6のいずれか一つに記載の認証システム。
JP2007124913A 2007-05-09 2007-05-09 認証システム Expired - Fee Related JP4906581B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007124913A JP4906581B2 (ja) 2007-05-09 2007-05-09 認証システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007124913A JP4906581B2 (ja) 2007-05-09 2007-05-09 認証システム

Publications (2)

Publication Number Publication Date
JP2008282166A JP2008282166A (ja) 2008-11-20
JP4906581B2 true JP4906581B2 (ja) 2012-03-28

Family

ID=40142937

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007124913A Expired - Fee Related JP4906581B2 (ja) 2007-05-09 2007-05-09 認証システム

Country Status (1)

Country Link
JP (1) JP4906581B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5239341B2 (ja) * 2008-01-08 2013-07-17 日本電気株式会社 ゲートウェイ、中継方法及びプログラム
JP5398579B2 (ja) * 2010-02-23 2014-01-29 日本電信電話株式会社 アドレス集約システム、及びメッセージ送信元認証方法
JP5664399B2 (ja) * 2011-03-25 2015-02-04 ブラザー工業株式会社 情報提供サーバ
JP5715030B2 (ja) * 2011-11-11 2015-05-07 Kddi株式会社 アクセス回線特定・認証システム
JP6016456B2 (ja) * 2012-05-30 2016-10-26 クラリオン株式会社 認証装置、認証プログラム
CN110322250A (zh) * 2019-05-22 2019-10-11 深圳壹账通智能科技有限公司 无效用户操作路径识别方法、装置、设备及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000057097A (ja) * 1998-08-13 2000-02-25 Fuji Xerox Co Ltd 画像処理装置
JP2002132729A (ja) * 2000-10-25 2002-05-10 Nippon Telegraph & Telephone East Corp 端末認証接続方法およびそのシステム
JP4112284B2 (ja) * 2002-05-29 2008-07-02 富士通株式会社 データベースアクセス制御方法およびデータベースアクセス制御プログラム
JP2005276122A (ja) * 2004-03-26 2005-10-06 Fujitsu Ltd アクセス元認証方法及びシステム

Also Published As

Publication number Publication date
JP2008282166A (ja) 2008-11-20

Similar Documents

Publication Publication Date Title
JP3869392B2 (ja) 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体
US7542572B2 (en) Method for securely and automatically configuring access points
US7565547B2 (en) Trust inheritance in network authentication
US7650629B2 (en) Enhanced trust relationship in an IEEE 802.1×network
US8024488B2 (en) Methods and apparatus to validate configuration of computerized devices
US20060111080A1 (en) System and method for securing a personalized indicium assigned to a mobile communications device
JP5311039B2 (ja) 通信システム及びその通信方法とそれらに用いられる装置及びプログラム
US9270652B2 (en) Wireless communication authentication
US20060161770A1 (en) Network apparatus and program
JP2006085719A (ja) 設定情報配布装置、認証設定転送装置、方法、プログラム、媒体及び設定情報受信プログラム
JP2006086907A (ja) 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム
JP4906581B2 (ja) 認証システム
WO2007128134A1 (en) Secure wireless guest access
US10873497B2 (en) Systems and methods for maintaining communication links
KR100763131B1 (ko) 공중 무선랜 서비스를 위한 망접속 및 서비스 등록 방법
JP4987820B2 (ja) 認証システム、接続制御装置、認証装置および転送装置
JP2009118267A (ja) 通信ネットワークシステム、通信ネットワーク制御方法、通信制御装置、通信制御プログラム、サービス制御装置およびサービス制御プログラム
KR20040001329A (ko) 공중 무선랜 서비스를 위한 망 접속 방법
JP3678166B2 (ja) 無線端末の認証方法、無線基地局及び通信システム
KR20070009490A (ko) 아이피 주소 기반 사용자 인증 시스템 및 방법
JP2004078280A (ja) リモートアクセス仲介システム及び方法
JP2003318939A (ja) 通信システムおよびその制御方法
JP2006229699A (ja) セッション制御サービス提供システム
KR100459935B1 (ko) 공중 무선 랜 서비스 망에서의 사용자 인증방법
JP4066719B2 (ja) 位置情報を提供する位置情報サーバとその利用者端末

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090722

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20110520

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20110520

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111221

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120104

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120110

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150120

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees