JP4983797B2 - 通信装置、通信中継プログラム及び通信中継方法 - Google Patents
通信装置、通信中継プログラム及び通信中継方法 Download PDFInfo
- Publication number
- JP4983797B2 JP4983797B2 JP2008531942A JP2008531942A JP4983797B2 JP 4983797 B2 JP4983797 B2 JP 4983797B2 JP 2008531942 A JP2008531942 A JP 2008531942A JP 2008531942 A JP2008531942 A JP 2008531942A JP 4983797 B2 JP4983797 B2 JP 4983797B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- terminal device
- communication
- user terminal
- server device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 title claims description 276
- 238000000034 method Methods 0.000 title claims description 101
- PWPJGUXAGUPAHP-UHFFFAOYSA-N lufenuron Chemical compound C1=C(Cl)C(OC(F)(F)C(C(F)(F)F)F)=CC(Cl)=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F PWPJGUXAGUPAHP-UHFFFAOYSA-N 0.000 title 1
- 238000004353 relayed correlation spectroscopy Methods 0.000 title 1
- 230000005540 biological transmission Effects 0.000 claims description 84
- 238000012545 processing Methods 0.000 claims description 40
- 238000012546 transfer Methods 0.000 claims description 26
- 230000004044 response Effects 0.000 abstract description 24
- 238000012790 confirmation Methods 0.000 description 57
- 238000011156 evaluation Methods 0.000 description 32
- 230000006870 function Effects 0.000 description 24
- 238000012795 verification Methods 0.000 description 23
- 238000010586 diagram Methods 0.000 description 20
- 230000000694 effects Effects 0.000 description 9
- 230000007613 environmental effect Effects 0.000 description 9
- 238000000605 extraction Methods 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/163—Interprocessor communication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、コンピュータ・ネットワークにおいて他の端末装置との通信を要求する端末装置を認証するネットワーク接続端末認証方法、ネットワーク接続端末認証プログラム及びネットワーク接続端末認証装置に関する。
従来、サービス提供者のサービス提供装置から利用者の利用者端末装置へコンピュータ・ネットワークを介してサービスを提供する場合に、サービスの安全性を確保すべく、利
用者端末装置に係るハードウェアやソフトウェアなどの端末環境を検証した上でサービスを提供する技術が提案されている。
用者端末装置に係るハードウェアやソフトウェアなどの端末環境を検証した上でサービスを提供する技術が提案されている。
例えば、特許文献1には、サービス提供装置において、利用者端末装置に係る環境情報(利用者端末装置に組み込まれているソフトウェア(OS、BIOS、ブラウザ、プラグイン・ソフトウェア等)、ハードウェア(CPU、メモリ、PCIボード等)、利用者端末装置に接続されている周辺装置などの情報)を利用者端末装置から取得した上で、利用者端末装置の安全性を損なうソフトウェア(例えば、セキュリティ・ホールがケアされていないソフトウェア)やハードウェアが組み込まれていないか、利用者端末装置の安全性を損なう周辺装置が接続されていないか等を確認し、情報漏えいのおそれなどにより安全性を確保できない利用者端末装置に対してはサービスの提供を拒否する技術が開示されている。かかる技術によって構成されたコンピュータ・ネットワークを検疫ネットワークと呼ぶ。
しかしながら、上記特許文献1に代表される従来技術では、利用者端末装置の安全性を確認し、安全性が確保できてない利用者端末装置に対してサービスの提供を拒否する認証機能を検疫ネットワークの経路上に設けることを前提としているため、検疫ネットワークの構成の自由度が制限されることとなっていた。
特に、近年のコンピュータ・ネットワークは、従来のクライアント・サーバ装置・システムのようにサービス提供側とサービス享受側とが区別されるものではなく、ピアー・ツー・ピアーの関係に立って何れのコンピュータがサービス提供側にもサービス享受側にもなりうる構成となってきている。そして、認証するコンピュータと認証されるコンピュータとが多数になってくるようになってきており、この認証するコンピュータと認証されるコンピュータとの間の経路毎に認証機能を設けなければならず、認証機能を実装する効率性が低いのみならず、認証機能の処理の効率性をも低減してしまうおそれがあった。
本発明は、上記問題点(課題)を解消するためになされたものであって、検疫ネットワークにおいて、該コンピュータ・ネットワークに接続を要求するコンピュータを認証する認証機能の実装の効率性を高め、認証機能の処理の効率性を高めることができるネットワーク接続端末認証方法、ネットワーク接続端末認証プログラム及びネットワーク接続端末認証装置を提供することを目的とする。
上述した問題を解決し、目的を達成するため、本発明は、コンピュータ・ネットワークにおいて他の端末装置との通信を要求する端末装置を認証するネットワーク接続端末認証方法であって、前記端末装置の前記他の端末装置との通信要求に応じて、該端末装置と該他の端末装置との通信経路外において該端末装置を認証して該他の端末装置との通信の可否を判定する端末装置認証工程と、前記端末装置認証工程により前記端末装置が認証されると、前記端末装置において前記他の端末装置へ向けてデータの送信を開始するデータ送信工程とを含んだことを特徴とする。
また、本発明は、上記発明において、前記端末装置認証工程により前記端末装置が認証されると、該端末装置と前記他の端末装置との通信経路外において記憶されている該端末装置と該他の端末装置との通信経路に関する通信経路情報を該端末装置に通知する通信経路情報通知工程をさらに含んだことを特徴とする。
また、本発明は、上記発明において、前記通信経路情報通知工程は、前記通信経路情報とともに、前記端末装置認証工程により前記端末装置が認証されたことを示す認証情報を通知することを特徴とする。
また、本発明は、上記発明において、前記データ送信工程は、前記他の端末装置へ送信するデータに前記認証情報を付加して送信することを特徴とする。
また、本発明は、上記発明において、前記通信経路情報が示す前記端末装置と前記他の端末装置との通信経路上において前記データを受信した中継装置又は該他の端末装置において、該データに付加されている前記認証情報に基づいて該端末装置の再度の認証を要求する再認証要求工程をさらに含み、前記端末装置認証工程は、前記再認証要求工程による要求に応じて前記端末装置を再度認証して前記他の端末装置との通信の可否を判定することを特徴とする。
また、本発明は、上記発明において、前記端末装置認証工程により前記端末装置が再度認証されると、前記中継装置から前記他の中継装置又は前記他の端末装置へ前記データを前記認証情報とともに転送するデータ転送工程をさらに含んだことを特徴とする。
また、本発明は、コンピュータ・ネットワークにおいて他の端末装置との通信を要求する端末装置を認証するネットワーク接続端末認証プログラムであって、前記端末装置の前記他の端末装置との通信要求に応じて、該端末装置と該他の端末装置との通信経路外において該端末装置を認証して該他の端末装置との通信の可否を判定する端末装置認証手順と、前記端末装置認証手順により前記端末装置が認証されると、前記端末装置において前記他の端末装置へ向けてデータの送信を開始するデータ送信手順とをコンピュータに実行させることを特徴とする。
また、本発明は、上記発明において、前記端末装置認証手順により前記端末装置が認証されると、前記端末装置と前記他の端末装置との通信経路外において記憶されている該端末装置と該他の端末装置との通信経路情報を該端末装置に通知する通信経路情報通知手順をコンピュータにさらに実行させることを特徴とする。
また、本発明は、上記発明において、前記通信経路情報通知手順は、前記通信経路情報とともに、前記端末装置認証手順により前記端末装置が認証されたことを示す認証情報を通知することを特徴とする。
また、本発明は、上記発明において、前記データ送信手順は、前記他の端末装置へ送信するデータに前記認証情報を付加して送信することを特徴とする。
また、本発明は、コンピュータ・ネットワークにおいて他の端末装置との通信を要求する端末装置を認証するネットワーク接続端末認証装置であって、前記端末装置の前記他の端末装置との通信要求に応じて、該端末装置と該他の端末装置との通信経路外において該端末装置を認証して該他の端末装置との通信の可否を判定する端末装置認証手段を備えたことを特徴とする。
本発明によれば、他の端末装置との通信に先立って、該通信の通信経路外で当該端末装置を認証して、認証肯定であれば他の端末装置との通信を開始することとしたので、通信経路上の機器に変更を加えることなく認証機能を実現可能となり、認証対象となる端末装置の追加を容易に行うことが可能となり、認証機能を必要とするネットワークの構成の自由度が増すという効果を奏する。
また、本発明によれば、端末装置が認証されてはじめて端末装置と他の端末装置との通信経路に関する通信経路情報を端末装置に通知するので、ネットワーク通信のセキュリティを高度に確保することができるという効果を奏する。
また、本発明によれば、端末装置が認証されたことを示す認証情報を通信経路情報とともに該端末装置に通知するので、該端末装置が真に認証されたことを容易に認識することが可能になるという効果を奏する。
また、本発明によれば、他の端末装置へ送信するデータに前記認証情報を付加して送信するので、通信経路上で、該端末装置が真に認証されたことを容易に認識することが可能になるという効果を奏する。
また、本発明によれば、データに付加されている認証情報に基づいて端末装置の再度の認証を要求し、他の端末装置との通信の可否が判定されるので、一度認証肯定となって送信された通信データであっても、再度認証を行うことにより、より厳格に不正な通信データを排除することが可能となり、セキュリティの向上を図ることができるという効果を奏する。
また、本発明によれば、端末装置が再度認証されてはじめて通信データを他の中継装置又は他の端末装置へ転送するので、ネットワーク通信のセキュリティを高度に確保することができるという効果を奏する。また、不正な通信データを通信経路の途中で排除することが可能となり、無駄なネットワーク帯域の消費を抑えることに可能となるという効果を奏する。
以下に添付図面を参照し、本発明のネットワーク接続端末認証方法、ネットワーク接続端末認証プログラム及びネットワーク接続端末認証装置に係る実施例1〜3を詳細に説明する。なお、本発明に係るネットワーク接続端末認証は、TNC(Trusted Network Connect)に基づき実装されるものである。また、本発明に係るネットワークは、SOBA(Session Oriented Broadband Applications)に基づき構成されるものである。即ち、以下に示す実施例1〜3では、本発明を、SOBAネットワークにおけるTNCの実装
に適用した場合を示すこととする。特に、以下の実施例1〜3おけるTNCに基づくネットワーク接続端末認証は、利用者端末装置に組み込まれるハードウェアやソフトウェアの構成を安全性や性能の観点から評価した評価値が一定水準以上である場合に該利用者端末装置を認証してネットワークへの接続を許可する認証方法である。
に適用した場合を示すこととする。特に、以下の実施例1〜3おけるTNCに基づくネットワーク接続端末認証は、利用者端末装置に組み込まれるハードウェアやソフトウェアの構成を安全性や性能の観点から評価した評価値が一定水準以上である場合に該利用者端末装置を認証してネットワークへの接続を許可する認証方法である。
先ず、図1〜9を参照して、本発明の実施例1について説明する。実施例1は、利用者端末装置がコンピュータ・ネットワークを介して他の利用者端末装置との通信を開始することに先立ってディレクトリサーバ装置に対して出される、コンピュータ・ネットワークにおいて他の利用者端末装置へ至る通信経路情報の要求に応じて、該ディレクトリサーバ装置から認証サーバ装置へ利用者端末装置の認証を依頼し、該認証サーバ装置により利用者端末装置が認証されたことに応じて、利用者端末装置が他の利用者端末装置との通信を開始する実施例である。
先ず、実施例1に係るネットワーク接続端末認証システムの概要について説明する。図1は、実施例1に係るネットワーク接続端末認証システムの概要を説明するための図である。同図に示すように、実施例1に係るネットワーク接続端末認証システムは、中継サーバ装置A400a、中継サーバ装置B400b及び中継サーバ装置C400cが配置されるネットワークNを介して利用者端末装置A100a、利用者端末装置B100b及びディレクトリサーバ装置200が通信可能に接続される。また、ディレクトリサーバ装置200は、認証サーバ装置300と通信可能に、ネットワークNとは別の経路で接続されている。
利用者端末装置A100a及び利用者端末装置B100bは、利用者が直接操作して互いにデータのやり取りを行うための端末装置である。実施例1では、利用者端末装置A100aを、データ送信側の端末装置とし、利用者端末装置B100bを、データ受信側の端末装置としている。
ディレクトリサーバ装置200は、ネットワークNにおいてある利用者端末装置から他の端末装置へ至るまでの経路情報である接続先情報を記憶するサーバ装置である。このディレクトリサーバ装置200は、ネットワークNにおいてある利用者端末装置と他の端末装置との通信系路上には存在せず、通信データは、ディレクトリサーバ装置200を通過しない。認証サーバ装置300は、ディレクトリサーバ装置200からの要求に応じて、利用者端末装置を認証し、ネットワークNへの接続を許可するか否かを一元的に判定するサーバ装置である。認証サーバ装置300による認証結果に応じて、ディレクトリサーバ装置200が利用者端末装置へ接続先情報を送信するか否かが決定される。中継サーバ装置A400a、中継サーバ装置B400b及び中継サーバ装置C400cは、ネットワークN上に配置され、利用者端末装置同士の通信データを中継するサーバ装置である。
先ず、利用者端末装置A100aからディレクトリサーバ装置200へ、ネットワーク接続要求及び端末装置環境情報が送信される(図1(1))。ネットワーク接続要求は、利用者端末装置A100aが有するネットワーク接続要求部101aによってディレクトリサーバ装置200へ送信される。端末装置環境情報は、利用者端末装置A100aが有する環境情報収集部101bによって収集された、利用者端末装置A100aのハードウェア及びソフトウェア構成を示す情報であり、利用者端末装置A100aが有する所定のインターフェースを介してディレクトリサーバ装置200へ送信される。
ディレクトリサーバ装置200は、利用者端末装置A100aからネットワーク接続要求及び端末装置環境情報を受信したならば、認証サーバ装置300に対して利用者端末装置A100aの認証を要求する(図1(2))。
認証サーバ装置300は、ディレクトリサーバ装置200からの認証要求に応じて利用者端末装置A100aを認証した結果をディレクトリサーバ装置200へ送信する(図1(3))。ディレクトリサーバ装置200では、接続先情報送信部201cが、利用者端
末装置A100aへ、認証サーバ装置300から受信した端末装置認証結果に基づいてトークン生成部201bによって生成されたトークンとともに、ネットワークNにおいて接続先の端末装置に至るまでの経路情報である接続先情報を送信する(図1(4))。
末装置A100aへ、認証サーバ装置300から受信した端末装置認証結果に基づいてトークン生成部201bによって生成されたトークンとともに、ネットワークNにおいて接続先の端末装置に至るまでの経路情報である接続先情報を送信する(図1(4))。
利用者端末装置A100aは、ディレクトリサーバ装置200からトークン及び接続先情報を受信すると、この接続先情報が示すネットワークNにおける経路情報に基づいて、利用者端末装置B100bと通信を開始する(図1(5))。この経路情報は、中継サーバ装置A400a及び中継サーバ装置B400bを経由する経路を示す。なお、利用者端末装置A100aは、利用者端末装置B100bへ向けて送信されるデータに、ディレクトリサーバ装置200から受信したトークンを付加する。
上記に示した認証サーバ装置300の機能は、従来は、各中継サーバ装置400に置かれていた。このため、各中継サーバを通信データが通過する度に認証を行わなければならないという認証処理の非効率があるのみならず、利用者端末装置を増設すると、複数の中継サーバの認証機能を手当てしないと、増設した利用者端末装置の認証ができなくなる場合があり、開発効率及びメンテナンス効率が大変悪かった。そこで、本実施例1では、認証機能を、ネットワークNの通信データの経路とは別の位置に配置して、ここで一元的に認証処理を行うこととしたので、認証処理の効率性を向上させ、また、ネットワークの構成の自由度を増し、認証機能の開発効率及びメンテナンス効率を向上させることが可能となった。
次に、実施例1に係るネットワーク接続端末認証システムにおいて送受信されるデータ送受信について説明する。図2は、実施例1に係るネットワーク接続端末認証システムにおけるデータ送受信の概要を説明するための図である。同図に示すように、先ず、1:利用者端末装置A100aからディレクトリサーバ装置200へ、接続要求が送信される。続いて、ディレクトリサーバ装置200が利用者端末装置A100aから接続要求を受信すると、2:ディレクトリサーバ装置200から認証サーバ装置300へ、認証要求が送信される。
続いて、認証サーバ装置300は、ディレクトリサーバ装置200からの認証要求に応じて行った利用者端末装置A100aの認証結果をディレクトリサーバ装置200へ送信する。ここでは具体的に、認証サーバ装置300における利用者端末装置A100aの認証によりネットワークNへの接続許可となったので、3:認証サーバ装置300からディレクトリサーバ装置200へ、接続許可が送信される。
なお、認証サーバ装置300における利用者端末装置A100aの認証によりネットワークNへの接続が許可されなかった場合には、認証サーバ装置300からディレクトリサーバ装置200へ、接続不許可が送信される。
続いて、認証サーバ装置300から接続許可を受信したディレクトリサーバ装置200は、4:接続許可を利用者端末装置A100aへ転送する。なお、ディレクトリサーバ装置200から利用者端末装置A100aへ送信される接続許可は、トークンを含む。そして、5:ディレクトリサーバ装置200から接続許可を受信した利用者端末装置A100aは、ディレクトリサーバ装置200へ接続先情報要求を送信する。
続いて、6:利用者端末装置A100aから接続先情報要求を受信したディレクトリサーバ装置200は、接続先情報をリスト化した接続先リストを送信する。このようにして、利用者端末装置A100aは、利用者端末装置B100bへ向けて通信データを送信することが可能となる。
このように、利用者端末装置A100aが利用者端末装置B100bとの通信に先立ってディレクトリサーバ装置200から接続先リストを取得するのは、利用者端末装置は、ネットワークN上で、自装置からディレクトリサーバ装置200を経由せず通信相手とする利用者端末装置へ至る経路を知らないためである。これに対し、いかなる利用者端末装置も、ネットワークN上で自装置からディレクトリサーバ装置200へ至る通信経路を知っている。
次に、7:利用者端末装置A100aは、利用者端末装置B100bへ向けて通信データを送信する。このとき、通信データにはディレクトリサーバ装置200から受信したトークンが付加される。なお、利用者端末装置A100aから利用者端末装置B100bへ向けた通信データは、接続先リストの記載に従って、中継サーバ装置A400a及び中継サーバ装置C400cを経由してから利用者端末装置B100bへ至る。
そして、8:利用者端末装置A100aから利用者端末装置B100bへの通信データを中継サーバ装置A400aから受信した中継サーバ装置C400cは、この通信データをトークンとともに利用者端末装置B100bへ転送する。
最後に、中継サーバ装置C400cから通信データを受信した利用者端末装置B100bは、9:通信データに付加されているトークンが正しいものであるか否かをディレクトリサーバ装置200へ問い合わせる。なお、図示はしていないが、利用者端末装置B100bとディレクトリサーバ装置200との間の通信経路は、中継サーバ装置B400b及び中継サーバ装置C400cを経由するものである。
そして、10:利用者端末装置B100bからトークン確認の問い合わせを受信したディレクトリサーバ装置200は、トークンが正しいものである場合には、トークンが正しい旨を利用者端末装置B100bへ送信する。なお、トークンが正しいものでない場合には、ディレクトリサーバ装置200から利用者端末装置B100bへトークンが正しくない旨が送信される。こうして、利用者端末装置B100bは、利用者端末装置A100aからの通信データを信頼することが可能となる。
次に、実施例1の利用者端末装置の構成について説明する。図3は、図1に示した利用者端末装置100の構成を示す機能ブロック図である。同図に示すように、利用者端末装置100は、制御部101と、記憶部102と、入出力制御インターフェース部103と、通信制御インターフェース部104と、キーボードやマウスなどの入力操作を受け付ける入力部105と、ディスプレイ装置などの表示手段である出力部106とを有する。
制御部101は、各種の処理手順を規定したプログラムや制御データを格納する内部メモリを有するものであり、これらの協働により種々の処理を実行する制御手段である。制御部101は、特に、本発明に密接に関連するものとして、ネットワーク接続要求部101aと、環境情報収集部101bと、環境情報送信部101cとを有する。
ネットワーク接続要求部101aは、入力部105から受け付けられた操作に基づいてディレクトリサーバ装置200に対してネットワーク接続要求を送信する。環境情報収集部101bは、利用者端末装置100の起動時又は環境情報が対象とするハードウェア若しくはソフトウェアの導入時に環境情報を収集し、記憶部102の環境情報テーブル102aに登録する。
ここで、環境情報とは、当該利用者端末装置100に導入されているハードウェア及びソフトウェアなどを特定する情報である。環境情報送信部101cは、ネットワーク接続要求部101aが接続要求を送信した後に、環境情報テーブル102aからハードウェア・ソフトウェア毎の環境情報を読み出す。そして、それぞれの環境情報を各環境情報に基づいて計算したハッシュ値とともにディレクトリサーバ装置200へ送信する。
記憶部102は、環境情報テーブル102aを有する。環境情報テーブル102aは、利用者端末装置100の環境に係る情報を記憶する記憶手段であり、具体的には、図4に示すように、利用者端末装置100に組み込まれているソフトウェア(OS、BIOS、ブラウザ、プラグインソフト等)やハードウェア(CPU、メモリ、PCIボード等)、利用者端末装置100に接続されているハードウェアなどの環境情報を記憶する。なお、図4に示す環境情報テーブル102aは、種別及び利用者の端末装置に係る環境情報のカラムを有するが、種別は、利用者の端末装置に係る環境情報で特定されるハードウェア・ソフトウェアの種別(OS、BIOS、ブラウザ、プラグインソフト、CPU、メモリ、PCIボード等)を示す情報である。
なお、かかる環境情報は、利用者端末装置100の起動時に利用者端末装置100自らが収集して環境情報テーブル102aに登録するとともに、起動後にソフトウェアが新たにインストールされた場合やハードウェアが新たに接続された場合にも、これらの環境情報を利用者端末装置100自らが収集して環境情報テーブル102aに記憶させる。
入出力制御インターフェース部103は、制御部101と、通信制御インターフェース部104、入力部105及び出力部106との通信データのやり取りを仲介するインターフェースである。
通信制御インターフェース部104は、当該利用者端末装置100をネットワークNに接続するためのインターフェースであり、特に、中継サーバ装置400との接続を仲介するインターフェースである。
次に、実施例1のディレクトリサーバ装置200の構成を説明する。図5は、図1に示したディレクトリサーバ装置200の構成を示す機能ブロック図である。同図に示すように、ディレクトリサーバ装置200は、制御部201と、記憶部202と、入出力制御インターフェース部203と、通信制御インターフェース部204と、入力部205と、出力部206と、認証サーバ装置通信インターフェース部207とを有する。
制御部201は、各種の処理手順を規定したプログラムや制御データを格納する内部メモリを有するものであり、これらの協働により種々の処理を実行する制御手段である。制御部201は、特に、本発明に密接に関連するものとして、利用者端末装置認証依頼部201aと、トークン生成部201bと、接続先情報送信部201cとを有する。
利用者端末装置認証依頼部201aは、中継サーバ装置400を介して利用者端末装置100から接続要求とともに環境情報を受信すると、この環境情報を認証サーバ装置通信インターフェース部207を介して認証サーバ装置300へ送信する。また、認証サーバ装置通信インターフェース部207を介して認証サーバ装置300から受信した利用者端末装置の認証結果がネットワークへの接続を許可する旨のものであると判定すると、トークン生成部201bに対してトークンを生成するよう指示し、接続先情報送信部201cに対して接続先情報を送信するよう指示し、接続端末記録テーブル202dに端末接続記録を出力する。なお、利用者端末装置の認証結果がネットワークへの接続を許可する旨のものでないと判定すると、接続元の利用者端末装置100に対して、エラー・メッセージの出力指示を送信する。このエラー・メッセージを受信した利用者端末装置100は、その出力部106に、エラー・メッセージを表示することとなる。
トークン生成部201bは、利用者端末装置認証依頼部201aからトークン生成指示を入力されると、トークンを生成して接続先情報送信部201cへ出力するとともにトークン管理テーブル202aに記録する。
接続先情報送信部201cは、利用者端末装置認証依頼部201aから接続先情報送信指示を入力されると、トークン管理テーブル202a及び接続端末記録テーブル202dに基づいて、接続要求を出した接続元の利用者端末装置及び接続先の利用者端末装置に応じた接続先情報を作成し、これを該接続要求を出した利用者端末装置へ向けて送信する。接続先情報は、接続先の利用者端末装置識別子と、この利用者端末装置のネットワークNへのゲートウェイである中継サーバ装置のIPアドレスとを含む。
このとき、トークン生成部201bによって生成されたトークンを接続先情報に付加して送信する。また、中継サーバ装置リストテーブル202cを参照すると、接続元の利用者端末装置及び接続先の利用者端末装置に応じたゲートウェイの中継サーバ装置が分かるので、このゲートウェイの中継サーバ装置のIPアドレスを接続先情報に付加して送信する。なお、各中継サーバ装置のIPアドレスは、中継サーバ装置リストテーブル202cを参照することによって分かる。
記憶部202は、トークン管理テーブル202aと、中継サーバ装置ルーティング設定テーブル202bと、中継サーバ装置リストテーブル202cと、接続端末記録テーブル202dとを有する。
トークン管理テーブル202aは、トークン生成部201bによって生成されたトークンに係る情報を記憶する記憶手段であり、具体的には、図6−1示すように、トークン生成部201bによって生成された任意のバイト列であるトークンを、コネクションIDと、利用者端末装置識別子と、有効期限と、最終アクセス日時とともに記憶する。
なお、コネクションIDとは、トークン管理テーブル202aと、接続端末記録テーブル202dとにおいて接続要求を一意に識別するための識別情報である。このコネクションIDを結合することによって、トークン管理テーブル202a及び接続端末記録テーブル202dを関係付けることが可能となり、利用者端末装置に対応付けられるゲートウェイの中継サーバ装置を知ることができる。また、利用者端末装置識別子は、当該トークンに係る接続要求を出した利用者端末装置を一意に識別するための識別情報である。また、有効期限は、当該トークンが利用可能な期限であり、最終アクセス日は、当該レコードが読み書きされた最終の日時である。
中継サーバ装置ルーティング設定テーブル202bは、接続元の利用者端末装置のゲートウェイである中継サーバ装置と、接続先の利用者端末装置のゲートウェイである中継サーバ装置とに基づく、接続元の利用者端末装置のゲートウェイである中継サーバ装置が通信データを受け渡す中継サーバ装置に係る情報を記憶する記憶手段である。
具体的には、図6−2示すように、接続元の利用者端末装置の中継サーバ装置を表すソース中継サーバ装置IDと、接続先の利用者端末装置の中継サーバ装置を表すデスティネーション中継サーバ装置IDと、ゲートウェイ中継サーバ装置IDとを記憶する。ここで、ゲートウェイ中継サーバ装置は、ソース中継サーバ装置及びデスティネーション中継サーバ装置から決まる、ソース中継サーバ装置が通信データを受け渡す中継サーバ装置である。これらの項目は、中継サーバ装置IDで記述されるが、中継サーバ装置リストを参照することによって、IPアドレスに変換される。
中継サーバ装置リストテーブル202cは、中継サーバ装置IDにIPアドレスが対応付けられて記憶されている。このテーブルは、図6−3に示すように、各中継サーバ装置のIPアドレスを記憶するものである。
接続端末記録テーブル202dは、コネクションIDで識別される通信を、当該接続元の利用者端末装置の中継サーバ装置ID及び接続開始日時とともに記憶する。このテーブルは、図6−4に示すように、認証サーバ装置300での認証が肯定となり、接続先利用者端末装置100との通信が開始されると、コネクションID、接続元の利用者端末装置の中継サーバ装置ID及び接続開始日時を記憶し、当該通信が終了するとレコードを削除することによって、現在通信を行っている接続元の利用者端末装置を把握することが可能となる。この接続端末記録テーブル202dに登録されている利用者端末装置100は、認証サーバ装置300での認証に合格した端末装置であって、同じく認証サーバ装置300での認証に合格した他の端末装置との通信を認められている利用者端末装置である。
次に、実施例1の認証サーバ装置の構成について説明する。図7は、図1に示した認証サーバ装置300の構成を示す機能ブロック図である。同図に示すように、認証サーバ装置300は、制御部301と、記憶部302と、入出力制御インターフェース部303と、通信制御インターフェース部304と、キーボードやマウスなどの入力操作を受け付ける入力部305と、ディスプレイ装置などの表示手段である出力部306とを有する。
制御部301は、各種の処理手順を規定したプログラムや制御データを格納する内部メモリを有するものであり、これらの協働により種々の処理を実行する制御手段である。制御部301は、特に、本発明に密接に関連するものとして、利用者端末装置ハッシュ値/評価値算出部301aと、利用者端末装置環境照合部301bとを有する。
利用者端末装置ハッシュ値/評価値算出部301aは、利用者端末装置100から受信した環境情報をハッシュ化して、利用者端末装置100から受信した環境情報及びハッシュ値とともに利用者端末装置環境照合部301bへ出力する。
利用者端末装置環境照合部301bは、利用者端末装置100から受信したハッシュ値と、利用者端末装置ハッシュ値/評価値算出部301aによりハッシュ化された環境情報とを比較して一致するか否かを判定する。また、利用者端末装置100から受信した環境情報をもとに端末装置環境評価情報テーブル302aを参照し、全ての環境情報に対応する評価値を読み出して平均を算出する。そして、この平均が所定閾値以上となるか否かを判定する。なお、全ての環境情報に対応する評価値の単純平均に限らず、加重平均や総和などであってもよい。
利用者端末装置環境照合部301bによる、利用者端末装置100から受信したハッシュ値と、利用者端末装置ハッシュ値/評価値算出部301aによりハッシュ化された環境情報との一致性の判定と、全ての環境情報に対応する評価値の平均が所定閾値以上となることの判定とをあわせて、利用者端末装置100の認証と呼ぶ。そして、利用者端末装置環境照合部301bにより、利用者端末装置100から受信したハッシュ値と、利用者端末装置ハッシュ値/評価値算出部301aによりハッシュ化された環境情報とが一致すると判定され、かつ全ての環境情報に対応する評価値の平均が所定閾値以上となると判定された場合に、利用者端末装置が認証されたとする。利用者端末装置環境照合部301bは、利用者端末装置100に対して、当該利用者端末装置100が認証された又は認証されなかったことを示す情報を送信する。
記憶部302は、端末装置環境評価情報テーブル302aを有する。端末装置環境評価情報テーブル302aは、利用者端末装置100のソフトウェア・ハードウェア環境の評価に係る情報を記憶する記憶手段であり、具体的には、図8に示すように、種別と、ベンダ製品の環境情報と、ハッシュ化された環境情報と、評価値とを対応付けて記憶する。種別は、図4の環境情報テーブル102aに示す種別と同一である。
このうち、「環境情報」及び「ハッシュ化された環境情報」は、利用者端末装置100に組み込まれ得るソフトウェアやハードウェアの情報(環境情報)が機器ベンダから入手される度に端末装置環境評価情報テーブル302aに登録される。また、「評価値」は、かかるベンダ製品の入手に際して、ベンダ製品の脆弱性や能力に基づいて安全性や性能の観点から決定されるものであり、「環境情報」および「ハッシュ化された環境情報」に対応付けて登録される。
さらに、このようにして登録された「評価値」は、新たな脆弱性(セキュリティ・ホール)が後に発見された場合や、より高性能な後発品が製作された場合などに、見直しが行われて更新登録される。なお、実施例1では、「評価値」として、ベンダ製品の脆弱性に基づいてセキュリティの観点から決定される「安全性評価値」と、ベンダ製品の能力に基づいて性能の観点から決定される「性能評価値」とがある。
入出力制御インターフェース部303は、制御部301と、通信制御インターフェース部304、入力部305及び出力部306との通信データのやり取りを仲介するインターフェースである。また、通信制御インターフェース部304は、当該認証サーバ装置300とディレクトリサーバ装置200とを接続するためのインターフェースである。
次に、図1に示したネットワーク接続端末認証システムにおいて実行されるネットワーク接続端末認証処理の処理について説明する。図9は、図1に示したネットワーク接続端末認証システムにおいて実行されるネットワーク接続端末認証処理の処理手順を示すタイムチャートである。
同図に示すように、先ず、利用者端末装置A100aは、ディレクトリサーバ装置200に対して、接続先利用者端末装置として利用者端末装置B100bを指定して接続要求を送信する(ステップS101)。接続要求を受信したディレクトリサーバ装置200は、認証サーバ装置300に対して認証要求を送信する(ステップS102)。認証要求を
受信した認証サーバ装置300は、ハッシュ値の比較及び端末環境の評価値の判定を行うことにより利用者端末装置を認証する利用者端末装置環境照合処理を実行する(ステップS103)。
受信した認証サーバ装置300は、ハッシュ値の比較及び端末環境の評価値の判定を行うことにより利用者端末装置を認証する利用者端末装置環境照合処理を実行する(ステップS103)。
続いて、ステップS103の処理により利用者端末装置が認証された場合に、認証サーバ装置300は、ディレクトリサーバ装置200へ、認証を許可する旨の情報を通知する(ステップS104)。続いて、認証サーバ装置300から認証を許可する旨の情報を通知されたディレクトリサーバ装置200は、利用者端末装置A100aへ、利用者端末装置B100bとの接続を許可する旨の情報を送信する(ステップS105)。
なお、ステップS103の処理により利用者端末装置A100aが認証されなかった場合には、ステップS104の処理に代えて、認証サーバ装置300は、ディレクトリサーバ装置200へ、認証を許可しない旨の情報を通知する。また、認証サーバ装置300から認証を許可しない旨の情報を通知されたディレクトリサーバ装置200は、ステップS105の処理に代えて、利用者端末装置A100aへ、利用者端末装置B100bとの接続を許可しない旨の情報を送信する。
続いて、ディレクトリサーバ装置200から、利用者端末装置B100bとの接続を許可する旨の情報を受信した利用者端末装置A100aは、ディレクトリサーバ装置200に対して接続先情報の要求を送信する(ステップS106)。接続先情報の要求を受信したディレクトリサーバ装置200は、利用者端末装置A100aへ、接続先リスト情報を送信する(ステップS107)。
続いて、利用者端末装置A100aは、ディレクトリサーバ装置200から受信した接続先リスト情報に基づいて利用者端末装置Bへの接続のゲートウェイとなる中継サーバ装置を判断する(ステップS108)。続いて、このゲートウェイと判断された中継サーバ装置A400aに対して通信データの送信を開始する(ステップS109)。そして、中継サーバ装置A400a、中継サーバ装置B400b、中継サーバ装置C400cの間で通信データを中継した後に、中継サーバ装置A400a、中継サーバ装置B400b、中継サーバ装置C400cのうち利用者端末装置B100bのゲートウェイである中継サーバ装置から利用者端末装置B100bへ、通信データが送信される(ステップS110)。
上記したように、ディレクトリサーバ装置200は、利用者端末装置A100aの接続先情報要求に対して接続先リスト情報を送信することとなるが、この接続先リスト情報の送信に先立って、認証サーバ装置300での利用者端末装置A100aの認証を行うことによって、不正な利用者端末装置A100aに対して接続先リスト情報を送信してしまうことを抑止することができ、ネットワークNのセキュリティの向上を図ることが可能となる。また、このように、ネットワークNのセキュリティ向上のために行う利用者端末装置の認証を、通信データを中継する各中継サーバ装置でそれぞれ行わず、ディレクトリサーバ装置200の配下の認証サーバ装置300で集中的に行うこととしたので、認証機能の実装を容易に行うことが可能となり、認証処理の効率を向上させることが可能となる。
次に、図10〜14を参照して、本発明の実施例2について説明する。実施例2は、利用者端末装置がコンピュータ・ネットワークを介して他の利用者端末装置との通信を行う際に、通信データを中継する中継サーバ装置から、通信データに付加されるトークンの確認要求が出されたことに応じて、該ディレクトリサーバ装置から認証サーバ装置へトークンの確認を依頼し、該認証サーバ装置によりトークンが確認されたことに応じて、中継サーバ装置が通信データを他の中継サーバ装置又は前述の他の利用者端末装置へ転送する実施例である。
上記の機能を実現するため、実施例2は、実施例1に、トークンに基づいて利用者端末装置を確認するために必要な機能・構成が追加されたものとなる。特に、実施例2のディレクトリサーバ装置及び中継サーバ装置は、実施例1のものに機能が追加となる。なお、実施例2の利用者端末装置及び認証サーバ装置は、実施例1のものと同一であるので、説明を省略する。
先ず、実施例2に係るネットワーク接続端末認証システムの概要について説明する。図10は、実施例2に係るネットワーク接続端末認証システムの概要を説明するための図である。同図に示すように、実施例2に係るネットワーク接続端末認証システムのネットワーク構成は、実施例1に示したものと同様である。
先ず、利用者端末装置A100aからディレクトリサーバ装置200へ、ネットワーク接続要求及び端末装置環境情報が送信される(図10(1))。ネットワーク接続要求は、利用者端末装置A100aが有するネットワーク接続要求部101aによってディレクトリサーバ装置200へ送信される。端末装置環境情報は、利用者端末装置A100aが有する環境情報収集部101bによって収集された、利用者端末装置A100aのハードウェア及びソフトウェア構成を示す情報であり、利用者端末装置A100aが有する所定のインターフェースを介してディレクトリサーバ装置200へ送信される。
ディレクトリサーバ装置200は、利用者端末装置A100aからネットワーク接続要求及び端末装置環境情報を受信したならば、認証サーバ装置300に対して利用者端末装置A100aの認証を要求する(図10(2))。
認証サーバ装置300は、ディレクトリサーバ装置200からの認証要求に応じて利用者端末装置A100aを認証した結果をディレクトリサーバ装置200へ送信する(図10(3))。ディレクトリサーバ装置200では、接続先情報送信部201cが、利用者端末装置A100aへ、認証サーバ装置300から受信した端末装置認証結果に基づいてトークン生成部201bによって生成されたトークンとともに、ネットワークNにおいて接続先の端末装置に至るまでの経路情報である接続先情報を送信する(図10(4))。
利用者端末装置A100aは、ディレクトリサーバ装置200からトークン及び接続先情報を受信すると、この接続先情報が示すネットワークNにおける経路情報に基づいて、利用者端末装置B100bと通信を行うために、中経サーバ装置A400aへデータを送信する(図10(5))。なお、利用者端末装置A100aは、利用者端末装置B100bへ向けて送信されるデータに、ディレクトリサーバ装置200から受信したトークンを付加する。
トークンが付加された通信データを受信した中継サーバ装置A100aは、トークンが正当なものであるか否かの確認要求を、ディレクトリサーバ装置200へ送信する(図10(6))。トークン確認要求を受信したディレクトリサーバ装置200は、当該トークンが、真に自装置が発行したトークンであるか否かを確認し、この確認結果を中継サーバ装置A400aへ向けて送信する(図10(7))。
トークン確認結果を受信した中継サーバ装置A400aは、トークン確認結果によりトークンが正当なものであるとされたならば、利用者端末装置A100aから受信したデータを、接続先情報に基づく次の中継サーバ装置である中継サーバ装置C400cへ送信する(図10(8))。一方、中継サーバ装置A400aは、トークン確認結果によりトークンが正当なものでないとされたならば、利用者端末装置A100aから受信したデータを、中継サーバ装置C400cへ送信しない。
次に、実施例2に係るネットワーク接続端末認証システムにおいて送受信されるデータ送受信について説明する。図11は、実施例2に係るネットワーク接続端末認証システムにおけるデータ送受信の概要を説明するための図である。同図に示すように、先ず、1:利用者端末装置A100aからディレクトリサーバ装置200へ、接続要求が送信される。続いて、ディレクトリサーバ装置200が利用者端末装置A100aから接続要求を受
信すると、2:ディレクトリサーバ装置200から認証サーバ装置300へ、認証要求が送信される。
信すると、2:ディレクトリサーバ装置200から認証サーバ装置300へ、認証要求が送信される。
続いて、認証サーバ装置300は、ディレクトリサーバ装置200からの認証要求に応じて行った利用者端末装置A100aの認証結果をディレクトリサーバ装置200へ送信する。ここでは具体的に、認証サーバ装置300における利用者端末装置A100aの認証によりネットワークNへの接続許可となったので、3:認証サーバ装置300からディレクトリサーバ装置200へ、接続許可が送信される。
なお、認証サーバ装置300における利用者端末装置A100aの認証によりネットワークNへの接続が許可されなかった場合には、認証サーバ装置300からディレクトリサーバ装置200へ、接続不許可が送信される。
続いて、認証サーバ装置300から接続許可を受信したディレクトリサーバ装置200は、4:接続許可を利用者端末装置A100aへ転送する。なお、ディレクトリサーバ装置200から利用者端末装置A100aへ送信される接続許可は、トークンを含む。そして、5:ディレクトリサーバ装置200から接続許可を受信した利用者端末装置A100aは、ディレクトリサーバ装置200へ接続先情報要求を送信する。
続いて、6:利用者端末装置A100aから接続先情報要求を受信したディレクトリサーバ装置200は、接続先情報をリスト化した接続先リストを送信する。このようにして、利用者端末装置A100aは、利用者端末装置B100bへ向けて通信データを送信することが可能となる。
次に、7:利用者端末装置A100aは、利用者端末装置B100bへ向けて通信データを送信する。このとき、通信データにはディレクトリサーバ装置200から受信したトークンが付加される。なお、利用者端末装置A100aから利用者端末装置B100bへ向けた通信データは、接続先リストの記載に従って、中継サーバ装置A400a及び中継サーバ装置B400bを経由してから利用者端末装置B100bへ至る。
利用者端末装置A100aから通信データ及びトークンを受信した中継サーバ装置B400bは、8:ディレクトリサーバ装置200へトークン確認要求を送信する。そして、トークン確認要求を受信したディレクトリサーバ装置200は、9:トークン確認処理を行った結果を中継サーバ装置B400bへ送信する。特に、ここでの確認結果は、トークンが正当なものであったとする内容であるとする。
トークンが正当なものであるとの確認結果を得た中継サーバ装置B400bは、10:さらに中継サーバ装置C400cへ、利用者端末装置B100bへ向けた通信データをトークンとともに送信する。中継サーバ装置B400bから通信データ及びトークンを受信した中継サーバ装置C400cは、11:ディレクトリサーバ装置200を経由して認証サーバ装置300へトークン確認要求を送信する。そして、12:トークン確認要求を受信した認証サーバ装置300は、トークン確認処理を行った結果を、ディレクトリサーバ装置200を経由して中継サーバ装置C400cへ送信する。なお、ここでの確認結果も、トークンが正当なものであったとする内容であるとする。
続いて、トークンが正当なものであるとの確認結果を得た中継サーバ装置B400bは、13:通信データをトークンとともに利用者端末装置B100bへ転送する。そして、中継サーバ装置C400cから通信データを受信した利用者端末装置B100bは、14:通信データに付加されているトークンが正しいものであるか否かをディレクトリサーバ装置200へ問い合わせる。なお、図示はしていないが、利用者端末装置B100bとディレクトリサーバ装置200との間の通信経路は、中継サーバ装置B400b及び中継サーバ装置C400cを経由するものである。
そして、15:利用者端末装置B100bからトークン確認の問い合わせを受信したディレクトリサーバ装置200は、トークン確認処理を実行し、トークンが正しいものであるとされる場合には、トークンが正しい旨を利用者端末装置B100bへ送信する。なお、トークンが正しいものでない場合には、ディレクトリサーバ装置200から利用者端末
装置B100bへトークンが正しくない旨が送信される。こうして、利用者端末装置B100bは、利用者端末装置A100aからの通信データを信頼することが可能となる。
装置B100bへトークンが正しくない旨が送信される。こうして、利用者端末装置B100bは、利用者端末装置A100aからの通信データを信頼することが可能となる。
このように、利用者端末装置A100aから利用者端末装置B100bへの通信データに付加されているトークンを、通信経路上でデータ中継する各中継サーバ装置でデータ受信毎に、ディレクトリサーバ装置で確認するようにすると、正当でない通信データを通信経路途中で送信中止させることが可能となり、セキュリティの向上を図るとともに、無駄なネットワーク帯域消費を抑えることが可能となる。
次に、実施例2のディレクトリサーバ装置200の構成を説明する。図12は、図10に示したディレクトリサーバ装置200の構成を示す機能ブロック図である。同図に示すように、ディレクトリサーバ装置200は、制御部201と、記憶部202と、入出力制御インターフェース部203と、通信制御インターフェース部204と、入力部205と、出力部206と、認証サーバ装置通信インターフェース部207とを有する。実施例2のディレクトリサーバ装置200は、実施例1に比べて制御部201の構成のみが異なるため、この差異についてのみ説明し、その他の同一部分については説明を省略する。
実施例2のディレクトリサーバ装置200の制御部201は、トークン検証部201dをさらに有する。トークン検証部201dは、中継サーバ装置400又は利用者端末装置100から受信したトークン確認依頼に基づいてトークン管理テーブル202aを参照し、このトークンがトークン管理テーブルに登録される正当なトークンであるか否かを判定
する。特に、トークンが付与されているとされる利用者端末装置と一致するか否か、若しくは当該利用者端末装置に付与されたとするトークンに一致するか否か、トークンが有効期限内であるか否かを判定する。そして、この判定結果を、確認要求元である中継サーバ装置400又は利用者端末装置100へ向けて送信する。
する。特に、トークンが付与されているとされる利用者端末装置と一致するか否か、若しくは当該利用者端末装置に付与されたとするトークンに一致するか否か、トークンが有効期限内であるか否かを判定する。そして、この判定結果を、確認要求元である中継サーバ装置400又は利用者端末装置100へ向けて送信する。
次に、実施例2の中継サーバ装置の構成について説明する。図13は、図10に示した中継サーバ装置400の構成を示す機能ブロック図である。同図に示すように、中継サーバ装置400は、制御部401と、入出力制御インターフェース部402と、通信制御インターフェース部403と、キーボードやマウスなどの入力操作を受け付ける入力部404と、ディスプレイ装置などの表示手段である出力部405と、認証サーバ装置通信インターフェース部406とを有する。
制御部401は、各種の処理手順を規定したプログラムや制御データを格納する内部メモリを有するものであり、これらの協働により種々の処理を実行する制御手段である。制御部401は、特に、本発明に密接に関連するものとして、トークン照合依頼部401aと、通信データ転送処理部401bとを有する。
トークン照合依頼部401aは、他の中継サーバ装置400又は通信データの送信元である利用者端末装置100からを受信した通信データからトークンを切り出し、認証サーバ装置通信インターフェース部406を介して認証サーバ装置300へ、トークンの確認要求を送信する。また、認証サーバ装置300から受信したトークンの確認結果を判定し、トークンが正当なものであるとする確認結果であれば、受信した通信データを、他の中継サーバ装置又は通信データの送信先である利用者端末装置100へ転送するように、通信データ転送処理部401bへ出力する。なお、トークンが正当なものでないとする確認結果であれば、受信した通信データを、他の中継サーバ装置又は通信データの送信先である利用者端末装置100へ転送指示せず、出力部405にエラー・メッセージを表示させることとなる。
通信データ転送処理部401bは、トークン照合依頼部401aから通信データを受け取ると、入出力制御インターフェース部402を介して他の中継サーバ装置又は通信データの送信先である利用者端末装置100へ向けて該通信データを転送する。
入出力制御インターフェース部402は、制御部401と、通信制御インターフェース部403、入力部404及び出力部405との通信データのやり取りを仲介するインターフェースである。
通信制御インターフェース部403は、当該中継サーバ装置400をネットワークNに接続するためのインターフェースであり、特に、利用者端末装置100又は中継サーバ装置400との接続を仲介するインターフェースである。また、認証サーバ装置通信インターフェース部406は、制御部401と、認証サーバ装置300との通信データのやり取りを仲介するインターフェースである。
次に、図10に示したネットワーク接続端末認証システムにおいて実行されるネットワーク接続端末確認処理の処理について説明する。図14は、図10に示したネットワーク接続端末認証システムにおいて実行されるネットワーク接続端末確認処理の処理手順を示すタイムチャートである。
同図に示すように、先ず、利用者端末装置A100aは、ディレクトリサーバ装置200に対して、接続先利用者端末装置として利用者端末装置B100bを指定して接続要求を送信する(ステップS201)。接続要求を受信したディレクトリサーバ装置200は、認証サーバ装置300に対して認証要求を送信する(ステップS202)。認証要求を受信した認証サーバ装置300は、ハッシュ値の比較及び端末環境の評価値の判定を行うことにより利用者端末装置を認証する利用者端末装置環境照合処理を実行する(ステップS203)。
続いて、ステップS203の処理により利用者端末装置が認証された場合に、認証サーバ装置300は、ディレクトリサーバ装置200へ、認証を許可する旨の情報を通知する(ステップS204)。続いて、認証サーバ装置300から認証を許可する旨の情報を通知されたディレクトリサーバ装置200は、トークンを生成し(ステップS205)、この生成されたトークンをトークン管理テーブル202aに記録する(ステップS206)。そして、利用者端末装置A100aへ、利用者端末装置B100bとの接続を許可する旨の情報を、トークンとともに送信する(ステップS207)。
なお、ステップS203の処理により利用者端末装置A100aが認証されなかった場合には、ステップS204〜ステップS206の処理は行われず、認証サーバ装置300は、ディレクトリサーバ装置200へ、認証を許可しない旨の情報を通知する。また、認証サーバ装置300から認証を許可しない旨の情報を通知されたディレクトリサーバ装置200は、ステップS207の処理に代えて、利用者端末装置A100aへ、利用者端末装置B100bとの接続を許可しない旨の情報を送信する。
続いて、ディレクトリサーバ装置200から、利用者端末装置B100bとの接続を許可する旨の情報を受信した利用者端末装置A100aは、ディレクトリサーバ装置200に対して接続先情報の要求を送信する(ステップS208)。接続先情報の要求を受信したディレクトリサーバ装置200は、利用者端末装置A100aへ、接続先リスト情報を送信する(ステップS209)。
続いて、利用者端末装置A100aは、ディレクトリサーバ装置200から受信した接続先リスト情報に基づいて利用者端末装置Bへの接続のゲートウェイとなる中継サーバ装置を判断する(ステップS210)。続いて、このゲートウェイと判断された中継サーバ装置A400aに対して通信データの送信を開始する(ステップS211)。
利用者端末装置A100aからトークンとともに通信データを受信した中継サーバ装置A400aは、トークンの確認要求をディレクトリサーバ装置200へ送信する(ステップS212)。中継サーバ装置A400aからのトークン確認要求を受信したディレクトリサーバ装置200は、トークン管理テーブル202aを参照し、このトークンがトークン管理テーブルに登録される正当なトークンであるか否かを判定する(ステップS213)。そして、ディレクトリサーバ装置200は、トークン確認結果を、中継サーバ装置A400aへ送信する(ステップS214)。
なお、ステップS214以降、中継サーバ装置A400a、中継サーバ装置B400b、中継サーバ装置C400cの間で通信データを中継した後に、中継サーバ装置A400a、中継サーバ装置B400b、中継サーバ装置C400cのうち利用者端末装置B100bのゲートウェイである中継サーバ装置から利用者端末装置B100bへ、通信データが送信されることとなる。中継サーバ装置A400a、中継サーバ装置B400b、中継サーバ装置C400cは、通信データを受信する毎に、ステップS212〜ステップS214と同様の処理を行う。
中継サーバ装置A400a、中継サーバ装置B400b、中継サーバ装置C400cのうち利用者端末装置B100bのゲートウェイである中継サーバ装置が通信データを受信すると、このゲートウェイである中継サーバ装置は、利用者端末装置B100bへ、通信データを送信する(ステップS215)。
次に、図15〜19を参照して、本発明の実施例3について説明する。実施例3は、利用者端末装置がコンピュータ・ネットワークを介して他の利用者端末装置との通信を行う際に、通信データを中継する中継サーバ装置から、通信データに付加される確認済み認証項目を明らかにする情報に含まれる確認済み認証項目以外でさらに確認が必要とされる認証項目の確認要求に応じて、該ディレクトリサーバ装置から認証サーバ装置へ認証項目の確認を依頼し、該認証サーバ装置により認証項目が確認されたことに応じて、中継サーバ装置が通信データを他の中継サーバ装置又は前述の他の利用者端末装置へ転送する実施例である。なお、認証項目とは、認証サーバ装置における認証を実行する際の認証の基準となる項目といい、確認済み認証項目とは、当該認証項目に基づいた認証が認証サーバ装置で実行された認証項目をいう。
上記の機能を実現するため、実施例3は、実施例1に、中継サーバ装置からの認証項目確認要求に基づいて利用者端末装置を確認するために必要な機能・構成が追加されたものとなる。特に、実施例3のディレクトリサーバ装置及び中継サーバ装置は、実施例1のものに機能が追加となる。なお、実施例3の利用者端末装置及び認証サーバ装置は、実施例1のものと同一であるので、説明を省略する。
先ず、実施例3に係るネットワーク接続端末認証システムの概要について説明する。図15は、実施例3に係るネットワーク接続端末認証システムの概要を説明するための図である。同図に示すように、実施例3に係るネットワーク接続端末認証システムのネットワーク構成は、実施例1に示したものと同様である。
先ず、利用者端末装置A100aからディレクトリサーバ装置200へ、ネットワーク接続要求及び端末装置環境情報が送信される(図15(1))。ネットワーク接続要求は、利用者端末装置A100aが有するネットワーク接続要求部101aによってディレクトリサーバ装置200へ送信される。端末装置環境情報は、利用者端末装置A100aが有する環境情報収集部101bによって収集された、利用者端末装置A100aのハードウェア及びソフトウェア構成を示す情報であり、利用者端末装置A100aが有する所定のインターフェースを介してディレクトリサーバ装置200へ送信される。
ディレクトリサーバ装置200は、利用者端末装置A100aからネットワーク接続要求及び端末装置環境情報を受信したならば、認証サーバ装置300に対して、認証項目1について利用者端末装置A100aの認証を要求する(図15(2))。
認証サーバ装置300は、ディレクトリサーバ装置200からの認証要求に応じて利用者端末装置A100aを認証項目1について認証した結果をディレクトリサーバ装置200へ送信する(図15(3))。ディレクトリサーバ装置200では、接続先情報送信部201cが、利用者端末装置A100aへ、認証サーバ装置300から受信した端末装置認証結果に基づいてトークン生成部201bによって生成されたトークンとともに、ネットワークNにおいて接続先の端末装置に至るまでの経路情報である接続先情報を送信する
(図15(4))。
(図15(4))。
利用者端末装置A100aは、ディレクトリサーバ装置200からトークン及び接続先情報を受信すると、この接続先情報が示すネットワークNにおける経路情報に基づいて、利用者端末装置B100bと通信を行うために、中経サーバ装置A400aへデータを送信する(図15(5))。なお、利用者端末装置A100aは、利用者端末装置B100bへ向けて送信されるデータに、認証サーバ装置300で認証された際にセキュリティや性能の条件充足性が確認された認証項目(以下、確認済み認証項目という)を示す情報を付加する。ここでは、認証項目1について確認済みであることを示す情報を付加することとなる。
確認済み認証情報が付加された通信データを受信した中継サーバ装置A400aは、自装置において確認が要求される認証項目に基づいて既に認証済みか否かを判定し、自装置において要求される認証項目のうち確認されていない認証項目についての確認要求を、ディレクトリサーバ装置200へ送信する(図15(6))。ここでは、中継サーバ装置A400aは、認証項目1及び認証項目2についての確認を要求するが、認証項目1については既に確認されているため、認証項目2についての確認を要求するものとする。ディレクトリサーバ装置200は、利用者端末装置A100aから受信した認証項目2についての認証項目確認要求(認証要求)を、さらに認証サーバ装置300へ送信する(図15(7))。
ディレクトリサーバ装置200から認証項目確認要求を受信した認証サーバ装置300は、当該認証項目について利用者端末装置A100aを確認し、この確認結果をディレクトリサーバ装置200へ送信する(図15(8))。ディレクトリサーバ装置200は、この確認結果を、さらに中継サーバ装置A400aへ向けて送信する(図15(9))。
認証項目確認結果を受信した中継サーバ装置A400aは、認証項目確認結果により利用者端末装置A100aが条件充足するものであると判定されたならば、利用者端末装置A100aから受信したデータを、接続先情報に基づく次の中継サーバ装置である中継サーバ装置C400cへ送信する(図15(10))。一方、中継サーバ装置A400aは、認証項目確認結果により利用者端末装置A100aが条件充足しないと判定されたならば、利用者端末装置A100aから受信したデータを、中継サーバ装置C400cへ送信しない。
このように、利用者端末装置A100aから利用者端末装置B100bへの通信データに付加されている確認済み認証項目を、通信経路上でデータ中継する各中継サーバ装置でデータ受信毎に、認証サーバ装置で確認し、当該中継サーバ装置が確認を必要とする認証項目が確認済みでない場合には、さらに当該認証項目について認証するようにすると、セキュリティや性能が条件を充足しない利用者端末装置からの通信データを通信経路途中で送信中止させることが可能となり、セキュリティの向上を図るとともに、無駄なネットワーク帯域消費を抑えることが可能となる。
次に、実施例3に係るネットワーク接続端末認証システムにおいて送受信されるデータについて説明する。図16は、実施例3に係るネットワーク接続端末認証システムにおいて送受信されるデータの構造を説明するための図である。同図に示すように、実施例3に係るネットワーク接続端末認証システムにおいて送受信される通信データは、制御データと、ユーザデータと、確認済み認証項目データとのデータ・ブロックを含む。制御データは、通信プロトコルに係る制御データである。ユーザデータは、通信するデータ本体である。確認済み認証項目データは、当該通信データの送信元の利用者端末装置が認証された際に既に確認された認証項目を列挙するデータである。認証に際して確認が済んだ認証項目は、ここに追加されることとなる。確認済み認証項目データは、図4の環境情報テーブル102aに示した種別と同様の内容が格納される。即ち、認証項目は、図4の環境情報テーブル102aに示した種別と同一である。
次に、実施例3の中継サーバ装置の構成について説明する。図17は、図15に示した中継サーバ装置400の構成を示す機能ブロック図である。同図に示すように、中継サーバ装置400は、制御部401と、入出力制御インターフェース部402と、通信制御インターフェース部403と、キーボードやマウスなどの入力操作を受け付ける入力部404と、ディスプレイ装置などの表示手段である出力部405と、認証サーバ装置通信インターフェース部406と、記憶部407とを有する。
なお、実施例3の中継サーバ装置400の入出力制御インターフェース部402、通信制御インターフェース部403、入力部404、出力部405及び認証サーバ装置通信インターフェース部406は、実施例2の中継サーバ装置400のものと同様であるので、ここでは説明を省略する。
制御部401は、各種の処理手順を規定したプログラムや制御データを格納する内部メモリを有するものであり、これらの協働により種々の処理を実行する制御手段である。制御部401は、特に、本発明に密接に関連するものとして、確認済み認証項目切り出し部401cと、認証要求部401dと、確認済み認証項目情報付加処理部401eと、通信データ転送処理部401bとを有する。
確認済み認証項目切り出し部401cは、利用者端末装置100又は他の中継サーバ装置400から受信した通信データから、付加されている確認済み認証項目を切り出して、通信データとともに認証要求部401dへ出力する。認証要求部401dは、記憶部407の要確認認証項目テーブル407aを参照して、要確認認証項目テーブル407aに含まれる認証項目のうち確認済み認証項目切り出し部401cから出力された確認済み認証項目に含まれない認証項目を判定し、この判定された認証項目についての確認を、認証サーバ装置300へ依頼する。
これに対して、認証サーバ装置300から確認結果が返却され、当該確認項目について認証されたとされたならば、確認済み認証項目情報付加処理部401eへ処理の継続を指示する。認証サーバ装置300から確認結果が返却され、当該確認項目について認証されなかったとされたならば、エラー・メッセージを通信データの送信元の利用者端末装置100へ送信する。
確認済み認証項目情報付加処理部401eは、認証要求部401dによって確認要求され、認証サーバ装置300によって認証された認証項目を、通信データにさらに付加し、通信データ転送処理部401bへ出力する。
通信データ転送処理部401bは、確認済み認証項目情報付加処理部401eから通信データを受け取ると、入出力制御インターフェース部402を介して他の中継サーバ装置又は通信データの送信先である利用者端末装置100へ向けて該通信データを転送する。
次に、図17に示した要確認認証項目テーブルについて説明する。図18は、図17に示した要確認認証項目テーブルを説明するための図である。同図に示すように、要確認認証項目テーブルは、要確認認証項目のカラムを有する。ここには、当該要確認認証項目テーブルが格納される中継サーバ装置400が、通信データの送信元の利用者端末装置100に一定水準以上のセキュリティ・レベル及び性能を要求する端末環境の項目を記憶している。
次に、図15に示したネットワーク接続端末認証システムにおいて実行されるネットワーク接続端末認証処理の処理について説明する。図19は、図15に示したネットワーク接続端末認証システムにおいて実行されるネットワーク接続端末認証要求処理の処理手順を示すフローチャートであり、特に、中継サーバ装置400と、認証サーバ装置300との間で実行される処理について説明するものである。
同図に示すように、先ず、中継サーバ装置400の確認済み認証項目切り出し部401cは、受信データから確認済み認証項目の切り出しを行う(ステップS301)。続いて、中継サーバ装置400の認証要求部401dは、当該中継サーバ装置で要確認とされる認証項目は既に確認済みか否かを判定する(ステップS302)。当該中継サーバ装置で要確認とされる認証項目は既に確認済みと判定された場合は(ステップS302肯定)、処理は終了し、当該中継サーバ装置で要確認とされる認証項目は既に確認済みと判定されなかった場合は(ステップS302否定)、ステップS303へ移る。
ステップS303では、中継サーバ装置400の認証要求部401dは、当該中継サーバ装置400で要確認とされる認証項目について認証サーバ装置300に認証要求を送信する。
中継サーバ装置400からの認証要求を受信した認証サーバ装置300において、利用者端末装置ハッシュ値/評価値算出部301aは、利用者端末装置100に対して、指定される認証項目と同一の種別のレコードを抽出して送信するよう指示する。そして、利用者端末装置100から受信した環境情報をハッシュ化して、利用者端末装置100から受信した環境情報及びハッシュ値とともに利用者端末装置環境照合部301bへ出力する。利用者端末装置環境照合部301bは、利用者端末装置100から受信したハッシュ値と、利用者端末装置ハッシュ値/評価値算出部301aによりハッシュ化された環境情報とを比較して一致するか否かを判定する。また、利用者端末装置100から受信した環境情報をもとに端末装置環境評価情報テーブル302aを参照し、受信した全ての環境情報に対応する評価値を評価する。このようにして、認証サーバ装置300において、受信した認証項目について認証が行われることとなる(ステップS304)。認証サーバ装置300は、この認証結果を、中継サーバ装置400へ送信する(ステップS305)。
認証サーバ装置300から認証結果を受信した中継サーバ装置400は、認証結果が肯定か否かを判定し(ステップS306)、認証結果が肯定と判定された場合に(ステップS306肯定)、受信データに認証肯定となった認証項目を付加して、他の中継サーバ装置又は接続先の利用者端末装置へ転送する(ステップS307)。一方、認証結果が肯定と判定されなかった場合には(ステップS306否定)、受信データの送信元の利用者端末装置へ認証エラーを送信し、他の中継サーバ装置又は接続先の利用者端末装置へ通信データを転送しない(ステップS308)。
上記実施例1〜3で説明した各処理は、あらかじめ用意されたプログラムをパーソナルコンピュータ、サーバ装置又はワークステーションなどのコンピュータ・システムで実行することによって実現することができる。そこで、以下では、上記各処理を実現するコンピュータ・システムの一例について説明する。
図20は、図3、図5、図7、図12、図13で示した利用者端末装置100、ディレクトリサーバ装置200、認証サーバ装置300もしくは中継サーバ装置400となるコンピュータ・システムのハードウェア構成を示す図である。このコンピュータ・システムは、利用者からのデータの入力を受け付ける入力装置90、データを表示する表示装置91、各種プログラムを記録した記録媒体からプログラムを読み取る媒体読取装置92、ネットワークを介して他のコンピュータとの間でデータの授受をおこなうネットワークインターフェース93、RAM(Random Access Memory)94、ROM(read only Memory)95、CPU(Central Processing Unit)96およびHDD(Hard Disk Drive)97、当該装置のハードウェア環境の一種である外付けの各種周辺装置99をバス98で接続して構成される。
そして、HDD97には、利用者端末装置100、ディレクトリサーバ装置200、認証サーバ装置300もしくは中継サーバ装置400の機能と同様の機能を発揮する端末装置検証プログラム97cが記憶されている。なお、端末装置検証プログラム97cは、適宜分散して記憶することとしてもよい。そして、CPU96が、端末装置検証プログラム97cをHDD97から読み出して実行することにより、端末装置検証プロセス96aが起動される。
端末装置検証プロセス96aは、図3に示した実施例1の利用者端末装置100の環境情報収集部101bの機能部に、図5に示した実施例1のディレクトリサーバ装置200の利用者端末装置認証依頼部201a、トークン生成部201bの各機能部に、図7に示した実施例1の認証サーバ装置300の利用者端末装置ハッシュ値/評価値算出部301a、利用者端末装置環境照合部301bの各機能部に対応する。また、端末装置検証プロセス96aは、図12に示した実施例2のディレクトリサーバ装置200の利用者端末装置認証依頼部201a、トークン生成部201b、トークン検証部201dの各機能部に、図13に示した実施例2の中継サーバ装置400のトークン照合依頼部401aの機能部に、図17に示した実施例3の中継サーバ装置400の確認済み認証項目切り出し部401c、認証要求部401d、確認済み認証項目情報付加処理部401eの各機能部に対応する。
また、HDD97には、各種データ97aが記憶される。各種データ97aは、図3に示した実施例1の利用者端末装置100の記憶部102に記憶される環境情報テーブル102aのデータに、図5及び12に示した実施例1及び実施例2のディレクトリサーバ装置200の記憶部202に記憶されるトークン管理テーブル202a、中継サーバ装置ルーティング設定テーブル202b、中継サーバ装置リストテーブル202c、接続端末記録テーブル202dの各データに、図7に示した実施例1の認証サーバ装置300の記憶部302に記憶される端末装置環境評価情報テーブルのデータに対応する。また、図17に示した実施例3の中継サーバ装置400の記憶部407の要確認認証項目テーブル407aのデータに対応する。
そして、CPU96は、各種データ97aあるいは各種アプリケーション97bをHDD97に記憶するとともに、各種データ97aあるいは各種アプリケーション97bをHDD97から読み出してRAM94に格納し、RAM94に格納された各種データ94aあるいは各種アプリケーション94bに基づいて各種データ処理を実行する。
ところで、端末装置検証プログラム97cは、必ずしも最初からHDD97に記憶させておく必要はない。たとえば、当該コンピュータに挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、集積回路搭載カードなどの「可搬用の物理媒体」、または、コンピュータの内外に備えられるハードディスクドライブ(HDD)などの「固定用の物理媒体」、さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータに接続される「他のコンピュータ(またはサーバ)」などに各プログラムを記憶しておき、コンピュータがこれらから各プログラムを読み出して実行するようにしてもよい。
以上、本発明の実施例を説明したが、本発明は、これに限られるものではなく、特許請求の範囲に記載した技術的思想の範囲内で、更に種々の異なる実施例で実施されてもよいものである。また、実施例に記載した効果は、これに限定されるものではない。
上記実施例1〜3では、利用者端末装置100が認証サーバ装置300で認証されると、ディレクトリサーバ装置200は、この利用者端末装置100に対して一定期間有効なトークンを発行することとした。利用者端末装置100は、このトークンを接続先利用者端末装置100への通信データに付加することによって、通信データが中継サーバ装置400を通過する際に、正当な通信データであることを示し、円滑なデータ中継が行われるようにすることが可能となる。しかし、このトークンに限られるものではなく、1回限りの使い捨てのパスワードであるワンタイム・パスワード或いはチケットなどであってもよい。
上記実施例1〜3によれば、通信データは、認証が基づいて行われた認証項目をさらに付加されているので、通信系路上を通過する通信データが、どの認証項目に基づいて認証されたものであるかが容易に判別可能になる。
上記実施例1〜3によれば、データに付加されている認証項目以外で該中継装置が前記端末装置の認証で要求される認証項目に基づいて端末装置の再度の認証を要求し、他の端末装置との通信の可否が判定されるので、一度認証肯定となって送信された通信データであっても、再度認証を行うことにより、より厳格に不正な通信データを排除することが可能となり、セキュリティの向上を図ることができるという効果を奏する。また、一度基づいて認証された認証項目に基づいて再度重複して認証されることを回避し、効率的な認証処理を行うことができる。
上記実施例1〜3では、ディレクトリサーバ装置200と認証サーバ装置300とは別個のコンピュータ・システムに実装されることとした。しかし、これに限らず、両者が同一のコンピュータ・システムに実装されることとしてもよい。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。
この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
上記実施例を含む実施形態に関し、以下の付記を開示する。
(付記1)コンピュータ・ネットワークにおいて他の端末装置との通信を要求する端末装置を認証するネットワーク接続端末認証方法であって、
前記端末装置の前記他の端末装置との通信要求に応じて、該端末装置と該他の端末装置との通信経路外において該端末装置を認証して該他の端末装置との通信の可否を判定する端末装置認証工程と、
前記端末装置認証工程により前記端末装置が認証されると、前記端末装置において前記他の端末装置へ向けてデータの送信を開始するデータ送信工程と
を含んだことを特徴とするネットワーク接続端末認証方法。
前記端末装置の前記他の端末装置との通信要求に応じて、該端末装置と該他の端末装置との通信経路外において該端末装置を認証して該他の端末装置との通信の可否を判定する端末装置認証工程と、
前記端末装置認証工程により前記端末装置が認証されると、前記端末装置において前記他の端末装置へ向けてデータの送信を開始するデータ送信工程と
を含んだことを特徴とするネットワーク接続端末認証方法。
(付記2)前記端末装置認証工程により前記端末装置が認証されると、該端末装置と前記他の端末装置との通信経路外において記憶されている該端末装置と該他の端末装置との通信経路に
関する通信経路情報を該端末装置に通知する通信経路情報通知工程をさらに含んだことを特徴とする付記1に記載のネットワーク接続端末認証方法。
関する通信経路情報を該端末装置に通知する通信経路情報通知工程をさらに含んだことを特徴とする付記1に記載のネットワーク接続端末認証方法。
(付記3)前記通信経路情報通知工程は、前記通信経路情報とともに、前記端末装置認証工程により前記端末装置が認証されたことを示す認証情報を通知することを特徴とする付記2に記載のネットワーク接続端末認証方法。
(付記4)前記データ送信工程は、前記他の端末装置へ送信するデータに前記認証情報を付加して送信することを特徴とする付記3に記載のネットワーク接続端末認証方法。
(付記5)前記通信経路情報が示す前記端末装置と前記他の端末装置との通信経路上において前記データを受信した中継装置又は該他の端末装置において、該データに付加されている前記認証情報に基づいて該端末装置の再度の認証を要求する再認証要求工程をさらに含み、
前記端末装置認証工程は、前記再認証要求工程による要求に応じて前記端末装置を再度認証して前記他の端末装置との通信の可否を判定することを特徴とする付記4に記載の
ネットワーク接続端末認証方法。
前記端末装置認証工程は、前記再認証要求工程による要求に応じて前記端末装置を再度認証して前記他の端末装置との通信の可否を判定することを特徴とする付記4に記載の
ネットワーク接続端末認証方法。
(付記6)前記端末装置認証工程により前記端末装置が再度認証されると、前記中継装置から他の中継装置又は前記他の端末装置へ前記データを前記認証情報とともに転送するデータ転送工程をさらに含んだことを特徴とする付記5に記載のネットワーク接続端末認証方法。
(付記7)前記データ送信工程は、前記認証情報とともに、該認証が基づいて行われた認証項目をさらに付加して送信することを特徴とする付記4に記載のネットワーク接続端末認証方法。
(付記8)前記通信経路情報が示す前記端末装置と前記他の端末装置との通信経路上において前記データを受信した中継装置において、該データに付加されている前記認証項目以外で該中継装置が前記端末装置の認証で要求される認証項目に基づいて該端末装置の再度の認証を要求する再認証要求工程をさらに含み、
前記端末装置認証工程は、前記再認証要求工程による要求に応じて前記端末装置を再度認証して前記他の端末装置との通信の可否を判定することを特徴とする付記7に記載の
ネットワーク接続端末認証方法。
前記端末装置認証工程は、前記再認証要求工程による要求に応じて前記端末装置を再度認証して前記他の端末装置との通信の可否を判定することを特徴とする付記7に記載の
ネットワーク接続端末認証方法。
(付記9)前記端末装置認証工程により前記端末装置が再度認証されると、前記中継装置から前記他の中継装置又は前記他の端末装置へ、前記データ及び前記認証情報に、該中継装置が前記端末装置の認証で基づいた認証項目をさらに付加して転送するデータ転送工程をさらに含んだことを特徴とする付記8に記載のネットワーク接続端末認証方法。
(付記10)コンピュータ・ネットワークにおいて他の端末装置との通信を要求する端末装置を認証するネットワーク接続端末認証プログラムであって、
前記端末装置の前記他の端末装置との通信要求に応じて、該端末装置と該他の端末装置との通信経路外において該端末装置を認証して該他の端末装置との通信の可否を判定する端末装置認証手順と、
前記端末装置認証手順により前記端末装置が認証されると、前記端末装置において前記他の端末装置へ向けてデータの送信を開始するデータ送信手順と
をコンピュータに実行させることを特徴とするネットワーク接続端末認証プログラム。
前記端末装置の前記他の端末装置との通信要求に応じて、該端末装置と該他の端末装置との通信経路外において該端末装置を認証して該他の端末装置との通信の可否を判定する端末装置認証手順と、
前記端末装置認証手順により前記端末装置が認証されると、前記端末装置において前記他の端末装置へ向けてデータの送信を開始するデータ送信手順と
をコンピュータに実行させることを特徴とするネットワーク接続端末認証プログラム。
(付記11)前記端末装置認証手順により前記端末装置が認証されると、前記端末装置と前記他の端末装置との通信経路外において記憶されている該端末装置と該他の端末装置との通信経路情報を該端末装置に通知する通信経路情報通知手順をコンピュータにさらに実行させることを特徴とする付記10に記載のネットワーク接続端末認証プログラム。
(付記12)前記通信経路情報通知手順は、前記通信経路情報とともに、前記端末装置認証手順により前記端末装置が認証されたことを示す認証情報を通知することを特徴とする付記11に記載のネットワーク接続端末認証プログラム。
(付記13)前記データ送信手順は、前記他の端末装置へ送信するデータに前記認証情報を付加して送信することを特徴とする付記12に記載のネットワーク接続端末認証プログラム。
(付記14)前記通信経路情報が示す前記端末装置と前記他の端末装置との通信経路上において前記データを受信した中継装置又は該他の端末装置において、該データに付加されている前記認証情報に基づいて該端末装置の再度の認証を要求する再認証要求手順をコンピュータにさらに実行させ、
前記端末装置認証手順は、前記再認証要求手順による要求に応じて前記端末装置を再度認証して前記他の端末装置との通信の可否を判定することを特徴とする付記13に記載のネットワーク接続端末認証プログラム。
前記端末装置認証手順は、前記再認証要求手順による要求に応じて前記端末装置を再度認証して前記他の端末装置との通信の可否を判定することを特徴とする付記13に記載のネットワーク接続端末認証プログラム。
(付記15)前記端末装置認証手順により前記端末装置が再度認証されると、前記中継装置から前記他の中継装置又は前記他の端末装置へ前記データを前記認証情報とともに転送するデータ転送手順をコンピュータにさらに実行させることを特徴とする付記14に記載のネットワーク接続端末認証プログラム。
(付記16)前記データ送信手順は、前記認証情報とともに、該認証が基づいて行われた認証項目をさらに付加して送信することを特徴とする付記13に記載のネットワーク接続端末認証プログラム。
(付記17)前記通信経路情報が示す前記端末装置と前記他の端末装置との通信経路上において前記データを受信した中継装置において、該データに付加されている前記認証項目以外で該中継装置が前記端末装置の認証で要求される認証項目に基づいて該端末装置の再度の認証を要求する再認証要求手順をさらに含み、
前記端末装置認証手順は、前記再認証要求手順による要求に応じて前記端末装置を再度
認証して前記他の端末装置との通信の可否を判定することを特徴とする付記16に記載のネットワーク接続端末認証プログラム。
前記端末装置認証手順は、前記再認証要求手順による要求に応じて前記端末装置を再度
認証して前記他の端末装置との通信の可否を判定することを特徴とする付記16に記載のネットワーク接続端末認証プログラム。
(付記18)前記端末装置認証手順により前記端末装置が再度認証されると、前記中継装置から前記他の中継装置又は前記他の端末装置へ、前記データ及び前記認証情報に、該中継装置が前記端末装置の認証で基づいた認証項目をさらに付加して転送するデータ転送手順をさらに含んだことを特徴とする付記17に記載のネットワーク接続端末認証プログラム。
(付記19)コンピュータ・ネットワークにおいて他の端末装置との通信を要求する端末装置を認証するネットワーク接続端末認証装置であって、
前記端末装置の前記他の端末装置との通信要求に応じて、該端末装置と該他の端末装置との通信経路外において該端末装置を認証して該他の端末装置との通信の可否を判定する端末装置認証手段を備えたことを特徴とするネットワーク接続端末認証装置。
前記端末装置の前記他の端末装置との通信要求に応じて、該端末装置と該他の端末装置との通信経路外において該端末装置を認証して該他の端末装置との通信の可否を判定する端末装置認証手段を備えたことを特徴とするネットワーク接続端末認証装置。
(付記20)前記端末装置認証手段は、前記端末装置と前記他の端末装置との通信経路上に配置される中継装置又は該他の端末装置からの要求に応じて該端末装置を再度認証して該他の端末装置との通信の可否を判定することを特徴とする付記19に記載のネットワーク接続端末認証装置。
(付記21)コンピュータ・ネットワークにおいて他の端末装置との通信を要求する端末装置と該他の端末装置との通信経路に関する通信経路情報を記憶する通信経路情報記憶装置であって、
前記コンピュータ・ネットワークにおいて前記端末装置を認証するネットワーク接続端末認証装置により該端末装置が認証されると、前記通信経路情報を該端末装置に通知する通信経路情報通知手段を備えたことを特徴とする通信経路情報記憶装置。
前記コンピュータ・ネットワークにおいて前記端末装置を認証するネットワーク接続端末認証装置により該端末装置が認証されると、前記通信経路情報を該端末装置に通知する通信経路情報通知手段を備えたことを特徴とする通信経路情報記憶装置。
(付記22)前記通信経路情報通知手段は、前記通信経路情報とともに、前記ネットワーク接続端末認証装置により前記端末装置が認証されたことを示す認証情報を通知することを特徴とする付記21に記載の通信経路情報記憶装置。
(付記23)コンピュータ・ネットワークにおける他の端末装置との通信経路外に配置されるネットワーク接続端末認証装置に対して自装置の認証を要求する端末装置であって、
前記ネットワーク接続端末認証装置により認証されると、前記他の端末装置へ向けてデータの送信を開始するデータ送信手段を備え、
前記データ送信手段は、前記ネットワーク接続端末認証装置により自装置が認証されたことを示す認証情報を前記データに付加して送信することを特徴とする端末装置。
前記ネットワーク接続端末認証装置により認証されると、前記他の端末装置へ向けてデータの送信を開始するデータ送信手段を備え、
前記データ送信手段は、前記ネットワーク接続端末認証装置により自装置が認証されたことを示す認証情報を前記データに付加して送信することを特徴とする端末装置。
(付記24)前記データ送信手段は、前記ネットワーク接続端末認証装置による自装置の認証が基づいた認証項目を前記データにさらに付加して送信することを特徴とする付記23に記載の端末装置。
(付記25)端末装置と他の端末装置との通信経路上に配置され、該端末装置がネットワーク接続端末認証装置により認証されたことに応じて該他の端末装置へ送信したデータを中継する中継装置であって、
前記データに付加されている、前記ネットワーク接続端末認証装置により前記端末装置が認証されたことを示す認証情報に基づいて、該端末装置の再度の認証を要求する再認証要求手段を備えたことを特徴とする中継装置。
前記データに付加されている、前記ネットワーク接続端末認証装置により前記端末装置が認証されたことを示す認証情報に基づいて、該端末装置の再度の認証を要求する再認証要求手段を備えたことを特徴とする中継装置。
(付記26)前記端末装置からの要求に応じて該端末装置を再度認証して前記他の端末装置との通信の可否を判定するネットワーク接続端末認証装置により該端末装置が再度認証されると、他の中継装置又は該他の端末装置へ前記データを前記認証情報とともに転送するデータ転送手段をさらに備えたことを特徴とする付記25に記載の中継装置。
(付記27)端末装置と他の端末装置との通信経路上に配置され、該端末装置がネットワーク接続端末認証装置により認証されたことに応じて該他の端末装置へ送信したデータを中継する中継装置であって、
前記データに付加されている、前記ネットワーク接続端末認証装置により前記端末装置が認証される際に基づいた認証項目に基づいて、該端末装置の再度の認証を要求する再認証要求手段を備えたことを特徴とする中継装置。
前記データに付加されている、前記ネットワーク接続端末認証装置により前記端末装置が認証される際に基づいた認証項目に基づいて、該端末装置の再度の認証を要求する再認証要求手段を備えたことを特徴とする中継装置。
(付記28)前記端末装置からの要求に応じて該端末装置を再度認証して前記他の端末装置との通信の可否を判定するネットワーク接続端末認証装置により該端末装置が再度認証されると、他の中継装置又は該他の端末装置へ前記データに前記認証項目を付加して転送するデータ転送手段をさらに備えたことを特徴とする付記27に記載の中継装置。
本発明は、検疫ネットワークにおいて、該検疫ネットワークに接続を要求するコンピュータを認証する認証機能の実装の効率性を高め、認証機能の処理の効率性を高めたい場合に有用である。
100 利用者端末装置
100a 利用者端末装置A
100b 利用者端末装置B
101 制御部
101a ネットワーク接続要求部
101b 環境情報収集部
101c 環境情報送信部
102 記憶部
102a 環境情報テーブル
103 入出力制御インターフェース部
104 通信制御インターフェース部
105 入力部
106 出力部
200 ディレクトリサーバ装置
201 制御部
201a 利用者端末装置認証依頼部
201b トークン生成部
201c 接続先情報送信部
201d トークン検証部
202 記憶部
202a トークン管理テーブル
202b 中継サーバ装置ルーティング設定テーブル
202c 中継サーバ装置リストテーブル
202d 接続端末記録テーブル
203 入出力制御インターフェース部
204 通信制御インターフェース部
205 入力部
206 出力部
207 認証サーバ装置通信インターフェース部
300 認証サーバ装置
301 制御部
301a 利用者端末装置ハッシュ値/評価値算出部
301b 利用者環境照合部
301b 利用者端末装置環境照合部
302 記憶部
302a 端末装置環境評価情報テーブル
303 入出力制御インターフェース部
304 通信制御インターフェース部
305 入力部
306 出力部
400 中継サーバ装置
400a 中継サーバ装置A
400b 中継サーバ装置B
400c 中継サーバ装置C
401 制御部
401a トークン照合依頼部
401b 通信データ転送処理部
401c 確認済み認証項目切り出し部
401d 認証要求部
401e 確認済み認証項目情報付加処理部
402 入出力制御インターフェース部
403 通信制御インターフェース部
404 入力部
405 出力部
406 認証サーバ装置通信インターフェース部
407 記憶部
407a 要確認認証項目テーブル
100a 利用者端末装置A
100b 利用者端末装置B
101 制御部
101a ネットワーク接続要求部
101b 環境情報収集部
101c 環境情報送信部
102 記憶部
102a 環境情報テーブル
103 入出力制御インターフェース部
104 通信制御インターフェース部
105 入力部
106 出力部
200 ディレクトリサーバ装置
201 制御部
201a 利用者端末装置認証依頼部
201b トークン生成部
201c 接続先情報送信部
201d トークン検証部
202 記憶部
202a トークン管理テーブル
202b 中継サーバ装置ルーティング設定テーブル
202c 中継サーバ装置リストテーブル
202d 接続端末記録テーブル
203 入出力制御インターフェース部
204 通信制御インターフェース部
205 入力部
206 出力部
207 認証サーバ装置通信インターフェース部
300 認証サーバ装置
301 制御部
301a 利用者端末装置ハッシュ値/評価値算出部
301b 利用者環境照合部
301b 利用者端末装置環境照合部
302 記憶部
302a 端末装置環境評価情報テーブル
303 入出力制御インターフェース部
304 通信制御インターフェース部
305 入力部
306 出力部
400 中継サーバ装置
400a 中継サーバ装置A
400b 中継サーバ装置B
400c 中継サーバ装置C
401 制御部
401a トークン照合依頼部
401b 通信データ転送処理部
401c 確認済み認証項目切り出し部
401d 認証要求部
401e 確認済み認証項目情報付加処理部
402 入出力制御インターフェース部
403 通信制御インターフェース部
404 入力部
405 出力部
406 認証サーバ装置通信インターフェース部
407 記憶部
407a 要確認認証項目テーブル
Claims (11)
- 送信元の端末装置及び送信先の端末装置の通信経路上に位置し、前記送信元の端末装置及び前記送信先の端末装置の間で送受信されるデータを中継する通信装置であって、
前記通信経路外に位置して前記送信元の端末装置を認証する認証装置に対して、前記送信元の端末装置又は前記通信経路上に位置する他の通信装置から受信した受信データに付加されている前記認証装置による前記送信元の端末装置の認証の結果である認証情報に基づく前記送信元の端末装置の再度の認証を要求する認証要求部
を備えたことを特徴とする通信装置。 - 前記認証装置により前記認証情報に基づき前記送信元の端末装置が再度認証されたならば、前記認証情報とともに前記受信データを前記通信経路上に位置する他の通信装置又は前記送信先の端末装置へ転送する転送部
をさらに備えたことを特徴とする請求項1に記載の通信装置。 - さらに、
前記認証情報は、前記認証装置が前記送信元の端末装置の認証を行った認証項目を含み、
前記認証要求部は、前記受信データに付加されている前記認証情報が含む認証項目以外の認証項目のうち、自装置が前記送信元の端末装置の認証で要求する認証項目に基づく前記送信元の端末装置の認証を前記認証装置に対して要求する
ことを特徴とする請求項1又は2に記載の通信装置。 - さらに、
前記転送部は、前記認証要求部により自装置が前記送信元の端末装置の認証で要求された認証項目に基づき前記認証装置が前記送信元の端末装置の認証を行った認証項目を含めた前記認証情報とともに前記受信データを前記通信経路上に位置する他の通信装置又は前記送信先の端末装置へ転送する
ことを特徴とする請求項3に記載の通信装置。 - 送信元の端末装置及び送信先の端末装置の通信経路上に位置し、前記送信元の端末装置及び前記送信先の端末装置の間で送受信されるデータを中継する通信装置としてのコンピュータに実行させる通信中継プログラムであって、
前記コンピュータに、
前記通信経路外に位置して前記送信元の端末装置を認証する認証装置に対して、前記送信元の端末装置又は前記通信経路上に位置する他の通信装置から受信した受信データに付加されている前記認証装置による前記送信元の端末装置の認証の結果である認証情報に基づく前記送信元の端末装置の再度の認証を要求する
処理を実行させることを特徴とする通信中継プログラム。 - 前記コンピュータに、
前記認証装置により前記認証情報に基づき前記送信元の端末装置が再度認証されたならば、前記認証情報とともに前記受信データを前記通信経路上に位置する他の通信装置又は前記送信先の端末装置へ転送する
処理をさらに実行させることを特徴とする請求項5に記載の通信中継プログラム。 - 前記認証情報は、前記認証装置が前記送信元の端末装置の認証を行った認証項目をさらに含み、
前記コンピュータに、
前記受信データに付加されている前記認証情報が含む認証項目以外の認証項目のうち、自装置が前記送信元の端末装置の認証で要求する認証項目に基づく前記送信元の端末装置の認証を前記認証装置に対して要求する
処理をさらに実行させることを特徴とする請求項5又は6に記載の通信中継プログラム。 - 前記コンピュータに、
自装置が前記送信元の端末装置の認証で要求する認証項目に基づき前記認証装置が前記送信元の端末装置の認証を行った認証項目を含めた前記認証情報とともに前記受信データを前記通信経路上に位置する他の通信装置又は前記送信先の端末装置へ転送する
処理をさらに実行させることを特徴とする請求項7に記載の通信中継プログラム。 - 送信元の端末装置及び送信先の端末装置の通信経路上に位置し、前記送信元の端末装置及び前記送信先の端末装置の間で送受信されるデータを中継する通信装置が行う通信中継方法であって、
前記通信経路外に位置して前記送信元の端末装置を認証する認証装置に対して、前記送信元の端末装置又は前記通信経路上に位置する他の通信装置から受信した受信データに付加されている前記認証装置による前記送信元の端末装置の認証の結果である認証情報に基づく前記送信元の端末装置の再度の認証を要求する
ことを特徴とする通信中継方法。 - さらに、
前記認証装置により前記認証情報に基づき前記送信元の端末装置が再度認証されたならば、前記認証情報とともに前記受信データを前記通信経路上に位置する他の通信装置又は前記送信先の端末装置へ転送する
ことを特徴とする請求項9に記載の通信中継方法。 - さらに、
前記認証情報は、前記認証装置が前記送信元の端末装置の認証を行った認証項目を含み、
前記受信データに付加されている前記認証情報が含む認証項目以外の認証項目のうち、自装置が前記送信元の端末装置の認証で要求する認証項目に基づく前記送信元の端末装置の認証を前記認証装置に対して要求し、
前記受信データに付加されている前記認証情報が含む認証項目以外の認証項目のうち、自装置が前記送信元の端末装置の認証で要求する認証項目に基づき前記認証装置が前記送信元の端末装置の認証を行った認証項目を含めた前記認証情報とともに前記受信データを前記通信経路上に位置する他の通信装置又は前記送信先の端末装置へ転送する
ことを特徴とする請求項10に記載の通信中継方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2006/317237 WO2008026288A1 (fr) | 2006-08-31 | 2006-08-31 | Procédé d'authentification de dispositif terminal connecté à un réseau, programme d'authentification de dispositif terminal connecté à un réseau et appareil d'authentification de dispositif terminal connecté à un réseau |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2008026288A1 JPWO2008026288A1 (ja) | 2010-01-14 |
| JP4983797B2 true JP4983797B2 (ja) | 2012-07-25 |
Family
ID=39135580
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008531942A Expired - Fee Related JP4983797B2 (ja) | 2006-08-31 | 2006-08-31 | 通信装置、通信中継プログラム及び通信中継方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20090165095A1 (ja) |
| EP (1) | EP2058748A1 (ja) |
| JP (1) | JP4983797B2 (ja) |
| KR (1) | KR101043709B1 (ja) |
| CN (1) | CN101506819B (ja) |
| WO (1) | WO2008026288A1 (ja) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100017889A1 (en) * | 2008-07-17 | 2010-01-21 | Symantec Corporation | Control of Website Usage Via Online Storage of Restricted Authentication Credentials |
| US8898453B2 (en) * | 2010-04-29 | 2014-11-25 | Blackberry Limited | Authentication server and method for granting tokens |
| CN101977178A (zh) * | 2010-08-09 | 2011-02-16 | 中兴通讯股份有限公司 | 基于中继的媒体通道建立方法及系统 |
| US9060273B2 (en) | 2012-03-22 | 2015-06-16 | Blackberry Limited | Authentication server and methods for granting tokens comprising location data |
| US9003189B2 (en) * | 2012-09-11 | 2015-04-07 | Verizon Patent And Licensing Inc. | Trusted third party client authentication |
| JP6347107B2 (ja) * | 2013-01-18 | 2018-06-27 | 株式会社リコー | 通信管理システム、通信制御システム、通信システム、中継装置、通信方法、及びプログラム |
| JP6287401B2 (ja) * | 2014-03-18 | 2018-03-07 | 富士ゼロックス株式会社 | 中継装置、システム及びプログラム |
| CN105577624B (zh) | 2014-10-17 | 2019-09-10 | 阿里巴巴集团控股有限公司 | 客户端交互方法与客户端以及服务器 |
| US10565364B1 (en) * | 2015-12-28 | 2020-02-18 | Wells Fargo Bank, N.A. | Token management systems and methods |
| CN109561429B (zh) * | 2017-09-25 | 2020-11-17 | 华为技术有限公司 | 一种鉴权方法及设备 |
| US10938641B1 (en) * | 2018-11-09 | 2021-03-02 | Amazon Technologies, Inc. | On-demand development environment |
| JP7360087B2 (ja) * | 2019-09-30 | 2023-10-12 | サクサ株式会社 | セキュリティ監視装置及びセキュリティ監視方法 |
| WO2021146801A1 (en) * | 2020-01-21 | 2021-07-29 | Datacast360 Inc. | Secure data transfer system |
| WO2022004894A1 (ja) * | 2020-07-03 | 2022-01-06 | 株式会社Gdi | 発信元端末、通信システム、通信方法、及びプログラム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005191830A (ja) * | 2003-12-25 | 2005-07-14 | Oki Electric Ind Co Ltd | 認識システムおよび情報端末装置の認識方法 |
| JP2006166028A (ja) * | 2004-12-07 | 2006-06-22 | Ntt Data Corp | Vpn接続構築システム |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4349789B2 (ja) | 2002-11-06 | 2009-10-21 | 富士通株式会社 | 安全性判断装置及び安全性判断方法 |
| US7356601B1 (en) * | 2002-12-18 | 2008-04-08 | Cisco Technology, Inc. | Method and apparatus for authorizing network device operations that are requested by applications |
| JP4881538B2 (ja) * | 2003-06-10 | 2012-02-22 | 株式会社日立製作所 | コンテンツ送信装置およびコンテンツ送信方法 |
| US20050213580A1 (en) * | 2004-03-24 | 2005-09-29 | Georg Mayer | System and method for enforcing policies directed to session-mode messaging |
| JPWO2006035928A1 (ja) * | 2004-09-30 | 2008-05-15 | 株式会社タムラ製作所 | Ip電話端末装置、呼制御サーバ、ワクチンサーバ、保守用装置、ip電話システム、これらの制御方法及びプログラム |
| US20060085850A1 (en) * | 2004-10-14 | 2006-04-20 | Microsoft Corporation | System and methods for providing network quarantine using IPsec |
| ZA200508074B (en) * | 2004-10-14 | 2007-12-27 | Microsoft Corp | System and methods for providing network quarantine using ipsec |
-
2006
- 2006-08-31 EP EP06797197A patent/EP2058748A1/en not_active Withdrawn
- 2006-08-31 WO PCT/JP2006/317237 patent/WO2008026288A1/ja active Application Filing
- 2006-08-31 JP JP2008531942A patent/JP4983797B2/ja not_active Expired - Fee Related
- 2006-08-31 KR KR1020097004359A patent/KR101043709B1/ko not_active IP Right Cessation
- 2006-08-31 CN CN2006800557131A patent/CN101506819B/zh not_active Expired - Fee Related
-
2009
- 2009-02-27 US US12/394,957 patent/US20090165095A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005191830A (ja) * | 2003-12-25 | 2005-07-14 | Oki Electric Ind Co Ltd | 認識システムおよび情報端末装置の認識方法 |
| JP2006166028A (ja) * | 2004-12-07 | 2006-06-22 | Ntt Data Corp | Vpn接続構築システム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101506819A (zh) | 2009-08-12 |
| KR20090035037A (ko) | 2009-04-08 |
| EP2058748A1 (en) | 2009-05-13 |
| WO2008026288A1 (fr) | 2008-03-06 |
| JPWO2008026288A1 (ja) | 2010-01-14 |
| US20090165095A1 (en) | 2009-06-25 |
| CN101506819B (zh) | 2011-07-27 |
| KR101043709B1 (ko) | 2011-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4983797B2 (ja) | 通信装置、通信中継プログラム及び通信中継方法 | |
| US8819787B2 (en) | Securing asynchronous client server transactions | |
| CN103069774B (zh) | 安全地接入所通知的服务 | |
| JP5309496B2 (ja) | 認証システムおよび認証方法 | |
| WO2010082253A1 (ja) | サーバ認証方法及びクライアント端末 | |
| JP2009032070A (ja) | 認証システム及び認証方法 | |
| JP2007143049A (ja) | 認証方法および情報処理装置 | |
| JP5002337B2 (ja) | ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法 | |
| JP5398404B2 (ja) | 通信遮断装置、サーバ装置、方法およびプログラム | |
| JP2005099980A (ja) | サービス提供方法、サービス提供プログラム、ホスト装置、および、サービス提供装置 | |
| US20110045800A1 (en) | Communication system, control method therefor, base station, and computer-readable storage medium | |
| JP2007257500A (ja) | 被認証装置、被認証プログラム、被認証方法、WebブラウザプラグインおよびWebブラウザブックマークレット | |
| JP2011100411A (ja) | 認証代行サーバ装置、認証代行方法及びプログラム | |
| JP4573559B2 (ja) | 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム | |
| JP5336262B2 (ja) | ユーザ認証システムおよびユーザ認証方法 | |
| JP2003258795A (ja) | コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム | |
| JP2009010807A (ja) | 情報処理システム、セキュリティ診断プログラム、処理実行制御プログラム及び情報処理装置 | |
| TWI616081B (zh) | 裝置之允入控制技術 | |
| JP7238558B2 (ja) | 認証仲介装置及び認証仲介プログラム | |
| JP4736722B2 (ja) | 認証方法、情報処理装置、およびコンピュータプログラム | |
| JP7458348B2 (ja) | 通信システム、アクセスポイント装置、通信方法及びプログラム | |
| JP2005092723A (ja) | 端末装置、端末装置を目的装置に接続させるための接続装置 | |
| JP7120033B2 (ja) | Webサーバ、ログイン判定方法及びプログラム | |
| JP4561691B2 (ja) | 通信方法、情報処理装置、およびコンピュータプログラム | |
| JP5460493B2 (ja) | 認証システム及び認証基盤装置及び認証プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110913 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111109 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120327 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120409 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150511 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |