JP6091230B2 - 認証システム、及び認証方法 - Google Patents
認証システム、及び認証方法 Download PDFInfo
- Publication number
- JP6091230B2 JP6091230B2 JP2013017546A JP2013017546A JP6091230B2 JP 6091230 B2 JP6091230 B2 JP 6091230B2 JP 2013017546 A JP2013017546 A JP 2013017546A JP 2013017546 A JP2013017546 A JP 2013017546A JP 6091230 B2 JP6091230 B2 JP 6091230B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- connection destination
- user terminal
- authentication
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
本発明は、認証システムに関し、特にネットワーク接続における認証システムに関する。
現状の技術では、インターネット等のネットワークにおいて、利用者端末等のクライアント装置(client device)から、サーバ等の接続先ホスト(destination host)に接続(アクセス)する際、接続先が接続元の正当性を確認するための認証(authentication)を行うことがある。認証を行うことは、接続先が接続元の正当性を確認する上で有効ではあるが、万全とは言い難い。接続先が公開サーバ等である場合はやむを得ないが、接続先が非公開サーバ等である場合はURL(Uniform Resource Locator)等の接続先情報も可能な限り秘匿されていると好適である。
しかし、利用者端末等の接続元が、サーバ等の接続先に頻繁に(高い頻度で)接続する場合、接続先情報が履歴情報やブックマークとして接続元の端末内に存在することが多い。これでは、端末が盗難にあった場合でも、接続先情報に基づいて接続先に接続することが可能である。例えば、盗難にあった端末内に残された接続先情報に基づいて、接続先のサーバ等に対するDoS(Denial of Service)攻撃等の不正な接続が行われ、接続先のサーバ等が停止し、業務やサービス等に支障をきたす可能性がある。また、通常、URL等の接続先情報は一定(固定)であるため、一旦接続先情報が流出すると、その後は不正な接続が繰り返されても、それを防ぐのは非常に困難である。
[公知技術]
当該技術分野における公知技術として、特許文献1(特開2009−205476号公報)に、認証デバイス、生体情報管理装置、認証システムおよび認証方法が開示されている。この公知技術では、シンクライアント等に用いる認証デバイスは、シンクライアントの接続先の生体情報管理装置のアドレス情報をユーザ(利用者)の生体情報で暗号化して保持する。また、認証デバイスは、シンクライアントのユーザの生体情報が入力されたとき、この生体情報を用いてアドレス情報を復号化し、シンクライアントへ出力する。このようなアドレス情報を用いてシンクライアントは、生体情報管理装置へ接続し、認証に成功すると、この生体情報管理装置からサーバのサーバプロファイル情報を受信する。そして、シンクライアントは、このサーバプロファイル情報を用いてサーバにログインする。
当該技術分野における公知技術として、特許文献1(特開2009−205476号公報)に、認証デバイス、生体情報管理装置、認証システムおよび認証方法が開示されている。この公知技術では、シンクライアント等に用いる認証デバイスは、シンクライアントの接続先の生体情報管理装置のアドレス情報をユーザ(利用者)の生体情報で暗号化して保持する。また、認証デバイスは、シンクライアントのユーザの生体情報が入力されたとき、この生体情報を用いてアドレス情報を復号化し、シンクライアントへ出力する。このようなアドレス情報を用いてシンクライアントは、生体情報管理装置へ接続し、認証に成功すると、この生体情報管理装置からサーバのサーバプロファイル情報を受信する。そして、シンクライアントは、このサーバプロファイル情報を用いてサーバにログインする。
利用者端末が盗難等の被害にあった場合、その利用者端末のメモリ内に残された接続先情報に基づいて接続先に接続することが可能である。例えば、接続先に対するDoS攻撃等が行われた場合、業務が停止する可能性もある。
また、接続先が固定されている(接続先情報が一定である)ため、一旦接続先情報が流出すると、接続先に対する不正アクセスが行われる可能性がある。
これまで、DHCP(Dynamic Host Configuration Protocol)等を利用して接続先のIPアドレスを一時的な情報とすることは実施されていたが、接続先のURLやドメイン名等を一時的な情報とすることは実施されていなかった。
本発明に係る認証システムは、利用者端末と、認証サーバを含む。利用者端末は、ユーザの生体情報、時刻情報、及び自身の端末情報に基づいて、接続先を特定するための接続先情報を作成し、接続先情報に基づいて接続先への接続要求を送出する。認証サーバは、ユーザの生体情報及び利用者端末の利用者端末を事前に取得して保管し、利用者端末からの接続要求を受信した際、自身が持つ生体情報、時刻情報、及び端末情報に基づいて、利用者端末からの接続要求が正当であるか検証し、正当である場合、利用者端末から接続先への接続を許可する。これにより、認証サーバは、利用者端末が接続先に接続する際に、接続先を特定するための接続先情報を一時的な情報とすることを実現する。
本発明に係る認証方法では、利用者端末が、ユーザの生体情報、時刻情報、及び自身の端末情報に基づいて、接続先を特定するための接続先情報を作成し、接続先情報に基づいて接続先への接続要求を送出する。認証サーバが、ユーザの生体情報及び利用者端末の利用者端末を事前に取得して保管し、利用者端末からの接続要求を受信した際、自身が持つ生体情報、時刻情報、及び端末情報に基づいて、利用者端末からの接続要求が正当であるか検証し、正当である場合、利用者端末から接続先への接続を許可する。これにより、利用者端末が接続先に接続する際に、接続先を特定するための接続先情報を一時的な情報とすることを実現する。
本発明に係るプログラムは、上記の認証方法における利用者端末や認証サーバの動作を、計算機に実行させるためのプログラムである。なお、本発明に係るプログラムは、記憶装置や記憶媒体に格納することが可能である。
接続先のURLやドメイン名等を一時的な情報とすることを実現し、利用者端末が盗難等の被害にあった場合に、利用者端末のメモリ内に残された接続先情報から接続先に不正アクセスされるリスクを回避する。
<全体概要>
以下に、本発明について添付図面を参照して説明する。
以下に、本発明について添付図面を参照して説明する。
[システム構成]
図1を参照して、本発明に係る認証システムの構成例について説明する。
図1を参照して、本発明に係る認証システムの構成例について説明する。
本発明に係る認証システムは、利用者端末10と、認証サーバ20を含む。
利用者端末10は、ユーザ(利用者)が使用/保有する端末であり、認証サーバ20に対して接続(アクセス)の要求を送信する。ここでは、利用者端末10は、ユーザの生体情報(生体認証に利用される生体情報等)、時刻情報(現在時刻等)、及び当該端末の端末情報(端末ID、アドレス情報等)に基づいて接続先情報を作成し、その接続先情報に基づいて接続先に接続する。
認証サーバ20は、利用者端末10から接続の要求を受信した場合、利用者端末10に対する認証を行う。認証サーバ20は、利用者端末10が接続先に接続する際に必ず使用する通信装置であるものとする。例えば、ISP(Internet Services Provider)サーバ、シンクライアント用サーバ、デフォルトゲートウェイ(default gateway)、無線ルータ等が考えられる。また、認証サーバ20自体が接続先であっても良い。ここでは、認証サーバ20は、利用者端末10のユーザの生体情報、及び利用者端末10の端末情報を、事前に(予め)取得し、保管しているものとする。認証サーバ20は、自身が持つ生体情報、時刻情報、及び端末情報に基づいて、利用者端末10からの接続の要求が正当であるか検証する。正当である場合、利用者端末10から接続先への接続を許可する。
接続先の例として、ファイルサーバや、シンクライアントシステムにおける仮想デスクトップ(Virtual Desktop)等を想定している。なお、接続先は、認証サーバ20でも良い。また、その他の仮想マシン(Virtual Machine)等も考えられる。また、接続先は、インターネット上の一般的なサーバ装置でも良い。但し、実際には、これらの例に限定されない。
接続先情報の例として、URLやドメイン(又はホスト名)に、生体情報、時刻情報、及び端末情報の要素を付加したもの等を想定している。或いは、接続先情報は、認証サーバ20側で、接続先のURLやドメインに対応付けられたものでも良い。但し、実際には、これらの例に限定されない。
接続先情報に時刻情報の要素を加えることで、接続先情報が一意ではない(接続先情報が作成された時刻毎に異なる)ため、仮に接続先情報が外部に流出したとしても、その接続先情報を用いた不正アクセスを防止することが可能となる。すなわち、本発明では、「ワンタイムパスワード」ならぬ、「ワンタイムURL」(又はワンタイムドメイン)を実現する。なお、ワンタイムパスワードは時刻情報の要素を含むため、時刻情報としてワンタイムパスワードを使用することも可能である。
利用者端末10及びユーザが読み書き可能な領域には、接続先情報を保管しない。ユーザが手動で接続先情報を入力するか、ユーザが読み書き不可能な領域に接続先情報を保管する仕組みにして、利用者端末10は、必ずその接続先情報に基づいて接続先に接続する。
[利用者端末の詳細]
図2を参照して、利用者端末10の構成例について説明する。
図2を参照して、利用者端末10の構成例について説明する。
利用者端末10は、生体情報取得部11と、時刻情報取得部12と、端末情報管理部13と、接続先情報作成部14と、接続要求送信部15を備える。
生体情報取得部11は、ユーザの生体情報を取得する。生体情報取得部11は、ユーザの生体情報を基に、ログイン時の生体認証を行っても良い。生体情報取得部11の例として、生体認証装置、生体情報入力装置、或いは、生体情報入力装置と連携して動作する処理装置等が考えられる。但し、実際には、これらの例に限定されない。
時刻情報取得部12は、時刻情報を取得する。時刻情報取得部12の例として、ハードウェアクロックやシステムクロック等が考えられる。また、時刻情報取得部12は、協定世界時(UTC)やグリニッジ標準時(GMT)、或いは、これらの時刻から数時間だけ進んだ(又は遅れた)時刻(例えば日本標準時(JST))を取得する機構でも良い。但し、実際には、これらの例に限定されない。
端末情報管理部13は、利用者端末10の端末情報を保管する。また、端末情報管理部13は、必要に応じて端末情報を外部に提供する。端末情報の例として、端末固有の/任意に割り当てた端末ID、端末固有の装置やソフトウェアの製造番号(シリアル番号等)、MACアドレス等が考えられる。端末情報は、ユーザが読み書き不可能な領域に保管されていると好適である。なお、必要であれば、利用者端末10の端末情報に、利用者端末10の位置情報の要素を加えても良い。例えば、利用者端末10は、GPS等の機能を利用して利用者端末10の位置情報を取得し、端末情報に位置情報の要素を付加する。認証サーバ20は、随時、利用者端末10から利用者端末10の位置情報を取得し、利用者端末10の位置情報を保管しているものとする。このとき、端末情報管理部13は、利用者端末10の端末情報(又は位置情報)を保管し、必要に応じて認証サーバ20に提供する。また、端末情報管理部13が、GPS等の機能を利用して利用者端末10の位置情報を取得するようにしても良い。但し、実際には、これらの例に限定されない。
接続先情報作成部14は、生体情報、時刻情報、及び端末情報に基づいて接続先情報を作成する。なお、接続先情報を作成する際、生体情報、時刻情報、及び端末情報の全てを組み合わせたものを接続先のURLやドメイン等に付加(又は一部置換)して接続先情報を作成しても良い。或いは、生体情報、時刻情報、及び端末情報のそれぞれから一部を抽出して組み合わせたものを接続先のURLやドメイン等に付加して接続先情報を作成しても良い。また、生体情報、時刻情報、及び端末情報を基に、所定の計算式/アルゴリズム(数学的アルゴリズム等)を用いて計算し、算出された結果を接続先のURLやドメイン等に付加して接続先情報を作成しても良い。但し、実際には、これらの例に限定されない。
接続要求送信部15は、接続先情報に基づいて接続先に接続することで、認証サーバ20に接続先情報を送信する。接続要求送信部15は、ネットワークを介して、認証サーバ20に接続先情報を送信する。なお、ネットワークは、有線/無線を問わない。また、近接場型の無線通信(NFC:Near Field Communication)等の近距離無線通信を利用して認証サーバ20に接続先情報を送信しても良い。
[認証サーバの詳細]
図3を参照して、認証サーバ20の構成例について説明する。
図3を参照して、認証サーバ20の構成例について説明する。
認証サーバ20は、接続要求受信部21と、時刻情報取得部22と、ユーザ情報保管部23と、認証処理部24と、接続許可部25を備える。
接続要求受信部21は、利用者端末10から接続の要求を受信する。このとき、接続要求受信部21は、接続要求送信部15から接続の要求と共に/として、接続先情報を受信する。
時刻情報取得部22は、時刻情報を取得する。時刻情報取得部22は、基本的に、上記の時刻情報取得部12と同様である。
ユーザ情報保管部23は、利用者端末10のユーザの生体情報、及び利用者端末10の端末情報を保管する。ここでは、ユーザ情報保管部23は、利用者端末10のユーザの生体情報、及び利用者端末10の端末情報を、事前に取得し、保管しているものとする。
認証処理部24は、利用者端末10のユーザの生体情報、時刻情報、及び利用者端末10の端末情報に基づいて認証処理を行い、利用者端末10からの接続の要求が正当であるか検証する。例えば、認証処理部24は、認証サーバ20が持つ生体情報、時刻情報、及び端末情報に基づいて、接続先情報に対する認証処理を行う。
接続許可部25は、認証処理の結果、利用者端末10からの接続の要求が正当であると判断した場合、利用者端末10から接続先への接続を許可する。例えば、接続許可部25は、利用者端末10からファイルサーバや仮想デスクトップ等への接続を許可する。
<第1実施形態>
以下に、本発明の第1実施形態について説明する。
以下に、本発明の第1実施形態について説明する。
本実施形態では、図4に示すように、生体情報、時刻情報、及び端末情報から規則性のある文字(文字列、数字及び記号を含む)を抽出し、抽出された文字を使用して接続先情報を作成する。
利用者端末10は、定期的(例えば10秒おき)に、或いは、認証サーバ20と接続/同期した場合に、生体情報、時刻情報、及び端末情報から規則性のある文字を抽出し、抽出された文字を使用して接続先情報を作成し、その文字を使用した接続先情報に基づいて接続先に接続することで、認証サーバ20に接続先情報を送信する。ここでは、接続先情報作成部14は、生体情報、時刻情報、及び端末情報から規則性のある文字を抽出し、抽出された文字を使用して接続先情報を作成する機能を有するものとする。
認証サーバ20は、定期的(例えば10秒おき)に、或いは、利用者端末10と接続/同期した場合に、自身が持つ生体情報、時刻情報、及び端末情報から規則性のある文字を抽出し、抽出された文字を使用して利用者端末10からの接続の要求が正当であるか検証する。例えば、利用者端末10から受信した接続先情報に、抽出された文字が含まれているか確認することで、正当であるか検証する。ここでは、認証処理部24は、認証サーバ20が持つ生体情報、時刻情報、及び端末情報から規則性のある文字を抽出し、利用者端末10から受信した接続先情報に、抽出された文字が含まれているか確認する機能を有するものとする。正当である場合、利用者端末10から受信した接続先情報(又はその文字)に基づいて、接続先のURLやドメインを取得し、そのURLやドメインに基づいて接続先に接続し、利用者端末10から接続先への接続を許可する。このとき、利用者端末10から受信した接続先情報に含まれる接続先のURLやドメインを抽出しても良い。或いは、利用者端末10から受信した接続先情報(又はその文字)と接続先のURLやドメインを対応付けた対応表を予め保管しておき、接続先情報(又はその文字)に対応する接続先のURLやドメインを取得しても良い。
<第2実施形態>
以下に、本発明の第2実施形態について説明する。
以下に、本発明の第2実施形態について説明する。
本実施形態では、図5に示すように、利用者端末10と認証サーバ20がそれぞれ同じ時刻(又はタイミング)に接続先情報を作成し、認証サーバ20側で、互いの接続先情報が一致するか検証する。
[接続先情報の作成(利用者端末側)]
利用者端末10は、定期的(例えば10秒おき)に、或いは、認証サーバ20と接続/同期した場合に、生体情報、時刻情報、及び端末情報から規則性のある文字を抽出し、抽出された文字を接続先のURLやドメイン等に付加して接続先情報を作成する。利用者端末10は、その文字を使用した接続先情報に基づいて接続先に接続することで、認証サーバ20に接続先情報を送信する。ここでは、接続先情報作成部14は、生体情報、時刻情報、及び端末情報から規則性のある文字を抽出し、抽出された文字を接続先のURLやドメイン等に付加して接続先情報を作成する機能を有するものとする。
利用者端末10は、定期的(例えば10秒おき)に、或いは、認証サーバ20と接続/同期した場合に、生体情報、時刻情報、及び端末情報から規則性のある文字を抽出し、抽出された文字を接続先のURLやドメイン等に付加して接続先情報を作成する。利用者端末10は、その文字を使用した接続先情報に基づいて接続先に接続することで、認証サーバ20に接続先情報を送信する。ここでは、接続先情報作成部14は、生体情報、時刻情報、及び端末情報から規則性のある文字を抽出し、抽出された文字を接続先のURLやドメイン等に付加して接続先情報を作成する機能を有するものとする。
[接続先情報の作成(認証サーバ側)]
認証サーバ20は、定期的(例えば10秒おき)に、或いは、利用者端末10と接続/同期した場合に、生体情報、時刻情報、及び端末情報から規則性のある文字を抽出し、抽出された文字を接続先のURLやドメイン等に付加して接続先情報を作成する。ここでは、認証処理部24は、接続先情報作成部14と同様に、認証サーバ20が持つ生体情報、時刻情報、及び端末情報から規則性のある文字を抽出し、抽出された文字を接続先のURLやドメイン等に付加して接続先情報を作成する機能を有するものとする。
認証サーバ20は、定期的(例えば10秒おき)に、或いは、利用者端末10と接続/同期した場合に、生体情報、時刻情報、及び端末情報から規則性のある文字を抽出し、抽出された文字を接続先のURLやドメイン等に付加して接続先情報を作成する。ここでは、認証処理部24は、接続先情報作成部14と同様に、認証サーバ20が持つ生体情報、時刻情報、及び端末情報から規則性のある文字を抽出し、抽出された文字を接続先のURLやドメイン等に付加して接続先情報を作成する機能を有するものとする。
[接続先情報の照合(比較)]
認証サーバ20は、利用者端末10から接続の要求を受信した場合、利用者端末10から受信した接続先情報と、自身が作成した接続先情報とを照合(比較)し、一致するか確認する。ここでは、認証処理部24は、接続先情報同士を照合(比較)し、一致するか確認する機能を有するものとする。なお、完全一致に限らず、付加された文字の部分の部分一致でも良い。一致した場合、利用者端末10から受信した接続先情報(又は付加された文字)に基づいて、接続先のURLやドメインを取得し、そのURLやドメインに基づいて接続先に接続し、利用者端末10から接続先への接続を許可する。このとき、利用者端末10から受信した接続先情報に含まれる接続先のURLやドメインを抽出しても良い。或いは、利用者端末10から受信した接続先情報(又はその文字)と接続先のURLやドメインを対応付けた対応表を予め保管しておき、接続先情報(又はその文字)に対応する接続先のURLやドメインを取得しても良い。
認証サーバ20は、利用者端末10から接続の要求を受信した場合、利用者端末10から受信した接続先情報と、自身が作成した接続先情報とを照合(比較)し、一致するか確認する。ここでは、認証処理部24は、接続先情報同士を照合(比較)し、一致するか確認する機能を有するものとする。なお、完全一致に限らず、付加された文字の部分の部分一致でも良い。一致した場合、利用者端末10から受信した接続先情報(又は付加された文字)に基づいて、接続先のURLやドメインを取得し、そのURLやドメインに基づいて接続先に接続し、利用者端末10から接続先への接続を許可する。このとき、利用者端末10から受信した接続先情報に含まれる接続先のURLやドメインを抽出しても良い。或いは、利用者端末10から受信した接続先情報(又はその文字)と接続先のURLやドメインを対応付けた対応表を予め保管しておき、接続先情報(又はその文字)に対応する接続先のURLやドメインを取得しても良い。
認証サーバ20が接続先情報を作成する時刻は、利用者端末10が接続先情報を作成する時刻と同じであるものとする。すなわち、利用者端末10と認証サーバ20とのそれぞれの時刻情報が同じになるようにする。例えば、利用者端末10と認証サーバ20は、同時に接続先情報の作成を開始し、同じ周期で定期的に接続先情報を作成するようにしても良い。また、利用者端末10と認証サーバ20が接続した際に、その時点での時刻情報を使用して接続先情報を作成するようにしても良い。また、利用者端末10は、ワンタイムパスワードの技術と同様に、時刻同期方式(タイムスタンプ方式)を採用し、認証サーバ20側と同じ接続先情報を作成しても良い。
<第3実施形態>
以下に、本発明の第3実施形態について説明する。
以下に、本発明の第3実施形態について説明する。
本実施形態では、図6に示すように、利用者端末10の電源ON時にログインして接続先情報を作成するための生体認証と、接続先に接続するための生体認証を別々に行う。
[電源ON時]
ユーザは、利用者端末10の電源ON時に生体情報入力装置を用いて生体情報を入力する。利用者端末10は、入力された生体情報に基づいて生体認証を行い、認証に成功すれば(正当性が確認できれば)、利用者端末10へのログインを許可し、生体情報、時刻情報、及び端末情報に基づいて接続先情報を作成する。ここでは、生体情報取得部11は、入力されたユーザの生体情報に基づいて生体認証を行う。なお、実際には、電源ON時には生体認証を行わず、ログイン後に生体認証を行うようにしても良い。
ユーザは、利用者端末10の電源ON時に生体情報入力装置を用いて生体情報を入力する。利用者端末10は、入力された生体情報に基づいて生体認証を行い、認証に成功すれば(正当性が確認できれば)、利用者端末10へのログインを許可し、生体情報、時刻情報、及び端末情報に基づいて接続先情報を作成する。ここでは、生体情報取得部11は、入力されたユーザの生体情報に基づいて生体認証を行う。なお、実際には、電源ON時には生体認証を行わず、ログイン後に生体認証を行うようにしても良い。
[接続要求時]
利用者端末10は、作成された接続先情報に基づいて接続先に接続することで、認証サーバ20に接続先情報を送信する。
利用者端末10は、作成された接続先情報に基づいて接続先に接続することで、認証サーバ20に接続先情報を送信する。
認証サーバ20は、認証サーバ20は、利用者端末10から接続の要求を受信した場合、利用者端末10からの接続先情報に含まれる生体情報に基づいて生体認証を行う。例えば、認証サーバ20は、ファイルサーバや仮想デスクトップ等のログイン時の生体認証を行う。ここでは、認証処理部24は、他の実施形態と同様に、生体情報、時刻情報、及び端末情報に基づいて、利用者端末10からの接続の要求が正当であるか検証する。正当である場合、接続先へのログインを許可し、利用者端末10から接続先への接続を許可する。なお、認証サーバ20が行う認証は、生体情報の要素を含む情報に基づく認証であるため、生体認証であるといえる。無論、上記とは別に、接続先への接続を許可した後に、接続先へのログインのための生体認証を行うようにしても良い。
<第4実施形態>
以下に、本発明の第4実施形態について説明する。
以下に、本発明の第4実施形態について説明する。
本実施形態では、図7に示すように、認証サーバ20は、接続先情報自体をそのままドメイン(又はホスト名)として使用するため、接続先情報をDNS(Domain Name System)サーバ30に登録する。DNSサーバ30は、動的更新が可能なDNSサーバであるものとする。なお、認証サーバ20自体が、DNSサーバ30であっても良い。
[DNSレコードの動的更新]
認証サーバ20は、他の実施形態と同様に、利用者端末10からの接続の要求が正当であるか検証し、利用者端末10からの接続の要求が正当である場合、その接続先情報を自身又は接続先のドメインとしてDNSサーバ30に登録する。ここでは、接続許可部25は、接続先情報を認証サーバ20又は接続先のドメインとしてDNSサーバ30に登録する機能を有するものとする。
認証サーバ20は、他の実施形態と同様に、利用者端末10からの接続の要求が正当であるか検証し、利用者端末10からの接続の要求が正当である場合、その接続先情報を自身又は接続先のドメインとしてDNSサーバ30に登録する。ここでは、接続許可部25は、接続先情報を認証サーバ20又は接続先のドメインとしてDNSサーバ30に登録する機能を有するものとする。
また、認証サーバ20は、接続先情報を作成する度に(毎回)、その接続先情報を自身又は接続先のドメインとしてDNSサーバ30に登録するようにしても良い。その上で、利用者端末10からの接続の要求が正当でない場合、その接続先情報に関する情報をDNSサーバ30から削除するようにしても良い。
認証サーバ20は、接続先情報を自身又は接続先のドメインとしてDNSサーバ30に登録する場合、自身又は接続先のIPアドレスと接続先情報を対応付けたDNSレコードを追加する。このDNSレコードの例として、IPv4の場合は「Aレコード」(Address record)、IPv6の場合は「AAAAレコード」が考えられる。
認証サーバ20は、接続先情報を自身のドメインとしてDNSサーバ30に登録する場合、利用者端末10から接続先情報を受信して認証処理を行った後、利用者端末10を接続先情報に対応する接続先に接続するための処理を行う。認証サーバ20は、接続先のIPアドレスを事前に把握している場合、接続先情報と、接続先のIPアドレスを対応付けて(対応表として)保管していても良い。接続先のIPアドレスは、仮想デスクトップに割り当てられた仮想IPアドレス等でも良い。認証サーバ20は、DNSレコードを更新する場合、接続先のIPアドレスをキーにして、古いDNSレコードを削除した上で、新しいDNSレコードを追加するようにする。
認証サーバ20は、ダイナミックDNS(DDNS)等の技術を利用して、DNSサーバ30のDNSレコードを更新する。本実施形態では、認証サーバ20又は接続先のIPアドレスは固定であり、接続先情報は可変である。無論、認証サーバ20又は接続先のIPアドレスも可変にしても良い。例えば、認証サーバ20が接続先のIPアドレスの割り当て/変更を認識可能であれば、接続先のIPアドレスを可変にすることも可能である。
1つの接続先情報に複数の接続先のIPアドレスを割り当てる場合には、DNSラウンドロビン(DNS round robin)やサーバ負荷分散(Server Load Balancing)等の技術を利用することも考えられる。反対に、複数の接続先情報に1つの接続先のIPアドレスを割り当てる場合には、上記の技術を応用(逆用)することも考えられる。
<各実施形態の関係>
なお、上記の各実施形態は、組み合わせて実施することも可能である。
なお、上記の各実施形態は、組み合わせて実施することも可能である。
<ハードウェアの例示>
以下に、本発明に係る認証システムを実現するための具体的なハードウェアの例について説明する。
以下に、本発明に係る認証システムを実現するための具体的なハードウェアの例について説明する。
利用者端末10や認証サーバ20の例として、PC(パソコン)、アプライアンス(appliance)、シンクライアント端末/サーバ、ワークステーション、メインフレーム、スーパーコンピュータ等の計算機を想定している。なお、端末やサーバに限らず、中継機器や周辺機器でも良い。また、計算機等に搭載される拡張ボードや、物理マシン上に構築された仮想マシンでも良い。また、車両や船舶、航空機等の移動体に搭載されていても良い。
また、利用者端末10は、携帯電話機、スマートフォン、スマートブック、カーナビ(カーナビゲーションシステム)、IP電話機、携帯型ゲーム機、家庭用ゲーム機、携帯型音楽プレーヤー、ハンディターミナル、ガジェット(電子機器)、双方向テレビ、デジタルチューナー、デジタルレコーダー、情報家電(information home appliance)、OA(Office Automation)機器、店頭端末・高機能コピー機、デジタルサイネージ(Digital Signage:電子看板)等でも良い。
また、認証サーバ20は、ネットワークスイッチ(network switch)、ルータ(router)、プロキシ(proxy)、ゲートウェイ(gateway)、ファイアウォール(firewall)、ロードバランサ(load balancer:負荷分散装置)、帯域制御装置(packet shaper)、セキュリティ監視制御装置(SCADA:Supervisory Control And Data Acquisition)、ゲートキーパー(gatekeeper)、基地局(base station)、アクセスポイント(AP:Access Point)、トランスポンダ(Transponder)、通信衛星(CS:Communication Satellite)等でも良い。また、物理マシン上に構築された仮想マシンにより実現される仮想スイッチでも良い。
図示しないが、利用者端末10や認証サーバ20は、プログラムに基づいて駆動し所定の処理を実行するプロセッサと、当該プログラムや各種データを記憶するメモリと、ネットワークとの通信に用いられるインターフェースによって実現されると考えられる。
上記のプロセッサの例として、CPU(Central Processing Unit)、ネットワークプロセッサ(NP:Network Processor)、マイクロプロセッサ(microprocessor)、マイクロコントローラ(microcontroller)、或いは、専用の機能を有する半導体集積回路(LSI:Large Scale Integration)等が考えられる。
上記のメモリの例として、RAM(Random Access Memory)、ROM(Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)やフラッシュメモリ等の半導体記憶装置、HDD(Hard Disk Drive)やSSD(Solid State Drive)等の補助記憶装置、又は、DVD(Digital Versatile Disk)等のリムーバブルディスクや、SDメモリカード(Secure Digital memory card)等の記憶媒体(メディア)等が考えられる。また、バッファ(buffer)やレジスタ(register)等でも良い。或いは、DAS(Direct Attached Storage)、FC−SAN(Fibre Channel − Storage Area Network)、NAS(Network Attached Storage)、IP−SAN(IP − Storage Area Network)等を用いたストレージ装置でも良い。
なお、上記のプロセッサ及び上記のメモリは、一体化していても良い。例えば、近年では、マイコン等の1チップ化が進んでいる。したがって、電子機器等に搭載される1チップマイコンが、上記のプロセッサ及び上記のメモリを備えている事例も考えられる。
上記のインターフェースの例として、ネットワーク通信に対応した基板(マザーボード、I/Oボード)やチップ等の半導体集積回路、NIC(Network Interface Card)等のネットワークアダプタや同様の拡張カード、アンテナ等の通信装置、接続口(コネクタ)等の通信ポート等が考えられる。
また、ネットワークの例として、インターネット、LAN(Local Area Network)、無線LAN(Wireless LAN)、WAN(Wide Area Network)、バックボーン(Backbone)、ケーブルテレビ(CATV)回線、固定電話網、携帯電話網、WiMAX(IEEE 802.16a)、3G(3rd Generation)、専用線(lease line)、IrDA(Infrared Data Association)、Bluetooth(登録商標)、シリアル通信回線、データバス等が考えられる。
なお、利用者端末10や認証サーバ20の内部の構成要素は、モジュール(module)、コンポーネント(component)、或いは専用デバイス、又はこれらの起動(呼出)プログラムでも良い。
但し、実際には、これらの例に限定されない。
<備考>
以上、本発明の実施形態を詳述してきたが、実際には、上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の変更があっても本発明に含まれる。
以上、本発明の実施形態を詳述してきたが、実際には、上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の変更があっても本発明に含まれる。
10… 利用者端末
11… 生体情報取得部
12… 時刻情報取得部
13… 端末情報管理部
14… 接続先情報作成部
15… 接続要求送信部
20… 認証サーバ
21… 接続要求受信部
22… 時刻情報取得部
23… ユーザ情報管理部
24… 認証処理部
25… 接続実行部
30… DNS(Domain Name System)サーバ
11… 生体情報取得部
12… 時刻情報取得部
13… 端末情報管理部
14… 接続先情報作成部
15… 接続要求送信部
20… 認証サーバ
21… 接続要求受信部
22… 時刻情報取得部
23… ユーザ情報管理部
24… 認証処理部
25… 接続実行部
30… DNS(Domain Name System)サーバ
Claims (14)
- ユーザの生体情報、時刻情報、及び自身の端末情報に基づいて、接続先を特定するための接続先情報を作成し、前記接続先情報に基づいて前記接続先への接続要求を送出する利用者端末と、
前記ユーザの生体情報及び前記利用者端末の端末情報を事前に取得して保管し、前記利用者端末からの接続要求を受信した際、自身が持つ生体情報、時刻情報、及び端末情報に基づいて、前記利用者端末からの接続要求が正当であるか検証し、正当である場合、前記利用者端末から前記接続先への接続を許可する認証サーバと
を含み、
前記認証サーバは、前記利用者端末が前記接続先に接続する際に、前記接続先を特定するための接続先情報を一時的な情報とすることを実現する
認証システム。 - 請求項1に記載の認証システムであって、
前記利用者端末は、ユーザの生体情報、時刻情報、及び自身の端末情報から規則性のある文字を抽出し、抽出された文字を使用して接続先情報を作成し、
前記認証サーバは、自身が持つ生体情報、時刻情報、及び端末情報から規則性のある文字を抽出し、抽出された文字を使用して、前記利用者端末からの接続要求が正当であるか検証する
認証システム。 - 請求項1又は2に記載の認証システムであって、
前記認証サーバは、前記利用者端末から接続先情報を受信し、自身が持つ生体情報、時刻情報、及び端末情報に基づいて接続先情報を作成し、前記利用者端末から受信した接続先情報と、自身が作成した接続先情報とを照合し、照合の結果、一致したと判断した場合、前記利用者端末から前記接続先への接続を許可する
認証システム。 - 請求項1乃至3のいずれか一項に記載の認証システムであって、
前記利用者端末は、前記利用者端末の電源ON時に、前記ユーザに対する生体認証を行い、成功したと判断した場合、前記利用者端末へのログインを許可し、
前記認証サーバは、前記利用者端末からの接続要求時に、自身が持つ生体情報、時刻情報、及び端末情報に基づいて、前記利用者端末からの接続要求が正当であるか検証し、正当である場合、前記接続先へのログインを許可する
認証システム。 - 請求項1乃至4のいずれか一項に記載の認証システムであって、
前記認証サーバは、前記接続先を特定するための接続先情報をドメイン名としてDNS(Domain Name System)サーバに登録する
認証システム。 - 請求項1乃至5のいずれか一項に記載の認証システムで使用される利用者端末。
- 請求項1乃至5のいずれか一項に記載の認証システムで使用される認証サーバ。
- 利用者端末が、ユーザの生体情報、時刻情報、及び自身の端末情報に基づいて、接続先を特定するための接続先情報を作成し、前記接続先情報に基づいて前記接続先への接続要求を送出することと、
認証サーバが、前記ユーザの生体情報及び前記利用者端末の端末情報を事前に取得して保管し、前記利用者端末からの接続要求を受信した際、自身が持つ生体情報、時刻情報、及び端末情報に基づいて、前記利用者端末からの接続要求が正当であるか検証し、正当である場合、前記利用者端末から前記接続先への接続を許可することで、前記利用者端末が前記接続先に接続する際に、前記接続先を特定するための接続先情報を一時的な情報とすることを実現することと
を含む
認証方法。 - 請求項8に記載の認証方法であって、
前記利用者端末が、ユーザの生体情報、時刻情報、及び自身の端末情報から規則性のある文字を抽出し、抽出された文字を使用して接続先情報を作成することと、
前記認証サーバが、自身が持つ生体情報、時刻情報、及び端末情報から規則性のある文字を抽出し、抽出された文字を使用して、前記利用者端末からの接続要求が正当であるか検証することと
を更に含む
認証方法。 - 請求項8又は9に記載の認証方法であって、
前記認証サーバが、前記利用者端末から接続先情報を受信し、自身が持つ生体情報、時刻情報、及び端末情報に基づいて接続先情報を作成し、前記利用者端末から受信した接続先情報と、自身が作成した接続先情報とを照合し、照合の結果、一致したと判断した場合、前記利用者端末から前記接続先への接続を許可すること
を更に含む
認証方法。 - 請求項8乃至10のいずれか一項に記載の認証方法であって、
前記利用者端末が、前記利用者端末の電源ON時に、前記ユーザに対する生体認証を行い、成功したと判断した場合、前記利用者端末へのログインを許可することと、
前記認証サーバが、前記利用者端末からの接続要求時に、自身が持つ生体情報、時刻情報、及び端末情報に基づいて、前記利用者端末からの接続要求が正当であるか検証し、正当である場合、前記接続先へのログインを許可することと
を更に含む
認証方法。 - 請求項8乃至11のいずれか一項に記載の認証方法であって、
前記認証サーバが、前記接続先を特定するための接続先情報をドメイン名としてDNS(Domain Name System)サーバに登録すること
を更に含む
認証方法。 - 請求項8乃至12のいずれか一項に記載の認証方法における利用者端末としての動作を、計算機に実行させるためのプログラム。
- 請求項8乃至12のいずれか一項に記載の認証方法における認証サーバとしての動作を、計算機に実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013017546A JP6091230B2 (ja) | 2013-01-31 | 2013-01-31 | 認証システム、及び認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013017546A JP6091230B2 (ja) | 2013-01-31 | 2013-01-31 | 認証システム、及び認証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014149638A JP2014149638A (ja) | 2014-08-21 |
| JP6091230B2 true JP6091230B2 (ja) | 2017-03-08 |
Family
ID=51572581
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013017546A Active JP6091230B2 (ja) | 2013-01-31 | 2013-01-31 | 認証システム、及び認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6091230B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104598795A (zh) * | 2015-01-30 | 2015-05-06 | 科大讯飞股份有限公司 | 身份验证方法及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4723949B2 (ja) * | 2004-08-09 | 2011-07-13 | 日本電信電話株式会社 | アクセス制御システム、アクセス制御方法およびアクセス制御プログラム |
| WO2006040820A1 (ja) * | 2004-10-14 | 2006-04-20 | Mitsubishi Denki Kabushiki Kaisha | パスワード生成装置及びicカード及び認証装置 |
| JP2006128873A (ja) * | 2004-10-27 | 2006-05-18 | Matsushita Electric Ind Co Ltd | Url認証システム及びurl認証方法 |
| US20080270571A1 (en) * | 2007-04-30 | 2008-10-30 | Walker Philip M | Method and system of verifying permission for a remote computer system to access a web page |
| JP2008299367A (ja) * | 2007-05-29 | 2008-12-11 | Seiko Epson Corp | 検索システム |
| JP5284626B2 (ja) * | 2007-11-15 | 2013-09-11 | グラフィ株式会社 | コンテンツ開示システム |
| JP2013033302A (ja) * | 2009-10-29 | 2013-02-14 | Tani Electronics Corp | 通信システム及び通信方法 |
-
2013
- 2013-01-31 JP JP2013017546A patent/JP6091230B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014149638A (ja) | 2014-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9985968B2 (en) | Techniques to authenticate a client to a proxy through a domain name server intermediary | |
| US11522959B2 (en) | Systems and methods for remote management of appliances | |
| JP6282349B2 (ja) | ウェブサイトにログインしている端末がモバイル端末であるかどうかを決定するための方法およびシステム | |
| US8738902B2 (en) | Implicit SSL certificate management without server name indication (SNI) | |
| CN101027676B (zh) | 用于可控认证的个人符记和方法 | |
| JP5710596B2 (ja) | リアルタイム通信向けのユーザ・ベース認証 | |
| US11018930B2 (en) | Internet of things gateway onboarding | |
| CN104301316A (zh) | 一种单点登录系统及其实现方法 | |
| WO2014048749A1 (en) | Inter-domain single sign-on | |
| EP3198508A1 (en) | Platform identity architecture with a temporary pseudonymous identity | |
| JP2015535362A (ja) | ウェブサービスに安全にアクセスするための方法および装置 | |
| US20080263126A1 (en) | Internet bridge for applications and web servers | |
| US20060168196A1 (en) | Automated provisioning of new networked devices | |
| CN103634111A (zh) | 单点登录方法和系统及单点登录客户端 | |
| JP6240102B2 (ja) | 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム | |
| JP2014013960A (ja) | 通信制御方法、通信制御装置、通信機器、及びプログラム | |
| JP6185934B2 (ja) | サーバー・アプリケーションと多数の認証プロバイダーとの統合 | |
| JP6091230B2 (ja) | 認証システム、及び認証方法 | |
| KR101619928B1 (ko) | 이동단말기의 원격제어시스템 | |
| US10291612B2 (en) | Bi-directional authentication between a media repository and a hosting provider | |
| JP2012198827A (ja) | フィッシング防止システム、認証装置、フィッシング防止方法、及びプログラム | |
| TW201824887A (zh) | 以認證伺服器在伺服群組中實現免登入之系統及其方法 | |
| US10148729B2 (en) | Hosting provider hosting routes from a media repository |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20151217 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161031 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161102 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161221 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170111 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170207 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6091230 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |