JP6771936B2 - Communication equipment, authentication system, communication method and computer program - Google Patents
Communication equipment, authentication system, communication method and computer program Download PDFInfo
- Publication number
- JP6771936B2 JP6771936B2 JP2016085390A JP2016085390A JP6771936B2 JP 6771936 B2 JP6771936 B2 JP 6771936B2 JP 2016085390 A JP2016085390 A JP 2016085390A JP 2016085390 A JP2016085390 A JP 2016085390A JP 6771936 B2 JP6771936 B2 JP 6771936B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- authentication
- authenticated
- unit
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、通信の許否を制御する技術に関する。 The present invention relates to a technique for controlling the permission or disapproval of communication.
ネットワークを介したサービス提供では、サービスの要求元が正当な権限を有するユーザであるか否かを判定するために認証処理が行われることが多い。以前はID及びパスワードのみを使用した認証処理が行われていた。しかし、認証処理のセキュリティを向上させることを目的として、近年はID及びパスワード以外の要素を用いた多要素認証処理が提案されている(例えば、特許文献1参照)。 In providing a service via a network, an authentication process is often performed to determine whether or not the requester of the service is a user with legitimate authority. Previously, authentication processing using only ID and password was performed. However, in recent years, for the purpose of improving the security of the authentication process, a multi-factor authentication process using elements other than the ID and password has been proposed (see, for example, Patent Document 1).
しかしながら、不正アクセスは依然として増加している。特に、IoT(Internet of Things)の技術の発展に伴い、正当な認証情報を有しているか否かのみにかかわらず通信装置に対して通信の許否を制御する技術が要求されている。 However, unauthorized access is still increasing. In particular, with the development of IoT (Internet of Things) technology, there is a demand for a technology for controlling the permission or disapproval of communication for a communication device regardless of whether or not it has valid authentication information.
上記事情に鑑み、本発明は、正当な認証情報を有しているか否かのみにかかわらず通信装置に対して通信の許否を制御することを可能とする技術の提供を目的としている。 In view of the above circumstances, an object of the present invention is to provide a technique capable of controlling the permission or denial of communication for a communication device regardless of whether or not it has valid authentication information.
本発明の一態様は、1又は複数の被認証装置に対して認証処理を実行する認証部と、1又は複数の各被認証装置に対する前記認証処理の結果に基づいて、被認証装置による通信を許可するか否か判定する通信制御部と、を備える通信装置である。 One aspect of the present invention is to communicate with an authentication unit that executes authentication processing for one or more authenticated devices and communication by the authenticated device based on the result of the authentication processing for each one or a plurality of authenticated devices. It is a communication device including a communication control unit for determining whether or not to permit.
本発明の一態様は、上記の通信装置であって、1又は複数の各被認証装置に対する前記認証処理の結果に基づく条件である通信許可条件を記憶する通信状況記憶部をさらに備え、前記通信制御部は、前記通信状況記憶部に記憶される前記条件が満たされる場合に、前記条件に対応付けられている被認証装置による通信を許可する。 One aspect of the present invention is the above-mentioned communication device, further comprising a communication status storage unit for storing a communication permission condition which is a condition based on the result of the authentication process for each one or a plurality of authenticated devices, and the communication. When the condition stored in the communication status storage unit is satisfied, the control unit permits communication by the authenticated device associated with the condition.
本発明の一態様は、上記の通信装置であって、前記通信状況記憶部は、前記1又は複数の被認証装置に対する前記認証処理の結果を示す認証状態の値と、前記通信許可条件が満たされているか否かを示す通信許可状態の値と、をさらに記憶し、前記認証部は認証処理の結果に基づいて前記認証状態の値を更新し、前記通信制御部は、前記認証状態の値が異なる値に更新されたことに応じて1又は複数の被認証装置に関する前記通信許可条件の値を更新する。 One aspect of the present invention is the communication device, wherein the communication status storage unit satisfies the value of the authentication state indicating the result of the authentication process for the one or a plurality of authenticated devices and the communication permission condition. The value of the communication permission state indicating whether or not the authentication is performed is further stored, the authentication unit updates the value of the authentication state based on the result of the authentication process, and the communication control unit updates the value of the authentication state. Updates the value of the communication permission condition for one or more authenticated devices according to the update to a different value.
本発明の一態様は、上記の通信装置であって、前記認証部又は前記通信制御部は、前記認証部によって既に認証されている被認証装置から、他の被認証装置を新たに接続することに関する要求が受信されると、前記他の被認証装置の接続を許可する。 One aspect of the present invention is the above-mentioned communication device, in which the authentication unit or the communication control unit newly connects another authenticated device from the authenticated device already authenticated by the authentication unit. When the request regarding the above is received, the connection of the other authenticated device is permitted.
本発明の一態様は、上記の通信装置であって、前記認証部は、1又は複数の被認証装置に対しランダムな情報を送信し、前記被認証装置から前記ランダムな情報に基づいて生成された加工認証情報を受信し、前記加工認証情報に基づいて認証処理を実行する。 One aspect of the present invention is the communication device, wherein the authentication unit transmits random information to one or a plurality of authenticated devices, and is generated from the authenticated device based on the random information. The processing authentication information is received, and the authentication process is executed based on the processing authentication information.
本発明の一態様は、1又は複数の被認証装置に対しランダムな情報を送信し、前記被認証装置から前記ランダムな情報に基づいて生成された加工認証情報を受信し、前記加工認証情報に基づいて認証処理を実行する認証部と、1又は複数の各被認証装置に対する前記認証処理の結果に基づいて、被認証装置による通信を許可するか否か判定する通信制御部と、を備える通信装置と、前記通信装置から前記ランダムな情報を受信し、予め自装置に記憶されている認証情報と前記ランダムな情報とに基づいて加工認証情報を生成し、前記加工認証情報を前記通信装置に送信する制御部と、を備える被認証装置と、を備える認証システムである。 One aspect of the present invention is to transmit random information to one or a plurality of authenticated devices, receive processing authentication information generated based on the random information from the authenticated device, and use the processing authentication information as the processing authentication information. Communication including an authentication unit that executes an authentication process based on the authentication process, and a communication control unit that determines whether or not to allow communication by the authenticated device based on the result of the authentication process for each one or a plurality of authenticated devices. The device receives the random information from the communication device, generates processing authentication information based on the authentication information stored in the own device in advance and the random information, and transmits the processing authentication information to the communication device. It is an authentication system including a control unit for transmitting and a device to be authenticated.
本発明の一態様は、1又は複数の被認証装置に対して認証処理を実行する認証ステップと、1又は複数の各被認証装置に対する前記認証処理の結果に基づいて、被認証装置による通信を許可するか否か判定する通信制御ステップと、を有する通信方法である。 One aspect of the present invention is to perform communication by the authenticated device based on the authentication step of executing the authentication process for one or more authenticated devices and the result of the authentication process for each of the one or more authenticated devices. It is a communication method having a communication control step for determining whether or not to allow.
本発明の一態様は、1又は複数の被認証装置に対して認証処理を実行する認証ステップと、1又は複数の各被認証装置に対する前記認証処理の結果に基づいて、被認証装置による通信を許可するか否か判定する通信制御ステップと、をコンピュータに実行させるためのコンピュータプログラムである。 One aspect of the present invention is to perform communication by the authenticated device based on the authentication step of executing the authentication process for one or more authenticated devices and the result of the authentication process for each of the one or more authenticated devices. It is a computer program for causing a computer to execute a communication control step for determining whether or not to allow.
本発明により、正当な認証情報を有しているか否かのみにかかわらず通信装置に対して通信の許否を制御することが可能となる。 According to the present invention, it is possible to control the permission or disapproval of communication with respect to a communication device regardless of whether or not it has valid authentication information.
図1は、認証システムのシステム構成を表すシステム構成図である。認証システムは、通信装置100及び複数の被認証装置200を備える。通信装置100及び複数の被認証装置200は、ネットワーク300を介して互いに通信可能に接続される。ネットワーク300は、どのようなネットワークで構築されてもよい。例えば、ネットワーク300は、インターネットで構成されてもよい。
FIG. 1 is a system configuration diagram showing a system configuration of an authentication system. The authentication system includes a
通信装置100は、ネットワーク機器や産業用コンピュータやメインフレームやワークステーションやパーソナルコンピュータなどの情報処理装置を用いて構成される。通信装置100には、ユーザが触れることを前提とした装置も、ユーザが触れることを前提としていない装置も含まれる。なお、産業用コンピュータとは、例えば自動販売機や工場の制御装置などの産業で使用されるコンピュータである。通信装置100には、以下に示す機能を備えることが可能な装置であればどのような装置もなり得る。通信装置100は、バスで接続されたCPU(Central Processing Unit)やメモリを備える。通信装置100は、認証プログラムを実行することによって、通信部101、制御部102、認証部103、認証情報記憶部104、認証状況記憶部105、通信制御部106及び情報処理部107を備える装置として機能する。なお、通信装置100の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されてもよい。認証プログラムは、コンピュータ読み取り可能な記録媒体に記録されてもよい。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM、半導体記憶装置(例えばSSD:Solid State Drive)等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。認証プログラムは、電気通信回線を介して送信されてもよい。通信装置100は、複数台の情報処理装置を用いて構成されてもよい。認証プログラムはクラウドや仮想マシンで実行されてもよい。
The
通信部101は、ネットワークインタフェースである。通信部101はネットワーク300を介して被認証装置200と通信する。通信部101は、被認証装置200から受信したデータを制御部102に渡す。通信部101は、制御部102から被認証装置200宛のデータを受けると、ネットワーク300を介してデータを被認証装置200に送信する。
The
制御部102は、通信装置100が送受信するデータに対する受け渡し処理を実行する。制御部102は、通信部101から受け取ったデータが認証情報であれば、受け取ったデータを認証部103に渡す。認証情報は、認証を求める装置(被認証装置200)又はそのユーザに対して予め割り当てられている情報である。認証情報は、例えばID及びパスワードの組み合わせであってもよいし、パスワードのみであってもよい。パスワードは数字及びアルファベットを含む文字列、絵柄の組み合わせや線のパターン等のパスワードとして用いられる情報であればどのような情報であってもよい。認証情報は、例えば指紋や顔のような生体情報であってもよい。認証情報は複数の情報の組み合わせであってもよい。制御部102は、通信部101から受け取ったデータが認証情報以外のデータであれば、受け取ったデータを通信制御部106に渡す。制御部102は、認証部103又は通信制御部106から受け取ったデータを通信部101に渡す。
The
認証部103は、認証処理を行うことによって、制御部102から受け取った認証情報と、認証情報記憶部104に記憶されている認証情報と、に基づいて認証処理を行う。認証部103は、受信された認証情報と認証情報記憶部104に記憶される認証情報とが所定の認証条件を満たす(例えば一致する)場合、被認証装置200が正当な権限を有する装置であると判定する。すなわち、このような場合に認証部103は被認証装置200を認証する。一方、認証部103は、受信された認証情報と、認証情報記憶部104に記憶されている認証情報とが所定の認証条件を満たさない(例えば一致しない)場合、被認証装置200が正当な権限を有する装置ではないと判定する。すなわち、このような場合に認証部103は被認証装置200を認証しない。認証部103は、認証結果を認証状況記憶部105に記録する。
By performing the authentication process, the
認証情報記憶部104は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。認証情報記憶部104は、被認証装置200又はそのユーザ毎の認証情報を記憶する。
The authentication
認証状況記憶部105は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。認証状況記憶部105は、認証状況テーブルを記憶する。認証状況テーブルは、複数の認証状況レコードを有する。認証状況レコードは、被認証装置200毎に認証状況に応じた処理を実行するための情報を表す。図2は、認証状況テーブルの具体例を示す図である。認証状況レコードは、装置ID、認証状態、通信許可状態及び通信許可条件の各値を有する。装置IDは、被認証装置200の識別情報である。装置IDは、例えばIPアドレス、MACアドレス又は装置名等の他の被認証装置200と重複しない値である。認証状態は、認証部103による認証処理の結果を表す。通信許可状態は、通信制御部106が被認証装置200との通信を許可しているか否かを表す。通信許可状態の値は、通信許可条件が満たされている場合に“通信許可”の値となり、通信許可条件が満たされていない場合に“通信不許可”の値となる。通信許可条件は、通信制御部106が被認証装置200の通信を許可するための条件を表す。装置ID及び通信許可条件の値は、管理者や設計者等の権限を有する者によって登録される。
The authentication
図2に示される例では、認証状況テーブルの最上段の認証状況レコードは、装置IDの値が“装置A”、認証状態の値が“認証済み”、通信許可状態の値が“通信許可”、通信許可条件の値が“装置B and (not装置C)”である。この認証状況レコードは、装置ID“装置A”の被認証装置200が、認証済みであり、通信装置100との通信が許可されていることを示す。さらに、この認証状況レコードは装置ID“装置B”の被認証装置200の認証状態が“認証済み”であって、且つ、装置ID“装置C”の被認証装置200の認証状態が“未認証”であることが通信許可条件として設定されていることを示す。なお、図2に示される認証状況テーブルは一具体例にすぎない。そのため、図2とは異なる態様で認証状況テーブルが構成されてもよい。例えば、認証状況レコードは必ずしも通信許可状態の値を有していなくてもよい。例えば、装置ID及び通信許可条件の値は、デフォルト値として設定された値が自動登録されてもよい。また、認証状態の値は必ずしも“認証済み”及び“未認証”の二つのいずれかに限定される必要は無い。例えば、そもそも被認証装置200が接続されていないことを示す“未接続”という値や、認証処理は実行されたものの認証されなかった(認証がNGであった)ことを示す“認証失敗”という値が認証状態の値として定義されてもよい。なお、“未接続”の値には、被認証装置200の電源が投入されていないことが含まれてもよい。また、通信許可状態の値は必ずしも“通信許可”及び“通信不許可”の二つのいずれかに限定される必要は無い。例えば、“保留”という値が通信許可状態の値として登録されてもよい。
In the example shown in FIG. 2, in the authentication status record at the top of the authentication status table, the device ID value is "device A", the authentication status value is "authenticated", and the communication permission status value is "communication permission". , The value of the communication permission condition is "device Band (not device C)". This authentication status record indicates that the authenticated
図1に戻って、通信装置100の説明を続ける。通信制御部106は、認証状況テーブルの認証状態の値に基づいて、各被認証装置200について通信許可条件を満たすか否か判定する。通信制御部106は、判定結果を通信許可状態の値として記録する。通信制御部106は、通信許可状態の値に基づき、被認証装置200から受信された通信データについて処理を進めるか否か判定する。通信データとは、被認証装置200から受信されるデータであって、認証要求以外のデータである。通信制御部106は、通信データの送信元の被認証装置200の通信許可状態が通信許可である場合、通信データを後段の処理を実行する機能部に渡す。本実施形態の具体例では、通信制御部106は、通信データを情報処理部107に渡す。一方、通信制御部106は、通信データの送信元の被認証装置200の通信許可状態が通信不許可である場合、通信データの送信元に対しエラーを返信する。なお、エラーを返信せずに単に通信データを破棄してもよい。また、通信許可状態の値として“保留”が登録されている場合、通信制御部106は、所定の時間のあいだ通信データを保持し、所定の時間経過後にエラーを返信してもよい。
Returning to FIG. 1, the description of the
情報処理部107は、通信制御部106から通信データを受けると、通信データに対して所定の処理を実行する。情報処理部107は、例えば通信データが、蓄積されているデータの参照のリクエストである場合、指定されたデータを読み出しリクエスト元の装置へデータを送信する。情報処理部107は、例えば通信データが、他の装置に対する制御の指示である場合、指示された制御を示す制御信号を指示された他の装置に対して送信する。情報処理部107は、例えば通信データがセンサの検知結果を示すデータを含む場合、検知結果を用いて履歴データを更新してもよい。情報処理部107は、例えばセンサの検知結果を示すデータに基づいて所定の推定処理(例えば、電気使用量の推定、水位の推定処理など)を実行してもよい。例えば、情報処理部107は、通信データが示す値について異常値であるか否か判定してもよい。情報処理部107は、通信データを記憶装置に保存してもよい。情報処理部107は、ユーザインタフェースに対して通信データを出力することによってユーザに通信データを提示してもよい。
When the
被認証装置200は、ネットワーク機器や産業用コンピュータやメインフレームやワークステーションやパーソナルコンピュータなどの情報処理装置を用いて構成される。被認証装置200は、情報処理可能なセンサを用いて構成されてもよい。被認証装置200には、ユーザが触れることを前提とした装置も、ユーザが触れることを前提としていない装置も含まれる。被認証装置200は、バスで接続されたCPUやメモリや補助記憶装置などを備える。被認証装置200は、被認証プログラムを実行することによって、通信部201、制御部202、認証情報記憶部203、出力部204、入力部205を備える装置として機能する。なお、被認証装置200の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されてもよい。被認証プログラムは、コンピュータ読み取り可能な記録媒体に記録されてもよい。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM、半導体記憶装置(例えばSSD)等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。被認証装置200は、複数台の情報処理装置を用いて構成されてもよい。
The authenticated
通信部201は、ネットワークインタフェースである。通信部201は、ネットワーク300を介して通信装置100と通信する。通信部201は、通信装置100から受信したデータを制御部202に渡す。通信部201は、制御部202から通信装置100宛のデータを受けると、ネットワーク300を介して通信装置100にデータを送信する。
The
また、通信部201は、ネットワーク300を介して他の被認証装置200と通信する。通信部201は、通信装置100への追加を依頼する旨の指示を含む追加要求を、既に認証がなされている他の被認証装置200(以下「認証済み被認証装置」という。)に送信する。通信部201は、認証システムの管理者が通信装置100に新たに追加したいと所望する被認証装置200(以下「新規追加被認証装置」という。)から追加要求を受信する。通信部201は、受信した追加要求を制御部202に渡す。
Further, the
制御部202は、通信装置100による認証を受けるための処理と新規追加被認証装置の認証処理とを実行する。
認証情報記憶部203は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。認証情報記憶部203は認証情報を記憶する。認証情報記憶部203が記憶する認証情報は、認証情報記憶部104に記憶される認証情報に応じた認証情報である。認証情報は、例えば予め定められた文字列や数値(以下「パスフレーズ」という。)である。
The
The authentication
出力部204は、CRT(Cathode Ray Tube)ディスプレイ、液晶ディスプレイ、有機EL(Electro Luminescence)ディスプレイ等の画像表示装置である。出力部204は、画像表示装置を被認証装置200に接続するためのインタフェースであってもよい。この場合、出力部204は、映像信号を生成し、自身に接続されている画像表示装置に映像信号を出力する。
The
入力部205は、キーボード、ポインティングデバイス(マウス、タブレット等)、ボタン、タッチパネル等の既存の入力装置を用いて構成される。入力部205は、ユーザの指示を被認証装置200に入力する際にユーザによって操作される。入力部205は、例えば認証情報の入力を受け付ける。入力部205は、入力装置を被認証装置200に接続するためのインタフェースであってもよい。この場合、入力部205は、入力装置においてユーザの入力に応じて生成された入力信号を被認証装置200に入力する。
The
図3は、通信装置100が被認証装置200に対して認証処理を行う際の処理の流れを示すフローチャートである。通信装置100の通信部101は、被認証装置200から認証要求を受信する(ステップS101)。認証要求には、認証処理を受ける際に用いられる認証情報が含まれる。通信部101は、受信した認証要求を制御部102に渡す。
FIG. 3 is a flowchart showing a processing flow when the
制御部102は、通信部101から認証要求を受けると、認証要求に含まれる認証情報を認証部103に渡す。認証部103は、制御部102から受けた認証情報と、認証情報記憶部104に記憶されている認証情報と、に基づいて認証処理を実行する(ステップS102)。被認証装置200が認証された場合(ステップS103−YES)、認証部103は、被認証装置200の装置IDを有する認証状況レコードの認証状態の値を、認証が認められたことを示す値(例えば“認証済み”)に更新する(ステップS104)。
When the
一方、被認証装置200が認証されなかった場合(ステップS103−NO)、被認証装置200の装置IDを有する認証状況レコードの認証状態の値を、認証が認められなかったことを示す値(例えば“未認証”)に更新する(ステップS105)。
On the other hand, when the authenticated
図4は、通信装置100が認証状況テーブルの通信許可状態の値を更新する際の処理の流れを示すフローチャートである。通信制御部106は、認証状況テーブルに記憶されている認証状態が更新された場合、通信許可状態の値を更新する処理を実行する。
FIG. 4 is a flowchart showing a processing flow when the
通信制御部106は、認証状況テーブルを構成する1つの認証状況レコードを選択する。通信制御部106は、選択した認証状況レコードの通信許可条件が成立しているか否か判定する(ステップS201)。通信許可条件が成立している場合(ステップS201−YES)、通信制御部106は選択した認証状況レコードの通信許可状態の値を、通信が認められたことを示す値(例えば“通信許可”)に更新する(ステップS202)。
The
通信許可条件が成立していない場合(ステップS201−NO)、通信制御部106は選択した認証状況レコードの通信許可状態を、通信が認められていないことを示す値(例えば“通信不許可”)に更新する(ステップS203)。
When the communication permission condition is not satisfied (step S201-NO), the
通信制御部106は、認証状況テーブルの認証状況レコード全てに対しステップS201からS203までの処理を実行する。なお、各装置IDを通信許可条件に含むレコードのインデックスを所定のタイミングで作成しておくことで、処理を高速化することが可能となる。
The
図5は、通信装置100が被認証装置200から通信データを受信した際の処理の流れを示すフローチャートである。
制御部102は、通信データを受けると、通信データを通信制御部106へ渡す(ステップS301)。通信制御部106は、通信データの送信元の被認証装置200の通信が許可されているか否か判定する(ステップS302)。具体的には、通信制御部106は、通信データの送信元の被認証装置200の通信許可状態が“通信許可”であるか“通信不許可”であるか判定する。
FIG. 5 is a flowchart showing a processing flow when the
When the
通信データの送信元の被認証装置200の通信が許可されている場合(ステップS302−YES)、通信制御部106は情報処理部107へ通信データを渡す。情報処理部107は、通信データを用いて所定の処理を実行する(ステップS303)。一方、通信データの送信元の被認証装置200の通信が許可されていない場合(ステップS302−NO)、通信制御部106は通信データを破棄する(ステップS304)。
When the communication of the authenticated
図6は、被認証装置200を新たに通信装置100へ接続する際の処理の流れを示すシーケンスチャートである。管理者は、新規追加被認証装置に対してログイン処理を行う(ステップS401)。新規追加被認証装置は、ログインした管理者の操作に応じて、認証済み被認証装置に対して通信装置100への追加要求を送信する(ステップS402)。
FIG. 6 is a sequence chart showing a processing flow when the authenticated
認証済み被認証装置の制御部202は、新規追加被認証装置から追加要求を受けると、認証情報の送信を新規追加被認証装置に要求する(ステップS403)。新規追加被認証装置に対し、管理者の操作によって認証情報(例えばID及びパスワード)が入力される。新規追加被認証装置の制御部202は、入力された認証情報を認証済み被認証装置に送信する(ステップS404)。
When the
認証済み被認証装置の制御部202は、新規追加被認証装置から認証情報を受信すると、受信された認証情報に基づいて認証処理を実行する(ステップS405)。制御部202は、例えば認証情報記憶部203に記憶されている認証情報に基づいて認証処理を実行してもよいし、不図示の記憶部に記憶されている他の認証情報に基づいて認証処理を実行してもよい。新規追加被認証装置が認証されなかった場合、処理は終了する(ステップs406)。一方、新規追加被認証装置が認証された場合(ステップS405−YES)、制御部202は、通信装置100に対して新規追加被認証装置の追加要求を送信する(ステップS407)。
When the
通信装置100の制御部102は、新規追加被認証装置の追加依頼を受信すると、認証情報記憶部104及び認証状況記憶部105に、新規追加被認証装置のレコードを追加する(ステップS408)。通信制御部106は、新規追加被認証装置がネットワーク300に接続されていることを確認するための通知である存在確認通知を、ネットワーク300を介して送る(ステップS409)。例えば、通信制御部106は、新規追加被認証装置に対してPingによるICMPエコー要求を行うことによって存在確認通知を送信してもよい。
When the
新規追加被認証装置の制御部202は、通信装置100から存在確認通知を受信すると、ネットワーク300に接続されている旨の応答通知を通信装置100に送信する(ステップS410)。例えば、制御部202は、通信装置100に対してPingによるICMPエコー応答を行うことによって応答通知を送信してもよい。
When the
通信装置100の通信制御部106は、応答通知を受信すると、新規追加被認証装置の認証状況レコードを更新する。そして、通信制御部106は、各認証状況レコードの通信許可状態の値を更新する(ステップS411)。具体的には、通信制御部106は、図4に示したフローチャートの処理を実行する。
Upon receiving the response notification, the
このように構成された認証システムでは、ある1台の被認証装置200について、他の被認証装置200を含む1台又は複数台の被認証装置200の認証状態に基づいて、通信の許否が判定される。具体的には、他の被認証装置200を含む1台又は複数台の被認証装置200の認証状態が通信許可条件を満たしている場合に通信が許可される。このように構成されることによって、たとえ被認証装置200が単体の装置として認証情報を用いた認証がなされたとしても、他の被認証装置の認証状況に応じて通信が拒否される場合がある。一方で、たとえ被認証装置200が単体の装置として認証情報を用いた認証がなされていなかったとしても、他の被認証装置の認証状況に応じて通信が許可される場合もある。さらに、通信許可条件に“not”が含まれる場合には、単体の装置として認証情報を用いた認証がなされたとしても、他の装置が接続されてしまっていることによって通信が許可されない場合もある。このように、本実施形態の認証システムでは、正当な認証情報を有しているか否かのみにかかわらず通信装置に対して通信の許否を制御することが可能となる。その結果、認証情報のみに頼って通信の許否を判定する場合に比べて、より高度な通信の制御が可能となる。例えば、上記のように通信許可条件に“not”が含まれる場合には、たとえ個々の装置単体としては認証を受けることができたとしても、認証システムに同時に接続可能な装置の台数を制限することが可能となる。
In the authentication system configured in this way, it is determined whether or not communication is permitted for one authenticated
(変形例)
通信装置100は、被認証装置200の認証処理を実行する際、被認証装置200に対してランダムな情報を配布してもよい。ランダムな情報とは、例えば、乱数などである。このような場合、被認証装置200は、認証情報記憶部203に記憶されている認証情報とランダムな情報とに基づいて加工認証情報を生成する。このような加工認証情報の生成には、論理演算やハッシュ演算が用いられてもよい。この場合、被認証装置200は、通信装置100に対して生成された加工認証情報を送信する。通信装置100は、被認証装置200に配布したランダムな情報と認証情報記憶部104に記憶されている認証情報とに基づいて、被認証装置200が加工認証情報を生成した方法と同じ方法で加工認証情報を生成する。通信装置100は、被認証装置200から受信した加工認証情報と、自装置で生成された加工認証情報とが所定の認証条件を満たしているか判定することで認証処理を実行する。このように構成されることによって、認証情報記憶部203に記憶されている認証情報がネットワーク300を流れないため、セキュリティを向上させることが可能となる。
(Modification example)
The
図6の処理の流れにおいて、ステップS405における認証処理(新規追加被認証装置に対する認証処理)は、必ずしも認証済み被認証装置200が実行する必要は無い。例えば、通信装置100が新規追加被認証装置から認証情報を受信し認証処理を実行してもよい。
In the process flow of FIG. 6, the authentication process (authentication process for the newly added authenticated device) in step S405 does not necessarily have to be executed by the authenticated
図6の処理の流れにおいて、ステップS409及びステップS410における存在確認の処理は実行されなくともよい。
情報処理部107は、通信装置100とは異なる装置に実装されてもよい。
In the process flow of FIG. 6, the existence confirmation process in step S409 and step S410 may not be executed.
The
被認証装置200は、必ずしも情報処理可能な装置である必要は無い。例えば、被認証装置200は検知した値を示す信号を出力するセンサを用いて構成されてもよい。
新規追加被認証装置の新たな接続を許可する処理において、通信装置100は、既に認証がなされており且つ通信許可状態の値も通信許可となっている被認証装置200から装置追加要求を受けた場合にのみ、新規追加被認証装置の接続の許可(ステップS408の処理)を行ってもよい。
The authenticated
In the process of permitting a new connection of the newly added authenticated device, the
被認証装置200において、出力部204及び入力部205は必須の構成ではない。すなわち、被認証装置200は出力部204及び入力部205のいずれか一方又は双方を備えなくともよい。例えば、入力部205が備えられないとしても、新規追加被認証装置が認証済み被認証装置と同じネットワークに接続されたことをトリガとして認証処理やデータ送信が開始されてもよい。
In the authenticated
出力部204は、必ずしも画像の表示に関わる機能部である必要は無い。例えば、出力部204は音声を出力するスピーカーを用いて構成されてもよいし、LED(Light Emitting Diode)などの発光素子を用いて構成されてもよい。
The
通信装置100は、認証処理が所定の回数以上実行されても認証が成功しなかった場合、その被認証装置200の認証処理について実行しないように構成されてもよい。これにより、総当たり攻撃に対するセキュリティが確保される。
The
通信装置100は、定期的に認証済み被認証装置200に対して認証処理を要求するよう構成されてもよい。これにより、被認証装置200の追加及び撤去等を早期に検知できる。そのため、セキュリティを向上させることが可能となる。
被認証装置200は必ずしも複数台である必要は無く、1台であってもよい。
The
The number of authenticated
100…通信装置,101…通信部,102…制御部,103…認証部,104…認証情報記憶部,105…認証状況記憶部,106…通信制御部,107…情報処理部,200…被認証装置,201…通信部,202…制御部,203…認証情報記憶部,204…出力部,205…入力部,300…ネットワーク 100 ... communication device, 101 ... communication unit, 102 ... control unit, 103 ... authentication unit, 104 ... authentication information storage unit, 105 ... authentication status storage unit, 106 ... communication control unit, 107 ... information processing unit, 200 ... authenticated Device, 201 ... Communication unit, 202 ... Control unit, 203 ... Authentication information storage unit, 204 ... Output unit, 205 ... Input unit, 300 ... Network
Claims (8)
1又は複数の各被認証装置が前記認証部によって認証されたか否かを示す各被認証装置の個々の認証状態に基づいて、被認証装置による通信を許可するか否か判定する通信制御部と、
を備える通信装置。 An authentication unit that executes authentication processing for one or more authenticated devices,
A communication control unit that determines whether or not communication by the authenticated device is permitted based on the individual authentication status of each authenticated device that indicates whether or not each one or a plurality of authenticated devices has been authenticated by the authenticated unit. ,
A communication device equipped with.
前記通信制御部は、前記通信状況記憶部に記憶される前記条件が満たされる場合に、前記条件に対応付けられている被認証装置による通信を許可する、請求項1に記載の通信装置。 A communication status storage unit for storing communication permission conditions, which are conditions based on the result of the authentication process for each of one or a plurality of authenticated devices, is further provided.
The communication device according to claim 1, wherein the communication control unit permits communication by the authenticated device associated with the condition when the condition stored in the communication status storage unit is satisfied.
前記認証部は認証処理の結果に基づいて前記認証状態の値を更新し、
前記通信制御部は、前記認証状態の値が異なる値に更新されたことに応じて1又は複数の被認証装置に関する前記通信許可条件の値を更新する、請求項2に記載の通信装置。 The communication status storage unit stores the value of the authentication state indicating the result of the authentication process for the one or a plurality of authenticated devices and the value of the communication permission state indicating whether or not the communication permission condition is satisfied. Remember more,
The authentication unit updates the value of the authentication state based on the result of the authentication process.
The communication device according to claim 2, wherein the communication control unit updates the value of the communication permission condition for one or a plurality of authenticated devices in response to the value of the authentication state being updated to a different value.
1又は複数の各被認証装置が前記認証部によって認証されたか否かを示す各被認証装置の個々の認証状態に基づいて、被認証装置による通信を許可するか否か判定する通信制御部と、
を備える通信装置と、
前記通信装置から前記ランダムな情報を受信し、予め自装置に記憶されている認証情報と前記ランダムな情報とに基づいて加工認証情報を生成し、前記加工認証情報を前記通信装置に送信する制御部と、
を備える被認証装置と、
を備える認証システム。 Random information is transmitted to one or a plurality of authenticated devices, processing authentication information generated based on the random information is received from the authenticated device, and authentication processing is executed based on the processing authentication information. Certification department and
A communication control unit that determines whether or not communication by the authenticated device is permitted based on the individual authentication status of each authenticated device that indicates whether or not each one or a plurality of authenticated devices has been authenticated by the authenticated unit. ,
With a communication device equipped with
Control that receives the random information from the communication device, generates processing authentication information based on the authentication information stored in the own device in advance and the random information, and transmits the processing authentication information to the communication device. Department and
Authenticated device equipped with
Authentication system with.
コンピュータが、1又は複数の各被認証装置が前記認証ステップにおいて認証されたか否かを示す各被認証装置の個々の認証状態に基づいて、被認証装置による通信を許可するか否か判定する通信制御ステップと、
を有する通信方法。 An authentication step in which the computer performs an authentication process on one or more authenticated devices.
Communication in which the computer determines whether to allow communication by the authenticated device based on the individual authentication status of each authenticated device, which indicates whether or not each of the authenticated devices is authenticated in the authentication step. Control steps and
Communication method with.
1又は複数の各被認証装置が前記認証ステップにおいて認証されたか否かを示す各被認証装置の個々の認証状態に基づいて、被認証装置による通信を許可するか否か判定する通信制御ステップと、
をコンピュータに実行させるためのコンピュータプログラム。 An authentication step that executes an authentication process for one or more authenticated devices,
A communication control step for determining whether or not communication by the authenticated device is permitted based on the individual authentication status of each authenticated device indicating whether or not each one or a plurality of authenticated devices has been authenticated in the authentication step. ,
A computer program that lets a computer run.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016085390A JP6771936B2 (en) | 2016-04-21 | 2016-04-21 | Communication equipment, authentication system, communication method and computer program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016085390A JP6771936B2 (en) | 2016-04-21 | 2016-04-21 | Communication equipment, authentication system, communication method and computer program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017194862A JP2017194862A (en) | 2017-10-26 |
| JP6771936B2 true JP6771936B2 (en) | 2020-10-21 |
Family
ID=60156393
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016085390A Active JP6771936B2 (en) | 2016-04-21 | 2016-04-21 | Communication equipment, authentication system, communication method and computer program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6771936B2 (en) |
-
2016
- 2016-04-21 JP JP2016085390A patent/JP6771936B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017194862A (en) | 2017-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109417553B (en) | Detecting attacks using leaked credentials via internal network monitoring | |
| EP3420677B1 (en) | System and method for service assisted mobile pairing of password-less computer login | |
| US9866567B2 (en) | Systems and methods for detecting and reacting to malicious activity in computer networks | |
| US10911438B2 (en) | Secure detection and management of compromised credentials using a salt and a set model | |
| CN109155784B (en) | Differentiating longitudinal brute force attacks from benign errors | |
| US10630676B2 (en) | Protecting against malicious discovery of account existence | |
| KR20200027500A (en) | Generate key certificates that provide device anonymity | |
| US10404472B2 (en) | Systems and methods for enabling trusted communications between entities | |
| JP2006085697A (en) | Method and system for controlling access privilege for trusted network node | |
| US20180309744A1 (en) | Storage device and operation method of the same | |
| US10812272B1 (en) | Identifying computing processes on automation servers | |
| US11032271B2 (en) | Authentication based on shared secret seed updates for one-time passcode generation | |
| US11615207B2 (en) | Security processor configured to authenticate user and authorize user for user data and computing system including the same | |
| US9853975B2 (en) | Restricting access to content based on measurements of user terminal operational performance | |
| US11463430B2 (en) | Authentication based on shared secret updates | |
| JP6771936B2 (en) | Communication equipment, authentication system, communication method and computer program | |
| JP2008117378A (en) | Authorizing user to device | |
| US11223473B2 (en) | Client-driven shared secret updates for client authentication | |
| US11128638B2 (en) | Location assurance using location indicators modified by shared secrets | |
| US20230224294A1 (en) | Authentication system | |
| JP6138302B1 (en) | Authentication apparatus, authentication method, and computer program | |
| JP2018011190A (en) | Apparatus list creation system and apparatus list creation method | |
| CN117596006A (en) | Method and apparatus for controlling computing assets within a zero trust architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190124 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191120 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191224 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200225 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200707 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200831 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200915 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200930 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6771936 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |