KR101043709B1 - 네트워크 접속 단말 인증 방법, 네트워크 접속 단말 인증 프로그램을 기록한 기록 매체 및 네트워크 접속 단말 인증 장치 - Google Patents

네트워크 접속 단말 인증 방법, 네트워크 접속 단말 인증 프로그램을 기록한 기록 매체 및 네트워크 접속 단말 인증 장치 Download PDF

Info

Publication number
KR101043709B1
KR101043709B1 KR1020097004359A KR20097004359A KR101043709B1 KR 101043709 B1 KR101043709 B1 KR 101043709B1 KR 1020097004359 A KR1020097004359 A KR 1020097004359A KR 20097004359 A KR20097004359 A KR 20097004359A KR 101043709 B1 KR101043709 B1 KR 101043709B1
Authority
KR
South Korea
Prior art keywords
terminal device
authentication
terminal
data
information
Prior art date
Application number
KR1020097004359A
Other languages
English (en)
Other versions
KR20090035037A (ko
Inventor
미즈마 이시카와
세이고 고타니
히데나리 미와
Original Assignee
후지쯔 가부시끼가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후지쯔 가부시끼가이샤 filed Critical 후지쯔 가부시끼가이샤
Publication of KR20090035037A publication Critical patent/KR20090035037A/ko
Application granted granted Critical
Publication of KR101043709B1 publication Critical patent/KR101043709B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

디렉토리 서버 장치(200)는 이용자 단말 장치 A(100a)로부터 네트워크 접속 요구 및 단말 장치 환경 정보를 수신하면, 인증 서버 장치(300)에 대하여 이용자 단말 장치 A(100a)의 인증을 요구한다. 인증 서버 장치(300)는, 디렉토리 서버 장치(200)로부터의 인증 요구에 따라 이용자 단말 장치 A(100a)를 인증한 결과를 디렉토리 서버 장치(200)에 송신하고, 인증이 긍정이라면, 네트워크(N)에서 접속 목적지의 단말 장치에 이를 때까지의 경로 정보인 접속 목적지 정보를 송신한다.

Description

네트워크 접속 단말 인증 방법, 네트워크 접속 단말 인증 프로그램을 기록한 기록 매체 및 네트워크 접속 단말 인증 장치{NETWORK CONNECTED TERMINAL DEVICE AUTHENTICATING METHOD, RECORDING MEDIUM HAVING NETWORK CONNECTED TERMINAL DEVICE AUTHENTICATING PROGRAM RECORDED AND NETWORK CONNECTED TERMINAL DEVICE AUTHENTICATING APPARATUS}
본 발명은 컴퓨터 네트워크에서 다른 단말 장치와의 통신을 요구하는 단말 장치를 인증하는 네트워크 접속 단말 인증 방법, 네트워크 접속 단말 인증 프로그램을 기록한 기록 매체 및 네트워크 접속 단말 인증 장치에 관한 것이다.
종래, 서비스 제공자의 서비스 제공 장치로부터 이용자의 이용자 단말 장치에 컴퓨터 네트워크를 통해 서비스를 제공하는 경우에, 서비스의 안전성을 확보하기 위해, 이용자 단말 장치에 관한 하드웨어나 소프트웨어 등의 단말 환경을 검증한 후에 서비스를 제공하는 기술이 제안되어 있다.
예컨대, 특허 문헌 1에는 서비스 제공 장치에서, 이용자 단말 장치에 관한 환경 정보[이용자 단말 장치에 내장되어 있는 소프트웨어(OS, BIOS, 브라우저, 플러그인 소프트웨어 등), 하드웨어(CPU, 메모리, PCI 보드 등), 이용자 단말 장치에 접속되어 있는 주변 장치 등의 정보]를 이용자 단말 장치로부터 취득한 후에, 이용자 단말 장치의 안전성을 손상시키는 소프트웨어(예컨대, 보안 홀이 보호되어 있지 않은 소프트웨어)나 하드웨어가 내장되어 있지 않은지, 이용자 단말 장치의 안전성을 손상시키는 주변 장치가 접속되어 있지 않은지 등을 확인하고, 정보 누설의 우려 등에 의해 안전성을 확보할 수 없는 이용자 단말 장치에 대해서는 서비스의 제공을 거부하는 기술이 개시되어 있다. 이러한 기술에 의해 구성된 컴퓨터 네트워크를 검역 네트워크라고 부른다.
특허 문헌 1 : 일본 특허 공개 제2004-157790호 공보
해결하고자 하는 과제
그러나, 상기 특허 문헌 1로 대표되는 종래 기술에서는, 이용자 단말 장치의 안전성을 확인하고, 안전성을 확보할 수 없는 이용자 단말 장치에 대하여 서비스의 제공을 거부하는 인증 기능을 검역 네트워크의 경로 상에 마련하는 것을 전제로 하고 있기 때문에, 검역 네트워크의 구성 자유도가 제한되게 되었다.
특히, 최근의 컴퓨터 네트워크는 종래의 클라이언트·서버 장치 시스템과 같이 서비스 제공측과 서비스 수혜측이 구별되지 않아 피어-투-피어의 관계에서 임의의 컴퓨터가 서비스 제공측이 될 수도 있고, 서비스 수혜측이 될 수도 있는 구성으로 되어 있다. 그리고, 인증하는 컴퓨터와 인증되는 컴퓨터가 다수가 되도록 되어 있고, 이 인증하는 컴퓨터와 인증되는 컴퓨터 사이의 경로마다 인증 기능을 마련하지 않으면 안되어 인증 기능을 실장하는 효율성이 낮을 뿐만 아니라, 인증 기능의 처리의 효율성도 저감되게 될 우려가 있었다.
본 발명은, 상기 문제점(과제)을 해소하기 위해서 이루어진 것으로서, 검역 네트워크에서, 그 컴퓨터 네트워크에 접속을 요구하는 컴퓨터를 인증하는 인증 기능의 실장의 효율성을 높이고, 인증 기능의 처리의 효율성을 높일 수 있는 네트워크 접속 단말 인증 방법, 네트워크 접속 단말 인증 프로그램을 기록한 기록 매체 및 네트워크 접속 단말 인증 장치를 제공하는 것을 목적으로 한다.
과제를 해결하기 위한 수단
전술한 문제를 해결하고, 목적을 달성하기 위해서, 본 발명은 컴퓨터 네트워크에서 다른 단말 장치와의 통신을 요구하는 단말 장치를 인증하는 네트워크 접속 단말 인증 방법으로서, 상기 단말 장치의 상기 다른 단말 장치와의 통신 요구에 따라 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 밖에서 상기 단말 장치를 인증하여 상기 다른 단말 장치와의 통신 가부를 판정하는 단말 장치 인증 공정과, 상기 단말 장치 인증 공정에 의해 상기 단말 장치가 인증되면, 상기 단말 장치에서 상기 다른 단말 장치를 향해 데이터의 송신을 시작하는 데이터 송신 공정을 포함한 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 단말 장치 인증 공정에 의해 상기 단말 장치가 인증되면, 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 밖에서 기억되어 있는 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로에 관한 통신 경로 정보를 상기 단말 장치에 통지하는 통신 경로 정보 통지 공정을 더 포함한 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 통신 경로 정보 통지 공정은 상기 통신 경로 정보와 함께 상기 단말 장치 인증 공정에 의해 상기 단말 장치가 인증된 것을 나타내는 인증 정보를 통지하는 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 데이터 송신 공정은 상기 다른 단말 장치로 송신하는 데이터에 상기 인증 정보를 부가하여 송신하는 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 통신 경로 정보가 나타내는 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 상에서 상기 데이터를 수신한 중계 장치 또는 상기 다른 단말 장치에서, 상기 데이터에 부가되어 있는 상기 인증 정보에 기초하여 상기 단말 장치의 인증을 재차 요구하는 재인증 요구 공정을 더 포함하고, 상기 단말 장치 인증 공정은 상기 재인증 요구 공정에 의한 요구에 따라 상기 단말 장치를 재차 인증하여 상기 다른 단말 장치와의 통신 가부를 판정하는 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 단말 장치 인증 공정에 의해 상기 단말 장치가 재차 인증되면, 상기 중계 장치로부터 다른 중계 장치 또는 상기 다른 단말 장치로 상기 데이터를 상기 인증 정보와 함께 전송하는 데이터 전송 공정을 더 포함한 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 데이터 송신 공정은, 상기 인증 정보와 함께 상기 인증의 기초가 되는 인증 항목을 더 부가하여 송신하는 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 통신 경로 정보가 나타내는 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 상에서 상기 데이터를 수신한 중계 장치에서, 상기 데이터에 부가되어 있는 상기 인증 항목 이외에 상기 중계 장치가 상기 단말 장치의 인증에서 요구되는 인증 항목에 기초하여 상기 단말 장치의 인증을 재차 요구하는 재인증 요구 공정을 더 포함하고, 상기 단말 장치 인증 공정은 상기 재인증 요구 공정에 의한 요구에 따라 상기 단말 장치를 재차 인증하여 상기 다른 단말 장치와의 통신 가부를 판정하는 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 단말 장치 인증 공정에 의해 상기 단말 장치가 재차 인증되면, 상기 중계 장치로부터 다른 중계 장치 또는 상기 다른 단말 장치로, 상기 데이터 및 상기 인증 정보에, 상기 중계 장치가 상기 단말 장치의 인증의 기초가 되는 인증 항목을 더 부가하여 전송하는 데이터 전송 공정을 더 포함한 것을 특징으로 한다.
또한, 본 발명은, 컴퓨터 네트워크에서 다른 단말 장치와의 통신을 요구하는 단말 장치를 인증하는 네트워크 접속 단말 인증 프로그램을 기록한 컴퓨터로 판독 가능한 기록매체로서, 상기 단말 장치의 상기 다른 단말 장치와의 통신 요구에 따라 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 밖에서 상기 단말 장치를 인증하여 그 다른 단말 장치와의 통신 가부를 판정하는 단말 장치 인증 절차와, 상기 단말 장치 인증 절차에 의해 상기 단말 장치가 인증되면, 상기 단말 장치에서 상기 다른 단말 장치를 향해 데이터의 송신을 시작하는 데이터 송신 절차를 컴퓨터에 실행시키는 네트워크 접속 단말 인증 프로그램을 기록한 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 단말 장치 인증 절차에 의해 상기 단말 장치가 인증되면, 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 밖에서 기억되어 있는 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 정보를 그 단말 장치에 통지하는 통신 경로 정보 통지 절차를 컴퓨터에 더 실행시키는 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 통신 경로 정보 통지 절차는, 상기 통신 경로 정보와 함께 상기 단말 장치 인증 절차에 의해 상기 단말 장치가 인증된 것을 나타내는 인증 정보를 통지하는 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 데이터 송신 절차는 상기 다른 단말 장치로 송신하는 데이터에 상기 인증 정보를 부가하여 송신하는 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 통신 경로 정보가 나타내는 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 상에서 상기 데이터를 수신한 중계 장치 또는 상기 다른 단말 장치에서, 상기 데이터에 부가되어 있는 상기 인증 정보에 기초하여 상기 단말 장치의 인증을 재차 요구하는 재인증 요구 절차를 컴퓨터에 더 실행시키고, 상기 단말 장치 인증 절차는 상기 재인증 요구 절차에 의한 요구에 따라 상기 단말 장치를 재차 인증하여 상기 다른 단말 장치와의 통신 가부를 판정하는 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 단말 장치 인증 절차에 의해 상기 단말 장치가 재차 인증되면, 상기 중계 장치로부터 다른 중계 장치 또는 상기 다른 단말 장치로 상기 데이터를 상기 인증 정보와 함께 전송하는 데이터 전송 절차를 컴퓨터에 더 실행시키는 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 데이터 송신 절차는 상기 인증 정보와 함께 상기 인증의 기초가 되는 인증 항목을 더 부가하여 송신하는 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 통신 경로 정보가 나타내는 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 상에서 상기 데이터를 수신한 중계 장치에서, 상기 데이터에 부가되어 있는 상기 인증 항목 이외에 상기 중계 장치가 상기 단말 장치의 인증에서 요구되는 인증 항목에 기초하여 상기 단말 장치의 인증을 재차 요구하는 재인증 요구 절차를 더 포함하고, 상기 단말 장치 인증 절차는 상기 재인증 요구 절차에 의한 요구에 따라 상기 단말 장치를 재차 인증하여 상기 다른 단말 장치와의 통신 가부를 판정하는 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 단말 장치 인증 절차에 의해 상기 단말 장치가 재차 인증되면, 상기 중계 장치로부터 다른 중계 장치 또는 상기 다른 단말 장치로, 상기 데이터 및 상기 인증 정보에, 상기 중계 장치가 상기 단말 장치의 인증의 기초가 되는 인증 항목을 더 부가하여 전송하는 데이터 전송 절차를 더 포함한 것을 특징으로 한다.
또한, 본 발명은, 컴퓨터 네트워크에서 다른 단말 장치와의 통신을 요구하는 단말 장치를 인증하는 네트워크 접속 단말 인증 장치로서, 상기 단말 장치의 상기 다른 단말 장치와의 통신 요구에 따라 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 밖에서 상기 단말 장치를 인증하여 상기 다른 단말 장치와의 통신 가부를 판정하는 단말 장치 인증 수단을 포함한 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 단말 장치 인증 수단은 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 상에 배치되는 중계 장치 또는 상기 다른 단말 장치로부터의 요구에 따라 상기 단말 장치를 재차 인증하여 상기 다른 단말 장치와의 통신 가부를 판정하는 것을 특징으로 한다.
또한, 본 발명은, 컴퓨터 네트워크에서 다른 단말 장치와의 통신을 요구하는 단말 장치와 상기 다른 단말 장치와의 통신 경로에 관한 통신 경로 정보를 기억하는 통신 경로 정보 기억 장치로서, 상기 컴퓨터 네트워크에서 상기 단말 장치를 인증하는 네트워크 접속 단말 인증 장치에 의해 그 단말 장치가 인증되면, 상기 통신 경로 정보를 그 단말 장치에 통지하는 통신 경로 정보 통지 수단을 포함한 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 통신 경로 정보 통지 수단은 상기 통신 경로 정보와 함께 상기 네트워크 접속 단말 인증 장치에 의해 상기 단말 장치가 인증된 것을 나타내는 인증 정보를 통지하는 것을 특징으로 한다.
또한, 본 발명은, 컴퓨터 네트워크에서의 다른 단말 장치와의 통신 경로 밖에 배치되는 네트워크 접속 단말 인증 장치에 대하여 자기 장치의 인증을 요구하는 단말 장치로서, 상기 네트워크 접속 단말 인증 장치에 의해 인증되면, 상기 다른 단말 장치를 향해 데이터의 송신을 시작하는 데이터 송신 수단을 포함하고, 상기 데이터 송신 수단은 상기 네트워크 접속 단말 인증 장치에 의해 자기 장치가 인증된 것을 나타내는 인증 정보를 상기 데이터에 부가하여 송신하는 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 데이터 송신 수단은 상기 네트워크 접속 단말 인증 장치에 의한 자기 장치의 인증의 기초가 되는 인증 항목을 상기 데이터에 더 부가하여 송신하는 것을 특징으로 한다.
또한, 본 발명은, 단말 장치와 다른 단말 장치와의 통신 경로 상에 배치되고, 상기 단말 장치가 네트워크 접속 단말 인증 장치에 의해 인증됨에 따라 상기 다른 단말 장치로 송신한 데이터를 중계하는 중계 장치로서, 상기 데이터에 부가되어 있는 상기 네트워크 접속 단말 인증 장치에 의해 상기 단말 장치가 인증된 것을 나타내는 인증 정보에 기초하여 상기 단말 장치의 인증을 재차 요구하는 재인증 요구 수단을 포함한 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 단말 장치로부터의 요구에 따라 상기 단말 장치를 재차 인증하여 상기 다른 단말 장치와의 통신 가부를 판정하는 네트워크 접속 단말 인증 장치에 의해 상기 단말 장치가 재차 인증되면, 다른 중계 장치 또는 상기 다른 단말 장치로 상기 데이터를 상기 인증 정보와 함께 전송하는 데이터 전송 수단을 더 포함한 것을 특징으로 한다.
또한, 본 발명은, 단말 장치와 다른 단말 장치와의 통신 경로 상에 배치되고, 상기 단말 장치가 네트워크 접속 단말 인증 장치에 의해 인증됨에 따라 상기 다른 단말 장치로 송신한 데이터를 중계하는 중계 장치로서, 상기 데이터에 부가되어 있는 상기 네트워크 접속 단말 인증 장치에 의해 상기 단말 장치가 인증될 때에 기초한 인증 항목에 기초하여 상기 단말 장치의 인증을 재차 요구하는 재인증 요구 수단을 포함한 것을 특징으로 한다.
또한, 본 발명은, 상기 발명에 있어서, 상기 단말 장치로부터의 요구에 따라 상기 단말 장치를 재차 인증하여 상기 다른 단말 장치와의 통신 가부를 판정하는 상기 네트워크 접속 단말 인증 장치에 의해 상기 단말 장치가 재차 인증되면, 다른 중계 장치 또는 상기 다른 단말 장치로 상기 데이터에 상기 인증 항목을 부가하여 전송하는 데이터 전송 수단을 더 포함한 것을 특징으로 한다.
발명의 효과
본 발명에 따르면, 다른 단말 장치와의 통신에 앞서 그 통신의 통신 경로 밖에서 그 단말 장치를 인증하여, 인증 긍정이면 다른 단말 장치와의 통신을 시작하는 것으로 하였기 때문에, 통신 경로 상의 기기에 변경을 가하지 않고 인증 기능을 실현 가능해지고, 인증 대상이 되는 단말 장치의 추가를 용이하게 행하는 것이 가능해져 인증 기능을 필요로 하는 네트워크의 구성의 자유도가 증가한다고 하는 효과를 발휘한다.
또한, 본 발명에 따르면, 단말 장치가 인증되어 비로소 단말 장치와 다른 단말 장치와의 통신 경로에 관한 통신 경로 정보를 단말 장치에 통지하기 때문에, 네트워크 통신의 보안을 고도로 확보할 수 있다고 하는 효과를 발휘한다.
또한, 본 발명에 따르면, 단말 장치가 인증된 것을 나타내는 인증 정보를 통신 경로 정보와 함께 그 단말 장치에 통지하기 때문에, 그 단말 장치가 올바른 것으로 인증된 것을 용이하게 인식할 수 있게 된다고 하는 효과를 발휘한다.
또한, 본 발명에 따르면, 다른 단말 장치에 송신하는 데이터에 상기 인증 정보를 부가하여 송신하기 때문에, 통신 경로 상에서, 그 단말 장치가 올바른 것으로 인증된 것을 용이하게 인식할 수 있게 된다고 하는 효과를 발휘한다.
또한, 본 발명에 따르면, 데이터에 부가되어 있는 인증 정보에 기초하여 단말 장치의 인증을 재차 요구하고, 다른 단말 장치와의 통신 가부가 판정되기 때문에, 한번 인증 긍정이 되어 송신된 통신 데이터라도, 재차 인증을 행함으로써 보다 엄격하게 부정한 통신 데이터를 배제하는 것이 가능해져 보안의 향상을 도모할 수 있다고 하는 효과를 발휘한다.
또한, 본 발명에 따르면, 단말 장치가 재차 인증되어 비로소 통신 데이터를 다른 중계 장치 또는 다른 단말 장치로 전송하기 때문에, 네트워크 통신의 보안을 고도로 확보할 수 있다고 하는 효과를 발휘한다. 또한, 부정한 통신 데이터를 통신 경로의 도중에 배제하는 것이 가능해져서 쓸데없는 네트워크 대역의 소비를 억제할 수 있게 된다고 하는 효과를 발휘한다.
또한, 본 발명에 따르면, 통신 데이터는, 인증이 기초하여 행해진 인증 항목을 더 부가할 수 있기 때문에, 통신 경로를 통과하는 통신 데이터가, 어떤 인증 항목에 기초하여 인증된 것인지를 용이하게 판별할 수 있게 된다고 하는 효과를 발휘한다.
또한, 본 발명에 따르면, 데이터에 부가되어 있는 인증 항목 이외에 그 중계 장치가 상기 단말 장치의 인증에서 요구되는 인증 항목에 기초하여 단말 장치의 인증을 재차 요구하고, 다른 단말 장치와의 통신 가부가 판정되기 때문에, 한번 인증 긍정이 되어 송신된 통신 데이터라도, 재차 인증을 행함으로써, 보다 엄격하게 부정한 통신 데이터를 배제하는 것이 가능해져 보안의 향상을 도모할 수 있다고 하는 효과를 발휘한다. 또한, 한번 기초하여 인증된 인증 항목에 기초하여 재차 중복하여 인증되는 것을 회피하여 효율적인 인증 처리를 행할 수 있다고 하는 효과를 발휘한다.
또한, 본 발명에 따르면, 단말 장치가 재차 인증되어 비로소 통신 데이터를 다른 중계 장치 또는 다른 단말 장치로 전송하기 때문에, 네트워크 통신의 보안을 고도로 확보할 수 있다고 하는 효과를 발휘한다. 또한, 부정한 통신 데이터를 통신 경로의 도중에 배제하는 것이 가능해져 쓸데없는 네트워크 대역의 소비를 억제할 수 있게 된다고 하는 효과를 발휘한다. 또한, 한번 기초하여 인증된 인증 항목을 명확하게 하고, 나중에 이 인증 항목에 기초하여 재차 중복하여 인증되는 것을 회피하여 효율적인 인증 처리를 행할 수 있다고 하는 효과를 발휘한다.
도 1은 제1 실시예에 따른 네트워크 접속 단말 인증 시스템의 개요를 설명하기 위한 도면이다.
도 2는 제1 실시예에 따른 네트워크 접속 단말 인증 시스템에 있어서의 데이터 송수신의 개요를 설명하기 위한 도면이다.
도 3은 도 1에 도시된 이용자 단말 장치(100)의 구성을 나타낸 기능 블록도이다.
도 4는 도 3에 도시된 환경 정보 테이블(102a)을 설명하기 위한 도면이다.
도 5는 도 1에 도시된 디렉토리 서버 장치(200)의 구성을 나타낸 기능 블록도이다.
도 6의 (1)은 도 5에 도시된 토큰 관리 테이블(202a)을 설명하기 위한 도면.
도 6의 (2)는 도 5에 도시된 중계 서버 장치 라우팅 설정 테이블(202b)을 설명하기 위한 도면이다.
도 6의 (3)은 도 5에 도시된 중계 서버 장치 리스트 테이블(202c)을 설명하기 위한 도면이다.
도 6의 (4)는 도 5에 도시된 접속 단말 기록 테이블(202d)을 설명하기 위한 도면이다.
도 7은 도 1에 도시된 인증 서버 장치(300)의 구성을 나타낸 블록도이다.
도 8은 도 7에 도시된 단말 장치 환경 평가 정보 테이블(302a)을 설명하기 위한 도면이다.
도 9는 제1 실시예에 따른 네트워크 접속 단말 인증 시스템에 있어서 실행되는 네트워크 접속 단말 인증 처리의 처리 절차를 나타낸 타임 차트이다.
도 10은 제2 실시예에 따른 네트워크 접속 단말 인증 시스템의 개요를 설명하기 위한 도면이다.
도 11은 제2 실시예에 따른 네트워크 접속 단말 인증 시스템에 있어서의 데이터 송수신의 개요를 설명하기 위한 도면이다.
도 12는 도 10에 도시된 디렉토리 서버 장치(200)의 구성을 나타낸 기능 블록도이다.
도 13은 도 10에 도시된 중계 서버 장치(400)의 구성을 나타낸 기능 블록도이다.
도 14는 제2 실시예에 따른 네트워크 접속 단말 인증 시스템에 있어서 실행되는 네트워크 접속 단말 확인 처리의 처리 절차를 나타낸 타임 차트이다.
도 15는 제3 실시예에 따른 네트워크 접속 단말 인증 시스템의 개요를 설명하기 위한 도면이다.
도 16은 도 15에 도시된 네트워크 접속 단말 인증 시스템에 있어서 송수신되는 데이터의 데이터 구조를 설명하기 위한 도면이다.
도 17은 도 15에 도시된 중계 서버 장치(400)의 구성을 나타낸 기능 블록도이다.
도 18은 도 17에 도시된 요확인 인증 항목 테이블(407a)을 설명하기 위한 도면이다.
도 19는 제3 실시예에 따른 네트워크 접속 단말 인증 시스템에 있어서, 인증 서버 장치(300) 및 중계 서버 장치(400) 사이에서 실행되는 네트워크 접속 단말 재인증 요구 처리의 처리 절차를 나타낸 흐름도이다.
도 20은 도 3, 도 5, 도 7, 도 12, 도 13에서 도시한 이용자 단말 장치(100), 디렉토리 서버 장치(200), 인증 서버 장치(300) 또는 중계 서버 장치(400)가 되는 컴퓨터·시스템의 하드웨어 구성을 나타낸 도면이다.
〈도면의 주요 부분에 대한 부호의 설명〉
100 : 이용자 단말 장치
100a : 이용자 단말 장치 A
100b : 이용자 단말 장치 B
101 : 제어부
101a : 네트워크 접속 요구부
101b : 환경 정보 수집부
101c : 환경 정보 송신부
102 : 기억부
102a : 환경 정보 테이블
103 : 입출력 제어 인터페이스부
104 : 통신 제어 인터페이스부
105 : 입력부
106 : 출력부
200 : 디렉토리 서버 장치
201 : 제어부
201a : 이용자 단말 장치 인증 의뢰부
201b : 토큰 생성부
201c : 접속 목적지 정보 송신부
201d : 토큰 검증부
202 : 기억부
202a : 토큰 관리 테이블
202b : 중계 서버 장치 라우팅 설정 테이블
202c : 중계 서버 장치 리스트 테이블
202d : 접속 단말 기록 테이블
203 : 입출력 제어 인터페이스부
204 : 통신 제어 인터페이스부
205 : 입력부
206 : 출력부
207 : 인증 서버 장치 통신 인터페이스부
300 : 인증 서버 장치
301 : 제어부
301a : 이용자 단말 장치 해시값/평가값 산출부
삭제
301b : 이용자 단말 장치 환경 조회부
302 : 기억부
302a : 단말 장치 환경 평가 정보 테이블
303 : 입출력 제어 인터페이스부
304 : 통신 제어 인터페이스부
305 : 입력부
306 : 출력부
400 : 중계 서버 장치
400a : 중계 서버 장치 A
400b : 중계 서버 장치 B
400c : 중계 서버 장치 C
401 : 제어부
401a : 토큰 조회 의뢰부
401b : 통신 데이터 전송 처리부
401c : 확인 완료 인증 항목 추출부
401d : 인증 요구부
401e : 확인 완료 인증 항목 정보 부가 처리부
402 : 입출력 제어 인터페이스부
403 : 통신 제어 인터페이스부
404 : 입력부
405 : 출력부
406 : 인증 서버 장치 통신 인터페이스부
407 : 기억부
407a : 요확인 인증 항목 테이블
이하에 첨부 도면을 참조하여 본 발명의 네트워크 접속 단말 인증 방법, 네트워크 접속 단말 인증 프로그램 및 네트워크 접속 단말 인증 장치에 따른 제1 실시예 내지 제3 실시예를 상세히 설명한다. 또한, 본 발명에 따른 네트워크 접속 단말 인증은 TNC(Trusted Network Connect)에 기초하여 실장되는 것이다. 또한, 본 발명에 따른 네트워크는 SOBA(Session Oriented Broadband Applications)에 기초하 여 구성되는 것이다. 즉, 이하에 나타내는 제1 실시예 내지 제3 실시예에서는, 본 발명을, SOBA 네트워크에서의 TNC의 실장에 적용한 경우를 나타내는 것으로 한다. 특히, 이하의 제1 실시예 내지 제3 실시예에 있어서의 TNC에 기초한 네트워크 접속 단말 인증은 이용자 단말 장치에 내장되는 하드웨어나 소프트웨어의 구성을 안전성이나 성능의 관점에서 평가한 평가값이 일정 수준 이상인 경우에 그 이용자 단말 장치를 인증하여 네트워크로의 접속을 허가하는 인증 방법이다.
제1 실시예
우선, 도 1 내지 도 9를 참조하여 본 발명의 제1 실시예에 대해서 설명한다. 제1 실시예는 이용자 단말 장치가 컴퓨터 네트워크를 통해 다른 이용자 단말 장치와의 통신을 시작하기에 앞서 디렉토리 서버 장치에 대하여 발생되는 컴퓨터 네트워크에서 다른 이용자 단말 장치에 이르는 통신 경로 정보의 요구에 따라 그 디렉토리 서버 장치로부터 인증 서버 장치로 이용자 단말 장치의 인증을 의뢰하고, 그 인증 서버 장치에 의해 이용자 단말 장치가 인증됨에 따라 이용자 단말 장치가 다른 이용자 단말 장치와의 통신을 시작하는 실시예이다.
우선, 제1 실시예에 따른 네트워크 접속 단말 인증 시스템의 개요에 대해서 설명한다. 도 1은 제1 실시예에 따른 네트워크 접속 단말 인증 시스템의 개요를 설명하기 위한 도면이다. 동 도면에 도시된 바와 같이, 제1 실시예에 따른 네트워크 접속 단말 인증 시스템은 중계 서버 장치 A(400a), 중계 서버 장치 B(400b) 및 중계 서버 장치 C(400c)가 배치되는 네트워크(N)를 통해 이용자 단말 장치 A(100a), 이용자 단말 장치 B(100b) 및 디렉토리 서버 장치(200)가 통신 가능하게 접속된다. 또한, 디렉토리 서버 장치(200)는 인증 서버 장치(300)와 통신 가능하게 네트워크(N)와는 별도의 경로로 접속되어 있다.
이용자 단말 장치 A(100a) 및 이용자 단말 장치 B(100b)는 이용자가 직접 조작하여 서로 데이터를 주고받기 위한 단말 장치이다. 제1 실시예에서는, 이용자 단말 장치 A(100a)를 데이터 송신측의 단말 장치로 하고, 이용자 단말 장치 B(100b)를 데이터 수신측의 단말 장치로 하고 있다.
디렉토리 서버 장치(200)는, 네트워크(N)에 있어서 임의의 이용자 단말 장치로부터 다른 단말 장치에 도달할 때까지의 경로 정보인 접속 목적지 정보를 기억하는 서버 장치이다. 이 디렉토리 서버 장치(200)는 네트워크(N)에 있어서 소정 이용자 단말 장치와 다른 단말 장치와의 통신 경로 상에는 존재하지 않고, 통신 데이터는 디렉토리 서버 장치(200)를 통과하지 않는다. 인증 서버 장치(300)는, 디렉토리 서버 장치(200)로부터의 요구에 따라 이용자 단말 장치를 인증하고, 네트워크(N)로의 접속을 허가하는지 여부를 일원적으로 판정하는 서버 장치이다. 인증 서버 장치(300)에 의한 인증 결과에 따라 디렉토리 서버 장치(200)가 이용자 단말 장치로 접속 목적지 정보를 송신할지 여부가 결정된다. 중계 서버 장치 A(400a), 중계 서버 장치 B(400b) 및 중계 서버 장치 C(400c)는 네트워크(N) 상에 배치되며, 이용자 단말 장치끼리의 통신 데이터를 중계하는 서버 장치이다.
우선, 이용자 단말 장치 A(100a)로부터 디렉토리 서버 장치(200)로, 네트워크 접속 요구 및 단말 장치 환경 정보가 송신된다[도 1의 (1)]. 네트워크 접속 요구는 이용자 단말 장치 A(100a)가 갖는 네트워크 접속 요구부(101a)에 의해 디렉토 리 서버 장치(200)에 송신된다. 단말 장치 환경 정보는, 이용자 단말 장치 A(100a)가 갖는 환경 정보 수집부(101b)에 의해 수집된 이용자 단말 장치 A(100a)의 하드웨어 및 소프트웨어 구성을 나타내는 정보로서, 이용자 단말 장치 A(100a)가 갖는 소정의 인터페이스를 통해 디렉토리 서버 장치(200)에 송신된다.
디렉토리 서버 장치(200)는, 이용자 단말 장치 A(100a)로부터 네트워크 접속 요구 및 단말 장치 환경 정보를 수신하면, 인증 서버 장치(300)에 대하여 이용자 단말 장치 A(100a)의 인증을 요구한다[도 1의 (2)].
인증 서버 장치(300)는, 디렉토리 서버 장치(200)로부터의 인증 요구에 따라 이용자 단말 장치 A(100a)를 인증한 결과를 디렉토리 서버 장치(200)에 송신한다[도 1의 (3)]. 디렉토리 서버 장치(200)에서는, 접속 목적지 정보 송신부(201c)가, 이용자 단말 장치 A(100a)로, 인증 서버 장치(300)로부터 수신한 단말 장치 인증 결과에 기초하여 토큰 생성부(201b)에 의해 생성된 토큰과 함께 네트워크(N)에 있어서 접속 목적지의 단말 장치에 이를 때까지의 경로 정보인 접속 목적지 정보를 송신한다[도 1의 (4)].
이용자 단말 장치 A(100a)는, 디렉토리 서버 장치(200)로부터 토큰 및 접속 목적지 정보를 수신하면, 이 접속 목적지 정보가 나타내는 네트워크(N)에 있어서의 경로 정보에 기초하여 이용자 단말 장치 B(100b)와 통신을 시작한다[도 1의 (5)]. 이 경로 정보는 중계 서버 장치 A(400a) 및 중계 서버 장치 B(400b)를 경유하는 경로를 나타낸다. 또한, 이용자 단말 장치 A(100a)는 이용자 단말 장치 B(100b)를 향해 송신되는 데이터에, 디렉토리 서버 장치(200)로부터 수신한 토큰을 부가한다.
상기에 나타낸 인증 서버 장치(300)의 기능은, 종래에는 각 중계 서버 장치(400)에 마련되어 있었다. 이 때문에, 각 중계 서버를 통신 데이터가 통과할 때마다 인증을 행해야만 한다고 하는 인증 처리의 비효율이 있을 뿐만 아니라, 이용자 단말 장치를 증설하면, 복수의 중계 서버의 인증 기능을 마련하지 않으면, 증설한 이용자 단말 장치의 인증을 행할 수 없게 되는 경우가 있어 개발 효율 및 유지 보수 효율이 대단히 나빴다. 그래서, 본 제1 실시예에서는, 인증 기능을, 네트워크(N)의 통신 데이터의 경로와는 다른 위치에 배치하여 여기서 일원적으로 인증 처리를 행하는 것으로 하였기 때문에, 인증 처리의 효율성을 향상시키고, 또한, 네트워크의 구성의 자유도를 증가시켜 인증 기능의 개발 효율 및 유지 보수 효율을 향상시키는 것이 가능해졌다.
다음에, 제1 실시예에 따른 네트워크 접속 단말 인증 시스템에 있어서 송수신되는 데이터 송수신에 대해서 설명한다. 도 2는 제1 실시예에 따른 네트워크 접속 단말 인증 시스템에 있어서의 데이터 송수신의 개요를 설명하기 위한 도면이다. 동 도면에 도시된 바와 같이, 우선, 1: 이용자 단말 장치 A(100a)로부터 디렉토리 서버 장치(200)로 접속 요구가 송신된다. 계속해서, 디렉토리 서버 장치(200)가 이용자 단말 장치 A(100a)로부터 접속 요구를 수신하면, 2: 디렉토리 서버 장치(200)로부터 인증 서버 장치(300)로 인증 요구가 송신된다.
계속해서, 인증 서버 장치(300)는 디렉토리 서버 장치(200)로부터의 인증 요구에 따라 행한 이용자 단말 장치 A(100a)의 인증 결과를 디렉토리 서버 장치(200)로 송신한다. 여기서는 구체적으로, 인증 서버 장치(300)에 있어서의 이용자 단말 장치 A(100a)의 인증에 의해 네트워크(N)로의 접속이 허가되었기 때문에, 3: 인증 서버 장치(300)로부터 디렉토리 서버 장치(200)로, 접속 허가가 송신된다.
또한, 인증 서버 장치(300)에 있어서의 이용자 단말 장치 A(100a)의 인증에 의해 네트워크(N)로의 접속이 허가되지 않은 경우에는, 인증 서버 장치(300)로부터 디렉토리 서버 장치(200)로 접속 불허가가 송신된다.
계속해서, 인증 서버 장치(300)로부터 접속 허가를 수신한 디렉토리 서버 장치(200)는 4: 접속 허가를 이용자 단말 장치 A(100a)로 전송한다. 또한, 디렉토리 서버 장치(200)로부터 이용자 단말 장치 A(100a)로 송신되는 접속 허가는 토큰을 포함한다. 그리고, 5: 디렉토리 서버 장치(200)로부터 접속 허가를 수신한 이용자 단말 장치 A(100a)는 디렉토리 서버 장치(200)로 접속 목적지 정보 요구를 송신한다.
계속해서, 6: 이용자 단말 장치 A(100a)로부터 접속 목적지 정보 요구를 수신한 디렉토리 서버 장치(200)는 접속 목적지 정보를 리스트화한 접속 목적지 리스트를 송신한다. 이와 같이 하여, 이용자 단말 장치 A(100a)는 이용자 단말 장치 B(100b)를 향해 통신 데이터를 송신하는 것이 가능해진다.
이와 같이, 이용자 단말 장치 A(100a)가 이용자 단말 장치 B(100b)와의 통신에 앞서 디렉토리 서버 장치(200)로부터 접속 목적지 리스트를 취득하는 것은, 이용자 단말 장치는, 네트워크(N) 상에서 자기 장치로부터 디렉토리 서버 장치(200)를 경유하지 않고 통신 상대로 하는 이용자 단말 장치에 도달하는 경로를 모르기 때문이다. 이것에 대하여, 모든 이용자 단말 장치는 네트워크(N) 상에서 자기 장치 로부터 디렉토리 서버 장치(200)에 도달하는 통신 경로를 알고 있다.
다음에, 7: 이용자 단말 장치 A(100a)는 이용자 단말 장치 B(100b)를 향해 통신 데이터를 송신한다. 이 때, 통신 데이터에는 디렉토리 서버 장치(200)로부터 수신한 토큰이 부가된다. 또한, 이용자 단말 장치 A(100a)로부터 이용자 단말 장치 B(100b)를 향한 통신 데이터는 접속 목적지 리스트의 기재에 따라 중계 서버 장치 A(400a) 및 중계 서버 장치 C(400c)를 경유하고 나서 이용자 단말 장치 B(100b)에 도달한다.
그리고, 8: 이용자 단말 장치 A(100a)로부터 이용자 단말 장치 B(100b)로의 통신 데이터를 중계 서버 장치 A(400a)로부터 수신한 중계 서버 장치 C(400c)는 이 통신 데이터를 토큰과 함께 이용자 단말 장치 B(100b)에 전송한다.
마지막으로, 중계 서버 장치 C(400c)로부터 통신 데이터를 수신한 이용자 단말 장치 B(100b)는 9: 통신 데이터에 부가되어 있는 토큰이 올바른지 여부를 디렉토리 서버 장치(200)에 문의한다. 또한, 도시는 하지 않지만, 이용자 단말 장치 B(100b)와 디렉토리 서버 장치(200) 사이의 통신 경로는 중계 서버 장치 B(400b) 및 중계 서버 장치 C(400c)를 경유하는 것이다.
그리고, 10: 이용자 단말 장치 B(100b)로부터 토큰 확인의 문의를 수신한 디렉토리 서버 장치(200)는, 토큰이 올바른 경우에는, 토큰이 올바르다는 취지를 이용자 단말 장치 B(100b)에 송신한다. 또한, 토큰이 올바르지 않은 경우에는, 디렉토리 서버 장치(200)로부터 이용자 단말 장치 B(100b)에 토큰이 올바르지 않다는 취지가 송신된다. 이렇게 해서, 이용자 단말 장치 B(100b)는 이용자 단말 장치 A(100a)로부터의 통신 데이터를 신뢰할 수 있게 된다.
다음에, 제1 실시예의 이용자 단말 장치의 구성에 대해서 설명한다. 도 3은 도 1에 도시된 이용자 단말 장치(100)의 구성을 나타낸 기능 블록도이다. 동 도면에 도시된 바와 같이, 이용자 단말 장치(100)는 제어부(101)와, 기억부(102)와, 입출력 제어 인터페이스부(103)와, 통신 제어 인터페이스부(104)와, 키보드나 마우스 등의 입력 조작을 접수하는 입력부(105)와, 디스플레이 장치 등의 표시 수단인 출력부(106)를 갖는다.
제어부(101)는, 각종 처리 절차를 규정한 프로그램이나 제어 데이터를 저장하는 내부 메모리를 갖는 것으로서, 이들 협동에 의해 각종 처리를 실행하는 제어 수단이다. 제어부(101)는, 특히, 본 발명에 밀접하게 관련된 것으로서, 네트워크 접속 요구부(101a)와, 환경 정보 수집부(101b)와, 환경 정보 송신부(101c)를 갖는다.
네트워크 접속 요구부(101a)는 입력부(105)로부터 접수된 조작에 기초하여 디렉토리 서버 장치(200)에 대하여 네트워크 접속 요구를 송신한다. 환경 정보 수집부(101b)는 이용자 단말 장치(100)의 기동시 또는 환경 정보가 대상으로 하는 하드웨어 혹은 소프트웨어의 도입시에 환경 정보를 수집하여 기억부(102)의 환경 정보 테이블(102a)에 등록한다.
여기서, 환경 정보란, 해당 이용자 단말 장치(100)에 도입되어 있는 하드웨어 및 소프트웨어 등을 특정하는 정보이다. 환경 정보 송신부(101c)는 네트워크 접속 요구부(101a)가 접속 요구를 송신한 후에, 환경 정보 테이블(102a)로부터 하드 웨어·소프트웨어마다의 환경 정보를 독출한다. 그리고, 각각의 환경 정보를 각 환경 정보에 기초하여 계산한 해시값과 함께 디렉토리 서버 장치(200)에 송신한다.
기억부(102)는 환경 정보 테이블(102a)을 갖는다. 환경 정보 테이블(102a)은 이용자 단말 장치(100)의 환경에 따른 정보를 기억하는 기억 수단으로서, 구체적으로는, 도 4에 도시된 바와 같이, 이용자 단말 장치(100)에 내장되어 있는 소프트웨어(OS, BIOS, 브라우저, 플러그인 소프트 등)나 하드웨어(CPU, 메모리, PCI 보드 등), 이용자 단말 장치(100)에 접속되어 있는 하드웨어 등의 환경 정보를 기억한다. 또한, 도 4에 도시된 환경 정보 테이블(102a)은 종별 및 이용자의 단말 장치에 따른 환경 정보의 칼럼을 갖지만, 종별은 이용자의 단말 장치에 따른 환경 정보로 특정되는 하드웨어·소프트웨어의 종별(OS, BIOS, 브라우저, 플러그인소프트, CPU, 메모리, PCI 보드 등)을 나타내는 정보이다.
또한, 이러한 환경 정보는 이용자 단말 장치(100)의 기동시에 이용자 단말 장치(100) 스스로가 수집하여 환경 정보 테이블(102a)에 등록하고, 기동 후에 소프트웨어가 새롭게 설치된 경우나 하드웨어가 새롭게 접속된 경우에도, 이들 환경 정보를 이용자 단말 장치(100) 스스로가 수집하여 환경 정보 테이블(102a)에 기억시킨다.
입출력 제어 인터페이스부(103)는 제어부(101)와, 통신 제어 인터페이스부(104), 입력부(105) 및 출력부(106)와 통신 데이터를 주고받는 것을 중개하는 인터페이스이다.
통신 제어 인터페이스부(104)는 그 이용자 단말 장치(100)를 네트워크(N)에 접속하기 위한 인터페이스로서, 특히, 중계 서버 장치(400)와의 접속을 중개하는 인터페이스이다.
다음에, 제1 실시예의 디렉토리 서버 장치(200)의 구성을 설명한다. 도 5는 도 1에 도시된 디렉토리 서버 장치(200)의 구성을 나타낸 기능 블록도이다. 동 도면에 도시된 바와 같이, 디렉토리 서버 장치(200)는 제어부(201)와, 기억부(202)와, 입출력 제어 인터페이스부(203)와, 통신 제어 인터페이스부(204)와, 입력부(205)와, 출력부(206)와, 인증 서버 장치 통신 인터페이스부(207)를 갖는다.
제어부(201)는, 각종 처리 절차를 규정한 프로그램이나 제어 데이터를 저장하는 내부 메모리를 갖는 것으로서, 이들의 협동에 의해 각종 처리를 실행하는 제어 수단이다. 제어부(201)는, 특히, 본 발명에 밀접하게 관련된 것으로서, 이용자 단말 장치 인증 의뢰부(201a)와, 토큰 생성부(201b)와, 접속 목적지 정보 송신부(201c)를 갖는다.
이용자 단말 장치 인증 의뢰부(201a)는 중계 서버 장치(400)를 통해 이용자 단말 장치(100)로부터 접속 요구와 함께 환경 정보를 수신하면, 이 환경 정보를 인증 서버 장치 통신 인터페이스부(207)를 통해 인증 서버 장치(300)에 송신한다. 또한, 인증 서버 장치 통신 인터페이스부(207)를 통해 인증 서버 장치(300)로부터 수신한 이용자 단말 장치의 인증 결과가 네트워크로의 접속을 허가한다는 취지의 것이라고 판정하면, 토큰 생성부(201b)에 대하여 토큰을 생성하도록 지시하고, 접속 목적지 정보 송신부(201c)에 대하여 접속 목적지 정보를 송신하도록 지시하며, 접속 단말 기록 테이블(202d)에 단말 접속 기록을 출력한다. 또한, 이용자 단말 장치의 인증 결과가 네트워크로의 접속을 허가한다는 취지의 것이 아니라고 판정하면, 접속원의 이용자 단말 장치(100)에 대하여 에러 메시지의 출력 지시를 송신한다. 이 에러 메시지의 출력 지시를 수신한 이용자 단말 장치(100)는, 그 출력부(106)에, 에러 메시지를 표시하게 된다.
토큰 생성부(201b)는, 이용자 단말 장치 인증 의뢰부(201a)로부터 토큰 생성 지시가 입력되면, 토큰을 생성하여 접속 목적지 정보 송신부(201c)로 출력하여 토큰 관리 테이블(202a)에 기록한다.
접속 목적지 정보 송신부(201c)는 이용자 단말 장치 인증 의뢰부(201a)로부터 접속 목적지 정보 송신 지시가 입력되면, 토큰 관리 테이블(202a) 및 접속 단말 기록 테이블(202d)에 기초하여 접속 요구를 발생시킨 접속원의 이용자 단말 장치 및 접속 목적지의 이용자 단말 장치에 따른 접속 목적지 정보를 작성하고, 이것을 그 접속 요구를 발생시킨 이용자 단말 장치를 향해 송신한다. 접속 목적지 정보는 접속 목적지의 이용자 단말 장치 식별자와, 이 이용자 단말 장치의 네트워크(N)로의 게이트웨이인 중계 서버 장치의 IP 어드레스를 포함한다.
이 때, 토큰 생성부(201b)에 의해 생성된 토큰을 접속 목적지 정보에 부가하여 송신한다. 또한, 중계 서버 장치 리스트 테이블(202c)을 참조하면, 접속원의 이용자 단말 장치 및 접속 목적지의 이용자 단말 장치에 따른 게이트웨이의 중계 서버 장치를 알 수 있기 때문에, 이 게이트웨이의 중계 서버 장치의 IP 어드레스를 접속 목적지 정보에 부가하여 송신한다. 또한, 각 중계 서버 장치의 IP 어드레스는 중계 서버 장치 리스트 테이블(202c)을 참조함으로써 알 수 있다.
기억부(202)는 토큰 관리 테이블(202a)과, 중계 서버 장치 라우팅 설정 테이블(202b)과, 중계 서버 장치 리스트 테이블(202c)과, 접속 단말 기록 테이블(202d)을 갖는다.
토큰 관리 테이블(202a)은, 토큰 생성부(201b)에 의해 생성된 토큰에 따른 정보를 기억하는 기억 수단으로서, 구체적으로는, 도 6의 (1)에 도시된 바와 같이, 토큰 생성부(201b)에 의해 생성된 임의의 바이트열인 토큰을, 커넥션 ID와, 이용자 단말 장치 식별자와, 유효 기한과, 최종 액세스 일시와 함께 기억한다.
또한, 커넥션 ID란, 토큰 관리 테이블(202a)과, 접속 단말 기록 테이블(202d)에 있어서 접속 요구를 고유하게 식별하기 위한 식별 정보이다. 이 커넥션 ID를 결합함으로써, 토큰 관리 테이블(202a) 및 접속 단말 기록 테이블(202d)을 관련짓는 것이 가능해져 이용자 단말 장치에 대응되는 게이트웨이의 중계 서버 장치를 알 수 있다. 또한, 이용자 단말 장치 식별자는 그 토큰에 따른 접속 요구를 발생시킨 이용자 단말 장치를 고유하게 식별하기 위한 식별 정보이다. 또한, 유효 기한은 그 토큰을 이용할 수 있는 기한으로서, 최종 액세스 일시는 그 레코드가 판독/기록된 최종 일시이다.
중계 서버 장치 라우팅 설정 테이블(202b)은, 접속원의 이용자 단말 장치의 게이트웨이인 중계 서버 장치와, 접속 목적지인 이용자 단말 장치의 게이트웨이인 중계 서버 장치에 기초한 접속원의 이용자 단말 장치의 게이트웨이인 중계 서버 장치가 통신 데이터를 전달하는 중계 서버 장치에 따른 정보를 기억하는 기억 수단이다.
구체적으로는, 도 6의 (2)에 도시된 바와 같이, 접속원의 이용자 단말 장치의 중계 서버 장치를 나타내는 소스 중계 서버 장치 ID와, 접속 목적지의 이용자 단말 장치의 중계 서버 장치를 나타내는 목적지 중계 서버 장치 ID와, 게이트웨이 중계 서버 장치 ID를 기억한다. 여기서, 게이트웨이 중계 서버 장치는 소스 중계 서버 장치 및 목적지 중계 서버 장치로부터 결정되는 소스 중계 서버 장치가 통신 데이터를 전달하는 중계 서버 장치이다. 이들 항목은 중계 서버 장치 ID로 기술되지만, 중계 서버 장치 리스트를 참조함으로써, IP 어드레스로 변환된다.
중계 서버 장치 리스트 테이블(202c)은 중계 서버 장치 ID에 IP 어드레스가 대응되어 기억되어 있다. 이 테이블은, 도 6의 (3)에 도시된 바와 같이, 각 중계 서버 장치의 IP 어드레스를 기억하는 것이다.
접속 단말 기록 테이블(202d)은, 커넥션 ID로 식별되는 통신을, 그 접속원의 이용자 단말 장치의 중계 서버 장치 ID 및 접속 시작 일시와 함께 기억한다. 이 테이블은, 도 6의 (4)에 도시된 바와 같이, 인증 서버 장치(300)에서의 인증이 긍정이 되고, 접속 목적지 이용자 단말 장치(100)와의 통신이 시작되면, 커넥션 ID, 접속원의 이용자 단말 장치의 중계 서버 장치 ID 및 접속 시작 일시를 기억하고, 그 통신이 종료되면 레코드를 삭제함으로써, 현재 통신을 행하고 있는 접속원의 이용자 단말 장치를 파악하는 것이 가능해진다. 이 접속 단말 기록 테이블(202d)에 등록되어 있는 이용자 단말 장치(100)는, 인증 서버 장치(300)에서의 인증에 합격한 단말 장치로서, 동 인증 서버 장치(300)에서의 인증에 합격한 다른 단말 장치와의 통신이 확인되고 있는 이용자 단말 장치이다.
다음에, 제1 실시예의 인증 서버 장치의 구성에 대해서 설명한다. 도 7은 도 1에 도시된 인증 서버 장치(300)의 구성을 나타내는 기능 블록도이다. 동 도면에 도시된 바와 같이, 인증 서버 장치(300)는 제어부(301)와, 기억부(302)와, 입출력 제어 인터페이스부(303)와, 통신 제어 인터페이스부(304)와, 키보드나 마우스 등의 입력 조작을 접수하는 입력부(305)와, 디스플레이 장치 등의 표시 수단인 출력부(306)를 갖는다.
제어부(301)는, 각종 처리 절차를 규정한 프로그램이나 제어 데이터를 저장하는 내부 메모리를 갖는 것으로서, 이들의 협동에 의해 각종 처리를 실행하는 제어 수단이다. 제어부(301)는, 특히, 본 발명에 밀접하게 관련된 것으로서, 이용자 단말 장치 해시값/평가값 산출부(301a)와, 이용자 단말 장치 환경 조회부(301b)를 갖는다.
이용자 단말 장치 해시값/평가값 산출부(301a)는 이용자 단말 장치(100)로부터 수신한 환경 정보를 해시화하여 이용자 단말 장치(100)로부터 수신한 환경 정보 및 해시값과 함께 이용자 단말 장치 환경 조회부(301b)로 출력한다.
이용자 단말 장치 환경 조회부(301b)는 이용자 단말 장치(100)로부터 수신한 해시값과, 이용자 단말 장치 해시값/평가값 산출부(301a)에 의해 해시화된 환경 정보를 비교하여 일치하는지 여부를 판정한다. 또한, 이용자 단말 장치(100)로부터 수신한 환경 정보를 바탕으로 단말 장치 환경 평가 정보 테이블(302a)을 참조하여 모든 환경 정보에 대응하는 평가값을 독출하여 평균을 산출한다. 그리고, 이 평균이 소정 임계값 이상되 되는지 여부를 판정한다. 또한, 모든 환경 정보에 대응하는 평가값의 단순 평균에 한정되지 않고, 가중 평균이나 총합 등이어도 좋다.
이용자 단말 장치 환경 조회부(301b)에 의한 이용자 단말 장치(100)로부터 수신한 해시값과, 이용자 단말 장치 해시값/평가값 산출부(301a)에 의해 해시화된 환경 정보와의 일치성의 판정과, 모든 환경 정보에 대응하는 평가값의 평균이 소정 임계값 이상이 된다는 판정을 아울러 이용자 단말 장치(100)의 인증이라고 부른다. 그리고, 이용자 단말 장치 환경 조회부(301b)에 의해 이용자 단말 장치(100)로부터 수신한 해시값과, 이용자 단말 장치 해시값/평가값 산출부(301a)에 의해 해시화된 환경 정보가 일치한다고 판정되고, 또한 모든 환경 정보에 대응하는 평가값의 평균이 소정 임계값 이상이 된다고 판정된 경우에, 이용자 단말 장치가 인증된 것으로 한다. 이용자 단말 장치 환경 조회부(301b)는 이용자 단말 장치(100)에 대하여 그 이용자 단말 장치(100)가 인증되었거나 또는 인증되지 않은 것을 나타내는 정보를 송신한다.
기억부(302)는 단말 장치 환경 평가 정보 테이블(302a)을 갖는다. 단말 장치 환경 평가 정보 테이블(302a)은 이용자 단말 장치(100)의 소프트웨어·하드웨어 환경의 평가에 따른 정보를 기억하는 기억 수단으로서, 구체적으로는, 도 8에 도시된 바와 같이, 종별과, 벤더 제품의 환경 정보와, 해시화된 환경 정보와, 평가값을 대응시켜 기억한다. 종별은 도 4의 환경 정보 테이블(102a)에 나타내는 종별과 동일하다.
이 중, 「환경 정보」 및 「해시화된 환경 정보」는 이용자 단말 장치(100)에 내장될 수 있는 소프트웨어나 하드웨어의 정보(환경 정보)가 기기 벤더로부터 입수될 때마다 단말 장치 환경 평가 정보 테이블(302a)에 등록된다. 또한, 「평가값」은 이러한 벤더 제품의 입수에 있어서, 벤더 제품의 취약성이나 능력에 기초하여 안전성이나 성능의 관점에서 결정되는 것으로서, 「환경 정보」 및 「해시화된 환경 정보」에 대응하여 등록된다.
또한, 이와 같이 하여 등록된 「평가값」은 새로운 취약성(보안 홀)이 나중에 발견된 경우나, 보다 고성능의 후발품이 제작된 경우 등에, 다시 고쳐서 갱신 등록된다. 또한, 제1 실시예에서는, 「평가값」으로서, 벤더 제품의 취약성에 기초하여 시큐러티의 관점에서 결정되는 「안전성 평가값」과, 벤더 제품의 능력에 기초하여 성능의 관점에서 결정되는 「성능 평가값」이 있다.
입출력 제어 인터페이스부(303)는 제어부(301)와, 통신 제어 인터페이스부(304), 입력부(305) 및 출력부(306)와 통신 데이터를 주고받는 것을 중개하는 인터페이스이다. 또한, 통신 제어 인터페이스부(304)는 그 인증 서버 장치(300)와 디렉토리 서버 장치(200)를 접속하기 위한 인터페이스이다.
다음에, 도 1에 도시된 네트워크 접속 단말 인증 시스템에 있어서 실행되는 네트워크 접속 단말 인증 처리의 처리에 대해서 설명한다. 도 9는 도 1에 도시된 네트워크 접속 단말 인증 시스템에 있어서 실행되는 네트워크 접속 단말 인증 처리의 처리 절차를 나타낸 타임 차트이다.
동 도면에 도시된 바와 같이, 우선, 이용자 단말 장치 A(100a)는 디렉토리 서버 장치(200)에 대하여 접속 목적지 이용자 단말 장치로서 이용자 단말 장치 B(100b)를 지정하여 접속 요구를 송신한다(단계 S101). 접속 요구를 수신한 디렉토 리 서버 장치(200)는 인증 서버 장치(300)에 대하여 인증 요구를 송신한다(단계 S102). 인증 요구를 수신한 인증 서버 장치(300)는 해시값의 비교 및 단말 환경의 평가값의 판정을 행함으로써 이용자 단말 장치를 인증하는 이용자 단말 장치 환경 조회 처리를 실행한다(단계 S103).
계속해서, 단계 S103의 처리에 의해 이용자 단말 장치가 인증된 경우에, 인증 서버 장치(300)는, 인증을 허가한다는 취지의 정보를 디렉토리 서버 장치(200)에 통지한다(단계 S104). 계속해서, 인증 서버 장치(300)로부터 인증을 허가한다는 취지의 정보를 통지 받은 디렉토리 서버 장치(200)는, 이용자 단말 장치 B(100b)와의 접속을 허가한다는 취지의 정보를 이용자 단말 장치 A(100a)에 송신한다(단계 S105).
또한, 단계 S103의 처리에 의해 이용자 단말 장치 A(100a)가 인증되지 않은 경우에는, 단계 S104의 처리 대신에 인증 서버 장치(300)는, 인증을 허가하지 않는다는 취지의 정보를 디렉토리 서버 장치(200)에 통지한다. 또한, 인증 서버 장치(300)로부터 인증을 허가하지 않는다는 취지의 정보를 통지 받은 디렉토리 서버 장치(200)는, 단계 S105의 처리 대신에 이용자 단말 장치 B(100b)와의 접속을 허가하지 않는다는 취지의 정보를 이용자 단말 장치 A(100a)에 송신한다.
계속해서, 디렉토리 서버 장치(200)로부터, 이용자 단말 장치 B(100b)와의 접속을 허가한다는 취지의 정보를 수신한 이용자 단말 장치 A(100a)는 디렉토리 서버 장치(200)에 대하여 접속 목적지 정보의 요구를 송신한다(단계 S106). 접속 목적지 정보의 요구를 수신한 디렉토리 서버 장치(200)는, 접속 목적지 리스트 정보 를 이용자 단말 장치 A(100a)에 송신한다(단계 S107).
계속해서, 이용자 단말 장치 A(100a)는, 디렉토리 서버 장치(200)로부터 수신한 접속 목적지 리스트 정보에 기초하여 이용자 단말 장치 B로의 접속의 게이트웨이가 되는 중계 서버 장치를 판단한다(단계 S108). 계속해서, 이 게이트웨이라고 판단된 중계 서버 장치 A(400a)에 대하여 통신 데이터의 송신을 시작한다(단계 S109). 그리고, 중계 서버 장치 A(400a), 중계 서버 장치 B(400b), 중계 서버 장치 C(400c)의 사이에서 통신 데이터를 중계한 후에, 중계 서버 장치 A(400a), 중계 서버 장치 B(400b), 중계 서버 장치 C(400c) 중 이용자 단말 장치 B(100b)의 게이트웨이인 중계 서버 장치로부터 이용자 단말 장치 B(100b)로, 통신 데이터가 송신된다(단계 S110).
상기한 바와 같이, 디렉토리 서버 장치(200)는 이용자 단말 장치 A(100a)의 접속 목적지 정보 요구에 대하여 접속 목적지 리스트 정보를 송신하게 되지만, 이 접속 목적지 리스트 정보의 송신에 앞서 인증 서버 장치(300)에서의 이용자 단말 장치 A(100a)의 인증을 행함으로써, 부정한 이용자 단말 장치 A(100a)에 대하여 접속 목적지 리스트 정보를 송신해 버리는 것을 억지할 수 있어 네트워크(N)의 보안의 향상을 도모할 수 있게 된다. 또한, 이와 같이, 네트워크(N)의 보안의 향상을 위해 행하는 이용자 단말 장치의 인증을, 통신 데이터를 중계하는 각 중계 서버 장치에서 각각 행하지 않고, 디렉토리 서버 장치(200)의 부하의 인증 서버 장치(300)에서 집중적으로 행하는 것으로 하였기 때문에, 인증 기능의 실장을 용이하게 행할 수 있게 되어 인증 처리의 효율을 향상시킬 수 있게 된다.
제2 실시예
다음에, 도 10 내지 도 14를 참조하여 본 발명의 제2 실시예에 대해서 설명한다. 제2 실시예는 이용자 단말 장치가 컴퓨터 네트워크를 통해 다른 이용자 단말 장치와의 통신을 행할 때에, 통신 데이터를 중계하는 중계 서버 장치로부터, 통신 데이터에 부가되는 토큰의 확인 요구가 발생됨에 따라 그 디렉토리 서버 장치로부터 인증 서버 장치로 토큰의 확인을 의뢰하고, 그 인증 서버 장치에 의해 토큰이 확인됨에 따라 중계 서버 장치가 통신 데이터를 다른 중계 서버 장치 또는 전술한 다른 이용자 단말 장치에 전송하는 실시예이다.
상기한 기능을 실현하기 위해서, 제2 실시예는, 제1 실시예에, 토큰에 기초하여 이용자 단말 장치를 확인하기 위해서 필요한 기능·구성이 추가된 것이 된다. 특히, 제2 실시예의 디렉토리 서버 장치 및 중계 서버 장치는, 제1 실시예의 것에 기능이 추가가 된다. 또한, 제2 실시예의 이용자 단말 장치 및 인증 서버 장치는 제1 실시예의 것과 동일하므로, 설명을 생략한다.
우선, 제2 실시예에 따른 네트워크 접속 단말 인증 시스템의 개요에 대해서 설명한다. 도 10은, 제2 실시예에 따른 네트워크 접속 단말 인증 시스템의 개요를 설명하기 위한 도면이다. 동 도면에 도시된 바와 같이, 제2 실시예에 따른 네트워크 접속 단말 인증 시스템의 네트워크 구성은 제1 실시예에 도시한 것과 동일하다.
우선, 이용자 단말 장치 A(100a)로부터 디렉토리 서버 장치(200)로, 네트워크 접속 요구 및 단말 장치 환경 정보가 송신된다[도 10의 (1)]. 네트워크 접속 요구는 이용자 단말 장치 A(100a)가 갖는 네트워크 접속 요구부(101a)에 의해 디렉토 리 서버 장치(200)로 송신된다. 단말 장치 환경 정보는 이용자 단말 장치 A(100a)가 갖는 환경 정보 수집부(101b)에 의해 수집된 이용자 단말 장치 A(100a)의 하드웨어 및 소프트웨어 구성을 나타내는 정보로서, 이용자 단말 장치 A(100a)가 갖는 소정의 인터페이스를 통해 디렉토리 서버 장치(200)로 송신된다.
디렉토리 서버 장치(200)는, 이용자 단말 장치 A(100a)로부터 네트워크 접속 요구 및 단말 장치 환경 정보를 수신하면, 인증 서버 장치(300)에 대하여 이용자 단말 장치 A(100a)의 인증을 요구한다[도 10의 (2)].
인증 서버 장치(300)는 디렉토리 서버 장치(200)로부터의 인증 요구에 따라 이용자 단말 장치 A(100a)를 인증한 결과를 디렉토리 서버 장치(200)로 송신한다[도 10의 (3)]. 디렉토리 서버 장치(200)에서는, 접속 목적지 정보 송신부(201c)가, 인증 서버 장치(300)로부터 수신한 단말 장치 인증 결과에 기초하여 토큰 생성부(201b)에 의해 생성된 토큰과 함께 네트워크(N)에 있어서 접속 목적지의 단말 장치에 이를 때까지의 경로 정보인 접속 목적지 정보를, 이용자 단말 장치 A(100a)에 송신한다[도 10의 (4)].
이용자 단말 장치 A(100a)는 디렉토리 서버 장치(200)로부터 토큰 및 접속 목적지 정보를 수신하면, 이 접속 목적지 정보가 나타내는 네트워크(N)에 있어서의 경로 정보에 기초하여 이용자 단말 장치 B(100b)와 통신을 행하기 위해서, 중계 서버 장치 A(400a)로 데이터를 송신한다[도 10의 (5)]. 또한, 이용자 단말 장치 A(100a)는 이용자 단말 장치 B(100b)를 향해 송신되는 데이터에, 디렉토리 서버 장치(200)로부터 수신한 토큰을 부가한다.
토큰이 부가된 통신 데이터를 수신한 중계 서버 장치 A(400a)는 토큰이 정당한 것인지 여부의 확인 요구를 디렉토리 서버 장치(200)로 송신한다[도 10의 (6)]. 토큰 확인 요구를 수신한 디렉토리 서버 장치(200)는, 그 토큰이 진짜로 자기 장치가 발행한 토큰인지 여부를 확인하고, 이 확인 결과를 중계 서버 장치 A(400a)를 향해 송신한다[도 10의 (7)].
토큰 확인 결과를 수신한 중계 서버 장치 A(400a)는 토큰 확인 결과에 의해 토큰이 정당한 것이라고 여겨지면, 이용자 단말 장치 A(100a)로부터 수신한 데이터를 접속 목적지 정보에 기초한 다음 중계 서버 장치인 중계 서버 장치 C(400c)로 송신한다[도 10의 (8)]. 한편, 중계 서버 장치 A(400a)는 토큰 확인 결과에 의해 토큰이 정당한 것이 아니라고 여겨지면, 이용자 단말 장치 A(100a)로부터 수신한 데이터를 중계 서버 장치 C(400c)로 송신하지 않는다.
다음에, 제2 실시예에 따른 네트워크 접속 단말 인증 시스템에 있어서 송수신되는 데이터 송수신에 대해서 설명한다. 도 11은 제2 실시예에 따른 네트워크 접속 단말 인증 시스템에 있어서의 데이터 송수신의 개요를 설명하기 위한 도면이다. 동 도면에 도시된 바와 같이, 우선, 1: 이용자 단말 장치 A(100a)로부터 디렉토리 서버 장치(200)로, 접속 요구가 송신된다. 계속해서, 디렉토리 서버 장치(200)가 이용자 단말 장치 A(100a)로부터 접속 요구를 수신하면, 2: 디렉토리 서버 장치(200)로부터 인증 서버 장치(300)로, 인증 요구가 송신된다.
계속해서, 인증 서버 장치(300)는 디렉토리 서버 장치(200)로부터의 인증 요구에 따라 행한 이용자 단말 장치 A(100a)의 인증 결과를 디렉토리 서버 장치(200) 로 송신한다. 여기서는 구체적으로, 인증 서버 장치(300)에 있어서의 이용자 단말 장치 A(100a)의 인증에 의해 네트워크(N)로의 접속 허가로 되었기 때문에, 3: 인증 서버 장치(300)로부터 디렉토리 서버 장치(200)로 접속 허가가 송신된다.
또한, 인증 서버 장치(300)에서 이용자 단말 장치 A(100a)의 인증에 의해 네트워크(N)로의 접속이 허가되지 않은 경우에는, 인증 서버 장치(300)로부터 디렉토리 서버 장치(200)로 접속 불허가가 송신된다.
계속해서, 인증 서버 장치(300)로부터 접속 허가를 수신한 디렉토리 서버 장치(200)는 4: 접속 허가를 이용자 단말 장치 A(100a)로 전송한다. 또한, 디렉토리 서버 장치(200)로부터 이용자 단말 장치 A(100a)로 송신되는 접속 허가는 토큰을 포함한다. 그리고, 5: 디렉토리 서버 장치(200)로부터 접속 허가를 수신한 이용자 단말 장치 A(100a)는 디렉토리 서버 장치(200)로 접속 목적지 정보 요구를 송신한다.
계속해서, 6: 이용자 단말 장치 A(100a)로부터 접속 목적지 정보 요구를 수신한 디렉토리 서버 장치(200)는 접속 목적지 정보를 리스트화한 접속 목적지 리스트를 송신한다. 이와 같이 하여, 이용자 단말 장치 A(100a)는 이용자 단말 장치 B(100b)를 향해 통신 데이터를 송신하는 것이 가능해진다.
다음에, 7: 이용자 단말 장치 A(100a)는 이용자 단말 장치 B(100b)를 향해 통신 데이터를 송신한다. 이 때, 통신 데이터에는 디렉토리 서버 장치(200)로부터 수신한 토큰이 부가된다. 또한, 이용자 단말 장치 A(100a)로부터 이용자 단말 장치 B(100b)를 향한 통신 데이터는 접속 목적지 리스트의 기재에 따라 중계 서버 장치 A(400a) 및 중계 서버 장치 B(400b)를 경유하고 나서 이용자 단말 장치 B(100b)에 도달한다.
이용자 단말 장치 A(100a)로부터 통신 데이터 및 토큰을 수신한 중계 서버 장치 B(400b)는 8: 디렉토리 서버 장치(200)에 토큰 확인 요구를 송신한다. 그리고, 토큰 확인 요구를 수신한 디렉토리 서버 장치(200)는 9: 토큰 확인 처리를 행한 결과를 중계 서버 장치 B(400b)로 송신한다. 특히, 여기서의 확인 결과는 토큰이 정당한 것이었다고 하는 내용으로 한다.
토큰이 정당한 것이라는 확인 결과를 얻은 중계 서버 장치 B(400b)는 10: 추가로 중계 서버 장치 C(400c)로, 이용자 단말 장치 B(100b)를 향한 통신 데이터를 토큰과 함께 송신한다. 중계 서버 장치 B(400b)로부터 통신 데이터 및 토큰을 수신한 중계 서버 장치 C(400c)는 11: 디렉토리 서버 장치(200)를 경유하여 인증 서버 장치(300)에 토큰 확인 요구를 송신한다. 그리고, 12: 토큰 확인 요구를 수신한 인증 서버 장치(300)는 토큰 확인 처리를 행한 결과를, 디렉토리 서버 장치(200)를 경유하여 중계 서버 장치 C(400c)로 송신한다. 또한, 여기서의 확인 결과도 토큰이 정당한 것이었다고 하는 내용으로 한다.
계속해서, 토큰이 정당한 것이라는 확인 결과를 얻은 중계 서버 장치 B(400b)는 13: 통신 데이터를 토큰과 함께 이용자 단말 장치 B(100b)로 전송한다. 그리고, 중계 서버 장치 C(400c)로부터 통신 데이터를 수신한 이용자 단말 장치 B(100b)는 14: 통신 데이터에 부가되어 있는 토큰이 올바른지 여부를 디렉토리 서버 장치(200)에 문의한다. 또한, 도시는 하지 않지만, 이용자 단말 장치 B(100b)와 디렉토리 서버 장치(200)와의 사이의 통신 경로는 중계 서버 장치 B(400b) 및 중계 서버 장치 C(400c)를 경유하는 것이다.
그리고, 15: 이용자 단말 장치 B(100b)로부터 토큰 확인의 문의를 수신한 디렉토리 서버 장치(200)는 토큰 확인 처리를 실행하고, 토큰이 올바른 것이라고 여겨지는 경우에는, 토큰이 올바르다는 취지를 이용자 단말 장치 B(100b)로 송신한다. 또한, 토큰이 올바른 것이 아닌 경우에는, 디렉토리 서버 장치(200)로부터 이용자 단말 장치 B(100b)로, 토큰이 올바르지 않다는 취지가 송신된다. 이렇게 해서, 이용자 단말 장치 B(100b)는 이용자 단말 장치 A(100a)로부터의 통신 데이터를 신뢰하는 것이 가능해진다.
이와 같이, 이용자 단말 장치 A(100a)로부터 이용자 단말 장치 B(100b)로의 통신 데이터에 부가되어 있는 토큰을, 통신 경로 상에서 데이터를 중계하는 각 중계 서버 장치에서 데이터를 수신할 때마다 디렉토리 서버 장치에서 확인하도록 하면, 정당하지 않은 통신 데이터를 통신 경로 도중에서 송신 중지시키는 것이 가능해져 보안의 향상을 도모하고, 쓸데없는 네트워크 대역 소비를 억제할 수 있게 된다.
다음에, 제2 실시예의 디렉토리 서버 장치(200)의 구성을 설명한다. 도 12는 도 10에 도시된 디렉토리 서버 장치(200)의 구성을 나타낸 기능 블록도이다. 동 도면에 도시된 바와 같이, 디렉토리 서버 장치(200)는 제어부(201)와, 기억부(202)와, 입출력 제어 인터페이스부(203)와, 통신 제어 인터페이스부(204)와, 입력부(205)와, 출력부(206)와, 인증 서버 장치 통신 인터페이스부(207)를 갖는다. 제2 실시예의 디렉토리 서버 장치(200)는 제1 실시예에 비하여 제어부(201)의 구성만이 다르기 때문에, 이 차이에 대해서만 설명하고, 그 밖의 동일 부분에 대해서는 설명을 생략한다.
제2 실시예의 디렉토리 서버 장치(200)의 제어부(201)는 토큰 검증부(201d)를 더 갖는다. 토큰 검증부(201d)는 중계 서버 장치(400) 또는 이용자 단말 장치(100)로부터 수신한 토큰 확인 의뢰에 기초하여 토큰 관리 테이블(202a)을 참조하여 이 토큰이 토큰 관리 테이블에 등록되는 정당한 토큰인지 여부를 판정한다. 특히, 토큰이 부여되어 있다고 여겨지는 이용자 단말 장치와 일치하는지 여부 또는 그 이용자 단말 장치에 부여되었다고 하는 토큰과 일치하는지 여부, 토큰이 유효 기한 내인지 여부를 판정한다. 그리고, 이 판정 결과를, 확인 요구원인 중계 서버 장치(400) 또는 이용자 단말 장치(100)를 향해 송신한다.
다음에, 제2 실시예의 중계 서버 장치의 구성에 대해서 설명한다. 도 13은 도 10에 도시된 중계 서버 장치(400)의 구성을 나타낸 기능 블록도이다. 동 도면에 도시된 바와 같이, 중계 서버 장치(400)는 제어부(401)와, 입출력 제어 인터페이스부(402)와, 통신 제어 인터페이스부(403)와, 키보드나 마우스 등의 입력 조작을 접수하는 입력부(404)와, 디스플레이 장치 등의 표시 수단인 출력부(405)와, 인증 서버 장치 통신 인터페이스부(406)를 갖는다.
제어부(401)는, 각종 처리 절차를 규정한 프로그램이나 제어 데이터를 저장하는 내부 메모리를 갖는 것으로서, 이들의 협동에 의해 각종 처리를 실행하는 제어 수단이다. 제어부(401)는, 특히, 본 발명에 밀접하게 관련된 것으로서, 토큰 조 회 의뢰부(401a)와, 통신 데이터 전송 처리부(401b)를 갖는다.
토큰 조회 의뢰부(401a)는 다른 중계 서버 장치(400) 또는 통신 데이터의 송신원인 이용자 단말 장치(100)로부터 수신한 통신 데이터로부터 토큰을 추출하고, 인증 서버 장치 통신 인터페이스부(406)를 통해 인증 서버 장치(300)로, 토큰의 확인 요구를 송신한다. 또한, 인증 서버 장치(300)로부터 수신한 토큰의 확인 결과를 판정하고, 토큰이 정당한 것이라고 하는 확인 결과라면, 수신한 통신 데이터를, 다른 중계 서버 장치 또는 통신 데이터의 송신 목적지인 이용자 단말 장치(100)로 전송하도록 통신 데이터 전송 처리부(401b)로 출력한다. 또한, 토큰이 정당한 것이 아니라고 하는 확인 결과라면, 수신한 통신 데이터를, 다른 중계 서버 장치 또는 통신 데이터의 송신 목적지인 이용자 단말 장치(100)로 전송 지시하지 않고, 출력부(405)에 에러 메시지를 표시시키게 된다.
통신 데이터 전송 처리부(401b)는 토큰 조회 의뢰부(401a)로부터 통신 데이터를 수취하면, 입출력 제어 인터페이스부(402)를 통해 다른 중계 서버 장치 또는 통신 데이터의 송신 목적지인 이용자 단말 장치(100)를 향해 그 통신 데이터를 전송한다.
입출력 제어 인터페이스부(402)는 제어부(401)와, 통신 제어 인터페이스부(403), 입력부(404) 및 출력부(405)와 통신 데이터를 주고받는 것을 중개하는 인터페이스이다.
통신 제어 인터페이스부(403)는 그 중계 서버 장치(400)를 네트워크(N)에 접속하기 위한 인터페이스로서, 특히, 이용자 단말 장치(100) 또는 중계 서버 장 치(400)와의 접속을 중개하는 인터페이스이다. 또한, 인증 서버 장치 통신 인터페이스부(406)는 제어부(401)와, 인증 서버 장치(300)와의 통신 데이터를 주고받는 것을 중개하는 인터페이스이다.
다음에, 도 10에 도시된 네트워크 접속 단말 인증 시스템에 있어서 실행되는 네트워크 접속 단말 확인 처리의 처리에 대해서 설명한다. 도 14는 도 10에 도시된 네트워크 접속 단말 인증 시스템에 있어서 실행되는 네트워크 접속 단말 확인 처리의 처리 절차를 나타낸 타임 차트이다.
동 도면에 도시된 바와 같이, 우선, 이용자 단말 장치 A(100a)는 디렉토리 서버 장치(200)에 대하여, 접속 목적지 이용자 단말 장치로서 이용자 단말 장치 B(100b)를 지정하여 접속 요구를 송신한다(단계 S201). 접속 요구를 수신한 디렉토리 서버 장치(200)는 인증 서버 장치(300)에 대하여 인증 요구를 송신한다(단계 S202). 인증 요구를 수신한 인증 서버 장치(300)는 해시값의 비교 및 단말 환경의 평가값의 판정을 행함으로써 이용자 단말 장치를 인증하는 이용자 단말 장치 환경 조회 처리를 실행한다(단계 S203).
계속해서, 단계 S203의 처리에 의해 이용자 단말 장치가 인증된 경우에, 인증 서버 장치(300)는 디렉토리 서버 장치(200)로, 인증을 허가한다는 취지의 정보를 통지한다(단계 S204). 계속해서, 인증 서버 장치(300)로부터 인증을 허가한다는 취지의 정보를 통지 받은 디렉토리 서버 장치(200)는 토큰을 생성하고(단계 S205),이 생성된 토큰을 토큰 관리 테이블(202a)에 기록한다(단계 S206). 그리고, 이용자 단말 장치 A(100a)로, 이용자 단말 장치 B(100b)와의 접속을 허가한다는 취지의 정 보를 토큰과 함께 송신한다(단계 S207).
또한, 단계 S203의 처리에 의해 이용자 단말 장치 A(100a)가 인증되지 않은 경우에는, 단계 S204∼단계 S206의 처리는 행해지지 않고, 인증 서버 장치(300)는 디렉토리 서버 장치(200)로, 인증을 허가하지 않는다는 취지의 정보를 통지한다. 또한, 인증 서버 장치(300)로부터 인증을 허가하지 않는다는 취지의 정보를 통지 받은 디렉토리 서버 장치(200)는 단계 S207의 처리 대신에 이용자 단말 장치 A(100a)로, 이용자 단말 장치 B(100b)와의 접속을 허가하지 않는다는 취지의 정보를 송신한다.
계속해서, 디렉토리 서버 장치(200)로부터, 이용자 단말 장치 B(100b)와의 접속을 허가한다는 취지의 정보를 수신한 이용자 단말 장치 A(100a)는, 디렉토리 서버 장치(200)에 대하여 접속 목적지 정보의 요구를 송신한다(단계 S208). 접속 목적지 정보의 요구를 수신한 디렉토리 서버 장치(200)는 접속 목적지 리스트 정보를 이용자 단말 장치 A(100a)로 송신한다(단계 S209).
계속해서, 이용자 단말 장치 A(100a)는 디렉토리 서버 장치(200)로부터 수신한 접속 목적지 리스트 정보에 기초하여 이용자 단말 장치 B로의 접속의 게이트웨이가 되는 중계 서버 장치를 판단한다(단계 S210). 계속해서, 이 게이트웨이로 판단된 중계 서버 장치 A(400a)에 대하여 통신 데이터의 송신을 시작한다(단계 S211).
이용자 단말 장치 A(100a)로부터 토큰과 함께 통신 데이터를 수신한 중계 서버 장치 A(400a)는, 토큰의 확인 요구를 디렉토리 서버 장치(200)로 송신한다(단계 S212). 중계 서버 장치 A(400a)로부터의 토큰 확인 요구를 수신한 디렉토리 서버 장치(200)는 토큰 관리 테이블(202a)을 참조하여 이 토큰이 토큰 관리 테이블에 등록되는 정당한 토큰인지 여부를 판정한다(단계 S213). 그리고, 디렉토리 서버 장치(200)는 토큰 확인 결과를 중계 서버 장치 A(400a)로 송신한다(단계 S214).
또한, 단계 S214 이후, 중계 서버 장치 A(400a), 중계 서버 장치 B(400b), 중계 서버 장치 C(400c)의 사이에서 통신 데이터를 중계한 후에, 중계 서버 장치 A(400a), 중계 서버 장치 B(400b), 중계 서버 장치 C(400c) 중 이용자 단말 장치 B(100b)의 게이트웨이인 중계 서버 장치로부터 이용자 단말 장치 B(100b)로, 통신 데이터가 송신되게 된다. 중계 서버 장치 A(400a), 중계 서버 장치 B(400b), 중계 서버 장치 C(400c)는 통신 데이터를 수신할 때마다 단계 S212∼단계 S214와 동일한 처리를 행한다.
중계 서버 장치 A(400a), 중계 서버 장치 B(400b), 중계 서버 장치 C(400c) 중 이용자 단말 장치 B(100b)의 게이트웨이인 중계 서버 장치가 통신 데이터를 수신하면, 이 게이트웨이인 중계 서버 장치는 이용자 단말 장치 B(100b)로 통신 데이터를 송신한다(단계 S215).
제3 실시예
다음에, 도 15 내지 도 19를 참조하여 본 발명의 제3 실시예에 대해서 설명한다. 제3 실시예는 이용자 단말 장치가 컴퓨터 네트워크를 통해 다른 이용자 단말 장치와의 통신을 행할 때에, 통신 데이터를 중계하는 중계 서버 장치로부터, 통신 데이터에 부가되는 확인 완료 인증 항목을 명확하게 하는 정보에 포함되는 확인 완 료 인증 항목 이외로 추가로 확인이 필요로 되는 인증 항목의 확인 요구에 따라 그 디렉토리 서버 장치로부터 인증 서버 장치로 인증 항목의 확인을 의뢰하고, 그 인증 서버 장치에 의해 인증 항목이 확인됨에 따라 중계 서버 장치가 통신 데이터를 다른 중계 서버 장치 또는 전술한 다른 이용자 단말 장치로 전송하는 실시예이다. 또한, 인증 항목이란, 인증 서버 장치에서의 인증을 실행할 때의 인증의 기준이 되는 항목이고, 확인 완료 인증 항목이란 그 인증 항목에 기초한 인증이 인증 서버 장치에서 실행된 인증 항목을 말한다.
상기한 기능을 실현하기 위해서, 제3 실시예는 제1 실시예에 중계 서버 장치로부터의 인증 항목 확인 요구에 기초하여 이용자 단말 장치를 확인하기 위해서 필요한 기능·구성이 추가된 것이 된다. 특히, 제3 실시예의 디렉토리 서버 장치 및 중계 서버 장치는 제1 실시예의 것에 기능이 추가가 된다. 또한, 제3 실시예의 이용자 단말 장치 및 인증 서버 장치는 제1 실시예의 것과 동일하기 때문에, 설명을 생략한다.
우선, 제3 실시예에 따른 네트워크 접속 단말 인증 시스템의 개요에 대해서 설명한다. 도 15는 제3 실시예에 따른 네트워크 접속 단말 인증 시스템의 개요를 설명하기 위한 도면이다. 동 도면에 도시된 바와 같이, 제3 실시예에 따른 네트워크 접속 단말 인증 시스템의 네트워크 구성은 제1 실시예에 도시한 것과 동일하다.
우선, 이용자 단말 장치 A(100a)로부터 디렉토리 서버 장치(200)로, 네트워크 접속 요구 및 단말 장치 환경 정보가 송신된다[도 15의 (1)]. 네트워크 접속 요구는, 이용자 단말 장치 A(100a)가 갖는 네트워크 접속 요구부(101a)에 의해 디렉 토리 서버 장치(200)로 송신된다. 단말 장치 환경 정보는 이용자 단말 장치 A(100a)가 갖는 환경 정보 수집부(101b)에 의해 수집된 이용자 단말 장치 A(100a)의 하드웨어 및 소프트웨어 구성을 나타낸 정보로서, 이용자 단말 장치 A(100a)가 갖는 소정의 인터페이스를 통해 디렉토리 서버 장치(200)로 송신된다.
디렉토리 서버 장치(200)는 이용자 단말 장치 A(100a)로부터 네트워크 접속 요구 및 단말 장치 환경 정보를 수신하면, 인증 서버 장치(300)에 대하여 인증 항목 1에 대해서 이용자 단말 장치 A(100a)의 인증을 요구한다[도 15의 (2)].
인증 서버 장치(300)는 디렉토리 서버 장치(200)로부터의 인증 요구에 따라 이용자 단말 장치 A(100a)를 인증 항목 1에 대해서 인증한 결과를 디렉토리 서버 장치(200)로 송신한다[도 15의 (3)]. 디렉토리 서버 장치(200)에서는, 접속 목적지 정보 송신부(201c)가, 이용자 단말 장치 A(100a)로, 인증 서버 장치(300)로부터 수신한 단말 장치 인증 결과에 기초하여 토큰 생성부(201b)에 의해 생성된 토큰과 함께 네트워크(N)에 있어서 접속 목적지의 단말 장치에 이를 때까지의 경로 정보인 접속 목적지 정보를 송신한다[도 15의 (4)].
이용자 단말 장치 A(100a)는 디렉토리 서버 장치(200)로부터 토큰 및 접속 목적지 정보를 수신하면, 이 접속 목적지 정보가 나타내는 네트워크(N)에서의 경로 정보에 기초하여 이용자 단말 장치 B(100b)와 통신을 행하기 위해서 중계 서버 장치 A(400a)로 데이터를 송신한다[도 15의 (5)]. 또한, 이용자 단말 장치 A(100a)는 이용자 단말 장치 B(100b)를 향해 송신되는 데이터에, 인증 서버 장치(300)에서 인증되었을 때에 보안이나 성능의 조건 충족성이 확인된 인증 항목(이하, 확인 완료 인증 항목이라 함)을 나타내는 정보를 부가한다. 여기서는, 인증 항목 1에 대해서 확인 완료인 것을 나타내는 정보를 부가하게 된다.
확인 완료 인증 정보가 부가된 통신 데이터를 수신한 중계 서버 장치 A(400a)는 자기 장치에서 확인이 요구되는 인증 항목에 기초하여 이미 인증필인지 여부를 판정하고, 자기 장치에서 요구되는 인증 항목 중 확인되어 있지 않은 인증 항목에 대한 확인 요구를 디렉토리 서버 장치(200)로 송신한다[도 15의 (6)]. 여기서는, 중계 서버 장치 A(400a)는 인증 항목 1 및 인증 항목 2에 대한 확인을 요구하지만, 인증 항목 1에 대해서는 이미 확인되어 있기 때문에, 인증 항목 2에 대한 확인을 요구하는 것으로 한다. 디렉토리 서버 장치(200)는 이용자 단말 장치 A(100a)로부터 수신한 인증 항목 2에 대한 인증 항목 확인 요구(인증 요구)를 추가로 인증 서버 장치(300)로 송신한다[도 15의 (7)].
디렉토리 서버 장치(200)로부터 인증 항목 확인 요구를 수신한 인증 서버 장치(300)는 그 인증 항목에 대해서 이용자 단말 장치 A(100a)를 확인하고, 이 확인 결과를 디렉토리 서버 장치(200)로 송신한다[도 15의 (8)]. 디렉토리 서버 장치(200)는, 이 확인 결과를, 추가로 중계 서버 장치 A(400a)를 향해 송신한다[도 15의 (9)].
인증 항목 확인 결과를 수신한 중계 서버 장치 A(400a)는 인증 항목 확인 결과에 의해 이용자 단말 장치 A(100a)가 조건을 충족하는 것이라고 판정되면, 이용자 단말 장치 A(100a)로부터 수신한 데이터를, 접속 목적지 정보에 기초한 다음 중계 서버 장치인 중계 서버 장치 C(400c)로 송신한다[도 15의 (10)]. 한편, 중계 서 버 장치 A(400a)는 인증 항목 확인 결과에 의해 이용자 단말 장치 A(100a)가 조건을 충족하지 않는다고 판정되면, 이용자 단말 장치 A(100a)로부터 수신한 데이터를 중계 서버 장치 C(400c)로 송신하지 않는다.
이와 같이, 이용자 단말 장치 A(100a)로부터 이용자 단말 장치 B(100b)로의 통신 데이터에 부가되어 있는 확인 완료 인증 항목을, 통신 경로 상에서 데이터를 중계하는 각 중계 서버 장치에서 데이터를 수신할 때마다 인증 서버 장치에서 확인하고, 그 중계 서버 장치가 확인을 필요로 하는 인증 항목이 확인 완료가 아닌 경우에는, 추가로 그 인증 항목에 대해서 인증하도록 하면, 보안이나 성능이 조건을 충족하지 않는 이용자 단말 장치로부터의 통신 데이터를 통신 경로 도중에서 송신 중지시키는 것이 가능해져 보안의 향상을 도모하고, 쓸데없는 네트워크 대역 소비를 억제할 수 있게 된다.
다음에, 제3 실시예에 따른 네트워크 접속 단말 인증 시스템에서 송수신되는 데이터에 대해서 설명한다. 도 16은 제3 실시예에 따른 네트워크 접속 단말 인증 시스템에서 송수신되는 데이터의 구조를 설명하기 위한 도면이다. 동 도면에 도시된 바와 같이, 제3 실시예에 따른 네트워크 접속 단말 인증 시스템에 있어서 송수신되는 통신 데이터는, 제어 데이터와, 이용자 데이터와, 확인 완료 인증 항목 데이터와의 데이터·블록을 포함한다. 제어 데이터는 통신 프로토콜에 따른 제어 데이터이다. 이용자 데이터는 통신하는 데이터 본체이다. 확인 완료 인증 항목 데이터는 그 통신 데이터의 송신원인 이용자 단말 장치가 인증되었을 때에 이미 확인된 인증 항목을 열거하는 데이터이다. 인증에 있어서 확인이 완료된 인증 항목은 여기 에 추가되게 된다. 확인 완료 인증 항목 데이터는 도 4의 환경 정보 테이블(102a)에 도시한 종별과 동일한 내용이 저장된다. 즉, 인증 항목은 도 4의 환경 정보 테이블(102a)에 도시한 종별과 동일하다.
다음에, 제3 실시예의 중계 서버 장치의 구성에 대해서 설명한다. 도 17은 도 15에 도시된 중계 서버 장치(400)의 구성을 나타낸 기능 블록도이다. 동 도면에 도시된 바와 같이, 중계 서버 장치(400)는 제어부(401)와, 입출력 제어 인터페이스부(402)와, 통신 제어 인터페이스부(403)와, 키보드나 마우스 등의 입력 조작을 접수하는 입력부(404)와, 디스플레이 장치 등의 표시 수단인 출력부(405)와, 인증 서버 장치 통신 인터페이스부(406)와, 기억부(407)를 갖는다.
또한, 제3 실시예의 중계 서버 장치(400)의 입출력 제어 인터페이스부(402),통신 제어 인터페이스부(403), 입력부(404), 출력부(405) 및 인증 서버 장치 통신 인터페이스부(406)는 제2 실시예의 중계 서버 장치(400)의 것과 동일하기 때문에, 여기서는 설명을 생략한다.
제어부(401)는, 각종 처리 절차를 규정한 프로그램이나 제어 데이터를 저장하는 내부 메모리를 갖는 것으로서, 이들의 협동에 의해 각종 처리를 실행하는 제어 수단이다. 제어부(401)는, 특히, 본 발명에 밀접하게 관련된 것으로서, 확인 완료 인증 항목 추출부(401c)와, 인증 요구부(401d)와, 확인 완료 인증 항목 정보 부가 처리부(401e)와, 통신 데이터 전송 처리부(401b)를 갖는다.
확인 완료 인증 항목 추출부(401c)는 이용자 단말 장치(100) 또는 다른 중계 서버 장치(400)로부터 수신한 통신 데이터로부터, 부가되어 있는 확인 완료 인증 항목을 추출하여 통신 데이터와 함께 인증 요구부(401d)로 출력한다. 인증 요구부(401d)는 기억부(407)의 요확인 인증 항목 테이블(407a)을 참조하여 요확인 인증 항목 테이블(407a)에 포함되는 인증 항목 중 확인 완료 인증 항목 추출부(401c)로부터 출력된 확인 완료 인증 항목에 포함되지 않는 인증 항목을 판정하고, 이 판정된 인증 항목에 대한 확인을 인증 서버 장치(300)로 의뢰한다.
이것에 대하여, 인증 서버 장치(300)로부터 확인 결과가 반환되고, 그 확인 항목에 대해서 인증되었다고 여겨지면, 확인 완료 인증 항목 정보 부가 처리부(401e)로 계속해서 처리하라고 지시한다. 인증 서버 장치(300)로부터 확인 결과가 반환되어, 그 확인 항목에 대해서 인증되지 않았다고 여겨지면, 에러 메시지를 통신 데이터의 송신원인 이용자 단말 장치(100)로 송신한다.
확인 완료 인증 항목 정보 부가 처리부(401e)는 인증 요구부(401d)에 의해 확인 요구되고, 인증 서버 장치(300)에 의해 인증된 인증 항목을, 통신 데이터에 더 부가하여 통신 데이터 전송 처리부(401b)로 출력한다.
통신 데이터 전송 처리부(401b)는 확인 완료 인증 항목 정보 부가 처리부(401e)로부터 통신 데이터를 수취하면, 입출력 제어 인터페이스부(402)를 통해 다른 중계 서버 장치 또는 통신 데이터의 송신 목적지인 이용자 단말 장치(100)를 향해 그 통신 데이터를 전송한다.
다음에, 도 17에 도시된 요확인 인증 항목 테이블에 대해서 설명한다. 도 18은 도 17에 도시된 요확인 인증 항목 테이블을 설명하기 위한 도면이다. 동 도면에 도시된 바와 같이, 요확인 인증 항목 테이블은 요확인 인증 항목의 컬럼을 갖는다. 여기에는, 그 요확인 인증 항목 테이블이 저장되는 중계 서버 장치(400)가 통신 데이터의 송신원인 이용자 단말 장치(100)에 일정 수준 이상의 보안 수준 및 성능을 요구하는 단말 환경의 항목을 기억하고 있다.
다음에, 도 15에 도시된 네트워크 접속 단말 인증 시스템에 있어서 실행되는 네트워크 접속 단말 인증 처리의 처리에 대해서 설명한다. 도 19는 도 15에 도시된 네트워크 접속 단말 인증 시스템에서 실행되는 네트워크 접속 단말 인증 요구 처리의 처리 절차를 나타낸 흐름도로서, 특히, 중계 서버 장치(400)와, 인증 서버 장치(300)와의 사이에서 실행되는 처리에 대해서 설명하는 것이다.
동 도면에 도시된 바와 같이, 우선, 중계 서버 장치(400)의 확인 완료 인증 항목 추출부(401c)는 수신 데이터로부터 확인 완료 인증 항목의 추출을 행한다(단계 S301). 계속해서, 중계 서버 장치(400)의 인증 요구부(401d)는 그 중계 서버 장치에서 요확인으로 되는 인증 항목은 이미 확인 완료인지 여부를 판정한다(단계 S302). 그 중계 서버 장치에서 요확인으로 되는 인증 항목은 이미 확인 완료라고 판정된 경우는(단계 S302 긍정), 처리는 종료하고, 그 중계 서버 장치에서 요확인으로 되는 인증 항목은 이미 확인 완료라고 판정되지 않은 경우는(단계 S302 부정), 단계 S303으로 이동한다.
단계 S303에서는, 중계 서버 장치(400)의 인증 요구부(401d)는 그 중계 서버 장치(400)에서 요확인으로 되는 인증 항목에 대해서 인증 서버 장치(300)에 인증 요구를 송신한다.
중계 서버 장치(400)로부터의 인증 요구를 수신한 인증 서버 장치(300)에 있 어서, 이용자 단말 장치 해시값/평가값 산출부(301a)는 이용자 단말 장치(100)에 대하여, 지정되는 인증 항목과 동일한 종별의 레코드를 추출하여 송신하도록 지시한다. 그리고, 이용자 단말 장치(100)로부터 수신한 환경 정보를 해시화하여 이용자 단말 장치(100)로부터 수신한 환경 정보 및 해시값과 함께 이용자 단말 장치 환경 조회부(301b)로 출력한다. 이용자 단말 장치 환경 조회부(301b)는 이용자 단말 장치(100)로부터 수신한 해시값과, 이용자 단말 장치 해시값/평가값 산출부(301a)에 의해 해시화된 환경 정보를 비교하여 일치하는지 여부를 판정한다. 또한, 이용자 단말 장치(100)로부터 수신한 환경 정보를 바탕으로 단말 장치 환경 평가 정보 테이블(302a)을 참조하여 수신한 모든 환경 정보에 대응하는 평가값을 평가한다. 이와 같이 하여, 인증 서버 장치(300)에 있어서, 수신한 인증 항목에 대해서 인증이 행해지게 된다(단계 S304). 인증 서버 장치(300)는 이 인증 결과를 중계 서버 장치(400)로 송신한다(단계 S305).
인증 서버 장치(300)로부터 인증 결과를 수신한 중계 서버 장치(400)는 인증 결과가 긍정인지 여부를 판정하고(단계 S306), 인증 결과가 긍정이라고 판정된 경우에(단계 S306 긍정), 수신 데이터에 인증 긍정으로 된 인증 항목을 부가하여 다른 중계 서버 장치 또는 접속 목적지의 이용자 단말 장치로 전송한다(단계 S307). 한편, 인증 결과가 긍정이라고 판정되지 않은 경우에는(단계 S306 부정), 수신 데이터의 송신원인 이용자 단말 장치로 인증 에러를 송신하고, 다른 중계 서버 장치 또는 접속 목적지의 이용자 단말 장치로 통신 데이터를 전송하지 않는다(단계 S308).
상기 제1 실시예 내지 제3 실시예에서 설명한 각 처리는 미리 준비된 프로그램을 퍼스널 컴퓨터, 서버 장치 또는 워크스테이션 등의 컴퓨터·시스템으로 실행함으로써 실현할 수 있다. 그래서, 이하에서는, 상기 각 처리를 실현하는 컴퓨터·시스템의 일례에 대해서 설명한다.
도 20은 도 3, 도 5, 도 7, 도 12, 도 13에서 도시한 이용자 단말 장치(100), 디렉토리 서버 장치(200), 인증 서버 장치(300) 또는 중계 서버 장치(400)가 되는 컴퓨터·시스템의 하드웨어 구성을 도시한 도면이다. 이 컴퓨터·시스템은 이용자로부터의 데이터의 입력을 접수하는 입력 장치(90), 데이터를 표시하는 표시 장치(91), 각종 프로그램을 기록한 기록 매체로부터 프로그램을 판독하는 매체 판독 장치(92), 네트워크를 통해 다른 컴퓨터와의 사이에서 데이터를 주고받는 네트워크 인터페이스(93), RAM(Random Access Memory)(94), ROM(read only Memory)(95), CPU(Central Processing Unit)(96) 및 HDD(Hard Disk Drive)(97), 그 장치의 하드웨어 환경의 일종인 외장의 각종 주변 장치(99)를 버스(98)로 접속하여 구성된다.
그리고, HDD(97)에는 이용자 단말 장치(100), 디렉토리 서버 장치(200), 인증 서버 장치(300) 또는 중계 서버 장치(400)의 기능과 동일한 기능을 발휘하는 단말 장치 검증 프로그램(97c)이 기억되어 있다. 또한, 단말 장치 검증 프로그램(97c)은 적절하게 분산하여 기억하는 것으로 하여도 좋다. 그리고, CPU(96)가 단말 장치 검증 프로그램(97c)을 HDD(97)로부터 독출하여 실행함으로써, 단말 장치 검증 프로세스(96a)가 기동된다.
단말 장치 검증 프로세스(96a)는 도 3에 도시된 제1 실시예의 이용자 단말 장치(100)의 환경 정보 수집부(101b)의 기능부에 도 5에 도시된 제1 실시예의 디렉토리 서버 장치(200)의 이용자 단말 장치 인증 의뢰부(201a), 토큰 생성부(201b)의 각 기능부에 도 7에 도시된 제1 실시예의 인증 서버 장치(300)의 이용자 단말 장치 해시값/평가값 산출부(301a), 이용자 단말 장치 환경 조회부(301b)의 각 기능부에 대응한다. 또한, 단말 장치 검증 프로세스(96a)는 도 12에 도시된 제2 실시예의 디렉토리 서버 장치(200)의 이용자 단말 장치 인증 의뢰부(201a), 토큰 생성부(201b), 토큰 검증부(201d)의 각 기능부에 대응하고, 도 13에 도시된 제2 실시예의 중계 서버 장치(400)의 토큰 조회 의뢰부(401a)의 기능부에 대응하며, 도 17에 도시된 제3 실시예의 중계 서버 장치(400)의 확인 완료 인증 항목 추출부(401c), 인증 요구부(401d), 확인 완료 인증 항목 정보 부가 처리부(401e)의 각 기능부에 대응한다.
또한, HDD(97)에는 각종 데이터(97a)가 기억된다. 각종 데이터(97a)는 도 3에 도시된 제1 실시예의 이용자 단말 장치(100)의 기억부(102)에 기억되는 환경 정보 테이블(102a)의 데이터에 대응하고, 도 5 및 12에 도시된 제1 실시예 및 제2 실시예의 디렉토리 서버 장치(200)의 기억부(202)에 기억되는 토큰 관리 테이블(202a), 중계 서버 장치 라우팅 설정 테이블(202b), 중계 서버 장치 리스트 테이블(202c), 접속 단말 기록 테이블(202d)의 각 데이터에 대응하며, 도 7에 도시된 제1 실시예의 인증 서버 장치(300)의 기억부(302)에 기억되는 단말 장치 환경 평가 정보 테이블의 데이터에 대응한다. 또한, 도 17에 도시된 제3 실시예의 중계 서버 장치(400)의 기억부(407)의 요확인 인증 항목 테이블(407a)의 데이터에 대응한다.
그리고, CPU(96)는 각종 데이터(97a) 또는 각종 애플리케이션(97b)을 HDD(97)에 기억시키고, 각종 데이터(97a) 또는 각종 애플리케이션(97b)을 HDD(97)로부터 독출하여 RAM(94)에 저장하며, RAM(94)에 저장된 각종 데이터(94a) 또는 각종 애플리케이션(94b)에 기초하여 각종 데이터 처리를 실행한다.
그런데, 단말 장치 검증 프로그램(97c)은 반드시 처음부터 HDD(97)에 기억시켜 둘 필요는 없다. 예컨대, 그 컴퓨터에 내장되는 플렉시블 디스크(FD), CD-ROM, DVD 디스크, 광자기 디스크, 집적 회로 탑재 카드 등의 「휴대용 물리 매체」 또는 컴퓨터의 내외에 구비되는 하드 다스크 드라이브(HDD) 등의 「고정용 물리 매체」, 나아가서는, 공중 회선, 인터넷, LAN, WAN 등을 통해 컴퓨터에 접속되는 「다른 컴퓨터(또는 서버)」 등에 각 프로그램을 기억시켜 두고, 컴퓨터가 이들로부터 각 프로그램을 독출하여 실행하도록 하여도 좋다.
이상, 본 발명의 실시예를 설명하였지만, 본 발명은 이것에 한정되지 않고, 특허청구범위에 기재한 기술적 사상의 범위 내에서 더욱 여러 가지의 다른 실시예로 실시되어도 좋다. 또한, 실시예에 기재한 효과는 이것에 한정되지 않는다.
상기 제1 실시예 내지 제3 실시예에서는, 이용자 단말 장치(100)가 인증 서버 장치(300)에서 인증되면, 디렉토리 서버 장치(200)는 이 이용자 단말 장치(100)에 대하여 일정 기간 유효한 토큰을 발행하는 것으로 하였다. 이용자 단말 장치(100)는 이 토큰을 접속 목적지 이용자 단말 장치(100)로의 통신 데이터에 부가함으로써, 통신 데이터가 중계 서버 장치(400)를 통과할 때에, 정당한 통신 데이터 인 것을 나타내고, 원활한 데이터 중계가 행해지도록 하는 것이 가능해진다. 그러나, 이 토큰에 한정되지 않고, 1회 한정의 일회용 패스워드인 원타임 패스워드 또는 티켓 등이어도 좋다.
상기 제1 실시예 내지 제3 실시예에서는, 디렉토리 서버 장치(200)와 인증 서버 장치(300)는 별개의 컴퓨터·시스템에 실장되는 것으로 하였다. 그러나, 이것에 한정되지 않고, 양자가 동일한 컴퓨터 시스템에 실장되는 것으로 하여도 좋다.
또한, 본 실시예에 있어서 설명한 각 처리 중, 자동적으로 행해지는 것으로서 설명한 처리의 전부 또는 일부를 수동적으로 행할 수도 있고, 혹은, 수동적으로 행해지는 것으로서 설명한 처리의 전부 또는 일부를 공지의 방법에 의해 자동적으로 행할 수도 있다.
이 밖에, 상기 문서 중이나 도면 중에서 나타낸 처리 절차, 제어 절차, 구체적 명칭, 각종 데이터나 파라미터를 포함하는 정보에 대해서는 특기하는 경우를 제외하고 임의로 변경할 수 있다.
또한, 도시한 각 장치의 각 구성 요소는 기능 개념적인 것으로서, 반드시 물리적으로 도시한 바와 같이 구성되어 있을 필요는 없다. 즉, 각 장치의 분산·통합의 구체적 형태는 도시한 것에 한정되지 않고, 그 전부 또는 일부를 각종 부하나 사용 상황 등에 따라 임의의 단위로 기능적 또는 물리적으로 분산·통합하여 구성할 수 있다.
또한, 각 장치에서 행해지는 각 처리 기능은 그 전부 또는 임의의 일부가 CPU 및 그 CPU에서 해석 실행되는 프로그램으로써 실현되거나 또는 와이어드 로직 에 의한 하드웨어로서 실현될 수 있다.
본 발명은 검역 네트워크에서, 그 검역 네트워크에 접속을 요구하는 컴퓨터를 인증하는 인증 기능의 실장의 효율성을 높이거나 인증 기능의 처리의 효율성을 높이고자 하는 경우에 유용하다.

Claims (28)

  1. 컴퓨터 네트워크에서 다른 단말 장치와의 통신을 요구하는 단말 장치를 인증하는 네트워크 접속 단말 인증 방법으로서,
    상기 단말 장치의 상기 다른 단말 장치와의 통신 요구에 따라 상기 단말 장치를 인증하는 네트워크 접속 단말 인증 장치의 인증 결과에 기초하여, 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 밖에서 상기 단말 장치를 인증하여 상기 다른 단말 장치와의 통신 가부를 판정하는 판정 공정과,
    상기 판정 공정에 의해 상기 다른 단말 장치와의 통신이 허가되면, 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 밖에서 기억되어 있는 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로에 관한 통신 경로 정보를 상기 단말 장치에 통지하고, 상기 판정 공정에 의해 상기 다른 단말 장치와의 통신이 허가된 것을 나타내는 인증 정보를 상기 단말 장치에 통지하는 것에 의해, 상기 단말 장치에서 상기 다른 단말 장치를 향한 데이터 및 상기 인증 정보가 상기 다른 단말 장치에 송신되는 정보 통지 공정
    을 포함한 것을 특징으로 하는 네트워크 접속 단말 인증 방법.
  2. 삭제
  3. 삭제
  4. 제1항에 있어서, 상기 정보 통지 공정은, 상기 단말 장치에서 상기 다른 단말 장치로 송신하는 데이터에 상기 인증 정보를 부가하여 송신되는 것을 특징으로 하는 네트워크 접속 단말 인증 방법.
  5. 제4항에 있어서, 상기 통신 경로 정보가 나타내는 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 상에서 상기 데이터를 수신한 중계 장치 또는 상기 다른 단말 장치에서, 상기 데이터에 부가되어 있는 상기 인증 정보에 기초하여 상기 단말 장치의 인증을 재차 요구하는 재인증 요구 공정을 더 포함하고,
    상기 판정 공정은 상기 네트워크 접속 단말 인증 장치의 재인증 결과에 기초하여, 상기 다른 단말 장치와의 통신 가부를 판정하는 것을 특징으로 하는 네트워크 접속 단말 인증 방법.
  6. 제5항에 있어서, 상기 판정 공정에 의해 상기 다른 단말 장치와의 통신이 허가되면, 상기 중계 장치로부터 다른 중계 장치 또는 상기 다른 단말 장치로 상기 데이터를 상기 인증 정보와 함께 전송하는 데이터 전송 공정을 더 포함한 것을 특징으로 하는 네트워크 접속 단말 인증 방법.
  7. 제4항에 있어서, 상기 정보 통지 공정은 상기 인증 정보와 함께 상기 인증의 기초가 되는 인증 항목을 더 부가하여 송신하는 것을 특징으로 하는 네트워크 접속 단말 인증 방법.
  8. 제7항에 있어서, 상기 통신 경로 정보가 나타내는 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 상에서 상기 데이터를 수신한 중계 장치에서, 상기 데이터에 부가되어 있는 상기 인증 항목 이외에 상기 중계 장치가 상기 단말 장치의 인증에서 요구되는 인증 항목에 기초하여 상기 단말 장치의 인증을 재차 요구하는 재인증 요구 공정을 더 포함하고,
    상기 판정 공정은 상기 네트워크 접속 단말 인증 장치의 재인증 결과에 기초하여, 상기 다른 단말 장치와의 통신 가부를 판정하는 것을 특징으로 하는 네트워크 접속 단말 인증 방법.
  9. 제8항에 있어서, 상기 판정 공정에 의해 상기 다른 단말 장치와의 통신이 허가되면, 상기 중계 장치로부터 다른 중계 장치 또는 상기 다른 단말 장치로, 상기 데이터 및 상기 인증 정보에, 상기 중계 장치가 상기 단말 장치의 인증의 기초가 되는 인증 항목을 더 부가하여 전송하는 데이터 전송 공정을 더 포함한 것을 특징으로 하는 네트워크 접속 단말 인증 방법.
  10. 컴퓨터 네트워크에서 다른 단말 장치와의 통신을 요구하는 단말 장치를 인증하는 네트워크 접속 단말 인증 프로그램을 기록한 컴퓨터로 판독 가능한 기록매체로서,
    상기 단말 장치의 상기 다른 단말 장치와의 통신 요구에 따라 상기 단말 장치를 인증하는 네트워크 접속 단말 인증 장치의 인증 결과에 기초하여, 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 밖에서 상기 단말 장치를 인증하여 상기 다른 단말 장치와의 통신 가부를 판정하는 판정 절차와,
    상기 판정 절차에 의해 상기 다른 단말 장치와의 통신이 허가되면, 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 밖에서 기억되어 있는 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로에 관한 통신 경로 정보를 상기 단말 장치에 통지하고, 상기 판정 절차에 의해 상기 다른 단말 장치와의 통신이 허가된 것을 나타내는 인증 정보를 상기 단말 장치에 통지하는 것에 의해, 상기 단말 장치에서 상기 다른 단말 장치를 향한 데이터 및 상기 인증 정보가 상기 다른 단말 장치에 송신되는 정보 통지 절차
    를 컴퓨터에 실행시키는 것을 특징으로 하는 네트워크 접속 단말 인증 프로그램을 기록한 컴퓨터로 판독 가능한 기록매체.
  11. 삭제
  12. 삭제
  13. 제10항에 있어서, 상기 정보 통지 절차는 상기 단말 장치에서 상기 다른 단말 장치로 송신하는 데이터에 상기 인증 정보를 부가하여 송신되는 것을 특징으로 하는 네트워크 접속 단말 인증 프로그램을 기록한 것을 특징으로 하는 네트워크 접속 단말 인증 프로그램을 기록한 컴퓨터로 판독 가능한 기록매체.
  14. 제13항에 있어서, 상기 통신 경로 정보가 나타내는 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 상에서 상기 데이터를 수신한 중계 장치 또는 상기 다른 단말 장치에서, 상기 데이터에 부가되어 있는 상기 인증 정보에 기초하여 상기 단말 장치의 인증을 재차 요구하는 재인증 요구 절차를 컴퓨터에 더 실행시키고,
    상기 판정 절차는 상기 네트워크 접속 단말 인증 장치의 재인증 결과에 기초하여, 상기 다른 단말 장치와의 통신 가부를 판정하는 것을 특징으로 하는 네트워크 접속 단말 인증 프로그램을 기록한 컴퓨터로 판독 가능한 기록매체.
  15. 제14항에 있어서, 상기 판정 정차에 의해 상기 다른 단말 장치와의 통신이 허가되면, 상기 중계 장치로부터 다른 중계 장치 또는 상기 다른 단말 장치로 상기 데이터를 상기 인증 정보와 함께 전송하는 데이터 전송 절차를 컴퓨터에 더 실행시키는 것을 특징으로 하는 네트워크 접속 단말 인증 프로그램을 기록한 컴퓨터로 판독 가능한 기록매체.
  16. 제13항에 있어서, 상기 정보 통지 절차는 상기 인증 정보와 함께 상기 인증의 기초가 되는 인증 항목을 더 부가하여 송신하는 것을 특징으로 하는 네트워크 접속 단말 인증 프로그램을 기록한 컴퓨터로 판독 가능한 기록매체.
  17. 제16항에 있어서, 상기 통신 경로 정보가 나타내는 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 상에서 상기 데이터를 수신한 중계 장치에서, 상기 데이터에 부가되어 있는 상기 인증 항목 이외에 상기 중계 장치가 상기 단말 장치의 인증에서 요구되는 인증 항목에 기초하여 상기 단말 장치의 인증을 재차 요구하는 재인증 요구 절차를 더 포함하고,
    상기 판정 절차는 상기 네트워크 접속 단말 인증 장치의 재인증 결과에 기초하여 상기 다른 단말 장치와의 통신 가부를 판정하는 것을 특징으로 하는 네트워크 접속 단말 인증 프로그램을 기록한 컴퓨터로 판독 가능한 기록매체.
  18. 제17항에 있어서, 상기 판정 절차에 의해 상기 다른 단말 장치와의 통신이 허가되면, 상기 중계 장치로부터 다른 중계 장치 또는 상기 다른 단말 장치로, 상기 데이터 및 상기 인증 정보에, 상기 중계 장치가 상기 단말 장치의 인증의 기초가 되는 인증 항목을 더 부가하여 전송하는 데이터 전송 절차를 더 포함한 것을 특징으로 하는 네트워크 접속 단말 인증 프로그램을 기록한 컴퓨터로 판독 가능한 기록매체.
  19. 컴퓨터 네트워크에서 다른 단말 장치와의 통신을 요구하는 단말 장치를 인증하는 네트워크 접속 단말 인증 장치로서,
    상기 단말 장치의 상기 다른 단말 장치와의 통신 요구에 따라 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 밖에서 상기 단말 장치를 인증하여 그 다른 단말 장치와의 통신 가부를 판정하는 단말 장치 인증 수단을 포함하고,
    상기 단말 장치 인증 수단은 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 상에 배치되는 중계 장치 또는 상기 다른 단말 장치로부터의 요구에 따라 상기 단말 장치를 재차 인증하여 상기 다른 단말 장치와의 통신 가부를 판정하는 것을 특징으로 하는 네트워크 접속 단말 인증 장치.
  20. 삭제
  21. 컴퓨터 네트워크에서 다른 단말 장치와의 통신을 요구하는 단말 장치와 상기 다른 단말 장치와의 통신 경로에 관한 통신 경로 정보를 기억하는 통신 경로 정보 기억 장치로서,
    상기 단말 장치를 인증하는 네트워크 접속 단말 인증 장치의 인증 결과에 기초하여, 상기 단말 장치와 상기 다른 단말 장치와의 통신 경로 밖에서 상기 다른 단말 장치와의 통신 가부를 판정하는 판정 수단과,
    상기 판정 수단에 의해 상기 다른 단말 장치와의 통신이 허가되면, 상기 통신 경로 정보를 상기 단말 장치에 통지하고, 상기 판정 수단에 의해 상기 다른 단말 장치와의 통신이 허가된 것을 나타내는 인증 정보를 상기 단말 장치에 통지하는 것에 의해, 상기 단말 장치에서 상기 다른 단말 장치를 향한 데이터 및 상기 인증 정보가 상기 다른 단말 장치에 송신되는 정보 통지 수단
    을 포함한 것을 특징으로 하는 통신 경로 정보 기억 장치.
  22. 제21항에 있어서, 상기 정보 통지 수단은 상기 단말 장치에서 상기 다른 단말 장치로 송신하는 데이터에 상기 인증 정보를 부가하여 송신되는 것을 특징으로 하는 통신 경로 정보 기억 장치.
  23. 컴퓨터 네트워크에서의 다른 단말 장치와의 통신 경로 밖에 배치되는 네트워 크 접속 단말 인증 장치에 대하여 자기 장치의 인증을 요구하는 단말 장치로서,
    상기 네트워크 접속 단말 인증 장치에 의해 인증되면, 상기 다른 단말 장치를 향해 데이터의 송신을 시작하는 데이터 송신 수단을 포함하고,
    상기 데이터 송신 수단은 상기 네트워크 접속 단말 인증 장치에 의해 자기 장치가 인증된 것을 나타내는 인증 정보를 상기 데이터에 부가하여 송신하는 것을 특징으로 하는 단말 장치.
  24. 제23항에 있어서, 상기 데이터 송신 수단은 상기 네트워크 접속 단말 인증 장치에 의한 자기 장치의 인증의 기초가 되는 인증 항목을 상기 데이터에 더 부가하여 송신하는 것을 특징으로 하는 단말 장치.
  25. 단말 장치와 다른 단말 장치와의 통신 경로 상에 배치되고, 상기 단말 장치가 네트워크 접속 단말 인증 장치에 의해 인증됨에 따라 상기 다른 단말 장치로 송신한 데이터를 중계하는 중계 장치로서,
    상기 데이터에 부가되어 있는 상기 네트워크 접속 단말 인증 장치에 의해 상기 단말 장치가 인증된 것을 나타내는 인증 정보에 기초하여 상기 단말 장치의 인증을 재차 요구하는 재인증 요구 수단을 포함한 것을 특징으로 하는 중계 장치.
  26. 제25항에 있어서, 상기 단말 장치로부터의 요구에 따라 상기 단말 장치를 재차 인증하여 상기 다른 단말 장치와의 통신 가부를 판정하는 상기 네트워크 접속 단말 인증 장치에 의해 상기 단말 장치가 재차 인증되면, 다른 중계 장치 또는 상기 다른 단말 장치로 상기 데이터를 상기 인증 정보와 함께 전송하는 데이터 전송 수단을 더 포함한 것을 특징으로 하는 중계 장치.
  27. 단말 장치와 다른 단말 장치와의 통신 경로 상에 배치되고, 상기 단말 장치가 네트워크 접속 단말 인증 장치에 의해 인증됨에 따라 상기 다른 단말 장치로 송신한 데이터를 중계하는 중계 장치로서,
    상기 데이터에 부가되어 있는 상기 네트워크 접속 단말 인증 장치에 의해 상기 단말 장치가 인증될 때에 기초한 인증 항목에 기초하여 상기 단말 장치의 인증을 재차 요구하는 재인증 요구 수단을 포함한 것을 특징으로 하는 중계 장치.
  28. 제27항에 있어서, 상기 단말 장치로부터의 요구에 따라 상기 단말 장치를 재차 인증하여 상기 다른 단말 장치와의 통신 가부를 판정하는 상기 네트워크 접속 단말 인증 장치에 의해 상기 단말 장치가 재차 인증되면, 다른 중계 장치 또는 상기 다른 단말 장치로 상기 데이터에 상기 인증 항목을 부가하여 전송하는 데이터 전송 수단을 더 포함한 것을 특징으로 하는 중계 장치.
KR1020097004359A 2006-08-31 2006-08-31 네트워크 접속 단말 인증 방법, 네트워크 접속 단말 인증 프로그램을 기록한 기록 매체 및 네트워크 접속 단말 인증 장치 KR101043709B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2006/317237 WO2008026288A1 (fr) 2006-08-31 2006-08-31 Procédé d'authentification de dispositif terminal connecté à un réseau, programme d'authentification de dispositif terminal connecté à un réseau et appareil d'authentification de dispositif terminal connecté à un réseau

Publications (2)

Publication Number Publication Date
KR20090035037A KR20090035037A (ko) 2009-04-08
KR101043709B1 true KR101043709B1 (ko) 2011-06-24

Family

ID=39135580

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020097004359A KR101043709B1 (ko) 2006-08-31 2006-08-31 네트워크 접속 단말 인증 방법, 네트워크 접속 단말 인증 프로그램을 기록한 기록 매체 및 네트워크 접속 단말 인증 장치

Country Status (6)

Country Link
US (1) US20090165095A1 (ko)
EP (1) EP2058748A1 (ko)
JP (1) JP4983797B2 (ko)
KR (1) KR101043709B1 (ko)
CN (1) CN101506819B (ko)
WO (1) WO2008026288A1 (ko)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100017889A1 (en) * 2008-07-17 2010-01-21 Symantec Corporation Control of Website Usage Via Online Storage of Restricted Authentication Credentials
US8898453B2 (en) * 2010-04-29 2014-11-25 Blackberry Limited Authentication server and method for granting tokens
CN101977178A (zh) * 2010-08-09 2011-02-16 中兴通讯股份有限公司 基于中继的媒体通道建立方法及系统
US9060273B2 (en) 2012-03-22 2015-06-16 Blackberry Limited Authentication server and methods for granting tokens comprising location data
US9003189B2 (en) * 2012-09-11 2015-04-07 Verizon Patent And Licensing Inc. Trusted third party client authentication
JP6347107B2 (ja) * 2013-01-18 2018-06-27 株式会社リコー 通信管理システム、通信制御システム、通信システム、中継装置、通信方法、及びプログラム
JP6287401B2 (ja) * 2014-03-18 2018-03-07 富士ゼロックス株式会社 中継装置、システム及びプログラム
CN105577624B (zh) 2014-10-17 2019-09-10 阿里巴巴集团控股有限公司 客户端交互方法与客户端以及服务器
US10565364B1 (en) 2015-12-28 2020-02-18 Wells Fargo Bank, N.A. Token management systems and methods
CN109561429B (zh) * 2017-09-25 2020-11-17 华为技术有限公司 一种鉴权方法及设备
US10938641B1 (en) * 2018-11-09 2021-03-02 Amazon Technologies, Inc. On-demand development environment
JP7360087B2 (ja) * 2019-09-30 2023-10-12 サクサ株式会社 セキュリティ監視装置及びセキュリティ監視方法
WO2021146801A1 (en) * 2020-01-21 2021-07-29 Datacast360 Inc. Secure data transfer system
JP7128565B2 (ja) * 2020-07-03 2022-08-31 株式会社ポリテック 発信元端末、通信システム、通信方法、及びプログラム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005191830A (ja) * 2003-12-25 2005-07-14 Oki Electric Ind Co Ltd 認識システムおよび情報端末装置の認識方法
JP2006166028A (ja) * 2004-12-07 2006-06-22 Ntt Data Corp Vpn接続構築システム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4349789B2 (ja) 2002-11-06 2009-10-21 富士通株式会社 安全性判断装置及び安全性判断方法
US7356601B1 (en) * 2002-12-18 2008-04-08 Cisco Technology, Inc. Method and apparatus for authorizing network device operations that are requested by applications
JP4881538B2 (ja) * 2003-06-10 2012-02-22 株式会社日立製作所 コンテンツ送信装置およびコンテンツ送信方法
US20050213580A1 (en) * 2004-03-24 2005-09-29 Georg Mayer System and method for enforcing policies directed to session-mode messaging
WO2006035928A1 (ja) * 2004-09-30 2006-04-06 Tamura Corporation Ip電話端末装置、呼制御サーバ、ワクチンサーバ、保守用装置、ip電話システム、これらの制御方法及びプログラム
ZA200508074B (en) * 2004-10-14 2007-12-27 Microsoft Corp System and methods for providing network quarantine using ipsec
US20060085850A1 (en) * 2004-10-14 2006-04-20 Microsoft Corporation System and methods for providing network quarantine using IPsec

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005191830A (ja) * 2003-12-25 2005-07-14 Oki Electric Ind Co Ltd 認識システムおよび情報端末装置の認識方法
JP2006166028A (ja) * 2004-12-07 2006-06-22 Ntt Data Corp Vpn接続構築システム

Also Published As

Publication number Publication date
WO2008026288A1 (fr) 2008-03-06
CN101506819A (zh) 2009-08-12
EP2058748A1 (en) 2009-05-13
CN101506819B (zh) 2011-07-27
JP4983797B2 (ja) 2012-07-25
KR20090035037A (ko) 2009-04-08
US20090165095A1 (en) 2009-06-25
JPWO2008026288A1 (ja) 2010-01-14

Similar Documents

Publication Publication Date Title
KR101043709B1 (ko) 네트워크 접속 단말 인증 방법, 네트워크 접속 단말 인증 프로그램을 기록한 기록 매체 및 네트워크 접속 단말 인증 장치
JP5038531B2 (ja) 信頼できる機器に限定した認証
EP1645971B1 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
US20040186880A1 (en) Management apparatus, terminal apparatus, and management system
JP5309496B2 (ja) 認証システムおよび認証方法
EP2381383A1 (en) Server authentication method and client terminal
CN102739664B (zh) 提高网络身份认证安全性的方法和装置
GB2372595A (en) Method of and apparatus for ascertaining the status of a data processing environment.
JP2004201046A (ja) 無線ネットワークのアクセス認証技術
KR100991479B1 (ko) 컴퓨터 자원 검증 방법 및 컴퓨터 자원 검증 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체
CN108701308B (zh) 用于基于区块链发布公共证书的系统、及使用该系统的用于基于区块链发布公共证书的方法
JP2007257500A (ja) 被認証装置、被認証プログラム、被認証方法、WebブラウザプラグインおよびWebブラウザブックマークレット
US20030055966A1 (en) Information processing system
JP2012064007A (ja) 情報処理装置、通信中継方法およびプログラム
JP2011100411A (ja) 認証代行サーバ装置、認証代行方法及びプログラム
JP5252721B2 (ja) 情報提供サーバ
JP2003258795A (ja) コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム
JP2009010807A (ja) 情報処理システム、セキュリティ診断プログラム、処理実行制御プログラム及び情報処理装置
JP2005301424A (ja) 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム
KR102558821B1 (ko) 사용자 및 디바이스 통합 인증 시스템 및 그 방법
JP2010277144A (ja) ユーザ認証システム、ユーザ端末、ログ認証サーバ、ユーザ認証方法およびプログラム
JP2014026348A (ja) 情報流通システム、認証連携方法、装置及びそのプログラム
JP2004220075A (ja) ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム
CN109684818A (zh) 一种防止机主登录密码泄露的跨终端式的服务器登录方法
JP7120033B2 (ja) Webサーバ、ログイン判定方法及びプログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee