Nothing Special   »   [go: up one dir, main page]

JP2009193326A - Authentication system, authentication method and server - Google Patents

Authentication system, authentication method and server Download PDF

Info

Publication number
JP2009193326A
JP2009193326A JP2008033251A JP2008033251A JP2009193326A JP 2009193326 A JP2009193326 A JP 2009193326A JP 2008033251 A JP2008033251 A JP 2008033251A JP 2008033251 A JP2008033251 A JP 2008033251A JP 2009193326 A JP2009193326 A JP 2009193326A
Authority
JP
Japan
Prior art keywords
authentication
user
permission information
terminal
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008033251A
Other languages
Japanese (ja)
Inventor
Yasubumi Chimura
保文 千村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2008033251A priority Critical patent/JP2009193326A/en
Publication of JP2009193326A publication Critical patent/JP2009193326A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an authentication system capable of also coping with terminal authentication of a radio LAN without depending on a sort of a tunneling communication system, having high user's operability and capable of improving security strength. <P>SOLUTION: The authentication system includes: a call control means; an authentication permission information provision means for call-connecting with a telephone terminal operated by a registered user by call control of the call control means, receiving a request from the telephone terminal, generating authentication permission information necessary for the authentication of an access destination, and providing the generated authentication permission information to the telephone terminal and an access control means; the access control means for determining whether authentication permission information acquired from a user terminal requesting connection to the access destination coincides with the generated authentication permission information or not; and an authentication means for authenticating the access destination by the user terminal. The telephone terminal inputs the authentication permission information to the user terminal as sound information, and the user terminal provides the authentication permission information input from the telephone terminal as the sound information to the access control means. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、認証システム、認証方法及びサーバに関し、例えば、パケットネットワークを介して、企業ネットワークに遠隔地からセキュアな通信を行う認証システムに適用し得るものである。   The present invention relates to an authentication system, an authentication method, and a server, and can be applied to an authentication system that performs secure communication from a remote location to a corporate network via, for example, a packet network.

従来、例えば企業ネットワークに対して遠隔地から接続するためには、ワンタイムパスワード生成装置などを用いてユーザ認証を行い、その上で例えばSSL−VPNなどを接続する手法が一般的である。   Conventionally, in order to connect to a corporate network from a remote location, for example, a method of performing user authentication using a one-time password generation device or the like and then connecting, for example, SSL-VPN or the like is common.

このユーザ認証において、非特許文献1には、ユーザが端末からログインを実行した際に、認証サーバが電話回線網を介して、ユーザの登録済みの携帯電話などにコールバックすることで認証を行い、端末及び携帯電話での認証が成功した場合にのみ、企業ネットワークシステムの使用を許可する方法が開示されている。   In this user authentication, Non-Patent Document 1 describes that when a user logs in from a terminal, the authentication server performs authentication by calling back to the user's registered mobile phone via the telephone line network. A method of permitting use of a corporate network system only when authentication with a terminal and a mobile phone is successful is disclosed.

また、非特許文献1では、その応用として、端末からユーザ端末認証と同時に、認証サーバに登録されている携帯電話から認証サーバへ発信し、パスワードを入力することで、既に登録されている携帯電話の発番号とパスワードの合致により認証を行う方法も示している。この場合、ユーザ端末において入力するユーザIDとパスワード、そして携帯電話から入力するパスワードの3つの組み合わせを記憶している必要がある。   In addition, in Non-Patent Document 1, as an application, a mobile phone that has already been registered by transmitting from the mobile phone registered in the authentication server to the authentication server and inputting a password simultaneously with user terminal authentication from the terminal It also shows how to authenticate by matching the calling number and password. In this case, it is necessary to store three combinations of a user ID and password input at the user terminal and a password input from the mobile phone.

特許文献1及び2では、企業ネットワーク側にパスワード発行サーバを設置し、携帯電話からパスワード発行サーバに接続し、取得したワンタイムパスワードをユーザ端末に入力することにより、ログイン時にパスワードを記憶するユーザ負荷を軽減するユーザ認証方法を示している。   In Patent Documents 1 and 2, a user load for storing a password at the time of login by installing a password issuing server on the corporate network side, connecting to the password issuing server from a mobile phone, and inputting the acquired one-time password into the user terminal Shows a user authentication method for reducing the problem.

特開2007−102777号公報JP 2007-102777 A 特開2007−102778号公報JP 2007-102778 A “Products情報 携帯電話認証サービス 「Secure Call」”,サードネットワークス株式会社,2007年12月17日検索,インターネット,URL:http://www.thirednetworks.co.jp/sc/03ser02.html“Products Information Mobile Phone Authentication Service“ Secure Call ””, Third Networks Co., Ltd., December 17, 2007 search, Internet, URL: http://www.thirednetworks.co.jp/sc/03ser02.html

しかしながら、上述した従来技術は、以下に示すような問題が生じ得る。   However, the above-described conventional technology can cause the following problems.

非特許文献1に記載の技術において、遠隔地と企業ネットワーク間で接続する通信パスは、ユーザ端末上のソフトと企業ネットワーク内のVPN制御装置の方式に依存する。一般的には、SSL−VPNなどに依存し、遠隔地に認証を必要とする無線LAN端末を設置することはできない。   In the technology described in Non-Patent Document 1, the communication path connecting between a remote place and the corporate network depends on the software on the user terminal and the method of the VPN control device in the corporate network. Generally, a wireless LAN terminal that requires authentication at a remote place cannot be installed depending on SSL-VPN or the like.

また、非特許文献1に記載の技術において、ユーザ認証に用いる電話端末は、あらかじめ電話番号が登録された端末のみであり、かつ公衆電話網からの発番号通知ができる端末に限定されるため、PBXの内線電話や海外からのローミングの際には利用できない。   Further, in the technique described in Non-Patent Document 1, the telephone terminal used for user authentication is only a terminal in which a telephone number is registered in advance, and is limited to a terminal that can send a calling number from a public telephone network. It cannot be used for PBX extension calls or roaming from overseas.

更に、非特許文献1に記載の技術において、認証制御は、遠隔地と企業ネットワークの通信パスの開通時の制御のみであり、一旦開通したユーザ端末を遠隔地から切断することができない。   Furthermore, in the technique described in Non-Patent Document 1, authentication control is only control at the time of opening a communication path between a remote place and a corporate network, and a user terminal once opened cannot be disconnected from the remote place.

特許文献1及び2に記載の技術では、非特許文献1の技術での必須要件である3つの入力要素(ユーザ端末からユーザID及びパスワード入力、携帯電話からのパスワード入力)についてユーザの負荷を軽減している。しかし、ユーザ認証を行うための電話端末には携帯電話など画面表示が必須となり、使用できる端末が限定される。また、携帯電話で得たパスワードはユーザ端末へ手入力しなければならず、入力ミスが発生する可能性がある。   In the technologies described in Patent Documents 1 and 2, the load on the user is reduced for the three input elements (user ID and password input from the user terminal and password input from the mobile phone), which are essential requirements in the technology of Non-Patent Document 1. is doing. However, a screen display such as a mobile phone is indispensable for a telephone terminal for user authentication, and the terminals that can be used are limited. In addition, the password obtained with the mobile phone must be manually input to the user terminal, which may cause an input error.

非特許文献1、特許文献1及び特許文献2の技術はいずれも、遠隔地のユーザ端末から企業ネットワークシステムへアクセスする際のユーザを認証するものであり、使用する端末やユーザネットワーク(無線LANなど)を限定していない。従って、ユーザの使用する端末やネットワークに脆弱性がある場合、セキュリティの強度は弱くなる。   All of the techniques of Non-Patent Document 1, Patent Document 1 and Patent Document 2 authenticate a user when accessing a corporate network system from a remote user terminal, and use a terminal or a user network (such as a wireless LAN). ) Is not limited. Therefore, if the terminal or network used by the user is vulnerable, the security strength is weakened.

そのため、SSL−VPNなどのネットワーク上をトンネリングする通信方式の種別に依存することなく、無線LANの端末認証にも対応することができ、ユーザの操作性が良くセキュリティ強度の高い認証システム、認証方法及びサーバが求められている。   Therefore, it is possible to cope with terminal authentication of a wireless LAN without depending on the type of a communication method for tunneling over a network such as SSL-VPN, and an authentication system and authentication method with high user-friendliness and high security strength. And a server is sought.

かかる課題を解決するために、第1の本発明の認証システムは、(1)音声通信網を通じて受信した呼接続要求に応じて呼接続を行う呼制御手段と、(2)呼制御手段の呼制御により、予め登録された登録ユーザによって操作された電話端末と呼接続を行い、電話端末から認証許可情報の取得要求を受けると、アクセス先の認証に必要な認証許可情報を生成し、その認証許可情報を音情報として電話端末及びアクセス制御手段に与える認証許可情報提供手段と、(3)ネットワークを通じてアクセス先へのアクセス制御を行うものであって、アクセス先への接続要求をしてきたユーザ端末に対してアクセス先への認証に必要な認証許可情報を要求し、ユーザ端末から取得した認証許可情報が認証許可情報提供手段から受け取った認証許可情報と一致するか否かを判断するアクセス制御手段と、(4)アクセス制御手段によりユーザ端末からの認証許可情報が正当である場合、予め登録されているユーザ識別情報とユーザ端末からのユーザ識別情報に基づいてアクセス先への認証を行う認証手段とを備え、(5)電話端末は、認証許可情報提供手段から取得した認証許可情報を音情報としてユーザ端末に入力するものであり、(6)ユーザ端末は、電話端末から音情報として入力された認証許可情報をアクセス制御手段に与えるものであることを特徴とする。   In order to solve this problem, an authentication system according to a first aspect of the present invention includes (1) call control means for performing call connection in response to a call connection request received through a voice communication network, and (2) a call of the call control means. Under control, a call connection is made with a telephone terminal operated by a registered user registered in advance, and upon receipt of a request for obtaining authentication permission information from the telephone terminal, authentication permission information necessary for authentication of the access destination is generated and the authentication is performed. Authentication permission information providing means for giving permission information as sound information to the telephone terminal and the access control means; and (3) a user terminal that performs access control to the access destination through the network and has made a connection request to the access destination. Authentication permission information required for authentication to the access destination, and the authentication permission information acquired from the user terminal is received Access control means for determining whether or not they match, and (4) when the authentication permission information from the user terminal is valid by the access control means, the user identification information registered in advance and the user identification information from the user terminal And (5) the telephone terminal inputs the authentication permission information acquired from the authentication permission information providing means to the user terminal as sound information, and (6) the user. The terminal is characterized in that the authentication permission information input as sound information from the telephone terminal is given to the access control means.

第2の本発明の認証方法は、アクセス先への接続要求を行うユーザの認証を行う認証方法であって、(1)呼制御手段が、音声通信網を通じて受信したユーザの電話端末からの呼接続要求に応じて呼接続を行う呼制御工程と、(2)認証許可情報提供手段が、呼制御手段の呼制御により、予め登録された登録ユーザによって操作された電話端末と呼接続を行い、電話端末から認証許可情報の取得要求を受けると、アクセス先の認証に必要な認証許可情報を生成し、その認証許可情報を音情報として電話端末及びアクセス制御手段に与える認証許可情報提供工程と、(3)アクセス制御手段が、ネットワークを通じてアクセス先へのアクセス制御を行うものであって、アクセス先への接続要求をしてきたユーザ端末に対してアクセス先への認証に必要な認証許可情報を要求し、ユーザ端末から取得した認証許可情報が認証許可情報提供手段から受け取った認証許可情報と一致するか否かを判断するアクセス制御工程と、(4)認証手段が、アクセス制御手段によりユーザ端末からの認証許可情報が正当である場合、予め登録されているユーザ識別情報とユーザ端末からのユーザ識別情報に基づいてアクセス先への認証を行う認証工程とを有し、(5)電話端末は、認証許可情報提供手段から取得した認証許可情報を音情報としてユーザ端末に入力し、(6)ユーザ端末は、電話端末から音情報として入力された認証許可情報をアクセス制御手段に与えることを特徴とする。   An authentication method according to a second aspect of the present invention is an authentication method for authenticating a user who makes a connection request to an access destination. (1) A call control means receives a call from a user's telephone terminal received through a voice communication network. A call control step for performing a call connection in response to a connection request, and (2) an authentication permission information providing unit performs a call connection with a telephone terminal operated by a registered user registered in advance by call control of the call control unit, Upon receiving a request for acquiring authentication permission information from the telephone terminal, an authentication permission information providing step for generating authentication permission information necessary for authentication of the access destination and giving the authentication permission information to the telephone terminal and the access control means as sound information; (3) The access control means controls access to the access destination through the network, and authenticates the access destination for the user terminal that has made a connection request to the access destination. An access control step for requesting necessary authentication permission information and determining whether or not the authentication permission information acquired from the user terminal matches the authentication permission information received from the authentication permission information providing unit; and (4) the authentication unit includes: If the authentication permission information from the user terminal is valid by the access control means, the authentication step for performing authentication to the access destination based on the user identification information registered in advance and the user identification information from the user terminal, (5) The telephone terminal inputs the authentication permission information acquired from the authentication permission information providing means to the user terminal as sound information, and (6) the user terminal performs access control on the authentication permission information input as sound information from the telephone terminal. It is characterized by giving to a means.

第3の本発明のサーバは、ネットワークを通じてアクセス先への接続要求をする際に、アクセス制御手段によりアクセス先の認証処理に必要な認証許可情報をユーザの電話端末に提供するサーバであって、(1)音声通信網を通じて、呼制御手段の呼制御により、予め登録された登録ユーザによって操作された電話端末と呼接続を行い、電話端末から認証許可情報の取得要求を受けると、アクセス先の認証に必要な認証許可情報を生成し、その認証許可情報を音情報として電話端末及びアクセス制御手段に与える認証許可情報提供手段を備えることを特徴とする。   A server according to a third aspect of the present invention is a server for providing authentication permission information necessary for authentication processing of an access destination to a user's telephone terminal by an access control means when making a connection request to the access destination through a network, (1) When a call connection is made with a telephone terminal operated by a registered user registered in advance by call control of the call control means through a voice communication network, and an acquisition request for authentication permission information is received from the telephone terminal, An authentication permission information providing unit that generates authentication permission information necessary for authentication and gives the authentication permission information to the telephone terminal and the access control unit as sound information is provided.

本発明によれば、トンネリング通信方式の種別に依存することなく、無線LANの端末認証にも対応することができ、ユーザの操作性が良くセキュリティ強度の高くすることができる。   According to the present invention, it is possible to cope with terminal authentication of a wireless LAN without depending on the type of the tunneling communication method, and it is possible to improve the user's operability and increase the security strength.

(A)第1の実施形態
以下では、本発明の認証システム、方法及びサーバの第1の実施形態を図面を参照して説明する。 (A) 1st Embodiment Below, the 1st Embodiment of the authentication system of this invention, a method, and a server is described with reference to drawings.

第1の実施形態において、本発明は、企業内で使用しているユーザ認証、端末認証を用いて、各種トンネリングを遠隔地と企業ネットワーク間で用いるものである。また、このことにより、遠隔地に設置した無線LANアクセスポイントなどを社内と同じ認証サーバを用いて接続することができる。   In the first embodiment, the present invention uses various types of tunneling between a remote location and a corporate network using user authentication and terminal authentication used in the enterprise. In addition, this makes it possible to connect a wireless LAN access point or the like installed at a remote location using the same authentication server as in the company.

第1の実施形態の構成において、ユーザ認証をする際には、ユーザが確かに企業から許可されたユーザであるかを識別するために電話端末を利用する。ただし、使用する電話端末の機能や機種に依存しなくてよいように、ユーザ認証操作は企業ネットワーク内のPBX及びボイスメール装置を用いて、音声メッセージにより行うものとする。   In the configuration of the first embodiment, when user authentication is performed, a telephone terminal is used to identify whether the user is indeed a user authorized by a company. However, it is assumed that the user authentication operation is performed by a voice message using the PBX and the voice mail device in the corporate network so that it does not depend on the function and model of the telephone terminal to be used.

さらに、最近のPCでは音声入力機能がある点に着目し、電話端末で取得した音声メッセージをそのままユーザ端末であるPCに入力することで入力ミスを軽減することができるものとする。   Furthermore, focusing on the fact that recent PCs have a voice input function, it is possible to reduce input errors by directly inputting voice messages acquired by telephone terminals to a PC that is a user terminal.

(A−1)第1の実施形態の構成
図1は、第1の実施形態の通信システム100の全体構成を示す構成図である。図1において、第1の実施形態の通信システム100は、ユーザ端末1、パケットネットワーク(PNW)2、VPN装置3、認証サーバ4、企業ネットワーク5、PBX6、音声メール(VM)装置7、電話網8、電話端末9を少なくとも有して構成される。 (A-1) Configuration of First Embodiment FIG. 1 is a configuration diagram illustrating an overall configuration of a communication system 100 according to the first embodiment. In FIG. 1, a communication system 100 according to the first embodiment includes a user terminal 1, a packet network (PNW) 2, a VPN device 3, an authentication server 4, a corporate network 5, a PBX 6, a voice mail (VM) device 7, and a telephone network. 8. At least a telephone terminal 9 is provided.

ユーザ端末1は、パケットネットワーク2を介してVPN装置3と接続され、認証サーバ4による認証が成功した場合に企業ネットワーク5にあるシステムと接続するものである。また、ユーザ端末1は、通信機能を備えるユーザ端末であり、例えば、パーソナルコンピュータ(ノード型、デスクトップ型のいずれも含む概念)等を適用することができる。   The user terminal 1 is connected to the VPN apparatus 3 via the packet network 2 and is connected to a system in the corporate network 5 when authentication by the authentication server 4 is successful. The user terminal 1 is a user terminal having a communication function, and for example, a personal computer (a concept including both a node type and a desktop type) can be applied.

図2は、ユーザ端末1の主な内部構成を示す構成図である。図2において、ユーザ端末1は、VPN実行機能部11、音声入力部2を少なくとも有する。   FIG. 2 is a configuration diagram illustrating a main internal configuration of the user terminal 1. In FIG. 2, the user terminal 1 has at least a VPN execution function unit 11 and a voice input unit 2.

VPN実行機能部11は、パケットネットワーク2を介して、VPN装置3との間でトンネリングパスを形成して、セキュアな通信を実現するものである。VPN実行機能部11は、VPN装置3が採用するトンネリング方法に応じたものを採用することができる。   The VPN execution function unit 11 forms a tunneling path with the VPN apparatus 3 via the packet network 2 to realize secure communication. As the VPN execution function unit 11, a unit corresponding to the tunneling method employed by the VPN apparatus 3 can be employed.

音声入力部12は、ユーザ端末1が備える既存のマイクなどを適用することができる。音声入力部12は、後述するように、電話端末1から発音されるユーザパスワードを捕捉し、その捕捉したユーザパスワードをVPN実行機能部11に与える。   The voice input unit 12 can apply an existing microphone or the like included in the user terminal 1. As will be described later, the voice input unit 12 captures a user password generated by the telephone terminal 1 and provides the captured user password to the VPN execution function unit 11.

パケットネットワーク2は、例えばインターネットに代表されるパケット通信網である。第1の実施形態では、通信プロトコルとしてIP(インターネットプロトコル)を採用したものを想定しているが、通信プロトコルは特に限定されることなく広く適用することができる。なお、パケットネットワーク2は、公衆網であってもよいし、専用網であってもよい。また、パケットネットワーク2は、有線通信網を想定するが、無線通信網であってもよいし、又は有線通信網と無線通信網が結合された通信網であってもよい。   The packet network 2 is a packet communication network represented by the Internet, for example. In the first embodiment, it is assumed that an IP (Internet Protocol) is adopted as a communication protocol, but the communication protocol is not particularly limited and can be widely applied. The packet network 2 may be a public network or a dedicated network. The packet network 2 is assumed to be a wired communication network, but may be a wireless communication network or a communication network in which the wired communication network and the wireless communication network are combined.

VPN装置3は、パケットネットワーク2を介して、企業ネットワーク5にアクセスするユーザ端末1との間で仮想的な通信処理を行うものである。   The VPN apparatus 3 performs virtual communication processing with the user terminal 1 accessing the corporate network 5 via the packet network 2.

図3は、第1の実施形態のVPN装置3の主な内部機能を示す機能ブロック図である。図3において、VPN装置3は、トンネルパス接続処理部31、認証通知部32を少なくとも有する。   FIG. 3 is a functional block diagram illustrating main internal functions of the VPN apparatus 3 according to the first embodiment. In FIG. 3, the VPN apparatus 3 includes at least a tunnel path connection processing unit 31 and an authentication notification unit 32.

トンネルパス接続処理部31は、パケットネットワーク2を介して、ユーザ端末1とトンネリングパスを形成し、そのトンネリングパスを通じてセキュアな通信を行うものである。   The tunnel path connection processing unit 31 forms a tunneling path with the user terminal 1 via the packet network 2 and performs secure communication through the tunneling path.

トンネリング接続処理部31の主な機能としては、接続実行部311、パスワード確認部312を少なくとも有する。   The main functions of the tunneling connection processing unit 31 include at least a connection execution unit 311 and a password confirmation unit 312.

接続実行部311は、ユーザ端末1との間のトンネリング接続設定を実行するものである。接続実行部311は、パスワード確認部312によるPBX6及びユーザ端末1から取得したユーザID及びユーザ認証に必要なユーザパスワードが一致する場合に、ユーザ端末1のVPN通信の開始、継続などの処理を行うものである。なお、この処理の詳細な説明は、動作の項において詳細に説明する。   The connection execution unit 311 executes tunneling connection setting with the user terminal 1. The connection execution unit 311 performs processing such as starting and continuing VPN communication of the user terminal 1 when the user ID acquired from the PBX 6 and the user terminal 1 by the password confirmation unit 312 and the user password required for user authentication match. Is. A detailed description of this process will be described in detail in the operation section.

パスワード確認部312は、PBX6から受信したユーザID及びユーザパスワードと、ユーザ端末1から受信したユーザID及びユーザパスワードとが一致するか否かを確認するものである。   The password confirmation unit 312 confirms whether or not the user ID and user password received from the PBX 6 match the user ID and user password received from the user terminal 1.

ここで、トンネリングパス接続処理部31による通信方式は、特に限定されるものではなく、例えば、暗号化や、サーバ・クライアントの認証を行うSSL(Secure Sockets Layer)を用いた仮想通信を行うSSL−VPN方式など種々の方法を適用できる。   Here, the communication method by the tunneling path connection processing unit 31 is not particularly limited. For example, SSL- which performs virtual communication using SSL (Secure Sockets Layer) for performing encryption and server / client authentication is performed. Various methods such as the VPN method can be applied.

認証通知部32は、トンネリング接続処理部31による処理において、ユーザ端末1の認証に必要な通知をユーザ端末1に通知するものである。   The authentication notification unit 32 notifies the user terminal 1 of a notification necessary for authentication of the user terminal 1 in the processing by the tunneling connection processing unit 31.

認証サーバ4は、企業ネットワーク5にアクセス可能な端末であるか否か、又はユーザ端末1を用いるユーザ10がアクセス許可されたユーザであるか否かを認証するものである。認証サーバ4は、予め企業ネットワーク5にアクセスが許可されるユーザID及びユーザ端末ID(例えば、MACアドレス等)の登録情報を保持しており、被認証ユーザのユーザID及びユーザ端末IDをVPN装置3から取得し、被認証ユーザの認証を行うものである。   The authentication server 4 authenticates whether or not the terminal is accessible to the corporate network 5 or whether or not the user 10 using the user terminal 1 is an authorized user. The authentication server 4 holds in advance registration information of a user ID and a user terminal ID (for example, a MAC address) that are permitted to access the corporate network 5, and the user ID and user terminal ID of the user to be authenticated are stored in the VPN device. 3 to authenticate the user to be authenticated.

企業ネットワーク5は、企業が運営する社内ネットワークであって、認証サーバ4によりアクセス許可されたユーザ端末1との間で、VPN装置3を介して通信接続を行うネットワークである。   The company network 5 is an in-house network operated by a company, and is a network that performs communication connection via the VPN device 3 with the user terminal 1 permitted to be accessed by the authentication server 4.

なお、第1の実施形態では、説明便宜上、ユーザ端末1のアクセス先が企業ネットワーク5である場合を例示したが、アクセス先は企業ネットワークに限定されるものではなく、VPN装置3を介して通信接続するものであれば広く適用することができる。   In the first embodiment, the case where the access destination of the user terminal 1 is the corporate network 5 is illustrated for convenience of explanation, but the access destination is not limited to the corporate network, and communication is performed via the VPN device 3. It can be widely applied as long as it is connected.

PBX6は、電話網8と接続するものであり、電話端末間の接続処理等の処理を行うものである。PBX6は、ユーザ10の操作を受けた電話端末9からボイスメール(VM)装置7宛の発信要求を受け取ると、ボイスメール(VM)装置7との間の接続を行うものである。   The PBX 6 is connected to the telephone network 8 and performs processing such as connection processing between telephone terminals. When the PBX 6 receives a call request addressed to the voice mail (VM) device 7 from the telephone terminal 9 that has been operated by the user 10, the PBX 6 connects to the voice mail (VM) device 7.

ボイスメール(VM)装置7は、PBX6の接続処理によりユーザ10の電話端末9と呼接続を行い、企業ネットワーク5への接続を行うか否かの所定の音声メッセージを電話端末9に送信するものである。   The voice mail (VM) device 7 makes a call connection with the telephone terminal 9 of the user 10 by the connection process of the PBX 6 and transmits a predetermined voice message as to whether or not to connect to the corporate network 5 to the telephone terminal 9. It is.

図4は、第1の実施形態のボイスメール(VM)装置7の内部機能を示す機能ブロック図である。図4において、ボイスメール(VM)装置7は、セッション処理部71、音声メッセージ送出部72、パスワード管理部73、通信部74を少なくとも有する。   FIG. 4 is a functional block diagram showing internal functions of the voice mail (VM) apparatus 7 according to the first embodiment. In FIG. 4, the voice mail (VM) device 7 includes at least a session processing unit 71, a voice message transmission unit 72, a password management unit 73, and a communication unit 74.

セッション処理部71は、音声通信に係るセッション処理を行うものであり、PBX6から電話端末9を発信先とする呼要求を受け取ると、その呼要求に対する応答を返信して、電話端末9との音声通信を実現させるものである。   The session processing unit 71 performs session processing related to voice communication. When receiving a call request from the PBX 6 to the telephone terminal 9, the session processing unit 71 sends back a response to the call request and sends a voice to the telephone terminal 9. Communication is realized.

音声メッセージ送出部72は、電話端末9との間の呼接続が確立すると、電話端末9に対して、予め設定された音声メッセージを送出するものである。   The voice message sending unit 72 sends a preset voice message to the telephone terminal 9 when a call connection with the telephone terminal 9 is established.

このときの音声メッセージとしては、例えば、VPN接続のための案内メッセージが該当する。例えば、VPN接続の案内メッセージの音声例としては、「VPN接続を行う場合は「1」を、継続接続する場合には「2」を、切断するには「3」を押してください」というような音声メッセージを適用することができる。   An example of the voice message at this time is a guidance message for VPN connection. For example, as an example of a voice message of a VPN connection guidance message, “Please press“ 1 ”to make a VPN connection, press“ 2 ”to make a continuous connection, or press“ 3 ”to disconnect.” ” Voice messages can be applied.

パスワード管理部73は、ユーザID及びボイスメール(VM)7のパスワードを保持するものである。パスワード管理部73は、電話端末9から入力されたユーザID及びボイスメール(VM)7のパスワードの正当性を判断し、正当である場合にユーザ認証に必要なユーザパスワードを生成するものである。   The password management unit 73 holds a user ID and a voice mail (VM) 7 password. The password management unit 73 determines the validity of the user ID input from the telephone terminal 9 and the password of the voice mail (VM) 7, and generates a user password necessary for user authentication if the password is valid.

また、パスワード管理部73は、上記生成したユーザパスワードとユーザIDを含むVPN接続の登録通知をVPN装置3に送信すると共に、音声メッセージ又はPB信号によりユーザパスワードを電話端末9に送信するものである。   The password management unit 73 transmits a VPN connection registration notification including the generated user password and user ID to the VPN apparatus 3 and transmits the user password to the telephone terminal 9 by a voice message or a PB signal. .

ここで、ユーザ認証に必要なユーザパスワードは、ボイスメール(VM)装置7が生成するパスワードであり、その生成方法は特に限定されるものではなく、種々の方法を広く適用することができる。例えば、パスワード管理部73がワンスタイムパスワード生成機能を有し、ワンスタイムパスワード生成機能で生成したパスワードを適用するようにしてもよいし、また例えば、パスワード管理部73が予めパスワードをユーザ毎に登録しておき、その登録されたパスワードを適用するようにしてもよい。   Here, the user password required for user authentication is a password generated by the voice mail (VM) device 7, and the generation method is not particularly limited, and various methods can be widely applied. For example, the password management unit 73 may have a once-time password generation function, and a password generated by the once-time password generation function may be applied. For example, the password management unit 73 registers a password for each user in advance. In addition, the registered password may be applied.

また、パスワード管理部73は、ユーザの電話端末9からVPN接続の継続をすることの応答を受けた場合には、ユーザID及びユーザパスワードを電話端末9から取得し、そのユーザID及びユーザパスワードを含むVPN接続の継続通知をVPN装置3に送信すると共に、音声メッセージ又はPB信号によりユーザパスワードを電話端末9に送信するものである。   When the password management unit 73 receives a response from the user's telephone terminal 9 to continue the VPN connection, the password management unit 73 acquires the user ID and the user password from the telephone terminal 9, and obtains the user ID and the user password. A VPN connection continuation notification is transmitted to the VPN apparatus 3 and a user password is transmitted to the telephone terminal 9 by a voice message or PB signal.

さらに、パスワード管理部73は、ユーザの電話端末9からVPN接続の切断をすることの応答を受けた場合には、ユーザID及びユーザパスワードを電話端末9から取得し、そのユーザID及びユーザパスワードを含むVPN接続の切断通知をVPN装置3に送信するものである。   Further, when receiving a response for disconnecting the VPN connection from the user's telephone terminal 9, the password management unit 73 acquires the user ID and user password from the telephone terminal 9, and obtains the user ID and user password. The VPN connection disconnection notification is transmitted to the VPN apparatus 3.

通信部74は、PBX6又はVPN装置3と通信するものである。   The communication unit 74 communicates with the PBX 6 or the VPN device 3.

電話網8は、電話回線網であり、公衆電話回線や内線網を適用することができる。   The telephone network 8 is a telephone line network, and a public telephone line or an extension network can be applied.

電話端末9は、ユーザ10が所持する電話端末であり、例えば、携帯電話機、PHS端末、情報端末(例えばPDA等)が有する電話機能、PCに搭載される電話機能、表示が面のない電話機、等を適用することができる。   The telephone terminal 9 is a telephone terminal possessed by the user 10, and includes, for example, a cellular phone, a PHS terminal, a telephone function of an information terminal (for example, a PDA), a telephone function installed in a PC, a telephone with no display, Etc. can be applied.

電話端末9は、ユーザ10が企業ネットワーク5へのアクセスに必要な認証を行うために、ボイスメール(VM)装置7宛の発信要求をPBX6に対して行うものである。また、電話端末9は、音声メッセージ又はPB信号で、ボイスメール(VM)装置7からユーザパスワードを取得するものである。さらに、電話端末9は、ユーザ端末1のマイクと接続し、ユーザパスワードの音声メッセージ又はPB信号を入力する。   The telephone terminal 9 makes a call request to the voice mail (VM) device 7 to the PBX 6 in order for the user 10 to perform authentication necessary for access to the corporate network 5. The telephone terminal 9 acquires a user password from the voice mail (VM) device 7 by a voice message or a PB signal. Further, the telephone terminal 9 is connected to the microphone of the user terminal 1 and inputs a voice message or PB signal of the user password.

このように、電話端末9からユーザ端末1のマイクにパスワード(音声メッセージ又はPB信号)を入力するようにできるので、パスワードの入力操作や入力誤りをなくすことができる。   Thus, since the password (voice message or PB signal) can be input from the telephone terminal 9 to the microphone of the user terminal 1, password input operations and input errors can be eliminated.

このとき、電話端末9は、ボイスメール(VM)装置7から取得したパスワードをそのまま発音させてもよいし、又は電話端末9の記憶手段に一時的にパスワードを記憶させ、その記憶手段に記憶されたパスワードを再生させるようにしてもよい。   At this time, the telephone terminal 9 may pronounce the password acquired from the voice mail (VM) device 7 as it is, or temporarily store the password in the storage means of the telephone terminal 9 and store it in the storage means. The password may be played back.

(A−2)第1の実施形態の動作
次に、第1の実施形態のユーザ認証処理の動作について図面を参照しながら詳細に説明する。 (A-2) Operation of the First Embodiment Next, the user authentication processing operation of the first embodiment will be described in detail with reference to the drawings.

以下では、遠隔地に位置するユーザ端末1から企業ネットワーク5にアクセスする際に必要なユーザ認証処理であり、このユーザ認証処理を詳細に説明するために、企業ネットワーク5への接続開始時、継続時、切断時に場合を分けて説明する。   The following is a user authentication process required when accessing the corporate network 5 from a user terminal 1 located at a remote location. In order to explain this user authentication process in detail, the connection is continued when the connection to the corporate network 5 is started. The case will be described separately at the time of cutting.

(A−2−1)企業ネットワーク5への接続開始時
図5は、企業ネットワーク5への接続開始時におけるユーザ認証処理を示すシーケンスである。 (A-2-1) At Start of Connection to Corporate Network 5 FIG. 5 is a sequence showing user authentication processing at the start of connection to corporate network 5.

まず、ユーザ10が企業ネットワーク5へのアクセスを要求する際、ユーザ10は電話端末9を操作し、ボイスメール(VM)装置7宛の発信を行う(S101)。   First, when the user 10 requests access to the corporate network 5, the user 10 operates the telephone terminal 9 to make a call to the voice mail (VM) device 7 (S101).

電話端末9からボイスメール(VM)装置7宛の接続要求が、電話網8を介してPBX6に与えられると、PBX6により、この発呼に関する接続要求がボイスメール(VM)7に与えられ(S102)、ボイスメール(VM)装置7からの応答を受け取り(S103)、電話端末9とボイスメール(VM)装置7との呼接続を行う。   When a connection request addressed to the voice mail (VM) device 7 is given from the telephone terminal 9 to the PBX 6 via the telephone network 8, a connection request related to this call is given to the voice mail (VM) 7 by the PBX 6 (S102). ) Receives a response from the voice mail (VM) device 7 (S103), and makes a call connection between the telephone terminal 9 and the voice mail (VM) device 7.

電話端末9と接続したボイスメール(VM)7は、VPN接続のための案内メッセージを電話端末9に対して音声で通知する(S104)。   The voice mail (VM) 7 connected to the telephone terminal 9 notifies the telephone terminal 9 by voice of a guidance message for VPN connection (S104).

例えば、ボイスメール(VM)装置7から「VPN接続を行う場合は1を、継続接続する場合は2を、切断する場合は3を入力してください」等の案内メッセージが通知されると、ユーザ10は電話端末9を操作して作業NOを入力する(S105)。   For example, when a voice mail (VM) device 7 notifies the user of a guidance message such as “Enter 1 for VPN connection, 2 for continuous connection, 3 for disconnection”, etc. 10 operates the telephone terminal 9 to input work NO (S105).

また、このとき、ボイスメール(VM)装置7は、VPN接続の案内メッセージと共に、認証に係るユーザID及びパスワードの入力要求を促す音声メッセージも電話端末9に通知する。そして、ユーザ10は電話端末9よりユーザIDとボイスメール(VM)装置7へのパスワードをPB信号で入力する(S105)。   At this time, the voice mail (VM) device 7 also notifies the telephone terminal 9 of a voice message prompting a user ID and password input request for authentication together with a VPN connection guidance message. Then, the user 10 inputs a user ID and a password to the voice mail (VM) device 7 from the telephone terminal 9 by a PB signal (S105).

ボイスメール(VM)装置7は、登録情報を参照して、電話端末9から取得したユーザID及びVM7へのパスワードが正当であること判別する。そして、入力ユーザID及びVM7へのパスワードが正当であることを判断すると、ボイスメール(VM)装置11は、VPN接続のユーザ認証に必要なユーザパスワードを生成する(S106)。   The voice mail (VM) device 7 refers to the registration information and determines that the user ID acquired from the telephone terminal 9 and the password to the VM 7 are valid. When it is determined that the input user ID and the password to the VM 7 are valid, the voice mail (VM) apparatus 11 generates a user password necessary for user authentication for VPN connection (S106).

ボイスメール(VM)装置7は、生成したユーザパスワードをVPN装置3へユーザIDとともに登録通知するメッセージを送ると共に(S107)、ユーザパスワードを電話端末9へ音声メッセージないしはPB信号で送信する(S108)。   The voice mail (VM) device 7 sends a message for registering the generated user password together with the user ID to the VPN device 3 (S107), and transmits the user password to the telephone terminal 9 by voice message or PB signal (S108). .

なお、ボイスメール(VM)装置7は、ユーザパスワードをユーザ端末1に送信した後、PBX6に対して切断要求を送信し(S122)、これを受けて、PBX6はユーザ端末1との呼を切断する(S123)。   The voice mail (VM) device 7 transmits a user password to the user terminal 1 and then transmits a disconnection request to the PBX 6 (S122). In response to this, the PBX 6 disconnects the call with the user terminal 1. (S123).

一方、ユーザ10は、ユーザ端末1からパケットネットワーク(PNW)2を介して、VPN装置3へログイン(接続要求)を行う(S109)。このとき、VPN装置3は、ユーザ端末1のユーザ端末IDを取得する。   On the other hand, the user 10 logs in (connection request) to the VPN apparatus 3 from the user terminal 1 via the packet network (PNW) 2 (S109). At this time, the VPN apparatus 3 acquires the user terminal ID of the user terminal 1.

ユーザ端末1とVPN装置3との間で接続すると、VPN装置3は、ユーザ端末1へユーザIDとユーザ認証のためのユーザパスワードの入力を促すメッセージを表示する(S110)。   When connecting between the user terminal 1 and the VPN apparatus 3, the VPN apparatus 3 displays a message prompting the user terminal 1 to input a user ID and a user password for user authentication (S110).

これを受けて、ユーザ10は、ボイスメール(VM)装置7から取得したユーザパスワードを、電話端末9を用いてユーザ端末1に入力する(S111)。   In response to this, the user 10 inputs the user password acquired from the voice mail (VM) device 7 to the user terminal 1 using the telephone terminal 9 (S111).

なお、ユーザパスワードの入力は、ユーザ10の手操作により入力するようにしてもよいし、またユーザ端末1が有する音声入力部12のマイクと電話端末9と接続し、音声メッセージないしはPB信号をユーザ端末1へ送ることも可能である。   The user password may be input manually by the user 10, or the user terminal 1 is connected to the microphone of the voice input unit 12 and the telephone terminal 9, and a voice message or PB signal is sent to the user. It is also possible to send it to the terminal 1.

ユーザ端末1にユーザID及びユーザパスワードが入力されると、そのユーザID及びユーザパスワードが、VPN装置3に送信される(S112)。   When the user ID and user password are input to the user terminal 1, the user ID and user password are transmitted to the VPN apparatus 3 (S112).

VPN装置3において、ユーザ端末1からユーザID及びユーザパスワードが入力されると、VPN装置3のパスワード確認部312により、ユーザ端末1からのユーザID及びユーザパスワードと、ボイスメール装置7からのユーザID及びユーザパスワードとが一致するか否かが確認される(S113)。   When the user ID and the user password are input from the user terminal 1 in the VPN apparatus 3, the user ID and user password from the user terminal 1 and the user ID from the voice mail apparatus 7 are input by the password confirmation unit 312 of the VPN apparatus 3. And it is confirmed whether or not the user password matches (S113).

パスワード確認部312により一致しないと判断されると、認証通知部32は、エラーメッセージをユーザ端末1に対して送信する(S114)。   If the password confirmation unit 312 determines that they do not match, the authentication notification unit 32 transmits an error message to the user terminal 1 (S114).

一方、パスワード確認部312により一致すると判断されると、認証通知部32は、ユーザID及びユーザ端末IDを認証サーバ4に送信して、認証要求を行う(S115)。   On the other hand, if the password confirmation unit 312 determines that they match, the authentication notification unit 32 transmits the user ID and the user terminal ID to the authentication server 4 to make an authentication request (S115).

認証サーバ4では、予め登録された登録ユーザの登録情報を参照しながら、VPN装置3からのユーザID及びユーザ端末IDを用いて認証処理を行う(S116)。   The authentication server 4 performs an authentication process using the user ID and user terminal ID from the VPN apparatus 3 while referring to the registered information of the registered user registered in advance (S116).

そして、認証サーバ4において認証NGである場合には、認証サーバ4からユーザ端末1に対してエラーメッセージが通知され(S117)、認証OKである場合には、認証サーバ4は、その旨をVPN装置3に返信する(S118)。   If the authentication server 4 is authenticated NG, an error message is notified from the authentication server 4 to the user terminal 1 (S117). If the authentication is OK, the authentication server 4 informs the VPN to that effect. It returns to the apparatus 3 (S118).

認証サーバ4による認証後、認証サーバ4の接続実行部311により、ユーザ端末1との間のVPN接続処理を行う(S119)。ユーザ端末1との接続が完了すると(S120)、ユーザ端末1は、企業ネットワーク5の中にある各種システム(メールサーバやファイルサーバ等)へアクセス可能となる(S121)。   After authentication by the authentication server 4, the connection execution unit 311 of the authentication server 4 performs VPN connection processing with the user terminal 1 (S119). When the connection with the user terminal 1 is completed (S120), the user terminal 1 can access various systems (mail server, file server, etc.) in the corporate network 5 (S121).

(A−2−2)企業ネットワーク5への接続継続時
図6は、企業ネットワーク5への接続継続時におけるユーザ認証処理を示すシーケンスである。 (A-2-2) Continuation of Connection to Corporate Network 5 FIG. 6 is a sequence showing user authentication processing when the connection to corporate network 5 is continued.

まず、図6のS121で、ユーザ端末1とVPN装置3との間の接続が完了すると、VPN装置3はタイマーを計時し、所定時間(T)が経過すると(S201)、登録の延長要否を示す警告メッセージが、ユーザ端末1に送信される(S202)。   First, when the connection between the user terminal 1 and the VPN apparatus 3 is completed in S121 of FIG. 6, the VPN apparatus 3 times a timer, and when a predetermined time (T) has elapsed (S201), whether or not registration extension is necessary. Is transmitted to the user terminal 1 (S202).

この警告メッセージがユーザ端末1に表示されると、VPNの接続時の処理(S101〜S108、S111、S112)と同様に、ユーザ10は、電話端末9を用いて、ボイスメール(VM)装置7に対して発呼要求し、案内メッセージに従って接続継続の作業NOを選択し、ユーザID及びパスワードを送信し、ボイスメール装置7からユーザパスワードを取得し、その取得したユーザパスワードをユーザ端末1に入力する(S203〜S212)。   When this warning message is displayed on the user terminal 1, the user 10 uses the telephone terminal 9 to use the voice mail (VM) device 7 as in the VPN connection processing (S 101 to S 108, S 111, S 112). The connection request is selected in accordance with the guidance message, the user ID and password are transmitted, the user password is acquired from the voice mail device 7, and the acquired user password is input to the user terminal 1. (S203 to S212).

なお、ボイスメール(VM)装置7は、ユーザパスワードをユーザ端末1に送信した後、PBX6に対して切断要求を送信し(S218)、これを受けて、PBX6はユーザ端末1との呼を切断する(S219)。   The voice mail (VM) device 7 transmits a user password to the user terminal 1 and then transmits a disconnection request to the PBX 6 (S218). In response to this, the PBX 6 disconnects the call with the user terminal 1. (S219).

一方、VPN装置3では、ユーザ端末1からのユーザID及びユーザパスワードと、ボイスメール(VM)装置7からのユーザID及びユーザパスワードとが一致するか否かを判断し(S213)、一致ない場合にはエラーメッセージをユーザ端末1に送信し(S214)、一致する場合にはVPN接続を継続する(S215)。   On the other hand, the VPN device 3 determines whether or not the user ID and user password from the user terminal 1 match the user ID and user password from the voice mail (VM) device 7 (S213). In step S214, an error message is transmitted to the user terminal 1 (S214). If they match, the VPN connection is continued (S215).

また、このとき、VPN装置3では、警告メッセージの送信後、タイマーを計時する。そして、所定時間(T2)が経過し、タイムアウトになっても(S216)、ユーザ端末1からのユーザID及びユーザパスワードの一致確認ができない場合、VPN装置3は、ユーザ端末1にエラーメッセージを送信し、切断処理を行う(S217)。   At this time, the VPN apparatus 3 measures the timer after transmitting the warning message. When the predetermined time (T2) elapses and a timeout occurs (S216), if the user ID and the user password from the user terminal 1 cannot be confirmed, the VPN apparatus 3 transmits an error message to the user terminal 1. Then, the cutting process is performed (S217).

(A−2−3)企業ネットワーク5の切断時
図7は、企業ネットワーク5の切断時におけるユーザ認証処理を示すシーケンスである。 (A-2-3) When Disconnecting Corporate Network 5 FIG. 7 is a sequence showing user authentication processing when disconnecting the corporate network 5.

ユーザ10が企業ネットワーク5へのアクセスを切断する際、ユーザ10は電話端末9を操作し、ボイスメール(VM)装置7宛の発信を行う(S301)。   When the user 10 disconnects access to the corporate network 5, the user 10 operates the telephone terminal 9 to make a call to the voice mail (VM) device 7 (S301).

電話端末9からボイスメール(VM)装置7宛の接続要求が、電話網8を介してPBX6に与えられると、PBX6により、この発呼に関する接続要求がボイスメール(VM)7に与えられ(S302)、ボイスメール(VM)装置7からの応答を受け取り(S303)、電話端末9とボイスメール(VM)装置7との呼接続を行う。   When a connection request addressed to the voice mail (VM) device 7 is given from the telephone terminal 9 to the PBX 6 via the telephone network 8, a connection request regarding this call is given to the voice mail (VM) 7 by the PBX 6 (S302). ), A response from the voice mail (VM) device 7 is received (S303), and a call connection is made between the telephone terminal 9 and the voice mail (VM) device 7.

電話端末9と接続したボイスメール(VM)7は、VPN接続のための案内メッセージを電話端末9に対して音声で通知する(S304)。   The voice mail (VM) 7 connected to the telephone terminal 9 notifies the telephone terminal 9 by voice of a guidance message for VPN connection (S304).

そして、ユーザ10は、音声メッセージに基づいて接続を切断する作業NOを入力すると共に、ユーザIDとボイスメール(VM)装置7へのパスワードをPB信号で入力する(S305)。   Then, the user 10 inputs a work NO for disconnecting the connection based on the voice message, and inputs a user ID and a password to the voice mail (VM) device 7 using a PB signal (S305).

ボイスメール(VM)装置7は、登録情報を参照して、電話端末9から取得したユーザID及びVM7へのパスワードが正当であること判別する。そして、入力ユーザID及びVM7へのパスワードが正当であることを判断すると(S306)、ボイスメール(VM)装置11は、VPN装置3に対して、ユーザID及びユーザパスワードの削除通知を送る(S307)。このように、VPN装置3がパスワードを削除することにより、VPN装置3にパスワード情報が残ることを防止することができる。   The voice mail (VM) device 7 refers to the registration information and determines that the user ID acquired from the telephone terminal 9 and the password to the VM 7 are valid. When it is determined that the input user ID and the password to the VM 7 are valid (S306), the voice mail (VM) device 11 sends a deletion notification of the user ID and the user password to the VPN device 3 (S307). ). In this way, it is possible to prevent password information from remaining in the VPN apparatus 3 by deleting the password by the VPN apparatus 3.

これを受けて、VPN装置3は、ユーザID及びユーザパスワードを削除し、ユーザ端末1との間の接続を切断する(S308)。   In response to this, the VPN apparatus 3 deletes the user ID and the user password, and disconnects the connection with the user terminal 1 (S308).

なお、ボイスメール(VM)装置7は、ユーザパスワードをユーザ端末1に送信した後、PBX6に対して切断要求を送信し(S309)、これを受けて、PBX6はユーザ端末1との呼を切断する(S310)。   The voice mail (VM) device 7 transmits a user password to the user terminal 1 and then transmits a disconnection request to the PBX 6 (S309). In response to this, the PBX 6 disconnects the call with the user terminal 1. (S310).

(A−3)第1の実施形態の効果
以上のように、第1の実施形態によれば、特別なユーザ認証装置を備えることなく、ユーザは電話端末を用いて、遠隔地からでも企業ネットワークにセキュアな通信パスでアクセスすることができる。 (A-3) Effect of First Embodiment As described above, according to the first embodiment, a user can use a telephone terminal to connect to a corporate network from a remote location without providing a special user authentication device. Can be accessed via a secure communication path.

第1の実施形態によれば、ユーザ端末は、企業が用意した端末であることも合わせて認証されるため、セキュリティ強度の高いリモートアクセス手段を提供することができる。また、ユーザ認証に用いる電話端末は、企業が用意するものでなく、様々な機能や機種を依存せず広く適用することができる。さらに、PBXを介してパスワードを取得することができるので、海外からのローミングなど初番号が通知できない場合でも利用することができるため、汎用性の高い認証方法である。   According to the first embodiment, since the user terminal is also authenticated as a terminal prepared by a company, it is possible to provide remote access means with high security strength. Further, a telephone terminal used for user authentication is not prepared by a company, and can be widely applied without depending on various functions and models. Furthermore, since the password can be acquired via the PBX, it can be used even when the initial number cannot be notified, such as roaming from overseas, and therefore, it is a highly versatile authentication method.

また、第1の実施形態では、ユーザが電話端末を用いてユーザ認証を要求するが、PBXを介してボイスメール装置からユーザパスワードを音声で取得することができるので認証に使用する電話端末を特定しないので、汎用性が高い。つまり、画面のない音声専用電話端末、PBXに接続する内線端末、又は海外からの発信に対しても適用できる。   In the first embodiment, a user requests user authentication using a telephone terminal. However, since a user password can be obtained by voice from a voice mail device via PBX, a telephone terminal used for authentication is specified. Not so versatile. That is, the present invention can also be applied to a voice-only telephone terminal without a screen, an extension terminal connected to the PBX, or a call from overseas.

また、第1の実施形態によれば、ユーザ端末にマイクなどが実装されている場合には、ユーザの手入力を行わずに、電話端末から発せられるパスワードを入力することができるので、ユーザの操作負担や誤入力をなくすることができる。   Further, according to the first embodiment, when a microphone or the like is mounted on the user terminal, the password issued from the telephone terminal can be input without performing the user's manual input. It is possible to eliminate operation burden and erroneous input.

さらに、第1の実施形態によれば、VPNアクセスの接続開始、継続、切断を電話端末から行うことができる。さらに、接続後、一定時間内に電話端末から再登録しないと切断したり、電話端末から切断時に登録を削除することで、ユーザ端末を置き忘れ、盗難されてもアクセスとすることができる。   Furthermore, according to the first embodiment, connection start, continuation, and disconnection of VPN access can be performed from a telephone terminal. Furthermore, if the user terminal is disconnected from the telephone terminal within a certain period of time after connection, or the registration is deleted from the telephone terminal when the connection is disconnected, access can be made even if the user terminal is misplaced or stolen.

(B)第2の実施形態
次に、本発明の認証システム、方法及びサーバの第2の実施形態を図面を参照して説明する。 (B) Second Embodiment Next, a second embodiment of the authentication system, method and server of the present invention will be described with reference to the drawings.

(B−1)第2の実施形態の構成
図8は、第2の実施形態の通信システム200の全体構成を示す構成図である。図8において、第2の実施形態の通信システム200は、ユーザ端末1、パケットネットワーク(PNW)2、認証サーバ4、企業ネットワーク5、PBX6、音声メール(VM)装置7、電話網8、電話端末9、無線アクセスポイント20、無線&トンネル制御装置21を少なくとも有して構成される。 (B-1) Configuration of Second Embodiment FIG. 8 is a configuration diagram showing an overall configuration of a communication system 200 of the second embodiment. In FIG. 8, the communication system 200 according to the second embodiment includes a user terminal 1, a packet network (PNW) 2, an authentication server 4, a corporate network 5, a PBX 6, a voice mail (VM) device 7, a telephone network 8, and a telephone terminal. 9 and at least a wireless access point 20 and a wireless & tunnel control device 21.

第2の実施形態は、ユーザ端末1が無線通信機能を有する端末であり、無線アクセスポイント20を通じてパケットネットワーク2に接続する点が第1の実施形態と異なる。   The second embodiment is different from the first embodiment in that the user terminal 1 is a terminal having a wireless communication function and is connected to the packet network 2 through the wireless access point 20.

また、第2の実施形態では、企業ネットワーク5に接続するVPN装置3に代えて、無線&トンネル制御装置21を備える点が第1の実施形態と異なる。   The second embodiment is different from the first embodiment in that a wireless & tunnel control device 21 is provided instead of the VPN device 3 connected to the corporate network 5.

従って、以下では、第2の実施形態の特徴となる点について詳細に説明するものとして、第1の実施形態で既に説明した構成及び動作の説明は省略する。   Therefore, in the following, the features that are characteristic of the second embodiment will be described in detail, and the description of the configuration and operation already described in the first embodiment will be omitted.

ユーザ端末1は、上記のように無線通信機能を有する端末であり、例えば、無線通信機能を有するパーソナルコンピュータ、携帯情報端末等を適用できる。また、ユーザ端末1の構成は、無線アクセスポイント20と無線アクセスを行う無線通信手段を備えるものである。   The user terminal 1 is a terminal having a wireless communication function as described above. For example, a personal computer or a portable information terminal having a wireless communication function can be applied. The configuration of the user terminal 1 includes wireless communication means for performing wireless access with the wireless access point 20.

無線アクセスポイント20は、1又は複数のユーザ端末1と無線接続するアクセスポイント装置である。無線アクセスポイント20は、トンネル制御機能部201を有している。   The wireless access point 20 is an access point device that is wirelessly connected to one or a plurality of user terminals 1. The wireless access point 20 has a tunnel control function unit 201.

トンネル制御機能部201は、パケットネットワーク2を介して、無線接続する1又は複数のユーザ端末1と無線&トンネル装置21との間で仮想通信を行うものである。   The tunnel control function unit 201 performs virtual communication between one or a plurality of user terminals 1 wirelessly connected to the wireless & tunnel device 21 via the packet network 2.

ここで、トンネル制御機能部201による通信方法としては、無線端末に関する種々の方法を広く適用することができるが、例えば、複数のSSID(Service Set Identifier)を設定して、複数のSSID毎にVLANのタグを付与して通信するSSIDを用いたVPNの方法を適用することができる。   Here, various methods related to the wireless terminal can be widely applied as a communication method by the tunnel control function unit 201. For example, a plurality of SSIDs (Service Set Identifiers) are set, and a VLAN is set for each of the plurality of SSIDs. It is possible to apply a VPN method using an SSID that communicates with the tag attached.

無線&トンネル制御装置21は、パケットネットワーク2を介して、無線アクセスポイント20との間でセキュアなトンネリングパスの接続設定と共に、その無線アクセスポイント20に接続するユーザ端末1の設定処理を行うものである。   The wireless & tunnel control device 21 performs setting processing of the user terminal 1 connected to the wireless access point 20 together with connection setting of a secure tunneling path with the wireless access point 20 via the packet network 2. is there.

図9は、無線&トンネル制御装置21の内部構成を示す構成図である。図9に示すように、無線&トンネル制御装置21は、トンネルパス接続処理部210、認証通知部213、無線AP管理部214を少なくとも有する。   FIG. 9 is a configuration diagram showing an internal configuration of the wireless & tunnel control device 21. As illustrated in FIG. 9, the wireless & tunnel control device 21 includes at least a tunnel path connection processing unit 210, an authentication notification unit 213, and a wireless AP management unit 214.

トンネルパス接続処理部210及び認証通知部213は、第1の実施形態のトンネルパス接続処理部31及び認証通知部32に対応するものであるので、ここでの詳細説明は省略する。   Since the tunnel path connection processing unit 210 and the authentication notification unit 213 correspond to the tunnel path connection processing unit 31 and the authentication notification unit 32 of the first embodiment, detailed description thereof is omitted here.

無線AP管理部214は、無線アクセスポイント20に接続するユーザ端末1の設定管理を行うものである。   The wireless AP management unit 214 manages settings of the user terminal 1 connected to the wireless access point 20.

ここで、無線AP管理部214による設定処理としては、例えば、無線アクセスポイント20のSSIDにユーザ端末1のユーザ端末IDを対応付けて管理することで、無線アクセスポイント20とユーザ端末1とを対応付けて管理する方法を適用することができる。   Here, as the setting process by the wireless AP management unit 214, for example, by managing the SSID of the wireless access point 20 in association with the user terminal ID of the user terminal 1, the wireless access point 20 and the user terminal 1 are associated with each other. It is possible to apply the management method.

このように、無線&トンネル制御装置21が、無線通信の仮想通信にも対応可能であるので、第1の実施形態のようにVPNの場合だけでなく、無線通信によるリモートアクセスシステムも対応できる。   As described above, since the wireless & tunnel control device 21 can cope with virtual communication of wireless communication, not only the case of VPN as in the first embodiment but also a remote access system by wireless communication can be supported.

(B−2)第2の実施形態の動作
次に、第2の実施形態のユーザ認証処理の動作について図面を参照して説明する。 (B-2) Operation of Second Embodiment Next, an operation of user authentication processing of the second embodiment will be described with reference to the drawings.

以下では、遠隔地に位置するユーザ端末1から企業ネットワーク5にアクセスする際に必要なユーザ認証処理であり、このユーザ認証処理を詳細に説明するために、企業ネットワーク5への接続開始時、継続時、切断時に場合を分けて説明する。   The following is a user authentication process required when accessing the corporate network 5 from a user terminal 1 located at a remote location. In order to explain this user authentication process in detail, the connection is continued when the connection to the corporate network 5 is started. The case will be described separately at the time of cutting.

(B−2−1)企業ネットワーク5への接続開始時
図10は、企業ネットワーク5への接続開始時におけるユーザ認証処理を示すシーケンスである。 (B-2-1) At Start of Connection to Corporate Network 5 FIG. 10 is a sequence showing user authentication processing at the start of connection to corporate network 5.

まず、ユーザ10が企業ネットワーク5へのアクセスを要求する際の処理は、第1の実施形態と同様である。   First, processing when the user 10 requests access to the corporate network 5 is the same as in the first embodiment.

つまり、ユーザ10は、電話端末9を操作して、ボイスメール(VM)装置7宛の発信を行い(S101)、PBX6によりボイスメール(VM)装置7との呼接続が行われる(S102、S103)。呼接続後、ボイスメール(VM)装置7は、案内メッセージを電話端末9に送信する(S104)。そして、ユーザ操作を受けて、電話端末9から案内メッセージに従った接続開始の作業NO、ユーザID及びパスワードをボイスメール(VM)装置7に送信する。   That is, the user 10 operates the telephone terminal 9 to make a call to the voice mail (VM) device 7 (S101), and the PBX 6 performs call connection with the voice mail (VM) device 7 (S102, S103). ). After the call connection, the voice mail (VM) device 7 transmits a guidance message to the telephone terminal 9 (S104). In response to the user operation, the telephone terminal 9 transmits a connection start work number, a user ID, and a password according to the guidance message to the voice mail (VM) device 7.

ボイスメール(VM)装置7は、電話端末9から取得したユーザID及びユーザパスワードの正当性を判断した後、トンネル接続のユーザ認証に必要なユーザパスワードを生成し(S106)、生成したユーザパスワードを無線&トンネル制御装置21へユーザIDとともに登録通知するメッセージを送ると共に(S107)、ユーザパスワードを電話端末9へ音声メッセージないしはPB信号で送信する(S108)。   After determining the validity of the user ID and user password acquired from the telephone terminal 9, the voice mail (VM) device 7 generates a user password necessary for user authentication of the tunnel connection (S106), and uses the generated user password. A message for notifying registration is sent to the wireless & tunnel control device 21 together with the user ID (S107), and the user password is transmitted to the telephone terminal 9 by voice message or PB signal (S108).

なお、ボイスメール(VM)装置7は、ユーザパスワードをユーザ端末1に送信した後、PBX6に対して切断要求を送信し(S122)、これを受けて、PBX6はユーザ端末1との呼を切断する(S123)。   The voice mail (VM) device 7 transmits a user password to the user terminal 1 and then transmits a disconnection request to the PBX 6 (S122). In response to this, the PBX 6 disconnects the call with the user terminal 1. (S123).

一方、ユーザ10は、ユーザ端末1を操作して、無線アクセスポイント20にアクセスしてパケットネットワーク2と接続し、無線&トンネル制御装置21へログイン(接続要求)を行う(S401)。このとき、無線&トンネル制御装置21は、ユーザ端末1のユーザ端末IDを取得する。   On the other hand, the user 10 operates the user terminal 1, accesses the wireless access point 20, connects to the packet network 2, and logs in (connection request) to the wireless & tunnel control device 21 (S401). At this time, the wireless & tunnel control device 21 acquires the user terminal ID of the user terminal 1.

ユーザ端末1と無線&トンネル制御装置21との間で接続すると、無線&トンネル制御装置21は、ユーザ端末1へユーザIDとユーザ認証のためのユーザパスワードの入力を促すメッセージを表示する(S402)。   When connecting between the user terminal 1 and the wireless & tunnel control device 21, the wireless & tunnel control device 21 displays a message prompting the user terminal 1 to input a user ID and a user password for user authentication (S402). .

これを受けて、ユーザ10は、ボイスメール(VM)装置7から取得したユーザパスワードを電話端末9を用いて、ユーザ端末1に入力する(S111)。   In response to this, the user 10 inputs the user password acquired from the voice mail (VM) device 7 to the user terminal 1 using the telephone terminal 9 (S111).

なお、ユーザパスワードの入力は、第1の実施形態と同様に、ユーザ10の手操作により入力するようにしてもよいし、またユーザ端末1が有する音声入力部12のマイクと電話端末9と接続し、音声メッセージないしはPB信号をユーザ端末1へ送ることも可能である。   The user password may be input manually by the user 10 as in the first embodiment, or connected to the microphone of the voice input unit 12 of the user terminal 1 and the telephone terminal 9. It is also possible to send a voice message or PB signal to the user terminal 1.

ユーザ端末1にユーザID及びユーザパスワードが入力されると、そのユーザID及びユーザパスワードが、無線&トンネル制御装置21に送信される(S112)。   When the user ID and the user password are input to the user terminal 1, the user ID and the user password are transmitted to the wireless & tunnel control device 21 (S112).

無線&トンネル制御装置21において、ユーザ端末1からユーザID及びユーザパスワードが入力されると、無線&トンネル制御装置21のパスワード確認部212により、ユーザ端末1からのユーザID及びユーザパスワードと、ボイスメール装置7からのユーザID及びユーザパスワードとが一致するか否かが確認される(S113)。   When the user ID and the user password are input from the user terminal 1 in the wireless & tunnel control device 21, the user ID and the user password from the user terminal 1 and voice mail are received by the password confirmation unit 212 of the wireless & tunnel control device 21. It is confirmed whether or not the user ID and the user password from the device 7 match (S113).

パスワード確認部212により一致しないと判断されると、認証通知部213は、エラーメッセージをユーザ端末1に対して送信する(S114)。   If the password confirmation unit 212 determines that they do not match, the authentication notification unit 213 transmits an error message to the user terminal 1 (S114).

一方、パスワード確認部212により一致すると判断されると、認証通知部213は、ユーザID及びユーザ端末IDを認証サーバ4に送信して、認証要求を行う(S115)。   On the other hand, if it is determined by the password confirmation unit 212 that they match, the authentication notification unit 213 transmits the user ID and the user terminal ID to the authentication server 4 to make an authentication request (S115).

認証サーバ4では、予め登録された登録ユーザの登録情報を参照しながら、トンネル装置3からのユーザID及びユーザ端末IDを用いて認証処理を行う(S116)。   The authentication server 4 performs an authentication process using the user ID and user terminal ID from the tunnel device 3 while referring to the registered information of the registered user registered in advance (S116).

そして、認証サーバ4において認証NGである場合には、認証サーバ4からユーザ端末1に対してエラーメッセージが通知され(S117)、認証OKである場合には、認証サーバ4は、その旨を無線&トンネル制御装置21に返信する(S118)。   If the authentication server 4 is authentication NG, an error message is notified from the authentication server 4 to the user terminal 1 (S117). If the authentication server 4 is authentication OK, the authentication server 4 wirelessly notifies that fact. & Returns to the tunnel control device 21 (S118).

認証サーバ4から認証OKの旨のメッセージを受信した無線&トンネル制御装置21では、無線アクセスポイント20との間でトンネル接続処理を行う(S403)。   Upon receiving the authentication OK message from the authentication server 4, the wireless & tunnel control device 21 performs tunnel connection processing with the wireless access point 20 (S 403).

そして、無線&トンネル制御装置21において、無線アクセスポイント20を介したユーザ端末1との通信の接続設定処理を行う(S404)と共に、無線アクセスポイント20とユーザ端末との間で無線LAN設定を行い(S405)、無線アクセスポイント20と無線接続するユーザ端末1との間でセキュアなトンネリングパスの接続設定を行う。   The wireless & tunnel control device 21 performs connection setting processing for communication with the user terminal 1 via the wireless access point 20 (S404), and performs wireless LAN setting between the wireless access point 20 and the user terminal. (S405) A secure tunneling path connection setting is performed between the wireless access point 20 and the user terminal 1 wirelessly connected.

つまり、無線&トンネル制御装置21は、無線アクセスポイント20のSSIDと、無線アクセスポイント20に無線接続するユーザ端末1のユーザ端末IDとを対応付けて管理する。これにより、無線&トンネル制御装置21は、無線アクセスポイント20とトンネリングパスの設定を行ない、ユーザ端末1の通信データについて、このトンネリングパスを用いてセキュアな通信を行うことができる。   That is, the wireless & tunnel control device 21 manages the SSID of the wireless access point 20 and the user terminal ID of the user terminal 1 wirelessly connected to the wireless access point 20 in association with each other. Thereby, the wireless & tunnel control device 21 can set a tunneling path with the wireless access point 20, and can perform secure communication on the communication data of the user terminal 1 by using this tunneling path.

その後、ユーザ端末1は、企業ネットワーク5の中にある各種システム(メールサーバやファイルサーバ等)へアクセス可能となる(S406)。   Thereafter, the user terminal 1 can access various systems (such as a mail server and a file server) in the corporate network 5 (S406).

(B−2−2)企業ネットワーク5への接続継続時
図11は、企業ネットワーク5への接続継続時におけるユーザ認証処理を示すシーケンスである。 (B-2-2) Connection Continued to Corporate Network 5 FIG. 11 is a sequence showing user authentication processing when connection to the corporate network 5 continues.

まず、図11のS406で、無線アクセスポイント20との間で接続が完了すると、無線&トンネル制御装置21は、タイマーを計時する。そして、所定時間(T)が経過すると(S201)、ユーザ端末1に対して、登録の延長要否を示す警告メッセージを送信する(S501)。   First, when the connection with the wireless access point 20 is completed in S406 of FIG. 11, the wireless & tunnel control device 21 measures a timer. When a predetermined time (T) has elapsed (S201), a warning message indicating whether registration extension is necessary is transmitted to the user terminal 1 (S501).

この警告メッセージがユーザ端末1に表示されると、ユーザ10の電話端末9を用いた処理、ボイスメール(VM)装置7の処理、及びユーザ端末1と無線&トンネル制御装置21の継続要求処理は、第1の実施形態のS203〜S215の処理と同じである。   When this warning message is displayed on the user terminal 1, processing using the telephone terminal 9 of the user 10, processing of the voice mail (VM) device 7, and continuation request processing of the user terminal 1 and the wireless & tunnel control device 21 are performed. This is the same as the processing of S203 to S215 of the first embodiment.

つまり、ユーザ10は、電話端末9を用いて、ボイスメール(VM)装置7へ発呼する(S203〜S205)。そして、ボイスメール(VM)装置7の案内メッセージに従い(S206)、作業継続の旨の作業NOとボイスメール(VM)装置7へのアクセスパスワード及びユーザIDを入力し(S207)、パスワード管理処理で生成されたユーザパスワードを音声ないしはPB信号で聞き(S210)、ユーザ端末1へ入力する(S211)。   That is, the user 10 makes a call to the voice mail (VM) device 7 using the telephone terminal 9 (S203 to S205). Then, in accordance with the guidance message of the voice mail (VM) device 7 (S206), the operation number indicating that the operation is continued, the password for accessing the voice mail (VM) device 7 and the user ID are input (S207). The generated user password is heard by voice or PB signal (S210) and input to the user terminal 1 (S211).

無線&トンネリング制御装置4は、ユーザ端末1からのユーザパスワードの入力が一定時間(T2)内に終了した場合は(S216)、ボイスメール(VM)7からのユーザパスワードとユーザ端末1からのユーザパスワードとの一致を判断して(S213)、ユーザパスワードが一致するとき通信パス(セッション)は継続し(S215)。また、一致しないとき、無線&トンネリング制御装置4は、ユーザ端末1にエラーメッセージを送信する(S214)。   When the input of the user password from the user terminal 1 is completed within a certain time (T2) (S216), the wireless & tunneling control device 4 and the user password from the voice mail (VM) 7 and the user from the user terminal 1 A match with the password is determined (S213), and when the user password matches, the communication path (session) continues (S215). If they do not match, the wireless & tunneling control device 4 transmits an error message to the user terminal 1 (S214).

一方、タイムアウトした場合、無線&トンネリング制御装置4は切断メッセージをユーザ端末1へ表示し、切断処理を行う(S217)。   On the other hand, when time-out occurs, the wireless & tunneling control device 4 displays a disconnect message on the user terminal 1 and performs disconnect processing (S217).

(B−2−3)企業ネットワーク5の切断時
図12は、企業ネットワーク5の切断時におけるユーザ認証処理を示すシーケンスである。 (B-2-3) When disconnecting the corporate network 5 FIG. 12 is a sequence showing a user authentication process when disconnecting the corporate network 5.

ユーザ10が企業ネットワーク5へのアクセスを切断する処理は、無線&トンネル制御装置21が、無線アクセスポイント20との通信パスを切断する点が第1の実施形態の切断時の処理と異なり、それ以外の処理は第1の実施形態の切断時の処理と同様である。   The process in which the user 10 disconnects the access to the corporate network 5 is different from the process at the time of disconnection in the first embodiment in that the wireless & tunnel control device 21 disconnects the communication path with the wireless access point 20. The processing other than is the same as the processing at the time of cutting in the first embodiment.

つまり、ユーザ10は電話端末9を操作し、ボイスメール(VM)装置7宛の発信を行う(S301)。   That is, the user 10 operates the telephone terminal 9 to make a call to the voice mail (VM) device 7 (S301).

電話端末9からボイスメール(VM)装置7宛の接続要求が、電話網8を介してPBX6に与えられると、PBX6により、この発呼に関する接続要求がボイスメール(VM)7に与えられ(S302)、ボイスメール(VM)装置7からの応答を受け取り(S303)、電話端末9とボイスメール(VM)装置7との呼接続を行う。   When a connection request addressed to the voice mail (VM) device 7 is given from the telephone terminal 9 to the PBX 6 via the telephone network 8, a connection request regarding this call is given to the voice mail (VM) 7 by the PBX 6 (S302). ), A response from the voice mail (VM) device 7 is received (S303), and a call connection is made between the telephone terminal 9 and the voice mail (VM) device 7.

電話端末9と接続したボイスメール(VM)7は、VPN接続のための案内メッセージを電話端末9に対して音声で通知する(S304)。   The voice mail (VM) 7 connected to the telephone terminal 9 notifies the telephone terminal 9 by voice of a guidance message for VPN connection (S304).

そして、ユーザ10は、音声メッセージに基づいて接続を切断する作業NOを入力すると共に、ユーザIDとボイスメール(VM)装置7へのパスワードをPB信号で入力する(S305)。   Then, the user 10 inputs a work NO for disconnecting the connection based on the voice message, and inputs a user ID and a password to the voice mail (VM) device 7 using a PB signal (S305).

ボイスメール(VM)装置7は、登録情報を参照して、電話端末9から取得したユーザID及びVM7へのパスワードが正当であること判別する。そして、入力ユーザID及びVM7へのパスワードが正当であることを判断すると(S306)、ボイスメール(VM)装置11は、無線&トンネル制御装置21に対して、ユーザID及びユーザパスワードの削除通知を送る(S307)。   The voice mail (VM) device 7 refers to the registration information and determines that the user ID acquired from the telephone terminal 9 and the password to the VM 7 are valid. When it is determined that the input user ID and the password for the VM 7 are valid (S306), the voice mail (VM) device 11 notifies the wireless & tunnel control device 21 of the deletion of the user ID and the user password. Send (S307).

これを受けて、無線&トンネル制御装置21は、ユーザID及びユーザパスワードを削除し、無線アクセスポイント20との間の接続を切断する(S601)。   In response to this, the wireless & tunnel control device 21 deletes the user ID and the user password, and disconnects the connection with the wireless access point 20 (S601).

なお、ボイスメール(VM)装置7は、ユーザパスワードをユーザ端末1に送信した後、PBX6に対して切断要求を送信し(S309)、これを受けて、PBX6はユーザ端末1との呼を切断する(S310)。   The voice mail (VM) device 7 transmits a user password to the user terminal 1 and then transmits a disconnection request to the PBX 6 (S309). In response to this, the PBX 6 disconnects the call with the user terminal 1. (S310).

(B−3)第2の実施形態の効果
以上のように、第2の実施形態によれば、第1の実施形態で説明した効果を奏することができる。 (B-3) Effects of Second Embodiment As described above, according to the second embodiment, the effects described in the first embodiment can be achieved.

また、第2の実施形態によれば、ユーザが、無線LAN等の無線ネットワーク環境においてリモートアクセスする場合であっても、セキュリティ強度の高いアクセス手段を提供することができる。   Further, according to the second embodiment, even when the user performs remote access in a wireless network environment such as a wireless LAN, an access means with high security strength can be provided.

(C)他の実施形態
(C−1)図5、図10で示したアクセス開始時の処理シーケンスは一例を例示したものであり、処理の順序は特に限定されるものではない。 (C) Other Embodiments (C-1) The processing sequence at the start of access shown in FIGS. 5 and 10 is an example, and the order of processing is not particularly limited.

例えば、図5、図10では、ユーザが、電話端末を用いてユーザパスワードを取得してから、ユーザ端末からVPN装置(無線&トンネル制御装置)にログインするものとして説明した。しかし、ユーザパスワードの取得処理とVPN装置(無線&トンネル制御装置)へのログイン処理の順序が逆であってもよい。   For example, in FIG. 5 and FIG. 10, it is assumed that the user logs in to the VPN device (wireless & tunnel control device) from the user terminal after obtaining the user password using the telephone terminal. However, the order of the user password acquisition process and the login process to the VPN apparatus (wireless & tunnel control apparatus) may be reversed.

この場合、VPN装置(無線&トンネル制御装置)は、ユーザ端末からログインがあるとタイマーを計時し、所定時間が経過しても、ボイスメール装置からユーザパスワードの入力がなければ、タイムアウトとするようにしてもよい。これにより、セキュリティ強度を高めることができる。   In this case, the VPN device (wireless & tunnel control device) counts a timer when there is a login from the user terminal, and if a user password is not input from the voice mail device even after a predetermined time has elapsed, it is timed out. It may be. Thereby, security intensity | strength can be raised.

(C−2)電話端末からユーザ端末へのユーザパスワードの入力処理について、第1及び第2の実施形態では、ユーザ端末のマイクに向けて、電話端末から音声を発するようにする場合を説明した。この変形実施形態として、例えば、ユーザ端末と電話端末とを有線で接続して音声を電話端末に入力する方法を適用するようにしてもよい。 (C-2) Regarding the user password input process from the telephone terminal to the user terminal, the first and second embodiments have described the case where sound is emitted from the telephone terminal toward the microphone of the user terminal. . As this modified embodiment, for example, a method in which a user terminal and a telephone terminal are connected by wire and voice is input to the telephone terminal may be applied.

(C−3)第1及び第2の実施形態で説明したボイスメール装置、VPN装置、無線&トンネル制御装置、無線アクセスポイント等の各構成要件の処理は、ソフトウェア処理により実現されるものである。 (C-3) The processing of each constituent element such as the voice mail device, VPN device, wireless & tunnel control device, wireless access point, etc. described in the first and second embodiments is realized by software processing. .

従って、各構成要件の各種機能ついては、第1及び第2の実施形態で説明した各種機能を実現可能であれば、ボイスメール装置、VPN装置、無線&トンネル制御装置、無線アクセスポイント等の物理的に同一装置に存在していなくても、分散配置されるものであってよい。   Therefore, as for the various functions of each component, if the various functions described in the first and second embodiments can be realized, physical functions such as a voice mail device, a VPN device, a wireless & tunnel control device, a wireless access point, etc. Even if they are not present in the same apparatus, they may be distributed.

また逆に、例えば、PBXが、第1及び第2の実施形態で説明したボイスメール装置の各種機能を備えるようにしてもよい。また、例えば、VPN装置が、ボイスメール装置の各種機能を備えるようにしてもよい。さらに、VPN装置、ボイスメール装置及びPBXの各種機能が同一サーバに搭載されるようにしてもよい。   Conversely, for example, the PBX may be provided with various functions of the voice mail apparatus described in the first and second embodiments. Further, for example, the VPN device may be provided with various functions of the voice mail device. Further, various functions of the VPN device, the voice mail device, and the PBX may be installed in the same server.

第1の実施形態の通信システムの全体構成図である。1 is an overall configuration diagram of a communication system according to a first embodiment. 第1の実施形態のユーザ端末の内部構成図である。It is an internal block diagram of the user terminal of 1st Embodiment. 第1の実施形態のVPN装置の内部構成図である。It is an internal block diagram of the VPN apparatus of 1st Embodiment. 第1の実施形態のボイスメール装置の内部構成図である。It is an internal block diagram of the voice mail apparatus of 1st Embodiment. 第1の実施形態の企業ネットワークへの接続開始時の処理を示すシーケンスである。It is a sequence which shows the process at the time of the connection start to the corporate network of 1st Embodiment. 第1の実施形態の企業ネットワークへの接続継続時の処理を示すシーケンスである。It is a sequence which shows the process at the time of the connection continuation to the corporate network of 1st Embodiment. 第1の実施形態の企業ネットワークへの切断時の処理を示すシーケンスである。It is a sequence which shows the process at the time of the cutting | disconnection to the corporate network of 1st Embodiment. 第2の実施形態の通信システムの全体構成図である。It is a whole block diagram of the communication system of 2nd Embodiment. 第2の実施形態の無線&トンネル制御装置の内部構成図である。It is an internal block diagram of the radio | wireless & tunnel control apparatus of 2nd Embodiment. 第2の実施形態の企業ネットワークへの接続開始時の処理を示すシーケンスである。It is a sequence which shows the process at the time of the connection start to the corporate network of 2nd Embodiment. 第2の実施形態の企業ネットワークへの接続継続時の処理を示すシーケンスである。It is a sequence which shows the process at the time of the connection continuation to the corporate network of 2nd Embodiment. 第2の実施形態の企業ネットワークへの切断時の処理を示すシーケンスである。It is a sequence which shows the process at the time of the cutting | disconnection to the corporate network of 2nd Embodiment.

符号の説明Explanation of symbols

1…ユーザ端末、2…パケットネットワーク(PNW)、3…VPN装置、4…認証サーバ、5…企業ネットワーク、6…PBX、7…VM(ボイスメール装置)、8…電話網、9…電話端末、20…無線アクセスポイント、21…無線&トンネル制御装置、100及び200…通信システム。   DESCRIPTION OF SYMBOLS 1 ... User terminal, 2 ... Packet network (PNW), 3 ... VPN apparatus, 4 ... Authentication server, 5 ... Corporate network, 6 ... PBX, 7 ... VM (voice mail apparatus), 8 ... Telephone network, 9 ... Telephone terminal , 20 ... Wireless access point, 21 ... Wireless & tunnel control device, 100 and 200 ... Communication system.

Claims (6)

音声通信網を通じて受信した呼接続要求に応じて呼接続を行う呼制御手段と、
上記呼制御手段の呼制御により、予め登録された登録ユーザによって操作された電話端末と呼接続を行い、上記電話端末から認証許可情報の取得要求を受けると、アクセス先の認証に必要な認証許可情報を生成し、その認証許可情報を音情報として上記電話端末及びアクセス制御手段に与える認証許可情報提供手段と、
ネットワークを通じて上記アクセス先へのアクセス制御を行うものであって、上記アクセス先への接続要求をしてきたユーザ端末に対して上記アクセス先への認証に必要な認証許可情報を要求し、上記ユーザ端末から取得した上記認証許可情報が上記認証許可情報提供手段から受け取った上記認証許可情報と一致するか否かを判断するアクセス制御手段と、
上記アクセス制御手段により上記ユーザ端末からの上記認証許可情報が正当である場合、予め登録されているユーザ識別情報と上記ユーザ端末からのユーザ識別情報に基づいて上記アクセス先への認証を行う認証手段と
を備え、
上記電話端末は、上記認証許可情報提供手段から取得した上記認証許可情報を音情報として上記ユーザ端末に入力するものであり、
上記ユーザ端末は、上記電話端末から音情報として入力された上記認証許可情報を上記アクセス制御手段に与えるものである
ことを特徴とする認証システム。 Call control means for performing call connection in response to a call connection request received through a voice communication network;
The call control of the call control means makes a call connection with a telephone terminal operated by a registered user registered in advance, and receives an authentication permission information acquisition request from the telephone terminal. Authentication permission information providing means for generating information and giving the authentication permission information to the telephone terminal and the access control means as sound information;
Controlling access to the access destination through a network, requesting authentication permission information necessary for authentication to the access destination to a user terminal that has made a connection request to the access destination, and the user terminal Access control means for determining whether or not the authentication permission information acquired from the authentication permission information provided from the authentication permission information providing means matches the authentication permission information;
Authentication means for authenticating to the access destination based on pre-registered user identification information and user identification information from the user terminal when the authentication permission information from the user terminal is valid by the access control means And
The telephone terminal inputs the authentication permission information acquired from the authentication permission information providing means to the user terminal as sound information,
The authentication system, wherein the user terminal gives the authentication permission information input as sound information from the telephone terminal to the access control means. 上記アクセス制御手段が、上記ユーザ端末との間の接続が完了してから所定時間経過後に、再度接続設定が必要な旨を示すメッセージを上記ユーザ端末に送信するものであることを特徴とする請求項1に記載の認証システム。   The access control means transmits a message to the user terminal indicating that connection setting is required again after a predetermined time has elapsed since the connection with the user terminal is completed. Item 4. The authentication system according to Item 1. 上記ユーザ端末と上記アクセス制御手段との間の通信パスが、仮想的な通信パスであることを特徴とする請求項1又は2に記載の認証システム。   The authentication system according to claim 1 or 2, wherein a communication path between the user terminal and the access control means is a virtual communication path. 上記ユーザ端末が、無線アクセスポイントを介して無線通信を行う無線端末であり、
上記無線アクセスポイントと上記アクセス制御手段との間の通信パスが、仮想的な通信パスであり、上記アクセス制御手段が上記無線アクセスポイントの識別情報に対応付けて上記ユーザ端末を管理するものであることを特徴とする請求項1又は2に記載の認証システム。 The user terminal is a wireless terminal that performs wireless communication via a wireless access point,
A communication path between the wireless access point and the access control means is a virtual communication path, and the access control means manages the user terminal in association with identification information of the wireless access point. The authentication system according to claim 1 or 2, characterized in that. アクセス先への接続要求を行うユーザの認証を行う認証方法であって、
呼制御手段が、音声通信網を通じて受信したユーザの電話端末からの呼接続要求に応じて呼接続を行う呼制御工程と、
認証許可情報提供手段が、上記呼制御手段の呼制御により、予め登録された登録ユーザによって操作された電話端末と呼接続を行い、上記電話端末から認証許可情報の取得要求を受けると、アクセス先の認証に必要な認証許可情報を生成し、その認証許可情報を音情報として上記電話端末及びアクセス制御手段に与える認証許可情報提供工程と、
アクセス制御手段が、ネットワークを通じて上記アクセス先へのアクセス制御を行うものであって、上記アクセス先への接続要求をしてきたユーザ端末に対して上記アクセス先への認証に必要な認証許可情報を要求し、上記ユーザ端末から取得した上記認証許可情報が上記認証許可情報提供手段から受け取った上記認証許可情報と一致するか否かを判断するアクセス制御工程と、
認証手段が、上記アクセス制御手段により上記ユーザ端末からの上記認証許可情報が正当である場合、予め登録されているユーザ識別情報と上記ユーザ端末からのユーザ識別情報に基づいて上記アクセス先への認証を行う認証工程と
を有し、
上記電話端末は、上記認証許可情報提供手段から取得した上記認証許可情報を音情報として上記ユーザ端末に入力し、
上記ユーザ端末は、上記電話端末から音情報として入力された上記認証許可情報を上記アクセス制御手段に与える
ことを特徴とする認証方法。 An authentication method for authenticating a user who makes a connection request to an access destination,
A call control step in which the call control means performs call connection in response to a call connection request from the user's telephone terminal received through the voice communication network;
When the authentication permission information providing means performs a call connection with a telephone terminal operated by a registered user registered in advance by the call control of the call control means, and receives an authentication permission information acquisition request from the telephone terminal, the access destination Authentication permission information providing step for generating authentication permission information necessary for the authentication and giving the authentication permission information to the telephone terminal and the access control means as sound information;
The access control means performs access control to the access destination through the network, and requests authentication permission information necessary for authentication to the access destination to the user terminal that has made a connection request to the access destination. An access control step for determining whether the authentication permission information acquired from the user terminal matches the authentication permission information received from the authentication permission information providing unit;
If the authentication permission information from the user terminal is valid by the access control means, the authentication means authenticates the access destination based on the user identification information registered in advance and the user identification information from the user terminal. And an authentication process for performing
The telephone terminal inputs the authentication permission information acquired from the authentication permission information providing means to the user terminal as sound information,
The authentication method characterized in that the user terminal gives the authentication permission information input as sound information from the telephone terminal to the access control means. ネットワークを通じてアクセス先への接続要求をする際に、アクセス制御手段によりアクセス先の認証処理に必要な認証許可情報をユーザの電話端末に提供するサーバであって、
音声通信網を通じて、呼制御手段の呼制御により、予め登録された登録ユーザによって操作された電話端末と呼接続を行い、上記電話端末から認証許可情報の取得要求を受けると、アクセス先の認証に必要な認証許可情報を生成し、その認証許可情報を音情報として上記電話端末及び上記アクセス制御手段に与える認証許可情報提供手段を備えることを特徴とするサーバ。 A server that provides a user's telephone terminal with authentication permission information necessary for access destination authentication processing by an access control means when making a connection request to an access destination through a network,
When a call connection is made with a telephone terminal operated by a registered user registered in advance by call control of the call control means through a voice communication network, and an authentication permission information acquisition request is received from the telephone terminal, authentication of the access destination is performed. A server comprising: authentication permission information providing means for generating necessary authentication permission information and giving the authentication permission information as sound information to the telephone terminal and the access control means.
JP2008033251A 2008-02-14 2008-02-14 Authentication system, authentication method and server Pending JP2009193326A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008033251A JP2009193326A (en) 2008-02-14 2008-02-14 Authentication system, authentication method and server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008033251A JP2009193326A (en) 2008-02-14 2008-02-14 Authentication system, authentication method and server

Publications (1)

Publication Number Publication Date
JP2009193326A true JP2009193326A (en) 2009-08-27

Family

ID=41075281

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008033251A Pending JP2009193326A (en) 2008-02-14 2008-02-14 Authentication system, authentication method and server

Country Status (1)

Country Link
JP (1) JP2009193326A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011164837A (en) * 2010-02-08 2011-08-25 Nomura Research Institute Ltd Authentication system and authentication method
JP2012073892A (en) * 2010-09-29 2012-04-12 Nifty Corp Authentication server, authentication system, authentication method and authentication program
WO2014175642A1 (en) * 2013-04-26 2014-10-30 Chung Hyun Cheol Identity authentication system capable of non-repudiation and method for providing same
JP2014215802A (en) * 2013-04-25 2014-11-17 ビッグローブ株式会社 Mobile network connection system, and mobile network connection method
WO2020045075A1 (en) * 2018-08-30 2020-03-05 Necプラットフォームズ株式会社 Electronic lock control device, electronic lock control system, electronic lock control method, and program
JP2020123772A (en) * 2019-01-29 2020-08-13 Necプラットフォームズ株式会社 Router, router control method, and router control program

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11161618A (en) * 1997-09-05 1999-06-18 Toshiba Corp Mobile computer management device, mobile computer device, and mobile computer registering method
JP2003323408A (en) * 2002-04-26 2003-11-14 Masayuki Itoi Personal authentication method and system
JP2004312257A (en) * 2003-04-04 2004-11-04 Toshiba Corp Base station, repeating device and communication system
JP2004348238A (en) * 2003-05-20 2004-12-09 Nippon Telegr & Teleph Corp <Ntt> Communication method and authentication device
JP2007088728A (en) * 2005-09-21 2007-04-05 Freescale Semiconductor Inc Access control system, access control program, and access control method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11161618A (en) * 1997-09-05 1999-06-18 Toshiba Corp Mobile computer management device, mobile computer device, and mobile computer registering method
JP2003323408A (en) * 2002-04-26 2003-11-14 Masayuki Itoi Personal authentication method and system
JP2004312257A (en) * 2003-04-04 2004-11-04 Toshiba Corp Base station, repeating device and communication system
JP2004348238A (en) * 2003-05-20 2004-12-09 Nippon Telegr & Teleph Corp <Ntt> Communication method and authentication device
JP2007088728A (en) * 2005-09-21 2007-04-05 Freescale Semiconductor Inc Access control system, access control program, and access control method

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011164837A (en) * 2010-02-08 2011-08-25 Nomura Research Institute Ltd Authentication system and authentication method
JP2012073892A (en) * 2010-09-29 2012-04-12 Nifty Corp Authentication server, authentication system, authentication method and authentication program
JP2014215802A (en) * 2013-04-25 2014-11-17 ビッグローブ株式会社 Mobile network connection system, and mobile network connection method
WO2014175642A1 (en) * 2013-04-26 2014-10-30 Chung Hyun Cheol Identity authentication system capable of non-repudiation and method for providing same
WO2020045075A1 (en) * 2018-08-30 2020-03-05 Necプラットフォームズ株式会社 Electronic lock control device, electronic lock control system, electronic lock control method, and program
CN112639239A (en) * 2018-08-30 2021-04-09 Nec平台株式会社 Electronic lock control device, electronic lock control system, electronic lock control method, and program
JP2020123772A (en) * 2019-01-29 2020-08-13 Necプラットフォームズ株式会社 Router, router control method, and router control program
JP7001235B2 (en) 2019-01-29 2022-01-19 Necプラットフォームズ株式会社 Routers, router control methods, and router control programs

Similar Documents

Publication Publication Date Title
US8091116B2 (en) Communication system and method
JP4477494B2 (en) Method and system for registering and automatically retrieving digital audio certificates in Internet Protocol (VOIP) communication
KR101202671B1 (en) Remote access system and method for enabling a user to remotely access a terminal equipment from a subscriber terminal
EP2425646B1 (en) Network access nodes
EP2347625B1 (en) Communication system and method
JP5172624B2 (en) Switch device, authentication server, authentication system, authentication method, and program
US20100197293A1 (en) Remote computer access authentication using a mobile device
US20070083470A1 (en) Architecture that manages access between a mobile communications device and an IP network
US9065684B2 (en) IP phone terminal, server, authenticating apparatus, communication system, communication method, and recording medium
JP5311039B2 (en) COMMUNICATION SYSTEM AND COMMUNICATION METHOD THEREOF
JP2009111859A (en) Apparatus, method and program, for registering user address information
JP2015503303A (en) Secure communication system and communication method
JP2009193326A (en) Authentication system, authentication method and server
CN113271299B (en) Login method and server
US8468354B2 (en) Broker-based interworking using hierarchical certificates
EP2484049B1 (en) Method for re-configuring a communications device
US20190200226A1 (en) Method of authenticating access to a wireless communication network and corresponding apparatus
JP2006229265A (en) Gateway system
WO2017041298A1 (en) Wireless local area network access point verification method, terminal, service platform, access point and access point background
TW201828756A (en) Method and apparatus for transmitting and acquiring wifi networking information reducing the delay and technical complexity of the wifi-type smart devices accessing the network
US20090154449A1 (en) Telephone system, and main unit and terminal registration method therefor
KR20130037308A (en) Sip communication system and control method thereof, lan access apparatus comprised the system and control method thereof
KR20080054972A (en) Method for accessing in data network using voice communication and system thereof
JP2008136092A (en) Telephone system
KR20090097233A (en) Operating method of additional service server, voip device and terminal adaptor device and apparatus thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100917

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120815

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120828

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20121225