Nothing Special   »   [go: up one dir, main page]

JP3833652B2 - Network system, server device, and authentication method - Google Patents

Network system, server device, and authentication method Download PDF

Info

Publication number
JP3833652B2
JP3833652B2 JP2003418880A JP2003418880A JP3833652B2 JP 3833652 B2 JP3833652 B2 JP 3833652B2 JP 2003418880 A JP2003418880 A JP 2003418880A JP 2003418880 A JP2003418880 A JP 2003418880A JP 3833652 B2 JP3833652 B2 JP 3833652B2
Authority
JP
Japan
Prior art keywords
authentication
hardware
client device
user
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003418880A
Other languages
Japanese (ja)
Other versions
JP2004158025A (en
Inventor
太郎 大内
史明 丹野
政彦 立木
Original Assignee
株式会社エヌ・エス・アイ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社エヌ・エス・アイ filed Critical 株式会社エヌ・エス・アイ
Priority to JP2003418880A priority Critical patent/JP3833652B2/en
Publication of JP2004158025A publication Critical patent/JP2004158025A/en
Application granted granted Critical
Publication of JP3833652B2 publication Critical patent/JP3833652B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

本発明は、ネットワークシステム、サーバ装置、および認証方法に関する。   The present invention relates to a network system, a server device, and an authentication method.

インターネットは、コンテンツ提供ツールまたはコミュニケーションツールとして広く使用されるだけでなく、電子政府または電子商取引などの社会インフラとしてその活用分野が急速に広がりつつある。   The Internet is not only widely used as a content providing tool or a communication tool, but its application field is rapidly expanding as a social infrastructure such as e-government or e-commerce.

インターネットなどの不特定多数の通信装置やサーバなどで構成されるネットワークでは、情報漏洩もしくは改竄などによる社会的信用低下またはビジネス機会喪失を防ぐため、必要に応じたセキュリティ対策をとることが重要である。   In a network composed of a large number of unspecified communication devices and servers such as the Internet, it is important to take security measures as necessary to prevent social credit deterioration or business opportunity loss due to information leakage or tampering. .

ところで、近年では、外出先などからインターネットを使って安全に社内へアクセスしたり、特定のビジネスパートナーに対して安全に情報提供したりするニーズが高まっている。   By the way, in recent years, there has been an increasing need to access the company safely from the outside using the Internet or to provide information to a specific business partner safely.

従来は、このようなニーズに対して専用線またはインターネットベースでの暗号化接続を提供するSSL(Secure Sockets Layer)もしくはメールの暗号化という方法が主流であった。しかし、サービスが多様化するにつれて、利用するアプリケーションを意識することなく暗号化したいというニーズが高まってきている。そうした要求に対して、特許文献1に開示されているVPN(Virtual Private Network)が注目されている。
特開2002−208921号公報(請求の範囲、要約書) Conventionally, SSL (Secure Sockets Layer) or mail encryption methods that provide encrypted connections based on dedicated lines or the Internet have been the mainstream for such needs. However, as services diversify, there is an increasing need for encryption without being conscious of the application to be used. In response to such a demand, VPN (Virtual Private Network) disclosed in Patent Document 1 has attracted attention.
JP 2002-208921 A (Claims, Abstract)

ところで、特許文献1に示す方法では、悪意の第三者の侵入を防ぐために、ユーザのID(Identification)とパスワード(ユーザ識別情報)によって、正当なユーザか否かの認証を行っている。   By the way, in the method shown in Patent Document 1, in order to prevent a malicious third party from entering, authentication of whether or not the user is a valid user is performed by using a user ID (Identification) and a password (user identification information).

したがって、ユーザ識別情報が悪意の第三者に漏洩した場合には、外部から容易にシステムに侵入され、システム内の情報が漏洩してしまうという問題点がある。   Therefore, when the user identification information is leaked to a malicious third party, there is a problem in that it easily enters the system from the outside and information in the system leaks.

そこで、このような問題を回避するために、前述のような専用線を用いる方法も考えられるが、専用線の敷設には多大なコストが必要であるという問題点がある。   In order to avoid such a problem, a method using a dedicated line as described above can be considered, but there is a problem that a large cost is required for laying the dedicated line.

本発明は、上記の事情に基づきなされたもので、その目的とするところは、安いコストで、安全性の高い通信を実現可能なネットワークシステム、サーバ装置、および、認証方法を提供することを目的とする。   The present invention has been made based on the above circumstances, and an object of the present invention is to provide a network system, a server device, and an authentication method capable of realizing highly secure communication at a low cost. And

上述の目的を達成するため、本発明は、ネットワークを介してクライアント装置とサーバ装置の間で通信をおこなうネットワークシステムにおいて、サーバ装置は、クライアント装置からのユーザ識別情報に基づき、ユーザについての認証処理を行うユーザ認証手段と、ユーザ認証手段によってユーザ認証がされた場合にのみ、このサーバ装置と通信中のクライアント装置のハードウエアに関する情報と、認証したユーザに関連付けられているクライアント装置について予め登録されているハードウエアに関する情報に基づいてクライアント装置の認証を行うハードウエア認証手段と、ハードウエア認証手段によってハードウエアが認証された場合にのみ、クライアント装置と、このサーバ装置又は他の所定の通信装置との間での通信を許可する通信許可手段と、を有し、クライアント装置は、認証用のユーザ識別情報をサーバ装置へ送信する送信手段と、サーバ装置の通信許可手段により通信を許可された場合に、サーバ装置または他の所定の通信装置との通信を開始する通信手段と、を有し、サーバ装置のハードウエア認証手段は、サーバ装置において予め登録されているクライアント装置のハードウエアに関する情報を有するハードウエア認証モジュールをクライアント装置に送信してそのクライアント装置のハードウエアに関する情報に基づく認証結果情報をこのサーバ装置へ送信させ、その認証結果情報に基づいてそのクライアント装置を認証するか否かを判定し、クライアント装置は、サーバ装置からハードウエア認証モジュールを受信すると、そのハードウエア認証モジュールを実行して、このハードウエア認証モジュールに従ってこのクライアント装置が認証されるか否かを判定し、その認証結果情報をサーバ装置へ送信する。 In order to achieve the above-described object, the present invention provides a network system in which communication is performed between a client device and a server device via a network. The server device performs authentication processing for a user based on user identification information from the client device. Only when user authentication is performed and user authentication is performed by the user authentication unit, information regarding the hardware of the client device communicating with the server device and the client device associated with the authenticated user are registered in advance. Hardware authentication means for authenticating the client device based on the information about the hardware being used, and the client device and the server device or other predetermined communication device only when the hardware is authenticated by the hardware authentication means Allow communication with A communication permission unit, and when the client device is permitted to communicate by the transmission unit that transmits user identification information for authentication to the server device and the communication permission unit of the server device, the client device possess a communication unit to initiate communication with a predetermined communication device, a hardware authentication means of the server device, the client hardware authentication module with information on the hardware of the client apparatus which is registered in advance in the server device The authentication result information based on the information about the hardware of the client device transmitted to the device is transmitted to the server device, and it is determined whether to authenticate the client device based on the authentication result information. When the hardware authentication module is received from the server device, the hardware authentication Run Joule, according to the hardware authentication module the client device determines whether the authentication, and transmits the authentication result information to the server device.

このため、安いコストで、安全性の高い通信を実現可能なネットワークシステムを提供することができる。   Therefore, it is possible to provide a network system that can realize highly secure communication at a low cost.

また、他の発明は、上述の発明に加えて、ハードウエア認証キーは、クライアント装置を構成するハードウエアのMAC(Media Access Control Address)アドレスもしくはシリアル番号、記憶装置のボリュームIDもしくは記憶容量、または記憶装置にインストールされているソフトウエアの登録情報に基づき作成されている。このため、クライアント装置を確実に認証することができる。 In addition to the above-described invention, the hardware authentication key may include a MAC (Media Access Control Address) address or serial number of hardware constituting the client device, a volume ID or storage capacity of the storage device, or It is created based on registration information of software installed in the storage device. For this reason, the client device can be reliably authenticated.

また、他の発明は、上述の発明に加えて、クライアント装置の通信手段は、SSH(Secure Shell)によって、サーバ装置または他の所定の通信装置との間で送受信される通信パケットを暗号化するようにしている。このため、安価に暗号化通信を実現することができる。 In another invention, in addition to the above-described invention, the communication unit of the client device encrypts a communication packet transmitted / received to / from the server device or another predetermined communication device by SSH (Secure Shell). I am doing so. For this reason, encrypted communication can be realized at low cost.

また、他の発明は、上述の発明に加えて、クライアント装置の通信手段は、SSL(Secure Sockets Layer)によって、所定の通信装置との間で送受信される通信パケットを暗号化するようにしている。このため、インターネットブラウザを用いることにより、暗号化通信を実現することができる。 According to another invention, in addition to the above-mentioned invention, the communication means of the client device encrypts a communication packet transmitted / received to / from a predetermined communication device by SSL (Secure Sockets Layer). . For this reason, encrypted communication can be realized by using an Internet browser.

また、他の発明は、上述の発明に加えて、クライアント装置の通信手段は、IP-secによって、所定の通信装置との間で送受信される通信パケットを暗号化するようにしている。 In another invention, in addition to the above-mentioned invention, the communication means of the client device encrypts a communication packet transmitted / received to / from a predetermined communication device by IP-sec.

また、他の発明は、上述の各発明に加えて、サーバ装置の通信許可手段は、ハードウエア認証手段によってハードウエアが認証された場合には、クライアント装置の通信相手である所定の通信装置についての当該ユーザのユーザアカウントを有効とし、クライアント装置の通信相手である所定の通信装置からの要求に応じて、ユーザアカウント情報に基づき、そのクライアント装置のユーザについての認証処理を行い、認証結果をその通信装置へ送信するようにしている。このため、ハードウエア認証を行うサーバ装置と、通信装置とを別個に設けることができる。 In addition to the above-described inventions, in another invention, the communication permission unit of the server device is configured to provide a predetermined communication device that is a communication partner of the client device when the hardware is authenticated by the hardware authentication unit. The user account of the client device is validated, and in response to a request from a predetermined communication device that is a communication partner of the client device, an authentication process is performed for the user of the client device based on the user account information, and the authentication result is The data is transmitted to the communication device. For this reason, the server apparatus which performs hardware authentication, and a communication apparatus can be provided separately.

また、他の発明は、上述の発明に加えて、サーバ装置の通信許可手段は、ハードウエアが認証された時点または所定の通信装置についてのユーザアカウントを有効とした時点から所定の時間が経過した場合には、当該ユーザアカウントを無効とするようにしている。このため、認証後ある時間内にしか所定のサーバ装置へアクセスできなくなり、セキュリティを向上させることができる。 According to another invention, in addition to the above-mentioned invention, the communication permission means of the server device has passed a predetermined time from the time when the hardware is authenticated or the time when the user account for the predetermined communication device is validated. In this case, the user account is invalidated. For this reason, it becomes possible to access a predetermined server device only within a certain period of time after authentication, and security can be improved.

また、本発明は、ネットワークを介してクライアント装置との間で通信をおこなうサーバ装置において、クライアント装置からのユーザ識別情報に基づき、ユーザについての認証処理を行うユーザ認証手段と、ユーザ認証手段によってユーザ認証がされた場合にのみ、このサーバ装置と通信中のクライアント装置のハードウエアに関する情報と、認証したユーザに関連付けられているクライアント装置について予め登録されているハードウエアに関する情報に基づいてクライアント装置の認証を行うハードウエア認証手段と、ハードウエア認証手段によってハードウエアが認証された場合にのみ、クライアント装置と、このサーバ装置又は他の所定の通信装置との間での通信を許可する通信許可手段と、を有し、サーバ装置のハードウエア認証手段は、サーバ装置において予め登録されているクライアント装置のハードウエアに関する情報を有するハードウエア認証モジュールをクライアント装置に送信し、クライアント装置がそのハードウエア認証モジュールを実行してこのハードウエア認証モジュールに従ってこのクライアント装置が認証されるか否かを判定してその認証結果情報を送ってきた場合に、当該認証結果情報に基づいてそのクライアント装置を認証するか否かを判定する。 The present invention also provides a user authentication unit that performs authentication processing for a user based on user identification information from a client device in a server device that communicates with a client device via a network, and a user authentication unit that performs user authentication. Only when authentication is performed, based on information about the hardware of the client device communicating with the server device and information about hardware registered in advance for the client device associated with the authenticated user, Hardware authentication means for performing authentication, and communication permission means for permitting communication between the client device and the server device or another predetermined communication device only when the hardware is authenticated by the hardware authentication means Hardware authentication of the server device The means transmits a hardware authentication module having information on the hardware of the client device registered in advance in the server device to the client device, and the client device executes the hardware authentication module and executes the hardware authentication module according to the hardware authentication module. When it is determined whether or not the client device is authenticated and the authentication result information is sent, it is determined whether or not to authenticate the client device based on the authentication result information.

このため、安いコストで、安全性の高い通信を実現可能なサーバ装置を提供することができる。For this reason, the server apparatus which can implement | achieve highly secure communication at low cost can be provided.

また、本発明の認証方法は、特定ユーザを関連付けられているクライアント装置が現在使用中のユーザのユーザ識別情報を認証サーバ装置へ送信するステップと、認証サーバ装置により、ユーザ識別情報を受信し、そのユーザ識別情報に基づき、クライアント装置の現在使用中のユーザを認証するか否かを決定するステップと、認証サーバ装置により、クライアント装置の現在使用中のユーザが認証された場合に、認証サーバ装置に予め登録されているクライアント装置のハードウエアに関する情報を有するハードウエア認証モジュールをクライアント装置に送信し、クライアント装置がそのハードウエア認証モジュールを実行してこのハードウエア認証モジュールに従ってこのクライアント装置が認証されるか否かを判定してその認証結果情報を送ってきたときに、当該認証結果情報に基づいてそのクライアント装置を認証するか否かを決定するステップと、認証サーバ装置により、このクライアント装置が認証された場合に、クライアント装置と所定の通信装置との通信路を確立するステップと、を有する。The authentication method of the present invention includes a step of transmitting user identification information of a user currently used by a client device associated with a specific user to the authentication server device, and receiving the user identification information by the authentication server device, A step of determining whether to authenticate a user currently in use of the client device based on the user identification information; and when the user in use of the client device is authenticated by the authentication server device, the authentication server device The hardware authentication module having information relating to the hardware of the client device registered in advance is transmitted to the client device, the client device executes the hardware authentication module, and the client device is authenticated according to the hardware authentication module. Authentication result A step of determining whether to authenticate the client device based on the authentication result information when the information is sent, and when the client device is authenticated by the authentication server device, Establishing a communication path with the communication device.

このため、安いコストで、安全性の高い通信を実現可能な認証方法を提供することができる。For this reason, the authentication method which can implement | achieve highly secure communication at low cost can be provided.

また、本発明の認証方法は、認証サーバ装置により、クライアント装置からのユーザ識別情報に基づき、ユーザについての認証処理を行うステップと、認証サーバ装置により、ユーザ認証がされた場合にのみ、認証サーバ装置に予め登録されているクライアント装置のハードウエアに関する情報を有するハードウエア認証モジュールをクライアント装置に送信し、クライアント装置がそのハードウエア認証モジュールを実行してこのハードウエア認証モジュールに従ってこのクライアント装置が認証されるか否かを判定してその認証結果情報を送ってきたときに、当該認証結果情報に基づいてそのクライアント装置を認証するか否かを決定するステップと、認証サーバ装置により、ハードウエアが認証された場合にのみ、クライアント装置と、この認証サーバ装置又は他の所定の通信装置との間での通信を許可するステップと、を有する。 The authentication method of the present invention includes a step of performing authentication processing for a user based on user identification information from a client device by an authentication server device, and an authentication server only when user authentication is performed by the authentication server device. A hardware authentication module having information related to the hardware of the client device registered in advance in the device is transmitted to the client device, the client device executes the hardware authentication module, and the client device authenticates according to the hardware authentication module. Determining whether or not to authenticate the client device based on the authentication result information when the authentication result information is sent and the authentication server device Only when authenticated This has the steps of: permitting communication between the authentication server or another predetermined communication device.

このため、安いコストで、安全性の高い通信を実現可能な認証方法を提供することができる。For this reason, the authentication method which can implement | achieve highly secure communication at low cost can be provided.

本発明は、安いコストで、安全性の高い通信を実現可能なネットワークシステム、サーバ装置、および、認証方法を提供することができる。   The present invention can provide a network system, a server device, and an authentication method that can realize highly secure communication at a low cost.

以下、本発明の一実施の形態について図に基づいて説明する。   Hereinafter, an embodiment of the present invention will be described with reference to the drawings.

図1は、本発明の第1の実施の形態に係るネットワークシステムの構成例を示すブロック図である。この図1に示すネットワークシステムは、クライアント10、インターネット11、ルータ12、ファイアウォール13、およびサーバ14を有する。   FIG. 1 is a block diagram showing a configuration example of a network system according to the first embodiment of the present invention. The network system shown in FIG. 1 includes a client 10, the Internet 11, a router 12, a firewall 13, and a server 14.

ここで、クライアント10は、直接または間接的にインターネット11に接続可能な通信機能を有するパーソナルコンピュータ、PDA(Personal Digital Assistant)、携帯電話機等の、携帯型または固定型の端末装置であり、インターネット11等を介してサーバ14との間で情報を送受信する。クライアント10は、このクライアント10を使用する特定ユーザと予め関連付けられている。   Here, the client 10 is a portable or fixed terminal device such as a personal computer, a PDA (Personal Digital Assistant), a mobile phone or the like having a communication function that can be directly or indirectly connected to the Internet 11. Etc., information is transmitted to and received from the server 14. The client 10 is associated with a specific user who uses the client 10 in advance.

図2は、クライアント10の詳細な構成例を示す図である。この図に示すように、クライアント10は、CPU10a、ROM10b、RAM10c、HDD(Hard Disk Drive)10d、ビデオ回路10e、I/F10f、バス10g、表示装置10h、入力装置10i、および通信回路10jを有する。   FIG. 2 is a diagram illustrating a detailed configuration example of the client 10. As shown in this figure, the client 10 includes a CPU 10a, ROM 10b, RAM 10c, HDD (Hard Disk Drive) 10d, video circuit 10e, I / F 10f, bus 10g, display device 10h, input device 10i, and communication circuit 10j. .

ここで、CPU10aは、ROM10bあるいはHDD10dに格納されているプログラムに従って各種演算処理を実行するとともに、装置の各部を制御する制御部である。   Here, the CPU 10a is a control unit that executes various arithmetic processes according to a program stored in the ROM 10b or the HDD 10d and controls each unit of the apparatus.

ROM10bは、CPU10aにより実行されるプログラムおよびデータを格納しているメモリである。RAM10cは、CPU10aが実行途中のプログラムあるいは演算途中のデータ等を一時的に格納するメモリである。   The ROM 10b is a memory that stores programs executed by the CPU 10a and data. The RAM 10c is a memory that temporarily stores a program being executed by the CPU 10a or data being calculated.

HDD10dは、CPU10aからの要求に応じて、内蔵されている図示せぬ記録媒体であるハードディスクに記録されているデータあるいはプログラムを読み出すとともに、種々のデータをハードディスクに記録する記録装置である。   The HDD 10d is a recording device that reads data or programs recorded on a hard disk, which is a built-in recording medium (not shown), and records various data on the hard disk in response to a request from the CPU 10a.

ビデオ回路10eは、CPU10aから供給された描画命令に応じて描画処理を実行し、得られた画像データを映像信号に変換して表示装置10hに出力する回路である。   The video circuit 10e is a circuit that executes a drawing process according to a drawing command supplied from the CPU 10a, converts the obtained image data into a video signal, and outputs the video signal to the display device 10h.

I/F10fは、入力装置10iから出力された信号の表現形式を適宜変換するとともに、通信回路10jとの間で通信データの授受を行う回路である。   The I / F 10f is a circuit that appropriately converts the expression format of the signal output from the input device 10i and exchanges communication data with the communication circuit 10j.

バス10gは、CPU10a、ROM10b、RAM10c、HDD10d、ビデオ回路10e、およびI/F10fを相互に接続し、これらの間でデータの授受を可能とする信号線である。   The bus 10g is a signal line that connects the CPU 10a, the ROM 10b, the RAM 10c, the HDD 10d, the video circuit 10e, and the I / F 10f to each other and enables data exchange between them.

表示装置10hは、例えば、LCD(Liquid Crystal Display)モニタ、CRT(Cathode Ray Tube)モニタであって、ビデオ回路10eから出力された映像信号に応じた画像を表示する装置である。   The display device 10h is, for example, an LCD (Liquid Crystal Display) monitor or a CRT (Cathode Ray Tube) monitor and displays an image corresponding to the video signal output from the video circuit 10e.

入力装置10iは、例えば、キーボードあるいはマウスによって構成されており、ユーザの操作に応じた信号を生成して、I/F10fに供給する装置である。   The input device 10i is constituted by, for example, a keyboard or a mouse, and is a device that generates a signal according to a user operation and supplies the signal to the I / F 10f.

通信回路10jは、直接または間接的にインターネット11と接続可能な通信回路である。通信回路10jは、例えば、モデム、有線LAN用NIC(Network Interface Card)、無線LAN用NIC等とされる。   The communication circuit 10j is a communication circuit that can be connected to the Internet 11 directly or indirectly. The communication circuit 10j is, for example, a modem, a wired LAN NIC (Network Interface Card), a wireless LAN NIC, or the like.

図1に戻って、インターネット11は、不特定多数のホストコンピュータ同士を結んだ、オープンな広域ネットワークである。ルータ12は、異なるネットワーク同士を相互接続するネットワーク機器であり、通信経路が記述されたルーティングテーブルに従ってデータを中継する。   Returning to FIG. 1, the Internet 11 is an open wide area network in which an unspecified number of host computers are connected. The router 12 is a network device that interconnects different networks, and relays data according to a routing table in which communication paths are described.

ファイアウォール13は、組織内部のローカルなネットワーク(イントラネット)と、その外部に広がるインターネット11との間に、外部からの不正なアクセスを防ぐ目的で設置されるルータまたはホストである。   The firewall 13 is a router or a host installed for the purpose of preventing unauthorized access from outside between a local network (intranet) inside the organization and the Internet 11 spreading outside.

サーバ14は、クライアント10からアクセス要求がなされた場合には、正当なユーザか否かを判定し、正当なユーザである場合には、クライアント10との通信路を確立し、クライアント10のユーザによるサーバ14内または同一ネットワーク内または他のネットワーク内の他の装置のリソースへのアクセスを許可する。   When an access request is made from the client 10, the server 14 determines whether or not the user is a valid user. If the server 14 is a valid user, the server 14 establishes a communication path with the client 10 and is determined by the user of the client 10. Allows access to resources of other devices within the server 14 or within the same network or other networks.

図3は、サーバ14の詳細な構成例を示す図である。この図に示すように、サーバ14は、CPU14a、ROM14b、RAM14c、HDD14d、I/F14e、通信回路14f、およびバス14gを有する。なお、サーバ14のCPU14a、ROM14b、RAM14c、HDD14d、I/F14e、通信回路14fおよびバス14gは、クライアント10における同名の構成要素と同様の機能を有するものである。ただし、ROM14bまたはHDD14dに格納され、CPU14aにより実行されるプログラムは、サーバ用のものである。また、HDD14dには、このサーバ14にアクセス可能なユーザおよびクライアント10に関する登録情報が、例えば、テーブルとして格納されている。   FIG. 3 is a diagram illustrating a detailed configuration example of the server 14. As shown in this figure, the server 14 includes a CPU 14a, ROM 14b, RAM 14c, HDD 14d, I / F 14e, communication circuit 14f, and bus 14g. Note that the CPU 14 a, ROM 14 b, RAM 14 c, HDD 14 d, I / F 14 e, communication circuit 14 f, and bus 14 g of the server 14 have the same functions as components of the same name in the client 10. However, the program stored in the ROM 14b or the HDD 14d and executed by the CPU 14a is for the server. The HDD 14d stores registration information related to users and clients 10 that can access the server 14, for example, as a table.

図4は、第1の実施の形態において、サーバ14にアクセス可能なユーザおよびクライアント10に関する登録情報を有するテーブルの一例を示す図である。   FIG. 4 is a diagram illustrating an example of a table having registration information related to the user who can access the server 14 and the client 10 in the first embodiment.

図4において、ユーザ名は、ユーザの名称を示すデータであり、ユーザIDは、ユーザ識別情報の一部であって、ユーザに固有のものであり、パスワードは、ユーザ識別情報の一部であって、第三者に対して通常秘密にされる認証用の情報である。また、図4において、クライアント装置名は、そのユーザに割り当てられているクライアント10の名称を示すデータであり、ハードウエア認証キーは、そのクライアント10のハードウエアに関する情報であって、クライアント10の機器認証に使用される情報である。   In FIG. 4, the user name is data indicating the name of the user, the user ID is a part of the user identification information and unique to the user, and the password is a part of the user identification information. Authentication information that is normally kept secret from a third party. In FIG. 4, the client device name is data indicating the name of the client 10 assigned to the user, and the hardware authentication key is information regarding the hardware of the client 10, and the device of the client 10. Information used for authentication.

例えば、図4において、ユーザ名が「TANAKA_TARO」であるユーザについての情報が登録されており、このユーザに対して、まず、ユーザID「TANAKA」およびパスワード「1e85f101」が設定されている。そして、このユーザに対して名称が「MOBILE−TANAKA」なるクライアント10が割り当てられている。すなわち、このクライアント10を使用するユーザ(特定ユーザ)は、ユーザ名が「TANAKA_TARO」であるユーザとされている。さらに、このユーザに対して名称が「MOBILE−TANAKA」なるクライアント10のハードウエア認証キーの値「9853201」が予め算出されて登録されている。   For example, in FIG. 4, information about a user whose user name is “TANAKA_TARO” is registered, and a user ID “TANAKA” and a password “1e85f101” are first set for this user. A client 10 whose name is “MOBILE-TANAKA” is assigned to this user. That is, the user (specific user) who uses this client 10 is a user whose user name is “TANAKA_TARO”. Further, a value “98553201” of the hardware authentication key of the client 10 whose name is “MOBILE-TANAKA” is calculated and registered in advance for this user.

なお、この第1の実施の形態では、サーバ14のROM14bおよび/またはHDD14dに格納されているプログラムをCPU14aにより実行しさらに通信回路14fを制御することで、クライアント10からのユーザ認識情報に基づきユーザ認証処理を行うユーザ認証手段、クライアント10の機器認証処理を行うハードウエア認証手段、ならびに、ユーザ認証処理およびハードウエア認証処理の認証結果に応じてクライアント10とサーバ14のSSHによる通信路の確立を許可する通信許可手段が実現される。また、この第1の実施の形態では、クライアント10のROM10bおよび/またはHDD10dに格納されているプログラムをCPU10aにより実行しさらに通信回路10jを制御することで、ユーザ認識情報や認証結果情報をサーバ14へ送信する送信手段、ならびに、サーバ14との通信をおこなう通信手段が実現される。   In the first embodiment, the program stored in the ROM 14b and / or HDD 14d of the server 14 is executed by the CPU 14a and the communication circuit 14f is controlled, so that the user is based on the user recognition information from the client 10. User authentication means for performing authentication processing, hardware authentication means for performing device authentication processing of the client 10, and establishment of a communication path by SSH between the client 10 and the server 14 according to the authentication results of the user authentication processing and the hardware authentication processing. A communication permission means for permitting is realized. In the first embodiment, the CPU 10a executes a program stored in the ROM 10b and / or the HDD 10d of the client 10 and further controls the communication circuit 10j, whereby user recognition information and authentication result information are transmitted to the server 14. And a communication means for performing communication with the server 14 are realized.

つぎに、第1の実施の形態における各装置の動作について説明する。図5は、第1の実施の形態における各装置の動作を説明するためのシーケンス図である。   Next, the operation of each device in the first embodiment will be described. FIG. 5 is a sequence diagram for explaining the operation of each device in the first embodiment.

まず、事前に、図4に示すように、各ユーザについて、ユーザID、パスワード、特定のクライアント10のハードウエア認証キーなどがサーバ14に登録される。なお、ハードウエア認証キーは、クライアント10のハードウエアに関する情報に基づき取得される。   First, as shown in FIG. 4, for each user, a user ID, a password, a hardware authentication key of a specific client 10, and the like are registered in the server 14 in advance. The hardware authentication key is acquired based on information related to the hardware of the client 10.

ここで、ハードウエアに関する情報としては、例えば、クライアント10が有する通信回路10jのMAC(Media Access Control Address)アドレス、クライアント10のシリアル番号、HDD10dのボリュームID、HDD10dの記憶容量(あるいは特定ボリュームの記憶容量)、HDD10dにインストールされているOS(Operating System)のレジストリ情報、クライアント10のCPUの種類、OSの種類、OSのバージョン、クライアント10において認証時に起動しているプロセスの種類、特定ファイルが存在するか否か、等が、単独または組み合せで使用される。この特定ファイルとしては、例えば、ウィルスチェックソフトウェアの実行形式ファイルやライブラリ、特定の業務用ソフトウェアの実行形式ファイルやライブラリが使用される。また、上記のようなクライアント10に内蔵のハードウェアについての情報と組み合せて、クライアント10に直接接続される周辺機器のハードウェア情報を使用するようにしてもよい。そのような周辺機器としては、USBメモリ、プリンタ、マウス、キーボード、ディスプレイ、デジタルカメラなどがある。なお、MACアドレスについては、通信用PCカード等といった通信手段を追加したり変更したりすると一意に決まらないこともあるので、インストール後のOSにより定められる情報(例えば、Cドライブのシリアル番号など)を利用することが好ましい。各ユーザについてのユーザID、パスワード、ハードウエア認証キーなどの情報のセットを以下では「ユーザ情報」と称する。   Here, as information regarding the hardware, for example, the MAC (Media Access Control Address) address of the communication circuit 10j of the client 10, the serial number of the client 10, the volume ID of the HDD 10d, the storage capacity of the HDD 10d (or the storage of a specific volume) Capacity), registry information of the OS (Operating System) installed in the HDD 10d, the CPU type of the client 10, the OS type, the OS version, the type of process activated at the time of authentication in the client 10, and a specific file exist Whether or not, etc. are used alone or in combination. As the specific file, for example, an execution format file or library of virus check software, or an execution format file or library of specific business software is used. Further, hardware information of peripheral devices directly connected to the client 10 may be used in combination with information about hardware built in the client 10 as described above. Examples of such peripheral devices include a USB memory, a printer, a mouse, a keyboard, a display, and a digital camera. Note that the MAC address may not be uniquely determined when a communication means such as a communication PC card is added or changed, so information determined by the OS after installation (for example, C drive serial number, etc.) Is preferably used. A set of information such as a user ID, a password, and a hardware authentication key for each user is hereinafter referred to as “user information”.

このようにして、ユーザ情報が登録されると、これ以降は、そのユーザは、登録されているクライアント10を使用してサーバ14にアクセスする限り、正当なユーザとしてアクセス可能になる。   After the user information is registered in this way, the user can be accessed as a valid user as long as the user accesses the server 14 using the registered client 10.

クライアント10からサーバ14にアクセスする場合には、クライアント10の入力装置10iが操作され、サーバ14にアクセスする要求がなされる。この結果、図5に示すステップS1において、クライアント10は、サーバ14に対してユーザIDおよびパスワードを送信する。サーバ14は、受信したユーザIDおよびパスワードと、HDD14dに格納されているユーザIDおよびパスワードと比較することにより、ユーザを認証するか否かを判定する。   When accessing the server 14 from the client 10, the input device 10i of the client 10 is operated and a request for accessing the server 14 is made. As a result, in step S <b> 1 shown in FIG. 5, the client 10 transmits the user ID and password to the server 14. The server 14 determines whether or not to authenticate the user by comparing the received user ID and password with the user ID and password stored in the HDD 14d.

認証処理の結果、アクセスしてきたユーザが認証されたと判断した場合には、サーバ14は、ステップS2において、HDD14dに格納されているこのユーザに対して関連付けられているハードウエア認証キーを取得し、ハードウエア認証モジュールを生成して要求を行ったクライアント10に送信する。なお、ハードウエア認証モジュールとは、ハードウエア認証をクライアント10において自動的に実行するためのプログラムあるいはスクリプトである。なお、ハードウエア認証モジュールは、特定のハードウエア情報を収集する機能、収集したハードウエア情報からハードウエア認証キーを算出する機能、このハードウエア認証キーと登録されているハードウエア認証キーとを比較する機能、およびその比較結果をサーバ14へ返送する機能を有する。   As a result of the authentication process, if it is determined that the accessing user has been authenticated, the server 14 acquires a hardware authentication key associated with this user stored in the HDD 14d in step S2, A hardware authentication module is generated and transmitted to the client 10 that made the request. The hardware authentication module is a program or script for automatically executing hardware authentication in the client 10. The hardware authentication module has a function to collect specific hardware information, a function to calculate a hardware authentication key from the collected hardware information, and compare this hardware authentication key with the registered hardware authentication key. And a function of returning the comparison result to the server 14.

クライアント10は、ハードウエア認証モジュールを受信する。受信したハードウエア認証モジュールは、自動的に実行される。その結果、CPU10aは、ハードウエア認証モジュールに記述された制御コードに従って、特定のハードウエア情報を収集する。例えば、特定のハードウエア情報がMACアドレスである場合には、通信回路10jのMACアドレスが取得される。そして、CPU10aは、収集したハードウエア情報からハードウエア認証キーを生成し、モジュールに含まれているサーバ14に登録されているハードウエア認証キーと、生成したハードウエア認証キーを比較し、これらが一致するか否かを判定する。その結果、これらが一致する場合には、このクライアント10が認証された旨の認証成功通知をステップS3においてサーバ14に送信する。   The client 10 receives the hardware authentication module. The received hardware authentication module is automatically executed. As a result, the CPU 10a collects specific hardware information according to the control code described in the hardware authentication module. For example, when the specific hardware information is a MAC address, the MAC address of the communication circuit 10j is acquired. Then, the CPU 10a generates a hardware authentication key from the collected hardware information, and compares the hardware authentication key registered in the server 14 included in the module with the generated hardware authentication key. It is determined whether or not they match. As a result, if they match, an authentication success notification indicating that the client 10 has been authenticated is transmitted to the server 14 in step S3.

つぎに、ステップS4において、サーバ14のCPU14aは、この認証成功通知を受信すると、そのクライアント10との間で、SSH認証処理を実行する。すなわち、サーバ14のCPU14aは、ランダムなビット列(チャレンジ)を生成し、ユーザの公開鍵で暗号化してクライアント10に送る。クライアント10は、サーバ14から送られてきた暗号化されたビット列を、秘密鍵で復号し、復号した結果をサーバ14に送り返す。サーバ14は、送り返された結果を参照し、クライアント10が正常に復号できたか否かを判断し、正常であれば認証に成功したと判断し、それ以外の場合には失敗と判断する。   Next, in step S <b> 4, when the CPU 14 a of the server 14 receives this authentication success notification, it executes an SSH authentication process with the client 10. That is, the CPU 14a of the server 14 generates a random bit string (challenge), encrypts it with the user's public key, and sends it to the client 10. The client 10 decrypts the encrypted bit string sent from the server 14 with the secret key, and sends the decrypted result back to the server 14. The server 14 refers to the returned result and determines whether or not the client 10 has been successfully decrypted. If it is normal, the server 14 determines that the authentication has succeeded, and otherwise determines that it has failed.

SSH認証に成功した場合には、クライアント10とサーバ14とは、SSH−VPNによる通信を開始する。具体的には、まず、サーバ14からクライアント10に、ホストの公開鍵とサーバ14の公開鍵を提示する。ここで、サーバ14の公開鍵とは、一定の時間毎に作成される鍵をいう。クライアント10は、セッション鍵(ランダムなビット列)を生成し、セッション鍵をホストの公開鍵とサーバの公開鍵で暗号化し、サーバ14に送る。サーバ14は送られたセッション鍵をホストの秘密鍵とサーバ14の秘密鍵で復号する。そして、これ以降は、全ての通信パケットはこのセッション鍵で暗号化され、VPNトンネルを介して送受信される。   When the SSH authentication is successful, the client 10 and the server 14 start communication using SSH-VPN. Specifically, first, the public key of the host and the public key of the server 14 are presented from the server 14 to the client 10. Here, the public key of the server 14 refers to a key created at regular intervals. The client 10 generates a session key (random bit string), encrypts the session key with the public key of the host and the public key of the server, and sends it to the server 14. The server 14 decrypts the sent session key with the secret key of the host and the secret key of the server 14. After that, all communication packets are encrypted with this session key and transmitted / received via the VPN tunnel.

そして、ステップS6において、通信が終了した場合には、SSHによるセッションが完了する。   In step S6, when the communication is completed, the SSH session is completed.

なお、サーバ14は、上述の認証成功通知を受信した場合にのみSSH−VPNの通信路を確立する。   Note that the server 14 establishes the SSH-VPN communication path only when the authentication success notification is received.

図6は、第1の実施の形態において授受される通信パケットの状態を示す図である。この図に示すように、クライアント10からのパケット30は、SSH31によってSSHによる暗号化パケット32に暗号化され、インターネット11を経由してサーバ14に受信される。そして、SSH33によってもとのパケット34に復号される。一方、サーバ14からのパケット34は、SSH33によって暗号化され、SSHによる暗号化パケットとしてインターネット11を経由してクライアント10に受信される。クライアント10では、SSH31によってもとのパケットに復号化される。   FIG. 6 is a diagram illustrating a state of communication packets exchanged in the first embodiment. As shown in this figure, the packet 30 from the client 10 is encrypted by the SSH 31 into an encrypted packet 32 by SSH, and is received by the server 14 via the Internet 11. Then, the original packet 34 is decoded by the SSH 33. On the other hand, the packet 34 from the server 14 is encrypted by the SSH 33 and received by the client 10 via the Internet 11 as an encrypted packet by SSH. In the client 10, the original packet is decrypted by the SSH 31.

以上に説明したように、本発明の第1の実施の形態によれば、クライアント10のハードウエア認証を行わないと、サーバ14との通信路(SSHによる暗号通信路)を確立することができないため、ユーザIDとパスワードが悪意の第三者によって盗まれた場合であっても、そのユーザについて登録されているクライアント10以外のクライアントからサーバ14やその他の所定のサーバのリソース(データベース、プログラム、周辺機器等)にアクセスできないので、なりすまし等を防止することが可能になる。ひいては、安全性の高い通信が実現される。   As described above, according to the first embodiment of the present invention, a communication path (encrypted communication path by SSH) with the server 14 cannot be established unless hardware authentication of the client 10 is performed. Therefore, even when the user ID and password are stolen by a malicious third party, the resources (database, program, etc.) of the server 14 and other predetermined servers from the clients other than the client 10 registered for the user. It is possible to prevent impersonation and the like since the peripheral device is not accessible. As a result, highly secure communication is realized.

なお、SSH31,33としては、フリーライセンスのOpenSSHを利用すれば、コストの低減化を図るとともに、開発期間を短縮することが可能になる。   As the SSHs 31 and 33, if a free license Open SSH is used, the cost can be reduced and the development period can be shortened.

また、第1の実施の形態においては、サーバ14が認証サーバを兼ねているが、サーバ14とは別に認証サーバをサーバ14と同じネットワークに設け、その認証サーバとクライアント10との間で、上述の認証処理を実行し、クライアント10が認証された場合に、その認証サーバでサーバ14に対してSSH−VPNの確立を実行するようにしてもよい。   In the first embodiment, the server 14 also serves as an authentication server. However, an authentication server is provided in the same network as the server 14 separately from the server 14, and the above-described authentication server and the client 10 are connected to each other. When the client 10 is authenticated, the authentication server may execute SSH-VPN establishment with respect to the server 14.

つぎに、本発明の第2の実施の形態について説明する。   Next, a second embodiment of the present invention will be described.

図7は、本発明の第2の実施の形態に係るネットワークシステムの構成例を示す図である。この図において、図1と対応する部分には同一の符号を付してその説明を省略する。第2の実施の形態では、図1に示す場合と比較して、サーバ14が除外され、ハードウエア認証サーバ20、SSL−VPN装置21、およびサーバ22,23が新たに付加されている。それ以外の構成は、図1の場合と同様である。   FIG. 7 is a diagram illustrating a configuration example of a network system according to the second embodiment of the present invention. In this figure, parts corresponding to those in FIG. In the second embodiment, as compared with the case shown in FIG. 1, the server 14 is excluded, and the hardware authentication server 20, the SSL-VPN device 21, and the servers 22 and 23 are newly added. Other configurations are the same as those in FIG.

ここで、ハードウエア認証サーバ20は、クライアント10の正当性を判断するためのサーバである。SSL−VPN装置21は、暗号化通信技術であるSSLを使ってクライアント10とサーバ22,23との間でポイント・トゥ・ポイント(Point to Point)接続を実現する。サーバ22,23は、クライアント10がアクセスする対象となるサーバである。   Here, the hardware authentication server 20 is a server for determining the validity of the client 10. The SSL-VPN apparatus 21 realizes a point-to-point connection between the client 10 and the servers 22 and 23 using SSL, which is an encrypted communication technology. The servers 22 and 23 are servers to be accessed by the client 10.

図8は、ハードウエア認証サーバ20の詳細な構成例を示す図である。この図に示すように、ハードウエア認証サーバ20は、CPU20a、ROM20b、RAM20c、HDD20d、I/F20e、通信回路20f、およびバス20gを有する。   FIG. 8 is a diagram illustrating a detailed configuration example of the hardware authentication server 20. As shown in this figure, the hardware authentication server 20 has a CPU 20a, ROM 20b, RAM 20c, HDD 20d, I / F 20e, communication circuit 20f, and bus 20g.

なお、ハードウエア認証サーバ20のCPU20a、ROM20b、RAM20c、HDD20d、I/F20e、通信回路20f、およびバス20gは、サーバ14における同名の構成要素と同様の機能を有するものである。ROM14bまたはHDD14dに格納されCPU14aにより実行されるプログラムは、認証サーバ用のものである。また、HDD20dには、HDD14dと同様に、SSL−VPN装置21あるいはサーバ22,23にアクセス可能なユーザおよびクライアント10に関する登録情報が例えばテーブルとして格納されている。   Note that the CPU 20a, ROM 20b, RAM 20c, HDD 20d, I / F 20e, communication circuit 20f, and bus 20g of the hardware authentication server 20 have the same functions as the components of the same name in the server 14. The program stored in the ROM 14b or the HDD 14d and executed by the CPU 14a is for the authentication server. Similarly to the HDD 14d, the HDD 20d stores registration information regarding the user and the client 10 that can access the SSL-VPN device 21 or the servers 22 and 23, for example, as a table.

図9は、第2の実施の形態におけるSSL−VPN装置21の詳細な構成例を示す図である。この図に示すように、SSL−VPN装置21は、CPU21a、ROM21b、RAM21c、I/F20f、バス20g、および通信回路20hを有する。   FIG. 9 is a diagram illustrating a detailed configuration example of the SSL-VPN apparatus 21 according to the second embodiment. As shown in this figure, the SSL-VPN device 21 includes a CPU 21a, a ROM 21b, a RAM 21c, an I / F 20f, a bus 20g, and a communication circuit 20h.

なお、SSL−VPN装置21のCPU21a、ROM21b、RAM21c、I/F21d、通信回路21e、およびバス21fは、サーバ14における同名の構成要素と同様の機能を有するものである。なお、SSL−VPN装置21では、ROM21bに、SSL−VPNによる通信制御のためのプログラムが格納されており、CPU21aにより実行される。   Note that the CPU 21a, ROM 21b, RAM 21c, I / F 21d, communication circuit 21e, and bus 21f of the SSL-VPN device 21 have the same functions as the components of the same name in the server 14. In the SSL-VPN apparatus 21, a program for communication control by SSL-VPN is stored in the ROM 21b, and is executed by the CPU 21a.

なお、サーバ22,23は、図3と同様の構成であるのでその説明は省略する。ただし、サーバ22,23は、認証のための処理は行わず、通常のサーバとして機能する。   The servers 22 and 23 have the same configuration as that shown in FIG. However, the servers 22 and 23 do not perform authentication processing and function as normal servers.

なお、この第2の実施の形態では、ハードウエア認証サーバ20のROM20bおよび/またはHDD20dに格納されているプログラムをCPU20aにより実行し、さらに通信回路20fを制御することで、クライアント10からのユーザ識別情報に基づきユーザ認証処理を行うユーザ認証手段、クライアント10の機器認証処理を行うハードウエア認証手段、ならびに、ユーザ認証処理およびハードウエア認証処理の認証結果に応じてクライアント10とSSL−VPN装置21とのSSLによる通信路の確立を許可する通信許可手段が実現される。また、この第2の実施の形態では、クライアント10のROM10bおよび/またはHDD10dに格納されているプログラムをCPU10aにより実行し、さらに通信回路10jを制御することで、ユーザ識別情報や認証結果情報をハードウエア認証サーバ20へ送信する送信手段、ならびにSSL−VPN装置21との暗号化通信をおこなう通信手段が実現される。   In the second embodiment, the CPU 20a executes a program stored in the ROM 20b and / or the HDD 20d of the hardware authentication server 20, and further controls the communication circuit 20f, thereby identifying the user from the client 10. User authentication means for performing user authentication processing based on information, hardware authentication means for performing device authentication processing of the client 10, and the client 10 and the SSL-VPN apparatus 21 according to the authentication results of the user authentication processing and hardware authentication processing The communication permission means for permitting establishment of the communication path by SSL is realized. In the second embodiment, the CPU 10a executes a program stored in the ROM 10b and / or the HDD 10d of the client 10, and further controls the communication circuit 10j so that user identification information and authentication result information are stored in hardware. A transmission means for transmitting to the wear authentication server 20 and a communication means for performing encrypted communication with the SSL-VPN apparatus 21 are realized.

つぎに、本発明の第2の実施の形態における各装置の動作について説明する。図10は、第2の実施の形態における各装置の動作を説明するためのシーケンス図である。   Next, the operation of each device in the second embodiment of the present invention will be described. FIG. 10 is a sequence diagram for explaining the operation of each device according to the second embodiment.

まず、事前に、図4に示すように、各ユーザについて、ユーザID、パスワード、特定のクライアント10のハードウエア認証キーなどがサーバ14に登録される。なお、ハードウエア認証キーは、クライアント10のハードウエアに関する情報に基づき取得される。   First, as shown in FIG. 4, for each user, a user ID, a password, a hardware authentication key of a specific client 10, and the like are registered in the server 14 in advance. The hardware authentication key is acquired based on information related to the hardware of the client 10.

ここで、ハードウエアに関する情報としては、前述の場合と同様に、例えば、クライアント10が有するハードウエアのMACアドレスもしくはシリアル番号、HDD10dのボリュームIDまたはHDD10dにインストールされているOSのレジストリ情報、クライアント10のCPUの種類、OSの種類、OSのバージョン、クライアント10において認証時に起動しているプロセスの種類、特定ファイルが存在するか否か、等が、単独または組み合せで使用される。この特定ファイルとしては、例えば、ウィルスチェックソフトウェアの実行形式ファイルやライブラリ、特定の業務用ソフトウェアの実行形式ファイルやライブラリが使用される。また、上記のようなクライアント10に内蔵のハードウェアについての情報と組み合せて、クライアント10に直接接続される周辺機器のハードウェア情報を使用するようにしてもよい。そのような周辺機器としては、USBメモリ、プリンタ、マウス、キーボード、ディスプレイ、デジタルカメラなどがある。なお、MACアドレスについては、通信用PCカード等といった通信手段を追加したり変更したりすると一意に決まらないこともあるので、インストール後のOSにより定められる情報(例えば、Cドライブのシリアル番号など)を利用することが好ましい。   Here, as for the hardware-related information, for example, the hardware MAC address or serial number of the client 10, the volume ID of the HDD 10 d or the OS registry information installed in the HDD 10 d, the client 10, as in the case described above. The CPU type, the OS type, the OS version, the type of process activated at the time of authentication in the client 10, the presence or absence of a specific file, etc. are used alone or in combination. As the specific file, for example, an execution format file or library of virus check software, or an execution format file or library of specific business software is used. Further, hardware information of peripheral devices directly connected to the client 10 may be used in combination with information about hardware built in the client 10 as described above. Examples of such peripheral devices include a USB memory, a printer, a mouse, a keyboard, a display, and a digital camera. Note that the MAC address may not be uniquely determined when a communication means such as a communication PC card is added or changed, so information determined by the OS after installation (for example, C drive serial number, etc.) Is preferably used.

このようにして、ユーザ情報が登録されると、これ以降は、そのユーザは、登録されているクライアント10を使用してサーバ14にアクセスする限り、正当なユーザとしてアクセス可能になる。   After the user information is registered in this way, the user can be accessed as a valid user as long as the user accesses the server 14 using the registered client 10.

例えば、クライアント10からサーバ22にアクセスする場合、クライアント10の入力装置10iが操作され、まず、ハードウエア認証サーバ20にアクセスする要求がなされる。この結果、図10に示すステップS11において、クライアント10は、ハードウエア認証サーバ20に対してユーザのユーザIDおよびパスワードを送信する。ハードウエア認証サーバ20は、クライアント10から受信したユーザIDおよびパスワードを、HDD20dに格納されているユーザIDおよびパスワードと比較することにより、ユーザを認証するか否かを判定する。   For example, when accessing the server 22 from the client 10, the input device 10i of the client 10 is operated, and first, a request for accessing the hardware authentication server 20 is made. As a result, in step S <b> 11 shown in FIG. 10, the client 10 transmits the user ID and password of the user to the hardware authentication server 20. The hardware authentication server 20 determines whether or not to authenticate the user by comparing the user ID and password received from the client 10 with the user ID and password stored in the HDD 20d.

認証処理の結果、アクセスしてきたユーザが認証された場合には、ハードウエア認証サーバ20は、ステップS12において、HDD20dに格納されているこのユーザに関連付けられているハードウエア認証キーを取得し、ハードウエア認証モジュールを生成して要求を行ったクライアント10に送信する。なお、ハードウエア認証モジュールとは、前述の場合と同様に、ハードウエア認証をクライアント10において自動的に実行するためのプログラムあるいはスクリプトである。   If the accessing user is authenticated as a result of the authentication processing, the hardware authentication server 20 acquires the hardware authentication key associated with the user stored in the HDD 20d in step S12, and the hardware authentication server 20 A software authentication module is generated and transmitted to the client 10 that made the request. The hardware authentication module is a program or script for automatically executing hardware authentication in the client 10 as in the case described above.

クライアント10は、ハードウエア認証モジュールを受信する。受信したハードウエア認証モジュールは、自動的に実行される。その結果、CPU10aは、ハードウエア認証モジュールに記述された制御コードに従って、特定のハードウエア情報を収集する。例えば、特定のハードウエア情報がMACアドレスである場合には、通信回路10jのMACアドレスが取得される。そして、CPU10aは、収集したハードウエア情報からハードウエア認証キーを生成し、モジュールに含まれているハードウエア認証サーバ20に登録されているハードウエア認証キーと、生成したハードウエア認証キーを比較し、これらが一致するか否かを判定する。その結果、これらが一致する場合には、このクライアント10が認証された旨の認証成功通知をステップS13においてハードウエア認証サーバ20に送信する。   The client 10 receives the hardware authentication module. The received hardware authentication module is automatically executed. As a result, the CPU 10a collects specific hardware information according to the control code described in the hardware authentication module. For example, when the specific hardware information is a MAC address, the MAC address of the communication circuit 10j is acquired. Then, the CPU 10a generates a hardware authentication key from the collected hardware information, and compares the hardware authentication key registered in the hardware authentication server 20 included in the module with the generated hardware authentication key. , It is determined whether or not they match. As a result, if they match, an authentication success notification indicating that the client 10 has been authenticated is transmitted to the hardware authentication server 20 in step S13.

認証成功通知を受信した場合、ステップS14において、ハードウエア認証サーバ20は、HDD20dに保持されている、SSL−VPN装置21(ひいてはサーバ22,23)についてのアクセス制御を行うためのユーザアカウントを有効にする。ユーザアカウントを有効にする方法としては、図4に示すような登録情報に基づき、新たにこのユーザのユーザアカウントを、SSL−VPN装置21(サーバ22,23)のために追加してもよいし、図4に示す各ユーザについて、アクセス制御用のフラグを設け、そのフラグの値によりユーザアカウントの有効、無効を示すようにしてもよい。   When the authentication success notification is received, in step S14, the hardware authentication server 20 validates the user account for performing access control for the SSL-VPN device 21 (and thus the servers 22 and 23) held in the HDD 20d. To. As a method for validating the user account, a new user account of this user may be added for the SSL-VPN device 21 (servers 22 and 23) based on the registration information as shown in FIG. For each user shown in FIG. 4, a flag for access control may be provided, and the validity or invalidity of the user account may be indicated by the value of the flag.

ステップS15において、クライアント10が、ステップS14で登録したユーザアカウントにより、SSL−VPN装置21にアクセスすると、ステップS16において、SSL−VPN装置21のCPU21aは、ハードウエア認証サーバ20に対して、アクセスしてきたユーザが正当であるか否か、ユーザアカウントを参照してユーザ認証を行う。その結果、SSL−VPN装置20により、ユーザが認証された場合には、ステップS17においてクライアント10とハードウエア認証サーバ20とはSSL−VPN通信を開始する。   In step S15, when the client 10 accesses the SSL-VPN apparatus 21 using the user account registered in step S14, the CPU 21a of the SSL-VPN apparatus 21 accesses the hardware authentication server 20 in step S16. The user authentication is performed with reference to the user account to determine whether or not the user is valid. As a result, when the user is authenticated by the SSL-VPN apparatus 20, the client 10 and the hardware authentication server 20 start SSL-VPN communication in step S17.

具体的には、例えば、サーバ22にアクセスする場合、URLとしてhttps://sslgw.company.com/A/を指定すると、クライアント10からSSL−VPN装置21までSSLで通信する。SSL−VPN装置21では、URLのマッピングが実行される。具体的には、“https://sslgw.company.com/A/をイントラネット上のhttps://intraA.company.com/に変換する。このため、クライアント10はイントラネット上のホストintraAにSSL−VPN装置21を介して接続される。   Specifically, for example, when accessing the server 22, the URL is https: // sslgw. company. When com / A / is designated, the client 10 communicates with the SSL-VPN apparatus 21 via SSL. In the SSL-VPN apparatus 21, URL mapping is executed. Specifically, “https://sslgw.company.com/A/ is converted to https://intraA.company.com/ on the intranet. For this reason, the client 10 transfers SSL- to the host intraA on the intranet. Connection is made via the VPN device 21.

なお、ハードウエア認証サーバ20のCPU20aは、クライアント10からの要求に基づき、ハードウエア認証処理を実行した時点またはユーザアカウントを有効にした時点から、図示せぬタイマを利用して計時を開始し、タイムアウトが発生していないかを確認し、タイムアウトが発生した場合には、有効としたユーザアカウントを無効とする。なお、ユーザアカウントを無効にする方法としては、ユーザアカウントを削除したり、上述のフラグ値を変更したりする。この結果、上述の時点から、所定の時間が経過する前にSSL−VPN装置21からユーザ認証要求があった場合のみ、SSL−VPN通信が確立される。すなわち、タイムアウト後にSSL−VPNを確立する場合には、クライアント10はハードウエア認証サーバ20に再度アクセスし、ハードウエア認証を受ける。これにより、不正アクセスをより確実に禁止することができる。なお、SSL−VPNによる通信が完了した場合にも、そのクライアント10についてのユーザのユーザアカウントを無効とする。   The CPU 20a of the hardware authentication server 20 starts timing using a timer (not shown) from the time when the hardware authentication process is executed or the user account is validated based on the request from the client 10. Check whether a timeout has occurred, and if a timeout has occurred, disable the enabled user account. As a method for invalidating the user account, the user account is deleted or the above-described flag value is changed. As a result, the SSL-VPN communication is established only when there is a user authentication request from the SSL-VPN apparatus 21 before the predetermined time has elapsed from the above-mentioned time point. That is, when establishing SSL-VPN after the timeout, the client 10 accesses the hardware authentication server 20 again and receives hardware authentication. Thereby, unauthorized access can be more reliably prohibited. Note that even when communication by SSL-VPN is completed, the user account of the user for the client 10 is invalidated.

図11は、第2の実施の形態において授受される通信パケットの状態を示す図である。この図に示すように、クライアント10からのパケット41は、ブラウザ40によってSSLによる暗号化パケット42に暗号化され、インターネット11を経由してSSL−VPN装置21に到達する。SSL−VPN装置21は、復号化を行って得られたパケット43を、サーバ22に供給する。一方、サーバ22からのパケット43は、SSL−VPN装置21によってSSLによる暗号化パケット42に暗号化され、インターネット11を経由してクライアント10に到達する。クライアント10では、ブラウザ40が復号化を行ってもとのパケット41を生成する。   FIG. 11 is a diagram illustrating the state of communication packets exchanged in the second embodiment. As shown in this figure, a packet 41 from the client 10 is encrypted into an SSL encrypted packet 42 by the browser 40 and reaches the SSL-VPN apparatus 21 via the Internet 11. The SSL-VPN apparatus 21 supplies the packet 43 obtained by performing the decryption to the server 22. On the other hand, the packet 43 from the server 22 is encrypted into an SSL encrypted packet 42 by the SSL-VPN apparatus 21 and reaches the client 10 via the Internet 11. In the client 10, the original packet 41 is generated even when the browser 40 performs decryption.

以上に説明したように、本発明の第2の実施の形態によれば、ハードウエア認証を行うようにしたので、ユーザIDとパスワードが盗まれた場合であっても、悪意のユーザの侵入を防止することができる。ひいては、安全性の高い通信を実現することができる。   As described above, according to the second embodiment of the present invention, since hardware authentication is performed, even if the user ID and password are stolen, malicious user intrusion can be prevented. Can be prevented. As a result, highly secure communication can be realized.

また、第2の実施の形態では、SSLによる通信を行うようにしたので、クライアント10は、インターネット用のブラウザプログラムによる通信を行うことができ、安価にセキュリティが高い通信環境を実現することが可能になる。   In the second embodiment, since communication is performed using SSL, the client 10 can perform communication using a browser program for the Internet, and can realize a communication environment with high security at low cost. become.

なお、上述の各実施の形態は、本発明の好適な例であるが、本発明は、これらに限定されるものではなく、本発明の要旨を逸脱しない範囲において、種々の変形、変更が可能である。   Each embodiment described above is a preferred example of the present invention, but the present invention is not limited to these, and various modifications and changes can be made without departing from the scope of the present invention. It is.

例えば、以上の各実施の形態では、クライアント10およびサーバ14はそれぞれ1台ずつとしたが、これ以上であってもよい。また、サーバ22,23も1台のみまたは3台以上でもよい。また、SSL−VPN装置21は、ファイアウォール13とルータ12の間に接続されてもよい。   For example, in each of the above embodiments, one client 10 and one server 14 are used, but more than this may be used. Further, only one server or 23 servers may be used. In addition, the SSL-VPN device 21 may be connected between the firewall 13 and the router 12.

また、ハードウエア情報としては、前述したMACアドレス等以外の情報を用いることも可能である。また、ハードウエア認証キーは、ある1つのハードウエア情報をそのまま使用してもよい。   Further, as hardware information, information other than the MAC address described above can be used. The hardware authentication key may use certain hardware information as it is.

なお、上記各実施の形態では、クライアント10において、ハードウエア認証処理が実行され、その結果がサーバ14やハードウエア認証サーバ20へ送信されているが、その代わりにクライアント10からサーバ14やハードウエア認証サーバ20へハードウエアに関する情報やハードウエア認証キーを送信し、サーバ14やハードウエア認証サーバ20がハードウエア認証処理を行うようにしてもよい。その場合には、ハードウエア認証モジュールは、クライアント10のハードウエア認証キーを含めないですむ。   In each of the above embodiments, the hardware authentication process is executed in the client 10 and the result is transmitted to the server 14 and the hardware authentication server 20. Information related to hardware and a hardware authentication key may be transmitted to the authentication server 20, and the server 14 and the hardware authentication server 20 may perform hardware authentication processing. In that case, the hardware authentication module need not include the hardware authentication key of the client 10.

なお、上記各実施の形態では、暗号化通信の方式として、SSHまたはSSLが使用されているが、その代わりに、IP−secを使用してもよい。   In each of the above embodiments, SSH or SSL is used as the encryption communication method, but IP-sec may be used instead.

なお、上記の処理機能は、コンピュータによって実現することができる。その場合、サーバが有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記録装置には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープなどがある。光ディスクには、DVD(Digital Versatile Disk)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disk Read Only Memory)、CD−R(Recordable)/RW(ReWritable)などがある。光磁気記録媒体には、MO(Magneto-Optical disk)などがある。   The above processing functions can be realized by a computer. In that case, a program describing the processing contents of the functions that the server should have is provided. By executing the program on a computer, the above processing functions are realized on the computer. The program describing the processing contents can be recorded on a computer-readable recording medium. Examples of the computer-readable recording medium include a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory. Examples of the magnetic recording device include a hard disk device (HDD), a flexible disk (FD), and a magnetic tape. Examples of the optical disk include a DVD (Digital Versatile Disk), a DVD-RAM (Random Access Memory), a CD-ROM (Compact Disk Read Only Memory), and a CD-R (Recordable) / RW (ReWritable). Magneto-optical recording media include MO (Magneto-Optical disk).

プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD、CD−ROMなどの可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。   When distributing the program, for example, a portable recording medium such as a DVD or a CD-ROM in which the program is recorded is sold. It is also possible to store the program in a storage device of a server computer and transfer the program from the server computer to another computer via a network.

プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送される毎に、逐次、受け取ったプログラムに従った処理を実行することもできる。   The computer that executes the program stores, for example, the program recorded on the portable recording medium or the program transferred from the server computer in its own storage device. Then, the computer reads the program from its own storage device and executes processing according to the program. The computer can also read the program directly from the portable recording medium and execute processing according to the program. In addition, each time the program is transferred from the server computer, the computer can sequentially execute processing according to the received program.

本発明は、例えば、ネットワークシステムにおけるアクセス制御に利用することができる。   The present invention can be used, for example, for access control in a network system.

本発明の第1の実施の形態に係るネットワークシステムの構成例を示すブロック図である。It is a block diagram which shows the structural example of the network system which concerns on the 1st Embodiment of this invention. 図1に示すクライアントの詳細な構成例を示す図である。It is a figure which shows the detailed structural example of the client shown in FIG. 図1に示すサーバの詳細な構成例を示す図である。It is a figure which shows the detailed structural example of the server shown in FIG. サーバにアクセス可能なユーザおよびクライアントに関する登録情報を有するテーブルの一例を示す図である。It is a figure which shows an example of the table which has the registration information regarding the user and client which can access a server. 図1に示す本発明の第1の実施の形態における各装置の動作を説明するためのシーケンス図である。It is a sequence diagram for demonstrating operation | movement of each apparatus in the 1st Embodiment of this invention shown in FIG. 第1の実施の形態におけるパケットの流れを説明する図である。It is a figure explaining the flow of the packet in 1st Embodiment. 本発明の第2の実施の形態に係るネットワークシステムの構成例を示すブロック図である。It is a block diagram which shows the structural example of the network system which concerns on the 2nd Embodiment of this invention. 図7に示すハードウエア認証サーバの詳細な構成例を示す図である。It is a figure which shows the detailed structural example of the hardware authentication server shown in FIG. 図7に示すSSL−VPN装置の詳細な構成例を示す図である。It is a figure which shows the detailed structural example of the SSL-VPN apparatus shown in FIG. 図7に示す第2の実施の形態の動作を説明するためのシーケンス図である。It is a sequence diagram for demonstrating operation | movement of 2nd Embodiment shown in FIG. 第2の実施の形態におけるパケットの流れを説明するための図である。It is a figure for demonstrating the flow of the packet in 2nd Embodiment.

符号の説明Explanation of symbols

10a CPU(送信手段の一部、通信手段の一部)
10f 通信回路(送信手段の一部、通信手段の一部)
14a,120a CPU(ユーザ認証手段、ハードウエア認証手段、通信許可手段) 10a CPU (part of transmission means, part of communication means)
10f Communication circuit (part of transmission means, part of communication means)
14a, 120a CPU (user authentication means, hardware authentication means, communication permission means)

Claims (10)

ネットワークを介してクライアント装置とサーバ装置の間で通信をおこなうネットワークシステムにおいて、
上記サーバ装置は、クライアント装置からのユーザ識別情報に基づき、ユーザについての認証処理を行うユーザ認証手段と、
上記ユーザ認証手段によってユーザ認証がされた場合にのみ、このサーバ装置と通信中の上記クライアント装置のハードウエアに関する情報と、認証したユーザに関連付けられているクライアント装置について予め登録されているハードウエアに関する情報に基づいて上記クライアント装置の認証を行うハードウエア認証手段と、
上記ハードウエア認証手段によってハードウエアが認証された場合にのみ、上記クライアント装置と、このサーバ装置又は他の所定の通信装置との間での通信を許可する通信許可手段と、を有し、
上記クライアント装置は、認証用のユーザ識別情報を上記サーバ装置へ送信する送信手段と、
上記サーバ装置の通信許可手段により通信を許可された場合に、上記サーバ装置または他の所定の通信装置との通信を開始する通信手段と、を有し、
上記サーバ装置のハードウエア認証手段は、上記サーバ装置において予め登録されている上記クライアント装置のハードウエアに関する情報を有するハードウエア認証モジュールを上記クライアント装置に送信してそのクライアント装置のハードウエアに関する情報に基づく認証結果情報をこのサーバ装置へ送信させ、その認証結果情報に基づいてそのクライアント装置を認証するか否かを判定し、
上記クライアント装置は、上記サーバ装置からハードウエア認証モジュールを受信すると、そのハードウエア認証モジュールを実行して、このハードウエア認証モジュールに従ってこのクライアント装置が認証されるか否かを判定し、その認証結果情報を上記サーバ装置へ送信する、
ことを特徴とするネットワークシステム。 In a network system that performs communication between a client device and a server device via a network,
The server device includes user authentication means for performing authentication processing for a user based on user identification information from the client device;
Only when user authentication is performed by the user authentication means, information on the hardware of the client device in communication with the server device and hardware registered in advance for the client device associated with the authenticated user Hardware authentication means for authenticating the client device based on the information;
Only when the hardware is authenticated by the hardware authentication means, the communication apparatus has a communication permission means for permitting communication between the client device and the server device or another predetermined communication device,
The client device includes a transmitting unit that transmits user identification information for authentication to the server device;
If it is permitted to communicate by the communication permission means of the server unit, have a, a communication unit to initiate communication with the server device or other predetermined communication device,
The hardware authentication means of the server device transmits a hardware authentication module having information relating to the hardware of the client device registered in advance in the server device to the client device to obtain information relating to the hardware of the client device. Based authentication result information is transmitted to this server device, and whether to authenticate the client device based on the authentication result information is determined,
When the client device receives the hardware authentication module from the server device, the client device executes the hardware authentication module, determines whether or not the client device is authenticated according to the hardware authentication module, and the authentication result Sending information to the server device;
A network system characterized by this. 前記ハードウエア認証キーは、前記クライアント装置を構成するハードウエアのMAC(Media Access Control Address)アドレスもしくはシリアル番号、記憶装置のボリュームIDもしくは記憶容量、または記憶装置にインストールされているソフトウエアの登録情報に基づき作成されることを特徴とする請求項1記載のネットワークシステム。The hardware authentication key is a MAC (Media Access Control Address) address or serial number of hardware constituting the client device, a volume ID or storage capacity of the storage device, or registration information of software installed in the storage device The network system according to claim 1, wherein the network system is created based on: 前記クライアント装置の通信手段は、SSH(Secure Shell)によって、前記サーバ装置または他の所定の通信装置との間で送受信される通信パケットを暗号化することを特徴とする請求項1記載のネットワークシステム。2. The network system according to claim 1, wherein the communication unit of the client device encrypts a communication packet transmitted / received to / from the server device or another predetermined communication device by SSH (Secure Shell). . 前記クライアント装置の通信手段は、SSL(Secure Sockets Layer)によって、所定の通信装置との間で送受信される通信パケットを暗号化することを特徴とする請求項1記載のネットワークシステム。2. The network system according to claim 1, wherein the communication unit of the client device encrypts a communication packet transmitted / received to / from a predetermined communication device by SSL (Secure Sockets Layer). 前記クライアント装置の通信手段は、IP-secによって、所定の通信装置との間で送受信される通信パケットを暗号化することを特徴とする請求項1記載のネットワークシステム。The network system according to claim 1, wherein the communication unit of the client device encrypts a communication packet transmitted / received to / from a predetermined communication device by IP-sec. 前記サーバ装置の通信許可手段は、前記ハードウエア認証手段によってハードウエアが認証された場合には、前記クライアント装置の通信相手である所定の通信装置についての当該ユーザのユーザアカウントを有効とし、前記クライアント装置の通信相手である所定の通信装置からの要求に応じて、ユーザアカウント情報に基づき、そのクライアント装置のユーザについての認証処理を行い、認証結果をその通信装置へ送信することを特徴とする請求項3から請求項5のうちのいずれか1項記載の記載のネットワークシステム。The communication permission unit of the server device validates the user account of the user for a predetermined communication device that is a communication partner of the client device when the hardware is authenticated by the hardware authentication unit, and the client device The authentication processing for the user of the client device is performed based on the user account information in response to a request from a predetermined communication device that is a communication partner of the device, and the authentication result is transmitted to the communication device. The network system according to any one of claims 3 to 5. 前記サーバ装置の通信許可手段は、ハードウエアが認証された時点または前記所定の通信装置についてのユーザアカウントを有効とした時点から所定の時間が経過した場合には、当該ユーザアカウントを無効とすることを特徴とする請求項6記載のネットワークシステム。The communication permission means of the server device invalidates the user account when a predetermined time has elapsed since the time when the hardware was authenticated or the time when the user account for the predetermined communication device was validated. The network system according to claim 6. ネットワークを介してクライアント装置との間で通信をおこなうサーバ装置において、In a server device that communicates with a client device via a network,
クライアント装置からのユーザ識別情報に基づき、ユーザについての認証処理を行うユーザ認証手段と、User authentication means for performing authentication processing on the user based on user identification information from the client device;
上記ユーザ認証手段によってユーザ認証がされた場合にのみ、このサーバ装置と通信中の上記クライアント装置のハードウエアに関する情報と、認証したユーザに関連付けられているクライアント装置について予め登録されているハードウエアに関する情報に基づいて上記クライアント装置の認証を行うハードウエア認証手段と、  Only when user authentication is performed by the user authentication means, information on the hardware of the client device in communication with the server device and hardware registered in advance for the client device associated with the authenticated user Hardware authentication means for authenticating the client device based on the information;
上記ハードウエア認証手段によってハードウエアが認証された場合にのみ、上記クライアント装置と、このサーバ装置又は他の所定の通信装置との間での通信を許可する通信許可手段と、を有し、  Only when the hardware is authenticated by the hardware authentication means, the communication apparatus has a communication permission means for permitting communication between the client device and the server device or another predetermined communication device,
上記サーバ装置のハードウエア認証手段は、上記サーバ装置において予め登録されている上記クライアント装置のハードウエアに関する情報を有するハードウエア認証モジュールを上記クライアント装置に送信し、上記クライアント装置がそのハードウエア認証モジュールを実行してこのハードウエア認証モジュールに従ってこのクライアント装置が認証されるか否かを判定してその認証結果情報を送ってきた場合に、当該認証結果情報に基づいてそのクライアント装置を認証するか否かを判定する、  The hardware authentication means of the server device transmits a hardware authentication module having information on the hardware of the client device registered in advance in the server device to the client device, and the client device has the hardware authentication module Whether the client apparatus is authenticated according to the hardware authentication module and whether the client apparatus is authenticated based on the authentication result information. To determine,
ことを特徴とするサーバ装置。  The server apparatus characterized by the above-mentioned. 特定ユーザを関連付けられているクライアント装置が現在使用中のユーザのユーザ識別情報を認証サーバ装置へ送信するステップと、Transmitting the user identification information of the user currently used by the client device associated with the specific user to the authentication server device;
上記認証サーバ装置により、ユーザ識別情報を受信し、そのユーザ識別情報に基づき、上記クライアント装置の現在使用中のユーザを認証するか否かを決定するステップと、  Receiving the user identification information by the authentication server device and determining whether to authenticate the user currently in use of the client device based on the user identification information;
上記認証サーバ装置により、上記クライアント装置の現在使用中のユーザが認証された場合に、上記認証サーバ装置に予め登録されている上記クライアント装置のハードウエアに関する情報を有するハードウエア認証モジュールを上記クライアント装置に送信し、上記クライアント装置がそのハードウエア認証モジュールを実行してこのハードウエア認証モジュールに従ってこのクライアント装置が認証されるか否かを判定してその認証結果情報を送ってきたときに、当該認証結果情報に基づいてそのクライアント装置を認証するか否かを決定するステップと、  When the authentication server device authenticates a user currently in use of the client device, a hardware authentication module having information related to hardware of the client device registered in the authentication server device is registered in the client device. When the client device executes the hardware authentication module, determines whether or not the client device is authenticated according to the hardware authentication module, and sends the authentication result information. Determining whether to authenticate the client device based on the result information; and
上記認証サーバ装置により、このクライアント装置が認証された場合に、上記クライアント装置と所定の通信装置との通信路を確立するステップと、  Establishing a communication path between the client device and a predetermined communication device when the client device is authenticated by the authentication server device;
を有することを特徴とする認証方法。  An authentication method characterized by comprising: 認証サーバ装置により、クライアント装置からのユーザ識別情報に基づき、ユーザについての認証処理を行うステップと、
上記認証サーバ装置により、ユーザ認証がされた場合にのみ、上記認証サーバ装置に予め登録されている上記クライアント装置のハードウエアに関する情報を有するハードウエア認証モジュールを上記クライアント装置に送信し、上記クライアント装置がそのハードウエア認証モジュールを実行してこのハードウエア認証モジュールに従ってこのクライアント装置が認証されるか否かを判定してその認証結果情報を送ってきたときに、当該認証結果情報に基づいてそのクライアント装置を認証するか否かを決定するステップと、
上記認証サーバ装置により、ハードウエアが認証された場合にのみ、上記クライアント装置と、この認証サーバ装置又は他の所定の通信装置との間での通信を許可するステップと、
を有することを特徴とする認証方法。 A step of performing authentication processing for the user based on the user identification information from the client device by the authentication server device ;
By the authentication server, only when the user authentication is a hardware authentication module with information on the hardware of the client devices that are previously registered in the authentication server transmits to the client device, the client device When the client executes the hardware authentication module and determines whether or not the client device is authenticated according to the hardware authentication module and sends the authentication result information, the client based on the authentication result information Determining whether to authenticate the device;
By the authentication server, the method comprising permitted only if the hardware is authenticated, and the client device, the communication between the authentication server or another predetermined communication device,
An authentication method characterized by comprising:
JP2003418880A 2003-12-17 2003-12-17 Network system, server device, and authentication method Expired - Fee Related JP3833652B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003418880A JP3833652B2 (en) 2003-12-17 2003-12-17 Network system, server device, and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003418880A JP3833652B2 (en) 2003-12-17 2003-12-17 Network system, server device, and authentication method

Publications (2)

Publication Number Publication Date
JP2004158025A JP2004158025A (en) 2004-06-03
JP3833652B2 true JP3833652B2 (en) 2006-10-18

Family

ID=32821835

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003418880A Expired - Fee Related JP3833652B2 (en) 2003-12-17 2003-12-17 Network system, server device, and authentication method

Country Status (1)

Country Link
JP (1) JP3833652B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8356360B2 (en) 2009-07-24 2013-01-15 Canon Kabushiki Kaisha License management system and authentication method for the same

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101112041A (en) * 2005-02-28 2008-01-23 日本电气株式会社 Communication system, communication apparatus, communication method, and program
JP4823728B2 (en) * 2006-03-20 2011-11-24 富士通株式会社 Frame relay device and frame inspection device
US8533338B2 (en) 2006-03-21 2013-09-10 Japan Communications, Inc. Systems and methods for providing secure communications for transactions
JP2007274101A (en) * 2006-03-30 2007-10-18 Nec Corp Portable telephone terminal, tampering prevention system and method
JP4928990B2 (en) * 2007-03-09 2012-05-09 三菱重工業株式会社 Firewall device
JP2008233965A (en) * 2007-03-16 2008-10-02 Nec Corp Portable terminal device and program thetreof, and alternation prevention system and alternation prevention method
JP5160911B2 (en) * 2008-01-23 2013-03-13 日本電信電話株式会社 User authentication device, user authentication method, and user authentication program
JP4691177B2 (en) * 2008-07-14 2011-06-01 株式会社リコー Embedded device, remote processing method and program
KR100924391B1 (en) * 2009-04-17 2009-11-03 주식회사 로그 Apparatus and method for identifying user terminal
WO2012129529A1 (en) * 2011-03-24 2012-09-27 Fedex Corporate Services, Inc. Systems and methods for electronically signing for a delivered package
US9769132B2 (en) 2012-12-20 2017-09-19 Mitsubishi Electric Corporation Control system for securely protecting a control program when editing, executing and transmitting the control program
JP2015007827A (en) * 2013-06-24 2015-01-15 富士通株式会社 Communication control system, communication terminal device, authentication computer, and communication control method
JP2013251000A (en) * 2013-08-26 2013-12-12 Bank Of Tokyo-Mitsubishi Ufj Ltd User verification device, method, and program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8356360B2 (en) 2009-07-24 2013-01-15 Canon Kabushiki Kaisha License management system and authentication method for the same

Also Published As

Publication number Publication date
JP2004158025A (en) 2004-06-03

Similar Documents

Publication Publication Date Title
US10554420B2 (en) Wireless connections to a wireless access point
RU2297037C2 (en) Method for controlling protected communication line in dynamic networks
JP4907895B2 (en) Method and system for recovering password-protected private data over a communication network without exposing the private data
US9485254B2 (en) Method and system for authenticating a security device
JP4733167B2 (en) Information processing apparatus, information processing method, information processing program, and information processing system
JP4507623B2 (en) Network connection system
EP1645971B1 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
US20060143700A1 (en) Security System Providing Methodology for Cooperative Enforcement of Security Policies During SSL Sessions
US20100199086A1 (en) Network transaction verification and authentication
US9559737B2 (en) Telecommunications chip card
JP3833652B2 (en) Network system, server device, and authentication method
JP2009032070A (en) Authentication system and authentication method
JP4698751B2 (en) Access control system, authentication server system, and access control program
JP4820342B2 (en) User authentication method, user authentication apparatus, program, and recording medium
US20160085973A1 (en) Method and apparatus for providing provably secure user input/output
JP2008539482A (en) Method, system, and program product for connecting client to network
JP5078675B2 (en) Member authentication system and portable terminal device
JP4979210B2 (en) Login information management apparatus and method
WO2017029708A1 (en) Personal authentication system
JP5161053B2 (en) User authentication method, user authentication system, service providing apparatus, and authentication control apparatus
JP4358795B2 (en) TLS session information takeover method and computer system
CN115906196A (en) Mobile storage method, device, equipment and storage medium
JP5487659B2 (en) Information processing apparatus, information processing method, and program
JP2007060581A (en) Information management system and method
JP2007207067A (en) Server/client system, access control method in the system and program therefor

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040309

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051213

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20060209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060404

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060602

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060711

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060719

R150 Certificate of patent or registration of utility model

Ref document number: 3833652

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090728

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100728

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100728

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110728

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120728

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120728

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130728

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees