[go: up one dir, main page]

JP2004362061A - Terminal authentication system, terminal authentication method, and terminal authentication program - Google Patents

Terminal authentication system, terminal authentication method, and terminal authentication program Download PDF

Info

Publication number
JP2004362061A
JP2004362061A JP2003156925A JP2003156925A JP2004362061A JP 2004362061 A JP2004362061 A JP 2004362061A JP 2003156925 A JP2003156925 A JP 2003156925A JP 2003156925 A JP2003156925 A JP 2003156925A JP 2004362061 A JP2004362061 A JP 2004362061A
Authority
JP
Japan
Prior art keywords
terminal
packet
authentication
user
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003156925A
Other languages
Japanese (ja)
Inventor
Katsuki Inamura
勝樹 稲村
Toshiaki Tanaka
俊昭 田中
Kenkichi Araki
健吉 荒木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Willcom Inc
Original Assignee
KDDI Corp
DDI Pocket Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp, DDI Pocket Inc filed Critical KDDI Corp
Priority to JP2003156925A priority Critical patent/JP2004362061A/en
Publication of JP2004362061A publication Critical patent/JP2004362061A/en
Pending legal-status Critical Current

Links

Images

Abstract

【課題】ユーザ認証プロトコルを改修することなく用いて、ユーザ認証及び端末認証をすることができる端末認証システム、端末認証方法及び端末認証プログラムを提供する。
【解決手段】ネットワークを介してデータを送受信する送受信手段21と、ユーザ30を認証するサーバである認証サーバ22と、送受信手段21と認証サーバ22との間に配置されたプロキシサーバ25とを有してなる認証側システムと、認証サーバ22の認証対象となるユーザ30の端末10であって、該端末10を他の端末と識別する端末識別情報11を送受信手段21経由でプロキシサーバ25に送信する端末10とを有することを特徴とする。
【選択図】 図1A terminal authentication system, a terminal authentication method, and a terminal authentication program capable of performing user authentication and terminal authentication without modifying a user authentication protocol.
A transmission / reception unit for transmitting / receiving data via a network, an authentication server for authenticating a user, and a proxy server disposed between the transmission / reception unit and the authentication server. And the terminal 10 of the user 30 to be authenticated by the authentication server 22 and the terminal identification information 11 for identifying the terminal 10 from other terminals to the proxy server 25 via the transmission / reception means 21. And a terminal 10 that performs the operation.
[Selection diagram] Fig. 1

Description

【0001】
【発明の属する技術分野】
本発明は、PPP接続などにおいてユーザ認証及び端末認証を行うことが可能な端末認証システム、端末認証方法及び端末認証プログラムに関する。
【0002】
【従来の技術】
従来、ユーザが接続ポイントであるネットワーク接続ストレージ(NAS:Network Attached Storage))を介してインターネットを利用するPPP(Point to Point Protocol)接続がある。
【0003】
PPPによる接続時には、PAP(Password Authentication Protocol)又はCHAP(Challenge Handshake Authentication Protocol)を使用し、ユーザID及びパスワードを用いてユーザ認証を行う。そのユーザID及びパスワードはRADIUS(Remote Authentication Dial−In User Service)サーバなどの認証サーバで検査される(例えば、特許文献1参照)。
【0004】
【特許文献1】
特開2000−101653号公報
【0005】
【発明が解決しようとする課題】
しかしながら、従来のユーザ認証では、ユーザID及びパスワードが流出した場合、その情報を手に入れた不正取得者などがログインできるようになってしまうという危険性がある。
【0006】
この危険性に対しては、端末機器の認証を行い、予め登録されている端末とは異なる端末からのログインを受け付けないようにすることで対処することができる。また、端末機器の認証(端末認証)を実行することにより、例えばプロバイダ側は各ユーザの端末能力に応じた個別的なサービス提供が可能となり、より柔軟にサービスを提供することができる。
【0007】
しかし、従来のPPP接続でのPAP認証又はCHAP認証では、端末認証を行うようには設計されていない。また、端末認証のために新しいプロトコルを規定した場合は、その新しいプロトコルを識別するために既存のNAS及びRADIUSを改修する必要があり、その改修に多大な時間およびコストが生じてしまう。
【0008】
本発明は、上述した事情に鑑みてなされたもので、ユーザ認証プロトコルを改修することなく用いて、ユーザ認証及び端末認証をすることができる端末認証システム、端末認証方法及び端末認証プログラムを提供することを目的とする。
【0009】
【課題を解決するための手段】
上記の目的を達成するために、請求項1記載の発明は、ユーザ認証用のパケットに機器情報を含ませ該パケットを送信する端末と、前記パケットを受信して、ユーザ認証プロトコルを用いて該パケットについて認証する認証側システムとを有することを特徴とする端末認証システムを提供する。
本発明によれば、ユーザ認証プロトコルで送受信されるパケットに機器情報を挿入するので、ユーザ認証プロトコルを改修することなく用いるとともに、ユーザ認証システム(サーバなど)を用いてユーザ認証及び機器認証をすることができる。
【0010】
また、請求項2記載の発明は、前記認証側システムが、前記パケットを送受信する送受信手段と、ユーザを認証するサーバである認証サーバと、前記送受信手段と認証サーバとの間に配置されたプロキシサーバとを有してなり、前記端末は、前記認証サーバの認証対象となる前記ユーザの端末であって、該端末を他の端末と識別する端末識別情報を前記送受信手段経由で前記プロキシサーバに送信するものであることを特徴とする。
本発明によれば、ユーザの端末が端末識別情報をプロキシサーバに送信するので、プロキシサーバは受信した端末識別情報を認証サーバに送ることができ、認証サーバはユーザの端末について機器認証することができる。ここで、端末、プロキシサーバ及び認証サーバ相互間においては、従来の通信プロトコル及び従来のユーザ認証プロトコルを用いることができる。そこで、本発明によれば、従来の通信プロトコル及び従来のユーザ認証プロトコルを改修することなくそのまま用いて、認証側システムにプロキシサーバを設けることのみで、端末認証及ユーザ認証をすることができる。したがって、本発明によれば、ユーザID及びパスワードなどが流出した場合でも、正当な端末以外の端末からの不正アクセスを回避することができる。
【0011】
また、請求項3記載の発明は、前記端末が、前記端末識別情報を保持する保持手段と、少なくとも前記端末識別情報を前記認証サーバの認証対象とされるパケットに入れて前記送受信手段経由で前記プロキシサーバに送信する制御手段とを有し、前記プロキシサーバは、前記パケットに含まれているデータについて所定の演算を施して該パケットに含まれているデータの内容を変更し、該データの内容が変更されたパケットを前記認証サーバに送信するパケット内マッピング手段を有することを特徴とする。
本発明によれば、端末が端末識別情報をパケットに埋め込んでプロキシサーバに送信する。ここで、このパケットは従来の通信プロトコル及び従来のユーザ認証プロトコルのパケットとすることができる。また、本発明によれば、プロキシサーバがパケットに含まれる端末識別情報について所定の演算を施してからそのパケットを認証サーバに送信するので、認証サーバが従来のユーザを認証するサーバであっても、その認証サーバはユーザ認証のみならず機器認証もすることができる。
【0012】
また、請求項4記載の発明は、前記プロキシサーバが、複数の前記端末についての情報を管理するデータベースを有し、前記パケット内マッピング手段は、前記データベースで管理されている情報を用いて前記データの内容の変更を行うことを特徴とする。
本発明によれば、例えばプロキシサーバのパケット内マッピング手段が端末から送られてきた端末識別情報とデータベースで管理されている端末についての情報とを用いた所定演算を行うことで、端末が正当な端末であることを示す情報をユーザ認証用のパケットに含めることができる。そこで、本発明によれば、ユーザ認証用の認証サーバがユーザ認証のみならず機器認証もすることができる。
【0013】
また、本発明は、前記パケットがPPP接続で用いられるユーザ認証プロトコルのパケットであり、前記認証サーバはPPP接続したユーザを認証するサーバであることが好ましい。
本発明によれば、従来より用いられているPPP接続用のユーザ認証プロトコル(例えば、PAP又はCHAP)を用いて、PPP接続したユーザの認証及び機器認証をすることができる。
【0014】
また、請求項5記載の発明は、前記パケット内マッピング手段が、前記端末から受信したパケットのフォーマットを変更することなく、前記データの内容の変更を行う再マッピング手段を有することを特徴とする。
本発明によれば、例えば従来より用いられている通信プロトコル及びユーザ認証プロトコルによるパケットのフォーマットを変更することなく、そのパケットにユーザ認証用のデータ及び機器認証用のデータを入れることができ、そのパケットのデータを従来のユーザ認証用の認証サーバで認証できるデータとすることができる。
【0015】
また、本発明は、前記制御手段が、連接、排他的論理和及びハッシュ関数のみを用いて所定のデータについて演算を行い、該演算の結果を前記パケットの入れる認証コード簡易演算手段を有することが好ましい。
本発明によれば、端末においてパケットに入れるデータについての演算を簡易に実行することができるので、例えば端末が携帯電話などの演算処理能力の比較的低い機器であってもかかる演算を迅速に処理することができる。
【0016】
また、上記の目的を達成するために、請求項6記載の発明は、ユーザ認証用のパケットに機器情報を含ませ、前記パケットについてユーザ認証プロトコルを用いて認証することを特徴とする端末認証方法を提供する。
【0017】
また、請求項7記載の発明は、前記端末認証方法が、前記パケットを送受信する端末が端末識別情報を備え、前記パケットを送受信する送受信手段とユーザ認証サーバとの間にプロキシサーバを配置し、前記端末が前記端末識別情報と前記ユーザに固有の情報であるユーザ情報とを前記パケットに入れ、該パケットを前記ネットワーク接続手段経由で前記プロキシサーバに送信し、前記プロキシサーバが前記パケットの中の情報について所定の処理を施して変更するとともに、該変更後のパケットを前記ユーザ認証サーバに送信することを特徴とする。
【0018】
また、請求項8記載の発明は、前記プロキシサーバが、複数の前記端末についての情報を管理するデータベースを用いて、前記所定の処理を施すことを特徴とする。
【0019】
また、本発明は、前記パケットがPPP接続で用いられるユーザ認証プロトコルのパケットであり、前記認証サーバは、PPP接続したユーザを認証するサーバであることが好ましい。
【0020】
また、請求項9記載の発明は、プロキシサーバが、前記端末から受信したパケットのフォーマットを変更することなく、前記データの内容の変更を行うことを特徴とする。
【0021】
また、本発明は、前記端末が、前記端末識別情報に対して、連接、排他的論理和及びハッシュ関数のみを用いて演算を施し、該演算結果と前記ユーザ情報とを前記パケットに入れ、該パケットを前記ネットワーク接続手段経由で前記プロキシサーバに送信することを特徴とする。
【0022】
また、上記の目的を達成するために、請求項10記載の発明は、ユーザ認証用のパケットに機器情報を含ませ該パケットを送信する端末側ステップと、前記パケットを受信して、ユーザ認証プロトコルを用いて該パケットについて認証する認証側ステップとをコンピュータに実行させることを特徴とする端末認証プログラムを提供する。
【0023】
また、請求項11記載の発明は、前記認証側ステップが、前記パケットを送受信する送受信ステップと、ユーザを認証する認証ステップと、前記送受信ステップにより送られてきたデータに所定の処理を施し該データを前記認証ステップへ送るプロキシステップとを有してなり、前記端末側ステップは、前記認証ステップでの認証対象となる前記ユーザの端末を識別する端末識別情報を前記データとして前記認証側ステップに送るステップを有することを特徴とする。
【0024】
また、請求項12記載の発明は、前記端末側ステップが、前記端末識別情報を保持する保持ステップと、少なくとも前記端末識別情報を前記認証サーバの認証対象とされるパケットに入れて前記送受信手段経由で前記プロキシサーバに送信する制御ステップとを有し、前記プロキシステップは、前記パケットに含まれているデータについて所定の演算を施して該パケットに含まれているデータの内容を変更し、該データの内容が変更されたパケットを前記認証サーバに送信するパケット内マッピングステップを有することを特徴とする。
【0025】
また、請求項13記載の発明は、前記プロキシステップが、複数の前記端末についての情報を管理するデータベースステップを有し、前記パケット内マッピングステップは、前記データベースステップで管理されている情報を用いて前記データの内容の変更を行うことを特徴とする。
【0026】
また、本発明は、前記パケットがPPP接続で用いられるユーザ認証プロトコルのパケットであり、前記認証ステップは、PPP接続したユーザを認証することが好ましい。
【0027】
また、請求項14記載の発明は、前記パケット内マッピングステップが、前記パケットのフォーマットを変更することなく、前記データの内容の変更を行う再マッピングステップを有することを特徴とする。
【0028】
また、本発明は、前記制御ステップが、連接、排他的論理和及びハッシュ関数のみを用いて所定のデータについて演算を行い、該演算の結果を前記パケットの入れる認証コード簡易演算ステップを有することが好ましい。
【0029】
【発明の実施の形態】
以下、図面を参照して本発明の一実施形態について説明する。
図1は本発明の一実施形態に係る端末認証システムの構成例を示すブロック図である。本発明の一実施形態に係る端末認証システムは、端末10と、端末10に対しての認証側システムである端末認証システム20とで構成されている。端末10は、ユーザ30に使用される端末である。端末認証システム20は、ユーザ30についてユーザ認証するとともに、端末10について機器認証するものである。
【0030】
端末10は、端末識別情報11、制御手段12、インターフェース15及び送受信手段16を備えている。インターフェース15は、ユーザ30と端末10間の入出力手段となるものである。ユーザ30は、例えばインターフェース15を介してユーザID及びパスワードなどを端末10に入力する。送受信手段16は端末10と端末認証システム20間においてネットワークを介して所定のパケットなどを送受信するものである。
【0031】
端末識別情報11は、端末10を他の端末と識別する情報であり、端末10に備えられている保持手段(図示せず)に予め保持されている。制御手段12は、端末10の動作を制御するものである。また、制御手段12は、端末識別情報11を端末認証システム22における認証サーバ22の認証対象とされるパケットに入れて送受信手段16経由で端末認証システム22に送信する。
【0032】
また、制御手段12は、端末10の機種を識別する機種識別情報14と、機種識別情報14について所定の演算を施す暗号化手段13とを備えている。そして制御手段12は、暗号化手段13の演算結果及び端末識別情報11を上記パケットに入れて送受信手段16経由で端末認証システム22に送信する。暗号化手段13は、上記機種識別情報14について所定の演算を連接、排他的論理和及びハッシュ関数のみを用いて行うことが好ましい。これにより、パケットに入れるデータを簡便に暗号強度の高いデータとすることができる。
【0033】
上記認証サーバ22の認証対象とされるパケットとしては、従来より用いられているユーザ認証プロトコルのパケットを適用することができる。例えば係るパケットとして、PPP接続で用いられるユーザ認証プロトコルのパケットを用いることができる。
【0034】
端末認証システム20は、送受信手段21、認証サーバ22及びプロキシサーバ25を備えている。送受信手段21は、端末認証システム20と端末10間においてネットワークを介して所定のパケットなどを送受信するものである。送受信手段21としては、例えばネットワーク接続ストレージであるNASを適用してもよい。
【0035】
認証サーバ22は、ユーザ30を認証するユーザ認証サーバである。認証サーバ22としては、例えばRADIUSを適用してもよい。また、認証サーバ22は、ユーザ情報データベース23とユーザ認証手段24とで構成されている。ユーザ情報データペース23は、例えば各ユーザ30のユーザID及びパスワードについて管理している。そして、ユーザ認証手段24は、ユーザ情報データベースを用いてユーザ認証を行う。
【0036】
プロキシサーバ25は、送受信手段21と認証サーバ22との間に配置されている。そして、プロキシサーバ25は、端末10から送信されてきたパケットに含まれているデータについて所定の演算を施し、そのパケットに含まれているデータの内容を変更し、そのデータの内容が変更されたパケットを認証サーバ22に送信するパケット内マッピング手段26を備えている。
【0037】
また、プロキシサーバ25は、複数の端末10それぞれの情報を管理する端末情報データベース27を有している。そして、プロキシサーバ25のパケット内マッピング手段26は、端末情報データベース27で管理されている情報を用いて前記データの内容の変更を行う。端末情報データベース27は、例えば端末10の機種情報、機種名及び機種別の暗号鍵情報などを備えることとしてもよい。
【0038】
また、パケット内マッピング手段26は、端末10から受信したパケットのフォーマットを変更することなく、前記データの内容の変更を行う再マッピング手段(図示せず)を有する。この再マッピング手段により、例えば従来より用いられている通信プロトコル及びユーザ認証プロトコルによるパケットのフォーマットを変更することなく、そのパケットにユーザ認証用のデータ及び機器認証用のデータを入れることができ、そのパケットのデータを従来のユーザ認証用の認証サーバ22で認証できるデータとすることができる。
【0039】
次に、本実施形態の端末認証システムの動作例について説明する。以下の動作は例えばユーザ30の端末10からアクセスを求められたプロバイダーなどがそのユーザ30及び端末10についての認証を端末認証システム20によって行うとき動作である。この認証動作は従来から用いられているユーザ認証プロトコルを用いる認証サーバ22で制御されるものとしてもよい。
【0040】
先ず、端末認証システム20の送受信手段21が端末10へチャレンジ情報を送信する。このチャレンジ情報は、盗聴などに対処するために、認証毎に異なるものが好ましい。そして、チャレンジ情報は端末10の送受信手段16を介して暗号化手段13に送られる(ステップS1)。
【0041】
すると、ユーザ30は、例えばログイン名としてのユーザID及びパスワードを端末10に入力する。このユーザID及びパスワードは制御手段12によりインターフェース15を介して暗号化手段13に送られる。すると、暗号化手段13は、このユーザID及びパスワードと上記ステップS1で送られてきたチャレンジ情報とを用いて所定の演算を行うことで、レスポンス情報を作成する(ステップS2)。
【0042】
次いで、暗号化手段13は、端末10内に保持されている端末識別情報11を読み出す(ステップS3)。
次いで、暗号化手段14は、端末10内に保持されている機種識別情報14を読み出す。そして、暗号化手段14は、この機種識別情報14とステップS3で読み出した端末識別情報11とステップS1で送られてきたチャレンジ情報とを用いて所定の演算を行うことで、新レスポンス情報を作成する(ステップS4)。
【0043】
次いで、暗号化手段14は、図2に示すようなパケットフォーマットをもつパケットであって、認証サーバ22の認証対象とされるパケットのパスワード領域42に上記新レスポンス情報(暗号化された機器識別情報)を書き込み、同パケットのユーザID領域43にユーザID、機種識別情報14及び端末識別情報11を書き込み、同パケットのヘッダ領域41に送信先情報として端末認証システム20のアドレスなどを書き込んで、端末認証システム20に送信する(ステップS5)。
【0044】
すると、端末認証システム20内のプロキシサーバ25は、ステップ5で送信されたパケットを送受信手段21を介して受信する。そして、プロキシサーバ25は、受信したパケットに含まれている機種識別情報14などを検索キーとして端末情報データベース27を検索して、所定の端末情報を読み出す。次いで、プロキシサーバ25は、この端末情報とパケットに含まれている端末識別情報とを用いて所定の演算を行うことで、端末10の固有情報を算出する。次いで、プロキシサーバ25は、算出した端末10の固有情報(暗号化された機器識別情報)とパケットに含まれている新レスポンス情報(暗号化された機器識別情報)とを比較などし、さらに所定の演算をすることで、その新レスポンス情報をステップS2で作成されたレスポンス情報に変換する(ステップS6)。
【0045】
次いで、プロキシサーバ25は、ステップS6で得られたレスポンス情報を用いて、ステップ5で送信されてきたパケットについて再マッピングする。すなわちプロキシサーバ25は、ステップ5で送信されてきたパケットのパスワード領域42にパスワードを入れ、同パケットのユーザID領域43にユーザIDを入れる。このパスワード及びユーザIDは、ステップS6で得られたレスポンス情報に含まれているものである。そして、プロキシサーバ25は、その再マッピングされたパケットを認証サーバ22に送信する(ステップS7)。
【0046】
すると、認証サーバ22のユーザ認証手段24は、ユーザ情報データベース23を用いて、従来からあるユーザ認証プロトコルにより、ステップS7で送信されてきたパケットについてユーザ認証を行う(ステップS8)。
【0047】
次いで、認証サーバ22は、ステップS8のユーザ認証の結果を端末10に送信する(ステップS9)。
すると、端末10は、ユーザ認証の結果をインターフェース15により表示する(ステップS10)。
【0048】
このステップS10におけるユーザ認証の結果は、ユーザ10によって端末10に入力されたユーザID及びパスワードなどについて行うユーザ認証と、端末10の正当性を認証する機器認証との結果を示している。すなわち、ステップS10で正当性が認証された場合は、ユーザ30の正当性が認証されたとともに、端末10の正当性も認証されたこととなる。
【0049】
これは、正当な端末10であれば、正当な端末識別情報11などが端末10からプロキシサーバ25に送信され、その端末識別情報11などから認証サーバ22でのユーザ認証で必要となる情報(上記レスポンス情報)がプロキシサーバ25で復元でき、そのレスポンス情報を認証サーバ22が認証できるからである。
【0050】
一方、例えばユーザID及びパスワードなどを不正に入手し、異なる端末(不正端末)で端末認証システム20に対して接続手続を行った場合、端末認証システム20側に送られる端末識別情報11などが正当なものではないので、プロキシサーバ25は端末から送られてきたパケットから正しいレスポンス情報を復元することができず、認証サーバ22のユーザ認証に失敗することとなる。
【0051】
これらにより、本実施形態の端末認証システムによれば、従来の通信プロトコル及び従来のユーザ認証プロトコルを改修することなくそのまま用いて、認証側システムにプロキシサーバ25を設けることのみで、端末10についての端末認証とユーザ30についてのユーザ認証とをすることができる。したがって、本実施形態の端末認証システムによれば、ユーザID及びパスワードなどが流出した場合でも、正当な端末10以外の端末からの不正アクセスを回避することができる。
【0052】
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
【0053】
上記実施形態の端末認証システムは、当該端末認証システムの動作・機能をコンピュータを介して実行させる端末認証プログラムとして実現してもよい。ここで、「コンピュータ」は、WWWシステムを利用している場合であればホームページ提供環境(あるいは表示環境)も含むものとする。また、上記端末認証プログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記端末認証プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【0054】
【発明の効果】
以上説明したように、本発明によれば、ユーザ認証プロトコルを改修することなく、そのユーザ認証プロトコルを用いてユーザ認証及び端末認証をすることができる。
【図面の簡単な説明】
【図1】本発明の一実施形態に係る端末認証システムのブロック図である。
【図2】同上の端末認証システムで用いられるパケットフォーマットの説明図である。
【符号の説明】
10;端末、11;端末識別情報、12;制御手段、13;暗号化手段、14;機種識別情報、15;インターフェース、16;送受信手段、20;端末認証システム、21;送受信手段、22;認証サーバ、23;ユーザ情報データベース、24;ユーザ認証手段、25;プロキシサーバ、26;パケット内マッピング手段、27;端末情報データベース、30;ユーザ、41;ヘッダ領域、42;パスワード領域、43;ユーザID領域[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a terminal authentication system, a terminal authentication method, and a terminal authentication program capable of performing user authentication and terminal authentication in a PPP connection or the like.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, there is a PPP (Point to Point Protocol) connection using the Internet via a network-attached storage (NAS) where a user is a connection point.
[0003]
At the time of connection by PPP, user authentication is performed using a user ID and a password using PAP (Password Authentication Protocol) or CHAP (Challenge Handshake Authentication Protocol). The user ID and the password are checked by an authentication server such as a RADIUS (Remote Authentication Dial-In User Service) server (for example, see Patent Document 1).
[0004]
[Patent Document 1]
JP 2000-101653 A
[Problems to be solved by the invention]
However, in the conventional user authentication, if the user ID and the password are leaked, there is a risk that an unauthorized person or the like who has obtained the information can log in.
[0006]
This danger can be dealt with by authenticating the terminal device and not accepting a login from a terminal different from a terminal registered in advance. Further, by executing the authentication of the terminal device (terminal authentication), for example, the provider side can provide an individual service according to the terminal capability of each user, and can provide the service more flexibly.
[0007]
However, conventional PAP authentication or CHAP authentication in a PPP connection is not designed to perform terminal authentication. Further, when a new protocol is defined for terminal authentication, it is necessary to modify the existing NAS and RADIUS in order to identify the new protocol, and the modification requires a great deal of time and cost.
[0008]
The present invention has been made in view of the above circumstances, and provides a terminal authentication system, a terminal authentication method, and a terminal authentication program that can perform user authentication and terminal authentication without modifying a user authentication protocol. The purpose is to:
[0009]
[Means for Solving the Problems]
In order to achieve the above object, the invention according to claim 1 includes a terminal for transmitting device information by including device information in a packet for user authentication, and a terminal for receiving the packet and using a user authentication protocol. An authentication system for authenticating a packet is provided.
According to the present invention, device information is inserted into a packet transmitted / received by the user authentication protocol, so that the user authentication protocol is used without modification and user authentication and device authentication are performed using a user authentication system (such as a server). be able to.
[0010]
The invention according to claim 2 is characterized in that the authentication-side system includes a transmitting / receiving means for transmitting / receiving the packet, an authentication server which is a server for authenticating a user, and a proxy disposed between the transmitting / receiving means and the authentication server. Server, the terminal is a terminal of the user to be authenticated by the authentication server, terminal identification information for identifying the terminal from other terminals to the proxy server via the transmitting and receiving means It is characterized by being transmitted.
According to the present invention, since the terminal of the user transmits the terminal identification information to the proxy server, the proxy server can send the received terminal identification information to the authentication server, and the authentication server can perform device authentication on the user terminal. it can. Here, a conventional communication protocol and a conventional user authentication protocol can be used between the terminal, the proxy server, and the authentication server. Therefore, according to the present invention, terminal authentication and user authentication can be performed only by providing a proxy server in an authentication-side system, using a conventional communication protocol and a conventional user authentication protocol as they are without any modification. Therefore, according to the present invention, even if a user ID, a password, or the like leaks, it is possible to avoid unauthorized access from a terminal other than a legitimate terminal.
[0011]
Further, the invention according to claim 3 is characterized in that the terminal stores the terminal identification information in the packet to be authenticated by the authentication server at least by holding means for holding the terminal identification information, and Control means for transmitting data to the proxy server, wherein the proxy server performs a predetermined operation on the data contained in the packet to change the content of the data contained in the packet, and And a mapping unit for transmitting the changed packet to the authentication server.
According to the present invention, a terminal embeds terminal identification information in a packet and transmits the packet to a proxy server. Here, this packet can be a packet of a conventional communication protocol and a packet of a conventional user authentication protocol. Further, according to the present invention, since the proxy server performs a predetermined operation on the terminal identification information included in the packet and transmits the packet to the authentication server, even if the authentication server is a server that authenticates a conventional user, The authentication server can perform not only user authentication but also device authentication.
[0012]
The invention according to claim 4 is characterized in that the proxy server has a database for managing information on a plurality of the terminals, and the intra-packet mapping means uses the information managed in the database to store the data. Is characterized in that the contents are changed.
According to the present invention, for example, the proxy mapping server performs a predetermined calculation using the terminal identification information sent from the terminal and the information on the terminal managed in the database, so that the terminal Information indicating the terminal can be included in the user authentication packet. Therefore, according to the present invention, the authentication server for user authentication can perform not only user authentication but also device authentication.
[0013]
In the present invention, it is preferable that the packet is a packet of a user authentication protocol used in a PPP connection, and the authentication server is a server that authenticates a user who has made the PPP connection.
ADVANTAGE OF THE INVENTION According to this invention, the user of PPP connection can be authenticated and apparatus authentication using the user authentication protocol (for example, PAP or CHAP) conventionally used for PPP connection.
[0014]
The invention according to claim 5 is characterized in that the intra-packet mapping means has a remapping means for changing the contents of the data without changing the format of the packet received from the terminal.
According to the present invention, for example, data for user authentication and data for device authentication can be inserted into the packet without changing the format of the packet according to a conventionally used communication protocol and user authentication protocol. The packet data can be data that can be authenticated by a conventional user authentication authentication server.
[0015]
Further, in the present invention, it is preferable that the control unit has an authentication code simple operation unit that performs an operation on predetermined data using only concatenation, exclusive OR and a hash function, and puts a result of the operation into the packet. preferable.
According to the present invention, it is possible to easily execute an operation on data to be put in a packet at a terminal, so that even if the terminal is a device having a relatively low arithmetic processing capability such as a mobile phone, such an operation can be quickly processed. can do.
[0016]
According to another aspect of the present invention, there is provided a terminal authentication method in which device information is included in a packet for user authentication, and the packet is authenticated using a user authentication protocol. I will provide a.
[0017]
Also, the invention according to claim 7 is characterized in that the terminal authentication method includes a terminal that transmits and receives the packet has terminal identification information, and a proxy server is arranged between a transmission and reception unit that transmits and receives the packet and a user authentication server; The terminal puts the terminal identification information and user information which is information unique to the user in the packet, transmits the packet to the proxy server via the network connection means, and the proxy server The information is changed by performing predetermined processing, and the changed packet is transmitted to the user authentication server.
[0018]
The invention according to claim 8 is characterized in that the proxy server performs the predetermined process using a database that manages information on a plurality of the terminals.
[0019]
In the present invention, it is preferable that the packet is a packet of a user authentication protocol used in a PPP connection, and the authentication server is a server that authenticates a user who has made a PPP connection.
[0020]
The invention according to claim 9 is characterized in that the proxy server changes the content of the data without changing the format of the packet received from the terminal.
[0021]
Further, according to the present invention, the terminal performs an operation on the terminal identification information using only concatenation, exclusive OR and a hash function, puts the operation result and the user information in the packet, A packet is transmitted to the proxy server via the network connection means.
[0022]
In order to achieve the above object, according to a tenth aspect of the present invention, there is provided a terminal step for transmitting device information by including device information in a packet for user authentication, and a user authentication protocol for receiving the packet. And an authentication step of authenticating the packet by using a computer.
[0023]
The invention according to claim 11, wherein the authentication-side step performs a transmission / reception step of transmitting / receiving the packet, an authentication step of authenticating a user, and performs a predetermined process on the data transmitted in the transmission / reception step. And a proxy step of transmitting to the authentication step, the terminal-side step sends terminal identification information for identifying a terminal of the user to be authenticated in the authentication step to the authentication-side step as the data. It is characterized by having a step.
[0024]
In the twelfth aspect of the present invention, the terminal-side step includes a holding step of holding the terminal identification information, and at least the terminal identification information is inserted into a packet to be authenticated by the authentication server, and Controlling the data to be transmitted to the proxy server at the proxy step, the proxy step performs a predetermined operation on the data included in the packet to change the content of the data included in the packet, Characterized in that it has an intra-packet mapping step of transmitting a packet whose contents have been changed to the authentication server.
[0025]
In the invention according to claim 13, the proxy step has a database step of managing information on a plurality of the terminals, and the intra-packet mapping step uses information managed in the database step. The content of the data is changed.
[0026]
In the present invention, it is preferable that the packet is a packet of a user authentication protocol used in a PPP connection, and the authentication step authenticates a user connected to the PPP connection.
[0027]
The invention according to claim 14 is characterized in that the intra-packet mapping step includes a re-mapping step of changing the contents of the data without changing the format of the packet.
[0028]
Further, in the present invention, the control step may include an authentication code simple operation step of performing an operation on predetermined data using only concatenation, exclusive OR, and a hash function, and inserting a result of the operation into the packet. preferable.
[0029]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
FIG. 1 is a block diagram illustrating a configuration example of a terminal authentication system according to an embodiment of the present invention. The terminal authentication system according to one embodiment of the present invention includes a terminal 10 and a terminal authentication system 20 that is an authentication-side system for the terminal 10. The terminal 10 is a terminal used by the user 30. The terminal authentication system 20 performs user authentication on the user 30 and device authentication on the terminal 10.
[0030]
The terminal 10 includes terminal identification information 11, control means 12, interface 15, and transmission / reception means 16. The interface 15 serves as an input / output unit between the user 30 and the terminal 10. The user 30 inputs, for example, a user ID and a password to the terminal 10 via the interface 15. The transmission / reception means 16 transmits and receives a predetermined packet or the like between the terminal 10 and the terminal authentication system 20 via a network.
[0031]
The terminal identification information 11 is information for identifying the terminal 10 from other terminals, and is stored in a holding unit (not shown) provided in the terminal 10 in advance. The control means 12 controls the operation of the terminal 10. Further, the control unit 12 puts the terminal identification information 11 into a packet to be authenticated by the authentication server 22 in the terminal authentication system 22 and transmits the packet to the terminal authentication system 22 via the transmission / reception unit 16.
[0032]
Further, the control unit 12 includes model identification information 14 for identifying the model of the terminal 10 and an encryption unit 13 for performing a predetermined operation on the model identification information 14. Then, the control unit 12 puts the calculation result of the encryption unit 13 and the terminal identification information 11 in the packet and transmits the packet to the terminal authentication system 22 via the transmission / reception unit 16. It is preferable that the encrypting means 13 performs a predetermined operation on the model identification information 14 using concatenation, exclusive OR, and only a hash function. As a result, the data to be included in the packet can be easily converted to data with high encryption strength.
[0033]
As a packet to be authenticated by the authentication server 22, a packet of a conventionally used user authentication protocol can be applied. For example, a packet of a user authentication protocol used in a PPP connection can be used as such a packet.
[0034]
The terminal authentication system 20 includes a transmission / reception unit 21, an authentication server 22, and a proxy server 25. The transmission / reception means 21 transmits and receives a predetermined packet or the like between the terminal authentication system 20 and the terminal 10 via a network. As the transmitting / receiving means 21, for example, a NAS which is a network-connected storage may be applied.
[0035]
The authentication server 22 is a user authentication server that authenticates the user 30. As the authentication server 22, for example, RADIUS may be applied. The authentication server 22 includes a user information database 23 and a user authentication unit 24. The user information database 23 manages, for example, the user ID and password of each user 30. Then, the user authentication unit 24 performs user authentication using the user information database.
[0036]
The proxy server 25 is arranged between the transmitting / receiving means 21 and the authentication server 22. Then, the proxy server 25 performs a predetermined operation on the data included in the packet transmitted from the terminal 10, changes the content of the data included in the packet, and changes the content of the data. An intra-packet mapping unit 26 for transmitting a packet to the authentication server 22 is provided.
[0037]
The proxy server 25 has a terminal information database 27 that manages information of each of the plurality of terminals 10. Then, the intra-packet mapping means 26 of the proxy server 25 changes the content of the data using information managed in the terminal information database 27. The terminal information database 27 may include, for example, model information, model name, and model-specific encryption key information of the terminal 10.
[0038]
Further, the intra-packet mapping unit 26 has a re-mapping unit (not shown) for changing the content of the data without changing the format of the packet received from the terminal 10. By this remapping means, for example, data for user authentication and data for device authentication can be put in the packet without changing the format of the packet according to the conventionally used communication protocol and user authentication protocol. The packet data can be data that can be authenticated by the conventional authentication server 22 for user authentication.
[0039]
Next, an operation example of the terminal authentication system of the present embodiment will be described. The following operation is an operation when, for example, a provider or the like requested to access from the terminal 10 of the user 30 performs authentication of the user 30 and the terminal 10 by the terminal authentication system 20. This authentication operation may be controlled by the authentication server 22 using a conventionally used user authentication protocol.
[0040]
First, the transmission / reception means 21 of the terminal authentication system 20 transmits challenge information to the terminal 10. The challenge information is preferably different for each authentication in order to cope with eavesdropping and the like. Then, the challenge information is sent to the encryption means 13 via the transmission / reception means 16 of the terminal 10 (step S1).
[0041]
Then, the user 30 inputs, for example, a user ID and a password as a login name to the terminal 10. The user ID and the password are sent by the control means 12 to the encryption means 13 via the interface 15. Then, the encrypting unit 13 performs a predetermined operation using the user ID and the password and the challenge information transmitted in step S1, thereby creating response information (step S2).
[0042]
Next, the encryption unit 13 reads the terminal identification information 11 held in the terminal 10 (Step S3).
Next, the encryption unit 14 reads the model identification information 14 held in the terminal 10. Then, the encrypting means 14 performs a predetermined calculation using the model identification information 14, the terminal identification information 11 read out in step S3, and the challenge information sent in step S1, thereby creating new response information. (Step S4).
[0043]
Next, the encryption unit 14 stores the new response information (encrypted device identification information) in the password area 42 of the packet having the packet format shown in FIG. ), The user ID, the model identification information 14 and the terminal identification information 11 are written in the user ID area 43 of the packet, and the address and the like of the terminal authentication system 20 are written as destination information in the header area 41 of the packet. The information is transmitted to the authentication system 20 (step S5).
[0044]
Then, the proxy server 25 in the terminal authentication system 20 receives the packet transmitted in step 5 via the transmission / reception means 21. Then, the proxy server 25 searches the terminal information database 27 using the model identification information 14 and the like included in the received packet as a search key, and reads out predetermined terminal information. Next, the proxy server 25 calculates a unique information of the terminal 10 by performing a predetermined operation using the terminal information and the terminal identification information included in the packet. Next, the proxy server 25 compares the calculated unique information of the terminal 10 (encrypted device identification information) with the new response information (encrypted device identification information) included in the packet, and performs a predetermined process. , The new response information is converted into the response information created in step S2 (step S6).
[0045]
Next, the proxy server 25 remaps the packet transmitted in step 5 using the response information obtained in step S6. That is, the proxy server 25 puts the password in the password area 42 of the packet transmitted in step 5 and puts the user ID in the user ID area 43 of the packet. The password and the user ID are included in the response information obtained in step S6. Then, the proxy server 25 transmits the remapped packet to the authentication server 22 (Step S7).
[0046]
Then, the user authentication means 24 of the authentication server 22 uses the user information database 23 to perform user authentication on the packet transmitted in step S7 according to a conventional user authentication protocol (step S8).
[0047]
Next, the authentication server 22 transmits the result of the user authentication in step S8 to the terminal 10 (step S9).
Then, the terminal 10 displays the result of the user authentication on the interface 15 (Step S10).
[0048]
The result of the user authentication in step S10 indicates the result of the user authentication performed for the user ID and the password input to the terminal 10 by the user 10 and the result of the device authentication for authenticating the terminal 10. That is, if the validity is authenticated in step S10, it means that the validity of the user 30 has been authenticated and the validity of the terminal 10 has also been authenticated.
[0049]
If the terminal 10 is legitimate, legitimate terminal identification information 11 and the like are transmitted from the terminal 10 to the proxy server 25, and information necessary for user authentication in the authentication server 22 from the terminal identification information 11 and the like (the above-described information). This is because the response information can be restored by the proxy server 25 and the response information can be authenticated by the authentication server 22.
[0050]
On the other hand, for example, if a user ID and a password are illegally obtained and a different terminal (illegal terminal) performs a connection procedure to the terminal authentication system 20, the terminal identification information 11 and the like sent to the terminal authentication system 20 are valid. Therefore, the proxy server 25 cannot restore correct response information from the packet sent from the terminal, and the user authentication of the authentication server 22 fails.
[0051]
Thus, according to the terminal authentication system of the present embodiment, the conventional communication protocol and the conventional user authentication protocol are used without modification, and only the proxy server 25 is provided in the authentication-side system. Terminal authentication and user authentication for the user 30 can be performed. Therefore, according to the terminal authentication system of the present embodiment, even if a user ID, a password, or the like leaks, unauthorized access from a terminal other than the legitimate terminal 10 can be avoided.
[0052]
As described above, the embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the embodiments, and may include a design change or the like without departing from the gist of the present invention.
[0053]
The terminal authentication system of the above embodiment may be realized as a terminal authentication program that causes the operation and functions of the terminal authentication system to be executed via a computer. Here, the “computer” includes a homepage providing environment (or a display environment) if a WWW system is used. The terminal authentication program may be transmitted from a computer storing the program in a storage device or the like to another computer via a transmission medium or by a transmission wave in the transmission medium. Here, the "transmission medium" for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the terminal authentication program may be a program for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer, and what is called a difference file (difference program) may be sufficient.
[0054]
【The invention's effect】
As described above, according to the present invention, user authentication and terminal authentication can be performed using the user authentication protocol without modifying the user authentication protocol.
[Brief description of the drawings]
FIG. 1 is a block diagram of a terminal authentication system according to an embodiment of the present invention.
FIG. 2 is an explanatory diagram of a packet format used in the terminal authentication system according to the first embodiment.
[Explanation of symbols]
10; terminal 11; terminal identification information 12; control means 13; encryption means 14; model identification information 15; interface 16; transmission / reception means 20; terminal authentication system 21; transmission / reception means 22; Server, 23; user information database, 24; user authentication means, 25; proxy server, 26; intra-packet mapping means, 27; terminal information database, 30; user, 41; header area, 42; password area, 43; region

Claims (14)

ユーザ認証用のパケットに機器情報を含ませ該パケットを送信する端末と、
前記パケットを受信して、ユーザ認証プロトコルを用いて該パケットについて認証する認証側システムとを有することを特徴とする端末認証システム。A terminal for transmitting the packet by including the device information in the packet for user authentication,
An authentication system that receives the packet and authenticates the packet using a user authentication protocol. 前記認証側システムは、
前記パケットを送受信する送受信手段と、
ユーザを認証するサーバである認証サーバと、
前記送受信手段と認証サーバとの間に配置されたプロキシサーバとを有してなり、
前記端末は、
前記認証サーバの認証対象となる前記ユーザの端末であって、該端末を他の端末と識別する端末識別情報を前記送受信手段経由で前記プロキシサーバに送信するものであることを特徴とする請求項1に記載の端末認証システム。The authentication system includes:
Transmitting and receiving means for transmitting and receiving the packet,
An authentication server that authenticates the user;
Comprising a proxy server arranged between the transmitting and receiving means and an authentication server,
The terminal is
The terminal of the user to be authenticated by the authentication server, wherein terminal identification information for identifying the terminal from other terminals is transmitted to the proxy server via the transmission / reception unit. 2. The terminal authentication system according to 1. 前記端末は、
前記端末識別情報を保持する保持手段と、
少なくとも前記端末識別情報を前記認証サーバの認証対象とされるパケットに入れて前記送受信手段経由で前記プロキシサーバに送信する制御手段とを有し、
前記プロキシサーバは、
前記パケットに含まれているデータについて所定の演算を施して該パケットに含まれているデータの内容を変更し、該データの内容が変更されたパケットを前記認証サーバに送信するパケット内マッピング手段を有することを特徴とする請求項2に記載の端末認証システム。The terminal is
Holding means for holding the terminal identification information,
Control means for transmitting at least the terminal identification information to the proxy server via the transmission / reception means in a packet to be authenticated by the authentication server,
The proxy server,
A packet mapping unit that performs a predetermined operation on the data included in the packet to change the content of the data included in the packet, and transmits the packet with the changed data content to the authentication server. The terminal authentication system according to claim 2, further comprising: 前記プロキシサーバは、
複数の前記端末についての情報を管理するデータベースを有し、
前記パケット内マッピング手段は、
前記データベースで管理されている情報を用いて前記データの内容の変更を行うことを特徴とする請求項3に記載の端末認証システム。The proxy server,
A database that manages information about the plurality of terminals,
The intra-packet mapping means,
The terminal authentication system according to claim 3, wherein the content of the data is changed using information managed in the database. 前記パケット内マッピング手段は、
前記端末から受信したパケットのフォーマットを変更することなく、前記データの内容の変更を行う再マッピング手段を有することを特徴とする請求項3又は4に記載の端末認証システム。The intra-packet mapping means,
The terminal authentication system according to claim 3, further comprising a remapping unit that changes a content of the data without changing a format of a packet received from the terminal. ユーザ認証用のパケットに機器情報を含ませ、
前記パケットについてユーザ認証プロトコルを用いて認証することを特徴とする端末認証方法。Include device information in user authentication packet,
A terminal authentication method, wherein the packet is authenticated using a user authentication protocol. 前記端末認証方法は、
前記パケットを送受信する端末が端末識別情報を備え、
前記パケットを送受信する送受信手段とユーザ認証サーバとの間にプロキシサーバを配置し、
前記端末が前記端末識別情報と前記ユーザに固有の情報であるユーザ情報とを前記パケットに入れ、該パケットを前記ネットワーク接続手段経由で前記プロキシサーバに送信し、
前記プロキシサーバが前記パケットの中の情報について所定の処理を施して変更するとともに、該変更後のパケットを前記ユーザ認証サーバに送信することを特徴とする請求項6に記載の端末認証方法。The terminal authentication method includes:
A terminal that transmits and receives the packet includes terminal identification information,
Placing a proxy server between the transmitting and receiving means for transmitting and receiving the packet and the user authentication server,
The terminal puts the terminal identification information and user information that is information unique to the user in the packet, and transmits the packet to the proxy server via the network connection unit;
The terminal authentication method according to claim 6, wherein the proxy server performs predetermined processing on information in the packet to change the information, and transmits the changed packet to the user authentication server. 前記プロキシサーバは、
複数の前記端末についての情報を管理するデータベースを用いて、前記所定の処理を施すことを特徴とする請求項7に記載の端末認証方法。The proxy server,
The terminal authentication method according to claim 7, wherein the predetermined processing is performed using a database that manages information on a plurality of the terminals. プロキシサーバは、
前記端末から受信したパケットのフォーマットを変更することなく、前記データの内容の変更を行うことを特徴とする請求項7又は8に記載の端末認証システム。The proxy server is
9. The terminal authentication system according to claim 7, wherein the content of the data is changed without changing a format of a packet received from the terminal. ユーザ認証用のパケットに機器情報を含ませ該パケットを送信する端末側ステップと、
前記パケットを受信して、ユーザ認証プロトコルを用いて該パケットについて認証する認証側ステップとをコンピュータに実行させることを特徴とする端末認証プログラム。A terminal-side step of including device information in a packet for user authentication and transmitting the packet;
An authentication step of receiving the packet and authenticating the packet using a user authentication protocol. 前記認証側ステップは、
前記パケットを送受信する送受信ステップと、
ユーザを認証する認証ステップと、
前記送受信ステップにより送られてきたデータに所定の処理を施し該データを前記認証ステップへ送るプロキシステップとを有してなり、
前記端末側ステップは、
前記認証ステップでの認証対象となる前記ユーザの端末を識別する端末識別情報を前記データとして前記認証側ステップに送るステップを有することを特徴とする請求項10に記載の端末認証プログラム。The authentication step includes:
Transmitting and receiving the packet,
An authentication step for authenticating the user;
A proxy step of performing predetermined processing on the data sent by the transmitting / receiving step and sending the data to the authentication step,
The terminal-side step includes:
The terminal authentication program according to claim 10, further comprising a step of transmitting terminal identification information for identifying a terminal of the user to be authenticated in the authentication step to the authentication-side step as the data. 前記端末側ステップは、
前記端末識別情報を保持する保持ステップと、
少なくとも前記端末識別情報を前記認証サーバの認証対象とされるパケットに入れて前記送受信手段経由で前記プロキシサーバに送信する制御ステップとを有し、
前記プロキシステップは、
前記パケットに含まれているデータについて所定の演算を施して該パケットに含まれているデータの内容を変更し、該データの内容が変更されたパケットを前記認証サーバに送信するパケット内マッピングステップを有することを特徴とする請求項11に記載の端末認証プログラム。The terminal-side step includes:
Holding step of holding the terminal identification information,
Control step of transmitting at least the terminal identification information to the proxy server via the transmitting and receiving means by putting the terminal identification information in a packet to be authenticated by the authentication server,
The proxy step comprises:
Performing a predetermined operation on the data included in the packet to change the content of the data included in the packet, and transmitting the packet with the changed data content to the authentication server. The terminal authentication program according to claim 11, comprising: 前記プロキシステップは、
複数の前記端末についての情報を管理するデータベースステップを有し、
前記パケット内マッピングステップは、
前記データベースステップで管理されている情報を用いて前記データの内容の変更を行うことを特徴とする請求項12に記載の端末認証プログラム。The proxy step comprises:
Comprising a database step of managing information about a plurality of said terminals,
The intra-packet mapping step includes:
13. The terminal authentication program according to claim 12, wherein the content of the data is changed using information managed in the database step. 前記パケット内マッピングステップは、
前記パケットのフォーマットを変更することなく、前記データの内容の変更を行う再マッピングステップを有することを特徴とする請求項12又は13に記載の端末認証プログラム。The intra-packet mapping step includes:
14. The terminal authentication program according to claim 12, further comprising a remapping step of changing the content of the data without changing the format of the packet.
JP2003156925A 2003-06-02 2003-06-02 Terminal authentication system, terminal authentication method, and terminal authentication program Pending JP2004362061A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003156925A JP2004362061A (en) 2003-06-02 2003-06-02 Terminal authentication system, terminal authentication method, and terminal authentication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003156925A JP2004362061A (en) 2003-06-02 2003-06-02 Terminal authentication system, terminal authentication method, and terminal authentication program

Publications (1)

Publication Number Publication Date
JP2004362061A true JP2004362061A (en) 2004-12-24

Family

ID=34050851

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003156925A Pending JP2004362061A (en) 2003-06-02 2003-06-02 Terminal authentication system, terminal authentication method, and terminal authentication program

Country Status (1)

Country Link
JP (1) JP2004362061A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007089199A (en) * 2005-09-20 2007-04-05 Accenture Global Services Gmbh Third-party access gateway for communication services
JP2009129460A (en) * 2007-11-21 2009-06-11 Intel Corp Providing remote functions using device identifiers
US7917124B2 (en) 2005-09-20 2011-03-29 Accenture Global Services Limited Third party access gateway for telecommunications services
US7920583B2 (en) 2005-10-28 2011-04-05 Accenture Global Services Limited Message sequencing and data translation architecture for telecommunication services
US9240970B2 (en) 2012-03-07 2016-01-19 Accenture Global Services Limited Communication collaboration
US10116449B2 (en) 2015-09-07 2018-10-30 Yahoo Japan Corporation Generation device, terminal device, generation method, non-transitory computer readable storage medium, and authentication processing system
US10341114B2 (en) 2015-09-11 2019-07-02 Yahoo Japan Corporation Providing device, terminal device, providing method, non-transitory computer readable storage medium, and authentication processing system

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007089199A (en) * 2005-09-20 2007-04-05 Accenture Global Services Gmbh Third-party access gateway for communication services
US7917124B2 (en) 2005-09-20 2011-03-29 Accenture Global Services Limited Third party access gateway for telecommunications services
US7920583B2 (en) 2005-10-28 2011-04-05 Accenture Global Services Limited Message sequencing and data translation architecture for telecommunication services
JP2009129460A (en) * 2007-11-21 2009-06-11 Intel Corp Providing remote functions using device identifiers
US9240970B2 (en) 2012-03-07 2016-01-19 Accenture Global Services Limited Communication collaboration
US10165224B2 (en) 2012-03-07 2018-12-25 Accenture Global Services Limited Communication collaboration
US10116449B2 (en) 2015-09-07 2018-10-30 Yahoo Japan Corporation Generation device, terminal device, generation method, non-transitory computer readable storage medium, and authentication processing system
US10341114B2 (en) 2015-09-11 2019-07-02 Yahoo Japan Corporation Providing device, terminal device, providing method, non-transitory computer readable storage medium, and authentication processing system

Similar Documents

Publication Publication Date Title
US8056122B2 (en) User authentication method and system using user's e-mail address and hardware information
JP4507623B2 (en) Network connection system
US20030070069A1 (en) Authentication module for an enterprise access management system
JP6644037B2 (en) Communication control system
US9608966B2 (en) Information handling device, information output device, and recording medium
CN101242404A (en) A validation method and system based on heterogeneous network
WO2007110951A1 (en) User verifying device, method and program
WO2016107319A1 (en) Method for loading secure key storage hardware, and browser client device
JP2006165678A (en) Encrypted communication relay method, gateway server device, encrypted communication program, and encrypted communication program storage medium
KR20060056279A (en) Device authentication system
RU2003133768A (en) PROTECTED PROCESSING THE MANDATE OF THE CUSTOMER SYSTEM FOR ACCESS TO RESOURCES BASED ON WEB
JP2011237822A (en) Relay processor, relay processing method and program
CN113079506A (en) Network security authentication method, device and equipment
JP3833652B2 (en) Network system, server device, and authentication method
CN114244569A (en) SSL VPN remote access method, system and computer equipment
JP2004362061A (en) Terminal authentication system, terminal authentication method, and terminal authentication program
CN107819766A (en) Safety certifying method, system and computer-readable recording medium
JP4637773B2 (en) Personal information protection program and terminal
JP4979210B2 (en) Login information management apparatus and method
JP5665592B2 (en) Server apparatus, computer system, and login method thereof
JP5161053B2 (en) User authentication method, user authentication system, service providing apparatus, and authentication control apparatus
US20060112271A1 (en) Cipher mail server device
JP3889030B1 (en) Authentication system, authentication program, and authentication method
JP2003296279A (en) Authentication method, and client device, server device, and program thereof
JP2006113877A (en) Connected device authentication system

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20041221

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050909

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20050912

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20051108

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20070904

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20070904

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071018

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081028

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081222

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090507