JPH10260939A - Computer network client machine authentication method, client machine, host machine and computer system - Google Patents
Computer network client machine authentication method, client machine, host machine and computer systemInfo
- Publication number
- JPH10260939A JPH10260939A JP9067008A JP6700897A JPH10260939A JP H10260939 A JPH10260939 A JP H10260939A JP 9067008 A JP9067008 A JP 9067008A JP 6700897 A JP6700897 A JP 6700897A JP H10260939 A JPH10260939 A JP H10260939A
- Authority
- JP
- Japan
- Prior art keywords
- machine
- client machine
- user
- client
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
【課題】 パソコン通信においては、セキュリィティ確
保のために認証方法が採用されている。しかし、ユーザ
IDとパスワードのみによる従来の認証方法では、パスワ
ードにユーザ自身の誕生日等のような判明し易い数字が
使用されたり、あるいはパスワードをユーザがメモ書き
してモニタに貼ってあったり等、ユーザによるパスワー
ド管理に問題が多いため、十分な認証機能を果たせては
いないという課題があった。
【解決手段】 ホストマシンHMでユーザデータベース10
を参照することにより、マシン固有情報(たとえばHDD-
ID31,CPU-ID32等)を使用してユーザID及びそのユーザ
が使用するクライアントマシンCMを特定する。
(57) [Summary] [PROBLEMS] In personal computer communication, an authentication method is adopted to secure security. But the user
In the conventional authentication method using only the ID and the password, the password uses an easily identifiable number such as the user's birthday, or the user writes down the password and puts it on the monitor. There was a problem that the authentication function was not sufficient because of many problems in password management. SOLUTION: User database 10 on host machine HM
By referring to the machine-specific information (for example, HDD-
ID31, CPU-ID32, etc.) to identify the user ID and the client machine CM used by that user.
Description
【0001】[0001]
【発明の属する技術分野】本発明はコンピュータシステ
ム、特にパーソナルコンピュータシステムを使用した通
信、例えばパソコン通信等のコンピュータネットワーク
通信におけるクライアントマシンの認証方法に関し、更
にそのような認証方法を実施するためのクライアントマ
シン,ホストマシン及びコンピュータシステムに関す
る。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a method for authenticating a client machine in a computer system, and more particularly, to a communication using a personal computer system, for example, a computer network communication such as a personal computer communication, and a client for implementing such an authentication method. The present invention relates to a machine, a host machine, and a computer system.
【0002】[0002]
【従来の技術】近年のコンピュータ技術の発展に伴っ
て、特に大容量高速通信技術及び操作が容易な種々の通
信ソフトウェアの開発に伴って、多くの人々がインター
ネット等のパソコン通信を日常的に利用するようになっ
ている。2. Description of the Related Art With the recent development of computer technology, especially with the development of large-capacity, high-speed communication technology and various kinds of easy-to-operate communication software, many people use personal computers such as the Internet on a daily basis. It is supposed to.
【0003】[0003]
【発明が解決しようとする課題】ところで、上述のよう
なパソコン通信においては、セキュリィティ確保のため
に認証方法が採用されている。しかし、ユーザIDとパス
ワードのみによる従来の認証方法では、パスワードにユ
ーザ自身の誕生日等のような判明し易い数字が使用され
たり、あるいはパスワードをユーザがメモ書きしてモニ
タに貼ってあったり等、ユーザによるパスワード管理に
問題が多いため、十分な認証機能を果たせてはいないと
いうのが実情である。By the way, in the personal computer communication as described above, an authentication method is adopted to secure security. However, in the conventional authentication method using only the user ID and the password, an easily identifiable number such as the user's own birthday is used as the password, or the user writes down the password and affixes it to the monitor. However, there are many problems in password management by the user, so that the actual authentication function is not sufficiently achieved.
【0004】また、発信元の電話番号をチェックして正
規のユーザであるかを調べる方法もあるが、この方法で
は携帯型のパーソナルコンピュータを所持するユーザが
移動中に公衆回線を利用する場合等のようないわゆるモ
バイル環境下においては利用出来ない。またこの手法で
は、不正アクセス確認のために前回のアクセス時の電話
番号を表示するため、逆に不正使用者に正規ユーザの電
話番号を知らせることになるという問題もあった。There is also a method of checking the caller's telephone number to check whether the user is a legitimate user. In this method, a user having a portable personal computer uses a public line while traveling. It cannot be used in a so-called mobile environment. Further, in this method, since the telephone number at the time of the previous access is displayed for confirming unauthorized access, there is a problem that the unauthorized user is informed of the telephone number of the authorized user.
【0005】本発明は上述のような事情に鑑みてなされ
たものであり、今後益々増加すると考えられるモバイル
環境にも対応可能な認証方法の強化と、マシン固有の情
報を利用して正規ユーザが使用するマシンを特定するこ
とにより、正規ユーザのプライバシーの保護, 不正使用
常習者のネットワークへの侵入防止を可能とするコンピ
ュータネットワークのクライアントマシン認証方法の提
供を目的とする。[0005] The present invention has been made in view of the above-described circumstances, and has been made to enhance an authentication method capable of coping with a mobile environment which is expected to increase in the future, and to enable authorized users to utilize machine-specific information. It is an object of the present invention to provide a computer network client machine authentication method capable of protecting the privacy of authorized users and preventing unauthorized users from intruding into the network by specifying the machine to be used.
【0006】[0006]
【課題を解決するための手段】本発明に係るコンピュー
タネットワークのクライアントマシン認証方法の第1の
発明は、コンピュータネットワークを介してクライアン
トマシンとホストマシンとが通信する際のクライアント
マシン認証方法であって、個々のクライアントマシンに
固有のマシン固有情報を、個々のクライアントマシンを
使用するユーザのユーザIDと対応付けて予めホストマシ
ン側に登録しておき、個々のクライアントマシンは、ホ
ストマシンへのアクセス要求時に、入力されたユーザID
と共に、自身のマシン固有情報をホストマシンへ送信
し、ホストマシンは、アクセス要求しているクライアン
トマシンから送信されてきたマシン固有情報が同時に送
信されてきたユーザIDに対応して登録されているマシン
固有情報と一致するか否かを判定することを特徴とす
る。A first invention of a client machine authentication method for a computer network according to the present invention is a client machine authentication method when a client machine and a host machine communicate via a computer network. Machine information unique to each client machine is registered in the host machine in advance in association with the user ID of a user who uses each client machine, and each client machine requests access to the host machine. Sometimes the user ID entered
At the same time, it transmits its own machine unique information to the host machine, and the host machine registers the machine unique information transmitted from the client machine requesting access in accordance with the user ID transmitted at the same time. It is characterized in that it is determined whether or not it matches the unique information.
【0007】本発明に係るクライアントマシンの第1の
発明は、個々のクライアントマシンに付与された固有の
マシン固有情報と、個々のクライアントマシンを使用す
るユーザのユーザIDとを対応付けて予め登録したデータ
ベースを備えたホストマシンとコンピュータネットワー
クを介して通信するクライアントマシンであって、ホス
トマシンへのアクセス要求時に、入力されたユーザIDと
共に、自身のマシン固有情報をホストマシンへ送信すべ
くなしてあることを特徴とする。[0007] In a first aspect of the present invention, a unique machine unique information given to each client machine and a user ID of a user who uses each client machine are registered in advance in association with each other. A client machine that communicates with a host machine equipped with a database via a computer network, and transmits, when an access request is made to the host machine, its own machine-specific information to the host machine together with the input user ID. It is characterized by the following.
【0008】本発明に係るホストマシンの第1の発明
は、コンピュータネットワークを介してクライアントマ
シンと通信するホストマシンであって、個々のクライア
ントマシンに付与された固有のマシン固有情報と、個々
のクライアントマシンを使用するユーザのユーザIDとを
対応付けて予め登録したデータベースと、データベース
の登録内容を参照して、アクセス要求しているクライア
ントマシンから送信されてきたマシン固有情報が同時に
送信されてきたユーザIDに対応して登録されているマシ
ン固有情報と一致するか否かを判定する手段とを備えた
ことを特徴とする。A first invention of a host machine according to the present invention is a host machine which communicates with a client machine via a computer network, wherein the unique machine unique information given to each client machine and each client machine are provided. A user who has previously registered a database in which user IDs of users who use the machine are associated with each other, and machine-specific information transmitted from the client machine requesting access by referring to the registered contents of the database. Means for determining whether or not the information matches the machine unique information registered corresponding to the ID.
【0009】このような本発明のコンピュータネットワ
ークのクライアントマシン認証方法,クライアントマシ
ン及びホストマシンの第1の発明では、クライアントマ
シンからのアクセス要求時に入力されたユーザIDと共
に、自身のマシン固有情報がホストマシンへ送信され、
ホストマシンではデータベースを参照してクライアント
マシンが正規ユーザのマシンであるか否かを判定する。According to the first aspect of the present invention for a client machine authentication method for a computer network and a client machine and a host machine of the present invention, the machine ID unique to the client machine together with the user ID input at the time of the access request from the client machine is stored in the host machine. Sent to the machine,
The host machine refers to the database to determine whether the client machine is a regular user's machine.
【0010】本発明に係るコンピュータネットワークの
クライアントマシン認証方法の第2の発明は、コンピュ
ータネットワークを介してクライアントマシンとホスト
マシンとが通信する際のクライアントマシン認証方法で
あって、個々のクライアントマシンに固有のマシン固有
情報を、個々のクライアントマシンを使用するユーザの
ユーザIDと対応付けて予めホストマシン側に登録してお
き、ホストマシンは、少なくとも個々のクライアントマ
シンのマシン固有情報と個々のクライアントマシンに対
するアクセス許可情報とを秘密鍵で暗号化したアクセス
コードファイルを作成して個々のクライアントマシンへ
予め送付しておき、個々のクライアントマシンは、ホス
トマシンへのアクセス要求時に、入力されたユーザIDと
共に、ホストマシンから予め送付されているアクセスコ
ードファイルをホストマシンへ送信し、ホストマシン
は、アクセス要求しているクライアントマシンから送信
されてきたアクセスコードファイルを秘密鍵で復号し、
復号されたアクセス許可情報の真偽を判定すると共に、
復号されたマシン固有情報と送信されてきたユーザIDに
対応して登録されているマシン固有情報とが一致するか
否かを判定することを特徴とする。A second invention of a client machine authentication method for a computer network according to the present invention is a client machine authentication method for communication between a client machine and a host machine via a computer network. The unique machine-specific information is registered in the host machine in advance in association with the user ID of the user who uses the individual client machine, and the host machine is configured to have at least the machine-specific information of the individual client machine and the individual client machine. An access code file is created by encrypting the access permission information with the secret key and sent to each client machine in advance, and each client machine receives the user ID entered at the time of the access request to the host machine. , Host machine Sends the access code file sent in advance to the host machine, and the host machine decrypts the access code file sent from the client machine requesting access with the secret key,
Determines the authenticity of the decrypted access permission information,
It is characterized in that it is determined whether or not the decrypted machine unique information matches the machine unique information registered corresponding to the transmitted user ID.
【0011】本発明に係るクライアントマシンの第2の
発明は、個々のクライアントマシンに付与された固有の
マシン固有情報と、個々のクライアントマシンを使用す
るユーザのユーザIDとを対応付けて予め登録したデータ
ベースを備えたホストマシンとコンピュータネットワー
クを介して通信するクライアントマシンであって、ホス
トマシンへのアクセス要求時に、入力されたユーザIDと
共に、ホストマシンから予め送付されているアクセスコ
ードファイルをホストマシンへ送信すべくなしてあるこ
とを特徴とする。According to a second aspect of the present invention, a unique machine unique information assigned to each client machine and a user ID of a user who uses each client machine are registered in advance in association with each other. A client machine that communicates via a computer network with a host machine equipped with a database, and when an access request to the host machine is made, an access code file previously sent from the host machine together with the input user ID to the host machine. It is characterized by being transmitted.
【0012】本発明に係るホストマシンの第2の発明
は、コンピュータネットワークを介してクライアントマ
シンと通信するホストマシンであって、個々のクライア
ントマシンに付与された固有のマシン固有情報と、個々
のクライアントマシンを使用するユーザのユーザIDとを
対応付けて予め登録したデータベースと、少なくとも個
々のクライアントマシンのマシン固有情報と個々のクラ
イアントマシンに対するアクセス許可情報とを秘密鍵で
暗号化したアクセスコードファイルを作成して個々のク
ライアントマシンへ予め送付する手段と、アクセス要求
しているクライアントマシンから送信されてきたアクセ
スコードファイルを秘密鍵で復号する手段と、復号され
たアクセス許可情報の真偽を判定する手段と、データベ
ースの登録内容を参照して、復号されたマシン固有情報
と送信されてきたユーザIDに対応して登録されているマ
シン固有情報とが一致するか否かを判定する手段とを備
えたことを特徴とする。A second invention of a host machine according to the present invention is a host machine which communicates with a client machine via a computer network, wherein the unique machine unique information given to each client machine and each client machine are provided. Creates a database pre-registered in association with the user ID of the user who uses the machine, and an access code file in which at least machine-specific information of each client machine and access permission information for each client machine are encrypted with a secret key. Means for sending to the individual client machine in advance, means for decrypting the access code file transmitted from the client machine requesting access with a secret key, and means for determining the authenticity of the decrypted access permission information And the registered contents of the database. To, and further comprising a means for determining whether the machine-specific information registered in correspondence that the user ID transmitted with the machine-specific information decoded match.
【0013】このような本発明のコンピュータネットワ
ークのクライアントマシン認証方法,クライアントマシ
ン及びホストマシンの第2の発明では、クライアントマ
シンからのアクセス要求時に入力されたユーザIDと共
に、予めホストマシンから送付されている暗号化された
自身のマシン固有情報を含むアクセスコードファイルと
がホストマシンへ送信され、ホストマシンではデータベ
ースを参照してクライアントマシンが正規ユーザのマシ
ンであるか否かを判定する。According to the second aspect of the present invention of the client machine authentication method for a computer network and the client machine and the host machine of the present invention, the client machine sends in advance the user ID entered at the time of the access request from the client machine, together with the user ID. The encrypted access code file including its own machine-specific information is transmitted to the host machine, and the host machine refers to the database to determine whether the client machine is a machine of an authorized user.
【0014】本発明に係るコンピュータネットワークの
クライアントマシン認証方法の第3の発明は、コンピュ
ータネットワークを介してクライアントマシンとホスト
マシンとが通信する際のクライアントマシン認証方法で
あって、個々のクライアントマシンに固有のマシン固有
情報を、個々のクライアントマシンを使用するユーザの
ユーザIDと対応付けて予めホストマシン側に登録してお
き、ホストマシンは、少なくとも個々のクライアントマ
シンのマシン固有情報と個々のクライアントマシンに対
するアクセス許可情報とを秘密鍵で暗号化したアクセス
コードファイルを作成して個々のクライアントマシンへ
予め送付しておき、クライアントマシンは、ホストマシ
ンへのアクセス要求時に、入力されたユーザIDと共に、
ホストマシンから予め送付されているアクセスコードフ
ァイル及びマシン固有情報をホストマシンへ送信し、ホ
ストマシンは、アクセス要求しているクライアントマシ
ンから送信されてきたアクセスコードファイルを秘密鍵
で復号し、復号されたアクセス許可情報の真偽を判定す
ると共に、復号されたマシン固有情報と送信されてきた
マシン固有情報とが一致するか否か、復号されたマシン
固有情報と送信されてきたユーザIDに対応して登録され
ているマシン固有情報とが一致するか否かを判定するこ
とを特徴とする。[0014] A third invention of a client machine authentication method for a computer network according to the present invention is a client machine authentication method for communication between a client machine and a host machine via a computer network. The unique machine-specific information is registered in the host machine in advance in association with the user ID of the user who uses the individual client machine, and the host machine is configured to have at least the machine-specific information of the individual client machine and the individual client machine. An access code file is created by encrypting the access permission information with the secret key and sent to each client machine in advance, and the client machine, together with the user ID entered at the time of the access request to the host machine,
The host machine transmits an access code file and machine unique information sent in advance from the host machine to the host machine, and the host machine decrypts the access code file transmitted from the client machine requesting access with a secret key, and Judge the authenticity of the access permission information, and determine whether or not the decrypted machine unique information matches the transmitted machine unique information, based on the decoded machine unique information and the transmitted user ID. It is determined whether or not the registered machine unique information matches.
【0015】本発明に係るクライアントマシンの第3の
発明は、個々のクライアントマシンに付与された固有の
マシン固有情報と、個々のクライアントマシンを使用す
るユーザのユーザIDとを対応付けて予め登録したデータ
ベースを備えたホストマシンとコンピュータネットワー
クを介して通信するクライアントマシンであって、ホス
トマシンへのアクセス要求時に、入力されたユーザIDと
共に、ホストマシンから予め送付されているアクセスコ
ードファイル及びマシン固有情報をホストマシンへ送信
すべくなしてあることを特徴とする。In a third aspect of the client machine according to the present invention, unique machine unique information given to each client machine and a user ID of a user who uses each client machine are registered in advance in association with each other. A client machine that communicates via a computer network with a host machine equipped with a database, and an access code file and machine-specific information previously sent from the host machine together with an input user ID when an access request to the host machine is requested. Is transmitted to the host machine.
【0016】本発明に係るホストマシンの第3の発明
は、コンピュータネットワークを介してクライアントマ
シンと通信するホストマシンであって、個々のクライア
ントマシンに付与された固有のマシン固有情報と、個々
のクライアントマシンを使用するユーザのユーザIDとを
対応付けて予め登録したデータベースと、少なくとも個
々のクライアントマシンのマシン固有情報と個々のクラ
イアントマシンに対するアクセス許可情報とを秘密鍵で
暗号化したアクセスコードファイルを作成して個々のク
ライアントマシンへ予め送付する手段と、アクセス要求
しているクライアントマシンから送信されてきたアクセ
スコードファイルを秘密鍵で復号する手段と、復号され
たアクセス許可情報の真偽を判定する手段と、データベ
ースの登録内容を参照して、復号されたマシン固有情報
と送信されてきたマシン固有情報とが一致するか否か、
復号されたマシン固有情報と送信されてきたユーザIDに
対応して登録されているマシン固有情報とが一致するか
否かを判定する手段とを備えたことを特徴とする。A third invention of the host machine according to the present invention is a host machine which communicates with a client machine via a computer network, wherein the unique machine unique information given to each client machine and each client machine are provided. Creates a database pre-registered in association with the user ID of the user who uses the machine, and an access code file in which at least machine-specific information of each client machine and access permission information for each client machine are encrypted with a secret key. Means for sending to the individual client machine in advance, means for decrypting the access code file transmitted from the client machine requesting access with a secret key, and means for determining the authenticity of the decrypted access permission information And the registered contents of the database. To, whether the machine-specific information transmitted with the machine-specific information decoded match,
Means for determining whether or not the decrypted machine unique information matches the machine unique information registered corresponding to the transmitted user ID.
【0017】このような本発明のコンピュータネットワ
ークのクライアントマシン認証方法,クライアントマシ
ン及びホストマシンの第3の発明では、クライアントマ
シンからのアクセス要求時に入力されたユーザIDと共
に、自身のマシン固有情報と予めホストマシンから送付
されている暗号化された自身のマシン固有情報を含むア
クセスコードファイルとがホストマシンへ送信され、ホ
ストマシンではデータベースを参照してクライアントマ
シンが正規ユーザのマシンであるか否かを判定する。According to the third aspect of the present invention for a client machine authentication method for a computer network, a client machine and a host machine of the present invention, together with a user ID input at the time of an access request from the client machine, its own machine unique information and The encrypted access code file containing the machine's own machine-specific information sent from the host machine is sent to the host machine, and the host machine refers to the database to determine whether the client machine is an authorized user's machine. judge.
【0018】本発明に係るコンピュータネットワークの
クライアントマシン認証方法の第4の発明は、コンピュ
ータネットワークを介してクライアントマシンとホスト
マシンとが通信する際のクライアントマシン認証方法で
あって、個々のクライアントマシンに固有のマシン固有
情報を、個々のクライアントマシンを使用するユーザの
ユーザIDと対応付けて予めホストマシン側に登録してお
き、ホストマシンは、少なくとも個々のクライアントマ
シンのマシン固有情報と個々のクライアントマシンに対
するアクセス許可情報とを秘密鍵で暗号化したアクセス
コードファイルを作成して個々のクライアントマシンへ
予め送付しておき、個々のクライアントマシンからのア
クセス要求時に、アクセス要求しているクライアントマ
シンのマシン固有情報を含む公開鍵を生成し、生成した
公開鍵のマシン固有情報以外の部分をクライアントマシ
ンへ送信し、アクセス要求しているクライアントマシン
は、入力されたユーザIDをホストマシンへ送信すると共
に、ホストマシンから受信した公開鍵の一部と自身のマ
シン固有情報とから公開鍵を復元し、ホストマシンから
予め送付されているアクセスコードファイル及び/又は
自身のマシン固有情報を復元した公開鍵で暗号化してホ
ストマシンへ送信し、ホストマシンは、アクセス要求し
ているクライアントマシンから送信されてきた公開鍵暗
号の秘密鍵で暗号化されたアクセスコードファイル及び
/又はマシン固有情報を秘密鍵で復号し、復号されたア
クセス許可情報の真偽を判定すると共に、復号されたマ
シン固有情報と送信されてきたマシン固有情報とが一致
するか否か、復号されたマシン固有情報と送信されてき
たユーザIDに対応して登録されているマシン固有情報と
が一致するか否かを判定することを特徴とする。A fourth invention of a client machine authentication method for a computer network according to the present invention is a client machine authentication method for communication between a client machine and a host machine via a computer network. The unique machine-specific information is registered in the host machine in advance in association with the user ID of the user who uses the individual client machine, and the host machine is configured to have at least the machine-specific information of the individual client machine and the individual client machine. Creates an access code file that is obtained by encrypting the access permission information with the secret key and sends it to each client machine in advance. When an access request is made from each client machine, the access code file is unique to the client machine making the access request. A public key containing the public key is generated, a portion of the generated public key other than the machine-specific information is transmitted to the client machine, and the client machine requesting access transmits the input user ID to the host machine, The public key is restored from a part of the public key received from the machine and the own machine unique information, and the access code file previously sent from the host machine and / or the own machine unique information is encrypted with the restored public key. To the host machine, the host machine decrypts the access code file and / or machine unique information encrypted with the secret key of the public key encryption transmitted from the client machine requesting access with the secret key, The authenticity of the decrypted access permission information is determined, and the decrypted machine specific information and the transmitted machine are determined. Whether the specific information matches, and judging whether the machine-specific information registered in correspondence that the user ID transmitted with the machine-specific information decoded match.
【0019】本発明に係るクライアントマシンの第4の
発明は、個々のクライアントマシンに付与された固有の
マシン固有情報と、個々のクライアントマシンを使用す
るユーザのユーザIDとを対応付けて予め登録したデータ
ベースを備えたホストマシンとコンピュータネットワー
クを介して通信するクライアントマシンであって、アク
セス要求時に、入力されたユーザIDをホストマシンへ送
信すると共に、ホストマシンから受信した公開鍵の一部
と自身のマシン固有情報とから公開鍵を復元し、ホスト
マシンから予め送付されているアクセスコードファイル
及び/又は自身のマシン固有情報を復元した公開鍵で暗
号化してホストマシンへ送信すべくなしてあることを特
徴とする。In a fourth aspect of the client machine according to the present invention, the unique machine unique information assigned to each client machine and the user ID of a user who uses each client machine are registered in advance in association with each other. A client machine that communicates via a computer network with a host machine equipped with a database, transmits an input user ID to the host machine at the time of an access request, and transmits a part of a public key received from the host machine and its own. The public key is restored from the machine unique information, and the access code file previously sent from the host machine and / or the own machine unique information is encrypted with the restored public key and transmitted to the host machine. Features.
【0020】本発明に係るホストマシンの第4の発明
は、コンピュータネットワークを介してクライアントマ
シンと通信するホストマシンであって、個々のクライア
ントマシンに付与された固有のマシン固有情報と、個々
のクライアントマシンを使用するユーザのユーザIDとを
対応付けて予め登録したデータベースと、少なくとも個
々のクライアントマシンのマシン固有情報と個々のクラ
イアントマシンに対するアクセス許可情報とを秘密鍵で
暗号化したアクセスコードファイルを作成して個々のク
ライアントマシンへ予め送付する手段と、個々のクライ
アントマシンからのアクセス要求時に、アクセス要求し
ているクライアントマシンのマシン固有情報を含む公開
鍵を生成し、生成した公開鍵のマシン固有情報以外の部
分をクライアントマシンへ送信する手段と、アクセス要
求しているクライアントマシンから送信されてきた公開
鍵暗号の秘密鍵で暗号化されたアクセスコードファイル
及び/又はマシン固有情報を秘密鍵で復号する手段と、
復号されたアクセス許可情報の真偽を判定する手段と、
データベースの登録内容を参照して、復号されたマシン
固有情報と送信されてきたマシン固有情報とが一致する
か否か、復号されたマシン固有情報と送信されてきたユ
ーザIDに対応して登録されているマシン固有情報とが一
致するか否かを判定する手段とを備えたことを特徴とす
る。A fourth aspect of the host machine according to the present invention is a host machine that communicates with a client machine via a computer network, wherein the unique machine unique information assigned to each client machine and the individual client machine are provided. Creates a database pre-registered in association with the user ID of the user who uses the machine, and an access code file in which at least machine-specific information of each client machine and access permission information for each client machine are encrypted with a secret key. Means for sending to the individual client machine in advance, and when an access request is made from the individual client machine, a public key including the machine unique information of the client machine making the access request is generated, and the machine unique information of the generated public key is generated. Other than the client Means for transmitting to the emission, means for decoding the access code files and / or machine-specific information encrypted by the private key of the public key cryptography, which has been transmitted by the private key from a client machine that is an access request,
Means for determining the authenticity of the decrypted access permission information;
By referring to the registered contents of the database, it is determined whether the decrypted machine specific information matches the transmitted machine specific information, and registered in correspondence with the decrypted machine specific information and the transmitted user ID. Means for judging whether or not the machine-specific information matches.
【0021】このような本発明のコンピュータネットワ
ークのクライアントマシン認証方法,クライアントマシ
ン及びホストマシンの第4の発明では、クライアントマ
シンからのアクセス要求時に入力されたユーザIDと共
に、自身のマシン固有情報と予めホストマシンから送付
されている暗号化された自身のマシン固有情報を含むア
クセスコードファイルとが公開鍵で暗号化されてホスト
マシンへ送信され、ホストマシンでは秘密鍵で復号して
データベースを参照してクライアントマシンが正規ユー
ザのマシンであるか否かを判定する。In the computer network client machine authentication method of the present invention, the client machine and the host machine according to the fourth aspect of the present invention, together with the user ID input at the time of the access request from the client machine, its own machine unique information and The access code file containing the encrypted own machine-specific information sent from the host machine is encrypted with the public key and sent to the host machine, and the host machine decrypts it with the private key and refers to the database. It is determined whether or not the client machine is a machine of an authorized user.
【0022】また、上述の各発明において、アクセスコ
ードファイルは、クライアントマシンからのアクセス要
求に対してホストマシンがアクセスを許可する都度、ホ
ストマシンにより変更されることを特徴とする。Further, in each of the above-mentioned inventions, the access code file is changed by the host machine every time the host machine permits access to the access request from the client machine.
【0023】従って、上述の各発明ではクライアントマ
シンからホストマシンへのアクセスが許可される都度、
アクセスコードファイルが変更されるため、よりセキュ
リィティが高くなる。Therefore, in each of the above-mentioned inventions, each time access from the client machine to the host machine is permitted,
Since the access code file is changed, the security becomes higher.
【0024】更に上述の各発明において、クライアント
マシンは、ハードウェア階層に保持されているマシン固
有情報を読み出すマシン固有情報の第1の読み出し手段
をオペレーティングシステム階層に、ホストマシンへマ
シン固有情報を送信すべく、第1の読み出し手段から読
み出す第2の読み出し手段をアプリケーション階層にそ
れぞれ備え、更に、第1の読み出し手段及び第2の読み
出し手段相互間での通信を相互に認証するための認証手
段をオペレーティングシステム階層及びアプリケーショ
ン階層にそれぞれ備えたことを特徴とする。Further, in each of the above-mentioned inventions, the client machine transmits the machine unique information to the host system by using the first reading means for reading the machine unique information held in the hardware hierarchy to the operating system hierarchy. For this purpose, second reading means for reading from the first reading means are provided in the application layer, respectively, and further, authentication means for mutually authenticating communication between the first reading means and the second reading means is provided. It is characterized by being provided in the operating system layer and the application layer respectively.
【0025】従って、上述の各発明では、クライアント
マシンのマシン固有情報自体を改竄することが防止され
る。Therefore, in each of the above-described inventions, the falsification of the machine unique information of the client machine itself is prevented.
【0026】更に、本発明に係るコンピュータシステム
は、ハードウェア階層に固有のマシン固有情報を保持
し、オペレーティングシステム階層に備えられた第1の
読み出し手段によりハードウェア階層に保持されている
マシン固有情報を読み出し、アプリケーション階層に備
えられた第2の読み出し手段により第1の読み出し手段
が読み出したマシン固有情報を読み出して外部へ出力す
るコンピュータシステムであって、オペレーティングシ
ステム階層に第1認証手段を、アプリケーション階層に
第2の認証手段を備え、第1の認証手段は、第2の認証
手段からの認証要求に応じて第1の乱数を発生して第2
の認証手段へ送信し、第2の認証手段は、受信した第1
の乱数と自身で発生した第2の乱数との間で所定の演算
を行なってその演算結果及び第2の乱数を第1の認証手
段へ送信し、第1の認証手段は、受信した演算結果に所
定の演算の逆演算を行なってその結果と受信した第2の
乱数とを比較し、一致した場合に第1の乱数と第2の乱
数との間で所定の演算を行なってその演算結果及び第1
の乱数を第2の認証手段へ送信し、第2の認証手段は、
受信した演算結果に所定の演算の逆演算を行なってその
結果と受信した第1の乱数とを比較し、一致した場合に
相互認証が完了したと判断して第1の読み出し手段から
第2の読み出し手段へのマシン固有情報の送信を行なう
べくなしてあることを特徴とする。Further, the computer system according to the present invention holds machine unique information unique to the hardware hierarchy, and stores the machine unique information held in the hardware hierarchy by first reading means provided in the operating system hierarchy. A computer system which reads out the machine-specific information read by the first reading means by the second reading means provided in the application layer and outputs the information to the outside, wherein the first authentication means is provided in the operating system layer. A second authentication unit provided in the hierarchy, wherein the first authentication unit generates a first random number in response to an authentication request from the second authentication unit and generates a second random number;
And the second authentication unit transmits the received first
A predetermined operation is performed between the random number generated by itself and the second random number generated by itself, and the operation result and the second random number are transmitted to the first authentication unit. , Performs a reverse operation of the predetermined operation, compares the result with the received second random number, and if they match, performs a predetermined operation between the first random number and the second random number to obtain the calculation result. And the first
To the second authentication means, the second authentication means,
An inverse operation of a predetermined operation is performed on the received operation result, and the result is compared with the received first random number. If they match, it is determined that the mutual authentication has been completed, and the first reading means determines that the second authentication has been completed. It is characterized in that machine specific information is transmitted to the reading means.
【0027】このような本発明のコンピュータシステム
では、ハードウェア階層に保持されているハードディス
ク,CPU 等のIDであるマシン固有情報を外部へ出力する
際の改竄が防止される。In the computer system of the present invention, tampering at the time of outputting the machine unique information, which is the ID of the hard disk, CPU, etc., held in the hardware hierarchy to the outside is prevented.
【0028】[0028]
【発明の実施の形態】以下、本発明をその実施の形態を
示す図面に基づいて詳述する。まず最初に、本発明のコ
ンピュータネットワークのクライアントマシン認証方法
の実施に使用されるユーザ側のクライアントマシンの構
成及びそのネットワーク接続の状態を図1の模式図を参
照して説明する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the present invention will be described in detail with reference to the drawings showing the embodiments. First, the configuration of the client machine on the user side used for implementing the client machine authentication method of the computer network of the present invention and the state of the network connection will be described with reference to the schematic diagram of FIG.
【0029】図1において、参照符号CMはユーザが使用
するクライアントマシンを示しており、基本的には一般
的なパーソナルコンピュータである。このクライアント
マシンCMはネットワークNWを介して通信センタ1と接続
している。なお、図1には示されていないが、通信セン
タ1にはホストマシンHMが設置されている他、各ユーザ
のユーザID, マシンの固有情報 (HDD-ID, CPU-ID等) が
登録されたユーザデータベース10が設置されている。In FIG. 1, reference numeral CM indicates a client machine used by a user, and is basically a general personal computer. This client machine CM is connected to the communication center 1 via the network NW. Although not shown in FIG. 1, a host machine HM is installed in the communication center 1, and a user ID of each user and machine-specific information (HDD-ID, CPU-ID, etc.) are registered. User database 10 is installed.
【0030】クライアントマシンCMには、一般的なコン
ピュータシステム同様に、CPU 20,ハードディスク21, C
D-ROMドライブ22等が備えられている。ハードディスク2
1には固有のID(以下、HDD-IDと言う) 31が付与されて
おり、またCPU 20にも固有のID(以下、CPU-IDと言う)
32が付与されている。なお、このクライアントマシンCM
による通信センタ1との通信は、たとえばCD-ROM50に記
録されている通信ソフトウェア11がCD-ROMドライブ22に
より読み取られてハードディスク21に書き込まれ、それ
に従ってCPU 20が動作することにより実現される。The client machine CM includes a CPU 20, a hard disk 21, and a C like the general computer system.
A D-ROM drive 22 and the like are provided. Hard disk 2
A unique ID (hereinafter referred to as HDD-ID) 31 is given to 1, and a unique ID (hereinafter referred to as CPU-ID) is also assigned to the CPU 20.
32 has been granted. In addition, this client machine CM
The communication with the communication center 1 is realized, for example, by reading the communication software 11 recorded on the CD-ROM 50 by the CD-ROM drive 22 and writing it on the hard disk 21 and operating the CPU 20 accordingly.
【0031】図2は本発明に係るコンピュータネットワ
ークのクライアントマシン認証方法の第1の発明の手順
を示すフローチャートである。なお、二重ボックスはク
ライアントマシンCM側でのユーザによる操作及びクライ
アントマシンCMによる処理を、太線のボックスは通信セ
ンタ1に設置されているホストマシンHM側での操作・処
理をそれぞれ示している。FIG. 2 is a flowchart showing the procedure of the first invention of the client machine authentication method for a computer network according to the present invention. The double box indicates the operation by the user on the client machine CM side and the processing by the client machine CM, and the thick box indicates the operation and processing on the host machine HM installed in the communication center 1, respectively.
【0032】まず、ユーザは自身のクライアントマシン
CMからホストマシンHMに回線を接続してアクセスを要求
し (ステップS11)、続いてユーザID及びパスワードを送
信してユーザ特定シーケンスに入る (ステップS12)。以
上のクライアントマシンCM側の通信に対して、ホストマ
シンHMではまず送信されてきたユーザIDがユーザデータ
ベース10に登録されているか否かを照合し、ユーザを特
定する (ステップS1)。但し、一致するユーザIDが見つ
からない場合には、ホストマシンHMはユーザIDの再送信
をクライアントマシンCMに要求し、再度不一致であれば
回線を切断する(ステップS2) 。First, the user operates his own client machine.
The CM connects the line to the host machine HM to request access (step S11), and then sends the user ID and password to enter the user identification sequence (step S12). In response to the above communication on the client machine CM side, the host machine HM first checks whether the transmitted user ID is registered in the user database 10 and specifies the user (step S1). However, if a matching user ID is not found, the host machine HM requests the client machine CM to retransmit the user ID, and disconnects the line if it does not match again (step S2).
【0033】このようにしてユーザ特定シーケンスにパ
スしたユーザはマシン特定認証シーケンスに入る。ま
ず、ホストマシンHMからクライアントマシンCMに対して
マシン固有情報を要求する (ステップS13)。これに対し
てクライアントマシンCMではマシン固有情報、たとえば
HDD-ID31, CPU-ID32のいずれかまたは双方を送信する
(ステップS14)。The user who passes the user identification sequence in this way enters the machine identification authentication sequence. First, the host machine HM requests the client machine CM for machine-specific information (step S13). In contrast, the client machine CM has machine-specific information, for example,
Send HDD-ID31, CPU-ID32 or both
(Step S14).
【0034】以上のようにしてクライアントマシンCMか
らマシン固有情報がホストマシンHMへ送信されると、ホ
ストマシンHMでは予め個々のユーザが使用するマシン固
有情報がユーザデータベース10に登録されているので、
先に特定されているユーザIDとマシン固有情報とを照合
する。この結果、一致すれば、以降のクライアントマシ
ンCMからホストマシンHMへのアクセスが許可される (ス
テップS16)。しかし、不一致であれば (ステップS17)、
正式のアクセスは許可されず (ステップS18)、たとえば
仮アクセスが許可される。When the machine unique information is transmitted from the client machine CM to the host machine HM as described above, the machine unique information used by each user is registered in the user database 10 in advance in the host machine HM.
The previously identified user ID is compared with the machine-specific information. As a result, if they match, the subsequent access from the client machine CM to the host machine HM is permitted (step S16). However, if they do not match (step S17),
Formal access is not permitted (step S18), for example, provisional access is permitted.
【0035】但し、上述のような本発明のコンピュータ
ネットワークのクライアントマシン認証方法の第1の発
明では、クライアントマシンCMとホストマシンHMとの間
の通信路の安全性が十分でない場合、またはクライアン
トマシンCMのマシン固有情報を第三者が入手し易い場合
で且つ不正使用者がプログラマレベルであってソフトウ
ェアに精通しているような場合には効果が低い可能性が
ある。However, in the first invention of the client machine authentication method for a computer network according to the present invention as described above, if the security of the communication path between the client machine CM and the host machine HM is not sufficient, If the machine-specific information of the CM is easily available to a third party and the unauthorized user is at the programmer level and is familiar with the software, the effect may be low.
【0036】図3は本発明に係るコンピュータネットワ
ークのクライアントマシン認証方法の第2の発明の手順
を示すフローチャートである。なお、二重ボックスはク
ライアントマシンCM側でのユーザによる操作・処理を、
太線のボックスは通信センタ1に設置されているホスト
マシンHM側での操作・処理をそれぞれ示している。FIG. 3 is a flowchart showing the procedure of the second invention of the client machine authentication method for a computer network according to the present invention. The double box is used for user operations and processing on the client machine CM side.
Bold boxes indicate operations and processes on the host machine HM side installed in the communication center 1, respectively.
【0037】まず、ユーザは自身のクライアントマシン
CMからホストマシンHMに回線を接続してアクセスを要求
し (ステップS31)、続いてユーザID及びパスワードを送
信してユーザ特定シーケンスに入る (ステップS22)。以
上のクライアントマシンCM側の通信に対して、ホストマ
シンHMではまず送信されてきたユーザIDがユーザデータ
ベース10に登録されているか否かを照合し、ユーザを特
定する (ステップS1)。但し、一致するユーザIDが見つ
からない場合には、ホストマシンHMはユーザIDの再送信
をクライアントマシンCMに要求し、再度不一致であれば
回線を切断する(ステップS2) 。First, the user operates his own client machine.
The CM connects the line to the host machine HM to request access (step S31), and then sends the user ID and password to enter the user identification sequence (step S22). In response to the above communication on the client machine CM side, the host machine HM first checks whether the transmitted user ID is registered in the user database 10 and specifies the user (step S1). However, if a matching user ID is not found, the host machine HM requests the client machine CM to retransmit the user ID, and disconnects the line if it does not match again (step S2).
【0038】このようにしてユーザ特定シーケンスにパ
スしたユーザはマシン特定認証シーケンスに入る。ま
ず、ホストマシンHMからクライアントマシンCMに対して
アクセスコードファイルを要求する (ステップS23)。こ
れに対してクライアントマシンCMではアクセスコードフ
ァイルを既に所有している場合には送信する (ステップ
S24)。但し、クライアントマシンCMでアクセスコードフ
ァイルを未だ所有していない場合にはその旨を通知する
(ステップS25)。この場合には正式のアクセスは許可さ
れないが、仮のアクセスは許可される。この際の処理手
順は後述する。A user who has passed the user identification sequence in this way enters a machine identification authentication sequence. First, the access code file is requested from the host machine HM to the client machine CM (step S23). On the other hand, if the client machine CM already owns the access code file, the client machine CM sends it (step
S24). However, if the access code file is not yet owned by the client machine CM, this is notified.
(Step S25). In this case, formal access is not permitted, but provisional access is permitted. The processing procedure at this time will be described later.
【0039】以上のようにしてクライアントマシンCMか
らアクセスコードファイルがホストマシンHMへ送信され
ると、ホストマシンHMでは送られてきたアクセスコード
ファイルを秘密鍵で復号し (ステップS26)、まず正規の
アクセスコードであることを照合する (ステップS27)。
この際、アクセスコードが不正であった場合には (ステ
ップS30)、正式のアクセスは許可されない (ステップS3
2)。When the access code file is transmitted from the client machine CM to the host machine HM as described above, the host machine HM decrypts the transmitted access code file with the secret key (step S26), and The access code is verified (step S27).
At this time, if the access code is incorrect (step S30), formal access is not permitted (step S3
2).
【0040】次にホストマシンHMは復号したアクセスコ
ードに含まれるマシン固有情報を、ユーザデータベース
10から先に特定されているユーザIDとマシン固有情報と
を照合する (ステップS28)。この結果、一致すれば、以
降のクライアントマシンCMからホストマシンHMへのアク
セスが許可される (ステップS29)。しかし、不一致であ
れば (ステップS31)、正式のアクセスは許可されず (ス
テップS32)、たとえば仮アクセスが許可される。Next, the host machine HM stores the machine unique information contained in the decrypted access code in the user database.
The user ID specified before 10 is compared with the machine-specific information (step S28). As a result, if they match, the subsequent access from the client machine CM to the host machine HM is permitted (step S29). However, if they do not match (step S31), formal access is not permitted (step S32), for example, provisional access is permitted.
【0041】次に、クライアントマシンCMからアクセス
コードファイルを未だ所有していない旨がホストマシン
HMへ通知された場合 (ステップS25)、またはアクセスコ
ードが不正であった場合 (ステップS32)の後の処理手順
について、図4のフローチャートを参照して説明する。Next, the fact that the client machine CM does not yet own the access code file indicates that the host machine
The processing procedure after the notification to the HM (step S25) or when the access code is incorrect (step S32) will be described with reference to the flowchart in FIG.
【0042】まずこの場合、アクセスコードファイルを
有していないマシン (クライアントマシンCM) に対して
は仮登録が、アクセスコードが不正であったマシン (ク
ライアントマシンCM) に対してはアクセスの終了が選択
される (ステップS40, S41,S42)。First, in this case, provisional registration is performed for a machine that does not have an access code file (client machine CM), and access is terminated for a machine (client machine CM) with an invalid access code. Is selected (steps S40, S41, S42).
【0043】仮登録は以下の手順で行なわれる。まず、
ホストマシンHMからクライアントマシンCMに対してマシ
ン固有情報が要求されると共にホスト公開鍵が送信され
る (ステップS42)。これに応じてクライアントマシンCM
では自身のマシン固有情報をホストマシンHMから送られ
てきたホスト公開鍵で暗号化し (ステップS43)、暗号化
した後のマシン固有情報をホストマシンHMへ送信する
(ステップS44)。The temporary registration is performed in the following procedure. First,
The machine unique information is requested from the host machine HM to the client machine CM, and the host public key is transmitted (step S42). Client machine CM accordingly
Encrypts its own machine unique information with the host public key sent from the host machine HM (step S43), and sends the encrypted machine unique information to the host machine HM.
(Step S44).
【0044】ホストマシンHMではクライアントマシンCM
から送られてきた暗号化後のマシン固有情報を秘密鍵で
復号してそのクライアントマシンCMの固有情報を入手す
る (ステップS45)。更にホストマシンHMは第2の秘密鍵
でアクセス許可情報またはマシン固有情報を暗号化して
アクセスコードファイルを作成する (ステップS46)。こ
のアクセスコードファイルはホストマシンHMからクライ
アントマシンCMへ送信されると共に、ホストマシンHMで
はユーザデータベース10の対応するユーザIDにリンクさ
せて仮登録する (ステップS47)。In the host machine HM, the client machine CM
Then, the encrypted machine unique information sent from the client machine CM is decrypted with the secret key to obtain the unique information of the client machine CM (step S45). Further, the host machine HM encrypts the access permission information or the machine unique information with the second secret key to create an access code file (step S46). The access code file is transmitted from the host machine HM to the client machine CM, and is temporarily registered in the host machine HM by linking to the corresponding user ID in the user database 10 (step S47).
【0045】但し、上述のような本発明のコンピュータ
ネットワークのクライアントマシン認証方法の第2の発
明では、通信路の安全性が十分でない場合、またはクラ
イアントマシンCMのアクセスコードファイルを第三者が
入手し易い場合には効果が低い可能性がある。However, according to the second invention of the client machine authentication method for a computer network according to the present invention as described above, if the security of the communication path is not sufficient, or a third party obtains the access code file of the client machine CM. If it is easy to do, the effect may be low.
【0046】図5,図6及び図7は本発明に係るコンピ
ュータネットワークのクライアントマシン認証方法の第
3の発明及び第4の発明の手順を示すフローチャートで
ある。なお、二重ボックスはクライアントマシンCM側で
のユーザによる操作・処理を、太線のボックスは通信セ
ンタ1に設置されているホストマシンHM側での操作・処
理をそれぞれ示している。FIGS. 5, 6 and 7 are flowcharts showing the procedures of the third invention and the fourth invention of the client machine authentication method for the computer network according to the present invention. Note that the double boxes indicate operations and processes by the user on the client machine CM side, and the thick boxes indicate operations and processes on the host machine HM side installed in the communication center 1.
【0047】まず、ユーザは自身のクライアントマシン
CMからホストマシンHMに回線を接続してアクセスを要求
し (ステップS51)、続いてユーザID及びパスワードを送
信してユーザ特定シーケンスに入る (ステップS52)。以
上のクライアントマシンCM側の通信に対して、ホストマ
シンHMではまず送信されてきたユーザIDがユーザデータ
ベース10に登録されているか否かを照合し、ユーザを特
定する (ステップS1)。但し、一致するユーザIDが見つ
からない場合には、ホストマシンHMはユーザIDの再送信
をクライアントマシンCMに要求し、再度不一致であれば
回線を切断する(ステップS2) 。First, the user operates his own client machine.
The CM connects the line to the host machine HM to request access (step S51), and then sends the user ID and password to enter the user identification sequence (step S52). In response to the above communication on the client machine CM side, the host machine HM first checks whether the transmitted user ID is registered in the user database 10 and specifies the user (step S1). However, if a matching user ID is not found, the host machine HM requests the client machine CM to retransmit the user ID, and disconnects the line if it does not match again (step S2).
【0048】このようにしてユーザ特定シーケンスにパ
スしたユーザはマシン特定認証シーケンスに入る。ま
ず、ホストマシンHMからのライアントマシンに対してマ
シン固有情報及びアクセスコードファイルを要求すると
共に公開鍵を送信する (ステップS53)。これに対してク
ライアントマシンCMではマシン固有情報 (マシン名, CP
U-ID, HDD-ID, OS-ID 等) を公開鍵暗号化して送信する
(ステップS54)と共に、アクセスコードファイルを送信
する (ステップS56)。但し、クライアントマシンCMでア
クセスコードファイルを未だ所有していない場合にはそ
の旨を通知する (ステップS55)。この場合には正式のア
クセスは許可されないが、仮のアクセスは許可される。
この際の処理手順は後述する。The user who has passed the user identification sequence in this way enters the machine identification authentication sequence. First, the host machine HM requests the client machine for the machine unique information and the access code file, and transmits the public key (step S53). In contrast, the client machine CM uses machine-specific information (machine name, CP
U-ID, HDD-ID, OS-ID, etc.) with public key encryption
The access code file is transmitted together with (Step S54) (Step S56). However, if the client machine CM does not yet own the access code file, it notifies that fact (step S55). In this case, formal access is not permitted, but provisional access is permitted.
The processing procedure at this time will be described later.
【0049】ホストマシンHMでは公開鍵暗号の秘密鍵で
マシン固有情報を復号し (ステップS80)、マシン固有情
報を不正使用者マシンデータベースで検索し (ステップ
S81)、不正使用者のマシンであるか否かをチェックし、
不正使用者のマシンである場合には不正使用者対応処理
に移る (ステップS83)。具体的には、アクセスの拒否,
不正ユーザの電話番号登録, 不正ユーザの所在の逆探知
等の措置を採り得る。一方、不正使用者マシンに該当し
ない場合には、ホストマシンHMは復号したマシン固有情
報をユーザデータベース10に登録されているマシンリス
トと照合し (ステップS82)、次の処理に移る。The host machine HM decrypts the machine unique information using the secret key of the public key encryption (step S80), and searches the machine database for the machine unique information (step S80).
S81), check whether it is a machine of an unauthorized user,
If the machine is an unauthorized user, the process proceeds to an unauthorized user handling process (step S83). Specifically, access denied,
It is possible to take measures such as registering the phone number of an unauthorized user and reverse detection of the location of the unauthorized user. On the other hand, when the host machine HM does not correspond to the unauthorized user machine, the host machine HM compares the decrypted machine unique information with the machine list registered in the user database 10 (step S82), and proceeds to the next processing.
【0050】クライアントマシンCMがアクセスコードフ
ァイルを送信した場合、ホストマシンHMではアクセスコ
ード用の秘密鍵を使用して復号してアクセスコードを得
る (ステップS60)。そして、上述のステップS82 で照合
済みのユーザデータベース10のそのユーザのデータに登
録してあるアクセスコード (マシン固有情報を含む)と
照合し (ステップS61)、一致すればアクセスコードが正
規のものであると判断する (ステップS62)。そして、受
信したマシン固有情報をユーザデータベース10のアクセ
スコードと照合する (ステップS63)。この結果、一致す
れば (ステップS64)、ホストマシンHMは当該クライアン
トマシンCMを正規登録ユーザのマシンであると確認しア
クセスを許可する (ステップS93)。When the client machine CM transmits the access code file, the host machine HM decrypts the access code file using the secret key for the access code to obtain the access code (step S60). Then, the access code is collated with the access code (including the machine unique information) registered in the data of the user in the collated user database 10 in step S82 described above (step S61). It is determined that there is (Step S62). Then, the received machine unique information is collated with the access code of the user database 10 (Step S63). As a result, if they match (step S64), the host machine HM confirms that the client machine CM is a machine of an authorized user and permits access (step S93).
【0051】なおこのステップS93 においては、更にセ
キュリィティを強化する目的で、アクセスが許可された
後に、アクセス毎にアクセスコードを変更してアクセス
コードファイルを更新すれば効果的である。また、アク
セスコードファイルにアクセス日時を記録してホストの
アクセス日時記録と照合して不正アクセスがなかったか
を通知したり、前回のアクセス日時をユーザに通知して
ユーザ側で不正アクセスの可能性をチェック出来るよう
にすることも可能である。更に、アクセスコードはホス
トマシンで一つのみを用意しておくことにしてもよい
が、上述のようにユーザ毎またはマシン毎に用意する方
が好ましい。In step S93, it is effective to update the access code file by changing the access code for each access after the access is permitted for the purpose of further enhancing security. In addition, the access date and time is recorded in the access code file and compared with the access date and time record of the host to notify whether there has been unauthorized access, or to notify the user of the previous access date and time to check the possibility of unauthorized access on the user side. It is also possible to be able to check. Further, although only one access code may be prepared in the host machine, it is more preferable to prepare the access code for each user or machine as described above.
【0052】上述のようにしてアクセスが許可される
と、クライアントマシンCMには、登録してあるマシン,
仮登録のマシン, パスワード認証通過マシン (パスワー
ド認証後、仮登録されなかったマシン) の一覧が表示さ
れる。ここで、クライアントマシンCMのユーザは仮登録
マシンを正式に登録したり、登録の解除を行なったり、
自身のユーザIDを使用した不正アクセスマシンの認定を
行なったりすることが可能である。仮登録またはパスワ
ード認証通過マシンをユーザ自身が不正使用者マシンと
して認定すると、その情報がホストマシンHMへ送信され
てホスト側の不正使用者マシンデータベースに登録され
る。但し、不正使用者マシンとして認定された回数が一
定数を越えた場合に不正使用者データベースに登録する
ようにしてもよい。そのようにして不正使用者データベ
ースに登録されたマシンは以後はホストマシンHMへのア
クセスが不可能になるように対策を講じることが可能に
なる。When the access is permitted as described above, the registered machine,
A list of machines that have been temporarily registered and machines that have passed password authentication (machines that have not been temporarily registered after password authentication) are displayed. Here, the user of the client machine CM officially registers the temporary registration machine, cancels the registration,
It is possible to certify an unauthorized access machine using its own user ID. If the user himself / herself certifies the temporary registration or password authentication passing machine as an unauthorized user machine, the information is transmitted to the host machine HM and registered in the host-side unauthorized user machine database. However, when the number of times that the machine has been authorized as an unauthorized user machine exceeds a certain number, the machine may be registered in the unauthorized user database. The machine registered in the unauthorized user database in this way can take measures to prevent access to the host machine HM thereafter.
【0053】前述のステップS63 において、ホストマシ
ンHMが受信したマシン固有情報とユーザデータベース10
に登録されているユーザIDに対応するマシン固有情報と
が不一致であった場合には (ステップS65)、ホストマシ
ンHMはそのクライアントマシンCMに対してはアクセス終
了またはクライアントマシンCMの仮登録のいずれかの処
理を行なう (ステップS94)。In the above-described step S63, the machine unique information received by the host machine HM and the user database 10
If the machine ID does not match the machine ID corresponding to the user ID registered in the client machine CM (step S65), the host machine HM either terminates the access to the client machine CM or temporarily registers the client machine CM. The process is performed (step S94).
【0054】このステップS94 は、正規ユーザまたは不
正使用者が非登録マシンに最新のアクセスコードファイ
ルをコピーした場合が該当する。この場合には、正しい
アクセスコードファイルを使用するようにホストマシン
HMからクライアントマシンCMに提示し、アクセス終了か
仮登録のいずれかをユーザに選択させる。This step S94 corresponds to a case where an authorized user or an unauthorized user has copied the latest access code file to a non-registered machine. In this case, make sure that the host machine uses the correct access code file.
HM presents it to the client machine CM, and allows the user to select either access termination or temporary registration.
【0055】また、ステップS55 においてクライアント
マシンCM側にアクセスコードファイルが存在しない場合
には、更にホストマシンHMが受信したマシン固有情報と
ユーザデータベース10に登録されているマシン固有情報
とが照合され (ステップS57)、一致した場合には登録マ
シンとして認定されてステップS91 で、不一致の場合に
は非登録マシンとしてステップS92 でいずれも仮登録処
理される。If the access code file does not exist on the client machine CM in step S55, the machine unique information received by the host machine HM is further compared with the machine unique information registered in the user database 10 ( In step S57), if they match, they are recognized as registered machines, and in step S91, if they do not match, they are provisionally registered in step S92 as non-registered machines.
【0056】ステップS91 では、ユーザがアクセスコー
ドファイルを紛失 (意図的または過失による削除) して
いると見なしてクライアントマシンCMの仮登録を行なう
が、不正使用者がマシン固有情報を変造した可能性もあ
る。またステップS92 においては、クライアントマシン
CMは登録されていないと見なされ、この場合のユーザは
正規ユーザである場合と不正ユーザである場合との双方
の可能性がある。In step S91, the client machine CM is provisionally registered assuming that the user has lost (intentionally or accidentally deleted) the access code file. The possibility that the unauthorized user has altered the machine-specific information is considered. There is also. In step S92, the client machine
The CM is considered unregistered and the user in this case may be both a legitimate user and a fraudulent user.
【0057】更に前述のステップS61 におてアクセスコ
ードが不正であると判断された場合(ステップS66)、ホ
ストマシンHMが受信したマシン固有情報とアクセスコー
ドに含まれるマシン固有情報とがユーザデータベース10
のユーザに対応するマシン固有情報と照合される (ステ
ップS67)。この照合結果は以下のステップS68, S95の処
理、ステップS69, S96の処理、ステップS70, S97の処
理、ステップS71, S98の処理の4通りに分かれる。Further, if it is determined in step S61 that the access code is invalid (step S66), the machine unique information received by the host machine HM and the machine unique information included in the access code are stored in the user database 10.
Is compared with the machine-specific information corresponding to the user (step S67). This collation result is divided into the following four processes of steps S68 and S95, processes of steps S69 and S96, processes of steps S70 and S97, and processes of steps S71 and S98.
【0058】ステップS68 はステップS67 において、ユ
ーザデータベース10に登録されている情報が受信した情
報と一致し且つアクセスコードの情報とも一致した場合
である。この場合には、ユーザがアクセスコードファイ
ルを変造した可能性、正規ユーザがアクセスする以前に
不正なアクセスがあった可能性、不正使用者がマシン固
有情報の変造能力を有し且つ古いアクセスコードファイ
ルを入手した可能性等が考えられる。Step S68 is a case where the information registered in the user database 10 matches the received information and the access code information in step S67. In this case, there is a possibility that the user has altered the access code file, a possibility that there has been an unauthorized access before the authorized user has accessed it, and that the unauthorized user has the ability to alter machine-specific information and has an old access code file. May have been obtained.
【0059】従って、ステップS95 において、アクセス
コードファイルが正しくないこと、不正ユーザによるア
クセスがあった可能性がホストマシンHMからクライアン
トマシンCMに提示され、アクセス終了またはマシンの仮
登録のいずれかを選択することがユーザには可能であ
る。Accordingly, in step S95, the fact that the access code file is incorrect and the possibility of access by an unauthorized user are presented from the host machine HM to the client machine CM, and either the access end or the temporary registration of the machine is selected. It is possible for the user to do so.
【0060】ステップS69 はステップS67 において、ユ
ーザデータベース10に登録されている情報が受信した情
報とは一致せず且つアクセスコードの情報とは一致した
場合である。この場合には、正規ユーザまたは不正ユー
ザが非登録マシンをに古いアクセスコードファイルをコ
ピーした可能性が考えられる。Step S69 is a case where the information registered in the user database 10 does not match the received information and matches the access code information in step S67. In this case, it is possible that an authorized user or an unauthorized user has copied an old access code file to a non-registered machine.
【0061】従って、ステップS96 において、正しいア
スコードファイルを使用するようにホストマシンHMから
クライアントマシンCMに提示され、アクセス終了または
マシンの仮登録のいずれかを選択することがユーザには
可能である。Therefore, in step S96, the host machine HM is presented to the client machine CM to use the correct ascord file, and the user can select either the access end or the temporary registration of the machine. .
【0062】ステップS70 はステップS67 において、ユ
ーザデータベース10に登録されている情報が受信した情
報とは一致し且つアクセスコードの情報とは不一致の場
合である。この場合には、ユーザが別のマシンのアクセ
スコードファイルを使用した可能性、不正使用者がマシ
ン固有情報を変造する能力を有し且つ別のマシンのアク
セスコードファイルを使用した可能性等が考えられる。Step S70 is a case where the information registered in the user database 10 in step S67 matches the received information and does not match the information of the access code. In this case, the possibility that the user used the access code file of another machine, the possibility that the unauthorized user had the ability to falsify the machine-specific information, and used the access code file of another machine, etc. are considered. Can be
【0063】従って、ステップS97 において、正しいア
スコードファイルを使用するようにホストマシンHMから
クライアントマシンCMに提示され、アクセス終了または
マシンの仮登録のいずれかを選択することがユーザには
可能である。Accordingly, in step S97, the host machine HM is presented to the client machine CM to use the correct ascord file, and the user can select either the end of access or the temporary registration of the machine. .
【0064】ステップS71 はステップS67 において、ユ
ーザデータベース10に登録されている情報が受信した情
報とは不一致であり且つアクセスコードの情報とも不一
致の場合である。この場合には、受信情報とアクセスコ
ードとが一致しているのであれば別のユーザIDまたは別
のマシンで登録されているユーザからのアクセス要求で
ある可能性が大きい。一方、受信情報とアクセスコード
とが異なっていれば、別のマシンで別のアクセスコード
ファイルを使用して不正ユーザがアクセスしようとして
いる可能性が大きい。Step S71 is a case where the information registered in the user database 10 does not match the received information and does not match the access code information in step S67. In this case, if the received information and the access code match, it is highly likely that the access request is from another user ID or a user registered on another machine. On the other hand, if the received information and the access code are different, there is a high possibility that an unauthorized user is trying to access using another access code file on another machine.
【0065】従って、ステップS98 において、正しいア
スコードファイルを使用するようにホストマシンHMから
クライアントマシンCMに提示され、アクセス終了または
マシンの仮登録のいずれかを選択することがユーザには
可能である。なお、上述のように受信情報とアクセスコ
ードとが異なっている場合には、登録情報が一致しない
ことをホストマシンHMからクライアントマシンCMに提示
し、アクセスを却下し、次回の正規ユーザからのアクセ
スの際に、不正アクセスがあったことを提示してパスワ
ードの変更を促すことが望ましい。Accordingly, in step S98, the host machine HM is presented to the client machine CM to use the correct ascord file, and the user can select either the access end or the temporary registration of the machine. . If the received information and the access code are different as described above, the host machine HM indicates to the client machine CM that the registration information does not match, the access is denied, and the next access from the authorized user is performed. At this time, it is desirable to prompt the user to change the password by presenting that there has been unauthorized access.
【0066】なお、上述のいずれの場合においても、ユ
ーザがマシンを仮登録するのであれば、ホスト側でマシ
ン固有情報を含む公開鍵を用いてアクセスコードファイ
ルを作成してクライアントマシンCMにダウンロードす
る。仮登録状態では時間制限付きでアクセス可能にして
もよいし、使用可能な機能, アクセス範囲に制限を設け
てもよい。また、初期登録である場合には、仮登録後に
オフライン (郵便等) による正式登録確認を行なうよう
にしてもよい。In any of the above cases, if the user temporarily registers a machine, an access code file is created on the host side using a public key including machine-specific information and downloaded to the client machine CM. . In the temporary registration state, access may be made with a time limit, or usable functions and access ranges may be limited. Also, in the case of initial registration, formal registration confirmation may be performed offline (postal mail or the like) after provisional registration.
【0067】また、不正使用者対応処理では、単純にア
クセス拒否するのみでもよいが、ユーザデータベース10
を検索してマシン固有情報から不正使用者を割り出した
り、不正使用者の電話番号を記録したり、逆探知により
所在を追跡したり、不正使用者マシンの固有情報を下ネ
ットワークに通達して各ネットワークでアクセスを防止
してもよい。また、電話の発信元の電話番号による認証
方法を併用してもよい。In the processing for dealing with an unauthorized user, the access may be simply rejected.
Search for the unauthorized user from the machine-specific information, record the phone number of the unauthorized user, track the location by reverse detection, and notify the unauthorized network of the unauthorized user machine's unique information to each Access may be prevented on the network. Further, an authentication method based on the telephone number of the caller may be used together.
【0068】上述のような本発明のコンピュータネット
ワークのクライアントマシン認証方法の第3の発明で
は、通信路の安全性が十分でない場合、またはクライア
ントマシンCMのマシン固有情報とアクセスコードファイ
ルの双方を第三者が入手し易く、且つ不正使用者がプロ
グラマレベルでソフトウェアに精通している場合には効
果が低い可能性がある。In the third aspect of the computer network client machine authentication method of the present invention as described above, if the security of the communication path is not sufficient, or if both the machine unique information of the client machine CM and the access code file are If the third party is easily available and the unauthorized user is familiar with the software at the programmer level, the effect may be low.
【0069】また、上述のような本発明のコンピュータ
ネットワークのクライアントマシン認証方法の第4の発
明では、「通信路の安全性が十分でない場合または通信
路の安全性が十分でなく且つクライアントマシンCMの固
有情報とアクセスコードファイルの双方を第三者が入手
し易い場合」で、且つ不正使用者がプログラマレベルで
ソフトウェアに精通している場合には効果が低い可能性
がある。Further, in the fourth invention of the client machine authentication method for a computer network according to the present invention as described above, it is preferable that "when the security of the communication path is not sufficient or when the security of the communication path is not sufficient and the client machine CM In the case where both the unique information and the access code file are easily available to a third party ", and the unauthorized user is familiar with the software at the programmer level, the effect may be low.
【0070】ところで、上述のような本発明のコンピュ
ータネットワークのクライアントマシン認証方法によっ
ても、クライアントマシンCMにおいてマシン固有情報を
改竄される場合には対処不可能である。従って、以下に
おいてはクライアントマシンCM内でのマシン固有情報の
改竄防止策について説明する。By the way, even if the method of authenticating a client machine of a computer network according to the present invention as described above is used, it is impossible to cope with the case where the machine unique information is falsified in the client machine CM. Therefore, in the following, measures for preventing falsification of machine unique information in the client machine CM will be described.
【0071】図8は本発明のクライアントマシンCM、換
言すれば本発明のコンピュータシステムのソフトウェア
モジュールの構成例を示す模式図である。FIG. 8 is a schematic diagram showing a configuration example of a client machine CM of the present invention, in other words, a software module of the computer system of the present invention.
【0072】図8において、クライアントマシンCMはハ
ードウェアレベル100, OSレベル110, アプリケーショ
ンレベル120 の3階層で構成されている。ハードウェア
レベル100 にはマシン固有情報101 が、OSレベル110 に
はマシンIDサポートAPI(Application Programmer's Int
erface)111及び相互認証モジュール112 が、またアプリ
ケーションレベル120 にはマシンID認証モジュール121,
相互認証モジュール122,アクセスコードファイル管理モ
ジュール123,アクセスコードファイル124 及びユーザID
認証シーケンススクリプト125 がそれぞれ配置されてい
る。なお、参照符号130 はこのクライアントマシンCMの
通信ソフトウェアのメインモジュール(以下、通信ソフ
トメインモジュールと言う) である。In FIG. 8, the client machine CM is composed of three levels of a hardware level 100, an OS level 110, and an application level 120. The machine level information 101 is provided at the hardware level 100, and the machine ID support API (Application Programmer's Int.
erface) 111 and a mutual authentication module 112, and a machine ID authentication module 121,
Mutual authentication module 122, access code file management module 123, access code file 124 and user ID
Authentication sequence scripts 125 are arranged. Reference numeral 130 denotes a main module of the communication software of the client machine CM (hereinafter, referred to as a communication software main module).
【0073】ハードウェアレベル100 のマシン固有情報
101 はこのクライアントマシンCMのたとえばハードディ
スク21のHDD-ID31, CPU 20のCPU-ID32等である。OSレベ
ル110 のマシンIDサポートAPI 111 は、マシン固有情報
101 を読み出してアプリケーションレベル120 のマシン
ID認証モジュール121 へ送信する。このマシンID認証モ
ジュール121 は、通信ソフトメインモジュール130 らマ
シン固有情報を送信する必要が生じた場合に、マシンID
サポートAPI 111 にマシン固有情報101 を送信させる。Machine level information of hardware level 100
Reference numeral 101 denotes, for example, the HDD-ID 31 of the hard disk 21 and the CPU-ID 32 of the CPU 20 of the client machine CM. OS level 110 machine ID support API 111 is used for machine-specific information
Read 101 and machine at application level 120
The ID is sent to the ID authentication module 121. When the communication software main module 130 needs to transmit machine-specific information, the machine ID authentication module 121
Causes the support API 111 to send the machine-specific information 101.
【0074】通常は上述のようにしてマシン固有情報10
1 が読み出されて通信ソフトメインモジュール130 によ
りホストマシンHMへ送信されるが、その場合にはOSレベ
ル110 においてマシン固有情報101 の改竄が可能であ
る。このため、本発明ではOSレベル110 とアプリケーシ
ョンレベル120 との間でのマシン固有情報101 の通信に
介在して改竄を防止するために、マシンIDサポートAPI
111 には相互認証モジュール112 が、マシンID認証モジ
ュール121 には相互認証モジュール122 がそれぞれ接続
されている。Normally, as described above, the machine specific information 10
1 is read and transmitted to the host machine HM by the communication software main module 130. In this case, the OS uniqueness of the machine unique information 101 is possible at the OS level 110. Therefore, in the present invention, in order to prevent tampering by intervening in communication of the machine unique information 101 between the OS level 110 and the application level 120, a machine ID support API is used.
A mutual authentication module 112 is connected to 111, and a mutual authentication module 122 is connected to the machine ID authentication module 121.
【0075】図9は上述のようなコンピュータシステム
のアプリケーションレベル120 の相互認証モジュール12
2 とOSレベル110 の相互認証モジュール112 との間で実
行される相互認証手続の手順を示す模式図である。FIG. 9 shows the mutual authentication module 12 at the application level 120 of the computer system as described above.
FIG. 9 is a schematic diagram showing a procedure of a mutual authentication procedure executed between the second authentication module 112 and the mutual authentication module 112 of the OS level 110.
【0076】まず、アプリケーションレベル120 の相互
認証モジュール122 から認証要求が発せられる(P1)。こ
れに応じて、OSレベル110 の相互認証モジュール112 が
ある乱数「R1」を発生してアプリケーションレベル120
の相互認証モジュール122 へ送信する(P2)。アプリケー
ションレベル120 の相互認証モジュール122 では自身で
もある乱数「R2」を発生し、この乱数「R2」とOSレベル
110 の相互認証モジュール112 から受信した乱数「R1」
との間で所定の演算「*」を実行しその結果の値「R1*
R2」を生成する。First, an authentication request is issued from the mutual authentication module 122 at the application level 120 (P1). In response to this, the mutual authentication module 112 of the OS level 110 generates a random number “R1” to generate the application level 120 “R1”.
To the mutual authentication module 122 (P2). The mutual authentication module 122 at the application level 120 generates a random number “R2”, which is also its own, and this random number “R2” and the OS level
The random number “R1” received from the mutual authentication module 112 of 110
And a predetermined operation "*" is executed between the values and the resulting value "R1 *
R2 ".
【0077】以上のようにして生成された演算結果「R1
*R2」は乱数「R2」と共にOSレベル110 の相互認証モジ
ュール112 へ送信される(P3)。これを受信したOSレベル
110の相互認証モジュール112 では、「R1*R2」と「R
1」との間で演算「*」の逆演算「!*」を実行する。
この逆演算の結果得られる値が送信されてきた「R2」で
あればアプリケーションレベル120 からOSレベル110 へ
の通信に際してはデータの改竄は行なわれていないこと
になる。The operation result “R1
* R2 ”is transmitted to the mutual authentication module 112 of the OS level 110 together with the random number“ R2 ”(P3). OS level that received this
In the mutual authentication module 112 of 110, “R1 * R2” and “R
The inverse operation "! *" Of the operation "*" is performed between "1" and "1".
If the value obtained as a result of the inverse operation is “R2” transmitted, it means that no data has been tampered with during communication from the application level 120 to the OS level 110.
【0078】逆に、OSレベル110 の相互認証モジュール
112 においても、乱数「R1」と「R2」との間で所定の演
算「*」を実行しその結果の値「R1*R2」を生成し、乱
数「R1」と演算結果「R1*R2」とをアプリケーションレ
ベル120 の相互認証モジュール122 へ送信する。これを
受信したアプリケーションレベル120 の相互認証モジュ
ール122 、「R1*R2」と「R2」との間で演算「*」の逆
演算「!*」を実行する。この逆演算の結果得られる値
が送信されてきた「R1」であればOSレベル110からアプ
リケーションレベル120 への通信に際してはデータの改
竄は行なわれていないことになる。Conversely, a mutual authentication module of OS level 110
At 112 also, a predetermined operation “*” is executed between the random numbers “R1” and “R2” to generate a result value “R1 * R2”, and the random number “R1” and the operation result “R1 * R2” Is transmitted to the mutual authentication module 122 of the application level 120. Upon receiving this, the mutual authentication module 122 of the application level 120 performs the inverse operation “! *” Of the operation “*” between “R1 * R2” and “R2”. If the value obtained as a result of the inverse operation is “R1” transmitted, it means that data has not been tampered with during communication from the OS level 110 to the application level 120.
【0079】以上の結果、OSレベル110 とアプリケーシ
ョンレベル120 との間での相互認証が完了したことにな
り、マシン固有情報101 を通信ソフトメインモジュール
130が読み出して送信しても改竄される可能性はないこ
とになる。As a result, the mutual authentication between the OS level 110 and the application level 120 is completed, and the machine unique information 101 is stored in the communication software main module.
Even if 130 is read and transmitted, there is no possibility of tampering.
【0080】このようなクライアントマシンCMにおいて
通信制御部とマシン固有情報呼び出し部とが相互認証を
行なって、不正使用者のプログラムが割り込むことを防
止するような相互認証方式をクライアントマシンCMに採
用することにより、プログラマレベルでソフトウェアに
精通している不正使用者が、ホストへ送信するマシン固
有情報を改竄することを防止することが可能になる。In such a client machine CM, a mutual authentication method is adopted for the client machine CM such that the communication control unit and the machine-specific information calling unit perform mutual authentication to prevent an unauthorized user program from being interrupted. As a result, it is possible to prevent an unauthorized user who is familiar with software at the programmer level from falsifying the machine unique information transmitted to the host.
【0081】[0081]
【発明の効果】以上のように、本発明のコンピュータネ
ットワークのクライアントマシン認証方法,クライアン
トマシン,ホストマシン及びコンピュータシステムによ
ればマシン固有情報を使用し、使用するマシンを特定す
ることにより、不正使用者のアクセスを防止し、また不
正使用者のマシンを特定することで、以後のそのマシン
によるアクセスを全て防止することが可能になる。As described above, according to the client machine authentication method of the computer network, the client machine, the host machine, and the computer system of the present invention, the machine to be used is specified by using the machine-specific information, thereby making the unauthorized use possible. By preventing access by a user and identifying the machine of the unauthorized user, it is possible to prevent all subsequent accesses by the machine.
【0082】本発明のコンピュータネットワークのクラ
イアントマシン認証方法,クライアントマシン,ホスト
マシン及びコンピュータシステム第1の発明によれば、
クライアントマシンからのアクセス要求時に入力された
ユーザIDと共に、自身のマシン固有情報がホストマシン
へ送信され、ホストマシンではデータベースを参照して
クライアントマシンが正規ユーザのマシンであるか否か
を判定するので、マシン固有情報を使用して使用するマ
シンを特定することにより、不正使用者のアクセスを防
止し、また不正使用者のマシンを特定することで、以後
のそのマシンによるアクセスを全て防止することが可能
になる。According to the computer network client machine authentication method, client machine, host machine and computer system according to the first aspect of the present invention,
The own machine unique information is transmitted to the host machine together with the user ID entered at the time of the access request from the client machine, and the host machine refers to the database to determine whether the client machine is a machine of an authorized user. By identifying the machine to be used using machine-specific information, it is possible to prevent unauthorized users from accessing it, and by identifying the unauthorized user's machine, it is possible to prevent all subsequent accesses by that machine. Will be possible.
【0083】また本発明のコンピュータネットワークの
クライアントマシン認証方法,クライアントマシン,ホ
ストマシン及びコンピュータシステムの第2の発明によ
れば、クライアントマシンからのアクセス要求時に入力
されたユーザIDと共に、予めホストマシンから送付され
ている暗号化された自身のマシン固有情報を含むアクセ
スコードファイルとがホストマシンへ送信され、ホスト
マシンではデータベースを参照してクライアントマシン
が正規ユーザのマシンであるか否かを判定するので、マ
シン固有情報を使用して使用するマシンを特定すること
により、不正使用者のアクセスを防止し、また不正使用
者のマシンを特定することで、以後のそのマシンによる
アクセスを全て防止することが可能になる。According to the client machine authentication method of the computer network, the client machine, the host machine and the computer system according to the second aspect of the present invention, the user ID entered at the time of the access request from the client machine is transmitted from the host machine in advance. The sent access code file containing the encrypted own machine-specific information is sent to the host machine, and the host machine refers to the database to determine whether the client machine is a machine of an authorized user. By identifying the machine to be used using machine-specific information, it is possible to prevent unauthorized users from accessing it, and by identifying the unauthorized user's machine, it is possible to prevent all subsequent accesses by that machine. Will be possible.
【0084】更に本発明のコンピュータネットワークの
クライアントマシン認証方法,クライアントマシン,ホ
ストマシン及びコンピュータシステムの第3の発明によ
れば、クライアントマシンからのアクセス要求時に入力
されたユーザIDと共に、自身のマシン固有情報と予めホ
ストマシンから送付されている暗号化された自身のマシ
ン固有情報を含むアクセスコードファイルとがホストマ
シンへ送信され、ホストマシンではデータベースを参照
してクライアントマシンが正規ユーザのマシンであるか
否かを判定するので、マシン固有情報を使用して使用す
るマシンを特定することにより、不正使用者のアクセス
を防止し、また不正使用者のマシンを特定することで、
以後のそのマシンによるアクセスを全て防止することが
可能になる。Further, according to the third aspect of the present invention of a client machine authentication method for a computer network, a client machine, a host machine, and a computer system, together with a user ID input at the time of an access request from the client machine, The information and the access code file containing its own machine encrypted information sent in advance from the host machine are sent to the host machine, and the host machine refers to the database and checks whether the client machine is a machine of an authorized user Since it is determined whether or not the machine is used by using the machine-specific information, the access of the unauthorized user is prevented, and by identifying the machine of the unauthorized user,
All subsequent access by the machine can be prevented.
【0085】また更に本発明のコンピュータネットワー
クのクライアントマシン認証方法,クライアントマシ
ン,ホストマシン及びコンピュータシステムの第4の発
明では、クライアントマシンからのアクセス要求時に入
力されたユーザIDと共に、自身のマシン固有情報と予め
ホストマシンから送付されている暗号化された自身のマ
シン固有情報を含むアクセスコードファイルとが公開鍵
で暗号化されてホストマシンへ送信され、ホストマシン
では秘密鍵で復号してデータベースを参照してクライア
ントマシンが正規ユーザのマシンであるか否かを判定す
るので、マシン固有情報を使用して使用するマシンを特
定することにより、不正使用者のアクセスを防止し、ま
た不正使用者のマシンを特定することで、以後のそのマ
シンによるアクセスを全て防止することが可能になる。Further, in the computer machine client machine authentication method, the client machine, the host machine and the computer system according to the fourth invention of the present invention, the own machine unique information together with the user ID input at the time of the access request from the client machine. And the access code file containing its own machine-specific information, which has been sent in advance from the host machine, is encrypted with the public key and sent to the host machine, and the host machine decrypts it with the private key and refers to the database To determine whether the client machine is a legitimate user machine. Therefore, by using the machine-specific information to identify the machine to be used, it is possible to prevent access by an unauthorized user, and By specifying the It is possible to prevent all.
【0086】また上述の各発明によれば、アクセスコー
ドファイルは、クライアントマシンからのアクセス要求
に対してホストマシンがアクセスを許可する都度、ホス
トマシンにより変更されるので、よりセキュリィティが
高くなる。According to each of the above-mentioned inventions, the access code file is changed by the host machine every time the host machine permits access to an access request from the client machine, so that the security is further improved.
【0087】更にまた上述の各発明によれば、クライア
ントマシン内でのマシン固有情報自体を改竄することが
防止される。Further, according to each of the above-mentioned inventions, it is possible to prevent the machine unique information itself in the client machine from being falsified.
【0088】また本発明のコンピュータシステムによれ
ば、ハードウェア階層に保持されているハードディス
ク,CPU 等のIDであるマシン固有情報を外部へ出力する
際の改竄が防止される。Further, according to the computer system of the present invention, tampering at the time of outputting the machine unique information, which is the ID of the hard disk, CPU, etc., held in the hardware hierarchy, to the outside is prevented.
【図1】本発明のコンピュータネットワークのクライア
ントマシン認証方法の実施に使用されるユーザ側のクラ
イアントマシンの構成及びそのネットワーク接続の状態
を示す模式図である。FIG. 1 is a schematic diagram showing a configuration of a client machine on a user side used for implementing a client machine authentication method for a computer network of the present invention and a state of network connection thereof.
【図2】本発明に係るコンピュータネットワークのクラ
イアントマシン認証方法の第1の発明の手順を示すフロ
ーチャートである。FIG. 2 is a flowchart showing a procedure of a first invention of a client machine authentication method for a computer network according to the present invention.
【図3】本発明に係るコンピュータネットワークのクラ
イアントマシン認証方法の第2の発明の手順を示すフロ
ーチャートである。FIG. 3 is a flowchart showing a procedure of a second invention of a client machine authentication method for a computer network according to the present invention.
【図4】本発明に係るコンピュータネットワークのクラ
イアントマシン認証方法の第2の発明の手順を示すフロ
ーチャートである。FIG. 4 is a flowchart showing a procedure of a second invention of a client machine authentication method for a computer network according to the present invention.
【図5】本発明に係るコンピュータネットワークのクラ
イアントマシン認証方法の第3の発明及び第4の発明の
手順を示すフローチャートである。FIG. 5 is a flowchart showing a procedure of a third invention and a fourth invention of a client machine authentication method for a computer network according to the present invention.
【図6】本発明に係るコンピュータネットワークのクラ
イアントマシン認証方法の第3の発明及び第4の発明の
手順を示すフローチャートである。FIG. 6 is a flowchart showing a procedure of a third invention and a fourth invention of a client machine authentication method for a computer network according to the present invention.
【図7】本発明に係るコンピュータネットワークのクラ
イアントマシン認証方法の第3の発明及び第4の発明の
手順を示すフローチャートである。FIG. 7 is a flowchart showing a procedure of a third invention and a fourth invention of a client machine authentication method for a computer network according to the present invention.
【図8】本発明のコンピュータシステムのソフトウェア
モジュールの構成例を示す模式図である。FIG. 8 is a schematic diagram showing a configuration example of a software module of the computer system of the present invention.
【図9】本発明のコンピュータシステムの相互認証モジ
ュール間で実行される相互認証手続の手順を示す模式図
である。FIG. 9 is a schematic diagram showing a procedure of a mutual authentication procedure executed between mutual authentication modules of the computer system of the present invention.
CM クライアントマシン HM ホストマシン NW ネットワーク 1 通信センタ 10 ユーザデータベース 21 ハードディスク 20 CPU 31 HDD−ID 32 CPU−ID CM client machine HM host machine NW network 1 communication center 10 user database 21 hard disk 20 CPU 31 HDD-ID 32 CPU-ID
Claims (17)
イアントマシンとホストマシンとが通信する際のクライ
アントマシン認証方法において、 個々のクライアントマシンに固有のマシン固有情報を、
個々のクライアントマシンを使用するユーザのユーザID
と対応付けて予めホストマシン側に登録しておき、 個々のクライアントマシンは、前記ホストマシンへのア
クセス要求時に、入力されたユーザIDと共に、自身のマ
シン固有情報を前記ホストマシンへ送信し、 前記ホストマシンは、アクセス要求しているクライアン
トマシンから送信されてきたマシン固有情報が同時に送
信されてきたユーザIDに対応して登録されているマシン
固有情報と一致するか否かを判定することを特徴とする
コンピュータネットワークのクライアントマシン認証方
法。1. A client machine authentication method when a client machine and a host machine communicate with each other via a computer network, wherein machine-specific information unique to each client machine is provided.
User ID of the user who uses each client machine
Registered in advance on the host machine side in association with, and each client machine transmits its own machine unique information to the host machine together with the input user ID when requesting access to the host machine, The host machine determines whether or not the machine unique information transmitted from the client machine requesting access matches the machine unique information registered corresponding to the simultaneously transmitted user ID. Computer network client machine authentication method.
イアントマシンとホストマシンとが通信する際のクライ
アントマシン認証方法において、 個々のクライアントマシンに固有のマシン固有情報を、
個々のクライアントマシンを使用するユーザのユーザID
と対応付けて予めホストマシン側に登録しておき、 前記ホストマシンは、少なくとも個々のクライアントマ
シンのマシン固有情報と個々のクライアントマシンに対
するアクセス許可情報とを秘密鍵で暗号化したアクセス
コードファイルを作成して個々のクライアントマシンへ
予め送付しておき、 個々のクライアントマシンは、前記ホストマシンへのア
クセス要求時に、入力されたユーザIDと共に、前記ホス
トマシンから予め送付されているアクセスコードファイ
ルを前記ホストマシンへ送信し、 前記ホストマシンは、アクセス要求しているクライアン
トマシンから送信されてきたアクセスコードファイルを
前記秘密鍵で復号し、復号されたアクセス許可情報の真
偽を判定すると共に、復号されたマシン固有情報と送信
されてきたユーザIDに対応して登録されているマシン固
有情報とが一致するか否かを判定することを特徴とする
コンピュータネットワークのクライアントマシン認証方
法。2. A client machine authentication method when a client machine and a host machine communicate with each other via a computer network, wherein machine-specific information unique to each client machine is provided.
User ID of the user who uses each client machine
The host machine creates an access code file in which at least the machine-specific information of each client machine and the access permission information for each client machine are encrypted with a secret key. In advance, each client machine sends an access code file previously sent from the host machine together with the input user ID at the time of an access request to the host machine. Transmitted to the machine, the host machine decrypts the access code file transmitted from the client machine requesting access with the secret key, and determines the authenticity of the decrypted access permission information. For the machine-specific information and the transmitted user ID A client machine authentication method for a computer network, which determines whether the registered machine unique information matches the registered machine unique information.
イアントマシンとホストマシンとが通信する際のクライ
アントマシン認証方法において、 個々のクライアントマシンに固有のマシン固有情報を、
個々のクライアントマシンを使用するユーザのユーザID
と対応付けて予めホストマシン側に登録しておき、 前記ホストマシンは、少なくとも個々のクライアントマ
シンのマシン固有情報と個々のクライアントマシンに対
するアクセス許可情報とを秘密鍵で暗号化したアクセス
コードファイルを作成して個々のクライアントマシンへ
予め送付しておき、 前記クライアントマシンは、前記ホストマシンへのアク
セス要求時に、入力されたユーザIDと共に、前記ホスト
マシンから予め送付されているアクセスコードファイル
及びマシン固有情報を前記ホストマシンへ送信し、 前記ホストマシンは、アクセス要求しているクライアン
トマシンから送信されてきたアクセスコードファイルを
前記秘密鍵で復号し、復号されたアクセス許可情報の真
偽を判定すると共に、復号されたマシン固有情報と送信
されてきたマシン固有情報とが一致するか否か、復号さ
れたマシン固有情報と送信されてきたユーザIDに対応し
て登録されているマシン固有情報とが一致するか否かを
判定することを特徴とするコンピュータネットワークの
クライアントマシン認証方法。3. A client machine authentication method when a client machine and a host machine communicate with each other via a computer network, wherein machine-specific information unique to each client machine is provided.
User ID of the user who uses each client machine
The host machine creates an access code file in which at least the machine-specific information of each client machine and the access permission information for each client machine are encrypted with a secret key. The access code file and the machine unique information previously sent from the host machine together with the input user ID at the time of the access request to the host machine. To the host machine, the host machine decrypts the access code file transmitted from the client machine requesting access with the secret key, and determines the authenticity of the decrypted access permission information, Decrypted machine specific information and sent Determining whether the received machine ID matches the received machine ID, and whether the decrypted machine ID matches the registered machine ID corresponding to the transmitted user ID. Computer network client machine authentication method.
イアントマシンとホストマシンとが通信する際のクライ
アントマシン認証方法において、 個々のクライアントマシンに固有のマシン固有情報を、
個々のクライアントマシンを使用するユーザのユーザID
と対応付けて予めホストマシン側に登録しておき、 前記ホストマシンは、少なくとも個々のクライアントマ
シンのマシン固有情報と個々のクライアントマシンに対
するアクセス許可情報とを秘密鍵で暗号化したアクセス
コードファイルを作成して個々のクライアントマシンへ
予め送付しておき、個々のクライアントマシンからのア
クセス要求時に、アクセス要求しているクライアントマ
シンのマシン固有情報を含む公開鍵を生成し、生成した
公開鍵のマシン固有情報以外の部分をクライアントマシ
ンへ送信し、 アクセス要求しているクライアントマシンは、入力され
たユーザIDを前記ホストマシンへ送信すると共に、前記
ホストマシンから受信した公開鍵の一部と自身のマシン
固有情報とから前記公開鍵を復元し、前記ホストマシン
から予め送付されているアクセスコードファイル及び/
又は自身のマシン固有情報を復元した公開鍵で暗号化し
て前記ホストマシンへ送信し、 前記ホストマシンは、アクセス要求しているクライアン
トマシンから送信されてきた公開鍵暗号の秘密鍵で暗号
化されたアクセスコードファイル及び/又はマシン固有
情報を前記秘密鍵で復号し、復号されたアクセス許可情
報の真偽を判定すると共に、復号されたマシン固有情報
と送信されてきたマシン固有情報とが一致するか否か、
復号されたマシン固有情報と送信されてきたユーザIDに
対応して登録されているマシン固有情報とが一致するか
否かを判定することを特徴とするコンピュータネットワ
ークのクライアントマシン認証方法。4. A client machine authentication method for communication between a client machine and a host machine via a computer network, wherein machine-specific information unique to each client machine is provided.
User ID of the user who uses each client machine
The host machine creates an access code file in which at least the machine-specific information of each client machine and the access permission information for each client machine are encrypted with a secret key. And sends it to each client machine in advance, and when an access request is made from each client machine, generates a public key including the machine unique information of the client machine requesting access, and generates the machine unique information of the generated public key. The client machine requesting access sends the input user ID to the host machine, and a part of the public key received from the host machine and its own machine-specific information. And restores the public key from Access code file sent and / or
Or, encrypt the original machine unique information with the restored public key and send it to the host machine, and the host machine is encrypted with the private key of the public key encryption sent from the client machine requesting access. The access code file and / or the machine unique information is decrypted with the secret key, the authenticity of the decrypted access permission information is determined, and whether the decrypted machine unique information matches the transmitted machine unique information. or not,
A client machine authentication method for a computer network, comprising: determining whether or not the decrypted machine unique information matches the machine unique information registered corresponding to the transmitted user ID.
ライアントマシンからのアクセス要求に対して前記ホス
トマシンがアクセスを許可する都度、前記ホストマシン
により変更されることを特徴とする請求項2乃至4のい
ずれかに記載のコンピュータネットワークのクライアン
トマシン認証方法。5. The apparatus according to claim 2, wherein the access code file is changed by the host machine every time the host machine permits access to an access request from the client machine. A method for authenticating a client machine in a computer network according to any one of the above.
を読み出すマシン固有情報の第1の読み出し手段をオペ
レーティングシステム階層に、前記ホストマシンへ前記
マシン固有情報を送信すべく、前記第1の読み出し手段
から読み出す第2の読み出し手段をアプリケーション階
層にそれぞれ備え、 更に、前記第1の読み出し手段及び前記第2の読み出し
手段相互間での通信を相互に認証するための認証手段を
前記オペレーティングシステム階層及びアプリケーショ
ン階層にそれぞれ備えたことを特徴とする請求項1乃至
4のいずれかに記載のコンピュータネットワークのクラ
イアントマシン認証方法。6. The client machine transmits the machine unique information to the host machine through a first reading unit for reading the machine unique information held in a hardware hierarchy to an operating system hierarchy. Therefore, second read means for reading from the first read means is provided in each application layer, and furthermore, authentication for mutually authenticating communication between the first read means and the second read means. 5. The method according to claim 1, further comprising providing means for the operating system layer and the application layer.
固有のマシン固有情報と、個々のクライアントマシンを
使用するユーザのユーザIDとを対応付けて予め登録した
データベースを備えたホストマシンとコンピュータネッ
トワークを介して通信するクライアントマシンであっ
て、 前記ホストマシンへのアクセス要求時に、入力されたユ
ーザIDと共に、自身のマシン固有情報を前記ホストマシ
ンへ送信すべくなしてあることを特徴とするクライアン
トマシン。7. A computer machine and a host machine having a database registered in advance by associating unique machine unique information assigned to each client machine with a user ID of a user who uses each client machine. A client machine for transmitting, when an access request is made to the host machine, its own machine-specific information together with the input user ID to the host machine.
固有のマシン固有情報と、個々のクライアントマシンを
使用するユーザのユーザIDとを対応付けて予め登録した
データベースを備えたホストマシンとコンピュータネッ
トワークを介して通信するクライアントマシンであっ
て、 前記ホストマシンへのアクセス要求時に、入力されたユ
ーザIDと共に、前記ホストマシンから予め送付されてい
るアクセスコードファイルを前記ホストマシンへ送信す
べくなしてあることを特徴とするクライアントマシン。8. A host machine having a database registered in advance in which the unique machine unique information assigned to each client machine and the user ID of a user who uses each client machine are associated with each other, via a computer network. A client machine that communicates with the host machine at the time of an access request to the host machine, by transmitting an access code file previously sent from the host machine together with the input user ID to the host machine. Characteristic client machine.
固有のマシン固有情報と、個々のクライアントマシンを
使用するユーザのユーザIDとを対応付けて予め登録した
データベースを備えたホストマシンとコンピュータネッ
トワークを介して通信するクライアントマシンであっ
て、 前記ホストマシンへのアクセス要求時に、入力されたユ
ーザIDと共に、前記ホストマシンから予め送付されてい
るアクセスコードファイル及びマシン固有情報を前記ホ
ストマシンへ送信すべくなしてあることを特徴とするク
ライアントマシン。9. A host computer provided with a database pre-registered by associating unique machine-specific information assigned to each client machine with a user ID of a user who uses each client machine, and a computer network. A client machine that communicates with the host machine at the time of an access request to the host machine, in order to transmit an access code file and machine unique information previously sent from the host machine together with the input user ID to the host machine. A client machine characterized in that:
た固有のマシン固有情報と、個々のクライアントマシン
を使用するユーザのユーザIDとを対応付けて予め登録し
たデータベースを備えたホストマシンとコンピュータネ
ットワークを介して通信するクライアントマシンであっ
て、 アクセス要求時に、入力されたユーザIDを前記ホストマ
シンへ送信すると共に、前記ホストマシンから受信した
公開鍵の一部と自身のマシン固有情報とから前記公開鍵
を復元し、前記ホストマシンから予め送付されているア
クセスコードファイル及び/又は自身のマシン固有情報
を復元した公開鍵で暗号化して前記ホストマシンへ送信
すべくなしてあることを特徴とするクライアントマシ
ン。10. A host computer provided with a database pre-registered by associating unique machine-specific information given to each client machine with a user ID of a user who uses each client machine, and a computer network. A client machine that transmits an input user ID to the host machine at the time of an access request, and extracts the public key from a part of the public key received from the host machine and own machine unique information. A client machine which is restored, encrypts an access code file previously sent from the host machine and / or its own machine-specific information with the restored public key, and transmits the encrypted information to the host machine.
記マシン固有情報を読み出すマシン固有情報の第1の読
み出し手段をオペレーティングシステム階層に、前記ホ
ストマシンへ前記マシン固有情報を送信すべく、前記第
1の読み出し手段から読み出す第2の読み出し手段をア
プリケーション階層にそれぞれ備え、 更に、前記第1の読み出し手段及び前記第2の読み出し
手段相互間での通信を相互に認証するための認証手段を
前記オペレーティングシステム階層及びアプリケーショ
ン階層にそれぞれ備えたことを特徴とする請求項7乃至
10のいずれかに記載のクライアントマシン。11. A first reading means for reading out the machine unique information held in a hardware layer, the first means for reading the machine unique information to an operating system layer, and the first machine reading means for transmitting the machine unique information to the host machine. Second reading means for reading from the reading means are provided in the application layer, respectively, and further, authentication means for mutually authenticating communication between the first reading means and the second reading means is provided in the operating system. The client machine according to any one of claims 7 to 10, wherein the client machine is provided in each of a hierarchy and an application hierarchy.
ライアントマシンと通信するホストマシンであって、 個々のクライアントマシンに付与された固有のマシン固
有情報と、個々のクライアントマシンを使用するユーザ
のユーザIDとを対応付けて予め登録したデータベース
と、 前記データベースの登録内容を参照して、アクセス要求
しているクライアントマシンから送信されてきたマシン
固有情報が同時に送信されてきたユーザIDに対応して登
録されているマシン固有情報と一致するか否かを判定す
る手段とを備えたことを特徴とするホストマシン。12. A host machine which communicates with a client machine via a computer network, wherein unique machine unique information assigned to each client machine corresponds to a user ID of a user who uses each client machine. A machine registered with reference to the database registered in advance and the registered contents of the database, and machine-specific information transmitted from the client machine requesting access corresponding to the user ID transmitted simultaneously. Means for determining whether or not the information matches the unique information.
ライアントマシンと通信するホストマシンであって、 個々のクライアントマシンに付与された固有のマシン固
有情報と、個々のクライアントマシンを使用するユーザ
のユーザIDとを対応付けて予め登録したデータベース
と、 少なくとも個々のクライアントマシンのマシン固有情報
と個々のクライアントマシンに対するアクセス許可情報
とを秘密鍵で暗号化したアクセスコードファイルを作成
して個々のクライアントマシンへ予め送付する手段と、 アクセス要求しているクライアントマシンから送信され
てきたアクセスコードファイルを前記秘密鍵で復号する
手段と、 復号されたアクセス許可情報の真偽を判定する手段と、 前記データベースの登録内容を参照して、復号されたマ
シン固有情報と送信されてきたユーザIDに対応して登録
されているマシン固有情報とが一致するか否かを判定す
る手段とを備えたことを特徴とするホストマシン。13. A host machine that communicates with a client machine via a computer network, wherein a unique machine-specific information assigned to each client machine corresponds to a user ID of a user who uses each client machine. Means for creating an access code file obtained by encrypting a database registered in advance and at least machine-specific information of each client machine and access permission information for each client machine with a secret key, and sending the access code file to each client machine in advance Means for decrypting the access code file transmitted from the client machine requesting access with the secret key, means for determining the authenticity of the decrypted access permission information, and referring to the registered contents of the database. The decrypted machine Host machine, characterized by comprising means for determining whether the machine-specific information coincides that is registered in correspondence with the user ID transmitted information.
ライアントマシンと通信するホストマシンであって、 個々のクライアントマシンに付与された固有のマシン固
有情報と、個々のクライアントマシンを使用するユーザ
のユーザIDとを対応付けて予め登録したデータベース
と、 少なくとも個々のクライアントマシンのマシン固有情報
と個々のクライアントマシンに対するアクセス許可情報
とを秘密鍵で暗号化したアクセスコードファイルを作成
して個々のクライアントマシンへ予め送付する手段と、 アクセス要求しているクライアントマシンから送信され
てきたアクセスコードファイルを前記秘密鍵で復号する
手段と、 復号されたアクセス許可情報の真偽を判定する手段と、 前記データベースの登録内容を参照して、復号されたマ
シン固有情報と送信されてきたマシン固有情報とが一致
するか否か、復号されたマシン固有情報と送信されてき
たユーザIDに対応して登録されているマシン固有情報と
が一致するか否かを判定する手段とを備えたことを特徴
とするホストマシン。14. A host machine that communicates with a client machine via a computer network, wherein a unique machine unique information assigned to each client machine is associated with a user ID of a user who uses each client machine. Means for creating an access code file obtained by encrypting a database registered in advance and at least machine-specific information of each client machine and access permission information for each client machine with a secret key, and sending the access code file to each client machine in advance Means for decrypting the access code file transmitted from the client machine requesting access with the secret key, means for determining the authenticity of the decrypted access permission information, and referring to the registered contents of the database. The decrypted machine Determines whether the information matches the transmitted machine unique information, and whether the decrypted machine unique information matches the machine unique information registered corresponding to the transmitted user ID. And a host machine.
ライアントマシンと通信するホストマシンであって、 個々のクライアントマシンに付与された固有のマシン固
有情報と、個々のクライアントマシンを使用するユーザ
のユーザIDとを対応付けて予め登録したデータベース
と、 少なくとも個々のクライアントマシンのマシン固有情報
と個々のクライアントマシンに対するアクセス許可情報
とを秘密鍵で暗号化したアクセスコードファイルを作成
して個々のクライアントマシンへ予め送付する手段と、 個々のクライアントマシンからのアクセス要求時に、ア
クセス要求しているクライアントマシンのマシン固有情
報を含む公開鍵を生成し、生成した公開鍵のマシン固有
情報以外の部分をクライアントマシンへ送信する手段
と、 アクセス要求しているクライアントマシンから送信され
てきた公開鍵暗号の秘密鍵で暗号化されたアクセスコー
ドファイル及び/又はマシン固有情報を前記秘密鍵で復
号する手段と、 復号されたアクセス許可情報の真偽を判定する手段と、 前記データベースの登録内容を参照して、復号されたマ
シン固有情報と送信されてきたマシン固有情報とが一致
するか否か、復号されたマシン固有情報と送信されてき
たユーザIDに対応して登録されているマシン固有情報と
が一致するか否かを判定する手段とを備えたことを特徴
とするホストマシン。15. A host machine that communicates with a client machine via a computer network, wherein unique machine-specific information assigned to each client machine corresponds to a user ID of a user who uses each client machine. Means for creating an access code file obtained by encrypting a database registered in advance and at least machine-specific information of each client machine and access permission information for each client machine with a secret key, and sending the access code file to each client machine in advance Means for generating, when an access request is made from each client machine, a public key including machine-specific information of the client machine making the access request, and transmitting a portion other than the machine-specific information of the generated public key to the client machine; Request access Means for decrypting the access code file and / or machine unique information encrypted with the private key of the public key encryption transmitted from the client machine using the private key, and determining the authenticity of the decrypted access permission information Means for referring to the registered contents of the database, whether or not the decrypted machine unique information and the transmitted machine unique information match, to the decrypted machine unique information and the transmitted user ID. Means for determining whether or not the registered machine-specific information matches the host machine.
クライアントマシンからのアクセス要求に対して前記ホ
ストマシンがアクセスを許可する都度、変更することを
特徴とする請求項13乃至15のいずれかに記載のホス
トマシン。16. The host according to claim 13, wherein the access code file is changed each time the host machine permits access to an access request from the client machine. Machine.
情報を保持し、オペレーティングシステム階層に備えら
れた第1の読み出し手段により前記ハードウェア階層に
保持されている前記マシン固有情報を読み出し、アプリ
ケーション階層に備えられた第2の読み出し手段により
前記第1の読み出し手段が読み出したマシン固有情報を
読み出して外部へ出力するコンピュータシステムにおい
て、 前記オペレーティングシステム階層に第1認証手段を、
前記アプリケーション階層に第2の認証手段を備え、 前記第1の認証手段は、前記第2の認証手段からの認証
要求に応じて第1の乱数を発生して前記第2の認証手段
へ送信し、 前記第2の認証手段は、受信した第1の乱数と自身で発
生した第2の乱数との間で所定の演算を行なってその演
算結果及び前記第2の乱数を前記第1の認証手段へ送信
し、 前記第1の認証手段は、受信した演算結果に前記所定の
演算の逆演算を行なってその結果と受信した前記第2の
乱数とを比較し、一致した場合に前記第1の乱数と前記
第2の乱数との間で前記所定の演算を行なってその演算
結果及び前記第1の乱数を前記第2の認証手段へ送信
し、 前記第2の認証手段は、受信した演算結果に前記所定の
演算の逆演算を行なってその結果と受信した前記第1の
乱数とを比較し、一致した場合に相互認証が完了したと
判断して前記第1の読み出し手段から前記第2の読み出
し手段へのマシン固有情報の送信を行なうべくなしてあ
ることを特徴とするコンピュータシステム。17. A method for holding machine-specific information unique to a hardware layer, reading the machine-specific information stored in the hardware layer by a first reading unit provided in an operating system layer, and storing the information in an application layer. In a computer system for reading out the machine unique information read by the first reading means by the provided second reading means and outputting the information to the outside, a first authentication means is provided in the operating system hierarchy,
The application layer includes a second authentication unit, wherein the first authentication unit generates a first random number in response to an authentication request from the second authentication unit, and transmits the first random number to the second authentication unit. The second authentication unit performs a predetermined operation between the received first random number and a second random number generated by itself, and outputs the operation result and the second random number to the first authentication unit. The first authentication means performs an inverse operation of the predetermined operation on the received operation result and compares the result with the received second random number. Performing the predetermined calculation between the random number and the second random number, transmitting the calculation result and the first random number to the second authentication unit, wherein the second authentication unit receives the calculation result Performs the inverse operation of the predetermined operation, and receives the result thereof and the received first A random number is compared, and if they match, it is determined that mutual authentication has been completed, and the first reading means transmits machine-specific information to the second reading means. Computer system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9067008A JPH10260939A (en) | 1997-03-19 | 1997-03-19 | Computer network client machine authentication method, client machine, host machine and computer system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9067008A JPH10260939A (en) | 1997-03-19 | 1997-03-19 | Computer network client machine authentication method, client machine, host machine and computer system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH10260939A true JPH10260939A (en) | 1998-09-29 |
Family
ID=13332475
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP9067008A Pending JPH10260939A (en) | 1997-03-19 | 1997-03-19 | Computer network client machine authentication method, client machine, host machine and computer system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH10260939A (en) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000187646A (en) * | 1998-12-22 | 2000-07-04 | Mitsubishi Electric Corp | Information transferring system |
| WO2002048893A1 (en) * | 2000-12-11 | 2002-06-20 | Ntt Docomo, Inc. | Method and device for authenticating user |
| JP2002312246A (en) * | 2001-04-17 | 2002-10-25 | Kowa Co | Digital watermark processing service method |
| JP2003296279A (en) * | 2002-03-29 | 2003-10-17 | Digital Electronics Corp | Authentication method, and client device, server device, and program thereof |
| JP2004510215A (en) * | 2000-05-19 | 2004-04-02 | ネットスケープ コミュニケーションズ コーポレーション | Adaptable multi-tier authentication system |
| JP2008140114A (en) * | 2006-12-01 | 2008-06-19 | Fuji Xerox Co Ltd | Authentication program and authentication server |
| US7428638B1 (en) | 2001-11-13 | 2008-09-23 | Microsoft Corporation | Architecture for manufacturing authenticatable gaming systems |
| JP2008226146A (en) * | 2007-03-15 | 2008-09-25 | Fujitsu Ltd | Information processing apparatus and data transfer method of information processing apparatus |
| JP2008276794A (en) * | 2008-06-13 | 2008-11-13 | Toshiba Corp | Mobile communication terminal |
| US7487352B2 (en) | 2001-11-13 | 2009-02-03 | Microsoft Corporation | Architecture for manufacturing authenticatable gaming systems |
| JP2009510963A (en) * | 2005-10-03 | 2009-03-12 | ノキア コーポレイション | System, method and computer program product for authenticating data agreement between network entities |
| US7512235B2 (en) | 2001-03-09 | 2009-03-31 | Microsoft Corporation | Multiple user authentication for online console-based gaming |
| JP2009540408A (en) * | 2006-06-05 | 2009-11-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | System, method, and computer program for secure access control to storage device |
| JP2011522327A (en) * | 2008-06-02 | 2011-07-28 | マイクロソフト コーポレーション | Authentication limited to trusted equipment |
| JP2011244499A (en) * | 2011-09-05 | 2011-12-01 | Hitachi Ltd | Remote operating system, portable device, service equipment, remote operation adaptor, and remote operating method |
| JP2012014432A (en) * | 2010-06-30 | 2012-01-19 | Toshiba Corp | Information processing device, storage control method, and storage control system |
| JP2018501567A (en) * | 2014-12-18 | 2018-01-18 | アリババ グループ ホウルディング リミテッド | Device verification method and equipment |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS63301350A (en) * | 1987-06-01 | 1988-12-08 | Hitachi Ltd | Preventing system for wrong access of host computer information given from terminal equipment |
| JPH01126793A (en) * | 1987-11-12 | 1989-05-18 | Toshiba Corp | Portable electronic device |
| JPH0756795A (en) * | 1993-06-30 | 1995-03-03 | Shisuin Net:Kk | Center function-centralized type access controlling method |
| JPH08137686A (en) * | 1994-09-16 | 1996-05-31 | Toshiba Corp | Copyright data management method and copyright data management device |
-
1997
- 1997-03-19 JP JP9067008A patent/JPH10260939A/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS63301350A (en) * | 1987-06-01 | 1988-12-08 | Hitachi Ltd | Preventing system for wrong access of host computer information given from terminal equipment |
| JPH01126793A (en) * | 1987-11-12 | 1989-05-18 | Toshiba Corp | Portable electronic device |
| JPH0756795A (en) * | 1993-06-30 | 1995-03-03 | Shisuin Net:Kk | Center function-centralized type access controlling method |
| JPH08137686A (en) * | 1994-09-16 | 1996-05-31 | Toshiba Corp | Copyright data management method and copyright data management device |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000187646A (en) * | 1998-12-22 | 2000-07-04 | Mitsubishi Electric Corp | Information transferring system |
| JP2004510215A (en) * | 2000-05-19 | 2004-04-02 | ネットスケープ コミュニケーションズ コーポレーション | Adaptable multi-tier authentication system |
| WO2002048893A1 (en) * | 2000-12-11 | 2002-06-20 | Ntt Docomo, Inc. | Method and device for authenticating user |
| US7096492B2 (en) | 2000-12-11 | 2006-08-22 | Ntt Docomo, Inc. | Methods and devices for carrying out user authentication |
| US7512235B2 (en) | 2001-03-09 | 2009-03-31 | Microsoft Corporation | Multiple user authentication for online console-based gaming |
| JP2002312246A (en) * | 2001-04-17 | 2002-10-25 | Kowa Co | Digital watermark processing service method |
| US7487352B2 (en) | 2001-11-13 | 2009-02-03 | Microsoft Corporation | Architecture for manufacturing authenticatable gaming systems |
| US7496202B2 (en) | 2001-11-13 | 2009-02-24 | Microsoft Corporation | Architecture for manufacturing authenticatable gaming systems |
| US7428638B1 (en) | 2001-11-13 | 2008-09-23 | Microsoft Corporation | Architecture for manufacturing authenticatable gaming systems |
| US7496200B2 (en) | 2001-11-13 | 2009-02-24 | Microsoft Corporation | Architecture for manufacturing authenticatable gaming systems |
| JP2003296279A (en) * | 2002-03-29 | 2003-10-17 | Digital Electronics Corp | Authentication method, and client device, server device, and program thereof |
| JP2009510963A (en) * | 2005-10-03 | 2009-03-12 | ノキア コーポレイション | System, method and computer program product for authenticating data agreement between network entities |
| JP2009540408A (en) * | 2006-06-05 | 2009-11-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | System, method, and computer program for secure access control to storage device |
| JP2008140114A (en) * | 2006-12-01 | 2008-06-19 | Fuji Xerox Co Ltd | Authentication program and authentication server |
| JP2008226146A (en) * | 2007-03-15 | 2008-09-25 | Fujitsu Ltd | Information processing apparatus and data transfer method of information processing apparatus |
| US8667278B2 (en) | 2007-03-15 | 2014-03-04 | Fujitsu Limited | Information processing apparatus and data transmission method of information processing apparatus |
| JP2011522327A (en) * | 2008-06-02 | 2011-07-28 | マイクロソフト コーポレーション | Authentication limited to trusted equipment |
| US8800003B2 (en) | 2008-06-02 | 2014-08-05 | Microsoft Corporation | Trusted device-specific authentication |
| JP2008276794A (en) * | 2008-06-13 | 2008-11-13 | Toshiba Corp | Mobile communication terminal |
| JP2012014432A (en) * | 2010-06-30 | 2012-01-19 | Toshiba Corp | Information processing device, storage control method, and storage control system |
| JP2011244499A (en) * | 2011-09-05 | 2011-12-01 | Hitachi Ltd | Remote operating system, portable device, service equipment, remote operation adaptor, and remote operating method |
| JP2018501567A (en) * | 2014-12-18 | 2018-01-18 | アリババ グループ ホウルディング リミテッド | Device verification method and equipment |
| US10587604B2 (en) | 2014-12-18 | 2020-03-10 | Alibaba Group Holding Limited | Device verification method and apparatus |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6678821B1 (en) | Method and system for restricting access to the private key of a user in a public key infrastructure | |
| JP2686218B2 (en) | Alias detection method on computer system, distributed computer system and method of operating the same, and distributed computer system performing alias detection | |
| JP4746266B2 (en) | Method and system for authenticating a user for a sub-location in a network location | |
| EP1645971B1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| US10992480B2 (en) | Method and system for performing a transaction and for performing a verification of legitimate access to, or use of digital data | |
| CN1279535C (en) | Information storage medium, information processing system, content distribution server, method, program and its recording medium | |
| US8499147B2 (en) | Account management system, root-account management apparatus, derived-account management apparatus, and program | |
| JP4070708B2 (en) | Security ensuring support program, server device for executing the program, and storage medium storing the program | |
| EP1380916A1 (en) | Data protection program, method and apparatus | |
| JPH1185622A (en) | Protection memory for core data secret item | |
| JPH10260939A (en) | Computer network client machine authentication method, client machine, host machine and computer system | |
| JP2003330365A (en) | Content distribution / receiving method | |
| US20070271618A1 (en) | Securing access to a service data object | |
| US7844832B2 (en) | System and method for data source authentication and protection system using biometrics for openly exchanged computer files | |
| US11063766B2 (en) | Method and system for performing a transaction and for performing a verification of legitimate access to, or use of digital data | |
| CN114036490B (en) | Plug-in software interface calling security authentication method, USBKey driving device and authentication system | |
| WO2002005475A2 (en) | Generation and use of digital signatures | |
| KR100908100B1 (en) | System and Method for Mutual Synchronization Using Encrypted Image with Matrosica Structure | |
| WO2006001153A1 (en) | File managing program | |
| JPH05298174A (en) | Remote file access system | |
| JP6464544B1 (en) | Information processing apparatus, information processing method, information processing program, and information processing system | |
| JP2004013560A (en) | Authentication system, communication terminal, and server | |
| JP2004070875A (en) | Secure system | |
| US7739500B2 (en) | Method and system for consistent recognition of ongoing digital relationships | |
| JP2002132145A (en) | Authentication method, authentication system, recording medium and information processor |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20031111 |