ゲートウェイサーバ、セキュリティ保証システム、その方法およびプログラム
【課題】加入者情報と在圏基地局を認証キーに加えることで、特定端末かつ特定の場所からのアクセスを認めるシステムを構成すること。
【解決手段】端末1から特定ネットワーク3へアクセスする際に、ゲートウェイサーバ8は、端末1の加入者情報及び在圏基地局情報を認証のキーとして識別サーバ7を介して認証を行い、特定端末から、かつ特定の場所においてのみ、アクセスを許可する。
【解決手段】端末1から特定ネットワーク3へアクセスする際に、ゲートウェイサーバ8は、端末1の加入者情報及び在圏基地局情報を認証のキーとして識別サーバ7を介して認証を行い、特定端末から、かつ特定の場所においてのみ、アクセスを許可する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、携帯端末から特定ネットワークへアクセスする際に、所定の情報を認証のキーとすることで、アクセスを許可する技術に関する。
【背景技術】
【0002】
従来、ネットワークへの不正アクセスによりデータ破壊や情報漏洩を招くことを考えると、重要なネットワークではセキュリティに十分留意する必要がある。携帯端末により不正アクセスが行われる要因として、既に重要なネットワークへアクセスすることができる端末の不正入手が考えられる。
【0003】
携帯端末の紛失時や盗難時などであってもその端末からの不正アクセスを防ぐことが必要であった。
【0004】
また、社内LANなど機密性の高いネットワークへアクセスする際に、従来はパスワードや加入者情報による認証を行っているが、パスワードに関しては盗用や暗号解析される恐れがあり、また加入者情報も端末紛失時などに、その端末が悪用されて該当ネットワークへの不正アクセスを許す可能性も考えられる。
【0005】
ここで、移動端末のネットワークへのリモートアクセスにより、通信処理部は、移動端末から送信される発IDを受け取り、発ID処理部に渡し、発ID処理部では、この発IDを用いて移動端末の過去のアクセス履歴の取得要求を認証情報保存部に行い、過去のアクセス履歴が与えられると、発ID処理部では、過去のアクセス履歴と移動端末から与えられる移動端末の現在位置情報及びアクセス時刻等から、移動端末の移動速度vを求め、発ID処理部では、移動速度vが移動速度上限値を超えていなければ正当なアクセスとして、リモートアクセス処理部において上記アクセスが許可され、移動速度vが移動速度上限値を超えていれば今回のアクセスは不正アクセスであると判断して、リモートアクセス処理部において上記アクセスが禁止されることで、移動端末から有線ネットワークへのアクセスにおいて、不正アクセスを防止することができる技術が提案されている(例えば、特許文献1参照)。
【特許文献1】特開2000−40064号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、上述した従来例においては次のような問題点があった。
【0007】
上記の特許文献1では位置情報について移動速度の算出などを利用しているが、この移動速度が上限値を超えない限りは不正アクセスも可能であるという問題点があった。
【0008】
本発明は、以上説明した問題点を解決するためになされたものである。その目的は、加入者情報と在圏基地局を認証キーに加えることで、特定端末かつ特定の場所からのアクセスを認めるシステムを構成するところにある。
【課題を解決するための手段】
【0009】
上記課題を解決するために、本発明は、携帯端末が特定ネットワークへアクセスする際に、携帯端末の加入者情報及び在圏基地局情報を認証のキーとすることで、特定端末から、かつ特定の場所においてのみ、アクセスを許可するゲートウェイサーバを提供する。
【0010】
また、本発明は、携帯端末から特定ネットワークへアクセスする際に、携帯端末の加入者情報及び在圏基地局情報を認証のキーとすることで、特定端末から、かつ特定の場所においてのみ、アクセスを許可するセキュリティ保証システムを提供する。
【0011】
また、本発明は、携帯端末から特定ネットワークへアクセスする際に、携帯端末の加入者情報及び在圏基地局情報を認証のキーとすることで、特定端末から、かつ特定の場所においてのみ、アクセスを許可するセキュリティ保証方法を提供する。
【発明の効果】
【0012】
本発明によれば、加入者情報と在圏基地局を認証キーに加えることで、特定端末かつ特定の場所からのアクセスを認めるシステムを構成することができる。
【発明を実施するための最良の形態】
【0013】
以下、本発明の実施の形態について図面を参照して詳細に説明する。図1は本発明のイメージを示す図である。加入者情報の例として加入者番号を用いる。端末11、12、13はインターネット接続が可能な携帯電話であり、加入者番号もそれぞれ11、12、13であることを意味する。特定ネットワーク3へのアクセスを行うにあたり、アクセスの許容条件が以下の通りだったとする。
1. 加入者番号が11、13であること。
2. 基地局2の在圏範囲となるエリア4に含まれる携帯端末からのアクセスであること。
この場合、アクセスが許可されるのは端末11となり、該当端末のみ移動体通信網5、インターネット網6を経由して特定ネットワーク3へのアクセスが可能となる。
【0014】
図2が本実施の形態におけるセキュリティ保証システムの全体の構成となる。端末1はインターネット接続が可能な携帯電話の端末を意味する。
【0015】
識別サーバ7は携帯電話の加入者情報、在圏基地局情報及び該当加入者が加入しているサービス情報を蓄積しておく。蓄積はあらかじめ登録しておくことか、端末1が移動体通信網5へアクセスしてきた際にその情報を取得することで実現する。
【0016】
特定ネットワーク3は端末1の加入者がアクセスするネットワークである。
【0017】
移動体通信網5とインターネット網6との間にゲートウェイサーバ8を設置する。
【0018】
端末1から特定ネットワーク3へアクセスがあった場合、ゲートウェイサーバ8が識別サーバ7からアクセス元の端末の情報を受け取り、その情報がアクセス可否の条件を満たしているかを判定する。特定ネットワーク3へのアクセスを行うことができる加入者情報の条件はゲートウェイサーバ8が持つ。
【0019】
次に、本実施の形態の動作を図面を参照して詳細に説明する。
【0020】
図2にて示される、エンドユーザが端末1からコンテンツサービスを受けるため、移動体通信網5やインターネット網6を経由して特定ネットワーク3にアクセスするケースにおいて、詳細なフローを図3に示す。以下にそのフローを記す。
【0021】
まず、端末1から移動体通信網5へアクセスした際に、該当端末の加入者情報、位置情報を識別サーバ7に登録する。
【0022】
次に、ゲートウェイサーバ8にてアクセス元が正しいかを判定するためにアクセス元の加入者情報、位置情報を識別サーバ7へ問い合わせる。
【0023】
識別サーバ7にて、アクセス元の端末が特定ネットワーク3へのアクセスが許容されているか認証を行い、認証結果をゲートウェイサーバ8へ通知する。
【0024】
認証判定の結果アクセスを許容するのであれば、端末1と特定ネットワーク3の通信を確立し、認証判定の結果アクセスを許容しないのであれば、ゲートウェイサーバ8からアクセスできないことを端末1へ通知する。
【0025】
上記の本実施の形態によれば、加入者情報と在圏基地局による位置情報を元に認証を行う、あるいは従来のパスワードなどによるアクセス認証と組み合わせることにより、特定端末から、かつ特定の場所からのみ、社内LANなど機密性の高いネットワークへのアクセスのみを許可することが可能となり、ネットワークのセキュリティ性を高め、不正アクセスを防ぐことが可能となる。具体的には以下に記載するような効果を奏する。特定ネットワークへアクセス可能な端末を紛失した場合、特定ネットワークを利用することが可能なエリアにその端末が持ち込まれない限りは、アクセスされることがないため、紛失あるいは盗難にあった端末での不正アクセスを防ぐことが可能となる。
【0026】
特定ネットワークを利用することが可能なエリアに端末が持ち込まれた場合でも、ネットワークへのアクセスを許可されていない端末であれば、アクセスができないため、持ち込まれた端末からの情報漏洩などを防ぐことが可能となる。
【0027】
図4に動作イメージを示し、以下に内容の説明を行う。なお、ここでは加入者情報の例として加入者番号を取り上げるが、加入者情報を加入者番号に限定するものでは無く、特定端末のシリアル番号やその他加入者を特定できる固有の情報も加入者情報として利用し得る。
【0028】
端末101〜103、111〜113はインターネット接続が可能な携帯電話機であり、加入者番号もそれぞれ101〜103、111〜113であることを意味する。
【0029】
特定ネットワーク31〜33へのアクセスを行うにあたり条件がそれぞれ以下であったとする。
【0030】
1.特定ネットワーク31のアクセス条件は加入者番号が101であり、エリア401に属すること。
【0031】
2.特定ネットワーク32のアクセス条件は加入者番号が111か112であり、エリア402に属すること。
【0032】
3.特定ネットワーク33のアクセス条件は加入者番号が111であり、エリア402に属すること。
【0033】
上記の条件では特定ネットワーク31へアクセス可能なのは端末101のみとなる。また、同じエリア402に属する端末において特定ネットワーク32へは端末111と112がアクセスすることが可能だが、特定ネットワーク33に関しては端末111のみアクセス可能となる。また、後者の例では、端末111と112とで、ネットワークへのアクセス範囲を分けることが可能となる。
【0034】
なお、より機密性を高めるため、位置情報を正確にするためGPS情報ではなく在圏基地局情報を用いることが望ましい。
【0035】
また、在圏基地局情報に加入者情報を加えることで、ユーザ側では何ら意識することなくユーザごとに応じたネットワークアクセスレベルを分けることができる。
【0036】
なお、上述する各実施の形態は、本発明の好適な実施の形態であり、本発明の要旨を逸脱しない範囲内において種々変更実施が可能である。例えば、識別サーバおよび7ゲートウェイサーバ8の機能を実現するためのプログラムを各装置に読込ませて実行することにより各装置の機能を実現する処理を行ってもよい。さらに、そのプログラムは、コンピュータ読み取り可能な記録媒体であるCD−ROMまたは光磁気ディスクなどを介して、または伝送媒体であるインターネット、電話回線などを介して伝送波により他のコンピュータシステムに伝送されてもよい。
【0037】
上述する各実施の形態は、端末1、識別サーバおよび7ゲートウェイサーバ8が1つのコンピュータシステムとして実現されている構成について説明したが、各装置が別個に接続されている構成や機能毎に複数の装置などが追加された構成にも適用可能であることはもちろんである。
【図面の簡単な説明】
【0038】
【図1】本発明のイメージ図である。
【図2】本発明の実施の形態におけるセキュリティ保証システムの構成を示す図である。
【図3】本発明の実施の形態における処理動作示す図である。
【図4】本発明の実施の形態における動作イメージを示す図である。
【符号の説明】
【0039】
1 端末
3 特定ネットワーク
5 移動体通信網
6 インターネット網
7 識別サーバ
8 ゲートウェイサーバ
【技術分野】
【0001】
本発明は、携帯端末から特定ネットワークへアクセスする際に、所定の情報を認証のキーとすることで、アクセスを許可する技術に関する。
【背景技術】
【0002】
従来、ネットワークへの不正アクセスによりデータ破壊や情報漏洩を招くことを考えると、重要なネットワークではセキュリティに十分留意する必要がある。携帯端末により不正アクセスが行われる要因として、既に重要なネットワークへアクセスすることができる端末の不正入手が考えられる。
【0003】
携帯端末の紛失時や盗難時などであってもその端末からの不正アクセスを防ぐことが必要であった。
【0004】
また、社内LANなど機密性の高いネットワークへアクセスする際に、従来はパスワードや加入者情報による認証を行っているが、パスワードに関しては盗用や暗号解析される恐れがあり、また加入者情報も端末紛失時などに、その端末が悪用されて該当ネットワークへの不正アクセスを許す可能性も考えられる。
【0005】
ここで、移動端末のネットワークへのリモートアクセスにより、通信処理部は、移動端末から送信される発IDを受け取り、発ID処理部に渡し、発ID処理部では、この発IDを用いて移動端末の過去のアクセス履歴の取得要求を認証情報保存部に行い、過去のアクセス履歴が与えられると、発ID処理部では、過去のアクセス履歴と移動端末から与えられる移動端末の現在位置情報及びアクセス時刻等から、移動端末の移動速度vを求め、発ID処理部では、移動速度vが移動速度上限値を超えていなければ正当なアクセスとして、リモートアクセス処理部において上記アクセスが許可され、移動速度vが移動速度上限値を超えていれば今回のアクセスは不正アクセスであると判断して、リモートアクセス処理部において上記アクセスが禁止されることで、移動端末から有線ネットワークへのアクセスにおいて、不正アクセスを防止することができる技術が提案されている(例えば、特許文献1参照)。
【特許文献1】特開2000−40064号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、上述した従来例においては次のような問題点があった。
【0007】
上記の特許文献1では位置情報について移動速度の算出などを利用しているが、この移動速度が上限値を超えない限りは不正アクセスも可能であるという問題点があった。
【0008】
本発明は、以上説明した問題点を解決するためになされたものである。その目的は、加入者情報と在圏基地局を認証キーに加えることで、特定端末かつ特定の場所からのアクセスを認めるシステムを構成するところにある。
【課題を解決するための手段】
【0009】
上記課題を解決するために、本発明は、携帯端末が特定ネットワークへアクセスする際に、携帯端末の加入者情報及び在圏基地局情報を認証のキーとすることで、特定端末から、かつ特定の場所においてのみ、アクセスを許可するゲートウェイサーバを提供する。
【0010】
また、本発明は、携帯端末から特定ネットワークへアクセスする際に、携帯端末の加入者情報及び在圏基地局情報を認証のキーとすることで、特定端末から、かつ特定の場所においてのみ、アクセスを許可するセキュリティ保証システムを提供する。
【0011】
また、本発明は、携帯端末から特定ネットワークへアクセスする際に、携帯端末の加入者情報及び在圏基地局情報を認証のキーとすることで、特定端末から、かつ特定の場所においてのみ、アクセスを許可するセキュリティ保証方法を提供する。
【発明の効果】
【0012】
本発明によれば、加入者情報と在圏基地局を認証キーに加えることで、特定端末かつ特定の場所からのアクセスを認めるシステムを構成することができる。
【発明を実施するための最良の形態】
【0013】
以下、本発明の実施の形態について図面を参照して詳細に説明する。図1は本発明のイメージを示す図である。加入者情報の例として加入者番号を用いる。端末11、12、13はインターネット接続が可能な携帯電話であり、加入者番号もそれぞれ11、12、13であることを意味する。特定ネットワーク3へのアクセスを行うにあたり、アクセスの許容条件が以下の通りだったとする。
1. 加入者番号が11、13であること。
2. 基地局2の在圏範囲となるエリア4に含まれる携帯端末からのアクセスであること。
この場合、アクセスが許可されるのは端末11となり、該当端末のみ移動体通信網5、インターネット網6を経由して特定ネットワーク3へのアクセスが可能となる。
【0014】
図2が本実施の形態におけるセキュリティ保証システムの全体の構成となる。端末1はインターネット接続が可能な携帯電話の端末を意味する。
【0015】
識別サーバ7は携帯電話の加入者情報、在圏基地局情報及び該当加入者が加入しているサービス情報を蓄積しておく。蓄積はあらかじめ登録しておくことか、端末1が移動体通信網5へアクセスしてきた際にその情報を取得することで実現する。
【0016】
特定ネットワーク3は端末1の加入者がアクセスするネットワークである。
【0017】
移動体通信網5とインターネット網6との間にゲートウェイサーバ8を設置する。
【0018】
端末1から特定ネットワーク3へアクセスがあった場合、ゲートウェイサーバ8が識別サーバ7からアクセス元の端末の情報を受け取り、その情報がアクセス可否の条件を満たしているかを判定する。特定ネットワーク3へのアクセスを行うことができる加入者情報の条件はゲートウェイサーバ8が持つ。
【0019】
次に、本実施の形態の動作を図面を参照して詳細に説明する。
【0020】
図2にて示される、エンドユーザが端末1からコンテンツサービスを受けるため、移動体通信網5やインターネット網6を経由して特定ネットワーク3にアクセスするケースにおいて、詳細なフローを図3に示す。以下にそのフローを記す。
【0021】
まず、端末1から移動体通信網5へアクセスした際に、該当端末の加入者情報、位置情報を識別サーバ7に登録する。
【0022】
次に、ゲートウェイサーバ8にてアクセス元が正しいかを判定するためにアクセス元の加入者情報、位置情報を識別サーバ7へ問い合わせる。
【0023】
識別サーバ7にて、アクセス元の端末が特定ネットワーク3へのアクセスが許容されているか認証を行い、認証結果をゲートウェイサーバ8へ通知する。
【0024】
認証判定の結果アクセスを許容するのであれば、端末1と特定ネットワーク3の通信を確立し、認証判定の結果アクセスを許容しないのであれば、ゲートウェイサーバ8からアクセスできないことを端末1へ通知する。
【0025】
上記の本実施の形態によれば、加入者情報と在圏基地局による位置情報を元に認証を行う、あるいは従来のパスワードなどによるアクセス認証と組み合わせることにより、特定端末から、かつ特定の場所からのみ、社内LANなど機密性の高いネットワークへのアクセスのみを許可することが可能となり、ネットワークのセキュリティ性を高め、不正アクセスを防ぐことが可能となる。具体的には以下に記載するような効果を奏する。特定ネットワークへアクセス可能な端末を紛失した場合、特定ネットワークを利用することが可能なエリアにその端末が持ち込まれない限りは、アクセスされることがないため、紛失あるいは盗難にあった端末での不正アクセスを防ぐことが可能となる。
【0026】
特定ネットワークを利用することが可能なエリアに端末が持ち込まれた場合でも、ネットワークへのアクセスを許可されていない端末であれば、アクセスができないため、持ち込まれた端末からの情報漏洩などを防ぐことが可能となる。
【0027】
図4に動作イメージを示し、以下に内容の説明を行う。なお、ここでは加入者情報の例として加入者番号を取り上げるが、加入者情報を加入者番号に限定するものでは無く、特定端末のシリアル番号やその他加入者を特定できる固有の情報も加入者情報として利用し得る。
【0028】
端末101〜103、111〜113はインターネット接続が可能な携帯電話機であり、加入者番号もそれぞれ101〜103、111〜113であることを意味する。
【0029】
特定ネットワーク31〜33へのアクセスを行うにあたり条件がそれぞれ以下であったとする。
【0030】
1.特定ネットワーク31のアクセス条件は加入者番号が101であり、エリア401に属すること。
【0031】
2.特定ネットワーク32のアクセス条件は加入者番号が111か112であり、エリア402に属すること。
【0032】
3.特定ネットワーク33のアクセス条件は加入者番号が111であり、エリア402に属すること。
【0033】
上記の条件では特定ネットワーク31へアクセス可能なのは端末101のみとなる。また、同じエリア402に属する端末において特定ネットワーク32へは端末111と112がアクセスすることが可能だが、特定ネットワーク33に関しては端末111のみアクセス可能となる。また、後者の例では、端末111と112とで、ネットワークへのアクセス範囲を分けることが可能となる。
【0034】
なお、より機密性を高めるため、位置情報を正確にするためGPS情報ではなく在圏基地局情報を用いることが望ましい。
【0035】
また、在圏基地局情報に加入者情報を加えることで、ユーザ側では何ら意識することなくユーザごとに応じたネットワークアクセスレベルを分けることができる。
【0036】
なお、上述する各実施の形態は、本発明の好適な実施の形態であり、本発明の要旨を逸脱しない範囲内において種々変更実施が可能である。例えば、識別サーバおよび7ゲートウェイサーバ8の機能を実現するためのプログラムを各装置に読込ませて実行することにより各装置の機能を実現する処理を行ってもよい。さらに、そのプログラムは、コンピュータ読み取り可能な記録媒体であるCD−ROMまたは光磁気ディスクなどを介して、または伝送媒体であるインターネット、電話回線などを介して伝送波により他のコンピュータシステムに伝送されてもよい。
【0037】
上述する各実施の形態は、端末1、識別サーバおよび7ゲートウェイサーバ8が1つのコンピュータシステムとして実現されている構成について説明したが、各装置が別個に接続されている構成や機能毎に複数の装置などが追加された構成にも適用可能であることはもちろんである。
【図面の簡単な説明】
【0038】
【図1】本発明のイメージ図である。
【図2】本発明の実施の形態におけるセキュリティ保証システムの構成を示す図である。
【図3】本発明の実施の形態における処理動作示す図である。
【図4】本発明の実施の形態における動作イメージを示す図である。
【符号の説明】
【0039】
1 端末
3 特定ネットワーク
5 移動体通信網
6 インターネット網
7 識別サーバ
8 ゲートウェイサーバ
【特許請求の範囲】
【請求項1】
携帯端末が特定ネットワークへアクセスする際に、携帯端末の加入者情報及び在圏基地局情報を認証のキーとすることで、特定端末から、かつ特定の場所においてのみ、アクセスを許可することを特徴とするゲートウェイサーバ。
【請求項2】
前記在圏基地局情報は特定ネットワークを利用することが可能なエリアに前記携帯端末が存在するか否かを判定するために用いられることを特徴とする請求項1記載のゲートウェイサーバ。
【請求項3】
携帯端末から特定ネットワークへアクセスする際に、携帯端末の加入者情報及び在圏基地局情報を認証のキーとすることで、特定端末から、かつ特定の場所においてのみ、アクセスを許可することを特徴とするセキュリティ保証システム。
【請求項4】
前記在圏基地局情報は特定ネットワークを利用することが可能なエリアに前記携帯端末が存在するか否かを判定するために用いられることを特徴とする請求項3記載のセキュリティ保証システム。
【請求項5】
携帯端末から特定ネットワークへアクセスする際に、携帯端末の加入者情報及び在圏基地局情報を認証のキーとすることで、特定端末から、かつ特定の場所においてのみ、アクセスを許可することを特徴とするセキュリティ保証方法。
【請求項6】
前記在圏基地局情報は特定ネットワークを利用することが可能なエリアに前記携帯端末が存在するか否かを判定するために用いられることを特徴とする請求項5記載のセキュリティ保証方法。
【請求項7】
コンピュータに請求項1または2記載の機能を実現させることを特徴とするプログラム。
【請求項1】
携帯端末が特定ネットワークへアクセスする際に、携帯端末の加入者情報及び在圏基地局情報を認証のキーとすることで、特定端末から、かつ特定の場所においてのみ、アクセスを許可することを特徴とするゲートウェイサーバ。
【請求項2】
前記在圏基地局情報は特定ネットワークを利用することが可能なエリアに前記携帯端末が存在するか否かを判定するために用いられることを特徴とする請求項1記載のゲートウェイサーバ。
【請求項3】
携帯端末から特定ネットワークへアクセスする際に、携帯端末の加入者情報及び在圏基地局情報を認証のキーとすることで、特定端末から、かつ特定の場所においてのみ、アクセスを許可することを特徴とするセキュリティ保証システム。
【請求項4】
前記在圏基地局情報は特定ネットワークを利用することが可能なエリアに前記携帯端末が存在するか否かを判定するために用いられることを特徴とする請求項3記載のセキュリティ保証システム。
【請求項5】
携帯端末から特定ネットワークへアクセスする際に、携帯端末の加入者情報及び在圏基地局情報を認証のキーとすることで、特定端末から、かつ特定の場所においてのみ、アクセスを許可することを特徴とするセキュリティ保証方法。
【請求項6】
前記在圏基地局情報は特定ネットワークを利用することが可能なエリアに前記携帯端末が存在するか否かを判定するために用いられることを特徴とする請求項5記載のセキュリティ保証方法。
【請求項7】
コンピュータに請求項1または2記載の機能を実現させることを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2007−329542(P2007−329542A)
【公開日】平成19年12月20日(2007.12.20)
【国際特許分類】
【出願番号】特願2006−157145(P2006−157145)
【出願日】平成18年6月6日(2006.6.6)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成19年12月20日(2007.12.20)
【国際特許分類】
【出願日】平成18年6月6日(2006.6.6)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]