認証システム、この認証システムに用いる認証サーバ、中継システム及び中継装置
【課題】簡単に構築可能で、端末の負荷が小さい認証システム、この認証システムに用いる認証サーバ、中継システム及び中継装置を提供する。
【解決手段】 認証要求を含む通信データを送信するクライアント端末を備えるローカルネットワークと、認証要求に応じてクライアント端末を認証する認証サーバと、ローカルネットワークと認証サーバとの通信を中継する中継システムとを備え、中継システムにおいて受信された通信データを、変換関数により変換して第1特定値を算出する第1変換手段と、認証サーバにおいて受信された通信データを、第1特定値の算出に用いた関数と同一の変換関数により変換して第2特定値を算出する第2変換手段と、第1特定値と第2特定値との照合処理を行う特定値照合手段とを備える。
【解決手段】 認証要求を含む通信データを送信するクライアント端末を備えるローカルネットワークと、認証要求に応じてクライアント端末を認証する認証サーバと、ローカルネットワークと認証サーバとの通信を中継する中継システムとを備え、中継システムにおいて受信された通信データを、変換関数により変換して第1特定値を算出する第1変換手段と、認証サーバにおいて受信された通信データを、第1特定値の算出に用いた関数と同一の変換関数により変換して第2特定値を算出する第2変換手段と、第1特定値と第2特定値との照合処理を行う特定値照合手段とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サーバがネットワークを介してクライアント端末を認証する認証システム、この認証システムに用いる認証サーバ、中継システム及び中継装置に関する。
【背景技術】
【0002】
クライアント認証に関する技術として、セキュアソケットレイヤ(SSL)、仮想プライベートネットワーク(VPN)等が知られている。
【0003】
SSL通信でクライアント認証する場合、クライアント側に証明書をインストールする必要がある(特許文献1参照)。他者にID、パスワード等を盗まれても、なりすましが難しいというメリットを有する反面、例えば、ホームネットワーク等の小規模ネットワークにおいて、複数のクライアント端末から認証を行う場合、すべてのクライアント端末に証明書をインストールする必要があり、端末毎の管理のコスト、負荷が大きいというデメリットがある。更に、これらの処理は、ホームネットワークにおける比較的低スペックな端末にとって、より負荷が大きい。
【0004】
仮想プライベートネットワーク(VPN)技術は、IPsec、SSL等を利用して安全な通信路を構築可能な技術である。VPNは、強固な暗号化ほど端末における処理が大きく、低スペックな端末にとって処理の負荷が大きい。又、VPNの構築、管理は複雑であり、ネットワークの管理者に相当程度のスキルが求められる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−157845号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、簡単に構築可能で、端末の負荷が小さい認証システム、この認証システムに用いる認証サーバ、中継システム及び中継装置を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するために、本発明の第1の態様は、認証要求を含む通信データを送信するクライアント端末を備えるローカルネットワークと、認証要求に応じてクライアント端末を認証する認証サーバと、ローカルネットワークと認証サーバとの通信を中継する中継システムとを備える認証システムであって、中継システムにおいて受信された通信データを、変換関数により変換して第1特定値を算出する第1変換手段と、認証サーバにおいて受信された通信データを、第1特定値の算出に用いた関数と同一の変換関数により変換して第2特定値を算出する第2変換手段と、第1特定値と第2特定値との照合処理を行う特定値照合手段とを備える認証システムであることを要旨とする。本発明の第1の態様に係る認証システムにおいては、認証サーバは、少なくとも、照合処理により第1特定値と第2特定値とが一致した場合において、クライアント端末の認証処理を成立と判定する認証判定手段を備えることを特徴とする。
【0008】
又、本発明の第1の態様に係る認証システムにおいては、認証サーバは、中継システムに対して証明書を発行し、証明書を用いて中継システムを認証する中継システム認証手段を更に備える。
【0009】
又、本発明の第1の態様に係る認証システムにおいては、中継システムは、第1特定値を認証サーバに送信する特定値送信手段を更に備え、認証サーバが特定値照合手段を備える。
【0010】
又、本発明の第1の態様に係る認証システムにおいては、中継システムは、ローカルネットワークに広域ネットワーク接続を提供するプロバイダを含み、第1変換手段が、プロバイダにおいて受信された通信データを、変換関数により変換して第1特定値を算出する。
【0011】
又、本発明の第1の態様に係る認証システムにおいては、複数のローカルネットワークと、複数のローカルネットワークにそれぞれ設けられ、複数のローカルネットワークと認証サーバとの通信をそれぞれ中継する複数の中継システムとを更に備え、予め、認証サーバに、複数のローカルネットワークをそれぞれ識別することのできるネットワーク識別情報を登録しておき、複数のネットワークのいずれかに備えられるクライアント端末から送信された認証要求を受信した場合、認証サーバは、ネットワーク識別情報に基づいて、複数のローカルネットワークにそれぞれ照合処理を要求する。
【0012】
又、本発明の第1の態様に係る認証システムにおいては、複数のローカルネットワークと、複数のローカルネットワークにそれぞれ設けられ、複数のローカルネットワークと認証サーバとの通信をそれぞれ中継する複数の中継システムとを更に備え、予め、認証サーバに、複数のローカルネットワークをそれぞれ識別することのできるネットワーク識別情報を登録しておき、複数のネットワークのいずれかに備えられるクライアント端末から送信された認証要求を受信した場合、認証サーバは、ネットワーク識別情報に基づいて、認証要求を送信したクライアント端末が備えられるローカルネットワークのみに照合処理を要求し、認証要求を送信したクライアント端末が備えられるローカルネットワーク以外の複数のローカルネットワークに照合処理を要求することを禁止する。
【0013】
又、本発明の第1の態様に係る認証システムにおいては、認証サーバは、クライアント端末と、通信対象サーバとの通信を中継する通信中継手段を更に備える。
【0014】
又、本発明の第1の態様に係る認証システムにおいては、複数のローカルネットワークと、複数のローカルネットワークにそれぞれ対応して設けられ、複数のローカルネットワークと認証サーバとの通信をそれぞれ中継する複数の中継システムと、複数のローカルネットワークにそれぞれ対応して設けられる複数の認証サーバとを更に備え、第1のローカルネットワークに接続されたクライアント端末が、第2のローカルネットワークに接続された認証サーバに認証要求を送信し、特定値照合手段が、第1のローカルネットワークに備えられた第1変換手段により算出された第1特定値と、第2のローカルネットワークに備えられた第2変換手段により算出された第2特定値とを照合処理する。
【0015】
本発明の第2の態様に係る認証サーバは、認証要求を含む通信データを送信するクライアント端末を備えるローカルネットワークとの通信を中継する中継システムが接続され、認証要求に応じてクライアント端末を認証し、通信データを、変換関数により変換して特定値を算出する変換手段と、認証サーバとクライアント端末との間の認証処理を判定する認証判定手段とを備え、認証判定手段は、少なくとも、中継システムにおいて受信された通信データを、特定値の算出に用いた関数と同一の変換関数により変換して算出された特定値と、変換手段により算出された特定値とが一致した場合において、認証処理を成立と判定することを要旨とする。
【0016】
本発明の第3の態様に係る変換装置は、認証要求を含む通信データを送信するクライアント端末と、認証要求に応じてクライアント端末を認証する認証サーバとの通信を中継する中継装置に接続され、中継装置において受信された通信データを、変換関数により変換して特定値を算出する変換手段と、この特定値と、認証サーバにおいて受信された通信データを、特定値の算出に用いた関数と同一の変換関数により変換して算出された特定値とを照合する特定値照合手段とを備えることを要旨とする。
【0017】
本発明の第4の態様に係る中継装置は、認証要求を含む通信データを送信するクライアント端末を備えるローカルネットワークと、認証要求に応じてクライアント端末を認証する認証サーバとの通信を中継し、受信した通信データを、変換関数により変換して特定値を算出する変換手段と、この特定値と、認証サーバにおいて受信された通信データを、特定値の算出に用いた関数と同一の変換関数により変換して算出された特定値とを照合する特定値照合手段とを備えることを要旨とする。
【発明の効果】
【0018】
本発明によれば、簡単に構築可能で、端末の負荷が小さい認証システム、この認証システムに用いる認証サーバ、中継システム及び中継装置を提供することができる。
【図面の簡単な説明】
【0019】
【図1】図1は、本発明の第1の実施形態に係る認証システムを説明する模式的なブロック図である。
【図2】図2は、本発明の第1の実施形態に係る認証システムの動作を説明するシーケンス図である。
【図3】図3は、本発明の第1の実施形態に係る認証システムに用いる認証サーバの動作を説明するフローチャートである。
【図4】図4は、本発明の第1の実施形態に係る認証システムに用いる中継システムの動作を説明するフローチャートである。
【図5】図5は、本発明の第1の実施形態に係る認証システムに用いるクライアント端末が送信する通信データのデータ構造を図示した一例である。
【図6】図6は、本発明の第2の実施形態に係る認証システムを説明する模式的なブロック図である。
【図7】図7は、本発明の第3の実施形態に係る認証システムを説明する模式的なブロック図である。
【図8】図8は、本発明の第3の実施形態に係る認証システムに用いる認証サーバの動作を説明するフローチャートである。
【図9】図9は、本発明の第4の実施形態に係る認証システムを説明する模式的なブロック図である。
【図10】図10は、本発明の第5の実施形態に係る認証システムを説明する模式的なブロック図である。
【図11】図11は、本発明の第6の実施形態に係る認証システムを説明する模式的なブロック図である。
【図12】図12は、本発明の第7の実施形態に係る認証システムを説明する模式的なブロック図である。
【図13】図13は、本発明の第7の実施形態に係る認証システムに用いる認証サーバの動作を説明するフローチャートである。
【図14】図14は、本発明の第8の実施形態に係る認証システムを説明する模式的なブロック図である。
【図15】図15は、本発明のその他の実施形態に係る認証システムに用いる中継装置を説明する模式的なブロック図である。
【発明を実施するための形態】
【0020】
次に、図面を参照して、本発明の第1〜第8の実施形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。但し、以下に示す実施形態は、本発明の技術的思想を具体化するためのシステム、このシステムに用いられる装置や方法を例示するものであって、本発明の技術的思想は、下記の実施形態に例示したシステム、システムに用いられる装置や方法に特定するものでない。本発明の技術的思想は、特許請求の範囲に記載された技術的範囲内において、種々の変更を加えることができる。
【0021】
(第1の実施形態)
本発明の第1の実施形態に係る認証システムは、図1に示すように、広域ネットワーク6と、認証要求を含む通信データを少なくとも送信する複数のクライアント端末9-1,9-2,9-3,…,9-n(nは正の整数)が広域ネットワークと通信可能に接続されたローカルネットワーク8と、複数のクライアント端末9-1〜9-nから送信された認証要求に応じて、複数のクライアント端末9-1〜9-nをそれぞれ認証する認証サーバ2と、複数のクライアント端末9-1〜9-nと認証サーバ2との通信を中継する中継装置3、中継装置3に接続され、中継装置3を経由した通信データを取得する変換装置1を含む中継システム4とを備える。
【0022】
複数のクライアント端末9-1〜9-nは、認証サーバ2に認証要求を送信する認証要求手段901をそれぞれ有する。第1の実施形態において、クライアント端末を、複数のクライアント端末9-1〜9-nとして説明しているが、クライアント端末は、複数に限るものでなく、単数であっても良い。以下、複数のクライアント端末9-1〜9-nを総称する場合において、単に「クライアント端末9」という。クライアント端末9は、記憶装置や、入出力装置を備えた汎用PC等としても良いが、認証サーバ2に認証要求を送信し、中継システム4と通信可能に接続される限り、どのような端末でも良い。例えば、ローカルネットワーク8が、所定の範囲の機器を統合して管理する、所謂ホームネットワークである場合、クライアント端末9は、エアコン、カメラ、テレビ等の電気機器とすることができる。
【0023】
中継装置3は、ローカルネットワーク8のクライアント端末9から送信された通信データを受信し、広域ネットワーク6を介して認証サーバ2に送信する他、クライアント端末9が送信した通信データを変換装置1においてキャプチャさせるため、ミラーリング、タップ(分岐)等して、クライアント端末9が送信した通信データを変換装置1に送信する機能を有する。
【0024】
変換装置1は、中継装置3との通信等の入出力信号を制御する入出力制御部11と、演算処理部10と、特定値記憶装置12と、変換関数記憶装置13とを備える。
【0025】
演算処理部10は、ハッシュ関数(変換関数)により通信データをハッシュ化(変換)してハッシュ値(第1特定値)を算出し、算出したハッシュ値(第1特定値)をハッシュテーブルとして特定値記憶装置12に格納する通信データ変換手段101(第1変換手段)と、所定のハッシュ値を照合処理する特定値照合手段102と、特定値照合手段102による照合結果を送信する照合結果送信手段103とを論理構成として有する。特定値記憶装置12は、通信データ変換手段101によって算出されたハッシュ値(第1特定値)をハッシュテーブルとして格納し、変換関数記憶装置13は、通信データ変換手段101がハッシュ値の算出に用いるハッシュ関数(変換関数)を格納する。
【0026】
認証サーバ2は、演算処理部20と、広域ネットワーク6との通信等の入出力信号を制御する入出力制御部21と、認証情報記憶装置22と、特定値記憶装置23と、変換関数記憶装置24とを備える。
【0027】
演算処理部20は、通信データ変換手段101がハッシュ値(第1特定値)の算出に用いたハッシュ関数(変換関数)と同一のハッシュ関数(変換関数)により、通信データをハッシュ化(変換)し、ハッシュ値(第2特定値)を算出する通信データ変換手段201(第2変換手段)と、変換装置1の特定値照合手段102に対してハッシュ値の照合を要求する照合要求手段202と、変換装置1の照合結果送信手段103から送信される照合結果に基づいて認証の可否を判定する認証判定手段203とを論理構成として有する。
【0028】
認証情報記憶装置22は、IPアドレス、完全修飾ドメイン名(FQDN)等の中継システム4に固有の情報等、広域ネットワーク6上で、中継システム4が接続されたローカルネットワーク8を識別することのできるネットワーク識別情報、ID、パスワード、電子メールアドレス等のクライアント端末9を利用するユーザに固有の情報であるユーザ情報等を、認証に用いることができる認証情報として格納する。特定値記憶装置23は、通信データ変換手段201によって算出されたハッシュ値(第2特定値)を格納する。変換関数記憶装置24は、通信データ変換手段201がハッシュ値の算出に用いるハッシュ関数(変換関数)を格納する。
【0029】
第1の実施形態に係る認証システムにおいては、予め、変換装置1の変換関数記憶装置13、認証サーバ2の変換関数記憶装置24に、互いに同一のハッシュ関数が格納されるが、ハッシュ関数を共有するには、他の構成として、例えば、変換装置1の演算処理部10が、認証サーバ2にアクセスし、変換関数記憶装置24に格納されているハッシュ関数(変換関数)を取得し、変換装置1の変換関数記憶装置13に格納する変換関数取得手段を論理構成として更に有するようにしても良い。
【0030】
尚、変換装置1の特定値記憶装置12、変換関数記憶装置13、及び認証サーバ2の認証情報記憶装置22、特定値記憶装置23、変換関数記憶装置24等は、それぞれ論理構成としての表示であり、現実には変換装置1、認証サーバ2等の記憶内容は、それぞれにおいて同一のハードウェアに格納されて構わない。例えば、変換装置1、認証サーバ2等の記憶内容は、それぞれSRAM、DRAM等の揮発性の記憶装置からなる主記憶装置、ハードディスク(HD)等の磁気ディスク、磁気テープ、光ディスク、光磁気ディスク等の不揮発性の記憶装置からなる補助記憶装置に格納することが可能である。補助記憶装置としては、その他、RAMディスク、ICカード、フラッシュメモリーカード、USBフラッシュメモリー、フラッシュディスク(SSD)等が使用可能である。
【0031】
通信データ変換手段101及び通信データ変換手段201における通信データのハッシュ化は、例えば、図5に示すように、通信データがIPv4パケットの場合、IPヘッダをハッシュ化すれば良い。図5に右上がりのハッチングで示すように、サービスタイプ、パケット長、フラグ、断片オフセット、有効期間、チェックサム、オプションは、IPヘッダのハッシュ化において、0にマスクされるデータとすることができる。即ち、IPv4パケットのハッシュ化においては、バージョン、ヘッダ長、識別子、プロトコル、送信元アドレス、宛先アドレス、ペイロードデータを、パケット(通信データ)を特定するためのデータとして用いることができる。
【0032】
<認証方法>
図2に示すシーケンス図を用いて、本発明の第1の実施形態に係る認証システムの動作の一例を説明する:
【0033】
(イ)先ず、ステップS11において、中継システム4は、中継装置3が、クライアント端末9から送信される通信データを受信し、認証サーバ2、変換装置1に送信すると共に、通信データ変換手段101が、変換関数記憶装置13からハッシュ関数(変換関数)を読み出し、クライアント端末9からの通信データをハッシュ関数によりハッシュ化(変換)してハッシュ値(第1特定値)を算出し、ハッシュ値(第1特定値)を特定値記憶装置12に格納する一連の処理を開始する。
【0034】
(ロ)ステップS12において、クライアント端末9の認証要求手段901は、中継システム4を介して、認証サーバ2に認証要求を送信する。中継システム4において、通信データ変換手段101は、クライアント端末9から送信された認証要求をハッシュ関数(変換関数)によりハッシュ値(第1特定値)に変換し、特定値記憶装置12に格納する。続いて、ステップS13において、認証サーバ2の通信データ変換手段201は、変換関数記憶装置24から変換関数記憶装置13に格納された関数と同一のハッシュ関数(変換関数)を読み出し、クライアント端末9から送信された通信データをハッシュ関数(変換関数)によりハッシュ化(変換)してハッシュ値(第2特定値)を算出し、ハッシュ値(第2特定値)特定値記憶装置23に格納する。
【0035】
(ハ)ステップS14において、認証サーバ2の照合要求手段202は、特定値記憶装置23からハッシュ値(第2特定値)を読み出し、ハッシュ値(第2特定値)と共に照合要求を中継システム4に送信する。ステップS15において、中継システム4の特定値照合手段102は、認証サーバ2から送信された照合要求に応じて、中継システム4において算出され、中継システム4から送信されたハッシュ値(第1特定値)と、認証サーバ2において算出され、特定値記憶装置23に格納されたハッシュ値(第2特定値)とを照合する。ステップS16において、照合結果送信手段103は、中継システム4において算出されたハッシュ値(第1特定値)と、認証サーバ2において算出されたハッシュ値(第2特定値)とが一致したか否かを、認証サーバ2に送信する。
【0036】
(ニ)ステップS17において、認証判定手段203は、中継システム4の照合結果送信手段103から送信された照合結果に基づいて、クライアント端末9に対する認証の可否を判定し、ステップS18において、認証の可否を認証結果として送信する。
【0037】
<認証サーバの動作>
図3に示すフローチャートを用いて、本発明の第1の実施形態に係る認証システムが備える認証サーバ2の動作の一例を説明する:
【0038】
(イ)先ず、ステップS21において、予め、認証サーバ2の認証情報記憶装置22に中継システム4のIPアドレス等、広域ネットワーク6において、ローカルネットワーク8を識別することができるネットワーク識別情報、及びID、パスワード、電子メールアドレス等、ユーザに固有の情報であるユーザ情報等を認証情報として登録する。
【0039】
(ロ)ステップS22において、通信データ変換手段201は、クライアント端末9の認証要求手段901から送信された認証要求を受信する。ステップS23において、通信データ変換手段201は、クライアント端末9から送信された認証要求に応じて、認証要求をハッシュ関数(変換関数)によりハッシュ化(変換)してハッシュ値(第2特定値)を算出し、ハッシュ値(第2特定値)を特定値記憶装置23に格納する。続いて、ステップS24において、照合要求手段202は、特定値記憶装置23からハッシュ値(第2特定値)を読み出し、ハッシュ値(第2特定値)と共に、照合要求を中継システム4に送信する。
【0040】
(ハ)ステップS25において、認証判定手段203は、クライアント端末9から送信された認証要求に含まれる認証情報と、認証情報記憶装置22に格納される認証情報とを照合し、照合要求手段202から送信した照合要求に対して中継システム4から返信された照合結果に基づいて、認証の可否を判定する。クライアント端末9から送信された認証情報と認証情報記憶装置22に格納される認証情報とが一致し、且つ、中継システム4から送信された照合結果が、中継システム4において算出されたハッシュ値(第1特定値)と認証サーバ2において算出されたハッシュ値(第2特定値)とが一致した旨の照合結果である場合は、ステップS26に進み、認証を成立とし、ステップS27において、認証サーバ2は、クライアント端末9に対するサービスを実行する。クライアント端末9から送信された認証情報と認証情報記憶装置22に格納される認証情報とが一致しない場合、又は、中継システム4から送信された照合結果が、中継システム4において算出されたハッシュ値(第1特定値)と認証サーバ2において算出されたハッシュ値(第2特定値)とが一致しない旨の照合結果である場合は、ステップS28に進み、認証を不成立とし、終了する。
【0041】
<中継システムの動作>
図4に示すフローチャートを用いて、本発明の第1の実施形態に係るに認証システムが備える中継システム4の動作の一例を説明する:
【0042】
(イ)先ず、ステップS31において、特定値照合手段102は、認証サーバ2の照合要求手段202から、認証サーバ2において算出されたハッシュ値(第2特定値)を含む照合要求を受信する。
【0043】
(ロ)ステップS32において、特定値照合手段102は、特定値記憶装置12に格納され、中継システム4において算出されたハッシュ値(第1特定値)を含むハッシュテーブルから、認証サーバ2において算出されたハッシュ値(第2特定値)と一致するハッシュ値(第1特定値)を検索し、照合する。
【0044】
(ハ)ステップS33において、照合結果送信手段103は、中継システム4において算出されたハッシュ値(第1特定値)と認証サーバ2において算出されたハッシュ値(第2特定値)と一致する場合、照合結果を真(true)、中継システム4において算出されたハッシュ値(第1特定値)と認証サーバ2において算出されたハッシュ値(第2特定値)とが一致しない場合、照合結果を偽(false)として、認証サーバ2に照合結果を送信して終了する。
【0045】
第1の実施形態に係る認証システムによれば、認証サーバ2において算出されたハッシュ値と中継システム4においてハッシュ値とを照合した結果に基づいて、認証の可否を決定するので、クライアント端末9における証明書の管理コスト等、クライアント端末9側のの負荷を低減し、所謂なりすましを防止できる。更に、第1の実施形態に係る認証システムは、既存のネットワークに簡単に構築できるので、認証システム構築のコストを低減できる。
【0046】
(第2の実施形態)
本発明の第2の実施形態に係る認証システムは、図6に示すように、認証サーバ2の演算処理部20が、中継システム4に対する認証を行う中継システム認証手段204を論理構成として更に有し、中継システム4において、変換装置1の演算処理部10が、中継システム認証手段204が行う認証を処理する認証処理手段104を論理構成として更に有し、変換装置1が、中継システム認証手段204が行う認証に用いる認証情報を格納する認証情報記憶装置14を更に備える点で第1の実施形態と異なる。他の構成は、第1の実施形態に係る認証システムと実質的に同様であるので、重複した説明を省略する。
【0047】
中継システム認証手段204は、認証処理手段104と協働し、認証サーバ2と中継システム4との間で認証処理を行う。認証サーバ2と中継システム4との間の認証は、例えば、認証局から発行された証明書を用いたSSLによる認証を利用することができる。
【0048】
認証サーバ2と中継システム4との間の認証は、例えば、予め中継システム4の認証情報記憶装置14に、クライアント証明書を登録し、中継システム認証手段204が、認証処理手段104にクライアント証明書を要求するようにすれば良い。認証処理手段104は、認証情報記憶装置14からクライアント証明書を読み出し、電子署名を生成し、クライアント証明書及び電子署名を認証サーバ2に送信する。そして、認証サーバ2の中継システム認証手段204が、クライアント証明書及び電子署名を検証し、正当な署名であることが確認できた場合に、認証サーバ2と中継システム4との間の認証を成立とし、認証サーバ2と中継システム4との間で暗号化通信を利用することができる。
【0049】
第2の実施形態に係る認証システムによれば、認証サーバ2において算出されたハッシュ値と中継システム4においてハッシュ値とを照合した結果に基づいて、認証の可否を決定するので、認証システム構築のコストが小さく、且つクライアント端末9の負荷を低減できる。更に、第2の実施形態に係る認証システムは、認証サーバ2と中継システム4との間で証明書を用いた認証処理を行うので、セキュリティ性が向上する。
【0050】
(第3の実施形態)
第2の実施形態に係る認証システムは、中継システム4において、中継システム4において算出されたハッシュ値(第1特定値)と、認証サーバ2において算出されたハッシュ値(第2特定値)とを照合したが、認証サーバ2において照合するようにしても良い。
【0051】
即ち、本発明の第3の実施形態に係る認証システムは、図7に示すように、認証サーバ2の演算処理部20が、ハッシュ値を照合する特定値照合手段205を論理構成として更に有し、中継システムにおいて、変換装置1の演算処理部10が、中継システム4において算出されたハッシュ値(第1特定値)を認証サーバ2に送信する特定値送信手段105を論理構成として更に有する点で第2の実施形態と異なる。
【0052】
特定値送信手段105は、通信データ変換手段101が算出し、特定値記憶装置12に格納したハッシュ関数(第1特定値)を、特定値記憶装置12から読み出し、認証サーバ2の特定値照合手段205に送信する。特定値送信手段105により送信されたハッシュ値は、送信されると同時に、又は所定時間経過後に、特定値記憶装置12から削除されて良い。
【0053】
特定値照合手段205は、特定値送信手段105から送信されたハッシュ関数(第1特定値)と、認証サーバ2の特定値記憶装置23に格納されたハッシュ値(第2特定値)とを照合する。
【0054】
<認証サーバの動作>
図8に示すフローチャートを用いて、本発明の第3の実施形態に係る認証システムに用いられる認証サーバ2の動作の一例を説明する:
【0055】
(イ)先ず、ステップS41において、予め、認証サーバ2の認証情報記憶装置22に中継システム4のIPアドレス等、広域ネットワーク6において、ローカルネットワーク8を識別することができるネットワーク識別情報、及びID、パスワード、電子メールアドレス等、ユーザに固有の情報であるユーザ情報等を認証情報として登録する。
【0056】
(ロ)ステップS42において、通信データ変換手段201は、クライアント端末9の認証要求手段901から送信された認証要求を受信する。ステップS43において、通信データ変換手段201は、クライアント端末9から送信された認証要求に応じて、認証要求をハッシュ関数(変換関数)によりハッシュ化(変換)してハッシュ値(第2特定値)を算出し、ハッシュ値(第2特定値)を特定値記憶装置23に格納する。
【0057】
(ハ)ステップS44において、特定値照合手段205は、中継システム4の特定値送信手段105から送信されたハッシュ値(第1特定値)を受信する。ステップS45において、特定値照合手段205は、中継システム4のから送信されたハッシュ値(第1特定値)と、特定値記憶装置23に格納されたハッシュ値(第2特定値)とを照合する。
【0058】
(ニ)ステップS46において、認証判定手段203は、特定値照合手段205の照合結果に基づいて、認証の可否を判定する。クライアント端末9から送信された認証情報と認証情報記憶装置22に格納される認証情報とが一致し、且つ、中継システム4において算出されたハッシュ値(第1特定値)と認証サーバ2において算出されたハッシュ値(第2特定値)とが一致した場合は、ステップS47に進み、認証を成立とし、ステップS48において、認証サーバ2は、クライアント端末9に対するサービスを実行する。クライアント端末9から送信された認証情報と認証情報記憶装置22に格納される認証情報とが一致しない場合、又は、中継システム4において算出されたハッシュ値(第1特定値)と認証サーバ2において算出されたハッシュ値(第2特定値)とが一致しない場合は、ステップS49に進み、認証を不成立とし、終了する。
【0059】
第3の実施形態に係る認証システムによれば、認証サーバ2において算出されたハッシュ値と中継システム4においてハッシュ値とを照合した結果に基づいて、認証の可否を決定するので、認証システム構築のコストが小さく、且つクライアント端末9の負荷を低減できる。又、第3の実施形態に係る認証システムは、中継システム4からハッシュ値を認証サーバ2に送信し、認証サーバ2においてハッシュ値の照合を行うので、中継システム4において保持するデータを削除可能になり、中継システム4の保持するデータを低減することができ、セキュリティ性が向上する。
【0060】
(第4の実施形態)
本発明の第4の実施形態に係る認証システムは、図9に示すように、中継システム4の変換装置1が、ローカルネットワーク8に広域ネットワーク6への接続を提供するプロバイダ(ISP)5に接続され、通信データ変換手段101は、プロバイダ5において取得された通信データをハッシュ化することにより、ハッシュ値(第1特定値)を算出している。第4の実施形態に係る認証システムの他の構成は、第1〜第3の実施形態に係る認証システムと実質的に同様であるので、重複した説明を省略する。
【0061】
第4の実施形態に係る認証システムによれば、認証サーバ2において算出されたハッシュ値と中継システム4においてハッシュ値とを照合した結果に基づいて、認証の可否を決定するので、認証システム構築のコストが小さく、且つクライアント端末9の負荷を低減できる。又、第4の実施形態に係る認証システムによれば、プロバイダ5に変換装置1が設けられることにより、ローカルネットワーク8側の負荷を更に低減することができ、プロバイダ5に、認証サーバ2を利用するローカルネットワーク8が複数接続される場合でも、認証システムの構築が容易である。又、一般にプロバイダ5は、ローカルネットワーク8に比してセキュリティが堅牢である場合が多く、プロバイダ5に変換装置1を接続することにより、変換装置1に対するセキュリティ性が向上する。
【0062】
(第5の実施形態)
第1〜第4の実施形態に係る認証システムにおいては、1つのアカウント(ユーザ情報)に関して、認証サーバを利用できるローカルネットワーク及び中継システムは、それぞれ複数許容されても良い。
【0063】
図10に示すように、本発明の第5の実施形態に係る認証システムは、それぞれ複数のクライアント端末9a,9b,…を備える複数のローカルネットワーク8a,8b,…と、複数のローカルネットワーク8a,8b,…と認証サーバ2との通信をそれぞれ中継する複数の中継システム4a,4b,…とを備える点で第1〜第4の実施形態と異なる。
【0064】
認証サーバ2の認証情報記憶装置22は、予め、1つのユーザ情報に関する複数のローカルネットワーク8a,8b,…をそれぞれ識別する複数のネットワーク識別情報が登録されている。認証サーバ2は、複数のローカルネットワーク8a,8b,…のいずれかに接続されるクライアント端末9から認証要求を受信した場合、1つのユーザ情報に関する複数のネットワーク識別情報に基づいて、複数のローカルネットワーク8a,8b,…の複数の中継システム4a,4b,…に、それぞれハッシュ値の照合要求を送信する。認証判定手段203は、複数の中継システム4a,4b,…から返信された照合結果に基づいて、認証の可否を判定する。
【0065】
第5の実施形態に係る認証システムによれば、認証サーバ2において算出されたハッシュ値と中継システム4においてハッシュ値とを照合した結果に基づいて、認証の可否を決定するので、認証システム構築のコストが小さく、且つクライアント端末9の負荷を低減できる他、1つのユーザ情報に関して、複数のローカルネットワーク8a,8b,…に接続される複数のクライアント端末9から同時に認証サーバ2のサービスを利用することができる。又、例えば、1人のユーザが複数のローカルネットワークから認証サーバ2のサービスを利用しようとする場合であっても、予め認証情報として、認証サーバ2に複数のローカルネットワークを登録しておけば、複数のローカルネットワークから認証サーバ2を利用することができ、新たにユーザ情報、ネットワーク識別情報を登録する労力を低減できる。
【0066】
(第6の実施形態)
第5の実施形態に係る認証システムは、複数のローカルネットワーク8a,8b,…のいずれかにおいて、認証を行っている間、他のローカルネットワークからも認証可能なものであるが、他のローカルネットワークからの認証を禁止するものとしても良い。
【0067】
即ち、本発明の第6の実施形態に係る認証システムは、図11に示すように、複数のローカルネットワーク8a,8b,…においてクライアント端末9a,9b,…が、認証を行うローカルネットワークを指定するネットワーク指定手段902a,902b,…をそれぞれ有し、認証サーバの演算処理部20が、認証可能なローカルネットワークを制限する認証制限手段206を論理構成として更に有する点が第5の実施形態と異なる。
【0068】
第6の実施形態に係る認証システムは、ネットワーク指定手段902a,902b,…が、複数のローカルネットワーク8a,8b,…のいずれかを指定する。ネットワーク指定手段902a,902b,…は、クライアント端末9が備える図示を省略した入力装置からの入力に応じて複数のローカルネットワーク8a,8b,…のいずれかを指定しても良いし、ネットワーク指定手段902a,902b,…のうち、最初に認証要求を送信するローカルネットワークを指定するものであっても良い。
【0069】
認証制限手段206は、1つのユーザ情報に関する複数のネットワーク識別情報に対応する複数のローカルネットワークの内、ネットワーク指定手段902a,902b,…が指定したローカルネットワークとの認証を許可し、他のローカルネットワークとの認証を禁止する。即ち、照合要求手段202は、ネットワーク指定手段902に指定されたローカルネットワークの中継システムにのみ、照合要求を送信する。
【0070】
第6の実施形態に係る認証システムによれば、認証サーバ2において算出されたハッシュ値と中継システム4においてハッシュ値とを照合した結果に基づいて、認証の可否を決定するので、認証システム構築のコストが小さく、且つクライアント端末9の負荷を低減できる。又、第6の実施形態に係る認証システムによれば、1つのユーザ情報に関する複数のローカルネットワークの内、認証を行う端末が接続されるローカルネットワーク以外のローカルネットワークからの認証を制限できるので、第5の実施形態に係る認証システムに比してセキュリティ性が向上する。
【0071】
(第7の実施形態)
第1〜第6の実施形態に係る認証システムは、クライアント端末9にアプリケーション等のサービスを提供する通信対象サーバを更に備え、認証サーバ2を、通信対象サーバに代わって認証を行う認証代行サーバとして稼働するようにしても良い。
【0072】
即ち、本発明の第7の実施形態に係る認証システムは、図12に示すように、認証サーバ2に接続され、クライアント端末9と通信する通信対象サーバ29を更に備え、認証サーバ2の演算処理部20に、クライアント端末9と通信対象サーバ29との通信を中継する通信中継手段207を論理構成として更に有する点で第1の実施形態と異なる。
【0073】
通信対象サーバ29は、クライアント端末9からの要求に応じて、クライアント端末9にサービスを提供するアプリケーションサーバ、クライアント端末9から送信される種々のデータを格納、又はクライアント端末9からの要求に応じて種々のデータを提供するデータサーバ等とすることができる。
【0074】
<認証サーバの動作>
図13に示すフローチャートを参照し、本発明の第7の実施形態に係る認証システムに用いられる認証サーバ2の動作の一例を説明するが、図13に示すステップS51〜S55は、それぞれ第1の実施形態において説明した図3のフローチャートに示すステップS11〜S15と実質的に同一であるので、重複した説明を省略する。
【0075】
ステップS55において、認証成立と判定された場合は、ステップS56に進み、ステップS57において、通信中継手段207は、クライアント端末9から送信された通信データを通信対象サーバ29に転送し、クライアント端末9と通信対象サーバ29との通信の中継処理を開始する。ステップS55において、認証不成立と判定された場合は、ステップS58に進み、通信中継手段207はクライアント端末9から送信された通信データを通信対象サーバ29に転送せず、終了する。
【0076】
本発明の第7の実施形態に係る認証システムによれば、認証サーバ2において算出されたハッシュ値と中継システム4においてハッシュ値とを照合した結果に基づいて、認証の可否を決定するので、認証システム構築のコストが小さく、且つクライアント端末9の負荷を低減できる。又、第7の実施形態に係る認証システムによれば、クライアント端末9が利用し、認証処理の必要な通信対象サーバが複数ある場合であっても、認証サーバ2に認証処理を代行させることにより、認証機能を持たせるサーバが1台で済み、複数の通信対象サーバの負荷を低減できる。更に、個人情報である認証情報を1台のサーバにまとめることができるので、セキュリティ性が向上する。
【0077】
(第8の実施形態)
本発明の第8の実施形態に係る認証システムは、複数のローカルネットワーク8a,8b,…内に、それぞれ複数の認証サーバ2a,2b,…が設けられ、ローカルネットワーク同士の相互認証が可能である。
【0078】
図8に示すように、第8の実施形態に係る認証システムは、複数のクライアント端末9a,9b…がそれぞれ接続された複数のローカルネットワーク8a,8b,…と、複数のローカルネットワーク8a,8b,…にそれぞれ設けられ、複数のローカルネットワーク8a,8b,…の広域ネットワーク6を介した通信を、それぞれ中継する複数の中継システム4a,4b,…と、複数のローカルネットワーク8a,8b,…にそれぞれ設けられた複数の認証サーバ2a,2b,…とを備える。認証サーバ2、中継システム4、クライアント端末9の構成等は、第1〜第7の実施形態において説明した構成と実質的に同様であるので、重複した説明を省略する。
【0079】
第1のクライアント端末9aの認証要求送信手段(図示省略)から送信された認証要求を含む通信データは、第1の中継システム4a、広域ネットワーク6、第2の中継システム4bを順に経由して、第2の認証サーバ2bにおいて受信される。
【0080】
第1の中継システム4aが有する図示を省略した通信データ変換手段(第1変換手段)は、ハッシュ関数(変換関数)により、第1のクライアント端末9aが送信した通信データを、ハッシュ値(第1特定値)に変換し、第1の中継システム4aが備える特定値記憶装置(図示省略)に格納する。
【0081】
第2の認証サーバ2bが有する図示を省略した通信データ変換手段(第2変換手段)は、第1の中継システム4aにおけるハッシュ値の算出に用いられた関数と同一のハッシュ関数(変換関数)により、通信データをハッシュ値(第2特定値)に変換し、第2の認証サーバ2bが備える特定値記憶装置(図示省略)に格納する。
【0082】
第2の認証サーバ2bの照合要求手段は、第1の中継システム4aの特定値照合手段に照合要求を送信する。第1の中継システム4aの特定値照合手段は、第2の認証サーバから送信された照合要求に応じて、第1の中継システム4aにおいて算出されたハッシュ値(第1特定値)と、第2の認証サーバ2bにおいて算出されたハッシュ値(第2特定値)とを照合する。
【0083】
第2の認証サーバ2bの認証判定手段は、第1の中継システム4aから送信された照合結果に基づいて、第1のクライアント端末9aの認証の可否を判定する。
【0084】
第8の実施形態に係る認証システムによれば、第2の認証サーバ2bにおいて算出されたハッシュ値と第1の中継システム4aにおいてハッシュ値とを照合した結果に基づいて、認証の可否を決定するので、認証システム構築のコストが小さく、且つクライアント端末9の負荷を低減できる。更に、第8の実施形態に係る認証システムによれば、ユーザ、認証システムにおけるローカルネットワークが限定され、認証情報等が限定されるので、セキュリティ性を向上できる。
【0085】
(その他の実施形態)
上記のように、本発明は第1〜第8の実施形態によって記載したが、この開示の一部をなす論述及び図面は本発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
【0086】
既に述べた第1〜第8の実施形態においては、中継システム4は、図15に示すように、中継装置3の内部に変換装置1を備え、中継装置3と変換装置1とが一体化した中継装置31としても良い。
【0087】
又、第1〜第8の実施形態においては、クライアント端末9から認証要求が送信される前からクライアント端末9からの通信データをハッシュ化する例を示したが、通信データ変換手段101は、クライアント端末9から送信された認証要求に応じて、認証要求の通信データのみをハッシュ化する一連の処理を開始するようにしても良い。
【0088】
又、第3の実施形態においては、認証システムは、中継システム認証手段204、認証処理手段104等を備えず、認証サーバ2と中継システム4との間の認証機能を有さないようにしても良い。
【0089】
又、第1〜第8の実施形態においては、ネットワーク識別情報として認証サーバ2に登録されたローカルネットワーク以外から、認証サーバ2に対して認証要求が送信された場合、認証を不成立とし、更に、認証要求に含まれるユーザ情報として認証サーバ2に登録された電子メールアドレスに、アラート通知として、その旨を通知する電子メールが送付されるようにしても良い。アラート通知は、認証サーバ2に登録されたローカルネットワーク以外のネットワークから、認証要求が認証サーバ2に送信されていることを通知するものであるが、更に、アラート通知は、認証サーバ2に登録されたローカルネットワーク以外のネットワークからの認証処理を許可するか否かを、登録されたクライアント端末9に問い合わせ、クライアント端末9からの返信により、認証サーバ2が認証の可否を判定するようにしても良い。
【0090】
又、第1〜第8の実施形態においては、ユーザ情報、ネットワーク識別情報として、MACアドレス等、クライアント端末に固有の情報を利用し、クライアント端末毎に、認証に必要な情報を変更し、認証のレベルを設定することも可能である。
【0091】
このように、本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。したがって、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
【符号の説明】
【0092】
1…変換装置
2,2a,2b…認証サーバ
3…中継装置
4,4a,4b…中継システム
5…プロバイダ
6…広域ネットワーク
8,8a,8b…ローカルネットワーク
9,9a,9b…クライアント端末
10…演算処理部
11…入出力制御部
12…特定値記憶装置
13…変換関数記憶装置
14…認証情報記憶装置
20…演算処理部
21…入出力制御部
22…認証情報記憶装置
23…特定値記憶装置
24…変換関数記憶装置
29…通信対象サーバ
31…中継装置
101…通信データ変換手段
102…特定値照合手段
103…照合結果送信手段
104…認証処理手段
105…特定値送信手段
201…通信データ変換手段
202…照合要求手段
203…認証判定手段
204…中継システム認証手段
205…特定値照合手段
206…認証制限手段
207…通信中継手段
901…認証要求手段
902,902a,902b…ネットワーク指定手段
【技術分野】
【0001】
本発明は、サーバがネットワークを介してクライアント端末を認証する認証システム、この認証システムに用いる認証サーバ、中継システム及び中継装置に関する。
【背景技術】
【0002】
クライアント認証に関する技術として、セキュアソケットレイヤ(SSL)、仮想プライベートネットワーク(VPN)等が知られている。
【0003】
SSL通信でクライアント認証する場合、クライアント側に証明書をインストールする必要がある(特許文献1参照)。他者にID、パスワード等を盗まれても、なりすましが難しいというメリットを有する反面、例えば、ホームネットワーク等の小規模ネットワークにおいて、複数のクライアント端末から認証を行う場合、すべてのクライアント端末に証明書をインストールする必要があり、端末毎の管理のコスト、負荷が大きいというデメリットがある。更に、これらの処理は、ホームネットワークにおける比較的低スペックな端末にとって、より負荷が大きい。
【0004】
仮想プライベートネットワーク(VPN)技術は、IPsec、SSL等を利用して安全な通信路を構築可能な技術である。VPNは、強固な暗号化ほど端末における処理が大きく、低スペックな端末にとって処理の負荷が大きい。又、VPNの構築、管理は複雑であり、ネットワークの管理者に相当程度のスキルが求められる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−157845号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、簡単に構築可能で、端末の負荷が小さい認証システム、この認証システムに用いる認証サーバ、中継システム及び中継装置を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するために、本発明の第1の態様は、認証要求を含む通信データを送信するクライアント端末を備えるローカルネットワークと、認証要求に応じてクライアント端末を認証する認証サーバと、ローカルネットワークと認証サーバとの通信を中継する中継システムとを備える認証システムであって、中継システムにおいて受信された通信データを、変換関数により変換して第1特定値を算出する第1変換手段と、認証サーバにおいて受信された通信データを、第1特定値の算出に用いた関数と同一の変換関数により変換して第2特定値を算出する第2変換手段と、第1特定値と第2特定値との照合処理を行う特定値照合手段とを備える認証システムであることを要旨とする。本発明の第1の態様に係る認証システムにおいては、認証サーバは、少なくとも、照合処理により第1特定値と第2特定値とが一致した場合において、クライアント端末の認証処理を成立と判定する認証判定手段を備えることを特徴とする。
【0008】
又、本発明の第1の態様に係る認証システムにおいては、認証サーバは、中継システムに対して証明書を発行し、証明書を用いて中継システムを認証する中継システム認証手段を更に備える。
【0009】
又、本発明の第1の態様に係る認証システムにおいては、中継システムは、第1特定値を認証サーバに送信する特定値送信手段を更に備え、認証サーバが特定値照合手段を備える。
【0010】
又、本発明の第1の態様に係る認証システムにおいては、中継システムは、ローカルネットワークに広域ネットワーク接続を提供するプロバイダを含み、第1変換手段が、プロバイダにおいて受信された通信データを、変換関数により変換して第1特定値を算出する。
【0011】
又、本発明の第1の態様に係る認証システムにおいては、複数のローカルネットワークと、複数のローカルネットワークにそれぞれ設けられ、複数のローカルネットワークと認証サーバとの通信をそれぞれ中継する複数の中継システムとを更に備え、予め、認証サーバに、複数のローカルネットワークをそれぞれ識別することのできるネットワーク識別情報を登録しておき、複数のネットワークのいずれかに備えられるクライアント端末から送信された認証要求を受信した場合、認証サーバは、ネットワーク識別情報に基づいて、複数のローカルネットワークにそれぞれ照合処理を要求する。
【0012】
又、本発明の第1の態様に係る認証システムにおいては、複数のローカルネットワークと、複数のローカルネットワークにそれぞれ設けられ、複数のローカルネットワークと認証サーバとの通信をそれぞれ中継する複数の中継システムとを更に備え、予め、認証サーバに、複数のローカルネットワークをそれぞれ識別することのできるネットワーク識別情報を登録しておき、複数のネットワークのいずれかに備えられるクライアント端末から送信された認証要求を受信した場合、認証サーバは、ネットワーク識別情報に基づいて、認証要求を送信したクライアント端末が備えられるローカルネットワークのみに照合処理を要求し、認証要求を送信したクライアント端末が備えられるローカルネットワーク以外の複数のローカルネットワークに照合処理を要求することを禁止する。
【0013】
又、本発明の第1の態様に係る認証システムにおいては、認証サーバは、クライアント端末と、通信対象サーバとの通信を中継する通信中継手段を更に備える。
【0014】
又、本発明の第1の態様に係る認証システムにおいては、複数のローカルネットワークと、複数のローカルネットワークにそれぞれ対応して設けられ、複数のローカルネットワークと認証サーバとの通信をそれぞれ中継する複数の中継システムと、複数のローカルネットワークにそれぞれ対応して設けられる複数の認証サーバとを更に備え、第1のローカルネットワークに接続されたクライアント端末が、第2のローカルネットワークに接続された認証サーバに認証要求を送信し、特定値照合手段が、第1のローカルネットワークに備えられた第1変換手段により算出された第1特定値と、第2のローカルネットワークに備えられた第2変換手段により算出された第2特定値とを照合処理する。
【0015】
本発明の第2の態様に係る認証サーバは、認証要求を含む通信データを送信するクライアント端末を備えるローカルネットワークとの通信を中継する中継システムが接続され、認証要求に応じてクライアント端末を認証し、通信データを、変換関数により変換して特定値を算出する変換手段と、認証サーバとクライアント端末との間の認証処理を判定する認証判定手段とを備え、認証判定手段は、少なくとも、中継システムにおいて受信された通信データを、特定値の算出に用いた関数と同一の変換関数により変換して算出された特定値と、変換手段により算出された特定値とが一致した場合において、認証処理を成立と判定することを要旨とする。
【0016】
本発明の第3の態様に係る変換装置は、認証要求を含む通信データを送信するクライアント端末と、認証要求に応じてクライアント端末を認証する認証サーバとの通信を中継する中継装置に接続され、中継装置において受信された通信データを、変換関数により変換して特定値を算出する変換手段と、この特定値と、認証サーバにおいて受信された通信データを、特定値の算出に用いた関数と同一の変換関数により変換して算出された特定値とを照合する特定値照合手段とを備えることを要旨とする。
【0017】
本発明の第4の態様に係る中継装置は、認証要求を含む通信データを送信するクライアント端末を備えるローカルネットワークと、認証要求に応じてクライアント端末を認証する認証サーバとの通信を中継し、受信した通信データを、変換関数により変換して特定値を算出する変換手段と、この特定値と、認証サーバにおいて受信された通信データを、特定値の算出に用いた関数と同一の変換関数により変換して算出された特定値とを照合する特定値照合手段とを備えることを要旨とする。
【発明の効果】
【0018】
本発明によれば、簡単に構築可能で、端末の負荷が小さい認証システム、この認証システムに用いる認証サーバ、中継システム及び中継装置を提供することができる。
【図面の簡単な説明】
【0019】
【図1】図1は、本発明の第1の実施形態に係る認証システムを説明する模式的なブロック図である。
【図2】図2は、本発明の第1の実施形態に係る認証システムの動作を説明するシーケンス図である。
【図3】図3は、本発明の第1の実施形態に係る認証システムに用いる認証サーバの動作を説明するフローチャートである。
【図4】図4は、本発明の第1の実施形態に係る認証システムに用いる中継システムの動作を説明するフローチャートである。
【図5】図5は、本発明の第1の実施形態に係る認証システムに用いるクライアント端末が送信する通信データのデータ構造を図示した一例である。
【図6】図6は、本発明の第2の実施形態に係る認証システムを説明する模式的なブロック図である。
【図7】図7は、本発明の第3の実施形態に係る認証システムを説明する模式的なブロック図である。
【図8】図8は、本発明の第3の実施形態に係る認証システムに用いる認証サーバの動作を説明するフローチャートである。
【図9】図9は、本発明の第4の実施形態に係る認証システムを説明する模式的なブロック図である。
【図10】図10は、本発明の第5の実施形態に係る認証システムを説明する模式的なブロック図である。
【図11】図11は、本発明の第6の実施形態に係る認証システムを説明する模式的なブロック図である。
【図12】図12は、本発明の第7の実施形態に係る認証システムを説明する模式的なブロック図である。
【図13】図13は、本発明の第7の実施形態に係る認証システムに用いる認証サーバの動作を説明するフローチャートである。
【図14】図14は、本発明の第8の実施形態に係る認証システムを説明する模式的なブロック図である。
【図15】図15は、本発明のその他の実施形態に係る認証システムに用いる中継装置を説明する模式的なブロック図である。
【発明を実施するための形態】
【0020】
次に、図面を参照して、本発明の第1〜第8の実施形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。但し、以下に示す実施形態は、本発明の技術的思想を具体化するためのシステム、このシステムに用いられる装置や方法を例示するものであって、本発明の技術的思想は、下記の実施形態に例示したシステム、システムに用いられる装置や方法に特定するものでない。本発明の技術的思想は、特許請求の範囲に記載された技術的範囲内において、種々の変更を加えることができる。
【0021】
(第1の実施形態)
本発明の第1の実施形態に係る認証システムは、図1に示すように、広域ネットワーク6と、認証要求を含む通信データを少なくとも送信する複数のクライアント端末9-1,9-2,9-3,…,9-n(nは正の整数)が広域ネットワークと通信可能に接続されたローカルネットワーク8と、複数のクライアント端末9-1〜9-nから送信された認証要求に応じて、複数のクライアント端末9-1〜9-nをそれぞれ認証する認証サーバ2と、複数のクライアント端末9-1〜9-nと認証サーバ2との通信を中継する中継装置3、中継装置3に接続され、中継装置3を経由した通信データを取得する変換装置1を含む中継システム4とを備える。
【0022】
複数のクライアント端末9-1〜9-nは、認証サーバ2に認証要求を送信する認証要求手段901をそれぞれ有する。第1の実施形態において、クライアント端末を、複数のクライアント端末9-1〜9-nとして説明しているが、クライアント端末は、複数に限るものでなく、単数であっても良い。以下、複数のクライアント端末9-1〜9-nを総称する場合において、単に「クライアント端末9」という。クライアント端末9は、記憶装置や、入出力装置を備えた汎用PC等としても良いが、認証サーバ2に認証要求を送信し、中継システム4と通信可能に接続される限り、どのような端末でも良い。例えば、ローカルネットワーク8が、所定の範囲の機器を統合して管理する、所謂ホームネットワークである場合、クライアント端末9は、エアコン、カメラ、テレビ等の電気機器とすることができる。
【0023】
中継装置3は、ローカルネットワーク8のクライアント端末9から送信された通信データを受信し、広域ネットワーク6を介して認証サーバ2に送信する他、クライアント端末9が送信した通信データを変換装置1においてキャプチャさせるため、ミラーリング、タップ(分岐)等して、クライアント端末9が送信した通信データを変換装置1に送信する機能を有する。
【0024】
変換装置1は、中継装置3との通信等の入出力信号を制御する入出力制御部11と、演算処理部10と、特定値記憶装置12と、変換関数記憶装置13とを備える。
【0025】
演算処理部10は、ハッシュ関数(変換関数)により通信データをハッシュ化(変換)してハッシュ値(第1特定値)を算出し、算出したハッシュ値(第1特定値)をハッシュテーブルとして特定値記憶装置12に格納する通信データ変換手段101(第1変換手段)と、所定のハッシュ値を照合処理する特定値照合手段102と、特定値照合手段102による照合結果を送信する照合結果送信手段103とを論理構成として有する。特定値記憶装置12は、通信データ変換手段101によって算出されたハッシュ値(第1特定値)をハッシュテーブルとして格納し、変換関数記憶装置13は、通信データ変換手段101がハッシュ値の算出に用いるハッシュ関数(変換関数)を格納する。
【0026】
認証サーバ2は、演算処理部20と、広域ネットワーク6との通信等の入出力信号を制御する入出力制御部21と、認証情報記憶装置22と、特定値記憶装置23と、変換関数記憶装置24とを備える。
【0027】
演算処理部20は、通信データ変換手段101がハッシュ値(第1特定値)の算出に用いたハッシュ関数(変換関数)と同一のハッシュ関数(変換関数)により、通信データをハッシュ化(変換)し、ハッシュ値(第2特定値)を算出する通信データ変換手段201(第2変換手段)と、変換装置1の特定値照合手段102に対してハッシュ値の照合を要求する照合要求手段202と、変換装置1の照合結果送信手段103から送信される照合結果に基づいて認証の可否を判定する認証判定手段203とを論理構成として有する。
【0028】
認証情報記憶装置22は、IPアドレス、完全修飾ドメイン名(FQDN)等の中継システム4に固有の情報等、広域ネットワーク6上で、中継システム4が接続されたローカルネットワーク8を識別することのできるネットワーク識別情報、ID、パスワード、電子メールアドレス等のクライアント端末9を利用するユーザに固有の情報であるユーザ情報等を、認証に用いることができる認証情報として格納する。特定値記憶装置23は、通信データ変換手段201によって算出されたハッシュ値(第2特定値)を格納する。変換関数記憶装置24は、通信データ変換手段201がハッシュ値の算出に用いるハッシュ関数(変換関数)を格納する。
【0029】
第1の実施形態に係る認証システムにおいては、予め、変換装置1の変換関数記憶装置13、認証サーバ2の変換関数記憶装置24に、互いに同一のハッシュ関数が格納されるが、ハッシュ関数を共有するには、他の構成として、例えば、変換装置1の演算処理部10が、認証サーバ2にアクセスし、変換関数記憶装置24に格納されているハッシュ関数(変換関数)を取得し、変換装置1の変換関数記憶装置13に格納する変換関数取得手段を論理構成として更に有するようにしても良い。
【0030】
尚、変換装置1の特定値記憶装置12、変換関数記憶装置13、及び認証サーバ2の認証情報記憶装置22、特定値記憶装置23、変換関数記憶装置24等は、それぞれ論理構成としての表示であり、現実には変換装置1、認証サーバ2等の記憶内容は、それぞれにおいて同一のハードウェアに格納されて構わない。例えば、変換装置1、認証サーバ2等の記憶内容は、それぞれSRAM、DRAM等の揮発性の記憶装置からなる主記憶装置、ハードディスク(HD)等の磁気ディスク、磁気テープ、光ディスク、光磁気ディスク等の不揮発性の記憶装置からなる補助記憶装置に格納することが可能である。補助記憶装置としては、その他、RAMディスク、ICカード、フラッシュメモリーカード、USBフラッシュメモリー、フラッシュディスク(SSD)等が使用可能である。
【0031】
通信データ変換手段101及び通信データ変換手段201における通信データのハッシュ化は、例えば、図5に示すように、通信データがIPv4パケットの場合、IPヘッダをハッシュ化すれば良い。図5に右上がりのハッチングで示すように、サービスタイプ、パケット長、フラグ、断片オフセット、有効期間、チェックサム、オプションは、IPヘッダのハッシュ化において、0にマスクされるデータとすることができる。即ち、IPv4パケットのハッシュ化においては、バージョン、ヘッダ長、識別子、プロトコル、送信元アドレス、宛先アドレス、ペイロードデータを、パケット(通信データ)を特定するためのデータとして用いることができる。
【0032】
<認証方法>
図2に示すシーケンス図を用いて、本発明の第1の実施形態に係る認証システムの動作の一例を説明する:
【0033】
(イ)先ず、ステップS11において、中継システム4は、中継装置3が、クライアント端末9から送信される通信データを受信し、認証サーバ2、変換装置1に送信すると共に、通信データ変換手段101が、変換関数記憶装置13からハッシュ関数(変換関数)を読み出し、クライアント端末9からの通信データをハッシュ関数によりハッシュ化(変換)してハッシュ値(第1特定値)を算出し、ハッシュ値(第1特定値)を特定値記憶装置12に格納する一連の処理を開始する。
【0034】
(ロ)ステップS12において、クライアント端末9の認証要求手段901は、中継システム4を介して、認証サーバ2に認証要求を送信する。中継システム4において、通信データ変換手段101は、クライアント端末9から送信された認証要求をハッシュ関数(変換関数)によりハッシュ値(第1特定値)に変換し、特定値記憶装置12に格納する。続いて、ステップS13において、認証サーバ2の通信データ変換手段201は、変換関数記憶装置24から変換関数記憶装置13に格納された関数と同一のハッシュ関数(変換関数)を読み出し、クライアント端末9から送信された通信データをハッシュ関数(変換関数)によりハッシュ化(変換)してハッシュ値(第2特定値)を算出し、ハッシュ値(第2特定値)特定値記憶装置23に格納する。
【0035】
(ハ)ステップS14において、認証サーバ2の照合要求手段202は、特定値記憶装置23からハッシュ値(第2特定値)を読み出し、ハッシュ値(第2特定値)と共に照合要求を中継システム4に送信する。ステップS15において、中継システム4の特定値照合手段102は、認証サーバ2から送信された照合要求に応じて、中継システム4において算出され、中継システム4から送信されたハッシュ値(第1特定値)と、認証サーバ2において算出され、特定値記憶装置23に格納されたハッシュ値(第2特定値)とを照合する。ステップS16において、照合結果送信手段103は、中継システム4において算出されたハッシュ値(第1特定値)と、認証サーバ2において算出されたハッシュ値(第2特定値)とが一致したか否かを、認証サーバ2に送信する。
【0036】
(ニ)ステップS17において、認証判定手段203は、中継システム4の照合結果送信手段103から送信された照合結果に基づいて、クライアント端末9に対する認証の可否を判定し、ステップS18において、認証の可否を認証結果として送信する。
【0037】
<認証サーバの動作>
図3に示すフローチャートを用いて、本発明の第1の実施形態に係る認証システムが備える認証サーバ2の動作の一例を説明する:
【0038】
(イ)先ず、ステップS21において、予め、認証サーバ2の認証情報記憶装置22に中継システム4のIPアドレス等、広域ネットワーク6において、ローカルネットワーク8を識別することができるネットワーク識別情報、及びID、パスワード、電子メールアドレス等、ユーザに固有の情報であるユーザ情報等を認証情報として登録する。
【0039】
(ロ)ステップS22において、通信データ変換手段201は、クライアント端末9の認証要求手段901から送信された認証要求を受信する。ステップS23において、通信データ変換手段201は、クライアント端末9から送信された認証要求に応じて、認証要求をハッシュ関数(変換関数)によりハッシュ化(変換)してハッシュ値(第2特定値)を算出し、ハッシュ値(第2特定値)を特定値記憶装置23に格納する。続いて、ステップS24において、照合要求手段202は、特定値記憶装置23からハッシュ値(第2特定値)を読み出し、ハッシュ値(第2特定値)と共に、照合要求を中継システム4に送信する。
【0040】
(ハ)ステップS25において、認証判定手段203は、クライアント端末9から送信された認証要求に含まれる認証情報と、認証情報記憶装置22に格納される認証情報とを照合し、照合要求手段202から送信した照合要求に対して中継システム4から返信された照合結果に基づいて、認証の可否を判定する。クライアント端末9から送信された認証情報と認証情報記憶装置22に格納される認証情報とが一致し、且つ、中継システム4から送信された照合結果が、中継システム4において算出されたハッシュ値(第1特定値)と認証サーバ2において算出されたハッシュ値(第2特定値)とが一致した旨の照合結果である場合は、ステップS26に進み、認証を成立とし、ステップS27において、認証サーバ2は、クライアント端末9に対するサービスを実行する。クライアント端末9から送信された認証情報と認証情報記憶装置22に格納される認証情報とが一致しない場合、又は、中継システム4から送信された照合結果が、中継システム4において算出されたハッシュ値(第1特定値)と認証サーバ2において算出されたハッシュ値(第2特定値)とが一致しない旨の照合結果である場合は、ステップS28に進み、認証を不成立とし、終了する。
【0041】
<中継システムの動作>
図4に示すフローチャートを用いて、本発明の第1の実施形態に係るに認証システムが備える中継システム4の動作の一例を説明する:
【0042】
(イ)先ず、ステップS31において、特定値照合手段102は、認証サーバ2の照合要求手段202から、認証サーバ2において算出されたハッシュ値(第2特定値)を含む照合要求を受信する。
【0043】
(ロ)ステップS32において、特定値照合手段102は、特定値記憶装置12に格納され、中継システム4において算出されたハッシュ値(第1特定値)を含むハッシュテーブルから、認証サーバ2において算出されたハッシュ値(第2特定値)と一致するハッシュ値(第1特定値)を検索し、照合する。
【0044】
(ハ)ステップS33において、照合結果送信手段103は、中継システム4において算出されたハッシュ値(第1特定値)と認証サーバ2において算出されたハッシュ値(第2特定値)と一致する場合、照合結果を真(true)、中継システム4において算出されたハッシュ値(第1特定値)と認証サーバ2において算出されたハッシュ値(第2特定値)とが一致しない場合、照合結果を偽(false)として、認証サーバ2に照合結果を送信して終了する。
【0045】
第1の実施形態に係る認証システムによれば、認証サーバ2において算出されたハッシュ値と中継システム4においてハッシュ値とを照合した結果に基づいて、認証の可否を決定するので、クライアント端末9における証明書の管理コスト等、クライアント端末9側のの負荷を低減し、所謂なりすましを防止できる。更に、第1の実施形態に係る認証システムは、既存のネットワークに簡単に構築できるので、認証システム構築のコストを低減できる。
【0046】
(第2の実施形態)
本発明の第2の実施形態に係る認証システムは、図6に示すように、認証サーバ2の演算処理部20が、中継システム4に対する認証を行う中継システム認証手段204を論理構成として更に有し、中継システム4において、変換装置1の演算処理部10が、中継システム認証手段204が行う認証を処理する認証処理手段104を論理構成として更に有し、変換装置1が、中継システム認証手段204が行う認証に用いる認証情報を格納する認証情報記憶装置14を更に備える点で第1の実施形態と異なる。他の構成は、第1の実施形態に係る認証システムと実質的に同様であるので、重複した説明を省略する。
【0047】
中継システム認証手段204は、認証処理手段104と協働し、認証サーバ2と中継システム4との間で認証処理を行う。認証サーバ2と中継システム4との間の認証は、例えば、認証局から発行された証明書を用いたSSLによる認証を利用することができる。
【0048】
認証サーバ2と中継システム4との間の認証は、例えば、予め中継システム4の認証情報記憶装置14に、クライアント証明書を登録し、中継システム認証手段204が、認証処理手段104にクライアント証明書を要求するようにすれば良い。認証処理手段104は、認証情報記憶装置14からクライアント証明書を読み出し、電子署名を生成し、クライアント証明書及び電子署名を認証サーバ2に送信する。そして、認証サーバ2の中継システム認証手段204が、クライアント証明書及び電子署名を検証し、正当な署名であることが確認できた場合に、認証サーバ2と中継システム4との間の認証を成立とし、認証サーバ2と中継システム4との間で暗号化通信を利用することができる。
【0049】
第2の実施形態に係る認証システムによれば、認証サーバ2において算出されたハッシュ値と中継システム4においてハッシュ値とを照合した結果に基づいて、認証の可否を決定するので、認証システム構築のコストが小さく、且つクライアント端末9の負荷を低減できる。更に、第2の実施形態に係る認証システムは、認証サーバ2と中継システム4との間で証明書を用いた認証処理を行うので、セキュリティ性が向上する。
【0050】
(第3の実施形態)
第2の実施形態に係る認証システムは、中継システム4において、中継システム4において算出されたハッシュ値(第1特定値)と、認証サーバ2において算出されたハッシュ値(第2特定値)とを照合したが、認証サーバ2において照合するようにしても良い。
【0051】
即ち、本発明の第3の実施形態に係る認証システムは、図7に示すように、認証サーバ2の演算処理部20が、ハッシュ値を照合する特定値照合手段205を論理構成として更に有し、中継システムにおいて、変換装置1の演算処理部10が、中継システム4において算出されたハッシュ値(第1特定値)を認証サーバ2に送信する特定値送信手段105を論理構成として更に有する点で第2の実施形態と異なる。
【0052】
特定値送信手段105は、通信データ変換手段101が算出し、特定値記憶装置12に格納したハッシュ関数(第1特定値)を、特定値記憶装置12から読み出し、認証サーバ2の特定値照合手段205に送信する。特定値送信手段105により送信されたハッシュ値は、送信されると同時に、又は所定時間経過後に、特定値記憶装置12から削除されて良い。
【0053】
特定値照合手段205は、特定値送信手段105から送信されたハッシュ関数(第1特定値)と、認証サーバ2の特定値記憶装置23に格納されたハッシュ値(第2特定値)とを照合する。
【0054】
<認証サーバの動作>
図8に示すフローチャートを用いて、本発明の第3の実施形態に係る認証システムに用いられる認証サーバ2の動作の一例を説明する:
【0055】
(イ)先ず、ステップS41において、予め、認証サーバ2の認証情報記憶装置22に中継システム4のIPアドレス等、広域ネットワーク6において、ローカルネットワーク8を識別することができるネットワーク識別情報、及びID、パスワード、電子メールアドレス等、ユーザに固有の情報であるユーザ情報等を認証情報として登録する。
【0056】
(ロ)ステップS42において、通信データ変換手段201は、クライアント端末9の認証要求手段901から送信された認証要求を受信する。ステップS43において、通信データ変換手段201は、クライアント端末9から送信された認証要求に応じて、認証要求をハッシュ関数(変換関数)によりハッシュ化(変換)してハッシュ値(第2特定値)を算出し、ハッシュ値(第2特定値)を特定値記憶装置23に格納する。
【0057】
(ハ)ステップS44において、特定値照合手段205は、中継システム4の特定値送信手段105から送信されたハッシュ値(第1特定値)を受信する。ステップS45において、特定値照合手段205は、中継システム4のから送信されたハッシュ値(第1特定値)と、特定値記憶装置23に格納されたハッシュ値(第2特定値)とを照合する。
【0058】
(ニ)ステップS46において、認証判定手段203は、特定値照合手段205の照合結果に基づいて、認証の可否を判定する。クライアント端末9から送信された認証情報と認証情報記憶装置22に格納される認証情報とが一致し、且つ、中継システム4において算出されたハッシュ値(第1特定値)と認証サーバ2において算出されたハッシュ値(第2特定値)とが一致した場合は、ステップS47に進み、認証を成立とし、ステップS48において、認証サーバ2は、クライアント端末9に対するサービスを実行する。クライアント端末9から送信された認証情報と認証情報記憶装置22に格納される認証情報とが一致しない場合、又は、中継システム4において算出されたハッシュ値(第1特定値)と認証サーバ2において算出されたハッシュ値(第2特定値)とが一致しない場合は、ステップS49に進み、認証を不成立とし、終了する。
【0059】
第3の実施形態に係る認証システムによれば、認証サーバ2において算出されたハッシュ値と中継システム4においてハッシュ値とを照合した結果に基づいて、認証の可否を決定するので、認証システム構築のコストが小さく、且つクライアント端末9の負荷を低減できる。又、第3の実施形態に係る認証システムは、中継システム4からハッシュ値を認証サーバ2に送信し、認証サーバ2においてハッシュ値の照合を行うので、中継システム4において保持するデータを削除可能になり、中継システム4の保持するデータを低減することができ、セキュリティ性が向上する。
【0060】
(第4の実施形態)
本発明の第4の実施形態に係る認証システムは、図9に示すように、中継システム4の変換装置1が、ローカルネットワーク8に広域ネットワーク6への接続を提供するプロバイダ(ISP)5に接続され、通信データ変換手段101は、プロバイダ5において取得された通信データをハッシュ化することにより、ハッシュ値(第1特定値)を算出している。第4の実施形態に係る認証システムの他の構成は、第1〜第3の実施形態に係る認証システムと実質的に同様であるので、重複した説明を省略する。
【0061】
第4の実施形態に係る認証システムによれば、認証サーバ2において算出されたハッシュ値と中継システム4においてハッシュ値とを照合した結果に基づいて、認証の可否を決定するので、認証システム構築のコストが小さく、且つクライアント端末9の負荷を低減できる。又、第4の実施形態に係る認証システムによれば、プロバイダ5に変換装置1が設けられることにより、ローカルネットワーク8側の負荷を更に低減することができ、プロバイダ5に、認証サーバ2を利用するローカルネットワーク8が複数接続される場合でも、認証システムの構築が容易である。又、一般にプロバイダ5は、ローカルネットワーク8に比してセキュリティが堅牢である場合が多く、プロバイダ5に変換装置1を接続することにより、変換装置1に対するセキュリティ性が向上する。
【0062】
(第5の実施形態)
第1〜第4の実施形態に係る認証システムにおいては、1つのアカウント(ユーザ情報)に関して、認証サーバを利用できるローカルネットワーク及び中継システムは、それぞれ複数許容されても良い。
【0063】
図10に示すように、本発明の第5の実施形態に係る認証システムは、それぞれ複数のクライアント端末9a,9b,…を備える複数のローカルネットワーク8a,8b,…と、複数のローカルネットワーク8a,8b,…と認証サーバ2との通信をそれぞれ中継する複数の中継システム4a,4b,…とを備える点で第1〜第4の実施形態と異なる。
【0064】
認証サーバ2の認証情報記憶装置22は、予め、1つのユーザ情報に関する複数のローカルネットワーク8a,8b,…をそれぞれ識別する複数のネットワーク識別情報が登録されている。認証サーバ2は、複数のローカルネットワーク8a,8b,…のいずれかに接続されるクライアント端末9から認証要求を受信した場合、1つのユーザ情報に関する複数のネットワーク識別情報に基づいて、複数のローカルネットワーク8a,8b,…の複数の中継システム4a,4b,…に、それぞれハッシュ値の照合要求を送信する。認証判定手段203は、複数の中継システム4a,4b,…から返信された照合結果に基づいて、認証の可否を判定する。
【0065】
第5の実施形態に係る認証システムによれば、認証サーバ2において算出されたハッシュ値と中継システム4においてハッシュ値とを照合した結果に基づいて、認証の可否を決定するので、認証システム構築のコストが小さく、且つクライアント端末9の負荷を低減できる他、1つのユーザ情報に関して、複数のローカルネットワーク8a,8b,…に接続される複数のクライアント端末9から同時に認証サーバ2のサービスを利用することができる。又、例えば、1人のユーザが複数のローカルネットワークから認証サーバ2のサービスを利用しようとする場合であっても、予め認証情報として、認証サーバ2に複数のローカルネットワークを登録しておけば、複数のローカルネットワークから認証サーバ2を利用することができ、新たにユーザ情報、ネットワーク識別情報を登録する労力を低減できる。
【0066】
(第6の実施形態)
第5の実施形態に係る認証システムは、複数のローカルネットワーク8a,8b,…のいずれかにおいて、認証を行っている間、他のローカルネットワークからも認証可能なものであるが、他のローカルネットワークからの認証を禁止するものとしても良い。
【0067】
即ち、本発明の第6の実施形態に係る認証システムは、図11に示すように、複数のローカルネットワーク8a,8b,…においてクライアント端末9a,9b,…が、認証を行うローカルネットワークを指定するネットワーク指定手段902a,902b,…をそれぞれ有し、認証サーバの演算処理部20が、認証可能なローカルネットワークを制限する認証制限手段206を論理構成として更に有する点が第5の実施形態と異なる。
【0068】
第6の実施形態に係る認証システムは、ネットワーク指定手段902a,902b,…が、複数のローカルネットワーク8a,8b,…のいずれかを指定する。ネットワーク指定手段902a,902b,…は、クライアント端末9が備える図示を省略した入力装置からの入力に応じて複数のローカルネットワーク8a,8b,…のいずれかを指定しても良いし、ネットワーク指定手段902a,902b,…のうち、最初に認証要求を送信するローカルネットワークを指定するものであっても良い。
【0069】
認証制限手段206は、1つのユーザ情報に関する複数のネットワーク識別情報に対応する複数のローカルネットワークの内、ネットワーク指定手段902a,902b,…が指定したローカルネットワークとの認証を許可し、他のローカルネットワークとの認証を禁止する。即ち、照合要求手段202は、ネットワーク指定手段902に指定されたローカルネットワークの中継システムにのみ、照合要求を送信する。
【0070】
第6の実施形態に係る認証システムによれば、認証サーバ2において算出されたハッシュ値と中継システム4においてハッシュ値とを照合した結果に基づいて、認証の可否を決定するので、認証システム構築のコストが小さく、且つクライアント端末9の負荷を低減できる。又、第6の実施形態に係る認証システムによれば、1つのユーザ情報に関する複数のローカルネットワークの内、認証を行う端末が接続されるローカルネットワーク以外のローカルネットワークからの認証を制限できるので、第5の実施形態に係る認証システムに比してセキュリティ性が向上する。
【0071】
(第7の実施形態)
第1〜第6の実施形態に係る認証システムは、クライアント端末9にアプリケーション等のサービスを提供する通信対象サーバを更に備え、認証サーバ2を、通信対象サーバに代わって認証を行う認証代行サーバとして稼働するようにしても良い。
【0072】
即ち、本発明の第7の実施形態に係る認証システムは、図12に示すように、認証サーバ2に接続され、クライアント端末9と通信する通信対象サーバ29を更に備え、認証サーバ2の演算処理部20に、クライアント端末9と通信対象サーバ29との通信を中継する通信中継手段207を論理構成として更に有する点で第1の実施形態と異なる。
【0073】
通信対象サーバ29は、クライアント端末9からの要求に応じて、クライアント端末9にサービスを提供するアプリケーションサーバ、クライアント端末9から送信される種々のデータを格納、又はクライアント端末9からの要求に応じて種々のデータを提供するデータサーバ等とすることができる。
【0074】
<認証サーバの動作>
図13に示すフローチャートを参照し、本発明の第7の実施形態に係る認証システムに用いられる認証サーバ2の動作の一例を説明するが、図13に示すステップS51〜S55は、それぞれ第1の実施形態において説明した図3のフローチャートに示すステップS11〜S15と実質的に同一であるので、重複した説明を省略する。
【0075】
ステップS55において、認証成立と判定された場合は、ステップS56に進み、ステップS57において、通信中継手段207は、クライアント端末9から送信された通信データを通信対象サーバ29に転送し、クライアント端末9と通信対象サーバ29との通信の中継処理を開始する。ステップS55において、認証不成立と判定された場合は、ステップS58に進み、通信中継手段207はクライアント端末9から送信された通信データを通信対象サーバ29に転送せず、終了する。
【0076】
本発明の第7の実施形態に係る認証システムによれば、認証サーバ2において算出されたハッシュ値と中継システム4においてハッシュ値とを照合した結果に基づいて、認証の可否を決定するので、認証システム構築のコストが小さく、且つクライアント端末9の負荷を低減できる。又、第7の実施形態に係る認証システムによれば、クライアント端末9が利用し、認証処理の必要な通信対象サーバが複数ある場合であっても、認証サーバ2に認証処理を代行させることにより、認証機能を持たせるサーバが1台で済み、複数の通信対象サーバの負荷を低減できる。更に、個人情報である認証情報を1台のサーバにまとめることができるので、セキュリティ性が向上する。
【0077】
(第8の実施形態)
本発明の第8の実施形態に係る認証システムは、複数のローカルネットワーク8a,8b,…内に、それぞれ複数の認証サーバ2a,2b,…が設けられ、ローカルネットワーク同士の相互認証が可能である。
【0078】
図8に示すように、第8の実施形態に係る認証システムは、複数のクライアント端末9a,9b…がそれぞれ接続された複数のローカルネットワーク8a,8b,…と、複数のローカルネットワーク8a,8b,…にそれぞれ設けられ、複数のローカルネットワーク8a,8b,…の広域ネットワーク6を介した通信を、それぞれ中継する複数の中継システム4a,4b,…と、複数のローカルネットワーク8a,8b,…にそれぞれ設けられた複数の認証サーバ2a,2b,…とを備える。認証サーバ2、中継システム4、クライアント端末9の構成等は、第1〜第7の実施形態において説明した構成と実質的に同様であるので、重複した説明を省略する。
【0079】
第1のクライアント端末9aの認証要求送信手段(図示省略)から送信された認証要求を含む通信データは、第1の中継システム4a、広域ネットワーク6、第2の中継システム4bを順に経由して、第2の認証サーバ2bにおいて受信される。
【0080】
第1の中継システム4aが有する図示を省略した通信データ変換手段(第1変換手段)は、ハッシュ関数(変換関数)により、第1のクライアント端末9aが送信した通信データを、ハッシュ値(第1特定値)に変換し、第1の中継システム4aが備える特定値記憶装置(図示省略)に格納する。
【0081】
第2の認証サーバ2bが有する図示を省略した通信データ変換手段(第2変換手段)は、第1の中継システム4aにおけるハッシュ値の算出に用いられた関数と同一のハッシュ関数(変換関数)により、通信データをハッシュ値(第2特定値)に変換し、第2の認証サーバ2bが備える特定値記憶装置(図示省略)に格納する。
【0082】
第2の認証サーバ2bの照合要求手段は、第1の中継システム4aの特定値照合手段に照合要求を送信する。第1の中継システム4aの特定値照合手段は、第2の認証サーバから送信された照合要求に応じて、第1の中継システム4aにおいて算出されたハッシュ値(第1特定値)と、第2の認証サーバ2bにおいて算出されたハッシュ値(第2特定値)とを照合する。
【0083】
第2の認証サーバ2bの認証判定手段は、第1の中継システム4aから送信された照合結果に基づいて、第1のクライアント端末9aの認証の可否を判定する。
【0084】
第8の実施形態に係る認証システムによれば、第2の認証サーバ2bにおいて算出されたハッシュ値と第1の中継システム4aにおいてハッシュ値とを照合した結果に基づいて、認証の可否を決定するので、認証システム構築のコストが小さく、且つクライアント端末9の負荷を低減できる。更に、第8の実施形態に係る認証システムによれば、ユーザ、認証システムにおけるローカルネットワークが限定され、認証情報等が限定されるので、セキュリティ性を向上できる。
【0085】
(その他の実施形態)
上記のように、本発明は第1〜第8の実施形態によって記載したが、この開示の一部をなす論述及び図面は本発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
【0086】
既に述べた第1〜第8の実施形態においては、中継システム4は、図15に示すように、中継装置3の内部に変換装置1を備え、中継装置3と変換装置1とが一体化した中継装置31としても良い。
【0087】
又、第1〜第8の実施形態においては、クライアント端末9から認証要求が送信される前からクライアント端末9からの通信データをハッシュ化する例を示したが、通信データ変換手段101は、クライアント端末9から送信された認証要求に応じて、認証要求の通信データのみをハッシュ化する一連の処理を開始するようにしても良い。
【0088】
又、第3の実施形態においては、認証システムは、中継システム認証手段204、認証処理手段104等を備えず、認証サーバ2と中継システム4との間の認証機能を有さないようにしても良い。
【0089】
又、第1〜第8の実施形態においては、ネットワーク識別情報として認証サーバ2に登録されたローカルネットワーク以外から、認証サーバ2に対して認証要求が送信された場合、認証を不成立とし、更に、認証要求に含まれるユーザ情報として認証サーバ2に登録された電子メールアドレスに、アラート通知として、その旨を通知する電子メールが送付されるようにしても良い。アラート通知は、認証サーバ2に登録されたローカルネットワーク以外のネットワークから、認証要求が認証サーバ2に送信されていることを通知するものであるが、更に、アラート通知は、認証サーバ2に登録されたローカルネットワーク以外のネットワークからの認証処理を許可するか否かを、登録されたクライアント端末9に問い合わせ、クライアント端末9からの返信により、認証サーバ2が認証の可否を判定するようにしても良い。
【0090】
又、第1〜第8の実施形態においては、ユーザ情報、ネットワーク識別情報として、MACアドレス等、クライアント端末に固有の情報を利用し、クライアント端末毎に、認証に必要な情報を変更し、認証のレベルを設定することも可能である。
【0091】
このように、本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。したがって、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
【符号の説明】
【0092】
1…変換装置
2,2a,2b…認証サーバ
3…中継装置
4,4a,4b…中継システム
5…プロバイダ
6…広域ネットワーク
8,8a,8b…ローカルネットワーク
9,9a,9b…クライアント端末
10…演算処理部
11…入出力制御部
12…特定値記憶装置
13…変換関数記憶装置
14…認証情報記憶装置
20…演算処理部
21…入出力制御部
22…認証情報記憶装置
23…特定値記憶装置
24…変換関数記憶装置
29…通信対象サーバ
31…中継装置
101…通信データ変換手段
102…特定値照合手段
103…照合結果送信手段
104…認証処理手段
105…特定値送信手段
201…通信データ変換手段
202…照合要求手段
203…認証判定手段
204…中継システム認証手段
205…特定値照合手段
206…認証制限手段
207…通信中継手段
901…認証要求手段
902,902a,902b…ネットワーク指定手段
【特許請求の範囲】
【請求項1】
認証要求を含む通信データを送信するクライアント端末を備えるローカルネットワークと、
前記認証要求に応じて前記クライアント端末を認証する認証サーバと、
前記ローカルネットワークと前記認証サーバとの通信を中継する中継システムとを備える認証システムであって、
前記中継システムにおいて受信された前記通信データを、変換関数により変換して第1特定値を算出する第1変換手段と、
前記認証サーバにおいて受信された前記通信データを、前記第1特定値の算出に用いた関数と同一の前記変換関数により変換して第2特定値を算出する第2変換手段と、
前記第1特定値と前記第2特定値との照合処理を行う特定値照合手段
とを備え、前記認証サーバは、少なくとも、前記照合処理により前記第1特定値と前記第2特定値とが一致した場合において、前記クライアント端末の認証処理を成立と判定する認証判定手段を備えることを特徴とする認証システム。
【請求項2】
前記認証サーバは、前記中継システムに対して証明書を発行し、前記証明書を用いて前記中継システムを認証する中継システム認証手段を更に備えることを特徴とする請求項1に記載の認証システム。
【請求項3】
前記中継システムは、前記第1特定値を認証サーバに送信する特定値送信手段を更に備え、
前記認証サーバが前記特定値照合手段を備えることを特徴とする請求項1又は2に記載の認証システム。
【請求項4】
前記中継システムは、前記ローカルネットワークに広域ネットワーク接続を提供するプロバイダを含み、前記第1変換手段が、前記プロバイダにおいて受信された前記通信データを、前記変換関数により変換して第1特定値を算出することを特徴とする請求項1〜3のいずれか1項に記載の認証システム。
【請求項5】
複数の前記ローカルネットワークと、
前記複数のローカルネットワークにそれぞれ設けられ、前記複数のローカルネットワークと前記認証サーバとの通信をそれぞれ中継する複数の前記中継システム
とを更に備え、
予め、前記認証サーバに、前記複数のローカルネットワークをそれぞれ識別することのできるネットワーク識別情報を登録しておき、
前記複数のネットワークのいずれかに備えられる前記クライアント端末から送信された前記認証要求を受信した場合、
前記認証サーバは、前記ネットワーク識別情報に基づいて、前記複数のローカルネットワークにそれぞれ前記照合処理を要求することを特徴とする請求項1に記載の認証システム。
【請求項6】
複数の前記ローカルネットワークと、
前記複数のローカルネットワークにそれぞれ設けられ、前記複数のローカルネットワークと前記認証サーバとの通信をそれぞれ中継する複数の前記中継システム
とを更に備え、
予め、前記認証サーバに、前記複数のローカルネットワークをそれぞれ識別することのできるネットワーク識別情報を登録しておき、
前記複数のネットワークのいずれかに備えられる前記クライアント端末から送信された前記認証要求を受信した場合、
前記認証サーバは、前記ネットワーク識別情報に基づいて、前記認証要求を送信した前記クライアント端末が備えられる前記ローカルネットワークのみに前記照合処理を要求し、
前記認証要求を送信した前記クライアント端末が備えられる前記ローカルネットワーク以外の前記複数のローカルネットワークに前記照合処理を要求することを禁止することを特徴とする請求項1に記載の認証システム。
【請求項7】
前記認証サーバは、前記クライアント端末と、通信対象サーバとの通信を中継する通信中継手段を更に備えることを特徴とする請求項1〜6のいずれかに記載の認証システム。
【請求項8】
複数の前記ローカルネットワークと、
前記複数のローカルネットワークにそれぞれ対応して設けられ、前記複数のローカルネットワークと前記認証サーバとの通信をそれぞれ中継する複数の前記中継システムと、
前記複数のローカルネットワークにそれぞれ対応して設けられる複数の前記認証サーバ
とを更に備え、
第1のローカルネットワークに接続された前記クライアント端末が、第2のローカルネットワークに接続された前記認証サーバに認証要求を送信し、
前記特定値照合手段が、前記第1のローカルネットワークに備えられた前記第1変換手段により算出された前記第1特定値と、前記第2のローカルネットワークに備えられた前記第2変換手段により算出された前記第2特定値とを照合処理することを特徴とする請求項1に記載の認証システム。
【請求項9】
認証要求を含む通信データを送信するクライアント端末を備えるローカルネットワークとの通信を中継する中継システムが接続され、前記認証要求に応じて前記クライアント端末を認証する認証サーバであって、
前記通信データを、変換関数により変換して特定値を算出する変換手段と、
前記認証サーバと前記クライアント端末との間の認証処理を判定する認証判定手段
とを備え、前記認証判定手段は、少なくとも、前記中継システムにおいて受信された前記通信データを、前記特定値の算出に用いた関数と同一の前記変換関数により変換して算出された特定値と、前記変換手段により算出された特定値とが一致した場合において、前記認証処理を成立と判定することを特徴とする認証サーバ。
【請求項10】
認証要求を含む通信データを送信するクライアント端末と、前記認証要求に応じて前記クライアント端末を認証する認証サーバとの通信を中継する中継装置に接続される変換装置であって、
前記中継装置において受信された前記通信データを、変換関数により変換して特定値を算出する変換手段と、
前記特定値と、前記認証サーバにおいて受信された前記通信データを、前記特定値の算出に用いた関数と同一の前記変換関数により変換して算出された特定値とを照合する特定値照合手段
とを備えることを特徴とする変換装置。
【請求項11】
認証要求を含む通信データを送信するクライアント端末を備えるローカルネットワークと、前記認証要求に応じて前記クライアント端末を認証する認証サーバとの通信を中継する中継装置であって、
受信した前記通信データを、変換関数により変換して特定値を算出する変換手段と、
前記特定値と、前記認証サーバにおいて受信された前記通信データを、前記特定値の算出に用いた関数と同一の前記変換関数により変換して算出された特定値とを照合する特定値照合手段
とを備えることを特徴とする中継装置。
【請求項1】
認証要求を含む通信データを送信するクライアント端末を備えるローカルネットワークと、
前記認証要求に応じて前記クライアント端末を認証する認証サーバと、
前記ローカルネットワークと前記認証サーバとの通信を中継する中継システムとを備える認証システムであって、
前記中継システムにおいて受信された前記通信データを、変換関数により変換して第1特定値を算出する第1変換手段と、
前記認証サーバにおいて受信された前記通信データを、前記第1特定値の算出に用いた関数と同一の前記変換関数により変換して第2特定値を算出する第2変換手段と、
前記第1特定値と前記第2特定値との照合処理を行う特定値照合手段
とを備え、前記認証サーバは、少なくとも、前記照合処理により前記第1特定値と前記第2特定値とが一致した場合において、前記クライアント端末の認証処理を成立と判定する認証判定手段を備えることを特徴とする認証システム。
【請求項2】
前記認証サーバは、前記中継システムに対して証明書を発行し、前記証明書を用いて前記中継システムを認証する中継システム認証手段を更に備えることを特徴とする請求項1に記載の認証システム。
【請求項3】
前記中継システムは、前記第1特定値を認証サーバに送信する特定値送信手段を更に備え、
前記認証サーバが前記特定値照合手段を備えることを特徴とする請求項1又は2に記載の認証システム。
【請求項4】
前記中継システムは、前記ローカルネットワークに広域ネットワーク接続を提供するプロバイダを含み、前記第1変換手段が、前記プロバイダにおいて受信された前記通信データを、前記変換関数により変換して第1特定値を算出することを特徴とする請求項1〜3のいずれか1項に記載の認証システム。
【請求項5】
複数の前記ローカルネットワークと、
前記複数のローカルネットワークにそれぞれ設けられ、前記複数のローカルネットワークと前記認証サーバとの通信をそれぞれ中継する複数の前記中継システム
とを更に備え、
予め、前記認証サーバに、前記複数のローカルネットワークをそれぞれ識別することのできるネットワーク識別情報を登録しておき、
前記複数のネットワークのいずれかに備えられる前記クライアント端末から送信された前記認証要求を受信した場合、
前記認証サーバは、前記ネットワーク識別情報に基づいて、前記複数のローカルネットワークにそれぞれ前記照合処理を要求することを特徴とする請求項1に記載の認証システム。
【請求項6】
複数の前記ローカルネットワークと、
前記複数のローカルネットワークにそれぞれ設けられ、前記複数のローカルネットワークと前記認証サーバとの通信をそれぞれ中継する複数の前記中継システム
とを更に備え、
予め、前記認証サーバに、前記複数のローカルネットワークをそれぞれ識別することのできるネットワーク識別情報を登録しておき、
前記複数のネットワークのいずれかに備えられる前記クライアント端末から送信された前記認証要求を受信した場合、
前記認証サーバは、前記ネットワーク識別情報に基づいて、前記認証要求を送信した前記クライアント端末が備えられる前記ローカルネットワークのみに前記照合処理を要求し、
前記認証要求を送信した前記クライアント端末が備えられる前記ローカルネットワーク以外の前記複数のローカルネットワークに前記照合処理を要求することを禁止することを特徴とする請求項1に記載の認証システム。
【請求項7】
前記認証サーバは、前記クライアント端末と、通信対象サーバとの通信を中継する通信中継手段を更に備えることを特徴とする請求項1〜6のいずれかに記載の認証システム。
【請求項8】
複数の前記ローカルネットワークと、
前記複数のローカルネットワークにそれぞれ対応して設けられ、前記複数のローカルネットワークと前記認証サーバとの通信をそれぞれ中継する複数の前記中継システムと、
前記複数のローカルネットワークにそれぞれ対応して設けられる複数の前記認証サーバ
とを更に備え、
第1のローカルネットワークに接続された前記クライアント端末が、第2のローカルネットワークに接続された前記認証サーバに認証要求を送信し、
前記特定値照合手段が、前記第1のローカルネットワークに備えられた前記第1変換手段により算出された前記第1特定値と、前記第2のローカルネットワークに備えられた前記第2変換手段により算出された前記第2特定値とを照合処理することを特徴とする請求項1に記載の認証システム。
【請求項9】
認証要求を含む通信データを送信するクライアント端末を備えるローカルネットワークとの通信を中継する中継システムが接続され、前記認証要求に応じて前記クライアント端末を認証する認証サーバであって、
前記通信データを、変換関数により変換して特定値を算出する変換手段と、
前記認証サーバと前記クライアント端末との間の認証処理を判定する認証判定手段
とを備え、前記認証判定手段は、少なくとも、前記中継システムにおいて受信された前記通信データを、前記特定値の算出に用いた関数と同一の前記変換関数により変換して算出された特定値と、前記変換手段により算出された特定値とが一致した場合において、前記認証処理を成立と判定することを特徴とする認証サーバ。
【請求項10】
認証要求を含む通信データを送信するクライアント端末と、前記認証要求に応じて前記クライアント端末を認証する認証サーバとの通信を中継する中継装置に接続される変換装置であって、
前記中継装置において受信された前記通信データを、変換関数により変換して特定値を算出する変換手段と、
前記特定値と、前記認証サーバにおいて受信された前記通信データを、前記特定値の算出に用いた関数と同一の前記変換関数により変換して算出された特定値とを照合する特定値照合手段
とを備えることを特徴とする変換装置。
【請求項11】
認証要求を含む通信データを送信するクライアント端末を備えるローカルネットワークと、前記認証要求に応じて前記クライアント端末を認証する認証サーバとの通信を中継する中継装置であって、
受信した前記通信データを、変換関数により変換して特定値を算出する変換手段と、
前記特定値と、前記認証サーバにおいて受信された前記通信データを、前記特定値の算出に用いた関数と同一の前記変換関数により変換して算出された特定値とを照合する特定値照合手段
とを備えることを特徴とする中継装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2011−154441(P2011−154441A)
【公開日】平成23年8月11日(2011.8.11)
【国際特許分類】
【出願番号】特願2010−14093(P2010−14093)
【出願日】平成22年1月26日(2010.1.26)
【国等の委託研究の成果に係る記載事項】(出願人による申告)国等の委託研究の成果に係る特許出願(平成21年度、独立行政法人 情報通信研究機構、「インターネットにおけるトレースバック技術に関する研究開発」委託研究、産業技術力強化法第19条の適用を受ける特許出願)
【出願人】(000005832)パナソニック電工株式会社 (17,916)
【Fターム(参考)】
【公開日】平成23年8月11日(2011.8.11)
【国際特許分類】
【出願日】平成22年1月26日(2010.1.26)
【国等の委託研究の成果に係る記載事項】(出願人による申告)国等の委託研究の成果に係る特許出願(平成21年度、独立行政法人 情報通信研究機構、「インターネットにおけるトレースバック技術に関する研究開発」委託研究、産業技術力強化法第19条の適用を受ける特許出願)
【出願人】(000005832)パナソニック電工株式会社 (17,916)
【Fターム(参考)】
[ Back to top ]