JP4415527B2 - 通信端末及び通信確立プログラム、通信システム - Google Patents
通信端末及び通信確立プログラム、通信システム Download PDFInfo
- Publication number
- JP4415527B2 JP4415527B2 JP2002110455A JP2002110455A JP4415527B2 JP 4415527 B2 JP4415527 B2 JP 4415527B2 JP 2002110455 A JP2002110455 A JP 2002110455A JP 2002110455 A JP2002110455 A JP 2002110455A JP 4415527 B2 JP4415527 B2 JP 4415527B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- communication
- authentication
- processing
- common
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【発明の属する技術分野】
本発明は、例えばIPSec(IP(Internet Protocol) security protocol)に準拠した認証処理及び暗号化処理をすることで、VPN(virtual private network)を構築して通信データを送受信するための通信端末及び通信確立プログラム、通信システムに関する。
【0002】
【従来の技術】
近年、クライアント−サーバシステムとして、IPSecに準拠したプロトコルを実装することによりクライアント端末と認証サーバとの間にVPNパスを構築して、認証サーバを介してクライアント端末とアプリケーションサーバとを接続するものが知られている。このようなシステムとしては、例えば特開2002−44141号公報にて開示されている。
【0003】
このような従来の通信システムの一例を図11に示す。この通信システムでは、クライアント端末101、認証サーバ102、アプリケーションサーバ103が通信回線を介して接続されることにより、クライアント端末101のアプリケーション処理部111とアプリケーションサーバ103との間での通信を実現している。また、この通信システムでは、クライアント端末101及び認証サーバ102にてIP(Internet Protocol)を実装しており、RFC(Request For Comments)2002〜RFC2005などに準拠したモバイルIP、IPSecに対応したVPNパス104を構築する機能を有している。
【0004】
このような通信システムにおけるクライアント端末101は、認証クライアント処理部112を起動して認証サーバ102との間でVPNパス104を構築するに際して、入力装置113がユーザにより操作されると、起動情報取得部121においてログオン画面をユーザに提示してパスワードなどの入力を促す。そして、ユーザによりパスワード入力がなされると、認証クライアント処理部112が起動し、予め設定されたファイルパスに従って情報ファイル管理部114にて保持しているネットワーク情報ファイル131及び認証情報ファイル132を認証・ネットワーク情報取得部122にて読み出す。
【0005】
そして、この通信システムでは、ネットワーク情報ファイル131及び認証情報ファイル132を用いて、認証処理部123と認証サーバ102の認証処理部141との間で認証処理をし、鍵交換処理部124と認証サーバ102の鍵交換処理部142との間で鍵交換を行う。これにより、クライアント端末101の通信処理部125と認証サーバ102の通信処理部143との間で、アプリケーションサーバ103のIPアドレスを宛先アドレスとしたIPパケットを暗号化し、暗号化したデータを用いてIPSecパケットを作成し、更にIPヘッダを付加してカプセル化したパケットを用いた通信をすることで、VPNパス104を構築する。
【0006】
このような通信システムでは、認証クライアント処理部112と認証サーバ102との間に機密保持性と信頼性の高いデータ通信を実現する。
【0007】
【発明が解決しようとする課題】
しかしながら、従来の通信システムでは、認証クライアント処理部112を入力装置113にて起動する、すなわち認証クライアント処理部112へのログオンを手動で入力するパスワードのみから起動の判定をしており、且つ、ネットワーク情報ファイル131、認証情報ファイル132及びファイルパスをクライアント端末101内にて保持する構成となっていたので、パスワードが漏洩すると、システム内に侵入されて、不正な通信が行われるという危険性があった。
【0008】
そこで、本発明は、上述した実情に鑑みて提案されたものであり、端末起動時のログオン処理を安全とすると共に、セキュリティに対する信頼性の高いシステムを構築することができる通信端末及び通信確立プログラム、通信システムを提供することを目的とする。
【0009】
【課題を解決するための手段】
上述の課題を解決するために、本発明に係る通信端末では、ユーザが保有する記録媒体から認証サーバとの認証処理に必要な情報のうち、少なくともユーザごとの固有情報を読み出して入力する情報入力手段と、上記情報入力手段にて入力した情報を用いて、認証処理に必要な認証用情報ファイル及び上記認証サーバとの通信に使用する通信用情報ファイルを構成する情報ファイル構成手段と、 上記情報ファイル構成手段にて構成された通信用情報ファイルを参照して上記認証サーバとの間で通信を行い、上記認証用情報ファイルを参照して上記認証サーバとの間で認証処理を行って、上記認証サーバとの間の通信を確立する通信処理手段と、異なるユーザが保有する記録媒体に記憶された異なる固有情報に対して共通して使用される認証用共通情報及び通信用共通情報を記憶する共通情報記憶手段を更に備え、前記認証用共通情報は、上記認証サーバを区別する識別情報を含む認証処理に必要な情報であり、前記通信用共通情報は、上記認証サーバとの通信を可能にするために使用する情報であり、上記情報入力手段は、通信利用の正当性を判定するためのパスワード、認証サーバとの間にて認証処理をするに際して使用する認証用固有情報、及び認証サーバとの間で通信処理をするに際して使用する通信用固有情報を上記記録媒体から読み出して入力し、上記情報ファイル構成手段は、上記情報入力手段にて入力したパスワードから通信利用の正当性が判定された場合に、上記情報入力手段にて入力した認証用固有情報と上記共通情報記憶手段に記憶された認証用共通情報とを用いて認証用情報ファイルを構成すると共に、上記情報入力手段にて入力した通信用固有情報と上記共通情報記憶手段に記憶された通信用共通情報とを用いて通信用情報ファイルを構成する。
【0011】
上述の課題を解決するために、本発明に係る通信確立プログラムでは、コンピュータを、ユーザが保有する記録媒体から認証サーバとの認証処理に必要な情報のうち、少なくともユーザごとの固有情報を読み出して入力する情報入力手段、少なくともユーザごとの固有情報を読み出して入力した場合に、入力した情報を用いて、認証処理に必要な認証用情報ファイル及び上記認証サーバとの通信に使用する通信用情報ファイルを構成するファイル構成手段、として機能させる情報ファイル構成プログラムと、コンピュータを、上記通信用情報ファイルを参照して上記認証サーバとの間で通信を行い、上記認証用情報ファイルを参照して上記認証サーバとの間で認証処理を行って、上記認証サーバとの間の通信を確立する通信処理手段として機能させる通信処理プログラムとを有し、コンピュータが、異なるユーザが保有する記録媒体に記憶された異なる固有情報に対して共通して使用される認証用共通情報及び通信用共通情報を、上記情報入力手段が読み出し可能な記録媒体に記憶しておき、前記認証用共通情報は、上記認証サーバを区別する識別情報を含む認証処理に必要な情報であり、前記通信用共通情報は、上記認証サーバとの通信を可能にするために使用する情報であり、上記情報入力手段は、通信利用の正当性を判定するためのパスワード、認証サーバとの間にて認証処理をするに際して使用する認証用固有情報、及び認証サーバとの間で通信処理をするに際して使用する通信用固有情報を上記記録媒体から読み出して入力し、上記情報ファイル構成手段は、上記情報ファイル構成手段にて入力したパスワードから通信利用の正当性が判定された場合に、上記情報ファイル構成手段にて入力した認証用固有情報と上記認証用共通情報とを用いて認証用情報ファイルを構成すると共に、上記情報入力手段にて入力した通信用固有情報と上記通信用共通情報とを用いて通信用情報ファイルを構成する。
【0013】
本発明に係る通信確立プログラムは、ユーザが保有する記録媒体から認証サーバとの認証処理に必要な情報のうち、少なくともユーザごとの固有情報を読み出して入力した場合に、入力した情報を用いて、認証処理に必要な認証用情報ファイル及び上記認証サーバとの通信に使用する通信用情報ファイルを構成する情報ファイル構成プログラムと、
上記通信用情報ファイルを参照して上記認証サーバとの間で通信を行い、上記認証用情報ファイルを参照して上記認証サーバとの間で認証処理を行って、上記認証サーバとの間の通信を確立する通信処理プログラムとを有し、異なるユーザが保有する記録媒体に記憶された異なる固有情報に対して共通して使用される認証用共通情報及び通信用共通情報を、上記情報ファイル構成プログラムが読み出し可能な記録媒体に記憶しておき、前記認証用共通情報は、上記認証サーバを区別する識別情報を含む認証処理に必要な情報であり、前記通信用共通情報は、上記認証サーバとの通信を可能にするために使用する情報であり、上記情報ファイル構成プログラムは、通信利用の正当性を判定するためのパスワード、認証サーバとの間にて認証処理をするに際して使用する認証用固有情報、及び認証サーバとの間で通信処理をするに際して使用する通信用固有情報を上記記録媒体から読み出して入力し、入力したパスワードから通信利用の正当性が判定された場合に、入力した認証用固有情報と上記共通情報記憶手段に記憶された認証用共通情報とを用いて認証用情報ファイルを構成すると共に、上記情報入力手段にて入力した通信用固有情報と上記共通情報記憶手段に記憶された通信用共通情報とを用いて通信用情報ファイルを構成するものである。 本発明に係る通信システムは、複数の通信端末との間で認証処理をして、認証処理の結果に応じてアプリケーションサーバと通信端末との間の通信を確立する認証サーバと、ユーザが保有する記録媒体から上記認証サーバとの認証処理に必要な情報のうち、少なくともユーザごとの固有情報を読み出して入力し、入力した情報を用いて、認証処理に必要な認証用情報ファイル及び上記認証サーバとの通信に使用する通信用情報ファイルを構成し、上記通信用情報ファイルを参照して上記認証サーバとの間で通信を行い、上記認証用情報ファイルを参照して上記認証サーバとの間で認証処理を行う通信端末とを備え、上記通信端末は、異なるユーザが保有する記録媒体に記憶された異なる固有情報に対して共通して使用される認証用共通情報及び通信用共通情報を記憶する共通情報記憶手段を更に備え、前記認証用共通情報は、上記認証サーバを区別する識別情報を含む認証処理に必要な情報であり、前記通信用共通情報は、上記認証サーバとの通信を可能にするために使用する情報であり、上記情報入力手段は、通信利用の正当性を判定するためのパスワード、認証サーバとの間にて認証処理をするに際して使用する認証用固有情報、及び認証サーバとの間で通信処理をするに際して使用する通信用固有情報を上記記録媒体から読み出して入力し、上記情報ファイル構成手段は、上記情報入力手段にて入力したパスワードから通信利用の正当性が判定された場合に、上記情報入力手段にて入力した認証用固有情報と上記共通情報記憶手段に記憶された認証用共通情報とを用いて認証用情報ファイルを構成すると共に、上記情報入力手段にて入力した通信用固有情報と上記共通情報記憶手段に記憶された通信用共通情報とを用いて通信用情報ファイルを構成するものである。
【0014】
【発明の実施の形態】
以下、本発明の実施の形態について図面を参照して説明する。
【0015】
本発明は、例えば図1に示すように構成された通信システムに適用される。
【0016】
[通信システムの構成]
この通信システムは、例えばパーソナルコンピュータにて構成された通信端末1、認証サーバ2及びアプリケーションサーバ3が通信回線を介して接続されて構成されている。この通信システムでは、通信端末1と認証サーバ2との間でモバイルIP及びIPSecに準拠したVPNパス4を構築し、認証サーバ2を介して通信端末1とアプリケーションサーバ3との間でアプリケーションデータを伝送する。
【0017】
通信端末1とアプリケーションサーバ3との間には、図示しない外部エージェント機能を有するルータや、ホームエージェント機能を有するルータが配設される。これらのルータは、通信端末1の移動先のIPアドレスであるC/OIPアドレス、通信端末1の本拠のホームIPアドレスを管理し、通信端末1とアプリケーションサーバ3との間でアプリケーションデータを中継する。これにより、通信端末1は、移動した場合であっても、ホームネットワークに接続されたアプリケーションサーバ3との間での通信を実現する。
【0018】
通信端末1は、ユーザに保有される携帯型記録媒体であるIC(Integrated Circuit)カード10が挿入されるICカード着脱機構を有するICカードリーダ21を備える。なお、本例では、携帯型記録媒体としてICカード10を使用した場合について説明するが、これに限らず、例えばCD−R(Compact Disc-Recordable)やFD(Floppy Disk)、記録機能を備えるPDA(Personal Digital Assistant)を接続した場合であっても良い。
【0019】
このICカード10は、ICにて構成された記憶機構を内蔵している。このICカード10には、通信端末1のOS(Operation System)にログオンするためのOSログオン情報、認証クライアントログオンパスワード、ネットワーク情報、認証情報が少なくとも記憶されている。本例おいて、ICカード10に記憶される固有のネットワーク情報は、ホームIPアドレス情報などである。また、ICカード10に記憶される認証情報は、通信端末1と認証サーバ2との間で認証処理をするに際して使用する認証子である。
【0020】
ICカードリーダ21は、ICカード10がユーザにより装着されると、その内容を読み出す。ICカードリーダ21は、OSログオン情報をログオン用ICカード読み取り部22に出力する。このOSログオン情報は、ログオン用ICカード読み取り部22によってICカードリーダ21から読みとられてログオン部23に送られる。ログオン部23では、OSログオン情報が送られると、図示しない表示部などを用いてユーザにOSのパスワード入力を促し、入力されたパスワードに応じてOSを起動させる。これにより、OSによりICカード監視部24が起動される。
【0021】
このとき、通信端末1では、OSへのログオンが完了してOSが起動すると、OSにより図示しない記録媒体に格納されたICカード監視プログラムを起動させることで、ICカード監視部24を起動させる。
【0022】
ICカード監視部24は、その機能として、ICカード読み取り部31、情報ファイル構成部32、起動部33を有する。ICカード監視部24には、ICカードリーダ21により読み出して入力した認証クライアントログオンパスワード情報、ホームIPアドレス情報、認証情報が送られる。これらの情報が送られると、ICカード読み取り部31は、ネットワーク共通情報記憶部25に予め記憶しておいた通信用共通情報及び認証用共通情報を読み出し、読み出した情報と共に認証クライアントログオンパスワード情報、ホームIPアドレス情報、認証情報を情報ファイル構成部32に送る。
【0023】
通信用共通情報及び認証用共通情報は、異なるユーザが保有するICカード10に記憶された異なる固有情報に対して共通して使用される情報である。この通信用共通情報及び認証用共通情報は、予め設定された情報であって、例えば、認証サーバ2を区別するための認証サーバ識別情報、パケット処理に関するパラメータ、モバイルIPに関するパラメータ、例えばISAKMP(internet security association key management)などの鍵交換プロトコル、IPSecなどの暗号通信プロトコルに関するパラメータなどがある。これらの共通情報は、予めユーザの入力により生成される。
【0024】
情報ファイル構成部32では、ICカード読み取り部31及びネットワーク共通情報記憶部25からの情報を用いて、通信端末1と認証サーバ2及びアプリケーションサーバ3との通信に必要なネットワーク情報ファイル41を再構成すると共に、認証サーバ2との認証処理に必要な認証情報ファイル42を再構成する。
【0025】
ネットワーク情報ファイル41及び認証情報ファイル42は、情報ファイル管理部26に送られ、情報ファイル管理部26により保持されて管理される。このネットワーク情報ファイル41及び認証情報ファイル42のパス情報は、情報ファイル構成部32により作成されて、一時記憶部27に送られる。
【0026】
また、情報ファイル構成部32では、ICカード読み取り部31を介して送られた認証クライアントログオンパスワードを一時記憶部27に送る処理をする。情報ファイル構成部32にてネットワーク情報ファイル41及び認証情報ファイル42の再構成が完了し、認証クライアントログオンパスワード及びパス情報を一時記憶部27に格納した状態となると、起動部33では、認証クライアント28を起動する。このとき、起動部33では、OSに認証クライアント28の起動要求をすることで、OSに認証クライアント28を起動させる。
【0027】
この認証クライアント28は、その機能として、起動情報取得部51、認証・ネットワーク情報取得部52、認証処理部53、鍵交換処理部54、通信処理部55を有している。この認証クライアント28は、認証処理をすることで、通信端末1と認証サーバ2及びアプリケーションサーバ3との間の通信を確立する通信確立プログラムにて実現する機能にて構成される。
【0028】
起動情報取得部51では、起動部33による起動要求に応じて、一時記憶部27に記憶された認証クライアントログオンパスワードを読みだし、読み出した認証クライアントログオンパスワードの正当性を判定することで、通信利用の正当性を判定する。起動情報取得部51は、認証クライアントログオンパスワードが正当であると判定した場合に一時記憶部27からパス情報を読み出して認証・ネットワーク情報取得部52に送り、以降の処理を実行させる。
【0029】
また、起動情報取得部51では、起動部33による起動要求に応じて認証クライアント28を起動させる場合のみならず、ICカード監視部24から直接認証クライアントログオンパスワード及びパス情報が送られたことを検知して認証クライアントログオンパスワードを読みだして認証クライアント28を起動させても良い。
【0030】
一方、起動情報取得部51は、入力装置29が手動にて操作されて認証クライアントログオンパスワードが入力された場合には、同様に正当性を判定して、正当と判定したときにデフォルトのパス情報を読み出して認証・ネットワーク情報取得部52に送る。この場合は、ICカード10が挿入されたことによるICカード監視部24は起動せず、情報ファイル管理部26に保持されているネットワーク情報ファイル41及び認証情報ファイル42を再構成せずに使用して以降の処理を実行することになる。
【0031】
認証・ネットワーク情報取得部52では、パス情報が送られると、パス情報に基づいて情報ファイル管理部26にアクセスしてネットワーク情報ファイル41及び認証情報ファイル42を読み出して認証処理部53、鍵交換処理部54及び通信処理部55に送る。
【0032】
認証処理部53では、RFC(Request For Comments)2002〜RFC2005などに準拠したモバイルIPに基づいた処理を行うことで、通信端末1と認証サーバ2との間にモバイルIP環境を実現する。このとき、認証処理部53では、固有情報としてICカード10に格納されていた認証子及びホームIPアドレスを使用して登録要求パケットを認証サーバ2の認証処理部61に送信し、認証処理部61から登録応答パケットを受信することにより、認証サーバ2の認証処理部61との間での認証処理をする。
【0033】
このような認証処理の結果、認証処理部61により認証サーバ2を介した通信が許可されると、鍵交換処理部54では、認証サーバ2の鍵交換処理部62との間で鍵交換処理をする。このとき、鍵交換処理部54では、RFC2401〜RFC2410などに準拠した処理をして、データを暗号化、復号するための暗号鍵を取得する。このような鍵交換処理の結果、暗号鍵、復号鍵の取得に成功することにより、通信端末1と認証サーバ2との間にVPNパス4を構築したことになる。
【0034】
通信処理部55は、上述の認証処理及び鍵交換処理、アプリケーションサーバ3とのアプリケーションデータの伝送に際して、認証サーバ2との間でパケット通信をする。
【0035】
アプリケーション処理部30にて作成されたアプリケーションデータをアプリケーションサーバ3に送信する場合には、図2に示すように、OSにより、アプリケーション処理部30にて作成されたアプリケーションデータをデータ領域72に格納し、このデータ領域72の先頭に、IPヘッダ情報領域71を付加してIPパケットを作成する。このとき、OSでは、アプリケーションサーバ3のIPアドレスであるサーバIPアドレスを宛先アドレス領域82に格納し、更にホームIPアドレスを送信元アドレス領域81に格納する。次いで、通信処理部55では、OSから送られたIPパケットを鍵交換処理により取得した暗号鍵を用いて暗号化して暗号化データを作成する。
【0036】
次いで、通信処理部55は、暗号化データをデータ領域74に格納し、その先頭にIPSecヘッダ領域73を付加してIPSecパケットを作成する。このとき、通信処理部55では、認証サーバ2のIPアドレスであるサーバIPアドレスを認証情報ファイル42から取得して宛先アドレス領域84に格納し、更にホームIPアドレスを送信元アドレス領域83に格納する。
【0037】
次いで、通信処理部55では、IPSecパケットをデータ領域76に格納し、その先頭にIPinIPヘッダ領域75を付加することでカプセル化してIPinIPパケットを作成する。このとき、通信処理部55では、認証サーバ2のIPアドレスであるサーバIPアドレスを宛先アドレス領域86に格納し、更に手動入力などによるC/OIPアドレス(case of IP address)を送信元アドレス領域85に格納する。
【0038】
通信システムでは、このように通信処理部55によりIPinIPパケットを作成して、VPNパス4を介してアプリケーションサーバ3との間でアプリケーションデータを伝送する。これに対し、認証サーバ2の通信処理部63では、送信元アドレス領域85に格納されたC/OIPアドレス、送信元アドレス領域83の送信元アドレス領域83に格納されたホームIPアドレスから通信端末1からのIPinIPパケットが送信されたと判定し、カプセル化の開放、暗号化データの復号をしてIPパケットを復元して、アプリケーションサーバ3に送信する。
【0039】
一方、宛先アドレス領域82が通信端末1のホームIPアドレス、送信元アドレス領域81がアプリケーションサーバ3のIPアドレスとなったIPパケットを認証サーバ2にて受信すると、認証サーバ2では、先ず、送信元アドレス領域83に認証サーバ2のIPアドレスを格納し、宛先アドレス領域84に通信端末1のホームIPアドレスを格納し、更にデータ領域72のアプリケーションデータを暗号化してIPSecパケットを作成する。次に、通信処理部63では、送信元アドレス領域85に認証サーバ2のIPアドレス、宛先アドレス領域86に通信端末1のC/OIPアドレスを格納したIPinIPパケットを作成して通信端末1に送信する。
【0040】
なお、上述した通信端末1では、ネットワーク情報ファイル41及び認証情報ファイル42を構成する情報の一部であって、ユーザ固有の固有情報をICカード10に格納しておき、ICカード10に記憶された固有情報とネットワーク共通情報記憶部25に記憶された共通情報とを用いてネットワーク情報ファイル41及び認証情報ファイル42を再構成をする場合について説明したが、これに限らず、固有情報及び共通情報をICカード10に格納しておいても良い。このような場合、通信端末1では、ICカード10から読み出した情報のみを用いてネットワーク情報ファイル41及び認証情報ファイル42を再構成する。
【0041】
このような通信端末1によれば、ネットワーク情報ファイル41及び認証情報ファイル42を再構成するための全情報をICカード10に記憶させるので、ICカード10に固有情報のみを記録する場合と比較して、セキュリティレベルを向上させることができる。
【0042】
[通信端末1による通信確立処理]
つぎに、上述した通信システムにおいて、通信端末1により通信を開始するに際して行う通信確立処理について図3のフローチャートを参照して説明する。なお、以下の説明では、固有情報のみがICカード10に記憶され、共通情報がネットワーク共通情報記憶部25に記憶されている場合について説明する。
【0043】
通信端末1は、ICカードリーダ21にICカード10が挿入されることに応じてステップS1以降の処理を開始し、OSログオン情報がログオン部23に送られるとステップS2に処理を進める。
【0044】
ステップS2では、ログオン部23によりOSのパスワード入力を促すパスワード入力画面をユーザに提示してステップS3に処理を進め、正当なパスワード入力がなされていない場合にはステップS2の画面表示を維持し、正当なパスワード入力がなされた場合にステップS4に処理を進める。
【0045】
ステップS4では、ログオン部23により正当なパスワードが入力されたことを認識した後にOSを起動してログインしてステップS5に処理を進め、更にICカード監視プログラム(アプリケーション)を立ち上げてステップS6に処理を進める。
【0046】
ステップS6では、通信端末1が前回に利用されたときに正常に終了していたか否かの判定をICカード監視部24により判定する。すなわち、ICカード監視部24では、前回の通信端末1の利用終了時にICカード10から読み出されて一時記憶部27に記憶した認証クライアントログオンパスワード及びパス情報が削除されているか否かを判定し、認証クライアントログオンパスワード及びパス情報が正常に削除されておらず異常終了されていたときにはステップS7に処理を進め、正常に削除されていたときにはステップS8に処理を進める。これにより、以前に挿入されたICカード10内の固有情報を、今回の利用にて使用不可とする。
【0047】
ステップS7では、一時記憶部27に記憶されたままとなっている認証クライアントログオンパスワード及びパス情報を削除して、ステップS8に処理を進める。これにより、ICカード監視部24は、前回利用したICカード10に記憶された固有情報に対する第三者のアクセス可能性を除外する。
【0048】
ステップS8では、ICカードリーダ21からICカード10に記憶されているユーザ固有の認証クライアントログオンパスワード、ホームIPアドレス情報、認証情報をICカード読み取り部31により取得して情報ファイル構成部32に送ってステップS9に処理を進める。
【0049】
ステップS9では、情報ファイル構成部32によりICカード読み取り部31からの固有情報とネットワーク共通情報記憶部25に記憶された共通情報とを用いてネットワーク情報ファイル41及び認証情報ファイル42を再構成して、情報ファイル管理部26に送り、次いで、ステップS10では、ネットワーク情報ファイル41及び認証情報ファイル42を再構成したことに応じて認証クライアントログオンパスワード及びパス情報を一時記憶部27に格納して、ステップS11に処理を進める。
【0050】
ステップS11では、起動部33により認証クライアント28を起動する処理をしてステップS12に処理を進め、起動情報取得部51により、今回の起動が手動起動か、ICカード監視部24が起動したことによる自動起動かの判定をする。このとき、起動情報取得部51では、自動起動を判定するに際して、起動部33による起動要求が発生したか否か、又は、一時記憶部27に認証クライアント起動ログオンパスワード及びパス情報が一時記憶部27に記憶されたか否かを判定する。起動情報取得部51により自動起動であると判定した場合には、ステップS13に処理を進め、認証・ネットワーク情報取得部52により一時記憶部27から認証クライアントログオンパスワード及びパス情報を取得してステップS17に処理を進める。
【0051】
一方、起動情報取得部51により手動起動であると判定した場合には、ステップS14に処理を進め、起動情報取得部51によりパスワード入力画面をユーザに提示してステップS15に処理を進め、正当な認証クライアントログオンパスワードの入力がなされた場合にステップS16に処理を進める。ステップS16では、予め設定されたデフォルトのネットワーク情報ファイル41及び認証情報ファイル42を取得するためのパス情報を認証・ネットワーク情報取得部52にて取得してステップS17に処理を進める。
【0052】
ステップS17において、認証・ネットワーク情報取得部52は、ステップS13又はステップS16にて取得したパス情報に基づいて情報ファイル管理部26からネットワーク情報ファイル41及び認証情報ファイル42を取得してネットワーク情報及び認証情報を認証処理部53、鍵交換処理部54及び通信処理部55に送ってステップS18に処理を進める。
【0053】
ステップS18において、認証処理部53は、認証情報を用いて認証サーバ2との間で認証処理を行い、ステップS19において認証処理の結果、認証サーバ2にて認証されたか否かを判定して、認証されなかった場合にはステップS20に処理を進めてエラー処理をして処理を終了する。一方、認証サーバ2に認証された場合にはステップS21に処理を進める。
【0054】
ステップS21では、鍵交換処理部54により認証サーバ2との鍵交換処理を行ってステップS22に処理を進め、鍵交換が成功しなかったと判定したときにはステップS23に処理を進めてエラー処理をして処理を終了する。一方、認証サーバ2との間での鍵交換処理が成功した場合にはステップS24に処理を進める。
【0055】
ステップS24では、ステップS18での認証処理、ステップS21での鍵交換処理により、VPNパス4を構築したアプリケーションサーバ3との通信が確立し、ステップS25において通信処理部55により図2に示すようなIPinIPパケットによる暗号化通信を開始する。
【0056】
そして、VPNパス4を介した暗号化通信を終了するログオフ命令がOSにより発生した場合には、図4のステップS31の処理を開始し、ICカード監視部24の情報ファイル構成部32により、ネットワーク情報ファイル41及び認証情報ファイル42を削除するように情報ファイル管理部26を制御して、ステップS32に処理を進める。
【0057】
ステップS32では、情報ファイル構成部32により、一時記憶部27に記憶しておいた認証クライアントログオンパスワード及びパス情報を削除してステップS33に処理を進めてOSからログオフして処理を終了する。
【0058】
[通信端末1による他の通信確立処理]
つぎに、上述した通信システムにおいて、通信端末1により通信を開始するに際して行う他の通信確立処理について図5のフローチャートを参照して説明する。なお、上述と同じ処理については同一符号を付することによりその詳細な説明を省略する。
【0059】
この通信確立処理では、ICカード監視部24を起動した後に、ステップS6及びステップS7の処理をせずにステップS8〜ステップS11の処理をし、自動起動された後のステップS17の次のステップS41において、認証・ネットワーク情報取得部52によりネットワーク情報ファイル41及び認証情報ファイル42を削除してステップS42に処理を進める。
【0060】
ステップS42では、一時記憶部27によりステップS10にて記憶した認証クライアントログオンパスワード及びパス情報を削除してステップS18に処理を進める。
【0061】
[実施形態の効果]
以上、詳細に説明したように、本実施形態に係る通信システムによれば、ICカード10からユーザごとの固有情報を読み出して入力した場合にネットワーク情報ファイル41及び認証情報ファイル42を再構成して、通信端末1と認証サーバ2との通信を確立するので、パスワードの漏洩により認証クライアント28が起動することなく、ICカード10が挿入された場合のみに認証クライアント28を起動するようにすることができ、通信端末1が起動する時のログオン処理を安全とすると共に、セキュリティに対する信頼性の高いシステムを構築することができる。
【0062】
また、この通信システムによれば、共通情報を予めネットワーク共通情報記憶部25に記憶しておき、ICカード10が挿入された場合に共通情報と固有情報とを用いてネットワーク情報ファイル41及び認証情報ファイル42を再構成するので、ICカード10に記録する情報量を少なくして、ICカード10のメモリ消費量を抑制することができる。
【0063】
更に、この通信システムによれば、ICカード10が挿入された場合にはICカード監視部24を起動してICカード10の固有情報を用いて認証サーバ2と通信確立し、入力装置29が操作されて起動した場合には通信端末1内の固有情報を用いて認証サーバ2と通信確立をするので、ICカード10が挿入されない場合でもデフォルトの動作をさせることができ、運用の柔軟性を確保することができる。
【0064】
更にまた、この通信システムによれば、ICカード10に認証クライアントログオンパスワードを記録しておき、ネットワーク情報ファイル41及び認証情報ファイル42を再構成した後に、パス情報及び認証クライアントログオンパスワードを一時記憶部27に記憶して認証処理を行うようにしたので、ICカード監視プログラムと認証処理プログラムとの切り分けを容易とすることができる。したがって、この通信システムによれば、既存の認証クライアント28のプログラム変更を少なくしてICカード監視部24による上述の処理を追加することができる。
【0065】
更にまた、この通信システムによれば、起動部33から直接認証クライアントログオンパスワード及びパス情報が送られたことを認証クライアント28により検知して認証処理を行うので、一時記憶部27に記憶することなく、固有情報に対するセキュリティをより向上させることができる。
【0066】
更にまた、この通信システムによれば、一時記憶部27に記憶した認証クライアントログオンパスワード及びパス情報を認証クライアント28又はICカード監視部24により消去するので、通信が終了した後にネットワーク情報ファイル41及び認証情報ファイル42がそのまま保存されてICカード10に記憶された固有情報が漏洩することを防止することができる。
【0067】
[通信システムの他の実施形態]
つぎに、通信システムの他の実施形態について説明する。なお、上述の実施形態と同様の部分については同一符号を付することによりその詳細な説明を省略する。
【0068】
上述した通信システムは、図6に示すように、ICカード10に通信端末1と接続する認証サーバ2を識別するための認証サーバ識別情報を格納した場合、通信端末1は、認証情報として認証サーバ識別情報を読み出して認証情報ファイル42を再構成する。これにより、この通信システムによれば、通信端末1の設定に拘わらず、ユーザが指定する認証サーバ2を介してアプリケーションサーバ3との接続を確立することができる。また、この通信システムによれば、ICカード10ごとに通信端末1の接続先を異なるものにすることができ、ICカード10を挿入させることで通信端末1の接続先を制限することができる。
【0069】
これに対し、他の通信システムでは、図7に示すように、通信端末1との通信確立が可能な認証サーバ2A、2B、2Cが存在し、各認証サーバ2A、2B、2Cにそれぞれ異なるアプリケーションサーバ3A、3B、3Cが接続されている場合、ICカード10に複数の認証サーバA識別情報、認証サーバB識別情報、認証サーバC識別情報を格納しておく。ここで、各アプリケーションサーバ3A、3B、3Cは、通信端末1のアプリケーション処理部30にて使用する複数のアプリケーションに対応しており、例えばそれぞれの用途が異なるものである。
【0070】
そして、このICカード10が挿入された場合には、通信端末1は、複数の認証サーバ2と接続可能とするために、複数の認証サーバA識別情報、認証サーバB識別情報、認証サーバC識別情報を含む認証情報ファイル42を情報ファイル構成部32により再構成する。
【0071】
認証処理をするときには、認証処理部53は、接続する認証サーバ2の選択を促す認証サーバ選択入力表示などをして、入力装置29からの命令に従って認証処理をする認証サーバ2を選択する。また、認証処理部53は、接続する認証サーバ2の選択を促すに際して、通信確立を要求するアプリケーションサーバ3や、通信が確立した後に使用するアプリケーションの選択を促すことにより、アプリケーションサーバ3に接続された認証サーバ2を選択させても良い。
【0072】
このような通信システムによれば、単一のICカード10に複数の認証サーバ識別情報を記憶したので、例えばユーザに接続を希望するアプリケーションサーバ3を選択させるのみで複数の認証サーバ2から接続先を指定させることができ、ユーザの利便性を向上させることができる。
【0073】
更に他の通信システムは、図8に示すように、単一の認証サーバ2に対して複数の通信端末1A、通信端末1B、通信端末1Cが接続され、更に認証サーバ2に複数のアプリケーションサーバ3A、アプリケーションサーバ3B、アプリケーションサーバ3Cが接続されている場合、認証サーバ2により各通信端末1のアクセス制御を行う。
【0074】
この認証サーバ2は、図9に示すような各通信端末1に対応する認証クライアント28を識別する認証クライアント識別情報と、アクセス許可のレベルを示すアクセスレベルとを対応づけたテーブルを保持している。このアクセス許可レベルは、図10に示すように、各アクセスレベル(1〜3)に対応して、アプリケーションサーバ3A、アプリケーションサーバ3B、アプリケーションサーバ3Cごとのアクセス許可/不許可を示す。認証サーバ2の認証処理部61では、通信端末1の認証処理部53からの登録要求及び接続先のアプリケーションサーバ3を示す情報を受け付けた場合に、図9のテーブルから認証クライアント識別情報を参照してアクセルレベルを認識し、図10のテーブルからアクセスレベルに対するアクセス許可/不許可を認識する。
【0075】
そして、認証サーバ2の認証処理部61では、アクセス許可と判定した場合にはそのまま認証処理を進め、アクセス不許可と判定した場合にはその旨を通信端末1に通知する。
【0076】
このような通信システムによれば、各通信端末1の認証クライアント28ごとに、各アプリケーションサーバ3に対するアクセス許可/不許可を判定するので、通信端末1の各アプリケーションサーバ3へのアクセス制御をすることができる。
【0077】
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
【0080】
【発明の効果】
請求項1に係る通信端末によれば、ユーザにより記録媒体が挿入された場合に、ユーザごとの固有情報を読み出して認証用情報ファイル及び通信用情報ファイルを構成して認証サーバとの間の通信を確立するので、パスワードなどの漏洩により認証処理を行うようなことがなく、記録媒体が挿入された場合のみに認証処理をするようにすることができ、起動時のログオン処理を安全とすると共に、セキュリティに対する信頼性の高いシステムを構築することができる。請求項1に係る通信端末によれば、認証用共通情報及び通信用共通情報を予め記憶しておき、記憶したおいた共通情報と記録媒体から入力した認証用固有情報及び通信用固有情報を用いて認証用情報ファイル及び通信用情報ファイルを構成するので、記録媒体に記録する情報量を少なくして、記録媒体のメモリ消費量を抑制することができる。
【0081】
請求項2に係る通信端末によれば、通信処理手段により認証サーバとの間で鍵交換処理をし、鍵交換処理の結果に従って暗号化処理をするので、請求項1と同様に、記録媒体が挿入された場合のみに認証処理及び鍵交換処理をするようにすることができ、起動時のログオン処理を安全とすると共に、セキュリティに対する信頼性の高いシステムを構築することができる。
【0082】
請求項3に係る通信端末によれば、固有情報としてホームアドレスを記録媒体から読み出して入力した場合に、このホームアドレスを用いて通信用情報ファイルを構成するので、請求項1と同様に、ホームアドレスを用いた通信処理をするようにすることができ、起動時のログオン処理を安全とすると共に、セキュリティに対する信頼性の高いシステムを構築することができる。
【0083】
請求項4に係る通信端末によれば、記録媒体からパスワード、認証用固有情報及び通信用固有情報、認証用共通情報及び通信用共通情報を読み出して入力した場合に、情報ファイル構成手段により認証用情報ファイル及び通信用情報ファイルを生成するようにしたので、記録媒体に固有情報のみを記録する場合と比較して、セキュリティレベルを向上させることができる。
【0084】
請求項5に係る通信端末によれば、通信処理手段により、情報ファイル構成手段からの指示に応じて、ファイル管理手段に保持された認証用情報ファイル及び通信用情報ファイルを読み出して認証処理を行うので、記録媒体が挿入されない場合でもデフォルトの動作をさせることができ、運用の柔軟性を確保することができる。
【0085】
請求項6に係る通信端末によれば、通信利用の正当性を判定するためのパスワードを固有情報として入力した場合、情報ファイル構成手段により認証用情報ファイル及び通信用情報ファイルを構成したことに応じてパスワード及び認証用情報ファイル及び通信用情報ファイルについてのパス情報を一時記憶手段に記憶して、通信処理手段による認証処理を開始するようにしたので、情報ファイルを構成するプログラムと認証処理をするプログラムとの切り分けを容易とすることができ、既存の認証処理をするプログラムの設計変更を少なくすることができる。
【0086】
請求項7に係る通信端末によれば、認証処理の終了後に、一時記憶手段に記憶されたパスワード及びパス情報を通信処理手段により消去するようにしたので、通信が終了した後に通信用情報ファイル及び認証用情報ファイルがそのまま保存されて携帯用記録媒体に記憶された固有情報が漏洩することを防止することができる。
【0087】
請求項8に係る通信端末によれば、通信処理手段の認証処理の終了後に、一時記憶手段に記憶された認証用情報ファイル及び通信用情報ファイルを情報ファイル構成手段により消去するようにしたので、通信が終了した後に通信用情報ファイル及び認証用情報ファイルがそのまま保存されて携帯用記録媒体に記憶された固有情報が漏洩することを防止することができる。
【0088】
請求項9に係る通信端末によれば、通信利用の正当性を判定するためのパスワードを固有情報として入力した場合に、パスワード、認証用情報ファイル及び通信用情報ファイルについてのパス情報を情報ファイル構成手段から通信処理手段に送って認証処理を開始するようにしたので、パスワード及びパス情報を一旦記憶する必要なく、セキュリティを向上させることができる。
【0089】
請求項10に係る通信端末によれば、認証サーバ識別情報を記録媒体から読み出して入力した場合に、認証サーバ識別情報により特定される認証サーバに接続を制限して認証処理をして通信を確立するので、既存の設定に拘わらず、ユーザが指定する認証サーバを介してアプリケーションサーバとの接続を確立することができ、更に、記録媒体ごとに通信端末の接続先を異なるものにすることができ、記録媒体を挿入させることで通信端末の接続先を制限することができる。
請求項11に係る通信端末によれば、各アプリケーションサーバに対応した各認証サーバを識別する認証サーバ識別情報を記録媒体から複数読み出して入力した場合に、各認証サーバ識別情報により特定される各認証サーバとの間で認証処理をして、ユーザに選択されたアプリケーションサーバとの間の通信を確立するようにしたので、ユーザに接続を希望するアプリケーションサーバを選択させるのみで複数の認証サーバから接続先を指定させることができ、ユーザの利便性を向上させることができる。
【0104】
請求項12に係る通信確立プログラムによれば、ユーザが保有する記録媒体から認証サーバとの認証処理に必要な情報のうち、少なくともユーザごとの固有情報を読み出して入力した場合に、入力した情報を用いて、認証処理に必要な認証用情報ファイル及び認証サーバとの通信に使用する通信用情報ファイルを構成する情報ファイル構成プログラムと、通信用情報ファイルを参照して認証サーバとの間で通信を行い、認証用情報ファイルを参照して認証サーバとの間で認証処理を行って、認証サーバとの間の通信を確立する通信処理プログラムとにて構成したので、パスワードなどの漏洩により認証処理を行うようなことがなく、記録媒体が挿入された場合のみに認証処理をするようにすることができ、起動時のログオン処理を安全とすると共に、セキュリティに対する信頼性の高いシステムを構築することができる。請求項12に係る通信確立プログラムによれば、認証用共通情報及び通信用共通情報を予め記憶しておき、記憶したおいた共通情報と記録媒体から入力した認証用固有情報及び通信用固有情報を用いて認証用情報ファイル及び通信用情報ファイルを構成するので、記録媒体に記録する情報量を少なくして、記録媒体のメモリ消費量を抑制することができる。
請求項13に係る通信システムによれば、複数の通信端末との間で認証処理をして、認証処理の結果に応じてアプリケーションサーバと通信端末との間の通信を確立する認証サーバと、ユーザが保有する記録媒体から認証サーバとの認証処理に必要な情報のうち、少なくともユーザごとの固有情報を読み出して入力し、入力した情報を用いて、認証処理に必要な認証用情報ファイル及び認証サーバとの通信に使用する通信用情報ファイルを構成し、通信用情報ファイルを参照して認証サーバとの間で通信を行い、認証用情報ファイルを参照して認証サーバとの間で認証処理を行う通信端末とからなるので、パスワードなどの漏洩により通信端末にて認証処理を行うようなことがなく、記録媒体が挿入された場合のみに認証処理をするようにすることができ、起動時のログオン処理を安全とすると共に、セキュリティに対する信頼性の高くすることができる。請求項13に係る通信システムによれば、認証用共通情報及び通信用共通情報を予め記憶しておき、記憶したおいた共通情報と記録媒体から入力した認証用固有情報及び通信用固有情報を用いて認証用情報ファイル及び通信用情報ファイルを構成するので、記録媒体に記録する情報量を少なくして、記録媒体のメモリ消費量を抑制することができる。
【0106】
請求項14に係る通信システムによれば、認証サーバにてアクセス許可レベルと、認証処理に必要な情報との関係を予め設定しておき、アクセス許可レベルを参照して各通信端末のアプリケーションサーバへのアクセスを制限するので、各通信端末ごとに、各アプリケーションサーバに対するアクセス許可/不許可を判定するので、通信端末の各アプリケーションサーバへのアクセス制御をすることができる。
請求項15に係る通信システムによれば、記録媒体にはユーザ毎の固有情報としてホームアドレスが記憶され、認証サーバは、アクセス許可レベルとホームアドレスとの関係を予め設定しておき、ホームアドレスに応じて通信端末のアプリケーションサーバへのアクセスを制限するので、通信端末の各アプリケーションサーバへのアクセス制御をすることができる。
【図面の簡単な説明】
【図1】本発明を適用した通信システム及び通信端末の構成を示す機能ブロック図である。
【図2】通信端末の通信処理部及び認証サーバの通信処理部によるパケット作成処理について説明するための図である。
【図3】本発明を適用した通信端末による通信確立処理において、ICカードが挿入されてから暗号通信を開始するまでの処理手順を示すフローチャートである。
【図4】本発明を適用した通信端末による通信確立処理において、暗号通信を終了するときの処理手順を示すフローチャートである。
【図5】本発明を適用した通信端末による通信確立処理において、ICカードが挿入されてから暗号通信を開始するまでの他の処理手順を示すフローチャートである。
【図6】本発明を適用した通信システムの他の実施形態について説明するためのブロック図である。
【図7】本発明を適用した通信システムの更に他の実施形態について説明するためのブロック図である。
【図8】本発明を適用した通信システムの更に他の実施形態について説明するためのブロック図である。
【図9】認証サーバにて保持している認証クライアント識別情報とアクセスレベルとを対応づけたテーブルについて説明するための図である。
【図10】認証サーバにて保持している各アクセスレベルと各アプリケーションサーバごとのアクセス許可/不許可を示すテーブルについて説明するための図である。
【図11】従来の通信システムを示すブロック図である。
【符号の説明】
1 通信端末
2 認証サーバ
3 アプリケーションサーバ
4 VPNパス
10 ICカード
21 ICカードリーダ
22 ログオン用ICカード読み取り部
23 ログオン部
24 ICカード監視部
25 ネットワーク共通情報記憶部
26 情報ファイル管理部
27 一時記憶部
28 認証クライアント
29 入力装置
30 アプリケーション処理部
31 ICカード読み取り部
32 情報ファイル構成部
33 起動部
41 ネットワーク情報ファイル
42 認証情報ファイル
51 起動情報取得部
52 認証・ネットワーク情報取得部
53 認証処理部
54 鍵交換処理部
55 通信処理部
61 認証処理部
62 鍵交換処理部
63 通信処理部
71 IPヘッダ情報領域
72,74,76 データ領域
73 IPSecヘッダ領域
75 IPinIPヘッダ領域
81,83,85 送信元アドレス領域
82,84,86 宛先アドレス領域
Claims (15)
- ユーザが保有する記録媒体から認証サーバとの認証処理に必要な情報のうち、少なくともユーザごとの固有情報を読み出して入力する情報入力手段と、
上記情報入力手段にて入力した情報を用いて、認証処理に必要な認証用情報ファイル及び上記認証サーバとの通信に使用する通信用情報ファイルを構成する情報ファイル構成手段と、
上記情報ファイル構成手段にて構成された通信用情報ファイルを参照して上記認証サーバとの間で通信を行い、上記認証用情報ファイルを参照して上記認証サーバとの間で認証処理を行って、上記認証サーバとの間の通信を確立する通信処理手段と、
異なるユーザが保有する記録媒体に記憶された異なる固有情報に対して共通して使用される認証用共通情報及び通信用共通情報を記憶する共通情報記憶手段を更に備え、前記認証用共通情報は、上記認証サーバを区別する識別情報を含む認証処理に必要な情報であり、前記通信用共通情報は、上記認証サーバとの通信を可能にするために使用する情報であり、
上記情報入力手段は、通信利用の正当性を判定するためのパスワード、認証サーバとの間にて認証処理をするに際して使用する認証用固有情報、及び認証サーバとの間で通信処理をするに際して使用する通信用固有情報を上記記録媒体から読み出して入力し、
上記情報ファイル構成手段は、上記情報入力手段にて入力したパスワードから通信利用の正当性が判定された場合に、上記情報入力手段にて入力した認証用固有情報と上記共通情報記憶手段に記憶された認証用共通情報とを用いて認証用情報ファイルを構成すると共に、上記情報入力手段にて入力した通信用固有情報と上記共通情報記憶手段に記憶された通信用共通情報とを用いて通信用情報ファイルを構成することを特徴とする通信端末。 - 上記通信処理手段は、認証処理結果に基づいて上記認証サーバとの間で鍵交換処理をし、鍵交換処理の結果に従って暗号化処理をする鍵交換手段を更に備えることを特徴とする請求項1に記載の通信端末。
- 上記情報入力手段は、上記固有情報としてホームアドレスを上記記録媒体から読み出して入力し、
上記情報ファイル構成手段は、上記情報入力手段にて入力したホームアドレスを用いて通信用情報ファイルを構成することを特徴とする請求項1に記載の通信端末。 - 上記情報入力手段は、通信利用の正当性を判定するためのパスワード、認証サーバとの間にて認証処理をするに際して使用する認証用固有情報、及び認証サーバとの間で通信処理をするに際して使用する通信用固有情報、各通信端末にて共通した情報である認証用共通情報及び通信用共通情報を上記記録媒体から読み出して入力し、前記認証用共通情報及び前記通信用共通情報は異なるユーザが保有する記録媒体に記憶された異なる固有情報に対して共通して使用される情報であり、前記認証用共通情報は、上記認証サーバを区別する識別情報を含む認証処理に必要な情報であり、前記通信用共通情報は、上記認証サーバとの通信を可能にするために使用する情報であり、
上記情報ファイル構成手段は、上記情報入力手段にて入力した情報から認証用情報ファイル及び通信用情報ファイルを生成することを特徴とする請求項1に記載の通信端末。 - 少なくとも上記情報ファイル構成手段に作成された認証用情報ファイル及び通信用情報ファイルを内部に保持して管理するファイル管理手段を更に備え、
上記通信処理手段は、上記情報ファイル構成手段からの指示に応じて、上記ファイル管理手段に保持された認証用情報ファイル及び通信用情報ファイルを読み出して認証処理を行うことを特徴とする請求項1に記載の通信端末。 - 上記情報入力手段は、通信利用の正当性を判定するためのパスワードを上記固有情報として入力し、
上記情報ファイル構成手段は、上記認証用情報ファイル及び通信用情報ファイルを構成したことに応じて、上記情報入力手段にて入力したパスワード、上記認証用情報ファイル及び通信用情報ファイルについてのパス情報を一時記憶手段に記憶し、
上記通信処理手段は、上記一時記憶手段にパスワード及びパス情報が入力された場合に当該パスワード及びパス情報を読み出して、通信端末内での認証処理を開始することを特徴とする請求項1に記載の通信端末。 - 上記通信処理手段は、通信端末内での認証処理の終了後に上記一時記憶手段に記憶されたパスワード及びパス情報を消去することを特徴とする請求項6に記載の通信端末。
- 上記情報ファイル構成手段は、上記通信処理手段の通信端末内での認証処理の終了後に上記一時記憶手段に記憶された認証用情報ファイル及び通信用情報ファイルを消去することを特徴とする請求項6に記載の通信端末。
- 上記情報入力手段は、通信利用の正当性を判定するためのパスワードを上記固有情報として入力し、
上記情報ファイル構成手段は、上記認証用情報ファイル及び通信用情報ファイルを構成したことに応じて、上記情報入力手段にて入力したパスワード、上記認証用情報ファイル及び通信用情報ファイルについてのパス情報を、上記通信処理手段に送り、
上記通信処理手段は、上記情報ファイル構成手段からパスワード及びパス情報が入力されたことに応じて認証処理を開始することを特徴とする請求項1に記載の通信端末。 - 上記情報入力手段は、上記通信処理手段との間で認証処理をする認証サーバを識別する認証サーバ識別情報を上記記録媒体から読み出して入力し、
上記通信処理手段は、上記情報入力手段にて入力した認証サーバ識別情報により特定される認証サーバに接続して認証処理をして通信を確立することを特徴とする請求項1に記載の通信端末。 - 上記情報入力手段は、上記通信処理手段での認証処理によって通信を確立する各アプリケーションサーバに対応した各認証サーバを識別する認証サーバ識別情報を上記記録媒体から複数読み出して入力し、
上記通信処理手段は、上記情報入力手段にて入力した各認証サーバ識別情報により特定される各認証サーバとの間で認証処理をして、ユーザに選択されたアプリケーションサーバとの間の通信を確立することを特徴とする請求項1に記載の通信端末。 - 通信確立プログラムは、
コンピュータを、ユーザが保有する記録媒体から認証サーバとの認証処理に必要な情報のうち、少なくともユーザごとの固有情報を読み出して入力する情報入力手段、少なくともユーザごとの固有情報を読み出して入力した場合に、入力した情報を用いて、認証処理に必要な認証用情報ファイル及び上記認証サーバとの通信に使用する通信用情報ファイルを構成するファイル構成手段、として機能させる情報ファイル構成プログラムと、
コンピュータを、上記通信用情報ファイルを参照して上記認証サーバとの間で通信を行い、上記認証用情報ファイルを参照して上記認証サーバとの間で認証処理を行って、上記認証サーバとの間の通信を確立する通信処理手段として機能させる通信処理プログラムとを有し、
コンピュータが、異なるユーザが保有する記録媒体に記憶された異なる固有情報に対して共通して使用される認証用共通情報及び通信用共通情報を、上記情報入力手段が読み出し可能な記録媒体に記憶しておき、前記認証用共通情報は、上記認証サーバを区別する識別情報を含む認証処理に必要な情報であり、前記通信用共通情報は、上記認証サーバとの通信を可能にするために使用する情報であり、
上記情報入力手段は、通信利用の正当性を判定するためのパスワード、認証サーバとの間にて認証処理をするに際して使用する認証用固有情報、及び認証サーバとの間で通信処理をするに際して使用する通信用固有情報を上記記録媒体から読み出して入力し、
上記情報ファイル構成手段は、上記情報ファイル構成手段にて入力したパスワードから通信利用の正当性が判定された場合に、上記情報ファイル構成手段にて入力した認証用固有情報と上記認証用共通情報とを用いて認証用情報ファイルを構成すると共に、上記情報入力手段にて入力した通信用固有情報と上記通信用共通情報とを用いて通信用情報ファイルを構成すること
を特徴とする通信確立プログラム。 - 複数の通信端末との間で認証処理をして、認証処理の結果に応じてアプリケーションサーバと通信端末との間の通信を確立する認証サーバと、
ユーザが保有する記録媒体から上記認証サーバとの認証処理に必要な情報のうち、少なくともユーザごとの固有情報を読み出して入力し、入力した情報を用いて、認証処理に必要な認証用情報ファイル及び上記認証サーバとの通信に使用する通信用情報ファイルを構成し、上記通信用情報ファイルを参照して上記認証サーバとの間で通信を行い、上記認証用情報ファイルを参照して上記認証サーバとの間で認証処理を行う通信端末とを備え、
上記通信端末は、異なるユーザが保有する記録媒体に記憶された異なる固有情報に対して共通して使用される認証用共通情報及び通信用共通情報を記憶する共通情報記憶手段を更に備え、前記認証用共通情報は、上記認証サーバを区別する識別情報を含む認証処理に必要な情報であり、前記通信用共通情報は、上記認証サーバとの通信を可能にするために使用する情報であり、
上記情報入力手段は、通信利用の正当性を判定するためのパスワード、認証サーバとの間にて認証処理をするに際して使用する認証用固有情報、及び認証サーバとの間で通信処理をするに際して使用する通信用固有情報を上記記録媒体から読み出して入力し、
上記情報ファイル構成手段は、上記情報入力手段にて入力したパスワードから通信利用の正当性が判定された場合に、上記情報入力手段にて入力した認証用固有情報と上記共通情報記憶手段に記憶された認証用共通情報とを用いて認証用情報ファイルを構成すると共に、上記情報入力手段にて入力した通信用固有情報と上記共通情報記憶手段に記憶された通信用共通情報とを用いて通信用情報ファイルを構成すること
を特徴とする通信システム。 - 上記認証サーバは、アプリケーションサーバとのアクセス許可の程度を示すアクセス許可レベルと、認証処理に必要な情報との関係を予め設定しておき、上記通信端末との認証処理にて上記記録媒体に記録された認証処理に必要な情報を取得して、上記アクセス許可レベルを参照して上記各通信端末の上記アプリケーションサーバへのアクセスを制限することを特徴とする請求項13に記載の通信システム。
- 上記記録媒体にはユーザ毎の固有情報としてホームアドレスが記憶され、
上記認証サーバは、上記アクセス許可レベルと上記ホームアドレスとの関係を予め設定しておくことを特徴とする請求項13に記載の通信システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002110455A JP4415527B2 (ja) | 2002-04-12 | 2002-04-12 | 通信端末及び通信確立プログラム、通信システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002110455A JP4415527B2 (ja) | 2002-04-12 | 2002-04-12 | 通信端末及び通信確立プログラム、通信システム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2003308304A JP2003308304A (ja) | 2003-10-31 |
| JP2003308304A5 JP2003308304A5 (ja) | 2005-09-22 |
| JP4415527B2 true JP4415527B2 (ja) | 2010-02-17 |
Family
ID=29393591
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002110455A Expired - Fee Related JP4415527B2 (ja) | 2002-04-12 | 2002-04-12 | 通信端末及び通信確立プログラム、通信システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4415527B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4572086B2 (ja) * | 2004-05-12 | 2010-10-27 | Necインフロンティア株式会社 | ネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法 |
| JP4636531B2 (ja) * | 2004-09-30 | 2011-02-23 | フェリカネットワークス株式会社 | 通信システム、サーバ装置、クライアント装置、通信方法、並びにプログラム |
| JP2006113759A (ja) * | 2004-10-13 | 2006-04-27 | Pioneer Electronic Corp | ネットワーク管理システム及びそのデータ共有方法 |
| JP2008518351A (ja) * | 2004-10-29 | 2008-05-29 | 韓國電子通信研究院 | ホームネットワークシステムにおけるユーザー認証方法及びそのシステム |
| CN102687159A (zh) * | 2009-10-19 | 2012-09-19 | 杉中顺子 | 终端管理系统及终端管理方法 |
-
2002
- 2002-04-12 JP JP2002110455A patent/JP4415527B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003308304A (ja) | 2003-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6981144B2 (en) | System console device authentication in a network environment | |
| KR101474226B1 (ko) | 원격 리소스에 대한 이용가능한 보안 액세스를 위한 웜홀디바이스들 | |
| US7778193B2 (en) | Residential network setting method, home gateway apparatus, home gateway program, and recording medium | |
| US8793779B2 (en) | Single sign-on process | |
| JP3946700B2 (ja) | 目的のネットワーク環境に対するネットワーク装置のアドレス可能性の自動確立のための方法および装置 | |
| US9111103B2 (en) | Remote access control of storage devices | |
| CN1842993B (zh) | 提供证书 | |
| US20050193103A1 (en) | Method and apparatus for automatic configuration and management of a virtual private network | |
| JP6917474B2 (ja) | ネットワーク接続のためのクレデンシャル情報の処理方法、装置、及びアプリケーションapp | |
| CA2516718A1 (en) | Secure object for convenient identification | |
| JPWO2005101217A1 (ja) | アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 | |
| WO2004079985A1 (en) | Method and software program product for mutual authentication in a communications network | |
| CN101120569A (zh) | 用户从用户终端远程访问终端设备的远程访问系统和方法 | |
| JP2005505194A (ja) | 端末装置におけるユーザ認証方法、認証システム、端末装置及び認証装置 | |
| WO2009131538A1 (en) | A portable system and method for remotely accessing data | |
| EP2304925A1 (en) | Method for managing an access from a remote device to data accessible from a local device and corresponding system | |
| AU2020296853B2 (en) | Method and chip for authenticating to a device and corresponding authentication device and system | |
| EP1779595B1 (en) | Method for enrolling a user terminal in a wireless local area network | |
| JP2011517184A (ja) | 無線ネットワークをインストールする方法 | |
| JP2009123207A (ja) | ネットワークにアクセスする方法及び装置 | |
| US8732456B2 (en) | Enterprise environment disk encryption | |
| JP4916020B2 (ja) | リモートアクセスシステム、これに使用する補助記憶装置、リモートアクセス方法 | |
| JP3833652B2 (ja) | ネットワークシステム、サーバ装置、および認証方法 | |
| KR100834270B1 (ko) | 이동통신 기반의 가상사설망 서비스 제공 방법 및 시스템과이를 위한 이동단말기 | |
| JP2005286783A (ja) | 無線lan接続方法および無線lanクライアントソフトウェア |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050408 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050408 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081028 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081222 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090714 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090908 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091104 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091117 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121204 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |