JP2009223389A - Connection control device, connection control method, and connection control program - Google Patents

Connection control device, connection control method, and connection control program Download PDF

Info

Publication number
JP2009223389A
JP2009223389A JP2008064275A JP2008064275A JP2009223389A JP 2009223389 A JP2009223389 A JP 2009223389A JP 2008064275 A JP2008064275 A JP 2008064275A JP 2008064275 A JP2008064275 A JP 2008064275A JP 2009223389 A JP2009223389 A JP 2009223389A
Authority
JP
Japan
Prior art keywords
user
authentication
terminal
network
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008064275A
Other languages
Japanese (ja)
Inventor
Tomoaki Tsunomina
友昭 角皆
Tatsuya Uehara
達也 上原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Ricoh Technosystems Co Ltd
Original Assignee
Ricoh Co Ltd
Ricoh Technosystems Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd, Ricoh Technosystems Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2008064275A priority Critical patent/JP2009223389A/en
Publication of JP2009223389A publication Critical patent/JP2009223389A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a connection control device, a connection control method, and a connection control program for improving security of a network connection. <P>SOLUTION: When a control part of a user terminal 10 accepts a connection instruction, it acquires a user identifier and a user password, and makes a user authentication request. When an authentication information management server 50 performs authentication processing using the user identifier and password, a user authentication server 40 transmits the result of the authentication to the user terminal 10. When the control part of the user terminal 10 acquires a successful authentication result, requests an IP address to a DHCP server 30. The DHCP server 30 performs MAC address verification processing, and upon completion of the verification, distributes the IP address. The user terminal 10 acquires data from a computer connected to an intranet N1 using the distributed IP address. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、ネットワークに接続するときの接続制御装置、接続制御方法及び接続制御プログラムに関する。   The present invention relates to a connection control device, a connection control method, and a connection control program when connecting to a network.

近年、ネットワークに接続するための技術として無線LAN技術が利用されている。無線LAN技術においては、ユーザ端末は、アクセスポイントと無線によりデータ通信を行なう。ユーザ端末からアクセスポイントに接続する場合には、接続先のネットワークを識別するための識別子であるSSID(Service Set Identifier)を用いる。通常、このSSIDコードは、アクセスポイントが定期的に送出するビーコン信号に含められており、このビーコン信号をユーザ端末で検出することによりSSIDコードを把握することができる。   In recent years, wireless LAN technology has been used as a technology for connecting to a network. In the wireless LAN technology, a user terminal performs data communication with an access point wirelessly. When connecting from a user terminal to an access point, an SSID (Service Set Identifier) that is an identifier for identifying a connection destination network is used. Normally, this SSID code is included in a beacon signal periodically transmitted by the access point, and the SSID code can be grasped by detecting this beacon signal at the user terminal.

ところで、無線によりデータ通信を行なう無線LAN技術においては、不正アクセスや盗聴等が容易に行なわれやすいため、セキュリティ対策が必要である。無線LANのセキュリティ技術としては、WPA認証(例えば、特許文献1参照。)やIEEE802.1X等の認証技術が知られている。   By the way, in the wireless LAN technology that performs wireless data communication, unauthorized access, eavesdropping, and the like are easily performed, and thus security measures are required. As wireless LAN security techniques, authentication techniques such as WPA authentication (see, for example, Patent Document 1) and IEEE802.1X are known.

この文献に記載の発明においては、情報処理端末装置とアクセスポイントとは、WPA認証を用いて無線LAN通信を行なう。この場合、ユーザ端末において高速の応答が要求される4ウェイハンドシェークを失敗した場合、デバイス側にて4ウェイハンドシェークを実施する。これにより、認証中の所定のメッセージを受け取るまでに待機制限時間を超えた場合には、高速にWPA認証を成功させることが可能になる。
特開2007−208816号公報(図1、図2及び図5) In the invention described in this document, the information processing terminal device and the access point perform wireless LAN communication using WPA authentication. In this case, when the 4-way handshake requiring a high-speed response is failed in the user terminal, the 4-way handshake is performed on the device side. This makes it possible to succeed in WPA authentication at high speed when the standby time limit is exceeded before receiving a predetermined message being authenticated.
Japanese Unexamined Patent Publication No. 2007-208816 (FIGS. 1, 2, and 5)

また、IEEE802.1Xは、認証サーバを用いた認証技術である。この技術では、ユーザ端末からの認証プロトコルをアクセスポイントで終端し、アクセスポイントから認証サーバまでは異なるプロトコルで認証に必要な情報を送受信する。これにより、未認証のユーザが送信したパケットをネットワークに流出させない。   IEEE 802.1X is an authentication technology using an authentication server. In this technique, an authentication protocol from a user terminal is terminated at an access point, and information necessary for authentication is transmitted and received from the access point to the authentication server using a different protocol. Thereby, the packet transmitted by the unauthenticated user is not leaked to the network.

しかしながら、無線LAN技術においては、不正アクセスや盗聴等が容易であるため、接続するときの認証において、有線を用いた接続の場合よりもセキュリティを向上させたいというニーズがある。   However, in the wireless LAN technology, since unauthorized access, eavesdropping, and the like are easy, there is a need to improve security in the authentication at the time of connection as compared with the case of connection using a wire.

本発明は、上述の課題に鑑みてなされ、その目的は、ネットワーク接続のセキュリティを向上させることができる接続制御装置、接続制御方法及び接続制御プログラムを提供することにある。   The present invention has been made in view of the above-described problems, and an object thereof is to provide a connection control device, a connection control method, and a connection control program capable of improving the security of network connection.

上記問題点を解決するために、請求項1に記載の発明は、ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置であって、前記通信制御手段が、前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユー
ザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証手段と、認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証手段と、認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可手段とを備えたことを要旨とする。 In order to solve the above-mentioned problems, the invention according to claim 1 registers a user authentication server storing a user identifier and a password associated with a user and a MAC address for identifying a network communication means of a connectable user terminal. A connection control device comprising a communication control means for controlling communication of a network communication means for accessing a network connected to a terminal authentication server, wherein the communication control means sends an access instruction to the network to a user terminal The user authentication means for acquiring a user identifier and password of the user, transmitting a user authentication request including the user identifier and password to the user authentication server, and acquiring a user authentication result in the user authentication server And obtain user authentication result indicating that authentication was successful A terminal authentication unit that transmits a terminal authentication request including the MAC address of the network communication unit to the terminal authentication server and obtains a terminal authentication result in the terminal authentication server; and a terminal indicating that the authentication is successful The gist of the invention is that when the authentication result is acquired, the network communication means includes permission means for permitting access to the network.

請求項2に記載の発明は、請求項1に記載の接続制御装置において、前記端末認証サーバは、配布可能なIPアドレスを記憶しており、前記端末認証手段は、前記端末認証サーバにおいて、前記MACアドレスを用いた端末認証が成功した場合には、前記端末認証結果としてIPアドレスを受信し、前記通信制御手段は、受信したIPアドレスを用いてネットワーク通信手段が前記ネットワークへのアクセスを行なうように設定する設定手段を更に備えたことを要旨とする。   According to a second aspect of the present invention, in the connection control device according to the first aspect, the terminal authentication server stores a distributable IP address, and the terminal authentication means is the terminal authentication server, When the terminal authentication using the MAC address is successful, the IP address is received as the terminal authentication result, and the communication control unit uses the received IP address so that the network communication unit accesses the network. The gist of the present invention is that it further comprises setting means for setting the above.

請求項3に記載の発明は、請求項1又は2に記載の接続制御装置において、前記ユーザ端末は、前記ネットワークに接続するアクセスポイントに、無線LAN接続により接続されており、前記通信制御手段は、前記ユーザ端末に搭載されており、前記ネットワーク通信手段は、前記ユーザ認証サーバとのデータ送受信において前記ユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、前記アクセスポイントと暗号化通信を行なう暗号通信手段を更に備えたことを要旨とする。   According to a third aspect of the present invention, in the connection control device according to the first or second aspect, the user terminal is connected to an access point connected to the network by a wireless LAN connection, and the communication control means Mounted on the user terminal, the network communication means encrypts the access point using an encryption key based on key data obtained by the user authentication means in data transmission / reception with the user authentication server. The gist of the invention is that it further comprises cryptographic communication means for performing communication.

請求項4に記載の発明は、請求項1又は2に記載の接続制御装置において、前記ユーザ端末は、前記ネットワークに接続するアクセスポイントに、無線LAN接続により接続されており、前記通信制御手段は、前記アクセスポイントに搭載されており、前記通信制御手段は、前記ユーザ認証手段とのデータ送受信において前記ユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、前記ユーザ端末と暗号化通信を行なう暗号通信手段を更に備えたことを要旨とする。   According to a fourth aspect of the present invention, in the connection control apparatus according to the first or second aspect, the user terminal is connected to an access point connected to the network by a wireless LAN connection, and the communication control means The communication control means is mounted on the access point, and the communication control means encrypts the user terminal using an encryption key based on key data obtained by the user authentication means in data transmission / reception with the user authentication means. The gist of the invention is that it further comprises cryptographic communication means for performing communication.

請求項5に記載の発明は、ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置を用いた接続制御方法であって、前記通信制御手段が、前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証段階、認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証段階、及び認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可段階を実行することを要旨とする。   According to the fifth aspect of the present invention, a user authentication server that associates and stores a user identifier and password of a user and a terminal authentication server in which a MAC address that identifies a network communication means of a connectable user terminal is registered are connected. A connection control method using a connection control device comprising a communication control means for controlling communication of a network communication means for accessing a network in which the user terminal has acquired an access instruction for the network A user authentication step of acquiring a user identifier and password of the user, transmitting a user authentication request including the user identifier and password to the user authentication server, and acquiring a user authentication result in the user authentication server; When the user authentication result indicating that The terminal authentication request including the MAC address of the network communication means is transmitted to the terminal authentication server, and the terminal authentication stage for acquiring the terminal authentication result in the terminal authentication server, and the terminal authentication result indicating that the authentication is successful are acquired. In this case, the gist is to execute a permission stage for permitting the network communication means to access the network.

請求項6に記載の発明は、ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置を用いた接続制御プログラムであって、前記通信制御手段を、前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユ
ーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証手段、認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証手段、及び認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可手段として機能することを要旨とする。 According to the sixth aspect of the present invention, a user authentication server that associates and stores a user identifier and password of a user and a terminal authentication server in which a MAC address that identifies a network communication means of a connectable user terminal is registered are connected. A connection control program using a connection control device comprising a communication control means for controlling communication of a network communication means for accessing a network in which a user terminal has acquired an instruction to access the communication control means. A user authentication unit that acquires a user identifier and password of the user, transmits a user authentication request including the user identifier and password to the user authentication server, and acquires a user authentication result in the user authentication server; Obtained user authentication result indicating that In this case, the terminal authentication means for transmitting the terminal authentication request including the MAC address of the network communication means to the terminal authentication server and acquiring the terminal authentication result in the terminal authentication server, and the terminal authentication indicating that the authentication is successful When the result is acquired, the gist is to function as a permitting unit that permits the network communication unit to access the network.

(作用)
本発明によれば、通信制御手段は、ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求をユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得する。通信制御手段は、認証成功したことを示すユーザ認証結果を取得した場合には、ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する。通信制御手段は、認証成功したことを示す端末認証結果を取得した場合には、ネットワーク通信手段に対してネットワークへのアクセスを許可する。このため、ユーザ端末を用いるユーザの認証と、ユーザ端末自体の端末認証との両方が成功した場合にのみ、ネットワークに接続されるので、セキュリティを向上させることができる。 (Function)
According to the present invention, when the user terminal acquires an access instruction to the network, the communication control unit acquires the user identifier and password of the user, and transmits a user authentication request including the user identifier and password to the user authentication server. Then, the user authentication result in this user authentication server is acquired. When the communication control means acquires a user authentication result indicating that the authentication has succeeded, the communication control means transmits a terminal authentication request including the MAC address of the network communication means to the terminal authentication server, and the terminal authentication result in the terminal authentication server To get. The communication control unit permits the network communication unit to access the network when acquiring the terminal authentication result indicating that the authentication is successful. For this reason, since it connects to a network only when both the authentication of the user using a user terminal and the terminal authentication of the user terminal itself are successful, security can be improved.

本発明によれば、端末認証サーバは、配布可能なIPアドレスデータを記憶している。端末認証手段は、端末認証サーバにおいてMACアドレスを用いた端末認証が成功した場合には、端末認証結果としてIPアドレスを受信する。通信制御手段は、受信したIPアドレスを用いてネットワーク通信手段がネットワークへのアクセスを行なうように設定する。このため、IPアドレスを自動で割り当てることができるので、ユーザ端末の設定が容易である。従って、多数の端末が無線LANでネットワークに接続する場合であっても、各ユーザ端末にIPアドレスを手動で設定する必要がないので、設定を容易に行なうことができる。   According to the present invention, the terminal authentication server stores IP address data that can be distributed. The terminal authentication means receives the IP address as the terminal authentication result when the terminal authentication using the MAC address is successful in the terminal authentication server. The communication control means sets the network communication means to access the network using the received IP address. For this reason, since an IP address can be automatically assigned, setting of the user terminal is easy. Therefore, even when a large number of terminals are connected to the network via a wireless LAN, it is not necessary to manually set an IP address for each user terminal, so that the setting can be performed easily.

本発明によれば、ユーザ端末は、ネットワークに接続するアクセスポイントに、無線LAN接続により接続されている。通信制御手段は、ユーザ端末に搭載されている。ネットワーク通信手段は、ユーザ認証サーバとのデータ送受信においてユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、アクセスポイントと暗号化通信を行なう。ここで、ユーザ認証手段がユーザ認証サーバとのデータ送受信において取得した鍵の基データは、認証を行なうたびに変更される。更に、認証において生成された鍵の基データを用いて暗号鍵が作成されるので、鍵自体をユーザ端末とアクセスポイントとの間で交換する必要がない。このため、ユーザ端末とアクセスポイントとの暗号化通信が解読され難く、より安全にデータの送受信を行なうことができる。   According to the present invention, the user terminal is connected to an access point connected to the network by a wireless LAN connection. The communication control means is mounted on the user terminal. The network communication means performs encrypted communication with the access point using an encryption key based on key data acquired by the user authentication means in data transmission / reception with the user authentication server. Here, the basic data of the key acquired by the user authentication means in data transmission / reception with the user authentication server is changed every time authentication is performed. Further, since the encryption key is created using the key base data generated in the authentication, it is not necessary to exchange the key itself between the user terminal and the access point. For this reason, encrypted communication between the user terminal and the access point is difficult to be decrypted, and data can be transmitted and received more safely.

本発明によれば、ユーザ端末は、ネットワークに接続するアクセスポイントに、無線LAN接続により接続されている。通信制御手段は、アクセスポイントに搭載されている。通信制御手段は、ユーザ認証手段とのデータ送受信においてユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、ユーザ端末と暗号化通信を行なう。ここで、ユーザ認証サーバがユーザ認証手段とのデータ送受信において取得した鍵の基データは、認証を行なうたびに変更される。更に、認証において生成された鍵の基データを用いて暗号鍵が作成されるので、鍵自体をユーザ端末とアクセスポイントとの間で交換する必要がない。このため、ユーザ端末とアクセスポイントとの暗号化通信が解読され難く、より安全にデータの送受信を行なうことができる。   According to the present invention, the user terminal is connected to an access point connected to the network by a wireless LAN connection. The communication control means is mounted on the access point. The communication control means performs encrypted communication with the user terminal using an encryption key based on key basic data acquired by the user authentication means in data transmission / reception with the user authentication means. Here, the key base data acquired by the user authentication server in data transmission / reception with the user authentication means is changed every time authentication is performed. Further, since the encryption key is created using the key base data generated in the authentication, it is not necessary to exchange the key itself between the user terminal and the access point. For this reason, encrypted communication between the user terminal and the access point is difficult to be decrypted, and data can be transmitted and received more safely.

本発明によれば、ネットワークのセキュリティを向上させることができる。   According to the present invention, network security can be improved.

以下、本発明を具体化した一実施形態を図1〜図4に基づいて説明する。本実施形態においては、図1に示すように、ユーザ端末10が無線LANにより社内ネットワークN1に接続する場合に用いられる接続制御装置について説明する。社内ネットワークN1は、各事業所内で構築されているサブネットが、ルータ(22,42)を介して接続されて形成される。   Hereinafter, an embodiment embodying the present invention will be described with reference to FIGS. In the present embodiment, as shown in FIG. 1, a connection control device used when the user terminal 10 connects to the in-house network N1 via a wireless LAN will be described. The in-house network N1 is formed by connecting subnets constructed in each office via routers (22, 42).

各事業所内において、利用者はユーザ端末10を用いる。ユーザ端末10は、本実施形態では、接続制御装置として機能する。このユーザ端末10は、キーボードやポインティングデバイス等の入力手段及びディスプレイ等の表示手段を備えたコンピュータである。このユーザ端末10は、本実施形態では、無線LANによりアクセスポイント20に接続される。   In each office, the user uses the user terminal 10. In this embodiment, the user terminal 10 functions as a connection control device. The user terminal 10 is a computer including input means such as a keyboard and a pointing device and display means such as a display. In this embodiment, the user terminal 10 is connected to the access point 20 via a wireless LAN.

アクセスポイント20は、所定の認証規格に対応した無線LANアクセスポイントである。本実施形態では、認証規格としてIEEE802.1Xを用いる。アクセスポイント20は、L2スイッチ21に接続されている。L2スイッチ21は、公知の構成を有し、データの転送先を変更する。このL2スイッチ21は、ユーザ端末10からアクセスポイント20を介して取得したデータをその宛先(後述するDHCPサーバ30やユーザ認証サーバ40等)に転送する。   The access point 20 is a wireless LAN access point corresponding to a predetermined authentication standard. In this embodiment, IEEE 802.1X is used as the authentication standard. The access point 20 is connected to the L2 switch 21. The L2 switch 21 has a known configuration and changes the data transfer destination. The L2 switch 21 transfers data acquired from the user terminal 10 via the access point 20 to a destination (a DHCP server 30 or a user authentication server 40 described later).

事業所内で構築されているサブネットには、端末認証サーバとしてのDHCP(Dynamic Host Configuration Protocol)サーバ30が接続されている。このDHCPサーバ3
0は、ユーザ端末10が社内ネットワークN1を利用できる端末であるか否かの認証を行ない、利用可能端末の場合にはIPアドレスの配布を行なう。このため、DHCPサーバ30は、MACアドレスデータ記憶部31及びIPアドレス管理データ記憶部を備えている。 A DHCP (Dynamic Host Configuration Protocol) server 30 as a terminal authentication server is connected to the subnet constructed in the office. This DHCP server 3
0 authenticates whether the user terminal 10 is a terminal that can use the in-house network N1, and distributes an IP address in the case of an available terminal. For this reason, the DHCP server 30 includes a MAC address data storage unit 31 and an IP address management data storage unit.

MACアドレスデータ記憶部31には、図2(a)に示すように、社内ネットワークN1への接続を許可するユーザ端末10のMACアドレスデータ310が記憶されている。また、IPアドレス管理データ記憶部は、ユーザ端末10に割り当て可能なIPアドレスに関するデータを記憶している。このIPアドレス管理データ記憶部は、使用中のIPアドレスに対して、使用しているユーザ端末10のMACアドレスが関連付けて記憶されている。従って、MACアドレスに関連付けられていないIPアドレスは、新たに配布可能である。   As shown in FIG. 2A, the MAC address data storage unit 31 stores MAC address data 310 of the user terminal 10 that permits connection to the in-house network N1. The IP address management data storage unit stores data related to IP addresses that can be assigned to the user terminal 10. The IP address management data storage unit stores the MAC address of the user terminal 10 being used in association with the IP address being used. Therefore, an IP address that is not associated with a MAC address can be newly distributed.

DHCPサーバ30は、MACアドレスを取得すると、MACアドレスデータ記憶部31に記録されているMACアドレスデータ310と比較する。そして、MACアドレスが一致した場合には、IPアドレス管理データ記憶部に記憶されているIPアドレスの中で使用中でないアドレスをユーザ端末10に配布する。   When acquiring the MAC address, the DHCP server 30 compares the MAC address with the MAC address data 310 recorded in the MAC address data storage unit 31. If the MAC addresses match, an address that is not in use among the IP addresses stored in the IP address management data storage unit is distributed to the user terminal 10.

一方、社内ネットワークN1には、ルータ42を介してユーザ認証サーバ40が接続されている。このユーザ認証サーバ40は、本実施形態では、RADIUS(Remote Authentication Dial In User Service)サーバである。本実施形態のユーザ認証サーバ40は、EAP−TTLS(Extensible Authentication Protocol-Tunneled Transport Layer Security)認証方式を用いて、ユーザ端末10から認証するためのデータ(ユーザ識別子及びパスワード)を取得する。ユーザ認証サーバ40は、ユーザ端末10から取得したユーザ識別子及びパスワードを、認証情報管理サーバ50に転送する。ユーザ認証サーバ40は、認証情報管理サーバ50から認証結果を取得すると、認証要求を行なったユーザ端末10に送信する。   On the other hand, a user authentication server 40 is connected to the in-house network N1 via a router 42. In this embodiment, the user authentication server 40 is a RADIUS (Remote Authentication Dial In User Service) server. The user authentication server 40 according to the present embodiment acquires data (user identifier and password) for authentication from the user terminal 10 using an EAP-TTLS (Extensible Authentication Protocol-Tunneled Transport Layer Security) authentication method. The user authentication server 40 transfers the user identifier and password acquired from the user terminal 10 to the authentication information management server 50. Upon obtaining the authentication result from the authentication information management server 50, the user authentication server 40 transmits the authentication result to the user terminal 10 that has made the authentication request.

認証情報管理サーバ50は、社内ネットワークN1を利用できるユーザに関する情報を管理する。そして、本実施形態では、認証情報管理サーバ50が、社内ネットワークN1を利用できるユーザであるか否かの認証を行なう。   The authentication information management server 50 manages information regarding users who can use the in-house network N1. In this embodiment, the authentication information management server 50 authenticates whether or not the user can use the in-house network N1.

この認証情報管理サーバ50は、ユーザ管理データ記憶部51を備えている。このユーザ管理データ記憶部51には、図2(b)に示すように、ユーザデータ510が記録されている。このユーザデータ510は、ユーザ識別子及びパスワードを含む。ユーザ識別子データ領域には、ユーザを特定するための識別子に関するデータが記録されている。パスワードデータ領域には、パスワードに関するデータが記録されている。本実施形態では、ユーザ識別子及びパスワードを用いて、ユーザ認証が行なわれる。   The authentication information management server 50 includes a user management data storage unit 51. In the user management data storage unit 51, user data 510 is recorded as shown in FIG. This user data 510 includes a user identifier and a password. Data relating to an identifier for identifying a user is recorded in the user identifier data area. Data related to the password is recorded in the password data area. In this embodiment, user authentication is performed using a user identifier and a password.

認証情報管理サーバ50は、ユーザ端末10から供給されたユーザ識別子及びパスワードを取得した場合、ユーザデータ510に記録されたユーザ識別子及びパスワードと比較する。認証情報管理サーバ50は、ユーザ識別子及びパスワードが一致した場合には認証が成功したことを示す認証結果をユーザ認証サーバ40に送信する。一方、認証情報管理サーバ50は、一致しなかった場合には認証に失敗したことを示す認証結果を、ユーザ認証サーバ40に送信する。   When acquiring the user identifier and password supplied from the user terminal 10, the authentication information management server 50 compares them with the user identifier and password recorded in the user data 510. When the user identifier and the password match, the authentication information management server 50 transmits an authentication result indicating that the authentication is successful to the user authentication server 40. On the other hand, if they do not match, the authentication information management server 50 transmits an authentication result indicating that the authentication has failed to the user authentication server 40.

次に、ユーザ端末10の内部構成について、図3を用いて説明する。
ユーザ端末10は、制御部100を備える。制御部100は、図示しないCPU、RAM及びROM等を有し、後述する処理(ユーザ認証段階、端末認証段階、許可段階、設定段階及び暗号通信段階等を含む処理)を行なう。制御部100は、OS(Operating System)、ウェブブラウザ、サプリカント及びDHCP対応プログラム等のプログラムを記憶している。本実施形態では、DHCP対応プログラムの処理よりも、サプリカントによる処理が優先的に実行されるように設定されている。制御部100は、これらプログラムを実行することにより、接続指示受入手段110、通信制御手段120、ユーザ認証要求手段131、ユーザ認証結果取得手段132、IPアドレス要求手段141、IPアドレス取得手段142及び通信手段150等として機能する。ここで、通信制御手段120は、許可手段及び設定手段として機能し、ユーザ認証要求手段131及びユーザ認証結果取得手段132は、ユーザ認証手段として機能する。更に、IPアドレス要求手段141及びIPアドレス取得手段142は、端末認証手段として機能し、通信手段150は、暗号通信手段を含むネットワーク通信手段として機能する。 Next, the internal configuration of the user terminal 10 will be described with reference to FIG.
The user terminal 10 includes a control unit 100. The control unit 100 includes a CPU, a RAM, a ROM, and the like (not shown), and performs processing described later (processing including a user authentication stage, a terminal authentication stage, a permission stage, a setting stage, and an encryption communication stage). The control unit 100 stores programs such as an OS (Operating System), a web browser, a supplicant, and a DHCP compatible program. In this embodiment, it is set so that the processing by the supplicant is executed with priority over the processing of the DHCP compatible program. By executing these programs, the control unit 100 executes the connection instruction acceptance unit 110, the communication control unit 120, the user authentication request unit 131, the user authentication result acquisition unit 132, the IP address request unit 141, the IP address acquisition unit 142, and the communication. It functions as the means 150 or the like. Here, the communication control unit 120 functions as a permission unit and a setting unit, and the user authentication request unit 131 and the user authentication result acquisition unit 132 function as a user authentication unit. Further, the IP address request unit 141 and the IP address acquisition unit 142 function as a terminal authentication unit, and the communication unit 150 functions as a network communication unit including an encryption communication unit.

接続指示受入手段110は、認証画面データを記憶している。この接続指示受入手段110は、入力手段を介して社内ネットワークN1への接続指示を取得すると、認証画面データを表示手段に表示して、認証に必要なユーザ識別子及びパスワードを取得する。   The connection instruction receiving unit 110 stores authentication screen data. When the connection instruction accepting unit 110 acquires a connection instruction to the in-house network N1 through the input unit, the connection instruction receiving unit 110 displays the authentication screen data on the display unit and acquires a user identifier and a password necessary for authentication.

通信制御手段120は、社内ネットワークN1への接続を制御する。通信制御手段120は、接続指示受入手段110から取得したユーザ識別子及びパスワードをユーザ認証要求手段131に提供し、ユーザ認証結果取得手段132からユーザ認証結果を取得する。通信制御手段120は、認証成功を示すユーザ認証結果を取得した場合には、IPアドレス要求手段141を介してMACアドレスデータを提供し、IPアドレス取得手段142からIPアドレスを取得する。   The communication control unit 120 controls connection to the in-house network N1. The communication control unit 120 provides the user identifier and password acquired from the connection instruction receiving unit 110 to the user authentication request unit 131 and acquires the user authentication result from the user authentication result acquisition unit 132. When the communication control unit 120 acquires a user authentication result indicating successful authentication, the communication control unit 120 provides the MAC address data via the IP address request unit 141 and acquires the IP address from the IP address acquisition unit 142.

ユーザ認証要求手段131は、IEEE802.1XのEAP−TTLS認証方式を用いて、認証情報管理サーバ50においてユーザ認証を要求するために、ユーザ識別子及びパスワードをアクセスポイント20に送信する。   The user authentication request unit 131 transmits a user identifier and a password to the access point 20 in order to request user authentication in the authentication information management server 50 using the IEEE 802.1X EAP-TTLS authentication method.

ユーザ認証結果取得手段132は、認証情報管理サーバ50において行なわれたユーザ
認証の結果を取得する。更に、ユーザ認証結果取得手段132は、EAP−TTLS認証方式において生成された鍵の基データを取得して通信制御手段120に供給する。 The user authentication result acquisition unit 132 acquires the result of user authentication performed in the authentication information management server 50. Further, the user authentication result acquisition unit 132 acquires the base data of the key generated in the EAP-TTLS authentication method and supplies it to the communication control unit 120.

IPアドレス要求手段141は、DHCPサーバ30に対してユーザ端末10のMACアドレスを送信することにより、IPアドレスの配布要求を実行する。
IPアドレス取得手段142は、DHCPサーバ30から配布されたIPアドレスを取得して、通信制御手段120に提供する。 The IP address requesting unit 141 executes an IP address distribution request by transmitting the MAC address of the user terminal 10 to the DHCP server 30.
The IP address acquisition unit 142 acquires the IP address distributed from the DHCP server 30 and provides it to the communication control unit 120.

通信手段150は、取得したIPアドレスを用いて、社内ネットワークN1に接続されたコンピュータと通信を行なう。この場合、通信手段150は、鍵の基データから暗号鍵を生成し、この暗号鍵を用いてアクセスポイント20との間で暗号化通信を行なう。   The communication means 150 communicates with a computer connected to the in-house network N1 using the acquired IP address. In this case, the communication unit 150 generates an encryption key from the key base data, and performs encrypted communication with the access point 20 using the encryption key.

以上のように構成されたシステムを用いて、ユーザ端末10が社内ネットワークN1に接続されて、データの取得が可能になるまでに行なわれる接続制御処理について、図4を用いて説明する。   A connection control process performed until the user terminal 10 is connected to the in-house network N1 and data can be acquired using the system configured as described above will be described with reference to FIG.

ユーザ端末10を社内ネットワークN1に接続する場合、ユーザは、ユーザ端末10においてウェブブラウザを起動し、社内ネットワークN1に接続されたコンピュータ等のアドレスを入力して、接続を指示する。これにより、ユーザ端末10の制御部100は、接続指示の受入処理を実行する(ステップS1−1)。具体的には、制御部100の接続指示受入手段110は、接続指示を受けた場合、認証画面を取得し、ユーザ端末10のディスプレイに表示する。この認証画面には、ユーザ識別子及びパスワードを入力するための入力欄と送信ボタンとが含まれる。   When connecting the user terminal 10 to the in-house network N1, the user starts a web browser on the user terminal 10 and inputs an address of a computer or the like connected to the in-house network N1 to instruct connection. Thereby, the control part 100 of the user terminal 10 performs the acceptance process of a connection instruction (step S1-1). Specifically, when receiving the connection instruction, the connection instruction receiving unit 110 of the control unit 100 acquires an authentication screen and displays it on the display of the user terminal 10. This authentication screen includes an input field for inputting a user identifier and a password and a send button.

ユーザは、認証画面の入力欄に、ユーザ識別子及びパスワードを入力して、送信ボタンを選択する。これにより、ユーザ端末10の制御部100は、ユーザ認証要求処理を実行する(ステップS1−2)。具体的には、制御部100の接続指示受入手段110は、入力されたユーザ識別子及びパスワードを通信制御手段120に供給する。通信制御手段120は、ユーザ識別子及びパスワードをユーザ認証要求手段131に供給する。ユーザ認証要求手段131は、IEEE802.1XのEAP−TTLS認証方式を用いて、アクセスポイント20に対してユーザ識別子及びパスワードを送信する。   The user inputs a user identifier and a password in the input field of the authentication screen, and selects a transmission button. Thereby, the control part 100 of the user terminal 10 performs a user authentication request process (step S1-2). Specifically, the connection instruction accepting unit 110 of the control unit 100 supplies the input user identifier and password to the communication control unit 120. The communication control unit 120 supplies the user identifier and password to the user authentication request unit 131. The user authentication request unit 131 transmits a user identifier and a password to the access point 20 using the IEEE 802.1X EAP-TTLS authentication method.

アクセスポイント20は、ユーザ識別子及びパスワードをユーザ認証サーバ40に転送する(ステップS1−3)。この場合、アクセスポイント20は、IEEE802.1XのEAP−TTLS認証方式を用いる。具体的には、アクセスポイント20は、ユーザ端末10からMACフレームで取得したデータをRADIUSフレームに載せ代えてユーザ認証サーバ40に送信する。なお、アクセスポイント20は、ユーザ端末10とのセッション開始時には、ユーザ認証サーバ40への接続のみを受け付ける。   The access point 20 transfers the user identifier and password to the user authentication server 40 (step S1-3). In this case, the access point 20 uses the IEEE 802.1X EAP-TTLS authentication method. Specifically, the access point 20 transmits the data acquired by the MAC frame from the user terminal 10 to the user authentication server 40 with the RADIUS frame replaced. The access point 20 accepts only a connection to the user authentication server 40 at the start of a session with the user terminal 10.

アクセスポイント20からユーザ識別子及びパスワードを取得したユーザ認証サーバ40は、認証の問い合わせ処理を実行する(ステップS1−4)。具体的には、ユーザ認証サーバ40は、取得したユーザ識別子及びパスワードを認証情報管理サーバ50に送信する。   The user authentication server 40 that has acquired the user identifier and password from the access point 20 executes an authentication inquiry process (step S1-4). Specifically, the user authentication server 40 transmits the acquired user identifier and password to the authentication information management server 50.

認証情報管理サーバ50は、認証処理を実行して、認証結果をユーザ認証サーバ40に提供する。具体的には、認証情報管理サーバ50は、受信したユーザ識別子及びパスワードに一致するユーザデータ510をユーザ管理データ記憶部51において検索する。認証情報管理サーバ50は、ユーザ管理データ記憶部51において、一致するユーザデータ510を抽出できた場合には、認証に成功したことを示す認証結果をユーザ認証サーバ40に提供する。一方、認証情報管理サーバ50は、ユーザ管理データ記憶部51において、
一致するユーザデータ510が抽出できなかった場合には、認証に失敗したことを示す認証結果をユーザ認証サーバ40に提供する。 The authentication information management server 50 executes authentication processing and provides an authentication result to the user authentication server 40. Specifically, the authentication information management server 50 searches the user management data storage unit 51 for user data 510 that matches the received user identifier and password. If the matching user data 510 can be extracted in the user management data storage unit 51, the authentication information management server 50 provides the user authentication server 40 with an authentication result indicating that the authentication is successful. On the other hand, in the user management data storage unit 51, the authentication information management server 50
If the matching user data 510 cannot be extracted, an authentication result indicating that the authentication has failed is provided to the user authentication server 40.

ユーザ認証サーバ40は、認証結果の送信処理を実行する(ステップS1−5)。具体的には、ユーザ認証サーバ40は、認証情報管理サーバ50から提供された認証結果を、ユーザ認証要求を送信したアクセスポイント20に対して返信する。ここで、ユーザ認証サーバ40は、認証に成功した認証結果を送信する場合には、EAP−TTLS認証方式の手順の途中で生成される鍵の基データも送信する。   The user authentication server 40 executes an authentication result transmission process (step S1-5). Specifically, the user authentication server 40 returns the authentication result provided from the authentication information management server 50 to the access point 20 that transmitted the user authentication request. Here, the user authentication server 40 also transmits basic data of a key generated during the procedure of the EAP-TTLS authentication method when transmitting an authentication result that has been successfully authenticated.

アクセスポイント20は、認証結果をユーザ端末10に転送する(ステップS1−6)。ここで、アクセスポイント20は、認証結果とともに鍵の基データを受信した場合には、この鍵の基データを保持する。そして、アクセスポイント20は、ユーザ端末10に認証結果を送信する。   The access point 20 transfers the authentication result to the user terminal 10 (step S1-6). When the access point 20 receives the key base data together with the authentication result, the access point 20 holds the key base data. Then, the access point 20 transmits the authentication result to the user terminal 10.

ユーザ端末10の制御部100は、ユーザ認証結果の取得処理を実行する(ステップS1−7)。具体的には、制御部100のユーザ認証結果取得手段132が、認証結果を受信して通信制御手段120に提供する。ここで、制御部100の通信制御手段120は、認証に失敗したことを示す認証結果を取得した場合には、ユーザ識別子又はパスワードが正しくないため接続ができないことを示すメッセージを表示手段に表示する。   The control unit 100 of the user terminal 10 executes user authentication result acquisition processing (step S1-7). Specifically, the user authentication result acquisition unit 132 of the control unit 100 receives the authentication result and provides it to the communication control unit 120. Here, when the communication control unit 120 of the control unit 100 acquires an authentication result indicating that the authentication has failed, the communication control unit 120 displays a message indicating that the connection cannot be made because the user identifier or the password is incorrect on the display unit. .

一方、認証に成功した認証結果を取得した場合には、ユーザ端末10の制御部100は、EAP−TTLS認証方式の手順の途中で生成された鍵の基データを保持する。そして、このユーザ端末10の制御部100は、IPアドレスの要求処理を実行する(ステップS1−8)。具体的には、制御部100の通信制御手段120は、認証に成功したことを検出した場合、IPアドレス要求手段141にIPアドレスの要求を行なう。IPアドレス要求手段141は、鍵の基データから暗号鍵を生成し、この暗号鍵を用いてIPアドレス要求を暗号化してアクセスポイント20に送信する。このIPアドレス要求には、ユーザ端末10のMACアドレスを含める。   On the other hand, when the authentication result of successful authentication is acquired, the control unit 100 of the user terminal 10 holds the key base data generated during the procedure of the EAP-TTLS authentication method. And the control part 100 of this user terminal 10 performs the request process of an IP address (step S1-8). Specifically, the communication control unit 120 of the control unit 100 requests the IP address request unit 141 for an IP address when detecting that the authentication is successful. The IP address requesting unit 141 generates an encryption key from the base data of the key, encrypts the IP address request using this encryption key, and transmits it to the access point 20. This IP address request includes the MAC address of the user terminal 10.

アクセスポイント20は、IPアドレス要求を転送する(ステップS1−9)。具体的には、アクセスポイント20は、保持している鍵の基データから暗号鍵を生成し、この暗号鍵を用いてデータを復号し、このIPアドレス要求をDHCPサーバ30に送信する。   The access point 20 transfers the IP address request (step S1-9). Specifically, the access point 20 generates an encryption key from the base data of the held key, decrypts the data using this encryption key, and transmits this IP address request to the DHCP server 30.

DHCPサーバ30は、IPアドレス要求を受信すると、MACアドレスの照合処理を実行する(ステップS1−10)。ここでは、DHCPサーバ30は、アクセスポイント20から取得したMACアドレスがMACアドレスデータ記憶部31に登録されているか否かについて検索する。具体的には、DHCPサーバ30は、取得したMACアドレスのデータとMACアドレスデータ310とを比較し、一致するMACアドレスをMACアドレスデータ記憶部31において検索する。   When receiving the IP address request, the DHCP server 30 executes a MAC address matching process (step S1-10). Here, the DHCP server 30 searches whether or not the MAC address acquired from the access point 20 is registered in the MAC address data storage unit 31. Specifically, the DHCP server 30 compares the acquired MAC address data with the MAC address data 310 and searches the MAC address data storage unit 31 for a matching MAC address.

ここで、MACアドレスデータ記憶部31に、受信したMACアドレスに一致するMACアドレスデータ310がない場合には、DHCPサーバ30は、IPアドレスの配布を行なわない。この場合、DHCPサーバ30は、アクセスポイント20を介して、ユーザ端末10に社内ネットワークN1に接続できない旨のデータを送信し、ユーザ端末10のディスプレイに表示させる。   If the MAC address data storage unit 31 does not have the MAC address data 310 that matches the received MAC address, the DHCP server 30 does not distribute the IP address. In this case, the DHCP server 30 transmits data indicating that it cannot connect to the in-house network N1 to the user terminal 10 via the access point 20, and displays the data on the display of the user terminal 10.

一方、受信したMACアドレスに一致するMACアドレスデータ310が抽出できた場合には、DHCPサーバ30は、IPアドレスの配布処理を実行する(ステップS1−11)。具体的には、DHCPサーバ30は、IPアドレス管理データ記憶部から、使用されていないIPアドレスを抽出して、このIPアドレスを含む通知データをアクセスポイ
ント20に送信する。この場合、通知データには、IPアドレスのデータとともに、リース期間等のオプションに関するデータを含める。 On the other hand, when the MAC address data 310 that matches the received MAC address can be extracted, the DHCP server 30 executes IP address distribution processing (step S1-11). Specifically, the DHCP server 30 extracts an unused IP address from the IP address management data storage unit, and transmits notification data including this IP address to the access point 20. In this case, the notification data includes data relating to options such as a lease period together with the IP address data.

アクセスポイント20は、IPアドレスを含む通知データをユーザ端末10に転送する(ステップS1−12)。具体的には、アクセスポイント20は、取得したIPアドレスと、転送するユーザ端末10のMACアドレスとを関連付けて記憶する。更に、アクセスポイント20は、生成した暗号鍵を用いて通知データを暗号化して、ユーザ端末10に送信する。   The access point 20 transfers the notification data including the IP address to the user terminal 10 (step S1-12). Specifically, the access point 20 stores the acquired IP address and the MAC address of the user terminal 10 to be transferred in association with each other. Further, the access point 20 encrypts the notification data using the generated encryption key and transmits it to the user terminal 10.

そして、ユーザ端末10が通知データを受信すると、ユーザ端末10の制御部100は、IPアドレスの設定処理を実行する(ステップS1−13)。具体的には、制御部100のIPアドレス取得手段142は、生成した暗号鍵を用いて通知データを復号して、通信制御手段120に提供する。通信制御手段120は、通信手段150にIPアドレス及び暗号鍵を提供する。以上により、認証処理が完了する。   And if the user terminal 10 receives notification data, the control part 100 of the user terminal 10 will perform the setting process of an IP address (step S1-13). Specifically, the IP address acquisition unit 142 of the control unit 100 decrypts the notification data using the generated encryption key and provides it to the communication control unit 120. The communication control unit 120 provides the communication unit 150 with an IP address and an encryption key. Thus, the authentication process is completed.

そして、これ以降、通信手段150は、取得したIPアドレスを用いて、社内ネットワークN1に接続されている各コンピュータとの通信を開始する。具体的には、通信手段150は、ユーザによって指示されたアドレスのコンピュータに対して指示された要求を送信する。この場合、通信手段150は、DHCPサーバ30から取得したIPアドレスを、この社内ネットワークN1とのセッションが終了するまで用いる。なお、通信手段150は、生成した暗号鍵を用いて送受信データを暗号化又は復号を行なって、アクセスポイント20と通信する。   Thereafter, the communication means 150 starts communication with each computer connected to the in-house network N1 using the acquired IP address. Specifically, the communication unit 150 transmits the requested request to the computer at the address designated by the user. In this case, the communication unit 150 uses the IP address acquired from the DHCP server 30 until the session with the in-house network N1 ends. Communication means 150 communicates with access point 20 by encrypting or decrypting transmission / reception data using the generated encryption key.

本実施形態によれば、以下のような効果を得ることができる。
・ 本実施形態では、ユーザ端末10の制御部100は、接続指示を受け入れると(ステップS1−1)、ユーザ識別子及びパスワードを取得して、ユーザ認証要求処理を実行する(ステップS1−2)。そして、ユーザ識別子及びパスワードを用いて認証情報管理サーバ50が認証処理を実行すると、ユーザ認証サーバ40は、その認証結果を、アクセスポイント20を介してユーザ端末10に送信する(ステップS1−5)。ユーザ端末10の制御部100は、認証に成功した認証結果を取得した場合には、ユーザ端末10の制御部100は、IPアドレスの要求処理を実行する(ステップS1−8)。DHCPサーバ30は、IPアドレス要求を受信すると、MACアドレスの照合処理を実行し(ステップS1−10)、照合が完了した場合には、IPアドレスの配布処理を実行する(ステップS1−11)。ユーザ端末10は、このIPアドレスの配布処理で取得したIPアドレスを用いて、社内ネットワークN1に接続されているコンピュータからデータを取得できる。このため、ユーザ認証と端末認証との両方が成功した場合に限り、ユーザ端末10は、社内ネットワークN1に接続することができるので、セキュリティを向上させることができる。 According to this embodiment, the following effects can be obtained.
In the present embodiment, when the control unit 100 of the user terminal 10 accepts the connection instruction (Step S1-1), the control unit 100 acquires a user identifier and a password and executes a user authentication request process (Step S1-2). And if the authentication information management server 50 performs an authentication process using a user identifier and a password, the user authentication server 40 will transmit the authentication result to the user terminal 10 via the access point 20 (step S1-5). . When the control unit 100 of the user terminal 10 obtains an authentication result that has been successfully authenticated, the control unit 100 of the user terminal 10 executes an IP address request process (step S1-8). When receiving the IP address request, the DHCP server 30 executes a MAC address matching process (step S1-10). When the matching is completed, the DHCP server 30 executes an IP address distribution process (step S1-11). The user terminal 10 can acquire data from a computer connected to the in-house network N1 using the IP address acquired in the IP address distribution process. For this reason, only when both user authentication and terminal authentication are successful, the user terminal 10 can be connected to the in-house network N1, so that security can be improved.

・ 本実施形態では、ユーザ端末10が無線LAN接続を行なうアクセスポイント20は、IEEE802.1Xの認証規格に対応した無線LANアクセスポイントである。このため、アクセスポイント20は、ユーザ端末10とのセッション開始時には、ユーザ認証サーバ40への接続以外のものは受け付けない。従って、ユーザ認証に成功していないユーザ端末10からのアクセスを自動的にアクセスポイント20が拒否するので、ネットワークのセキュリティを、公知の技術を用いて向上することができる。   In this embodiment, the access point 20 with which the user terminal 10 performs wireless LAN connection is a wireless LAN access point that supports the IEEE 802.1X authentication standard. For this reason, the access point 20 does not accept anything other than the connection to the user authentication server 40 at the start of a session with the user terminal 10. Therefore, since the access point 20 automatically denies access from the user terminal 10 that has not been successfully authenticated, network security can be improved using known techniques.

・ 本実施形態では、DHCPサーバ30は、MACアドレスを取得すると、MACアドレスデータ310と比較し、一致するMACアドレスデータ310が抽出できた場合には、IPアドレス管理データ記憶部に記憶されているIPアドレスをユーザ端末10に配布する。このため、事業所内のサブネットにおいて、複数のアクセスポイント20が設け
られている場合であっても、DHCPサーバ30において、社内ネットワークN1に接続可能なユーザ端末10のMACアドレスを一括して管理することができる。また、多数のユーザ端末10が社内ネットワークN1に接続する場合であっても、各ユーザ端末10にIPアドレスを手動で設定する必要がないので、設定を容易に行なうことができる。 In the present embodiment, when the DHCP server 30 acquires the MAC address, the DHCP server 30 compares it with the MAC address data 310. If the matching MAC address data 310 can be extracted, it is stored in the IP address management data storage unit. The IP address is distributed to the user terminal 10. For this reason, even when a plurality of access points 20 are provided in the subnet in the office, the DHCP server 30 can collectively manage the MAC addresses of the user terminals 10 that can be connected to the in-house network N1. Can do. Further, even when a large number of user terminals 10 are connected to the in-house network N1, it is not necessary to manually set an IP address for each user terminal 10, so that the setting can be performed easily.

・ 本実施形態では、ユーザ端末10の制御部100は、DHCP対応プログラムの処理よりも、サプリカントによる処理が優先的に実行されるように設定されている。このため、ユーザ端末10の制御部100は、接続指示の受入処理(ステップS1−1)を実行すると、ユーザ認証要求手段131がユーザ認証要求を実行する。これに応じて取得したユーザ認証結果が認証成功であった場合には、制御部100は、IPアドレスの要求処理を実行する(ステップS1−8)。このため、公知の技術を用いて、簡単な設定を行なうだけで、ユーザ認証を行なうとともに、端末認証も行なうことができる。   -In this embodiment, the control part 100 of the user terminal 10 is set so that the process by a supplicant may be preferentially performed rather than the process of a DHCP corresponding | compatible program. For this reason, when the control unit 100 of the user terminal 10 executes a connection instruction acceptance process (step S1-1), the user authentication request unit 131 executes a user authentication request. If the user authentication result acquired in response to this is authentication success, the control unit 100 executes IP address request processing (step S1-8). For this reason, it is possible to perform user authentication and terminal authentication by simply performing a simple setting using a known technique.

・ 本実施形態では、ユーザ認証要求を行なう場合、制御部100は、IEEE802.1XのEAP−TTLS認証方式を用いて、アクセスポイント20に対してユーザ識別子及びパスワードを送信する。EAP−TTLS認証方式においては、ユーザ端末10とユーザ認証サーバ40との間で鍵の基データが生成される。ユーザ認証サーバ40は、認証が成功した場合には鍵の基データをアクセスポイント20に送信する。ユーザ端末10及びアクセスポイント20は、この鍵の基データを用いて暗号鍵を生成し、この暗号鍵を用いて暗号化通信を行なう。この鍵の基データは、認証の途中で生成され、認証を行なうたびに鍵の基データが決定されて変更されるので、セキュリティをより向上させた無線LAN通信を行なうことができる。更に、ユーザ端末10とアクセスポイント20は、暗号鍵を送受信しないので、セキュリティをより向上させた無線LAN通信を行なうことができる。   In this embodiment, when making a user authentication request, the control unit 100 transmits a user identifier and a password to the access point 20 using the IEEE 802.1X EAP-TTL authentication method. In the EAP-TTLS authentication method, key base data is generated between the user terminal 10 and the user authentication server 40. The user authentication server 40 transmits key data to the access point 20 when the authentication is successful. The user terminal 10 and the access point 20 generate an encryption key using the key base data, and perform encrypted communication using the encryption key. The key base data is generated in the middle of authentication, and the key base data is determined and changed every time authentication is performed, so that wireless LAN communication with improved security can be performed. Furthermore, since the user terminal 10 and the access point 20 do not transmit / receive the encryption key, wireless LAN communication with improved security can be performed.

また、上記実施形態は以下のように変更してもよい。
○ 上記実施形態においては、制御部100は、ユーザ認証を行なう場合、IEEE802.1Xの認証規格に対応した認証方式(認証プロトコル)としてEAP−TTLS方式を用いた。これに限らず、EAP−TLS(Extensible Authentication Protocol−Transport Layer Security)やPEAP(Protected Extensible Authentication Protocol)等を用いてもよい。この場合、認証手順にTLSの手順が含まれている認証方式を用いれば、認証を行なう毎に鍵の基データが生成される。このため、ユーザ端末10が社内ネットワークN1に接続するたびに異なる暗号鍵が作成されて使用されるので、無線LANにおいてセキュリティの向上を図ることができる。 Moreover, you may change the said embodiment as follows.
In the above embodiment, when performing user authentication, the control unit 100 uses the EAP-TTLS method as an authentication method (authentication protocol) corresponding to the IEEE 802.1X authentication standard. Not only this but EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), PEAP (Protected Extensible Authentication Protocol), etc. may be used. In this case, if an authentication method in which the TLS procedure is included in the authentication procedure is used, key basic data is generated every time authentication is performed. For this reason, since a different encryption key is created and used every time the user terminal 10 connects to the in-house network N1, security can be improved in the wireless LAN.

○ 上記実施形態においては、ユーザ端末10の制御部100が、ユーザ認証手段、端末認証手段及び許可手段として機能した。これに限らず、ユーザ認証手段、端末認証手段及び許可手段としての機能をアクセスポイント20に設けてもよい。この場合、アクセスポイント20が接続制御装置として機能する。具体的には、アクセスポイント20は、上記実施形態と同様に、ユーザ端末10からのセッション開始時においては、ユーザ認証サーバに送信されるデータ以外のアクセスは拒否する。そして、ユーザ認証サーバ40から、認証成功の認証結果とともに鍵の基データを受信した場合には、アクセスポイント20は、ユーザ端末10から取得したMACフレームに含まれるMACアドレスを、DHCPサーバ30に送信する。DHCPサーバ30は、受信したMACアドレスの照合処理を行ない(ステップS1−10)、IPアドレスの配布処理を実行する(ステップS1−11)。アクセスポイント20は、DHCPサーバ30から取得したIPアドレスをユーザ端末10に送信する。ユーザ端末10は、このIPアドレスを用いて社内ネットワークN1に接続されたコンピュータとデータの送受信を行なう。この場合においても、ユーザ認証及び端末認証の両方が成功しないと、ユーザ端末10は社内ネットワークN1に接続できない。また、アクセスポイント20は、ユーザ認証サーバ40から鍵の基データを受信し
、この鍵の基データに基づく暗号鍵を用いて、ユーザ端末10と暗号化通信を行なう。この鍵の基データは、認証を行なうたびに変更される。また、鍵自体をユーザ端末10とアクセスポイント20との間で交換する必要がない。従って、ユーザ端末10とアクセスポイント20との暗号化通信が解読され難く、より安全にデータの送受信を行なうことができる。 In the above embodiment, the control unit 100 of the user terminal 10 functions as a user authentication unit, a terminal authentication unit, and a permission unit. Not limited to this, the access point 20 may be provided with functions as user authentication means, terminal authentication means, and permission means. In this case, the access point 20 functions as a connection control device. Specifically, the access point 20 denies access other than data transmitted to the user authentication server at the start of a session from the user terminal 10 as in the above embodiment. When receiving the key base data together with the authentication success result from the user authentication server 40, the access point 20 transmits the MAC address included in the MAC frame acquired from the user terminal 10 to the DHCP server 30. To do. The DHCP server 30 collates the received MAC address (step S1-10), and executes IP address distribution processing (step S1-11). The access point 20 transmits the IP address acquired from the DHCP server 30 to the user terminal 10. The user terminal 10 transmits / receives data to / from a computer connected to the in-house network N1 using this IP address. Even in this case, the user terminal 10 cannot connect to the in-house network N1 unless both user authentication and terminal authentication are successful. In addition, the access point 20 receives key data from the user authentication server 40 and performs encrypted communication with the user terminal 10 using an encryption key based on the key data. The key base data is changed each time authentication is performed. Further, it is not necessary to exchange the key itself between the user terminal 10 and the access point 20. Therefore, encrypted communication between the user terminal 10 and the access point 20 is difficult to be decrypted, and data can be transmitted and received more safely.

○ 上記実施形態においては、ユーザ端末10の制御部100は、起動したウェブブラウザを用いて、社内ネットワークN1への接続指示を取得した。接続指示を取得するためのプログラムは、これに限らず、ネットワーク等においてデータを閲覧・検索するアプリケーションソフトであればよい。   In the above embodiment, the control unit 100 of the user terminal 10 acquires a connection instruction to the in-house network N1 using the activated web browser. The program for acquiring the connection instruction is not limited to this, and may be application software for browsing and searching data on a network or the like.

実施形態におけるシステムの概略図。1 is a schematic diagram of a system in an embodiment. データの構成を説明する図であり、(a)はMACアドレスデータ記憶部、(b)はユーザ管理データ記憶部に記録されたデータの説明図。It is a figure explaining the structure of data, (a) is a MAC address data storage part, (b) is explanatory drawing of the data recorded on the user management data storage part. ユーザ端末の制御部の内部構成を説明するためのブロック図。The block diagram for demonstrating the internal structure of the control part of a user terminal. 実施形態における認証処理の処理手順を説明するための流れ図。The flowchart for demonstrating the process sequence of the authentication process in embodiment.

符号の説明Explanation of symbols

N1…社内ネットワーク、10…ユーザ端末、20…アクセスポイント、21…L2スイッチ、22,42…ルータ、30…端末認証サーバとしてのDHCPサーバ、31…MACアドレスデータ記憶部、40…ユーザ認証サーバ、50…認証情報管理サーバ、51…ユーザ管理データ記憶部、100…制御部、110…接続指示受入手段、120…許可手段及び設定手段としての通信制御手段、131…ユーザ認証手段を構成するユーザ認証要求手段、132…ユーザ認証手段を構成するユーザ認証結果取得手段、141…端末認証手段として構成するIPアドレス要求手段、142…端末認証手段として構成するIPアドレス取得手段、150…暗号通信手段を含むネットワーク通信手段としての通信手段、310…MACアドレスデータ、510…ユーザデータ。   N1 ... In-house network, 10 ... User terminal, 20 ... Access point, 21 ... L2 switch, 22, 42 ... Router, 30 ... DHCP server as terminal authentication server, 31 ... MAC address data storage unit, 40 ... User authentication server, DESCRIPTION OF SYMBOLS 50 ... Authentication information management server, 51 ... User management data storage part, 100 ... Control part, 110 ... Connection instruction | indication reception means, 120 ... Communication control means as a permission means and a setting means, 131 ... User authentication which comprises a user authentication means Request means 132 ... User authentication result acquisition means constituting user authentication means 141 ... IP address request means constituted as terminal authentication means, 142 ... IP address acquisition means constituted as terminal authentication means, 150 ... Encryption communication means Communication means as network communication means, 310... MAC address data , 510 ... user data.

Claims (6)

ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置であって、
前記通信制御手段が、
前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証手段と、
認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証手段と、
認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可手段と
を備えたことを特徴とする接続制御装置。 Network communication means for accessing a network to which a user authentication server storing a user identifier and password associated with a user and a terminal authentication server in which a MAC address for specifying a network communication means of a connectable user terminal is connected are connected A connection control device comprising a communication control means for controlling the communication of
The communication control means is
When the user terminal obtains an instruction to access the network, the user terminal acquires a user identifier and password of the user, transmits a user authentication request including the user identifier and password to the user authentication server, and the user in the user authentication server A user authentication means for obtaining an authentication result;
A terminal that acquires a terminal authentication result in the terminal authentication server by transmitting a terminal authentication request including the MAC address of the network communication means to the terminal authentication server when a user authentication result indicating that the authentication is successful is acquired. Authentication means;
A connection control apparatus comprising: a permission unit that permits the network communication unit to access the network when a terminal authentication result indicating that the authentication is successful is acquired. 前記端末認証サーバは、配布可能なIPアドレスを記憶しており、
前記端末認証手段は、前記端末認証サーバにおいて、前記MACアドレスを用いた端末認証が成功した場合には、前記端末認証結果としてIPアドレスを受信し、
前記通信制御手段は、受信したIPアドレスを用いてネットワーク通信手段が前記ネットワークへのアクセスを行なうように設定する設定手段を更に備えたことを特徴とする請求項1に記載の接続制御装置。 The terminal authentication server stores a distributable IP address,
The terminal authentication means receives an IP address as the terminal authentication result when the terminal authentication using the MAC address is successful in the terminal authentication server,
The connection control apparatus according to claim 1, wherein the communication control means further comprises setting means for setting the network communication means to access the network using the received IP address. 前記ユーザ端末は、前記ネットワークに接続するアクセスポイントに、無線LAN接続により接続されており、
前記通信制御手段は、前記ユーザ端末に搭載されており、
前記ネットワーク通信手段は、前記ユーザ認証サーバとのデータ送受信において前記ユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、前記アクセスポイントと暗号化通信を行なう暗号通信手段を更に備えたことを特徴とする請求項1又は2に記載の接続制御装置。 The user terminal is connected to an access point connected to the network by a wireless LAN connection,
The communication control means is mounted on the user terminal,
The network communication means further includes an encryption communication means for performing encrypted communication with the access point using an encryption key based on key data acquired by the user authentication means in data transmission / reception with the user authentication server. The connection control apparatus according to claim 1 or 2, wherein 前記ユーザ端末は、前記ネットワークに接続するアクセスポイントに、無線LAN接続により接続されており、
前記通信制御手段は、前記アクセスポイントに搭載されており、
前記通信制御手段は、前記ユーザ認証手段とのデータ送受信において前記ユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、前記ユーザ端末と暗号化通信を行なう暗号通信手段を更に備えたことを特徴とする請求項1又は2に記載の接続制御装置。 The user terminal is connected to an access point connected to the network by a wireless LAN connection,
The communication control means is mounted on the access point,
The communication control means further includes an encryption communication means for performing encrypted communication with the user terminal using an encryption key based on key basic data acquired by the user authentication means in data transmission / reception with the user authentication means. The connection control apparatus according to claim 1 or 2, wherein ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置を用いた接続制御方法であって、
前記通信制御手段が、
前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証段階、
認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手
段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証段階、及び
認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可段階
を実行することを特徴とする接続制御方法。 Network communication means for accessing a network to which a user authentication server storing a user identifier and password associated with a user and a terminal authentication server in which a MAC address for specifying a network communication means of a connectable user terminal is connected are connected A connection control method using a connection control device comprising a communication control means for controlling the communication of
The communication control means is
When the user terminal obtains an instruction to access the network, the user terminal acquires a user identifier and password of the user, transmits a user authentication request including the user identifier and password to the user authentication server, and the user in the user authentication server User authentication stage to obtain authentication results,
A terminal that acquires a terminal authentication result in the terminal authentication server by transmitting a terminal authentication request including the MAC address of the network communication means to the terminal authentication server when a user authentication result indicating that the authentication is successful is acquired. A connection control method, comprising: performing an authorization stage of permitting access to the network with respect to the network communication means when an authentication stage and a terminal authentication result indicating successful authentication are acquired. ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置を用いた接続制御プログラムであって、
前記通信制御手段を、
前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証手段、
認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証手段、及び
認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可手段
として機能することを特徴とする接続制御プログラム。 Network communication means for accessing a network to which a user authentication server storing a user identifier and password associated with a user and a terminal authentication server in which a MAC address for specifying a network communication means of a connectable user terminal is connected are connected A connection control program using a connection control device comprising a communication control means for controlling the communication of
The communication control means;
When the user terminal obtains an instruction to access the network, the user terminal acquires a user identifier and password of the user, transmits a user authentication request including the user identifier and password to the user authentication server, and the user in the user authentication server User authentication means for obtaining the authentication result;
A terminal that acquires a terminal authentication result in the terminal authentication server by transmitting a terminal authentication request including the MAC address of the network communication means to the terminal authentication server when a user authentication result indicating that the authentication is successful is acquired. An access control program that functions as an authentication unit and a permission unit that permits the network communication unit to access the network when a terminal authentication result indicating successful authentication is acquired.
JP2008064275A 2008-03-13 2008-03-13 Connection control device, connection control method, and connection control program Pending JP2009223389A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008064275A JP2009223389A (en) 2008-03-13 2008-03-13 Connection control device, connection control method, and connection control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008064275A JP2009223389A (en) 2008-03-13 2008-03-13 Connection control device, connection control method, and connection control program

Publications (1)

Publication Number Publication Date
JP2009223389A true JP2009223389A (en) 2009-10-01

Family

ID=41240135

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008064275A Pending JP2009223389A (en) 2008-03-13 2008-03-13 Connection control device, connection control method, and connection control program

Country Status (1)

Country Link
JP (1) JP2009223389A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2494891A (en) * 2011-09-21 2013-03-27 Cloud Networks Ltd A race condition during MAC authentication is avoided by confirming authentication to DHCP server prior to address allocation.
JP2015069586A (en) * 2013-09-30 2015-04-13 株式会社Pfu Server device, registration method, control program, and communication system
CN113498055A (en) * 2020-03-20 2021-10-12 维沃移动通信有限公司 Access control method and communication equipment

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2494891A (en) * 2011-09-21 2013-03-27 Cloud Networks Ltd A race condition during MAC authentication is avoided by confirming authentication to DHCP server prior to address allocation.
GB2494891B (en) * 2011-09-21 2018-12-05 The Cloud Networks Ltd User authentication in a network access system
JP2015069586A (en) * 2013-09-30 2015-04-13 株式会社Pfu Server device, registration method, control program, and communication system
CN113498055A (en) * 2020-03-20 2021-10-12 维沃移动通信有限公司 Access control method and communication equipment
CN113498055B (en) * 2020-03-20 2022-08-26 维沃移动通信有限公司 Access control method and communication equipment

Similar Documents

Publication Publication Date Title
US10945127B2 (en) Exclusive preshared key authentication
CN105050081B (en) Method, device and system for connecting network access device to wireless network access point
US8191124B2 (en) Systems and methods for acquiring network credentials
KR101819556B1 (en) Apparatus and method for supporting family cloud in cloud computing system
US20070098176A1 (en) Wireless LAN security system and method
US20080060065A1 (en) Systems and methods for providing network credentials
JP2005184463A (en) Communication apparatus and communication method
CN105554747A (en) Wireless network connecting method, device and system
JP2004164576A (en) Method and system for authenticating user in public wireless lan service system, and recording medium
KR20060089008A (en) Wireless network system and communication method using wireless network system
WO2006101065A1 (en) Connection parameter setting system, method thereof, access point, server, radio terminal, and parameter setting device
JP2010503319A (en) System and method for obtaining network credentials
US8442527B1 (en) Cellular authentication for authentication to a service
JP2015039141A (en) Certificate issue request generation program, certificate issue request generation device, certificate issue request generation system, certificate issue request generation method, certificate issuing device, and authentication method
JP5848467B2 (en) Repeater, wireless communication system, and wireless communication method
JP4355611B2 (en) COMMUNICATION SYSTEM, COMMUNICATION METHOD, BASE STATION DEVICE, CONTROLLER, DEVICE, AND CONTROL PROGRAM
JP6240102B2 (en) Authentication system, authentication key management device, authentication key management method, and authentication key management program
US20160105407A1 (en) Information processing apparatus, terminal, information processing system, and information processing method
JP2009223389A (en) Connection control device, connection control method, and connection control program
WO2017219976A1 (en) Cloud server login method and apparatus
JP2012015712A (en) Data backup system, server, wireless master unit, and program
JP5388088B2 (en) Communication terminal device, management device, communication method, management method, and computer program.
JP4793024B2 (en) User authentication method, authentication server and system
JP5545433B2 (en) Portable electronic device and operation control method for portable electronic device
JP2011061574A (en) Radio communication device and radio communication system