JPH11203248A - 認証装置、および、そのプログラムを記録した記録媒体 - Google Patents

認証装置、および、そのプログラムを記録した記録媒体

Info

Publication number
JPH11203248A
JPH11203248A JP10007043A JP704398A JPH11203248A JP H11203248 A JPH11203248 A JP H11203248A JP 10007043 A JP10007043 A JP 10007043A JP 704398 A JP704398 A JP 704398A JP H11203248 A JPH11203248 A JP H11203248A
Authority
JP
Japan
Prior art keywords
external terminal
server
authentication
network
shared key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP10007043A
Other languages
English (en)
Inventor
Kiyohiro Nakabayashi
聖裕 中林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nissin Electric Co Ltd
Original Assignee
Nissin Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nissin Electric Co Ltd filed Critical Nissin Electric Co Ltd
Priority to JP10007043A priority Critical patent/JPH11203248A/ja
Publication of JPH11203248A publication Critical patent/JPH11203248A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 【課題】 認証に成功するまで、組織内ネットワークへ
侵入できず、かつ、組織内ネットワークのサーバ毎に認
証可能な認証装置を提供する。 【解決手段】 組織内ネットワーク2の入口に配された
認証装置4において、コマンド監視部42は、外部端末
5が送出するデータを監視して、各サーバ21へのログ
インコマンドを検出する。ログインコマンドが検出され
る毎に、認証部43は、外部端末5を認証して、サーバ
単位で認証する。通信制御部41は、認証に成功した外
部端末5とサーバ21との間の通信のみを転送する。あ
るサーバ21に関する認証に成功しても、他のサーバ2
1に関する認証に成功しない限り、認証装置4は、外部
端末5とサーバ21との接続を許可しない。それゆえ、
認証回数を増加させたり、組織内ネットワーク2のトラ
フィックを増大させることなく、サーバ単位で認証でき
る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、組織外ネットワー
クからリモートアクセス可能な組織内ネットワークに
て、不正なアクセスを防止するための認証装置、およ
び、そのプログラムを記録した記録媒体に関するもので
ある。
【0002】
【従来の技術】近年では、例えば、会社などの組織にお
いて、情報化が急速に進んでおり、例えば、ローカル・
エリア・ネットワーク(LAN)などを用いて、組織内
に設けられた端末間で互いに通信可能な組織内ネットワ
ークが構築されている。さらに、組織内ネットワークの
充実に伴い、組織外からリモートアクセス可能なように
組織内ネットワークを構築することが強く要求されてい
る。
【0003】公衆電話回線やインターネットなどを介し
て、組織外から組織内ネットワークへのリモートアクセ
スを許可した場合、正規の使用者が組織外の任意の場所
から組織内ネットワークへアクセス可能になり、非常に
利便性が高くなる。一方、組織外の任意の場所からアク
セス可能になるため、組織内からのアクセスのみを許可
する場合に比べて、アクセスを許可されていない者から
の不正アクセスが容易になり、組織内ネットワークの安
全性が低下しやすいという問題が発生する。通常、組織
内ネットワークには、機密やプライバシなどに係わる情
報が蓄積されており、第三者に不正にアクセスされる
と、極めて弊害が大きい。したがって、不正アクセスを
防止するために、外部からリモートアクセスしてきた端
末を認証する認証装置が、従来より広く用いられてい
る。
【0004】通常、上記認証装置は、例えば、組織内ネ
ットワークと公衆電話回線網との接続点など、組織内ネ
ットワークの入口に設けられており、リモートアクセス
時に外部端末を認証して、組織内ネットワークへのアク
セスを許可するか否かを判定する。認証に成功した場
合、当該認証装置は、外部端末に対して、組織内ネット
ワークへのアクセスを許可し、両者間の通信を中継す
る。一方、認証に失敗した場合、当該認証装置は、外部
端末との接続を切断して、組織内ネットワークへの不正
アクセスを防止する。
【0005】
【発明が解決しようとする課題】しかしながら、上記従
来の認証装置では、万一、第三者が認証に成功すると、
組織内ネットワーク全体へのアクセスが許可される。し
たがって、組織内ネットワークに設けられたサーバ全て
に対して、不正アクセスされる虞れがあり、安全性が低
下しやすいという問題を有している。
【0006】ここで、上記認証装置での認証に加えて、
各サーバ自体が厳密な認証を行えば、個々のサーバ毎に
アクセスの可否を設定でき、安全性が向上する。ところ
が、この場合は、認証回数が増加し、認証時の手順が複
雑になるという問題を招来する。さらに、認証回数が増
加に伴って、例えば、パスワードなど、認証に使用され
る認証データの数も増加すると共に、認証する箇所が認
証装置とサーバとに分けられる。この結果、認証データ
の維持管理が困難になる。
【0007】一方、各サーバ自体のみで認証すれば、認
証回数を削減できるが、この場合は、外部端末が送出し
たデータが組織内ネットワークへ無制限に流れ、不正ア
クセスに対する安全性が低下する。
【0008】また、いずれの場合であっても、各サーバ
を保護するためには、組織内ネットワークに設けられた
サーバ全てにおいて、厳密に認証処理する必要がある。
したがって、組織内ネットワークの維持管理が煩雑にな
ると共に、組織内ネットワークの端末からサーバへアク
セスする際の手間も増大しがちである。加えて、組織内
ネットワークへ侵入した第三者は、各サーバに対して、
認証を繰り返し試みることができる。この結果、第三者
が各サーバでの認証にも成功する虞れが高いと共に、組
織内ネットワーク内のトラフィックが不所望に増大す
る。
【0009】本発明は、上記の問題点を鑑みてなされた
ものであり、その目的は、認証に成功するまで、組織内
ネットワークへ侵入できず、かつ、組織内ネットワーク
のサーバ毎に認証可能な認証装置、および、そのプログ
ラムを記録した記録媒体を実現することにある。
【0010】
【課題を解決するための手段】請求項1の発明に係る認
証装置は、上記課題を解決するために、組織内ネットワ
ークに設けられた複数のサーバへ外部の端末がアクセス
する際に、当該外部端末を認証する認証装置において、
上記組織内ネットワークの入口に設けられ、上記外部端
末が送出したデータを監視して、上記各サーバへのログ
インコマンドを検出するログインコマンド検出手段と、
上記外部端末からサーバへのログインコマンドを検出し
た場合、当該外部端末を認証し、認証に失敗した外部端
末からのログインを、上記組織内ネットワークの入口で
拒否する認証手段とを備えていることを特徴としてい
る。
【0011】上記構成において、認証装置のログインコ
マンド検出手段は、組織内ネットワークの入口にて、外
部端末から組織内ネットワークへ送出されるデータを監
視している。外部から組織内ネットワークのサーバへロ
グインする際、外部端末が当該サーバへのログインコマ
ンドを送出すると、当該ログインコマンドは、上記ログ
インコマンド検出手段にて検出される。ログインコマン
ドが検出されると、上記認証手段は、上記外部端末を認
証して、サーバへのログインが許可されているか否かを
判定する。外部端末が認証に失敗した場合、認証手段
は、当該外部端末とサーバとを接続することなく、組織
内ネットワークの入口で、当該外部端末からのログイン
を拒否する。これにより、認証に成功した外部端末のみ
が、組織内ネットワークのサーバへ接続される。
【0012】ここで、上記ログインコマンド検出手段
は、外部端末から組織内ネットワークへ送出されるデー
タであれば、あるサーバへの認証に成功した外部端末か
らのデータであっても監視している。したがって、当該
外部端末が他のサーバへログインコマンドを送出した場
合、当該ログインコマンドは、確実に検出され、認証手
段は、当該サーバに関して外部端末を認証する。
【0013】上記構成では、外部端末は、あるサーバへ
ログインコマンドを送出する度に認証されるので、認証
装置は、各サーバ毎に、外部端末を認証できる。したが
って、組織内ネットワークへの認証のみを行う従来技術
とは異なり、万一、不正なユーザが認証に成功した場合
であっても、不正なアクセスを1つのサーバに限定でき
る。この結果、一度侵入されると全てのサーバにアクセ
ス可能になる従来技術よりも、組織内ネットワークの安
全性を向上できる。
【0014】なお、組織内ネットワークへの認証とは別
に、各サーバが独自に認証する場合は、サーバ毎に外部
端末を認証できる。ところが、この場合は、組織内ネッ
トワークの入口と、サーバとの双方で認証が必要になる
ので、認証回数が増加すると共に、認証に必要なデータ
を管理する場所が増え、維持管理が困難になる。さら
に、この場合は、外部端末は、あるサーバへの認証に失
敗したとしても、組織内ネットワークの中に留まること
ができる。したがって、各サーバへのログインを繰り返
し試みることができ、組織内ネットワークのトラフィッ
ク(通信量)が増大しがちである。
【0015】これに対して、請求項1記載の発明の構成
によれば、認証に失敗した外部端末は、組織内ネットワ
ークの入口でログインが拒否され、組織内ネットワーク
へ侵入できない。したがって、組織内ネットワークの安
全性は、さらに高いレベルに保たれると共に、不正アク
セスに起因する組織内ネットワークのトラフィック増大
を抑制できる。また、少なくとも1回で、サーバ毎に認
証できるので、認証時間を短縮できると共に、認証に必
要なデータを管理する手間を削減できる。
【0016】ところで、上記認証手段が外部端末を認証
する方法は、ログインコマンドを送出した外部端末が、
サーバへのログインが許可された正規の外部端末である
か否かを判定可能な方法であれば、種々の方法を採用で
きる。例えば、外部端末から組織内ネットワークまでの
経路が十分安全であれば、予め定められたパスワードを
要求して認証してもよい。ただし、一般に、上記経路
は、組織内ネットワークに比べて安全性が低く、送受さ
れるデータが盗聴されたり、改竄される虞れがある。し
たがって、外部端末が、例えば、インターネットなど、
安全性が低い経路を介して組織内ネットワークへリモー
トアクセスする場合には、データが盗聴や改竄された場
合であっても、確実に外部端末を認証可能な方法を採用
することが望まれる。
【0017】請求項2の発明に係る認証装置は、請求項
1記載の発明の構成において、上記認証手段は、ログイ
ンコマンドの検出毎に異なる乱数を生成して、上記外部
端末へ送出する乱数生成部と、上記外部端末と自らとの
間で予め共有された共有鍵を用いて、上記乱数を暗号化
して、第1のワンタイムパスワードを生成するパスワー
ド生成部と、上記外部端末にて上記共有鍵で上記乱数を
暗号化して生成された第2のワンタイムパスワードと、
上記第1のワンタイムパスワードとを比較する比較部と
を備えていることを特徴としている。
【0018】上記構成では、外部端末を認証する際、認
証装置の乱数生成部は、毎回異なる乱数を生成して、外
部端末へ送出する。さらに、認証手段のパスワード生成
部は、上記外部端末と自らとの間で予め共有された共有
鍵を用いて、当該乱数を暗号化して第1のワンタイムパ
スワードを生成する。なお、共有鍵を共有する方法は、
例えば、パスワード生成部と外部端末との双方に同じ値
の共有鍵を格納しておく方法や、例えば、共有鍵を算出
するための秘密情報を格納しておき、認証時に両者間で
送受するID情報と、当該秘密情報とを用いて共有鍵を
算出する方法など種々の方法を採用できる。
【0019】一方、外部端末は、当該共有鍵を用いて、
認証装置から受け取った乱数を暗号化して第2のワンタ
イムパスワードを生成し、認証装置へ送り返す。ここ
で、正規の外部端末であれば、外部端末とパスワード生
成部との間で、共有鍵が正しく共有される。したがっ
て、認証装置の比較部は、第1および第2のワンタイム
パスワードの一致した場合、当該外部端末を正規の外部
端末と判定できる。
【0020】上記構成によれば、外部端末が認証装置へ
送出する第2のワンタイムパスワードは、認証毎に異な
った値となる。したがって、第三者が、前回の認証時に
使用された第2のワンタイムパスワードを盗聴し、当該
パスワードを用いてアクセスしようとしても、認証装置
は、確実に当該アクセスを不正アクセスと判定できる。
この結果、外部端末から組織内ネットワークまでの経路
に、安全性の低い経路が存在する場合であっても、外部
端末を確実に認証できる。
【0021】なお、当該第2のワンタイムパスワードが
暗号化によって生成される。したがって、上記共有鍵や
暗号化の方法を知り得ない第三者が、受け取った乱数か
ら、正しい第2ワンタイムパスワードを生成すること
は、極めて困難である。
【0022】ところで、共有鍵は、外部端末を認証する
際の基準となる情報である。したがって、第三者から秘
匿しなければならず、安全性の低い経路では、伝送でき
ない。また、組織内ネットワークの安全性を向上させる
ためには、例えば、サーバと外部端末との組み合わせ毎
に異なる共有鍵を設定するなど、共有鍵が盗まれた場合
に不正アクセス可能な範囲を制限する方が好ましい。
【0023】ところが、各組み合わせに応じた共有鍵を
設定し、外部端末およびパスワード生成部へ予め格納す
る場合、共有鍵の数の増加に伴って、格納に必要な記憶
容量が増大すると共に、各共有鍵を維持管理する際の手
間が増大する虞れがある。
【0024】これに対して、請求項3の発明に係る認証
装置は、請求項2記載の発明の構成において、上記認証
手段は、上記外部端末で共有鍵を算出する際に使用さ
れ、各サーバ固有の第1識別情報を送出すると共に、上
記外部端末を識別する第2識別情報と、自らに予め格納
された上記サーバ固有の第1秘密情報とに基づいて、上
記共有鍵を算出する共有鍵算出手段を備えていることを
特徴としている。
【0025】上記構成では、外部端末の認証時におい
て、共有鍵算出手段は、上記パスワード生成部および外
部端末が、それぞれのワンタイムパスワードを生成する
前に、各サーバ固有の第1識別情報を送出する。一方、
外部端末は、受け取った第1識別情報と、例えば、予め
格納された第2秘密情報とに基づいて、ログインコマン
ドを送出したサーバへ自らがログインする際の共有鍵を
算出する。また、認証装置の共有鍵算出手段は、ログイ
ンコマンドを送出する外部端末に固有の第2識別情報を
受け取り、予め格納した第1秘密情報と組み合わせて、
共有鍵を算出する。
【0026】ここで、第1秘密情報は、外部端末に関係
する情報であり、第2識別情報は、サーバに関する情報
である。したがって、外部端末は、サーバと自らとの組
み合わせに応じた共有鍵を生成できる。同様に、第2秘
密情報がサーバ固有で、第1識別情報が外部端末固有な
ので、共有鍵算出部が算出する共有鍵は、両者の組み合
わせに応じた値になる。これにより、認証装置と外部端
末との間で、共有鍵そのものを送受しなくても、組み合
わせに応じた共有鍵を共有できる。さらに、上記共有鍵
は、公開可能な第1および第2識別情報と、秘匿される
第1および第2秘密情報とから算出されるので、各秘密
情報の格納に必要な記憶容量は、各組み合わせ毎の共有
鍵を記憶する場合に比べて削減される。それゆえ、外部
端末および認証装置で単一の共有鍵を使用する場合およ
び外部端末毎に単一の共有鍵を使用する場合に比べて、
より安全に外部端末を認証可能な認証装置が、少ない記
憶容量で実現できる。
【0027】なお、上記共有鍵算出部は、各サーバ固有
の第2秘密情報に基づいて共有鍵を算出するので、各サ
ーバ毎に設けてもよい。この場合、例えば、第1秘密情
報など、認証時に必要なデータは、共有鍵算出部に格納
されており、比較部は、第1および第2ワンタイムパス
ワードを比較して外部端末にサーバへのアクセスが許可
されているか否かを判定する。したがって、組織内ネッ
トワークの入口と各サーバとの双方で認証する場合と異
なり、認証時に必要なデータを格納する場所が増加しな
い。なお、この場合は、パスワード生成部と共有鍵算出
部との双方を各サーバ毎に設ければ、共有鍵が送受され
る経路を短縮できるので、さらに安全である。
【0028】請求項4の発明に係る記録媒体は、複数の
サーバを有する組織内ネットワークの入口に設けられる
コンピュータが読み取り可能な記録媒体であって、上記
課題を解決するために、上記組織内ネットワークに接続
される外部端末が送出するデータを監視して、上記各サ
ーバへのログインコマンドを検出するログインコマンド
検出手段と、上記外部端末からサーバへのログインコマ
ンドを検出した場合、当該外部端末を認証し、認証に失
敗した外部端末からのログインを、上記組織内ネットワ
ークの入口で拒否する認証手段とを、上記コンピュータ
に実現させるためのプログラムを記録したことを特徴と
している。
【0029】上記構成のプログラムが実行されると、請
求項1の発明に係る認証装置と同様に、外部端末は、組
織内ネットワークの入口にて、サーバへログインコマン
ドを送出する度に認証される。それゆえ、外部端末は、
サーバ毎に認証されると共に、認証に成功するまで、組
織内ネットワークへ侵入できない。この結果、組織内ネ
ットワークの安全性を向上できる。
【0030】
【発明の実施の形態】〔第1の実施形態〕本発明の一実
施形態について図1ないし図4に基づいて説明すると以
下の通りである。すなわち、図1に示すように、本実施
形態に係るネットワークシステム1は、複数のサーバ2
1を有する組織内ネットワーク2と、公衆電話回線網3
1などを含む組織外ネットワーク3と、組織内ネットワ
ーク2の入口、すなわち、両ネットワーク2・3の接続
点に設けられた認証装置4とを備えており、当該認証装
置4は、組織外ネットワーク3に接続された外部端末5
が、サーバ21へのログインコマンドを発行して接続を
要求される毎に、当該外部端末5を認証する。これによ
り、各サーバ21毎に、不正なアクセスを検出でき、組
織内ネットワーク2の入口にて、当該不正アクセスを排
除できる。
【0031】具体的には、上記組織内ネットワーク2
は、例えば、社内ネットワークなどであって、多くの場
合、複数の上記サーバ21以外にも、内部端末22など
を備えている。これらのサーバ21や内部端末22は、
例えば、イーサネット(商標:ゼロックス社)などによ
って、互いに接続されており、ローカル・エリア・ネッ
トワーク(LAN)を構成している。
【0032】上記各サーバ21は、例えば、telne
t( Terminal Emulation )や、ftp( File Transf
er Protocol )、あるいは、rloginなど、予め定
められたアプリケーションを実行可能で、上記内部端末
22や、上記組織外ネットワーク3の外部端末5から要
求を受けた場合、例えば、プログラムの実行や、ファイ
ル転送など、当該要求に応じた処理を行うことができ
る。
【0033】これらの組織内ネットワーク2では、サー
バ21や内部端末22の設置場所が、例えば、会社内な
どに限定されており、サーバ21や内部端末22を利用
可能な人物も限られている。したがって、不特定多数の
利用が可能な組織外ネットワーク3と比較した場合、サ
ーバ21および内部端末22など、組織内ネットワーク
2を構成する機器間の通信は、第三者に盗聴や改竄され
る虞れが極めて少なく、余り厳密に通信相手を認証しな
くても、十分安全に通信相手を特定できる。
【0034】ここで、本実施形態に係る認証装置4は、
組織外ネットワーク3の外部端末5が、通信相手の特定
が困難な公衆電話回線網31を介して、組織内ネットワ
ーク2のサーバ21へアクセスを試みた場合に、当該外
部端末5を認証する装置であって、モデム4aを介し
て、公衆電話回線網31からの呼出しを受け取り、公衆
電話回線網31に接続された外部端末5と双方向に通信
できる。また、認証装置4は、コミュニケーションサー
バ23を介して、組織内ネットワーク2のサーバ21と
双方向に通信できる。
【0035】具体的には、上記認証装置4は、上記モデ
ム4aおよびコミュニケーションサーバ23との通信を
制御する通信制御部41と、モデム4aから受け取った
データを監視して、各サーバ21へのログインコマンド
を検出するコマンド監視部42と、ログインコマンドの
検出時に、モデム4aを介して接続された外部端末5へ
乱数を送出すると共に、送り返されたワンタイムパスワ
ードに基づいて、当該外部端末5を認証する認証部43
とを備えている。なお、これらの各部材41〜43は、
例えば、CPUなどが所定のプログラムを実行すること
によって実現される機能ブロックであるが、具体的な処
理内容は、認証動作と併せて後述する。また、上記コマ
ンド監視部42が特許請求の範囲に記載のログインコマ
ンド検出手段に相当し、認証部43は、乱数生成部、パ
スワード生成部、および比較部に対応する。なお、当然
ながら、同様の動作が可能であれば、当該動作を記述し
たプログラムをコンピュータに実行させることによっ
て、本実施形態と同様の効果が得られる。
【0036】さらに、認証装置4は、後述する上記各部
41〜43の処理に必要なデータが格納されたメモリ4
4を備えている。メモリ44には、ログインコマンドの
監視時に使用されるデータとして、各サーバ21へのロ
グインコマンド全てと、認証時に使用されるデータとし
て、リモートアクセスする外部端末5の情報を持ったデ
ータベースとが格納されている。上記データベースは、
具体的には、各外部端末5がリモートログインできるサ
ーバ21の情報であり、例えば、図2に示すように、各
外部端末5を識別するユーザIDと、当該ユーザIDが
利用可能なサーバ21を示すサーバIDと、当該サーバ
へのログインコマンドとの組み合わせが格納されてい
る。さらに、上記データベースには、上記ワンタイムパ
スワードを生成する際に、外部端末5が使用する共有鍵
が、各外部端末5毎に格納されている。本実施形態で
は、上記各ログインコマンドは、例えば、”open”
など、ログイン時に外部端末5が送出する文字列として
格納されている。
【0037】一方、組織外ネットワーク3の外部端末5
は、モデム5aを介して、公衆電話回線網31に接続可
能であり、モデム5aとの通信を制御する通信制御部5
1と、上認証装置4との認証時に、受け取った乱数を所
定の共有鍵で暗号化してワンタイムパスワードを生成す
るワンタイムパスワード生成部52とを備えている。な
お、上記両部51および52も、上記各部材41〜43
と同様の機能ブロックである。また、以下では、上記ワ
ンタイムパスワードおよびワンタイムパスワード生成部
52を、単に、パスワードおよびパスワード生成部52
と略称する。
【0038】さらに、外部端末5は、上記両部51・5
2の処理に必要なデータが格納されたメモリ53を備え
ている。当該データとしては、例えば、当該外部端末5
に割り当てられたユーザIDおよび共有鍵などの認証に
必要なデータと、例えば、認証装置4の電話番号や、各
サーバ21のサーバ名(ドメイン名やIPアドレスな
ど)、および、各サーバ21へのログインコマンドなど
のサーバ21との通信に必要なデータとなどが挙げられ
る。
【0039】上記構成のネットワークシステム1におい
て、外部端末5が各サーバ21に接続する際の動作につ
いて、図2および図3に基づき説明すると、以下の通り
である。なお、以下では、サーバ21の一例として、サ
ーバ21aおよび21bがtelnetサーバである場
合について説明する。
【0040】すなわち、外部端末5がサーバ21aへの
アクセスを試みる場合、図3に示すt1の時点におい
て、外部端末5は、サーバ21aへ向けて、ログインコ
マンドを送出する。具体的には、外部端末5の通信制御
部51は、モデム5aへ指示して、認証装置4の電話番
号をダイヤルし、認証装置4は、モデム4aを介して、
ダイヤル呼出しを受け取る。これにより、外部端末5と
認証装置4とは、公衆電話回線網31を介して通信可能
になる。さらに、外部端末5は、例えば、TCP( Tra
nsmission Control Protocol)/IP( Internet Proto
col )プロトコルなど、組織内ネットワーク2と通信す
る際に決められた形式へ、サーバ21aへのログインコ
マンドを変換して、認証装置4へ送出する。実際には、
ログインコマンドは、例えば、サーバ21aのドメイン
名を”abc”とすると、”open abc”などの
ような文字列で表される。当該文字列を示すデータ本体
には、所定の形式のTCPヘッダが付加された後、所定
の長さ毎に分割され、それぞれにIPヘッダを付加する
ことによって、IPパケットが生成される。
【0041】ここで、認証装置4において、通信制御部
41がモデム4aからデータを受け取ると、コマンド監
視部42は、当該データがログインコマンドであるか否
かを判定する。この判定は、例えば、上記各IPパケッ
トからデータ本体を復元し、データ本体の行頭に、メモ
リ44に格納されたログインコマンド(この場合は、”
open”)が存在するか否かなどによって判定され
る。さらに、コマンド監視部42は、このログインコマ
ンドの後に続く文字列から、サーバ21を示すIPアド
レス(ドメイン名や数字)を抽出したり、上記IPパケ
ットの送信先アドレスを識別するなどして、ログインコ
マンドが送られたサーバ21のサーバIDを特定する。
また、コマンド監視部42は、例えば、上記ログインコ
マンドの後に続いて送られる文字列のうち、外部端末5
を示すIPアドレス(ドメイン名や数字)を抽出した
り、上記IPパケットの送信元アドレスを識別するなど
して、ログインコマンドを送出した外部端末5のユーザ
IDを特定する。
【0042】これにより、t1の時点において、コマン
ド監視部42は、外部端末5からサーバ21aへのログ
インコマンドを検出する。なお、この時点では、外部端
末5とサーバ21aとは、接続されておらず、外部端末
5から送られたデータは、組織内ネットワーク2へ送出
されることなく、認証装置4内に止められている。
【0043】コマンド監視部42がログインコマンドを
検出すると、t2の時点において、認証部43は、図4
に示すフローチャートに従って、当該外部端末5を認証
する。すなわち、ステップ1(以下では、S1のように
略称する)にて、認証部43は、上記コマンド監視部4
2が特定した外部端末5のユーザIDと、サーバ21a
のサーバIDと、ログインコマンドとに基づいて、サー
バ21aへのアクセスが、当該外部端末5に許可されて
いるか否かを検査する。本実施形態では、メモリ44の
データベースに、ユーザID、サーバIDおよびログイ
ンコマンドの組み合わせが格納されている場合(S1に
て、 YESの場合)のみ、認証部43は、アクセスが許可
されていると判定し、S2以降の処理を行う。
【0044】この場合、S2にて、認証部43は、認証
毎に異なる値の乱数を生成し、S3にて、外部端末5へ
送出する。一方、外部端末5において、パスワード生成
部52は、受け取った乱数を、メモリ53に格納された
共有鍵で暗号化してパスワードを生成し(S4)、認証
装置4へ送り返す(S5)。また、認証装置4の認証部
43は、S6において、メモリ44から、外部端末5に
対応する共有鍵を読み出し、当該共有鍵を用いて、上記
S2にて生成した乱数を暗号化する。さらに、認証部4
3は、S7において、自らが生成したパスワードと、外
部端末5から送り返されてきたパスワードとを比較す
る。
【0045】両者が一致した場合、S8において、認証
部43は、外部端末5の認証に成功したと判断する。こ
の場合、認証部43は、外部端末5とサーバ21aとの
接続を許可し、通信制御部41は、外部端末5とサーバ
21aとの間の通信を中継する。これにより、図3に示
すように、認証装置4による認証に成功した外部端末5
のみが、認証装置4を介し、サーバ21aへ接続される
(t3およびt4の時点)。
【0046】ここで、サーバ21aへのアクセス中やア
クセス直後など、外部端末5と認証装置4との回線が接
続されている状態で、外部端末5が他のサーバ21bへ
アクセスする場合、外部端末5は、t5の時点におい
て、上記t1の時点と同様に、当該サーバ21bへ向け
てログインコマンドを送出する。ただし、外部端末5と
サーバ21bとの間には、認証装置4が設けられてお
り、認証装置4のコマンド監視部42は、外部端末5か
ら組織内ネットワーク2へ送られるデータ全てを監視し
て、ログインコマンドを検出している。
【0047】したがって、上記t2の時点と同様に、図
4に示す処理が行われ、認証装置4は、ログインコマン
ドがサーバ21bへ到着する前に、外部端末5を再び認
証する(t6の時点)。これにより、認証装置4によっ
て、サーバ21bへのアクセスが許可された外部端末5
のみが、認証装置4を介して、サーバ21bに接続され
る(t7およびt8の時点)。
【0048】なお、認証装置4は、使い捨てのワンタイ
ムパスワードを用いて、外部端末5を認証しているの
で、t2の時点の認証時と、t6の時点の認証時とで
は、互いに異なるパスワードが使用される。したがっ
て、共有鍵と暗号化の方法とが秘匿されている限り、不
正ユーザが、あるサーバ21への認証に成功したとして
も、他のサーバ21への認証に失敗する。なお、不正ユ
ーザは、同じサーバ21へ、前回使用したパスワードで
アクセスしようとしても認証に失敗する。
【0049】外部端末5が認証に失敗した場合(図4に
示すS1あるいはS7で No の場合)、認証部43は、
外部端末5とサーバ21aとの接続との接続を拒否し、
通信制御部41は、認証装置4と外部端末5との間の回
線接続を切断する。この場合は、外部端末5から送出さ
れたデータは、組織内ネットワーク2へ転送されない。
【0050】このように、認証装置4は、外部端末5か
ら送られるデータを監視して、ログインコマンドを検出
することによって、サーバ21毎に、外部端末5を認証
できる。したがって、組織内ネットワーク2へのアクセ
スに関する認証のみを行う従来技術とは異なり、不正ユ
ーザが、認証に偶然成功したとしても、不正アクセス
は、単一のサーバ21に限定されるので、組織内ネット
ワーク2の安全性を向上できる。
【0051】ところで、サーバ21毎に認証する方法と
しては、上記従来技術に加えて、各サーバ21が独自に
認証する方法も考えられる。ところが、この比較例で
は、必要とする認証の程度に拘わらず、組織内ネットワ
ーク2に関する認証と、サーバ21に関する認証とで、
2回の認証が必要になり、認証時の手間が増大する。さ
らに、不正ユーザが、1回目の認証に偶然成功した場
合、組織内ネットワーク2内の各サーバ21へ、自由に
アクセスを試みることができる。この結果、組織内ネッ
トワーク2内の全てのサーバ21は、十分に強固に認証
できるように設定する必要がある。
【0052】また、第三者は、各サーバ21への認証に
失敗しても、再度認証を試みることができるので、認証
に成功する可能性がある。さらに、不正アクセスによっ
て、組織内ネットワーク2を流れるデータ量(トラフィ
ック)が不所望に増大し、正規のユーザによるデータ通
信を妨げる虞れがある。
【0053】なお、各サーバ21が、組織内ネットワー
ク2から、認証に失敗した外部端末を追放するために
は、サーバ21は、例えば、認証装置4など、組織内ネ
ットワーク2の入口に設けられた装置へ、当該外部端末
との接続を遮断するように指示する必要がある。したが
って、この指示をやり取りできるように、各サーバ21
と認証装置4との双方を変更する必要があり、多くの手
間がかかる。
【0054】これに対して、本実施形態では、外部端末
5の認証は、各サーバ21毎に少なくとも1回ずつ、組
織内ネットワーク2の入口で行われる。したがって、上
記比較例に比べて、認証回数を削減できると共に、不正
アクセスに起因するトラフィックの増大を防止できる。
また、認証箇所が、認証装置4に限られているので、サ
ーバ21では、特に、認証するため装置やプログラムを
用意する必要がなく、当然ながら、認証の設定も不要で
ある。この結果、組織内ネットワーク2の管理維持が、
容易になると共に、従来と同様のサーバ21を使用でき
る。
【0055】〔第2の実施形態〕ところで、上記第1の
実施形態では、認証装置4と外部端末5との双方に、共
通の共有鍵そのものが格納されている。ここで、共有鍵
は、認証装置4が外部端末5を認証する際の基準となる
情報であり、万一、共有鍵が盗まれると、認証装置4
は、第三者による不正アクセスを阻止できなくなる。し
たがって、共有鍵は、第三者から秘匿する必要があると
共に、組織内ネットワーク2の安全性を向上させるため
には、複数の共有鍵を用意して、単一の共有鍵が認証す
る範囲を制限する方がよい。ここで、共有鍵を複数設け
る場合の単位としては、例えば、外部端末5毎や、外部
端末5とサーバ21との組み合わせ毎などが挙げられ
る。
【0056】ところが、上記各組み合わせ毎に共有鍵を
設定し、外部端末5と認証装置4とに予め格納する場
合、共有鍵の数の増加に伴って、格納に必要な記憶容量
が増大すると共に、各共有鍵を維持管理する際の手間が
増大する。
【0057】これに対して、本実施形態に係るネットワ
ークシステム11では、IDベクトルを利用して、上記
共有鍵そのものに代えて、共有鍵を算出するための秘密
情報を格納する場合について説明する。なお、組織内ネ
ットワーク側の秘密情報は、認証装置に一括して格納し
てもよいが、本実施形態では、これらの秘密情報がサー
バ毎に異なることに注目し、当該秘密情報が各サーバ毎
に格納される場合を例にして説明する。
【0058】すなわち、本実施形態に係るネットワーク
システム11は、図1に示すネットワークシステム1と
略同様であるが、図5に示すように、認証装置4および
外部端末5に代えて、異なる認証動作を行う認証部63
を有する認証装置6と、共有鍵算出部71を有する外部
端末7とが設けられている。さらに、認証装置6と各サ
ーバ21との間には、各サーバ21に対応するパスワー
ド生成器8が新たに設けられている。なお、本実施形態
では、上記認証装置6とパスワード生成器8との双方
が、特許請求の範囲に記載の認証装置に対応し、認証部
63が、乱数生成部および比較部に対応する。また、上
記ネットワークシステム1と同様の機能を有する部材に
は、同じ参照符号を付して説明を省略する。
【0059】上記共有鍵算出部71は、予めメモリ53
に格納された外部端末7固有のユーザ秘密ベクトルX
と、認証時に受け取った各サーバ21固有のサーバID
とに基づいて、パスワード生成部52がパスワードを生
成する際の共有鍵を算出できる。一方、上記パスワード
生成器8は、例えば、図6に示すように、外部端末7と
同様に、認証装置6と通信する通信制御部81と、メモ
リ82に格納されたサーバ21固有のサーバ秘密ベクト
ルYと、認証時に受け取る外部端末7固有のユーザID
とに基づいて、共有鍵を算出する共有鍵算出部83と、
認証時に受け取る乱数を当該共有鍵で暗号化してワンタ
イムパスワードを生成するワンタイムパスワード生成部
84(パスワード生成部84と略称する)とを備えてい
る。なお、上記各部材63、71、81、82〜84
は、上記パスワード生成部52などと同様に機能ブロッ
クである。
【0060】上記構成では、認証に先立って、各外部端
末7毎に算出されたユーザ秘密ベクトルXが、各外部端
末7のメモリ53に格納される。具体的には、各外部端
末7には、固有のユーザIDが割り当てられる。さら
に、ユーザIDからユーザIDベクトルxを生成するた
めに、公開一方向性関数hが決定される。当該公開一方
向性関数hは、第三者がユーザIDの値からユーザID
ベクトルxの値を予想しにくい関数であって、ユーザI
Dのi番目の要素をIDi 、ユーザIDベクトルxのi
番目の要素をxi 、IDi からxi を算出するための関
数をhi とすると、以下の式(1)に示すように、 xi = hi (IDi ) ;(i=1、2、…、m) …(1) と表現される。なお、上式(1)において、mは、ユー
ザIDおよびユーザIDベクトルxの要素数である。
【0061】さらに、各外部端末7毎に、固有のユーザ
秘密乱数行列Rが設定され、上記ユーザIDベクトルx
とユーザ秘密乱数行列Rとから、各外部端末7に固有の
ユーザ秘密ベクトルXが作成される。当該ユーザ秘密ベ
クトルXのj番目の要素Xjは、以下の式(2)に示す
ように、
【0062】
【数1】
【0063】となる。なお、上式(2)において、R
(i,j) は、ユーザ秘密乱数行列Rのi行j列の成分を示
しており、Nは、一様乱数を示している。また、上式
(2)は、予め定められた大きさの素数Pを法として演
算されている(mod P)。さらに、上記ユーザID
と、上式(2)にて算出されたユーザ秘密ベクトルX
は、それぞれに対応する外部端末7のメモリ53へ格納
される。
【0064】同様にして、各サーバ21毎に、サーバI
Dおよび秘密乱数行列Rが割り当てられ、各サーバ21
固有のサーバ秘密ベクトルYが算出される。上述の式
(1)および式(2)と同様に、サーバ秘密ベクトルY
は、以下の式(3)および(4)に基づいて算出され、 yi = hi (IDi ) ;(i=1、2、…、m) …(3)
【0065】
【数2】
【0066】となる。なお、yi は、サーバIDベクト
ルyのi番目の要素であり、Yj は、サーバ秘密ベクト
ルYのj番目の要素である。さらに、サーバIDおよび
サーバ秘密ベクトルYは、それぞれのサーバ21に対応
するパスワード生成器8において、メモリ82に格納さ
れる。
【0067】第1の実施形態と同様に、認証装置6が各
サーバ21へのログインコマンドを検出すると、ログイ
ンコマンド毎に、認証が行われる(図3に示すt2およ
び定6の時点)。ただし、本実施形態に係る認証装置6
は、認証方法が第1の実施形態と異なっており、図7お
よび図8に示す処理が行われる。すなわち、図7に示す
S11において、認証装置6は、図4に示すS1と同様
に、メモリ44のデータベースを参照して、サーバ21
aへのアクセスが外部端末7に許可されているか否かを
判定する。
【0068】許可されている場合、認証装置6は、S1
2において、サーバ21aのサーバIDを外部端末7へ
送出する。また、外部端末7の共有鍵算出部71は、上
述の公開一方向性関数hを用いて、受け取ったサーバI
DからサーバIDベクトルyを算出する(S13)。さ
らに、共有鍵算出部71は、S14において、当該サー
バIDベクトルyと、メモリ53に予め格納されたユー
ザ秘密ベクトルXとの内積をとり、上述の素数Pで割っ
た商を算出する。この商が、外部端末7とサーバ21a
との間の共有鍵となる。
【0069】同様に、認証装置6は、外部端末7のユー
ザIDをパスワード生成器8aへ送出する(S15)。
さらに、パスワード生成器8aの共有鍵算出部71は、
公開一方向性関数hに基づいて、ユーザIDからユーザ
IDベクトルxを算出し(S16)、当該ユーザIDベ
クトルxと、自らのサーバ秘密ベクトルYとの内積を素
数Pで割って商を算出し、共有鍵とする(S17)。
【0070】上記S12〜S17によって、パスワード
生成器8aと外部端末7との間で、同じ値の共有鍵が生
成されると、認証装置6および外部端末7は、図8に示
すS21〜S24において、図4に示すS2〜S5と同
様の処理を行い、外部端末7は、算出された共有鍵を用
いてパスワードを生成し、認証装置6へ送り返す。さら
に、認証装置6は、上記S21にて生成した乱数をパス
ワード生成器8aへも送出し(S25)、パスワード生
成器8aは、算出された共有鍵を用いてパスワードを生
成し(S26)、認証装置6へ送り返す(S27)。
【0071】一方、上記認証装置6は、パスワード生成
器8aと外部端末7とから送出されたパスワードが一致
するか否かを判定し(S28)、一致した場合のみ、当
該外部端末7と、パスワード生成器8aに対応するサー
バ21aとの接続を許可する(S29)。
【0072】ここで、第三者が正規の外部端末7になり
すまして不正にアクセス使用としても、当該第三者は、
ユーザ秘密ベクトルXを知りえないので、パスワード生
成器8aと共通の値を持った共有鍵を生成できない。し
たがって、公開一方向性関数hを知り得たとしても、正
しいパスワードを送り返すことができず、認証装置6で
の認証に失敗する。この結果、本実施形態に係る認証装
置6は、第1の実施形態と同様に、組織内ネットワーク
2の入口において、サーバ21毎に外部端末7を認証で
きる。
【0073】本実施形態では、認証時に、認証装置6と
パスワード生成器8との間で、乱数およびパスワードが
やり取りされている。ただし、これらのデータは、外部
端末7が送出したデータそのものではなく、認証装置6
およびパスワード生成器8にて、データの内容および形
式が決定される。したがって、認証に成功するまでの
間、外部から組織内ネットワーク2へアクセスできず、
組織内ネットワーク2への不正アクセスを防止できる。
【0074】なお、図5では、パスワード生成器8をサ
ーバ21と別々に図示しているが、当然ながら、両者
は、別体でも一体でもよい。別体の場合は、サーバ21
と認証装置6との間に、パスワード生成器8を配するこ
とによって、サーバ21を変更せずに、本実施形態に係
るネットワークシステム11を実現できる。また、サー
バ21へ、パスワード生成器8と同様の動作を行うソフ
トウェアを組み込めば、特に、パスワード生成器8用の
ハードウェアを設ける必要がなく、ネットワークシステ
ム11を簡略化できる。
【0075】また、本実施形態に係るネットワークシス
テム11では、上述の式(1)ないし式(4)を用いた
ID方式によって、外部端末7を認証しているが、これ
に限るものではなく、他のID方式でも認証できる。認
証時に送受されるID(識別情報)と、秘密情報とから
共有鍵を算出する方式であれば、安全性を向上するため
にサーバと外部端末7との組み合わせ毎に異なる共有鍵
を使用する場合であっても、全ての共有鍵を記憶する必
要がないので、認証に必要なデータを記憶するための記
憶容量を削減できる。
【0076】また、第1の実施形態のように、秘密の共
有鍵を用いて認証する場合は、通常、サーバを追加する
度に、全ての外部端末7に共有鍵の配付が必要になる。
ところが、本実施形態のようにID方式を利用すれば、
新しく追加するサーバのサーバIDを認証装置6に登録
するだけで、サーバを追加でき、サーバ追加時の手間を
削減できる。
【0077】加えて、本実施形態では、各秘密情報を作
成する際に乱数が用いられているため、外部端末7やサ
ーバ21(パスワード生成器8)の利用者が結託して
も、他の利用者の秘密情報を推測できず、さらに安全性
を向上できる。
【0078】なお、上記第1および第2の実施形態で
は、外部からのアクセス方法の一例として、公衆電話回
線網31を挙げているが、これに限るものではない。例
えば、インターネット経由やLANなど、他の方法でア
クセスすることもできる。また、複数種類のネットワー
クを経由してアクセスしてもよい。安全性の高い組織内
ネットワーク2が、安全性の低い組織外ネットワーク3
からリモートアクセス可能なように構成されていれば、
アクセス方法に拘わらず、上記各実施形態と同様の効果
が得られる。
【0079】また、上記各実施形態では、各サーバ21
がtelnetサーバである場合を例にして説明した
が、例えば、ftpやrloginなど、他のアプリケ
ーションを行うサーバであってもよい。外部端末5
(7)がサーバ21へ要求を伝える際、例えば、ファイ
ル転送やプログラム実行などの実際の要求を伝える前
に、サーバ21へのログインコマンドを送出するもので
あれば、サーバ21の処理の種類に拘わらず、同様の効
果が得られる。
【0080】さらに、上記各実施形態では、ログインコ
マンドの検出方法として、接続時に、外部端末5(7)
が送出したデータ本体中に、所定の文字列が含まれるか
否かによって検出する場合を例にして説明しているが、
これに限るものではない。例えば、TCPヘッダに含ま
れるポート番号や、TCP接続において、データ本体が
送受されるポートを制御するための制御ポートを監視す
るなどして、ログインコマンドを検出してもよい。外部
端末5(7)から、サーバ21への接続要求(ログイン
コマンド)を検出可能であれば、上記各実施形態と同様
の効果が得られる。
【0081】
【発明の効果】請求項1の発明に係る認証装置は、以上
のように、組織内ネットワークの入口に設けられ、外部
端末が送出したデータを監視して、上記各サーバへのロ
グインコマンドを検出するログインコマンド検出手段
と、ログインコマンドを検出した場合、当該外部端末を
認証し、認証に失敗した外部端末からのログインを、上
記組織内ネットワークの入口で拒否する認証手段とを備
えている構成である。
【0082】上記構成では、外部端末は、サーバへログ
インコマンドを送出する度に、組織内ネットワークの入
口にて認証される。それゆえ、認証装置は、認証回数を
増加させることなく、サーバ毎に外部端末を認証可能
で、認証に失敗した外部端末による組織内ネットワーク
への侵入を阻止できる。この結果、組織内ネットワーク
の安全性を向上できるという効果を奏する。
【0083】請求項2の発明に係る認証装置は、以上の
ように、請求項1記載の発明の構成において、上記認証
手段は、毎回異なる乱数に基づいて自らが生成した第1
のワンタイムパスワードと、当該乱数に基づいて、外部
端末が生成した第2のワンタイムパスワードとを比較す
る比較部を備えている構成である。
【0084】上記構成によれば、外部端末は、毎回異な
るワンタイムパスワードで認証されるので、外部端末が
安全性の低い経路を介してリモートアクセスする場合で
あっても、当該外部端末を確実に認証可能な認証装置を
実現できるという効果を奏する。
【0085】請求項3の発明に係る認証装置は、以上の
ように、請求項2記載の発明の構成において、上記認証
手段は、上記外部端末で共有鍵を算出する際に使用さ
れ、各サーバ固有の第1識別情報を送出すると共に、上
記外部端末を識別する第2識別情報と、自らに予め格納
された上記サーバ固有の第1秘密情報とに基づいて、上
記共有鍵を算出する共有鍵算出手段を備えている構成で
ある。
【0086】上記構成では、外部端末および共有鍵算出
部は、自らに格納した秘密情報と、相手から受け取った
識別情報とに基づいて、両者の組み合わせに応じた共有
鍵を算出する。それゆえ、より安全に外部端末を認証可
能な認証装置を、少ない記憶容量で実現できるという効
果を奏する。
【0087】請求項4の発明に係る記録媒体は、以上の
ように、外部端末が送出するデータを監視して、各サー
バへのログインコマンドを検出するログインコマンド検
出手段と、上記外部端末からサーバへのログインコマン
ドを検出した場合、当該外部端末を認証し、認証に失敗
した外部端末からのログインを、上記組織内ネットワー
クの入口で拒否する認証手段とを、上記コンピュータに
実現させるためのプログラムを記録した構成である。
【0088】上記構成のプログラムが実行されると、請
求項1の発明に係る認証装置と同様に、外部端末は、組
織内ネットワークの入口にて、サーバへログインコマン
ドを送出する度に認証されるので、組織内ネットワーク
の安全性を向上できるという効果を奏する。
【図面の簡単な説明】
【図1】本発明の一実施形態を示すものであり、認証装
置が使用されるネットワークシステムの要部構成を示す
ブロック図である。
【図2】上記認証装置に格納されるデータベースの構成
例を示す説明図である。
【図3】上記ネットワークシステムの動作を説明するタ
イミングチャートである。
【図4】上記ネットワークシステムにおいて、認証時の
動作を詳細に示すフローチャートである。
【図5】本発明の他の実施形態を示すものであり、認証
装置が使用されるネットワークシステムの要部構成を示
すブロック図である。
【図6】上記ネットワークシステムにおいて、サーバ毎
に設けられたパスワード生成器を示すブロック図であ
る。
【図7】上記ネットワークシステムにおいて、認証時に
共有鍵を共有するまでの動作を示すフローチャートであ
る。
【図8】上記ネットワークシステムにおいて、認証時に
共有鍵が共有されてからの動作を示すフローチャートで
ある。
【符号の説明】
2 組織内ネットワーク 4・6 認証装置 5・7 外部端末 21 サーバ 42 コマンド監視部(ログインコマンド検出手段) 43 認証部(認証手段;乱数生成部;パスワード生成
部;比較部) 63 認証部(認証手段;乱数生成部;比較部) 83 共有鍵算出部(共有鍵算出手段) 84 ワンタイムパスワード生成部(パスワード生成
部)
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 FI H04L 12/66 H04L 11/20 B 9/00 673C 673A 601C

Claims (4)

    【特許請求の範囲】
  1. 【請求項1】組織内ネットワークに設けられた複数のサ
    ーバへ外部の端末がアクセスする際に、当該外部端末を
    認証する認証装置において、 上記組織内ネットワークの入口に設けられ、上記外部端
    末が送出したデータを監視して、上記各サーバへのログ
    インコマンドを検出するログインコマンド検出手段と、 上記外部端末からサーバへのログインコマンドを検出し
    た場合、当該外部端末を認証し、認証に失敗した外部端
    末からのログインを、上記組織内ネットワークの入口で
    拒否する認証手段とを備えていることを特徴とする認証
    装置。
  2. 【請求項2】上記認証手段は、ログインコマンドの検出
    毎に異なる乱数を生成して、上記外部端末へ送出する乱
    数生成部と、 上記外部端末と自らとの間で予め共有された共有鍵を用
    いて、上記乱数を暗号化して、第1のワンタイムパスワ
    ードを生成するパスワード生成部と、 上記外部端末にて上記共有鍵で上記乱数を暗号化して生
    成された第2のワンタイムパスワードと、上記第1のワ
    ンタイムパスワードとを比較する比較部とを備えている
    ことを特徴とする請求項1記載の認証装置。
  3. 【請求項3】上記認証手段は、上記外部端末で共有鍵を
    算出する際に使用され、各サーバ固有の第1識別情報を
    送出すると共に、上記外部端末を識別する第2識別情報
    と、自らに予め格納された上記サーバ固有の第1秘密情
    報とに基づいて、上記共有鍵を算出する共有鍵算出手段
    を備えていることを特徴とする請求項2記載の認証装
    置。
  4. 【請求項4】複数のサーバを有する組織内ネットワーク
    の入口に設けられるコンピュータが読み取り可能な記録
    媒体であって、 上記組織内ネットワークに接続される外部端末が送出す
    るデータを監視して、上記各サーバへのログインコマン
    ドを検出するログインコマンド検出手段と、 上記外部端末からサーバへのログインコマンドを検出し
    た場合、当該外部端末を認証し、認証に失敗した外部端
    末からのログインを、上記組織内ネットワークの入口で
    拒否する認証手段とを、上記コンピュータに実現させる
    ためのプログラムを記録した記録媒体。
JP10007043A 1998-01-16 1998-01-16 認証装置、および、そのプログラムを記録した記録媒体 Pending JPH11203248A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP10007043A JPH11203248A (ja) 1998-01-16 1998-01-16 認証装置、および、そのプログラムを記録した記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10007043A JPH11203248A (ja) 1998-01-16 1998-01-16 認証装置、および、そのプログラムを記録した記録媒体

Publications (1)

Publication Number Publication Date
JPH11203248A true JPH11203248A (ja) 1999-07-30

Family

ID=11655033

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10007043A Pending JPH11203248A (ja) 1998-01-16 1998-01-16 認証装置、および、そのプログラムを記録した記録媒体

Country Status (1)

Country Link
JP (1) JPH11203248A (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001320405A (ja) * 2000-05-12 2001-11-16 Sumitomo Heavy Ind Ltd 情報アクセス方法及びネットワークシステム
JP2002056332A (ja) * 2000-08-09 2002-02-20 Dainippon Printing Co Ltd クレジットカードを用いた決済処理方法
JP2002263063A (ja) * 2001-03-12 2002-09-17 Asahi Optical Co Ltd 内視鏡システム
JP2002278930A (ja) * 2001-03-21 2002-09-27 Toyota Motor Corp 認証システム、および認証サーバ
JP2008129639A (ja) * 2006-11-16 2008-06-05 Konica Minolta Business Technologies Inc データ中継装置、データ中継方法、およびコンピュータプログラム
US7440465B2 (en) 2002-01-04 2008-10-21 Samsung Electronics Co., Ltd. Home gateway for executing a function of a security protocol and a method thereof
JP4866863B2 (ja) * 2005-01-11 2012-02-01 エンキャップ エーエス セキュリティコード生成方法及びユーザ装置
KR101118605B1 (ko) 2011-10-18 2012-02-27 이경민 보안이 강화된 로그인 시스템 및 방법
KR101319570B1 (ko) * 2013-06-10 2013-10-17 에스지앤 주식회사 중계장치에 의한 pc와 서버간의 접속 인증 방법, 이를 적용한 중계장치 및 컴퓨터로 읽을 수 있는 기록매체
US9014250B2 (en) 1998-04-03 2015-04-21 Tellabs Operations, Inc. Filter for impulse response shortening with additional spectral constraints for multicarrier transmission

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9014250B2 (en) 1998-04-03 2015-04-21 Tellabs Operations, Inc. Filter for impulse response shortening with additional spectral constraints for multicarrier transmission
JP2001320405A (ja) * 2000-05-12 2001-11-16 Sumitomo Heavy Ind Ltd 情報アクセス方法及びネットワークシステム
JP2002056332A (ja) * 2000-08-09 2002-02-20 Dainippon Printing Co Ltd クレジットカードを用いた決済処理方法
JP2002263063A (ja) * 2001-03-12 2002-09-17 Asahi Optical Co Ltd 内視鏡システム
DE10210714B4 (de) * 2001-03-12 2015-06-18 Hoya Corp. Endoskopsystem
JP2002278930A (ja) * 2001-03-21 2002-09-27 Toyota Motor Corp 認証システム、および認証サーバ
JP4559648B2 (ja) * 2001-03-21 2010-10-13 トヨタ自動車株式会社 認証システム、および認証サーバ
US7440465B2 (en) 2002-01-04 2008-10-21 Samsung Electronics Co., Ltd. Home gateway for executing a function of a security protocol and a method thereof
JP4866863B2 (ja) * 2005-01-11 2012-02-01 エンキャップ エーエス セキュリティコード生成方法及びユーザ装置
JP2008129639A (ja) * 2006-11-16 2008-06-05 Konica Minolta Business Technologies Inc データ中継装置、データ中継方法、およびコンピュータプログラム
KR101118605B1 (ko) 2011-10-18 2012-02-27 이경민 보안이 강화된 로그인 시스템 및 방법
KR101319570B1 (ko) * 2013-06-10 2013-10-17 에스지앤 주식회사 중계장치에 의한 pc와 서버간의 접속 인증 방법, 이를 적용한 중계장치 및 컴퓨터로 읽을 수 있는 기록매체

Similar Documents

Publication Publication Date Title
US6510523B1 (en) Method and system for providing limited access privileges with an untrusted terminal
US8745715B2 (en) Password-based authentication system and method in group network
US8059818B2 (en) Accessing protected data on network storage from multiple devices
EP1498800B1 (en) Security link management in dynamic networks
US6530025B1 (en) Network connection controlling method and system thereof
US8800013B2 (en) Devolved authentication
US20030196084A1 (en) System and method for secure wireless communications using PKI
US20030070069A1 (en) Authentication module for an enterprise access management system
US20100195824A1 (en) Method and Apparatus for Dynamic Generation of Symmetric Encryption Keys and Exchange of Dynamic Symmetric Key Infrastructure
EP2544117A1 (en) Method and system for sharing or storing personal data without loss of privacy
JP2004185623A (ja) ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム
JP2009514072A (ja) コンピュータ資源への安全なアクセスを提供する方法
JP4698751B2 (ja) アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
MXPA06002182A (es) Prevencion del acceso no autorizado de recursos de red de computadora.
CN112910867B (zh) 一种受信任的设备访问应用的双重验证方法
US9954853B2 (en) Network security
US20080244716A1 (en) Telecommunication system, telecommunication method, terminal thereof, and remote access server thereof
US20150328119A1 (en) Method of treating hair
CN101986598A (zh) 认证方法、服务器及***
JPH11203248A (ja) 認証装置、および、そのプログラムを記録した記録媒体
WO2001013201A2 (en) Peer-to-peer network user authentication protocol
KR20060044494A (ko) 인증 서버와 연동되는 네트워크 관리 시스템 및 네트워크관리 서버
KR100819024B1 (ko) 아이디/패스워드를 이용한 사용자 인증 방법
JP2006004020A (ja) ワンタイムパスワード型認証システム及び認証方法
WO2001011817A2 (en) Network user authentication protocol