[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP5603697B2 - User authentication system, authentication apparatus, and program - Google Patents

User authentication system, authentication apparatus, and program Download PDF

Info

Publication number
JP5603697B2
JP5603697B2 JP2010168329A JP2010168329A JP5603697B2 JP 5603697 B2 JP5603697 B2 JP 5603697B2 JP 2010168329 A JP2010168329 A JP 2010168329A JP 2010168329 A JP2010168329 A JP 2010168329A JP 5603697 B2 JP5603697 B2 JP 5603697B2
Authority
JP
Japan
Prior art keywords
user
code string
authentication
address information
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010168329A
Other languages
Japanese (ja)
Other versions
JP2012027844A (en
Inventor
健司 安
尚弘 福田
智樹 高添
輝 橋口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2010168329A priority Critical patent/JP5603697B2/en
Priority to PCT/JP2011/067076 priority patent/WO2012014928A1/en
Publication of JP2012027844A publication Critical patent/JP2012027844A/en
Application granted granted Critical
Publication of JP5603697B2 publication Critical patent/JP5603697B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/313User authentication using a call-back technique via a telephone network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/604Address structures or formats
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ユーザが正当なものであるかを認証するユーザ認証システム、認証装置及びプログラムに関する。   The present invention relates to a user authentication system, an authentication apparatus, and a program for authenticating whether a user is valid.

従来、IPv6ネットワークにおいてサーバ装置とクライアント端末間で通信を行う場合、クライアント端末の固有情報を用いて生成されるIPv6アドレスを使用していた。このクライアント端末の固有情報としては、製造元、機器種別等を含むMACアドレスが用いられる。したがって、クライアント端末の通信が傍受されることによって、当該クライアント端末がどのような機器であるのか、当該クライアント端末の所持者が誰であるのかを特定される恐れがあった。   Conventionally, when communication is performed between a server device and a client terminal in an IPv6 network, an IPv6 address generated using unique information of the client terminal has been used. As the unique information of the client terminal, a MAC address including a manufacturer, a device type, and the like is used. Therefore, by intercepting the communication of the client terminal, there is a fear that it is possible to specify what device the client terminal is and who the owner of the client terminal is.

この対策としては、下記の非特許文献1に記載されているようなプロトコルが提案されている。このプロトコルによれば、クライアント端末の固有情報に代えて、乱数を用いてIPv6アドレスを生成することを提案している。   As a countermeasure, a protocol as described in the following Non-Patent Document 1 has been proposed. According to this protocol, it is proposed to generate an IPv6 address using a random number instead of the unique information of the client terminal.

http://tools.ietf.org/html/rfc4941http://tools.ietf.org/html/rfc4941

しかしながら、上述した非特許文献1におけるプロトコルでは、IPv6アドレスからクライアント端末の種別や所有者を特定することを困難にしているものであり、クライアント端末とサーバ装置との間の認証処理にて交換されるメッセージについては考慮されていなかった。   However, the above-described protocol in Non-Patent Document 1 makes it difficult to specify the type and owner of the client terminal from the IPv6 address, and is exchanged in the authentication process between the client terminal and the server device. Messages were not considered.

そこで、本発明は、上述した実情に鑑みて提案されたものであり、安全なIPv6アドレスの設定とユーザ認証処理とを両立できるユーザ認証システム、認証装置及びプログラムを提供することを目的とする。   Therefore, the present invention has been proposed in view of the above-described circumstances, and an object of the present invention is to provide a user authentication system, an authentication device, and a program that can achieve both secure IPv6 address setting and user authentication processing.

上記の課題を解決する第1の発明に係るユーザ認証システムは、被認証対象となるユーザIDを送信する被認証装置と接続され、当該ユーザIDが送信されたときにユーザIDに対して認証装置によってユーザ認証を行うユーザ認証システムであって、前記認証装置の認証対象となるユーザIDを用いて第1符号列を生成する第1符号列生成手段と、所定の上位符号列と前記第1符号列生成手段により生成された第1符号列を含む下位符号列とからなるアドレス情報を生成するアドレス情報生成手段と、前記アドレス情報生成手段により生成されたアドレス情報を含む認証要求を前記認証装置に送信する通信手段とを備え、前記認証装置は、前記認証要求が送信された時に、予め設定されたユーザIDリストに含まれている何れかのユーザIDを用いて生成した第2符号列が、前記認証要求のアドレス情報の下位符号列に含まれる第1符号列と一致する場合に、当該認証要求に含まれているアドレス情報を用いた通信を許可することを特徴とするものである。   A user authentication system according to a first invention for solving the above problem is connected to an authentication target apparatus that transmits a user ID to be authenticated, and an authentication apparatus for the user ID when the user ID is transmitted A user authentication system that performs user authentication by a first code string generation unit that generates a first code string using a user ID to be authenticated by the authentication device, a predetermined higher-order code string, and the first code Address information generating means for generating address information including a lower code string including the first code string generated by the string generating means, and an authentication request including address information generated by the address information generating means to the authentication device A communication means for transmitting, and when the authentication request is transmitted, the authentication device includes any user I included in a preset user ID list. When the second code string generated using the ID matches the first code string included in the lower code string of the address information of the authentication request, communication using the address information included in the authentication request is permitted. It is characterized by doing.

第1の発明に係るユーザ認証システムであって、第2の発明は、前記認証装置は、前記ユーザIDを要求し、前記第1符号列生成手段及び前記アドレス情報生成手段は、当該ユーザIDの要求に応じて、前記第1符号列を含むアドレス情報を生成し、前記通信手段によって、当該アドレス情報を含む認証要求を前記認証装置に送信することを特徴とする。   In the user authentication system according to the first invention, the second invention is such that the authentication device requests the user ID, and the first code string generation means and the address information generation means In response to the request, address information including the first code string is generated, and an authentication request including the address information is transmitted to the authentication device by the communication unit.

第1又は第2の発明に係るユーザ認証システムであって、第3の発明は、前記ユーザIDリストに、当該ユーザIDリストに登録されているユーザIDに対応付けて前記上位符号列を含め、前記認証装置は、前記認証要求が送信された時に、当該認証要求に含まれているアドレス情報の上位符号列が、前記ユーザIDリストに登録されている上位符号列と一致しており、且つ、当該上位符号列に対応付けられて登録されたユーザIDを用いて生成した第2符号列が、前記認証要求のアドレス情報の下位符号列に含まれる第1符号列と一致する場合に、当該認証要求に含まれているアドレス情報を用いた通信を許可することを特徴とする。   In the user authentication system according to the first or second invention, the third invention includes, in the user ID list, the upper code string in association with the user ID registered in the user ID list, The authentication device, when the authentication request is transmitted, the upper code string of the address information included in the authentication request matches the upper code string registered in the user ID list, and If the second code string generated using the user ID registered in association with the upper code string matches the first code string included in the lower code string of the address information of the authentication request, the authentication It is characterized by permitting communication using the address information included in the request.

第1の発明に係るユーザ認証システムであって、第4の発明は、前記第1符号列生成手段及び前記アドレス情報生成手段はDHCPサーバで構成され、前記DHCPサーバは、第1アドレス要求に応じて前記所定の上位符号列を生成し、前記DHCPサーバは、前記ユーザIDを用いた第2アドレス要求に応じて、ユーザIDを用いて第1符号列を生成し、当該第1符号列を含む下位符号列と、前記第1アドレス要求に応じて生成した所定の上位符号列とを含むアドレス情報を生成することを特徴とする。   In the user authentication system according to the first invention, the fourth invention is such that the first code string generation means and the address information generation means are configured by a DHCP server, and the DHCP server responds to the first address request. The predetermined high-order code sequence is generated, and the DHCP server generates a first code sequence using the user ID in response to a second address request using the user ID, and includes the first code sequence Address information including a lower code string and a predetermined higher code string generated in response to the first address request is generated.

第4の発明に係るユーザ認証システムであって、第5の発明は、前記DHCPサーバは、端末から当該端末の固有情報を含む第1アドレス要求に応じて、前記上位符号列及び前記下位符号列を含むアドレス情報を生成した場合には、当該アドレス情報の下位符号列に第1識別情報を格納し、前記ユーザIDを用いた第2アドレス要求に応じて第1符号列を下位符号列に含むアドレス情報を生成した場合には、当該アドレス情報の下位符号列に第2識別情報を格納することを特徴とする。   The user authentication system according to a fourth aspect of the present invention is the user authentication system according to the fifth aspect, wherein the DHCP server responds to the first address request including the unique information of the terminal from the terminal in response to the first code request and the lower code string Is generated, the first identification information is stored in the lower code string of the address information, and the first code string is included in the lower code string in response to the second address request using the user ID. When the address information is generated, the second identification information is stored in the lower code string of the address information.

第1の発明に係るユーザ認証システムであって、第6の発明は、前記第1符号列生成手段及び前記アドレス情報生成手段はルータで構成され、前記ルータは、前記ユーザIDを用いたアドレス要求に応じて、ユーザIDを用いて第1符号列を生成し、当該第1符号列を含む下位符号列を生成することを特徴とする。   The user authentication system according to the first invention is the user authentication system, wherein the first code string generation means and the address information generation means are constituted by a router, and the router uses the user ID to make an address request. Accordingly, a first code string is generated using a user ID, and a lower code string including the first code string is generated.

上記の課題を解決する第7の発明に係る認証装置は、被認証対象となるユーザIDを送信する被認証装置と接続され、当該ユーザIDが送信されたときにユーザIDに対してユーザ認証を行う認証装置であって、認証対象となるユーザIDを用いて生成された第1符号列と、所定の上位符号列とを含む下位符号列とからなるアドレス情報を含む認証要求を、前記被認証装置から受信する受信手段と、前記認証要求が送信された時に、予め設定されたユーザIDリストに含まれている何れかのユーザIDを用いて生成した第2符号列が、前記認証要求のアドレス情報の下位符号列に含まれる第1符号列と一致する場合に、当該認証要求に含まれているアドレス情報を用いた通信を許可する認証手段とを備えることを特徴とする。   An authentication apparatus according to a seventh invention for solving the above problem is connected to an authentication target apparatus that transmits a user ID to be authenticated, and performs user authentication for the user ID when the user ID is transmitted. An authentication apparatus that performs authentication request including address information including a first code string generated using a user ID to be authenticated and a lower code string including a predetermined higher code string. The receiving means for receiving from the device, and the second code string generated using any user ID included in the user ID list set in advance when the authentication request is transmitted are the addresses of the authentication request And an authentication unit that permits communication using the address information included in the authentication request when the first code string is included in the lower code string of the information.

上記の課題を解決する第7の発明に係る認証装置のプログラムは、被認証対象となるユーザIDを送信する被認証装置と接続され、当該ユーザIDが送信されたときにユーザIDに対してユーザ認証を行う認証装置によって実行されるプログラムであって、認証対象となるユーザIDを用いて生成された第1符号列と、所定の上位符号列とを含む下位符号列とからなるアドレス情報を含む認証要求を、前記被認証装置から受信する受信手段と、前記認証要求が送信された時に、予め設定されたユーザIDリストに含まれている何れかのユーザIDを用いて生成した第2符号列が、前記認証要求のアドレス情報の下位符号列に含まれる第1符号列と一致する場合に、当該認証要求に含まれているアドレス情報を用いた通信を許可する認証手段として機能させることを特徴とする。   An authentication apparatus program according to a seventh aspect of the present invention for solving the above problem is connected to an authentication target apparatus that transmits a user ID to be authenticated, and a user corresponding to the user ID when the user ID is transmitted. A program executed by an authentication apparatus that performs authentication, and includes address information including a first code string generated using a user ID to be authenticated and a lower code string including a predetermined higher code string Receiving means for receiving an authentication request from the device to be authenticated, and a second code string generated using any user ID included in a user ID list set in advance when the authentication request is transmitted Authentication means for permitting communication using the address information included in the authentication request when the first code string included in the lower code string of the address information of the authentication request matches Characterized in that to function Te.

本発明によれば、ユーザIDを用いてアドレス情報を生成して認証装置に送信し、認証装置によって、当該アドレス情報を用いて認証を行うので、安全なアドレスの設定とユーザ認証処理とを両立できる。   According to the present invention, address information is generated using a user ID, transmitted to an authentication device, and authentication is performed using the address information by the authentication device. Thus, both safe address setting and user authentication processing are compatible. it can.

本発明の一実施形態として示すユーザ認証システムの構成を示すシステム図である。It is a system diagram showing a configuration of a user authentication system shown as an embodiment of the present invention. 本発明の一実施形態として示すユーザ認証システムの動作を示すシステム図である。It is a system diagram which shows operation | movement of the user authentication system shown as one Embodiment of this invention. 本発明の一実施形態として示すユーザ認証システムの動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the user authentication system shown as one Embodiment of this invention. 本発明の一実施形態として示すユーザ認証システムにおける端末の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the terminal in the user authentication system shown as one Embodiment of this invention. 本発明の一実施形態として示すユーザ認証システムにおける認証サーバの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the authentication server in the user authentication system shown as one Embodiment of this invention. 本発明の一実施形態として示すユーザ認証システムにおけるユーザIDリストを示す図である。It is a figure which shows the user ID list in the user authentication system shown as one Embodiment of this invention. 本発明の一実施形態として示すユーザ認証システムにおける認証サーバの他の動作を示すフローチャートである。It is a flowchart which shows the other operation | movement of the authentication server in the user authentication system shown as one Embodiment of this invention. 本発明の一実施形態として示すユーザ認証システムの他の構成を示すシステム図である。It is a system diagram which shows the other structure of the user authentication system shown as one Embodiment of this invention. 本発明の一実施形態として示すユーザ認証システムの他の動作を示すシーケンス図である。It is a sequence diagram which shows other operation | movement of the user authentication system shown as one Embodiment of this invention. 本発明の一実施形態として示すユーザ認証システムにおけるDHCPサーバの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the DHCP server in the user authentication system shown as one Embodiment of this invention. 本発明の一実施形態として示すユーザ認証システムの他の構成を示すシステム図である。It is a system diagram which shows the other structure of the user authentication system shown as one Embodiment of this invention.

以下、本発明の実施の形態について図面を参照して説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

[第1実施形態]
本発明の実施形態としてのユーザ認証システムは、例えば図1に示すように構成される。このユーザ認証システムは、端末1及び認証サーバ2を含む。このユーザ認証システムは、認証装置としての認証サーバ2によって、端末1に対してユーザ認証を行うものである。 [First Embodiment]
The user authentication system as an embodiment of the present invention is configured as shown in FIG. 1, for example. This user authentication system includes a terminal 1 and an authentication server 2. This user authentication system performs user authentication for the terminal 1 by an authentication server 2 as an authentication device.

端末1は、予めユーザIDが設定されている。このユーザIDは、端末1の使用時にユーザが入力した値であっても良く、予めユーザの操作によって端末1に設定されているものであっても良い。端末1は、例えば「m123」なる文字列が用いられる。   The terminal 1 has a user ID set in advance. The user ID may be a value input by the user when the terminal 1 is used, or may be set in the terminal 1 in advance by a user operation. For example, a character string “m123” is used for the terminal 1.

端末1には、ローカルネットワークを介して広域ネットワークに接続されたサーバや端末との間で通信を行うために、IPv6アドレスが付与される。この端末1のIPv6アドレスは、上位符号列としてのサブネットプレフィックスと、下位符号列としての認証IDとを含む。上位符号列としてのサブネットプレフィックス及び下位符号列としての認証IDは、それぞれ64ビットからなる。サブネットプレフィックスは、ローカルネットワークに共通して設定される。認証IDは、端末1が認証サーバ2に対してユーザ認証を行うために設定される。なお、この認証IDの設定方法については、後述する。   The terminal 1 is given an IPv6 address in order to communicate with a server or a terminal connected to the wide area network via the local network. The IPv6 address of the terminal 1 includes a subnet prefix as an upper code string and an authentication ID as a lower code string. Each of the subnet prefix as the upper code string and the authentication ID as the lower code string is composed of 64 bits. The subnet prefix is set in common with the local network. The authentication ID is set for the terminal 1 to perform user authentication with respect to the authentication server 2. A method for setting the authentication ID will be described later.

認証サーバ2は、端末1に対してユーザ認証処理を行う。認証サーバ2は、例えば端末1が利用したいサービス(例えばHTTPによるWeb閲覧サービス)を提供するものであっても良く、ユーザ認証処理用のサーバであっても良い。この認証サーバ2は、端末1に対してユーザ認証を行うために、ユーザIDリストを記憶している。このユーザIDリストは、例えば、ID1、ID2、・・・、IDnという複数のユーザIDを登録して構成されている。   The authentication server 2 performs user authentication processing for the terminal 1. For example, the authentication server 2 may provide a service that the terminal 1 wants to use (for example, a web browsing service using HTTP), or may be a server for user authentication processing. The authentication server 2 stores a user ID list in order to perform user authentication for the terminal 1. This user ID list is configured by registering a plurality of user IDs such as ID1, ID2,..., IDn, for example.

このようなユーザ認証システムは、端末1のユーザ認証を行うとき、図2及び図3に示すように、先ず、手順(1)にて、端末1がIPv6アドレスを生成する。このとき、端末1は、図3に示すように、下位符号列としての認証IDとして、BA及びSAを生成する。次に、手順(2)にて、端末1は、当該IPv6アドレス{SP|(BA|SA)}を含む認証要求を端末1に送信する。次に、手順(3)にて、認証サーバ2が端末1から送信された認証要求を受信すると、認証サーバ2が、当該IPv6アドレスを用いてIPアドレス認証を行って、端末1の通信の可否を判断し、認証に成功した場合には端末1の通信を許可する。   In such a user authentication system, when user authentication of the terminal 1 is performed, as shown in FIGS. 2 and 3, first, the terminal 1 generates an IPv6 address in the procedure (1). At this time, as shown in FIG. 3, the terminal 1 generates BA and SA as the authentication ID as the lower code string. Next, in the procedure (2), the terminal 1 transmits an authentication request including the IPv6 address {SP | (BA | SA)} to the terminal 1. Next, when the authentication server 2 receives the authentication request transmitted from the terminal 1 in the procedure (3), the authentication server 2 performs IP address authentication using the IPv6 address and determines whether the terminal 1 can communicate. If the authentication is successful, the communication of the terminal 1 is permitted.

一方、認証サーバ2は、ローカルネットワークに攻撃端末100が接続され、当該攻撃端末100からIPv6アドレスを含む認証要求が送信された場合、当該攻撃端末100の通信を拒否する。喩え攻撃端末100が端末1と同様に、下位符号列としての認証IDを含むIPv6アドレスを生成しても、攻撃端末100のユーザIDがxx12であり、認証サーバ2が保持しているユーザIDリストに含まれていないからである。   On the other hand, when the attack terminal 100 is connected to the local network and the authentication request including the IPv6 address is transmitted from the attack terminal 100, the authentication server 2 rejects the communication of the attack terminal 100. Even if the metaphoric attack terminal 100 generates an IPv6 address including an authentication ID as a lower code string in the same manner as the terminal 1, the user ID of the attack terminal 100 is xx12 and the user ID list held by the authentication server 2 It is because it is not included.

上述したユーザ認証システムにおける端末1によるIPv6アドレスの生成及び認証要求の送信処理を、図4のフローチャートを参照して説明する。   The IPv6 address generation and authentication request transmission processing by the terminal 1 in the user authentication system described above will be described with reference to the flowchart of FIG.

先ずステップS1にて、端末1は、認証サーバ2によるユーザ認証を開始するか否かを判定し、認証開始するときにはステップS2に処理を進める。   First, in step S1, the terminal 1 determines whether or not to start user authentication by the authentication server 2, and proceeds to step S2 when starting authentication.

ステップS2にて、端末1は、予め記憶しているユーザID「m123」を読み出し、当該ユーザIDをハッシュ関数によってハッシュ値を得る。   In step S2, the terminal 1 reads a user ID “m123” stored in advance, and obtains a hash value of the user ID using a hash function.

次のステップS3において、端末1は、ユーザIDから得たハッシュ値を用いて、IPv6アドレスにおける下位符号列としての認証ID(第1符号列)を生成する(第1符号列生成手段)。このとき、端末1は、下位符号列としての認証IDのうちの前半符号列BAを下記の式1により演算し、後半符号列SAを下記の式2により演算する。   In the next step S3, the terminal 1 uses the hash value obtained from the user ID to generate an authentication ID (first code string) as a lower code string in the IPv6 address (first code string generation means). At this time, the terminal 1 calculates the first half code string BA of the authentication ID as the lower code string by the following expression 1, and calculates the second half code string SA by the following expression 2.

前半符号列B=gid+gmodN (式1)
後半符号列S=gramodN (式2)
上記式1,2において、idはユーザID、gは原始元、aは秘密鍵、rは乱数、Nは基数(=232)である。原始元g、秘密鍵a及び基数Nは、予め設定された値であり、端末1と認証サーバ2との間で共有されている。また、乱数rは、端末1の乱数発生器によって発生した値を使用している。 First half code string B A = g id + gr m mod N (Formula 1)
Second half code string S A = g ra mod N (Formula 2)
In the above formulas 1 and 2, id is a user ID, g is a primitive element, a is a secret key, r is a random number, and N is a radix (= 2 32 ). The primitive element g, the secret key a, and the radix N are preset values and are shared between the terminal 1 and the authentication server 2. The random number r uses a value generated by a random number generator of the terminal 1.

次のステップS4において、端末1は、予め設定されたサブネットプレフィックス(SP)に、ステップS3にて生成した認証ID(BA、SA)を付加する。このサブネットプレフィックスは、予め端末1が接続されているローカルネットワークに設定された値であり、例えば「2001::200:2/64」なる値を使用する。このように、端末1は、所定の上位符号列であるサブネットプレフィックスと、ステップS3にて生成された認証IDである第1符号列を含む下位符号列とからなるアドレス情報としてのIPv6アドレスを生成する(アドレス情報生成手段)。   In the next step S4, the terminal 1 adds the authentication ID (BA, SA) generated in step S3 to a preset subnet prefix (SP). This subnet prefix is a value set in advance in the local network to which the terminal 1 is connected. For example, a value “2001 :: 200: 2/64” is used. As described above, the terminal 1 generates an IPv6 address as address information including the subnet prefix that is a predetermined upper code string and the lower code string that includes the first code string that is the authentication ID generated in step S3. (Address information generating means).

次のステップS5において、端末1は、ステップS4にて生成したIPv6アドレスを含む認証要求を、認証サーバ2に送信する(通信手段)。   In the next step S5, the terminal 1 transmits an authentication request including the IPv6 address generated in step S4 to the authentication server 2 (communication means).

上述したユーザ認証システムにおける認証サーバ2によるIPv6アドレスの認証処理を、図5のフローチャートを参照して説明する。   An IPv6 address authentication process by the authentication server 2 in the above-described user authentication system will be described with reference to a flowchart of FIG.

認証サーバ2は、ステップS11にて認証要求を受信したか否かを判定し、認証要求を受信したと判定した場合に、ステップS12に処理を進める。   The authentication server 2 determines whether or not an authentication request has been received in step S11. If it is determined that an authentication request has been received, the authentication server 2 advances the process to step S12.

ステップS12において、認証サーバ2は、ユーザIDリストにおける番号iを「1」に設定する。   In step S12, the authentication server 2 sets the number i in the user ID list to “1”.

次のステップS13において、認証サーバ2は、ユーザIDリストからユーザID(i)を読み出し、当該ユーザID(i)をハッシュ化した値を取得する。   In the next step S13, the authentication server 2 reads the user ID (i) from the user ID list, and acquires a value obtained by hashing the user ID (i).

次のステップS14において、認証サーバ2は、ステップS1にて受信した認証要求に含まれるIPv6アドレスから、下位符号列としての認証IDの前半符号列BA及び後半符号列SAを抽出する。   In the next step S14, the authentication server 2 extracts the first half code string BA and the second half code string SA of the authentication ID as the lower code string from the IPv6 address included in the authentication request received in step S1.

次のステップS15において、認証サーバ2は、下記の式3に従って後半符号列S’を演算する。   In the next step S15, the authentication server 2 calculates the second half code string S ′ according to the following equation 3.

後半符号列S’=(BA−gID(i)modN (式3)
上記式3において、BAは、ステップS14にて抽出した値、ID(i)はステップS13で読み出されハッシュ化されたユーザID、gは原始元、aは秘密鍵、rは乱数、Nは基数(=232)である。原始元g及び秘密鍵aは、予め設定された値であり、認証サーバ2との間で共有されている。 Second half code string S ′ = (BA−g ID (i) ) a modN (Formula 3)
In the above equation 3, BA is the value extracted in step S14, ID (i) is the user ID read and hashed in step S13, g is a primitive element, a is a secret key, r is a random number, and N is The radix (= 2 32 ). The primitive element g and the secret key a are preset values and are shared with the authentication server 2.

上記式3は、上記式1を用いて、
後半符号列S’=(gid+g−gID(i)modN
と変形でき、
後半符号列S’=gramodN
となる。したがって、このステップS15にて後半符号列S’が、認証要求に含まれていたIPv6アドレスにおける後半符号列SAと一致する場合には、当該認証要求に含まれるユーザIDはユーザIDリストに登録されたものと認識できる。 Equation 3 above uses Equation 1 above,
Second half code string S ′ = (g id + g r −g ID (i) ) a modN
And can be transformed
Second half code string S ′ = g ra modN
It becomes. Therefore, when the latter half code string S ′ matches the latter half code string SA in the IPv6 address included in the authentication request in step S15, the user ID included in the authentication request is registered in the user ID list. Can be recognized.

次のステップS16において、認証サーバ2は、ステップS15にて演算した後半符号列S’と、ステップS14に抽出した後半符号列SAとが同じ値であるか否かを判定する。後半符号列S’と後半符号列SAとが一致する場合には、ステップS17に処理を進めて、ユーザIDの認証を許可する。これにより、認証サーバ2は、当該認証要求に含まれているIPv6アドレスを用いた端末1の通信を許可する。   In the next step S16, the authentication server 2 determines whether or not the latter half code string S ′ calculated in step S15 and the latter half code string SA extracted in step S14 have the same value. If the latter half code string S 'and the latter half code string SA match, the process proceeds to step S17 to permit user ID authentication. Thereby, the authentication server 2 permits communication of the terminal 1 using the IPv6 address included in the authentication request.

一方、後半符号列S’と後半符号列SAとが一致しない場合には、ステップS18に処理を進める。ステップS18において、ユーザIDリストの番号iが最終の番号mであるか否かを判定する。ユーザIDリストの番号iがmではない場合、ステップS19にて当該ユーザIDリストの番号iをインクリメントして、ステップS13に処理を戻す。   On the other hand, if the latter half code string S 'and the latter half code string SA do not match, the process proceeds to step S18. In step S18, it is determined whether or not the number i in the user ID list is the final number m. If the number i of the user ID list is not m, the number i of the user ID list is incremented in step S19, and the process returns to step S13.

一方、ユーザIDリストの番号iがmである場合、認証要求がユーザIDリストに含まれているユーザIDを使用したIPv6アドレスではないので、当該認証を拒否して、当該IPv6アドレスを用いた通信を遮断する。   On the other hand, if the number i in the user ID list is m, the authentication request is not an IPv6 address using the user ID included in the user ID list, so the authentication is rejected and communication using the IPv6 address is performed. Shut off.

なお、上述したユーザ認証システムは、端末1が認証サーバ2にIPv6アドレスを含む認証要求を送信しているが、認証要求に応じて認証サーバ2がユーザIDを要求したときに、端末1が生成したIPv6アドレスを送信しても良い。これにより、認証サーバ2は、IPv6アドレスのうちの下位符号列としての認証IDを認証することによって、ユーザIDを認証できる。   In the above-described user authentication system, the terminal 1 transmits an authentication request including an IPv6 address to the authentication server 2, but the terminal 1 generates when the authentication server 2 requests a user ID in response to the authentication request. The IPv6 address may be transmitted. Thereby, the authentication server 2 can authenticate the user ID by authenticating the authentication ID as the lower code string in the IPv6 address.

以上説明したように、このユーザ認証システムによれば、端末1によってユーザIDを用いてIPv6アドレスを生成して認証要求を行い、認証サーバ2によって当該IPv6アドレスを用いてユーザIDを認証することができる。これにより、ユーザ認証システムによれば、IPv6アドレスのみで認証サーバ2におけるユーザIDの認証を行うことができ、通信の可否を制御できる。また、このユーザ認証システムによれば、端末1に固有のMACアドレス等の製造元や種類を特定する情報ではなく、任意の文字列であるユーザIDを使用して認証ID(BA及びSA)を生成して、IPv6アドレスを生成できるので、ユーザのプライバシ保護と認証を両立できる。   As described above, according to this user authentication system, the terminal 1 generates an IPv6 address using the user ID and makes an authentication request, and the authentication server 2 authenticates the user ID using the IPv6 address. it can. Thereby, according to the user authentication system, it is possible to authenticate the user ID in the authentication server 2 using only the IPv6 address, and to control whether or not communication is possible. Further, according to this user authentication system, an authentication ID (BA and SA) is generated by using a user ID which is an arbitrary character string, not information specifying a manufacturer or type such as a unique MAC address of the terminal 1 Since the IPv6 address can be generated, both privacy protection and authentication of the user can be achieved.

つぎに、上述したユーザ認証システムにおける他の実施形態について説明する。   Next, another embodiment of the above-described user authentication system will be described.

この実施形態に係るユーザ認証システムは、図6に示すように、認証サーバ2が保持するユーザIDリストに、ユーザID(ID1,ID2,・・・,IDn)に対応付けてネットプレフィックス(SP1,SP2,・・・,SPn)を記憶する。   As shown in FIG. 6, the user authentication system according to this embodiment includes a net prefix (SP1, SP1, IDn) associated with a user ID (ID1, ID2,..., IDn) in a user ID list held by the authentication server 2. SP2,..., SPn) are stored.

このようなユーザ認証システムにおける認証サーバ2は、図7に示すように、ステップS11にて認証要求を受信したことに応じて、ステップS31において、受信した認証要求に含まれるIPv6アドレスからサブネットプレフィックス(SP)を抽出する。   As shown in FIG. 7, the authentication server 2 in such a user authentication system, in response to receiving the authentication request in step S11, in step S31, from the IPv6 address included in the received authentication request, the subnet prefix ( SP) is extracted.

次のステップS32において、認証サーバ2は、ステップS31にて抽出したサブネットプレフィックス(受信SP)と、図6に示した記憶しているユーザIDリストのサブネットプレフィックス(記憶SP)とが一致するか否かを判定する。双方のサブネットプレフィックスが一致する場合には処理をステップS33に進める。一方、双方のサブネットプレフィックスが一致しない場合には処理をステップS20に進めて、認証を拒否する。   In the next step S32, the authentication server 2 determines whether or not the subnet prefix (received SP) extracted in step S31 matches the subnet prefix (stored SP) in the stored user ID list shown in FIG. Determine whether. If both subnet prefixes match, the process proceeds to step S33. On the other hand, if both subnet prefixes do not match, the process proceeds to step S20, and authentication is rejected.

ステップS33において、認証サーバ2は、ステップS32にて判定されたサブネットプレフィックス(記憶SP)に対応したユーザIDリストにおけるユーザIDを抽出し、ハッシュ化する。   In step S33, the authentication server 2 extracts the user ID in the user ID list corresponding to the subnet prefix (stored SP) determined in step S32, and performs hashing.

そして、認証サーバ2は、ステップS33にてハッシュ化されたユーザIDを用いてステップS14〜ステップS17、ステップS20を行い、当該IPv6アドレスのうちの下位符号列としての認証IDを用いた認証処理を行う。   And the authentication server 2 performs step S14-step S17, step S20 using the user ID hashed in step S33, and performs the authentication process using the authentication ID as a low-order code sequence of the said IPv6 address. Do.

このようなユーザ認証システムによれば、認証サーバ2によって、IPv6アドレスのうち上位符号列としてのサブネットプレフィックスを用いてユーザIDリストのうちのユーザIDを限定し、当該ユーザIDを用いて認証処理を行うことができる。したがって、このユーザ認証システムによれば、認証可能なローカルネットワーク領域を制限し、他のローカルネットワークから不正な攻撃端末100が認証サーバ2に認証要求を送信しても、当該認証要求を拒否できる。したがって、このユーザ認証システムによれば、特定のローカルネットワークから送信された正当なユーザIDを有する端末1からの認証要求のみを許可できる。   According to such a user authentication system, the authentication server 2 limits the user ID in the user ID list using the subnet prefix as the upper code string in the IPv6 address, and performs the authentication process using the user ID. It can be carried out. Therefore, according to this user authentication system, the local network area that can be authenticated is limited, and even if an unauthorized attack terminal 100 transmits an authentication request to the authentication server 2 from another local network, the authentication request can be rejected. Therefore, according to this user authentication system, only an authentication request from the terminal 1 having a valid user ID transmitted from a specific local network can be permitted.

つぎに、上述したユーザ認証システムにおける更に他の実施形態について説明する。   Next, still another embodiment of the above-described user authentication system will be described.

この実施形態に係るユーザ認証システムは、図8に示すように、端末1が接続されたローカルネットワークに、DHCP(Dynamic Host Configuration Protocol)サーバ3が接続されている。DHCPサーバ3は、端末1の起動時に、動的に端末1にIPv6アドレスを割り当てるものである。なお、このDHCPサーバ3は、DHCPv6に対応している。   In the user authentication system according to this embodiment, as shown in FIG. 8, a DHCP (Dynamic Host Configuration Protocol) server 3 is connected to a local network to which a terminal 1 is connected. The DHCP server 3 dynamically assigns an IPv6 address to the terminal 1 when the terminal 1 is activated. The DHCP server 3 is compatible with DHCPv6.

このDHCPサーバ3は、端末1及び認証サーバ2に保持されている端末1の原始元g、秘密鍵aを予め記憶している。DHCPサーバ3は、上述したように端末1が行っていたIPv6アドレスの下位符号列としての認証IDを生成する機能(ステップS2,3)、IPv6アドレスを生成する機能(ステップS4)を有している。   The DHCP server 3 stores in advance the source element g and the secret key a of the terminal 1 held in the terminal 1 and the authentication server 2. The DHCP server 3 has a function of generating an authentication ID as a lower code string of the IPv6 address performed by the terminal 1 as described above (steps S2 and 3) and a function of generating an IPv6 address (step S4). Yes.

図9に示すように、端末1は、起動時に、DHCPサーバ3に対してアドレス要求C1を送信すると、DHCPサーバ3は、当該アドレス要求C1(第1アドレス要求)に応じてサブネットプレフィックス(所定の上位符号列)及び下位符号列(アドレス)を生成して、アドレス配布R1をする。   As shown in FIG. 9, when the terminal 1 transmits an address request C1 to the DHCP server 3 at the time of activation, the DHCP server 3 responds to the address request C1 (first address request) with a subnet prefix (predetermined value). An upper code string) and a lower code string (address) are generated and address distribution R1 is performed.

端末1は、アドレス配布R1を取得すると、予め保持している自身のユーザID「m123」をハッシュ化したハッシュ値「2f5a7733」を取得し、当該ハッシュ値をDUID(DHCP Unique Identifier, DHCP固有識別子)としてDHCPサーバ3に送信する。なお、DUIDは16進数で表された値とされる。   Upon obtaining the address distribution R1, the terminal 1 obtains a hash value “2f5a7733” obtained by hashing its own user ID “m123” held in advance, and uses the hash value as a DUID (DHCP Unique Identifier). To the DHCP server 3. The DUID is a value represented in hexadecimal.

DHCPサーバ3は、ユーザIDを用いたDUIDを含むアドレス要求(第2アドレス要求)C2に応じて、ユーザIDを用いて、下位符号列としての認証IDを生成する。このとき、DHCPサーバ3は、下位符号列としての認証IDのうちの前半符号列BAを下記の式4により演算し、後半符号列SAを下記の式5により演算する。   The DHCP server 3 generates an authentication ID as a lower code sequence using the user ID in response to an address request (second address request) C2 including a DUID using the user ID. At this time, the DHCP server 3 calculates the first half code string BA of the authentication ID as the lower code string by the following expression 4, and calculates the second half code string SA by the following expression 5.

前半符号列B=gIDUD+gmodN (式4)
後半符号列S=gramodN (式5)
上記式4,5において、IDUDはユーザIDからハッシュ化した値であって、アドレス要求C2により受信した値であり、gは原始元、aは秘密鍵、rは乱数、Nは基数(=232)である。原始元g及び秘密鍵aは、予め設定された値であり、DHCPサーバ3、端末1及び認証サーバ2の間で共有されている。また、乱数rは、DHCPサーバ3の乱数発生器によって発生した値を使用している。DHCPサーバ3は、このようにIPv6アドレスを生成して、IPアドレス配布R2をする。 First half code string B A = g IDUD + g r mod N (Formula 4)
Second half code string S A = g ra mod N (Formula 5)
In the above equations 4 and 5, IDUD is a value hashed from the user ID and is a value received by the address request C2, g is a primitive element, a is a secret key, r is a random number, and N is a radix (= 2 32 ). The primitive element g and the secret key a are values set in advance and are shared among the DHCP server 3, the terminal 1, and the authentication server 2. The random number r uses a value generated by a random number generator of the DHCP server 3. The DHCP server 3 generates an IPv6 address in this way and performs IP address distribution R2.

これにより、端末1は、ユーザIDを用いて作成されたIPv6アドレスを、自己のIPv6アドレスとして設定する。その後、端末1は、認証サーバ2に対してIPv6アドレスを含む認証要求C3を送信する。認証サーバ2による認証処理によって認証が許可された場合に、端末1には、通信許可R3が供給される。その後、端末1は、認証サーバ2との間で通信を開始する。   Thereby, the terminal 1 sets the IPv6 address created using the user ID as its own IPv6 address. Thereafter, the terminal 1 transmits an authentication request C3 including an IPv6 address to the authentication server 2. When the authentication is permitted by the authentication process by the authentication server 2, the terminal 1 is supplied with a communication permission R3. Thereafter, the terminal 1 starts communication with the authentication server 2.

以上のように、このユーザ認証システムによれば、ユーザIDを用いたIPv6アドレスの生成をDHCPサーバ3によって行うことによって、端末1に大幅な改良をすることなく、IPv6アドレスを用いた認証を行うことができる。したがって、このユーザ認証システムによれば、当該ユーザ認証システムの導入を容易にすることができる。   As described above, according to this user authentication system, by generating the IPv6 address using the user ID by the DHCP server 3, authentication using the IPv6 address is performed without significantly improving the terminal 1. be able to. Therefore, according to this user authentication system, introduction of the user authentication system can be facilitated.

また、このユーザ認証システムにおいて、DHCPサーバ3は、既存のDUIDとしてのMACアドレスが供給されても、IPv6アドレスを生成して端末1に配布しても良い。この場合、ユーザIDを有し認証サーバ2を要求する端末1と、ユーザIDを有しない端末1とで、DHCPサーバ3で生成されるIPv6アドレスが重複する恐れがある。すなわち、MACアドレスから生成したIPv6アドレスと、ユーザIDのハッシュ値から生成したIPv6アドレスとが同じ値となる恐れがある。   In this user authentication system, the DHCP server 3 may generate an IPv6 address and distribute it to the terminal 1 even if an existing MAC address as a DUID is supplied. In this case, there is a possibility that IPv6 addresses generated by the DHCP server 3 overlap between the terminal 1 that has the user ID and requests the authentication server 2 and the terminal 1 that does not have the user ID. That is, the IPv6 address generated from the MAC address and the IPv6 address generated from the hash value of the user ID may be the same value.

そこで、このユーザ認証システムにおけるDHCPサーバ3は端末1から当該端末1の固有情報(MACアドレス)を含む第1アドレス要求に応じて、IPv6アドレスを生成した場合には、当該IPv6アドレスの下位符号列に第1識別情報を格納する。また、DHCPサーバ3は、ユーザIDを用いた第2アドレス要求に応じて、当該ユーザIDを用いて生成された下位符号列としての認証IDに含むIPv6アドレスを生成した場合には、当該IPv6アドレスの下位符号列に第2識別情報を格納する。第1識別情報と第2識別情報とは、異なる値である。   Therefore, when the DHCP server 3 in this user authentication system generates an IPv6 address in response to the first address request including the unique information (MAC address) of the terminal 1 from the terminal 1, the lower code string of the IPv6 address is generated. 1st identification information is stored in. Further, when the DHCP server 3 generates an IPv6 address included in the authentication ID as a lower code sequence generated using the user ID in response to the second address request using the user ID, the IPv6 address The second identification information is stored in the lower code string. The first identification information and the second identification information are different values.

具体的には、図10に示すようにDHCPサーバ3が動作する。DHCPサーバ3は、先ずステップS41にて端末1から送信されたアドレス要求を受信した場合には、ステップS42にて、DUIDがMACアドレスか否かを判定する。DHCPサーバ3は、DUIDがMACアドレスであると判定した場合には、ステップS43に処理を進め、そうでない場合にはステップS44に処理を進める。   Specifically, the DHCP server 3 operates as shown in FIG. When the DHCP server 3 first receives an address request transmitted from the terminal 1 in step S41, it determines whether or not the DUID is a MAC address in step S42. If the DHCP server 3 determines that the DUID is a MAC address, the process proceeds to step S43, and if not, the process proceeds to step S44.

ステップS43において、DHCPサーバ3は、受信したMACアドレスを用いてIPv6アドレスの下位符号列(ネットワークID)を生成する。DHCPサーバ3は、生成した下位符号列に対して、前半符号列BAと後半符号列SAとを1ビットづつ減して、当該下位符号列を31ビットにする。DHCPサーバ3は、当該減らした2ビットの領域に、第1識別情報Fとしての値「00」を格納する。そして、DHCPサーバ3は、ステップS45にて、ステップS43にて生成したIPv6アドレスを、アドレス配布として端末1に送信する。   In step S43, the DHCP server 3 generates a lower code string (network ID) of the IPv6 address using the received MAC address. The DHCP server 3 subtracts the first-half code string BA and the second-half code string SA by 1 bit from the generated lower code string to make the lower code string 31 bits. The DHCP server 3 stores the value “00” as the first identification information F in the reduced 2-bit area. In step S45, the DHCP server 3 transmits the IPv6 address generated in step S43 to the terminal 1 as address distribution.

ステップS44において、DHCPサーバ3は、受信したユーザIDのハッシュ値としてのDUIDを用いてIPv6アドレスの下位符号列(認証ID)を生成する。DHCPサーバ3は、生成した下位符号列に対して、前半符号列BAと後半符号列SAとを1ビットづつ減して、当該下位符号列を31ビットにする。DHCPサーバ3は、当該減らした2ビットの領域に、第2識別情報Fとしての値「11」を格納する。そして、DHCPサーバ3は、ステップS45にて、ステップS44にて生成したIPv6アドレスを、アドレス配布として端末1に送信する。   In step S44, the DHCP server 3 generates a lower code string (authentication ID) of the IPv6 address using the DUID as the hash value of the received user ID. The DHCP server 3 subtracts the first-half code string BA and the second-half code string SA by 1 bit from the generated lower code string to make the lower code string 31 bits. The DHCP server 3 stores the value “11” as the second identification information F in the reduced 2-bit area. In step S45, the DHCP server 3 transmits the IPv6 address generated in step S44 to the terminal 1 as address distribution.

以上のように、このユーザ認証システムによれば、MACアドレスからIPv6アドレスを生成する時と、ユーザIDからIPv6アドレスを生成する時とで識別情報を変更することによって、IPv6アドレスの衝突を回避できる。   As described above, according to this user authentication system, collision of IPv6 addresses can be avoided by changing identification information when an IPv6 address is generated from a MAC address and when an IPv6 address is generated from a user ID. .

つぎに、上述したユーザ認証システムにおける更に他の実施形態について説明する。   Next, still another embodiment of the above-described user authentication system will be described.

この実施形態に係るユーザ認証システムは、図11に示すように、端末1が接続されるローカルネットワークと外部ネットワークとの間に設けられたルータ4によって、IPv6アドレスを用いた認証を行わせても良い。このルータ4は、上述した認証サーバ2と同様に、ユーザIDを用いて後半符号列S’を生成するなど、図5に示した処理を行うことにより、認証の許可及び認証の拒否を行う。   As shown in FIG. 11, the user authentication system according to this embodiment can perform authentication using an IPv6 address by a router 4 provided between a local network to which the terminal 1 is connected and an external network. good. Similar to the authentication server 2 described above, the router 4 permits the authentication and rejects the authentication by performing the process shown in FIG. 5 such as generating the latter half code string S ′ using the user ID.

これにより、ユーザ認証システムは、IPv6アドレスに依存しないユーザIDごとに通信を制御できる。例えば、フィルタ条件として、正当なユーザIDの「m123」は通過させ、他のIDを拒否することが設定されている場合、ルータ4は、攻撃端末100から送信されたパケットを破棄できる。   Thereby, the user authentication system can control communication for each user ID that does not depend on the IPv6 address. For example, when the filtering condition is set to pass the valid user ID “m123” and reject other IDs, the router 4 can discard the packet transmitted from the attacking terminal 100.

また、このユーザ認証システムによれば、複数のユーザを含むユーザグループに対して同じユーザIDを割り当てることによって、グループごとの通信制御ができる。   Further, according to this user authentication system, communication control for each group can be performed by assigning the same user ID to a user group including a plurality of users.

なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。   The above-described embodiment is an example of the present invention. For this reason, the present invention is not limited to the above-described embodiment, and various modifications can be made depending on the design and the like as long as the technical idea according to the present invention is not deviated from this embodiment. Of course, it is possible to change.

1 端末
2 認証サーバ
3 DHCPサーバ
4 ルータ 1 Terminal 2 Authentication server 3 DHCP server 4 Router

Claims (8)

被認証対象となるユーザIDを送信する被認証装置と接続され、当該ユーザIDが送信されたときにユーザIDに対して認証装置によってユーザ認証を行うユーザ認証システムであって、
前記認証装置の認証対象となるユーザIDを用いて第1符号列を生成する第1符号列生成手段と、
所定の上位符号列と前記第1符号列生成手段により生成された第1符号列を含む下位符号列とからなるアドレス情報を生成するアドレス情報生成手段と、
前記アドレス情報生成手段により生成されたアドレス情報を含む認証要求を、前記被認証装置から前記認証装置に送信する通信手段とを備え、
前記認証装置は、前記認証要求が送信された時に、予め設定されたユーザIDリストに含まれている何れかのユーザIDを用いて生成した第2符号列が、前記認証要求のアドレス情報の下位符号列に含まれる第1符号列と一致する場合に、当該認証要求に含まれているアドレス情報を用いた通信を許可すること
ことを特徴とするユーザ認証システム。 A user authentication system that is connected to an authentication target device that transmits a user ID to be authenticated and performs user authentication by the authentication device for the user ID when the user ID is transmitted,
First code string generation means for generating a first code string using a user ID to be authenticated by the authentication device;
Address information generating means for generating address information composed of a predetermined upper code string and a lower code string including the first code string generated by the first code string generating means;
A communication unit that transmits an authentication request including the address information generated by the address information generation unit from the authenticated device to the authentication device;
In the authentication apparatus, when the authentication request is transmitted, the second code string generated using any user ID included in the user ID list set in advance is lower than the address information of the authentication request. A user authentication system characterized by permitting communication using the address information included in the authentication request when it matches the first code string included in the code string. 前記認証装置は、前記ユーザIDを要求し、
前記第1符号列生成手段及び前記アドレス情報生成手段は、当該ユーザIDの要求に応じて、前記第1符号列を含むアドレス情報を生成し、前記通信手段によって、当該アドレス情報を含む認証要求を前記認証装置に送信すること
を特徴とする請求項1に記載のユーザ認証システム。 The authentication device requests the user ID;
The first code string generation unit and the address information generation unit generate address information including the first code string in response to a request for the user ID, and an authentication request including the address information is generated by the communication unit. The user authentication system according to claim 1, wherein the user authentication system is transmitted to the authentication device. 前記ユーザIDリストに、当該ユーザIDリストに登録されているユーザIDに対応付けて前記上位符号列を含め、
前記認証装置は、前記認証要求が送信された時に、当該認証要求に含まれているアドレス情報の上位符号列が、前記ユーザIDリストに登録されている上位符号列と一致しており、且つ、当該上位符号列に対応付けられて登録されたユーザIDを用いて生成した第2符号列が、前記認証要求のアドレス情報の下位符号列に含まれる第1符号列と一致する場合に、当該認証要求に含まれているアドレス情報を用いた通信を許可すること
を特徴とする請求項1又は請求項2に記載のユーザ認証システム。 In the user ID list, the upper code string is included in association with the user ID registered in the user ID list,
The authentication device, when the authentication request is transmitted, the upper code string of the address information included in the authentication request matches the upper code string registered in the user ID list, and If the second code string generated using the user ID registered in association with the upper code string matches the first code string included in the lower code string of the address information of the authentication request, the authentication The user authentication system according to claim 1 or 2, wherein communication using address information included in the request is permitted. 前記第1符号列生成手段及び前記アドレス情報生成手段はDHCPサーバで構成され、
前記DHCPサーバは、第1アドレス要求に応じて前記所定の上位符号列を生成し、
前記DHCPサーバは、前記ユーザIDを用いた第2アドレス要求に応じて、ユーザIDを用いて第1符号列を生成し、当該第1符号列を含む下位符号列と、前記第1アドレス要求に応じて生成した所定の上位符号列とを含むアドレス情報を生成すること
を特徴とする請求項1に記載のユーザ認証システム。 The first code string generation means and the address information generation means are configured by a DHCP server,
The DHCP server generates the predetermined upper code sequence in response to a first address request,
The DHCP server generates a first code string using a user ID in response to a second address request using the user ID, and generates a lower code string including the first code string and the first address request. 2. The user authentication system according to claim 1, wherein address information including a predetermined higher-order code string generated in response is generated. 前記DHCPサーバは、
端末から当該端末の固有情報を含む第1アドレス要求に応じて、前記上位符号列及び前記下位符号列を含むアドレス情報を生成した場合には、当該アドレス情報の下位符号列に第1識別情報を格納し、
前記ユーザIDを用いた第2アドレス要求に応じて第1符号列を下位符号列に含むアドレス情報を生成した場合には、当該アドレス情報の下位符号列に第2識別情報を格納すること
を特徴とする請求項4に記載のユーザ認証システム。 The DHCP server is
In response to a first address request including specific information of the terminal from the terminal, when generating address information including the upper code string and the lower code string, the first identification information is added to the lower code string of the address information. Store and
When address information including the first code string in the lower code string is generated in response to the second address request using the user ID, the second identification information is stored in the lower code string of the address information. The user authentication system according to claim 4. 前記第1符号列生成手段及び前記アドレス情報生成手段はルータで構成され、
前記ルータは、前記ユーザIDを用いたアドレス要求に応じて、ユーザIDを用いて第1符号列を生成し、当該第1符号列を含む下位符号列を生成すること
を特徴とする請求項1に記載のユーザ認証システム。 The first code string generation means and the address information generation means are configured by a router,
The router generates a first code string using a user ID in response to an address request using the user ID, and generates a lower code string including the first code string. The user authentication system described in 1. 被認証対象となるユーザIDを送信する被認証装置と接続され、当該ユーザIDが送信されたときにユーザIDに対してユーザ認証を行う認証装置であって、
認証対象となるユーザIDを用いて生成された第1符号列と、所定の上位符号列とを含む下位符号列とからなるアドレス情報を含む認証要求を、前記被認証装置から受信する受信手段と、
前記認証要求が送信された時に、予め設定されたユーザIDリストに含まれている何れかのユーザIDを用いて生成した第2符号列が、前記認証要求のアドレス情報の下位符号列に含まれる第1符号列と一致する場合に、当該認証要求に含まれているアドレス情報を用いた通信を許可する認証手段と
を備えることを特徴とする認証装置。 An authentication device that is connected to an authenticated device that transmits a user ID to be authenticated and performs user authentication for the user ID when the user ID is transmitted,
Receiving means for receiving, from the device to be authenticated, an authentication request including address information including a first code string generated using a user ID to be authenticated and a lower code string including a predetermined higher code string; ,
When the authentication request is transmitted, the second code string generated using any user ID included in the user ID list set in advance is included in the lower code string of the address information of the authentication request. An authentication device comprising: authentication means for permitting communication using the address information included in the authentication request when the first code string matches. 被認証対象となるユーザIDを送信する被認証装置と接続され、当該ユーザIDが送信されたときにユーザIDに対してユーザ認証を行う認証装置によって実行されるプログラムであって、
認証対象となるユーザIDを用いて生成された第1符号列と、所定の上位符号列とを含む下位符号列とからなるアドレス情報を含む認証要求を、前記被認証装置から受信する受信手段と、
前記認証要求が送信された時に、予め設定されたユーザIDリストに含まれている何れかのユーザIDを用いて生成した第2符号列が、前記認証要求のアドレス情報の下位符号列に含まれる第1符号列と一致する場合に、当該認証要求に含まれているアドレス情報を用いた通信を許可する認証手段として機能させることを特徴とする認証装置のプログラム。 A program executed by an authentication device that is connected to an authentication target device that transmits a user ID to be authenticated and performs user authentication for the user ID when the user ID is transmitted,
Receiving means for receiving, from the device to be authenticated, an authentication request including address information including a first code string generated using a user ID to be authenticated and a lower code string including a predetermined higher code string; ,
When the authentication request is transmitted, the second code string generated using any user ID included in the user ID list set in advance is included in the lower code string of the address information of the authentication request. A program for an authentication apparatus, which functions as an authentication unit that permits communication using address information included in the authentication request when the first code string matches.
JP2010168329A 2010-07-27 2010-07-27 User authentication system, authentication apparatus, and program Expired - Fee Related JP5603697B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2010168329A JP5603697B2 (en) 2010-07-27 2010-07-27 User authentication system, authentication apparatus, and program
PCT/JP2011/067076 WO2012014928A1 (en) 2010-07-27 2011-07-27 User-authentication system, authentication device, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010168329A JP5603697B2 (en) 2010-07-27 2010-07-27 User authentication system, authentication apparatus, and program

Publications (2)

Publication Number Publication Date
JP2012027844A JP2012027844A (en) 2012-02-09
JP5603697B2 true JP5603697B2 (en) 2014-10-08

Family

ID=45530132

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010168329A Expired - Fee Related JP5603697B2 (en) 2010-07-27 2010-07-27 User authentication system, authentication apparatus, and program

Country Status (2)

Country Link
JP (1) JP5603697B2 (en)
WO (1) WO2012014928A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104125254B (en) * 2013-04-27 2017-10-13 博雅网络游戏开发(深圳)有限公司 Obtain the method and system of platform user data

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004056477A (en) * 2002-07-19 2004-02-19 Canon Inc Communication controller and communication control method
JP3907568B2 (en) * 2002-10-02 2007-04-18 キヤノン株式会社 Authentication device
JP4054719B2 (en) * 2003-05-29 2008-03-05 キヤノン株式会社 Specific address use restriction device
JP2006072676A (en) * 2004-09-02 2006-03-16 Matsushita Electric Ind Co Ltd System and method for providing service
JP2006166315A (en) * 2004-12-10 2006-06-22 Zero:Kk User identification system and ip address generation method

Also Published As

Publication number Publication date
WO2012014928A1 (en) 2012-02-02
JP2012027844A (en) 2012-02-09

Similar Documents

Publication Publication Date Title
JP4033868B2 (en) Method and apparatus for processing authentication in IPv6 network
US7653813B2 (en) Method and apparatus for address creation and validation
US7529926B2 (en) Public key certification providing apparatus
EP2443803B1 (en) Gateway certificate creation and validation
US8806565B2 (en) Secure network location awareness
JP6079394B2 (en) Certificate generation method, certificate generation apparatus, information processing apparatus, communication device, and program
WO2009035829A1 (en) Improved dynamic host configuration protocol
CN101536395A (en) Human input security code
US9930049B2 (en) Method and apparatus for verifying source addresses in a communication network
CN102761630A (en) Real user identity information-oriented IPv6 (Internet Protocol Version 6) address distribution method
CN105721496A (en) Security authentication method for automatic distribution protocol of lightweight address
Younes Securing ARP and DHCP for mitigating link layer attacks
JP2006180095A (en) Gateway, and access control method of web server
JP5953991B2 (en) COMMUNICATION CONTROL METHOD, COMMUNICATION CONTROL DEVICE, COMMUNICATION DEVICE, AND PROGRAM
Shete et al. DHCP protocol using OTP based two-factor authentication
JP5603697B2 (en) User authentication system, authentication apparatus, and program
KR100856918B1 (en) IP address authentication method and IP6-based network system in IP6-based network
CN102577299B (en) The Access Network authentication information bearing protocol simplified
JP4280536B2 (en) Public key generation apparatus, method, and public key certificate issuing method
JP4073931B2 (en) Terminal, communication apparatus, communication establishment method and authentication method
Zhang et al. OTP_SAM: DHCP security authentication model based on OTP
JP4208868B2 (en) Public key certificate issuance method
Rafiee et al. DNS update extension to IPv6 secure addressing
JP4236167B2 (en) Method of assigning IP interface information, granting device, granting program thereof, and access authentication device
El Ksimi et al. A new mechanism to secure IPv6 networks using symmetric cryptography

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20120116

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130313

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140310

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140729

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140822

R151 Written notification of patent or utility model registration

Ref document number: 5603697

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees