JP2001325228A - Network user authentication method and network user authentication system - Google Patents
Network user authentication method and network user authentication systemInfo
- Publication number
- JP2001325228A JP2001325228A JP2000145471A JP2000145471A JP2001325228A JP 2001325228 A JP2001325228 A JP 2001325228A JP 2000145471 A JP2000145471 A JP 2000145471A JP 2000145471 A JP2000145471 A JP 2000145471A JP 2001325228 A JP2001325228 A JP 2001325228A
- Authority
- JP
- Japan
- Prior art keywords
- user
- password
- server
- user identifier
- client terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000005540 biological transmission Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、ネットワーク利用
者認証方法およびネットワーク利用者認証システムに関
し、特に、不特定多数の計算機がクライアント端末また
はサーバとして接続されているネットワーク環境におい
て、クライアント端末の正当な利用者を安全に認証する
ためのネットワーク利用者認証方法およびネットワーク
利用者認証システムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a network user authentication method and a network user authentication system, and more particularly to a network user authentication method in a network environment where an unspecified number of computers are connected as client terminals or servers. The present invention relates to a network user authentication method and a network user authentication system for securely authenticating a user.
【0002】[0002]
【従来の技術】利用者が、ネットワークに接続されたク
ライアント端末からネットワークを介して、ネットワー
クに接続されている各種のサーバが提供する資源を利用
する場合、クライアント端末から利用者識別子およびパ
スワードをサーバに対して送信し、サーバにおいて登録
された利用者識別子およびパスワードによりクライアン
ト端末の利用者の認証を行うのが、一般的な認証方法で
ある。2. Description of the Related Art When a user uses resources provided by various servers connected to a network from a client terminal connected to the network via a network, a user identifier and a password are transmitted from the client terminal to the server. Is a general authentication method of transmitting to the client terminal and authenticating the user of the client terminal using the user identifier and the password registered in the server.
【0003】このような認証方法によると、サーバにお
いて認証を受けるために、例えば、平文で利用者識別子
およびパスワードを同時に送信すると、通信経路に監視
装置等が設置されていると、比較的容易に盗聴を行うこ
とが可能であるので、そのような盗聴によって利用者識
別子とパスワードが漏洩し、漏洩した利用者識別子およ
びパスワードが用いられることで、正当な利用者ではな
い第三者によってサーバの資源が利用され、システムが
悪用される危険性がある。According to such an authentication method, when a server is to be authenticated, for example, when a user identifier and a password are simultaneously transmitted in plain text, if a monitoring device or the like is installed in a communication path, it is relatively easy. Because eavesdropping is possible, such eavesdropping leaks user identifiers and passwords, and the leaked user identifiers and passwords are used, so that unauthorized third parties can use the server resources. And there is a risk that the system will be abused.
【0004】このような危険性に対処する方法として、
従来において、利用者識別子とパスワードを送信する場
合は、利用者識別子とパスワードに対して様々な暗号化
処理を施すことにより、通信経路上において第三者に盗
聴された場合にも、利用者識別子およびパスワードが漏
洩しないようにする認証方法が提案されている。[0004] As a method of dealing with such danger,
Conventionally, when a user identifier and a password are transmitted, various encryption processes are performed on the user identifier and the password, so that even if a third party eavesdrops on the communication path, the user identifier and the password are transmitted. An authentication method for preventing a password from leaking has been proposed.
【0005】このような暗号化した利用者識別子とパス
ワードによる認証方法では、盗聴によるパスワードの漏
洩は防止することができるが、例えば、盗聴したデータ
を暗号化されたまま記録しておき、そのままサーバに対
して再送するという攻撃に対しては無力である。In such an authentication method using an encrypted user identifier and a password, it is possible to prevent the password from being leaked by eavesdropping. For example, the eavesdropped data is recorded in an encrypted form, and the data is stored in the server as it is. It is powerless against attacks that resend to
【0006】また、近年の計算機性能の飛躍的な向上お
よび暗号解読技術の進歩により、単純な暗号であれば、
比較的短時間で解読できるようになってきており、利用
者識別子とパスワードを暗号化することだけでは、十分
なセキュリティを確保することは難しくなってきてい
る。[0006] In recent years, with the dramatic improvement in computer performance and the progress of cryptanalysis technology, if a simple cipher is used,
Decryption has become possible in a relatively short time, and it has become difficult to secure sufficient security only by encrypting the user identifier and the password.
【0007】このような問題を解決するための方法の1
つとして、特開平7−325785号公報に記載されて
いる「ネットワーク利用者認証方法および暗号化通信方
法とアプリケーションクライアントおよびサーバ」の発
明が知られている。この発明は、要するに、クライアン
ト端末と認証サーバとの間で複数回に渡って交信を行う
ことにより、上述した再送による攻撃を退ける認証方法
である。具体的には、この認証方法によると、クライア
ント端末からの認証の要求に対して、まず、サーバは乱
数を発生させてクライアント端末に送信する。クライア
ント端末は、利用者識別子とパスワードにサーバから受
信した乱数を付加して暗号化し、再度サーバに送信す
る。サーバ側では、暗号データを復号して得られた乱数
とクライアント端末に対して先に送信した乱数とを比較
して、これが一致していれば利用者識別子とパスワード
による認証を行う。このような認証方法によれば、クラ
イアント端末からの認証要求がある度に、異なる乱数が
使用され、サーバに送信される暗号データは毎回異なる
内容となるため、上述したような再送による攻撃を退け
ることができる。One of the methods for solving such a problem is as follows.
One known invention is described in Japanese Patent Application Laid-Open No. 7-325785, entitled "Network User Authentication Method and Encrypted Communication Method, Application Client and Server". In short, the present invention is an authentication method for rejecting the above-mentioned attack by retransmission by performing communication between the client terminal and the authentication server a plurality of times. Specifically, according to this authentication method, first, in response to an authentication request from a client terminal, the server generates a random number and transmits it to the client terminal. The client terminal adds the random number received from the server to the user identifier and the password, encrypts the same, and transmits the encrypted data to the server again. The server compares the random number obtained by decrypting the encrypted data with the random number previously transmitted to the client terminal, and if they match, performs authentication using the user identifier and the password. According to such an authentication method, a different random number is used every time there is an authentication request from the client terminal, and the encrypted data transmitted to the server has different contents every time. be able to.
【0008】[0008]
【発明が解決しようとする課題】しかしながら、特開平
7−325785号公報に記載されている発明の認証方
法は、クライアント端末が送信する暗号化されたデータ
が解読されないことを前提としており、第三者が暗号の
解読に成功した場合には、利用者識別子とパスワードを
入手することが可能となり、第三者が正当な利用者に成
りすまして認証を受けることが可能となるという問題が
ある。However, the authentication method of the invention described in Japanese Patent Application Laid-Open No. 7-325785 is based on the premise that encrypted data transmitted by the client terminal is not decrypted. If the user succeeds in decrypting the cipher, there is a problem that the user identifier and the password can be obtained, and the third party can be authenticated as a legitimate user.
【0009】本発明は、このような問題を解決するため
になされたものであり、本発明の目的は、ネットワーク
利用者認証システムにおいて、第三者が暗号の解読に成
功した場合であっても、クライアント端末の正当な利用
者を安全に認証することができるネットワーク利用者認
証方法およびネットワーク利用者認証システムを提供す
ることにある。SUMMARY OF THE INVENTION The present invention has been made to solve such a problem, and an object of the present invention is to provide a network user authentication system in which a third party succeeds in decrypting a cipher. Another object of the present invention is to provide a network user authentication method and a network user authentication system capable of securely authenticating a legitimate user of a client terminal.
【0010】[0010]
【課題を解決するための手段】上記のような目的を達成
するため、本発明によるネットワーク利用者認証方法
は、クライアント端末から利用者識別子およびパスワー
ドをサーバに送信し、当該サーバの登録情報の中の該当
する利用者識別子およびパスワードの存在を確認して利
用者の認証を行うネットワーク利用者認証システムにお
いて、利用者が操作するクライアント端末は利用者識別
子およびパスワードをそれぞれ異なるサーバに送信し、
異なるサーバで受信した利用者識別子およびパスワード
によりクライアント端末の利用者の認証を行うことを特
徴とする。In order to achieve the above object, a network user authentication method according to the present invention transmits a user identifier and a password from a client terminal to a server, and stores the user identifier and password in the registration information of the server. In a network user authentication system that verifies the existence of a corresponding user identifier and password to authenticate the user, the client terminal operated by the user transmits the user identifier and password to different servers,
The authentication of the user of the client terminal is performed using the user identifier and the password received by different servers.
【0011】また、別の特徴として、本発明によるネッ
トワーク利用者認証方法は、クライアント端末から利用
者識別子およびパスワードを認証サーバに送信し、認証
サーバの登録情報の中の該当する利用者識別子およびパ
スワードの存在を確認して利用者の認証を行うネットワ
ーク利用者認証システムにおいて、利用者がクライアン
ト端末から送信する利用者識別子およびパスワードをそ
れぞれ異なるサーバに対して送信し、認証サーバは異な
るサーバで受信した利用者識別子およびパスワードによ
り登録情報の中の該当する利用者識別子およびパスワー
ドの存在を確認して利用者の認証を行うことを特徴とす
る。As another feature, the network user authentication method according to the present invention transmits a user identifier and a password from a client terminal to an authentication server, and stores the corresponding user identifier and password in registration information of the authentication server. In a network user authentication system that verifies the existence of a user and authenticates the user, the user sends the user identifier and password sent from the client terminal to different servers, and the authentication server The authentication of the user is performed by confirming the existence of the corresponding user identifier and password in the registration information using the user identifier and the password.
【0012】また、システム構成では、本発明によるネ
ットワーク利用者認証システムは、クライアント端末か
ら送信された利用者識別子のみを受信する第1サーバ
と、前記クライアント端末から送信されたパスワードの
みを受信する第2サーバと、ローカル・エリア・ネット
ワークにより前記第1サーバおよび前記第2サーバと接
続され、前記第1サーバおよび前記第2サーバから利用
者識別子およびパスワードを取得して、予め登録された
利用者識別子およびパスワードにより利用者の認証を行
う認証サーバとを備えることを特徴とする。Further, in the system configuration, the network user authentication system according to the present invention includes a first server that receives only the user identifier transmitted from the client terminal, and a second server that receives only the password transmitted from the client terminal. 2 server, connected to the first server and the second server by a local area network, obtains a user identifier and a password from the first server and the second server, and registers a user identifier registered in advance And an authentication server for authenticating the user with a password.
【0013】また、別の特徴として、本発明によるネッ
トワーク利用者認証システムは、ネットワークに接続さ
れたクライアント端末から送信された利用者識別子のみ
を受信する第1サーバと、ネットワークに接続されたク
ライアント端末から送信されたパスワードのみを受信す
る第2サーバと、前記第1サーバおよび前記第2サーバ
から利用者識別子およびパスワードをそれぞれネットワ
ークを介して受信して、予め登録された利用者識別子お
よびパスワードにより利用者の認証を行う認証サーバと
を備えることを特徴とする。As another feature, a network user authentication system according to the present invention comprises a first server for receiving only a user identifier transmitted from a client terminal connected to a network, and a client terminal connected to the network. A second server that receives only the password transmitted from the first server, a user identifier and a password received from the first server and the second server via a network, respectively, and are used by using a previously registered user identifier and a password. And an authentication server for authenticating the user.
【0014】このような特徴を有する本発明のネットワ
ーク利用者認証方法によれば、例えば、サービスを受け
るために、利用者がクライアント端末から送信する利用
者識別子とパスワードは、それぞれ異なるサーバに対し
て送信され、それぞれ異なるサーバにおいて受信され
る。これにより、サーバに対して送信した送信内容を盗
聴した場合であっても、第三者が認証に必要な利用者識
別子とパスワードの組み合わせることができない。利用
者の認証を行うサーバは、それぞれ異なるサーバで受信
された利用者識別子とパスワードにより、登録情報の中
の該当する利用者識別子およびパスワードの存在を確認
して利用者の認証を行う。According to the network user authentication method of the present invention having such features, for example, in order to receive a service, a user identifier and a password transmitted from a client terminal by a user are transmitted to different servers. Transmitted and received by different servers. This prevents a third party from combining a user identifier and a password required for authentication even if the transmission content transmitted to the server is wiretapped. The server that authenticates the user confirms the existence of the corresponding user identifier and password in the registration information based on the user identifier and the password received by the different servers, and authenticates the user.
【0015】このように、利用者が、クライアント端末
からサーバに対して認証を要求するにあたり、そのため
の利用者識別子およびパスワードは、それぞれ異なるサ
ーバに対して送信するので、ネットワーク上に流れる情
報は利用者識別子のみであるか、もしくはパスワードの
みとなり、正当な利用者ではない第三者によって、これ
らの情報が盗聴された場合であっても、それぞれが個別
に盗聴されるだけであり、利用者識別子およびパスワー
ドを適正に組み合わせる内容までが漏洩することはな
い。また、利用者識別子およびパスワードを個別にそれ
ぞれ暗号化して送信すれば、更に安全性が高まる。As described above, when a user requests authentication from a client terminal to a server, a user identifier and a password for the authentication are transmitted to different servers. Even if this information is only eavesdropped by a third party who is not a legitimate user, it is only individual eavesdropping, or only a password. There is no leakage of contents that combine passwords and passwords properly. Further, if the user identifier and the password are individually encrypted and transmitted, the security is further improved.
【0016】[0016]
【発明の実施の形態】以下、本発明を実施する場合の形
態を、一実施例により図面を参照して具体的に説明す
る。図1は本発明の一実施例のネットワーク利用者認証
システムの構成を説明するブロック図である。ネットワ
ーク利用者認証システムは、基本的な構成として、図1
に示すように、認証要求を行うクライアント端末21,
22,23と、クライアント端末から送信された利用者
識別子のみを受信する利用者識別子受信サーバ13と、
クライアント端末から送信されたパスワードのみを受信
するパスワード受信サーバ14と、利用者識別子および
パスワードが登録されている認証サーバ11と、これら
クライアント端末およびサーバ(認証サーバ11,利用
者識別子受信サーバ13,パスワード受信サーバ14)
が、ネットワーク20によって接続されている構成とな
っている。DESCRIPTION OF THE PREFERRED EMBODIMENTS Embodiments of the present invention will be described below in detail with reference to the drawings. FIG. 1 is a block diagram illustrating a configuration of a network user authentication system according to an embodiment of the present invention. The network user authentication system has a basic configuration shown in FIG.
As shown in the figure, the client terminal 21 that makes an authentication request,
22, a user identifier receiving server 13 for receiving only the user identifier transmitted from the client terminal;
A password receiving server 14 that receives only the password transmitted from the client terminal, an authentication server 11 in which the user identifier and the password are registered, and a client terminal and the server (the authentication server 11, the user identifier receiving server 13, the password Receiving server 14)
Are connected by the network 20.
【0017】ここでのネットワーク20は、ワイド・エ
リア・ネットワーク(WAN)であり、また、認証サー
バ11,利用者識別子受信サーバ13,パスワード受信
サーバ14,各種サービスのためのサーバ(図示せず)
などを含むサーバ群は、ローカル・エリア・ネットワー
ク(LAN)12にも接続されており、クライアント端
末21,22,23からの要求に対して、各種のサービ
スを行うセンタ10を構成している。The network 20 is a wide area network (WAN), and includes an authentication server 11, a user identifier receiving server 13, a password receiving server 14, and a server for various services (not shown).
The server group including the server is also connected to a local area network (LAN) 12, and constitutes a center 10 that performs various services in response to requests from the client terminals 21, 22, and 23.
【0018】利用者がネットワークを介して各種のサー
ビスを受けるため、クライアント端末21から、ワイド
・エリア・ネットワーク(WAN)20に接続されたサ
ーバ群のセンタ10に対して認証要求を行う。その場
合、認証要求のために準備した利用者識別子(ID1)
およびパスワード(AAA)はそれぞれ異なるサーバに
送信する。つまり、利用者識別子は利用者識別子受信サ
ーバ13に対して、パスワードはパスワード受信サーバ
14に対してそれぞれ送信する。別々に送信された利用
者識別子とパスワードは、ネットワーク20を経由し
て、それぞれ非同期に利用者識別子受信サーバ13およ
びパスワード受信サーバ14で受信され、認証サーバ1
1において、認証処理が行われる。In order for a user to receive various services via a network, an authentication request is made from a client terminal 21 to a center 10 of a group of servers connected to a wide area network (WAN) 20. In that case, the user identifier (ID1) prepared for the authentication request
And the password (AAA) are transmitted to different servers. That is, the user identifier is transmitted to the user identifier receiving server 13, and the password is transmitted to the password receiving server 14. The separately transmitted user identifier and password are asynchronously received by the user identifier receiving server 13 and the password receiving server 14 via the network 20, respectively.
At 1, an authentication process is performed.
【0019】ここでは、利用者識別子受信サーバ13に
おいて利用者識別子13aを先に受信した場合を例とし
て、以下に、ネットワーク利用者認証処理について説明
するが、逆に、パスワード受信サーバ14においてパス
ワード14aを先に受信した場合であっても同様であ
る。この場合、認証処理の始まりは、まず、クライアン
ト端末21から送信した利用者識別子「ID1」を受信
した利用者識別子受信サーバ13が、ローカル・エリア
・ネットワーク(LAN)12により接続されている認
証サーバ11に対して、利用者識別子13aである「I
D1」の受信を通知することにより始まる。Here, the network user authentication process will be described below by taking as an example a case where the user identifier 13a is received first by the user identifier receiving server 13. The same applies to the case in which is received first. In this case, the start of the authentication processing is as follows. First, the user identifier receiving server 13 that has received the user identifier “ID1” transmitted from the client terminal 21 is connected to the authentication server connected by the local area network (LAN) 12. 11, "I" which is the user identifier 13a
It starts by notifying the reception of "D1".
【0020】利用者識別子受信サーバ13から利用者識
別子の受信通知を受けた認証サーバ11は、利用者識別
子とパスワードが登録されたファイル11aを参照し
て、利用者識別子「ID1」により該当するレコードを
検索し、そのステータスを「認証待ち」状態とする。続
いて、クライアント端末21が送信したパスワード「A
AA」を受信したパスワード受信サーバ14から、認証
サーバ11に対して「AAA」のパスワード14aの受
信を通知すると、認証サーバ11は、パスワード受信サ
ーバ14から受信したパスワード「AAA」により、利
用者識別子とパスワードが登録されたファイル11aの
該当するレコードのステータスが「認証待ち」となって
いることを確認して、ファイル11aにおいて予め登録
されている登録情報の利用者識別子およびパスワード
と、送信された利用者識別子およびパスワードとの一致
を確認して、ネットワークの利用者の認証を行い、認証
が確認された場合には、予め登録されている利用者識別
子およびパスワードの発信元のクライアント端末21に
対して、認証の通知を行い、クライアント端末21に対
する認証を与える。これにより、クライアント端末は、
サーバ群の各種のサービスを受けることが可能になる。The authentication server 11, which has received the notification of the user identifier from the user identifier receiving server 13, refers to the file 11a in which the user identifier and the password are registered, and records corresponding to the user identifier "ID1". And sets its status to the “waiting for authentication” state. Subsequently, the password “A” transmitted by the client terminal 21
When the password receiving server 14 receiving the “AA” notifies the authentication server 11 of the reception of the “AAA” password 14a, the authentication server 11 uses the password “AAA” received from the password receiving server 14 to output the user identifier. Confirm that the status of the corresponding record of the file 11a in which the password and the password are registered is "waiting for authentication", and the user identifier and the password of the registration information registered in advance in the file 11a and the transmitted password. Confirms the match with the user identifier and the password, authenticates the user of the network, and when the authentication is confirmed, the client terminal 21 that has transmitted the user identifier and the password registered in advance is sent to the client terminal 21. Then, the authentication is notified and the authentication for the client terminal 21 is given. As a result, the client terminal
Various services of the server group can be received.
【0021】なお、上述の例では、利用者識別子受信サ
ーバ13において利用者識別子13aを先に受信した場
合を想定したが、クライアント端末21から送信される
利用者識別子とパスワードは、それぞれ異なる通信経路
によって通知されるため、非同期にそれぞれのサーバに
到着する。そして、それぞれ別のサーバで受信された利
用者識別子およびパスワードにより認証され、利用者が
使用するクライアント端末が予め登録情報の中で指定さ
れているので、その登録されているクライアント端末の
利用者に対して認証を与える。パスワード受信サーバ1
4において、パスワード14aを先に受信した場合につ
いても同様な処理が行われる。これに対応するため、認
証サーバ11上で行われる認証処理の手順について、次
に説明する。In the above example, it is assumed that the user identifier 13a is received first by the user identifier receiving server 13. However, the user identifier and the password transmitted from the client terminal 21 are different from each other through the different communication paths. And arrive at each server asynchronously. Then, each server is authenticated by the user identifier and password received by another server, and the client terminal used by the user is specified in advance in the registration information. Give authentication to. Password receiving server 1
In 4, the same processing is performed when the password 14a is received first. In order to cope with this, a procedure of an authentication process performed on the authentication server 11 will be described below.
【0022】図2は、認証サーバで行う認証処理の手順
を示すフローチャートである。図2に示すように、認証
処理では、まず、クライアント端末から通知された情報
が利用者識別子であるかパスワードであるかを判定する
(ステップ31)。クライアント端末から通知された情
報がパスワードである場合には、利用者識別子とパスワ
ードが登録されたファイル11aから、通知されたパス
ワードに該当するレコードを検索する(ステップ3
2)。また、逆に、クライアント端末から通知された情
報が利用者識別子である場合には、同じく、利用者識別
子とパスワードが登録されたファイル11aから、通知
された利用者識別子に該当するレコードを検索する(ス
テップ33)。FIG. 2 is a flowchart showing a procedure of an authentication process performed by the authentication server. As shown in FIG. 2, in the authentication process, first, it is determined whether the information notified from the client terminal is a user identifier or a password (step 31). If the information notified from the client terminal is a password, a record corresponding to the notified password is searched from the file 11a in which the user identifier and the password are registered (step 3).
2). Conversely, if the information notified from the client terminal is a user identifier, a record corresponding to the notified user identifier is searched from the file 11a in which the user identifier and the password are registered. (Step 33).
【0023】次に、前のレコードの検索処理で検索した
レコードのステータスを参照し、その値に応じた処理に
進む(ステップ34)。すなわち、検索したレコードの
ステータスが「待機」である場合は、ステータスを「認
証待ち」に設定して、クライアント端末からの次の通知
を待つ(ステップ35)。また、検索したレコードのス
テータスが「認証待ち」の場合には、既に利用者識別子
もしくはパスワードが通知された状態であることを示し
ているため、予め登録情報として登録されているレコー
ドの利用者識別子またはパスワードと一致していること
を確認して、該当のクライアント端末に対して認証を与
え(ステップ36)、そして、そのレコードのステータ
スを、初期値の「待機」に設定し、(別の)クライアン
ト端末からの次の通知を待つ(ステップ37)。Next, the status of the record searched in the previous record search process is referred to, and the process proceeds to a process corresponding to the value (step 34). That is, if the status of the retrieved record is "waiting", the status is set to "waiting for authentication" and the next notification from the client terminal is waited (step 35). If the status of the retrieved record is “waiting for authentication”, it indicates that the user identifier or the password has already been notified, so the user identifier of the record registered in advance as registration information Alternatively, after confirming that the password matches the password, authentication is given to the corresponding client terminal (step 36), and the status of the record is set to the initial value "standby", and (another) It waits for the next notification from the client terminal (step 37).
【0024】なお、以上に説明した実施例のネットワー
ク利用者認証システムにおいては、認証サーバ11にお
いて登録情報として保存される利用者識別子とパスワー
ドを登録するファイル11aは、利用者識別子およびパ
スワードのそれぞれについて一意で登録されていること
を前提としている。In the network user authentication system of the embodiment described above, the file 11a for registering the user identifier and the password stored as the registration information in the authentication server 11 includes the user identifier and the password for each. It is assumed that they are uniquely registered.
【0025】このように、本実施例のネットワーク利用
者認証システムは、ネットワークに接続されたそれぞれ
のクライアント端末21,22,23から送信された利
用者識別子のみを受信する利用者識別子受信サーバ13
と、クライアント端末21,22,23から送信された
パスワードのみを受信するパスワード受信サーバ14
と、予め認証のための登録情報として利用者識別子およ
びパスワードのレコードが登録されている認証サーバ1
1とから構成され、認証サーバ11が、ローカル・エリ
ア・ネットワーク12で接続された利用者識別子受信サ
ーバ13およびパスワード受信サーバ14とそれぞれ通
信を行うことにより、クライアント端末から送信された
利用者識別子およびパスワードを取得し、認証要求があ
ったクライアント端末に対して認証を与えるように構成
されたシステムとなっている。As described above, according to the network user authentication system of the present embodiment, the user identifier receiving server 13 receives only the user identifier transmitted from each of the client terminals 21, 22, 23 connected to the network.
And a password receiving server 14 that receives only the password transmitted from the client terminals 21, 22, 23
Authentication server 1 in which a record of a user identifier and a password is registered in advance as registration information for authentication.
The authentication server 11 communicates with the user identifier receiving server 13 and the password receiving server 14 connected via the local area network 12, respectively, so that the user identifier transmitted from the client terminal and The system is configured to acquire a password and provide authentication to a client terminal that has requested authentication.
【0026】そして、クライアント端末21,22,2
3から認証サーバ11に対して認証を要求するにあた
り、そのための利用者識別子およびパスワードを、それ
ぞれ異なるサーバ(利用者識別子受信サーバ13,パス
ワード受信サーバ14)に対して送信するので、これに
より、ネットワーク20上に流れる情報は、利用者識別
子のみもしくはパスワードのみとなり、正当な利用者で
はない第三者によってこれらの情報が盗聴された場合に
も、利用者識別子およびパスワードの適正な組み合わせ
が漏洩することはない。The client terminals 21, 22, 2
When requesting authentication from the authentication server 11 to the authentication server 11, the user identifier and the password for the authentication are transmitted to different servers (user identifier receiving server 13 and password receiving server 14). Only the user identifier or the password is passed on the information 20. Even if the information is eavesdropped by a third party who is not a valid user, the proper combination of the user identifier and the password is leaked. There is no.
【0027】また、クライアント端末から認証のための
データを受信するそれぞれのサーバ(利用者識別子受信
サーバ13,パスワード受信サーバ14)と認証サーバ
11は、ワイド・エリア・ネットワーク(WAN)のネ
ットワーク20に接続されており、認証サーバ11とそ
れぞれのサーバ(13,14)は、このネットワーク2
0の経路により通信を行っても良いが、センタ10内の
ローカル・エリア・ネットワーク12によっても接続さ
れているので、利用者識別子およびパスワードの取得
は、このネットワーク12の経路による通信で行うこと
によって、認証サーバ11に対する外部からの再送によ
る攻撃に対する安全性が高められる。Each server (user identifier receiving server 13 and password receiving server 14) that receives data for authentication from a client terminal and the authentication server 11 are connected to a wide area network (WAN) network 20. The authentication server 11 and the respective servers (13, 14) are connected to this network 2
Although the communication may be performed through the route 0, the user identifier and the password are obtained by performing the communication through the network 12 because the connection is also made through the local area network 12 in the center 10. Thus, the security against an attack by the external retransmission to the authentication server 11 is improved.
【0028】ところで、上述した例では、クライアント
端末21から送信される利用者識別子とパスワードは、
それぞれ異なる通信経路によって通知され、非同期にそ
れぞれのサーバに到着する。それぞれ別のサーバで受信
される利用者識別子およびパスワードなどの送信情報に
は、通常の場合、それぞれの発信元となっている同じク
ライアント端末の識別情報が付加されてくる。そのた
め、両方のサーバ(利用者識別子受信サーバ13,パス
ワード受信サーバ14)が、同時に盗聴されていた場合
には、クライアント端末の識別情報をキーにして利用者
識別子とパスワードを組み合わせることが可能になって
しまう。このような危険性を避けるため、上述した例で
は、ネットワーク利用者に認証を与える場合のクライア
ント端末の識別情報は登録情報の中に予め登録してお
き、利用者識別子およびパスワードの送信情報には、発
信元のクライアント端末の識別情報を付加しないように
して送信するようにしている。In the above example, the user identifier and the password transmitted from the client terminal 21 are:
Each is notified by a different communication path, and arrives at each server asynchronously. In general, identification information of the same client terminal that is the source of each transmission is added to transmission information such as a user identifier and a password received by different servers. Therefore, when both servers (user identifier receiving server 13 and password receiving server 14) are simultaneously eavesdropped, it becomes possible to combine the user identifier and the password using the identification information of the client terminal as a key. Would. In order to avoid such a risk, in the above-described example, the identification information of the client terminal when the authentication is given to the network user is registered in advance in the registration information, and the transmission information of the user identifier and the password is included in the transmission information of the user identifier and the password. The transmission is performed without adding the identification information of the client terminal of the transmission source.
【0029】しかし、このようにネットワーク利用者の
発信元のクライアント端末の識別情報を送信せず、利用
者が使用できるクライアント端末を予め登録した端末の
みに限定すると、ネットワーク利用形態が制限されるの
で好ましくない。この場合に対しては、利用者が操作す
るクライアント端末から送信する利用者識別子およびパ
スワードの送信情報には、利用者識別子もしくはパスワ
ードのいずれか一方のみにクライアント端末の識別情報
を付与する。そして、認証サーバにおいては、それぞれ
異なる受信サーバから利用者識別子もしくはパスワード
のいずれか一方の受信の通知を受けた際、その一方に付
加されているクライアント端末の識別情報を、通知を受
けた利用者識別子もしくはパスワードに対応して設定し
ておき、その後の利用者識別子およびパスワードの一致
により認証が成立した場合に、設定した識別情報の発信
元のクライアント端末に対して認証を与える(送信す
る)ようにする。これにより、ネットワークの利用者
は、ネットワークに接続されているどのクライアント端
末からでも、利用者の認証を得ることができる。However, if the identification information of the client terminal that is the transmission source of the network user is not transmitted as described above and the client terminal that can be used by the user is limited to the terminal registered in advance, the network usage form is restricted. Not preferred. In this case, the identification information of the client terminal is added to only one of the user identifier and the password in the transmission information of the user identifier and the password transmitted from the client terminal operated by the user. Then, when the authentication server receives notification of reception of either the user identifier or the password from the different reception servers, the identification information of the client terminal added to one of the notification servers is replaced by the user who received the notification. It is set in correspondence with the identifier or the password, and when the authentication is established by the subsequent matching of the user identifier and the password, the authentication is given (transmitted) to the client terminal that has transmitted the set identification information. To Thus, the user of the network can obtain the user authentication from any client terminal connected to the network.
【0030】上述したようにネットワーク利用者認証シ
ステムを変形する場合には、図1の認証サーバ11にお
ける認証処理の登録情報のためのファイル11aを、図
3に示すように、利用者識別子およびパスワードの登録
情報に対応して、クライアント端末の識別情報を設定で
きるような構造のファイル41aの構成に変形する。When the network user authentication system is modified as described above, the file 11a for the registration information of the authentication processing in the authentication server 11 of FIG. 1 is stored as shown in FIG. Is modified to a configuration of a file 41a having a structure in which identification information of a client terminal can be set in accordance with the registration information.
【0031】図3は本発明による他の実施例のネットワ
ーク利用者認証システムの構成を説明するブロック図で
ある。次に、図3に示すネットワーク利用者認証システ
ムを説明するが、基本的な動作は、図1により説明した
システムと同様であるので、同じ説明となる部分の説明
は避けて、異なる部分についてのみ説明する。FIG. 3 is a block diagram illustrating the configuration of a network user authentication system according to another embodiment of the present invention. Next, the network user authentication system shown in FIG. 3 will be described. However, since the basic operation is the same as that of the system described with reference to FIG. explain.
【0032】図3に示す認証サーバ41は、認証処理の
登録情報のためのファイル41aとして、図3に示すよ
うに、利用者識別子およびパスワードの登録情報に対応
して、クライアント端末の識別情報を設定できるような
列(データフィールド)が設けられたものとする。認証
を受けるために、利用者が操作するクライアント端末2
1からは、利用者識別子もしくはパスワードのいずれか
一方のみにクライアント端末の識別情報を付与して、そ
れぞれ異なる受信サーバに利用者識別子およびパスワー
ドを送信するので、この受信の通知を受けた認証サーバ
41は、受信サーバのいずれかの一方のサーバからクラ
イアント端末の識別情報が通知された時点で、ファイル
41aにおいて利用者識別子およびパスワードの登録情
報に対応して、クライアント端末の識別情報を設定す
る。As shown in FIG. 3, the authentication server 41 shown in FIG. 3 stores the identification information of the client terminal in correspondence with the registration information of the user identifier and the password as a file 41a for the registration information of the authentication processing. It is assumed that a column (data field) that can be set is provided. Client terminal 2 operated by the user to receive authentication
From 1, the identification information of the client terminal is added to only one of the user identifier and the password, and the user identifier and the password are transmitted to the different receiving servers, respectively. Sets the identification information of the client terminal in the file 41a in accordance with the registration information of the user identifier and the password when the identification information of the client terminal is notified from one of the receiving servers.
【0033】そして、認証処理(図2)では、既に利用
者識別子もしくはパスワードが通知され、次にパスワー
ドもしくは利用者識別子が通された際、その通知された
予め登録情報として登録されているレコードの利用者識
別子またはパスワードと一致していることを確認して、
該当のクライアント端末に対して認証を与える(ステッ
プ36)が、その時には、パスワードもしくは利用者識
別子が通された際に、受信サーバのいずれかの一方のサ
ーバからクライアント端末の識別情報が通知されて、設
定されているので、その識別情報のクライアント端末を
該当のクライアント端末として認証を付与する(送信す
る)。In the authentication process (FIG. 2), the user identifier or the password is already notified, and when the password or the user identifier is passed next, the notified record of the record registered in advance as the registration information is transmitted. Make sure it matches your user identifier or password,
Authentication is given to the corresponding client terminal (step 36). At that time, when the password or the user identifier is passed, the identification information of the client terminal is notified from one of the receiving servers. Is set, authentication is given (transmitted) with the client terminal of the identification information as the corresponding client terminal.
【0034】また、このように変形した場合において
も、前述の場合と同様に、両方のサーバ(利用者識別子
受信サーバ13,パスワード受信サーバ14)が、同時
に盗聴されていた場合の別の問題として、たとえ利用者
識別子とパスワードの組み合わせを得ることができない
としても、ある時点で盗聴した全データ(パスワードお
よび利用者識別子を含む全データ)を保持しておき、盗
聴者のクライアント端末を要求端末として、それぞれの
サーバに全データを送りつけることによって、要求端末
に対して認証を与えてしまうという危険性がある。Even in the case of such a modification, as in the case described above, another problem arises when both servers (user identifier receiving server 13 and password receiving server 14) are simultaneously eavesdropped. Even if it is not possible to obtain a combination of a user identifier and a password, all data intercepted at a certain point in time (all data including the password and the user identifier) are retained, and the client terminal of the eavesdropper is used as a request terminal. By sending all data to each server, there is a danger that authentication is given to the requesting terminal.
【0035】これに対しては、認証サーバにおいて、異
なるサーバで受信した利用者識別子およびパスワードの
一致を確認して、クライアント端末に認証を与える際
(ステップ36)には、ファイル41aの全体を検索
し、同一端末から複数の認証要求が発行されていないこ
とを、認証するための前提条件として認証を与えるよう
にする。なお、その場合、複数の認証ID(利用者識別
子およびパスワード)を登録している正規の利用者であ
っても、同一のクライアント端末から複数の認証IDに
より認証要求を発行するとエラーとなることを、正規の
利用者に対して周知しておくことを前提条件としてシス
テム運用する。On the other hand, when the authentication server confirms the coincidence of the user identifier and the password received by the different servers and gives authentication to the client terminal (step 36), the entire file 41a is searched. Then, the fact that a plurality of authentication requests are not issued from the same terminal is given as a precondition for authentication. In this case, even if an authorized user who has registered a plurality of authentication IDs (user identifiers and passwords) issues an authentication request from the same client terminal using a plurality of authentication IDs, an error occurs. The system is operated on the premise that it is known to authorized users.
【0036】[0036]
【発明の効果】以上、説明したように、本発明のネット
ワーク利用者認証方法によれば、クライアント端末から
サーバに対して認証を要求するにあたり、利用者識別子
とパスワードをそれぞれ異なるサーバに対して送信する
ので、ネットワーク上に流れる情報は利用者識別子のみ
もしくはパスワードのみとなり、正当な利用者ではない
第三者によってこれらの情報が盗聴された場合にも、利
用者識別子およびパスワードの適正な組み合わせが漏洩
することはなく、これにより、第三者が暗号解読に成功
した場合であっても、クライアント端末の正当な利用者
を安全に認証することができるという効果を奏する。As described above, according to the network user authentication method of the present invention, when requesting authentication from a client terminal to a server, a user identifier and a password are transmitted to different servers. Therefore, the only information that flows on the network is the user identifier or only the password. Even if this information is intercepted by a third party who is not a valid user, the proper combination of the user identifier and password is leaked. Therefore, even if the third party succeeds in decrypting the encrypted data, it is possible to securely authenticate a valid user of the client terminal.
【図1】本発明の一実施例のネットワーク利用者認証シ
ステムの構成を説明するブロック図である。FIG. 1 is a block diagram illustrating a configuration of a network user authentication system according to an embodiment of the present invention.
【図2】認証サーバで行う認証処理の手順を示すフロー
チャートである。FIG. 2 is a flowchart illustrating a procedure of an authentication process performed by an authentication server.
【図3】本発明の他の実施例のネットワーク利用者認証
システムの構成を説明するブロック図である。FIG. 3 is a block diagram illustrating a configuration of a network user authentication system according to another embodiment of the present invention.
10 センタ 11 認証サーバ 12 ローカル・エリア・ネットワーク(LAN) 13 利用者識別子受信サーバ 14 パスワード受信サーバ 20 ワイド・エリア・ネットワーク(WAN) 21 クライアント端末 22 クライアント端末 23 クライアント端末 41 認証サーバ 10 Center 11 Authentication Server 12 Local Area Network (LAN) 13 User Identifier Receiving Server 14 Password Receiving Server 20 Wide Area Network (WAN) 21 Client Terminal 22 Client Terminal 23 Client Terminal 41 Authentication Server
Claims (7)
びパスワードをサーバに送信し、当該サーバの登録情報
の中の該当する利用者識別子およびパスワードの存在を
確認して利用者の認証を行うネットワーク利用者認証シ
ステムにおいて、 利用者が操作するクライアント端末は利用者識別子およ
びパスワードをそれぞれ異なるサーバに送信し、 異なるサーバで受信した利用者識別子およびパスワード
によりクライアント端末の利用者の認証を行うことを特
徴とするネットワーク利用者認証方法。1. A network user authentication for transmitting a user identifier and a password from a client terminal to a server, confirming the existence of the user identifier and the password in the registration information of the server, and authenticating the user. In the system, a client terminal operated by a user transmits a user identifier and a password to different servers, respectively, and authenticates a user of the client terminal based on the user identifier and the password received by the different servers. User authentication method.
びパスワードを認証サーバに送信し、認証サーバの登録
情報の中の該当する利用者識別子およびパスワードの存
在を確認して利用者の認証を行うネットワーク利用者認
証システムにおいて、 利用者がクライアント端末から送信する利用者識別子お
よびパスワードをそれぞれ異なるサーバに対して送信
し、 認証サーバは異なるサーバで受信した利用者識別子およ
びパスワードにより登録情報の中の該当する利用者識別
子およびパスワードの存在を確認して利用者の認証を行
うことを特徴とするネットワーク利用者認証方法。2. A network user who transmits a user identifier and a password from a client terminal to an authentication server and confirms the existence of the corresponding user identifier and password in the registration information of the authentication server to authenticate the user. In the authentication system, the user sends the user identifier and password sent from the client terminal to different servers, and the authentication server uses the user identifier and password received by the different server to register the corresponding user in the registration information. A network user authentication method characterized by confirming the existence of an identifier and a password to perform user authentication.
識別子のみを受信する第1サーバと、 前記クライアント端末から送信されたパスワードのみを
受信する第2サーバと、 ローカル・エリア・ネットワークにより前記第1サーバ
および前記第2サーバと接続され、前記第1サーバおよ
び前記第2サーバから利用者識別子およびパスワードを
取得して、予め登録された利用者識別子およびパスワー
ドにより利用者の認証を行う認証サーバとを備えること
を特徴とするネットワーク利用者認証システム。3. A first server that receives only a user identifier transmitted from a client terminal, a second server that receives only a password transmitted from the client terminal, and the first server via a local area network And an authentication server that is connected to the second server, acquires a user identifier and a password from the first server and the second server, and authenticates the user with a pre-registered user identifier and password. A network user authentication system, characterized in that:
端末から送信された利用者識別子のみを受信する第1サ
ーバと、 ネットワークに接続されたクライアント端末から送信さ
れたパスワードのみを受信する第2サーバと、 前記第1サーバおよび前記第2サーバから利用者識別子
およびパスワードをそれぞれネットワークを介して受信
して、予め登録された利用者識別子およびパスワードに
より利用者の認証を行う認証サーバとを備えることを特
徴とするネットワーク利用者認証システム。4. A first server that receives only a user identifier transmitted from a client terminal connected to a network, a second server that receives only a password transmitted from a client terminal connected to the network, An authentication server which receives a user identifier and a password from the first server and the second server via a network, respectively, and authenticates the user with a user identifier and a password registered in advance. Network user authentication system.
びパスワードをサーバに送信し、当該サーバの登録情報
の中の該当する利用者識別子およびパスワードの存在を
確認して利用者の認証を行うネットワーク利用者認証シ
ステムにおいて、 利用者が操作するクライアント端末は利用者識別子およ
びパスワードのいずれか一方にクライアント端末の識別
情報を付加し、利用者識別子およびパスワードをそれぞ
れ異なるサーバに送信し、 異なるサーバで受信した利用者識別子およびパスワード
により該当するクライアント端末の利用者の認証を行う
ことを特徴とするネットワーク利用者認証方法。5. A network user authentication for transmitting a user identifier and a password from a client terminal to a server, confirming the existence of the user identifier and the password in the registration information of the server, and authenticating the user. In the system, the client terminal operated by the user adds the identification information of the client terminal to either the user identifier or the password, transmits the user identifier and the password to different servers, and receives the user from the different server. A network user authentication method, wherein a user of a corresponding client terminal is authenticated by an identifier and a password.
びパスワードを認証サーバに送信し、認証サーバの登録
情報の中の該当する利用者識別子およびパスワードの存
在を確認して利用者の認証を行うネットワーク利用者認
証システムにおいて、 利用者がクライアント端末から送信する利用者識別子お
よびパスワードのいずれか一方にクライアント端末の識
別情報を付加し、利用者識別子およびパスワードをそれ
ぞれ異なるサーバに対して送信し、 認証サーバは異なるサーバで受信した利用者識別子およ
びパスワードにより登録情報の中の該当する利用者識別
子およびパスワードの存在を確認して利用者の認証を行
い、該当のクライアント端末に認証を与えることを特徴
とするネットワーク利用者認証方法。6. A network user who transmits a user identifier and a password from a client terminal to an authentication server, checks the existence of the corresponding user identifier and password in the registration information of the authentication server, and authenticates the user. In the authentication system, the user adds the identification information of the client terminal to one of the user identifier and the password transmitted from the client terminal, transmits the user identifier and the password to different servers, and the authentication server is different. Network usage characterized in that the existence of the corresponding user identifier and password in the registration information is confirmed based on the user identifier and password received by the server, the user is authenticated, and the corresponding client terminal is authenticated. Authentication method.
利用者認証システムにおいて、 ネットワークに接続されたクライアント端末から送信す
る利用者識別子およびパスワードは、いずれか一方のみ
にクライアント端末の識別情報を付加した利用者識別子
およびパスワードとして送信し、 認証サーバが第1サーバおよび第2サーバから利用者識
別子およびパスワードをそれぞれネットワークを介して
受信した際に、利用者識別子およびパスワードのいずれ
かに付加されているクライアント端末の識別情報を設定
して、認証を与えるクライアント端末を特定することを
特徴とするネットワーク利用者認証システム。7. The network user authentication system according to claim 3, wherein the user identifier and the password transmitted from the client terminal connected to the network have the identification information of the client terminal added to only one of them. A client which is transmitted as a user identifier and a password and which is added to one of the user identifier and the password when the authentication server receives the user identifier and the password from the first server and the second server via the network, respectively. A network user authentication system, wherein terminal identification information is set and a client terminal to be authenticated is specified.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000145471A JP2001325228A (en) | 2000-05-17 | 2000-05-17 | Network user authentication method and network user authentication system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000145471A JP2001325228A (en) | 2000-05-17 | 2000-05-17 | Network user authentication method and network user authentication system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001325228A true JP2001325228A (en) | 2001-11-22 |
Family
ID=18651975
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000145471A Pending JP2001325228A (en) | 2000-05-17 | 2000-05-17 | Network user authentication method and network user authentication system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001325228A (en) |
-
2000
- 2000-05-17 JP JP2000145471A patent/JP2001325228A/en active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8904178B2 (en) | System and method for secure remote access | |
| CN109728909B (en) | Identity authentication method and system based on USBKey | |
| US6993652B2 (en) | Method and system for providing client privacy when requesting content from a public server | |
| CN1846397B (en) | Two-factor authentication type key exchange method, authentication method using same, and recording medium storing program including same | |
| US7325133B2 (en) | Mass subscriber management | |
| EP0651533B1 (en) | Method and apparatus for privacy and authentication in a mobile wireless network | |
| KR101009330B1 (en) | Methods, systems, and authentication centers for authentication in end-to-end communications based on mobile networks | |
| US8793497B2 (en) | Puzzle-based authentication between a token and verifiers | |
| US20030196084A1 (en) | System and method for secure wireless communications using PKI | |
| CN103906052B (en) | A kind of mobile terminal authentication method, Operational Visit method and apparatus | |
| CN110493162A (en) | Identity identifying method and system based on wearable device | |
| JP2001186122A (en) | Authentication system and authentication method | |
| CN115473655B (en) | Terminal authentication method, device and storage medium for access network | |
| JP2001177513A (en) | Authentication method in communication system, center device, recording medium storing authentication program | |
| RU2363985C2 (en) | Call-based authentication, without need for knowledge of secret authentication data | |
| CN111224784A (en) | Role separation distributed authentication and authorization method based on hardware trusted root | |
| CN117354032A (en) | Multiple authentication method based on code server | |
| JPH10242957A (en) | User authentication method, system therefor and storage medium for user authentication | |
| CN110532741B (en) | Personal information authorization method, authentication center and service provider | |
| CN118802143A (en) | Data transmission method, device and electronic equipment | |
| JP2017139026A (en) | Method and apparatus for reliable authentication and logon | |
| CN117938375A (en) | User authentication method and system for third-party platform integrated open platform | |
| CN112035820B (en) | Data analysis method used in Kerberos encryption environment | |
| JP2003224562A (en) | Personal authentication system and program | |
| CN119892356B (en) | Personal application-level global quantum security encryption proxy gateway and communication system |