WO2005038661A1

WO2005038661A1 - 端末認証装置および方法

Info

Publication number: WO2005038661A1
Application number: PCT/JP2004/015862
Authority: WO
Inventors: Tomohiro Koganei; Teruo Koukai
Original assignee: Matsushita Electric Industrial Co Ltd
Current assignee: Panasonic Holdings Corp
Priority date: 2003-10-22
Filing date: 2004-10-20
Publication date: 2005-04-28
Anticipated expiration: 2006-04-22
Also published as: EP1677205A1; JPWO2005038661A1; CN1871593A; US7603369B2; JP4453656B2; EP1677205A4; US20060184533A1; CN100492335C

Abstract

端末ＩＤによって認証するクライアント・サーバシステムにおいて、旧バージョンと新バージョンとで端末ＩＤの生成方法が変更された場合においても端末機器を正しく認証することができ、ｎｅｔＴＶや携帯電話、銀行ＡＴＭオンラインネットワークなどの認証装置として有用な端末認証装置が提供される。この端末認証装置は、クライアント側から旧バージョンの生成方法で生成した端末ＩＤと新バージョンの生成方法で生成した端末ＩＤの２つをサーバに送信する。こうすることによって、サーバ側でこの２つのＩＤから旧バージョンのＩＤフィールドと新バージョンのＩＤフィールドにより認証し、かつ新バージョンのＩＤに更新する。

Description

明細書

端末認証装置および方法

技術分野

本発明は、通信ネットワーク上での端末認証を行なうクライアント ·サーバシステムにおける機器の端末 I Dによる認証に関する。背景技術

従来より、通信ネットワーク上での認証を行なうクライアント ·サ

—バシステムにおいては、ュ一ザ名やパスヮ一ド等を認証情報として送信する B A S I C認証や、その認証情報を暗号化して送信する D i g e s t認証などにより、ユーザを識別することは広く用いられている。また、特開 2 0 0 2 - 2 6 9 0 5 2号公報に記載されている技術は、携帯電話番号と端末固有の I D番号とユーザの指紋と組み合わせによって、より厳格な認証を実現している。一方、インターネット接続対応テレビ（以下、 n e t T Vという）も機器固有の値によりュ二一クな I Dをサ一バに送信することで認証を行なっている。また、デジタル放送テレビ受信機などではオンエアダウンロードの仕組みによって受信機のソフトウェアを書き換えてバージョンアツプすることが可能となっている。また、デジタル放送受信機能付きの n e t T V もダウンロードによつてソフトウエアのパージョンアツプが可能である。発明の開示

端末認証装置は

機器固有の値からユニークな I Dを生成する端末 I D生成手段と、

端末 I D生成手段で生成された端末 I Dを格納する端末 I D格納手段と、

端末 I D格納手段で格納された端末 I Dを合成するヘッダ情報合成手段と、

クライアン卜デ一夕をサーバに送信するクライアントデータ送信手段と、

サーバから送信されたデータを受信するサーバデータ受信手段と、

受信したデータを表示する表示処理手段と

を具備するクライアント装置と、

クライアン卜から送信されたデータを受信するクライントデ一夕受信手段と、

クライントデ一夕受信手段で受信したデータから端末 I Dを取り出す端末 I D取り出し手段と、

端末 I D取り出し手段で取り出された I Dを登録されている情報と比較する端末 I D比較手段と、

データベースからデータを読み込むデータ読込み手段と、データベースへデータを書き込むデータ書込み手段と、端末 I D比較手段で比較された I Dにより端末を認証する端末認証手段と、

サーバデータをクライアントに送信するサ一バデ一夕送信手段と

を具備するサーバ装置と

を備える。

端末認証方法は

機器固有の値からユニークな I Dを生成する端末 I D生成ステップと、

端末 I D生成ステツプで生成された端末 I Dを格納する端末 I D格納ステツプと、

端末 I D格納ステツプで格納された端末 I Dを合成するへッダ情報合成ステップと、

クライアントデータをサーバに送信するクライアントデ一夕送信ステップと、

サーバから送信されたデ一夕を受信するサーバデータ受信ステップと、

受信したデータを表示する表示処理ステップと

クライアントから送信されたデータを受信するクライントデ一タ受信ステツプと、

クライントデータ受信ステツプで受信したデータから端末 I D を取り出す端末 I D取り出しステップと、

端末 I D取り出しステツプで取り出された I Dを登録されている情報と比較する端末 I D比較ステップと、

データベースからデータを読み込むデ一夕読込みステップと、データベースへデータを書き込むデータ書込みステツプと、端末 I D比較ステツプで比較された I Dにより端末を認証する端末認証ステップと、

サーバデータをクライアントに送信するサーバデータ送信ステップと

を備える。図面の簡単な説明

図 1は本発明の実施の形態における端末認証装置の構成を示すプロック図である。図 2は本発明の実施の形態におけるクライアン卜側の処理を示すフローチャートである。

図 3は本発明の実施の形態におけるサーバ側の処理を示すフローチヤー卜である。発明を実施するための最良の形態上述の従来方式では、旧バージョンのソフトウエアと新バージョンのソフトウェアとで I Dの生成方法が変更された場合には、バージョンアップすることによって、旧バージョンで認証されていた端末が新バージョンになった途端に認証に失敗してしまうという事態が発生する。また将来的に I P V 6が運用されるようになると、管理できるァドレス空間の拡張などにより、 I P v 4で登録されていた認証のための情報を再度登録する作業が発生する。本発明は、このように旧 '新バ一ジョンのソフトウェアで I Dの生成方法が変更された場合においても端末機器を正しく認証することが可能な方法を提供することを目的とする。

では、実施の形態を以下に挙げて、本発明を説明する。

図 1は、本発明の実施の形態 1に係る端末認証装置の構成を示すブロック図である。

図 1において、端末認証装置 1 0は、クライアント装置 2 0とサーバ装置 3 0から成る。クライアント装置 2 0は、端末 I D生成手段 1 0 1と、端末 I D格納処理手段 1 0 2と、ヘッダ情報合成処理手段 1 0 3と、クライアントデータ送信手段 1 0 4と、サーバデータ受信手段 1 0 5と、表示処理手段 1 1 3とで構成されている。サーバ装置 3 0は、クライアントデータ受信手段 1 0 6と、端末 I D取り出し手段 1 0 7と、端末 I D比較手段 1 0 8と、デ一夕読込み手段 1 0 9と、データ書込み手段 1 1 0と、端末認証処理手段 1 1 1 と、サーバデー夕送信手段 1 1 2とで構成されている。

端末 I D生成手段 1 0 1は、機器固有の値からユニークな端末 I D を生成して端末 I D格納処理手段 1 0 2へ供給する。端末 I D格納処理手段 1 0 2は受け取った端末 I Dを一旦格納する。ヘッダ^ S報合成処理手段 1 0 3は、必要に応じて、端末 I D格納処理手段 1 0 2に格納された端末 I Dを受け取り、その端末 I Dと他の諸情報とを所定の要領で処理してヘッダ情報を合成する。このヘッダ情報としては、例えば H T T Pへッダ情報が挙げられる。クライアントデータ送信手段 1 0 4は、ヘッダ情報合成処理手段 1 0 3で合成されたヘッダ情報を受け取り、他の情報と供に送信する。通常、この送信される信号は所定のバケツト構造であって、所定のシンタックスに準拠したデータ列である。例えば、パケットにはヘッダ、ペイロード、誤り制裤 P用情報などで構成される。そうして、このデータ列は所定の変調が施される場合がある。

この様にして、クライアント装置 2 0のクライアントデータ送信手段 1 0 4から送信された情報は、サーバ装置 3 0のクライアントデー夕受信手段 1 0 6で受信される。クライアン卜データ受信手段 1 0 6 はクライアントデータ送信手段 1 0 4で実行される処理と概ね逆の処理を実行する。即ち、受け取った情報を基にして、ヘッダ情報合成処理手段 1 0 3で生成されたヘッダ情報が復元され、端末 I D取り出し手段 1 0 7へ供給される。端末 I D取り出し手段 1 0 7は、へッダ情報合成処理手段 1 0 3で実行される処理と概ね逆の処理を実行する。即ち、受け取ったヘッダ情報を基にして、端末 I D格納処理手段 1 0 2から出力された端末 I Dが復元され、端末 I D比較手段 1 0 8へ供給される。

次に、本発明の端末認証装置における端末認証 I Dの生成および書書き換え処理、認証処理について、図 2及び図 3に示すフローチヤ一トを用いて説明する。併せて、図 1の更なる説明も記載する。以下に図 2を用いて端末認証装置の端末装置 2 0、即ちクライアント側の動作処理を説明する。ステップ S 2 0 1で端末 I Dが生成される。この処理は、図 1の端末 I D生成手段 1 0 1での動作に相当する _t そうして、ステップ S 2 0 2に移る。ステップ S 2 0 2で、生成された端末 I Dは端末 I D格納用バッファに格納される。そうして、ステップ S 2 0 3に移る。ステップ S 2 0 3で端末 I Dが複数生成されたかどうかが判断される。複数生成されていなければステップ S 2 0 1 に戻り、複数生成されていればステップ S 2 0 4へ移る。ステップ S 2 0 4で、生成された複数の端末 I Dがヘッダ情報に合成される。このへッダ情報への合成としては、例えば H T T Pへッダ情報への合成である。この処理は、図 1のヘッダ情報合成手段 1 0 3での動作に相当する。そうして、ステップ S 2 0 5へ移る。ステップ S 2 0 5で、端末 I Dを含む H T T Pリクエスト情報はサーバ装置 3 0へ送信される。そうして、サ一バ装置 3 0からのレスポンスを待って、ステップ S 2 0 6へ移る。ステップ S 2 0 6で、サーバ装置 3 0から送信されたデータが受信される。そうして、ステップ S 2 0 7へ移る。ステツプ S 2 0 7で、受信したデータは表示装置 1 1 4で表示され、処理は終了する。

ところで、上述のごとく本実施の形態では、クライアント装置 2 0 で端末 I Dを複数個発生させる。その理由を以下に記載する。新バージョンのソフトウェアにおいて、新パ一ジョンでの端末 I D生成方法と旧バージョンでの端末 I D生成方法によって複数個の端末 I Dを生成する動作を実行させることで、必ず旧バージョンでの端末 I Dも生成される。即ち、新バ一ジョンでの端末 I D生成方法により生成した端末 I Dだけが送信されることはなく、必ず旧バ一ジョンでの端末 I D生成方法により生成した端末 I Dも併せて送信されることになる。この様に動作させることで、旧 ·新バ一ジョンのソフ卜ウェアの間で端末 I Dの生成方法が変更された場合においても、旧 · 新バージョンそれぞれの生成方法により生成した端末 I D情報に基づき、サ一バ側では端末機器を正しく認証することが可能となる。その詳細は、図 3 の説明の際に更に詳細に記載する。

次に図 3を用いて本発明の端末認証装置におけるサーバ装置 3 0、即ち認証側の動作処理を説明する。ステツプ S 3 0 1でクライアン卜から送信されたクライアントデータが受信される。即ち、サーバ装置 3 0は、クライアント装置 2 0のクライアントデ一夕送信手段 1 0 4 からのクライアントデータが受信される。そうして、ステップ S 3 0 2へ移る。ステップ S 3 0 2で、受信したデータ中に含まれる端末 I Dのフィ一ルドから端末 I Dが取り出され、ステップ S 3 0 3へ移る。ステップ 3 0 2は、端末 I D取り出し処理手段 1 0 7での動作に相当する。ステップ S 3 0 3で、データベースに登録されている端末情報が読込み出される。即ち、データ読み込み手段 1 0 9 まデータベース 1 1 5に登録されている端末情報を読み出す。そうして、ステップ S 3 0 4へ移る。ステップ S 3 0 4で、ステップ S 3 0 2で取り出された端末 I Dと、ステツプ S 3 0 3で読込んだ端末情報とが比較される。即ち、端末 I D比較手段 1 0 8は、データ読み込み手段 1 0 9で読み出された端末情報と端末 I D取り出し処理手段 1 0 7で取り出された端末 I Dとを比較する。このとき、新バージョンでの端末 I Dフィールドの値がデータベースに登録されていない場合であっても、旧バ一ジョンでの端末 I Dフィ一ルドの値がある場合、つまり端末 I Dフィ一ルドが複数ある場合には、それぞれの I D値がデータベースに登録されているかどうかも比較して、その結果をステップ S 3 0 5へ移つて伝達する。

ステツプ S 3 0 5で、ステップ S 3 0 4での比較結果を基に認証が実施される。ステップ 3 0 5は、端末認証処理手段 1 1 1での動作に相当する。認証に失敗したら、即ち認証否定と判定されると、ステツプ S 3 0 6へ移る。逆に、認証に成功したらステップ S 3 0 7へ移る, ステップ S 3 0 6では、認証拒否であることを知らせるデータをクライアントに送信して処理を終了する。ステップ 3 0 6は、サーバデー夕送信手段 1 1 2での動作に相当する。一方、ステップ S 3 0 7で、端末 I Dが複数であるか否かが判定される。端末 I Dが 2つ以上の場合にはステップ S 3 0 8へ移り、 1つの場合にはステップ S 3 0 9へ移る。ステップ S 3 0 8で、旧端末情報が新端末情報に書き換えられる。即ち、端末 I Dが複数の場合には登録されている端末 I Dと比較して、旧バージョンの端末 I Dフィ一レドのいずれかの値と一致した場合には、新パ一ジョンの端末 I Dフィ一ルドの値が新しい端末 I D としてサーバに登録される。

ステップ S 3 0 8は、データ書き込み手段 1 1 0とデータベース 1 1 5とで実行される。そうして、ステップ S 3 0 9へ移る。ステップ S 3 0 9でクライアントに要求デ一夕が送信される。即ち、クライアント装置 2 0からの要求に応じて、データサーバ送信手段 1 1 2は該当する所望のデータを送信する。そうして、処理が終了する。

クライアント装置 2 0は旧バ一ジョンの生成方法で生成した端末 I Dと新バ一ジョンの生成方法で生成した端末 I Dの 2つを送信することは、図 2の説明で既に記載した。ステップ 3 0 8の処理は、サーバ装置 3 0でこの 2つの端末 I Dから旧ノージョンの I Dフィ一ルドと新バージョンの I Dフィールドにより認、証し、かつ新バ一ジョンの端末 I Dに更新する処理である。

ところで、ステップ S 3 0 6で、認証拒否であることを知らせるデ一夕がクライアント側に送信されると、図 2のステップ 2 0 6で、認証拒否であることを知らせるデ一夕が受け取られる。即ち、クライアント装置 2 0のサ一バデータ受信手段 1 0 5が認証拒否であることを知らせるデータを受け取る。この睁、クライアント装置 2 0は、クライアント装置 2 0が要求していたデータ自体を受け取ることが出来ない。

一方、ステップ S 3 0 9でクライアントに要求データが送信されると、図 2のステップ 2 0 6で、所望の要求データが受け取られる。即ち、クライアント装置 2 0は、クライアント装置 2 0が要求していたデータを受け取ることが出来る。

この様にして、認証が成立する場合には、クライアント装置 2 0からの要求に応じて、データサーバ送信手段 1 1 2は該当する所望のデ一夕を送信する。クライアント装置 2 0のサーバデータ受信手段 1 0 5は、データサーバ送信手段 1 1 2 から送信された所望のデータを受信する。

以上の説明で記載した通り、本発明の認証端末装置は、クライアン卜装置とサーバ装置を備えている。そうして、本発明のクライアント装置は、クライアント装置機器固有の値からユニークな I Dを生成する端末 I D生成手段と、端末 I D生成手段で生成された端末 I Dを格納する端末 I D格納手段と、端末 I D格納手段で格納された端末 I D を合成するヘッダ情報合成手段と、クライアントデ一タをサーバに送信するクライアントデータ送信手段と、サーバから送信されたデ一夕を受信するサーバデータ受信手段と、受信したデ一夕を表示する表示処理手段とを具備する。また、本発明のサ一パ装置は、クライアントから送信されたデ一夕を受信するクライントデータ受信手段と、クラィン卜デ一夕受信手段で受信したデータから端末 I Dを取り出す端末 I D取り出し手段と、端末 I D取り出し手段で取り出された I Dを登録されている情報と比較する端末 I D比較手段と、デ一夕ベースからデ一夕を読み込むデータ読込み手段と、データべ一スへデ一夕を書き込むデータ書込み手段と、端末 I D比較手段で比較された I Dにより端末を認証する端末認証手段と、サーバデータをクライアン卜に送信するサーバデータ送信手段とを具備する。

また、本発明の端末認証装置は、上記端末認証装置の端末 I D生成手段は、機器固有の値からユニークな I Dを生成する端末 I D生成手段であって、複数の機器固有の値からそれぞれユニークな I Dを生成することが可能である。

また、本発明の端末 I D比較手段は、端末 I D取り出し手段で取り出された I Dと登録されている情報と比較する端末 I D比較手段であつて、取り出された I Dが複数の場合には登録されている I Dと比較して、 1つが一致した場合には他の 1つの I Dを新しい I Dとして登録することも可能である。

なお、ユニークな I Dとは、その属性値としては 1つしか存在しえない唯一固有の記号列や番号であり、複数ある機器の一つ一つを特定するものである。

以上の構成及び動作により、本発明の端末認証装置及び方法は、旧 ·新バ一ジョンのソフトウエアの間で I Dの生成方法が変更された場合においても、端末機器を正しく認証することが可能となる。

産業上の利用可能性

本発明の端末認証装置は、旧バージョンと新バ一ジョンとで端末 I Dの生成方法が変更された場合においても端末機器を正しく認証することができ、 n e t T Vや携帯電話、銀行 A T Mオンラインネットヮークなどの認証装置として有用である。

Claims

請求の範囲

1 . 機器固有の値からユニークな I Dを生成する端末 I D生成手段と、

前記端末 I D生成手段で生成された端末 I Dを格納する端末 I

D格納手段と、

前記端末 I D格納手段で格納された端末 I Dを合成するヘッダ情報合成手段と、

クライアントデータをサーバに送信するクライアントデータ送信手段と、

前記サーバから送信されたデータを受信するサーバデータ受信手段と、

受信したデ一夕を表示する表示処理手段と

を具備するクライアン卜装置と、

クライアントから送信されたデータを受信するクライントデータ受信手段と、

前記クライン卜デ一夕受信手段で受信したデータから端末 I D を取り出す端末 I D取り出し手段と、

前記端末 I D取り出し手段で取り出された I Dを登録されている情報と比較する端末 I D比較手段と、

デ—夕ベースからデ一夕を読み込むデータ読込み手段と、デ—夕べ—スへデータを書き込むデータ書込み手段と、前記端末 I D比較手段で比較された I Dにより端末を認証する端末認証手段と、

サーバデータをクライアントに送信するサーバデータ送信手段と

を具備するサーバ装置とを備える端末認証装置。

2 . 前記端末 I D生成手段は、機器固有の値からユニークな I Dを生成する端末 I D生成手段であって、複数の機器固有の値からそれぞれユニークな I Dを生成する請求項 1記載の端末認証装置。

3 . 前記端末 I D比較手段は、端末 I D取り出し手段で取り出された端末 I Dと登録されている情報と比較する端末 I D比較手段であつて、取り出された I Dが複数の場合には登録されている I Dと比較して、 1つが一致した場合には、他の 1つの I Dを新しい I Dとして登録する請求項 1または請求項 2記載の端末認証装置。

4 . 機器固有の値からユニークな I Dを生成する端末 I D生成ステップと、

前記端末 I D生成ステツプで生成された端末 I Dを格納する端末 I D格納ステツプと、

前記端末 I D格納ステツプで格納された端末 I Dを合成するへッダ情報合成ステップと、

クライアントデータをサーバに送信するクライアン卜データ送信ステップと、

サーバから送信されたデ一夕を受信するサーバデ一夕受信ステップと、

受信したデータを表示する表示処理ステップと

クライアントから送信されたデータを受信するクライントデ一夕受信ステップと、

前記クライントデ一夕受信ステップで受信したデ一夕から端末 I Dを取り出す端末 I D取り出しステップと、前記端末 I D取り出しステップで取り出された I Dを登録されている情報と比較する端末 I D比較ステップと、

データベースからデータを読み込むデータ読込みステップと、データベースへデータを書き込むデータ書込みステツプと、前記端末 I D比較ステツプで比較された I Dにより端末を認証する端末認証ステップと、

サーバデータをクライアントに送信するサーバデ一タ送信ステップと

を備える端末認証方法。

5 . 前記端末 I D生成ステップは、機器固有の値からユニークな I Dを生成する端末 I D生成ステップであって、複数の機器固有の値からそれぞれユニークな I Dを生成する請求項 4記載の端末認証方法。

6 . 前記端末 I D比較ステップは、端末 I D取り出しステップで取り出された端末 I Dと登録されている情報と比較する端末 I D比較ステツプであって、取り出された I Dが複数の場合には登録されている I Dと比較して、 1つが一致した場合には、他の 1つの I Dを新しい I Dとして登録する請求項 4または請求項 5記載の端末認証方法。

7 . 前記請求項 4〜 6のいずれか一つに記載の端末認証方法の各ステツプをコンピュー夕に実行させるためのプログラムを記録したコンピュー夕読み取り可能な記録媒体。