JP2002366522A - ユーザ認証型vlan - Google Patents
ユーザ認証型vlanInfo
- Publication number
- JP2002366522A JP2002366522A JP2001174422A JP2001174422A JP2002366522A JP 2002366522 A JP2002366522 A JP 2002366522A JP 2001174422 A JP2001174422 A JP 2001174422A JP 2001174422 A JP2001174422 A JP 2001174422A JP 2002366522 A JP2002366522 A JP 2002366522A
- Authority
- JP
- Japan
- Prior art keywords
- user
- user authentication
- client
- information
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【課題】 本発明は、セキュリティを強化したユーザ認
証型VLANを提供する。 【解決手段】 セキュリティトークン10に格納された
デバイス情報を用いて、デバイス認証サーバ3aにより
デバイス認証を行い、デバイス認証されると、セキュリ
ティトークン10に格納されたユーザ情報を用いて、ユ
ーザ認証サーバ3bによりユーザ認証を行って、クライ
アントが接続可能なVLANを特定するユーザ認証型V
LANである。
証型VLANを提供する。 【解決手段】 セキュリティトークン10に格納された
デバイス情報を用いて、デバイス認証サーバ3aにより
デバイス認証を行い、デバイス認証されると、セキュリ
ティトークン10に格納されたユーザ情報を用いて、ユ
ーザ認証サーバ3bによりユーザ認証を行って、クライ
アントが接続可能なVLANを特定するユーザ認証型V
LANである。
Description
【0001】
【発明の属する技術分野】本発明は、ユーザ認証型VL
AN(Virtual Local Area Network)に係り、特に、ユ
ーザの認証機能を強化したユーザ認証型VLANに関す
る。
AN(Virtual Local Area Network)に係り、特に、ユ
ーザの認証機能を強化したユーザ認証型VLANに関す
る。
【0002】
【従来の技術】従来のユーザ認証型VLANについて図
2を用いて説明する。図2は、従来のユーザ認証型VL
ANの概略構成を示す図である。従来のユーザ認証型V
LANは、図2に示すように、クライアント1と、スイ
ッチ2と、認証サーバ3と、業務系データベース4と、
会計サーバ5とから構成されている。
2を用いて説明する。図2は、従来のユーザ認証型VL
ANの概略構成を示す図である。従来のユーザ認証型V
LANは、図2に示すように、クライアント1と、スイ
ッチ2と、認証サーバ3と、業務系データベース4と、
会計サーバ5とから構成されている。
【0003】クライアント1は、スイッチ2に接続する
コンピュータであり、ユーザIDとパスワードを入力し
て、スイッチ2を介して業務系データベース4又は会計
サーバ5に接続して特定の処理を行うものである。スイ
ッチ2は、クライアント1からの接続要求があると、ク
ライアント1から入力されたユーザIDとパスワードを
認証サーバ3に出力し、認証サーバ3で認証されるとク
ライアント1を認証された業務系VLAN又は会計系V
LANに接続する。
コンピュータであり、ユーザIDとパスワードを入力し
て、スイッチ2を介して業務系データベース4又は会計
サーバ5に接続して特定の処理を行うものである。スイ
ッチ2は、クライアント1からの接続要求があると、ク
ライアント1から入力されたユーザIDとパスワードを
認証サーバ3に出力し、認証サーバ3で認証されるとク
ライアント1を認証された業務系VLAN又は会計系V
LANに接続する。
【0004】認証サーバ3は、スイッチ2から入力され
たクライアント1のユーザID及びパスワードに基づき
接続が認証されたVLANを特定し、スイッチ2に接続
制御の情報を提供する。業務系データベース4は、業務
系VLANを構成する一部である。会計サーバ5は、会
計系VLANを構成する一部である。
たクライアント1のユーザID及びパスワードに基づき
接続が認証されたVLANを特定し、スイッチ2に接続
制御の情報を提供する。業務系データベース4は、業務
系VLANを構成する一部である。会計サーバ5は、会
計系VLANを構成する一部である。
【0005】従来のユーザ認証型VLANの動作につい
て説明する。クライアント1からのログオンによりユー
ザIDとパスワードがスイッチ2に入力されると、スイ
ッチ2はデフォルトVLANとして認証サーバ3に接続
する。認証サーバ3は、入力されたクライアント1のユ
ーザIDとパスワードから当該クライアント1が接続可
能なVLANを特定し、スイッチ2に特定したVLAN
への接続を行わせる情報を提供する。もし、接続可能な
VLANがなければクライアント1の接続は拒否され
る。スイッチ2の接続動作により、クライアント1は目
的のVLANに接続することになる。
て説明する。クライアント1からのログオンによりユー
ザIDとパスワードがスイッチ2に入力されると、スイ
ッチ2はデフォルトVLANとして認証サーバ3に接続
する。認証サーバ3は、入力されたクライアント1のユ
ーザIDとパスワードから当該クライアント1が接続可
能なVLANを特定し、スイッチ2に特定したVLAN
への接続を行わせる情報を提供する。もし、接続可能な
VLANがなければクライアント1の接続は拒否され
る。スイッチ2の接続動作により、クライアント1は目
的のVLANに接続することになる。
【0006】尚、従来のユーザ認証型VLANは、ユー
ザIDとパスワードでのログオンを行うようになってい
るので、LAN接続可能な複数のクライアント1からユ
ーザID及びパスワードが一致すれば同時に接続可能と
なっていた。
ザIDとパスワードでのログオンを行うようになってい
るので、LAN接続可能な複数のクライアント1からユ
ーザID及びパスワードが一致すれば同時に接続可能と
なっていた。
【0007】また、スイッチングハブにLANケーブル
を差し込み、ネットワークを勝手に利用されるのを防止
するために、スイッチングハブを鍵付きの金属製ボック
スに入れて保護することが行われていた。この場合、当
該ボックスの設置に設備コストが掛かることとなってい
た。
を差し込み、ネットワークを勝手に利用されるのを防止
するために、スイッチングハブを鍵付きの金属製ボック
スに入れて保護することが行われていた。この場合、当
該ボックスの設置に設備コストが掛かることとなってい
た。
【0008】
【発明が解決しようとする課題】しかしながら、上記従
来のユーザ認証型VLANでは、ユーザIDとパスワー
ドが盗まれてしまうと、簡単にVLANに接続可能とな
り、セキュリティについて心配な面があった。
来のユーザ認証型VLANでは、ユーザIDとパスワー
ドが盗まれてしまうと、簡単にVLANに接続可能とな
り、セキュリティについて心配な面があった。
【0009】本発明は上記実状に鑑みて為されたもの
で、セキュリティを強化したユーザ認証型VLANを提
供することを目的とする。
で、セキュリティを強化したユーザ認証型VLANを提
供することを目的とする。
【0010】
【課題を解決するための手段】上記従来例の問題点を解
決するための本発明は、ユーザ認証型VLANにおい
て、クライアントがログオンする場合に、スイッチがク
ライアントとデバイス認証サーバとをデフォルトとして
接続し、クライアントがセキュリティトークンからデバ
イス情報を読み込んでデバイス認証サーバに出力し、デ
バイス認証サーバが、デバイス情報に基づいてデバイス
認証を行い、LAN接続可能であるか否かを判定し、デ
バイス認証においてLAN接続可能であれば、ユーザ認
証サーバが、ユーザ情報に基づいてユーザ認証を行い、
LAN接続可能であるか否かを判定し、スイッチが、ユ
ーザ認証で接続可能なLANにクライアントを接続する
ものであり、よりセキュリティを向上させることができ
る。
決するための本発明は、ユーザ認証型VLANにおい
て、クライアントがログオンする場合に、スイッチがク
ライアントとデバイス認証サーバとをデフォルトとして
接続し、クライアントがセキュリティトークンからデバ
イス情報を読み込んでデバイス認証サーバに出力し、デ
バイス認証サーバが、デバイス情報に基づいてデバイス
認証を行い、LAN接続可能であるか否かを判定し、デ
バイス認証においてLAN接続可能であれば、ユーザ認
証サーバが、ユーザ情報に基づいてユーザ認証を行い、
LAN接続可能であるか否かを判定し、スイッチが、ユ
ーザ認証で接続可能なLANにクライアントを接続する
ものであり、よりセキュリティを向上させることができ
る。
【0011】本発明は、上記ユーザ認証型VLANにお
いて、セキュリティトークンが指紋照合装置とした場合
に、当該指紋照合装置内に予め登録された本人指紋デー
タとログオン時に読み込ませた指紋データとを比較し、
指紋認証された場合に限り、デバイス情報及びユーザ情
報を出力するものであり、よりセキュリティを強固なも
のにできる。
いて、セキュリティトークンが指紋照合装置とした場合
に、当該指紋照合装置内に予め登録された本人指紋デー
タとログオン時に読み込ませた指紋データとを比較し、
指紋認証された場合に限り、デバイス情報及びユーザ情
報を出力するものであり、よりセキュリティを強固なも
のにできる。
【0012】本発明は、上記ユーザ認証型VLANにお
いて、セキュリティトークンに発行元データを出力する
と共に、デバイス認証サーバに発行元データを出力し、
セキュリティトークンからシリアル番号を読み取ってデ
バイス認証サーバに出力し、ユーザ認証サーバからユー
ザIDとパスワードを入力し、デバイス認証サーバに出
力するデバイス発行元サーバを設けたものであり、各装
置へ認証に必要な情報を適切に設定できる。
いて、セキュリティトークンに発行元データを出力する
と共に、デバイス認証サーバに発行元データを出力し、
セキュリティトークンからシリアル番号を読み取ってデ
バイス認証サーバに出力し、ユーザ認証サーバからユー
ザIDとパスワードを入力し、デバイス認証サーバに出
力するデバイス発行元サーバを設けたものであり、各装
置へ認証に必要な情報を適切に設定できる。
【0013】
【発明の実施の形態】本発明の実施の形態について図面
を参照しながら説明する。本発明の実施の形態に係るユ
ーザ認証型VLANは、セキュリティトークンに格納さ
れたデバイス情報を用いて、デバイス認証サーバにより
デバイス認証を行い、デバイス認証されると、セキュリ
ティトークンに格納されたユーザ情報を用いて、ユーザ
認証サーバによりユーザ認証を行って、クライアントが
接続可能なVLANを特定するようにしているので、よ
りセキュリティを向上させることができるものである。
を参照しながら説明する。本発明の実施の形態に係るユ
ーザ認証型VLANは、セキュリティトークンに格納さ
れたデバイス情報を用いて、デバイス認証サーバにより
デバイス認証を行い、デバイス認証されると、セキュリ
ティトークンに格納されたユーザ情報を用いて、ユーザ
認証サーバによりユーザ認証を行って、クライアントが
接続可能なVLANを特定するようにしているので、よ
りセキュリティを向上させることができるものである。
【0014】本発明の実施の形態に係るユーザ認証型V
LAN(本VLAN)の構成について図1を用いて説明
する。図1は、本発明の実施の形態に係るユーザ認証型
VLANの概略構成図である。本VLANは、図1に示
すように、クライアント1と、スイッチ2と、デバイス
認証サーバ3aと、ユーザ認証サーバ3bと、業務系デ
ータベース4と、会計サーバ5と、デバイス発行元サー
バ6とから構成されている。尚、図1の例では、VLA
Nの種類として、業務系データベース4と会計サーバ5
を取り上げたが、どのような種類のVLANであっても
構わない。
LAN(本VLAN)の構成について図1を用いて説明
する。図1は、本発明の実施の形態に係るユーザ認証型
VLANの概略構成図である。本VLANは、図1に示
すように、クライアント1と、スイッチ2と、デバイス
認証サーバ3aと、ユーザ認証サーバ3bと、業務系デ
ータベース4と、会計サーバ5と、デバイス発行元サー
バ6とから構成されている。尚、図1の例では、VLA
Nの種類として、業務系データベース4と会計サーバ5
を取り上げたが、どのような種類のVLANであっても
構わない。
【0015】本VLANの各部を具体的に説明する。ク
ライアント1は、セキュリティトークン10が接続され
るコンピュータである。セキュリティトークン10と
は、ICカードや指紋照合装置など、個人情報が安全に
保管され、認証による読み書き可能な機器をいう。ま
た、「機器認証」という場合の「機器」もセキュリティ
トークンをいう。更に、セキュリティトークン10に
は、ユーザ認証用のユーザIDとパスワード等のユーザ
情報をユーザ認証サーバ3bから割り当てられて記憶
し、また、指紋照合装置で登録された指紋データ又はI
Cカードのシリアル番号、若しくはデバイス発行サーバ
6から付与されて書き込まれたデータ(発行元データ)
等のデバイス情報を記憶している。ここで、発行元デー
タは、世界に一つしかないよう、重複しないデータとな
っている。クライアント1には、セキュリティトークン
10からデータの読み込みを行う認証専用アプリケーシ
ョンがインストールされていることが前提である。
ライアント1は、セキュリティトークン10が接続され
るコンピュータである。セキュリティトークン10と
は、ICカードや指紋照合装置など、個人情報が安全に
保管され、認証による読み書き可能な機器をいう。ま
た、「機器認証」という場合の「機器」もセキュリティ
トークンをいう。更に、セキュリティトークン10に
は、ユーザ認証用のユーザIDとパスワード等のユーザ
情報をユーザ認証サーバ3bから割り当てられて記憶
し、また、指紋照合装置で登録された指紋データ又はI
Cカードのシリアル番号、若しくはデバイス発行サーバ
6から付与されて書き込まれたデータ(発行元データ)
等のデバイス情報を記憶している。ここで、発行元デー
タは、世界に一つしかないよう、重複しないデータとな
っている。クライアント1には、セキュリティトークン
10からデータの読み込みを行う認証専用アプリケーシ
ョンがインストールされていることが前提である。
【0016】クライアント1は、ログオンに際して、セ
キュリティトークン10に書き込まれたシリアル番号又
は発行元データ等のデバイス情報を読み込んで、スイッ
チ2に出力する。また、クライアント1は、デバイス認
証が為されるとユーザIDとパスワード等のユーザ情報
をセキュリティトークン10から読み込んでスイッチ2
に出力する。そして、クライアント1は、デバイス認
証、ユーザ認証が成功すると、目的のVLANに接続す
ることになる。
キュリティトークン10に書き込まれたシリアル番号又
は発行元データ等のデバイス情報を読み込んで、スイッ
チ2に出力する。また、クライアント1は、デバイス認
証が為されるとユーザIDとパスワード等のユーザ情報
をセキュリティトークン10から読み込んでスイッチ2
に出力する。そして、クライアント1は、デバイス認
証、ユーザ認証が成功すると、目的のVLANに接続す
ることになる。
【0017】スイッチ2は、クライアント1からデバイ
ス情報を入力すると、デフォルトVLANがデバイス認
証サーバ3aに接続するようになっているので、当該デ
バイス情報をデバイス認証サーバ3aに出力する。ま
た、スイッチ2は、デバイス認証に成功すると、クライ
アント1にデバイス認証成功を知らせると共に、クライ
アント1をユーザ認証サーバ3bに接続してユーザ認証
を行わせる。尚、デバイス認証に失敗しても、スイッチ
2は、クライアント1にデバイス認証失敗を知らせる。
また、スイッチ2は、ユーザ認証サーバ3bでのユーザ
認証に成功すると、ユーザ認証成功をクライアント1に
知らせると共に、クライアント1を目的のVLANに接
続する。尚、ユーザ認証に失敗しても、スイッチ2は、
クライアント1にユーザ認証失敗を知らせる。
ス情報を入力すると、デフォルトVLANがデバイス認
証サーバ3aに接続するようになっているので、当該デ
バイス情報をデバイス認証サーバ3aに出力する。ま
た、スイッチ2は、デバイス認証に成功すると、クライ
アント1にデバイス認証成功を知らせると共に、クライ
アント1をユーザ認証サーバ3bに接続してユーザ認証
を行わせる。尚、デバイス認証に失敗しても、スイッチ
2は、クライアント1にデバイス認証失敗を知らせる。
また、スイッチ2は、ユーザ認証サーバ3bでのユーザ
認証に成功すると、ユーザ認証成功をクライアント1に
知らせると共に、クライアント1を目的のVLANに接
続する。尚、ユーザ認証に失敗しても、スイッチ2は、
クライアント1にユーザ認証失敗を知らせる。
【0018】デバイス認証サーバ3aは、予めデバイス
発行元サーバ6によって発行元データを書き込まれ、そ
の後の初期認証で、セキュリティトークンのシリアル番
号、ユーザ認証サーバ3bで管理するユーザのユーザI
D、パスワード等をデバイス発行元サーバ6から取得し
て管理している。また、デバイス認証サーバ3aは、一
つ又は複数のVLANに接続可能なデバイス情報を管理
しており、スイッチ2から入力されるデバイス情報が管
理されているデバイス情報に該当するか否かを判断し、
該当すればデバイス認証が成功したと認識するものであ
る。そして、デバイス認証サーバ3aは、認証結果をス
イッチ2及びクライアント1に出力する。
発行元サーバ6によって発行元データを書き込まれ、そ
の後の初期認証で、セキュリティトークンのシリアル番
号、ユーザ認証サーバ3bで管理するユーザのユーザI
D、パスワード等をデバイス発行元サーバ6から取得し
て管理している。また、デバイス認証サーバ3aは、一
つ又は複数のVLANに接続可能なデバイス情報を管理
しており、スイッチ2から入力されるデバイス情報が管
理されているデバイス情報に該当するか否かを判断し、
該当すればデバイス認証が成功したと認識するものであ
る。そして、デバイス認証サーバ3aは、認証結果をス
イッチ2及びクライアント1に出力する。
【0019】ユーザ認証サーバ3bは、VLANに接続
可能なユーザ情報(ユーザID、パスワード等)を管理
しており、スイッチ2から入力されるユーザ情報が管理
されているユーザ情報に該当するか否か判断し、該当す
ればユーザ認証が成功したと認識するものである。そし
て、ユーザ認証サーバ3bは、認証結果をスイッチ2及
びクライアント1に出力する。尚、ユーザ認証サーバ3
bにおけるユーザIDとパスワード等のユーザ情報は初
期認証で、デバイス発行元サーバ6に出力され、そのユ
ーザ情報はデバイス認証サーバ3aに記憶されるように
なっている。
可能なユーザ情報(ユーザID、パスワード等)を管理
しており、スイッチ2から入力されるユーザ情報が管理
されているユーザ情報に該当するか否か判断し、該当す
ればユーザ認証が成功したと認識するものである。そし
て、ユーザ認証サーバ3bは、認証結果をスイッチ2及
びクライアント1に出力する。尚、ユーザ認証サーバ3
bにおけるユーザIDとパスワード等のユーザ情報は初
期認証で、デバイス発行元サーバ6に出力され、そのユ
ーザ情報はデバイス認証サーバ3aに記憶されるように
なっている。
【0020】業務系データベース4は、業務系VLAN
を構成する一部である。会計サーバ5は、会計系VLA
Nを構成する一部である。デバイス発行元サーバ6は、
発行元データを記憶・管理しており、初期認証で、セキ
ュリティトークン10に発行元データを書き込む。ま
た、デバイス発行元サーバ6は、セキュリティトークン
10内のシリアル番号を読み取り、デバイス認証サーバ
3aに発行元データとシリアル番号を出力する。更に、
デバイス発行元サーバ6は、ユーザ認証サーバ3bから
入力されたユーザID及びパスワード等のユーザ情報を
デバイス認証サーバ3aに出力する。デバイス発行元サ
ーバ6は、セキュリティトークン10の有効・無効のチ
ェックを行い、さらに、トークンの有効期限を管理し、
無効なセキュリティトークン、有効期限外のセキュリテ
ィトークンのアクセスを制限している。尚、デバイス発
行元サーバ6の機能をデバイス認証サーバ3aに取り込
み、一体化することが考えられ、更に、デバイス発行元
サーバ6とデバイス認証サーバ3aとユーザ認証サーバ
3bを一体化することが考えられる。
を構成する一部である。会計サーバ5は、会計系VLA
Nを構成する一部である。デバイス発行元サーバ6は、
発行元データを記憶・管理しており、初期認証で、セキ
ュリティトークン10に発行元データを書き込む。ま
た、デバイス発行元サーバ6は、セキュリティトークン
10内のシリアル番号を読み取り、デバイス認証サーバ
3aに発行元データとシリアル番号を出力する。更に、
デバイス発行元サーバ6は、ユーザ認証サーバ3bから
入力されたユーザID及びパスワード等のユーザ情報を
デバイス認証サーバ3aに出力する。デバイス発行元サ
ーバ6は、セキュリティトークン10の有効・無効のチ
ェックを行い、さらに、トークンの有効期限を管理し、
無効なセキュリティトークン、有効期限外のセキュリテ
ィトークンのアクセスを制限している。尚、デバイス発
行元サーバ6の機能をデバイス認証サーバ3aに取り込
み、一体化することが考えられ、更に、デバイス発行元
サーバ6とデバイス認証サーバ3aとユーザ認証サーバ
3bを一体化することが考えられる。
【0021】次に、本VLANの処理動作を具体的に説
明する。まず、初期設定として、セキュリティトークン
10には、ユーザID及びパスワード等のユーザ情報と
シリアル番号及び発行元データのデバイス情報が記憶さ
れ、デバイス認証サーバ3aには、上記ユーザ情報と上
記デバイス情報が記憶され、ユーザ認証サーバ3bに
は、ユーザID及びパスワード等のユーザ情報が記憶さ
れている。デバイス認証サーバ3aは、デフォルトVL
AN経由でクライアント1と通信可能である。そして、
クライアント1は、起動直後ではデフォルトVLANに
所属する。クライアント1の認証専用アプリケーション
は、デフォルトVLAN経由でデバイス認証サーバ3a
へデバイス情報を照会する(機器認証又はデバイス認
証)。デバイス情報における発行元データを機器認証の
照会情報とする場合は、機器認証を「発行元認証」とい
うこともある。デバイス認証サーバ3aは、サーバの登
録データベースに照会情報を照会し、合致するものがあ
ったかどうかの照会結果を、デフォルトVLAN経由
(スイッチ2経由)でクライアント1へ返す。
明する。まず、初期設定として、セキュリティトークン
10には、ユーザID及びパスワード等のユーザ情報と
シリアル番号及び発行元データのデバイス情報が記憶さ
れ、デバイス認証サーバ3aには、上記ユーザ情報と上
記デバイス情報が記憶され、ユーザ認証サーバ3bに
は、ユーザID及びパスワード等のユーザ情報が記憶さ
れている。デバイス認証サーバ3aは、デフォルトVL
AN経由でクライアント1と通信可能である。そして、
クライアント1は、起動直後ではデフォルトVLANに
所属する。クライアント1の認証専用アプリケーション
は、デフォルトVLAN経由でデバイス認証サーバ3a
へデバイス情報を照会する(機器認証又はデバイス認
証)。デバイス情報における発行元データを機器認証の
照会情報とする場合は、機器認証を「発行元認証」とい
うこともある。デバイス認証サーバ3aは、サーバの登
録データベースに照会情報を照会し、合致するものがあ
ったかどうかの照会結果を、デフォルトVLAN経由
(スイッチ2経由)でクライアント1へ返す。
【0022】デバイス認証における照会結果が失敗であ
れば、ユーザ認証VLANの処理に移らず、クライアン
ト1のシャットダウン、ログオフやローカルログオン
(ネットワークではなくPC本体にのみログオンする)
等の処理をする。これにより異なる組織で発行された
等、デバイス認証サーバ3aに登録されていないセキュ
リティトークン10を接続してもVLAN認証さえ行わ
れないこととなる。
れば、ユーザ認証VLANの処理に移らず、クライアン
ト1のシャットダウン、ログオフやローカルログオン
(ネットワークではなくPC本体にのみログオンする)
等の処理をする。これにより異なる組織で発行された
等、デバイス認証サーバ3aに登録されていないセキュ
リティトークン10を接続してもVLAN認証さえ行わ
れないこととなる。
【0023】照会結果が成功(=機器認証された)であ
れば、ユーザ認証VLAN用のユーザIDとパスワード
が、セキュリティトークン10より読み出され、クライ
アント1からスイッチ2を介してユーザ認証サーバ3b
に出力され、ユーザ認証VLANの処理が実行される。
れば、ユーザ認証VLAN用のユーザIDとパスワード
が、セキュリティトークン10より読み出され、クライ
アント1からスイッチ2を介してユーザ認証サーバ3b
に出力され、ユーザ認証VLANの処理が実行される。
【0024】ユーザ認証が完了すれば、スィッチ2は、
クライアント1の所属VLANを、デフォルトVLAN
から予め設定されている(ターゲット)グループのVL
ANへ移行させる。これによりユーザは、機器認証され
たセキュリティトークン10でのみ、スイッチ2が提供
するネットワーク資源を使用することができる。
クライアント1の所属VLANを、デフォルトVLAN
から予め設定されている(ターゲット)グループのVL
ANへ移行させる。これによりユーザは、機器認証され
たセキュリティトークン10でのみ、スイッチ2が提供
するネットワーク資源を使用することができる。
【0025】本VLANによれば、セキュリティトーク
ン10に格納されたシリアル番号及び発行元データのデ
バイス情報を用いて、デバイス認証サーバ3aによりデ
バイス認証を行い、デバイス認証されると、セキュリテ
ィトークン10に格納されたユーザ情報を用いて、ユー
ザ認証サーバ3bによりユーザ認証を行って、クライア
ント1が接続可能なVLANを特定するようにしている
ので、よりセキュリティを向上させることができる効果
がある。
ン10に格納されたシリアル番号及び発行元データのデ
バイス情報を用いて、デバイス認証サーバ3aによりデ
バイス認証を行い、デバイス認証されると、セキュリテ
ィトークン10に格納されたユーザ情報を用いて、ユー
ザ認証サーバ3bによりユーザ認証を行って、クライア
ント1が接続可能なVLANを特定するようにしている
ので、よりセキュリティを向上させることができる効果
がある。
【0026】また、本VLANによれば、発行元データ
がセキュリティトークン10とデバイス認証サーバ3a
にデバイス発行元サーバ6から割り当てられるので、デ
バイス認証サーバ3aにおけるデバイス認証の際に、こ
の発行元データが一致しなければ認証されないので、よ
りセキュリティを向上させることができる。
がセキュリティトークン10とデバイス認証サーバ3a
にデバイス発行元サーバ6から割り当てられるので、デ
バイス認証サーバ3aにおけるデバイス認証の際に、こ
の発行元データが一致しなければ認証されないので、よ
りセキュリティを向上させることができる。
【0027】従来のVLANでは、ユーザID及びパス
ワードを用いれば、複数箇所からLANに接続可能であ
ったが、本VLANでは、デバイス認証を行うようにし
ているので、1ユーザが1箇所からしかログオンできな
いので、セキュリティを強固なものにすることができ
る。
ワードを用いれば、複数箇所からLANに接続可能であ
ったが、本VLANでは、デバイス認証を行うようにし
ているので、1ユーザが1箇所からしかログオンできな
いので、セキュリティを強固なものにすることができ
る。
【0028】また、従来のVLANでは、LANケーブ
ルをスイッチングハブに勝手に差し込まれないようにす
るために、鍵付きの金属製ボックスにスイッチングハブ
を入れていたが、本VLANでは、スイッチングハブに
勝手にLANケーブルを差し込んだとしても、セキュリ
ティトークン10を用いてデバイス認証が為されなけれ
ば、VLANに接続できないため、鍵付きの金属製ボッ
クスは不要となる。
ルをスイッチングハブに勝手に差し込まれないようにす
るために、鍵付きの金属製ボックスにスイッチングハブ
を入れていたが、本VLANでは、スイッチングハブに
勝手にLANケーブルを差し込んだとしても、セキュリ
ティトークン10を用いてデバイス認証が為されなけれ
ば、VLANに接続できないため、鍵付きの金属製ボッ
クスは不要となる。
【0029】特に、セキュリティトークン10を指紋照
合装置とした場合に、指紋照合装置内に予め登録された
本人指紋とログオン時に読み込ませる指紋とを比較し、
指紋認証された場合に限り、デバイス情報及びユーザ情
報を出力するようにできるので、よりセキュリティを強
固なものにできる効果がある。
合装置とした場合に、指紋照合装置内に予め登録された
本人指紋とログオン時に読み込ませる指紋とを比較し、
指紋認証された場合に限り、デバイス情報及びユーザ情
報を出力するようにできるので、よりセキュリティを強
固なものにできる効果がある。
【0030】
【発明の効果】本発明によれば、クライアントがログオ
ンする場合に、スイッチがクライアントとデバイス認証
サーバとをデフォルトとして接続し、クライアントがセ
キュリティトークンからデバイス情報を読み込んでデバ
イス認証サーバに出力し、デバイス認証サーバが、デバ
イス情報に基づいてデバイス認証を行い、LAN接続可
能であるか否かを判定し、デバイス認証においてLAN
接続可能であれば、ユーザ認証サーバが、ユーザ情報に
基づいてユーザ認証を行い、LAN接続可能であるか否
かを判定し、スイッチが、ユーザ認証で接続可能なLA
Nにクライアントを接続するユーザ認証型VLANとし
ているので、よりセキュリティを向上させることができ
る効果がある。
ンする場合に、スイッチがクライアントとデバイス認証
サーバとをデフォルトとして接続し、クライアントがセ
キュリティトークンからデバイス情報を読み込んでデバ
イス認証サーバに出力し、デバイス認証サーバが、デバ
イス情報に基づいてデバイス認証を行い、LAN接続可
能であるか否かを判定し、デバイス認証においてLAN
接続可能であれば、ユーザ認証サーバが、ユーザ情報に
基づいてユーザ認証を行い、LAN接続可能であるか否
かを判定し、スイッチが、ユーザ認証で接続可能なLA
Nにクライアントを接続するユーザ認証型VLANとし
ているので、よりセキュリティを向上させることができ
る効果がある。
【0031】また、本発明のVLANによれば、デバイ
ス認証を行うようにしているので、1ユーザが1箇所か
らしかログオンすることができず、セキュリティを強固
にできる効果がある。また、本発明のVLANによれ
ば、セキュリティトークンを持っていなければ、ユーザ
IDとパスワードを知っていても、LANに参加できな
いため、セキュリティを強固にできる効果がある。ま
た、本発明のVLANによれば、セキュリティトークン
を用いてデバイス認証が為されなければ、スイッチング
ハブにLANケーブルが接続されるようなことがあった
としても、VLANへの接続は許可されないため、鍵付
きのボックスを用いた保護を必要とせず、ボックス設置
のコストを削減できる効果がある。
ス認証を行うようにしているので、1ユーザが1箇所か
らしかログオンすることができず、セキュリティを強固
にできる効果がある。また、本発明のVLANによれ
ば、セキュリティトークンを持っていなければ、ユーザ
IDとパスワードを知っていても、LANに参加できな
いため、セキュリティを強固にできる効果がある。ま
た、本発明のVLANによれば、セキュリティトークン
を用いてデバイス認証が為されなければ、スイッチング
ハブにLANケーブルが接続されるようなことがあった
としても、VLANへの接続は許可されないため、鍵付
きのボックスを用いた保護を必要とせず、ボックス設置
のコストを削減できる効果がある。
【0032】本発明によれば、セキュリティトークンが
指紋照合装置とした場合に、当該指紋照合装置内に予め
登録された本人指紋データとログオン時に読み込ませた
指紋データとを比較し、指紋認証された場合に限り、デ
バイス情報及びユーザ情報を出力する上記ユーザ認証型
VLANとしているので、よりセキュリティを強固なも
のにできる効果がある。
指紋照合装置とした場合に、当該指紋照合装置内に予め
登録された本人指紋データとログオン時に読み込ませた
指紋データとを比較し、指紋認証された場合に限り、デ
バイス情報及びユーザ情報を出力する上記ユーザ認証型
VLANとしているので、よりセキュリティを強固なも
のにできる効果がある。
【0033】本発明によれば、セキュリティトークンに
発行元データを出力すると共に、デバイス認証サーバに
発行元データを出力し、セキュリティトークンからシリ
アル番号を読み取ってデバイス認証サーバに出力し、ユ
ーザ認証サーバからユーザIDとパスワードを入力し、
デバイス認証サーバに出力するデバイス発行元サーバを
設けた上記ユーザ認証型VLANとしているので、各装
置へ認証に必要な情報を適切に設定できる効果がある。
発行元データを出力すると共に、デバイス認証サーバに
発行元データを出力し、セキュリティトークンからシリ
アル番号を読み取ってデバイス認証サーバに出力し、ユ
ーザ認証サーバからユーザIDとパスワードを入力し、
デバイス認証サーバに出力するデバイス発行元サーバを
設けた上記ユーザ認証型VLANとしているので、各装
置へ認証に必要な情報を適切に設定できる効果がある。
【図1】本発明の実施の形態に係るユーザ認証型VLA
Nの概略構成図である。
Nの概略構成図である。
【図2】従来のユーザ認証型VLANの概略構成を示す
図である。
図である。
1…クライアント、 2…スイッチ、 3…ユーザ認証
サーバ、 3a…デバイス認証サーバ、 3b…ユーザ
認証サーバ、 4…業務系データベース、 5…会計サ
ーバ、 6…デバイス発行元サーバ、 10…セキュリ
ティトークン
サーバ、 3a…デバイス認証サーバ、 3b…ユーザ
認証サーバ、 4…業務系データベース、 5…会計サ
ーバ、 6…デバイス発行元サーバ、 10…セキュリ
ティトークン
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 9/00 675D Fターム(参考) 5B058 CA27 KA02 KA04 KA31 KA38 YA20 5B085 AE02 AE03 AE04 AE12 AE26 BA07 BG07 5J104 AA07 KA01 KA15 NA05 NA35 NA36 5K033 AA08 BA04 CA15 DB12 DB14
Claims (6)
- 【請求項1】 複数の仮想的なグループとして構成され
るLANと、 クライアントからのユーザ情報に基づいてLAN接続を
認証するユーザ認証サーバと、 当該ユーザ認証の結果に基づいて該当するグループのL
ANに前記クライアントを接続するスイッチと、 前記クライアントに接続し、デバイス情報を格納したセ
キュリティトークンと、 前記デバイス情報に基づいてLAN接続を認証するデバ
イス認証サーバとを備えるユーザ認証型VLANであっ
て、 前記クライアントがログオンする場合に、前記スイッチ
が前記クライアントと前記デバイス認証サーバとをデフ
ォルトとして接続し、前記クライアントが前記セキュリ
ティトークンから前記デバイス情報を読み込んで前記デ
バイス認証サーバに出力し、 前記デバイス認証サーバが、前記デバイス情報に基づい
てデバイス認証を行い、LAN接続可能であるか否かを
判定し、 前記デバイス認証においてLAN接続可能であれば、前
記ユーザ認証サーバが、前記ユーザ情報に基づいてユー
ザ認証を行い、LAN接続可能であるか否かを判定し、 前記スイッチが、前記ユーザ認証で接続可能なLANに
前記クライアントを接続することを特徴とするユーザ認
証型VLAN。 - 【請求項2】 前記セキュリティトークンは、デバイス
情報に加えてユーザ情報も格納するものであることを特
徴とする請求項1記載のユーザ認証型VLAN。 - 【請求項3】 前記セキュリティトークンは、ICカー
ド又は指紋照合装置であることを特徴とする請求項1又
は請求項2記載のユーザ認証型VLAN。 - 【請求項4】 前記ユーザ情報は、ユーザIDとパスワ
ードであり、前記デバイス情報は、指紋データ、シリア
ル番号又は付与された発行元データであることを特徴と
する請求項1乃至3記載のユーザ認証型VLAN。 - 【請求項5】 前記セキュリティトークンが指紋照合装
置とした場合に、当該指紋照合装置内に予め登録された
本人指紋データとログオン時に読み込ませた指紋データ
とを比較し、指紋認証された場合に限り、デバイス情報
及びユーザ情報を出力することを特徴とする請求項3又
は請求項4記載のユーザ認証型VLAN。 - 【請求項6】 セキュリティトークンに発行元データを
出力すると共に、デバイス認証サーバに前記発行元デー
タを出力し、前記セキュリティトークンからシリアル番
号を読み取って前記デバイス認証サーバに出力し、ユー
ザ認証サーバからユーザIDとパスワードを入力し、前
記デバイス認証サーバに出力するデバイス発行元サーバ
を設けたことを特徴とする請求項4又は請求項5記載の
ユーザ認証型VLAN。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001174422A JP3998923B2 (ja) | 2001-06-08 | 2001-06-08 | ユーザ認証型vlan |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001174422A JP3998923B2 (ja) | 2001-06-08 | 2001-06-08 | ユーザ認証型vlan |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2002366522A true JP2002366522A (ja) | 2002-12-20 |
| JP2002366522A5 JP2002366522A5 (ja) | 2004-11-04 |
| JP3998923B2 JP3998923B2 (ja) | 2007-10-31 |
Family
ID=19015706
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001174422A Expired - Fee Related JP3998923B2 (ja) | 2001-06-08 | 2001-06-08 | ユーザ認証型vlan |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3998923B2 (ja) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004107193A1 (ja) * | 2003-05-30 | 2004-12-09 | Willcom, Inc. | 機器認証システム |
| WO2004114599A1 (ja) * | 2003-06-20 | 2004-12-29 | Fujitsu Limited | ネットワークにおける機器の接続方法及びこれを用いるネットワークシステム |
| WO2005029782A1 (ja) * | 2003-09-22 | 2005-03-31 | Sharp Kabushiki Kaisha | 集線装置、中継制御方法、中継制御プログラム、中継制御プログラムを記録した記録媒体、情報処理装置、dhcpサーバ、dhcp処理方法、dhcp処理プログラム、dhcp処理プログラムを記録した記録媒体、および情報処理システム |
| JP2005269396A (ja) * | 2004-03-19 | 2005-09-29 | Willcom Inc | 機器認証システム |
| JP2006115072A (ja) * | 2004-10-13 | 2006-04-27 | Chuden Cti Co Ltd | Vlan認証装置 |
| KR100639992B1 (ko) | 2004-12-14 | 2006-10-31 | 한국전자통신연구원 | 클라이언트 모듈을 안전하게 배포하는 보안 장치 및 그방법 |
| JP2007293813A (ja) * | 2006-03-28 | 2007-11-08 | Canon Inc | 画像形成装置、その制御方法、システム、プログラム及び記憶媒体 |
| JP2007299136A (ja) * | 2006-04-28 | 2007-11-15 | Ntt Data Corp | ネットワークアクセス制御システム、端末、アドレス付与装置、端末システム認証装置、ネットワークアクセス制御方法、及び、コンピュータプログラム |
| JP2007328764A (ja) * | 2006-05-12 | 2007-12-20 | Canon Inc | ネットワークシステム、デバイス機能制限方法、及びコンピュータプログラム |
| JP2009025936A (ja) * | 2007-07-18 | 2009-02-05 | Seiko Epson Corp | 仲介サーバ、その制御方法及びそのプログラム |
| JP2009211374A (ja) * | 2008-03-04 | 2009-09-17 | Nippon Telegr & Teleph Corp <Ntt> | Vpn多重帰属システムおよび認証制御方法 |
| JP2013517584A (ja) * | 2010-01-20 | 2013-05-16 | オーセンティケイション ホールディングス リミテッド ライアビリティ カンパニー | 個人用のポータブルで安全性の確保されたネットワークアクセスシステム |
| US9166786B2 (en) | 2009-01-20 | 2015-10-20 | Authentication Holdings Llc | Personal portable secured network access system |
| JP2019126988A (ja) * | 2018-01-25 | 2019-08-01 | 株式会社リコー | 情報処理システム、機器、情報処理方法及びプログラム |
-
2001
- 2001-06-08 JP JP2001174422A patent/JP3998923B2/ja not_active Expired - Fee Related
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004107193A1 (ja) * | 2003-05-30 | 2004-12-09 | Willcom, Inc. | 機器認証システム |
| CN100380356C (zh) * | 2003-05-30 | 2008-04-09 | 威尔康有限公司 | 机器认证系统 |
| JPWO2004114599A1 (ja) * | 2003-06-20 | 2006-07-27 | 富士通株式会社 | ネットワークにおける機器の接続方法及びこれを用いるネットワークシステム |
| WO2004114599A1 (ja) * | 2003-06-20 | 2004-12-29 | Fujitsu Limited | ネットワークにおける機器の接続方法及びこれを用いるネットワークシステム |
| US7874002B2 (en) | 2003-06-20 | 2011-01-18 | Fujitsu Limited | Method of connection of equipment in a network and network system using same |
| JP4611197B2 (ja) * | 2003-06-20 | 2011-01-12 | 富士通株式会社 | ネットワークにおける機器の接続方法及びこれを用いるネットワークシステム |
| CN100431310C (zh) * | 2003-09-22 | 2008-11-05 | 夏普株式会社 | 集线装置、中继控制方法、以及信息处理装置 |
| US8934116B2 (en) | 2003-09-22 | 2015-01-13 | Sharp Kabushiki Kaisha | Line concentrator and information processing system using the same, assigning transmitted data to all devices in the group of information processing devices |
| WO2005029782A1 (ja) * | 2003-09-22 | 2005-03-31 | Sharp Kabushiki Kaisha | 集線装置、中継制御方法、中継制御プログラム、中継制御プログラムを記録した記録媒体、情報処理装置、dhcpサーバ、dhcp処理方法、dhcp処理プログラム、dhcp処理プログラムを記録した記録媒体、および情報処理システム |
| JP2005269396A (ja) * | 2004-03-19 | 2005-09-29 | Willcom Inc | 機器認証システム |
| JP2006115072A (ja) * | 2004-10-13 | 2006-04-27 | Chuden Cti Co Ltd | Vlan認証装置 |
| KR100639992B1 (ko) | 2004-12-14 | 2006-10-31 | 한국전자통신연구원 | 클라이언트 모듈을 안전하게 배포하는 보안 장치 및 그방법 |
| JP2007293813A (ja) * | 2006-03-28 | 2007-11-08 | Canon Inc | 画像形成装置、その制御方法、システム、プログラム及び記憶媒体 |
| JP2007299136A (ja) * | 2006-04-28 | 2007-11-15 | Ntt Data Corp | ネットワークアクセス制御システム、端末、アドレス付与装置、端末システム認証装置、ネットワークアクセス制御方法、及び、コンピュータプログラム |
| JP2007328764A (ja) * | 2006-05-12 | 2007-12-20 | Canon Inc | ネットワークシステム、デバイス機能制限方法、及びコンピュータプログラム |
| JP2009025936A (ja) * | 2007-07-18 | 2009-02-05 | Seiko Epson Corp | 仲介サーバ、その制御方法及びそのプログラム |
| JP2009211374A (ja) * | 2008-03-04 | 2009-09-17 | Nippon Telegr & Teleph Corp <Ntt> | Vpn多重帰属システムおよび認証制御方法 |
| US9166786B2 (en) | 2009-01-20 | 2015-10-20 | Authentication Holdings Llc | Personal portable secured network access system |
| JP2013517584A (ja) * | 2010-01-20 | 2013-05-16 | オーセンティケイション ホールディングス リミテッド ライアビリティ カンパニー | 個人用のポータブルで安全性の確保されたネットワークアクセスシステム |
| JP2019126988A (ja) * | 2018-01-25 | 2019-08-01 | 株式会社リコー | 情報処理システム、機器、情報処理方法及びプログラム |
| JP7040049B2 (ja) | 2018-01-25 | 2022-03-23 | 株式会社リコー | 画像形成装置、情報処理方法及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3998923B2 (ja) | 2007-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10943418B2 (en) | Method, server, smart terminal and storage device for access authentication | |
| US6970853B2 (en) | Method and system for strong, convenient authentication of a web user | |
| US7690029B2 (en) | Remote administration of smart cards for secure access systems | |
| US7320139B2 (en) | Data processing system for application to access by accreditation | |
| US8955082B2 (en) | Authenticating using cloud authentication | |
| US20050138421A1 (en) | Server mediated security token access | |
| JP2002366522A (ja) | ユーザ認証型vlan | |
| US20080229098A1 (en) | On-line transaction authentication system and method | |
| US11522709B2 (en) | Access control system | |
| JP2002041469A (ja) | 電子機器管理システムおよび電子機器管理方法 | |
| JP2002366522A5 (ja) | ||
| US20070294749A1 (en) | One-time password validation in a multi-entity environment | |
| KR20050053967A (ko) | 시간 동기 기반 일회용 비밀번호를 이용한 인증시스템 및인증방법 | |
| KR100320119B1 (ko) | 아이디 도용 감지 시스템 및 방법, 그 프로그램 소스를기록한 기록매체 | |
| US20060129828A1 (en) | Method which is able to centralize the administration of the user registered information across networks | |
| JP2001076270A (ja) | セキュリティシステム | |
| KR20000037267A (ko) | 지문을 이용한 인터넷 인증 시스템 및 그 방법 | |
| JP3521717B2 (ja) | 認証システム | |
| US7958540B2 (en) | Method for conducting real-time execution of transactions in a network | |
| CN115118454A (zh) | 一种基于移动应用的级联认证系统及认证方法 | |
| JP2002366528A (ja) | 個人認証におけるセキュリティ方式 | |
| JP2002149613A (ja) | インターネット上での本人認証方式および装置 | |
| JP2002140301A (ja) | システム間連携セキュリティシステム | |
| JP2002297553A (ja) | Icカードを使用したログイン管理システム | |
| JP2003162507A (ja) | ユーザ認証システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20061002 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061024 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061225 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070724 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070808 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100817 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100817 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130817 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130817 Year of fee payment: 6 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130817 Year of fee payment: 6 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |