CN101056172A - 认证网络系统 - Google Patents
认证网络系统 Download PDFInfo
- Publication number
- CN101056172A CN101056172A CNA2007100019012A CN200710001901A CN101056172A CN 101056172 A CN101056172 A CN 101056172A CN A2007100019012 A CNA2007100019012 A CN A2007100019012A CN 200710001901 A CN200710001901 A CN 200710001901A CN 101056172 A CN101056172 A CN 101056172A
- Authority
- CN
- China
- Prior art keywords
- authentication
- network
- authentication information
- information
- authenticating device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
Abstract
本发明公开了一种认证网络系统。本发明要提供使得能够在为输入认证信息的用户提供方便与确保网络的高安全性之间建立相容性的技术。将本发明的认证网络系统构造成:第一认证设备经由第一网络从通信设备接收第一认证信息,判断所述第一认证信息通过了认证还是未通过认证,并且,如果所述第一认证信息通过了认证,则通知第二认证信息;第二认证设备接收所述第二认证信息,通过将所述第二认证信息与预先注册的信息进行比较来判断所述第二认证信息通过了认证还是未通过认证,并且,如果所述第二认证信息通过认证,则通知连接控制设备;并且,所述连接控制设备将通过认证的通信设备的连接从所述第一网络切换到第二网络。
Description
技术领域
本发明涉及对连接到网络的终端进行认证的技术。
背景技术
近年来,确保诸如LAN(局域网)的网络中的安全性变得日益重要。因此,例如提出了这样的技术,即,对连接到LAN的计算机(PC:个人计算机)进行认证,除非该计算机是许可的PC,否则就不能将其连接到该LAN。IEEE802.1x标准给出了对在连接到网络时进行认证的技术的定义。
在执行该认证的情况下,作为一般规则,用户向PC输入诸如ID和密码的认证所必须的信息项目(认证信息),并且PC将这些信息项目发送到认证服务器。
要注意的是,需要诸如定时地改变密码、使得密码难以被推测出以及防止将密码存储在终端中的操作(方案)来维护基于该认证的安全性。
然而,如果严格地设置了这些操作,那么尽管可以确保安全性,却使对用户的方便性下降。
因此,提出了一种系统,在该系统中,IC卡和USB存储器存储有诸如电子证书的信息,并且PC读取该信息。例如,PC从IC卡和USB存储器读取该信息,并且,如果该信息的有效性得到了认证,则向认证服务器发送与该信息相关联的ID和密码。
此外,提供了另一种系统,在该系统中,PC读取用户的生物特征信息,如果该生物特征信息的有效性得到了认证,则向认证服务器发送与该信息相关联的ID和密码。
而且,给出在以下专利文献中所公开的技术作为与本申请的发明相关的现有技术。
[专利文献1]日本专利申请特开公报2003-218873号
[专利文献2]日本专利申请特开公报2004-133747号
发明内容
如上所述,通过使用IC卡信息和用户的生物特征信息来进行认证的情况需要用于在各PC中预先注册这些条信息、然后将已注册的信息与所读取信息进行比较、从而判断是否要进行认证的装置。
因此,如果构造为在各PC中注册信息,那么例如在注册和更新信息的时候,就要为各PC执行注册和更新操作,因此,如果规模扩大到一定的或更大的程度,则变得难以进行管理。
因此,期望的结构是如下一种结构:通过在网络上的服务器中注册IC卡信息和用户的生物特征信息来以集中方式管理这些信息项目,然而,如果在如上所述的直到完成认证才能连接到网络的情况下,则在进行认证时,仍旧不可以利用网络,因而不可能采用这种在网络上的服务器中管理生物特征信息的结构。即,在进行该认证时,虽然能够对由认证协议定义的诸如ID和密码的信息进行通信,但是不能无任何限制地进行对生物特征信息等的通信。
鉴于这种情况,本发明提供了以下技术:首先将要连接到网络的终端连接到第一网络,通过所述第一网络对第一认证信息进行认证,在所述第一认证信息的有效性通过认证的情况下,通知第二认证信息,并且在所述第二认证信息通过认证的情况下,将所述终端连接到第二网络。
为了解决上述问题,本发明采用了以下结构。
即,如下构造根据本发明的认证网络系统:经由包括在物理上或在逻辑上彼此不同的第一网络和第二网络的网络来连接第一认证设备、第二认证设备以及连接控制设备,
所述第一认证设备包括:
接收单元,其经由所述第一网络从通信设备接收第一认证信息;
认证单元,其将所述第一认证信息与预先注册的信息进行比较,并判断所述第一认证信息通过了认证还是未通过认证;以及
认证通知单元,如果所述第一认证信息通过了认证则该认证通知单元通知第二认证信息,
所述第二认证设备包括:
接收单元,其接收所述第二认证信息;
认证单元,其将所述第二认证信息与预先注册的信息进行比较,并判断所述第二认证信息通过了认证还是未通过认证;以及
认证通知单元,如果所述第二认证信息通过了认证则该认证通知单元通知所述连接控制设备,
所述连接控制设备包括:
连接单元,其在认证之前将所述通信设备连接到所述第一网络;
接收单元,其从所述第二认证设备接收认证的通知;以及
连接切换单元,其将通过所述第二认证设备认证的所述通信设备的连接从所述第一网络切换到所述第二网络。
在所述认证网络系统中,所述第一认证信息可以是使用所述通信设备的用户的生物特征信息,所述第二认证信息可以是识别信息和密码。
所述通信设备可以包括:
读取单元,其读取所述第一认证信息;
第一发送单元,其经由所述第一网络将由此读取的第一认证信息发送到所述第一认证设备;
接收单元,其从所述第一认证设备接收所述第二认证信息;
第二发送单元,其将所述第二认证信息发送到所述第二认证设备;以及
通信单元,其经由通过所述连接控制设备连接的所述网络与其他节点执行通信。
所述连接控制设备的连接控制单元可以通过改变将所述通信设备连接到的端口的设置来切换所述通信设备的连接。
此外,由认证网络系统来执行根据本发明的连接控制方法,通过经由包括在物理上或在逻辑上彼此不同的第一网络和第二网络的网络来连接第一认证设备、第二认证设备以及连接控制设备而构造该认证网络系统,
所述第一认证设备执行以下步骤:
经由所述第一网络从通信设备接收第一认证信息;
将所述第一认证信息与预先注册的信息进行比较,并判断所述第一认证信息通过了认证还是未通过认证;以及
如果所述第一认证信息通过了认证则通知第二认证信息,
所述第二认证设备执行以下步骤:
接收所述第二认证信息;
将所述第二认证信息与预先注册的信息进行比较,并判断所述第二认证信息通过了认证还是未通过认证;以及
如果所述第二认证信息通过了认证则通知所述连接控制设备,
所述连接控制设备执行以下步骤:
将认证之前的所述通信设备连接到所述第一网络;
从所述第二认证设备接收认证的通知;以及
将通过所述第二认证设备认证的所述通信设备的连接从所述第一网络切换到所述第二网络。
在所述连接控制方法中,所述第一认证信息可以是使用所述通信设备的用户的生物特征信息,所述第二认证信息可以是识别信息和密码。
在所述连接控制方法中,所述通信设备可以执行以下步骤:
读取所述第一认证信息:
经由所述第一网络将由此读取的第一认证信息发送到所述第一认证设备;
从所述第一认证设备接收所述第二认证信息;
将所述第二认证信息发送到所述第二认证设备;以及
经由所述网络与其他节点执行通信。
在所述连接控制方法中,所述连接控制设备可以通过改变与所述通信设备连接的端口的设置来切换所述通信设备的连接。
此外,将根据本发明的通信设备连接到通过经由包括在物理上或在逻辑上彼此不同的第一网络和第二网络的网络来连接第一认证设备、第二认证设备以及连接控制设备而构造的认证网络系统,所述通信设备包括:
读取单元,其读取所述第一认证信息;
第一发送单元,其经由所述第一网络将由此读取的第一认证信息发送到所述第一认证设备;
接收单元,其从所述第一认证设备接收第二认证信息;
第二发送单元,其将所述第二认证信息发送到所述第二认证设备;以及
通信单元,其经由通过所述连接控制设备连接的所述网络与其他节点执行通信。
在所述通信设备中,所述第一认证信息可以是使用所述通信设备的用户的生物特征信息,所述第二认证信息可以是识别信息和密码。
此外,通过连接到经由包括在物理上或在逻辑上彼此不同的第一网络和第二网络的网络来连接第一认证设备、第二认证设备以及连接控制设备而构造的认证网络系统的通信设备来执行根据本发明的连接方法,所述连接方法包括以下步骤:
根据所述连接控制设备的控制来建立到所述第一网络的连接;
读取所述第一认证信息;
经由所述第一网络将由此读取的第一认证信息发送到所述第一认证设备;
从所述第一认证设备接收第二认证信息;
将所述第二认证信息发送到所述第二认证设备;以及
经由所述网络与其他节点执行通信。
在所述连接方法中,所述第一认证信息可以是使用所述通信设备的用户的生物特征信息,所述第二认证信息可以是识别信息和密码。
此外,本发明可以是使得计算机执行上述方法的程序。更进一步,本发明还可以是存储有该程序的计算机可读存储介质。使得计算机读取并执行该存储介质上的程序,由此可以提供该程序的功能。
这里,计算机可读存储介质是指可以从计算机读取的能够以电、磁、光、机械或化学作用的方式存储诸如数据、程序等的信息的存储介质。在这些存储介质当中,例如给出软盘、磁光盘、CD-ROM、CD-R/W、DVD、DAT、8mm磁带、存储卡等作为可以从计算机拆卸的存储介质。
此外,给出硬盘、ROM(只读存储器)等作为固定在计算机内的存储介质。
根据本发明,可以提供使得可以建立为输入认证信息的用户提供方便与确保网络的高安全性之间的相容性的技术。
附图说明
图1是根据本发明的认证网络系统的示意图。
图2是指纹认证设备(第一认证设备)的示意图。
图3是RADIUS服务器(第二认证设备)的示意图。
图4是路由器(连接控制设备)的示意图。
图5是终端(通信设备)的示意图。
图6是根据本发明的连接控制方法和连接方法的说明图。
图7是根据本发明第二实施例的认证网络系统的示意图。
具体实施方式
下文中将参照附图来描述实现本发明的最佳模式。以下实施例中的结构是示例性的,本发明并不限于这些实施例中的结构。
<第一实施例>
图1是根据本发明的认证网络系统的示意图。由指纹认证设备(第一认证设备)1、RADIUS服务器(远程验证拨入用户服务服务器:第二认证设备)2、路由器(连接控制设备)3等来构造第一实施例中的认证网络系统10。
第一实施例中的认证网络系统10具有由于VLAN(虚拟局域网)的功能而逻辑上彼此不同的LAN 1和LAN 2。
指纹认证设备1、网络打印机5等所属的LAN 1是在与认证通过前的终端(通信设备)6相连的开放网络。
公司内部文件服务器7等所属的LAN 2是在与认证通过后的终端6相连的网络。
在第一实施例中的认证网络系统10中,当连接终端6时,首先使该终端6连接到LAN 1。此时,终端6处于能够与LAN 1内的指纹认证设备1进行通信,但是不能与LAN 2内的设备进行通信的状态。在该LAN1中,终端6将指纹信息(第一认证信息)发送到指纹认证设备1,并且,如果通过认证,则终端6获得定义为第二认证信息的密码。
然后,终端6将该密码和识别信息(用户ID等)发送到RADIUS服务器2,并且,如果该密码和识别信息通过认证,则路由器3将终端6的连接从LAN 1切换到LAN 2。通过该切换,终端6变得能够利用公司内部文件服务器7等。
因此,直到完成认证前保持终端6不与公司内部网络(LAN 2)相连接,由此确保了安全性。此外,将通过认证之前的终端6连接到网络(LAN 1),以使得能够经由网络获得公司内部网络的认证信息从而提高了用户的便利性。即,第一实施例中的认证网络系统10具有确保高安全性与提高用户便利性之间的相容性。
接下来,对构造第一实施例中的认证网络系统10的各部件的深入描述进行说明。
如图2所示,指纹认证设备1是包括由CPU(中央处理单元)、主存储器等构成的运算处理单元12、存储有用于运算处理的数据和软件的存储单元(硬盘)13、输入/输出端口14、通信控制单元(CCU)15等的通用类型的计算机。
CCU 15控制经由网络与其他计算机的通信。
存储单元13预装有操作系统(OS)和应用软件。此外,存储单元13注册有个人用户ID、指纹认证信息、密码(第二认证信息),以将这些信息项目彼此关联的方式进行该注册。
运算处理单元12从存储单元13适当地读取OS和应用程序并执行该OS和该应用程序,并且对从I/O端口14和CCU 15输入的信息以及从存储单元13读取的信息执行运算处理,由此运算处理单元12也用作接收单元16、认证单元17和认证通知单元18。
接收单元16经由LAN 1从各终端6接收定义为第一认证信息的指纹信息以及用户ID。
认证单元17从存储单元13读取与该用户ID相关联的指纹信息,然后将所读取的指纹信息与接收到的指纹信息进行比较,如果二者彼此一致,则判断该用户(指纹信息)通过了认证,而如果二者不一致,则判断该用户(指纹信息)未通过认证。
当认证单元17认证了该指纹信息时,认证通知单元18从存储单元13读取与该用户ID相关联的密码,并将该密码通知给终端6(即,将该密码发送到终端6)。
此外,如图3所示,RADIUS服务器2是包括由CPU(中央处理单元)、主存储器等构成的运算处理单元22、存储有用于运算处理的数据和软件的存储单元(硬盘)23、输入/输出端口24、通信控制单元(CCU)25等的计算机。
存储单元23预装有操作系统和应用软件,并注册有用户ID和密码,以将这些信息项目彼此关联的方式进行该注册。
运算处理单元22从存储单元23适当地读取OS和应用程序并执行该OS和该应用程序,并且对从I/O端口24和CCU 25输入的信息以及从存储单元23读取的信息执行运算处理,由此运算处理单元22也用作接收单元26、认证单元27和认证通知单元28。
接收单元26从终端6接收定义为第二认证信息的密码以及用户ID。
认证单元27将接收到的密码与存储单元23中已注册的密码进行比较,如果二者彼此一致,则判断该用户(密码)通过了认证,而如果二者不一致,则判断该用户(密码)未通过认证。
认证通知单元28将表示由认证单元27进行的认证的结果(即,通过认证的状态或未通过认证的状态)的信息通知路由器3。
此外,如图4所示,第一实施例中的路由器3具有LAN切换功能,并包括如图4所示的路由单元31、端口32、连接单元33、接收单元34和连接切换单元35。
路由单元31将从终端6发送的帧以与目的地地址相对应的方式进行路由。
端口32是连接器,用于连接各终端6的电缆,经由该电缆将终端6连接到所述网络,即,在第一实施例中与LAN号相关联的LAN 1或LAN2。
连接单元33在端口32中设置LAN号,并确定终端6要连接的LAN。例如,当将终端6连接到端口32时,连接单元33在端口32中设置VLAN号“1”,从而将终端6连接到LAN 1。
接收单元34从RADIUS服务器2接收通知,即,表示终端6是否通过认证的认证结果。
连接切换单元35将与从RADIUS服务器2发送的并由接收单元34接收到的通知相对应的将终端6连接到的网络的VLAN号通知给连接单元33。例如,在接收到表明终端6通过了认证的信息的情况下,连接切换单元35将VLAN号“2”通知给连接单元33,并将终端6的连接从LAN 1切换到LAN 2。
注意:可以由RADIUS服务器(第二认证设备)2作出关于将终端6连接到哪个子网络(LAN 1,LAN 2)的判断。例如,RADIUS服务器2使存储单元23以彼此相关联的方式存储有用户ID、密码和指定将认证之后的终端6连接到的网络的连接信息(第一实施例中的VLAN号),并且,如果终端6对于该连接通过认证,则将连接信息(VLAN号)通知给路由器(连接控制设备)3作为该认证的结果。在该情况下,路由器3的连接切换单元35将该VLAN号传送给连接单元33。
此外,在第一实施例中,通过路由器例示了连接控制设备,如果连接控制设备具有端口32、连接单元33、接收单元34和连接切换单元35的功能,则连接控制设备也可以是LAN交换机和第三层(layer-3)交换机,而不限于路由器。
然后,如图5所示,终端(通信设备)6是包括由CPU(中央处理单元)、主存储器等构成的运算处理单元62、存储有用于运算处理的数据和软件的存储单元(硬盘)63、输入/输出端口64、通信控制单元(CCU)65等的通用类型的计算机。
适当地连接到I/O端口64的是诸如键盘、鼠标、指纹读取设备66、CD-ROM驱动器等的输入设备和诸如显示设备、打印机等的输出设备。指纹读取设备66从用户的手指读取指纹信息。应注意,在第一实施例中第一认证信息涉及使用指纹信息,也可以是静脉图案、虹膜图案、声纹等的生物特征信息和诸如电子证书等的数据,而不限于指纹。
CCU 65对经由网络与其他计算机的通信进行控制。
存储单元63预装有操作系统(OS)和应用软件(诸如PC认证模块和网络认证模块的程序)。
运算处理单元62从存储单元63适当地读取OS和应用程序并执行该OS和该应用程序,并且对从I/O端口64和CCU 65输入的信息以及从存储单元63读取的信息执行运算处理,由此运算处理单元62也用作发送单元67、接收单元68以及通信单元69。应注意,第一发送单元67、通信单元69以及接收单元68是通过执行PC认证模块(也称作程序或程序模块)来实现的,第二发送单元61是通过执行网络认证模块(也称作程序或程序模块)来实现的。
第一发送单元67经由LAN 1将由指纹读取设备66读取的指纹信息(第一认证信息)以及用户ID发送到指纹认证设备1。
当指纹信息通过认证时,接收单元68从指纹认证设备1接收用户ID和定义为第二认证信息的密码。
通信单元69经由通过路由器3连接的网络与其他节点执行通信。
第二发送单元61将从指纹认证设备1获得的用户ID和密码发送到RADIUS服务器2。
下面将参照图6说明如此构造的认证网络10中的连接控制方法和终端6中的连接方法。
在将电缆从终端6连接到路由器3的端口32的状态下,当终端6的电源接通时(步骤1,下文中将其简写为S1),通过引导OS首先在显示设备上显示用户的登陆屏面(S2)。
当从该登陆屏面上输入了用户ID和密码时,PC认证模块的第一发送单元67在显示设备上显示用于提示用户输入指纹信息的消息。响应于该事件,当用户设置指纹读取操作时,指纹读取设备66读取指纹信息,并将该指纹信息发送到第一发送单元67(S3)。
PC认证模块的第一发送单元67将用户ID和指纹信息传送到网络认证模块(S4)。网络认证模块的第二发送单元61将用户ID、指纹信息和对于该终端唯一的信息(诸如MAC(介质访问控制)地址和CPU的ID)与预先注册在存储单元63等中的这些信息项目进行比较,由此判断终端6是否是有效的(S5)。如果在该计算机认证中判断终端6是无效的,则第二发送单元61将到LAN 1的连接中止,并返回步骤2中的登陆屏面。即,终端6不能登陆该OS,因此不能使用该PC。然而如果判断终端6是有效的,则处理返回PC认证模块,并继续进行认证处理(S6)。
当接收到终端6是有效的判断结果(S7)时,PC认证模块的第一发送单元67向路由器3请求连接。例如,当终端6请求IP地址(S8)时,路由器3将用于LAN 1的IP地址分配给终端6(S9)。
然后,第一发送单元67将用户ID和指纹信息经由LAN 1发送到指纹认证设备1(S10),在指纹认证设备1中进行用户认证1。
接收到该用户ID和指纹信息的指纹认证设备1从存储单元13中读取与该用户ID相关联的指纹信息,并将接收到的指纹信息与所读取的指纹信息进行比较(S11)。如果这些条指纹信息彼此相一致,则指纹认证设备1认证该用户并将该用户ID、密码和连接目的地(地址)作为认证的结果通知终端6(S12)。注意,该用户ID可能与用于登陆到该OS的ID相同,也可能与用于登陆到该OS的ID不同。此外,反之如果这些条指纹信息彼此不一致,则指纹认证设备1将表示该用户未通过认证的主旨的认证结果通知给终端6。
通过指纹认证设备1认证的并接收到认证结果(S13)的终端6将用户ID、密码和连接目的地作为认证结果传送给网络认证模块(S14)。接收到这些条信息的第二发送单元61将用户ID和密码发送到作为连接目的地的RADIUS服务器2,在RADIUS服务器2中进行用户认证2(S15、S16)。
在RADIUS服务器2中,当接收单元26接收用户ID和密码时,认证单元27从存储单元23读取与该用户ID相关联的密码,并将所读取的密码与接收到的密码进行比较(S17)。如果这些密码彼此一致,则认证通知单元28将表示该终端通过认证的主旨的信息(认证结果)和终端识别信息(例如,地址)发送到路由器3(S18)。此外,如果这些密码不一致,则认证通知单元28将表示终端6未通过认证的主旨的认证结果通知给终端6。
在路由器3中,当接收单元34接收该认证结果时,连接切换单元35根据该认证结果将VLAN号通知给连接单元33(S19)。连接单元33在由识别信息指定的终端6连接到的端口中设置VLAN号。例如,在接收到表示终端6通过认证的主旨的信息的情况下,通过将VLAN号“2”通知给连接单元33而将连接从LAN 1切换到LAN2。注意,如果终端6未通过认证,则终端6应保持连接到LAN 1,而无需通知连接单元33。
此外,在将终端6的连接切换到LAN 2的情况下,路由器3将基于LAN 2的IP地址分配给终端6(S20)。
通过该地址分配,终端6连接到LAN 2,并变得能够利用公司内部文件服务器7等。应注意,当在用户认证1和用户认证2中导致未通过认证时,该处理返回步骤2中的登陆屏面(S21、S22)。
因此,在第一实施例中,基于指纹信息对用户进行认证,并且仅当终端通过认证时,才将该终端连接到商业用网络(LAN 2),而如果该终端未通过认证时,不将该终端连接到商业用网络。该方案使得为输入认证信息(指纹信息)的用户提供方便可以与确保网络的高安全性相容。
此外,在第一实施例中,设置在网络(LAN 1)上的用于认证的认证设备对指纹信息进行认证,由此使得能够以集中方式管理指纹信息并能够提高可维护性。特别的是,在使得能够利用网络(LAN 1)的状态下将认证信息发送到认证设备,因此可以发送任意信息,而不限于诸如EAP(可扩展认证协议)的认证协议,由此提高了自由度。
注意,在第一实施例中,在回到登陆屏面之后,将在用户认证中未通过认证的终端设置为不可利用的,然而,未通过认证的终端可以在连接到LAN 1的同时登陆到OS,因此可以将其设置为能够使用打印机5并可接入因特网。
相似的是,在对既不具有根据本发明的PC认证模块也不具有根据本发明的网络认证模块的客户机PC(终端)进行连接的情况下,仅可以通过分配用于LAN 1的IP地址而将LAN 1设置为可利用的,而无需进行认证。
<第二实施例>
图7是根据本发明第二实施例中的认证网络系统的示意图。第二实施例与上述第一实施例的不同之处在于:使用多个LAN交换机作为连接控制设备。其他构造基本相同,因此用相同的标号和符号标记相同的部件,从而省略了重复性的说明。
LAN交换机3A、3B中的每一个都包括上述的端口32、连接单元33和接收单元34以及连接切换单元35。
使用该构造,如同上述第一实施例中的,当连接到各LAN交换机3A、3B的端口32的终端6登陆时,执行用户认证1和用户认证2。然后,当从RADIUS服务器2接收表示终端6通过认证的主旨的信息时,连接切换单元35使得连接单元33将用于终端6的端口32设置为VLAN号“2”,由此将终端6切换到LAN 2。
注意,在这些LAN交换机3A、3B之间,各网络(LAN 1、LAN 2)也可以通过将由IEEE802.1Q定义的4字节VLAN标记插入MAC帧的头字段而彼此区别。
在这样构造所述多个LAN交换机的情况下,如同上述第一实施例中的,进行用户认证,并且可以对将终端连接到的网络进行切换。
<其他>
本发明并不限于仅是以上给出的例示的示例,并且显然可以在不脱离本发明的主旨的范围内以多种形式进行改变。
Claims (16)
1、一种认证网络系统,该认证网络系统是如下构成的:经由包括在物理上或在逻辑上彼此不同的第一网络和第二网络的网络来连接第一认证设备、第二认证设备以及连接控制设备,
所述第一认证设备包括:
接收单元,其经由所述第一网络从通信设备接收第一认证信息;
认证单元,其将所述第一认证信息与预先注册的信息进行比较,并判断所述第一认证信息通过了认证还是未通过认证;以及
认证通知单元,如果所述第一认证信息通过认证,则该认证通知单元通知第二认证信息,
所述第二认证设备包括:
接收单元,其接收所述第二认证信息;
认证单元,其将所述第二认证信息与预先注册的信息进行比较,并判断所述第二认证信息通过了认证还是未通过认证;以及
认证通知单元,如果所述第二认证信息通过认证,则该认证通知单元通知所述连接控制设备,
所述连接控制设备包括:
连接单元,其将认证之前的所述通信设备连接到所述第一网络;
接收单元,其从所述第二认证设备接收认证的通知;以及
连接切换单元,其将通过所述第二认证设备认证的所述通信设备的连接从所述第一网络切换到所述第二网络。
2、根据权利要求1所述的认证网络系统,其中,
所述第一认证信息是使用所述通信设备的用户的生物特征信息,并且
所述第二认证信息是识别信息和密码。
3、根据权利要求1或2所述的认证网络系统,其中,所述通信设备包括:
读取单元,其读取所述第一认证信息;
第一发送单元,其经由所述第一网络将由此读取的第一认证信息发送到所述第一认证设备;
接收单元,其从所述第一认证设备接收所述第二认证信息;
第二发送单元,其将所述第二认证信息发送到所述第二认证设备;以及
通信单元,其经由通过所述连接控制设备连接的所述网络来与其他节点执行通信。
4、根据权利要求1至3中的任意一项所述的认证网络系统,其中,所述连接控制设备的连接控制单元通过改变将所述通信设备连接到的端口的设置来切换所述通信设备的连接。
5、一种经由包括在物理上或在逻辑上彼此不同的第一网络和第二网络的网络来连接到第一认证设备、第二认证设备和通信设备的连接控制设备,该连接控制设备包括:
连接单元,其将认证之前的所述通信设备连接到所述第一网络;
接收单元,其从所述第二认证设备接收认证的通知;以及
连接切换单元,其将通过所述第二认证设备认证的所述通信设备的连接从所述第一网络切换到所述第二网络。
6、根据权利要求5所述的连接控制设备,其中,所述连接控制单元通过改变将所述通信设备连接到的端口的设置来切换所述通信设备的连接。
7、一种由认证网络系统执行的连接控制方法,该认证网络系统通过经由包括在物理上或在逻辑上彼此不同的第一网络和第二网络的网络来连接第一认证设备、第二认证设备以及连接控制设备而构成,
所述第一认证设备执行以下步骤:
经由所述第一网络从通信设备接收第一认证信息;
将所述第一认证信息与预先注册的信息进行比较,并判断所述第一认证信息通过了认证还是未通过认证;以及
如果所述第一认证信息通过认证,则通知第二认证信息,
所述第二认证设备执行以下步骤:
接收所述第二认证信息;
将所述第二认证信息与预先注册的信息进行比较,并判断所述第二认证信息通过了认证还是未通过认证;以及
如果所述第二认证信息通过了认证,则通知所述连接控制设备,
所述连接控制设备执行以下步骤:
将认证之前的所述通信设备连接到所述第一网络;
从所述第二认证设备接收认证的通知;以及
将通过所述第二认证设备认证的所述通信设备的连接从所述第一网络切换到所述第二网络。
8、根据权利要求7所述的连接控制方法,其中,
所述第一认证信息是使用所述通信设备的用户的生物特征信息,并且
所述第二认证信息是识别信息和密码。
9、根据权利要求7或8所述的连接控制方法,其中,所述通信设备执行以下步骤:
读取所述第一认证信息;
经由所述第一网络将由此读取的第一认证信息发送到所述第一认证设备;
从所述第一认证设备接收所述第二认证信息;
将所述第二认证信息发送到所述第二认证设备;以及
经由所述网络与其他节点执行通信。
10、根据权利要求7至9中的任意一项所述的连接控制方法,其中,所述连接控制设备通过改变将所述通信设备连接到的端口的设置来切换所述通信设备的连接。
11、一种由连接控制设备执行的连接控制方法,该连接控制设备经由包括在物理上或在逻辑上彼此不同的第一网络和第二网络的网络来连接第一认证设备、第二认证设备和通信设备,该连接控制方法包括以下步骤:
将认证之前的所述通信设备连接到所述第一网络;
从所述第二认证设备接收认证的通知;以及
将通过所述第二认证设备认证的所述通信设备的连接从所述第一网络切换到所述第二网络。
12、根据权利要求11所述的连接控制方法,其中,通过改变将所述通信设备连接到的所述连接控制设备的端口的设置来切换所述通信设备的连接。
13、一种连接到认证网络系统的通信设备,该认证网络系统通过经由包括在物理上或在逻辑上彼此不同的第一网络和第二网络的网络来连接第一认证设备、第二认证设备以及连接控制设备而构成,该通信设备包括:
读取单元,其读取第一认证信息;
第一发送单元,其经由所述第一网络将由此读取的第一认证信息发送到所述第一认证设备;
接收单元,其从所述第一认证设备接收第二认证信息;
第二发送单元,其将所述第二认证信息发送到所述第二认证设备;以及
通信单元,其经由通过所述连接控制设备连接的所述网络与其他节点执行通信。
14、根据权利要求13所述的通信设备,其中,所述第一认证信息是使用所述通信设备的用户的生物特征信息,并且
所述第二认证信息是识别信息和密码。
15、一种由连接到认证网络系统的通信设备执行的连接方法,该认证网络系统通过经由包括在物理上或在逻辑上彼此不同的第一网络和第二网络的网络来连接第一认证设备、第二认证设备以及连接控制设备而构成,所述连接方法包括以下步骤:
根据所述连接控制设备的控制来建立到所述第一网络的连接;
读取第一认证信息;
经由所述第一网络将由此读取的第一认证信息发送到所述第一认证设备;
从所述第一认证设备接收第二认证信息;
将所述第二认证信息发送到所述第二认证设备;以及
经由所述网络与其他节点执行通信。
16、根据权利要求15所述的连接方法,其中,
所述第一认证信息是使用所述通信设备的用户的生物特征信息,并且
所述第二认证信息是识别信息和密码。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006-107942 | 2006-04-10 | ||
| JP2006107942A JP2007280221A (ja) | 2006-04-10 | 2006-04-10 | 認証ネットワークシステム |
| JP2006107942 | 2006-04-10 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101056172A true CN101056172A (zh) | 2007-10-17 |
| CN101056172B CN101056172B (zh) | 2010-10-13 |
Family
ID=38480673
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100019012A Expired - Fee Related CN101056172B (zh) | 2006-04-10 | 2007-01-12 | 认证网络系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20070240204A1 (zh) |
| EP (1) | EP1850203A1 (zh) |
| JP (1) | JP2007280221A (zh) |
| KR (1) | KR100885227B1 (zh) |
| CN (1) | CN101056172B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067397A (zh) * | 2012-12-31 | 2013-04-24 | 华为技术有限公司 | 一种桌面云系统的安全认证方法、接入网关及认证服务器 |
| CN106534156A (zh) * | 2016-11-30 | 2017-03-22 | 北京洋浦伟业科技发展有限公司 | 车辆电子控制单元之间的身份认证方法和装置及设备 |
| CN106603492A (zh) * | 2016-11-10 | 2017-04-26 | 新华三技术有限公司 | 一种认证方法和装置 |
| WO2023213208A1 (zh) * | 2022-05-06 | 2023-11-09 | 华为技术有限公司 | 一种通信方法及通信装置 |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9391779B2 (en) * | 2008-07-28 | 2016-07-12 | International Business Machines Corporation | Reactive biometric single sign-on utility |
| JP2010183506A (ja) * | 2009-02-09 | 2010-08-19 | Nippon Telegr & Teleph Corp <Ntt> | マルチキャスト通信システム、ルーティング装置、認証サーバ装置、ルーティング装置用プログラム、認証サーバ装置用プログラム、並びにルーティング方法および認証方法 |
| FR2950217B1 (fr) | 2009-09-15 | 2016-05-06 | Schneider Electric Ind Sas | Dispositif et procede de communication sans fil, et systeme comportant un tel dispositif |
| JP5372711B2 (ja) * | 2009-11-13 | 2013-12-18 | アラクサラネットワークス株式会社 | 複数認証サーバを有効利用する装置、システム |
| CN102625303A (zh) * | 2011-01-27 | 2012-08-01 | 西安龙飞软件有限公司 | 一种通过指纹进行wfii/3g路由器接入认证方法 |
| WO2013121246A1 (en) * | 2012-02-14 | 2013-08-22 | Nokia Corporation | Device to device security using naf key |
| JP2014137614A (ja) * | 2013-01-15 | 2014-07-28 | Fujitsu Ltd | 情報処理装置、デバイス装置及びプログラム |
| CN104715181A (zh) * | 2013-12-17 | 2015-06-17 | 深圳富泰宏精密工业有限公司 | 应用软件的登入系统及方法 |
| JP6256116B2 (ja) * | 2014-03-10 | 2018-01-10 | 富士通株式会社 | 通信端末、セキュアログイン方法、及びプログラム |
| JP6394259B2 (ja) * | 2014-10-09 | 2018-09-26 | 富士通株式会社 | 認証システム、認証方法、および認証装置 |
| JP2016085641A (ja) * | 2014-10-27 | 2016-05-19 | キヤノン株式会社 | 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム |
| KR101589477B1 (ko) * | 2014-12-26 | 2016-01-28 | 국방과학연구소 | 데이터 전송 장치 및 데이터 전송 시스템 |
| US10667134B2 (en) * | 2016-11-21 | 2020-05-26 | International Business Machines Corporation | Touch-share credential management on multiple devices |
| CN108347730B (zh) * | 2017-01-25 | 2022-12-09 | 中兴通讯股份有限公司 | 一种无线通信处理方法及装置 |
| US10581841B2 (en) * | 2017-02-13 | 2020-03-03 | Zentel Japan Corporation | Authenticated network |
| US10805288B2 (en) * | 2017-11-30 | 2020-10-13 | Oath Inc. | Authenitcation entity for user authentication |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6636973B1 (en) * | 1998-09-08 | 2003-10-21 | Hewlett-Packard Development Company, L.P. | Secure and dynamic biometrics-based token generation for access control and authentication |
| JP2000276445A (ja) * | 1999-03-23 | 2000-10-06 | Nec Corp | バイオメトリクス識別を用いた認証方法、装置、認証実行機、認証プログラムを記録した記録媒体 |
| US6725382B1 (en) * | 1999-12-06 | 2004-04-20 | Avaya Technology Corp. | Device security mechanism based on registered passwords |
| US6782413B1 (en) * | 2000-02-11 | 2004-08-24 | Microsoft Corporation | Distributed conference bridge |
| JP2001312468A (ja) * | 2000-04-28 | 2001-11-09 | Konami Co Ltd | ネットワーク接続制御方法及び接続制御システム |
| DE10040855B4 (de) * | 2000-08-21 | 2005-01-20 | Infineon Technologies Ag | Netzwerkanordnung |
| SE0003464L (sv) * | 2000-09-28 | 2002-03-29 | Netmage Ab | Metod och system för att förbättra inloggningssäkerheten i nätverkstillämpningar |
| US7181762B2 (en) * | 2001-01-17 | 2007-02-20 | Arcot Systems, Inc. | Apparatus for pre-authentication of users using one-time passwords |
| JP2003006168A (ja) * | 2001-06-25 | 2003-01-10 | Ntt Docomo Inc | 移動端末認証方法及び移動端末 |
| US7240211B2 (en) * | 2001-10-09 | 2007-07-03 | Activcard Ireland Limited | Method of providing an access request to a same server based on a unique identifier |
| EP1311136A1 (en) * | 2001-11-12 | 2003-05-14 | Lucent Technologies Inc. | Authentication in telecommunications networks |
| US7681034B1 (en) * | 2001-12-12 | 2010-03-16 | Chang-Ping Lee | Method and apparatus for securing electronic data |
| JP2003218873A (ja) * | 2002-01-24 | 2003-07-31 | Fujitsu Ltd | 通信監視装置及び監視方法 |
| JP2003281099A (ja) | 2002-03-20 | 2003-10-03 | Toshiba Corp | 生体情報画像認証システムと生体情報画像認証方法 |
| TW588243B (en) * | 2002-07-31 | 2004-05-21 | Trek 2000 Int Ltd | System and method for authentication |
| JP2004133747A (ja) | 2002-10-11 | 2004-04-30 | Yozan Inc | 認証システムおよび認証方法 |
| US7284062B2 (en) * | 2002-12-06 | 2007-10-16 | Microsoft Corporation | Increasing the level of automation when provisioning a computer system to access a network |
| US8712397B2 (en) * | 2003-02-10 | 2014-04-29 | Guang Feng | Method and apparatus for controllable communication |
| JP4000111B2 (ja) * | 2003-12-19 | 2007-10-31 | 株式会社東芝 | 通信装置および通信方法 |
| JP2006048174A (ja) | 2004-07-30 | 2006-02-16 | A・T・Gジャパン株式会社 | ホームセキュリティシステム |
| KR100714100B1 (ko) * | 2004-10-29 | 2007-05-02 | 한국전자통신연구원 | 홈네트워크 시스템에서의 사용자 인증 방법 및 그 시스템 |
-
2006
- 2006-04-10 JP JP2006107942A patent/JP2007280221A/ja not_active Withdrawn
- 2006-12-14 US US11/638,394 patent/US20070240204A1/en not_active Abandoned
- 2006-12-21 EP EP06256530A patent/EP1850203A1/en not_active Withdrawn
-
2007
- 2007-01-10 KR KR1020070002768A patent/KR100885227B1/ko not_active IP Right Cessation
- 2007-01-12 CN CN2007100019012A patent/CN101056172B/zh not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067397A (zh) * | 2012-12-31 | 2013-04-24 | 华为技术有限公司 | 一种桌面云系统的安全认证方法、接入网关及认证服务器 |
| CN106603492A (zh) * | 2016-11-10 | 2017-04-26 | 新华三技术有限公司 | 一种认证方法和装置 |
| CN106603492B (zh) * | 2016-11-10 | 2020-04-03 | 新华三技术有限公司 | 一种认证方法和装置 |
| CN106534156A (zh) * | 2016-11-30 | 2017-03-22 | 北京洋浦伟业科技发展有限公司 | 车辆电子控制单元之间的身份认证方法和装置及设备 |
| CN106534156B (zh) * | 2016-11-30 | 2019-06-04 | 北京梆梆安全科技有限公司 | 车辆电子控制单元之间的身份认证方法和装置及设备 |
| WO2023213208A1 (zh) * | 2022-05-06 | 2023-11-09 | 华为技术有限公司 | 一种通信方法及通信装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20070240204A1 (en) | 2007-10-11 |
| EP1850203A1 (en) | 2007-10-31 |
| JP2007280221A (ja) | 2007-10-25 |
| KR100885227B1 (ko) | 2009-02-24 |
| KR20070101112A (ko) | 2007-10-16 |
| CN101056172B (zh) | 2010-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101056172A (zh) | 认证网络系统 | |
| CN1929398A (zh) | 无线通信网安全设置方法、存储介质、网络系统和客户设备 | |
| CN1719795A (zh) | 无线局域网关联设备和方法以及相应产品 | |
| CN1638345A (zh) | 使用便携式存储媒质配置瘦客户机设备的网络设置 | |
| CN1838138A (zh) | 认证系统、控制认证系统的方法以及便携式认证装置 | |
| CN101076976A (zh) | 认证系统、认证方法以及认证信息生成程序 | |
| CN1852094A (zh) | 网络业务应用账户的保护方法和系统 | |
| CN1901449A (zh) | 一种网络接入的方法 | |
| CN1929380A (zh) | 一种公钥证书状态的获取及验证方法 | |
| CN1883176A (zh) | 用于经由网络进行供给和认证的系统和方法 | |
| CN101039311A (zh) | 一种身份标识网页业务网系统及其鉴权方法 | |
| CN1864390A (zh) | 用于利用安全性标记提供网络安全性的方法和装置 | |
| CN1716856A (zh) | 认证方法、终端装置、中继装置以及认证服务器 | |
| CN1578533A (zh) | 通信系统、通信方法、基地局装置、控制器、器械及其控制程序 | |
| CN1685689A (zh) | 控制家庭终端的装置、方法和计算机软件产品 | |
| CN1787458A (zh) | 无线通信管理系统 | |
| WO2006020329B1 (en) | Method and apparatus for determining authentication capabilities | |
| CN1645826A (zh) | 无线局域网用户建立会话连接的方法 | |
| CN101060454A (zh) | 代理接入方法、控制网络设备以及代理接入系统 | |
| CN1914857A (zh) | 访问控制系统及其访问控制设备和资源提供设备 | |
| CN1812417A (zh) | 接入点的安全接入协议符合性测试方法及其系统 | |
| CN1801709A (zh) | 实现wlan多模安全认证的接入方法 | |
| CN101052032A (zh) | 一种业务实体认证方法及装置 | |
| CN1812406A (zh) | 通信设备、通信方法、通信程序和记录媒体 | |
| CN1604526A (zh) | 通信系统、信息处理装置、信息处理方法和记录介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101013 Termination date: 20120112 |