JP2004062417A - 認証サーバ装置、サーバ装置、およびゲートウェイ装置 - Google Patents
認証サーバ装置、サーバ装置、およびゲートウェイ装置 Download PDFInfo
- Publication number
- JP2004062417A JP2004062417A JP2002218328A JP2002218328A JP2004062417A JP 2004062417 A JP2004062417 A JP 2004062417A JP 2002218328 A JP2002218328 A JP 2002218328A JP 2002218328 A JP2002218328 A JP 2002218328A JP 2004062417 A JP2004062417 A JP 2004062417A
- Authority
- JP
- Japan
- Prior art keywords
- user
- information
- location
- request
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】利用者や利用者のロケーションに応じた適応的なパケットフィルタリングおよびアクセス制御を可能とする。
【解決手段】認証サーバ3は、端末2から受信したユーザIDとパスワードの組、もしくはIPSecの証明書を用いて利用者認証を行い、正規の利用者と判定できた場合は、利用者認証用のユーザIDもしくはIPSecの証明書を用いて利用者を特定し、認証要求の送信元IPアドレスもしくはその他のパケット内の情報により、利用者の認証要求時のロケーションを特定し、該利用者およびロケーションに対応するアクセス制御ポリシーをポリシーデータベース35から取り出すとともに、認証証明書を生成し、該認証証明書とアクセス制御ポリシーのマッピング情報を生成し、認証証明書とアクセス制御ポリシーのマッピング情報、およびアクセス制御ポリシーをサーバ4に通知し、認証証明書を端末2へ通知する。
【選択図】 図1
【解決手段】認証サーバ3は、端末2から受信したユーザIDとパスワードの組、もしくはIPSecの証明書を用いて利用者認証を行い、正規の利用者と判定できた場合は、利用者認証用のユーザIDもしくはIPSecの証明書を用いて利用者を特定し、認証要求の送信元IPアドレスもしくはその他のパケット内の情報により、利用者の認証要求時のロケーションを特定し、該利用者およびロケーションに対応するアクセス制御ポリシーをポリシーデータベース35から取り出すとともに、認証証明書を生成し、該認証証明書とアクセス制御ポリシーのマッピング情報を生成し、認証証明書とアクセス制御ポリシーのマッピング情報、およびアクセス制御ポリシーをサーバ4に通知し、認証証明書を端末2へ通知する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、通信回線を介してコンピュータ間の通信を行うコンピュータ通信システムにおいて、セキュリティを確保し、安全な通信を可能とする不正アクセス防止方法に関する。
【0002】
【従来の技術】
IPネットワークに接続されるサーバに対して、アクセス権を持たない利用者からの不正アクセスを防止する手段として、パケットフィルタリングと認証が利用されている。従来のパケットフィルタリングは、パケットの宛先IP(Internet Protocol)アドレス、送信元IPアドレス、宛先TCP(Transmission Control Protocol)/UDP(User Datagram Protocol)ポート番号、送信元TCP/UDPポート番号、プロトコル番号、TCPフラグ等に基づいてパケット、あるいはサービス利用、情報取得要求をフィルタリングすることにより、要求サービスや情報にアクセス権のない利用者から、サービスや情報への不正なアクセスを防止することが可能である。また、従来の認証は、ユーザIDとパスワードにより利用者個人を特定することにより、アクセス権をもたない利用者のサービス利用や情報取得を防止することが可能である。
【0003】
【発明が解決しようとする課題】
しかしながら、従来のパケットフィルタリングは、利用者や利用者のロケーションによって、適応的にアクセス制御を行うことが不可能である。また、従来の認証は、利用者のロケーションに応じて、アクセス制御を行うことが不可能である。
【0004】
本発明の目的は、利用者や利用者のロケーションに応じた適応的なパケットフィルタリングおよびアクセス制御を可能とし、無線LAN(Local Area Network)や携帯電話網を用いた企業ネットワークの利用時における不正アクセスを防止する機能を強化することにある。
【0005】
【課題を解決するための手段】
本発明の認証サーバ装置は、IPネットワークに接続された端末の利用者が、遠隔に設置されたサーバ装置が提供するサービスを利用する、あるいは該サーバ装置に格納された情報を取得するのに先立って、利用者の認証を行い、認証された利用者の端末に認証証明書を送付する認証サーバ装置において、認証要求パケットの送信元IPアドレスから利用者のロケーションを特定し、ユーザIDとパスワードから利用者個人を特定する手段と、ロケーション識別子と利用者識別子が埋め込まれた認証証明書を作成する手段と、認証証明書を利用者端末に送信する手段を有する。
【0006】
本発明のサーバ装置は、IPネットワークに接続された端末の利用者が、遠隔に設置されたサーバ装置が提供するサービスを利用する、あるいは該サーバ装置に格納された情報を取得するのに先立って、認証サーバが利用者の認証を行って、認証要求パケットの送信元IPアドレスから利用者のロケーションを特定し、ユーザIDとパスワードから利用者個人を特定し、ロケーション識別子と利用者識別子を埋め込んで送信した認証証明書を端末が受取り、利用者が前記サーバ装置で提供されるサービスまたは情報を利用、または取得することを要求する際に、認証証明書を付加したサービス利用または情報取得要求パケットを受信する手段と、該パケットに付加されたロケーション識別子と利用者識別子の両方または一方を参照し、要求受付の可否を判定する手段と、該要求を送信した利用者が、当該要求を送信したロケーションで、要求サービスを利用あるいは要求情報を取得するアクセス権を有する場合、要求サービスまたは要求情報の利用または取得を許可し、該要求を送信した利用者が、当該要求を送信したロケーションで、要求サービスを利用あるいは要求情報を取得するアクセス権を有さない場合、要求サービスまたは要求情報の利用または取得を拒否する手段を有する。
【0007】
本発明のゲートウェイ装置は、IPネットワークに接続された端末の利用者が、遠隔に設置されたサーバ装置が提供するサービスを利用する、あるいは該サーバ装置に格納された情報を取得するのに先立って、認証サーバ装置が前記利用者の認証を行い、認証要求パケットの送信元IPアドレスから利用者のロケーションを特定し、ユーザIDとパスワードから利用者個人を特定し、ロケーション識別子と利用者識別子を埋め込んで送信した認証証明書を端末が受取り、利用者がサーバ装置で提供されるサービスまたは情報を利用、または取得することを要求する際に、認証証明書を付加したサービス利用または情報取得要求パケットを受信する手段と、該パケットに付加されたロケーション識別子と利用者識別子の両方または一方を参照し、要求受付の可否を判定する手段と、該要求を送信した利用者が、当該要求を送信したロケーションで、要求サービスを利用あるいは要求情報を取得するアクセス権を有する場合、要求サービスまたは要求情報の利用または取得を許可し、該要求を送信した利用者が、該要求を送信したロケーションで、要求サービスを利用あるいは要求情報を取得するアクセス権を有さない場合、要求サービスまたは要求情報の利用または取得を拒否する手段を有する。
【0008】
認証サーバにおける認証時に、認証要求パケットの送信元IPアドレスから利用者のロケーションを特定し、ユーザIDとパスワードから利用者個人を特定し、ロケーション識別子と利用者識別子を認証証明書に埋め込んで利用者端末に送信することにより、利用者や利用者のロケーションに応じた適応的なパケットフィルタリング、およびアクセス制御が可能となる。
【0009】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0010】
図1を参照すると、本発明の一実施形態の認証システムはIPネットワーク1と端末2と認証サーバ3とサーバ4,5とゲートウェイ6で構成されている。
【0011】
IPネットワーク1は、インターネットプロトコル群(TCP/IPプロトコルスイート)により遠隔に設置されたサーバ4,5、端末2間で通信を行うための通信網であり、インターネットのような不特定多数の利用者が接続されるネットワークとIP−VPN(Virtual Private Network)や広域イーサネット網、構内ネットワークのような特定の組織に属する利用者のみが接続されるネットワークを含む。
【0012】
端末2は、IPネットワーク1に接続され、遠隔に設置されたサーバ4,5や端末2と通信する機能と通信を利用するアプリケーションが組み込まれたパーソナルコンピュータ、PDA(Personal Digital Assistants)、携帯電話、ワークステーションなどである。
【0013】
認証サーバ3は、IPネットワーク1に接続され、利用者が、あるサーバ4で提供されるサービスや情報を利用または取得するのに先立って、利用者の認証を行い、認証証明書を利用者の使用する端末2へ提供する装置である。
【0014】
サーバ4は、IPネットワーク1に接続され、遠隔に設置された端末2に対しサービスや情報を提供する装置であり、端末2から送信されたサービスや情報に対する要求パケットに含まれる認証証明書を分析し、利用者、および利用者のロケーションを特定し、要求されたサービスや情報に対するアクセス権が該ロケーションに存在する該利用にあるかどうかを判定し、アクセス権があれば、サービスまたは情報を提供し、アクセス権がなければ、サービスまたは情報を提供することを拒否するサーバ装置である。
【0015】
サーバ5は、IPネットワーク1に接続され、遠隔に設置された端末2に対しサービスや情報を提供する装置である。
【0016】
ゲートウェイ6は、IPネットワーク1に接続され、利用者端末2から見てサーバ4,5の前段に設置され、端末2から送信されるサービスまたは情報に対する要求を含むパケット、およびサーバから送信されるパケットをヘッダ情報、ペイロード情報に基づいてフィルタリングする装置であり、端末から送信される認証証明書付のサービス、または情報要求パケットの認証証明書内に埋め込まれた利用者識別子、ロケーション識別子に基づき当該要求の廃棄または転送を行う機能を有する。
【0017】
端末2は、アプリケーション21とプラグイン22とIPSec処理部23を含む。
【0018】
アプリケーション21は、IPネットワーク1を使用して、遠隔に設置されたサーバ5が提供するサービスや情報を利用するアプリケーションソフトウェアである。プラグイン22は、認証サーバ3と通信し、端末2の入力装置から入力されたユーザIDとパスワードを用いて、認証処理を実行し、認証サーバ3により認証された場合に、認証サーバ3から送付された認証証明書を受信し、格納し、アプリケーション21がサーバ4またはサーバ5に対し、サービスまたは情報の利用を要求する際に、要求パケットに当該認証証明書を付加し、サーバ4またはサーバ5に送信する機能部である。IPSec処理部23は、認証サーバ3と通信する際に秘匿通信経路である暗号トンネルを設定する機能部である。
【0019】
認証サーバ3はIPSec処理部31と認証部32と利用者特定部33とロケーション特定部34とポリシーデータベース35とポリシー検索部36と認証証明書生成部37と設定情報生成部38を含む。
【0020】
IPSec処理部31は、端末2と通信する秘匿通信経路である暗号トンネルを設定する機能部である。認証部32は、端末2から送信された認証要求を受け付け、端末2から送信されたユーザIDとパスワードの組、もしくはIPSecの証明書を用いて利用者認証を行う機能部である。利用者特定部33は、端末2から送信された認証要求におけるユーザID、もしくはIPSecの証明書を用いて利用者の特定を行う機能部である。ロケーション特定部34は、端末2から送信された認証要求の送信元IPアドレスやその他のロケーション情報に基づき、該利用者の認証時におけるロケーションを特定する機能部である。ポリシーデータベース35は、利用者毎、かつロケーション毎のサービス、あるいは情報へのアクセス権情報であるアクセス制御ポリシーを格納する。アクセス制御ポリシーは、利用者毎、かつロケーション毎にアクセスを許可する、あるいは拒否するホストのIPアドレス、ネットワークのネットワークアドレス、URL(Uniform Resource Locator)、ディレクトリ、プロトコル、アプリケーション(TCP/UDPのポート番号)を規定した情報の集合である。ポリシー検索部36は、利用者特定部33で特定された利用者情報とロケーション特定部34で特定されたロケーション情報に基づきポリシーデータベース35を検索し、当該利用者の当該ロケーションでのアクセス制御ポリシーを取り出す機能部である。認証証明書生成部37は、利用者特定部33で特定された利用者情報とロケーション特定部34で特定されたロケーション情報に基づき、利用者識別子とロケーション識別子を含んだ認証証明書を作成し、端末2のプラグイン22へ送信する機能部である。設定情報生成部38は、認証証明書生成部37で生成された認証証明書とポリシー検索部36で取り出された認証証明書に対応するアクセス制御ポリシーのマッピング情報を生成し、サーバ4またはゲートウェイ6に当該マッピング情報を設定する機能部である。
【0021】
サーバ4は要求受信部41と利用者・ロケーション特定部42とアクセス制御ポリシー43とアクセス可否判定部44とデータ45とサービス46を含む。
【0022】
要求受信部41は、端末2から送信されたサービス利用、情報取得に関する要求を受信する機能部である。利用者・ロケーション特定部42は、要求受信部41が受信したサービス利用、情報取得に関する要求に含まれる認証証明書に埋め込まれた利用者識別子およびロケーション識別子から利用者とロケーションを特定する機能部である。アクセス制御ポリシー43は、認証サーバ3から設定された利用者毎、かつロケーション毎にアクセスを許可する、あるいは拒否するホストのIPアドレス、ネットワークのネットワークアドレス、URL、ディレクトリ、プロトコル、アプリケーション(TCP/UDPのポート番号)を規定した情報の集合である。アクセス可否判定部44は、利用者・ロケーション特定部42で特定された利用者、ロケーションに基づき、アクセス制御ポリシー43を参照し、端末2からのサービス提供、情報取得要求を許可するか拒否するか判定する機能部である。データ45は、アクセスが許可された、もしくは拒否されていない端末に提供する情報を格納する。サービス46は、アクセスが許可された、もしくは拒否されていない端末に提供するサービスである。情報送信部47は、アクセスが許可された、もしくは拒否されていない端末にサービスまたは情報を送信する機能部である。
【0023】
サーバ5は要求受信部51とデータ52とサービス53と情報送信部54を含む。
【0024】
要求受信部51は、端末2から送信されるサービス利用、情報取得に関する要求を受信する機能部である。データ52は、アクセスが許可された、もしくは拒否されていない端末に提供する情報を格納する。サービス53は、アクセスが許可された、もしくは拒否されていない端末に提供するサービスである。情報送信部54は、アクセスが許可された、もしくは拒否されていない端末にサービスまたは情報を送信する機能部である。
【0025】
ゲートウェイ6は利用者・ロケーション特定部61とアクセス制御ポリシー62とアクセス可否判定部63と転送部64を含む。
【0026】
利用者・ロケーション特定部61は、サーバ5の要求受信部51が受信したサービス利用、情報取得に関する要求に含まれる認証証明書に埋め込まれた利用者識別子およびロケーション識別子から利用者とロケーションを特定する機能部である。アクセス制御ポリシー62は、認証サーバ3から設定された利用者毎、かつロケーション毎にアクセスを許可する、あるいは拒否するホストのIPアドレス、ネットワークのネットワークアドレス、URL、ディレクトリ、プロトコル、アプリケーション(TCP/UDPのポート番号)を規定した情報の集合である。アクセス可否判定部63は、利用者・ロケーション特定部61で特定された利用者、ロケーションに基づき、アクセス制御ポリシー62を参照し、端末2からのサービス提供、情報取得要求を許可するか拒否するか判定する機能部である。転送部64は、アクセスが許可された、もしくは拒否されていない端末からのサービス利用、情報取得に関する要求をサーバ5に転送する、あるいは、アクセが許可されていない、もしくは拒否されている端末からのサービス利用、情報取得に関する要求を廃棄する機能部である。
【0027】
次に、本実施形態の動作(その1)を図2のフローチャートにより説明する。
【0028】
利用者が、遠隔に設置されたサーバ4が提供するサービスあるいは情報を利用あるいは取得する場合、サーバ4へのアクセスに先立って、認証サーバ3に対して認証要求を行う(ステップ101)。認証には、IPSecやSSL(SecureSocket Layer)を用いた秘匿通信経路を使用してもよいし、しなくてもよい。
【0029】
認証要求を受信した認証サーバ3は、端末2から受信したユーザIDとパスワードの組、もしくはIPSecの証明書を用いて利用者認証を行い(ステップ102)、予め登録された正規の利用者と判定できない場合は、拒否通知を端末2へ返信する。予め登録された正規の利用者と判定できた場合は、端末2から受信した利用者認証用のユーザIDもしくはIPSecの証明書を用いて利用者を特定し、端末2から受信した認証要求の送信元IPアドレスもしくはその他のパケット内の情報により、利用者の認証要求時のロケーションを特定する(ステップ103,104)。利用者とロケーションを特定した認証サーバ3は、当該利用者、およびロケーションに対応するアクセス制御ポリシーをポリシーデータベース35から検索し(ステップ105)、取り出すとともに、端末2へ通知する認証証明書を生成し(ステップ106)、該認証証明書とアクセス制御ポリシーのマッピング情報を生成する(ステップ107)。認証サーバ3は、生成された認証証明書とアクセス制御ポリシーのマッピング情報、およびアクセス制御ポリシーをサーバ4に通知し(ステップ108)、また、生成された認証証明書を端末2へ通知する(ステップ110)。
【0030】
認証証明書とアクセス制御ポリシーのマッピング情報、およびアクセス制御ポリシーを受信したサーバ4は、該情報を格納する(ステップ109)。
【0031】
認証証明書を受信した端末2は、該認証証明書を格納する(ステップ111)。端末2のアプリケーション21が、サーバ4が提供するサービスまたは情報を利用または取得する場合には、端末2のプラグイン22が、要求パケットに認証証明書を付加して(ステップ113)、該要求パケットをサーバ4へ送信する(ステップ114)。
【0032】
サーバ4は要求パケットを要求受信部41で受信し(ステップ115)、該要求パケットに付加された認証証明書に埋め込まれた利用者識別子とロケーション識別子に基づき、利用者と該利用者のロケーションを特定し(ステップ116)、認証サーバ3から受信したアクセス制御ポリシーに基づき、要求の受付可否を判定し(ステップ117)、該アクセス制御ポリシーで受付が許可されていない、もしくは拒否されている要求については廃棄し、拒否通知を端末へ返信する。また、該アクセス制御ポリシーで受付が許可されている、もしくは拒否されていない要求に対しては、要求されたサービスの利用、または情報の取得を許可し、要求された情報もしくはサービス利用結果を端末2へ送信する(ステップ118)。
【0033】
端末2は情報またはサービス利用結果を受信し、利用する(ステップ119)。
【0034】
次に、本実施形態の動作(その2)を図3のフローチャートにより説明する。
【0035】
利用者が、遠隔に設置されたサーバ5が提供するサービスあるいは情報を利用、あるいは取得する場合、サーバ5へのアクセスに先立って、認証サーバ3に対して、認証要求を行う(ステップ101)。認証には、IPSecやSSLを用いた秘匿通信経路を使用してもよいし、しなくてもよい。
【0036】
認証要求を受信した認証サーバ3は、端末2から受信したユーザIDとパスワードの組、もしくはIPSecの証明書を用いて利用者認証を行い(ステップ102)、予め登録された正規の利用者と判定できない場合は、拒否通知を端末2へ返信する。予め登録された正規の利用者と判定できた場合は、端末2から受信した利用者認証用のユーザIDもしくはIPSecの証明書を用いて利用者を特定し(ステップ103)、端末2から受信した認証要求の送信元IPアドレス、もしくはその他のパケット内の情報により、利用者の認証要求時のロケーションを特定する(ステップ104)。利用者とロケーションを特定した認証サーバ3は、該利用者およびロケーションに対応するアクセス制御ポリシーをポリシーデータベース35から検索し(ステップ105)、取り出すとともに、端末2へ通知する認証証明書を生成し(ステップ106)、該認証証明書とアクセス制御ポリシーのマッピング情報を生成する(ステップ107)。認証サーバ3は、生成された認証証明書とアクセス制御ポリシーのマッピング情報およびアクセス制御ポリシーをゲートウェイ6に通知する(ステップ108)。また、生成された認証証明書を端末2へ通知する(ステップ110)。
【0037】
認証証明書とアクセス制御ポリシーのマッピング情報、およびアクセス制御ポリシーを受信したゲートウェイ6は、該情報を格納する(ステップ120)。
【0038】
認証証明書を受信した端末2は、該認証証明書を格納する(ステップ111)。端末2のアプリケーション21が、サーバ5が提供するサービスまたは情報を利用または取得する場合には、端末2のプラグイン22が、要求パケットに認証証明書を付加して(ステップ113)、該要求パケットをサーバ5宛に送信する(ステップ114)。
【0039】
ゲートウェイ6は該要求パケットを受信し(ステップ121)、該要求パケットに付加された認証証明書に埋め込まれた利用者識別子とロケーション識別子に基づき、利用者と当該利用者のロケーションを特定し(ステップ122)、認証サーバ3から受信したアクセス制御ポリシーに基づき、要求の受付可否を判定し(ステップ123)、該アクセス制御ポリシーで受付が許可されていない、もしくは拒否されている要求については廃棄する。また、該アクセス制御ポリシーで受付が許可されている、もしくは拒否されていない要求に対しては、該要求パケットをサーバ5宛に転送する(ステップ124)。
【0040】
また、場合によっては、ゲートウェイ6が、利用者の端末2から送信されたサーバ5宛のサービス利用要求パケットあるいは情報取得要求パケットのヘッダ、またはペイロードに含まれる情報を用いて、端末種別、およびアプリケーション種別を特定し、端末種別、およびアプリケーション種別に応じた転送先サーバ選択あるいはフィルタリングを行う。
【0041】
サーバ5は該要求パケットを要求受信部51で受信し(ステップ125)、要求された情報もしくはサービス利用結果を情報送信部54から端末2へ送信する(ステップ126)。
【0042】
端末2は情報もしくはサービス利用結果を受信し、利用する(ステップ119)。
【0043】
なお、ステップ116と122では、利用者識別子とロケーション識別子のいずれか一方を用いてよい。
【0044】
【発明の効果】
以上説明したように本発明によれば、利用者や利用者のロケーションに応じた適応的なパケットフィルタリング、およびアクセス制御を可能となり、無線LANや携帯電話網を用いた企業ネットワークの利用時における不正アクセスを防止することが可能となる。
【図面の簡単な説明】
【図1】本発明の一実施の形態の認証システムのブロック図である。
【図2】図1の実施の形態の動作(その1)を示すフローチャートである。
【図3】図1の実施の形態の動作(その2)を示すフローチャートである。
【符号の説明】
1 IPネットワーク
2 端末
3 認証サーバ
4,5 サーバ
6 ゲートウェイ
21 アプリケーション
22 プラグイン
23 IPSec処理部
31 IPSec処理部
32 認証部
33 利用者特定部
34 ロケーション特定部
35 ポリシーデータベース
36 ポリシー検索部
37 認証証明書生成部
38 設定情報生成部
41 要求受信部
42 利用者・ロケーション特定部
43 アクセス制御ポリシー
44 アクセス可否判定部
45 データ
46 サービス
47 情報送信部
51 要求受信部
52 データ
53 サービス
54 情報送信部
61 利用者・ロケーション特定部
62 アクセス制御ポリシー
63 アクセス可否判定部
64 転送部
101〜126 ステップ
【発明の属する技術分野】
本発明は、通信回線を介してコンピュータ間の通信を行うコンピュータ通信システムにおいて、セキュリティを確保し、安全な通信を可能とする不正アクセス防止方法に関する。
【0002】
【従来の技術】
IPネットワークに接続されるサーバに対して、アクセス権を持たない利用者からの不正アクセスを防止する手段として、パケットフィルタリングと認証が利用されている。従来のパケットフィルタリングは、パケットの宛先IP(Internet Protocol)アドレス、送信元IPアドレス、宛先TCP(Transmission Control Protocol)/UDP(User Datagram Protocol)ポート番号、送信元TCP/UDPポート番号、プロトコル番号、TCPフラグ等に基づいてパケット、あるいはサービス利用、情報取得要求をフィルタリングすることにより、要求サービスや情報にアクセス権のない利用者から、サービスや情報への不正なアクセスを防止することが可能である。また、従来の認証は、ユーザIDとパスワードにより利用者個人を特定することにより、アクセス権をもたない利用者のサービス利用や情報取得を防止することが可能である。
【0003】
【発明が解決しようとする課題】
しかしながら、従来のパケットフィルタリングは、利用者や利用者のロケーションによって、適応的にアクセス制御を行うことが不可能である。また、従来の認証は、利用者のロケーションに応じて、アクセス制御を行うことが不可能である。
【0004】
本発明の目的は、利用者や利用者のロケーションに応じた適応的なパケットフィルタリングおよびアクセス制御を可能とし、無線LAN(Local Area Network)や携帯電話網を用いた企業ネットワークの利用時における不正アクセスを防止する機能を強化することにある。
【0005】
【課題を解決するための手段】
本発明の認証サーバ装置は、IPネットワークに接続された端末の利用者が、遠隔に設置されたサーバ装置が提供するサービスを利用する、あるいは該サーバ装置に格納された情報を取得するのに先立って、利用者の認証を行い、認証された利用者の端末に認証証明書を送付する認証サーバ装置において、認証要求パケットの送信元IPアドレスから利用者のロケーションを特定し、ユーザIDとパスワードから利用者個人を特定する手段と、ロケーション識別子と利用者識別子が埋め込まれた認証証明書を作成する手段と、認証証明書を利用者端末に送信する手段を有する。
【0006】
本発明のサーバ装置は、IPネットワークに接続された端末の利用者が、遠隔に設置されたサーバ装置が提供するサービスを利用する、あるいは該サーバ装置に格納された情報を取得するのに先立って、認証サーバが利用者の認証を行って、認証要求パケットの送信元IPアドレスから利用者のロケーションを特定し、ユーザIDとパスワードから利用者個人を特定し、ロケーション識別子と利用者識別子を埋め込んで送信した認証証明書を端末が受取り、利用者が前記サーバ装置で提供されるサービスまたは情報を利用、または取得することを要求する際に、認証証明書を付加したサービス利用または情報取得要求パケットを受信する手段と、該パケットに付加されたロケーション識別子と利用者識別子の両方または一方を参照し、要求受付の可否を判定する手段と、該要求を送信した利用者が、当該要求を送信したロケーションで、要求サービスを利用あるいは要求情報を取得するアクセス権を有する場合、要求サービスまたは要求情報の利用または取得を許可し、該要求を送信した利用者が、当該要求を送信したロケーションで、要求サービスを利用あるいは要求情報を取得するアクセス権を有さない場合、要求サービスまたは要求情報の利用または取得を拒否する手段を有する。
【0007】
本発明のゲートウェイ装置は、IPネットワークに接続された端末の利用者が、遠隔に設置されたサーバ装置が提供するサービスを利用する、あるいは該サーバ装置に格納された情報を取得するのに先立って、認証サーバ装置が前記利用者の認証を行い、認証要求パケットの送信元IPアドレスから利用者のロケーションを特定し、ユーザIDとパスワードから利用者個人を特定し、ロケーション識別子と利用者識別子を埋め込んで送信した認証証明書を端末が受取り、利用者がサーバ装置で提供されるサービスまたは情報を利用、または取得することを要求する際に、認証証明書を付加したサービス利用または情報取得要求パケットを受信する手段と、該パケットに付加されたロケーション識別子と利用者識別子の両方または一方を参照し、要求受付の可否を判定する手段と、該要求を送信した利用者が、当該要求を送信したロケーションで、要求サービスを利用あるいは要求情報を取得するアクセス権を有する場合、要求サービスまたは要求情報の利用または取得を許可し、該要求を送信した利用者が、該要求を送信したロケーションで、要求サービスを利用あるいは要求情報を取得するアクセス権を有さない場合、要求サービスまたは要求情報の利用または取得を拒否する手段を有する。
【0008】
認証サーバにおける認証時に、認証要求パケットの送信元IPアドレスから利用者のロケーションを特定し、ユーザIDとパスワードから利用者個人を特定し、ロケーション識別子と利用者識別子を認証証明書に埋め込んで利用者端末に送信することにより、利用者や利用者のロケーションに応じた適応的なパケットフィルタリング、およびアクセス制御が可能となる。
【0009】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0010】
図1を参照すると、本発明の一実施形態の認証システムはIPネットワーク1と端末2と認証サーバ3とサーバ4,5とゲートウェイ6で構成されている。
【0011】
IPネットワーク1は、インターネットプロトコル群(TCP/IPプロトコルスイート)により遠隔に設置されたサーバ4,5、端末2間で通信を行うための通信網であり、インターネットのような不特定多数の利用者が接続されるネットワークとIP−VPN(Virtual Private Network)や広域イーサネット網、構内ネットワークのような特定の組織に属する利用者のみが接続されるネットワークを含む。
【0012】
端末2は、IPネットワーク1に接続され、遠隔に設置されたサーバ4,5や端末2と通信する機能と通信を利用するアプリケーションが組み込まれたパーソナルコンピュータ、PDA(Personal Digital Assistants)、携帯電話、ワークステーションなどである。
【0013】
認証サーバ3は、IPネットワーク1に接続され、利用者が、あるサーバ4で提供されるサービスや情報を利用または取得するのに先立って、利用者の認証を行い、認証証明書を利用者の使用する端末2へ提供する装置である。
【0014】
サーバ4は、IPネットワーク1に接続され、遠隔に設置された端末2に対しサービスや情報を提供する装置であり、端末2から送信されたサービスや情報に対する要求パケットに含まれる認証証明書を分析し、利用者、および利用者のロケーションを特定し、要求されたサービスや情報に対するアクセス権が該ロケーションに存在する該利用にあるかどうかを判定し、アクセス権があれば、サービスまたは情報を提供し、アクセス権がなければ、サービスまたは情報を提供することを拒否するサーバ装置である。
【0015】
サーバ5は、IPネットワーク1に接続され、遠隔に設置された端末2に対しサービスや情報を提供する装置である。
【0016】
ゲートウェイ6は、IPネットワーク1に接続され、利用者端末2から見てサーバ4,5の前段に設置され、端末2から送信されるサービスまたは情報に対する要求を含むパケット、およびサーバから送信されるパケットをヘッダ情報、ペイロード情報に基づいてフィルタリングする装置であり、端末から送信される認証証明書付のサービス、または情報要求パケットの認証証明書内に埋め込まれた利用者識別子、ロケーション識別子に基づき当該要求の廃棄または転送を行う機能を有する。
【0017】
端末2は、アプリケーション21とプラグイン22とIPSec処理部23を含む。
【0018】
アプリケーション21は、IPネットワーク1を使用して、遠隔に設置されたサーバ5が提供するサービスや情報を利用するアプリケーションソフトウェアである。プラグイン22は、認証サーバ3と通信し、端末2の入力装置から入力されたユーザIDとパスワードを用いて、認証処理を実行し、認証サーバ3により認証された場合に、認証サーバ3から送付された認証証明書を受信し、格納し、アプリケーション21がサーバ4またはサーバ5に対し、サービスまたは情報の利用を要求する際に、要求パケットに当該認証証明書を付加し、サーバ4またはサーバ5に送信する機能部である。IPSec処理部23は、認証サーバ3と通信する際に秘匿通信経路である暗号トンネルを設定する機能部である。
【0019】
認証サーバ3はIPSec処理部31と認証部32と利用者特定部33とロケーション特定部34とポリシーデータベース35とポリシー検索部36と認証証明書生成部37と設定情報生成部38を含む。
【0020】
IPSec処理部31は、端末2と通信する秘匿通信経路である暗号トンネルを設定する機能部である。認証部32は、端末2から送信された認証要求を受け付け、端末2から送信されたユーザIDとパスワードの組、もしくはIPSecの証明書を用いて利用者認証を行う機能部である。利用者特定部33は、端末2から送信された認証要求におけるユーザID、もしくはIPSecの証明書を用いて利用者の特定を行う機能部である。ロケーション特定部34は、端末2から送信された認証要求の送信元IPアドレスやその他のロケーション情報に基づき、該利用者の認証時におけるロケーションを特定する機能部である。ポリシーデータベース35は、利用者毎、かつロケーション毎のサービス、あるいは情報へのアクセス権情報であるアクセス制御ポリシーを格納する。アクセス制御ポリシーは、利用者毎、かつロケーション毎にアクセスを許可する、あるいは拒否するホストのIPアドレス、ネットワークのネットワークアドレス、URL(Uniform Resource Locator)、ディレクトリ、プロトコル、アプリケーション(TCP/UDPのポート番号)を規定した情報の集合である。ポリシー検索部36は、利用者特定部33で特定された利用者情報とロケーション特定部34で特定されたロケーション情報に基づきポリシーデータベース35を検索し、当該利用者の当該ロケーションでのアクセス制御ポリシーを取り出す機能部である。認証証明書生成部37は、利用者特定部33で特定された利用者情報とロケーション特定部34で特定されたロケーション情報に基づき、利用者識別子とロケーション識別子を含んだ認証証明書を作成し、端末2のプラグイン22へ送信する機能部である。設定情報生成部38は、認証証明書生成部37で生成された認証証明書とポリシー検索部36で取り出された認証証明書に対応するアクセス制御ポリシーのマッピング情報を生成し、サーバ4またはゲートウェイ6に当該マッピング情報を設定する機能部である。
【0021】
サーバ4は要求受信部41と利用者・ロケーション特定部42とアクセス制御ポリシー43とアクセス可否判定部44とデータ45とサービス46を含む。
【0022】
要求受信部41は、端末2から送信されたサービス利用、情報取得に関する要求を受信する機能部である。利用者・ロケーション特定部42は、要求受信部41が受信したサービス利用、情報取得に関する要求に含まれる認証証明書に埋め込まれた利用者識別子およびロケーション識別子から利用者とロケーションを特定する機能部である。アクセス制御ポリシー43は、認証サーバ3から設定された利用者毎、かつロケーション毎にアクセスを許可する、あるいは拒否するホストのIPアドレス、ネットワークのネットワークアドレス、URL、ディレクトリ、プロトコル、アプリケーション(TCP/UDPのポート番号)を規定した情報の集合である。アクセス可否判定部44は、利用者・ロケーション特定部42で特定された利用者、ロケーションに基づき、アクセス制御ポリシー43を参照し、端末2からのサービス提供、情報取得要求を許可するか拒否するか判定する機能部である。データ45は、アクセスが許可された、もしくは拒否されていない端末に提供する情報を格納する。サービス46は、アクセスが許可された、もしくは拒否されていない端末に提供するサービスである。情報送信部47は、アクセスが許可された、もしくは拒否されていない端末にサービスまたは情報を送信する機能部である。
【0023】
サーバ5は要求受信部51とデータ52とサービス53と情報送信部54を含む。
【0024】
要求受信部51は、端末2から送信されるサービス利用、情報取得に関する要求を受信する機能部である。データ52は、アクセスが許可された、もしくは拒否されていない端末に提供する情報を格納する。サービス53は、アクセスが許可された、もしくは拒否されていない端末に提供するサービスである。情報送信部54は、アクセスが許可された、もしくは拒否されていない端末にサービスまたは情報を送信する機能部である。
【0025】
ゲートウェイ6は利用者・ロケーション特定部61とアクセス制御ポリシー62とアクセス可否判定部63と転送部64を含む。
【0026】
利用者・ロケーション特定部61は、サーバ5の要求受信部51が受信したサービス利用、情報取得に関する要求に含まれる認証証明書に埋め込まれた利用者識別子およびロケーション識別子から利用者とロケーションを特定する機能部である。アクセス制御ポリシー62は、認証サーバ3から設定された利用者毎、かつロケーション毎にアクセスを許可する、あるいは拒否するホストのIPアドレス、ネットワークのネットワークアドレス、URL、ディレクトリ、プロトコル、アプリケーション(TCP/UDPのポート番号)を規定した情報の集合である。アクセス可否判定部63は、利用者・ロケーション特定部61で特定された利用者、ロケーションに基づき、アクセス制御ポリシー62を参照し、端末2からのサービス提供、情報取得要求を許可するか拒否するか判定する機能部である。転送部64は、アクセスが許可された、もしくは拒否されていない端末からのサービス利用、情報取得に関する要求をサーバ5に転送する、あるいは、アクセが許可されていない、もしくは拒否されている端末からのサービス利用、情報取得に関する要求を廃棄する機能部である。
【0027】
次に、本実施形態の動作(その1)を図2のフローチャートにより説明する。
【0028】
利用者が、遠隔に設置されたサーバ4が提供するサービスあるいは情報を利用あるいは取得する場合、サーバ4へのアクセスに先立って、認証サーバ3に対して認証要求を行う(ステップ101)。認証には、IPSecやSSL(SecureSocket Layer)を用いた秘匿通信経路を使用してもよいし、しなくてもよい。
【0029】
認証要求を受信した認証サーバ3は、端末2から受信したユーザIDとパスワードの組、もしくはIPSecの証明書を用いて利用者認証を行い(ステップ102)、予め登録された正規の利用者と判定できない場合は、拒否通知を端末2へ返信する。予め登録された正規の利用者と判定できた場合は、端末2から受信した利用者認証用のユーザIDもしくはIPSecの証明書を用いて利用者を特定し、端末2から受信した認証要求の送信元IPアドレスもしくはその他のパケット内の情報により、利用者の認証要求時のロケーションを特定する(ステップ103,104)。利用者とロケーションを特定した認証サーバ3は、当該利用者、およびロケーションに対応するアクセス制御ポリシーをポリシーデータベース35から検索し(ステップ105)、取り出すとともに、端末2へ通知する認証証明書を生成し(ステップ106)、該認証証明書とアクセス制御ポリシーのマッピング情報を生成する(ステップ107)。認証サーバ3は、生成された認証証明書とアクセス制御ポリシーのマッピング情報、およびアクセス制御ポリシーをサーバ4に通知し(ステップ108)、また、生成された認証証明書を端末2へ通知する(ステップ110)。
【0030】
認証証明書とアクセス制御ポリシーのマッピング情報、およびアクセス制御ポリシーを受信したサーバ4は、該情報を格納する(ステップ109)。
【0031】
認証証明書を受信した端末2は、該認証証明書を格納する(ステップ111)。端末2のアプリケーション21が、サーバ4が提供するサービスまたは情報を利用または取得する場合には、端末2のプラグイン22が、要求パケットに認証証明書を付加して(ステップ113)、該要求パケットをサーバ4へ送信する(ステップ114)。
【0032】
サーバ4は要求パケットを要求受信部41で受信し(ステップ115)、該要求パケットに付加された認証証明書に埋め込まれた利用者識別子とロケーション識別子に基づき、利用者と該利用者のロケーションを特定し(ステップ116)、認証サーバ3から受信したアクセス制御ポリシーに基づき、要求の受付可否を判定し(ステップ117)、該アクセス制御ポリシーで受付が許可されていない、もしくは拒否されている要求については廃棄し、拒否通知を端末へ返信する。また、該アクセス制御ポリシーで受付が許可されている、もしくは拒否されていない要求に対しては、要求されたサービスの利用、または情報の取得を許可し、要求された情報もしくはサービス利用結果を端末2へ送信する(ステップ118)。
【0033】
端末2は情報またはサービス利用結果を受信し、利用する(ステップ119)。
【0034】
次に、本実施形態の動作(その2)を図3のフローチャートにより説明する。
【0035】
利用者が、遠隔に設置されたサーバ5が提供するサービスあるいは情報を利用、あるいは取得する場合、サーバ5へのアクセスに先立って、認証サーバ3に対して、認証要求を行う(ステップ101)。認証には、IPSecやSSLを用いた秘匿通信経路を使用してもよいし、しなくてもよい。
【0036】
認証要求を受信した認証サーバ3は、端末2から受信したユーザIDとパスワードの組、もしくはIPSecの証明書を用いて利用者認証を行い(ステップ102)、予め登録された正規の利用者と判定できない場合は、拒否通知を端末2へ返信する。予め登録された正規の利用者と判定できた場合は、端末2から受信した利用者認証用のユーザIDもしくはIPSecの証明書を用いて利用者を特定し(ステップ103)、端末2から受信した認証要求の送信元IPアドレス、もしくはその他のパケット内の情報により、利用者の認証要求時のロケーションを特定する(ステップ104)。利用者とロケーションを特定した認証サーバ3は、該利用者およびロケーションに対応するアクセス制御ポリシーをポリシーデータベース35から検索し(ステップ105)、取り出すとともに、端末2へ通知する認証証明書を生成し(ステップ106)、該認証証明書とアクセス制御ポリシーのマッピング情報を生成する(ステップ107)。認証サーバ3は、生成された認証証明書とアクセス制御ポリシーのマッピング情報およびアクセス制御ポリシーをゲートウェイ6に通知する(ステップ108)。また、生成された認証証明書を端末2へ通知する(ステップ110)。
【0037】
認証証明書とアクセス制御ポリシーのマッピング情報、およびアクセス制御ポリシーを受信したゲートウェイ6は、該情報を格納する(ステップ120)。
【0038】
認証証明書を受信した端末2は、該認証証明書を格納する(ステップ111)。端末2のアプリケーション21が、サーバ5が提供するサービスまたは情報を利用または取得する場合には、端末2のプラグイン22が、要求パケットに認証証明書を付加して(ステップ113)、該要求パケットをサーバ5宛に送信する(ステップ114)。
【0039】
ゲートウェイ6は該要求パケットを受信し(ステップ121)、該要求パケットに付加された認証証明書に埋め込まれた利用者識別子とロケーション識別子に基づき、利用者と当該利用者のロケーションを特定し(ステップ122)、認証サーバ3から受信したアクセス制御ポリシーに基づき、要求の受付可否を判定し(ステップ123)、該アクセス制御ポリシーで受付が許可されていない、もしくは拒否されている要求については廃棄する。また、該アクセス制御ポリシーで受付が許可されている、もしくは拒否されていない要求に対しては、該要求パケットをサーバ5宛に転送する(ステップ124)。
【0040】
また、場合によっては、ゲートウェイ6が、利用者の端末2から送信されたサーバ5宛のサービス利用要求パケットあるいは情報取得要求パケットのヘッダ、またはペイロードに含まれる情報を用いて、端末種別、およびアプリケーション種別を特定し、端末種別、およびアプリケーション種別に応じた転送先サーバ選択あるいはフィルタリングを行う。
【0041】
サーバ5は該要求パケットを要求受信部51で受信し(ステップ125)、要求された情報もしくはサービス利用結果を情報送信部54から端末2へ送信する(ステップ126)。
【0042】
端末2は情報もしくはサービス利用結果を受信し、利用する(ステップ119)。
【0043】
なお、ステップ116と122では、利用者識別子とロケーション識別子のいずれか一方を用いてよい。
【0044】
【発明の効果】
以上説明したように本発明によれば、利用者や利用者のロケーションに応じた適応的なパケットフィルタリング、およびアクセス制御を可能となり、無線LANや携帯電話網を用いた企業ネットワークの利用時における不正アクセスを防止することが可能となる。
【図面の簡単な説明】
【図1】本発明の一実施の形態の認証システムのブロック図である。
【図2】図1の実施の形態の動作(その1)を示すフローチャートである。
【図3】図1の実施の形態の動作(その2)を示すフローチャートである。
【符号の説明】
1 IPネットワーク
2 端末
3 認証サーバ
4,5 サーバ
6 ゲートウェイ
21 アプリケーション
22 プラグイン
23 IPSec処理部
31 IPSec処理部
32 認証部
33 利用者特定部
34 ロケーション特定部
35 ポリシーデータベース
36 ポリシー検索部
37 認証証明書生成部
38 設定情報生成部
41 要求受信部
42 利用者・ロケーション特定部
43 アクセス制御ポリシー
44 アクセス可否判定部
45 データ
46 サービス
47 情報送信部
51 要求受信部
52 データ
53 サービス
54 情報送信部
61 利用者・ロケーション特定部
62 アクセス制御ポリシー
63 アクセス可否判定部
64 転送部
101〜126 ステップ
Claims (12)
- IPネットワークに接続された端末の利用者が、遠隔に設置されたサーバ装置が提供するサービスを利用する、あるいは該サーバ装置に格納された情報を取得するのに先立って、前記利用者の認証を行い、認証された利用者の端末に認証証明書を送付する認証サーバ装置において、認証要求パケットの送信元IPアドレスから利用者のロケーションを特定し、ユーザIDとパスワードから利用者個人を特定する手段と、ロケーション識別子と利用者識別子が埋め込まれた認証証明書を作成する手段と、該認証証明書を前記利用者端末に送信する手段を有することを特徴とする認証サーバ装置。
- 利用者の端末に送付した認証証明書に埋め込んだロケーション識別子と利用者識別子に対して、いずれのサービスを利用、あるいは情報取得を許可し、あるいは拒否するかを定義したアクセス制御ポリシーを前記サーバ装置に設定する手段を有する、請求項1に記載の認証サーバ装置。
- 利用者の端末に送付した認証証明書に埋め込んだロケーション識別子と利用者識別子に対して、いずれのサービスを利用、あるいは情報取得を許可し、あるいは拒否するかを定義したアクセス制御ポリシーを、サービスまたは情報を提供するサーバの前段に設置されたゲートウェイ装置に設定する、請求項1に記載の認証サーバ装置。
- 利用者の認証にIPSecを利用し、IPSecの認証情報を用いて利用者個人を特定する、請求項1から3のいずれか1項に記載の認証サーバ装置。
- IPネットワークに接続された端末の利用者が、遠隔に設置されたサーバ装置が提供するサービスを利用する、あるいは該サーバに格納された情報を取得するのに先立って、認証サーバ装置が前記利用者の認証を行って、認証要求パケットの送信元IPアドレスから利用者のロケーションを特定し、ユーザIDとパスワードから利用者個人を特定し、ロケーション識別子と利用者識別子を埋め込んで送信した認証証明書を前記端末が受取り、前記利用者が前記サーバ装置で提供されるサービスまたは情報を利用、または取得することを要求する際に、前記認証証明書を付加したサービス利用または情報取得要求パケットを受信する手段と、
該パケットに付加されたロケーション識別子と利用者識別子の両方または一方を参照し、要求受付の可否を判定する手段と、
該要求を送信した利用者が、当該要求を送信したロケーションで、要求サービスを利用あるいは要求情報を取得するアクセス権を有する場合、要求サービスまたは要求情報の利用または取得を許可し、該要求を送信した利用者が、当該要求を送信したロケーションで、要求サービスを利用あるいは要求情報を取得するアクセス権を有さない場合、要求サービスまたは要求情報の利用または取得を拒否する手段を有するサーバ装置。 - 前記利用者の端末に送付された認証証明書に埋め込まれたロケーション識別子と利用者識別子に対して、いずれのサービス利用、あるいは情報取得を許可し、あるいは拒否するかを定義したアクセス制御ポリシーを前記認証サーバ装置から受信し、設定する手段を有する、請求項5に記載のサーバ装置。
- IPネットワークに接続された端末の利用者が、遠隔に設置されたサーバ装置が提供するサービスを利用する、あるいは該サーバ装置に格納された情報を取得するのに先立って、認証サーバ装置が前記利用者の認証を行い、認証要求パケットの送信元IPアドレスから利用者のロケーションを特定し、ユーザIDとパスワードから利用者個人を特定し、ロケーション識別子と利用者識別子を埋め込んで送信した認証証明書を前記端末が受取り、前記利用者が前記サーバ装置で提供されるサービスまたは情報を利用、または取得することを要求する際に、前記認証証明書を付加したサービス利用または情報取得要求パケットを受信する手段と、
該パケットに付加されたロケーション識別子と利用者識別子の両方または一方を参照し、要求受付の可否を判定する手段と、
該要求を送信した利用者が、当該要求を送信したロケーションで、要求サービスを利用あるいは要求情報を取得するアクセス権を有する場合、要求サービスまたは要求情報の利用または取得を許可し、該要求を送信した利用者が、該要求を送信したロケーションで、要求サービスを利用あるいは要求情報を取得するアクセス権を有さない場合、要求サービスまたは要求情報の利用または取得を拒否する手段を有するゲートウェイ装置。 - 前記認証証明書に埋め込まれたロケーション識別子と利用者識別子に対して、いずれのサービス利用あるいは情報取得を許可し、あるいは拒否するかを定義したアクセス制御ポリシーを前記認証サーバ装置から受信し、設定する手段を有する、請求項7に記載のゲートウェイ装置。
- 前記利用者の端末から送信された前記サーバ装置宛のサービス利用要求パケット、あるいは情報取得要求パケットのヘッダ、またはペイロードに含まれる情報を用いて、端末種別およびアプリケーション種別を特定し、端末種別およびアプリケーション種別に応じた方路選択、あるいはフィルタリングを行う手段を有する、請求項8に記載のゲートウェイ装置。
- 端末と通信する際に秘匿通信経路を設定するIPsec処理部と、
前記端末から送信された認証要求を受付け、該端末から送信されたユーザIDとパスワードの組、またはIPsecの証明書を用いて利用者認証を行う認証部と、
前記端末から送信された認証要求におけるユーザIDまたはIPsecの証明書を用いて利用者の特定を行う利用者特定部と、
前記端末から送信された認証要求の送信元アドレス、その他のロケーション情報に基づき、該利用者の認証時におけるロケーションを特定するロケーション特定部と、
利用者毎、かつロケーション毎のサービス、あるいは情報へのアクセス権情報であるアクセス制御ポリシーを格納しているポリシーデータベースと、
前記利用者特定部で特定された利用者情報と前記ロケーション特定部で特定されたロケーション情報に基づき前記ポリシーデータベースを検索し、前記利用者の当該ロケーションでのアクセス制御ポリシーを取出すポリシー検索部と、
前記利用者特定部で特定された利用者情報と前記ロケーション特定部で特定されたロケーション情報に基づき、利用者識別子とロケーション識別子を含んだ認証証明書を作成し、前記端末へ送信する認証証明書生成部と、
前記認証証明書生成部で生成された認証証明書と前記ポリシー検索部で取り出された認証証明書に対応するアクセス制御ポリシーのマッピング情報を生成し、該情報をサーバ装置またはゲートウェイ装置に設定する設定情報生成部を有する認証サーバ装置。 - 端末から送信されたサービス利用、情報取得に関する要求を受信する要求受信部と、
前記サービス利用、情報取得に関する要求に含まれる認証証明書に埋め込まれた利用者識別子およびロケーション識別子から利用者とロケーションを特定する利用者・ロケーション特定部と、
認証サーバ装置から設定された利用者毎、ロケーション毎にアクセスを許可、または拒否するホストのIPアドレス、ネットワークのネットワークアドレスを規定した情報の集合であるアクセス制御ポリシーと、
前記利用者・ロケーション特定部で特定された利用者、ロケーションに基づき前記アクセス制御ポリシーを参照し、前記端末からのサービス提供、情報取得要求を許可するか拒否するかを判定するアクセス可否判定部と、
アクセスが許可された、または拒否されていない端末に提供する情報を格納するデータベースと、
アクセスが許可された、もしくは拒否されていない端末に提供するサービスを格納するデータベースと、
アクセスが許可された、または拒否されていない端末にサービスまたは情報を送信する情報送信部を有するサーバ装置。 - 端末から受信した、サービス利用、情報取得に関する要求に含まれる認証証明書に埋め込まれた利用者識別子およびロケーション識別子から利用者とロケーションを特定する利用者・ロケーション特定部と、
認証サーバ装置から設定された利用者毎、かつロケーション毎にアクセスを許可、あるいは拒否するホストのIPアドレス、ネットワークのネットワークアドレスを規定した情報の集合であるアクセス制御ポリシーと、
前記利用者・ロケーション特定部で特定された利用者、ロケーションに基づき前記アクセス制御ポリシーを参照し、端末からのサービス提供、情報取得要求を許可するか否かを判定するアクセス可否判定部と、
アクセスが許可された、または拒否されていない端末からのサービス利用、情報取得に関する要求をサーバ装置に転送する、あるいはアクセスが許可されていない、または拒否されている端末からのサービス利用、情報取得に関する要求を廃棄する転送部を有するゲートウェイ装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002218328A JP2004062417A (ja) | 2002-07-26 | 2002-07-26 | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002218328A JP2004062417A (ja) | 2002-07-26 | 2002-07-26 | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004062417A true JP2004062417A (ja) | 2004-02-26 |
Family
ID=31939552
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002218328A Pending JP2004062417A (ja) | 2002-07-26 | 2002-07-26 | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004062417A (ja) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005117374A1 (ja) * | 2004-05-31 | 2005-12-08 | Japan Science And Technology Agency | 中継装置、パケットフィルタリング方法及びパケットフィルタリングプログラム |
| JP2007129481A (ja) * | 2005-11-02 | 2007-05-24 | Nippon Telegr & Teleph Corp <Ntt> | パケットフィルタリング装置およびパケットフィルタリングプログラム |
| JP2007207131A (ja) * | 2006-02-06 | 2007-08-16 | Hitachi Ltd | 印刷処理システムおよび印刷処理装置 |
| JP2007251842A (ja) * | 2006-03-17 | 2007-09-27 | Ricoh Co Ltd | ネットワーク機器 |
| JPWO2005101727A1 (ja) * | 2004-04-15 | 2008-03-06 | 松下電器産業株式会社 | 通信装置、通信システム及び認証方法 |
| JP2008510393A (ja) * | 2004-08-13 | 2008-04-03 | ウェイド・アール・アルト | 集中型のデータストアを利用してインターネット電話のマネージドサービスを提供するための方法、及びシステム |
| WO2009049557A1 (fr) * | 2007-10-15 | 2009-04-23 | Huawei Technologies Co., Ltd. | Procédé, système et dispositif de communication à base de conversion d'authentification |
| US7856016B2 (en) | 2005-03-11 | 2010-12-21 | Fujitsu Limited | Access control method, access control system, and packet communication apparatus |
| US20120227114A1 (en) * | 2009-11-09 | 2012-09-06 | Nec Corporation | Access control system, communication terminal, server, and access control method |
| JP2012178137A (ja) * | 2011-02-02 | 2012-09-13 | Hitachi Solutions Ltd | セキュリティポリシー管理サーバ、セキュリティ監視システム |
| US8352647B2 (en) | 2009-06-10 | 2013-01-08 | Fuji Xerox Co., Ltd. | Method and system for controlling information accessibility based on user location |
| WO2013042634A1 (ja) * | 2011-09-20 | 2013-03-28 | 日本電気株式会社 | 通信システム、ポリシー管理装置、通信方法およびプログラム |
| JP2015520880A (ja) * | 2012-03-30 | 2015-07-23 | ゴールドマン,サックス アンド カンパニー | 安全移動体フレームワーク |
| JP2017536598A (ja) * | 2014-09-24 | 2017-12-07 | オラクル・インターナショナル・コーポレイション | ルールベースのデバイスエンロールメント |
| JP2018112828A (ja) * | 2017-01-10 | 2018-07-19 | 株式会社日立ソリューションズ | 作業環境統制方法、作業環境統制システム及びサーバ装置 |
| JP2019165291A (ja) * | 2018-03-19 | 2019-09-26 | 大日本印刷株式会社 | 端末装置、通信路確立方法、端末装置用のプログラム、および、認証システム |
| WO2020121942A1 (ja) * | 2018-12-12 | 2020-06-18 | コネクトフリー株式会社 | 情報通信方法、情報通信システムおよび方法 |
-
2002
- 2002-07-26 JP JP2002218328A patent/JP2004062417A/ja active Pending
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4621200B2 (ja) * | 2004-04-15 | 2011-01-26 | パナソニック株式会社 | 通信装置、通信システム及び認証方法 |
| JPWO2005101727A1 (ja) * | 2004-04-15 | 2008-03-06 | 松下電器産業株式会社 | 通信装置、通信システム及び認証方法 |
| US7633957B2 (en) | 2004-05-31 | 2009-12-15 | Japan Science And Technology Agency | Relay device, packet filtering method, and packet filtering program |
| WO2005117374A1 (ja) * | 2004-05-31 | 2005-12-08 | Japan Science And Technology Agency | 中継装置、パケットフィルタリング方法及びパケットフィルタリングプログラム |
| KR100752955B1 (ko) * | 2004-05-31 | 2007-08-30 | 독립행정법인 과학기술진흥기구 | 중계 장치, 패킷 필터링 방법 및 패킷 필터링 프로그램 |
| US8571011B2 (en) | 2004-08-13 | 2013-10-29 | Verizon Business Global Llc | Method and system for providing voice over IP managed services utilizing a centralized data store |
| JP2008510393A (ja) * | 2004-08-13 | 2008-04-03 | ウェイド・アール・アルト | 集中型のデータストアを利用してインターネット電話のマネージドサービスを提供するための方法、及びシステム |
| US7856016B2 (en) | 2005-03-11 | 2010-12-21 | Fujitsu Limited | Access control method, access control system, and packet communication apparatus |
| JP4732858B2 (ja) * | 2005-11-02 | 2011-07-27 | 日本電信電話株式会社 | パケットフィルタリング装置およびパケットフィルタリングプログラム |
| JP2007129481A (ja) * | 2005-11-02 | 2007-05-24 | Nippon Telegr & Teleph Corp <Ntt> | パケットフィルタリング装置およびパケットフィルタリングプログラム |
| JP4626527B2 (ja) * | 2006-02-06 | 2011-02-09 | 株式会社日立製作所 | 印刷処理システムおよび印刷処理装置 |
| JP2007207131A (ja) * | 2006-02-06 | 2007-08-16 | Hitachi Ltd | 印刷処理システムおよび印刷処理装置 |
| JP2007251842A (ja) * | 2006-03-17 | 2007-09-27 | Ricoh Co Ltd | ネットワーク機器 |
| WO2009049557A1 (fr) * | 2007-10-15 | 2009-04-23 | Huawei Technologies Co., Ltd. | Procédé, système et dispositif de communication à base de conversion d'authentification |
| US8352647B2 (en) | 2009-06-10 | 2013-01-08 | Fuji Xerox Co., Ltd. | Method and system for controlling information accessibility based on user location |
| US20120227114A1 (en) * | 2009-11-09 | 2012-09-06 | Nec Corporation | Access control system, communication terminal, server, and access control method |
| US8914905B2 (en) * | 2009-11-09 | 2014-12-16 | Nec Corporation | Access control system, communication terminal, server, and access control method |
| JP2012178137A (ja) * | 2011-02-02 | 2012-09-13 | Hitachi Solutions Ltd | セキュリティポリシー管理サーバ、セキュリティ監視システム |
| WO2013042634A1 (ja) * | 2011-09-20 | 2013-03-28 | 日本電気株式会社 | 通信システム、ポリシー管理装置、通信方法およびプログラム |
| JP5288081B1 (ja) * | 2011-09-20 | 2013-09-11 | 日本電気株式会社 | 通信システム、ポリシー管理装置、通信方法およびプログラム |
| US8681803B2 (en) | 2011-09-20 | 2014-03-25 | Nec Corporation | Communication system, policy management apparatus, communication method, and program |
| CN103119902A (zh) * | 2011-09-20 | 2013-05-22 | 日本电气株式会社 | 通信系统、策略管理装置、通信方法及程序 |
| JP2015520880A (ja) * | 2012-03-30 | 2015-07-23 | ゴールドマン,サックス アンド カンパニー | 安全移動体フレームワーク |
| JP2016201150A (ja) * | 2012-03-30 | 2016-12-01 | シンクロノス テクノロジーズ インコーポレイテッド | 安全移動体フレームワーク |
| JP2016201149A (ja) * | 2012-03-30 | 2016-12-01 | シンクロノス テクノロジーズ インコーポレイテッド | 安全移動体フレームワーク |
| JP2017536598A (ja) * | 2014-09-24 | 2017-12-07 | オラクル・インターナショナル・コーポレイション | ルールベースのデバイスエンロールメント |
| US11089474B2 (en) | 2014-09-24 | 2021-08-10 | Oracle International Corporation | Unified provisioning of applications on devices in an enterprise system |
| JP2018112828A (ja) * | 2017-01-10 | 2018-07-19 | 株式会社日立ソリューションズ | 作業環境統制方法、作業環境統制システム及びサーバ装置 |
| JP2019165291A (ja) * | 2018-03-19 | 2019-09-26 | 大日本印刷株式会社 | 端末装置、通信路確立方法、端末装置用のプログラム、および、認証システム |
| JP7139635B2 (ja) | 2018-03-19 | 2022-09-21 | 大日本印刷株式会社 | 認証システム |
| WO2020121942A1 (ja) * | 2018-12-12 | 2020-06-18 | コネクトフリー株式会社 | 情報通信方法、情報通信システムおよび方法 |
| JP2020096275A (ja) * | 2018-12-12 | 2020-06-18 | コネクトフリー株式会社 | 情報通信方法及び情報通信システム |
| TWI822923B (zh) * | 2018-12-12 | 2023-11-21 | 日商關連風科技股份有限公司 | 資訊通訊方法、資訊通訊系統以及許可使用服務的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11659385B2 (en) | Method and system for peer-to-peer enforcement | |
| US7823194B2 (en) | System and methods for identification and tracking of user and/or source initiating communication in a computer network | |
| CN111586025B (zh) | 一种基于sdn的sdp安全组实现方法及安全系统 | |
| US7853783B2 (en) | Method and apparatus for secure communication between user equipment and private network | |
| US7900240B2 (en) | Multilayer access control security system | |
| JP3492920B2 (ja) | パケット検証方法 | |
| US20030217148A1 (en) | Method and apparatus for LAN authentication on switch | |
| US20020042883A1 (en) | Method and system for controlling access by clients to servers over an internet protocol network | |
| JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
| JP2003525557A (ja) | 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 | |
| EP1858204A1 (en) | Access control method, access control system, and packet communication apparatus | |
| EP1942629A1 (en) | Method and system for object-based multi-level security in a service oriented architecture | |
| JP3419391B2 (ja) | 認証拒否端末に対し特定条件でアクセスを許容するlan | |
| JP2004505383A (ja) | 分散ネットワーク認証およびアクセス制御用システム | |
| JP2006025354A (ja) | アクセス管理方法及びその装置 | |
| CN111885604B (zh) | 一种基于天地一体化网络的认证鉴权方法、装置及系统 | |
| CA2506418C (en) | Systems and apparatuses using identification data in network communication | |
| WO2008034355A1 (fr) | Procédé, dispositif et système d'authentification de service réseau | |
| CN1521993A (zh) | 网络控制方法和设备 | |
| US20030226037A1 (en) | Authorization negotiation in multi-domain environment | |
| JP2004535096A (ja) | 外部からのアクセスを規制するための方法およびシステム | |
| JP3678166B2 (ja) | 無線端末の認証方法、無線基地局及び通信システム | |
| JP2000151677A (ja) | 移動ipシステムのアクセス認証装置及び記憶媒体 | |
| JP2006216014A (ja) | メッセージを認証するためのシステムおよび方法、メッセージを認証するためのファイアウォール、ネットワーク装置、および、コンピュータ読み取り可能な媒体 | |
| US20220278960A1 (en) | Systems and methods for dynamic access control for devices over communications networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040728 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20040728 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040728 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050614 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070723 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070801 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20071128 |