JP2005073090A - 通信システム,その認証方法及び認証プログラム - Google Patents
通信システム,その認証方法及び認証プログラム Download PDFInfo
- Publication number
- JP2005073090A JP2005073090A JP2003302297A JP2003302297A JP2005073090A JP 2005073090 A JP2005073090 A JP 2005073090A JP 2003302297 A JP2003302297 A JP 2003302297A JP 2003302297 A JP2003302297 A JP 2003302297A JP 2005073090 A JP2005073090 A JP 2005073090A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- master station
- terminal
- communication network
- communication system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】 子局から親局を介して上位通信網に接続する端末に対してユーザ認証を行うための認証システムをより低コストに且つ十分なセキュリティを確保しつつ構築することが可能な通信システム,その認証方法及び認証プログラムを提供する。
【解決手段】 端末が子局2に例えば無線LANを介して接続された時点に当該端末にIPアドレスが割り当てられる。端末は,割り当てられたIPアドレスを用いて親局1と通信して認証を受ける。これにより認証されると,端末が上位通信網L1に接続することが可能となる。IPアドレスの各端末への割り当てはDHCPサーバを用いて行われる。また,親局1における認証は,例えばHTTPプロキシサーバを用いて行われる。
【選択図】図1
【解決手段】 端末が子局2に例えば無線LANを介して接続された時点に当該端末にIPアドレスが割り当てられる。端末は,割り当てられたIPアドレスを用いて親局1と通信して認証を受ける。これにより認証されると,端末が上位通信網L1に接続することが可能となる。IPアドレスの各端末への割り当てはDHCPサーバを用いて行われる。また,親局1における認証は,例えばHTTPプロキシサーバを用いて行われる。
【選択図】図1
Description
本発明は,通信システム,その認証方法及び認証プログラムに関する。更に詳しくは,子局に接続される端末が親局を介して上位通信網に接続するための通信システム,その認証方法法及び認証プログラムに関する。
近年,例えば株式会社NTTのホットスポット(登録商標)のように,カフェ,ホテル及びファーストフード店等に基地局(子局)を設置し,ユーザが,ノートパソコン,PDA等の端末を例えば無線LANにより接続してこの子局から親局としてのISP(インターネットサービスプロバイダ)を介してインターネットなどの公衆通信網に接続できるようにした公衆通信網接続サービスが提供されるようになってきている。
このような接続サービスは,ユーザが端末を子局に接続したときにID及びパスワードなどのユーザ認証に必要とされる情報を入力し,認証を受けて公衆通信網に接続するシステムが一般的である。これにより,利用権限を有するユーザだけがISPを介してインターネット等の上位通信網に接続するサービスを受けることが可能となる。このような公衆通信接続サービス技術に関する公知例として特許文献1が挙げられる。
特開2001−111544号公報
このような接続サービスは,ユーザが端末を子局に接続したときにID及びパスワードなどのユーザ認証に必要とされる情報を入力し,認証を受けて公衆通信網に接続するシステムが一般的である。これにより,利用権限を有するユーザだけがISPを介してインターネット等の上位通信網に接続するサービスを受けることが可能となる。このような公衆通信接続サービス技術に関する公知例として特許文献1が挙げられる。
前掲した接続サービスにおいてユーザ認証を親局にて行おうとすると,その段階で子局と親局との間でOSI参照モデルの第2層(データリンク層)のプロトコルにより通信を行う必要が生じる。ところが,それに対応するルータは比較的高価であるとともに一般に広く普及しているルータとは異なるため,これを導入することは既存設備を活かせず無駄が多く,ランニングコストも増大するという問題がある。また,これらはサービスの普及についての障害にもなる。
この問題に対処するために,ユーザ認証を行う認証用サブシステムを子局に設けることが考えられる。しかしながら,この場合には子局毎に特別に認証用サブシステムを設ける必要が生じ,既存設備の活用がなし得ず,コスト上昇を避けることもできない。
また前記公知資料としての特許文献1に記載の技術は,認証に際して,端末のMACアドレスを利用するものであるが,MACアドレスが現実には正しく割り当てられているという保証はないこと,認証時にMACアドレスを偽装することが比較的容易であることなど,従来より問題が指摘されている。
この問題に対処するために,ユーザ認証を行う認証用サブシステムを子局に設けることが考えられる。しかしながら,この場合には子局毎に特別に認証用サブシステムを設ける必要が生じ,既存設備の活用がなし得ず,コスト上昇を避けることもできない。
また前記公知資料としての特許文献1に記載の技術は,認証に際して,端末のMACアドレスを利用するものであるが,MACアドレスが現実には正しく割り当てられているという保証はないこと,認証時にMACアドレスを偽装することが比較的容易であることなど,従来より問題が指摘されている。
従って,本発明は上記事情に鑑みてなされたものであり,その目的とするところは,子局から親局を介して上位通信網に接続する端末に対してユーザ認証を行うための認証システムを,MACアドレスを用いることなく,より低コストに且つ十分なセキュリティを確保しつつ構築することが可能な通信システム,その認証方法及び認証プログラムを提供することにある。
上記目的を達成するために本発明は,上位通信網に接続される親局と,上記親局と中位通信網を介して接続される1又は2以上の子局とから構成される通信システムであって,上記子局は,当該子局に接続される端末に該端末からの要求に応じて動的に上記親局との通信に必要な論理アドレスを割り当てるアドレス割当手段を備え,上記親局は,上記アドレス割当手段により割り当てられた論理アドレスを用いて上記中位通信網を介して接続する上記端末に対して認証を行う認証手段を備えてなることを特徴とする通信システムとして構成される。
この構成によって,OSI参照モデルのデータリンク層ではなく論理アドレスを用いたネットワーク層のプロトコルにより認証を行うことが可能となる。したがって,親局及び子局に高価且つ一般的ではないデータリンク層のゲートウェイ(ルータ)を設ける必要がなく,安価且つ一般的に普及したネットワーク層のゲートウェイを設けるだけで親局において認証を行うことが可能となる。したがって,コストダウンが図れる。また,子局毎に認証システムを設ける必要もないので,それによるコスト増大を防止することもできる。
この構成によって,OSI参照モデルのデータリンク層ではなく論理アドレスを用いたネットワーク層のプロトコルにより認証を行うことが可能となる。したがって,親局及び子局に高価且つ一般的ではないデータリンク層のゲートウェイ(ルータ)を設ける必要がなく,安価且つ一般的に普及したネットワーク層のゲートウェイを設けるだけで親局において認証を行うことが可能となる。したがって,コストダウンが図れる。また,子局毎に認証システムを設ける必要もないので,それによるコスト増大を防止することもできる。
また,上記親局が,上記端末が上記上位通信網に接続するときに用いるプロキシサーバを備え,上記認証手段が上記プロキシサーバに設けられ上記上位通信網への接続を認証するものである構成とすることも考えられる。
これにより,プロキシサーバが通常備える認証機能を利用して認証を行うことができ,既存設備の活用とさらなるコストダウンが図れる。
これにより,プロキシサーバが通常備える認証機能を利用して認証を行うことができ,既存設備の活用とさらなるコストダウンが図れる。
また,上記論理アドレスがIPアドレスである構成とすることも考えられる。これにより一般的なTCP/IPのプロトコルにより認証を行うことができるため,より安価な機器構成で認証システムを構築することができる。したがって,さらなるコストダウンが図れる。
また,上記プロキシサーバがHTTP用のポートにより通信するHTTPプロキシサーバであり,上記認証手段は上記端末がHTTPプロキシサーバを介して上記上位通信網に接続するための認証を行う構成とすることも考えられる。
この構成によって,本発明の適用が考えられる例えば株式会社NTTのホットスポット(登録商標)のようなインターネット接続サービスの主な利用目的がHTTPによるサービスであることから,その点に認証対象を絞ることによって既存設備の活用とコストダウンを図るといった運用が可能となる。
この構成によって,本発明の適用が考えられる例えば株式会社NTTのホットスポット(登録商標)のようなインターネット接続サービスの主な利用目的がHTTPによるサービスであることから,その点に認証対象を絞ることによって既存設備の活用とコストダウンを図るといった運用が可能となる。
また本発明は,上位通信網に接続される親局と,上記親局と中位通信網を介して接続される1又は2以上の子局とから構成される通信システムの認証方法であって,上記子局に接続される端末に該端末からの要求に応じて動的に上記親局との通信に必要な論理アドレスを割り当てるアドレス割当手順と,上記アドレス割当手順により割り当てられた論理アドレスを用いて上記中位通信網を介して上記親局に接続する上記端末に対して認証を行う認証手順と,を備えることを特徴とする通信システムの認証方法として構成される。
また本発明は,上位通信網に接続される親局と,上記親局と中位通信網を介して接続される1又は2以上の子局とから構成される通信システムの認証プログラムであって,上記子局に接続される端末に該端末からの要求に応じて動的に上記親局との通信に必要な論理アドレスを割り当てるアドレス割当手順と,上記アドレス割当手順により割り当てられた論理アドレスを用いて上記中位通信網を介して上記親局に接続する上記端末に対して認証を行う認証手順と,をコンピュータに実行させることを特徴とする通信システムの認証プログラムとして構成される。
以上説明したように,本発明によれば,データリンク層ではなくネットワーク層のプロトコルにより親局にて認証を行うことが可能となる。したがって,コストダウン及び普及の容易化が図れる。
以下添付図面を参照しながら,本発明の実施の形態及び実施例について説明し,本発明の理解に供する。尚,以下の実施の形態及び実施例は,本発明を具体化した一例であって,本発明の技術的範囲を限定する性格のものではない。
ここに,図1は本発明の実施形態1に係る通信システムの構成を示すブロック図である。
通信システムAは,インターネット等のWeb公衆通信網からなる上位通信網L1に接続された親局1と,この親局1にそれぞれ中位通信網L2を介して接続される1又は2以上の子局2,2,…とから構成されるシステムであって,子局2,2,…に接続される端末3,3,…(図2参照)に対して所定のサービスを提供する。
ここで,中位通信網L2は,例えばWeb公衆通信網をバックボーンとし,VPN(Virtual Private Network: 仮想専用線)を用いて親局1と子局2,2,…とを接続している。
図2に,子局2の詳細を示す。この子局2は,アクセスポイント11及び中位通信網L2を介して親局1と接続するためのルータ機能を備えたゲートウェイ12とを含む。子局2のアクセスポイント11には, Webブラウザの組み込まれたノートパソコン等の端末3,3,…が例えばIEEE802.11b(又はIEEE802.11a)の規格に準拠する無線LAN(local area network :地域ネットワーク)カード等の無線LAN機器を用いて接続する。
また,子局2のゲートウェイ12には,子局2に接続した端末13に例えばIPアドレスからなる論理アドレスを各端末3に動的に割り当てるためのDHCP(Dynamic Host Configuration Protocol)サーバ13が設けられる。
また,子局2のゲートウェイ12は,下記項目(イ)〜(ハ)に示す内容のパケットフィルタリング処理を実施する。
(イ)POP(Post Office Protocol:電子メールを受信するためのプロトコル),SMTP(Simple Mail Transfer Protocol:電子メールを送信するためのプロトコル)及びFTP(File Transfer Protocol:ファイル転送プロトコル)のパケットは無条件に通過させる。
(ロ)HTTP(HyperText Transfer Protocol:HTMLファイルなどの文書を転送するために用いられるプロトコル)のパケットは無条件に通過させる。
(ハ)セキュリティに対する危険性が高いTELNET(遠隔操作を行う仮想端末プロトコル)のパケットは遮断する。すなわち,TELNETはハッキングに利用される可能性が高いサービスであるためその利用を禁止する。
通信システムAは,インターネット等のWeb公衆通信網からなる上位通信網L1に接続された親局1と,この親局1にそれぞれ中位通信網L2を介して接続される1又は2以上の子局2,2,…とから構成されるシステムであって,子局2,2,…に接続される端末3,3,…(図2参照)に対して所定のサービスを提供する。
ここで,中位通信網L2は,例えばWeb公衆通信網をバックボーンとし,VPN(Virtual Private Network: 仮想専用線)を用いて親局1と子局2,2,…とを接続している。
図2に,子局2の詳細を示す。この子局2は,アクセスポイント11及び中位通信網L2を介して親局1と接続するためのルータ機能を備えたゲートウェイ12とを含む。子局2のアクセスポイント11には, Webブラウザの組み込まれたノートパソコン等の端末3,3,…が例えばIEEE802.11b(又はIEEE802.11a)の規格に準拠する無線LAN(local area network :地域ネットワーク)カード等の無線LAN機器を用いて接続する。
また,子局2のゲートウェイ12には,子局2に接続した端末13に例えばIPアドレスからなる論理アドレスを各端末3に動的に割り当てるためのDHCP(Dynamic Host Configuration Protocol)サーバ13が設けられる。
また,子局2のゲートウェイ12は,下記項目(イ)〜(ハ)に示す内容のパケットフィルタリング処理を実施する。
(イ)POP(Post Office Protocol:電子メールを受信するためのプロトコル),SMTP(Simple Mail Transfer Protocol:電子メールを送信するためのプロトコル)及びFTP(File Transfer Protocol:ファイル転送プロトコル)のパケットは無条件に通過させる。
(ロ)HTTP(HyperText Transfer Protocol:HTMLファイルなどの文書を転送するために用いられるプロトコル)のパケットは無条件に通過させる。
(ハ)セキュリティに対する危険性が高いTELNET(遠隔操作を行う仮想端末プロトコル)のパケットは遮断する。すなわち,TELNETはハッキングに利用される可能性が高いサービスであるためその利用を禁止する。
図3に,親局1の詳細を示す。親局1は,上位通信網L1と接続するための第1ゲートウェイ21と,中位通信網L2を介して子局2と接続するための第2ゲートウェイ22と,後述する認証処理を行う1又は2以上のHTTPプロキシサーバ23,23,…(以下,単にプロキシという)と,各プロキシ23と対に設けられプロキシ23が認証処理を実施する際に参照する登録情報を提供する1又は2以上の登録情報提供部24,24,…とを含む。
プロキシ23は端末3が上位通信網L1を介して受信する情報(画像データ,音声データ,文書データ等のコンテンツ)をキャッシュするキャッシング処理を行うとともに,所定の認証処理を実行する。
ここで,認証処理は,端末3から上位通信網L1へのアクセス要求(HTTPによるアクセス要求)を受けたときに端末3のユーザがサービスを利用する正当な権限を有するか否かを判別し,正当な権限を有するものと判別された場合に端末3の上位通信網L1へのアクセスを許可することを内容とする処理である。また,このような認証処理は,プロキシ23のCPUが対応する認証プログラムを実行することにより実施される。なお,そのような認証プログラムは,CGIスクリプトとしてプロキシ23に組み込むことも可能である。
プロキシ23は端末3が上位通信網L1を介して受信する情報(画像データ,音声データ,文書データ等のコンテンツ)をキャッシュするキャッシング処理を行うとともに,所定の認証処理を実行する。
ここで,認証処理は,端末3から上位通信網L1へのアクセス要求(HTTPによるアクセス要求)を受けたときに端末3のユーザがサービスを利用する正当な権限を有するか否かを判別し,正当な権限を有するものと判別された場合に端末3の上位通信網L1へのアクセスを許可することを内容とする処理である。また,このような認証処理は,プロキシ23のCPUが対応する認証プログラムを実行することにより実施される。なお,そのような認証プログラムは,CGIスクリプトとしてプロキシ23に組み込むことも可能である。
また,上記項目(イ)の各種パケットに関するサービスについては,それぞれのサービスに対応する外部のサーバが独自に認証を行っているため,ここでは認証処理は行わない。これに対して,上記項目(ロ)のHTTPによるパケットに関するサービスについては上記のような外部のサーバによる認証は行われない。したがって,このHTTPによるサービスについてのみ認証処理を実施する。
また,プロキシ23は,ユーザがID及びパスワード等の認証に必要とされる情報(以下,認証基礎情報という)を入力するのを補助するようにあらかじめ作成される認証情報入力補助画面をHTML(HyperText Markup Language:Webページを記述するための言語)ファイルとして保存する。
また,プロキシ23のCPUは,後述するユーザ利用可能ポート情報を参照して第1ゲートウェイ21及び第2ゲートウェイ22に設けられるルーティングテーブルを認証処理の結果に応じて書き換えるアクティブポートフィルタリング処理を実施する。
登録情報提供部24は,LDAP(Lightweight Directory Access Protocol:エルダップ)を用いて構成され,通信システムAにより提供されるサービスを受けるべく所定の契約により登録したユーザに関する情報(以下,登録情報という)を格納する。登録情報は,登録されたユーザのID,パスワード及び契約されたサービス内容に対応して決まる利用可能なポート(アプリケーション)についての情報(ユーザ利用可能ポート情報という)を含む。また,登録情報提供部24は,登録ユーザの情報を格納するデータベースから構成することも考えられる。
また,プロキシ23は,ユーザがID及びパスワード等の認証に必要とされる情報(以下,認証基礎情報という)を入力するのを補助するようにあらかじめ作成される認証情報入力補助画面をHTML(HyperText Markup Language:Webページを記述するための言語)ファイルとして保存する。
また,プロキシ23のCPUは,後述するユーザ利用可能ポート情報を参照して第1ゲートウェイ21及び第2ゲートウェイ22に設けられるルーティングテーブルを認証処理の結果に応じて書き換えるアクティブポートフィルタリング処理を実施する。
登録情報提供部24は,LDAP(Lightweight Directory Access Protocol:エルダップ)を用いて構成され,通信システムAにより提供されるサービスを受けるべく所定の契約により登録したユーザに関する情報(以下,登録情報という)を格納する。登録情報は,登録されたユーザのID,パスワード及び契約されたサービス内容に対応して決まる利用可能なポート(アプリケーション)についての情報(ユーザ利用可能ポート情報という)を含む。また,登録情報提供部24は,登録ユーザの情報を格納するデータベースから構成することも考えられる。
以下,図4を参照して,認証処理を説明する。図4は,認証処理を実施する際の一連の手順を示すフローチャートである。なお,図4において,符号S1,S2,…は,ステップ番号を示す。
ステップS1:ユーザにより端末3に対して通信のための周知な所定の起動操作がなされることにより,端末3が無線LAN機器を用いてアクセスポイント11に接続する。なお,この実施形態においては端末3が無線LANにより子局2と接続する場合を説明するが,端末3と子局2との接続は無線LANに限らず,有線LANにより接続するものとしてもよい。例えば,ゲートウェイ12とLANケーブルにより接続された通信ポートをカフェ等に敷設し,その通信ポートにユーザが端末3をLANケーブルにより接続するものとしてもよい。この場合にも接続態様が変わるだけで認証処理の基本的な手順は変化しない。ステップS1の手順が終わるとステップS2に進む。
ステップS2:DHCPサーバ13が端末3に対してIPアドレスの割り当てを実行し,ステップS3に進む。IPアドレスの割当が行われる前の段階においても端末3が子局2によるLAN内で通信することは可能であるが,上位通信網L1に接続することはできない。したがって,未登録のユーザが不正にISP(親局)1に接続することはできず,セキュリティ上の問題はほとんど起こらない。一方,端末相互間の情報漏洩(盗聴等)の防止,あるいはプライバシー保護については,子局2のアクセスポイント11毎にWEP(Wired Equivalent Privacy:IEEE802.11bの無線LANで採用されている暗号化の方式)及びSSID(Service Set Identifier:無線LANで特定のネットワークを指定するための識別名)を設定することによってプライバシーを確保することが可能である。
また,IPアドレスが割り当てられた後は,端末3が親局1と通信することも可能と
なるが,認証を受けるまではルーティングが行われないため上位通信網L1にアクセスすることはできない。
ステップS1:ユーザにより端末3に対して通信のための周知な所定の起動操作がなされることにより,端末3が無線LAN機器を用いてアクセスポイント11に接続する。なお,この実施形態においては端末3が無線LANにより子局2と接続する場合を説明するが,端末3と子局2との接続は無線LANに限らず,有線LANにより接続するものとしてもよい。例えば,ゲートウェイ12とLANケーブルにより接続された通信ポートをカフェ等に敷設し,その通信ポートにユーザが端末3をLANケーブルにより接続するものとしてもよい。この場合にも接続態様が変わるだけで認証処理の基本的な手順は変化しない。ステップS1の手順が終わるとステップS2に進む。
ステップS2:DHCPサーバ13が端末3に対してIPアドレスの割り当てを実行し,ステップS3に進む。IPアドレスの割当が行われる前の段階においても端末3が子局2によるLAN内で通信することは可能であるが,上位通信網L1に接続することはできない。したがって,未登録のユーザが不正にISP(親局)1に接続することはできず,セキュリティ上の問題はほとんど起こらない。一方,端末相互間の情報漏洩(盗聴等)の防止,あるいはプライバシー保護については,子局2のアクセスポイント11毎にWEP(Wired Equivalent Privacy:IEEE802.11bの無線LANで採用されている暗号化の方式)及びSSID(Service Set Identifier:無線LANで特定のネットワークを指定するための識別名)を設定することによってプライバシーを確保することが可能である。
また,IPアドレスが割り当てられた後は,端末3が親局1と通信することも可能と
なるが,認証を受けるまではルーティングが行われないため上位通信網L1にアクセスすることはできない。
ステップS3:端末3が,割り当てられたIPアドレスを用いて親局1のプロキシ23
にアクセスし,これに応答してプロキシ(CPU)23が,前掲した認証情報入力補助画面のHTMLファイルを端末3に送信する。これにより端末3のモニタ(不図示である)にWebブラウザによって認証情報入力補助画面が表示される。ユーザは,この認証情報入力補助画面においてID及びパスワード等の認証基礎情報を入力する。ステップS3の手順が終わるとステップS4に進む。
ステップS4:プロキシ(CPU)23が,上記ステップS3の手順にて入力された認証基礎情報に基づき登録情報提供部24により提供される登録情報を参照して当該ユーザが利用権限を有するユーザであるか否かを判別する。ここで,当該ユーザが利用権限を有すると判別されればステップS5に進み,そうでない場合はステップS3に戻る。
ステップS5:プロキシ(CPU)23が,ユーザごとのユーザ利用可能ポート情報を参照して,当該ユーザに対して利用が認められたアプリケーションに対応するポートを利用できるようにルーティングテーブルを書き換え,処理を終了する。
にアクセスし,これに応答してプロキシ(CPU)23が,前掲した認証情報入力補助画面のHTMLファイルを端末3に送信する。これにより端末3のモニタ(不図示である)にWebブラウザによって認証情報入力補助画面が表示される。ユーザは,この認証情報入力補助画面においてID及びパスワード等の認証基礎情報を入力する。ステップS3の手順が終わるとステップS4に進む。
ステップS4:プロキシ(CPU)23が,上記ステップS3の手順にて入力された認証基礎情報に基づき登録情報提供部24により提供される登録情報を参照して当該ユーザが利用権限を有するユーザであるか否かを判別する。ここで,当該ユーザが利用権限を有すると判別されればステップS5に進み,そうでない場合はステップS3に戻る。
ステップS5:プロキシ(CPU)23が,ユーザごとのユーザ利用可能ポート情報を参照して,当該ユーザに対して利用が認められたアプリケーションに対応するポートを利用できるようにルーティングテーブルを書き換え,処理を終了する。
このように,実施形態の通信システムAにおいては,子局2に接続する端末3にDHCPサーバ14がIPアドレスの割当を行い,端末3が割り当てられたIPアドレスを用いて親局1にアクセスすると,プロキシ(CPU)23が認証処理を行い,ここで当該端末3のユーザが権限を有するものと認証されると,端末3から上位通信網L1へのアクセスが可能になる。
したがって,OSI参照モデルの第2層(データリンク層)ではなく第3層(ネットワーク層)のプロトコルにより認証を行うことが可能になるので,子局2毎に高価且つ一般的に普及していない第2層用のゲートウェイ(ルータ)を設ける必要がなく,コストダウン及び普及の容易化が図れる。
また,この通信システムAを例えば前掲したホットスポット(登録商標)に適用することによって,ユーザ一般の標準的な利用形態に即した必要十分なセキュリティを確保することができる。
したがって,OSI参照モデルの第2層(データリンク層)ではなく第3層(ネットワーク層)のプロトコルにより認証を行うことが可能になるので,子局2毎に高価且つ一般的に普及していない第2層用のゲートウェイ(ルータ)を設ける必要がなく,コストダウン及び普及の容易化が図れる。
また,この通信システムAを例えば前掲したホットスポット(登録商標)に適用することによって,ユーザ一般の標準的な利用形態に即した必要十分なセキュリティを確保することができる。
本発明の情報処理装置は,インターネット等を利用した通信システムに適用して産業上利用することができる。
A…通信システム
1…親局
2…子局
3…端末
11…アクセスポイント
12,21,22…ゲートウェイ
13…DHCPサーバ
23…HTTPプロキシサーバ
24…登録情報提供部
1…親局
2…子局
3…端末
11…アクセスポイント
12,21,22…ゲートウェイ
13…DHCPサーバ
23…HTTPプロキシサーバ
24…登録情報提供部
Claims (6)
- 上位通信網に接続される親局と,上記親局と中位通信網を介して接続される1又は2以上の子局とから構成される通信システムであって,
上記子局は,当該子局に接続される端末に該端末からの要求に応じて動的に上記親局との通信に必要な論理アドレスを割り当てるアドレス割当手段を備え,
上記親局は,上記アドレス割当手段により割り当てられた論理アドレスを用いて上記中位通信網を介して接続する上記端末に対して認証を行う認証手段を備えてなることを特徴とする通信システム。 - 上記親局が,上記端末が上記上位通信網に接続するときに用いるプロキシサーバを備え,上記認証手段が上記プロキシサーバに設けられ上記上位通信網への接続を認証するものである請求項1に記載の通信システム。
- 上記論理アドレスがIPアドレスである請求項1或いは2のいずれか一項に記載の通信システム。
- 上記プロキシサーバがHTTP用のポートにより通信するHTTPプロキシサーバである請求項2記載の通信システム。
- 上位通信網に接続される親局と,上記親局と中位通信網を介して接続される1又は2以上の子局とから構成される通信システムの認証方法であって,
上記子局に接続される端末に該端末からの要求に応じて動的に上記親局との通信に必要な論理アドレスを割り当てるアドレス割当手順と,
上記アドレス割当手順により割り当てられた論理アドレスを用いて上記中位通信網を介して上記親局に接続する上記端末に対して認証を行う認証手順と,
を備えることを特徴とする通信システムの認証方法。 - 上位通信網に接続される親局と,上記親局と中位通信網を介して接続される1又は2以上の子局とから構成される通信システムの認証プログラムであって,
上記子局に接続される端末に該端末からの要求に応じて動的に上記親局との通信に必要な論理アドレスを割り当てるアドレス割当手順と,
上記アドレス割当手順により割り当てられた論理アドレスを用いて上記中位通信網を介して上記親局に接続する上記端末に対して認証を行う認証手順と,
をコンピュータに実行させることを特徴とする通信システムの認証プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003302297A JP2005073090A (ja) | 2003-08-27 | 2003-08-27 | 通信システム,その認証方法及び認証プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003302297A JP2005073090A (ja) | 2003-08-27 | 2003-08-27 | 通信システム,その認証方法及び認証プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005073090A true JP2005073090A (ja) | 2005-03-17 |
Family
ID=34406601
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003302297A Pending JP2005073090A (ja) | 2003-08-27 | 2003-08-27 | 通信システム,その認証方法及び認証プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005073090A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007180998A (ja) * | 2005-12-28 | 2007-07-12 | Fujitsu Ltd | 無線網制御装置及び無線網制御システム |
| JP2010184478A (ja) * | 2009-02-13 | 2010-08-26 | Toppan Printing Co Ltd | 多層フィルムおよびその製造方法 |
| CN105262688A (zh) * | 2015-11-25 | 2016-01-20 | 成都广达新网科技股份有限公司 | 一种eoc网络中基于http中继技术的报文传送方法 |
| JP2016149702A (ja) * | 2015-02-13 | 2016-08-18 | 日本電信電話株式会社 | 無線通信におけるクライアント端末認証システムおよびクライアント端末認証方法 |
-
2003
- 2003-08-27 JP JP2003302297A patent/JP2005073090A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007180998A (ja) * | 2005-12-28 | 2007-07-12 | Fujitsu Ltd | 無線網制御装置及び無線網制御システム |
| JP2010184478A (ja) * | 2009-02-13 | 2010-08-26 | Toppan Printing Co Ltd | 多層フィルムおよびその製造方法 |
| JP2016149702A (ja) * | 2015-02-13 | 2016-08-18 | 日本電信電話株式会社 | 無線通信におけるクライアント端末認証システムおよびクライアント端末認証方法 |
| CN105262688A (zh) * | 2015-11-25 | 2016-01-20 | 成都广达新网科技股份有限公司 | 一种eoc网络中基于http中继技术的报文传送方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1604536B1 (en) | Methods and devices for establishing a connection via an access network | |
| JP4852502B2 (ja) | アクセスサーバ及び接続制限方法 | |
| EP2403212B1 (en) | Multi-service vpn network client for mobile device | |
| EP2403207B1 (en) | Vpn network client for mobile device having fast reconnect | |
| US8458787B2 (en) | VPN network client for mobile device having dynamically translated user home page | |
| US8549617B2 (en) | Multi-service VPN network client for mobile device having integrated acceleration | |
| JP3890398B2 (ja) | ピアツーピア型匿名プロキシにおける安全性の高い匿名通信路の検証及び構築する方法 | |
| US7251824B2 (en) | Accessing a private network | |
| JP2006523412A (ja) | 公共のホット・スポットにおけるクライアント端末の自動設定 | |
| JP2002314549A (ja) | ユーザ認証システム及びそれに用いるユーザ認証方法 | |
| JP5112806B2 (ja) | 無線lanの通信方法及び通信システム | |
| US20120005477A1 (en) | Multi-service vpn network client for mobile device having dynamic failover | |
| US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
| JP2004505383A (ja) | 分散ネットワーク認証およびアクセス制御用システム | |
| US11838269B2 (en) | Securing access to network devices utilizing authentication and dynamically generated temporary firewall rules | |
| JP2003046533A (ja) | ネットワークシステム、その認証方法及びそのプログラム | |
| KR20050116817A (ko) | 공중 인증 서버를 이용한 wlan 액세스 제어에서의아이덴티티 매핑 매커니즘 | |
| US20070258415A1 (en) | Handshake method for wireless client | |
| JP2002118562A (ja) | 認証拒否端末に対し特定条件でアクセスを許容するlan | |
| TW201935907A (zh) | 網路系統 | |
| JP2016066298A (ja) | 中継装置、通信システム、情報処理方法、及び、プログラム | |
| Nguyen et al. | An SDN‐based connectivity control system for Wi‐Fi devices | |
| JP2005073090A (ja) | 通信システム,その認証方法及び認証プログラム | |
| US20150381387A1 (en) | System and Method for Facilitating Communication between Multiple Networks | |
| JP4002844B2 (ja) | ゲートウェイ装置及びネットワーク接続方法 |