JP2006134185A - 無線認証デバイスを用いたネットワークアクセス管理システムおよび方法 - Google Patents
無線認証デバイスを用いたネットワークアクセス管理システムおよび方法 Download PDFInfo
- Publication number
- JP2006134185A JP2006134185A JP2004324277A JP2004324277A JP2006134185A JP 2006134185 A JP2006134185 A JP 2006134185A JP 2004324277 A JP2004324277 A JP 2004324277A JP 2004324277 A JP2004324277 A JP 2004324277A JP 2006134185 A JP2006134185 A JP 2006134185A
- Authority
- JP
- Japan
- Prior art keywords
- user
- access
- information
- client terminal
- wireless
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
【課題】情報資源への不正アクセスを防止し、アクセス中においてもアクセス管理を行うことができるアクセス管理システムを提供する。
【解決手段】ユーザがクライアント端末200から、データベース110に記憶された情報資源111にアクセスする際、ユーザが所持する無線認証デバイス300を使用した本人認証に成功すると、無線認証デバイス300に記憶されたユーザID311が、LAN600を経由して、アクセス管理サーバ100に送信される。アクセス管理サーバ100は、送信されたユーザID311からユーザを特定し、また、無線認証デバイス300が無線で発信するユーザIDを受信している無線リーダライタ120の場所から、ユーザの位置情報を特定する。そして、アクセス管理サーバ100は、情報資源111の利用が認可された場所にいて、かつ、情報資源111の利用が認可されたユーザに対してのみ、情報資源111へのアクセスを許可する。
【選択図】図2
【解決手段】ユーザがクライアント端末200から、データベース110に記憶された情報資源111にアクセスする際、ユーザが所持する無線認証デバイス300を使用した本人認証に成功すると、無線認証デバイス300に記憶されたユーザID311が、LAN600を経由して、アクセス管理サーバ100に送信される。アクセス管理サーバ100は、送信されたユーザID311からユーザを特定し、また、無線認証デバイス300が無線で発信するユーザIDを受信している無線リーダライタ120の場所から、ユーザの位置情報を特定する。そして、アクセス管理サーバ100は、情報資源111の利用が認可された場所にいて、かつ、情報資源111の利用が認可されたユーザに対してのみ、情報資源111へのアクセスを許可する。
【選択図】図2
Description
本発明は、ネットワークへのアクセスを管理する技術に関し、更に詳しくは、ネットワークへのアクセス開始時のみならず、ネットワークへのアクセス中においても、ネットワークへのアクセスを管理する技術に関する。
ネットワーク上に存在する情報資源からの情報漏洩は、ネットワーク社会において解決すべき課題の一つである。特に近年は、ネットワーク技術が進化し、オフィス・自宅を問わず、あらゆる場所でネットワークの利用が可能となっているため、情報資源からの情報漏洩を防ぐためには、ネットワーク上に存在する情報資源に対するアクセス管理が必要になる。
ネットワーク上に存在する情報資源に対するアクセス管理技術としては、パスワードや、ユーザの身体的な特徴を利用したバイオメトリクスによって、アクセスするユーザを本人認証する技術が一般的に知られているが、トークンとも呼ばれ持ち運びのできる認証デバイスを利用して、ユーザを認証する技術も開示されている(例えば、特許文献1、2)。
本出願人に係わる特許文献1,2で開示しているSIM(Subscriber Identity Module)およびSIMフォルダーは、ICカードとリーダライタを一体化させた認証デバイスを提供する一つの発明で、SIMフォルダーにISO7816規格に準じたリーダライタとUSB(Universal Serial Bus)コネクタを備え、このSIMフォルダーにSIMを装着することで、持ち運び可能でICカードとリーダライタを一体化させた認証デバイスを実現している。
特許文献1,2で開示しているSIM(Subscriber Identity Module)およびSIMフォルダーを用いれば、SIMにPKI(Public Key Infrastructure)を利用した本人認証機能などを持たせることで、アクセス管理に使用する認証デバイスを提供できる。
また、ネットワーク上に存在する情報資源に対するアクセス管理技術としては、ユーザの位置に基づてアクセス管理する技術が開示されている(例えば、特許文献3)。特許文献3においては、アクセスするときのユーザおよびクライアント端末200の位置情報に基づいて、情報資源へのアクセスが管理される。例えば、ユーザが所持する非接触ICカードとユーザが利用する入退検出センサによってユーザの位置情報は検出され、ユーザが使用する端末に付加されたアドレスによって、端末の位置情報は検出される。そして、検出したユーザおよび端末の位置情報に基き、端末からの情報資源へのアクセスが制御される。
特開2004−86402号公報
特開2004−118771号公報
特開2001−175601号公報
しかしながら、上述した従来のアクセス管理技術は、アクセス開始時の不正なアクセス(例えば、正当なユーザへのなりすまし)を防止することを主目的としたアクセス管理技術であって、アクセス中のアクセス管理技術には適用しずらい問題があった。例えば、正式なユーザが正式な手順で情報資源にアクセスしたノートパソコンを、前記ユーザが情報資源にアクセスしたまま持ち運ぶことで、情報資源へのアクセスが許可されていない場所においても、情報資源にアクセスできてしまう可能性がある。
そこで、本発明は、上述した問題を鑑みて、情報資源へのアクセス開始時の不正なアクセス(例えば、正当なユーザへのなりすまし)を防止するとともに、情報資源へのアクセス中のアクセス管理も行うことができるアクセス管理システムを提供することを目的とする。
上述の課題を解決する第1の発明は、前記ネットワークに接続された複数のクライアント端末と、一つの前記クライアント端末からネットワーク上に存在する情報資源に対するアクセス要求を、前記情報資源にアクセスするユーザが所持する無線認証デバイスを用いて管理するアクセス管理装置とからなるアクセス管理システムであって、前記ユーザが所持する前記無線認証デバイスは、前記ユーザを識別する情報であるユーザ識別情報を記憶し、前記クライアント端末に装着され、前記クライアント端末とデータ通信するアップストリーム通信手段と、少なくとも前記クライアント端末に装着されている間、前記ユーザ識別情報を周期的に無線で発信する無線通信手段とを備え、前記クライアント端末は、前記無線認証デバイスとデータ通信するダウンストリーム通信手段と、前記ダウンストリーム通信手段を用いて前記無線認証デバイスから読み出した前記ユーザ識別情報を前記アクセス管理装置に送信するユーザ識別情報取得手段とを備え、前記アクセス管理装置は、前記無線認証デバイスが無線で発信する前記ユーザ識別情報を受信する少なくとも一つの無線端末と、前記クライアント端末から送信された前記ユーザ識別情報と同じ前記ユーザ識別情報を受信している前記無線端末を確認することで、前記ユーザが前記情報資源にアクセスしている位置情報を検出し、前記クライアント端末から送信された前記ユーザ識別情報と前記位置情報とに基づいて、前記クライアント端末から前記情報資源に対するアクセスを、周期的に制御するアクセス制御手段とを備えていることを特徴とするアクセス管理システムである。
なお、第1の発明において、前記無線認証デバイスが無線で送信する情報から、前記アクセス管理システムがユーザを特定さえできれば、前記クライアント端末が取得する前記ユーザ識別情報と、前記無線認証デバイスが無線で発信する情報とは、異なった情報であっても構わない。また、第1の発明において、前記無線認証デバイスに備えられた前記無線通信手段は、2.45Hz周波数帯を利用した無線通信手段であることが望ましい。
第1の発明によれば、前記情報資源にアクセスする前記ユーザが前記無線認証デバイスを有することで、アクセス管理サーバは、認可された場所にいる認可されたユーザに対してのみ、前記情報資源へのアクセスを許可することができる。また、アクセス管理サーバが周期的に前記ユーザがアクセスしている位置情報を監視することで、前記情報資源にアクセス中においても、前記情報資源へのアクセスを管理することができる。
なお、第2の発明は、第1の発明のアクセス管理システムにおいて、前記無線認証デバイスは、ユーザの本人認証を行うユーザ認証手段を有し、少なくともアクセス開始時に前記ユーザ認証手段によるユーザの本人認証に成功した場合のみ、前記無線認証デバイスは、前記アップストリーム通信手段を用いて前記ユーザ識別情報を前記クライアント端末に送信することを特徴するアクセス管理システムである。なお、第2の発明において、前記ユーザ認証手段は、パスワードを用いたユーザの本人認証手段、または、PKI(Public Key Infrastructure)を利用したユーザの本人認証手段であることが望ましい。
第2の発明によれば、前記無線認証デバイスが前記ユーザの本人認証を行う手段を有することで、情報資源へのアクセス開始時の不正なアクセス(例えば、正当なユーザへのなりすまし)を防止することができる。
上述の課題を解決する第3の発明は、ネットワーク上の情報資源にアクセスするユーザが所持する無線認証デバイスを用いて、前記情報資源に対するクライアント端末のアクセス要求を管理するアクセス管理方法であって、前記クライアント端末が前記無線認証デバイスから前記ユーザを識別する情報であるユーザ識別情報を取得するステップと、前記クライアント端末が取得した前記ユーザ識別情報に基づいて前記情報資源にアクセス要求した前記ユーザを識別するステップと、前記無線認証デバイスが周期的に無線で発信する前記ユーザ識別情報を受信するステップと、前記クライアント端末が取得した前記ユーザ識別情報と同じ前記ユーザ識別情報を発信している前記無線認証デバイスの存在する場所を特定することで、前記ユーザが前記情報資源にアクセス要求している位置情報を特定するステップと、識別された前記ユーザと前記位置情報とに基づいて、アクセス開始時を含み周期的に、前記クライアント端末の前記情報資源に対するアクセス要求を管理するステップとを含むことを特徴とするアクセス管理方法である。
更に第4の発明は、第3の発明のアクセス管理方法であって、前記クライアント端末が前記無線認証デバイスから前記ユーザを識別する情報であるユーザ識別情報を取得する際に、ユーザの本人認証を必要とすることを特徴とするアクセス管理方法である。
上述した本発明によれば、ネットワークへアクセス開始時の不正なアクセス(例えば、正当なユーザへのなりすまし)を防止するとともに、ネットワークへのアクセス中のアクセスコントロールも行うことができるアクセス管理システムを提供することを目的とする。
<<<アクセス管理システム>>>
以下、本発明のアクセス管理システムをオフィスに適用した実施の形態について、図を参照しながら詳細に説明する。図1は本発明のアクセス管理システムを説明するための図、図2はアクセス管理システムの機能ブロック図、図3,4はユーザが所持する無線認証デバイスを説明する図である。
以下、本発明のアクセス管理システムをオフィスに適用した実施の形態について、図を参照しながら詳細に説明する。図1は本発明のアクセス管理システムを説明するための図、図2はアクセス管理システムの機能ブロック図、図3,4はユーザが所持する無線認証デバイスを説明する図である。
図1に示したアクセス管理システムは、無線で発信される情報を受信する複数の無線リーダライタ120a〜cが接続され、情報資源となるデータベース110に対するアクセス要求を管理する機能を備えたアクセス管理サーバ100と、データベース110にアクセスするユーザ500が所持し、無線で情報を発信する機能を備えた無線認証デバイス300と、ユーザ500がデータベース110にアクセスするときに使用するクライアント端末200とから構成される。
図1の例においては、アクセス管理サーバ100はオフィスの管理ルームに設置され、無線リーダライタ120a〜cは、それぞれルーム1、ルーム2および接客室の天井に設置され、複数のクライアント端末200はオフィスの各々居室(図1では、ルーム1、2)に設置されている。アクセス管理サーバ100とクライアント端末200は、ハブ611、612、ルータ610を介しLAN600で接続され、アクセス管理サーバ100と各々の無線リーダライタ120a〜cは、LAN600と異なるネットワークで接続されている。なお、本実施の形態において、無線リーダライタ120a〜cは同じ機能を有するため、今後、無線リーダライタ120a〜cを区別せずに記載するときは、無線リーダライタ120と記すことがある。
図2に示したように、ユーザ500が所持する無線認証デバイス300は機能として、クライアント端末200の周辺機器としてデータ通信する機能(USB通信手段302)と、無線で情報を発信する機能(無線通信手段301)とを有し、無線認証デバイス300に装着されるSIM310(Subscriber Identity Module)には、無線認証デバイス300を所持するユーザ500を本人認証する機能(ユーザ認証アプリケーション312)を備え、少なくとも、ユーザ500を識別するデータとしてユーザID311(IDentification)を記憶している。
図3は、本実施の形態において、ユーザ500が所持する無線認証デバイス300の外観を示した一例である。図3に示したように、ユーザ500が所持する無線認証デバイス300は、情報記憶媒体としてSIM310を装着し、クライアント端末200の周辺機器としてデータ通信する機能を実現するために、USBコネクタ302a(Aコネクタ)を備えている。
図3に示しているように、SIM310の形状は、ICカードのICチップ近辺を短冊状に打ち抜いたカード形状をしている。SIM310のサイズは、約12×25×0.76mmまたは約54×86×0.76mmの2種類がGSM11.11などで規格化されている。
無線認証デバイス300にSIM310を装着するのは、無線認証デバイス300を所持するユーザ500の本人認証を行うためで、SIM310に実装されるICチップ310aのメモリには、ユーザ500を認証するプログラムとして、例えば、パスワード認証やPKIを利用した認証といったユーザ認証アプリケーション312が記憶されている。また、SIM310に実装されるICチップ310aのメモリにはユーザID311が記憶されている。ICチップ310aのメモリに記憶するユーザID311としては、従業員番号、アクセス管理サーバ100がユーザ500ごとに個別に割り振ったユーザアカウント、ICチップ310aごとに異なるICチップ310aの製造番号が利用できる。
図4は、無線認証デバイス300の内部回路を説明する図である。図4に示したように、無線認証デバイス300には、装着したSIM310とデータ通信を実現する手段310a、USBコネクタ302aを使用したデータ通信を実現する手段302bに加え、無線リーダライタ120と無線でデータ通信する機能を実現するために、無線通信手段320が備えられている。
本実施の形態において、無線認証デバイス300に備えられた無線通信手段320は、無線データ通信を制御する無線コントローラ321と、無線信号を発するアンテナ323と、時間を計測するタイマー322とから構成されている。無線コントローラ321はタイマー322を利用して一定時間間隔を計測し、一定時間間隔ごとにSIM310に記憶されたユーザID311を、2.45GHz周波数帯を利用した無線データ通信(例えば、ZigBee)で発信する。
図1において、各居室の天井に設置された無線リーダライタ120は、無線認証デバイス300が発信する無線信号を受信する機能を備えている。この機能は、ICタグ等で既に実用化されている公知の技術で実現され、無線リーダライタ120は、複数の無線認証デバイス300が発信する無線信号を同時に受信し、無線認証デバイス300から送信された各々のユーザID311を識別することができる。
また、図2に示したように、無線リーダライタ120は、アクセス管理サーバ100が一つ一つの無線リーダライタ120を識別するための情報であるリーダライタID121を有している。リーダライタIDは、アクセス管理サーバ100が各々の無線リーダライタ120を識別できる情報であればよく、例えば、メディアアクセス制御(Media Access Control)で無線リーダライタ120を、ネットワーク上の一つのデバイスとして識別できるデータであればよい。
図1のオフィスの各々居室(図1では、ルーム1、2)に設置されているクライアント端末200は、LAN600を経由してアクセス管理サーバ100に接続され、ユーザ500がアクセス管理サーバ100に備えられたデータベース110にアクセスする際に使用する端末である。図2に示したように、クライアント端末200は、無線認証デバイス300とデータ通信する機能としてUSBインターフェース202、無線認証デバイス300を利用してユーザ500の本人認証を行う機能としてユーザ認証部201を備えている。
無線認証デバイス300に備えられたUSBインターフェース202は、USBポートとUSBによるデータ通信を制御する回路で実現される。無線認証デバイス300に備えられたUSBコネクタ302aを、クライアント端末200に備えられたUSBポートに差し込むことで、クライアント端末200と無線認証デバイス300間では、USBによるデータ通信を行うことができる。
クライアント端末200に備えられたユーザ500の本人認証を行うユーザ認証部201は、パーソナルコンピュータにユーザ認証部201の機能を実現するプログラムを組み込むことで実現される。当然のことながら、ユーザ認証部201が本人認証を行う方法は、無線認証デバイス300に実装されたユーザ認証アプリケーション312と同じ方法(パスワード認証やPKIを利用した認証)に対応している。また、ユーザ認証部201が行うユーザ500の本人認証に成功すると、無線認証デバイス300に装着されたSIM310はユーザ認証部201にユーザID311を送信し、ユーザ認証部201はユーザID311アクセス管理サーバ100に送信する機能を有している。
図1のオフィスの管理ルームに設置されているアクセス管理サーバ100は、人事情報や営業情報等の機密な情報資源111を記憶したデータベース110を有し、複数の無線リーダライタ120と接続されている。また、図2に示したように、アクセス管理サーバ100には、データベース110に記憶された情報資源111へのLANを経由したアクセスを管理するアクセス管理機能を実現するアクセス管理部101を備えている。
アクセス管理サーバ100に備えられたアクセス管理部101は、データベース110にアクセスするユーザが500、データベース110に記憶された情報資源111にアクセスできるアクセス権限が認可されていることと、データベース110にアクセスするユーザ500が、データベース110に記憶された情報資源111にアクセスすることが認可された場所に居ることの2つを確認し、データベース110に記憶された情報資源111へのアクセスを制御する。
一つ目のアクセス権限の認可は、アクセス開始時に、ユーザ500が所持する無線認証デバイス300に装着されたSIM310のユーザ認証アプリケーション312を使用される。二つ目のアクセス場所の確認は、ユーザ500がデータベース110にアクセスする時またはアクセスしている間中、無線認証デバイス300が発信するユーザID311を受信している無線リーダライタ120のリーダライタID311が使用される。
図5は、アクセス管理部101が有しているアクセス制御リスト102を説明するための図である。アクセス制御リスト102とは、データベース110に記憶された情報資源111へのアクセスルールを定めた情報で、本実施の形態においては、図5に示したように、情報資源111を特定する情報である情報資源ID102aに関連付けて、情報資源111にアクセスできるユーザ500を記述した認可ユーザ情報102bと、情報資源111にアクセスできる位置を記述した認可位置情報102cとが記憶されている。
ここで、情報資源ID102aとは、データベース110に記憶された情報資源111ごとに設定できる情報で、例えば、情報資源111が保存されている場所を示すパス情報などである。認可ユーザ情報102bとは、情報資源111にアクセスできるユーザを特定できる情報であればよく、本実施の形態においては、情報資源ID102aで特定される情報資源111にアクセスできるユーザID311が記述されている。認可位置情報102cとは、情報資源ID102aで特定される情報資源111にアクセスできる場所を意味する情報で、本実施の形態においては、認可位置情報102cとしてリーダライタID121が記述されている。
アクセス管理部101は、クライアント端末200から情報資源111にアクセス要求をしたユーザID311が送信されると、アクセス制御リスト102を参照して、アクセス要求したユーザ500にアクセス権限が認可されていることを確認する。アクセス管理部101は、ユーザID311がアクセス制御リスト102の認可ユーザ情報102cに記述されている場合は、ユーザID311で特定されるユーザ500は情報資源111にアクセスできる権限が認可されていると判断する。
次にアクセス管理部101は、アクセス要求をしたユーザID311を受信している無線リーダライタ120のリーダライタID121を確認し、情報資源111を利用が認可されている場所であるか、すなわち、アクセス制御リスト102の認可位置情報102cに記述されているリーダライタID121であることを確認する。アクセス管理部101は、アクセス要求をしたユーザID311を受信している無線リーダライタ120のリーダライタID121が、アクセス制御リスト102の認可位置情報102cに記述されている場合は、情報資源111にアクセス要求をしたユーザ500は情報資源111の利用が認可された場所に居ると判断する。
そして、アクセス管理部101は、ユーザID311で特定されるユーザ500は情報資源111にアクセスできる権限が認可されていると判断し、かつ、情報資源111にアクセス要求をしたユーザ500は情報資源111を利用が認可された場所に居ると判断した場合は、情報資源111へのアクセス要求を許可する。
なお、アクセス管理部101は、アクセス要求を許可した後も、ユーザ500が情報資源111にアクセスしている間中、ユーザ500が居る位置情報の確認を行う。前述したように、ユーザ500が所持する無線認証デバイス300は一定時間間隔毎(例えば、1分間隔)にユーザID311を無線で発信しており、一定時間間隔に発信されているユーザID311を受信している無線リーダライタ120のリーダライタID121を、一定時間間隔ごとに確認することで、アクセス管理部101は、ユーザ500が情報資源111にアクセスしている間、ユーザ500が居る位置情報の確認を行うことができる。
例えば、図1において、ルーム1では情報資源111を利用できるが、接客室では情報資源111を利用できないとする。ルーム1において、クライアント端末200としてノート型パソコン400が使用され、ルーム1でアクセス管理サーバ100のデータベース110へのアクセスが許可されたとする。そして、データベース110にアクセスしたまま、ユーザ500がノート型パソコン400をルーム1から接客室に移動させたとする。この場合、接客室においては、データベース110にアクセスできないので、ノート型パソコン400から無線ルータ610aを経由してデータベース110にアクセスできるにもかかわらず、接客室に設置された無線リーダライタ120cがユーザ500のユーザID311を検出した時点で、データベース110へのアクセスは切断される。
<<<アクセス管理方法>>>
ここから、本発明のアクセス管理方法について、前述したアクセス管理システムを例にとりながら説明する。図6は、データベース110へのアクセス開始時におけるアクセス管理方法の手順を示すフロー図である。アクセス開始時の最初のステップは、ユーザ500がデータベース110にアクセスするために使用するクライアント端末200に、ユーザ500が所持する無線認証デバイス300を差込み、クライアント端末200が無線認証デバイス300からユーザID311を読取とるステップ(S10)である。そして、クライアント端末200は読取ったユーザID311は、クライアント端末200からアクセス管理サーバ100に送信される。なお、クライアント端末200が無線認証デバイス300を読取る際に、無線認証デバイス300はユーザの本人認証(例えば、パスワード認証)を要求してもよい。
ここから、本発明のアクセス管理方法について、前述したアクセス管理システムを例にとりながら説明する。図6は、データベース110へのアクセス開始時におけるアクセス管理方法の手順を示すフロー図である。アクセス開始時の最初のステップは、ユーザ500がデータベース110にアクセスするために使用するクライアント端末200に、ユーザ500が所持する無線認証デバイス300を差込み、クライアント端末200が無線認証デバイス300からユーザID311を読取とるステップ(S10)である。そして、クライアント端末200は読取ったユーザID311は、クライアント端末200からアクセス管理サーバ100に送信される。なお、クライアント端末200が無線認証デバイス300を読取る際に、無線認証デバイス300はユーザの本人認証(例えば、パスワード認証)を要求してもよい。
次のステップは、アクセス管理サーバ100が、無線認証デバイス300が無線で発信し、クライアント端末200から送信されたユーザID311と同じユーザID311を受信している無線リーダライタ120のリーダライタID121を取得するステップ(S20)である。
次のステップは、アクセス管理サーバ100が、クライアント端末200から送信されたユーザIDと、クライアント端末200から送信されたユーザIDと同じユーザIDを受信している無線リーダライタのリーダライタIDとから、データベース110へのアクセス権を確認するステップ(S30)である。上述のアクセス管理システムにおいては、アクセス管理部101が有するアクセス制御リストを利用して、アクセス権限は認可(Authorization)される。
次のステップは、アクセス権限の認可の確認結果に基づいて、データベース110へのアクセスを制御するステップである。アクセス権が認可されている場合は、ユーザ500はデータベース110へのアクセス要求が容認され(ステップS40)、アクセス権が認可されていない場合は、ユーザ500はデータベース110へのアクセス要求が否認される(ステップS50)。
図7は、データベース110へのアクセス中におけるアクセス管理方法の手順を示すフロー図である。アクセス中の最初のステップは、アクセス管理サーバ100が、無線認証デバイス300が無線で発信し、クライアント端末200から送信されたユーザID311と同じユーザID311を受信している無線リーダライタ120のリーダライタID121を取得するステップ(S100)である。
次のステップは、アクセス管理サーバ100が、クライアント端末200から送信されたユーザID311と、クライアント端末200から送信されたユーザID311と同じユーザID311を受信している無線リーダライタ120のリーダライタID121とから、データベース110へのアクセス権の認可を確認するステップ(S110)である。
次のステップは、アクセス権限の認可の確認結果に基づいて、データベース110へのアクセスを制御されるステップである。アクセス権が認可されている場合は、ユーザ500はデータベース110へのアクセス要求が容認され(S120)、アクセス権が認可されていない場合は、ユーザ500はデータベース110へのアクセス要求が否認される(S130)。
次にステップは、最後にアクセス要求を容認してから、一定時間間隔が経過していることを確認するステップ(S140)である。一定時間間隔が経過していればステップ(S140)に戻り、一定時間間隔が経過していなければステップ(S100)に戻る。
100 アクセス管理サーバ
101 アクセス管理部
110 データベース
111 情報資源
120 無線リーダライタ
121 リーダライタID
200 クライアント端末
210 ユーザ認証部
300 無線認証デバイス
310 SIM
311 ユーザID
312 ユーザ認証アプリケーション
101 アクセス管理部
110 データベース
111 情報資源
120 無線リーダライタ
121 リーダライタID
200 クライアント端末
210 ユーザ認証部
300 無線認証デバイス
310 SIM
311 ユーザID
312 ユーザ認証アプリケーション
Claims (7)
- 前記ネットワークに接続された複数のクライアント端末と、一つの前記クライアント端末から、ネットワーク上に存在する情報資源に対するアクセス要求を、前記情報資源にアクセスするユーザが所持する無線認証デバイスを用いて管理するアクセス管理装置とからなるアクセス管理システムであって、
前記ユーザが所持する前記無線認証デバイスは、前記ユーザを識別する情報であるユーザ識別情報を記憶し、前記クライアント端末に装着され、前記クライアント端末とデータ通信するアップストリーム通信手段と、少なくとも前記クライアント端末に装着されている間、前記ユーザ識別情報を周期的に無線で発信する無線通信手段とを備え、
前記クライアント端末は、前記無線認証デバイスとデータ通信するダウンストリーム通信手段と、前記ダウンストリーム通信手段を用いて前記無線認証デバイスから読み出した前記ユーザ識別情報を前記アクセス管理装置に送信するユーザ識別情報取得手段とを備え、
前記アクセス管理装置は、前記無線認証デバイスが無線で発信する前記ユーザ識別情報を受信する少なくとも一つの無線端末と、前記クライアント端末から送信された前記ユーザ識別情報と同じ前記ユーザ識別情報を受信している前記無線端末を確認することで、前記ユーザが前記情報資源にアクセスしている位置情報を検出し、前記クライアント端末から送信された前記ユーザ識別情報と前記位置情報とに基づいて、前記クライアント端末から前記情報資源に対するアクセスを、周期的に制御するアクセス制御手段とを備えていることを特徴とするアクセス管理システム。 - 請求項1に記載のアクセス管理システムにおいて、前記無線認証デバイスに備えられた前記無線通信手段は、2.45Hz周波数帯を利用した無線通信手段であることを特徴とするアクセス管理システム。
- 請求項1または請求項2に記載のアクセス管理システムにおいて、
前記無線認証デバイスは、ユーザの本人認証を行うユーザ認証手段を有し、少なくともアクセス開始時に前記ユーザ認証手段によるユーザの本人認証に成功した場合のみ、前記無線認証デバイスは、前記アップストリーム通信手段を用いて前記ユーザ識別情報を前記クライアント端末に送信することを特徴するアクセス管理システム。 - 請求項3に記載のアクセス管理システムにおいて、前記ユーザ認証手段は、パスワードを用いたユーザの本人認証手段及び/又はPKI(Public Key Infrastructure)を利用したユーザの本人認証手段であることを特徴とするアクセス管理システム。
- ネットワーク上の情報資源にアクセスするユーザが所持する無線認証デバイスを用いて、前記情報資源に対するクライアント端末のアクセス要求を管理するアクセス管理方法であって、前記クライアント端末が前記無線認証デバイスから前記ユーザを識別する情報であるユーザ識別情報を取得するステップと、前記クライアント端末が取得した前記ユーザ識別情報に基づいて前記情報資源にアクセス要求した前記ユーザを識別するステップと、前記無線認証デバイスが周期的に無線で発信する前記ユーザ識別情報を受信するステップと、前記クライアント端末が取得した前記ユーザ識別情報と同じ前記ユーザ識別情報を発信している前記無線認証デバイスの存在する場所を特定することで、前記ユーザが前記情報資源にアクセス要求している位置情報を特定するステップと、識別された前記ユーザと前記位置情報とに基づいて、アクセス開始時を含み周期的に、前記クライアント端末の前記情報資源に対するアクセス要求を管理するステップとを含むことを特徴とするアクセス管理方法。
- 請求項5に記載のアクセス管理方法であって、前記クライアント端末が前記無線認証デバイスから前記ユーザを識別する情報であるユーザ識別情報を取得する際に、ユーザの本人認証を必要とすることを特徴とするアクセス管理方法。
- 請求項6に記載のアクセス管理方法であって、ユーザの本人認証は、パスワードを用いたユーザの本人認証方法及び/又はPKI(Public Key Infrastructure)を利用したユーザの本人認証方法であることを特徴とするアクセス管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004324277A JP2006134185A (ja) | 2004-11-08 | 2004-11-08 | 無線認証デバイスを用いたネットワークアクセス管理システムおよび方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004324277A JP2006134185A (ja) | 2004-11-08 | 2004-11-08 | 無線認証デバイスを用いたネットワークアクセス管理システムおよび方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006134185A true JP2006134185A (ja) | 2006-05-25 |
Family
ID=36727664
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004324277A Withdrawn JP2006134185A (ja) | 2004-11-08 | 2004-11-08 | 無線認証デバイスを用いたネットワークアクセス管理システムおよび方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006134185A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008117087A (ja) * | 2006-11-01 | 2008-05-22 | Kddi Corp | 認証デバイスによって情報機器を認証する認証方法、認証デバイス、情報機器及びプログラム |
| JP2008134789A (ja) * | 2006-11-28 | 2008-06-12 | Fujitsu Ltd | コンテンツ保護システム,コンテンツ保護用デバイスおよびコンテンツ保護方法 |
| JP2010097510A (ja) * | 2008-10-17 | 2010-04-30 | Dainippon Printing Co Ltd | リモートアクセス管理システム及び方法 |
| JP2010108313A (ja) * | 2008-10-30 | 2010-05-13 | Dainippon Printing Co Ltd | プラットフォームの完全性検証システム及び方法 |
| JP2014032500A (ja) * | 2012-08-02 | 2014-02-20 | Daiichi System Engineering Co Ltd | 不正アクセス防止システム及び不正アクセス防止プログラム |
-
2004
- 2004-11-08 JP JP2004324277A patent/JP2006134185A/ja not_active Withdrawn
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008117087A (ja) * | 2006-11-01 | 2008-05-22 | Kddi Corp | 認証デバイスによって情報機器を認証する認証方法、認証デバイス、情報機器及びプログラム |
| JP2008134789A (ja) * | 2006-11-28 | 2008-06-12 | Fujitsu Ltd | コンテンツ保護システム,コンテンツ保護用デバイスおよびコンテンツ保護方法 |
| JP2010097510A (ja) * | 2008-10-17 | 2010-04-30 | Dainippon Printing Co Ltd | リモートアクセス管理システム及び方法 |
| JP2010108313A (ja) * | 2008-10-30 | 2010-05-13 | Dainippon Printing Co Ltd | プラットフォームの完全性検証システム及び方法 |
| JP2014032500A (ja) * | 2012-08-02 | 2014-02-20 | Daiichi System Engineering Co Ltd | 不正アクセス防止システム及び不正アクセス防止プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11063924B2 (en) | Communication system and method, information processing terminal and method, and information processing device and method | |
| US9721076B2 (en) | System and method for remotely assigning and revoking access credentials using a near field communication equipped mobile phone | |
| US7797535B2 (en) | Authentication method and system, and information processing method and apparatus | |
| US8689002B2 (en) | Peripheral device, network system, communication processing method | |
| US7108177B2 (en) | Proximity validation system and method | |
| JP2019036091A (ja) | 車両保安システム及び車両保安方法 | |
| US9130993B2 (en) | Wireless connection system and wireless connection method | |
| US20060271788A1 (en) | Access method for wireless authentication login system | |
| US20050138303A1 (en) | Storage device | |
| JP2012253424A (ja) | 無線通信システムおよびレジストラ機器 | |
| JP2007102405A (ja) | 通行管理装置 | |
| JP2006134185A (ja) | 無線認証デバイスを用いたネットワークアクセス管理システムおよび方法 | |
| JP2007129320A (ja) | 通信システム、通信装置及び通信方法、並びにコンピュータ・プログラム | |
| JP2009025945A (ja) | 認証システム及び認証方法並びに認証プログラム | |
| JP2006222619A (ja) | 非接触icチップ搭載無線通信端末装置、非接触icチップのリーダ・ライタ装置及び非接触icチップ用通信システム | |
| KR20140020337A (ko) | 사용자 장치를 이용한 본인인증방법, 이를 위한 디지털 시스템 및 인증 시스템 | |
| JP2003317044A (ja) | Rfid認証システム | |
| KR101592897B1 (ko) | Nfc 보안 디지털 시스템, 상기 보안 디지털 시스템과 페어를 이루는 페어 시스템, 및 그 제공방법 | |
| KR101399543B1 (ko) | Nfc 보안 디지털 시스템, 상기 보안 디지털 시스템과 페어를 이루는 페어 시스템, 및 그 제공방법 | |
| JP2009069966A (ja) | 認証装置 | |
| JP6733238B2 (ja) | 認証装置及び認証プログラム | |
| GB2426616A (en) | Wireless authentication and log-in | |
| KR20150083562A (ko) | 사용자 장치를 이용한 본인인증방법, 이를 위한 디지털 시스템 및 인증 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070709 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20090114 |