JP2007287097A - アクセス制御システム及び方法 - Google Patents

アクセス制御システム及び方法 Download PDF

Info

Publication number
JP2007287097A
JP2007287097A JP2006116877A JP2006116877A JP2007287097A JP 2007287097 A JP2007287097 A JP 2007287097A JP 2006116877 A JP2006116877 A JP 2006116877A JP 2006116877 A JP2006116877 A JP 2006116877A JP 2007287097 A JP2007287097 A JP 2007287097A
Authority
JP
Japan
Prior art keywords
authentication
access
client terminal
access control
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006116877A
Other languages
English (en)
Inventor
Hiroki Aoki
裕樹 青木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2006116877A priority Critical patent/JP2007287097A/ja
Publication of JP2007287097A publication Critical patent/JP2007287097A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

【課題】クライアント端末のネットワーク接続時の認証を1回にすると共に、不当なサーバアクセスを制限するようにする。
【解決手段】本発明のアクセス制御システムは、ネットワーク上の1又は複数のサーバへのアクセスを要求する1又は複数のクライアント端末のアクセス制御を行なうアクセス制御システムにおいて、各クライアント端末のネットワーク識別情報と、1又は複数のアクセス許可サーバのネットワーク識別情報とを対応付けたアクセス制御情報を管理するアクセス制御情報管理手段と、所定の認証方式に従って、各クライアント端末の認証処理を行なう認証手段と、各クライアント端末から認証要求を認証手段に与えると共に、認証手段による認証が成功した場合に、クライアント端末のネットワーク識別情報に基づいてアクセス制御情報を参照して、クライアント端末のアクセスを制御するアクセス制御手段とを備える。
【選択図】 図1

Description

本発明は、アクセス制御システム及び方法に関し、例えば、ネットワーク上のサービス提供装置(サーバ)にアクセスするクライアント端末のアクセス制御を行なうアクセス制御システム及び方法に適用し得る。
従来、ネットワーク上に存在しているサービス提供装置(サーバ)にアクセスし、当該サーバからネットワークサービスの提供を受ける際、クライアント端末は、まず、ネットワークに接続するためのネットワークアクセス認証を行なう必要がある。
次に、クライアント端末のネットワークアクセス制御が成功すると、クライアント端末が送信したパケットのネットワーク上での転送が許容され、クライアント端末が送信した送信パケットをサーバに与えることができ、クライアント端末は、サーバにアクセスするためのサーバアクセス認証を行なう必要がある。
このように、従来、一般的にクライアント端末がネットワーク上のサーバにアクセスする際には、ネットワークアクセス認証とサーバアクセス認証との2種類の認証を行なう必要があった。
また、従来、認証VLAN(仮想LAN)という技術がある。この認証VLANという技術は、ネットワークに接続する際に、ネットワークアクセス認証を行ない、この認証が成功すると、予め割り当てられたVLAN(仮想LAN)にクライアント端末を収容するという技術であり、同一VLAN内のサーバに自由にアクセスすることができるというものである。
さらに、特許文献1には、クライアント端末がネットワークに接続する際に、ネットワークアクセス認証を行ない、認証確認サーバが認証結果を保持しておき、クライアント端末がサービスサーバに接続すると、サービスサーバが認証確認サーバに認証済みか否かの問い合わせをし、認証確認サーバが認証済みとするとき、サービスサーバはクライアント端末の接続を許可するものである。
特開2004−133823号公報
ところで、上述した認証VLAN技術は、1回のアクセス認証により、クライアント端末が、VLAN(仮想LAN)上のサーバにアクセスでき、ネットワークサービスの提供を受けることを可能とすることはできるが、サーバへのアクセスが自由に行なわれるため、サーバへのアクセス制御ができないという問題が生じ得る。
また、上述した特許文献1に記載の技術は、クライアント端末のサービスサーバへの接続の際、サービスサーバが認証確認サーバに認証済みか否かを問い合わせることが必要であるため、より簡単な認証処理が求められている。
そのため、クライアント端末のネットワーク接続時のアクセス認証を1回にすると共に、不当なサーバへのアクセスを制限することができるアクセス制御システム及び方法が求められている。
かかる課題を解決するため、第1の本発明のアクセス制御システムは、ネットワーク上の1又は複数のサーバへのアクセスを要求する1又は複数のクライアント端末の当該ネットワークへのアクセス制御を行なうアクセス制御システムにおいて、(1)各クライアント端末のネットワーク識別情報と、各クライアント端末のアクセスが許可された1又は複数のアクセス許可サーバのネットワーク識別情報とを対応付けたアクセス制御情報を管理するアクセス制御情報管理手段と、(2)所定の認証方式に従って、各クライアント端末の認証処理を行なう認証手段と、(3)各クライアント端末から認証要求を受けると、そのクライアント端末からの認証要求を認証手段に与えると共に、認証手段による認証が成功した場合に、クライアント端末のネットワーク識別情報に基づいてアクセス制御情報を参照して、クライアント端末のアクセスを制御するアクセス制御手段とを備えることを特徴とする。
第2の本発明のアクセス制御方法は、ネットワーク上の1又は複数のサーバへのアクセスを要求する1又は複数のクライアント端末の当該ネットワークへのアクセス制御を行なうアクセス制御方法において、(1)アクセス制御情報管理手段が、各クライアント端末のネットワーク識別情報と、各クライアント端末のアクセスが許可された1又は複数のアクセス許可サーバのネットワーク識別情報とを対応付けたアクセス制御情報を管理するアクセス制御情報管理工程と、(2)認証手段が、所定の認証方式に従って、各クライアント端末の認証処理を行なう認証工程と、(3)アクセス制御手段が、各クライアント端末から認証要求を受けると、そのクライアント端末からの認証要求を認証手段に与えると共に、認証手段による認証が成功した場合に、クライアント端末のネットワーク識別情報に基づいてアクセス制御情報を参照して、クライアント端末のアクセスを制御するアクセス制御工程とを備えることを特徴とする。
本発明によれば、ネットワーク上の1又は複数のサーバへのアクセスを要求する1又は複数のクライアント端末の当該ネットワークへのアクセス制御を行なうアクセス制御システムにおいて、各クライアント端末のネットワーク識別情報と、各クライアント端末のアクセスが許可された1又は複数のアクセス許可サーバのネットワーク識別情報とを対応付けたアクセス制御情報を管理するアクセス制御情報管理手段と、所定の認証方式に従って、各クライアント端末の認証処理を行なう認証手段と、各クライアント端末から認証要求を受けると、そのクライアント端末からの認証要求を認証手段に認証させると共に、認証手段による認証が成功した場合に、クライアント端末のネットワーク識別情報に基づいてアクセス制御情報を参照して、クライアント端末のアクセスを制御するアクセス制御手段とを備えクライアント端末のネットワーク接続時のアクセス認証を1回にすると共に、不当なサーバへのアクセスを制限することができる。
(A)第1の実施形態
以下、本発明のアクセス制御システム及び方法の第1の実施形態を図面を参照して詳細に説明する。
本実施形態は、本発明のアクセス制御システム及び方法を利用して、1又は複数のクライアント端末が、ネットワークの接続時に、アクセス制限された1又は複数のサーバにアクセスすることができるイントラネット(ネットワークシステム)を実現する場合を説明する。
(A−1)第1の実施形態の構成
図1は、本実施形態に係るネットワークシステムの全体構成を示す構成図である。図1において、本実施形態に係るネットワークシステム10は、ネットワーク5に接続可能な、遮断装置1、認証装置2、アクセス制御情報DB(データベース)3、複数(図1では2台)のサーバA及びサーバB、並びに、遮断装置1に接続可能なクライアント端末4、を少なくとも有して構成される。
ここで、図1において、ネットワーク5に接続可能なサーバの台数は特に限定されるものではない。
ネットワーク5は、図1に示す各構成要素間で情報を伝達するための通信網であり、本実施形態では、通信プロトコルとしてTCP/IP対応の通信網を想定する。なお、ネットワーク5は、専用網としてもよいし、公衆網としてもよいし、専用網及び公衆網を結合した通信網としてもよい。さらに、ネットワーク5は、有線回線としてもよいし、無線回線としてもよいし、又は有線回線と無線回線とが結合したものとしてもよい。
サーバA及びサーバBは、ネットワークサービスを提供するサーバであって、後述する遮断装置1によりアクセスが許可されたクライアント端末4に対してネットワークサービスを提供するものである。サーバA及びサーバBが提供するネットワークサービスは、特に限定されるものではなく、広く適用することができ、又既存のサーバを用いてもよい。
クライアント端末4は、ユーザにより利用される通信端末であり、例えば、パーソナルコンピュータや、PDA等に代表される携帯型通信端末や、ノード型パーソナルコンピュータや、データ通信機能を有する携帯電話機や、社内イントラネット専用の携帯通信端末などが該当する。
認証装置2は、後述する遮断装置1から、サーバへのアクセスを希望するクライアント端末4の認証要求を受け取ると、当該クライアント端末4についての認証処理を行なうものである
ここで、なお、認証装置2において行なわれる所定の認証方式は、特に限定されないが、例えば、RADIUS認証方式などを適用することができ、本実施形態では、RADIUS認証方式を用いた場合を説明する。
この場合、認証装置2には、クライアント端末4を利用するユーザのユーザ識別情報(ID)と認証に必要なパスワードとを、クライアント端末毎に登録してある。そして、認証装置2は、クライアント端末4の認証要求を遮断装置1から受け取る際、クライアント端末4を利用するユーザのユーザ識別情報及び認証処理に必要なパスワードを受け取り、そのユーザ識別情報とパスワードとを登録情報から検索し、正しく検索できたとき認証が成功したものとし、また正しく検索できなかったとき認証が失敗したものとする。
また、認証装置2は、クライアント端末4の認証が成功した場合、アクセス制御情報DB3を参照し、当該クライアント端末4のサーバへのアクセス制御情報を取得するものである。
ここで、アクセス制御情報DB3は、クライアント端末4の識別情報(例えば、クライアント端末のIPアドレス等)と、そのクライアント端末4がアクセスすることが許可されるサーバの識別情報(例えば、サーバのIPアドレス等)及びポート番号とが対応付けて管理するものである。
そして、認証装置2は、クライアント端末4のIPアドレスを用いて、アクセス制御情報DB3から、クライアント端末4のIPアドレスに対応するサーバのIPアドレスを検索する。認証装置2は、アクセス制御情報DB3から検索したサーバのIPアドレス及びポート番号を認証結果と共に遮断装置1に返信する。
遮断装置1は、1又は複数のクライアント端末4と接続し、各クライアント端末とネットワークとを中継するネットワーク装置であり、例えば、ルータやスイッチ等が該当する。
遮断装置1は、接続するクライアント端末4から認証要求を受けると、その認証要求を認証装置2に対して中継するものである。このとき、遮断装置1は、認証成功していないクライアント端末4からのアクセス要求を全て拒否している。また、遮断装置1は、認証装置1から認証結果を受け取ると、その認証結果をクライアント端末4に送信するものである。
また、遮断装置1は、クライアント端末4の認証が成功した場合、認証装置2から、クライアント端末4のアクセスが許可されたサーバのIPアドレス及びポート番号を受け取り、そのサーバのIPアドレス及びポート番号を当該クライアント端末4のMACアドレス及びIPアドレスに対応させたアクセス管理情報を保持するものである。そして、遮断装置1は、アクセス管理情報を利用して、クライアント端末4がアクセス要求するサーバが許可されたサーバであるかを判断し、正当である場合にそのサーバへのアクセスを許可し、不当である場合にネットワーク5への通過を遮断して制限するものである。
図2は、本実施形態に係る遮断装置1の主なハードウェア構成を示すブロック図である。図2に示すように、遮断装置1のハードウェア構成は、通常のネットワーク装置と同様に、CPU11、ROM12、RAM13、EEPROM14、通信部15などを有して構成される。
通信部15は、所定の通信プロトコルに従って、ネットワーク5との間で、クライアント端末4との間で、情報を授受するものである。
CPU11は、遮断装置1の機能を司るものであり、ROM12、RAM13、EEPROM14は遮断装置1の記憶手段であり、例えば、CPU11は、ROM12やEEPROM14に格納されているプログラム実行に必要なデータを、ワーキングエリアとするRAM13に読み出し、ROM12に格納されている処理プログラムを実行することで、遮断装置1の機能が実現される。
本実施形態の遮断装置1は、主に、中継機能、アクセス管理機能、フィルタ機能を実現するものである。
図3は、遮断装置1が実現する機能を示す機能ブロック図であり、図3に示すように、本実施形態の遮断装置1は、中継機能部12a、アクセス管理情報生成機能部12b、フィルタ機能部12cを有する。
中継機能部12aは、クライアント端末4とネットワーク5との間で情報を中継する機能部であり、クライアント端末4から認証要求を受信すると、その認証要求を認証装置2に送信するものである。また、中継機能部12aは、認証装置2から当該クライアント端末4の認証結果を受け取ると、その認証結果をクライアント端末4に送信するものである。
アクセス管理情報生成機能部12bは、認証装置2によるクライアント端末4の認証が成功し、認証装置2から当該クライアント端末のアクセス許可されるサーバのIPアドレス及びポート番号を受信すると、当該クライアント端末4の認証要求からクライアント端末4のMACアドレス及びIPアドレスを抽出し、サーバのIPアドレス及びポート番号を、当該クライアント端末4のMACアドレス及びIPアドレスに対応させたアクセス管理情報14aを生成するものである。
フィルタ機能部12cは、認証が成功したクライアント端末4からサーバへのアクセス要求があった場合、当該クライアント端末4のMACアドレス及びIPアドレスに基づいて、アクセス管理情報から当該クライアント端末4のアクセス許可されたサーバのIPアドレス及びポート番号を検索し、当該クライアント端末4のアクセス要求に係るサーバのIPアドレス及びポート番号が、アクセス管理情報から検索したサーバのIPアドレス及びポート番号であるか比較して判断するものである。
そして、アクセス要求に係るサーバのIPアドレス及びポート番号が、アクセス管理情報のサーバのIPアドレス及びポート番号である場合、フィルタ機能部12cは、このクライアント端末4のアクセス要求をネットワーク5へ通過させ、アクセス管理情報のサーバのIPアドレス及びポート番号でない場合、フィルタ機能部12cは、このクライアント端末4のアクセス要求を遮断して制限するものである。
これにより、サーバへのアクセスを希望するクライアント端末4の認証処理を1回にすることができ、かつ、サーバへのアクセスが許可されていないクライアント端末4によるアクセス制限をかけることができる。
また、従来のサーバアクセス認証は、アプリケーションサーバ(サービスサーバ)において認証されているのに対し、遮断装置1は、クライアント端末4によるサーバへのアクセス制御を、OSI基本参照モデルにおける第4層(IPアドレス、MACアドレス)で制御することができるので、従来よりも高速に認証することができる。
(A−2)第1の実施形態の動作
次に、第1の実施形態に係るアクセス制御システムの処理動作を図面を参照して説明する。
図4は、第1の実施形態のアクセス制御システムの処理を説明するシーケンスである。
ここでは、クライアント端末4がサーバAへのアクセスが許可されているものとし、アクセス制御情報DB3には、クライアント端末4のIPアドレスとサーバAのIPアドレスとが対応付けられたアクセス制御情報が保持されているものとする。
まず、クライアント端末4が起動すると、クライアント端末4は、遮断装置1に対して認証要求を送信する(S1)。このとき、クライアント端末4は、認証要求と共に、ユーザ識別情報及びパスワードを遮断装置1に送信する。
クライアント端末4からの認証要求が遮断装置1に与えられると、遮断装置1は、そのクライアント端末4からの認証要求を認証装置2に与える(S2)。このとき、遮断装置1は、クライアント端末4から受信したユーザ識別情報及びパスワードも認証装置2に送信する。
遮断装置1からクライアント端末4の認証要求を受信すると、認証装置2は、クライアント端末4からのユーザ識別情報及びパスワードに基づいてユーザが正当であるか否かの認証を行なう(S3)。
このとき、認証装置2によるユーザ認証が失敗すると、認証装置2はユーザ認証が失敗した旨を認証結果として遮断装置1に送信する。なお、図4においては、ユーザ認証が成功した場合の例を示しており、ユーザ認証が失敗した場合の例を示していない。
一方、認証装置2によるユーザ認証が成功すると、認証装置2は、当該クライアント端末4のIPアドレスを用いて、アクセス制御情報DB3を検索し、クライアント端末4に対してアクセス許可がなされているサーバAのIPアドレス及びポート番号を取得する(S4)。
そして、認証装置2がクライアント端末4のアクセス許可サーバのIPアドレス及びポート番号をアクセス制御情報DB3から取得すると、認証装置2は、認証成功の旨を示す認証結果と共に、クライアント端末4のアクセス許可サーバIPアドレス及びポート番号を遮断装置1に送信する(S5)。
認証装置2から認証成功の旨を示す認証結果を受信すると、遮断装置1は、その認証結果と共に送信されてきたクライアント端末3のアクセス許可サーバのIPアドレス及びポート番号に基づいてアクセス管理情報14aを生成する(S6)。
ここで、図5は、遮断装置1におけるアクセス管理情報14aの生成処理を示すフローチャートである。
図5に示すように、遮断装置1は、認証装置2からクライアント端末4のユーザ認証が成功した旨の認証結果を受信すると、その認証結果と共に受信した当該クライアント端末4のアクセス許可サーバAのIPアドレス及びポート番号を受信する(F11)。
また、遮断装置1は、当該クライアント端末4のIPアドレス及びMACアドレスを認証要求から抽出し(F12)、その抽出したクライアント端末4のIPアドレス及びMACアドレスに、受信したアクセス許可サーバAのIPアドレス及びポート番号を対応付けてアクセス管理情報14aを作成して、このアクセス管理情報14aを保持する(F13)。
このように、遮断装置1は、当該クライアント端末4についてのアクセス管理情報14aを設定すると、クライアント端末4に対して、ユーザ認証が成功した旨を送信する(S7)。なお、認証装置2から認証失敗の旨を示す認証結果を受信したときには、遮断装置1は、その認証結果をクライアント端末4に送信する。
ユーザ認証が成功した旨の認証結果を受信したクライアント端末4は、その後サーバへのアクセス要求を遮断装置1に対して行なう(S8又はS10)。
クライアント端末4からサーバへのアクセス要求が遮断装置1に与えられると、遮断装置1は、クライアント端末4からのアクセス要求先がアクセス許可されたサーバであるか否かを判断し、アクセス許可されたサーバへのアクセス要求である場合、そのアクセス要求をネットワーク5に通過させ、アクセス許可されたサーバへのアクセス要求でない場合、そのアクセス要求を制限して遮断する(S9又はS11)。
ここで、図6は、遮断装置1におけるフィルタリング処理の動作を示すフローチャートである。
図6において、ユーザ認証が成功したクライアント端末4からサーバへのアクセス要求を受信すると(F21)、アクセス要求からクライアント端末4のIPアドレス及びMACアドレスを抽出する。
そして、遮断装置1において、アクセス要求してきたクライアント端末4のIPアドレス及びMACアドレスに基づいて、アクセス管理情報14aから、アクセス許可サーバのIPアドレス及びポート番号を検索する(F22)。
クライアント端末14のアクセス許可されたサーバのIPアドレス及びポート番号が検索されると、遮断装置1は、クライアント端末4がアクセス要求したサーバのIPアドレス及びポート番号と比較する(F23)。
そして、アクセス要求に係るサーバのIPアドレス及びポート番号が、アクセス許可されたサーバのIPアドレス及びポート番号に一致する場合、遮断装置1はアクセス要求をネットワーク5に通過させ(F24)、アクセス許可されたサーバのIPアドレス及びポート番号に一致しない場合、遮断装置1はアクセス要求を制限して遮断する(F25)。
(A−3)第1の実施形態の効果
以上のように、第1の実施形態によれば、クライアント端末4の認証の際、遮断装置1は、クライアント端末4からの認証要求を認証装置2に中継し、認証装置2に認証処理をさせることにより、従来は一般的に2回以上必要としていた認証を1回で済ますことができる。
また、本実施形態によれば、遮断装置1は、クライアント端末4の認証成功時に、認証装置2からクライアント端末4のアクセス許可サーバの識別情報(IPアドレス及びポート番号)を受け取り、そのクライアント端末4の識別情報(MACアドレス及びIPアドレス)に対応付けて管理することで、OSI基本参照モデルの第4層レベルでアクセス制御することができる。
さらに、本実施形態によれば、遮断装置1が、払い出したIPアドレスで、クライアント端末4のアクセス制御をすることができるので、動的なアドレスを用いるDHCP環境でも高速認証することができる。
(B)他の実施形態
(B−1)上述した第1の実施形態では、社内のイントラネットに適用した場合をネットワークシステムの例に挙げて説明したが、クライアント端末がアクセス先として許可するサーバをIPアドレス等の識別情報をもって管理することができれば、他のネットワークシステムにも適用することができる。
(B−2)上述した第1の実施形態で説明した遮断装置1が有する機能は、物理的に同一の装置内に備えられ、遮断装置1として実現する機能として説明したが、それぞれの機能は、第1の実施形態で説明した処理が実行されるのであれば、物理的に同一の装置内に搭載されることなく、それぞれの機能を実行する装置を分散的に配置するようにしてもよい。
また、認証装置2及びアクセス制御情報DB3についても、遮断装置1と同様に、それぞれの機能を実行する装置を分散的に配置するようにしてもよい。
さらに、例えば、遮断装置1が、認証装置2の機能の一部又は全部の機能を備えるようにしたり、アクセス制御情報DB3を備えるようにしたりするなど、遮断装置1と認証装置2とアクセス制御情報DB3とがそれぞれ有する機能をそれぞれ組み合わせた装置としてもよい。
(B−3)上述した第1の実施形態では、1台のクライアント端末4がアクセスできるサーバを1台のサーバAのみとして説明したが、1台のクライアント端末4がアクセス許可されるサーバの数は、特に限定されず、2台以上であってもよい。
(B−4)上述した第1の実施形態において、遮断装置1のアクセス管理情報14aは、クライアント端末4のIPアドレス及びMACアドレスを、アクセス許可サーバの識別情報と対応付けることとして説明したが、アクセス許可サーバの識別情報と対応付けるものを、MACアドレス又はIPアドレスのうちいずれかとしてもよい。また、アクセス許可サーバの識別情報を、サーバのIPアドレス及びポート番号としたが、IPアドレスのみとしてもよい。
(B−5)上述した遮断装置1は、クライアント端末4のネットワーク接続の認証を行なうものであるから、できる限り、クライアント端末4に近い側に設けられることが望ましい。また、クライアント端末1が、遮断装置1が有する各種機能を備えるようにしてもよい。
第1の実施形態のネットワークシステムの全体構成図である。 第1の実施形態の遮断装置の内部構成である。 第1の実施形態の遮断装置が実現する機能を示すブロック図である。 第1の実施形態のアクセス制御システムの処理を示すシーケンス図である。 第1の実施形態の遮断装置におけるアクセス管理情報の生成処理を示すフローチャートである。 第1の実施形態の遮断装置におけるフィルタリング処理を示すフローチャートである。
符号の説明
1…遮断装置、2…認証装置、3…アクセス制御情報DB、4…クライアント端末、A及びB…サーバ、5…ネットワーク、11…CPU、12…ROM、12a…中継機能部、12b…アクセス管理情報生成機能部、12c…フィルタ機能部、13…RAM、14…EEPROM、14a…アクセス管理情報、15…通信部。

Claims (3)

  1. ネットワーク上の1又は複数のサーバへのアクセスを要求する1又は複数のクライアント端末の当該ネットワークへのアクセス制御を行なうアクセス制御システムにおいて、
    上記各クライアント端末のネットワーク識別情報と、上記各クライアント端末のアクセスが許可された1又は複数のアクセス許可サーバのネットワーク識別情報とを対応付けたアクセス制御情報を管理するアクセス制御情報管理手段と、
    所定の認証方式に従って、上記各クライアント端末の認証処理を行なう認証手段と、
    上記各クライアント端末から認証要求を受けると、そのクライアント端末からの認証要求を上記認証手段に与えると共に、上記認証手段による認証が成功した場合に、上記クライアント端末のネットワーク識別情報に基づいて上記アクセス制御情報を参照して、上記クライアント端末のアクセス制御をするアクセス制御手段と
    を備えることを特徴とするアクセス制御システム。
  2. 上記アクセス制御手段は、認証成功した上記クライアント端末からのアクセス要求先サーバのネットワーク識別情報が、上記アクセス許可サーバのネットワーク識別情報でない場合、上記クライアント端末のアクセスを制限することを特徴とする請求項1に記載のアクセス制御システム。
  3. ネットワーク上の1又は複数のサーバへのアクセスを要求する1又は複数のクライアント端末の当該ネットワークへのアクセス制御を行なうアクセス制御方法において、
    アクセス制御情報管理手段が、上記各クライアント端末のネットワーク識別情報と、上記各クライアント端末のアクセスが許可された1又は複数のアクセス許可サーバのネットワーク識別情報とを対応付けたアクセス制御情報を管理するアクセス制御情報管理工程と、
    認証手段が、所定の認証方式に従って、上記各クライアント端末の認証処理を行なう認証工程と、
    アクセス制御手段が、上記各クライアント端末から認証要求を受けると、そのクライアント端末からの認証要求を上記認証手段に与えると共に、上記認証手段による認証が成功した場合に、上記クライアント端末のネットワーク識別情報に基づいて上記アクセス制御情報を参照して、上記クライアント端末のアクセスを制御するアクセス制御工程と
    を備えることを特徴とするアクセス制御方法。
JP2006116877A 2006-04-20 2006-04-20 アクセス制御システム及び方法 Pending JP2007287097A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006116877A JP2007287097A (ja) 2006-04-20 2006-04-20 アクセス制御システム及び方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006116877A JP2007287097A (ja) 2006-04-20 2006-04-20 アクセス制御システム及び方法

Publications (1)

Publication Number Publication Date
JP2007287097A true JP2007287097A (ja) 2007-11-01

Family

ID=38758780

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006116877A Pending JP2007287097A (ja) 2006-04-20 2006-04-20 アクセス制御システム及び方法

Country Status (1)

Country Link
JP (1) JP2007287097A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013097744A (ja) * 2011-11-05 2013-05-20 Kyocera Document Solutions Inc 疑似シングルサインオン装置並びにこれを用いた画像形成装置及び画像形成システム
US9076011B2 (en) 2010-06-25 2015-07-07 Nec Corporation Secret information leakage prevention system, secret information leakage prevention method and secret information leakage prevention program
JP2021069023A (ja) * 2019-10-24 2021-04-30 株式会社日立製作所 通信機能を有する装置並びに通信システム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9076011B2 (en) 2010-06-25 2015-07-07 Nec Corporation Secret information leakage prevention system, secret information leakage prevention method and secret information leakage prevention program
JP2013097744A (ja) * 2011-11-05 2013-05-20 Kyocera Document Solutions Inc 疑似シングルサインオン装置並びにこれを用いた画像形成装置及び画像形成システム
JP2021069023A (ja) * 2019-10-24 2021-04-30 株式会社日立製作所 通信機能を有する装置並びに通信システム

Similar Documents

Publication Publication Date Title
US9692743B2 (en) Securing organizational computing assets over a network using virtual domains
US8346952B2 (en) De-centralization of group administration authority within a network storage architecture
JP5038531B2 (ja) 信頼できる機器に限定した認証
JP5507462B2 (ja) 異なる組織に属する複数のユーザのためのクレデンシャルの複製を行わない認証方法
JP4168052B2 (ja) 管理サーバ
US7287083B1 (en) Computing environment failover in a branch office environment
US9025769B2 (en) Method of registering smart phone when accessing security authentication device and method of granting access permission to registered smart phone
JP2019139520A (ja) 情報処理システムと、その制御方法とプログラム
JP2006085697A (ja) 信頼できるネットワークノードへのアクセス特権を制御するための方法とシステム
CN101986598B (zh) 认证方法、服务器及系统
CN111885604B (zh) 一种基于天地一体化网络的认证鉴权方法、装置及系统
JP2007208759A (ja) Macアドレスとユーザ認証を組み合わせた認証セキュリティシステム
KR20060044494A (ko) 인증 서버와 연동되는 네트워크 관리 시스템 및 네트워크관리 서버
JP2007287097A (ja) アクセス制御システム及び方法
KR20070009490A (ko) 아이피 주소 기반 사용자 인증 시스템 및 방법
JPH11203248A (ja) 認証装置、および、そのプログラムを記録した記録媒体
KR20050122343A (ko) 네트워크 통합 관리 시스템
Cisco Ability to Disable Xauth for Static IPSec Peers
JP2008028899A (ja) 通信システム、端末装置、vpnサーバ、プログラム、及び、通信方法
JP2001282667A (ja) 認証サーバ・クライアントシステム
JP3953963B2 (ja) 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、および分散型認証アクセス制御システム
Cisco Distinguished Name Based Crypto Maps
WO2016177051A1 (zh) 安全认证的方法及装置
JP2004054488A (ja) ファイアウォール装置
JP2003132020A (ja) アクセス制御装置及び認証装置及びそれらに関連する装置